JP2021179603A - 準同型暗号基盤の暗号文処理方法及び装置 - Google Patents

準同型暗号基盤の暗号文処理方法及び装置 Download PDF

Info

Publication number
JP2021179603A
JP2021179603A JP2021067688A JP2021067688A JP2021179603A JP 2021179603 A JP2021179603 A JP 2021179603A JP 2021067688 A JP2021067688 A JP 2021067688A JP 2021067688 A JP2021067688 A JP 2021067688A JP 2021179603 A JP2021179603 A JP 2021179603A
Authority
JP
Japan
Prior art keywords
polynomial
ciphertext
samples
approximate polynomial
modulus reduction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021067688A
Other languages
English (en)
Inventor
宗善 盧
Jong-Seon No
勇雨 李
Yong-Woo Lee
榮植 金
Eishoku Kin
俊雨 李
Shunu Lee
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
SNU R&DB Foundation
Industry Academic Cooperation Foundation of Chosun National University
Original Assignee
Samsung Electronics Co Ltd
SNU R&DB Foundation
Industry Academic Cooperation Foundation of Chosun National University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd, SNU R&DB Foundation, Industry Academic Cooperation Foundation of Chosun National University filed Critical Samsung Electronics Co Ltd
Publication of JP2021179603A publication Critical patent/JP2021179603A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3026Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to polynomials generation, e.g. generation of irreducible polynomials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Complex Calculations (AREA)

Abstract

【課題】準同型暗号基盤の暗号文処理方法及び装置を提供する。【解決手段】開示された準同型暗号基盤の暗号文処理方法は、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式をモジュラス減少から抽出された複数のサンプルに基づいて決定するステップ、及び近似多項式に基づいて、暗号文にブートストラップを行うステップを含む。【選択図】図3

Description

以下の実施形態は、準同型暗号基盤の暗号文処理方法及び装置に関する。
完全準同型暗号化(fully homomorphic encryption)は、暗号化されたデータを用いた任意の論理的な演算又は数学的な演算を可能にする暗号化方式である。完全準同型暗号化方式は、データ処理でセキュリティ維持する。完全準同型暗号化は、クライアントがプライバシーを守りながら多くのサービスを受けることを可能にする。
本発明の目的は、準同型暗号基盤の暗号文処理方法及び装置を提供することにある。
一実施形態に係る準同型暗号基盤の暗号文処理方法は、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式を前記モジュラス減少から抽出された複数のサンプルに基づいて決定するステップと、前記近似多項式に基づいて、前記暗号文にブートストラップを行うステップとを含む。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記近似多項式を決定するステップは、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が予め決定された閾値よりも小さくなるように前記近似多項式の係数を決定することができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記近似多項式を決定するステップは、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が予め決定された閾値よりも小さいか否かを判断し、前記現在差が予め決定された閾値と同一であるか大きい場合、前記現在差と以前ステップで決定された差間の比較に基づいて、前記複数のサンプルの個数又は前記近似多項式の次数を増加させることができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記近似多項式を決定するステップは、前記現在差と以前ステップで決定された差間の類似度が予め決定された閾値類似度よりも小さければ、前記複数のサンプルの個数を増加させ、
前記類似度が予め決定された閾値類似度と同一であるか大きければ、前記近似多項式の次数を増加させることができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の差は、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間のL2−normに基づいて決定されることができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記近似多項式を決定するステップは、奇数次数項から構成された前記近似多項式を決定することができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記近似多項式を決定するステップは、チェビシェフ(Chebyshev)多項式を基礎とした前記近似多項式を決定することができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記複数のサンプルは、前記モジュラス減少に対応する関数のうち基準点を中心に対称形態を有する区分的連続区間から抽出されることができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記複数のサンプルは、前記区分的連続区間で前記基準点によって分かれた一部から抽出されることができる。
一実施形態に係る準同型暗号基盤の暗号文処理方法において、前記暗号文にブートストラップを行うステップは、前記近似多項式を用いて前記モジュラス減少を準同型的に評価することで前記暗号文に前記ブートストラップを行うことができる。
一実施形態に係る準同型暗号基盤暗号文処理装置は、1つ以上のプロセッサを含み、前記1つ以上のプロセッサは、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式を、前記モジュラス減少から抽出された複数のサンプルに基づいて決定し、前記近似多項式に基づいて前記暗号文にブートストラップを行う。
一実施形態に係る方法は、モジュラス減少から抽出されたサンプルの初期個数に基づいて、暗号文をブトストラップピングするためのモジュラス減少に対応する初期近似多項式を決定するステップと、前記初期近似多項式とモジュラス減少関数との間の誤差を算出するステップと、前記誤差に基づいて前記サンプルの初期個数及び前記初期近似多項式の次数のうち1つを増加させるステップと、前記サンプルの増加された個数又は前記初期近似多項式の増加された次数に基づいて、アップデートされた近似多項式を決定するステップと、前記アップデートされた近似多項式を用いて、前記モジュラス減少を準同型的に評価するステップとを含む。
一実施形態に係る方法において、前記誤差を算出するステップは、前記モジュラス減少から抽出された前記サンプルの初期個数と前記初期近似多項式の値との間の差が閾値以上であることを決定するステップを含むことができる。
本発明によると、準同型暗号基盤の暗号文処理方法及び装置を提供することができる。
一実施形態によって準同型暗号に基づいて暗号化された暗号文を処理するユーザ端末とサーバーの動作を説明するための図である。 一実施形態に係るスケーリングされたモジュラス減少関数を例示的に示した図である。 一実施形態に係る近似多項式を決定する過程を説明するための図である。 一実施形態により決定された近似多項式を用いたブートストラップを説明するための図である。 一実施形態に係る暗号文処理方法を示した図である。 一実施形態に係る暗号文処理装置を示した図である。
実施形態に対する特定な構造的又は機能的な説明は単なる例示のための目的として開示されたものとして、様々な形態に変更される。したがって、実施形態は特定な開示形態に限定されるものではなく、本明細書の範囲は技術的な思想に含まれる変更、均等物ないし代替物を含む。
第1又は第2などの用語を複数の構成要素を説明するために用いることがあるが、このような用語は1つの構成要素を他の構成要素から区別する目的としてのみ解釈されなければならない。例えば、第1構成要素は第2構成要素と命名することができ、同様に第2構成要素は第1構成要素にも命名することができる。
単数の表現は、文脈上、明白に異なる意味をもたない限り複数の表現を含む。本明細書において、「含む」又は「有する」等の用語は明細書上に記載した特徴、数字、ステップ、動作、構成要素、部品又はこれらを組み合わせたものが存在することを示すものであって、1つ又はそれ以上の他の特徴や数字、ステップ、動作、構成要素、部品、又はこれを組み合わせたものなどの存在又は付加の可能性を予め排除しないものとして理解しなければならない。
異なるように定義さがれない限り、技術的であるか又は科学的な用語を含むここで用いる全ての用語は、本実施形態が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有する。一般的に用いられる予め定義された用語は、関連技術の文脈上で有する意味と一致する意味を有するものと解釈すべきであって、本明細書で明白に定義しない限り、理想的又は過度に形式的な意味として解釈されることはない。
以下、実施形態を添付の図面を参照しながら詳説する。実施形態の説明において関連する公知技術に対する具体的な説明が本発明の要旨を不要に曖昧にすると判断される場合、その詳細な説明は省略する。
図1は、一実施形態によって準同型暗号に基づいて暗号化された暗号文を処理するユーザ端末とサーバーの動作を説明するための図である。
図1を参照すると、ユーザ端末110とサーバー120が示されている。ユーザ端末110はユーザによって制御される装置であって、例えば、スマートフォン、タブレット、ラップトップ、パーソナルコンピュータなどの様々なコンピュータ装置、スマートウォッチ、スマートメガネなどの様々なウェアラブル器機、スマートスピーカ、スマートTV、スマート冷蔵庫などの様々な家電装置、スマート自動車、スマートキオスク、IoT(Internet of Things)器機、ドローン、ロボットなどを含んでもよい。ユーザ端末110は、格納されているデータを準同型暗号に基づいて暗号化し、サーバー120に送信することができる。ユーザ端末110は、サーバー120で提供する様々なサービス利用などのためにデータをサーバー120へ送信することができるが、ここで、送信されるデータは、情報保護のために暗号化されたデータであってもよい。サーバー120で暗号化されたデータに対する処理のためにユーザ端末110は、準同型暗号に基づいてデータを暗号化することができる。
準同型暗号は、復号化することなく暗号化されたデータに対する演算を許容する暗号化方式である。準同型暗号は、復号化することなく暗号化されたデータを処理できるため、プライバシーの求められるデータが多いアプリケーションに適する。例えば、準同型暗号は、CKKS(Cheon−Kim−Kim−Song)方式であってもよく、これに対する詳しい説明は後述する。本明細書において、暗号化されないデータは、プレーンテキスト(plaintext)であって、暗号化されたデータは暗号文(ciphertext)に表現されてもよい。
準同型暗号にはノイズが含まれており、暗号文に対する演算が行われることでノイズレベルが増加し得る。ノイズがデータを圧倒(overwhelming)することを防止するために、ノイズ処理、言い換えれば、ノイズをリフレッシュするブートストラップが行われることができる。ブートストラップを介して回路深度(circuit depth)に関係なく、パラメータ大きさと算出オーバーヘッドが固定され得る。
準同型暗号で暗号化された暗号文には、ブートストラップなしに可能な演算の最大回数が存在し、これはレベルl(0<l≦L)で表現されてもよい。ブートストラップは、演算がこれ以上行われないレベル0の暗号文をリフレッシュし、同一メッセージを有するレベルLの暗号文を生成する過程である。
サーバー120は、ブートストラップを介して暗号文に対して様々な演算を行うことができ、ここで、暗号文に対する復号化が求められないため個人情報保護が侵害されない。実施形態によって、サーバー120で演算された暗号文は、再度ユーザ端末110に送信され、ユーザ端末110は、該当暗号文を復号化したデータをユーザに提供したり、後続動作に利用してもよい。
ブートストラップでは、モジュラス減少の準同型評価(homomorphic evaluation)が重要である。算術演算のみが準同型として評価されることがあるが、モジュラス減少は算術演算ではないため、モジュラス減少のための多項式近似が求められる。本明細書において、準同型評価は、準同型値の算出又は準同型の実行に表現されてもよい。
本明細書において、モジュラス減少のための近似多項式を求める問題は、最適解を直接算出できるL2−norm最小化問題に切り替えてもよい。したがって、三角関数(例えば、正弦関数など)を用いた多項式近似による限界を容易に克服することができる。モジュラス減少の近似多項式を求めるために、離散化最適化方法(discretized optimization method)を適用してもよい。修正された離散化問題を解決することで、モジュラス減少に対する近似多項式の次数を減らしながらも低い誤差を有することができる。また、ブートストラップのレベル損失を減少することができ、キャスト問題(cast problem)に対する解を繰り返すことなく効率的な方式で決定きる。
図2は、一実施形態に係るスケーリングされたモジュラス減少関数を例示的に示した図である。
本明細書において、ベクトルはxのように太字で表示し、ベクトルは列ベクトルである。行列は、Aのように太字の大文字に表示されてもよい。2つのベクトルの内積は<・,・>又は簡単に・で表示されてもよい。行列乗算は・で表示されてもよいし、あるいは不要な場合に省略されてもよい。ベクトルのLp−normは、
Figure 2021179603
で表示されてもよい。ここで、x[i]はベクトルxのi番目のエレメントを示す。同様に、A[i、j]はi行目とj列目にある行列Aのエレメントを示す。
x←D
は、分布Dによるサンプリングxを示す。分布の代わりに集合(set)を使用する場合、xは、集合エレメントのうちランダムに均一にサンプリングされたことを示す。
チェビシェフ補間
チェビシェフ補間(Chebyshev interpolation)は、チェビシェフ多項式を補間多項式の基礎(basis)とする多項式補間法である。第1種のチェビシェフ多項式は、つまり、チェビシェフ多項式は、再帰関係(recursive relation)によって次のように表現されることができる。
Figure 2021179603
次数nのチェビシェフ多項式は区間[−1、1]にn個の異なる根(distinct root)を有し、全ての極限値も[−1、1]に存在してもよい。また、
Figure 2021179603
はn次数のモニック多項式(monic polynomials)のうち、最大絶対値(maximal absolute value)が最小であり、絶対値が1/(2−1)である多項式であってもよい。
チェビシェフ補間において、n次多項式p(x)は、次のような形式のチェビシェフ多項式の和として表現されてもよい。
Figure 2021179603
(x)は、n+1ポイント{x、x、...、x}を補間することで、f(x)に対する近似多項式であってもよい。
Figure 2021179603
ポイント{x、x、...、x}の選択は、近似値を正しく求めるために重要である。
CKKS方式
正の定数Mに対して、Φ(X)をN次のM番目の循環多項式(cyclotomic polynomial)と言う。ここで、Mは2の累乗、M=2N、Φ(X)=X+1であってもよい。
Figure 2021179603
CKKS方式及びRNS(residual number system)変形は、エラーのある実数データ(real number data)に対する準同型演算を提供することができる。これは、カノニカル埋め込み(canonical embedding)とその逆によって行われることができる。
Figure 2021179603

Ecd(z;Δ).(N/2)次元ベクトルzに対する符号化は、次をリターンすることができる。
Figure 2021179603

Dcd(m;Δ).入力多項式m(X)∈Rに対して、インデックスjのエントリーがj∈Tに対して
Figure 2021179603
a∈Rに対するσ(a)のL−infinity normは
Figure 2021179603
に表示されるaのカノニカル埋め込みnormに称されてもよい。
次のように3種類の分布が定義されてもよい。実数γ>0である場合、
Figure 2021179603
エントリーは分散γの離散ガウス分布(discrete Gaussian distribution)に独立的にサンプリングされることができる。
Figure 2021179603
0<l≦Lに対してレベルlの暗号文があると仮定する。ここで、レベルlは、ブートストラップの前に可能な最大乗算数を示す。説明の便宜のために、ベースp>0とモジュラスqを固定し、q=p・qにする。ベース定数pは、スケーリングのベースΔであってもよい。
CKKS方式は、次のようなキー生成、暗号化、復号化、及び対応する準同型演算に定義される。
KeyGen(1λ).セキュリティパラメータλが与えられれば、2の累乗であるM、定数h、定数P、実数値γ及びQ≧qとなる最大暗号文モジュラスQが決定され、下記のようにサンプルが行われる。
Figure 2021179603
Figure 2021179603
Figure 2021179603
Figure 2021179603
上述した演算以外にも、複雑な共役及び回転のような様々な演算を提供するためにキースイッチング方式を用いてもよい。
ここで、支援される基本演算は、CKKSのfull−RNS変形にも類似に適用されてもよい。したがって、本明細書で説明する方案は、CKKS方式と様々な変形に全て適用されてもよい。
CKKS方式におけるブートストラップ
CKKS方式でブートストラップは、ModRaise(Modulus Raising)、CoeffToSlot(Putting Polynomial Coefficients in Plaintext Slots)、EvalMod(Evaluation of the Approximated Modulus Reduction)、及びSlotToCoeff(Switching Back to the Coefficient Representation)の4つのステップを含んでもよい。
ModRaiseは、暗号文のモジュラスをさらに大きい値に変更する過程である。ctをm(X)=[<ct,sk>]を満足する暗号文であると仮定する。
Figure 2021179603
次の過程は、t(X)係数の残り、言い換えれば、tをqに割った残り[t]qを準同型に算出することができる。モジュラス減少は算術演算ではないため、これを近似する多項式を求めることが重要である。メッセージの大きさが制御され得るため、小さいεに対してm<ε・qを保障することができる。
CoeffToSlotと係わって、近似準同型演算は、プレーンテキストスロット(plaintext slot)で行われてもよい。従って、t(X)を扱うためには、プレーンテキストスロットに多項式係数を入れる。CoeffToSlotのステップで、Ecdは行列乗算、単一根(roots of unity)の関係を用いたFFTに類似の演算、又は、これらのハイブリッド方法を用いて準同型的に行われることができる。そして、
Figure 2021179603
EvalModの過程で、各スロットのエレメントは、単一命令多重データ(single instruction multiple data)の観点で考慮されることができる。言い換えれば、t=qI+mはスロット内のエレメントを示す。EvalModステップでは、[t]に対する近似評価を行う。
SlotToCoeffは、CoeffToSlotの逆演算であってもよい。
モジュラス減少に対応する近似多項式
上記で説明したように、CKKS方式のブートストラップでモジュラス減少の準同型評価が重要である。
図2に示すグラフのように、モジュラス減少関数を1/qにスケーリングし、[t]qをt−k(t∈I)で定義することができる。ここで、I=[k−ε,k+ε]であり、kは|k|<Kである定数である。また、εは、メッセージ多項式の最大係数と暗号文モジュラスとの間の割合、言い換えれば、|m|/q<εを示す。[t]qのドメインは、
Figure 2021179603
L2−norm最適化を用いた近似多項式
以下、sine関数又はcosine関数のような中間近似を利用せず、[t]の近似多項式p(t)を直接求める方法について説明する。提案された方法は、最小二乗推定(least−squares estimation)又はL2−norm最適化を使用することができる。目標は、
Figure 2021179603
を最小化させる係数c=(c、c、...、c)の集合を求めることにある。ここで、n次多項式は、
Figure 2021179603
で定義される。このような多項式をミニマックス多項式と称する。p(t)はcとT=(1、t、...、t)の内積と同一である。
ここで、t’は各Iでδ<<ε内の区間で均一にサンプリングされたものであり、例えば、k−ε,k−ε+δ,...,k+ε−δ,k+εであってもよい。Iには(2ε/δ+1)サンプルが存在し、従って、総サンプルの個数は
Figure 2021179603
であってもよい。tのNtotサンプルを用いて、t次数のベクトル、言い換えれば、1≦i≦Ntotに対するT=(1、t、t 、...、t )が決定され得る。
言い換えれば、図2に示されたモジュラス減少関数の区分的連続(piecewise continuous)区間I=[k−ε,k+ε]それぞれで(2ε/δ+1)のサンプルが抽出されてもよい。後で説明するが、モジュラス減少関数で区分的連続区間I=[k−ε,k+ε]それぞれは、基準点(例えば、−2、−1、0、1、2など)を中心に対称形態を有し、このような特性を利用すれば、区分的連続区間I=[k−ε,k+ε]それぞれで基準点によって区分された一部(例えば、0よりも大きいモジュラス減少関数値を有する一部、又は0よりも小さなモジュラス減少関数値を有する一部)から抽出されたサンプルのみを用いて、近似多項式を決定することもできる。
最小化する目的関数(object function)は、次のように与えられる。
Figure 2021179603
ここで、TはT[i,j]=t であるNtot×(n+1)行列であり、yはy[i]=[tであるベクトルである。L−infinity normの代わり、先の目的関数がL2−normを用いた損失関数に代替される。すると、L2−normを最小化するための最適解が効率よく算出されることができる。Lが係数cを有するL2−normを示す。そして、次を最小化するcを求めることができる。
Figure 2021179603
残念ながら、多項式の次数nが高くなるにつれて、Tのエントリーが極めて大きいか、0に近い小さな値を有することがある。
従って、パワー基礎(power basis)の代わりに、多項式に基づいてチェビシェフ多項式が使用されてもよい。
Figure 2021179603
したがって、Tのエントリーは0周辺の小さな値であるか、極めて大きい値よりも[−1、1]によく分布されている。
そして、最適係数ベクトルcは次のとおりである。
Figure 2021179603
損失が凸関数(convex function)であるため、最適解(optimum solution)cは勾配0にある。損失関数Lの勾配は次のとおりである。
Figure 2021179603
勾配を0に設定すれば、次のように最適係数が生成される。
Figure 2021179603
要約すると、モジュラス減少関数は次のように近似されることができる。
Figure 2021179603
1)サンプルの最大誤差と近似誤差
近似誤差は、サンプリングされたポイントの最大誤差と
Figure 2021179603
の積によって制限されてもよい。t∈Iの場合、近似誤差が次の絶対値に定義されることができる。
Figure 2021179603
不連続ポイント(discrete points)t’sに対する|E(t)|が最適化されてもよい。
小さな区間[t,t+δ)内のtに対する|E(t)|を考慮することができる。すると、
|E(t)|≦|E(t)|+|E(t)−E(t)|が決定され、|E(t)−E(t)|は次のように制限されてもよい。
Figure 2021179603
従って、下記の数式が導出される。
Figure 2021179603
要約すると、ファインサンプリング(fine sampling)を利用すれば、サンプリングされたポイントの最大誤差が近似誤差のグローバル最大(global maximum)に近い。また、目的関数のドメインは、CKKS方式でエラーのある実数であるため、サンプリングされた値を処理することが合理的である。
2)L−infinity Normの代わりにL2−norm
次のように、L2−normにL−infinity normを制限することができる。
Figure 2021179603
従って、L2−normを最小化すれば、L−infinity normが減少する。厳しい制限ではないため、さらに高いnormを用いて最適化する余地があり得るが、L2−normの解が明確かつ簡単に算出されることができる。モジュラス減少関数のミニマックス多項式を求めることが難しい一方、L2−normの最適化問題を介して繰り返すことなく、極めて効率的な方式でミニマックス多項式の最適に近い解を求めることができる。
3)c を求める時間複雑度(Time Complexity)
tot>nを考慮すれば、行列反転(TT)−1が支配的な算出(dominant computation)であってもよい。したがって、Coppersmith Winograd algorithmを使用するとき、時間複雑度はO(Ntot 2.37)である。これはcが予め算出され、後で説明するbaby−step giant−step algorithm又はPaterson−Stockmeyer algorithmに対する係数に格納されているため、許容されることができる。
近似多項式の効率的な準同型評価
近似多項式は、チェビシェフ多項式に基づいて最適化することができる。したがって、提案された多項式の効率的な準同型評価のために、baby−step giant−step algorithmと、modified Paterson−Stockmeyer algorithmが適用され得る。baby−step giant−step algorithmを利用すると、mの深さを消耗しながら、最大2+2m−l+m−l−3非スカラー(nonscalar)乗算でp(t)を準同型的に評価することができる。ここで、2は、n次よりも大きくてもよい。
baby−step giant−step algorithmを介してチェビシェフ多項式が評価されれば、T2n=2T −T及びT2n+1=2Tn+1−Tが利用され、2の乗算が足し算に代替される。したがって、1つのビスカラーの乗算と2つの足し算が必要である。
baby−step giant−step algorithmの baby−stepでは、2−1の次多項式が評価され、最大2/2の多項式が存在し得る。しかし、2>n+1であれば、係数が全て0である多項式が存在し得る。これを無視すると、baby−stepで次数が最大2−1である
Figure 2021179603
言い換えれば、2とn+1が互いに異なるため、baby−step giant−step algorithmには
Figure 2021179603
したがって、このような0多項式が無視され、再帰構造(recursive structure)では、giant−stepで正確に
Figure 2021179603
ここで、N(k),k≧2はgiant−stepで非スカラー乗算の個数であり、k<2に対してN(k)=0である。
Figure 2021179603
奇数関数の特性
近似多項式の次数が2−1と2nであるとき、最大近似誤差が互いに類似し、これは近似目標であるモジュラス減少関数[t]が奇数関数(odd function)であるためである。次の命題(proposition)は、奇数関数に対するミニマックス多項式が奇数関数であることを示す。
命題:もし、f(t)が奇数関数であれば、n次多項式のうち最上の近似度の最も近似度奇数
が最大m次数の多項式関数の部分空間(subspace)を示し、f(t)がsupreme normでf(t)に最も近いPの固有エレメントを示す。
Figure 2021179603
が定義される。すると、f(t)のドメインで全てのuに対して次の数式が成立される。
Figure 2021179603
提案された方法の多項式係数において、偶数項の係数はp(t)で0に近い極めて小さな値を有してもよい。これは、モジュラス減少関数が奇数関数であるため、提案された方法がミニマックス多項式の近くで多項式を求めるということに対する証拠になる。偶数項は、近似多項式を求めるのにハンディキャップになり得る。従って、奇数次数のチェビシェフ多項式のみを用いて近似すれば、より正確な近似多項式を生成することができる。
奇数関数の特性を活用することが提案された方法の長所の1つである。奇数関数が原点に対して対称という事実を用いて、値が0よりも大きいサンプル(又は、値が0よりも小さなサンプル)にのみL2−normの最小化を解くことができる。したがって、行列Tの行及び列の個数がそれぞれ半分に減少し得る。結果的に、行列反転の時間複雑度は約1/8に減少される。また、偶数次数項に対する一部の演算が準同型評価中に無視されてもよい。
ブートストラップによるレベルの減少
提案された方法を使用すれば、ブートストラップのうちレベル損失を減少させるために最も適したパラメータを選択することができれる。前述したように、提案された方法は、上記した最上の方法よりも相対的に大きい場合にさらに正確な近似多項式を求めることができる。以下では、このような特性に基づいてパラメータがどのように選択されるかについて説明する。
ノイズ推定のために、次のレンマ(lemmas)を用いてもよい。
Figure 2021179603
スロットで値の精密度を保持するため、CoeffToSlotステップにおいて充分に大きいスケーリング因子Δbs=O(q)を乗算することができる。Δbsは、メッセージΔのスケーリング因子と異なってもよい。上記のレンマ3から、充分に大きいPが選択されるとき、CoeffToSlotステップにおける全てのエラーはO(Brs)であってもよい。
EvalModステップにおいて、対応するプレーンテキストスロットの各コンポネントは|e|≦O(Brs)のような小さいエラーeに対するt+eを含んでもよい。近似多項式p(t)はスケーリング因子Δbsに評価されるため、近似実数は次の通りである。
Figure 2021179603
EvalModステップのエラーをO(Brs)に制限する場合に、次が保障されなければならない。
Figure 2021179603
EvalModステップのエラーがO(Brs)に制限されれば、SlotToCoeffステップ以後のエラーがO(√N・Brs)に制限されてもよい。
上記のレンマ2で、ブートストラップのエラーはメッセージΔのスケーリング因子に独立的であり、O(N√h)に制限されてもよい。したがって、プレーンテキストの精密度はlogΔに比例し、ここでΔは|m|を決定することができる。前に説明した方法により、ブートストラップのレベル損失は略O(m3/2)ではないO(m)に比例する。これは、提案された方法の長所の1つであり、既存方法の限界を克服することができ、さらに正確な算出が求められるときにさらに多い効果を得ることができる。
スロット数のような様々な因子がプレーンテキストの精密度に影響を与える。したがって、プレーンテキストの精密度は数値的な方法を用いて取得され、パラメータを決定するために利用される。提案された方法を利用すれば、相対的に小さいqが用いられるため、場合に応じてブートストラップ後にさらに多くのレベルが残る場合がある。
上記の説明を介して、ブートストラップのためのモジュラス減少関数の近似多項式を決定することができる。モジュラス減少のための近似多項式を求める問題は、サイン関数のような中間関数なくても直接求めることのできるL2−normの最小化問題に置換され得る。
提案された方法の近似誤差はサイン関数の影響を受けないため、モジュラス減少を高い正確度で近似することができる。チェビシェフ多項式を基礎として次数が低い多項式であっても、より低い近似誤差を達成することができる。また、提案された多項式は、baby−step giant−step algorithmとPaterson−Stockmeyer algorithmを活用してもよい。baby−step giant−step algorithmに必要な非スカラー乗算、スカラー乗算、及び足し算の個数に基づいて、提案された多項式が準同型近似モジュラス減少のために必要な演算数を減少させることが確認される。
提案された方法は、特に、大きいスケーリング因子を選択した場合に、さらに少ないエラーでブートストラップを提供することができる。したがって、パラメータ選択の幅が拡張され得る。最も重要なことは、提案された方法は、正確な近似が必要なアプリケーションに不可欠である。逆に、提案された方法は、このような下限がないことから、より良いパラメータを選択することができる。その結果、ブートストラップは提案された方法を使用する時、より少ないレベルを消費することができる。
図3は、一実施形態に係る近似多項式を決定する過程を説明するための図である。
ステップS301において、サンプル個数N、近似多項式の次数n、目標誤差etargetが決定される。例えば、サンプル個数Nは16に決定されてもよい。但し、実施形態がこれに制限されることなく、初期サンプルの数は状況に応じて多様に設定される。
ステップS302において、各区間IごとにN個のサンプルt、...、tN(2K−1)が抽出される。ここで、Ik=[k−ε,k+ε]であってもよい。
ステップS303において、チェビシェフ多項式を基礎とする近似多項式Tと、モジュラス減少に対応する関数値Yが決定される。ここで、
Figure 2021179603
であり、T(・)は第1種のi次数チェビシェフ多項式を示す。
ステップS304において、各サンプルに対してモジュラス減少関数値[tとn次の多項式値
Figure 2021179603
の差のL2−normを最小化する最適係数ベクトルcが決定されることができる。
ステップS305において、決定された最適係数ベクトルcを用いて近似多項式p(t)が決定される。
ステップS306において、決定された近似多項式p(t)とモジュラス減少関数[t]間の誤差errorが算出される。
ステップS307において、算出された誤差errorが目標誤差etargetよりも小さいか否かが判断される。もし、算出された誤差errorが目標誤差etargetよりも大きいか又は同一でれば、ステップS308を引き続き実行する。
ステップS308において、算出された誤差errorが以前ステップで算出された誤差間の類似度が予め決定された閾値類似度よりも小さいか否かが判断される。もし、類似度が予め決定された閾値類似度よりも小さければ、言い換えれば、以前ステップで算出された誤差よりも現在ステップで算出された誤差errorが減少して互いに類似しない場合は、ステップS309が続いて実行され、サンプル個数Nが増加される。反対に、類似度が予め決定された閾値類似度よりも大きいか同一である場合、言い換えれば、現在ステップで算出された誤差errorが以前ステップで算出された誤差と類似すれば、ステップS310が続いて実行されて近似多項式の次数nが増加される。このように、サンプル個数が少なければ、近似多項式がモジュラス減少関数を円滑に近似されないことがあり、サンプル個数Nを増加させる必要がある。サンプル個数を増加させても誤差が大きく改善されなければ、近似多項式の次数が足りないことであるため、次数nを増加させることができる。前述で説明した説明のように、近似多項式は奇数次数項から構成されるため、次数nが2位増加される。
ステップS307で算出された誤差errorが目標誤差etargetよりも小さいと判断されれば、ステップS311が続いて実行され、近似多項式p(t)が最終決定されて返還される。
上記の方式により求めた係数として表現される近似多項式は、ベビーステップジャイアントステップアルゴリズムや、Paterson−Stockmeyerアルゴリズムなどの演算の回数と深さを減らすための演算を含む様々な方法によって完全準同型暗号のブートストラップに活用されることができる。
実施形態によって、演算を容易にするために、一部次数のチェビセプ多項式のみを近似多項式に使用してもよい。また、チェビセプ多項式以外にルジャンドル多項式又はxのpowerが基礎として使用されてもよい。
図4は、一実施形態により決定された近似多項式を用いたブートストラップを説明するための図である。
ステップS410において、ブートストラップ過程のうち、モジュラス演算の必要な暗号文が識別される。ステップS420において、図3で決定したモジュラス減少関数に対する近似多項式p(t)が準同型的に評価され、ステップS430において、モジュラス演算の近似結果物が取得される。
図5は、一実施形態に係る暗号文処理方法を示した図である。
図5を参照すると、一実施形態に係る暗号文処理装置に備えられたプロセッサで行われる暗号文処理方法が示されている。
ステップS510において、暗号文処理装置は、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式をモジュラス減少から抽出された複数のサンプルに基づいて決定する。暗号文処理装置は、複数のサンプルと近似多項式の値の間の差が予め決定された閾値よりも小さくなるよう、近似多項式の係数を決定することができる。
暗号文処理装置は、複数のサンプルと近似多項式の値の間の差が予め決定された閾値よりも小さいか否かを判断し、差が予め決定された閾値と同一であるか大きい場合、差と以前ステップで決定された差との間の比較に基づいて、複数のサンプルの個数又は近似多項式の次数を増加させることができる。例えば、暗号文処理装置は、差と以前ステップで決定された差との間の類似度が予め決定された閾値類似度よりも小さければ、複数のサンプルの個数を増加させ、類似度が予め決定された閾値類似度と同一であるか大きければ、近似多項式の次数を増加させることができる。複数のサンプルと近似多項式の値の間の差は、複数のサンプルと近似多項式の値の間L2−normに基づいて決定されることができる。
暗号文処理装置は、奇数次数項から構成された近似多項式を決定してもよい。暗号文処理装置は、チェビシェフ(Chebyshev)多項式を基礎とした近似多項式を決定することができる。
ステップS520において、暗号文処理装置は近似多項式に基づいて、暗号文にブートストラップを行う。暗号文処理装置は、近似多項式を用いてモジュラス減少を準同型的に評価することにより、暗号文にブートストラップを行うことができる。
図5に示された各ステップには、図1〜図4を参照して前述した事項がそのまま適用されるため、より詳細な説明は略する。
図6は、一実施形態に係る暗号文処理装置を示した図である。
図6を参照すると、一実施形態に係る暗号文処理装置600は、メモリ610及びプロセッサ620を含む。メモリ610及びプロセッサ620は、バス630などを介して互いに通信することができる。
メモリ610は、コンピュータで読み出し可能な命令語を含んでもよい。プロセッサ620は、メモリ610に格納されている命令語がプロセッサ620で実行されることで前述した動作を行う。メモリ610は、揮発性メモリ又は不揮発性メモリであってもよい。
プロセッサ620は、命令語、あるいはプログラムを行うが、暗号文処理装置600を制御する装置として、例えば、CPU(Central Processing Unit)、GPU(Graphic Processing Unit)などを含んでもよい。プロセッサ620は、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式をモジュラス減少から抽出された複数のサンプルに基づいて決定し、近似多項式に基づいて暗号文にブートストラップを行う。
暗号文処理装置600は、完全準同型暗号のうち実数(real number)又は複素数(complex number)からなるプレーンテキストが暗号化された暗号文のブートストラップ過程において使用されてもよい。暗号文処理装置600で決定される近似多項式の次数を低くする場合、演算の回数が減少するため、暗号文処理動作に求められるリソースを効率よく減らすことができる。
また、暗号文処理装置600は、クラウドコンピュータ、情報保護マシンラーニング、その他に、準同型暗号応用分野全体、ネットワークセキュリティ、システム(端末)セキュリティ、暗号/認証、セキュリティ管理、コンテンツ/情報流出防止セキュリティ、認証サービスなどの暗号/セキュリティ技術分野などに適用され得る。
その他に、暗号文処理装置600については上述した動作を処理することができる。
以上述した実施形態は、ハードウェア構成要素、ソフトウェア構成要素、又はハードウェア構成要素及びソフトウェア構成要素の組み合せで具現される。例えば、本実施形態で説明した装置及び構成要素は、例えば、プロセッサ、コントローラ、ALU(arithmetic logic unit)、デジタル信号プロセッサ(digital signal processor)、マイクロコンピュータ、FPA(field programmable array)、PLU(programmable logic unit)、マイクロプロセッサー、又は命令(instruction)を実行して応答する異なる装置のように、1つ以上の汎用コンピュータ又は特殊目的コンピュータを用いて具現される。
ソフトウェアは、コンピュータプログラム、コード、命令、又はそのうちの一つ以上の組合せを含み、希望の通りに動作するよう処理装置を構成し、独立的又は結合的に処理装置を命令することができる。ソフトウェア及び/又はデータは、処理装置によって解釈され、処理装置に命令又はデータを提供するために、いずれかの類型の機械、構成要素、物理的装置、仮想装置、コンピュータ格納媒体又は装置、又は送信される信号波に永久的又は一時的に具体化することができる。ソフトウェアはネットワークに連結されたコンピュータシステム上に分散され、分散した方法で格納され、実行され得る。ソフトウェア及びデータは一つ以上のコンピュータで読出し可能な記録媒体に格納され得る。
本実施形態による方法は、様々なコンピュータ手段を介して実施されるプログラム命令の形態で具現され、コンピュータ読み取り可能な記録媒体に記録される。記録媒体は、プログラム命令、データファイル、データ構造などを単独又は組み合せて含む。記録媒体及びプログラム命令は、本発明の目的のために特別に設計して構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知のものであり使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例として、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、フロプティカルディスクのような磁気−光媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置を含む。プログラム命令の例としては、コンパイラによって生成されるような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行される高級言語コードを含む。ハードウェア装置は、本発明に示す動作を実行するために1つ以上のソフトウェアモジュールとして作動するように構成してもよく、その逆も同様である。
上述したように実施形態をたとえ限定された図面によって説明したが、当技術分野で通常の知識を有する者であれば、上記の説明に基づいて様々な技術的な修正及び変形を適用することができる。例えば、説明された技術が説明された方法と異なる順で実行されるし、及び/又は説明されたシステム、構造、装置、回路などの構成要素が説明された方法と異なる形態で結合又は組み合わせられてもよいし、他の構成要素又は均等物によって置き換え又は置換されたとしても適切な結果を達成することができる。

Claims (22)

  1. 準同型暗号基盤の暗号文処理方法において、
    暗号文のブートストラップのためのモジュラス減少に対応する近似多項式を前記モジュラス減少から抽出された複数のサンプルに基づいて決定するステップと、
    前記近似多項式に基づいて、前記暗号文にブートストラップを行うステップと、
    を含む、暗号文処理方法。
  2. 前記近似多項式を決定するステップは、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が予め決定された閾値よりも小さくなるように前記近似多項式の係数を決定する、請求項1に記載の暗号文処理方法。
  3. 前記近似多項式を決定するステップは、
    前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が予め決定された閾値よりも小さいか否かを判断し、
    前記現在差が予め決定された閾値と同一であるか大きい場合、前記現在差と以前ステップで決定された差間の比較に基づいて、前記複数のサンプルの個数又は前記近似多項式の次数を増加させる、請求項2に記載の暗号文処理方法。
  4. 前記近似多項式を決定するステップは、
    前記現在差と以前ステップで決定された差間の類似度が予め決定された閾値類似度よりも小さければ、前記複数のサンプルの個数を増加させ、
    前記類似度が予め決定された閾値類似度と同一であるか大きければ、前記近似多項式の次数を増加させる、請求項3に記載の暗号文処理方法。
  5. 前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の差は、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間のL2−normに基づいて決定される、請求項2に記載の暗号文処理方法。
  6. 前記近似多項式を決定するステップは、奇数次数項から構成された前記近似多項式を決定する、請求項1−5のうちの何れか1項に記載の暗号文処理方法。
  7. 前記近似多項式を決定するステップは、チェビシェフ(Chebyshev)多項式を基礎とした前記近似多項式を決定する、請求項1−5のうちの何れか1項に記載の暗号文処理方法。
  8. 前記複数のサンプルは、前記モジュラス減少に対応する関数のうち基準点を中心に対称形態を有する区分的連続区間から抽出される、請求項1−7のうちの何れか1項に記載の暗号文処理方法。
  9. 前記複数のサンプルは、前記区分的連続区間で前記基準点によって分かれた一部から抽出される、請求項8に記載の暗号文処理方法。
  10. 前記暗号文にブートストラップを行うステップは、前記近似多項式を用いて前記モジュラス減少を準同型的に評価することで前記暗号文に前記ブートストラップを行う、請求項1に記載の暗号文処理方法。
  11. 請求項1ないし請求項10のいずれか一項に記載の方法を実行させるためのプログラムが記録されたコンピュータで読み出し可能な格納媒体。
  12. 準同型暗号基盤暗号文処理装置において、
    1つ以上のプロセッサを含み、
    前記1つ以上のプロセッサは、暗号文のブートストラップのためのモジュラス減少に対応する近似多項式を、前記モジュラス減少から抽出された複数のサンプルに基づいて決定し、
    前記近似多項式に基づいて前記暗号文にブートストラップを行う、暗号文処理装置。
  13. 前記1つ以上のプロセッサは、前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が予め決定された閾値よりも小さくなるように前記近似多項式の係数を決定する、請求項12に記載の暗号文処理装置。
  14. 前記1つ以上のプロセッサは、
    前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の現在差が、予め決定された閾値よりも小さいか否かを判断し、
    前記現在差が予め決定された閾値と同一であるか大きい場合、前記現在差と以前ステップで決定された差との間の比較に基づいて、前記複数のサンプルの個数又は前記近似多項式の次数を増加させる、請求項13に記載の暗号文処理装置。
  15. 前記1つ以上のプロセッサは、
    前記現在差と以前ステップで決定された差との間の類似度が、予め決定された閾値類似度よりも小さければ、前記複数のサンプルの個数を増加させ、
    前記類似度が予め決定された閾値類似度と同一であるか大きければ、前記近似多項式の次数を増加させる、請求項14に記載の暗号文処理装置。
  16. 前記モジュラス減少から抽出された前記複数のサンプルと前記近似多項式の値との間の差は、前記複数のサンプルと前記近似多項式の値との間のL2−normに基づいて決定される、請求項13に記載の暗号文処理装置。
  17. 前記1つ以上のプロセッサは、奇数次数項から構成された前記近似多項式を決定する、請求項12−16のうちの何れか1項に記載の暗号文処理装置。
  18. 前記1つ以上のプロセッサは、チェビシェフ多項式を基礎とした前記近似多項式を決定する、請求項12−16のうちの何れか1項に記載の暗号文処理装置。
  19. 前記複数のサンプルは、前記モジュラス減少に対応する関数のうち、基準点を中心に対称形態を有する区分的連続区間から抽出される、請求項12−18のうちの何れか1項に記載の暗号文処理装置。
  20. 前記複数のサンプルは、前記区分的連続区間で前記基準点によって分かれた一部から抽出される、請求項19に記載の暗号文処理装置。
  21. モジュラス減少から抽出されたサンプルの初期個数に基づいて、暗号文をブトストラップピングするためのモジュラス減少に対応する初期近似多項式を決定するステップと、
    前記初期近似多項式とモジュラス減少関数との間の誤差を算出するステップと、
    前記誤差に基づいて前記サンプルの初期個数及び前記初期近似多項式の次数のうち1つを増加させるステップと、
    前記サンプルの増加された個数又は前記初期近似多項式の増加された次数に基づいて、アップデートされた近似多項式を決定するステップと、
    前記アップデートされた近似多項式を用いて、前記モジュラス減少を準同型的に評価するステップと、
    を含む方法。
  22. 前記誤差を算出するステップは、前記モジュラス減少から抽出された前記サンプルの初期個数と前記初期近似多項式の値との間の差が閾値以上であることを決定するステップを含む、請求項21に記載の方法。
JP2021067688A 2020-04-16 2021-04-13 準同型暗号基盤の暗号文処理方法及び装置 Pending JP2021179603A (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US202063010812P 2020-04-16 2020-04-16
US63/010,812 2020-04-16
KR1020200137640A KR20210128313A (ko) 2020-04-16 2020-10-22 동형 암호 기반 암호문 처리 방법 및 장치
KR10-2020-0137640 2020-10-22

Publications (1)

Publication Number Publication Date
JP2021179603A true JP2021179603A (ja) 2021-11-18

Family

ID=78268674

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021067688A Pending JP2021179603A (ja) 2020-04-16 2021-04-13 準同型暗号基盤の暗号文処理方法及び装置

Country Status (2)

Country Link
JP (1) JP2021179603A (ja)
KR (1) KR20210128313A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114936350A (zh) * 2022-02-08 2022-08-23 西北工业大学 一种基于gpu快速数论转换的全同态加密门自举方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114936350A (zh) * 2022-02-08 2022-08-23 西北工业大学 一种基于gpu快速数论转换的全同态加密门自举方法
CN114936350B (zh) * 2022-02-08 2024-02-27 西北工业大学 一种基于gpu快速数论转换的全同态加密门自举方法

Also Published As

Publication number Publication date
KR20210128313A (ko) 2021-10-26

Similar Documents

Publication Publication Date Title
US11546134B2 (en) Method and apparatus for processing ciphertext based on homomorphic encryption
CN114696990B (zh) 基于全同态加密的多方计算方法、系统及相关设备
JP5762232B2 (ja) プライバシを保護したまま暗号化された要素の順序を選択するための方法およびシステム
US20190333415A1 (en) Secure computation system, secure computation device, secure computation method, and program
EP3863003B1 (en) Hidden sigmoid function calculation system, hidden logistic regression calculation system, hidden sigmoid function calculation device, hidden logistic regression calculation device, hidden sigmoid function calculation method, hidden logistic regression calculation method, and program
Chakrabarty et al. Delayed unknown input observers for discrete-time linear systems with guaranteed performance
CN113239391B (zh) 一种无第三方的逻辑回归联邦学习模型训练系统及方法
EP3893429A1 (en) Apparatus and method for performing non-polynomial calculation on cryptogram
EP3364398A1 (en) Secret random number combination device, secret random number combination method, and program
US11799628B2 (en) Apparatus and method for processing non-polynomial operation on encrypted messages
JP2021179603A (ja) 準同型暗号基盤の暗号文処理方法及び装置
KR20240004830A (ko) 완전 동형 암호화에서 사용하기 위한 블라인드 회전
AU2018271515B2 (en) Secret tampering detection system, secret tampering detection apparatus, secret tampering detection method, and program
JP6585846B2 (ja) 秘密計算システム、秘密計算装置、秘密計算方法、およびプログラム
CN117034307A (zh) 数据加密方法、装置、计算机设备和存储介质
US20230081162A1 (en) Method and apparatus for privacy preserving using homomorphic encryption with private variables
EP3364397B1 (en) Secret authentication code adding device, secret authentification code adding method, and program
CN114117487A (zh) 加密字符串的明文相似性预估方法、装置、设备及介质
EP3264669B1 (en) System and method for searching over encrypted data using homomorphic encryption
CN115208548A (zh) 用于处理关于同态加密消息的非多项式运算的设备及其方法
US20220318338A1 (en) Secure conjugate gradient method computation system, secure computation apparatus, conjugate gradient method computation apparatus, secure conjugate gradient method computation method, conjugate gradient method computation method, and program
Ouladj et al. Linear Regression Analysis with Coalescence Principle
KR102451633B1 (ko) 동형암호를 위한 암호화 처리 장치 및 방법
Hong et al. Model Selection for Data Analysis in Encrypted Domain: Application to Simple Linear Regression
EP4092654A1 (en) Secret maximum value calculation device, method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240312