JP2023072837A - 暗号処理装置、暗号処理方法、及び暗号処理プログラム - Google Patents
暗号処理装置、暗号処理方法、及び暗号処理プログラム Download PDFInfo
- Publication number
- JP2023072837A JP2023072837A JP2021185518A JP2021185518A JP2023072837A JP 2023072837 A JP2023072837 A JP 2023072837A JP 2021185518 A JP2021185518 A JP 2021185518A JP 2021185518 A JP2021185518 A JP 2021185518A JP 2023072837 A JP2023072837 A JP 2023072837A
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- predetermined
- tlwe
- cryptographic processing
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000004364 calculation method Methods 0.000 claims abstract description 106
- 238000000034 method Methods 0.000 claims abstract description 59
- 239000013598 vector Substances 0.000 description 47
- 230000006870 function Effects 0.000 description 41
- 238000010586 diagram Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 15
- 238000007792 addition Methods 0.000 description 14
- 239000000654 additive Substances 0.000 description 10
- 230000000996 additive effect Effects 0.000 description 10
- 238000006243 chemical reaction Methods 0.000 description 9
- 238000000354 decomposition reaction Methods 0.000 description 6
- 230000002776 aggregation Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 5
- 125000004122 cyclic group Chemical group 0.000 description 5
- 230000007423 decrease Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 101100206458 Mus musculus Them4 gene Proteins 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000011426 transformation method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Complex Calculations (AREA)
- Storage Device Security (AREA)
Abstract
【課題】Integer-wise型TFHEのセキュリティを確保する。
【解決手段】暗号文を処理する暗号処理装置であって、暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行う演算部と、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、演算部による準同型演算の結果に対して、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う。
【選択図】図2
【解決手段】暗号文を処理する暗号処理装置であって、暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行う演算部と、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、演算部による準同型演算の結果に対して、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う。
【選択図】図2
Description
本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。
準同型暗号(Homomorphic Encryption)は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
LWE問題に基づく完全準同型暗号では、演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingが実行される。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として二値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり、非特許文献1に示されるTFHEはBit-wise型である。
なおTFHEの平文は円周群に対応づけられた0~1の実数である。よって、円周群の値域0~1を区切った区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2参照)。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として二値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり、非特許文献1に示されるTFHEはBit-wise型である。
なおTFHEの平文は円周群に対応づけられた0~1の実数である。よって、円周群の値域0~1を区切った区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2参照)。
TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene
Integerwise Functional Bootstrapping on TFHE, 2020, Hiroki Okada, Shinsaku Kiyomoto, and Carlos Cid
Integer-wiseでの四則演算が可能な準同型暗号としてTFHEを利用することができれば、1ビットずつ計算するよりも効率的に処理を行うことができる。
しかし、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいという問題があった。
本発明は、一側面として、暗号文に格納する平文(整数)の値を出来るだけ大きくしながらもInteger-wise型TFHEのセキュリティを確保することを目的とする。
しかし、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいという問題があった。
本発明は、一側面として、暗号文に格納する平文(整数)の値を出来るだけ大きくしながらもInteger-wise型TFHEのセキュリティを確保することを目的とする。
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部を備え、係数の数を増加した暗号文を入力とし、前記算出部によって、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う、暗号処理装置を特徴とする。
本発明によれば、一側面として、Integer-wise型TFHEのセキュリティを確保することが出来る。
以下に、図面を参照して本発明の実施の形態を詳細に説明する。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
図1は、本実施形態の暗号処理装置の機能構成を説明する図である。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)21と、第2Bootstrapping部(第2算出部)22と、出力部18と、を備えている。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)21と、第2Bootstrapping部(第2算出部)22と、出力部18と、を備えている。
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部11は、暗号処理装置1が実行する他のプロセスから暗号文の入力を受け付ける。
第1演算部12は、距離rの算出(後述)に係る第1準同型演算を行う。
第1Bootstrapping部21は、距離rの算出に係る第1~第3Gate Bootstrapping処理を行って、新たな暗号文を出力する。
第2演算部13は、偏角θの算出(後述)に係る第2~第6準同型演算を行う。
第2Bootstrapping部22は、偏角θの算出に係る第4~第6Gate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13は、極座標変換のための準同型演算をソフトウェアで実現する演算処理部である。第1Bootstrapping部21、第2Bootstrapping部22は、極座標変換のためのGate Bootstrappingをソフトウェアで実現する演算処理部である。
第1演算部12、第2演算部13、第1Bootstrapping部21、第2Bootstrapping部22の少なくとも一つが、ハードウェアで実現されてもよい。
第1演算部12は、距離rの算出(後述)に係る第1準同型演算を行う。
第1Bootstrapping部21は、距離rの算出に係る第1~第3Gate Bootstrapping処理を行って、新たな暗号文を出力する。
第2演算部13は、偏角θの算出(後述)に係る第2~第6準同型演算を行う。
第2Bootstrapping部22は、偏角θの算出に係る第4~第6Gate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13は、極座標変換のための準同型演算をソフトウェアで実現する演算処理部である。第1Bootstrapping部21、第2Bootstrapping部22は、極座標変換のためのGate Bootstrappingをソフトウェアで実現する演算処理部である。
第1演算部12、第2演算部13、第1Bootstrapping部21、第2Bootstrapping部22の少なくとも一つが、ハードウェアで実現されてもよい。
出力部18は、最終的な演算結果を暗号処理装置1の外部、あるいは、暗号処理装置1で実行される別の処理プロセスに対して出力する。
記憶部20は、入力暗号文や、暗号文に対する演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
記憶部20は、入力暗号文や、暗号文に対する演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
図2、図3は、図1の機能構成に基づく暗号処理装置の演算プロセスを詳しく説明する図である。
図2は、点Pのx座標値、y座標値の暗号文cx、cyから、点Pの原点からの距離rの暗号文crを演算する演算プロセスを示している。
図3は、点Pのx座標値、y座標値の暗号文cx、cyから、点Pの偏角θの暗号文cθを演算する演算プロセスを示している。
図2、図3の説明において、暗号処理装置1に入力される暗号文cx、cy、出力される暗号文cr、cθは、いずれも非特許文献1の上記論文(以下、上記論文として参照される)に示されるTLWE暗号文である。
図2、図3に示す構成では、上記論文で提示されたTFHEのGate Bootstrappingを使用する。Gate Bootstrappingについては下記に詳述する。
図2は、点Pのx座標値、y座標値の暗号文cx、cyから、点Pの原点からの距離rの暗号文crを演算する演算プロセスを示している。
図3は、点Pのx座標値、y座標値の暗号文cx、cyから、点Pの偏角θの暗号文cθを演算する演算プロセスを示している。
図2、図3の説明において、暗号処理装置1に入力される暗号文cx、cy、出力される暗号文cr、cθは、いずれも非特許文献1の上記論文(以下、上記論文として参照される)に示されるTLWE暗号文である。
図2、図3に示す構成では、上記論文で提示されたTFHEのGate Bootstrappingを使用する。Gate Bootstrappingについては下記に詳述する。
図2において、暗号処理装置1は、暗号文cxを第1Bootstrapping部21に入力して第1Gate Bootstrappingを行う。第1Bootstrappingの出力はx2の暗号文である。
また情報処理装置1は、暗号文cyを第2Bootstrapping部22に入力して第2Gate Bootstrappingを行う。第2Bootstrappingの出力はy2の暗号文である。
暗号処理装置1は、x2の暗号文、y2の暗号文を第1演算部12に入力して第1準同型演算を行い、その出力を第1Bootstrapping部21に入力し、第3Gate Bootstrappingを行ってr=√(x2+y2)の暗号文crを出力する。
また情報処理装置1は、暗号文cyを第2Bootstrapping部22に入力して第2Gate Bootstrappingを行う。第2Bootstrappingの出力はy2の暗号文である。
暗号処理装置1は、x2の暗号文、y2の暗号文を第1演算部12に入力して第1準同型演算を行い、その出力を第1Bootstrapping部21に入力し、第3Gate Bootstrappingを行ってr=√(x2+y2)の暗号文crを出力する。
図3において、暗号処理装置1は、暗号文cx、暗号文cyを第2演算部13に入力し、cx-cyの第2準同型演算を行い、その出力を第2Bootstrapping部22に入力し、第4Gate Bootstrappingを行って暗号文ccを出力する。
暗号処理装置1は、第2演算部13に、暗号文cc、暗号文cx、暗号文cyを入力し、cc×(cx-cy)+cyの第3準同型演算を行い、暗号文clを得る。
第2演算部13は、cx-cyの準同型減算とcyを準同型加算する演算を行い、二値の暗号文ccと整数の暗号文となるcx-cyの演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
また、暗号処理装置1は、第2演算部13に暗号文cc、暗号文cx、暗号文cyを入力し、((0,1/2t)-cc)×(cx-cy)+cy、又はcx+cy-clの第4準同型演算を行い、暗号文csを得る。
なお、二値の暗号文となる(0,1/2t)-ccの演算結果と整数の暗号文となるcx-cyの演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
暗号処理装置1は、第2演算部13、第2Bootstrapping部22により、第5準同型演算、第5Gate Bootstrappingを含む暗号文cs/暗号文cl(TLWE暗号文同士の除算)を行い、xとyの比dの暗号文cdを出力する。
暗号処理装置1は、暗号文cdを第2Bootstrapping部22に入力し、比dのアークタンジェントを求める第6Gate Bootstrappingを行って暗号文cuを出力する。
暗号処理装置1は、第2演算部13に暗号文cu、ccを入力し、(0,1/4)-cu+cc×(2cu-(0,1/4))の第6準同型演算を行い、偏角θの暗号文cθを得る。
第2演算部13は、二値の暗号文ccと整数の暗号文である2cu-(0,1/4)の演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
暗号処理装置1は、第2演算部13に、暗号文cc、暗号文cx、暗号文cyを入力し、cc×(cx-cy)+cyの第3準同型演算を行い、暗号文clを得る。
第2演算部13は、cx-cyの準同型減算とcyを準同型加算する演算を行い、二値の暗号文ccと整数の暗号文となるcx-cyの演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
また、暗号処理装置1は、第2演算部13に暗号文cc、暗号文cx、暗号文cyを入力し、((0,1/2t)-cc)×(cx-cy)+cy、又はcx+cy-clの第4準同型演算を行い、暗号文csを得る。
なお、二値の暗号文となる(0,1/2t)-ccの演算結果と整数の暗号文となるcx-cyの演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
暗号処理装置1は、第2演算部13、第2Bootstrapping部22により、第5準同型演算、第5Gate Bootstrappingを含む暗号文cs/暗号文cl(TLWE暗号文同士の除算)を行い、xとyの比dの暗号文cdを出力する。
暗号処理装置1は、暗号文cdを第2Bootstrapping部22に入力し、比dのアークタンジェントを求める第6Gate Bootstrappingを行って暗号文cuを出力する。
暗号処理装置1は、第2演算部13に暗号文cu、ccを入力し、(0,1/4)-cu+cc×(2cu-(0,1/4))の第6準同型演算を行い、偏角θの暗号文cθを得る。
第2演算部13は、二値の暗号文ccと整数の暗号文である2cu-(0,1/4)の演算結果との乗算は、下記に説明する方法によって別途バイナリ演算部が実行することが出来る。
TFHEで説明されるGate Bootstrappingについて詳述する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
図4は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
[TLWE暗号]
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
なお、下記において、([0],μ)などの「自明な暗号文(trivial)」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
TFHEのGate Bootstrappingで用いる有限巡回群を説明する。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
TFHEでは、円周群{T}を係数とする多項式環を用い、このような多項式環をT[X]と表記する。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環の剰余環T[X]/(Xn+1)の要素(元)として、任意の係数μ(μ∈T)を用いて、多項式F(X)=μXn-1+μXn-2+・・・+μX+μ
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
さらにXを掛け続けると、
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
[TRLWE暗号]
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
0,1の2値からランダムにn個を集めて、下記の秘密鍵となる多項式s(X)を組み立てる。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
[Gadget Decomposition]
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
円周群{T}上では、0.75=-0.25であるので、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
ベクトルから暗号文に逆変換する作用素Hも定義する。
上記の例に基づいて説明すると、
という行列が、逆変換の作用素Hとなる。Dec(d)・Hを演算することで、TRLWE暗号文d’が得られる。下位ビットは四捨五入をしてまるめられている。
上記の例に基づいて説明すると、
TRLWE暗号文dに対して、||d-[v]・H||が最小値となる[v]を得る操作が、Gadget Decompositionであるとも言える。ここで||はベクトルのノルム(長さ)である。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
この暗号文kをTRGSW暗号文BKとして定義する。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
Bootstrapping Keyを説明する。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
とする。
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
TRGSW暗号文BKiとTRLWE暗号文dの外積を、
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
となる。
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
となり、下記の3つの暗号文c1、c2、c3の和の計算と同じとなる。
TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
そうするとφs’(BKi×d)=φs’(si×d)となるが、siが0であっても1であっても計算結果は上記3つの暗号文c1、c2、c3の和になる。単純な比較でsiが0と1の何れであるかを判別することができない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
TFHEの2値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
図5は、2値Gate Bootstrappingの動作イメージ図である。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図4の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図4の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
(1)BlindRotate
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
平文μ1を秘密鍵[s]で暗号化したTLWE暗号文cがあるとする。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
そうすると、siが0の時は、平文はそのまま変わらず、siが1の時は、Xa’iが順番に乗算されていく。
従って、
と繰り返すと、
となる。
ここで、
は、復号関数φs(c’)の符号を反転したものに等しいので、
となる。ここでφs’(An)は、多項式T(X)にX-1をμ1’回乗算した多項式の暗号文である。
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
従って、
ここで、
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
(2)SampleExtract
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
TLWE暗号文csを得るための処理を説明する。
全てのTRLWE暗号文は、次数をnとして、
と多項式をおいて、(A(X),B(X))と表現することができる。
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
とおいて、
と展開することができる。
全てのTRLWE暗号文は、次数をnとして、
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
これに対して下記の演算を行い、
を得る。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
が得られる。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
さらに、
とおくと、
となり、
から、平文多項式の各項の係数が求まる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
が得られる。
とおくと、
のように、TLWE暗号の復号関数に変形することができる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
つまり、(1)のBlindRotateで得たTRLWE暗号文An=(A(X),B(X))から、係数を
として取り出すと、元のTRLWE暗号文Anに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号([a”],b1)が得られた。この新しいTLWE暗号文がSampleExtractの出力であり、平文として-μ又はμの2種類を有する。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
(3)キースイッチング
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
と、円周群{T}の要素、0から1の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[s]である。「桁数」tはシステムパラメータである。
秘密鍵[s]で復号すると、
となる。これが「キースイッチングキー」である。
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
の形式で書くことができる。
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
([0],b)の項は自明な暗号文なので、復号するとbであり、TLWE暗号文cxを復号した結果を計算すると、
である。
s’iは、jに対して定数なのでくくりだして
とし、上記で固定小数に分解したときの式を代入する。
その結果、
となって鍵の切り替えが成功したことになる。
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
秘密鍵[s]で復号すると、
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
s’iは、jに対して定数なのでくくりだして
ここで得られたTLWE暗号文cxは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[s]で暗号化されている。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、CMuxで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±1/16となるようにシステムパラメータを調整することができる。
以上が、TFHEのGate Bootstrappingの処理である。
以上が、TFHEのGate Bootstrappingの処理である。
上記したように、TFHEは0もしくは非0を平文として持ち、論理演算を行うBit-wise型の準同型暗号である。ただし、図4で説明したように平文は円周群{T}に対応づけられた0~1の実数である。従って、円周群{T}を区切った区間を順番に整数と対応付けることにより、整数を平文として持つInteger-wise型の準同型暗号として応用することが出来る。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法で、さらに除算が可能となる。除算が可能となることで、TFHEをInteger-wise型での四則演算が可能な準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法で、さらに除算が可能となる。除算が可能となることで、TFHEをInteger-wise型での四則演算が可能な準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
図6は、Integer-wise型に適用したTFHEを説明する図である。
図6に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図6に例示するように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
図5に示すように、円周群{T}上の0(1)は、-1/2t~1/2tの領域の範囲内にある。円周群{T}上における暗号文の平文は、必要に応じて例えば1/2tに基づいたオフセットを加算あるいは減算して領域内の位置(円周群{T}上の位置)を調整することが出来る。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点は後に説明する。
図6に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図6に例示するように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
図5に示すように、円周群{T}上の0(1)は、-1/2t~1/2tの領域の範囲内にある。円周群{T}上における暗号文の平文は、必要に応じて例えば1/2tに基づいたオフセットを加算あるいは減算して領域内の位置(円周群{T}上の位置)を調整することが出来る。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点は後に説明する。
以下では、Integer-wise型TFHEによる四則演算を用いた演算処理の例を説明する。
本実施形態の暗号処理装置1は、Integer-wise型TFHE(TLWE暗号文)による2変数(x座標値、y座標値)を用いた直交座標(座標平面)で表されている任意の点の座標を、極座標(原点からの距離、偏角)に変換する。なお、以下では直交座標を極座標に変換することを単に「極座標変換」と記載する場合がある。
暗号化された直交座標値を、復号せず、暗号化された極座標値に変換するためには、下記に説明するようにInteger-wise型TFHEによる四則演算が必要である。
以下では、極座標変換の演算方法を説明するとともに、Integer-wise型TFHEによって四則演算の実現する方法を説明する。
本実施形態の暗号処理装置1は、Integer-wise型TFHE(TLWE暗号文)による2変数(x座標値、y座標値)を用いた直交座標(座標平面)で表されている任意の点の座標を、極座標(原点からの距離、偏角)に変換する。なお、以下では直交座標を極座標に変換することを単に「極座標変換」と記載する場合がある。
暗号化された直交座標値を、復号せず、暗号化された極座標値に変換するためには、下記に説明するようにInteger-wise型TFHEによる四則演算が必要である。
以下では、極座標変換の演算方法を説明するとともに、Integer-wise型TFHEによって四則演算の実現する方法を説明する。
図7は、平面上の点の位置を説明する図である。
点Pの位置は図7(a)に示すように直交座標又は極座標で表すことが出来る。
直交座標は平面上の点Pの位置を、x座標値、y座標値で表す方法であり、(x,y)の形で表す。極座標は点Pの位置を、原点Oからの距離rと偏角θを用いて表す方法であり、(r,θ)の形で表す。偏角θは、原点Oを通る基準となる半直線(例えばx軸の正の向き)から反時計周りに測った回転角の角度である。
暗号処理装置1は、Integer-wise型TFHEによる四則演算を用いて極座標変換を行う。特に、Integer-wise型TFHEで暗号化されている点Pの直交座標(x座標値、y座標値)が暗号化されているとき、これを暗号化したまま極座標に変換する。
平面上の点Pの位置に類似して、図7(b)に示すように、複素数は、複素平面(ガウス平面)上の実部+虚部(x,y)の形式又は極座標(r,θ)で表すことが出来る。本実施形態の極座標変換の方法は、複素数を複素平面に変換することに適用することが出来る。
複素数の計算では、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算を高速化することが出来ることは周知のとおりである。
本実施形態の方法によって実部+虚部形式の複素数を暗号化したまま極座標に変換できることは非常に有用である。
点Pの位置は図7(a)に示すように直交座標又は極座標で表すことが出来る。
直交座標は平面上の点Pの位置を、x座標値、y座標値で表す方法であり、(x,y)の形で表す。極座標は点Pの位置を、原点Oからの距離rと偏角θを用いて表す方法であり、(r,θ)の形で表す。偏角θは、原点Oを通る基準となる半直線(例えばx軸の正の向き)から反時計周りに測った回転角の角度である。
暗号処理装置1は、Integer-wise型TFHEによる四則演算を用いて極座標変換を行う。特に、Integer-wise型TFHEで暗号化されている点Pの直交座標(x座標値、y座標値)が暗号化されているとき、これを暗号化したまま極座標に変換する。
平面上の点Pの位置に類似して、図7(b)に示すように、複素数は、複素平面(ガウス平面)上の実部+虚部(x,y)の形式又は極座標(r,θ)で表すことが出来る。本実施形態の極座標変換の方法は、複素数を複素平面に変換することに適用することが出来る。
複素数の計算では、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算を高速化することが出来ることは周知のとおりである。
本実施形態の方法によって実部+虚部形式の複素数を暗号化したまま極座標に変換できることは非常に有用である。
交座標から極座標へ変換するためには、以下の2演算を行うのが通常である。
(演算1)点Pの原点Oからの距離rを計算する。
(演算2)点Pのx座標値、y座標値の比からアークタンジェント(ATAN)を計算して偏角θを得る。
(演算1)点Pの原点Oからの距離rを計算する。
(演算2)点Pのx座標値、y座標値の比からアークタンジェント(ATAN)を計算して偏角θを得る。
以下では、直交座標を暗号化したまま極座標に変換するために、上記(演算1)、(演算2)を暗号文に対して行う方法を詳細に説明する。
図7から明らかなように、(演算1)により距離rを計算するために、√(x2+y2)を演算する。このとき2乗の計算と根号の計算が必要となる。暗号処理装置1は、2乗の計算と根号の計算を、一変数関数の演算によって行う。
また暗号処理装置1は、(演算2)でx座標値、y座標値の比を求める計算を行うとき、2変数(x座標値、y座標値)を、それらの大小で入れ替える。暗号処理装置1は2変数の比を0から1の範囲に制限して偏角θを単位円上の0°~45°の範囲に限定し、2変数の比の計算を一変数関数の演算によって行う。
一変数関数とは、2つの変数を有し、一方の変数の値が決まるともう一方の変数の値が決まる関数である。
本実施形態の一変数関数は、2変数(x座標値、y座標値)の比を計算するものであり、x座標値が決まるとy座標値が決まり、逆にy座標値が決まるx座標値が決まる。
下記にも説明するが、x=y(2変数の比が1)のとき、点Pは単位円上において、中心(原点)Oを基点とした45°の線分T上にある。
x>yの場合は、偏角θは単位円において、x軸と線分Tの間の45°の範囲にある。
x<yの場合は、偏角θは単位円において、線分Tとy軸の間の45°の範囲にある。
2変数の比率をa(0<a≦1)としたとき、2変数は、xとyの大小に応じてy=ax(y>x)、あるいはx=ay(y<x)で表される。暗号処理装置1は、一変数関数の計算によって2変数の比aを算出する。
暗号化されたx座標値、y座標値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
図7から明らかなように、(演算1)により距離rを計算するために、√(x2+y2)を演算する。このとき2乗の計算と根号の計算が必要となる。暗号処理装置1は、2乗の計算と根号の計算を、一変数関数の演算によって行う。
また暗号処理装置1は、(演算2)でx座標値、y座標値の比を求める計算を行うとき、2変数(x座標値、y座標値)を、それらの大小で入れ替える。暗号処理装置1は2変数の比を0から1の範囲に制限して偏角θを単位円上の0°~45°の範囲に限定し、2変数の比の計算を一変数関数の演算によって行う。
一変数関数とは、2つの変数を有し、一方の変数の値が決まるともう一方の変数の値が決まる関数である。
本実施形態の一変数関数は、2変数(x座標値、y座標値)の比を計算するものであり、x座標値が決まるとy座標値が決まり、逆にy座標値が決まるx座標値が決まる。
下記にも説明するが、x=y(2変数の比が1)のとき、点Pは単位円上において、中心(原点)Oを基点とした45°の線分T上にある。
x>yの場合は、偏角θは単位円において、x軸と線分Tの間の45°の範囲にある。
x<yの場合は、偏角θは単位円において、線分Tとy軸の間の45°の範囲にある。
2変数の比率をa(0<a≦1)としたとき、2変数は、xとyの大小に応じてy=ax(y>x)、あるいはx=ay(y<x)で表される。暗号処理装置1は、一変数関数の計算によって2変数の比aを算出する。
暗号化されたx座標値、y座標値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
図6に示すように、暗号処理装置1は、円周群{T}の値域0~1を分割する個数tを設定する。x座標値、y座標値の2乗を計算することに関係して、√t-1が、1つのTLWE暗号文にx座標値またはy座標値として記録できる整数の最大値である。t-1がx座標値とy座標値の比の解像度であり、極座標変換時の演算精度となる。π/(2t)が偏角θの解像度である。
また暗号処理装置1は、TFHEのシステムパラメータを設定する。
手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nは2tの倍数が好ましい。またGate Bootstrapping後に得られる暗号文において、平文に付加される誤差の範囲が±1/(16t)未満となるようにシステムパラメータを設定する。
手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nは2tの倍数が好ましい。またGate Bootstrapping後に得られる暗号文において、平文に付加される誤差の範囲が±1/(16t)未満となるようにシステムパラメータを設定する。
図2、図3を用いて、極座標変換の手順を説明する。
点Pのx座標値のTLWE暗号文cxと、点Pのy座標値のTLWE暗号文cyとがあるとする。TLWE暗号文cx、TLWE暗号文cyは、秘密鍵がなければ知ることのできない点Pのx座標値の整数x、点Pのy座標値の整数yに夫々対応する。
TLWE暗号文cxは実数x/(2t)を平文として有する。
TLWE暗号文cyは実数y/(2t)を平文として有する。
点Pのx座標値のTLWE暗号文cxと、点Pのy座標値のTLWE暗号文cyとがあるとする。TLWE暗号文cx、TLWE暗号文cyは、秘密鍵がなければ知ることのできない点Pのx座標値の整数x、点Pのy座標値の整数yに夫々対応する。
TLWE暗号文cxは実数x/(2t)を平文として有する。
TLWE暗号文cyは実数y/(2t)を平文として有する。
[原点Oからの距離rの演算]
暗号処理装置1(第1Bootstrapping部21)は、(演算1)に対応して、整数xの2乗の値を計算する演算を行う。暗号処理装置1は、テストベクタ多項式T1(X)
を用いて、TLWE暗号文cxに対する第1Gate Bootstrappingを行う。
暗号処理装置1(第1Bootstrapping部21)は、整数yの2乗の値を計算する演算を行う。暗号処理装置1は、上記と同じテストベクタ多項式T1(X)
を用いて、TLWE暗号文cyに対して第2Gate Bootstrappingを行う。
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、xの2乗又はyの2乗を得る関数(i2)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、cyを夫々第1、第2Gate Bootstrappingの入力とし、テストベクタ多項式T1を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行う。これにより、暗号処理装置1はx2に対応するTLWE暗号文、y2に対応するTLWE暗号文を得る。
すなわち暗号処理装置1は、テストベクタ多項式T1(X)を用いたGate Bootstrappingと同時に、x2に対応するTLWE暗号文、y2に対応するTLWE暗号文を得る一変数関数の演算を行っている。
暗号処理装置1(第1Bootstrapping部21)は、(演算1)に対応して、整数xの2乗の値を計算する演算を行う。暗号処理装置1は、テストベクタ多項式T1(X)
暗号処理装置1(第1Bootstrapping部21)は、整数yの2乗の値を計算する演算を行う。暗号処理装置1は、上記と同じテストベクタ多項式T1(X)
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、xの2乗又はyの2乗を得る関数(i2)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、cyを夫々第1、第2Gate Bootstrappingの入力とし、テストベクタ多項式T1を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行う。これにより、暗号処理装置1はx2に対応するTLWE暗号文、y2に対応するTLWE暗号文を得る。
すなわち暗号処理装置1は、テストベクタ多項式T1(X)を用いたGate Bootstrappingと同時に、x2に対応するTLWE暗号文、y2に対応するTLWE暗号文を得る一変数関数の演算を行っている。
次に暗号処理装置1(第1演算部12)は、第1Gate Bootstrapping、第2Gate Bootstrappingによって夫々出力されたx2の暗号文とy2の暗号文との第1準同型演算を行い、x2+y2に対応する新たなTLWE暗号文を算出する。第1演算部12が算出したTLWE暗号文は、平文として、
を有する。
次に暗号処理装置1(第1Bootstrapping部21)は、x2+y2に対応するTLWE暗号文に対して、テストベクタ多項式T2(X)
を用いて第3Gate Bootstrappingを行う。
テストベクタ多項式T2(X)は、上記で説明した一変数関数を演算する方法を適用し、x2+y2の平方根を得る関数(√i)の結果を係数として設定している。x2+y2の平方根は、点Pの原点Oからの距離rである。
すなわち暗号処理装置1はx2+y2の暗号文を第3Gate Bootstrappingの入力とし、テストベクタ多項式T2を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行う。
これにより、暗号処理装置1は、r=√(x2+y2)に対応し、平文として、√(x2+y2)/2t
を有するTLWE暗号文crを得る。
暗号処理装置1は、テストベクタ多項式T2(X)を用いた第3Gate Bootstrappingと同時に、r=√(x2+y2)に対応するTLWE暗号文crを得る一変数関数の演算を行う。
以上の処理によって(演算1)に関連して距離rの暗号文が得られた。
テストベクタ多項式T2(X)は、上記で説明した一変数関数を演算する方法を適用し、x2+y2の平方根を得る関数(√i)の結果を係数として設定している。x2+y2の平方根は、点Pの原点Oからの距離rである。
すなわち暗号処理装置1はx2+y2の暗号文を第3Gate Bootstrappingの入力とし、テストベクタ多項式T2を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行う。
これにより、暗号処理装置1は、r=√(x2+y2)に対応し、平文として、√(x2+y2)/2t
を有するTLWE暗号文crを得る。
暗号処理装置1は、テストベクタ多項式T2(X)を用いた第3Gate Bootstrappingと同時に、r=√(x2+y2)に対応するTLWE暗号文crを得る一変数関数の演算を行う。
以上の処理によって(演算1)に関連して距離rの暗号文が得られた。
[偏角θの演算]
暗号処理装置1は、(演算2)に対応して、整数xと整数yの比dを0~1までに制限して得るために、以下の手順で計算を行う。
暗号文cx、cyを復号しない限り整数xと整数yの平文は分からない。暗号処理装置1は、実際には、整数xと整数yのうち大きい方の値lの暗号文clと、整数xと整数yのうち小さい方の値sの暗号文csと、を用いて、暗号文cs÷暗号文cl(csをclで割る除算)に相当する演算を行い、暗号文cdを算出する。
暗号処理装置1(第2演算部13)は、TLWE暗号文cx、TLWE暗号文cyに対して第2準同型演算cx-cyを行う。
暗号処理装置1(第2Bootstrapping部22)は、第2準同型演算の計算結果に対して第4Gate Bootstrappingを行い、新たなTLWE暗号文ccを出力する。TLWE暗号文ccは、cx-cyの正負に応じて、平文の値が1/t又は0(誤差含む)となる暗号文である。
第4Gate Bootstrappingでは、上記論文通りにSampleExtract及びキースイッチングを行うと、x≧y(x-yが0又は正)の場合は1/(2t)が得られ、x<y(x-yが負)の場合は-1/(2t)が得られる。
これに自明な暗号文(0,1/(2t))を加算して、暗号処理装置1は、x-yの正負に対応するTLWE暗号文ccを得る。
TLWE暗号文ccは、平文として0又は1/tの2値を有し、x≧y(x-yが0又は正)の場合、平文として1/t(シンボル1)を有し、x<y(x-yが負)の場合、平文として0(シンボル0)を有する。
暗号処理装置1(第2演算部13)は、第3準同型演算cc×(cx-cy)+cyの演算を行い、x座標値とy座標値のうち大きい方の値に対応するTLWE暗号文clを得る。
暗号処理装置1(第2演算部13)は、第4準同型演算((0,1/t)-cc)×(cx-cy)+cyの演算を行い、x座標値とy座標値のうち小さい方の値に対応するTLWE暗号文csを得る。
二進数の暗号文ccと整数の暗号文(cx-cy)の乗算は、下記に説明するバイナリ乗算部による別途の処理によって行うことが出来る。
TLWE暗号文csは、cx+cy-clによって求めることも出来る。
暗号処理装置1は、(演算2)に対応して、整数xと整数yの比dを0~1までに制限して得るために、以下の手順で計算を行う。
暗号文cx、cyを復号しない限り整数xと整数yの平文は分からない。暗号処理装置1は、実際には、整数xと整数yのうち大きい方の値lの暗号文clと、整数xと整数yのうち小さい方の値sの暗号文csと、を用いて、暗号文cs÷暗号文cl(csをclで割る除算)に相当する演算を行い、暗号文cdを算出する。
暗号処理装置1(第2演算部13)は、TLWE暗号文cx、TLWE暗号文cyに対して第2準同型演算cx-cyを行う。
暗号処理装置1(第2Bootstrapping部22)は、第2準同型演算の計算結果に対して第4Gate Bootstrappingを行い、新たなTLWE暗号文ccを出力する。TLWE暗号文ccは、cx-cyの正負に応じて、平文の値が1/t又は0(誤差含む)となる暗号文である。
第4Gate Bootstrappingでは、上記論文通りにSampleExtract及びキースイッチングを行うと、x≧y(x-yが0又は正)の場合は1/(2t)が得られ、x<y(x-yが負)の場合は-1/(2t)が得られる。
これに自明な暗号文(0,1/(2t))を加算して、暗号処理装置1は、x-yの正負に対応するTLWE暗号文ccを得る。
TLWE暗号文ccは、平文として0又は1/tの2値を有し、x≧y(x-yが0又は正)の場合、平文として1/t(シンボル1)を有し、x<y(x-yが負)の場合、平文として0(シンボル0)を有する。
暗号処理装置1(第2演算部13)は、第3準同型演算cc×(cx-cy)+cyの演算を行い、x座標値とy座標値のうち大きい方の値に対応するTLWE暗号文clを得る。
暗号処理装置1(第2演算部13)は、第4準同型演算((0,1/t)-cc)×(cx-cy)+cyの演算を行い、x座標値とy座標値のうち小さい方の値に対応するTLWE暗号文csを得る。
二進数の暗号文ccと整数の暗号文(cx-cy)の乗算は、下記に説明するバイナリ乗算部による別途の処理によって行うことが出来る。
TLWE暗号文csは、cx+cy-clによって求めることも出来る。
暗号処理装置1(第2演算部13)は、TLWE暗号文cd、変数iを初期化し、cd=(0,1/(2t))、i=1とする。(0,1/(2t))は、1/(2t)を平文として有する自明な暗号文である。なお、ここで1/(2t)は円周群を分割したスライスの中央を設定するためのオフセットであり、実装によって異なる値でもよい。
(1)暗号処理装置1(第2演算部13)は、暗号文cs、暗号文clについて第5準同型演算cs-clを計算する。
(2)暗号処理装置1(第2Bootstrapping部22)は、第2演算部13の計算結果に対して第5Gate Bootstrappingを行い、cs-clの正負に応じて1/t又は0となる新たな暗号文ctを算出する。
第5Gate Bootstrappingでは、上記論文通りにSampleExtract及びキースイッチングを行うと、s≧l(s-lが0又は正)の場合は1/(2t)が得られ、s<l(s-lが負)の場合は-1/(2t)が得られる。
これに自明な暗号文(0,1/(2t))を加算して、暗号処理装置1は、s-lの正負に対応するTLWE暗号文ctを得る。
TLWE暗号文ctは、平文として0又は1/tの2値を有し、s≧l(s-lが0又は正)の場合、平文として1/t(シンボル1)を有し、s<l(s-lが負)の場合、平文として0(シンボル0)を有する。
(3)暗号処理装置1(第2演算部13)は、cs=cs-ct×clを演算する。
整数の暗号文clと二進数の暗号文ctの乗算(cl×ct)は、下記に説明するバイナリ乗算部による別途の処理によって行うことが出来る。
(4)暗号処理装置1(第2演算部13)は、cd=cd×2+ctを演算する。
(5)暗号処理装置1(第2演算部13)は、暗号文csを整数のスカラ倍で2倍する
(6)暗号処理装置1(第2演算部13)は、i=i+1を演算する。
(1)~(6)の処理をm=log_2(t)回繰り返すと、暗号文cdには上位ビットから順に値が格納され、x座標値とy座標値の比dに対応するTLWE暗号文cdが得られる。
(1)暗号処理装置1(第2演算部13)は、暗号文cs、暗号文clについて第5準同型演算cs-clを計算する。
(2)暗号処理装置1(第2Bootstrapping部22)は、第2演算部13の計算結果に対して第5Gate Bootstrappingを行い、cs-clの正負に応じて1/t又は0となる新たな暗号文ctを算出する。
第5Gate Bootstrappingでは、上記論文通りにSampleExtract及びキースイッチングを行うと、s≧l(s-lが0又は正)の場合は1/(2t)が得られ、s<l(s-lが負)の場合は-1/(2t)が得られる。
これに自明な暗号文(0,1/(2t))を加算して、暗号処理装置1は、s-lの正負に対応するTLWE暗号文ctを得る。
TLWE暗号文ctは、平文として0又は1/tの2値を有し、s≧l(s-lが0又は正)の場合、平文として1/t(シンボル1)を有し、s<l(s-lが負)の場合、平文として0(シンボル0)を有する。
(3)暗号処理装置1(第2演算部13)は、cs=cs-ct×clを演算する。
整数の暗号文clと二進数の暗号文ctの乗算(cl×ct)は、下記に説明するバイナリ乗算部による別途の処理によって行うことが出来る。
(4)暗号処理装置1(第2演算部13)は、cd=cd×2+ctを演算する。
(5)暗号処理装置1(第2演算部13)は、暗号文csを整数のスカラ倍で2倍する
(6)暗号処理装置1(第2演算部13)は、i=i+1を演算する。
(1)~(6)の処理をm=log_2(t)回繰り返すと、暗号文cdには上位ビットから順に値が格納され、x座標値とy座標値の比dに対応するTLWE暗号文cdが得られる。
より詳しく説明する。TLWE暗号文ctは、平文として0又は1/tの2値を有し、cs≧cl(cs-clが0又は正)の場合、平文として1/t(シンボル1)を有し、cl<cs(cs-clが負)の場合、平文として0(シンボル0)を有する。
整数の暗号文clと二進数の暗号文ctとの乗算は、下記に説明する方法によってバイナリ演算部によって行うことができ、暗号文ctがシンボル1の場合には、ct×clの結果、暗号文clがそのまま得られ、暗号文ctがシンボル0の場合は、ct×clの結果0が得られる。
よって、上記(1)のcs-clに基づいて(2)で暗号文ctを計算し、(3)でcs=cs-ct×clを計算した結果、cs≧clである(ctがシンボル1である)場合は、cs=cs-ct×cl(csからct×clが減算され続ける)、それとともにcd=cd×2+ctとなって暗号文cdが倍になりながら、適宜下位ビットを立てていく。
このような新たな暗号文ct、新たな暗号文cs、新たな暗号文cdの算出を、m=log_2(t)回繰り返した結果得られるTLWE暗号文cdは、平文として、
を有する。これは、x座標値とy座標値のうち小さい方の値と大きい方の値の比であるs/lに対応する。
整数の暗号文clと二進数の暗号文ctとの乗算は、下記に説明する方法によってバイナリ演算部によって行うことができ、暗号文ctがシンボル1の場合には、ct×clの結果、暗号文clがそのまま得られ、暗号文ctがシンボル0の場合は、ct×clの結果0が得られる。
よって、上記(1)のcs-clに基づいて(2)で暗号文ctを計算し、(3)でcs=cs-ct×clを計算した結果、cs≧clである(ctがシンボル1である)場合は、cs=cs-ct×cl(csからct×clが減算され続ける)、それとともにcd=cd×2+ctとなって暗号文cdが倍になりながら、適宜下位ビットを立てていく。
このような新たな暗号文ct、新たな暗号文cs、新たな暗号文cdの算出を、m=log_2(t)回繰り返した結果得られるTLWE暗号文cdは、平文として、
平文に関しては、被除数から除数を可能な限り減算をし続けた回数を除算の結果として求め得ることが出来る。しかし暗号文に関しては、減算の結果も暗号化されているため、被除数から除数を減算し続けて減算が出来なくなったか否か判定をすることができず、減算が出来なくなったときに減算をやめるという分岐処理も出来ない。
本実施形態では、上記したように、cs-clの演算結果に基づいてcs-clの正負を判定する二進数のTLWE暗号文ctを出力する。
上記したが、cs≧clである間は、暗号文ctはシンボル1であり、減算の繰り返し毎にcsからclが減算されていく。減算を続けていくことでcs<clとなると暗号文ccはシンボル0となり、繰り返し毎にcsからclが減算されなくなる。暗号文ctの値は復号しない限りは分からないため、cs≧clであるか、cl<csであるか判別が出来ない。
それに対して、暗号処理装置1は、(1)~(6)をm=log_2(t)だけ繰り返す。1つのTLWE暗号文に記録できる整数の最大値は√t-1であったが、暗号文が取り得る整数値の個数はm=log_2(t)であり、mは2をm乗するとtになる値である。
本実施形態では、上記したように、cs-clの演算結果に基づいてcs-clの正負を判定する二進数のTLWE暗号文ctを出力する。
上記したが、cs≧clである間は、暗号文ctはシンボル1であり、減算の繰り返し毎にcsからclが減算されていく。減算を続けていくことでcs<clとなると暗号文ccはシンボル0となり、繰り返し毎にcsからclが減算されなくなる。暗号文ctの値は復号しない限りは分からないため、cs≧clであるか、cl<csであるか判別が出来ない。
それに対して、暗号処理装置1は、(1)~(6)をm=log_2(t)だけ繰り返す。1つのTLWE暗号文に記録できる整数の最大値は√t-1であったが、暗号文が取り得る整数値の個数はm=log_2(t)であり、mは2をm乗するとtになる値である。
暗号処理装置1は、暗号文ctを算出する度に暗号文cdに加算する。上記のように、cs≧clである間は、暗号文ctはシンボル1であり、cs<clのときにはシンボル0である。
cs≧clである間でのシンボル1だけが加算され、シンボル0は実質的に加算されず、かつ毎周倍になっていくので、ctをlog_2(t)回分加算することで、cs≧clである間にcsからclを引いた回数(除算結果)が得られる。
この方法によれば、暗号化したままでは知ることが出来ないcs-clの減算が出来るか否かの判定や分岐をすることなく、log_2(t)回分、規定の処理を繰り返すことのみで、暗号分同士の除算を行うことが出来る。
cs≧clである間でのシンボル1だけが加算され、シンボル0は実質的に加算されず、かつ毎周倍になっていくので、ctをlog_2(t)回分加算することで、cs≧clである間にcsからclを引いた回数(除算結果)が得られる。
この方法によれば、暗号化したままでは知ることが出来ないcs-clの減算が出来るか否かの判定や分岐をすることなく、log_2(t)回分、規定の処理を繰り返すことのみで、暗号分同士の除算を行うことが出来る。
暗号処理装置1(第2Bootstrapping部22)は、テストベクタ多項式T3
を用いて、第6Gate Bootstrappingを行う。
テストベクタ多項式T3(X)は、上記で説明した一変数関数を演算する方法を適用し、x座標値とy座標値の比dのアークタンジェントtan-1y/xを得る関数(t×tan-1(i/t))の結果を係数として設定している。
暗号処理装置1(第2Bootstrapping部22)は、暗号文cdをGate Bootstrappingの入力とし、テストベクタ多項式T3を用いてBlindRotateを行い、さらに暗号処理装置1(第2Bootstrapping部22)は、SampleExtract、キースイッチングを行う。
これにより、暗号処理装置1は、t×tan-1(d)に対応し、平文として、
を有するTLWE暗号文cuを得ることが出来る。
暗号処理装置1は、テストベクタ多項式T3(X)を用いたGate Bootstrappingと同時に、t×tan-1(i/t)に対応するTLWE暗号文cuを得る一変数関数の演算を行う。
テストベクタ多項式T3(X)は、上記で説明した一変数関数を演算する方法を適用し、x座標値とy座標値の比dのアークタンジェントtan-1y/xを得る関数(t×tan-1(i/t))の結果を係数として設定している。
暗号処理装置1(第2Bootstrapping部22)は、暗号文cdをGate Bootstrappingの入力とし、テストベクタ多項式T3を用いてBlindRotateを行い、さらに暗号処理装置1(第2Bootstrapping部22)は、SampleExtract、キースイッチングを行う。
これにより、暗号処理装置1は、t×tan-1(d)に対応し、平文として、
を有するTLWE暗号文cuを得ることが出来る。
暗号処理装置1は、テストベクタ多項式T3(X)を用いたGate Bootstrappingと同時に、t×tan-1(i/t)に対応するTLWE暗号文cuを得る一変数関数の演算を行う。
図8は、単位円と円周群の対応関係を示す図であり、(a)は単位円を示し、(b)は円周群を示している。
x>yの場合、TLWE暗号文cuは、単位円上の点(a,b)のx軸からの反時計回りの回転角(偏角)の0°~45°を、円周群{T}の0~1/8の区間にマッピングしたものである。
y<xの場合、TLWE暗号文cuは、単位円上の点(a,b)のy軸からの時計回りの回転角(偏角)の0°~45°を、円周群{T}の1/4~1/8の区間にマッピングしたものである。
x<yであるかx>yであるか、すなわちx-yの正負は暗号文ccに現れている。暗号処理装置1(第2演算部13)は、TLWE暗号文cu、TLWE暗号文ccについて、第6準同型演算cθ=(0,1/4)-cu+cc×(2cu-(0,1/4))を計算する。
TLWE暗号文cθは、0~360°の回転角を円周群{T}の値域0~1に対応させた回転角(偏角)θの暗号文である。第6準同型演算を演算することで、回転角(偏角)θの暗号文cθを算出することが出来る。
以上説明した処理によって、直交座標で表されていた座標平面上の点Pについて、原点からの距離rと偏角θの暗号文が得られ、暗号化したまま直交座標の極座標への変換が完了した。
x>yの場合、TLWE暗号文cuは、単位円上の点(a,b)のx軸からの反時計回りの回転角(偏角)の0°~45°を、円周群{T}の0~1/8の区間にマッピングしたものである。
y<xの場合、TLWE暗号文cuは、単位円上の点(a,b)のy軸からの時計回りの回転角(偏角)の0°~45°を、円周群{T}の1/4~1/8の区間にマッピングしたものである。
x<yであるかx>yであるか、すなわちx-yの正負は暗号文ccに現れている。暗号処理装置1(第2演算部13)は、TLWE暗号文cu、TLWE暗号文ccについて、第6準同型演算cθ=(0,1/4)-cu+cc×(2cu-(0,1/4))を計算する。
TLWE暗号文cθは、0~360°の回転角を円周群{T}の値域0~1に対応させた回転角(偏角)θの暗号文である。第6準同型演算を演算することで、回転角(偏角)θの暗号文cθを算出することが出来る。
以上説明した処理によって、直交座標で表されていた座標平面上の点Pについて、原点からの距離rと偏角θの暗号文が得られ、暗号化したまま直交座標の極座標への変換が完了した。
なお、以上ではx座標値、y座標値によって表される直交座標を極座標に変換する方法を説明したが、複素数の実部をTLWE暗号文cxとおき、虚部をTLWE暗号文cyとおいて同様の処理を行うことで、複素数をガウス平面上の点に変換することが出来る。
本実施形態では、TFHEをBit-wise型ではなくInteger-wise型での四則演算が可能な準同型暗号として利用することができ、1ビットずつ計算するよりも効率的に処理を行うことができる。
また、複素数を扱う計算を行う際に、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算の高速化を期待することができる。
本実施形態では、TFHEをBit-wise型ではなくInteger-wise型での四則演算が可能な準同型暗号として利用することができ、1ビットずつ計算するよりも効率的に処理を行うことができる。
また、複素数を扱う計算を行う際に、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算の高速化を期待することができる。
図9は、本実施形態の極座標変換処理を説明するフローチャートである。
暗号処理装置1(第1Bootstrapping部21)は、ステップS101において、x座標値の整数xのTLWE暗号文cxを入力とした第1Gate Bootstrappingを行う。
暗号処理装置1(第1Bootstrapping部21)は、ステップS102において、y座標値の整数yのTLWE暗号文cyを入力とした第2Gate Bootstrappingを行う。
暗号処理装置1(第1演算部12)は、ステップS103において、ステップS101、ステップS102のGate Bootstrappingで夫々算出したTLWE暗号文同士のx2+y2に対応する第1準同型演算を行う。
暗号処理装置1(第1Bootstrapping部21)は、ステップS104において、ステップS103で得た暗号文に対して第3Gate Bootstrappingを行い、r=√(x2+y2)の暗号文crを得る。
暗号処理装置1(第2演算部13)は、ステップS105において、第2準同型演算cy-cyを行う。
暗号処理装置1(第2Bootstrapping部22)は、ステップS106において、TLWE暗号文clを入力としたGate Bootstrappingを行い、TLWE暗号文ccを得る。
暗号処理装置1(第2演算部13)は、ステップS107において、第3準同型演算cc×(cx-cy)+cyを行い、TLWE暗号文clを得る。
暗号処理装置1(第2演算部13)は、ステップS108において、第4準同型演算((0,1/(2t))-cc×(cx-cy)+cy、またはcx+cy-clを行い、TLWE暗号文csを得る。
暗号処理装置1は、ステップS109において、TLWE暗号文cdの初期値を平文として1/(2t)を有する自明な暗号文(0,1/(2t))とおき、変数iに1を代入して初期化する。
暗号処理装置1は、ステップS110~ステップS116のループ処理によって、TLWE暗号文csを被除数、TLWE暗号文clを除数とした除算処理を行う。
まず暗号処理装置1(第2演算部13)は、ステップS110において、準同型演算cs-clを行う。
暗号処理装置1(第2Bootstrapping部22)は、ステップS111において、ステップS110の演算結果を入力とした第5Gate Bootstrappingを行い、新たなTLWE暗号文ctを得る。
暗号処理装置1(第2演算部13)は、ステップS112において、準同型演算cs=cs-ct×clを行う。
暗号処理装置1(第2演算部13)は、ステップS113において、準同型演算cd=cd×2+ctを行う。
暗号処理装置1(第2演算部13)は、ステップS114において、準同型演算cs=cs×2を行う。
暗号処理装置1は、ステップS115において、変数iに1を加算してインクリメントする。
暗号処理装置1は、ステップS116において、変数iの値がlog2(t)となったかを判定する。
暗号処理装置1は、変数iの値がlog_2(t)となったと判定した場合(ステップS116でYes)、そのときのTLWE暗号文cdを除算結果とする。
暗号処理装置1は、ステップS117において、TLWE暗号文cdを入力とした第6Gate Bootstrappingを行い、新たなTLWE暗号文cuを得る。
暗号処理装置1は、ステップS118において、準同型演算((0,1/4)-cu+cc×(2cu-(0,1/4)))を行い、偏角θのTLWE暗号文cθを得る。
以上の処理によって、点Pの原点からの距離rの暗号文crと、点Pの偏角θの暗号文cθが得られ、点Pの直交座標(x,y)を極座標(r、θ)に変換することが出来た。
暗号処理装置1(第1Bootstrapping部21)は、ステップS101において、x座標値の整数xのTLWE暗号文cxを入力とした第1Gate Bootstrappingを行う。
暗号処理装置1(第1Bootstrapping部21)は、ステップS102において、y座標値の整数yのTLWE暗号文cyを入力とした第2Gate Bootstrappingを行う。
暗号処理装置1(第1演算部12)は、ステップS103において、ステップS101、ステップS102のGate Bootstrappingで夫々算出したTLWE暗号文同士のx2+y2に対応する第1準同型演算を行う。
暗号処理装置1(第1Bootstrapping部21)は、ステップS104において、ステップS103で得た暗号文に対して第3Gate Bootstrappingを行い、r=√(x2+y2)の暗号文crを得る。
暗号処理装置1(第2演算部13)は、ステップS105において、第2準同型演算cy-cyを行う。
暗号処理装置1(第2Bootstrapping部22)は、ステップS106において、TLWE暗号文clを入力としたGate Bootstrappingを行い、TLWE暗号文ccを得る。
暗号処理装置1(第2演算部13)は、ステップS107において、第3準同型演算cc×(cx-cy)+cyを行い、TLWE暗号文clを得る。
暗号処理装置1(第2演算部13)は、ステップS108において、第4準同型演算((0,1/(2t))-cc×(cx-cy)+cy、またはcx+cy-clを行い、TLWE暗号文csを得る。
暗号処理装置1は、ステップS109において、TLWE暗号文cdの初期値を平文として1/(2t)を有する自明な暗号文(0,1/(2t))とおき、変数iに1を代入して初期化する。
暗号処理装置1は、ステップS110~ステップS116のループ処理によって、TLWE暗号文csを被除数、TLWE暗号文clを除数とした除算処理を行う。
まず暗号処理装置1(第2演算部13)は、ステップS110において、準同型演算cs-clを行う。
暗号処理装置1(第2Bootstrapping部22)は、ステップS111において、ステップS110の演算結果を入力とした第5Gate Bootstrappingを行い、新たなTLWE暗号文ctを得る。
暗号処理装置1(第2演算部13)は、ステップS112において、準同型演算cs=cs-ct×clを行う。
暗号処理装置1(第2演算部13)は、ステップS113において、準同型演算cd=cd×2+ctを行う。
暗号処理装置1(第2演算部13)は、ステップS114において、準同型演算cs=cs×2を行う。
暗号処理装置1は、ステップS115において、変数iに1を加算してインクリメントする。
暗号処理装置1は、ステップS116において、変数iの値がlog2(t)となったかを判定する。
暗号処理装置1は、変数iの値がlog_2(t)となったと判定した場合(ステップS116でYes)、そのときのTLWE暗号文cdを除算結果とする。
暗号処理装置1は、ステップS117において、TLWE暗号文cdを入力とした第6Gate Bootstrappingを行い、新たなTLWE暗号文cuを得る。
暗号処理装置1は、ステップS118において、準同型演算((0,1/4)-cu+cc×(2cu-(0,1/4)))を行い、偏角θのTLWE暗号文cθを得る。
以上の処理によって、点Pの原点からの距離rの暗号文crと、点Pの偏角θの暗号文cθが得られ、点Pの直交座標(x,y)を極座標(r、θ)に変換することが出来た。
[整数と二進数の暗号文の乗算(バイナリ乗算)]
バイナリ乗算部による整数の暗号文cyと二進数の暗号文ccとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
上記では、暗号文ccは、平文が1/tのとき二進数のシンボル1であり、平文が0のとき二進数でシンボル0であると説明した。
なお、暗号文ccをt/2倍し、自明な暗号文(0,1/2)を加算することで、シンボルを反転した暗号文cc’を得ることが出来る。説明のために特に記載するが、暗号文cc’の算出は必ずしも必要な処理ではなく、暗号文ccのままバイナリ乗算を行うことも出来る。シンボル0、1に対応する二値を取り得るという点で暗号文cc’と暗号文ccは同義の暗号文である。
暗号文ccは、平文が1/tのとき、t/2倍をした上で(0,1/2)を加算すると、(1/t)×(t/2)+1/2=1/2+1/2=1(0)となる。
暗号文ccは、平文が0のとき、t/2倍をした上で(0,1/2)を加算すると、0×(t/2)+1/2=0+1/2=1/2となる。
このようにして得た暗号文cc’は、平文が0のときにシンボル1となり、平文が1/2のときにシンボル0となる。
下記では、平文として整数0又は整数t/2を有する暗号文に暗号文cc’を対応付けて説明する。tは偶数である。
上記に算出した暗号文cc’の平文0を整数0に対応づけ、暗号文cc’の平文1/2を下記の整数t/2に対応づける。
平文が整数0のとき二進数のシンボル1であり、平文が整数t/2のとき二進数のシンボル0である暗号文cc’として暗号文ccを説明する。
整数の暗号文cyと二進数の暗号文cc’の乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
を設定する。
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
を設定する。
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文cc’と、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文cc’がt/2(暗号文ccの平文0に対応、シンボル0)の暗号文である場合、cc’+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文cc’が0(暗号文ccの平文1/tに対応、シンボル1)の暗号文である場合、cc’+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyの平文と同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文cc’が0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文cc’がt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文cc’が0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文cc’がt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文cc’との乗算を行うことが出来る。
なお、上記したように暗号文ccで利用する円周群上の値が異なるため、Gate Bootstrappingで得られた値を2t倍することにより調整を行う必要がある。ここで2tは整数であるため、円周群上で乗算が定義されている。
暗号処理装置1は、整数の暗号文cyに替えてcx-cyや2cuと二進数の暗号文ccとの乗算を行うことが出来る。
暗号処理装置1は、整数の暗号文clに対する二進数の暗号文ctとの乗算を、上記した整数の暗号文cyに対する二進数の暗号文ccの乗算と同様の方法で行うことが出来る。
バイナリ乗算部による整数の暗号文cyと二進数の暗号文ccとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
上記では、暗号文ccは、平文が1/tのとき二進数のシンボル1であり、平文が0のとき二進数でシンボル0であると説明した。
なお、暗号文ccをt/2倍し、自明な暗号文(0,1/2)を加算することで、シンボルを反転した暗号文cc’を得ることが出来る。説明のために特に記載するが、暗号文cc’の算出は必ずしも必要な処理ではなく、暗号文ccのままバイナリ乗算を行うことも出来る。シンボル0、1に対応する二値を取り得るという点で暗号文cc’と暗号文ccは同義の暗号文である。
暗号文ccは、平文が1/tのとき、t/2倍をした上で(0,1/2)を加算すると、(1/t)×(t/2)+1/2=1/2+1/2=1(0)となる。
暗号文ccは、平文が0のとき、t/2倍をした上で(0,1/2)を加算すると、0×(t/2)+1/2=0+1/2=1/2となる。
このようにして得た暗号文cc’は、平文が0のときにシンボル1となり、平文が1/2のときにシンボル0となる。
下記では、平文として整数0又は整数t/2を有する暗号文に暗号文cc’を対応付けて説明する。tは偶数である。
上記に算出した暗号文cc’の平文0を整数0に対応づけ、暗号文cc’の平文1/2を下記の整数t/2に対応づける。
平文が整数0のとき二進数のシンボル1であり、平文が整数t/2のとき二進数のシンボル0である暗号文cc’として暗号文ccを説明する。
整数の暗号文cyと二進数の暗号文cc’の乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文cc’と、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文cc’がt/2(暗号文ccの平文0に対応、シンボル0)の暗号文である場合、cc’+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文cc’が0(暗号文ccの平文1/tに対応、シンボル1)の暗号文である場合、cc’+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyの平文と同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文cc’が0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文cc’がt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文cc’が0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文cc’がt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文cc’との乗算を行うことが出来る。
なお、上記したように暗号文ccで利用する円周群上の値が異なるため、Gate Bootstrappingで得られた値を2t倍することにより調整を行う必要がある。ここで2tは整数であるため、円周群上で乗算が定義されている。
暗号処理装置1は、整数の暗号文cyに替えてcx-cyや2cuと二進数の暗号文ccとの乗算を行うことが出来る。
暗号処理装置1は、整数の暗号文clに対する二進数の暗号文ctとの乗算を、上記した整数の暗号文cyに対する二進数の暗号文ccの乗算と同様の方法で行うことが出来る。
図10は、本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
上記の説明では、図10(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図10(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図10(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図10(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
図10では、入力となるTLWE暗号文に準同型演算を行った結果に対してGate Bootstrappingを行っている。ただし、本実施形態の場合、図2で説明したように、入力となるTLWE暗号文に直接Gate Bootstrappingを行う場合もある。その場合、Gate Bootstrapping前の準同型演算は必ずしも必要ではない。
上記の説明では、図10(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図10(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図10(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図10(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
図10では、入力となるTLWE暗号文に準同型演算を行った結果に対してGate Bootstrappingを行っている。ただし、本実施形態の場合、図2で説明したように、入力となるTLWE暗号文に直接Gate Bootstrappingを行う場合もある。その場合、Gate Bootstrapping前の準同型演算は必ずしも必要ではない。
LEVEL0の暗号文は、N次の秘密鍵[s]で暗号化された円周群{T}上の要素のN次のベクトル[a]よりなっている。一方、SampleExtractの結果得られるLEVEL1の暗号文は、n次の秘密鍵[s’]で暗号化された円周群{T}上の要素のn次のベクトル[a']よりなっている。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
平文に付加する誤差を小さくすることで計算(解読)が容易となった暗号文のセキュリティを確保するために、キースイッチングをGate Bootstrappingの先頭に移動し、係数の数(ベクトルの次数)が多く誤差の範囲を小さくしやすいLEVEL1の暗号文をGate Bootstrappingの入出力とすることが望ましい。そして、Gate Bootstrappingの先頭でLEVEL0に変換してから、最後にLEVEL0に戻さないようにする。LEVEL0に戻さないことで、次段でも同様にTLWE暗号文の計算を安全に行うことが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
また、平文に付加する誤差を小さくすることには、上記のセキュリティ強度の以外に復号時エラーの問題もある。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
計算にエラーが発生する確率を抑える、BlindRotateの数を減らして計算を高速化する、セキュリティを高く保つ、という3つの目標をバランスが最もとれるよう、誤差範囲の重なりが一定値内に収まるようにシステムパラメータを設定することが必要である。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
[応用例]
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置10は、第1演算部12、第2演算部13、第1Bootstrapping部21、第2Bootstrapping部22の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には2乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、O(N2)の全加算器を演算しなければならない。また単純な減算による比較演算でも、O(N)の全加算器を演算する必要がある。本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。
図11は、コンピュータ装置の一実施例を示すブロック図である。
図11を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
図11を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
制御回路101は、コンピュータ装置100全体の制御をする。制御回路101は、例えば、Central Processing Unit(CPU)、Field Programmable Gate Array(FPGA)、Application Specific Integrated Circuit(ASIC)及びProgrammable Logic Device(PLD)などのプロセッサである。制御回路101は、例えば、図2における制御部10として機能する。
記憶装置102は、各種データを記憶する。そして、記憶装置102は、例えば、Read Only Memory(ROM)及びRandom Access Memory(RAM)などのメモリや、Hard Disk(HD)、Solid State Drive(SSD)などである。記憶装置102は、制御回路101を、図2における制御部10として機能させる情報処理プログラムを記憶してもよい。記憶装置102は、例えば、図2における記憶部20として機能する。
暗号処理装置1は、情報処理を行うとき、記憶装置102に記憶されたプログラムをRAMに読み出す。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
読書装置103は、制御回路101に制御され、着脱可能な記録媒体104のデータのリード/ライトを行なう。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
通信インターフェイス105は、ネットワーク200を介してコンピュータ装置100と他の装置とを通信可能に接続する。通信インターフェイス105は、例えば、図2において、通信部25として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
表示装置108は、各種情報を表示する。表示装置108は、例えば、例えばCRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)、PDP(Plasma Display Panel)、およびOELD(Organic Electroluminescence Display)などである。ネットワーク200は、例えば、LAN、無線通信、P2Pネットワーク、又はインターネットなどであり、コンピュータ装置100と他の装置を通信接続する。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
1 暗号処理装置、10 制御部、11 受付部、12 第1演算部、13 第2演算部、21 第1Bootstrapping部、22 第2Bootstrapping部、18 出力部、20 記憶部、25 通信部、26 入力部、100 コンピュータ装置、101 制御回路、102 記憶装置、103 読書装置、104 記録媒体、105 通信インターフェイス、106 入出力インターフェイス、107 入力装置、108 表示装置、110 バス、200 ネットワーク
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行い、暗号文に対して所定の多項式を用いて新たな暗号文を算出し、前記所定の演算は、平面上の点の座標を直交座標から極座標に変換するための演算であり、
前記点のx座標値に対応する第1暗号文に第1の多項式を用い、x座標値の2乗に対応する新たな暗号文を算出し、前記点のy座標値に対応する第2暗号文に第2の多項式を用い、y座標値の2乗に対応する新たな暗号文を算出し、前記x座標値の2乗に対応する新たな暗号文と前記y座標値の2乗に対応する新たな暗号文とを準同型演算して算出した暗号文に所定の多項式を用い、前記点の原点からの距離に対応する暗号文を算出する、ことを特徴とする。
また本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行い、暗号文に対して所定の多項式を用いて新たな暗号文を算出し、前記所定の演算は、平面上の点の座標を直交座標から極座標に変換するための演算であり、前記点のx座標値に対応する第1暗号文と前記点のy座標値に対応する第2暗号文とを準同型演算して算出した新たな暗号文に対し所定の多項式を用いて算出した暗号文と、前記第1暗号文と前記第2暗号文と、に基づいて、x座標値及びy座標値のうち大きい方に対応する第3暗号文と、小さい方に対応する第4暗号文と、を算出し、前記第3暗号文から前記第4暗号文を準同型減算した減算結果に基づいて、前記減算結果の正負を判定する二値の第5暗号文を算出し、前記一の暗号文としての前記第3暗号文から、前記他の暗号文としての、前記第4暗号文と前記第5暗号文との準同型乗算結果の暗号文を準同型減算する減算処理を行い、前記減算処理の演算結果を新たな前記第3暗号文として新たな前記第5暗号文を算出し、新たな前記第3暗号文と、前記第4暗号文と新たな前記第5暗号文とを用いた前記減算処理を繰り返し実行し、初期値に対して前記第5暗号文を前記減算処理と同じ回数繰り返し加算することによりx座標値とy座標値の比に対応する暗号文を算出し、当該暗号文に対して所定の多項式を用い、前記点の偏角に対応する新たな暗号文を算出する、ことを特徴とする。
前記点のx座標値に対応する第1暗号文に第1の多項式を用い、x座標値の2乗に対応する新たな暗号文を算出し、前記点のy座標値に対応する第2暗号文に第2の多項式を用い、y座標値の2乗に対応する新たな暗号文を算出し、前記x座標値の2乗に対応する新たな暗号文と前記y座標値の2乗に対応する新たな暗号文とを準同型演算して算出した暗号文に所定の多項式を用い、前記点の原点からの距離に対応する暗号文を算出する、ことを特徴とする。
また本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行い、暗号文に対して所定の多項式を用いて新たな暗号文を算出し、前記所定の演算は、平面上の点の座標を直交座標から極座標に変換するための演算であり、前記点のx座標値に対応する第1暗号文と前記点のy座標値に対応する第2暗号文とを準同型演算して算出した新たな暗号文に対し所定の多項式を用いて算出した暗号文と、前記第1暗号文と前記第2暗号文と、に基づいて、x座標値及びy座標値のうち大きい方に対応する第3暗号文と、小さい方に対応する第4暗号文と、を算出し、前記第3暗号文から前記第4暗号文を準同型減算した減算結果に基づいて、前記減算結果の正負を判定する二値の第5暗号文を算出し、前記一の暗号文としての前記第3暗号文から、前記他の暗号文としての、前記第4暗号文と前記第5暗号文との準同型乗算結果の暗号文を準同型減算する減算処理を行い、前記減算処理の演算結果を新たな前記第3暗号文として新たな前記第5暗号文を算出し、新たな前記第3暗号文と、前記第4暗号文と新たな前記第5暗号文とを用いた前記減算処理を繰り返し実行し、初期値に対して前記第5暗号文を前記減算処理と同じ回数繰り返し加算することによりx座標値とy座標値の比に対応する暗号文を算出し、当該暗号文に対して所定の多項式を用い、前記点の偏角に対応する新たな暗号文を算出する、ことを特徴とする。
Claims (7)
- 暗号文を処理する暗号処理装置であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部を備え、
係数の数を増加した暗号文を入力とし、前記算出部によって、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。 - 暗号文に対して所定の演算に係る準同型演算を行う演算部をさらに備え、
前記所定の演算は、平面上の点の座標を直交座標から極座標に変換するための演算であり、
前記点のx座標値に対応する第1暗号文に所定の多項式を用い、x座標値の2乗に対応する新たな暗号文を算出し、
前記点のy座標値に対応する第2暗号文に所定の多項式を用い、y座標値の2乗に対応する新たな暗号文を算出し、
x座標値の2乗に対応する新たな暗号文とy座標値の2乗に対応する新たな暗号文とを準同型演算して算出した暗号文に所定の多項式を用い、前記点の原点からの距離に対応する暗号文を算出する、
ことを特徴とする請求項1に記載の暗号処理装置。 - 暗号文に対して所定の演算に係る準同型演算を行う演算部をさらに備え、
前記所定の演算は、平面上の点の座標を直交座標から極座標に変換するための演算であり、
前記点のx座標値に対応する第1暗号文と前記点のy座標値に対応する第2暗号文とを準同型演算して算出した新たな暗号文に対し所定の多項式を用いて算出した暗号文と、前記第1暗号文と前記第2暗号文と、に基づいて、x座標値及びy座標値のうち大きい方に対応する第3暗号文と、小さい方に対応する第4暗号文と、を算出し、
前記第3暗号文から前記第4暗号文を準同型減算した減算結果に基づいて、前記減算結果の正負を判定する二値の第5暗号文を算出し、
前記一の暗号文としての前記第3暗号文から、前記他の暗号文としての、前記第4暗号文と前記第5暗号文との準同型乗算結果の暗号文を準同型減算する前記減算処理を行い、
前記減算処理の演算結果を新たな前記第3暗号文として新たな前記第5暗号文を算出し、新たな前記第3暗号文と、前記第4暗号文と新たな前記第5暗号文とを用いた前記減算処理を繰り返し実行し、
初期値に対して前記第5暗号文を前記減算処理と同じ回数繰り返し加算することによりx座標値とy座標値の比に対応する暗号文を算出し、当該暗号文に対して所定の多項式を用い、前記点の偏角に対応する新たな暗号文を算出する、
ことを特徴とする請求項1に記載の暗号処理装置。 - 前記所定の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
請求項1乃至3の何れか一項に記載の暗号処理装置。 - 前記所定の演算を行うことによって、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
請求項1乃至4の何れか一項に記載の暗号処理装置。 - プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
係数の数を増加した暗号文を入力とし、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理方法。 - 暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
係数の数を増加した暗号文を入力とし、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021185518A JP7228287B1 (ja) | 2021-11-15 | 2021-11-15 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
| PCT/JP2022/033797 WO2023084895A1 (ja) | 2021-11-15 | 2022-09-08 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
| US18/658,429 US20240297780A1 (en) | 2021-11-15 | 2024-05-08 | Encryption processing apparatus and encryption processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021185518A JP7228287B1 (ja) | 2021-11-15 | 2021-11-15 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7228287B1 JP7228287B1 (ja) | 2023-02-24 |
| JP2023072837A true JP2023072837A (ja) | 2023-05-25 |
Family
ID=85283402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021185518A Active JP7228287B1 (ja) | 2021-11-15 | 2021-11-15 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240297780A1 (ja) |
| JP (1) | JP7228287B1 (ja) |
| WO (1) | WO2023084895A1 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021083038A (ja) * | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
-
2021
- 2021-11-15 JP JP2021185518A patent/JP7228287B1/ja active Active
-
2022
- 2022-09-08 WO PCT/JP2022/033797 patent/WO2023084895A1/ja unknown
-
2024
- 2024-05-08 US US18/658,429 patent/US20240297780A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021083038A (ja) * | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Non-Patent Citations (4)
| Title |
|---|
| BOURSE, F. ET AL.: "Fast Homomorphic Evaluation of Deep Discretized Neural Networks", LECTURE NOTES IN COMPUTER SCIENCE, vol. 10993, JPN6022049121, 2018, pages 483 - 512, XP002802327, ISSN: 0004926399, DOI: 10.1007/978-3-319-96878-0_17 * |
| CHILLOTTI, I. ET AL.: "TFHE: Fast Fully Homomorphic Encryption over the Torus", CRYPTOLOGY EPRINT ARCHIVE, vol. Paper 2018/421 20190402:093245, JPN6022026016, 2019, pages 1 - 62, ISSN: 0004926402 * |
| GUIMARAES , A., BORIN,E. AND ARANHA, D. F.: "Revisiting the functional bootstrap in TFHE", IACR TRANSACTIONS ON CRYPTOGRAPHIC HARDWARE AND EMBEDDED SYSTEMS, vol. 2021, no. 2, JPN6022049124, 23 February 2021 (2021-02-23), pages 229 - 253, ISSN: 0004926401 * |
| OKADA, H., KIYOMOTO, S. AND CID, C.: "Integer-Wise Functional Bootstrapping on TFHE: Applications in Secure Integer Arithmetics", INFORMATION [ONLINE], vol. 2021,12,297, JPN6022045988, 26 July 2021 (2021-07-26), pages 1 - 18, ISSN: 0004926400 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7228287B1 (ja) | 2023-02-24 |
| WO2023084895A1 (ja) | 2023-05-19 |
| US20240297780A1 (en) | 2024-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023067928A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2022201791A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2023074133A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| US20240048353A1 (en) | Encryption processing device and encryption processing method | |
| JP7228287B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7069460B2 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2022044464A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7187076B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| US11671239B2 (en) | Encryption method and apparatus based on homomorphic encryption using odd function property | |
| JP7261502B2 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7185346B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2022270080A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7146725B2 (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| CN115208548A (zh) | 用于处理关于同态加密消息的非多项式运算的设备及其方法 | |
| JP7556577B2 (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| JP2024013184A (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| JP7556580B2 (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| US20240039698A1 (en) | Encryption processing device and encryption processing method | |
| US20240187210A1 (en) | Encryption processing apparatus and encryption processing method | |
| Pradhan | A New CRT-based Fully Homomorphic Encryption | |
| JP7179788B2 (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| Golimblevskaia et al. | Survey software implementations of homomorphic encryption methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220719 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230131 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230206 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7228287 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |