JP2021113956A - 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム - Google Patents
秘匿演算装置、秘匿演算方法及び秘匿演算プログラム Download PDFInfo
- Publication number
- JP2021113956A JP2021113956A JP2020007701A JP2020007701A JP2021113956A JP 2021113956 A JP2021113956 A JP 2021113956A JP 2020007701 A JP2020007701 A JP 2020007701A JP 2020007701 A JP2020007701 A JP 2020007701A JP 2021113956 A JP2021113956 A JP 2021113956A
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- unit
- calculation
- input
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Complex Calculations (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】完全準同型暗号方式により、ブートストラッピングと同時に整数と2進数との乗算を実行できる秘匿演算装置を提供すること。【解決手段】秘匿演算装置1は、多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力するブートストラップ処理部11と、Bを奇数としたとき、0以上B未満の入力整数に、入力2進数の1又は0を表す値である0又はBを加算した後、1変数関数として恒等写像の演算を設定して、第1演算結果を取得する第1演算部12と、入力整数に第1演算結果を加算した後、1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する第2演算部13と、第2演算結果を、入力整数と入力2進数との乗算結果として出力する出力部14と、を備える。【選択図】図6
Description
本発明は、完全準同型暗号上での秘匿演算装置、秘匿演算方法及び秘匿演算プログラムに関する。
従来、暗号文上での秘匿演算の手法が様々提案されている。非特許文献1では、完全準同型方式であるTFHEが提案されたが、この方式では、平文はビット値に限られていた。非特許文献2では、整数の平文を扱うことができ(以下、Integer−wiseという)、かつ、完全準同型暗号に必要なブートストラッピングと呼ばれるノイズ除去処理と同時に符号関数を実行する方式が提案されている。
Ilaria Chillotti, Nicolas Gama, Mariya Georgieva, and Malika Izabachene. Faster fully homomorphic encryption: Bootstrapping in less than 0.1 seconds. In Jung Hee Cheon and Tsuyoshi Takagi, editors, Advances in Cryptology − ASIACRYPT 2016, pages 3−33, 2016.
Florian Bourse, Michele Minelli, Matthias Minihold, and Pascal Paillier. Fast homomorphic evaluation of deep discretized neural networks. In Hovav Shacham and Alexandra Boldyreva, editors, Advances in Cryptology − CRYPTO 2018, pages 483−512. Springer, 2018.
非特許文献2では、TFHEにおいて整数の暗号文を扱うことを可能にしたが、整数の暗号文同士の準同型加算、及び整数の暗号文に対するブートストラッピングと同時の符号関数演算のみが実行可能であり、秘匿演算が可能な演算の種類が不足していた。
本発明は、完全準同型暗号方式により、ブートストラッピングと同時に整数と2進数との乗算を実行できる秘匿演算装置、秘匿演算方法及び秘匿演算プログラムを提供することを目的とする。
本発明に係る秘匿演算装置は、LWE暗号文の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する際に、当該多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力するブートストラップ処理部と、Bを奇数としたとき、0以上B未満の入力整数に、入力2進数の1又は0を表す値である0又はBを加算した後、前記ブートストラップ処理部に対して、前記1変数関数として恒等写像の演算を設定して、第1演算結果を取得する第1演算部と、前記入力整数に前記第1演算結果を加算した後、前記ブートストラップ処理部に対して、前記1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する第2演算部と、前記第2演算結果を、前記入力整数と前記入力2進数との乗算結果として出力する出力部と、を備える。
本発明に係る秘匿演算方法は、LWE暗号文の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する際に、当該多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力するブートストラップ処理部を備えたコンピュータが、Bを奇数としたとき、0以上B未満の入力整数に、入力2進数の1又は0を表す値である0又はBを加算した後、前記ブートストラップ処理部に対して、前記1変数関数として恒等写像の演算を設定して、第1演算結果を取得する第1演算ステップと、前記入力整数に前記第1演算結果を加算した後、前記ブートストラップ処理部に対して、前記1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する第2演算ステップと、前記第2演算結果を、前記入力整数と前記入力2進数との乗算結果として出力する出力ステップと、を実行する。
本発明に係る秘匿演算プログラムは、前記秘匿演算装置としてコンピュータを機能させるためのものである。
本発明によれば、完全準同型暗号方式により、ブートストラッピングと同時に整数と2進数との乗算が実行される。
以下、本発明の実施形態の一例について説明する。
本実施形態では、まず、完全準同型暗号で必要なブートストラッピングと同時に実現されるInteger−wiseの任意の1変数関数(写像)の演算方式を説明し、次に、この1変数関数演算を用いて実現される整数と2進数との秘匿乗算の方式を説明する。
本実施形態では、まず、完全準同型暗号で必要なブートストラッピングと同時に実現されるInteger−wiseの任意の1変数関数(写像)の演算方式を説明し、次に、この1変数関数演算を用いて実現される整数と2進数との秘匿乗算の方式を説明する。
完全準同型暗号は、Somewhat型準同型暗号にブートストラッピングを組み合わせて構成される。ここで、Somewhat型準同型暗号とは、演算を重ねることによって暗号文上のノイズが大きくなり、ある程度の大きさになると復号が不可能になる方式である。完全準同型暗号は、Somewhat型準同型暗号にブートストラッピングと呼ばれるノイズ除去処理を行うことで無制限に演算が実行できるようにしたものである。
[1変数関数演算]
図1は、本実施形態における秘匿演算装置1のうち、1変数関数演算を実現するための機能構成を示すブロック図である。
秘匿演算装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
図1は、本実施形態における秘匿演算装置1のうち、1変数関数演算を実現するための機能構成を示すブロック図である。
秘匿演算装置1は、サーバ装置又はパーソナルコンピュータ等の情報処理装置(コンピュータ)であり、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備える。
制御部10は、秘匿演算装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
記憶部20は、ハードウェア群を秘匿演算装置1として機能させるための各種プログラム(秘匿演算プログラム)、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
制御部10は、入力部111と、サンプル変換部112と、多項式定義部113と、多項式更新部114と、定数項抽出部115と、鍵変換部116とを備える。
入力部111は、ブートストラッピングを実施する後述のアルゴリズムに対して、任意の1変数関数(写像)を定義するための値、及びこの関数への入力値を、パラメータとして受け付ける。
サンプル変換部112は、入力値のトーラス上のLWEサンプルを、整数空間上のサンプルへ変換する。
多項式定義部113は、サンプル変換部112により整数空間に割り当てられた入力値に対する関数値のトーラス上の値を、この整数空間の値をマイナスの次数とする項の係数とした多項式(後述のベクトルtestv)を定義する。
多項式更新部114は、LWE暗号文の第1の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する。
定数項抽出部115は、多項式更新部114により更新された多項式の定数項のLWE暗号文を抽出することにより、関数値の第2の秘密鍵によるLWE暗号文を取得する。
鍵変換部116は、定数項抽出部115により取得した第2の秘密鍵によるLWE暗号文を、第1の秘密鍵によるLWE暗号文に変換する。
次に、秘匿演算装置1により実行される秘匿演算方法について、アルゴリズムの詳細を説明する。
[定義]
本実施形態の秘匿演算方法における各種の定義は、非特許文献1及び2に従うが、次のように説明を補足する。
長さnのベクトルxのi番目の要素をxiと表記する(x=(x1,…,xn))。
各種の空間等を次のように表記する。
・整数空間:Z,実数空間:R
・トーラスT=R/Z
・多項式:
R[X]: 係数∈Rである、任意次数の多項式の集合
TN[X]:=R[X]/(XN+1): 係数∈TであるN(例えば、1024)次の多項式の集合
また、x←Uχは、集合χから一様にランダムにxをサンプルすることを意味する。
本実施形態の秘匿演算方法における各種の定義は、非特許文献1及び2に従うが、次のように説明を補足する。
長さnのベクトルxのi番目の要素をxiと表記する(x=(x1,…,xn))。
各種の空間等を次のように表記する。
・整数空間:Z,実数空間:R
・トーラスT=R/Z
・多項式:
R[X]: 係数∈Rである、任意次数の多項式の集合
TN[X]:=R[X]/(XN+1): 係数∈TであるN(例えば、1024)次の多項式の集合
また、x←Uχは、集合χから一様にランダムにxをサンプルすることを意味する。
TLWE暗号及びTGSW暗号は、非特許文献1において定義され、それぞれLWE暗号及びGSW暗号を拡張したものである。
TLWE暗号について、秘密ベクトルs、平文m、ノイズeのLWEサンプル(a,b)∈LWEs(m)は、
を満たす。ここで、ノイズeは、一般的にガウス分布に従い、パラメータα(エラー率、bT上においてはノイズの標準偏差となる)を持つ。
TLWE暗号について、秘密ベクトルs、平文m、ノイズeのLWEサンプル(a,b)∈LWEs(m)は、
ブートストラッピング・キーBKs→s”,α=(BK1,…,BKn)について、各BKiは、秘密鍵s”による、平文がTLWE暗号文の秘密鍵siのTGSW暗号文である。ここで、TGSW暗号文は、TLWE暗号文と準同型演算が可能であり、
となる。
この「秘密鍵の暗号文」BKiを用いることで、暗号文上の準同型演算により復号に当たる演算を行える。これにより、ブートストラッピングでは、入力の平文と同じ平文を持ち、かつ、ノイズの大きさが初期化された暗号文が生成される。
この「秘密鍵の暗号文」BKiを用いることで、暗号文上の準同型演算により復号に当たる演算を行える。これにより、ブートストラッピングでは、入力の平文と同じ平文を持ち、かつ、ノイズの大きさが初期化された暗号文が生成される。
[平文空間の設定]
前述の非特許文献1の手法では、暗号文の平文空間がビット値に限られていた。本実施形態では、この手法を、非特許文献2のように整数値も扱えるように拡張する。
前述の非特許文献1の手法では、暗号文の平文空間がビット値に限られていた。本実施形態では、この手法を、非特許文献2のように整数値も扱えるように拡張する。
Bを自然数とし、min∈{0,…,B−1}を平文とする。このとき、LWE暗号文の構成は次のようになる。
平文minは、暗号文においては、min/2B∈Tの値に変換されている。ここで、ノイズeが、
を満たす条件の下、復号において、2B倍しroundすることで元の値に戻る。なぜならば、
であるが、式(1)を満たす時、|2Be|<1/2となり、「(b−<s,a>)・2B」=minが得られるからである。
また、秘密鍵sによる、平文mのLWE暗号文Enc(s,m)=(a,b)を、LWEs(m)とも表記する。
また、秘密鍵sによる、平文mのLWE暗号文Enc(s,m)=(a,b)を、LWEs(m)とも表記する。
[1変数関数アルゴリズム]
図2は、本実施形態における1変数関数の秘匿演算方法を実行するためのアルゴリズムを示す図である。
このアルゴリズムにより、ブートストラッピングと同時に任意の1変数関数f:{0,…,B−1}→{0,…,B−1}が実行される。
図2は、本実施形態における1変数関数の秘匿演算方法を実行するためのアルゴリズムを示す図である。
このアルゴリズムにより、ブートストラッピングと同時に任意の1変数関数f:{0,…,B−1}→{0,…,B−1}が実行される。
まず、入力部111は、min∈{0,…,B−1}を平文とする、トーラスT=R/Z上のLWEサンプル(a,b)∈LWEs(min)の他、前述のブートストラッピング・キーBKs→s”,α、キースイッチ・キーKSs’→s,γ、及び後述のベクトルtestv∈TN[X]の係数{μ0,…,μN−1}を入力として受け付ける。
ここで、minの平文空間上で取り得る値の範囲φ(min)に対して、
は、φ(min)に応じて、特定範囲のμiが定数項として表れる。
また、
となっている。eACCは、ループ処理で生じるroundingノイズ(丸め誤差)の和である。実装においては、トーラス上のLWEサンプル(a,b)∈Tn×Tのa,bは(1/2N)の倍数を用いるため、この丸め誤差は0となり無視できる(ξi=0,i=0,…,n)。
以下では、eACC=0とする。よって、minの平文空間上で取り得る値の範囲φ(min)は、
となる。
以下では、eACC=0とする。よって、minの平文空間上で取り得る値の範囲φ(min)は、
min=0のとき、φ(0)=2Neであり、
となる。したがって、
の定数項となりうる係数は、
である。これらの係数μ∈M0が、μ:=f(0)/2B∈Tと予め設定される。
なお、TN[X]:=R[X]/(XN+1)であり、XN+1≡0、XN≡−1であることから、X−i≡−XN−i、Xi≡−X−(N−i)である。
なお、TN[X]:=R[X]/(XN+1)であり、XN+1≡0、XN≡−1であることから、X−i≡−XN−i、Xi≡−X−(N−i)である。
min∈{1,…,B−1}のとき、φ(min)=2N(e+min/2B)であり、式(1)から、
であるから、
となる。したがって、
の定数項となりうる係数は、
である。これらの係数μ∈Mm_inが、μ:=f(min)/2B∈Tと予め設定される。
なお、min∈{1,…,B−1}に代えて、min∈{−(B−1),…,−1}を入力とする場合には、
であるから、同様に、
となる。したがって、
の定数項となりうる係数は、
である。これらの係数μ∈Mm_inが、μ:=f(min)/2B∈Tと予め設定される。
図3は、本実施形態における平文空間のスライスを例示する図である。
平文は、最初はトーラスT上の値(0〜1の実数)だが、ブートストラッピングのアルゴリズム(図2)中で2N倍され、Z2N上の値となる。図3では、Z2N上での平文空間のスライス(区切り)を示している。
平文は、最初はトーラスT上の値(0〜1の実数)だが、ブートストラッピングのアルゴリズム(図2)中で2N倍され、Z2N上の値となる。図3では、Z2N上での平文空間のスライス(区切り)を示している。
スライスは、LWE暗号文の持つノイズの取り得る幅であり、この幅が重ならないように定義されることで平文を配置することができる。
ここでは、平文の値の範囲をB=8とした場合を示しており、0〜2Nが2B個のスライスに分割されている。
すなわち、各スライスの幅はN/Bであり、例えば、平文「3」は、3N/Bを中心に、±N/2Bの範囲に割り当てられる。
ここでは、平文の値の範囲をB=8とした場合を示しており、0〜2Nが2B個のスライスに分割されている。
すなわち、各スライスの幅はN/Bであり、例えば、平文「3」は、3N/Bを中心に、±N/2Bの範囲に割り当てられる。
図4は、本実施形態における1変数関数の値の設定方法を示す図である。
円周上の位置は、前述のベクトルtestv∈TN[X]におけるマイナスの次数に対応し、各スライスに、写像f(min)が割り当てられる。そして、testvの各次数の係数μi(0≦i≦N−1)∈Tとして、前述のようにf(min)/2Bが予め設定される。
なお、前述のtestvの式変形に見られるように、X−i≡−XN−i、Xi≡−X−(N−i)であることから、円周上の対称位置には反対符号の値が設定される。
円周上の位置は、前述のベクトルtestv∈TN[X]におけるマイナスの次数に対応し、各スライスに、写像f(min)が割り当てられる。そして、testvの各次数の係数μi(0≦i≦N−1)∈Tとして、前述のようにf(min)/2Bが予め設定される。
なお、前述のtestvの式変形に見られるように、X−i≡−XN−i、Xi≡−X−(N−i)であることから、円周上の対称位置には反対符号の値が設定される。
図2に戻り、ステップ1において、サンプル変換部112は、トーラスT=R/Z上のLWEサンプル(a,b)∈Tn×Tを2N倍してroundすることにより、整数上のサンプル(a ̄,b ̄)∈Z2N n×Z2Nへ変換する。
ステップ2において、多項式定義部113は、多項式testv:=μ0+μ1X−1+…+μN−1X−(N−1)∈TN[X]を定義する。
ステップ3において、多項式更新部114は、中間生成物として、多項式Xb ̄・(0,testv)∈TN[X]×TN[X]を暗号化したTLWE暗号文であるACCを算出する。
ステップ4〜6のループ処理において、多項式更新部114は、準同型演算により多項式のTLWE暗号文ACCを更新する。
ここで、各BKiは、秘密鍵s”による、平文がTLWE暗号文の秘密鍵siのTGSW暗号文である。前述のように、TGSW暗号文は、TLWE暗号文と準同型演算が可能なので、多項式更新部114は、TGSW暗号文とTLWE暗号文であるACCとの準同型演算により、
のTLWE暗号文にACCを更新する。
よって、ループ処理を終えた時点で、ACCは、
のTLWE暗号文となる。
ここで、各BKiは、秘密鍵s”による、平文がTLWE暗号文の秘密鍵siのTGSW暗号文である。前述のように、TGSW暗号文は、TLWE暗号文と準同型演算が可能なので、多項式更新部114は、TGSW暗号文とTLWE暗号文であるACCとの準同型演算により、
よって、ループ処理を終えた時点で、ACCは、
ステップ7において、定数項抽出部115は、多項式のTLWE暗号文ACCから定数項、すなわちtestvの係数として設定されたf(min)/2BのLWE暗号文を抽出する。
ステップ8において、鍵変換部116は、キースイッチ・キーKSs’→s,γを用いたKeySwitchの操作により、秘密鍵s’によるLWE暗号文であるuを、秘密鍵sによるLWE暗号文に変換する。
図5は、本実施形態における秘匿演算方法に用いる鍵変換処理のアルゴリズムを示す図である。
なお、この鍵変換処理(KeySwitch)は、非特許文献1に示されているものと同一である。
なお、この鍵変換処理(KeySwitch)は、非特許文献1に示されているものと同一である。
このようにして、秘匿演算装置1は、ブートストラッピングと同時に任意の1変数関数fを実行し、入力されたminの暗号文Cm_inに対して、f(min)の暗号文Cf(m_in)を出力する。
[整数と2進数との秘匿乗算]
図6は、本実施形態における秘匿演算装置1の機能構成を示すブロック図である。
制御部10は、前述の入力部111と、サンプル変換部112と、多項式定義部113と、多項式更新部114と、定数項抽出部115と、鍵変換部116とを備えたブートストラップ処理部11に加えて、第1演算部12と、第2演算部13と、出力部14とを備える。
図6は、本実施形態における秘匿演算装置1の機能構成を示すブロック図である。
制御部10は、前述の入力部111と、サンプル変換部112と、多項式定義部113と、多項式更新部114と、定数項抽出部115と、鍵変換部116とを備えたブートストラップ処理部11に加えて、第1演算部12と、第2演算部13と、出力部14とを備える。
ブートストラップ処理部11は、前述した通り、LWE暗号文の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する際に、この多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力する。
第1演算部12は、0以上B未満の入力整数に、入力2進数の1又は0を表す0又はB(若しくは−B)を加算した後、ブートストラップ処理部11に対して、1変数関数として、整数をそのまま返す演算を設定して、第1演算結果を取得する。
ここで、平文空間{−(B−1),…,0,…,B−1}を決める整数Bは、奇数とする。
ここで、平文空間{−(B−1),…,0,…,B−1}を決める整数Bは、奇数とする。
第2演算部13は、入力整数に第1演算結果を加算した後、ブートストラップ処理部11に対して、1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する。
出力部14は、第3演算結果を、入力整数と入力2進数との乗算結果として出力する。
図7は、本実施形態における整数と2進数との乗算のアルゴリズムを示す図である。
ここでは、整数mint∈{0,…,B−1}の暗号文Cm_intと、2進数mbin∈{−B,0,B}の暗号文Cm_binとを入力とし、mbin=0のときCm_intが、mbin=−B又はBのときC0が、乗算MultbyBin(Cm_int,Cm_bin)の結果(暗号文Cm_out)として出力される。
なお、mbin=0は、2進数の1(true)を表し、mbin=−B又はBは、2進数の0(false)を表す。
ここでは、整数mint∈{0,…,B−1}の暗号文Cm_intと、2進数mbin∈{−B,0,B}の暗号文Cm_binとを入力とし、mbin=0のときCm_intが、mbin=−B又はBのときC0が、乗算MultbyBin(Cm_int,Cm_bin)の結果(暗号文Cm_out)として出力される。
なお、mbin=0は、2進数の1(true)を表し、mbin=−B又はBは、2進数の0(false)を表す。
ステップ1において、第1演算部12は、1変数関数fid_int(恒等写像)の実行を伴うブートストラッピングによって、暗号文Ctmp=Bootstrap(Cm_int+Cm_bin,fid_int)を算出する。
ここで、fid_int:{0,…,B−1}→{0,…,B−1}、すなわちfid_int(x):=xの演算は、testvの係数μ0,…,μN−1∈Tを、次のように定義することで実現される。
ステップ2において、第2演算部13は、1変数関数fmultbinの実行を伴うブートストラッピングによって、暗号文Cm_out=Bootstrap(Cm_int+Cm_tmp,fmultbin)を算出する。
ここで、fmultbinは、
であり、この演算は、testvの係数μ0,…,μN−1∈Tを、次のように定義することで実現される。
図8は、本実施形態における乗算を構成する各ステップに伴う平文空間上での値の変化を示す図である。
例えば、入力された整数mint=1は、N/Bを含むスライスに割り当てられており、mbin∈{−B,0,B}を加算すると、結果は、mbin=0(true)の場合は同じスライスに、mbin=−B又はB(false)の場合は(N/B)+Nを含むスライスに位置する。この演算結果に対してfid_intの演算を行うブートストラッピングによって、演算結果tmpは、mbin=0の場合はf(1)の結果の位置、すなわちN/Bを含むスライスに、mbin=−B又はBの場合はf(1)の結果のマイナスの位置、すなわち−N/Bを含むスライスに位置する。
例えば、入力された整数mint=1は、N/Bを含むスライスに割り当てられており、mbin∈{−B,0,B}を加算すると、結果は、mbin=0(true)の場合は同じスライスに、mbin=−B又はB(false)の場合は(N/B)+Nを含むスライスに位置する。この演算結果に対してfid_intの演算を行うブートストラッピングによって、演算結果tmpは、mbin=0の場合はf(1)の結果の位置、すなわちN/Bを含むスライスに、mbin=−B又はBの場合はf(1)の結果のマイナスの位置、すなわち−N/Bを含むスライスに位置する。
このように、前述のアルゴリズム(図7)のステップ1では、Cm_binが−B又はBの暗号文であった場合、図8のようにCm_intの位相は原点対称の位置に移動し、その後、fid_intの演算を伴うブートストラッピングにより、暗号文の位相はx軸対象の位置に移動する。つまり、Ctmpは、正負が反転し、Ctmp=C−m_intとなる。
また、Cm_binが0の暗号文であった場合、0を足すだけなので、Ctmpは変わらず、Ctmp=Cm_intとなる。
また、Cm_binが0の暗号文であった場合、0を足すだけなので、Ctmpは変わらず、Ctmp=Cm_intとなる。
次に、mintにtmpを加算すると、mbin=0の場合は同じ値を足すので2倍され、結果は元の2N/Bを含むスライスに位置する。一方、mbin=−B又はBの場合はプラスとマイナスの同じ値を足すので、結果は0を含むスライスに位置する。この演算結果に対してfmultbinの演算を行うブートストラッピングによって値は半分になり、演算結果moutは、mbin=0の場合はN/Bを含むスライスに、mbin=−B又はBの場合は0を含むスライスに位置する。
このように、前述のアルゴリズム(図7)のステップ2では、Cm_binが−B又はBの暗号文であった場合、Cm_int+Ctmp=C0となり、Cm_binが0の暗号文であった場合、Cm_int+Ctmp=Cm_int+Cm_intとなる。
そして、fmultbinの演算を伴うブートストラッピングによって、Cm_int+Cm_intはCm_intへと半分にされ、C0はそのままC0となる。
そして、fmultbinの演算を伴うブートストラッピングによって、Cm_int+Cm_intはCm_intへと半分にされ、C0はそのままC0となる。
この結果、mbin=0(true)の場合、元のmintが暗号文で出力され、mbin=−B又はB(false)の場合、0が暗号文で出力される。
ここで、値を半分にするfmultbinの演算を、B=5の場合を例に説明する。
mintがB/2未満の値、例えばmint=1に対しては、mint+mint=2であるので、「2」のスライスの演算結果を「1」とする。同様に、mint=2に対しては、「4」のスライスの演算結果を「2」とする。
mintがB/2未満の値、例えばmint=1に対しては、mint+mint=2であるので、「2」のスライスの演算結果を「1」とする。同様に、mint=2に対しては、「4」のスライスの演算結果を「2」とする。
mintがB/2より大きい値、例えばmint=3に対しては、mint+mint=6であるので、「−1」のスライスの演算結果を「3」とする。これはつまり、「−1」のスライスの原点対称の位置にある「1」のスライスの演算結果を「−3」と設定することと同じである。同様に、mint=4に対しては、「−3」のスライスの演算結果を「4」に、つまり、「3」のスライスの演算結果を「−4」とする。
すなわち、1,2,3,4のスライスの演算結果を順に{−3,1,−4,2}とすればよい。これを数式表現すると、前述の式(1)となる。
ここで、Bが奇数であることから、mint+tmpの値は、mintがB/2未満のときB未満の偶数に、mintがB/2より大きいときマイナスの奇数となる。したがって、0〜B−1のスライスに対して演算結果を設定することで値を半分にするfmultbinの演算が実現される。
ここで、Bが奇数であることから、mint+tmpの値は、mintがB/2未満のときB未満の偶数に、mintがB/2より大きいときマイナスの奇数となる。したがって、0〜B−1のスライスに対して演算結果を設定することで値を半分にするfmultbinの演算が実現される。
本実施形態によれば、秘匿演算装置1は、ブートストラッピングと同時に1変数関数を実行する処理を用いて、入力整数に入力2進数を加算した後に関数fid_intを実行する第1演算、入力整数に第1演算の結果を加算した後に関数fmultbinを実行する第2演算を順に実行する。
これにより、秘匿演算装置1は、完全準同型暗号方式により、入力整数と入力2進数との乗算をブートストラッピングと同時に実行できる。
これにより、秘匿演算装置1は、完全準同型暗号方式により、入力整数と入力2進数との乗算をブートストラッピングと同時に実行できる。
また、本発明者は、特願2019−211426号明細書において、1変数関数を実現するブートストラッピング処理を3回実行することで、入力整数と入力2進数との乗算を実現する手法を提案した。
これに対して、本実施形態では、ブートストラッピング処理の回数が2回に削減され、処理効率が向上した。
これに対して、本実施形態では、ブートストラッピング処理の回数が2回に削減され、処理効率が向上した。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
秘匿演算装置1による秘匿演算方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
1 秘匿演算装置
10 制御部
11 ブートストラップ処理部
12 第1演算部
13 第2演算部
14 出力部
20 記憶部
111 入力部
112 サンプル変換部
113 多項式定義部
114 多項式更新部
115 定数項抽出部
116 鍵変換部
10 制御部
11 ブートストラップ処理部
12 第1演算部
13 第2演算部
14 出力部
20 記憶部
111 入力部
112 サンプル変換部
113 多項式定義部
114 多項式更新部
115 定数項抽出部
116 鍵変換部
Claims (3)
- LWE暗号文の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する際に、当該多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力するブートストラップ処理部と、
Bを奇数としたとき、0以上B未満の入力整数に、入力2進数の1又は0を表す値である0又はBを加算した後、前記ブートストラップ処理部に対して、前記1変数関数として恒等写像の演算を設定して、第1演算結果を取得する第1演算部と、
前記入力整数に前記第1演算結果を加算した後、前記ブートストラップ処理部に対して、前記1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する第2演算部と、
前記第2演算結果を、前記入力整数と前記入力2進数との乗算結果として出力する出力部と、を備える秘匿演算装置。 - LWE暗号文の秘密鍵を平文とした暗号文であるブートストラッピング・キーを用いた準同型演算により、多項式のLWE暗号文を更新してノイズを初期化する際に、当該多項式の係数に設定されたトーラス上の値を用いて1変数関数の演算結果を出力するブートストラップ処理部を備えたコンピュータが、
Bを奇数としたとき、0以上B未満の入力整数に、入力2進数の1又は0を表す値である0又はBを加算した後、前記ブートストラップ処理部に対して、前記1変数関数として恒等写像の演算を設定して、第1演算結果を取得する第1演算ステップと、
前記入力整数に前記第1演算結果を加算した後、前記ブートストラップ処理部に対して、前記1変数関数として、偶数を2分の1にし、奇数xを−(x+B)/2にする演算を設定して、第2演算結果を取得する第2演算ステップと、
前記第2演算結果を、前記入力整数と前記入力2進数との乗算結果として出力する出力ステップと、を実行する秘匿演算方法。 - 請求項1に記載の秘匿演算装置としてコンピュータを機能させるための秘匿演算プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020007701A JP7179788B2 (ja) | 2020-01-21 | 2020-01-21 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020007701A JP7179788B2 (ja) | 2020-01-21 | 2020-01-21 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021113956A true JP2021113956A (ja) | 2021-08-05 |
| JP7179788B2 JP7179788B2 (ja) | 2022-11-29 |
Family
ID=77076993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020007701A Active JP7179788B2 (ja) | 2020-01-21 | 2020-01-21 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7179788B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150312028A1 (en) * | 2012-08-28 | 2015-10-29 | Snu R&Db Foundation | Homomorphic encryption and decryption methods using ring isomorphism, and apparatuses using the same |
| US20190327077A1 (en) * | 2018-04-18 | 2019-10-24 | Fujitsu Limited | Outsourcing processing operations with homomorphic encryption |
| JP2019211426A (ja) * | 2018-06-08 | 2019-12-12 | Jnc株式会社 | カラム、カラム充填装置、カラム充填システム、及びカラム処理方法 |
| JP2021083039A (ja) * | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
-
2020
- 2020-01-21 JP JP2020007701A patent/JP7179788B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150312028A1 (en) * | 2012-08-28 | 2015-10-29 | Snu R&Db Foundation | Homomorphic encryption and decryption methods using ring isomorphism, and apparatuses using the same |
| US20190327077A1 (en) * | 2018-04-18 | 2019-10-24 | Fujitsu Limited | Outsourcing processing operations with homomorphic encryption |
| JP2019191575A (ja) * | 2018-04-18 | 2019-10-31 | 富士通株式会社 | 準同型暗号を用いた処理動作の委託 |
| JP2019211426A (ja) * | 2018-06-08 | 2019-12-12 | Jnc株式会社 | カラム、カラム充填装置、カラム充填システム、及びカラム処理方法 |
| JP2021083039A (ja) * | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 佐久間 淳ほか: "安全なデータ活用を実現する秘密計算技術", 情報処理, vol. 第59巻,第10号, JPN6022044236, 15 September 2018 (2018-09-15), JP, pages 898 - 903, ISSN: 0004904307 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7179788B2 (ja) | 2022-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cheon et al. | Homomorphic encryption for arithmetic of approximate numbers | |
| Bost et al. | Machine learning classification over encrypted data | |
| Carpov et al. | New techniques for multi-value input homomorphic evaluation and applications | |
| Noshadian et al. | Optimizing chaos based image encryption | |
| Han et al. | Efficient logistic regression on large encrypted data | |
| JP7146724B2 (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| Bae et al. | Meta-bts: Bootstrapping precision beyond the limit | |
| Ramos-Calderer et al. | Quantum search for scaled hash function preimages | |
| Kim et al. | Comprehensive introduction to fully homomorphic encryption for dynamic feedback controller via LWE-based cryptosystem | |
| Jiang et al. | Statistical learning based fully homomorphic encryption on encrypted data | |
| Xiang et al. | Fast blind rotation for bootstrapping FHEs | |
| JP6916770B2 (ja) | 秘匿計算装置、秘匿計算方法及び秘匿計算プログラム | |
| JP7146725B2 (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| JP7096214B2 (ja) | 秘匿計算装置、秘匿計算方法及び秘匿計算プログラム | |
| JP7228286B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP2021113956A (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| Guimaraes et al. | Homomorphic evaluation of large look-up tables for inference on human genome data in the cloud | |
| JP2022041863A (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| Wang et al. | Efficient homomorphic integer polynomial evaluation based on GSW FHE | |
| Schmid et al. | Towards Private Deep Learning-Based Side-Channel Analysis Using Homomorphic Encryption: Opportunities and Limitations | |
| JP7185346B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP2021081591A (ja) | 安全性評価装置、安全性評価方法及び安全性評価プログラム | |
| JP7228287B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7261502B2 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7187076B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220107 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221018 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221025 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221116 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7179788 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |