JP2020528232A - 同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法 - Google Patents

同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法 Download PDF

Info

Publication number
JP2020528232A
JP2020528232A JP2019572731A JP2019572731A JP2020528232A JP 2020528232 A JP2020528232 A JP 2020528232A JP 2019572731 A JP2019572731 A JP 2019572731A JP 2019572731 A JP2019572731 A JP 2019572731A JP 2020528232 A JP2020528232 A JP 2020528232A
Authority
JP
Japan
Prior art keywords
ciphertext
message
scaling factor
same type
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019572731A
Other languages
English (en)
Other versions
JP7049374B2 (ja
Inventor
ジャン ヒー チョン
ジャン ヒー チョン
デュヒョン キム
デュヒョン キム
ヨンス ソン
ヨンス ソン
キュヒョン ハン
キュヒョン ハン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Crypto Lab Inc
Original Assignee
Crypto Lab Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020170173608A external-priority patent/KR101965628B1/ko
Priority claimed from KR1020180129749A external-priority patent/KR102040106B1/ko
Application filed by Crypto Lab Inc filed Critical Crypto Lab Inc
Publication of JP2020528232A publication Critical patent/JP2020528232A/ja
Priority to JP2022021844A priority Critical patent/JP7370402B2/ja
Application granted granted Critical
Publication of JP7049374B2 publication Critical patent/JP7049374B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/304Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy based on error correction codes, e.g. McEliece
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme

Abstract

暗号化方法が開示される。本方法によると、メッセージにスケーリングファクタを反映した後、公開鍵を用いて同型暗号文を生成することができる。生成された同型暗号文は、復号化した際、メッセージにスケーリングファクタを反映した値にエラー値を加算した結果値が復元される形態で生成される。それにより、暗号文状態で演算が可能な同型暗号文を効果的に生成することができる。

Description

本発明は、同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法に関し、より詳細には、リングの平文空間を実数の空間に調整し、演算速度の向上した同型暗号文を生成する実数の平文に対する同型暗号化方法に関する。
電子及び通信技術の発展により、多様な装置の間でデータを送受信して活用する多様なサービスがサポートされている。そのうち、一例として、ユーザが自分の個人情報などをサーバに保存しておき、自分の端末装置を用いてサーバの情報を用いるクラウドコンピューティングサービスも盛んに使われている。
このような環境では、データの流出を防止するためのセキュリティ技術の使用が必須である。よって、サーバは、暗号化されたデータを保存するようになる。この場合、サーバは、保存されたデータを検索したり、そのデータに基づいた一連の作業を行う度に、暗号化されたデータを復号化しなければならないため、リソース及び時間の無駄が生じるようになる。
なお、サーバで演算のために一時的に復号化した状態で第三者によってハッキングされる場合、個人情報が第三者に容易に流出されるおそれがあるという問題点もあった。
このような問題を解決するために、同型暗号化方法が研究されている。同型暗号化によると、暗号化された情報を復号化せずに暗号文そのもので演算を行うとしても、平文に対して演算した後で暗号化した値と同一の結果を得ることができる。よって、暗号文を復号化していない状態で各種演算を行うことができる。
しかし、従来の同型暗号化方法によって整数演算を行うと、平文のビット数が幾何級数的に増加し、演算にかかる時間が大幅に増加するという問題があった。
一方、従来の同型暗号化方式は、演算過程で平文の虚数部が大きくなるという短所があった。具体的に、従来の同型暗号化方式の複素数空間でメッセージを同型暗号化しているという点において、実数の空間のメッセージを同型暗号化する場合にも、虚数部にエラーが追加された。もし、同型暗号文に対する演算が繰り返される場合、虚数部のエラーが次第に大きくなるようになり、虚数部のエラーが大きくなりすぎると、以後の同型乗算演算過程で実際のメッセージに該当する実数部のメッセージが損なわれるおそれがある。
よって、暗号文の状態でも、演算速度を向上させることができ、演算過程で平文の虚数部が大きくなることを防ぐことができる方法が求められている。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、メッセージにスケーリングファクタを反映した後で暗号化して同型暗号文を生成する端末装置と、その暗号文を演算するサーバ装置及びその方法を提供し、リングの平文空間を実数の空間に調整し、演算速度の向上した同型暗号文を生成する実数の平文に対する同型暗号化方法を提供することにある。
以上のような目的を達成するために、本発明の一実施形態に係る端末装置の暗号化方法は、スケーリングファクタを設定するステップと、暗号化するメッセージに前記スケーリングファクタを反映した後、公開鍵を用いて暗号化して同型暗号文を生成するステップとを含む。ここで、前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を加算した結果値が復元される形態であってよい。
そして、前記同型暗号文のモジュラスは、一つのスケーリングファクタのべき乗に設定されてよい。
又は、前記同型暗号文のモジュラスは、複数の相互異なるスケーリングファクタを乗算した値に設定されてよい。ここで、前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されてよい。
なお、前記同型暗号文を生成するステップは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出するステップと、前記メッセージに前記スケーリングファクタを乗算して前記エラーを加算した後、前記公開鍵を用いて暗号化して前記暗号文を生成するステップとを含んでよい。
又は、前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換するステップを更に含んでよい。この場合、前記同型暗号文を生成するステップは、前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化してよい。
一方、本発明の一実施形態に係るサーバ装置の暗号文処理方法は、個別的に暗号化された複数の同型暗号文を受信するステップと、前記複数の同型暗号文に対して予め設定された演算を行うステップと、前記演算によって算出された結果暗号文からノイズ領域を除去して有効領域のデータを抽出するステップとを含む。ここで、前記複数の同型暗号文のそれぞれは、メッセージにスケーリングファクタを乗算した後で暗号化した暗号文であり、前記ノイズ領域は、前記スケーリングファクタの大きさに対応するように決定されてよい。
なお、前記複数の同型暗号文のそれぞれが、複数のメッセージベクトルをパッキングした暗号文であり、前記複数の暗号文のそれぞれに含まれたメッセージベクトルを並列的に演算処理するステップを更に含んでよい。
この場合、前記複数の暗号文に含まれた各メッセージベクトルの間の順番をローテーションさせるステップを更に含んでよい。
なお、前記メッセージが複素数である場合、前記複数の暗号文に対して共役(conjugation)演算を行うステップを更に含んでよい。
本発明の一実施形態に係る端末装置は、スケーリングファクタ及び公開鍵が保存されたメモリと、暗号化するメッセージに前記スケーリングファクタを反映した後、前記公開鍵を用いて暗号化して同型暗号文を生成するプロセッサと、前記同型暗号文を外部装置に伝送する通信部とを含む。ここで、前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を乗算した結果値が復元される形態であってよい。
なお、前記メッセージ及び前記スケーリングファクタを入力されるための入力部を更に含んでよい。前記プロセッサは、前記入力部を介して入力された前記メッセージ及び前記スケーリングファクタを前記メモリに保存してよい。
なお、前記プロセッサは、同型暗号文のモジュラスを前記スケーリングファクタのべき乗に設定し、前記メモリに保存してよい。
又は、前記プロセッサは、前記同型暗号文のモジュラスを複数の相互異なるスケーリングファクタを乗算した値に設定し、前記メモリに保存してよい。この場合、前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されてよい。
なお、前記プロセッサは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出し、前記メッセージ及び前記スケーリングファクタを乗算した値に前記エラーを加算した後、前記公開鍵を用いて暗号化してよい。
なお、前記プロセッサは、前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換し、前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化してよい。
一方、以上のような目的を達成するために、本発明の一実施形態に係る端末装置の暗号化方法は、要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合であるリング(Ring)を設定するステップと、前記リングから秘密鍵を算出するステップと、前記算出された秘密鍵に対応して公開鍵を算出するステップと、メッセージに前記公開鍵を適用して同型暗号文を生成するステップとを含んでよい。
この場合、前記リングは、以下の数式を満たすことができる。
Figure 2020528232
ここで、a(X)は、前記リングに属する多項式、Rは、平文空間が複素数であるリ
ングであってよい。
一方、前記同型暗号文は、加算又は乗算の演算に対してo(n log n)複雑度(complexity)を有してよい。
一方、本暗号化方法は、前記リングから第1ランダム多項式を算出するステップと、エラーを抽出するステップと、前記第1ランダム多項式及び前記秘密鍵に前記エラーをモジュラ演算して第2ランダム多項式を算出するステップとを含み、前記公開鍵を算出するステップは、前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出してよい。
一方、前記同型暗号文を生成するステップは、前記メッセージを前記リングに属する多項式で算出し、前記算出された多項式に前記公開鍵を適用して同型暗号文を生成してよい。
一方、本暗号化方法は、前記生成された同型暗号文及び予め生成された同型暗号文に対し、加算及び乗算のうち少なくとも一つの演算を行うステップを更に含み、前記演算を行うステップは、前記生成された同型暗号文及び前記予め生成された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理してよい。
この場合、前記第1関数は、NTT(Number Theoretic Transform)関数であってよい。
一方、前記同型暗号文は、復号化した際、前記メッセージにエラー値を加算した結果値が復元される形態であってよい。
一方、本発明の一実施形態に係る端末装置は、メッセージを保存するメモリと、要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合であるリング(Ring)を設定し、前記リングから秘密鍵を算出し、前記算出された秘密鍵に対応して公開鍵を算出し、前記メモリに保存されたメッセージに前記公開鍵を適用して同型暗号文を生成するプロセッサとを含む。
この場合、前記リングは、以下の数式を満たすことができる。
Figure 2020528232
ここで、a(X)は、前記リングに属する多項式、Rは、平文空間が複素数であるリング。
一方、前記同型暗号文は、加算又は乗算の演算に対してo(n log)複雑度(complexity)を有してよい。
一方、前記プロセッサは、前記リングから第1ランダム多項式を算出し、エラーを抽出し、前記第1ランダム多項式及び前記秘密鍵に前記エラーをモジュラ演算して第2ランダム多項式を算出し、前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出してよい。
一方、前記プロセッサは、前記メッセージを前記リングに属する多項式で算出し、前記算出された多項式に前記公開鍵を適用して同型暗号文を生成してよい。
一方、本プロセッサは、前記生成された同型暗号文及び予め保存された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で加算及び乗算のうち、少なくとも一つの演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理してよい。
この場合、前記第1関数は、NTT(Number Theoretic Transform)関数であってよい。
以上説明したように、本発明によれば、有効領域を含む同型暗号文を生成することができるようになるため、メッセージの損失を最小化しつつ、演算時間及び負担を軽減させることができるようになる。
そして、リングの平文空間を実数の空間に調整して同型暗号文を生成するため、演算過程で平文の虚数部が大きくなることを根本から防ぐことができ、従来のHEAANのような安全性、連想速度、メモリ(暗号文、鍵サイズ)を有すると同時に、倍もある並列実数演算をサポートすることができるようになる。
本発明の一実施形態に係るネットワークシステムの構造を説明するための図である。 本発明の一実施形態に係る端末装置及びサーバ装置の構成を示すブロック図である。 本発明の一実施形態に係る端末装置の暗号化方法を説明するためのフローチャートである。 本発明の一実施形態に係るサーバ装置の暗号文処理方法を説明するためのフローチャートである。 サーバ装置の暗号文処理方法の多様な例を説明するための図である。 サーバ装置の暗号文処理方法の多様な例を説明するための図である。 サーバ装置の暗号文処理方法の多様な例を説明するための図である。 本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。 本発明の一実施形態に係るネットワークシステムの構成を説明するための図である。 本発明の一実施形態に係る端末装置の概略的な構成を示すブロック図である。 本発明の一実施形態に係る端末装置の具体的な構成を示すブロック図である。 公開鍵及び秘密鍵の生成動作を説明するための図である。 演算鍵の生成動作を説明するための図である。 近似同型暗号文の生成及び復号動作を説明するための図である。 同型暗号文の加算計算を説明するための図である。 同型暗号文の乗算計算を説明するための図である。 本発明の暗号化方法を説明するためのフローチャートである。 本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。
以下では、添付の図面を参照して、本発明について詳細に説明する。本明細書で行う情報(データ)伝送過程は、必要に応じて、暗号化/復号化が適用されてよく、本明細書及び特許請求範囲で情報(データ)伝送過程を説明する表現は、格別に言及しなくても、全て暗号化/復号化する場合も含むものとして解釈されるべきである。本明細書で「AからBに伝送(伝達)」又は「AがBから受信」というような形態の表現は、中間に別の媒介体が含まれて伝送(伝達)又は受信されることも含み、必ずしもAからBに直接伝送(伝達)又は受信されることのみを表現するものではない。
本発明の説明において、各ステップの順番は、先行ステップが論理的及び時間的に必ずしも後行ステップの前に行われなければならない場合ではなければ、各ステップの順番は非制限的に理解されるべきである。即ち、上記のような例外的な場合を除いては、後行ステップとして説明された過程が先行ステップとして説明された過程より前に行われたとしても、発明の本質には影響がなく、権利範囲もステップの順番によらず定義されるべきである。そして、本明細書で「A又はB」と記載したのは、AとBのうちいずれかを選択的に指すだけでなく、AとBの両方を含むことも意味するものとして定義される。なお、本明細書で「含む」という用語は、含むものとして並び立てられた要素の他に、更に別の構成要素を更に含むことも包括する意味を有する。
本明細書においては、本発明の説明に必要な構成要素のみを説明し、本発明の本質に関係のない構成要素については、言及しない。そして、言及される構成要素のみを含む排他的な意味として解釈されてはならず、他の構成要素も含むことができる非排他的な意味として解釈されるべきである。
そして、本明細書において「値」とは、スカラー値だけでなく、ベクトルも含む概念として定義される。
後述の本発明の各ステップの数学的な演算及び算出は、当該演算又は算出を行うために公知となっているコーディング方法及び/又は本発明に適するように考案されたコーディングによってコンピュータ演算で実現されてよい。
以下で説明する具体的な数式は、可能ないくつかの代案のうち例示的に説明されるものであり、本発明の権利範囲が本明細書に言及された数式に制限されるものとして解釈されてはならない。
説明の便宜のために、本明細書では、次のように表記を定めることとする。
a←D:分布(D)に応じて要素(a)を選択する。
s1、s2∈R:S1、S2のそれぞれはR集合に属する要素である。
mod(q):q要素でモジュラ(modular)演算
Figure 2020528232
は、内部値を四捨五入する。
以下では、添付の図を用いて、本発明の多様な実施形態について具体的に説明する。
図1は、本発明の一実施形態に係るネットワークシステムの構成を示す図である。図1によると、複数の端末装置100−1〜100n、第1サーバ装置200、第2サーバ装置300が、ネットワーク10を介して相互接続されてよい。ネットワーク10は、多様な有無線通信ネットワーク、放送通信ネットワーク、光通信ネットワーク、クラウドネットワークなどで実現されてよく、各装置は別途の媒介体のないWi−Fi、ブルートゥース(登録商標)、NFC(Near Field Communication)などのような方式で接続されてよい。
図1においては、端末装置が複数100−1〜100−nであるとして示しているが、必ずしも複数の端末装置が使用されるわけではなく、一つの装置が使われてよい。一例として、端末装置100−1〜100−nは、携帯電話、タブレットパソコン、ゲームプレーヤ、パソコン、ラップトップパソコン、ホームサーバ、キオスク端末などのような多様な装置で実現されてよく、その他にIoT機能が適用された家電製品で実現されてよい。
ユーザは、自分が使う端末装置100−1〜100−nを介して多様な情報を入力することができる。入力された情報は、端末装置100−1〜100−nそのものに保存されてよいが、保存容量及びセキュリティなどを理由に外部装置に伝送されて保存されてよい。図1においては、第1サーバ装置200は、このような情報を保存する役割を担い、第2サーバ装置300は、第1サーバ装置200に保存された情報の一部又は全部を用いる役割を担う。
各端末装置100−1〜100−nは、入力された情報を同型暗号化し、同型暗号文を第1サーバ装置200に伝送する。第1サーバ装置200は、伝送された同型暗号文を復号化せずに、暗号文の状態で保存することができる。
第2サーバ装置300は、同型暗号文に対する特定の処理結果を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、特定の演算を行った後、その結果を第2サーバ装置300に伝送する。一例として、二つの端末装置100−1、100−2が伝送した暗号文ct1、ct2が第1サーバ装置200に保存された場合、第2サーバ装置300は両端末装置100−1、100−2から提供された情報を合算した値を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、両暗号文を合算する演算を行った後、その結果値(ct1+ct2)を第2サーバ装置300に伝送することができる。
各端末装置は、同型暗号化を行う過程で算出される暗号化ノイズ、即ち、エラーを暗号文に含ませる。具体的には、各端末装置100−1〜100−nで生成する同型暗号文は、その後に秘密鍵を用いて復号化した際に、メッセージ及びエラー値を含む結果値が復元される形態で生成されてよい。
一例として、端末装置100−1〜100−nで生成する同型暗号文は、秘密鍵を用いて復号化した際、次のような性質を満たす形態で生成される。
(数式1)
Dec(ct,sk) = <ct,sk> = ΔM+e(mod q)
ここで、<及び>は内積(usual inner product)、ctは暗号文、skは秘密鍵、Mは平文メッセージ、eは暗号化エラー値、Δはスケーリングファクタ(scaling factor)、そしてqは暗号文の除数(モジュラス(Modulus))を意味する。qは、スケーリングファクタがメッセージに乗算された結果値ΔMより大きく選択されなければならない。エラー値eの絶対値がΔMに比べて十分に小さいと、暗号文の復号化値ΔM+eは有効数字演算で元のメッセージを同一の精度に代替できる値である。復号化されたデータのうち、エラーは最下位のビット(LSB)側に配置され、ΔMは次下位のビット側に配置される。
メッセージの大きさが小さすぎるか大きすぎる場合、スケーリングファクタを用いてその大きさを調節することもできる。スケーリングファクタを使うと、整数形態のメッセージだけでなく、実数のメッセージまで暗号化することができるようになるため、活用性が大きく増大することができる。なお、スケーリングファクタを用いてメッセージの大きさを調節することで、演算が行われた後の暗号文でメッセージが存在する領域、即ち、有効領域の大きさも調節されてよい。
実施形態によって、暗号文のモジュラスqは、様々に設定されて使われてよい。一例として、暗号文のモジュラスは、スケーリングファクタΔのべき乗q=Δに設定されてよい。Δが2であると、q=210のような値に設定されてよい。
別の例として、暗号文のモジュラスは、複数の相互異なるスケーリングファクタを乗算した値に設定されてよい。各ファクタは、類似する範囲内の値、即ち、相互に似た大きさの値に設定される。具体的には、q=q・・・qに設定され、q,q,q,…,qのそれぞれは、スケーリングファクタΔと似た大きさであり、互いに素な値に設定される。スケーリングファクタを、このような方式で設定されると、CRT(Chinese Remainder Theorem)によって全演算を複数のモジュラス演算に分離して進めることができるようになるため、演算の負担を軽減させることができる。なお、互いに似た大きさのファクタを使うことにより、後述のステップでラウンディング処理を行った際、上述の例における結果値と略同じ結果を得ることができる。
以上のように、各端末装置100−1〜100−nから生成した暗号文は、第1サーバ装置200によって処理された後、暗号文の状態で第2サーバ装置300に伝送される。第2サーバ装置300は、伝送された暗号文を秘密鍵を用いて復号化する。同型暗号化処理が行われたため、復号化されたデータは、メッセージそのものを復号化した後で演算処理した結果と同じ結果になってよい。結果的に、中間過程で第三者に流出される危険性を防止することができるようになる。
図1の実施形態において、暗号化を行うのに使われる公開鍵は、各端末装置によって生成されてよく、復号化を行う第2サーバ装置300で生成した後で各端末装置に配布することもできる。
鍵生成過程では、Ring−LWE技法が使われてよい。第2サーバ装置300が鍵を生成する場合に仮定すると、第2サーバ装置300は各種パラメータ及びリングを設定する。具体的には、平文メッセージビットの長さ、公開鍵及び秘密鍵の大きさなどのような多様なパラメータを設定することができる。
リングは、次のような数式で表されてよい。
(数式2)
Figure 2020528232
リング(Ring)とは、予め設定された係数を有する多項式の集合を意味する。一例として、リングは係数がZqであるn次多項式の集合を意味する。数式2において、f(x)はn次多項式を意味する。具体的には、nがΦ(N)である際、N次円分多項式(N−th cyclotomic polynomial)を意味する。(f(x))とは、f(x)で生成されるZq[x]のイデアル(ideal)を表す。Euler totient関数Φ(N)とは、Nと互いに素であり、Nより小さい自然数の数を意味する。Φ(x)をN次円分多項式に定義すると、リングは次のような数式でも表されてよい。
(数式3)
Figure 2020528232
次に、第2サーバ装置300は、リングから秘密鍵(sk)を算出する。
(数式4)
Figure 2020528232
s(x)は、小さい係数でランダムに生成した多項式を意味する。
第2サーバ装置300は、リングから第1ランダム多項式(a(x))を算出する。第1ランダム多項式は、次のように表されてよい。
(数式5)
a(x) ← R
なお、第2サーバ装置300は、離散ガウシアン分布又はそれと統計的な距離が近い分布からエラーを算出する。エラーは、次のような数式で表されてよい。
(数式6)
Figure 2020528232
エラーまで算出されると、第2サーバ装置300は、第1ランダム多項式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出することができる。第2ランダム多項式は、次のように表されてよい。
(数式7)
b(x) = −a(x)s(x) + e(x) (mod q)
最終的に、公開鍵(pk)は、第1ランダム多項式及び第2ランダム多項式を含む形態で次のように設定される。
(数式8)
pk = (b(x),a(x))
第2サーバ装置300は、生成された公開鍵を各端末装置100−1〜100−nに伝送する。各端末装置100−1〜100−nは、受信された公開鍵を保存した後、暗号化の際に使う。
上述のような例においては、第2サーバ装置300が公開鍵及び秘密鍵を生成するものとして説明しているが、別の例では、各端末装置100−1〜100−n又はその他の装置が公開鍵及び秘密鍵のうち少なくとも一つを生成した後、他装置と共有することも可能である。なお、上述の鍵生成方法は一例に過ぎないため、必ずしもそれに限定されるものではなく、その他に別の方法で公開鍵及び秘密鍵を生成することができる。
図2は、本発明の一実施形態に係る端末装置100及びサーバ装置200の構成を示すブロック図である。
図2によると、端末装置100は、メモリ110、プロセッサ120、通信部130を含む。
メモリ110は、端末装置100を駆動するためのO/Sや各種ソフトウェア、データなどを保存するための構成要素である。メモリ110は、RAMやROM、フラッシュメモリ、HDD、外付けメモリ、メモリカードなどのような形態で実現されてよく、何れかに限定されるわけではない。
メモリ110は、公開鍵、スケーリングファクタなどを保存することができる。
プロセッサ120は、メモリ110に保存されたプログラムを実行させて各種演算作業を行うための構成要素である。
通信部130は、外部装置と通信を行うための構成要素である。通信部130は、Wi−Fi、Zigbee(登録商標)、ブルートゥース(登録商標)、NFCなどのような無線通信だけでなく、各種有線通信インターフェースを介した有線通信をサポートする形態でも実現されてよい。
プロセッサ120は、暗号化するメッセージにスケーリングファクタを反映した後、公開鍵を用いて暗号化して同型暗号文を生成する。プロセッサ120は、生成された同型暗号文を外部装置に伝送するように通信部130を制御することができる。
同型暗号文は、上述のような数式1のような性質を満たすように生成される。具体的に、プロセッサ120は、暗号化するメッセージMにスケーリングファクタΔを乗算して整数又は整数係数の多項式であるΔMを計算する。
その後、多項式vをランダムに決定する。プロセッサ120は、vを小さい分布(例えば、離散ガウシアン又はそれと類似する分布)から算出することができる。プロセッサ120は、エラーe0、e1も小さいエラー分布(例えば、離散ガウシアン又はそれと類似する分布)から選ぶことができる。
プロセッサ120は、公開鍵pk = (b(x),a(x))と、次のような数式を用いて暗号文を生成する。
(数式9)
Figure 2020528232
暗号化するメッセージは、外部ソースから受信することもでき、端末装置100に直接備えるか又は接続された入力装置から入力されてよい。なお、スケーリングファクタもユーザが直接入力するか、別の装置を介して提供されることもできる。例えば、端末装置100がタッチスクリーンやキーパッドを含む場合、プロセッサ120はユーザがタッチスクリーンやキーパッドを介して入力するデータをメモリ110に保存した後、暗号化することができる。生成された同型暗号文は、復号化した際にメッセージにスケーリングファクタを反映した値にエラーを加算した結果値に復元される形態であってよい。スケーリングファクタは、事前に入力されて設定された値をそのまま使うこともできる。
上述の暗号文のモジュラスqは、実施形態によって異なるように設定されてよい。一例として、プロセッサ120は、暗号文モジュラスをスケーリングファクタΔのべき乗q=Δで設定することができる。別の例として、プロセッサ120は、暗号文モジュラスを複数の相互異なるスケーリングファクタを乗算した値に設定することもできる。プロセッサ120は、設定した暗号文モジュラスをメモリ110に保存することもできる。上述のように、各ファクタは類似範囲内で互いに素な関係を有することができる。
プロセッサ120は、公開鍵の暗号化のために、エラーを使うこともできる。エラーは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布から算出することができる。一例として、上述の数式6のような形態のエラーを算出することができる。プロセッサ120は、メッセージが入力されると、スケーリングファクタをそのメッセージに乗算した値にエラーを加算した後、公開鍵を用いて暗号化することができる。この場合、暗号文を復号化した際に算出されるエラー値は、暗号化の際に加算した初期エラーと異なるように導出される。
又は、メッセージ及びスケーリングファクタを乗算した状態で直ちに公開鍵を用いて暗号化することもできる。この場合、暗号化過程で算出されるエラーがメッセージ及びスケーリングファクタを乗算した結果値に加算されてよい。
プロセッサ120は、暗号文の長さをスケーリングファクタの大きさに対応するように生成することができる。
一方、本発明の一実施形態によると、パッキング(packing)が行われてよい。同型暗号化でパッキングを用いるようになると、複数のメッセージを一つの暗号文で暗号化することが可能になる。この場合、第1サーバ装置200で各暗号文の間の演算を行うようになると、結果的に複数のメッセージに対する演算が並列的に処理されるため、演算の負担を大幅に軽減するようになる。
具体的には、プロセッサ120は、メッセージが複数のメッセージベクトルで行われる場合、複数のメッセージベクトルを並列的に暗号化できる形態の多項式に変換した後、その多項式にスケーリングファクタを乗算して公開鍵を用いて同型暗号化することもできる。それにより、複数のメッセージベクトルをパッキングした暗号文を生成することができる。
具体的には、プロセッサ120は、N次円分多項式
Figure 2020528232
が複素数(
Figure 2020528232
)内で相互異なる
Figure 2020528232
個の根
Figure 2020528232
(primitive N−th roots of unity)を有することを用いる。複素数概念を導入することで、後述のように、複数のメッセージを同時に同型暗号化することが可能である。
次に、標準埋め込み関数(canonical embedding function)を変形してパッキング関数(σ)を計算する。標準埋め込み関数は、多項式
Figure 2020528232

Figure 2020528232
の根
Figure 2020528232
の中で、複素数共役(complex conjugate)関係ではない(n/2)個の根
Figure 2020528232
における値の対
Figure 2020528232
で対応させる関数である。その関数が同型関数(homomorphism)であることは、この分野において通常の知識を有する者なら、容易に証明することができる。
標準埋め込み関数を行列(C)で表現すると、次のようである。
(数式10)
Figure 2020528232
多項式M(x)を係数の列ベクトルM=(M,…,Mn−1)で表現すると、この多項式のパッキング関数
Figure 2020528232
とは
Figure 2020528232
関係、即ち、次のような関係を有するようになる。
(数式11)
Figure 2020528232
このように、標準埋め込み関数を算出している状態で、プロセッサ120は、複数(例えば、n/2個)のメッセージベクトル
Figure 2020528232
が入力されると、上述の標準埋め込み関数を用いてメッセージベクトルを多項式に変換する。
(数式12)
Figure 2020528232
数式12のような方式で変換された多項式M(x)は、
Figure 2020528232
のような関係を満たす。
プロセッサ120は、上述の方式で変換された多項式にスケーリングファクタを乗算した後、公開鍵を用いて同型暗号化することができる。一例として、同型暗号化方法の一つであるRing LWE(Learning with Errors)方式を用いて同型暗号化することができる。
具体的な暗号文は、次のような形態で表されてよい。
(数式13)
Figure 2020528232
上述のように、端末装置100が生成した同型暗号文は、第1サーバ装置200に提供されてよい。第1サーバ装置200は、端末装置100から受信される同型暗号文を保存し、その後で演算過程で使うことができる。第1サーバ装置200は、複数の相互異なる端末装置から伝送される複数の同型暗号文だけでなく、一つの端末装置100から伝送される複数の同型暗号文に対しても演算処理を行うことができる。
第1サーバ200も、メモリ210、プロセッサ220、通信部230を含む形態で実現されてよい。
通信部230は、端末装置100から各種同型暗号文を受信することができる。各同型暗号文は、相互異なる端末装置又は一つの端末装置で個別的に暗号化されたデータを意味する。
プロセッサ220は、受信された同型暗号文をメモリ210に保存する。図2では、メモリ210のみを示しているが、第1サーバ装置200は大容量のデータを保存するための別途のストレージを更に含んでよく、それと別途に外部装置と接続され、その外部保存装置に各同型暗号文を保存することもできる。
プロセッサ220は、複数の同型暗号文に対して予め設定された演算を行うことができる。行われる演算の種類は、第1サーバ装置200の管理者によって直接選択されてよく、第2サーた装置300から要求を受けることもできる。
一例として、演算は乗算、除算、加算、減算などのような基本演算に設定されてよいが、必ずしもそれに限るものではない。具体的には、暗号化されたメッセージが複素数形態である場合、共役(conjugate)演算が行われてよく、その他に統計やソーティングなどの演算も行われてよい。
複数の同型暗号文のそれぞれが、複数のメッセージベクトルをパッキングした暗号文である場合には、プロセッサ220は、複数の暗号文のそれぞれに含まれた多項式の暗号文を並列的に演算処理することもできる。この場合、複数の暗号文の演算の順番をローテーションさせるか、ランダムに混ぜて演算を行うこともできる。第2サーバ装置200の具体的な演算動作については、具体的に後述することとする。
図2においては、端末装置100及び第1サーバ装置200がそれぞれ通信部、メモリ、プロセッサのみを含む形態で示しているが、必ずしもこのような構成に限定されるものではない。即ち、各装置の種類及び使用環境などに応じて、入力手段、ディスプレイ、バスなどのような多様な構成要素を更に含んでよい。一例として、端末装置100は、伝送するメッセージやスケーリングファクタなどを入力されるための入力部(図示せず)を更に含んでよい。プロセッサ120は、入力部を介して入力されたメッセージ又はスケーリングファクタなどをメモリ110に保存することができる。なお、プロセッサ120は、入力されたスケーリングファクタを用いて上述の多様な方法で暗号文のモジュラスを設定した後、メモリ110に保存することもできる。
図3は、本発明の一実施形態に係る端末装置の暗号化方法を説明するためのフローチャートである。
図3によると、端末装置100は、スケーリングファクタを設定する(S310)。スケーリングファクタの設定方法は、上述のように様々に実現されてよい。
端末装置100は、設定されたスケーリングファクタを保存する。端末装置100は、暗号化するメッセージが発生すると、そのメッセージにスケーリングファクタを反映した後、公開鍵を用いて同型暗号化を行う(S320)。公開鍵は、端末装置100が直接生成することもでき、外部装置から提供されることもできる。
図4は、本発明の一実施形態に係るサーバ装置の暗号文処理方法を説明するためのフローチャートである。図1に示すように、暗号文処理は、第1サーバ装置で行われるため、以下では第1サーバ装置200が行う方法で説明する。
図4によると、第1サーバ装置200は、複数の同型暗号文を受信する(S410)。各同型暗号文は、スケーリングファクタの適用された状態で公開鍵を用いて同型暗号化したデータを意味する。
第1サーバ装置200は、外部装置又は管理者から演算の要求が入力されると(S420)、複数の同型暗号文を対象に、要求された演算を行う(S430)。演算が完了すると、第1サーバ装置200は、演算結果データから有効領域のデータを検出する(S440)。第1サーバ装置200は、演算結果データをラウンディング処理を行って有効領域のデータを検出することができる。ラウンディング処理とは、暗号化された状態でメッセージの四捨五入(round−off)を行うことを意味し、リスケール(rescaling)と呼ぶこともできる。具体的には、第1サーバ装置300は、暗号文のそれぞれの成分にスケール因数の逆数であるΔ−1を乗算して四捨五入し、ノイズ領域を除去する。ノイズ領域は、スケーリングファクタの大きさに対応するように決定されてよい。結果的に、ノイズ領域の除去された有効領域のメッセージを検出することができる。暗号化状態で進められるため、更なるエラーが発生するが、大きさは十分に小さいため、無視することができる。
図5は、図4の暗号文処理方法を具体的に説明するための模式図である。
例えば、第1同型暗号文51と第2同型暗号文52とを対象に、乗算演算が要求された場合、第1サーバ装置200は暗号文状態で乗算S510を進めて演算暗号文53を生成する。算出された演算暗号文53は、スケーリングファクタが反映されたメッセージ部(Δ)とエラーデータ(emult)を含む。乗算過程でエラーデータの大きさが大きくなるが、後述のように、メッセージ部の大きさが縮小されるため、問題が発生しない。それは、加算に対しても、同様に作用する。
次に、メッセージ部(Δ)を有効数字に該当する部分、即ち、有効領域に大きさが縮小させ、最終の演算暗号文54を生成する。上述のように、第2サーバ装置300は演算暗号文53に対してスケーリングファクタの逆数を乗算した後、ラウンディング処理する方式で、ノイズ領域を除去することができる。結果的に、有効領域に該当するデータ((ΔM)‘+e’)を含む最終の演算暗号文54を生成することができる。このような処理過程によって更なるエラーが発生し、エラーデータ(emult)がe’に変更されるが、大きさは十分に小さいため、無視することができる。
図6は、上記で説明したパッキング方法を通じて複数のメッセージを一つの暗号文に暗号化した場合、演算を行う方法を説明するための方法である。説明の便宜のために、複数のメッセージベクトルを暗号化した暗号文をパッキング暗号文と称する。図6によると、第1パッキング暗号文(ct)は、複数のメッセージ61−1〜61−kからなるベクトルを暗号化しており、第2パッキング暗号文(ct’)は、複数のメッセージ62−1〜62−kからなるベクトルを暗号化した暗号文である。
第1サーバ装置200は、第1パッキング暗号文(ct)と第2パッキング暗号文(ct’)に対する演算が要求されると、既に説明した実施形態などの方法で両暗号文の演算を行う。結果的に、一度の暗号文演算で複数のデータの並列処理が可能なSIMD(Single Instruction Multiple Data)演算が行われてよい。
図6によると、第1パッキング暗号文(ct)の一番目のメッセージ成分61−1と第2パッキング暗号文ct’の一番目のメッセージ成分62−1が乗算されるようになる。それと同時に、二番目のメッセージ成分61−2、62−2の乗算も行われる。結果的に、最終のパッキング暗号文(ctmult)は、同じ位置にあるメッセージ成分の乗算値からなるベクトル63−1〜63−kを暗号化した暗号文と理解することができる。
図7は、SIMD演算を行ううえで、一部の同型暗号文の位置を変更して処理する方法を説明するための図である。図7によると、第1パッキング暗号文(ct)を用いて新たな第2パッキング暗号文(ct’)を生成することができる。このとき、第2パッキング暗号文の一番目の成分は、第1パッキング暗号文の二番目のメッセージ成分と同様になるように、第1パッキング暗号文(ct)をシフトさせる。それと同時に、第2パッキング暗号文の二番目の成分は、第1パッキング暗号文の三番目のメッセージ成分と同様になる。結果的に、第2パッキング暗号文は、第1パッキング暗号文の全メッセージ位置を移動させた新たなメッセージベクトルを暗号化したパッキング暗号文である。本明細書では、以上のように暗号文の位置を移動させる作業をローテーション処理とする。
図8は、第1のネットワークシステムの動作を総合的に説明するためのシーケンス図である。図8では、二つの端末装置100−1、100−2から暗号文を伝送する場合を示している。
まず、端末装置1(100−1)で第1メッセージが入力されると(S810)、端末装置1(100−1)は、上述の方式で第1同型暗号文を生成した後(S815)、第1サーバ装置200に伝送することができる(S820)。一例として、端末装置1(100−1)のユーザが写真を撮影した場合には、その写真及び撮影場所などが暗号化されてよく、ユーザが音楽コンテンツを再生するか、特定のURLに接続したなら、その再生履歴やURL接続履歴などが暗号化されてよい。
端末装置2(100−2)も、類似する形態で暗号文を生成して第1サーバ装置200に伝送することができる(S825、S830、S835)。
第1サーバ装置200は、伝送する暗号文を暗号化されたそのままの状態で保存する。このような状態で、第2サーバ装置300が特定の演算を要求するなら(S840)、第1サーバ装置200は暗号文状態で演算を行った後(S845)、第2サーバ装置300に伝送する(S850)。第2サーバ装置300は、伝送された暗号文を復号化してメッセージを検出する。
例えば、数式9のような形態で暗号化された暗号文を第2サーバ装置300が秘密鍵sk=(1,s)に復号化する場合、その結果は次のような数式で表されてよい。
(数式14)
<Ctxt,sk>
=(v・b(x)+△・M+e)+s(x)(v・a(x)+e1
=v(b(x)+a(x)s(x))+△・△+e+s(x)・e
=△・M+(v・e+e+s(x)・e
=△・M+esmall
結果的に、復号化されたデータは、スケーリングファクタ及びメッセージを乗算した値に小さなエラーesmallを加算した値を含み、エラーは、LSB側に配置され、ΔMは、エラーに隣接する位置に配置されるようになる。
具体的に例を挙げると、第1メッセージが1.23であり、第2メッセージが3.45であり、スケーリングファクタΔ=10であると仮定すると、ΔM+e≒1230、ΔM+e≒3450になる。第1サーバ装置200で乗算演算を行うと、データはΔ+etotal≒4243500になる。この結果値にΔ−1を乗算した後、ラウンディング処理すると4243になる。第2サーバ装置200は、復号化によってこのような結果値を得ることができる。
第2サーバ装置300は、復号化されたメッセージを出力することができる(S860)。例えば、端末装置1、2(100−1、100−2)がそれぞれ写真を第1サーバ装置200に伝送した状態なら、第2サーバ装置300は、各装置100−1、100−2で撮影された写真をまとめて出力することができる。
上述のような実施形態においては、第1サーバ装置200で暗号文の間の演算を行い、ノイズ領域を除去した後で第2サーバ装置300に伝送するものとして図示及び説明しているが、必ずしもそれに限定されるものではない。例えば、第2サーバ装置300がスケーリングファクタに対する情報を知っている場合、直接ノイズ領域を除去して有効領域を検出した後で復号化を行うこともできる。
一方、以上のような暗号化方法及び暗号文処理方法は、実数平文に対して適用することができる。
図9は、本発明の一実施形態に係るネットワークシステムの構成を示す図である。
図9を参照すると、ネットワークシステムは、複数の端末装置100−1〜100−n、第1サーバ装置200、第2サーバ装置300を含んでよく、各構成は、ネットワーク10を介して相互接続されてよい。
ネットワーク10は、多様な有無線通信ネットワーク、放送通信ネットワーク、光通信ネットワーク、クラウドネットワークなどで実現されてよく、各装置は別途の媒介体のないWi−Fi、ブルートゥース(登録商標)、NFC(Near Field Communication)などのような方式で接続されてよい。
図9においては、端末装置が複数100−1〜100−nであるとして示しているが、必ずしも複数の端末装置が使用されるわけではなく、一つの装置が使われてよい。一例として、端末装置100−1〜100−nは、携帯電話、タブレットパソコン、ゲームプレーヤ、パソコン、ラップトップパソコン、ホームサーバ、キオスク端末などのような多様な装置で実現されてよく、その他にIoT機能が適用された家電製品で実現されてよい。
ユーザは、自分が使う端末装置100−1〜100−nを介して多様な情報を入力することができる。入力された情報は、端末装置100−1〜100−nそのものに保存されてよいが、保存容量及びセキュリティなどを理由に外部装置に伝送されて保存されてよい。図1においては、第1サーバ装置200は、このような情報を保存する役割を担い、第2サーバ装置300は、第1サーバ装置200に保存された情報の一部又は全部を用いる役割を担う。
各端末装置100−1〜100−nは、入力された情報を同型暗号化し、同型暗号文を第1サーバ装置200に伝送することができる。第1サーバ装置200は、伝送された同型暗号文を復号化せずに、暗号文の状態で保存することができる。
第2サーバ装置300は、同型暗号文に対する特定の処理結果を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、特定の演算を行った後、その結果を第2サーバ装置300に伝送する。一例として、二つの端末装置100−1、100−2が伝送した暗号文ct1、ct2が第1サーバ装置200に保存された場合、第2サーバ装置300は両端末装置100−1、100−2から提供された情報を合算した値を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、両暗号文を合算する演算を行った後、その結果値(ct1+ct2)を第2サーバ装置300に伝送することができる。
各端末装置100−1〜100−nは、同型暗号化を行う過程で算出される暗号化ノイズ、即ち、エラーを暗号文に含ませることができる。具体的には、各端末装置100−1〜100−nで生成する同型暗号文は、その後に秘密鍵を用いて復号化した際に、メッセージ及びエラー値を含む結果値が復元される形態で生成されてよい。
一例として、端末装置100−1〜100−nで生成する同型暗号文は、秘密鍵を用いて復号化した際、次のような性質を満たす形態で生成される。
(数式1)
Dec(ct,sk) = <ct,sk> = ΔM+e(mod q)
ここで、<及び>は内積(usual inner product)、ctは暗号文、skは秘密鍵、Mは平文メッセージ、eは暗号化エラー値、Δはスケーリングファクタ(scaling factor)、そしてqは暗号文のモジュラス(Modulus)を意味する。qは、スケーリングファクタがメッセージに乗算された結果値ΔMより大きく選択されなければならない。エラー値eの絶対値がΔMに比べて十分に小さいと、暗号文の復号化値ΔM+eは有効数字演算で元のメッセージを同一の精度に代替できる値である。復号化されたデータのうち、エラーは最下位のビット(LSB)側に配置され、ΔMは次下位のビット側に配置される。
メッセージの大きさが小さすぎるか大きすぎる場合、スケーリングファクタを用いてその大きさを調節することもできる。スケーリングファクタを使うと、整数形態のメッセージだけでなく、実数のメッセージまで暗号化することができるようになるため、活用性が大きく増大することができる。なお、スケーリングファクタを用いてメッセージの大きさを調節することで、演算が行われた後の暗号文でメッセージが存在する領域、即ち、有効領域の大きさも調節されてよい。
実施形態によって、暗号文のモジュラスqは、様々に設定されて使われてよい。一例として、暗号文のモジュラスは、スケーリングファクタΔのべき乗q=Δに設定されてよい。Δが2であると、q=210のような値に設定されてよい。
別の例として、暗号文のモジュラスは、互いに素な複数の整数値に設定されてよい。具体的に、q=q・・・qに設定され、q,q,q,…,qのそれぞれは、スケーリングファクタΔと似た大きさであり、互いに素な値に設定される。スケーリングファクタを、このような方式で設定されると、CRT(Chinese Remainder Theorem)によって全演算を複数のモジュラス演算に分離して進めることができるようになるため、演算の負担を軽減させることができる。互いに素な複数の整数値をモジュラスとして用いる方式をRNS HEAAN方式と称し、RNS HEAAN方式については、図12ないし図16を参照してより詳細に説明する。
以上のように、各端末装置100−1〜100−nから生成した暗号文は、第1サーバ装置200によって処理された後、暗号文の状態で第2サーバ装置300に伝送される。第2サーバ装置300は、伝送された暗号文を秘密鍵を用いて復号化することができる。同型暗号化処理が行われたため、復号化されたデータは、メッセージそのものを復号化した後で演算処理した結果と同じ結果になってよい。結果的に、中間過程で第三者に流出される危険性を防止することができるようになる。
図9の実施形態において、暗号化を行うのに使われる公開鍵は、各端末装置によって生成されてよく、復号化を行う第2サーバ装置300で生成した後で各端末装置に配布することもできる。以下では、説明を容易にするために、端末装置100側で各種鍵を生成するものとして説明する。
鍵生成過程では、Ring−LWE技法が使われてよい。
端末装置100は、鍵生成及びリング設定のための各種パラメータを入力されることができる。具体的に、平文メッセージビットの長さ、公開鍵及び秘密鍵の大きさなどのような多様なパラメータを設定することができる。そして、端末装置100は、入力されるパラメータに基づいて秘密鍵及び公開鍵などの生成に必要な設定パラメータを生成することができる。
リングは、次のような数式で表されてよい。
(数式2)
Figure 2020528232
ここで、Rはリング、Zは係数、f(x)はn次多項式である。
リング(Ring)とは、予め設定された係数を有する多項式の集合として、要素の間の加算と乗算が定義されており、加算と乗算に対して閉じている集合を意味する。このようなリングは、環と称してよい。
一方、上述の数式2において、nがΦ(N)である際、N次円分多項式(N−th cyclotomic polynomial)を意味する。(f(x))とは、f(x)で生成されるZ[x]のイデアル(ideal)を表す。Euler totient関数Φ(N)とは、Nと互いに素であり、Nより小さい自然数の数を意味する。Φ(x)をN次円分多項式に定義すると、リングは次のような数式でも表されてよい。そして、上述の多項式を相反方程式を用いる場合、リングは数式15のように表されてよい。
(数式3)
Figure 2020528232
(数式15)
Figure 2020528232
一方、上述の数式3及び15のリングは、平文空間で複素数を有する。一方、本発明では、同型暗号文に対する演算速度を向上させるために、上述のリングの集合のうち平文空間が実数である集合のみを用いることができる。ここで、平文空間が実数であるリングを以下ではR’と称し、R’は次のような数式で表されてよい。R’を用いる方式をReal HEAAN方式と称する。
(数式16)
Figure 2020528232
このように、リングが設定されると、端末装置100はリングから秘密鍵(sk)を算出することができる。
(数式17)
Figure 2020528232
ここで、Sは小さな係数でランダムに生成された値を意味する。
そして、端末装置100は、リングから第1ランダム多項式(a)を算出する。第1ランダム多項式は、次のように表されてよい。
(数式18)
Figure 2020528232
なお、端末装置100はエラーを算出することができる。具体的に、端末装置100は、離散ガウシアン分布又はそれと統計的な距離が近い分布から抽出することができる。このようなエラーは、次のように表されてよい。
(数式19)
Figure 2020528232
エラーまで算出されると、端末装置100は、第1ランダム多項式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出することができる。第2ランダム多項式は、次のように表されてよい。
(数式20)
Figure 2020528232
最終的に、公開鍵(pk)は、第1ランダム多項式及び第2ランダム多項式を含む形態で次のように設定されてよい。
(数式21)
Figure 2020528232
端末装置100は、生成された公開鍵を他の端末装置100−2〜100−n及び/又はサーバ装置200に伝送することができる。
上述のような例においては、端末装置100が公開鍵及び秘密鍵を生成するものとして説明しているが、別の例では、サーバ装置200又はその他の装置が公開鍵及び秘密鍵のうち少なくとも一つを生成した後、他装置と共有することも可能である。なお、上述の鍵生成方法は一例に過ぎないため、必ずしもそれに限定されるものではなく、その他に別の方法で公開鍵及び秘密鍵を生成することができる。
より具体的な公開鍵及び秘密鍵生成動作については、図12を参照して後述する。
図10は、本発明の一実施形態に係る端末装置の概略な構成を示すブロック図である。
図10を参照すると、端末装置100は、メモリ110及びプロセッサ120で構成されてよい。
メモリ110は、端末装置100を駆動するためのO/Sや各種ソフトウェア、データなどを保存するための構成要素である。メモリ110は、RAMやROM、フラッシュメモリ、HDD、外付けメモリ、メモリカードなどのような形態で実現されてよく、何れかに限定されるわけではない。
メモリ110は、暗号化するメッセージを保存する。ここで、メッセージは、ユーザが各種引用した各種信用情報、個人情報などであってよく、端末装置100で使われる位置情報、インターネット使用時間情報など、使用履歴などに関連する情報であってよい。
そして、メモリ110は、公開鍵を保存することができ、端末装置100が直接公開鍵を生成した装置である場合、秘密鍵だけでなく、公開鍵及び秘密鍵の生成に必要な各種パラメータを保存することができる。
なお、メモリ100は、後述する過程で生成された同型暗号文を保存することができる。
プロセッサ120は、端末装置100内の各構成を制御する。このようなプロセッサ120は、CPUのような単一装置で構成されてよく、クロック発生回路、CPU、グラフィックプロセッサなどの複数の装置で構成されてよい。
そして、プロセッサ120は、メモリ110に保存されたプログラムを実行させて同型暗号文の生成に必要な秘密鍵及び公開鍵を生成することができる。そのために、優先的にプロセッサ120は予め設定された係数を有する多項式の集合であるリングを設定することができる。このとき、リングは、上述の数式15又は数式16を満たすことができる。
そして、プロセッサ120は、リングから秘密鍵を算出することができる。具体的に、プロセッサ120は、以下のような数式に基づいてリングから秘密鍵(SK)を算出することができる。
そして、プロセッサ120は、リングから第1ランダム多項式(a)を算出することができ、離散ガウシアン分布又はそれと統計的な距離が近い分布からエラーを抽出することができる。
なお、プロセッサ120は、第1ランダム対向式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出し、最終的に第1ランダム多項式及び第2ランダム多項式を含む形態で公開鍵(pk)を生成することができる。一方、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は互いに素な複数の整数のそれぞれに対応する複数の公開鍵を生成することができる。
そして、プロセッサ120は、メッセージに対する同型暗号文を生成することができる。具体的に、プロセッサ120は、メッセージに対して既に生成された公開鍵を適用して同型暗号文を生成することができる。
一方、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は、メッセージに互いに素な複数の整数のそれぞれに対応する複数の公開鍵を用いて複数の基底(basis)で表現される同型暗号文を生成することができる。
なお、プロセッサ120は、暗号化するメッセージをリングに属する多項式で算出し、算出された多項式に公開鍵を適用して同型暗号文を生成することができる。暗号化するメッセージは、外部ソースから受信することもでき、端末装置100に直接備えるか又は接続された入力装置から入力されてよい。なお、スケーリングファクタもユーザが直接入力するか、別の装置を介して提供されることもできる。
上述の暗号文のモジュラスqは、実施形態によって異なるように設定されてよい。一例として、プロセッサ120は、暗号文モジュラスをスケーリングファクタΔのべき乗q=Δで設定することができる。別の例として、プロセッサ120は、互いに素な複数の整数値に設定される値が用いられてよい。
なお、プロセッサ120は、暗号文の長さをスケーリングファクタの大きさに対応するように生成されてよい。
一方、本発明の一実施形態によると、パッキング(packing)が行われてよい。同型暗号化でパッキングを用いるようになると、複数のメッセージを一つの暗号文で暗号化することが可能になる。この場合、第1サーバ装置200で各暗号文の間の演算を行うようになると、結果的に複数のメッセージに対する演算が並列的に処理されるため、演算の負担を大幅に軽減するようになる。
具体的には、プロセッサ120は、メッセージが複数のメッセージベクトルで行われる場合、複数のメッセージベクトルを並列的に暗号化できる形態の多項式に変換した後、その多項式にスケーリングファクタを乗算して公開鍵を用いて同型暗号化することもできる。それにより、複数のメッセージベクトルをパッキングした暗号文を生成することができる。
プロセッサ120は、暗号文に対する演算を行うことができる。具体的に、プロセッサ120は、同型暗号文に対して暗号化された状態を維持した状態で加算又は乗算などの演算を行うことができる。具体的に、プロセッサ120は、演算に使われる同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で加算又は乗算などの演算を行い、演算が行われた同型暗号文を第1関数の逆関数である第2関数処理することができる。ここで、第1関数は、NTT関数であってよい。
一方、同型暗号文を上述のRNS方式で生成した場合、プロセッサ120は生成された同型暗号文内の基底別に加算及び乗算を行うことができる。
一方、端末装置100は、演算が完了すると、演算結果データから有効領域のデータを検出することができる。具体的に、端末装置100は、演算結果データをラウンディング処理を行って有効領域のデータを検出することができる。ラウンディング処理とは、暗号化された状態でメッセージの四捨五入(round−off)を行うことを意味し、リスケール(rescaling)と呼ぶこともできる。具体的には、端末装置100は、暗号文のそれぞれの成分にスケール因数の逆数であるΔ−1を乗算して四捨五入し、ノイズ領域を除去する。ノイズ領域は、スケーリングファクタの大きさに対応するように決定されてよい。結果的に、ノイズ領域の除去された有効領域のメッセージを検出することができる。暗号化状態で進められるため、更なるエラーが発生するが、大きさは十分に小さいため、無視することができる。
もし、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は、複数の基底のうちいずれかの割合が閾値を超過すると、生成された同型暗号文内の複数の基底のそれぞれに対するメッセージの四捨五入処理を行って同型暗号文をリスケールすることができる。
なお、端末装置100は、演算結果暗号文内の近似メッセージの割合が閾値を超過すると、演算結果暗号文の平文空間を拡張することができる。具体的に、上述の数式1でqがMより小さいと、M+e(mod q)はM+eと異なる値を有するため、復号化ができなくなる。よって、q値は、常にMより大きく維持されなければならない。しかし、演算が進められるにつれ、q値は次第に減少するようになる。平文空間の拡張とは、暗号文ctをより大きいモジュラスを有する暗号文に変換させることを意味する。平文空間を拡張する動作は、リブート(rebooting)と称してよい。リブートを行うことで、暗号文は再び演算が可能な状態になる。
一方、以上では、端末装置100を構成する概略な構成についてのみ図示して説明しているが、実現の際には、多様な構成が更に備えられてよい。それについては、図11を参照して以下で説明する。
図11は、本発明の一実施形態に係る端末装置の具体的な構成を示すブロック図である。
図11を参照すると、本発明の端末装置100は、メモリ110、プロセッサ120、通信部130、ディスプレイ140及び操作入力装置150で構成されてよい。
メモリ110については、図10を参照して既に説明しているため、繰り返し説明は省略する。そして、プロセッサ120についても、図10を参照して説明しているため、図10で説明した内容は繰り返し記載せずに、図11に追加された構成に関連する内容のみを以下で説明する。
通信部130は、端末装置100を外部装置(図示せず)と接続するために形成され、近距離通信網(LAN:Local Area Network)及びインターネット網を通じて外部装置に接続される形態だけでなく、USB(Universal Serial Bus)ポート又は無線通信(例えば、WiFi 802.11a/b/g/n、NFC、Bluetooth(登録商標))ポートを通じて接続される形態も可能である。このような通信部130は、送受信部(transceiver)と称されてよい。
通信部130は、公開鍵を外部装置から受信することができ、端末装置100で生成された公開鍵を外部装置に伝送することができる。
そして、通信部130は、外部装置からメッセージを受信することができ、生成した同型暗号文を外部装置に送信することができる。
なお、通信部130は、暗号文の生成に必要な各種パラメータを外部装置から受信することができる。一方、実現時に、各種パラメータは後述する操作入力装置150を介してユーザから直接入力されることができる。
ディスプレイ140は、端末装置100がサポートする機能を選択されるためのユーザインターフェースウィンドウを表示する。具体的に、ディスプレイ140は、端末装置100が提供する各種機能を選択されるためのユーザインターフェースウィンドウを表示することができる。このようなディスプレイ140は、LCD、CRT、OLEDなどのようなモニタであってよく、後述の項さ入力装置150の機能を同時の行うことができるタッチスクリーンで実現されてよい。
ディスプレイ140は、秘密鍵及び公開鍵の生成に必要なパラメータの入力を要求するメッセージを表示することができる。そして、ディスプレイ140は、暗号化の対象がメッセージを選択するメッセージを表示することができる。一方、実現時に、暗号化の対象はユーザが直接選択することもでき、自動的に選択されることもできる。即ち、暗号化が必要な個人情報などは、ユーザが直接メッセージを選択しなくても自動的に設定されてよい。
操作入力装置150は、ユーザから端末装置100の機能選択及び当該機能に対する制御命令を入力されることができる。具体的に、操作入力装置150は、ユーザから秘密鍵及び公開鍵の生成に必要なパラメータを入力されることができる。なお、操作入力装置150は、ユーザから暗号化されるメッセージを設定されることができる。
プロセッサ120は、ユーザから秘密鍵及び公開鍵の生成に必要なパラメータを入力されると、入力されるパラメータに基づいて設定パラメータを生成し、生成された設定パラメータに基づいて秘密鍵及び公開鍵を生成することができる。
そして、メッセージに対する暗号文の生成が必要になると、プロセッサ120はメッセージに公開鍵を適用して同型暗号文を生成することができる。具体的に、プロセッサ120は、メッセージを多項式に変換し、変換された多項式のメッセージに公開鍵を適用して同型暗号文を生成することができる。
そして、プロセッサ120は、同型暗号文に対する復号が必要な場合、同型暗号文に秘密鍵を適用して多項式の復号文を生成し、多項式の復号文をデコードしてメッセージを生成することができる。このとき、生成したメッセージは、前記数式1で触れたようにエラーを含むことがある。
なお、プロセッサ120は、同型暗号文に対する演算が必要になる場合、ユーザが要求した複数の同型暗号文に対して加算又は乗算演算を行うことができる。具体的な演算動作については、図15及び図16を参照して後述する。
以上のように、本実施形態に係る端末装置100は、メッセージに同型暗号文を生成することができるため、演算が必要な場合にも、メッセージの安全性を向上させることができる。なお、生成される同型暗号文はエラーを含むため、高度のセキュリティ性が求められる生態情報などに対しても、安定したセキュリティを保持することができる。なお、本実施形態に係る端末装置100は、平文空間が実数であるリングを用いることから、演算速度を向上することができる。即ち、従来の平文空間が複素数であるリングを用いる場合より倍多い並列実数演算ができるようになる。
以下では、REAL HEAAN方式にアルゴリズムを先に説明する。
暗号文間の演算は、
Figure 2020528232
要素の間の加算、乗算の演算であるため、
Figure 2020528232
上における演算の効率性を増大させることが必要である。
Figure 2020528232
上に乗算を最もナイーブ(naive)に行うと、0(n)の複雑度(complexity)有する。
このような演算の複雑度を軽減させるために、本発明では、number Theoretic Transform(NTT)技法を用いる。NTTとは、
Figure 2020528232
から
Figure 2020528232
に進むフィールド同型(field isomorphism)であり、それの逆関数をINTTと称する。
このようなNTT、INTTは、ファストプリエトランスフォーム(Fast Fourier Transform)アルゴリズムの適用の際、0(m log m)の複雑度を有する。
即ち、
Figure 2020528232
に対して
Figure 2020528232
を計算したい場合、
Figure 2020528232
で演算を行うと、0(m log)の複雑度を有する。
以下では、上述の技法をリングを適用する方式を説明する。
リングに属する要素のそれぞれは、
Figure 2020528232
を満たし、
Figure 2020528232
である際、要素は以下のような数式22のように表されてよい。
(数式22)
Figure 2020528232
まず、R’に対してNTTm(NTT’n/2)に関連し、
Figure 2020528232
を計算し、
Figure 2020528232
は、次のような数式23のように表されてよい。
(数式23)
Figure 2020528232
そして、R’に対するNTT(NTT’n/2)に関連し、
Figure 2020528232
を計算し、数式24のような値を出力することができる。
(数式24)
Figure 2020528232
ここで、
Figure 2020528232
である。
よって、上述の数式23及び24をまとめると、次の通りである。
(数式25)
Figure 2020528232
即ち、
Figure 2020528232
に対するNTTとInverse NTTいずれも、0(n log n)の複雑度を有する。よって、
Figure 2020528232
を満たす場合に、
Figure 2020528232
を計算したい場合に、
Figure 2020528232
で演算を行う場合、0(n log n)の複雑度を有する。
以下では、REAL HEAANが適用される場合の秘密鍵、公開鍵の生成アルゴリズム、同型暗号文生成方式及び演算方式について、図12ないし図16を参照して説明する。
図12は、公開鍵及び秘密鍵の生成動作を説明するための図である。
図12を参照すると、セットアップモジュール71は、ユーザからスケーリングファクタ(Δ)、セキュリティパラメータ(λ)、レベルパラメータ(L)を入力されることができる。ここで、スケーリングファクタ(Δ)は、メッセージの大きさを調節するパラメータとして1より大きい。そして、セキュリティパラメータ(λ)は、いくらスキームが安定しているかを示す指標として、計算の複雑度と称してよい。そして、レベルパラメータは、演算をサポートするデプスを示す指標である。
上述のように、パラメータを入力されるセットアップモジュール71は、モジュライ(moduli)を設定し、整数(n)と正数(P)をランダムに選択し、
Figure 2020528232
のような設定パラメータを出力することができる。
鍵生成モジュール72は、既にセットアップモジュール71に生成された設定パラメータを入力され、入力される設定パラメータに基づいて秘密鍵と公開鍵を生成することができる。
具体的に、鍵生成モジュール72は、
Figure 2020528232

Figure 2020528232
に基づいて、秘密鍵を生成し、
Figure 2020528232
によってエラーを算出することができる。
そして、鍵生成モジュール72は、
Figure 2020528232
のように、第1ランダム多項式を生成し、
Figure 2020528232
のように第2ランダム多項式を生成することができる。既に作られている第1タンダム多項式と第2ランダム多項式に基づいて既に説明した数式21のような公開鍵を生成することができる。
図13は、演算鍵の生成動作を説明するための図である。
図13を参照すると、演算モジュール73を満たす値と
Figure 2020528232
、e’←Xerrを算出し、
Figure 2020528232
を満たす
Figure 2020528232
を算出することができる。それにより、演算モジュール73は、
Figure 2020528232
のような演算鍵を出力することができる。
図14は、近似同型暗号文の生成及び復号動作を説明するための図である。
図14を参照すると、エンコードモジュール74は、メッセージとスケーリングファクタを入力され、メッセージにスケーリングファクタを反映して多項式に変換することができる。
具体的に、エンコードモジュール74は、
Figure 2020528232

1以上のスケーリングファクタを入力されると、メッセージを以下の数式26のような多項式を出力することができる。
(数式26)
Figure 2020528232
ここで、m(x)は、多項式形態のメッセージである。
そして、暗号化モジュール75は、多項式形態のメッセージを受信し、受信したメッセージに公開鍵を反映して同型暗号文を生成することができる。具体的に、以下のような数式27を用いて同型暗号文を生成することができる。
(数式27)
Figure 2020528232
ここで、vはXencによって選択された要素であり、e、eもXerrによって選択されたエラー値である。
復号化モジュール76は、暗号文と秘密鍵を入力され、暗号文を復号化してエラーを含むメッセージを出力することができる。具体的に、復号化モジュール76は、入力された暗号文が
Figure 2020528232
である場合、
Figure 2020528232
のようなメッセージを出力することができる。
一方、復号化モジュール76から出力されるメッセージは、多項式形態のメッセージであることから、デコードモジュール77で、復号化モジュール76から出力されたメッセージとスケーリングファクタに基づいて、メッセージを最終的に出力することができる。具体的に、復号化モジュール76は、多項式メッセージが
Figure 2020528232
を満たす場合、
Figure 2020528232
のようなメッセージを出力することができる。
図15は、同型暗号文の加算計算を説明するための図である。
図15を参照すると、第1端末装置81−1から第1メッセージに対する第1同型暗号文(Ct1)を出力し、第2端末装置81−2から第2メッセージに対する第2同型暗号文(Ct2)を出力する。
第1同型暗号文(Ct1)と第2同型暗号文(Ct2)とを受信したサーバ装置の演算モジュール83は、両同型暗号文に対する加算演算を行うことができる。具体的に、
Figure 2020528232
を満たす場合、演算モジュール83は
Figure 2020528232
のように両同型暗号文に対する加算演算を行うことができる。
即ち、両同型暗号文に対して第1関数処理し、関数処理された同型暗号文に対する加算演算を行い、加算演算された同型暗号文を第1関数に逆関数である第2関数処理して、両同型暗号文に対する加算演算を行うことができる。
その後、実際の値が必要になる場合、復号モジュール85は加算結果を復号及びデコードして第1メッセージ及び第2メッセージの合算値を出力することができる。
図16は、同型暗号文の乗算計算を説明するための図である。
図16を参照すると、第1端末装置81−1から第1メッセージに対する第1同型暗号文(Ct1)を出力し、第2端末装置81−2から第2メッセージに対する第2同型暗号文(Ct2)を出力することができる。第1同型暗号文(Ct1)と第2同型暗号文(Ct2)とを受信したサーバ装置の演算モジュール87は、両同型暗号文に対する乗算演算を行うことができる。具体的に、
Figure 2020528232
を満たす場合、演算モジュール87は、
Figure 2020528232
のように、両同型暗号文に対する加算演算を行うことができる。ここで、
Figure 2020528232
である。
即ち、両同型暗号文に対して第1関数処理し、関数処理された同型暗号文に対する乗算演算を行い、乗算演算された同型暗号文を第1関数に逆関数である第2関数処理して、両同型暗号文に対する乗算演算を行うことができる。
演算によって獲得された演算結果暗号文内の近似メッセージ割合が閾値を超過すると、リスケールモジュール88は、演算結果暗号文の平文空間を拡張することができる。具体的に、リスケールモジュール88は、以下のような数式28のように暗号文をアップデートすることができる。
(数式28)
Figure 2020528232
ここで、
Figure 2020528232
である。
その後、復号モジュール85は、加算結果を復号及びデコードして第1メッセージ及び第2メッセージの合算値を出力することができる。
以上では、Real HEAAN方式について説明しているが、以下では、RNS HEAAN方式について説明する。
RNS HEAANは、従来のHEAAN方式が中国人の残りの整理のような方法が適用できなかった問題を解決するために、従来の暗号文空間である
Figure 2020528232

Figure 2020528232
に代替して使う方式で、それによって、エラービットサイズが5〜10くらい大きい近似計算結果を有するようになるが、演算速度で3〜10倍の性能改善があった。
動作方式は、既に説明したReal HEAAN方式と類似するため、相違する部分に対してのみ説明する。
まず、RNS HEAANでモジュラスは、以下の数式29のように互いに素である複数の整数で定義されてよい。
(数式29)
Figure 2020528232
それにより、生成される評価鍵は、次のような数式30のようであり、公開鍵も、数式31のように複数の互いに素に対応する複数の基底で表されてよい。
(数式30)
Figure 2020528232
ここで、
Figure 2020528232
であり、
Figure 2020528232
である。そして、
Figure 2020528232
である。
(数式31)
Figure 2020528232
ここで、
Figure 2020528232
であり、
Figure 2020528232
である。
よって、暗号文を生成する場合に、以下の数式32のように、複数の基底で表現される同型暗号文が生成される。
(数式32)
Figure 2020528232
ここで、
Figure 2020528232
であり、
Figure 2020528232

Figure 2020528232
である。
一方、RNS HEAAN方式で生成された同型暗号文(
Figure 2020528232

Figure 2020528232
)に対する加算演算は、次のような数式33のように行われてよい。
(数式33)
Figure 2020528232
ここで、
Figure 2020528232
である。
一方、RNS HEAAN方式で生成された同型暗号文(
Figure 2020528232

Figure 2020528232
)に対する演算は、次のようなステップで行われてよい。
まず、数式34のような演算を一次的に行う。
(数式34)
Figure 2020528232
その後、数式35のように、modup動作を行うことができる。
(数式35)
Figure 2020528232
そして、数式36のような二次演算を行うことができる。
(数式36)
Figure 2020528232
ここで、
Figure 2020528232
であり、
Figure 2020528232
である。
そして、数式37のような演算を行い、最終的に数式38のような値を最終出力する。
(数式37)
Figure 2020528232
(数式38)
Figure 2020528232
Figure 2020528232
一方、演算の後で暗号文(
Figure 2020528232
)の少なくとも一つの基底に対する割合が閾値を超過すると、以下のような数式39の
ように、複数の基底のそれぞれに対するメッセージの四捨五入処理を行って同型暗号文をリスケールし、リスケールされた暗号文(
Figure 2020528232
)を出力することができる。
(数式39)
Figure 2020528232
図17は、本発明の暗号化方法を説明するためのフローチャートである。
まず、予め設定された係数を有する多項式の集合であるリングを設定する(S910)。具体的に、要素の間で加算と乗算とが定義されており、加算と乗算に対して閉じており、平文空間が実数である数式16のようなリングを設定することもできる。
そして、リングから秘密鍵を算出する(S920)。Xkeyに基づいてsを選択し、選択されたsに基づいて秘密鍵(SK)を算出することができる。
そして、算出された秘密鍵に対応して公開鍵を算出する(S930)。具体的に、リングから第1ランダム多項式を算出し、エラーを抽出し、算出された第1ランダム多項式と秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出し、算出された第1ランダム多項式と第2ランダム多項式を用いて公開鍵を算出することができる。
そして、メッセージに公開鍵を適用して同型暗号文を生成する(S940)。具体的に、メッセージをリングに属する多項式でエンコードを行い、エンコードされたメッセージに公開鍵を適用して同型暗号文を生成することができる。一方、RNS HEAANを用いる場合、生成された複数の公開鍵を用いて、複数の基底で表現される同型暗号文を生成することができる。
以上のように、本実施形態に係る暗号化方法は、エラーを含む同型暗号文を生成するため、高度のセキュリティ性が求められる生態情報などに対しても、安定的なセキュリティを保持することができる。なお、本実施形態に係る暗号化方法は、平文空間が実数であるリングを用いて、演算過程で平文の虚数部が大きくなることを根本から防ぐことができ、従来のHEAANのような安定性、連想速度、メモリ(暗号文、鍵サイズ)を有すると同時に、倍大きい並列実数演算をサポートすることができる。
図18は、本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。具体的に、図18では、二つの端末装置100−1、100−2で暗号文を伝送する場合を示している。
まず、端末装置1(100−1)で第1メッセージが入力されると(S1010)、端末装置1(100−1)は、上述の方式で第1同型暗号文を生成した後(S1015)、第1サーバ装置200に伝送することができる(S1020)。一例として、端末装置1(100−1)のユーザが写真を撮影した場合には、その写真及び撮影場所などが暗号化されてよく、ユーザが音楽コンテンツを再生したり特定のURLに接続したなら、その再生履歴やURL接続履歴などが暗号化されてよい。
端末装置2(100−2)も、類似する形態で暗号文を生成して第1サーバ装置200に伝送することができる(S1025、S1030、S1035)。
第1サーバ装置200は、伝送された暗号文を暗号化されたそのままの状態で保存することができる。このような状態で、第2サーバ装置300が特定の演算を要求する場合(S1040)、第1サーバ装置200は同型暗号文に対して第2サーバ装置300が要求した特定の演算を行った後(S1045)、第2サーバ装置300に伝送することができる(S1050)。第2サーバ装置300は、伝送された暗号文を復号化してメッセージを検出することができる。
そして、第2サーバ装置300は、復号化されたメッセージを出力することができる(S1060)。例えば、端末装置1、2(100−1、100−2)がそれぞれ写真を第1サーバ装置200に伝送した状態なら、第2サーバ装置300は各装置100−1、100−2で撮影された写真をまとめて出力することができる。
以上のような暗号化方法及び暗号文処理方法は、各種アプリケーションの実行結果だけでなく、ユーザが直接入力した各種信用情報や個人情報の収集にも使われることができる。第2サーバ装置300が銀行サーバである場合、銀行は顧客の信号情報のうち必要な項目だけを集めて確認することができる。
一方、上述の多様な実施形態による暗号化方法及び暗号文処理方法などは、各段階を行うためのプログラムコードの形態で実現され、記録媒体に保存されて配布されてよい。この場合、記録媒体の登載された装置は、上述の暗号化又は暗号文処理などの動作を行うことができる。
このような記録媒体は、ROM、RAM、メモリチップ、メモリカード、外付けハード、ハード、CD、DVD,磁気ディスクまたは磁気テープなのような多様なコンピュータ読み取り可能な媒体であってよい。
以上のように、本発明の多様な実施形態によって、暗号化及び暗号文処理などを行うようになると、量子コンピュータ時代でも安全であり、暗号化/復号化速度を大幅に向上させることができ、暗号文のサイズも減らすことができる。特に、暗号化に使用されるメッセージを実数領域まで拡張させることができるため、活用性が大きく増大する。
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明は以上の実施形態に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的趣旨の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。

Claims (23)

  1. 端末装置の暗号化方法において、
    スケーリングファクタを設定するステップと、
    暗号化するメッセージに前記スケーリングファクタを反映した後、公開鍵を用いて暗号化して同型暗号文を生成するステップと
    を含み、
    前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を加算した結果値が復元される形態である暗号化方法。
  2. 前記同型暗号文のモジュラスは、
    一つのスケーリングファクタのべき乗に設定されることを特徴とする請求項1に記載の暗号化方法。
  3. 前記同型暗号文のモジュラスは、
    複数の相互異なるスケーリングファクタを乗算した値であり、
    前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されることを特徴とする請求項1に記載の暗号化方法。
  4. 前記同型暗号文を生成するステップは、
    離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出するステップと、
    前記メッセージに前記スケーリングファクタを乗算して前記エラーを加算した後、前記公開鍵を用いて暗号化して前記同型暗号文を生成するステップと
    を含むことを特徴とする請求項1に記載の暗号化方法。
  5. 前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換するステップを更に含み、
    前記同型暗号文を生成するステップは、前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化することを特徴とする請求項1に記載の暗号化方法。
  6. サーバ装置の暗号文処理方法において、
    個別的に暗号化された複数の同型暗号文を受信するステップと、
    前記複数の同型暗号文に対して予め設定された演算を行うステップと、
    前記演算によって算出された結果暗号文からノイズ領域を除去して有効領域のデータを抽出するステップと
    を含み、
    前記複数の同型暗号文のそれぞれは、メッセージにスケーリングファクタを乗算した後で暗号化した暗号文であり、
    前記ノイズ領域は、前記スケーリングファクタの大きさに対応するように決定される暗号文処理方法。
  7. 前記複数の同型暗号文のそれぞれが、複数のメッセージベクトルをパッキングした暗号文であり、前記複数の同型暗号文のそれぞれに含まれたメッセージベクトルを並列的に演算処理するステップを更に含むことを特徴とする請求項6に記載の暗号文処理方法。
  8. 前記複数の同型暗号文に含まれた各メッセージベクトルの間の順番をローテーションさせるステップを更に含むことを特徴とする請求項7に記載の暗号文処理方法。
  9. 前記メッセージが複素数である場合、前記複数の同型暗号文に対して共役(conjugation)演算を行うステップを更に含むことを特徴とする請求項7に記載の暗号文処理方法。
  10. 端末装置において、
    スケーリングファクタ及び公開鍵が保存されたメモリと、
    暗号化するメッセージに前記スケーリングファクタを反映した後、前記公開鍵を用いて暗号化して同型暗号文を生成するプロセッサと、
    前記同型暗号文を外部装置に伝送する通信部と
    を含み、
    前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を乗算した結果値が復元される形態である端末装置。
  11. 前記メッセージ及び前記スケーリングファクタを入力されるための入力部を更に含み、
    前記プロセッサは、前記入力部を介して入力された前記メッセージ及び前記スケーリングファクタを前記メモリに保存することを特徴とする請求項10に記載の端末装置。
  12. 前記プロセッサは、
    前記同型暗号文のモジュラスを前記スケーリングファクタのべき乗に設定し、前記メモリに保存することを特徴とする請求項10に記載の端末装置。
  13. 前記プロセッサは、
    前記同型暗号文のモジュラスを複数の相互異なるスケーリングファクタを乗算した値に設定し、前記メモリに保存し、
    前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されることを特徴とする請求項10に記載の端末装置。
  14. 前記プロセッサは、
    離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出し、前記メッセージ及び前記スケーリングファクタを乗算した値に前記エラーを加算した後、前記公開鍵を用いて暗号化することを特徴とする請求項10に記載の端末装置。
  15. 前記プロセッサは、
    前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換し、
    前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化することを特徴とする請求項10に記載の端末装置。
  16. 端末装置における暗号化方法において、
    要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合であるリング(Ring)を設定するステップと、
    前記リングから秘密鍵を算出するステップと、
    前記算出された秘密鍵に対応して公開鍵を算出するステップと、
    メッセージに前記公開鍵を適用して同型暗号文を生成するステップと
    を含む暗号化方法。
  17. 前記リングは、以下の数式を満たし、
    Figure 2020528232
    a(X)は、前記リングに属する多項式、Rは、平文空間が複素数であるリングであることを特徴とする請求項16に記載の暗号化方法。
  18. 前記同型暗号文は、
    加算又は乗算の演算に対してo(n log n)複雑度(complexity)を有することを特徴とする請求項16に記載の暗号化方法。
  19. 前記リングから第1ランダム多項式を算出するステップと、
    エラーを抽出するステップと、
    前記第1ランダム多項式及び前記秘密鍵に前記エラーをモジュラ演算して第2ランダム多項式を算出するステップと
    を更に含み、
    前記公開鍵を算出するステップは、
    前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出することを特徴とする請求項16に記載の暗号化方法。
  20. 前記同型暗号文を生成するステップは、
    前記メッセージを前記リングに属する多項式で算出し、前記算出された多項式に前記公開鍵を適用して同型暗号文を生成することを特徴とする請求項16に記載の暗号化方法。
  21. 前記生成された同型暗号文及び予め生成された同型暗号文に対し、加算及び乗算のうち少なくとも一つの演算を行うステップを更に含み、
    前記演算を行うステップは、
    前記生成された同型暗号文及び前記予め生成された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理することを特徴とする請求項16に記載の暗号化方法。
  22. 前記第1関数は、
    NTT(Number Theoretic Transform)関数であることを特徴とする請求項21に記載の暗号化方法。
  23. 前記同型暗号文は、復号化した際、前記メッセージにエラー値を加算した結果値が復元される形態であることを特徴とする請求項16に記載の暗号化方法。
JP2019572731A 2017-12-15 2018-12-17 同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法 Active JP7049374B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022021844A JP7370402B2 (ja) 2017-12-15 2022-02-16 端末装置における暗号化方法及び端末

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR10-2017-0173608 2017-12-15
KR1020170173608A KR101965628B1 (ko) 2017-12-15 2017-12-15 동형 암호화를 수행하는 단말 장치와 그 암호문을 처리하는 서버 장치 및 그 방법들
KR10-2018-0129749 2018-10-29
KR1020180129749A KR102040106B1 (ko) 2018-10-29 2018-10-29 실수 평문에 대한 동형 암호화 방법
PCT/KR2018/016060 WO2019117694A1 (ko) 2017-12-15 2018-12-17 동형 암호화를 수행하는 단말 장치와 그 암호문을 처리하는 서버 장치 및 그 방법들

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022021844A Division JP7370402B2 (ja) 2017-12-15 2022-02-16 端末装置における暗号化方法及び端末

Publications (2)

Publication Number Publication Date
JP2020528232A true JP2020528232A (ja) 2020-09-17
JP7049374B2 JP7049374B2 (ja) 2022-04-06

Family

ID=66819634

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019572731A Active JP7049374B2 (ja) 2017-12-15 2018-12-17 同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法
JP2022021844A Active JP7370402B2 (ja) 2017-12-15 2022-02-16 端末装置における暗号化方法及び端末

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022021844A Active JP7370402B2 (ja) 2017-12-15 2022-02-16 端末装置における暗号化方法及び端末

Country Status (6)

Country Link
US (3) US10778409B2 (ja)
EP (2) EP3553995B1 (ja)
JP (2) JP7049374B2 (ja)
CN (2) CN115134068A (ja)
SG (2) SG11202001984SA (ja)
WO (1) WO2019117694A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11764940B2 (en) 2019-01-10 2023-09-19 Duality Technologies, Inc. Secure search of secret data in a semi-trusted environment using homomorphic encryption
US11646877B2 (en) * 2019-05-14 2023-05-09 Samsung Sds Co., Ltd. Apparatus and method for generating secret key, apparatus and method for generating evaluation key
CN112580063B (zh) * 2019-09-27 2023-01-13 华控清交信息科技(北京)有限公司 一种数据处理方法、装置和用于数据处理的装置
WO2021075057A1 (en) * 2019-10-18 2021-04-22 Loch Energy, Ltd. Digital currency operation system and operation method using fully homological encryption scheme
WO2021087073A1 (en) 2019-10-30 2021-05-06 Via Science, Inc. Secure outsourcing of a multiplication
FR3105684B1 (fr) * 2019-12-20 2022-12-23 Idemia France Procede de traitement cryptographique, dispositif electronique et programme d'ordinateur associes
KR20210083974A (ko) * 2019-12-27 2021-07-07 삼성에스디에스 주식회사 근사 함수를 이용한 연산 장치 및 방법
US20220020018A1 (en) * 2020-02-28 2022-01-20 Polymath Inc. Cryptographic encryption protocol for data types and values
US11558171B2 (en) * 2020-04-20 2023-01-17 Samsung Sds Co., Ltd. Apparatus and method for encryption, apparatus and method for converting ciphertext
KR102444193B1 (ko) 2020-04-29 2022-09-19 국방과학연구소 Ring-LWR기반 양자내성 서명 방법 및 그 시스템
KR20210135075A (ko) 2020-05-04 2021-11-12 삼성전자주식회사 동형 암복호화 장치, 상기 장치를 포함하는 시스템, 및 동형 암복호화의 수행 방법
CN111949998B (zh) * 2020-05-11 2023-07-07 华控清交信息科技(北京)有限公司 对象检测及请求方法、数据处理系统、装置及存储介质
KR20220009643A (ko) 2020-07-16 2022-01-25 삼성전자주식회사 스토리지 컨트롤러, 이를 포함하는 클라이언트 및 서버, 및 이의 동작 방법
KR20220040309A (ko) 2020-09-23 2022-03-30 삼성전자주식회사 동형 암호화 장치 및 그 동작 방법
KR20220048225A (ko) * 2020-10-12 2022-04-19 삼성전자주식회사 동형 연산 가속기 및 이를 포함하는 동형 연산 수행 장치
CN112906044B (zh) * 2021-05-10 2021-07-30 腾讯科技(深圳)有限公司 多方安全计算方法、装置、设备及存储介质
US20220385461A1 (en) * 2021-05-21 2022-12-01 Samsung Electronics Co., Ltd. Encryption key generating method, appratus, ciphertext operation method and apparatus using the generated encryption key
US20230036196A1 (en) * 2021-07-27 2023-02-02 International Business Machines Corporation Computer architecture for string searching
US11847938B2 (en) * 2021-08-03 2023-12-19 Nxp B.V. Combining regular and symbolic NTTs using co-processors
KR20230082126A (ko) * 2021-12-01 2023-06-08 삼성전자주식회사 암호화 장치 및 암호화 방법
KR20230161779A (ko) * 2022-05-19 2023-11-28 서울대학교산학협력단 동형자리바꿈 연산을 수행하는 방법 및 기기
CN115102689B (zh) * 2022-08-24 2022-11-15 北京信安世纪科技股份有限公司 两方协同的s盒生成方法、加密方法和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011145512A (ja) * 2010-01-15 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> 鍵生成装置、鍵生成方法、プログラム及び記録媒体
JP2013524277A (ja) * 2010-03-30 2013-06-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置
JP2016131335A (ja) * 2015-01-14 2016-07-21 富士通株式会社 情報処理方法、情報処理プログラムおよび情報処理装置
US20170134157A1 (en) * 2015-11-05 2017-05-11 Microsoft Technology Licensing, Llc Homomorphic Encryption with Optimized Encoding

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2327911A1 (en) * 2000-12-08 2002-06-08 Cloakware Corporation Obscuring functions in computer software
ES2696513T3 (es) 2009-09-04 2019-01-16 Gradiant Centro Tecnoloxico De Telecomunicacions De Galicia Sistema criptográfico para realizar cálculos y procesamiento de señales seguros directamente en datos encriptados en entornos no confiables
US8515058B1 (en) * 2009-11-10 2013-08-20 The Board Of Trustees Of The Leland Stanford Junior University Bootstrappable homomorphic encryption method, computer program and apparatus
US8625782B2 (en) * 2010-02-09 2014-01-07 Mitsubishi Electric Research Laboratories, Inc. Method for privacy-preserving computation of edit distance of symbol sequences
US8565435B2 (en) * 2010-08-16 2013-10-22 International Business Machines Corporation Efficient implementation of fully homomorphic encryption
US8891762B2 (en) * 2010-12-10 2014-11-18 Mitsubishi Electric Research Laboratories, Inc. Method for privacy-preserving order selection of encrypted element
US9083526B2 (en) * 2011-04-29 2015-07-14 International Business Machines Corporation Fully homomorphic encryption
US9281941B2 (en) * 2012-02-17 2016-03-08 International Business Machines Corporation Homomorphic evaluation including key switching, modulus switching, and dynamic noise management
WO2014035146A2 (ko) 2012-08-28 2014-03-06 서울대학교산학협력단 환 동형 사상을 이용한 동형 암호화 방법과 복호화 방법 및 이를 이용한 장치
KR101449239B1 (ko) 2013-01-24 2014-10-15 서울대학교산학협력단 환 동형 사상을 이용한 동형 암호화 방법과 복호화 방법 및 이를 이용한 장치
WO2015078533A1 (en) * 2013-11-29 2015-06-04 Nec Europe Ltd. Method and system for encrypting data
US9524392B2 (en) * 2013-11-30 2016-12-20 Microsoft Technology Licensing, Llc Encrypting genomic data for storage and genomic computations
KR102019159B1 (ko) * 2013-12-23 2019-09-09 한국전자통신연구원 정수 기반 준동형 암호 기법에 일반적으로 적용 가능한 압축 암복호화 장치 및 방법
CN103744976B (zh) * 2014-01-13 2017-02-22 北京工业大学 一种基于同态加密的图像安全检索方法
KR102251697B1 (ko) 2014-04-23 2021-05-14 삼성전자주식회사 암호화 장치, 암호화 방법 및 컴퓨터 판독가능 기록매체
KR102423885B1 (ko) * 2015-05-08 2022-07-21 한국전자통신연구원 연산 에러 검출이 가능한 준동형 암호 방법 및 그 시스템
US20160352710A1 (en) * 2015-05-31 2016-12-01 Cisco Technology, Inc. Server-assisted secure exponentiation
US10454668B2 (en) * 2015-11-09 2019-10-22 Certsign Sa Fully homomorphic encryption from monoid algebras
US10791123B2 (en) * 2015-11-25 2020-09-29 Yaron Gvili Selectivity in privacy and verification with applications
US10116437B1 (en) * 2015-12-14 2018-10-30 Ingram Micro, Inc. Method for protecting data used in cloud computing with homomorphic encryption
US9876636B2 (en) * 2016-01-07 2018-01-23 Empire Technology Development Llc Homomorphic public-key encryption scheme
KR101829267B1 (ko) 2016-04-27 2018-02-14 서울대학교산학협력단 암호문의 크기가 감소되는 동형 암호화 방법
US10333715B2 (en) * 2016-11-14 2019-06-25 International Business Machines Corporation Providing computation services with privacy
EP4220464A1 (en) * 2017-03-22 2023-08-02 Visa International Service Association Privacy-preserving machine learning
SG11201909441XA (en) * 2017-04-11 2020-03-30 Governing Council Univ Toronto A homomorphic processing unit (hpu) for accelerating secure computations under homomorphic encryption
CN107294958B (zh) * 2017-05-27 2020-05-22 宁波大学 基于全同态mac的消息完整性认证方法
CN107294698B (zh) * 2017-07-25 2019-11-26 西安电子科技大学 单密文同态计算的全同态加密方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011145512A (ja) * 2010-01-15 2011-07-28 Nippon Telegr & Teleph Corp <Ntt> 鍵生成装置、鍵生成方法、プログラム及び記録媒体
JP2013524277A (ja) * 2010-03-30 2013-06-17 インターナショナル・ビジネス・マシーンズ・コーポレーション 双一次形式に関する効率的な準同形暗号方式のためのコンピュータ読み取り可能記憶媒体および装置
JP2016131335A (ja) * 2015-01-14 2016-07-21 富士通株式会社 情報処理方法、情報処理プログラムおよび情報処理装置
US20170134157A1 (en) * 2015-11-05 2017-05-11 Microsoft Technology Licensing, Llc Homomorphic Encryption with Optimized Encoding

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHEON, JUNG HEE ET AL.: "Homomorphic Encryption for Arithmetic of Approximate Numbers", CRYPTOLOGY EPRINT ARCHIVE, vol. Report 2016/421,Ver. 20170908:000544, JPN6021007168, September 2017 (2017-09-01), pages 1 - 23, ISSN: 0004640793 *

Also Published As

Publication number Publication date
JP7370402B2 (ja) 2023-10-27
US20200162235A1 (en) 2020-05-21
US11115183B2 (en) 2021-09-07
CN110214433B (zh) 2023-04-18
JP2022059027A (ja) 2022-04-12
EP3553995A4 (en) 2020-05-13
EP3793127B1 (en) 2023-02-01
EP3793127A1 (en) 2021-03-17
WO2019117694A1 (ko) 2019-06-20
US20190363871A1 (en) 2019-11-28
US20200252199A1 (en) 2020-08-06
US10778409B2 (en) 2020-09-15
SG10202100111PA (en) 2021-02-25
CN115134068A (zh) 2022-09-30
EP3553995A1 (en) 2019-10-16
CN110214433A (zh) 2019-09-06
SG11202001984SA (en) 2020-04-29
EP3553995B1 (en) 2021-06-23
JP7049374B2 (ja) 2022-04-06
US11101976B2 (en) 2021-08-24

Similar Documents

Publication Publication Date Title
JP7049374B2 (ja) 同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法
KR101965628B1 (ko) 동형 암호화를 수행하는 단말 장치와 그 암호문을 처리하는 서버 장치 및 그 방법들
JP6964688B2 (ja) 暗号文に対する近似演算を行う装置及び方法
KR102040106B1 (ko) 실수 평문에 대한 동형 암호화 방법
KR102297536B1 (ko) 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102349855B1 (ko) 공간 복잡도를 고려한 동형 암호화 또는 복호화 방법
KR102393942B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
JP7170878B2 (ja) 暗号文に対する非多項式演算を行う装置及び方法
KR102475273B1 (ko) 동형 암호 시스템에 대한 시뮬레이션 장치 및 방법
KR102304992B1 (ko) 동형 암호문에 대한 비다항식 연산을 수행하는 장치 및 방법
KR102160294B1 (ko) 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법
KR20230003954A (ko) 영지식 증명을 위한 암호문 처리 방법 및 장치
JP2007171412A (ja) 鍵生成装置、暗号化装置、復号化装置、乗法型ナップザック暗号システム、乗法型ナップザック暗号復号方法およびプログラム
KR102393941B1 (ko) 근사 암호화된 암호문에 대한 인코딩 또는 디코딩
KR102452181B1 (ko) 근사 암호화된 암호문에 대한 정렬 장치 및 방법
KR20220121221A (ko) 동형 암호문의 변환 장치 및 방법
KR20240014946A (ko) 동형 암호문을 생성하는 전자 장치 및 그 방법
KR20230049052A (ko) 격자전자서명의 비밀 키 생성 방법 및 이를 이용한 장치
KR20220134487A (ko) 동형 암호문을 처리하는 전자 장치 및 그 방법
KR20240000079A (ko) 동형 암호문을 처리하는 장치 및 방법
KR20230063302A (ko) 문자열 데이터를 동형 암호화하는 장치 및 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20200218

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20200218

A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A801

Effective date: 20200123

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210601

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220325

R150 Certificate of patent or registration of utility model

Ref document number: 7049374

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150