JP2017097102A - サーバ、サービス方法 - Google Patents

サーバ、サービス方法 Download PDF

Info

Publication number
JP2017097102A
JP2017097102A JP2015227711A JP2015227711A JP2017097102A JP 2017097102 A JP2017097102 A JP 2017097102A JP 2015227711 A JP2015227711 A JP 2015227711A JP 2015227711 A JP2015227711 A JP 2015227711A JP 2017097102 A JP2017097102 A JP 2017097102A
Authority
JP
Japan
Prior art keywords
new
encrypted data
client
matrix
integer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015227711A
Other languages
English (en)
Other versions
JP6643756B2 (ja
Inventor
立華 王
Ritsuka O
立華 王
良範 青野
Yoshinori Aono
良範 青野
卓也 林
Takuya Hayashi
卓也 林
チュウ フォン レ
Trieu Phong Le
チュウ フォン レ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Information and Communications Technology
Original Assignee
National Institute of Information and Communications Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Information and Communications Technology filed Critical National Institute of Information and Communications Technology
Priority to JP2015227711A priority Critical patent/JP6643756B2/ja
Publication of JP2017097102A publication Critical patent/JP2017097102A/ja
Application granted granted Critical
Publication of JP6643756B2 publication Critical patent/JP6643756B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】要求により暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法において、復号時のクライアントの処理負担を軽減すること。【解決手段】c1=e1A+pe2、c2=e1P+pe3+mに従い、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データc=(c1,c2)を複数記憶保持し、クライアントから、複数の暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付け、この情報に基づいて、n行n列の正方行列W1=c1’Tc1、n行l列の行列W2=c1’Tc2+c1Tc2’、およびスカラーξ=c2c2’Tを算出し、正方行列W1、行列W2、およびスカラーξをクライアントに提供する。【選択図】図1

Description

本発明は、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法に係り、特に、復号時のクライアントの処理負担軽減に資するサーバおよびサービス方法に関する。
クラウドサーバのように、クライアントに代わってデータを記憶保持するサービスが存在する。これを利用し、クライアントが開示している公開鍵で暗号化したデータを第三者がサーバにアップロードすると、クライアントはこのデータをクラウド管理者に内容秘匿のまま自身が解読(復号)可能な暗号データとしてサーバ上に置かれた状態で管理できる。例えばデータとして個人の医療検査結果など秘匿性の高いデータを扱う場合に都合がよい。
また、クラウドサーバでは、クライアントのデータを記憶保持し、リソースが限られたクライアントからの要求に応じてこのデータを用いてクライアントに代わって計算処理を行いその結果をクライアントに提供するサービスが存在する(代理計算)。この場合、通常、データとして暗号データは扱えない。暗号データで計算処理を行うと当然、平文データでの処理結果と一般に一致しないためである。
一方、暗号データでの計算処理が平文データでの処理結果と対応するような暗号データ(=準同型性のある暗号データ)は、現在いくつか知られている。かかる暗号データを用いれば、サーバで一定の計算処理を行っても結果を同じ形式の暗号データで得ることができ、これをクライアントに提供できる。クライアントは対応する秘密鍵でこれを復号できる。つまり、準同型性のある暗号データを利用すれば、サーバ上で行うデータの計算処理に関しても、これをクラウド管理者に内容秘匿でクライアントが管理できる。
しかしながら、準同型性が制限なくいかなる計算においても成立するという性質を有する暗号データは現状知られていない。例えば、加算のみ、1回の乗算のみなど、限定的な範囲でのみ準同型性を有しているのが通例である。したがって、クライアントがサーバのサービスを受ける場合には、目的とする結果を得るために、準同型性を利用できる計算を一度経由してその後にクライアントで後処理を行うというような手順が必要になる場合がある。このような手順は、クライアントの処理負担が大きくなることを意味する。
US8,565,435特許明細書
本発明は、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法において、復号時のクライアントの処理負担を軽減することが可能なサーバおよびサービス方法に提供することを目的とする。
本発明の一態様であるサーバは、次式:
=eA+pe
=eP+pe+m
c=(c,c
ここで、e、eは、それぞれ、成分数がnのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。eは、成分数がlのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
n、s、l、p、A、Pは以下による。
nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散sの離散ガウス分布からサンプリングした整数。
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持する手段と、前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付ける手段と、前記情報に基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出する手段と、前記正方行列W、前記行列W、および前記スカラーξを前記クライアントに提供する手段とを具備する。
このサーバが記憶保持する複数の暗号データc、c’、…は、それらの平文データm、m’、…との関係として、複数個(任意個)の加算、および1度のテンソル積mm’において準同型性を有している。しかしながら、内積mm’に関しては直接的な準同型性がない。クライアントが内積mm’を得たい場合には、可能性として、テンソル積mm’を利用する準同型演算の結果としてこれをクライアントに提供できる。このサーバでは、さらに、このようなテンソル積を利用せずに内積演算対応ができるように、クライアントから平文データm、m’について内積を求めるべき情報がもたらされたときに、これに基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出し、これらをクライアントに提供する。
クライアントにおける復号処理では、Wに、内積算出対応秘密鍵S(=SS=(γij)とする)を掛けてそのトレースを求め、Wに、秘密鍵Sの転置行列S(=(σij)とする)を掛けてそのトレースを求め、これらの結果の和にξを加え、最後にpを法とする整数に直すと、目的の、m、m’の内積m m’が得られる。これらの復号処理で、掛け算は合計「n(n+l)」回、足し算は合計「n(n+l)+1」回の演算量となり、テンソル積を利用する場合より、クライアントの処理負担は劇的に軽減される。
また、別の態様であるサービス方法は、次式:
=eA+pe
=eP+pe+m
c=(c,c
ここで、e、eは、それぞれ、成分数がnのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。eは、成分数がlのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
n、s、l、p、A、Pは以下による。
nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散sの離散ガウス分布からサンプリングした整数。
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持し、前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付け、前記情報に基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出し、前記正方行列W、前記行列W、および前記スカラーξを前記クライアントに提供する。
このサービス方法は、上記のサーバに対応する方法である。
本発明によれば、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法において、復号時のクライアントの処理負担を軽減することが可能になる。
一実施形態であるサーバ、およびこれを含むシステムを示す構成図。 図1中に示したパラメータ生成保持部31の機能を示す説明図。 図1中に示した鍵生成部32の機能を示す説明図。 図1中に示した処理部21の暗号化機能を示す説明図。 図1中に示した一般処理部35の復号機能を示す説明図。 図1中に示したサーバ10で行われ得る準同型演算についてその性質を示す説明図。 図1中に示したサーバ10がもつ内積演算機能に関する、クライアントでの処理負担が軽減される理由の説明図。 図1中に示したサーバ10がもつ内積の和の演算機能に関する、クライアントでの処理負担が軽減される理由の説明図。 図1中に示した更新鍵生成部36の機能を示す説明図。 図1中に示したセキュリティ更新処理部14の機能を示す説明図。
以上を踏まえ、以下では本発明の実施形態を図面を参照しながら説明する。図1は、一実施形態であるサーバおよびこれを含むシステムを示している。同図において、サーバ10は例えばクラウドサーバであり、一方、クライアント30はサーバ10が提供するサービスを享受する機器である。ひとつのサーバ10にクライアント30は多数存在し得る(ほかのクライアントは不図示)。サーバ10とクライアント30とは管理主体が異なる前提で以下説明するが、データの暗号化により、第三者機器20からは、見掛け上サーバ10がクライアント30の一部であるかのようになっている。
すなわち、クライアント30は、その管理するデータをサーバ10上では暗号化された状態で記憶保持させている。この暗号化に必要な公開鍵はクライアント30が開示している。したがって、クライアント30が開示している公開鍵で第三者機器20が暗号化したデータをサーバ10にアップロードすると、クライアント30はこのデータをクラウド管理者(サーバ10の管理者)に内容秘匿のまま自身が秘密鍵で解読(復号)可能な暗号データとしてサーバ10上に置かれた状態で管理できる。例えばデータとして個人の医療検査結果など秘匿性の高いデータを扱う場合に都合がよい。
サーバ10は、通信インターフェース11、暗号データ記憶保持部12、計算処理部(算出部)13、セキュリティ更新処理部(変換部、置き換え部)14を有する。クライアント30は、パラメータ生成保持部31、鍵生成部32、鍵保持部33、通信インターフェース34、一般処理部35(要求内容生成、その結果の復号を行う)、更新鍵生成部36を有する。第三者機器20は、処理部(暗号化部)21、通信インターフェース22を有する。
以下、サーバ10、クライアント30、および第三者機器20の各内部構成についてその機能を説明するが、理解の便宜のため一連の動作に沿って説明するので、必ずしも機器ごとにまとまった説明にならない点を断っておく。なお、図1中の一点鎖線で囲んだ部分は、暗号データのセキュリティをアップデートするためのオプション構成であり、セキュリティのアップデートが不要の場合は省略できる。以下、機能ブロック図として描いた図1を中心に参照して説明するが、適宜、説明図である図2ないし図10を参照する。
(公開鍵および秘密鍵の生成)
公開鍵および秘密鍵の生成のため、まず、クライアント30は、パラメータ生成保持部31によりパラメータ(q,l,p)を生成する。qは正の整数、lは正の整数、pは正の整数で、pとqは互いに素(つまり最小公倍数が1)である。lは、平文ベクトルの成分数として設定された数である。平文ベクトルは、成分数がlで各成分がpを法として表された整数とする。以上図2を参照することができる。生成されたパラメータはパラメータ生成保持部31に保持されるとともに、鍵生成部32に渡される。なお、「ベクトル」は断りのない限り横ベクトルを意味する(以下でも同様)。
鍵生成部32は、パラメータ生成部31から渡されたパラメータ(q,l,p)に基づき公開鍵、秘密鍵、および内積算出対応秘密鍵を生成する。手順は以下であり図3を参照できる。まず、sを決めnを決める。sは正の実数で、離散ガウス分布の標準偏差として設定する。nは正の整数でセキュリティ(安全性)に関連する数であり、q、s、nで暗号としての安全性が定まる。ちなみに、本実施形態で例えばq=2114、s=8.0、n=2661とした場合には、80ビットセキュリティの暗号が得られる。一般にNビットセキュリティの暗号とは、2回の解読計算で鍵(秘密鍵)が見つかる暗号である。
次に、鍵生成部32は、正規ランダム行列R、Sを生成する。すなわち、R、Sは、それぞれ、n行l列の行列で各要素は分散sの離散ガウス分布からサンプリングした整数である。加えて、鍵生成部32は、一様ランダム行列Aを生成する。すなわち、Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数である。
さらに、鍵生成部32はPを計算する。計算式はP=pR−ASである。Pは、n行l列の行列で、各要素はqを法として表された整数になる。以上の一連の手順により、公開鍵は(A,P,n,s)として、秘密鍵はSとして、内積算出対応秘密鍵はS(=SS)として、それぞれ生成される。生成された各鍵は鍵保持部33に渡され、そこで記憶保持される。秘密鍵Sおよび内積算出対応秘密鍵はSは、クライアント30の外に流出しないように管理される一方、公開鍵(A,P,n,s)は、第三者機器20のため開示される。第三者機器20は、例えば医療機関などの秘匿性のあるデータを取り扱う者が有する機器を想定することができる。
(暗号化)
図1に示すシステムでは、データの暗号化を公開鍵でクライアント30が行い、その結果である暗号データをサーバ10に送ってサーバ10上に記憶保持させることができる。同様に、第三者機器20がその有する、秘匿が必要な平文のデータをクライアント30の公開鍵で暗号化し、その結果である暗号データをサーバ10に送ってサーバ10上に記憶保持させることもできる。暗号化の処理自体は両者とも変わらないが、後者の動作として以下説明する。手順は以下であり図4を参照できる。
まず、第三者機器20の処理部21はノイズe、eを生成する。e、eは、それぞれ、成分数がnのベクトルで、各成分は分散sの離散ガウス分布からサンプリングした整数である。加えて、処理部21はノイズeを生成する。eは、成分数がlのベクトルで、各成分は分散sの離散ガウス分布からサンプリングした整数である。
次に、処理部21はcを計算する。計算式はc=eA+peである。cは、成分数がnのベクトルで、各成分はqを法として表された整数になる。加えて、処理部21はcを計算する。計算式はc=eP+pe+mである。mは第三者機器20において生成された平文ベクトルで、成分数がlで各成分はpを法として表された整数である。cは、成分数がlのベクトルで各成分はqを法として表された整数になる。
以上の一連の手順により、暗号データcはc=(c,c)として生成される。なお、第三者機器20は、以上の一連の手順で公開鍵(A,P,n,s)が必要であるが、これ以外に少なくともパラメータ(l,p)が必要である。パラメータ(l,p)は第三者機器20において前提として了解されているものとする。生成された暗号データは、処理部21から通信インターフェース22に渡され、通信インターフェース22は、渡された暗号データを通信路を介してサーバ10に向けて送る。
サーバ10は、第三者機器20から送られてきた暗号データを通信インターフェース11で受け取る。通信インターフェース11で受け取られた暗号データは、通信インターフェース11から暗号データ記憶保持部12に渡される。暗号データ記憶保持部12は、通信インターフェース11から渡された暗号データを記憶保持する。この暗号データは、すなわち、サーバ10の管理者に内容秘匿のままクライアント30のみが復号可能な暗号データとしてサーバ10上に置かれたデータになっている。
(復号)
図1に示すシステムで復号はもっぱらクライアント30で行われる。これにより、サーバ10の管理者に対するデータの秘匿性が保たれる。単に復号する場合の動作を以下説明する。暗号データ記憶保持部12に記憶保持された暗号データをクライアント30が復号して平文データに戻す場合には、クライアント30は、その暗号データc=(c,c)を提出することの要求をサーバ10に対して行う。そのため、その旨の情報を一般処理部35で生成する。この要求の旨の情報は、一般処理部35から通信インターフェース34に渡される。
通信インターフェース34に渡された要求の旨の情報は、通信インターフェース34から通信路を介してサーバ10に送られる。サーバ10は、クライアント30から送られてきた要求の旨の情報を通信インターフェース11で受け取る。通信インターフェース11で受け取られた要求の旨の情報は通信インターフェース11から計算処理部13に渡される。計算処理部13は、渡された要求の内容に従い、暗号データ記憶処理部12から該当の暗号データc=(c,c)を取り出す。そして、計算処理部13は、取り出した暗号データに対してこの場合特に処理を行わずに通信インターフェース11に渡す。なお、一般には計算処理部13が暗号データに対して一定の計算処理を行う場合もあるがその場合については後述する。
通信インターフェース11に渡された暗号データは、通信インターフェース11から通信路を介してクライアント30に送られる。クライアント30は、サーバ10から送られてきた暗号データを通信インターフェース34で受け取る。通信インターフェース34で受け取られた暗号データc=(c,c)は通信インターフェース34から一般処理部35に渡される。
一般処理部35は、暗号データc=(c,c)の復号動作として以下を行う。この点は図5を参照できる。まず、mバーを計算する。計算式は、mバー=m=cS+cである。Sは前述してあるように秘密鍵であり、鍵保持部33に保持されている。次に平文ベクトルmを計算する。計算式は、m=mバー mod pである。mは復号で得られた平文ベクトル(=復号結果)になる。当然ながら、この復号は秘密鍵Sを保持しているクライアント30以外では実行できない。秘密鍵はクライアント30の外に流出しないように管理されている。
以上により、サーバ10が行うクライアント30のためのデータの記憶保持というサービスの点で、サーバ管理者に対するデータの秘匿性が保たれることを説明した。
(暗号データの性質)
次に、上記で説明したように生成された暗号データに特有な性質について説明する。図2、図3、図4に示された手順で生成された暗号データには、一定の準同型性がある。そのひとつは加算の準同型性であり、一般に、c+c’=Enc(pk,m+m’) が成り立っている。ここで「Enc」は、上記で説明した暗号化を平文データm+m’に対して公開鍵pkで行うことの関数を意味し、具体的に公開鍵pk(public key)=(A,P,n,s)である。
つまり、暗号データc、c’とその対応する平文データm、m’とで、暗号データで行った加算c+c’の演算結果は、平文データで行った加算m+m’の演算結果を暗号化したものに等しくなっている。この点は、図2〜図4を参照して追ってみれば確かめることができる。
かかる暗号データであることから、サーバ10で加算の演算処理を行うとその結果を、同じ形式で暗号化されたデータとしてクライアント30に提供できる。クライアント30は対応する秘密鍵Sでこれを復号できる。つまり、一定の準同型性のある暗号データを利用することにより、サーバ10上で行うデータの一定の演算処理に関しても、これをサーバ管理者に内容秘匿でクライアント30が管理できる。
図2、図3、図4に示された手順で生成された暗号データには、もうひとつの準同型性が備わっている。すなわち、この暗号データは、一般にcc’=Enc(pk,mm’)が成り立っている。ここで、c、mはそれぞれ、横ベクトルc、mを縦ベクトルに直したものである。つまり、暗号データc、c’とその対応する平文データm、m’とで、暗号データで行ったテンソル積cc’(=n+l行n+l列の正方行列)の演算結果は、平文データで行ったテンソル積mm’の演算結果を暗号化したもの(=n+l行n+l列の正方行列)に、要素ごとに等しくなっている。この点は、図2〜図4を参照して追ってみれば確かめることができる。
よって、このような乗算の準同型性のある暗号データを利用することにより、サーバ10上で行う積を求める演算処理に関しても、これをサーバ管理者に内容秘匿でクライアント30が管理できる。クライアント30はその演算結果を秘密鍵Sで復号できる。
以上の点をまとめると、図2、図3、図4に示された手順で生成された暗号データは、2次形式の計算を行う処理についてサーバ10で扱うことができることを意味する。サーバ10でこのような処理を行うと、その結果はもとの公開鍵で暗号化された形式を有する、平文データで同様な処理を行った結果に対応したデータになる。したがって、クライアント30に代わって計算処理をサーバ10で行いその結果をクライアント30に提供しクライアント30はこれを秘密鍵で復号できる。すなわち、2次形式の計算処理に関して、これをサーバ管理者に内容秘匿でクライアント30が管理できることになる。
以上説明した準同型性と2次形式の計算との関係をもう一度説明したものが図6である。図6は以上の点から容易に理解できると思われるが簡単におさらいする。まず、図2〜図4によれば、平文ベクトルm、m’とその暗号文ベクトルc、c’とに関して以下が成り立つ。
c+c’=Enc(pk,m+m’) ・・・加算の準同型性
c’=Enc(pk,mm’) ・・・テンソル積の乗算の準同型性
次に、例えば、平文データx、yの各暗号データEnc(pk,x)、Enc(pk,y)を用いた2次形式の計算:

Σ a・Enc(pk,x)・Enc(pk,y) (iはデータ番号)
i=1
の結果は、次式、平文データを用いた2次形式の計算結果を暗号化したものに等しい。

Enc(pk,Σ a・x
i=1
したがって、サーバ管理者に対して平文データx、yを秘匿したままサーバ10で計算処理を行い、その後クライアント30は復号でその計算結果を得ることができる。
(内積演算に関して)
上記では、暗号データにおけるテンソル積の乗算の準同型性について述べたが、これは、もちろん、平文ベクトルm、m’の内積演算m m’の結果と、そのそれぞれの暗号文ベクトルc、c’の内積演算c c’ の結果との準同型性を意味するものではない。クライアント30が内積mm’を得たい場合には、可能性として、テンソル積mm’を利用する準同型演算の結果としてならばこれをクライアント30に提供できる。この場合、端的には、平文ベクトルの各成分をそれぞれ別の平文として暗号化しそして復号する処理を行うことに相当し、クライアント30での復号処理の効率は高くならない。
そこで、このサーバ10は、内積を得たい場合のクライアント30の復号処理を効率化する内積演算対応機能を有している。この説明として図7を参照する。平文ベクトルm、m’の内積m m’に関しては、qを法とする数(m m’)バーとして、図7の中央のブロック内に示されている式の変形(主に行列のトレースに関する性質を利用)により、
Tr(cSS)+Tr((c+c ’)S)+c
と表すことができる。
つまり、クライアント30がm、m’の内積m m’を得るには、c(n行n列の行列;=W=(αij)とする)、c+c ’(n行l列の行列;=W=(βij)とする)、およびc(スカラー;=ξとする)を計算させることの要求をサーバ10に送ればよい。その後のクライアント30では、Wに、内積算出対応秘密鍵S(=SS=(γij)とする)を掛けてそのトレースを求め、Wに、秘密鍵Sの転置行列S(=(σij)とする)を掛けてそのトレースを求め、上記の結果の和にξを加え、最後にpを法とする整数に直すと、目的の、m、m’の内積m m’が得られる。
すなわち、サーバ10は、クライアント30から、2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときにこの情報を受け付け(通信インターフェース11)、この情報に基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出する(計算処理部13)。そしてサーバ10は、正方行列W、行列W、およびスカラーξをクライアント30に提供する(計算処理部13から通信インターフェース11を介してクライアント30へ)。その後のクライアント30での動作は上記のとおりである。
クライアント30における計算量に関しては、
Tr(cSS)+Tr((c+c ’)S)+c
n n l
= Σ ( Σ αikγki + Σ βijσji)+ξ
i=1 k=1 j=1
と表されるので、総計算量として、掛け算が合計「n(n+l)」回、足し算が合計「n(n+l)+1」回で済むことが示されている。この総計算量によれば、テンソル積を利用する内積の計算の場合より、例えば、80ビットセキュリティの場合、128ビットセキュリティの場合で、それぞれ30倍以上復号処理の高速化が可能である。
(内積の和の演算に関して)
次に、内積の和の演算に関して図8を参照して説明する。図7に示した点によれば、平文ベクトルm、m’の内積mから、平文ベクトルm、m’の内積mまでの和(1〜u)をクライアント30が必要とする場合には、それぞれの内積についてのW、W、ξをu組得てこれらをサーバ10からクライアント30に送らせるには及ばないことがわかる。換言すると、それぞれの内積についてのW、W、ξをサーバ10が求め、そして、ΣW、ΣW、Σξ がクライアント30に送られればよく(Σは1〜uまでの和をとる)、復号は、次式で達成される。すなわち、
(Tr(ΣWSS)+Tr(ΣW)+Σξ)mod p
である。
この式は、1つの内積を求めるため復号する場合の式と形式が同じであり、したがって、やはり、クライアント30では、総計算量として、掛け算が合計「n(n+l)」回、足し算が合計「n(n+l)+1」回で済むことが分かる。クライアント30がベクトルデータの内積の和を必要とするアプリケーションは数多く考えられ、実施形態のサーバ10によれば、このような場合にも非常に効率的な復号がクライアント30において可能である。
以上により、準同型性のある暗号データを利用し、サーバ10上で行うデータの計算処理に関して、これをサーバ管理者に内容秘匿でクライアント30が管理できる点を説明した。
(更新鍵の生成)
次に、暗号データ記憶保持部12に記憶保持された暗号データについてそのセキュリティを更新する手順を説明する(これは図1中の一点鎖線で囲われた構成によってなされるオプションである)。セキュリティ更新が必要になる一般的理由は、暗号データは長期的視点で危殆化する可能性を有しているためである。暗号データのセキュリティを更新するには、一般に、一旦平文データに復号してから再度アップデートに対応した暗号化を行うか、平文データに復号せず直接に暗号データに対してセキュリティ更新の処理を行うかのいずれかになる。いずれも処理負担が軽いとは限られず、クライアント30ではなくサーバ10の側で処理を行う方が好ましいと考えられる。
サーバ10の側で暗号データのセキュリティ更新の処理を行うと、前者の場合では、その処理時にサーバ管理者に対するデータ内容の秘匿性がくずれる。よって、データの記憶保持、計算処理、セキュリティ更新という一連のサービスで一貫した秘匿性を保てず、サービスとして不備が含まれたものになってしまう。そこで、このサーバ10は、準同型性を有する暗号データを扱ってなおかつ直接に暗号データにセキュリティ更新の処理ができるように構成されている。そして、セキュリティ更新の処理を行っても暗号データの準同型性が保たれる。
セキュリティ更新のための動作はクライアント30での更新鍵の生成から始まる。以下の手順は図9を参照することができる。まず、クライアント30の鍵生成部32は、公開鍵(A,P,n,s)と同様に生成させた新公開鍵(Anew,Pnew,nnew,snew)、および秘密鍵Sと同様に生成させた新秘密鍵Snewを用意する。この動作は図3を参照できる。nnewは正の整数でnより大(=セキュリティの向上ため)である。新公開鍵および新秘密鍵は、鍵生成部32から鍵保持部33に渡されて保持され、さらに鍵保持部33から更新鍵生成部36に渡される。なお、公開鍵(A,P,n,s)および秘密鍵Sも鍵保持部33から更新鍵生成部36に渡される。
更新鍵生成部36は、まず、κ=ceiling(logq)を計算する。ceiling( )は天井関数であり、括弧内の数をそれ以上の最小の整数に変換する関数である。次に、更新鍵生成部36は、ランダム行列X、Eを生成する。すなわち、Xは、nκ行nnew列の行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数である。Eは、nκ行l列の行列で各要素は分散snew の離散ガウス分布からサンプリングした整数である。
さらに、更新鍵生成部36はYを計算する。計算式はY=−XSnew+pE+Power2(S)である。ここで、Power2(S)はnκ行l列の行列で、Bits(c)・Power2(S)=c・SとなるようにSを変換する関数である。さらにここで、Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトルである。Yは、nκ行l列の行列で各要素はqを法として表された整数になる。
以上の一連の手順により、更新鍵生成部36で更新鍵は(X,Y)として生成される。この更新鍵は、公開鍵と一定の関係性を有するように生成されている。そして、この更新鍵、および鍵保持部33に保持された新公開鍵は、それぞれ、更新鍵生成部36、鍵保持部33から通信インターフェース34に渡される。通信インターフェース34に渡された更新鍵および新公開鍵は、通信インターフェース34から通信路を介してサーバ10に送付される。
サーバ10は、クライアント30から送付されてきた更新鍵および新公開鍵を通信インターフェース11で受け取る。通信インターフェース11で受け取られた更新鍵および新公開鍵は、通信インターフェース11からセキュリティ更新処理部14に渡される。セキュリティ更新処理部14は、渡された更新鍵および新公開鍵を用いて、暗号データ記憶処理部12に記憶保持された暗号データに対してセキュリティを更新する処理を行う(以下で説明する)。
(セキュリティ更新)
サーバ10は、クライアント30から送付されてきた更新鍵(X,Y)および新公開鍵(Anew,Pnew,nnew,snew)を用いて暗号データ記憶処理部12に記憶保持された暗号データに対してセキュリティを更新する処理を行う。この動作はセキュリティ更新処理部14による。セキュリティ更新処理部14は、暗号データに行うセキュリティ更新として、更新鍵および新公開鍵を用いて、暗号データを、新公開鍵により暗号化された形式を有しかつもとの準同型性と同様の準同型性を有するデータである更新暗号データに変換する。手順は以下であり図10を参照できる。
まず、セキュリティ更新処理部14は、ノイズf、fを生成する。f、fは、それぞれ、成分数がnnewのベクトルで、各成分は分散snew の離散ガウス分布からサンプリングした整数である。加えて、セキュリティ更新処理部14は、ノイズfを生成する。fは、成分数がlのベクトルで、各成分は分散snew の離散ガウス分布からサンプリングした整数である。
次に、セキュリティ更新処理部14は、Fを計算する。計算式はF=[Bits(c)X | Bits(c)Y+c]である。ここで記号「|」は、行列の連結を意味する。Fは、成分数がnnew+lのベクトルで、各成分はqを法として表された整数になる。c、cについては、暗号データ(c,c)を暗号データ記憶処理部12から取り出して用いる。さらに、セキュリティ更新処理部14は、ゼロの暗号データE(0)を計算する。計算式は、E(0)=f[Anew|Pnew]+p[f|f](図4参照)である。
以上の一連の手順により、セキュリティ更新後の暗号データである更新暗号データcnew=(cnew1,cnew2)は、F+E(0)として算出される。もとの暗号データc=(c,c)から変換され算出された更新暗号データcnew=(cnew1,cnew2)は、セキュリティ更新処理部14から暗号データ記憶保持部12に渡される。セキュリティ更新処理部14は、もとの暗号データを破棄して更新暗号データで置き換える。
以上説明した、暗号データから更新暗号データへの変換は、暗号データとしてもとの準同型性が保たれたものになる。この点は、図9、図10、および図2〜図4を参照して追ってみれば確かめることができる。よって、要求に応じて暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバ10において、暗号データに対するセキュリティのアップデートが可能である。
そして、このセキュリティ更新は、暗号データに対してサーバ10の動作として行われるので、リソースが限られているクライアント30の処理負担ならない。また、このセキュリティ更新は、暗号解読技術が進展して安全性が低下しても何度も繰り返すことができる。もとよりサーバ10として、データの記憶保持、計算処理、セキュリティ更新という一連のサービスで、一貫して秘匿性が保たれているという大きな効果を有している。なお、セキュリティ更新がされたあとは、当然ながらクライアント30は、これまでの公開鍵に代わり新公開鍵を開示し、その結果、その後第三者機器20は、新公開鍵を用いて暗号化が必要な平文データを暗号化しこれをサーバ10に送る(アップロードする)ことになる。
以上、本発明の実施形態を説明したが、実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。この実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10…サーバ、11…通信インターフェース、12…暗号データ記憶保持部、13…計算処理部(算出部)、14…セキュリティ更新処理部(変換部、置き換え部)、20…第三者機器、21…処理部(暗号化部)、22…通信インターフェース、30…クライアント、31…パラメータ生成保持部、32…鍵生成部、33…鍵保持部、34…通信インターフェース。35…一般処理部(要求内容生成部、結果の復号部)、36…更新鍵生成部。

Claims (6)

  1. 次式:
    =eA+pe
    =eP+pe+m
    c=(c,c
    ここで、e、eは、それぞれ、成分数がnのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。eは、成分数がlのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
    n、s、l、p、A、Pは以下による。
    nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散sの離散ガウス分布からサンプリングした整数。
    に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持する手段と、
    前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付ける手段と、
    前記情報に基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出する手段と、
    前記正方行列W、前記行列W、および前記スカラーξを前記クライアントに提供する手段と
    を具備するサーバ。
  2. 前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’についての内積である第1の内積と、複数の前記暗号データのうちの2つの暗号データc”、c”’に対応する2つの平文データm”、m”’についての内積である第2の内積との和を求めるべき情報である第2の情報がもたらされたときに該第2の情報を受け付ける手段と、
    前記第2の情報に基づいて、n行n列の第2の正方行列ΣW=c+c”’”、n行l列の第2の行列ΣW=c+c ’ +c”’”+c”’、および第2のスカラーΣξ=c +c”c”’を算出する手段と、
    前記第2の正方行列ΣW、前記第2の行列ΣW、および前記第2のスカラーΣξを前記クライアントに提供する手段と
    をさらに具備する請求項1記載のサーバ。
  3. 前記暗号データに対してセキュリティ更新を行うための鍵である、前記公開鍵との関係性を有する更新鍵、および該セキュリティ更新がされたあとの前記クライアントの公開鍵である新公開鍵が前記クライアントから送付されたときに該更新鍵および該新公開鍵を受け取る手段と、
    前記暗号データに行う前記セキュリティ更新として、前記更新鍵および前記新公開鍵を用いて、前記暗号データを、前記新公開鍵により暗号化された形式を有しかつ準同型性を有するデータである更新暗号データに変換する手段と、
    前記暗号データが前記更新暗号データに変換されたあと、前記暗号データを破棄して該暗号データを前記更新暗号データで置き換える手段と
    をさらに具備する請求項1記載のサーバ。
  4. 前記更新鍵が、前記公開鍵、該公開鍵に対応する秘密鍵、前記新公開鍵、および該新公開鍵に対応する新秘密鍵を用いて、次式:
    X: nκ行nnew列の行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数
    Y=−XSnew+pE+Power2(S)
    ここで、κはκ=ceiling(logq)による。nnewは、nより大の正の整数。Snewは、nnew行l列の行列で各要素は分散snew の離散ガウス分布からサンプリングした整数。snewは正の実数。Eは、nκ行l列の行列で各要素は分散snew の離散ガウス分布からサンプリングした整数。Power2(S)はnκ行l列の行列で、Bits(c)・Power2(S)=c・SとなるようにSを変換する関数。Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトル。そして、前記公開鍵が(A,P,n,s)、前記秘密鍵がS、前記新公開鍵が(Anew,Pnew,nnew,snew)、前記新秘密鍵がSnewである。Anewは、nnew行nnew列の正方行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。Pnewは、Pnew=pRnew−Anewnewによる。Rnew、Snewは、それぞれ、n行l列の行列で各要素は分散snew の離散ガウス分布からサンプリングした整数。
    により生成された鍵(X,Y)であるとき、
    前記更新暗号データが、次式:
    F=[Bits(c)X | Bits(c)Y+c
    E(0)=f[Anew|Pnew]+p[f|f
    ここで、Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトル。f、fは、それぞれ、成分数がnnewのベクトルで各成分は分散snew の離散ガウス分布からサンプリングした整数。fは、成分数がlのベクトルで、各成分は分散snew の離散ガウス分布からサンプリングした整数。
    により生成された暗号データF+E(0)である
    請求項3記載のサーバ。
  5. 次式:
    =eA+pe
    =eP+pe+m
    c=(c,c
    ここで、e、eは、それぞれ、成分数がnのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。eは、成分数がlのベクトルで各成分は分散sの離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
    n、s、l、p、A、Pは以下による。
    nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散sの離散ガウス分布からサンプリングした整数。
    に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持し、
    前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付け、
    前記情報に基づいて、n行n列の正方行列W=c、n行l列の行列W=c+c ’、およびスカラーξ=cを算出し、
    前記正方行列W、前記行列W、および前記スカラーξを前記クライアントに提供する
    サービス方法。
  6. 前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’についての内積である第1の内積と、複数の前記暗号データのうちの2つの暗号データc”、c”’に対応する2つの平文データm”、m”’についての内積である第2の内積との和を求めるべき情報である第2の情報がもたらされたときに該第2の情報を受け付け、
    前記第2の情報に基づいて、n行n列の第2の正方行列ΣW=c+c”’”、n行l列の第2の行列ΣW=c+c ’ +c”’”+c”’、および第2のスカラーΣξ=c +c”c”’を算出し、
    前記第2の正方行列ΣW、前記第2の行列ΣW、および前記第2のスカラーΣξを前記クライアントに提供する
    請求項5記載のサービス方法。
JP2015227711A 2015-11-20 2015-11-20 サーバ、サービス方法 Active JP6643756B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015227711A JP6643756B2 (ja) 2015-11-20 2015-11-20 サーバ、サービス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015227711A JP6643756B2 (ja) 2015-11-20 2015-11-20 サーバ、サービス方法

Publications (2)

Publication Number Publication Date
JP2017097102A true JP2017097102A (ja) 2017-06-01
JP6643756B2 JP6643756B2 (ja) 2020-02-12

Family

ID=58817699

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015227711A Active JP6643756B2 (ja) 2015-11-20 2015-11-20 サーバ、サービス方法

Country Status (1)

Country Link
JP (1) JP6643756B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112236974A (zh) * 2018-06-11 2021-01-15 三菱电机株式会社 解密装置、加密装置以及密码系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014112548A1 (ja) * 2013-01-17 2014-07-24 日本電信電話株式会社 秘匿計算システム、演算装置、秘匿計算方法、およびプログラム
JP2015031935A (ja) * 2013-08-07 2015-02-16 富士通株式会社 情報処理方法及びプログラム
JP2015177506A (ja) * 2014-03-18 2015-10-05 国立研究開発法人情報通信研究機構 暗号データ更新システム、暗号データ更新方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014112548A1 (ja) * 2013-01-17 2014-07-24 日本電信電話株式会社 秘匿計算システム、演算装置、秘匿計算方法、およびプログラム
JP2015031935A (ja) * 2013-08-07 2015-02-16 富士通株式会社 情報処理方法及びプログラム
JP2015177506A (ja) * 2014-03-18 2015-10-05 国立研究開発法人情報通信研究機構 暗号データ更新システム、暗号データ更新方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
青野良範ほか: "セキュリティアップデータブル準同型暗号を用いた秘匿データの線形回帰計算", 2015年 暗号と情報セキュリティシンポジウム概要集, JPN6019034098, 20 January 2015 (2015-01-20), pages 1 - 7, ISSN: 0004109763 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112236974A (zh) * 2018-06-11 2021-01-15 三菱电机株式会社 解密装置、加密装置以及密码系统
CN112236974B (zh) * 2018-06-11 2024-02-23 三菱电机株式会社 解密装置、加密装置以及密码系统

Also Published As

Publication number Publication date
JP6643756B2 (ja) 2020-02-12

Similar Documents

Publication Publication Date Title
CN113259329B (zh) 一种数据不经意传输方法、装置、电子设备及存储介质
JP5377540B2 (ja) 鍵管理システム
US9426131B2 (en) Server apparatus and program to re-encrypt ciphertext data
CN110190945B (zh) 基于多加密的线性回归隐私保护方法及系统
US20140098960A1 (en) Ciphertext Processing Method, Apparatus, and System
JP6194886B2 (ja) 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム
WO2012169153A1 (ja) 暗号化統計処理システム、装置、方法及びプログラム
WO2012111714A1 (ja) ファイルサーバ装置およびファイルサーバシステム
US11075748B2 (en) Encryption for low-end devices through computation offloading
CN110635909A (zh) 一种基于属性的抗合谋攻击的代理重加密方法
JP6468567B2 (ja) 鍵交換方法、鍵交換システム
CN105656881B (zh) 一种电子病历的可验证外包存储和检索系统及方法
CN111404671A (zh) 移动化量子保密通信方法、网关、移动终端及服务器
CN104917611A (zh) 用于云计算的数据加解密处理方法和装置
CN114095171A (zh) 一种基于身份的可穿刺代理重加密方法
CN104639319A (zh) 基于身份的代理重加密方法和系统
CN108599941A (zh) 随机非对称扩充字节通信数据加密方法
JP6490429B2 (ja) サーバ、サービス方法
WO2020070973A1 (ja) 復号装置、暗号システム、復号方法及び復号プログラム
JP6643756B2 (ja) サーバ、サービス方法
Liu et al. Proofs of encrypted data retrievability with probabilistic and homomorphic message authenticators
JP6189788B2 (ja) 鍵生成装置、再暗号化装置、およびプログラム
JP6952337B2 (ja) 暗号化システム
US20210351924A1 (en) Computing key rotation period for block cipher-based encryption schemes system and method
JPH11187008A (ja) 暗号鍵の配送方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181017

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191219

R150 Certificate of patent or registration of utility model

Ref document number: 6643756

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250