JP5388716B2 - 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム - Google Patents

分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム Download PDF

Info

Publication number
JP5388716B2
JP5388716B2 JP2009146024A JP2009146024A JP5388716B2 JP 5388716 B2 JP5388716 B2 JP 5388716B2 JP 2009146024 A JP2009146024 A JP 2009146024A JP 2009146024 A JP2009146024 A JP 2009146024A JP 5388716 B2 JP5388716 B2 JP 5388716B2
Authority
JP
Japan
Prior art keywords
information
matrix
partial
shared information
secret information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009146024A
Other languages
English (en)
Other versions
JP2011004206A (ja
Inventor
淳 栗原
晋作 清本
俊昭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2009146024A priority Critical patent/JP5388716B2/ja
Publication of JP2011004206A publication Critical patent/JP2011004206A/ja
Application granted granted Critical
Publication of JP5388716B2 publication Critical patent/JP5388716B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、巨大な拡大体上の秘密情報を、任意の小規模な有限体上で分散あるいは復元するとともに、分散情報の大きさを削減する分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラムに関する。
近年、情報セキュリティの重要性が高まるにつれ、情報の盗難対策と紛失対策が重要な課題となっている。このようなことから、非特許文献1に示されるような(k、n)閾値秘密分散法は、情報の秘匿と紛失によるリスクの回避を同時に実現する手法として、注目を浴びている。ここで、(k、n)閾値秘密分散は、機密情報をn個の分散情報に分散し、そのうち任意のk個の分散情報が集まれば、復元できることを意味する。
ここで、広く用いられている従来手法として、1979年に提案されたShamirの(k,n)閾値法(例えば、非特許文献1参照。)がある。この方式は、秘密情報を素体GF(p)上の要素として演算することにより実現される。なお、このとき、pは素数である。
また、非特許文献2において、Karninらは、非特許文献1に示すShamirの秘密分散法を、有限体GF(q)のm次拡大体GF(q)上での秘密分散法へと一般化している。このとき、q=pであり、pは素数、lは正の整数である。この手法においては、秘密情報はGF(q)上の要素として演算される。
つまり、非特許文献1および2の手法は、それぞれ、GF(p)、GF(q)上で動作する。また、最大管理者数はそれぞれp−1、q−1となる。このため、分散する数が大きいほど、あるいは秘密情報の大きさが大きいほど、より大きな素体・拡大体上での演算が必要となるが、一般的に、巨大な素体上・拡大体上での演算はコンピュータ上で低速であるという問題がある。
一方、2007年に提案された、排他的論理和(Exclusive−OR、XOR)を用いて、高速に分散情報の生成・秘密情報の復元を可能とする(k、n)閾値法がある(例えば、非特許文献3あるいは4を参照。)。これらの高速(k、n)閾値法は、単純に高速動作するだけではなく、非特許文献1および2と同様に、情報理論的安全性が保証され、分散情報のデータ長が秘密情報のデータ長と等しいという特長を持つ。
また、非特許文献1および2の手法に対して、安全性をわずかに劣化させる代わりに、分散情報の大きさを大幅に削減するランプ型閾値秘密分散法と呼ばれる手法が提案されている(非特許文献5参照。)。
A.Shamir,‘‘How to share a secret,’’ Communication of the ACM, vol.22,no.11,pp.612―613,1979. E.D.Karnin,J.W. Greene, M. E. Hellman, ``On Secret Sharing Systems,’’ IEEE Transaction on Information Theory,vol.29,no.1,pp.35―49 J.Kurihara,S.Kiyomoto,K.Fukushima,T.Tanaka,``A new (k,n)−threshold secret sharing scheme and its extension,’’ Proceeding of ISC‘08,Lecture Note in Computer Science,vol.5222,pp.455−470,2008,Springer−Verlag. 藤井吉弘,栃窪孝也,保坂範和,多田美奈子,加藤岳久,``排他的論理和を用いた(k、n)しきい値法の構成法,’’電子情報通信学会技術研究報告,vol.107,no.44,情報セキュリティ、ISSN0913−5685、ISEC2007−5. 山本博資、"(k、L、n)閾値秘密分散システム、"電子通信学会論文誌、vol.J68−A、no.9、pp.945−952、1985年9月
しかしながら、非特許文献3あるいは4の手法は、位数2の素体GF(2)上で実行されるため、非特許文献1あるいは2をベースとした閾値暗号などの「加算と離散対数の準同型性」を利用するアプリケーションに適用することが難しいという問題があった。
また、非特許文献5に記載された手法も、巨大な素体や拡大体上で動作を行うため、コンピュータでの処理では、処理速度が低速になるという問題があった。
そこで、本発明は、上述の課題に鑑みてなされたものであり、巨大な拡大体上の秘密情報を、任意の小規模な有限体上で分散あるいは復元するとともに、分散情報の大きさを削減する分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラムを提供することを目的とする。
本発明は、上記の課題を解決するために、以下の事項を提案している。
)本発明は、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する分割手段(例えば、図1の分割器1に相当)と、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する乱数生成手段(例えば、図1の乱数生成器2に相当)と、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成するコンパニオン行列生成手段(例えば、図1のコンパニオン行列生成器3に相当)と、前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する演算手段(例えば、図1のGF(q)演算器4に相当)と、該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する連結手段(例えば、図1の連結器5a〜5nに相当)と、分散情報の各管理者に、前記生成した分散情報を送信する送信手段(例えば、図1の送信器6に相当)と、を備えたことを特徴とする分散情報生成装置を提案している。なお、ここで、コンパニオン行列とは、m次原始多項式f(x)を数1のように表したときに、このf(x)に対応する数2に示すようなm行m列の行列をいう。
Figure 0005388716
Figure 0005388716
この発明によれば、分割手段は、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する。乱数生成手段は、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する。コンパニオン行列生成手段は、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列とそのコンパニオン行列の累乗とを生成する。演算手段は、生成されたコンパニオン行列とそのコンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する。連結手段は、その出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する。送信手段は、分散情報の各管理者に、生成した分散情報を送信する。したがって、大規模な拡大体上の秘密情報を任意の有限体上に分割して、演算を行うため、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより、秘密情報に比べて、個々の部分分散情報の大きさを1/Lにすることができる。
)本発明は、k個の分散情報を受信する受信手段(例えば、図3の受信器11に相当)と、該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する分割手段(例えば、図3の分割器13a〜13nに相当)と、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する行列生成手段(例えば、図3の行列生成器12に相当)と、該生成した生成行列の逆行列を導出する行列演算手段(例えば、図3の行列演算器14に相当)と、該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する演算手段(例えば、図3のGF(q)演算器15に相当)と、該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する連結手段(例えば、図3の連結器16に相当)と、を備えることを特徴とする秘密情報復元装置を提案している。
この発明によれば、受信手段は、k個の分散情報を受信する。分割手段は、その受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する。行列生成手段は、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する。行列演算手段は、その生成した生成行列の逆行列を導出する。演算手段は、その導出した逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する。連結手段は、その出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する。したがって、任意の有限体上で復元のための演算処理を行うことから、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより構成された分散情報からLm個の部分秘密情報を生成し、これを連結することにより、秘密情報が復元できる。つまり、受信する分散情報のサイズが小さいことから、通信路を伝送するデータ数を削減することができる。
)本発明は、分割手段、乱数生成手段、コンパニオン行列生成手段、演算手段、連結手段、および送信手段を備え、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成装置における分散情報生成方法であって、前記分割手段が、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する第1のステップ(例えば、図2のステップS101に相当)と、前記乱数生成手段が、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する第2のステップ(例えば、図2のステップS102に相当)と、前記コンパニオン行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成する第3のステップ(例えば、図2のステップS103に相当)と、前記演算手段が、前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する第4のステップ(例えば、図2のステップS104に相当)と、前記連結手段が、該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する第5のステップ(例えば、図2のステップS105に相当)と、前記送信手段が、分散情報の各管理者に、前記生成した分散情報を送信する第6のステップ(例えば、図2のステップS106に相当)と、を備えたことを特徴とする分散情報生成方法を提案している。
この発明によれば、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割し、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する。次に、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列とそのコンパニオン行列の累乗とを生成し、生成されたコンパニオン行列とそのコンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する。そして、その出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成し、分散情報の各管理者に、生成した分散情報を送信する。したがって、大規模な拡大体上の秘密情報を任意の有限体上に分割して、演算を行うため、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより、秘密情報に比べて、個々の部分分散情報の大きさを1/Lにすることができる。
)本発明は、受信手段、分割手段、行列生成手段、行列演算手段、演算手段、および連結手段を備え、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元装置における秘密情報復元方法であって、前記受信手段が、k個の分散情報を受信する第1のステップ(例えば、図4のステップS201に相当)と、前記分割手段が、該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する第2のステップ(例えば、図4のステップS202に相当)と、前記行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する第3のステップ(例えば、図4のステップS203に相当)と、前記行列演算手段が、該生成した生成行列の逆行列を導出する第4のステップ(例えば、図4のステップS204に相当)と、前記演算手段が、該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する第5のステップ(例えば、図4のステップS205に相当)と、前記連結手段が、該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する第6のステップ(例えば、図4のステップS206に相当)と、を備えることを特徴とする秘密情報復元方法を提案している。
この発明によれば、k個の分散情報を受信し、その受信したk個の分散情報を分割して、km個の部分分散情報を出力する。次に、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、受信した分散情報のインデックスとを用いて分散情報の生成行列を生成し、その生成した生成行列の逆行列を導出する。そして、その導出した逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、Lm個の部分秘密情報を出力し、その出力されたLm個の部分秘密情報を連結して秘密情報を出力する。したがって、任意の有限体上で復元のための演算処理を行うことから、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより構成された分散情報からLm個の部分秘密情報を生成し、これを連結することにより、秘密情報が復元できる。つまり、受信する分散情報のサイズが小さいことから、通信路を伝送するデータ数を削減することができる。
)本発明は、分割手段、乱数生成手段、コンパニオン行列生成手段、演算手段、連結手段、および送信手段を備え、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成装置における分散情報生成方法をコンピュータに実行させるためのプログラムであって、前記分割手段が、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する第1のステップ(例えば、図2のステップS101に相当)と、前記乱数生成手段が、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する第2のステップ(例えば、図2のステップS102に相当)と、前記コンパニオン行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成する第3のステップ(例えば、図2のステップS103に相当)と、前記演算手段が、前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する第4のステップ(例えば、図2のステップS104に相当)と、前記連結手段が、該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する第5のステップ(例えば、図2のステップS105に相当)と、前記送信手段が、分散情報の各管理者に、前記生成した分散情報を送信する第6のステップ(例えば、図2のステップS106に相当)と、を実行するためのプログラムを提案している。
この発明によれば、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割し、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する。次に、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列とそのコンパニオン行列の累乗とを生成し、生成されたコンパニオン行列とそのコンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する。そして、その出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成し、分散情報の各管理者に、生成した分散情報を送信する。したがって、大規模な拡大体上の秘密情報を任意の有限体上に分割して、演算を行うため、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより、秘密情報に比べて、個々の部分分散情報の大きさを1/Lにすることができる。
)本発明は、受信手段、分割手段、行列生成手段、行列演算手段、演算手段、および連結手段を備え、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元装置における秘密情報復元方法をコンピュータに実行させるためのプログラムであって、前記受信手段が、k個の分散情報を受信する第1のステップ(例えば、図4のステップS201に相当)と、前記分割手段が、該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する第2のステップ(例えば、図4のステップS202に相当)と、前記行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する第3のステップ(例えば、図4のステップS203に相当)と、前記行列演算手段が、該生成した生成行列の逆行列を導出する第4のステップ(例えば、図4のステップS204に相当)と、前記演算手段が、該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する第5のステップ(例えば、図4のステップS205に相当)と、前記連結手段が、該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する第6のステップ(例えば、図4のステップS206に相当)と、k個の分散情報を受信する第1のステップと、該受信したk個の分散情報を分割して、kを実行するためのプログラムを提案している。
この発明によれば、k個の分散情報を受信し、その受信したk個の分散情報を分割して、km個の部分分散情報を出力する。次に、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、受信した分散情報のインデックスとを用いて分散情報の生成行列を生成し、その生成した生成行列の逆行列を導出する。そして、その導出した逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、Lm個の部分秘密情報を出力し、その出力されたLm個の部分秘密情報を連結して秘密情報を出力する。したがって、任意の有限体上で復元のための演算処理を行うことから、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより構成された分散情報からLm個の部分秘密情報を生成し、これを連結することにより、秘密情報が復元できる。つまり、受信する分散情報のサイズが小さいことから、通信路を伝送するデータ数を削減することができる。
本発明によれば、大規模な拡大体上の秘密情報を、任意の小規模な有限体上で分散あるいは復元することを可能とするとともに、個々の分散情報の大きさを削減することができる秘密分散法を構成できるという効果がある。つまり、個々の分散情報の大きさを削減できるため、管理者のストレージの容量負荷を削減できるとともに、復元時においては、ネットワーク内で流通するデータ容量を削減できるという効果がある。
また、本発明によれば、任意の小規模な有限体上で動作するため、非特許文献3または4記載されているようにXOR演算のみで構成することも可能であり、また、加算と離散対数の準同型性を利用したアプリケーションへの適用も容易であるという効果がある。
本発明の実施形態に係る分散情報生成装置の構成を示す図である。 本発明の実施形態に係る分散情報生成装置の処理フローを示す図である。 本発明の実施形態に係る秘密情報復元装置の構成を示す図である。 本発明の実施形態に係る秘密情報復元装置の処理フローを示す図である。
以下、本発明の実施形態について、図面を用いて、詳細に説明する。
なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
<分散情報生成装置の構成>
図1を用いて、本実施形態に係る分散情報生成装置の構成について説明する。
本実施形態に係る分散情報生成装置は、図1に示すように、分割器1と、乱数生成器2と、コンパニオン行列生成器3と、GF(q)演算器4と、連結器5a〜5nと、送信器6とから構成されている。
分割器1は、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割し、分割した部分秘密情報をGF(q)演算器4に出力する。乱数生成器2は、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成し、生成した乱数をGF(q)演算器4に出力する。
コンパニオン行列生成器3は、パラメータk、n、mの値に応じて、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列とそのコンパニオン行列の累乗とをそれぞれqm−1個の行列を生成し、GF(q)演算器4に出力する。
GF(q)演算器4は、入力されたコンパニオン行列とそのコンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、部分秘密情報と乱数とを有限体GF(q)上で演算し、mn個(nは、正の整数)の部分分散情報をn個の連結器5a〜5nに出力する。
連結器5a〜5nは、それぞれ、GF(q)演算器4から入力されたm個の部分分散情報を連結してn個の分散情報を生成し、送信器6に出力する。送信器6は、入力した分散情報を分散情報の各管理者に送信して、配布する。
<分散情報生成装置の処理>
図2を用いて、本実施形態に係る分散情報生成装置の処理について説明する。
なお、説明にあたって用いる記号を数3のように、定義する。
Figure 0005388716
まず、分割器1に秘密情報s∈GF(q)を入力して、s、s、・・・・、sm−1、・・・・、s L−1、・・・・、sm−1 L−1∈GF(q)のLm個の部分秘密情報に分割する(ステップS101)。このとき、秘密情報ベクトルs(h=0、・・・・、L−1)は、数4のように表される。
Figure 0005388716
次に、乱数生成器2を用いて、(k−L)m個の乱数r 、・・・・、r m−1、・・・・、rk−L−1 、・・・・、rk−L−1 m−1∈GF(q)を生成する(ステップS102)。このとき、乱数ベクトルr(h=0、1、・・・・、k−L−1)は、数5のように表される。
Figure 0005388716
また、コンパニオン行列生成器3にパラメータmを入力して、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列Cとそのコンパニオン行列の累乗とを生成する(ステップS103)。
GF(q)演算器4において、コンパニオン行列Cとそのコンパニオン行列の累乗とを用いて、部分分散情報を数6により生成する(ステップS104)。
Figure 0005388716
ここで、iは、0≦i≦n−1である。また、数6において、すべての演算は、有限体GF(q)上で実行される。さらに、部分分散情報ベクトルwの構成は、数7のように表される。
Figure 0005388716
次に、それぞれの連結器5a〜5nにおいて、wの要素(部分分散情報)を数8のように連結して分散情報wを生成し(ステップS105)、送信器6がセキュアな伝送路を介して、管理者Pに分散情報wを送信する(ステップS106)。
Figure 0005388716
したがって、本実施形態に係る分散情報生成装置によれば、大規模な拡大体上の秘密情報を任意の有限体上に分割して、演算を行うため、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより、秘密情報に比べて、個々の部分分散情報の大きさを1/Lにすることができる。
<秘密情報復元装置の構成>
図3を用いて、本実施形態に係る秘密情報復元装置の構成について説明する。
本実施形態に係る秘密情報復元装置は、図3に示すように、受信器11と、行列生成器12と、k個の分割器13a〜13nと、行列演算器14と、GF(q)演算器15と、連結器16とから構成されている。
受信器11は、k人の管理人からk個の分散情報を受信し、受信したk個の分散情報をそれぞれのk個の分割器13a〜13nに出力する。それぞれの分割器13a〜13nは、入力したk個の分散情報を分割して、km個の部分分散情報をGF(q)演算器15に出力する。
行列生成器12は、入力したパラメータmの値に応じて、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、受信した分散情報のインデックスとを用いて分散情報の生成行列を生成し、行列演算器14に出力する。
行列演算器14は、入力した生成行列の逆行列を導出し、GF(q)演算器15に出力する。GF(q)演算器15は、入力された逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、Lm個の部分秘密情報を連結器16に出力する。連結器16は、入力されたLm個の部分秘密情報を連結して秘密情報を出力する。
<秘密情報復元装置の処理>
図4を用いて、本実施形態に係る秘密情報復元装置の処理について説明する。
なお、説明にあたって用いる記号を分散情報生成装置での説明と同様に定義する。
まず、受信器11は、wt0、wt1、・・・・、wtk−1のk個の分散情報を管理者Pから受信し、k個の分割器13a〜13nにそれぞれ出力する(ステップS201)。次に、それぞれの分割器13a〜13nにおいて、入力した分散情報wをm個の部分分散情報w(i、0)、・・・・、w(i、m−1)∈GF(q)へと分割し、km個の部分分散情報をGF(q)演算器15に出力する(ステップS202)。なお、i=t、・・・・、tk−1である。また、このとき、部分分散情報ベクトルwは、数9のように定義される。
Figure 0005388716
一方、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成し(ステップS203)、その生成した生成行列の逆行列を導出する(ステップS204)。
具体的には、数10に示すkm×2km行列(G|Ikm)を入力した分散情報のインデックスおよびコンパニオン行列Cから導出する。
Figure 0005388716
数10において、Ikmは、km行km列の単位行列を示し、Gを生成行列と呼ぶ。ここで、ガウスの消去法を(G|Ikm)上において実行することにより、数11に示す行列を得る。
Figure 0005388716
数11において、Gauss()は、有限体GF(q)上のガウスの消去法を実行する関数とする。この際、Mは、Gに対する逆行列となる。なお、ステップS203およびステップS204においては、上記のように、ガウスの消去法を利用する例について説明したが、LU分解などの他のアルゴリズムを用いることもできる。
次に、導出した逆行列の構成に基づいて定まる組み合わせに応じて、部分分散情報を有限体GF(q)上において演算し、m個の部分秘密情報を出力する(ステップS205)。具体的には、逆行列Mを用いて、数12に示す演算を有限体GF(q)上において実行することにより、すべての部分秘密情報および乱数を復元することができる。数12において、sは、数13に、rは、数14に示されるように定義される。
Figure 0005388716
Figure 0005388716
Figure 0005388716
そして、出力された部分秘密情報を連結して、数15に示すような秘密情報sを出力する(ステップS206)。
Figure 0005388716
したがって、本実施形態に係る秘密情報復元装置によれば、任意の有限体上で復元のための演算処理を行うことから、加算と離散対数の準同型性を利用したアプリケーションにも容易に適用することができる。また、部分分散情報をm個ずつ連結することにより構成された分散情報からLm個の部分秘密情報を生成し、これを連結することにより、秘密情報が復元できる。つまり、受信する分散情報のサイズが小さいことから、通信路を伝送するデータ数を削減することができる。
なお、分散情報生成装置および秘密情報復元装置の処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを分散情報生成装置および秘密情報復元装置に読み込ませ、実行することによって本発明の分散情報生成装置および秘密情報復元装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1・・・分割器
2・・・乱数生成器
3・・・コンパニオン行列生成器
4・・・GF(q)演算器
5a〜5n・・・連結器
6・・・送信器
11・・・受信器
12・・・行列生成器
13a〜13n・・・分割器
14・・・行列演算器
15・・・GF(q)演算器
16・・・連結器

Claims (6)

  1. 拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する分割手段と、
    m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する乱数生成手段と、
    GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成するコンパニオン行列生成手段と、
    前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する演算手段と、
    該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する連結手段と、
    分散情報の各管理者に、前記生成した分散情報を送信する送信手段と、
    を備えたことを特徴とする分散情報生成装置。
  2. k個の分散情報を受信する受信手段と、
    該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する分割手段と、
    GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する行列生成手段と、
    該生成した生成行列の逆行列を導出する行列演算手段と、
    該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する演算手段と、
    該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する連結手段と、
    を備えることを特徴とする秘密情報復元装置。
  3. 分割手段、乱数生成手段、コンパニオン行列生成手段、演算手段、連結手段、および送信手段を備え、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成装置における分散情報生成方法であって、
    前記分割手段が、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する第1のステップと、
    前記乱数生成手段が、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する第2のステップと、
    前記コンパニオン行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成する第3のステップと、
    前記演算手段が、前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する第4のステップと、
    前記連結手段が、該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する第5のステップと、
    前記送信手段が、分散情報の各管理者に、前記生成した分散情報を送信する第6のステップと、
    を備えたことを特徴とする分散情報生成方法。
  4. 受信手段、分割手段、行列生成手段、行列演算手段、演算手段、および連結手段を備え、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元装置における秘密情報復元方法であって、
    前記受信手段が、k個の分散情報を受信する第1のステップと、
    前記分割手段が、該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する第2のステップと、
    前記行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する第3のステップと、
    前記行列演算手段が、該生成した生成行列の逆行列を導出する第4のステップと、
    前記演算手段が、該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する第5のステップと、
    前記連結手段が、該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する第6のステップと、
    を備えることを特徴とする秘密情報復元方法。
  5. 分割手段、乱数生成手段、コンパニオン行列生成手段、演算手段、連結手段、および送信手段を備え、秘密情報から管理者がそれぞれ管理する分散情報を生成する分散情報生成装置における分散情報生成方法をコンピュータに実行させるためのプログラムであって、
    前記分割手段が、拡大体GF(q)上の秘密情報(m次元ベクトル)をLm(L、mは、正の整数)個の有限体GF(q)上の部分秘密情報に分割する第1のステップと、
    前記乱数生成手段が、m(k−L)個(kは、正の整数)の有限体GF(q)上の乱数を生成する第2のステップと、
    前記コンパニオン行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と該コンパニオン行列の累乗とを生成する第3のステップと、
    前記演算手段が、前記生成されたコンパニオン行列と該コンパニオン行列の累乗との構成に基づいて定まる組み合わせに応じて、前記部分秘密情報と生成された乱数とを有限体GF(q)上で演算を行い、mn個(nは、正の整数)の部分分散情報を出力する第4のステップと、
    前記連結手段が、該出力された部分分散情報をm個ずつ連結して、n(nは、正の整数)個の分散情報を生成する第5のステップと、
    前記送信手段が、分散情報の各管理者に、前記生成した分散情報を送信する第6のステップと、
    を実行するためのプログラム。
  6. 受信手段、分割手段、行列生成手段、行列演算手段、演算手段、および連結手段を備え、それぞれの管理者が管理する分散情報を所定数集めて、秘密情報を復元する秘密情報復元装置における秘密情報復元方法をコンピュータに実行させるためのプログラムであって、
    前記受信手段が、k個の分散情報を受信する第1のステップと、
    前記分割手段が、該受信したk個の分散情報を分割して、km(k、mは、正の整数)個の部分分散情報を出力する第2のステップと、
    前記行列生成手段が、GF(q)[x]上のm次原始多項式f(x)に対応するコンパニオン行列と、前記受信した分散情報のインデックスとを用いて分散情報の生成行列を生成する第3のステップと、
    前記行列演算手段が、該生成した生成行列の逆行列を導出する第4のステップと、
    前記演算手段が、該導出した逆行列の構成に基づいて定まる組み合わせに応じて、前記部分分散情報を有限体GF(q)上において演算し、Lm個(L、mは、正の整数)の部分秘密情報を出力する第5のステップと、
    前記連結手段が、該出力されたLm個(L、mは、正の整数)の部分秘密情報を連結して秘密情報を出力する第6のステップと、
    を実行するためのプログラム。
JP2009146024A 2009-06-19 2009-06-19 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム Expired - Fee Related JP5388716B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009146024A JP5388716B2 (ja) 2009-06-19 2009-06-19 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009146024A JP5388716B2 (ja) 2009-06-19 2009-06-19 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2011004206A JP2011004206A (ja) 2011-01-06
JP5388716B2 true JP5388716B2 (ja) 2014-01-15

Family

ID=43561775

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009146024A Expired - Fee Related JP5388716B2 (ja) 2009-06-19 2009-06-19 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Country Status (1)

Country Link
JP (1) JP5388716B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5530025B2 (ja) * 2011-11-28 2014-06-25 国立大学法人横浜国立大学 データ分割装置およびデータ分割プログラム
JP7027060B2 (ja) * 2017-08-03 2022-03-01 株式会社日立製作所 秘密分散システム及びその方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4917453B2 (ja) * 2007-02-22 2012-04-18 Kddi株式会社 閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラム
JP4334582B2 (ja) * 2007-06-26 2009-09-30 株式会社東芝 秘密分散装置、方法及びプログラム

Also Published As

Publication number Publication date
JP2011004206A (ja) 2011-01-06

Similar Documents

Publication Publication Date Title
JP4917453B2 (ja) 閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラム
EP3528233B1 (en) Secret bit decomposition device, secret bit decomposition method, and program therefor
JP6693508B2 (ja) 秘密計算システム、サーバ装置、秘密計算方法、および、プログラム
Al Etaiwi Encryption algorithm using graph theory
KR101344353B1 (ko) 비밀 분산 시스템, 분산 장치, 분산 관리 장치, 취득 장치, 그들의 처리 방법, 비밀 분산 방법, 및 프로그램을 기록한 기록 매체
JP6730741B2 (ja) 処理装置、処理方法、処理プログラム、及び暗号処理システム
US8958547B2 (en) Generation of relative prime numbers for use in cryptography
CN111984990B (zh) 基于边缘计算的支持隐私保护的矩阵乘法任务外包方法
EP3965360A1 (en) State synchronization for post-quantum signing facilities
WO2018135511A1 (ja) 秘密計算方法、秘密計算システム、秘密計算装置、およびプログラム
KR101602361B1 (ko) 타원 곡선상의 점의 부호화
JP4999533B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5388716B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP2008262040A (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5388684B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
EP3767874B1 (en) Decrypting device, encrypting device, and encryption system
JP5433297B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5065795B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP4933241B2 (ja) 閾値秘密分散装置、閾値秘密分散方法、およびプログラム
JP2010186232A (ja) 管理者追加処理システム、管理者追加処理方法およびプログラム
JP5191751B2 (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム
JP5189799B2 (ja) 秘密情報復元装置、秘密情報復元方法およびプログラム
EP4080488A1 (en) Secret random number generation system, secret calculation device, secret random number generation method, and program
JP2011018218A (ja) 分散情報検証システム、分散情報検証方法、検証情報生成方法およびプログラム
JP2011055041A (ja) 分散情報生成装置、秘密情報復元装置、分散情報生成方法、秘密情報復元方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131008

R150 Certificate of patent or registration of utility model

Ref document number: 5388716

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees