JP5609892B2 - 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム - Google Patents

検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム Download PDF

Info

Publication number
JP5609892B2
JP5609892B2 JP2011547376A JP2011547376A JP5609892B2 JP 5609892 B2 JP5609892 B2 JP 5609892B2 JP 2011547376 A JP2011547376 A JP 2011547376A JP 2011547376 A JP2011547376 A JP 2011547376A JP 5609892 B2 JP5609892 B2 JP 5609892B2
Authority
JP
Japan
Prior art keywords
information
secret
subset
pieces
shared
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011547376A
Other languages
English (en)
Other versions
JPWO2011077819A1 (ja
Inventor
賢 尾花
賢 尾花
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011547376A priority Critical patent/JP5609892B2/ja
Publication of JPWO2011077819A1 publication Critical patent/JPWO2011077819A1/ja
Application granted granted Critical
Publication of JP5609892B2 publication Critical patent/JP5609892B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は、不正者を検知することが可能な秘密分散技術に関する。
秘密情報を複数の分散情報に分散し、予め定められた数の分散情報(シェア)が集まった場合にのみ秘密を復元できる暗号技術として秘密分散法が知られている。
個々の分散情報は秘密情報と相関性がない情報なので、それらの分散情報を複数個所に分散して管理しておけば、分散情報を不正に取得した不正者が元の秘密情報を復元することはできない。この結果、秘密分散法により秘密漏洩に関して高い安全性を確保できる。
また、秘密分散法では、分散情報のいくつかを喪失しても所定個以上の分散情報が残っていれば秘密情報を復元できるので、情報喪失に関しても高い安全性が確保できる。
この秘密分散法の中で最も有名な技術は、非特許文献1に記載された(k,n)閾値秘密分散法と呼ばれる技術である。この技術は、秘密分散法において、(1)秘密情報をn個の分散情報に分散し、(2)その中の任意のk個が集まった場合には秘密情報が復元でき、(3)k個未満の部分情報からは秘密に関するいかなる情報も得られない、という特徴を持ったものである。
非特許文献1に記載された(k,n)閾値秘密分散法は、分散情報を管理する者の不正や、分散情報を管理する装置の故障を考慮していない。そのため、k個の分散情報を集めて秘密の復元を行う際、一つでも元の情報とは異なる分散情報が出されると、秘密情報を正しく復元することができず、また、復元された秘密情報が元の秘密情報とは異なっているという事実も検知することができなかった。
この問題を解決するため、非特許文献2や非特許文献3に記載された秘密分散法では、秘密復元時にk-1個の改竄された分散情報が集められた場合でも、復元された秘密情報が元の秘密情報とは異なっているという事実を検知できる方式が用いられている。
復元時に改竄のあったことを検知するだけでなく、更に、どの分散情報が改竄されているかを特定する技術が、非特許文献4〜6に記載されている。
非特許文献4に記載された秘密分散法によれば、改竄された分散情報の個数tがk≧2t+1の範囲内であれば、改竄されたt個の分散情報全てを高い確率で特定することが可能である。
また、非特許文献5および非特許文献6には、改竄された分散情報を特定できる個数が非特許文献4に記載された方法よりは少ないが、不正者数tが、k≧3t+1の範囲内であれば、改竄された分散情報の全てを高確率で特定することができる秘密分散法が記載されている。
非特許文献4〜6に記載されたような秘密分散法では、多数の改竄された分散情報を特定できるようにしようとすると、それだけ分散情報のデータサイズが大きくなってしまう。逆に、分散情報のデータサイズを小さくしようとすると、改竄された分散情報を特定できる個数が減ってしまう。
先の例では、非特許文献5、6に記載された秘密分散法は、改竄された分散情報の個数tが、非特許文献4の場合よりも狭いk≧2t+1を満たす範囲でなければ、改竄された分散情報を特定できないというデメリットがあるものの、分散情報のデータサイズを非特許文献4に記載された秘密分散法のものよりも小さくできるというメリットもある。
具体的には、非特許文献4の方法では、分散情報のデータサイズは、p*q^(3n−3)である。これに対し、特許文献5等の方法では、分散情報御のサイズはp*q^(t+1)となり、比較的小さい。ここで、pは、予め定めておいた有限体の位数であり、素数の冪乗である。qは、q≧n*pを満たす素数である。
Adi Shamir, "How to share a secret", Comm. ACM, 22(11), 612-613(1979) Martin Tompa, Heather Woll, "How to Share a Secret with Cheaters", Journal of Cryptology, vol.1, pages 133-138, 1988 Wakaha Ogata, Kaoru Kurosawa, Douglas R Stinson, "Optimum Secret Sharing Scheme Secure Against Cheating", SIAM Journal on Discrete Mathematics, vol.20, no1, pages 79-95, 2006 T. Rabin and M. Ben-Or, "Verifiable Secret Sharing and Multiparty Protocols with Honest Majority", Proc. STOC'89, pp. 73--85, 1989 K. Kurosawa, S. Obana and W. Ogata, "t-Cheater Identifiable (k,n) Secret Sharing Schemes," Proc. Crypto'95, Lecture Notes in Computer Science, vol. 963, Springer Verlag, pp. 410--423, 1995 尾花 賢, "t人までの不正者を特定できる準最適な秘密分散法," 2007年 暗号と情報セキュリティシンポジウム, SCIS2007, 3D1-1, 2007
上述したような現状においては、不正者数tがk≧3t+1の範囲を超えうることが想定される場合、分散情報のデータサイズが小さい非特許文献5、6に記載された方法を用いることができず、分散情報のデータサイズが大きい非特許文献4に記載された方法を用いなければならなかった。
本発明の目的は、改竄された分散情報の個数が、非特許文献5、6に記載された方法で特定が可能な範囲を超えることが想定される場合にも、改竄された分散情報を特定でき、かつ非特許文献4に記載されたものより分散情報のデータサイズが小さい秘密分散法を提供することである。
上記目的を達成するために、本発明の検証装置は、素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定する検証装置であって、k個の分散情報と前記tとを入力する入力手段と、前記入力手段に入力された前記k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成する部分集合生成手段と、前記部分集合生成手段により生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断する整合性判断手段と、前記整合性判断手段による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する不正者特定手段と、を有する。
本発明の検証方法は、素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定する検証方法であって、部分集合生成手段が、k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成し、整合性判断手段が、前記部分集合生成手段により生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断し、不正者特定手段が、前記整合性判断手段による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する、検証方法である。
本発明のプログラムは、素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定するコンピュータを制御するためのプログラムであって、前記コンピュータに、k個の分散情報と前記tとが入力されると、該k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成する部分集合生成手順、前記部分集合生成手順で生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断する整合性判断手順、及び前記整合性判断手順による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する不正者特定手順、を実行させるためのプログラムである。
本発明の秘密分散システムは、素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報からn個の分散秘密情報を生成し、qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとして、n個の前記分散情報のうち、任意のt個までの不正な分散情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法によりn個の不正者特定情報を生成し、n個の該分散秘密情報及びn個の該不正者特定情報を出力する秘密情報分散装置と、前記秘密情報分散装置により生成された分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報と、前記tとが入力されると、k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成し、該部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断し、該判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する検証装置と、を有する。
本発明によれば、検証装置は、GF(p)上のk−1次多項式およびGF(q)上のt次多項式を使用して得られたk個の分散情報から、r≧t+2を満たすr個を選択する組み合わせを部分集合として全て求め、部分集合ごとに、部分集合に不正な分散情報が含まれるか否かを判断し、不正者集合を生成する。この構成によれば、k個の分散情報のうち、t個の不正な分散情報があっても、r個以上の不正のない分散情報があれば、検証装置は、部分集合のうち、1つ以上に不正な分散情報がないと判断でき、各部分集合の判断結果から、k個の中のt個までの不正な分散情報を高い確率で特定できる。
このため、k≧r+tの関係を満たすt個までの不正な分散情報を検知できる。2t≧rの範囲を設定すれば、ユーザは、検証装置にk≧3tを満たすtの値を設定でき、一定値のkに対し、k≧3t+1の場合よりもtを大きく設定できる。
また、GF(p)などのpに基づく有限体上のk−1次多項式とGF(q)上のt次多項式とを使用することから、分散情報のサイズは、p*qである。このため、k≧2t+1を前提とし、分散情報のサイズがp*q^(3n−3)となる非特許文献4の方式よりも分散情報のサイズが小さくなる。
本発明の第1の実施形態の秘密分散システムの一構成例を示すブロック図である。 本発明の第1の実施形態の分散情報生成装置の一構成例を示すブロック図である。 本発明の第1の実施形態の記憶部の一構成例を示すブロック図である。 本発明の第1の実施形態の分散情報生成装置の動作を示すフローチャートである。 本発明の第1の実施形態の復元装置の動作を示すフローチャートである。 本発明の第1の実施形態の整合性チェック処理を示すフローチャートである。
(第1の実施形態)
本発明を実施するための第1の実施形態について図面を参照して詳細に説明する。図1は、本実施形態の秘密分散システム1の一構成例を示すブロック図である。秘密分散システム1は、(k、n)閾値秘密分散法を用いて秘密情報をn個の分散情報に分散し、n個の分情報に含まれる任意のk個の分散情報から秘密情報を復元するためのシステムである。図1を参照すると、秘密分散システム1は、分散情報生成装置10と、秘密情報復元装置30とを有する。
ここで、本実施形態では、分散情報は、分散秘密情報と不正者特定情報とを含む。分散秘密情報は、秘匿すべき秘密情報から(k、n)閾値秘密分散法で生成されるn個の情報であり、秘密情報を復元するために用いられる情報である。不正者特定情報は、分散情報の不正を検出し、不正な分散情報を特定するための情報である。
また、不正な分散情報とは、分散情報生成装置10により生成された後に、不正者に改竄されたり、分散情報を記憶する装置に故障が生じたりして、生成時の元の情報とは異なる情報となった分散情報である。
以下、t個の不正な分散情報を検出することを、「t人の不正者を検出する」と称する。
分散情報生成装置10には、秘密情報s、閾値k、分散情報総数n、および想定不正者数tが入力される。分散情報生成装置10は、これらの情報からn個の分散情報を生成する。
更に、秘密情報sは、秘匿すべき元の情報であり、秘密分散の対象となる情報である。閾値kは、秘密情報sを復元するのに最小限必要な分散情報の個数である。分散情報総数nは、秘密情報sから生成される分散情報の総数である。
想定不正者数tは、想定される不正者の上限数である。言い換えれば、想定不正者数tは、不正者がいた場合、復元側で特定可能な不正者の上限数である。
分散情報生成装置10は、秘密情報分散部101および不正者特定情報生成部102を有する。
秘密情報分散部101には、秘密情報s、閾値k、および分散情報総数nが入力される。秘密情報分散部101は、(k、n)閾値秘密分散法を使用して、秘密情報sを分散符号化する。
具体的には、秘密情報分散部101は、fs(0)=sとなるように、一様かつランダムな、有限体GF(p)上のk−1次多項式fs(x)を選択する。pは、予め定めておいた有限体の位数であり、素数の冪乗である。
以下、本実施形態では、有限体上の加算を+、減算を−、乗算を*、除算を/、冪乗算を^で表記する。
本実施形態において、fs(x)は、下記の式により定義される。
fs(x)=s+a{1}*x+a{2}*x^2+・・・a{k−1}x^(k−1)・・・(1)
そして、秘密情報分散部101は、上記(1)式を用いて、fs(1)、fs(2)、・・・fs(n)を計算し、それらの結果を分散秘密情報v{i}(i=1、2、・・・n)とする。秘密情報分散部101は、{i}(i=1、2、・・・n)と、{i}から算出されたv{i}とのペア({i}、v{i})を不正者特定情報生成部102へ出力し、v{i}を記憶装置へ出力する。
本実施形態では、n個の記憶装置21〜2nに、それぞれ、v{1}、・・・v{n}の分散秘密情報が格納される。
不正者特定情報生成部102には、秘密情報分散部101からの({i}、v{i})と、想定不正者数tとが入力される。
不正者特定情報生成部102は、t人までの不正者を特定できるように、t-Cheater Identifiable秘密分散法でn個の不正者特定情報を生成する。
具体的には、不正者特定情報生成部102は、一様かつランダムに選んだ、GF(q)上のt次多項式C(x)を生成する。ここで、qは、q≧n*pを満たす素数である。本実施形態では、C(x)は下記の式により定義される。
C(x)=c{0}+c{1}*x+・・・c{t}*x^t・・・(2)
不正者特定情報生成部102は、予め定めた一対一関数φに、秘密情報分散部101からのn個の({i}、v{i})をそれぞれ代入して、φ({i}、v{i})を算出する。不正者特定情報生成部102は、上記(2)式で定義されるC(x)に、φ({i}、v{i})を代入し、その結果をn個の不正者特定情報A{i}とする。
ここで、一対一関数φは、例えば、下記の式により定義される。
φ({i}、v{i})=p*({i}―1)+v{i}・・・(3)
上記(3)式において、p*({i}―1)+v{i}は、整数上で計算された後、mod qによってGF(p)に変換される。
不正者特定情報生成部102は、n個の不正者特定情報A{i}を記憶装置へ出力する。
本実施形態では、n個の記憶装置21〜2Nに、それぞれ、A{1}、・・・A{n}の不正者特定情報が格納される。
図2は、記憶装置21の一構成例を示すブロック図である。図2に示すように、本実施形態では、記憶装置21は、分散情報記憶部211および不正者特定情報記憶部212を有する。
分散情報記憶部211には、分散秘密情報v{1}が格納される。不正者特定情報記憶部212には、不正者特定情報A{1}が格納される。記憶装置22〜2nの構成も、図2に示した記憶装置21の構成と同様である。
図1に戻り、秘密情報復元装置30の構成について説明する。図1を参照すると、秘密情報復元装置30は、部分集合生成部301、整合性チェック部302、不正者特定部303、および秘密情報復元部304を有する。
秘密情報復元装置30は、k個の分散情報と、想定不特定者数tと、閾値kとから、不正者リストCLおよび秘密情報sを生成して出力する。不正者リストCLは、k個の分散情報のうち、不正な分散情報、すなわち不正者の集合である。
部分集合生成部301には、想定不特定者数tおよび閾値kが入力される。部分集合生成部301は、記憶装置21〜2nのうち、k個の分散秘密情報記憶部から、k個の分散秘密情報を読み出す。また、部分集合生成部301は、記憶装置21〜2nのうち、k個の分散秘密情報記憶部から、k個の不正者特定情報を読み出す。
部分集合生成部301は、同じ記憶装置から読み出した分散秘密情報及び不正者特定情報のデータ対を1つの分散情報として、k個の分散情報(v{i_j}、A{i_j})(j=1、2、・・・k)を取得する。
部分集合生成部301は、k個の分散情報(v{i_j}、A{i_j})から、2t≧r≧t+2の関係を満たすr個を選択する全ての組み合わせを求める。本実施形態では、同じkに対して最も大きな想定不正者数を設定できるように、r=t+2とする。
部分集合生成部301は、整合性チェック部302の要求に応じて、それらの組み合わせをC(k、t+2)個の部分集合S{m}(m=1、2、・・・C(k、t+2))として整合性チェック部302へ出力する。
k個から、t+2個を選ぶ組み合わせの数C(k、t+2)は、下記の式より求められる。
C(k、(t+2))=k!/((t+2)!(k−t−2)!)・・・(4)
整合性チェック部302は、部分集合生成部301に対して要求信号を送ることにより、部分集合生成部301から各部分集合S{m}を取得し、それぞれの部分集合に属するt+2個の分散情報の整合性をチェックする。
具体的には、整合性チェック部302は、検証する部分集合内のt+2個の分散秘密情報と、秘密情報分散部101で用いた一対一関数φを用いて、φ({j_1}、v{j_1})、・・・φ({j_(t+2)}、v{j_(t+2)})を算出する。
そして、整合性チェック部302は、t+2個の不正者特定情報に含まれる任意のt+1個の不正者特定情報と、φ({j_1}、v{j_1})、・・・φ({j_(t+2)}、v{j_(t+2)})のうち、任意のt+1個とから、t次以下の多項式を復元する。そして、整合性チェック部302は、復元した多項式上に残りの1個の分散情報に対応する点があるか否かについて判断する。
このようにして、整合性チェック部302は、(φ({j_1}、v{j_1})、A{j_1})・・・(φ({j_(t+2)}、v{j_(t+2)})、v{j_(t+2)})が、全て同一のt次以下の多項式上の点であるか否かについて判断する。
分散情報に対応する、t+2個の点が、全て同一のt次以下の多項式上の点であれば、整合性チェック部302は、部分集合内の分散情報の全てに不正がないと判断する。
分散情報の全てに不正がなければ、整合性チェック部302は、整合性確認集合L{m}={j_1}、・・・{j_(t+2)}を出力する。L{m}は、不正がないと判断された分散情報の集合を示す情報である。
部分集合内の分散情報のいずれか1以上に不正があれば、整合性チェック部302は、空集合のL{m}を出力する。
整合性チェック部302は、C(k、t+2)個の部分集合S{m}のそれぞれについて、整合性確認集合L{m}を求め、それらを不正者特定部303へ出力する。
不正者特定部303は、C(k、(t+2))個の整合性確認集合L{m}の和集合Gを求める。不正者特定部303は、{i_1}、・・・{i_k}の集合と、和集合Gとの差集合を不正者リストCLとして求める。
不正者特定部303は、は、秘密情報復元部304と、秘密情報復元装置30の外部とへ不正者リストCLを出力する。
秘密情報復元部304は、不正者リストCLが空集合であるか否かを判断する。CLが空集合である場合、全ての分散情報に不正がないと推定される。この場合、秘密情報復元部304は、k個の分散秘密情報v{i_j}から、公知の方法を使用して秘密情報sを復元する。秘密情報sを復元する方法としては、k元1次の連立方程式を解く方法やラグランジュ補完を用いる方法などがある。
秘密情報復元部304は、秘密情報復元装置30の外部へ復元した秘密情報sを出力する。
上述の構成により、本実施形態では、k≧2t+2を満たすtの値を設定すると、秘密情報復元装置30は、t人までの不正者を高い確率で検出することができる。その理由について説明する。
秘密情報復元装置30は、t+1個の分散情報から集められたt+1個の点から、t次の多項式を復元し、復元された多項式上に他の分散情報に対応する点が乗るか否かで不正者の特定を行っている。
ここで、t人の不正者がいる場合を想定する。それらの不正者は、他の正直なユーザの持っている点(不正のない分散情報に対応する点)に関する情報は全くわからない。そのため、それらのt人の不正者が、点の偽造を行った後で、他の正直なユーザとの間で多項式を復元しても、他のユーザの点が、その復元された多項式上の点となる確率は非常に低くなる。一方、正直なユーザが不正者として特定されないようにするためには、t+1個の分散情報で復元された(偽造のない正当な)多項式上に乗る点が1点以上必要になる。このため、秘密情報の復元には、「多項式を復元するt+1人の正直なユーザ」+「t+1人で復元する多項式上の点を持つ1人以上のユーザ」+「t人の不正者」の合計2t+2以上が必要となる。
従って、秘密情報復元装置30は、k≧2t+2の場合にt人までの不正者を高い確率で特定できる。具体的には、i個目の分散情報に不正な情報が含まれていた場合に、不正者特定部303の出力CLに対して、その分散情報がCLに属して不正者が特定される確率は、1−1/qとなる。
図3は、本実施形態の分散情報生成装置10または秘密情報復元装置30を実現するためのコンピュータの一構成例を示すブロック図である。図3を参照すると、このコンピュータは、処理装置11、入力装置12、出力装置13を備えている。処理装置11は、プログラムに従って所定の処理を実行する。入力装置12は、処理装置11に対するコマンドや情報の入力のために用いられる装置である。出力装置13は、処理装置11の処理結果をモニタするための装置である。
処理装置11は、CPU(Central Processing Unit)111と、主記憶装置112と、記録媒体113と、データ蓄積装置114と、メモリ制御インターフェース部115〜117と、I/Oインターフェース部118および119とを有し、それらがバス120を介して相互に接続された構成である。
CPU111は、プログラムを実行するプロセッサである。主記憶装置112は、CPU111の処理に必要な情報を一時的に記憶する。記録媒体113は、CPU111に実行させるためのプログラムを記憶している。データ蓄積装置114は、秘密情報やアクセス構造データを記憶する。メモリ制御インターフェース部115〜117は、主記憶装置112、記録媒体113、データ蓄積装置114のデータの書き込み、および読み出しを制御するインターフェース装置である。
なお、図3では、データ蓄積装置114が処理装置11内に存在する例を示したが、データ蓄積装置114は、処理装置11内になくてもよい。他の構成例としてデータ蓄積装置114が処理装置11と別個に存在し、処理装置11と接続されていてもよい。また、データ蓄積装置114を、図1、図2に示した記憶装置21〜2nとして用いることもできる。
記録媒体113は、磁気ディスク、半導体メモリ、光ディスク、あるいはその他の記録媒体である。
図4を参照して、本実施形態の分散情報生成装置10の動作について説明する。図4は、分散情報生成装置10の動作を示すフローチャートである。この動作は、秘密情報を分散するためのアプリケーションが実行されたときに開始する。
図4を参照すると、分散情報生成装置10は、秘密情報sと、閾値kと、分散情報総数nと、想定不正者数t値との入力を受け付ける(ステップS1)。
各情報が入力されると、秘密情報分散部101は、k−1次多項式を使用して、(k、n)閾値秘密分散法により、秘密情報sからn個の分散秘密情報v{i}を生成する。秘密情報分散部101は、それらの分散秘密情報を記憶装置21〜2nへ出力する(ステップS2)。
不正者特定情報生成部102は、t次以下の多項式、および一対一関数を使用して、n個の分散秘密情報から、n個の不正者特定情報A{i}を生成する。不正者特定情報生成部102は、それらの不正者特定情報を記憶装置21〜2nへ出力する(ステップS3)。ステップS3の後、分散情報生成装置10は、秘密分散のための動作を終了する。
図5および図6を参照して、本実施形態の秘密情報復元装置30の動作について説明する。図5は、秘密情報復元装置30の動作を示すフローチャートである。この動作は、秘密情報を復元するためのアプリケーションが実行されたときに開始する。
秘密情報復元装置30は、想定不特定者数tおよび閾値kの入力を受け付ける(ステップT1)。
想定不特定者数tおよび閾値kが入力されると、秘密情報復元装置30は、k個の記憶装置から、k個の分散情報を読み出す(ステップT2)。
部分集合生成部301は、k個の分散情報のうち、t+2個を選択する全ての組み合わせを部分集合として求め、C(k、t+2)個の部分集合S{m}を生成する。部分集合生成部301は、それらの部分集合を整合性チェック部302の要求に応じて、整合性チェック部302へ出力する(ステップT3)。
整合性チェック部302は、各部分集合内に、不正な分散情報が含まれるか否かを判断するための整合性チェック処理を実行する(ステップT4)。
不正者特定部303は、整合性チェック処理で生成された整合性確認集合L{m}の和集合Gを求める。そして、{i_1}、・・・{i_k}の集合と、和集合Gとの差分の集合を不正者リストCLとして求める(ステップT5)。
不正者特定部303は、不正者リストCLが空集合であるか否かを判断する(ステップT6)。
不正者リストCLが空集合であれば(ステップT5:YES)、秘密情報復元部304は、k個の分散秘密情報v{i_j}から、秘密情報sを復元する。そして、秘密情報復元部304は、秘密情報sと、空集合の不正者リストCLとを出力する(ステップT7)。
不正者リストCLが空集合でなければ(ステップT5:NO)、不正者特定部303は、不正者リストCLと、不正な分散情報が検出されたことを示す記号とを出力する(ステップT8)。
図6は、不整合チェック処理を示すフローチャートである。図6を参照すると、整合性チェック部302は、インデックスmに初期値1を設定する(ステップT41)。
整合性チェック部302は、部分集合S{m}内のデータ対(分散情報)を全て取得する(ステップT42)。整合性チェック部302は、不正者特定情報から得られたt次以下の多項式と、一対一関数とを使用して、取得したデータ対の全てに整合性があるか否かを判断する(ステップT43)。
全てのデータ対に整合性があれば(ステップT43:YES)、整合性チェック部302は、部分集合S{m}内のデータ対の集合を示す整合性確認集合L{m}を生成する(ステップT44)。
いずれかのデータ対に整合性がなければ(ステップT43:NO)、整合性チェック部302は、空集合の整合性確認集合L{m}を生成する(ステップT45)。
ステップT44、またはT45の後、整合性チェック部302は、mをインクリメントする(ステップT46)。
整合性チェック部302は、mがC(k、t+2)より大きいか否かを判断する(ステップT47)。
mがC(k、t+2)以下であれば(ステップT47:NO)、整合性チェック部302は、ステップT42に戻る。
mがC(k、t+2)より大きければ(ステップT47:YES)、整合性チェック部302は、整合性チェック処理を終了する。
なお、本実施形態では、秘密情報復元装置30は、不正者リストCLが空集合であれば、秘密情報を復元する構成としている。しかし、分散情報を復元する必要がなければ、秘密情報復元装置30は、秘密情報復元部304を設けない構成とすることもできる。
また、本実施形態では、各部分集合の要素数rをt+2としているが、r>t+2とすることもできる。この場合でも、秘密分散システムにk≧r+tの関係を満たすtの値を入力すれば、秘密情報復元装置30は、t人までの不正者を高い確率で検出できる。
r=t+2としても、前述したように1−1/qという十分に高い確率で不正者を特定できる。r>t+2とすれば、同じkに対して設定できる想定不正者数は小さくなってしまうが、r=t+2の場合よりも一致すべき多項式上の点が多くなるので、不正者を特定できる確率を更に高くできる。但し、r≧2t+1とすると、kの値に対して検出できる不正者の数tが、k≧3t+1の関係を前提とする非特許文献5の不正者数以下となってしまう。このため、2t≧r≧t+2とすることが望ましい。
本実施形態では、図4〜図6に示したフローチャートは、情報処理装置がコンピュータプログラムを実行することにより実現されるが、これらの全部または一部は、情報処理装置内の制御回路で実現してもよい。
本実施形態では、分散情報生成装置10が生成したn個の分散情報を記憶装置21〜2nに分散して格納しておき、秘密情報を復元するときk個以上の記憶装置2から秘密情報復元装置30に分散情報を引き渡す構成である。ただし、分散情報生成装置10から記憶装置21〜2nに分散情報を伝達する方法や、記憶装置21〜2nから秘密情報復元装置30に分散情報を伝達する方法は特に限定されない。分散情報は例えば、記憶媒体を介して伝達してもよく、データ通信によって伝達してもよい。
本発明の秘密情報復元装置は、本発明の検証装置の一例である。
以上説明したように、本実施形態によれば、検証装置は、GF(p)上のk−1次多項式およびGF(q)上のt次多項式を使用して得られたk個の分散情報から、r≧t+2を満たすr個を選択する組み合わせを部分集合として全て求め、部分集合ごとに、部分集合に不正な分散情報が含まれるか否かを判断し、不正者集合を生成する。この構成によれば、k個の分散情報のうち、t個の不正な分散情報があっても、r個以上の不正のない分散情報があれば、検証装置は、部分集合のうち、1つ以上に不正な分散情報がないと判断でき、各部分集合の判断結果から、k個の中のt個までの不正な分散情報を高い確率で特定できる。
このため、k≧r+tの関係を満たすt個までの不正な分散情報を検知できる。2t≧rの範囲を設定すれば、ユーザは、検証装置にk≧3tを満たすtの値を設定でき、一定値のkに対し、k≧3t+1の場合よりもtを大きく設定できる。
また、GF(p)などのpに基づく有限体上のk−1次多項式とGF(q)上のt次多項式とを使用することから、分散情報のサイズは、p*qである。このため、k≧2t+1を前提とし、分散情報のサイズがp*q^(3n−3)となる非特許文献4の方式よりも分散情報のサイズが小さくなる。
特に、r=t+2個とすれば、kの値に対し、不正成功確率を十分に低下させつつ、kの値に対してtの値を最も大きく設定できる。
(第2の実施形態)
本発明の第2の実施形態について説明する。本実施形態の秘密分散システムは、より柔軟なパラメータ設定を可能とする点で第1の実施形態の秘密分散システムと異なる。なお、本実施形態の秘密分散システムについて、図1〜図6で説明した構成と同様な構成の詳細な説明を省略し、第1の実施形態と異なる点について詳しく説明する。
本実施形態の秘密情報分散部101は、有限体GF(p)を拡大したGF(p^N)上のk−1次多項式fs(x)を選択する点以外は、第1の実施形態の秘密情報分散部101と同様の構成である。
本実施形態でも、有限体上の加算を+、減算を−、乗算を*、除算を/、冪乗算を^で表記する。
本実施形態の不正者特定情報生成部102は、2つの情報からなる不正者特定情報を生成する点で、第1の実施形態の不正者特定情報生成部102の構成と異なる。
詳細には、不正者特定情報生成部102は、GF(p)の元eをランダムに選び、Ce(0)=eとなるようなランダムかつ一様な、GF(p)上のt次多項式Ce(x)を生成する。本実施形態では、Ce(x)は、下記の式により定義される。
Ce(x)=e+e{1}x+・・・+e{t}x^t・・・(5)
不正者特定情報生成部102は、Ce(x)に、i=1、2、・・・nをxとして代入し、それらの結果をAs{i}(=Ce(i))とする。
また、不正者特定情報生成部102は、GF(q)上のランダムかつ一様なt次多項式Cs(x)を生成する。ここで、qは、q≧n*pを満足する素数である。本実施形態では、Cs(x)は下記の式により定義される。
Cs(x)=c{0}+c{1}*x+・・・c{t}*x^t・・・(6)
そして、不正者特定情報生成部102は、下記のfe(x)に、v{i}をxとして代入して、fe(v{i})を求める。
fe(x)=x{0}+x{1}*e+x{2}*e^2+・・・+x{N}*e^N・・・(8)
不正者特定情報生成部102は、予め定めた一対一関数φ({i}、fe(x))に、n個の({i}、fe(v{i}))をそれぞれ代入してφ({i}、fe(v{i}))を取得する。
そして、不正者特定情報生成部102は、Cs(φ({i}、fe(v{i})))を求め、その結果をAe{i}とする。
不正者特定情報生成部102は、As{i}およびAe{i}を不正者特定情報A{i}として出力する。
次いで、本実施形態の秘密情報復元装置30は、As{i_j}、Ae{i_j}(j=1、2、・・・k)を用いて整合性のチェックを行う点以外は、第1の実施形態の秘密情報復元装置30の構成と同様である。
整合性チェック部302は、(j_1、As{j_1})、・・・(j_(t+2)、As{j_(t+2)})が、全て同一のt次以下の多項式上の点であるか否かを判断する。
そして、整合性チェック部302は、((φ(j_1、v{j_1})、Ae{j_1})、・・・((φ(j_(t+2)、v{j_(t+2)})、Ae{j_(t+2)})が全て同一のt次以下の多項式上の点であるか否かを判断する。
As{i_j}に対応する点 が全て同一のt次以下の多項式上の点であり、且つAe{i_j}に対応する点が全て同一のt次以下の多項式上の点であれば、整合性チェック部302は、部分集合内の分散情報に不正な情報がないと判断する。
以上説明したように、本実施形態によれば、秘密情報のサイズは、p^(N+1)*qとなり、改竄を検出できる確率は、1−N/p−1/qとなる。第1の実施形態では、分散秘密情報のサイズpと、不正検出確率との間には、q≧n*pの制約があったが、第2の実施形態では、pを適切に選択することにより、秘密情報のサイズと不正検出確率との間の制約を解消できる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものでない。本発明の構成や詳細には、本発明の範囲内で当業者が理解し得る様々な変更をすることができる。
本出願は、2009年12月22日に出願された日本出願特願2009−290786を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (10)

  1. 素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、
    qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、
    分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定する検証装置であって、
    k個の分散情報と前記tとを入力する入力手段と、
    前記入力手段に入力された前記k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成する部分集合生成手段と、
    前記部分集合生成手段により生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断する整合性判断手段と、
    前記整合性判断手段による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する不正者特定手段と、
    を有する検証装置。
  2. 前記rは2t≧r≧t+2を満たす自然数である、請求項1に記載の検証装置。
  3. 前記rはt+2である、請求項1に記載の検証装置。
  4. 前記pに基づく有限体は、GF(p)であり、
    前記不正者特定情報は、前記分散秘密情報をv{i}(i=1、2、・・・n)、一対一関数をφとして、φ({i}、v{i})を前記GF(q)上のt次多項式に代入して得られた情報であり、
    前記整合性判断手段は、前記部分集合に属する前記分散秘密情報をv{j_1}、・・・v{j_k}、該部分集合に属する前記不正者特定情報をA{j_1}、・・・A{j_k}として、
    (φ({j_1}、v{j_1})、A{j_1})、・・・(φ({j_(t+2)}、v{j_(t+2)})、v{j_(t+2)})が全て同一のt次以下の多項式上の点となるか否かにより、該部分集合に不正な分散情報が含まれるか否かを判断する、請求項1乃至3のいずれか1項に記載の検証装置。
  5. 前記pに基づく有限体は、GF(p^N)であり、
    前記不正者特定情報は、
    {i}(i=1、2、・・・n)を前記GF(p^N)上の第1のt次多項式に代入して得られたAs{i}と、
    前記分散秘密情報をv{i}、
    関数fe(x)をfe(x)=x{0}+x{1}*e+x{2}*e^2+・・・+x{N}*e^N、
    一対一関数をφとして、
    該φ({i}、fe(v{i}))を前記GF(q)上の第2のt次多項式に代入して得られたAe{i}とを含み、
    前記整合性判断手段は、
    前記部分集合に属する前記分散秘密情報をv{j_1}、・・・v{j_k}、該部分集合に属する前記不正者特定情報をAs{j_1}、・・・A{j_k}及びAe{j_1}、・・・Ae{j_k}を含む情報として、
    (j_1、As{j_1})、・・・(j_(t+2)、As{j_(t+2)})が、全て同一のt次以下の多項式上の点であり、且つ、
    ((φ(j_1、v{j_1})、Ae{j_1})、・・・((φ(j_(t+2)、v{j_(t+2)})、Ae{j_(t+2)})が全て同一のt次以下の多項式上の点であるか否かにより、該部分集合に不正な分散情報が含まれるか否かを判断する、請求項1乃至3のいずれか1項に記載の検証装置。
  6. 前記整合性判断手段は、前記部分集合ごとに、該部分集合に不正な分散情報が含まれないと判断された場合、{j_1}、・・・{j_(t+2)}の集合を整合性確認集合として生成し、該部分集合に不正な分散情報が含まれると判断した場合、空集合を整合性確認集合として生成し、
    前記不正者特定手段は、前記整合性判断手段により生成された前記部分集合毎の前記整合性確認集合の和集合と、{i_1}、・・・{i_k}の集合との差集合を前記不正者集合として生成する、請求項4又は5に記載の検証装置。
  7. 請求項6に記載の検証装置と、
    前記不正者特定手段により生成された前記不正者集合が空集合であれば、k個の前記分散秘密情報から、前記秘密情報を復元して出力する秘密情報復元手段と、
    を有する秘密情報復元装置。
  8. 素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、
    qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、
    分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定する検証方法であって、
    部分集合生成手段が、k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成し、
    整合性判断手段が、前記部分集合生成手段により生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断し、
    不正者特定手段が、前記整合性判断手段による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する、検証方法。
  9. 素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報から生成されたn個の情報のそれぞれを分散秘密情報とし、
    qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとし、n個の前記分散秘密情報に含まれる任意のt個までの不正な分散秘密情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法により生成されたn個の情報を不正者特定情報とし、
    分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報から不正な分散情報を特定するコンピュータを制御するためのプログラムであって、
    前記コンピュータ
    k個の分散情報と前記tとが入力されると、該k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成する部分集合生成手段
    前記部分集合生成手段で生成された前記部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断する整合性判断手段、及び
    前記整合性判断手段による判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する不正者特定手段
    として機能させるためのプログラム。
  10. 素数の冪乗pに基づく有限体上のk−1次多項式を使用した(k、n)閾値秘密分散法により秘密情報からn個の分散秘密情報を生成し、qをq≧n*pの関係を満たす素数とし、k≧t+rを満たす自然数をr、tとして、n個の前記分散情報のうち、任意のt個までの不正な分散情報を特定できるように、有限体GF(q)上のt次多項式を使用したt-Cheater Identifiable秘密分散法によりn個の不正者特定情報を生成し、n個の該分散秘密情報及びn個の該不正者特定情報を出力する秘密情報分散装置と、
    前記秘密情報分散装置により生成された分散秘密情報と不正者特定情報との対であるn個の分散情報のうち任意のk個の分散情報と、前記tとが入力されると、k個の分散情報から、r≧t+2を満たすr個の分散情報を選ぶ組み合わせである部分集合を全て生成し、該部分集合ごとに、該部分集合に属する各不正者特定情報及びt次多項式を使用することにより該部分集合に不正な分散情報が含まれるか否かを判断し、該判断結果と、各部分集合に含まれている分散情報とに基づいて、不正な分散情報を特定する検証装置と、
    を有する秘密分散システム。
JP2011547376A 2009-12-22 2010-10-21 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム Active JP5609892B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011547376A JP5609892B2 (ja) 2009-12-22 2010-10-21 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2009290786 2009-12-22
JP2009290786 2009-12-22
JP2011547376A JP5609892B2 (ja) 2009-12-22 2010-10-21 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム
PCT/JP2010/068586 WO2011077819A1 (ja) 2009-12-22 2010-10-21 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム

Publications (2)

Publication Number Publication Date
JPWO2011077819A1 JPWO2011077819A1 (ja) 2013-05-02
JP5609892B2 true JP5609892B2 (ja) 2014-10-22

Family

ID=44195365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011547376A Active JP5609892B2 (ja) 2009-12-22 2010-10-21 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム

Country Status (3)

Country Link
US (1) US8861717B2 (ja)
JP (1) JP5609892B2 (ja)
WO (1) WO2011077819A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012124270A1 (ja) * 2011-03-15 2012-09-20 パナソニック株式会社 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール
JP5860556B1 (ja) * 2015-02-06 2016-02-16 日本電信電話株式会社 不整合検知方法、不整合検知システム、不整合検知装置、およびプログラム
US10437525B2 (en) * 2015-05-27 2019-10-08 California Institute Of Technology Communication efficient secret sharing
US10057269B1 (en) 2017-04-21 2018-08-21 InfoSci, LLC Systems and methods for device verification and authentication
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
US10546139B2 (en) * 2017-04-21 2020-01-28 Ntropy Llc Systems and methods for securely transmitting large data files
US10579495B2 (en) 2017-05-18 2020-03-03 California Institute Of Technology Systems and methods for transmitting data using encoder cooperation in the presence of state information
CN110889695A (zh) * 2019-11-25 2020-03-17 支付宝(杭州)信息技术有限公司 基于安全多方计算保存和恢复隐私数据的方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008050544A1 (fr) * 2006-10-24 2008-05-02 Nec Corporation Dispositif de génération d'informations distribuées et dispositif de décodage
WO2009025220A1 (ja) * 2007-08-22 2009-02-26 Nec Corporation 秘密情報分散システム、方法及びプログラム並びに伝送システム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5625692A (en) * 1995-01-23 1997-04-29 International Business Machines Corporation Method and system for a public key cryptosystem having proactive, robust, and recoverable distributed threshold secret sharing
JP4146252B2 (ja) 2003-01-24 2008-09-10 日本電信電話株式会社 不正者特定可能な匿名通信方法、それに使用される利用者装置、及び中継サーバ装置
JP2007135170A (ja) 2005-10-12 2007-05-31 Hitachi Ltd 電子データ送受信方法
JP2008250931A (ja) 2007-03-30 2008-10-16 Toshiba Corp 分散情報復元システム、情報利用装置、および、検証装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008050544A1 (fr) * 2006-10-24 2008-05-02 Nec Corporation Dispositif de génération d'informations distribuées et dispositif de décodage
WO2009025220A1 (ja) * 2007-08-22 2009-02-26 Nec Corporation 秘密情報分散システム、方法及びプログラム並びに伝送システム

Also Published As

Publication number Publication date
WO2011077819A1 (ja) 2011-06-30
US20120243679A1 (en) 2012-09-27
JPWO2011077819A1 (ja) 2013-05-02
US8861717B2 (en) 2014-10-14

Similar Documents

Publication Publication Date Title
JP5609892B2 (ja) 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム
US10171459B2 (en) Method of processing a ciphertext, apparatus, and storage medium
JP5338668B2 (ja) 秘密情報分散システム、方法及びプログラム並びに伝送システム
JP5299286B2 (ja) 分散情報生成装置、復元装置、検証装置及び秘密情報分散システム
JP5582143B2 (ja) 秘密情報分散システム,秘密情報分散方法及びプログラム
KR20120127607A (ko) 암호화 키를 획득하기 위한 디바이스 및 방법
US20110047419A1 (en) Secure Method for Reconstructing a Reference Measurement of a Confidential Datum on the Basis of a Noisy Measurement of this Datum, Notably for the Generation of Cryptographic Keys
US20120323981A1 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
EP3637674A1 (en) Computer system, secret information verification method, and computer
US8397142B2 (en) Shared information generating apparatus and recovering apparatus
JP5251520B2 (ja) 分散情報生成装置、復元装置、復元結果検証装置、秘密情報分散システム、方法およびプログラム
JP5136412B2 (ja) 分散情報生成装置及び復元装置
JP6059159B2 (ja) シェア変換システム、シェア変換方法、プログラム
WO2013153628A1 (ja) 演算処理システムおよび演算結果認証方法
JP2013009245A (ja) 秘密情報分散システム及び秘密情報分散方法並びに秘密情報生成プログラム及び秘密情報復元プログラム
KR20200080011A (ko) 데이터를 분산해서 저장하는 시스템 및 방법
JP5381981B2 (ja) 分散情報生成装置
KR102067053B1 (ko) 다변수 2차 다항식 기반 포스트 양자 서명 스킴의 안전성 검증 장치 및 방법
JP6059160B2 (ja) シェア変換システム、シェア変換方法、プログラム
KR102425916B1 (ko) 가변 길이 퍼지 데이터를 지원하는 격자 기반 퍼지 추출 장치 및 방법
JP5640624B2 (ja) 分散情報生成装置、復元装置、秘密分散システム、情報処理方法およびプログラム
JP6980154B2 (ja) データ利用者鍵生成装置、鍵生成方法及び鍵生成プログラム
WO2023073041A1 (en) Hardware integrity control of an electronic device
CN117579360A (zh) 一种基于量子网的数据完整性校验方法、设备及存储介质
KR20190052631A (ko) 물리적으로 복제 불가능한 기능의 원격 재등록

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130909

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20140425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140527

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140711

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140805

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140818

R150 Certificate of patent or registration of utility model

Ref document number: 5609892

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150