JP5925969B2 - 2パーティ秘匿関数計算向けの入力整合性検証 - Google Patents
2パーティ秘匿関数計算向けの入力整合性検証 Download PDFInfo
- Publication number
- JP5925969B2 JP5925969B2 JP2015534553A JP2015534553A JP5925969B2 JP 5925969 B2 JP5925969 B2 JP 5925969B2 JP 2015534553 A JP2015534553 A JP 2015534553A JP 2015534553 A JP2015534553 A JP 2015534553A JP 5925969 B2 JP5925969 B2 JP 5925969B2
- Authority
- JP
- Japan
- Prior art keywords
- party
- function
- verification
- input
- executions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/50—Oblivious transfer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
政府の権利の記述
本発明は、内務省(DOI)の契約番号第D11PC20194号によるIntelligence Advanced Research Projects Activity(IARPA)の下で実行される作業に関連して実施されたものである。
本発明は、内務省(DOI)の契約番号第D11PC20194号によるIntelligence Advanced Research Projects Activity(IARPA)の下で実行される作業に関連して実施されたものである。
本発明は、一般に、電子トランザクションのセキュリティを保護するための技法に関し、より詳細には、そうした電子トランザクションのパーティに秘匿性を提供する秘匿関数計算(SFE:Secure Function Evaluation)技法に関する。
一般的な2パーティ秘匿関数計算(SFE)は、2つのパーティが、xとyの両方の秘匿性を維持しつつ、任意の関数をそれぞれの入力xおよび入力yで評価できるようにする。効率的なSFEアルゴリズムは、参加者の相互不信によって以前は不可能であった様々な電子トランザクションを可能にする。例えば、SFEアルゴリズムは、オークション、契約時の署名、および分散データベースマイニングアプリケーションにおいて利用されている。セキュアな計算の問題は、半誠実な(semi−honest)関係者と悪意のある関係者の両方に対して解決されている。一般に、半誠実なサーバにアクセスすることで、悪意のある回路生成の問題を解決する。計算および通信のリソースが増加してきたので、SFEは、一般的な利用にとってまさに実用的なものとなった。悪意のあるSFEモデルは、関係者の入力の完全な秘匿性を保証する。汎用的な既存の2パーティSFEアルゴリズムは通常、ガーブル回路(GC:Garbled Circuit)を利用する。GCの詳細な説明は、例えば、Y.LindellおよびB.Pinkas、「A Proof of Yao’s Protocol for Secure Two−Party Computation」、Journal of Cryptology、22(2)、161−188頁(2009)を参照されたい。
ガーブル回路の実装下では、計算関数を表すブール回路は、第1のパーティによって暗号化され、第2のパーティに評価のために与えられる。評価は暗号化の下で進むので、第2のパーティはプロトコルから逸脱することはできない。ガーブル回路に基づくそうした汎用的な既存の2パーティSFEアルゴリズムは、2つのパーティのトランザクションの秘匿性およびセキュリティを著しく改善したが、克服すれば、汎用的な2パーティSFEアルゴリズムの効率性、有用性、および/またはセキュリティをさらに改善することができるであろういくつかの制約が残っている。例えば、同じパーティ間の複数のSFE実行の場合、実行間の入力整合性を検証することが必要である。しかし、第2のパーティは、それぞれの前の入力を入れ替える(すなわち、実際の入力をそれぞれに有利になる別の値に置き換える)ことにより、攻撃を実行することができる。
Y.LindellおよびB.Pinkas、「A Proof of Yao’s Protocol for Secure Two−Party Computation」、Journal of Cryptology、22(2)、161−188頁(2009)
Andrew C.Yao、「Protocols for Secure Computations」、Proc. 23rd IEEE Symp. on Foundations of Comp. Science、160−164頁、(Chicago、1982)
Andrew C.Yao、「How to Generate and Exchange Secrets」、Proc. 27th IEEE Symp. on Foundations of Comp. Science、162−167頁、(Toronto、1986)
D.Harnikらによる「OT−Combiners via Secure Computation」、TCC 5th Theory of Cryptography Conference 2008、(2008年3月)、Lecture Notes in Computer Science、Vol.4948、393−411頁、(2008)
Y.Ishaiらによる「Extending Oblivious Transfers Efficiently」、Advances in Cryptology − CRYPTO 2003、(2003年8月)、Lecture Notes in Computer Science、Vol.2729、145−161頁、(2003)
したがって、複数の実行にわたる、悪意のある関係者の入力整合性を確保するための技法が必要である。パーティが、それぞれの人が前の実行で使用されたのと同じまたは関連する(パーティ間での合意どおりの)入力を使用していることを証明できるようにする、入力整合性を確保するための技法がさらに必要である。
一般に、2パーティ秘匿関数計算向けの入力整合性検証のための方法および装置が提供される。本発明の一態様によれば、2パーティ秘匿関数計算(SFE)は、複数の実行iに対する関数を評価するために、第1のパーティによって、第2のパーティと共に実行される。複数の実行iに対して、第1のパーティは、関数に対応するガーブル回路GCiを計算し、第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密(wire secret)を提供するために、紛失通信(OT:Oblivious Transfer)プロトコルを使用して、第2のパーティと通信し、第2のパーティが、複数の実行に対する、第2のパーティの入力xiの暗号化されたバージョンkiを格納し、出力の計算のために、計算されたガーブル回路GCiを第2のパーティに送信し、出力を第2のパーティから受信する。実行のうちの2つに対する、第2のパーティの入力xiのその後の検証に対して、第1のパーティは、検証されるガーブル回路の入力鍵に基づいて、検証関数(verification function)に対応する検査ガーブル回路(check garbled circuit)CGCを計算し、検証出力の計算のために、計算された検査ガーブル回路CGCを第2のパーティに送信し、第2のパーティが、2つの実行に対する、格納された暗号化されたバージョンkiを適用することにより、検証出力を計算し、検証出力を第2のパーティから受信し、2つの実行に対する、第2のパーティの入力xiを検証するために、検証出力を評価する。
本発明の別の態様によれば、2パーティ秘匿関数計算(SFE)は、複数の実行iに対する関数を評価するために、第2のパーティによって、第1のパーティと共に実行される。複数の実行iに対して、第2のパーティは、関数に対応するガーブル回路GCiを第1のパーティから受信し、第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密を受信するために、紛失通信(OT)プロトコルを使用して、第1のパーティと通信し、複数の実行に対する、第2のパーティの入力xiの暗号化されたバージョンkiを格納し、出力を計算するために、入力を、計算されたガーブル回路GCiに適用し、出力を第1のパーティに提供する。実行のうちの2つに対する、第2のパーティの入力xiの、第1のパーティによるその後の検証に対して、第2のパーティは、検証関数に対応する検査ガーブル回路CGCを第1のパーティから受信し、2つの実行に対する、格納された暗号化されたバージョンkiを検査ガーブル回路CGCに適用することにより、検証出力を計算し、2つの実行に対する、第2のパーティの入力xiを検証するために、検証出力を第1のパーティに提供する。
例えば、検証関数は、等値関数(equality function)、より大なり関数(greater than function)、より小なり関数(less than function)、および両パーティによって合意された検証関数を含む。
以下の詳細な説明および図面を参照することにより、本発明、ならびに本発明のさらなる特徴および利点がより完全に理解されよう。
本発明の態様は、複数の実行にわたる秘匿関数計算の、少なくとも1つのパーティの入力整合性を確保するための方法および装置を提供する。第1のパーティP1(サーバ)および第2のパーティP2(例えば、顧客またはクライアント)が、複数の実行にわたる秘匿関数計算を使用して情報を交換する、例えば、オンラインバンキング日付記入アプリケーションについて考えてみてほしい。いったんある入力が第2のパーティP2によって第1のパーティP1との通信で使用されると、第1のパーティP1は、将来の通信で、第2のパーティP2に同じ入力(または、例えば、増加する入力)を供給するようにいつも依頼することができる。第1のパーティP1は、2つのSFE評価に対して、第2のパーティP2の特定の入力ワイヤが同じ平文値(または、より大きな値)に設定されていることを検証することができる。
図1は、本発明のプロセスを実装することができる、改良された汎用的な2パーティSFEシステム100のブロック図である。図1に示すように、メモリ130は、本明細書で開示された、汎用的な2パーティSFEの方法、ステップ、および機能(集合的に、図1の150として示され、また図2から図4と共にさらに後述される)を実装するために、プロセッサ120を構成する。メモリ130は、分散させたり、ローカルなものとすることができ、またプロセッサ120は、分散させたり、単一のものとすることができる。メモリ130は、電気的、磁気的、もしくは光学的メモリとして、またはそれらの種類のもしくは他の種類の記憶デバイスの任意の組合せとして実装することができる。プロセッサ120を構成する各分散プロセッサは、一般に、独自のアドレス可能メモリ空間を含むことに留意されたい。コンピュータシステム100の一部またはすべては、パーソナルコンピュータ、ラップトップコンピュータ、ハンドヘルドコンピューティングデバイス、特定用途向け回路、または汎用集積回路内に組み込むことができることにも留意されたい。
汎用的な2パーティSFEアルゴリズム
既存の汎用的な2パーティSFEアルゴリズムは通常、ガーブル回路(GC:Garbled Circuit)を利用する。GCの詳細な説明は、例えば、Andrew C.Yao、「Protocols for Secure Computations」、Proc. 23rd IEEE Symp. on Foundations of Comp. Science、160−164頁、(Chicago、1982)、またはAndrew C.Yao、「How to Generate and Exchange Secrets」、Proc. 27th IEEE Symp. on Foundations of Comp. Science、162−167頁、(Toronto、1986)を参照されたい。
既存の汎用的な2パーティSFEアルゴリズムは通常、ガーブル回路(GC:Garbled Circuit)を利用する。GCの詳細な説明は、例えば、Andrew C.Yao、「Protocols for Secure Computations」、Proc. 23rd IEEE Symp. on Foundations of Comp. Science、160−164頁、(Chicago、1982)、またはAndrew C.Yao、「How to Generate and Exchange Secrets」、Proc. 27th IEEE Symp. on Foundations of Comp. Science、162−167頁、(Toronto、1986)を参照されたい。
GCは、悪意のある回路評価器および半誠実な回路構成器に対してセキュアであり、したがって半誠実なサーバSに、(両方のクライアントによってSに伝えられているような)選ばれた関数のためのガーブル回路を生成させる。入力に関しては、OT拡張機能が、悪意のある受信器および半誠実なサーバに関してセキュアであるために使用される。例えば、D.Harnikらによる「OT−Combiners via Secure Computation」、TCC 5th Theory of Cryptography Conference 2008、(2008年3月)、Lecture Notes in Computer Science、Vol.4948、393−411頁、(2008)および/またはY.Ishaiらによる「Extending Oblivious Transfers Efficiently」、Advances in Cryptology − CRYPTO 2003、(2003年8月)、Lecture Notes in Computer Science、Vol.2729、145−161頁、(2003)を参照されたい。
図2は、本発明の態様を組み込んでいる2パーティ秘匿関数計算プロセス200の例示的な実装形態を示す流れ図である。2パーティ秘匿関数計算プロセス200は、所与の実行iに対する、また例示的な16ビット入力に対する関数を評価するために、第1のパーティP1(サーバ)および第2のパーティP2(例えば、顧客またはクライアント)によって実行される。図2に示すように、ステップ210の間、第1のパーティP1は最初に、関数に対応するガーブル回路を計算する。その後、ステップ220の間、第1のパーティP1は、第1のパーティP1が第2のパーティP2の入力xi,1…xi,16を知ることができないよう、所与の実行iに対する、また例示的な16ビット入力に対する、第2のパーティP2の入力xi,1…xi,16の暗号化されたバージョンki,1…ki,16であるワイヤ秘密を提供するために、紛失通信(OT)プロトコルを使用して、第2のパーティP2と通信する。
ステップ230の間、第1のパーティP1は、次いで、出力の計算のために、計算されたガーブル回路を第2のパーティP2に送信する。ステップ240の間、第2のパーティP2は、次いで、出力を計算し、その出力を第1のパーティP1に送信する。ステップ250の間、第2のパーティは、第2のパーティP2の入力xi,1…xi,16の暗号化されたバージョンki,1…ki,16を格納する。
このように、パーティ1およびパーティ2が共同計算の次の段階に携わることを望むたび、パーティ1(サーバ)は、図2の2パーティ秘匿関数計算プロセス200による評価のために、計算関数向けのGCを生成し、パーティ2(クライアント)に送信することになる。
前述のとおり、例示的な2パーティ秘匿関数計算プロセス200は、パーティ2が、入力整合性が実現されることになる実行iにわたって、入力ワイヤ暗号化結果ki,1…ki,16を格納することを要求する。パーティ1が入力整合性の検査を希望する時はいつも、パーティ1は、図3と共にさらに後述されるように、GC入力が、検査される実行におけるのと同じ暗号化で暗号化される検査ガーブル回路を生成することになる。
この検査は、確率的な方法で、関係者1によって希望されるのと同じまれな頻度または頻繁な頻度で、実施することができる。すなわち、第1のパーティP1は思いどおりに、それぞれの人が、いつ、どの実行を検査するかを選択してもよい。検査の失敗は、第2のP2が不正を働いていることを意味することになり、罰則措置をもたらすはずである。さらに、第1のパーティP1は、検査のために、過去の任意の実行を選択することができ、したがって、第2のパーティP2は、それぞれの人がその不正から「逃れた」か否かを知ることはない。
第2のパーティP2は、暗号化の下で操作をしており、GC評価から逸脱することはできないので、検査の結果を偽ることはできなくなる。第1のパーティP1は、GC評価の特性のため、入力整合性検査の結果以上の追加の何かを知ることはない。
図3は、本発明の態様を組み込んでいる2パーティSFE入力整合性検証プロセス300の例示的な実装形態を示す流れ図である。第1のパーティP1が、所与のペアの実行iに対する、また例示的な16ビット入力に対する、第2のパーティP2(例えば、顧客またはクライアント)の入力整合性検証の実行を希望すると、2パーティSFE入力整合性検証プロセス300は、第1のパーティP1(サーバ)によって開始される。例えば、第2のパーティP2の入力は、16ビットの整数である場合があり、第1のパーティP1は、第2のパーティP2の第2の入力が、第2のパーティP2の第1の入力よりも大きく(またはそれと等しく)なるようにしようとする。
図3に示すように、ステップ310の間、第1のパーティP1は、所望の検証関数(例えば、等値関数、またはより大なり関数/より小なり関数)について、検査GCを計算する。ステップ320の間、第1のパーティP1は、検証出力の計算のために、計算された検査GCを第2のパーティP2に送信する。計算された検査GCは、検査されるGCを生成するのに使用された入力ワイヤ鍵(input wire key)に関連して計算される。具体的には、検査GCへの入力鍵は、まさに、検査される実行においてSがP2のために生成した入力鍵となる。
ステップ330の間、第2のパーティP2は、第1のパーティP1によって要求された2つの実行iに対する、第2のパーティの入力xi,1…xi,16の事前に格納された暗号化されたバージョンki,1…ki,16を適用することにより、検証出力を計算する。ステップ340の間、第2のパーティP2は、計算された検証出力を第1のパーティP1に送信する。ステップ350の間、第1のパーティは、次いで、検証出力を評価する。
図4は、所与のペアの実行i=1およびi=2に対する、本発明の態様による入力整合性検証400を示す。図2と共に前述されたように、第1のパーティP1は、各実行に対して、ガーブル回路を生成する。図4に示すように、第1のパーティP1は、第1の実行に対して、ガーブル回路GC1を、第2の実行(必ずしも連続しているわけではない)に対して、ガーブル回路GC2を生成し、また各実行に対して、第1のパーティP1は、出力の計算のために、生成されたガーブル回路を第2のパーティに送信する。パーティは、第2のパーティが、所与の実行iに対する、また例示的な16ビット入力に対する、第2のパーティP2の入力xi,1…xi,16の暗号化されたバージョンki,1…ki,16を取得するように、紛失通信を使用して、その入力を交換する。したがって、第1の実行(i=1)の場合、第2のパーティP2は、その実行入力の暗号化されたバージョンki,1…ki,16を取得し、第2の実行(i=2)の場合、第2のパーティP2は、その実行入力の暗号化されたバージョンk2,1…k2,16を取得する。
例示的な2パーティ秘匿関数計算プロセス200によれば、第2のパーティP2は、第1のパーティと共に、所与の実行のために、その入力xi,1…xi,16をガーブル回路に適用し、また後に起こり得る検証のために、その入力の暗号化されたバージョンki,1…ki,16を格納する。
図3と共に前述されたように、第1のパーティP1が、所与のペアの実行iに対する、また例示的な16ビット入力に対する、第2のパーティP2(例えば、顧客またはクライアント)の入力整合性検証の実行を希望すると、2パーティSFE入力整合性検証プロセス300は、第1のパーティP1(サーバ)によって開始される。例えば、第2のパーティP2の入力が検証関数によって関連付けられる必要がある2つの実行がある。
例えば、第2のパーティP2の入力は、16ビットの整数である場合があり、第1のパーティP1は、第2のパーティP2の第2の入力が、第2のパーティP2の第1の入力よりも大きく(またはそれと等しく)なるようにしようとする。第2のパーティP2の第1の入力がx1,1…x1,16であり、第2のパーティP2の第2の入力がx2,1…x2,16であると想定されたい。前述のとおり、2パーティ秘匿関数計算プロセス200によるGCベースの実行1および実行2のそれぞれの一部として、第1のパーティP1は、第2のパーティP2の入力ビットのそれぞれの2つの値(0および1)のそれぞれの暗号化結果を生成することになり、第2のパーティP2は、自身の入力に対応する暗号化結果を取得することになる(合計でP2は、自身の2つの16ビット入力に対応する、2×16の暗号化結果を受信することになる)。そこで、第1のパーティP1が、P2がそれぞれの人の入力を正しく送信したことを検査しようとする場合、第1のパーティP1は、暗号化された32入力ビット(k値)を取り、これらの入力で検査関数を計算する検査回路GC3450を生成することになる。例示的な実施形態では、検査回路GC3450は、x2がx1よりも大きいことを検査することになる。検査関数GC3450の暗号化された出力は、ステップ340(図3)の間、第2のパーティP2によって計算され、ステップ350(図3)の間、暗号化および検証のために、第1のパーティP1に送り返される。
システムおよび製品の詳細
図2および図3は例示的なステップシーケンスを示しているが、本発明の一実施形態では、シーケンスが変更されてもよい。アルゴリズムの様々な置換えが本発明の代替の実施形態として考えられる。
図2および図3は例示的なステップシーケンスを示しているが、本発明の一実施形態では、シーケンスが変更されてもよい。アルゴリズムの様々な置換えが本発明の代替の実施形態として考えられる。
本発明の例示的な実施形態がソフトウェアプログラムの処理ステップに関連して説明されてきたが、当業者には明らかであろうように、様々な機能が、ソフトウェアプログラムの処理ステップとして、回路素子もしくは状態機械によるハードウェアの処理ステップとして、またはソフトウェアとハードウェアの両方の組合せの処理ステップとして、デジタル領域に実装されてもよい。こうしたソフトウェアは、例えば、デジタル信号プロセッサ、特定用途向け集積回路、マイクロコントローラ、または汎用コンピュータにおいて利用されてもよい。こうしたハードウェアおよびソフトウェアは、集積回路内に実装された回路内に具体化されてもよい。
したがって、本発明の機能は、方法、およびそれらの方法を実施するための装置の形で具体化することができる。本発明の1つまたは複数の態様は、例えば、記憶媒体に格納されようが、マシンにロードされ、また/もしくはマシンによって実行されようが、または何らかの伝送媒体上を伝送されようが、プログラムコードの形で具体化されることができ、プログラムコードがコンピュータなどのマシンにロードされ、マシンによって実行されると、マシンは本発明を実施するための装置になる。汎用プロセッサに実装されると、プログラムコードセグメントは、プロセッサと共に機能して、特定の論理回路と同様に動作するデバイスを提供する。本発明はまた、集積回路、デジタル信号プロセッサ、マイクロプロセッサ、およびマイクロコントローラのうちの1つまたは複数に実装することもできる。
当技術分野で知られているように、本明細書で説明される方法および装置は、それ自体が、コンピュータ可読コード手段をその上で具体化するコンピュータ可読媒体を備える製品として供給されてもよい。コンピュータ可読プログラムコード手段はコンピュータシステムと共に、本明細書で説明される、方法の実行もしくは装置の作成を行うステップのすべてまたは一部を実行することができる。コンピュータ可読媒体は、記録可能媒体(例えば、フロッピー(登録商標)ディスク、ハードドライブ、コンパクトディスク、メモリカード、半導体デバイス、チップ、特定用途向け集積回路(ASIC))であってもよく、また伝送媒体(例えば、光ファイバで構成されるネットワーク、ワールドワイドウェブ、ケーブル、または時分割多元接続、符号分割多元接続、もしくは他の無線周波数チャネルを使用する無線チャネル)であってもよい。コンピュータシステムで使用するのに適した情報を格納できる、知られている、または開発された任意の媒体を使用することができる。コンピュータ可読コード手段は、コンピュータが、磁気媒体の磁気的な変形形態やコンパクトディスクの表面の高さの変形形態などの、命令およびデータを読むことができるようにするための任意のメカニズムである。
本明細書で説明されるコンピュータシステムおよびサーバは、それぞれ、本明細書で開示される方法、ステップ、および機能を実装するように、関連するプロセッサを構成することになるメモリを備える。メモリは、分散させたり、ローカルなものとすることができ、またプロセッサは、分散させたり、単一のものとすることができる。メモリは、電気的、磁気的、もしくは光学的メモリとして、またはそれらの種類のもしくは他の種類の記憶デバイスの任意の組合せとして実装することができる。さらに、「メモリ」という用語は、関連するプロセッサによってアクセスされるアドレス可能空間のアドレスとの間で読取りまたは書込みを実施することができる任意の情報を含むのに十分なほど、広く解釈されるべきである。この定義の場合、ネットワーク上の情報は、関連するプロセッサがネットワークから情報を取り出せるため、やはりメモリ内に含まれている。
本明細書で図示され、説明される、実施形態および変形形態は、本発明の原理を単に例示したものであり、また様々な修正形態は、当業者によって、本発明の範囲および趣旨から逸脱することなく、実装され得ることを理解されたい。
Claims (10)
- 複数の実行iに対する関数を評価するために、第1のパーティによって、第2のパーティと共に実行される2パーティ秘匿関数計算(SFE)のための方法であって、
複数の前記実行iに対して、
前記関数に対応するガーブル回路GCiを計算するステップと、
前記第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密を提供するために、紛失通信(OT)プロトコルを使用して、前記第2のパーティと通信するステップであって、第2のパーティが、前記複数の実行に対する、前記第2のパーティの入力xiの前記暗号化されたバージョンkiを格納する、通信するステップと、
出力の計算のために、計算されたガーブル回路GCiを前記第2のパーティに送信するステップと、
前記出力を前記第2のパーティから受信するステップと
を含み、また、
前記実行のうちの2つに対する、前記第2のパーティの前記入力xiのその後の検証に対して、
検証されるガーブル回路の入力鍵に基づいて、検証関数に対応する検査ガーブル回路CGCを計算するステップと、
検証出力の計算のために、計算された検査ガーブル回路CGCを前記第2のパーティに送信するステップであって、前記第2のパーティが、前記2つの実行に対する、前記格納された暗号化されたバージョンkiを前記検査ガーブル回路CGCに適用することにより、前記検証出力を計算する、送信するステップと、
前記検証出力を前記第2のパーティから受信するステップと、
前記2つの実行に対する、前記第2のパーティの前記入力xiを検証するために、前記検証出力を評価するステップと
を含む、方法。 - 前記検証関数が、等値関数、より大なり関数、より小なり関数、および両パーティによって合意された検証関数のうちの1つまたは複数を含む、請求項1に記載の方法。
- 複数の実行iに対する関数を評価するために、第1のパーティによって、第2のパーティと共に実行される2パーティ秘匿関数計算(SFE)のための、有形のマシン可読および記録可能記憶媒体であって、1つまたは複数のソフトウェアプログラムが、1つまたは複数の処理デバイスによって実行されると、請求項1に記載の方法のステップを実施する、有形のマシン可読および記録可能記憶媒体。
- 複数の実行iに対する関数を評価するために、第2のパーティによって、第1のパーティと共に実行される2パーティ秘匿関数計算(SFE)のための方法であって、
複数の前記実行iに対して、
前記関数に対応するガーブル回路GCiを前記第1のパーティから受信するステップと、
前記第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密を受信するために、紛失通信(OT)プロトコルを使用して、前記第1のパーティと通信するステップと、
前記複数の実行に対する、前記第2のパーティの入力xiの前記暗号化されたバージョンkiを格納するステップと、
出力を計算するために、入力を、計算されたガーブル回路GCiに適用するステップと、
前記出力を前記第1のパーティに提供するステップと
を含み、また、
前記実行のうちの2つに対する、前記第2のパーティの前記入力xiの、前記第1のパーティによるその後の検証に対して、
検証関数に対応する検査ガーブル回路CGCを前記第1のパーティから受信するステップと、
前記2つの実行に対する、前記格納された暗号化されたバージョンkiを検査ガーブル回路CGCに適用することにより、検証出力を計算するステップと、
前記2つの実行に対する、前記第2のパーティの前記入力xiを検証するために、前記検証出力を前記第1のパーティに提供するステップと
を含む、方法。 - 前記検証関数が、等値関数、より大なり関数、より小なり関数、および両パーティによって合意された検証関数のうちの1つまたは複数を含む、請求項4に記載の方法。
- 複数の実行iに対する関数を評価するために、第2のパーティによって、第1のパーティと共に実行される2パーティ秘匿関数計算(SFE)のための、有形のマシン可読および記録可能記憶媒体であって、1つまたは複数のソフトウェアプログラムが、1つまたは複数の処理デバイスによって実行されると、請求項4に記載の方法のステップを実施する、有形のマシン可読および記録可能記憶媒体。
- 複数の実行iに対する関数を評価するための、第1のパーティによる、第2のパーティと共に用いる2パーティ秘匿関数計算(SFE)のためのシステムであって、
メモリと、
メモリに結合された少なくとも1つのハードウェアデバイスであって、
複数の前記実行iに対して、
前記関数に対応するガーブル回路GCiを計算し、
前記第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密を提供するために、紛失通信(OT)プロトコルを使用して、前記第2のパーティと通信し、第2のパーティが、前記複数の実行に対する、前記第2のパーティの入力xiの前記暗号化されたバージョンkiを格納し、
出力の計算のために、計算されたガーブル回路GCiを前記第2のパーティに送信し、
前記出力を前記第2のパーティから受信する
ように動作し、また、
前記実行のうちの2つに対する、前記第2のパーティの前記入力xiのその後の検証に対して、
検証されているガーブル回路の入力鍵に基づいて、検証関数に対応する検査ガーブル回路CGCを計算し、
検証出力の計算のために、計算された検査ガーブル回路CGCを前記第2のパーティに送信し、前記第2のパーティが、前記2つの実行に対する、前記格納された暗号化されたバージョンkiを前記検査ガーブル回路CGCに適用することにより、前記検証出力を計算し、
前記検証出力を前記第2のパーティから受信し、
前記2つの実行に対する、前記第2のパーティの前記入力xiを検証するために、前記検証出力を評価する
ように動作するハードウェアデバイスと
を備える、システム。 - 前記検証関数が、等値関数、より大なり関数、より小なり関数、および両パーティによって合意された検証関数のうちの1つまたは複数を含む、請求項7に記載のシステム。
- 複数の実行iに対する関数を評価するために、第2のパーティによって、第1のパーティと共に実行される2パーティ秘匿関数計算(SFE)のためのシステムであって、
メモリと、
メモリに結合された少なくとも1つのハードウェアデバイスであって、
複数の前記実行iに対して、
前記関数に対応するガーブル回路GCiを前記第1のパーティから受信し、
前記第2のパーティの入力xiの暗号化されたバージョンkiであるワイヤ秘密を受信するために、紛失通信(OT)プロトコルを使用して、前記第1のパーティと通信し、
前記複数の実行に対する、前記第2のパーティの入力xiの前記暗号化されたバージョンkiを格納し、
出力を計算するために、入力を、計算されたガーブル回路GCiに適用し、
前記出力を前記第1のパーティに提供する
ように動作し、また、
前記実行のうちの2つに対する、前記第2のパーティの前記入力xiの、前記第1のパーティによるその後の検証に対して、
検証関数に対応する検査ガーブル回路CGCを前記第1のパーティから受信し、
前記2つの実行に対する、前記格納された暗号化されたバージョンkiを検査ガーブル回路CGCに適用することにより、検証出力を計算し、
前記2つの実行に対する、前記第2のパーティの前記入力xiを検証するために、前記検証出力を前記第1のパーティに提供する
ように動作するハードウェアデバイスと
を備える、システム。 - 前記検証関数が、等値関数、より大なり関数、より小なり関数、および両パーティによって合意された検証関数のうちの1つまたは複数を含む、請求項9に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/630,568 | 2012-09-28 | ||
| US13/630,568 US8891766B2 (en) | 2012-09-28 | 2012-09-28 | Input consistency verification for two-party secure function evaluation |
| PCT/US2013/060323 WO2014052113A1 (en) | 2012-09-28 | 2013-09-18 | Input consistency verification for two-party secure function evaluation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015530623A JP2015530623A (ja) | 2015-10-15 |
| JP5925969B2 true JP5925969B2 (ja) | 2016-05-25 |
Family
ID=49301626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015534553A Expired - Fee Related JP5925969B2 (ja) | 2012-09-28 | 2013-09-18 | 2パーティ秘匿関数計算向けの入力整合性検証 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8891766B2 (ja) |
| EP (1) | EP2901613A1 (ja) |
| JP (1) | JP5925969B2 (ja) |
| KR (1) | KR101687122B1 (ja) |
| CN (1) | CN104685826B (ja) |
| WO (1) | WO2014052113A1 (ja) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10044695B1 (en) | 2014-09-02 | 2018-08-07 | Amazon Technologies, Inc. | Application instances authenticated by secure measurements |
| US9442752B1 (en) | 2014-09-03 | 2016-09-13 | Amazon Technologies, Inc. | Virtual secure execution environments |
| US9246690B1 (en) | 2014-09-03 | 2016-01-26 | Amazon Technologies, Inc. | Secure execution environment services |
| US9491111B1 (en) | 2014-09-03 | 2016-11-08 | Amazon Technologies, Inc. | Securing service control on third party hardware |
| US9584517B1 (en) | 2014-09-03 | 2017-02-28 | Amazon Technologies, Inc. | Transforms within secure execution environments |
| US10061915B1 (en) | 2014-09-03 | 2018-08-28 | Amazon Technologies, Inc. | Posture assessment in a secure execution environment |
| US9577829B1 (en) * | 2014-09-03 | 2017-02-21 | Amazon Technologies, Inc. | Multi-party computation services |
| US9754116B1 (en) | 2014-09-03 | 2017-09-05 | Amazon Technologies, Inc. | Web services in secure execution environments |
| US10079681B1 (en) | 2014-09-03 | 2018-09-18 | Amazon Technologies, Inc. | Securing service layer on third party hardware |
| GB201511520D0 (en) * | 2015-07-01 | 2015-08-12 | Barclays Bank Plc | Secure computation |
| JP6034927B1 (ja) * | 2015-07-27 | 2016-11-30 | 日本電信電話株式会社 | 秘密計算システム、秘密計算装置、およびプログラム |
| US10243738B2 (en) * | 2015-12-04 | 2019-03-26 | Microsoft Technology Licensing, Llc | Adding privacy to standard credentials |
| US10452802B2 (en) * | 2016-07-08 | 2019-10-22 | efabless corporation | Methods for engineering integrated circuit design and development |
| WO2019110380A1 (en) * | 2017-12-04 | 2019-06-13 | Koninklijke Philips N.V. | Nodes and methods of operating the same |
| CN111758241A (zh) * | 2017-12-22 | 2020-10-09 | 皇家飞利浦有限公司 | 使用函数的事件评价 |
| US10999082B2 (en) | 2018-09-28 | 2021-05-04 | Analog Devices, Inc. | Localized garbled circuit device |
| US11245680B2 (en) * | 2019-03-01 | 2022-02-08 | Analog Devices, Inc. | Garbled circuit for device authentication |
| CN112711744B (zh) * | 2020-06-23 | 2024-06-25 | 华控清交信息科技(北京)有限公司 | 一种计算任务的处理方法、装置和用于计算任务的处理装置 |
| CN112231642B (zh) * | 2020-10-19 | 2024-02-02 | 贵州大学 | 基于安全熵判据的理性两方计算模型的计算方法 |
| CN114024674B (zh) * | 2021-11-23 | 2024-05-31 | 支付宝(杭州)信息技术有限公司 | 两方安全比较的方法及系统 |
| CN114285558B (zh) * | 2021-12-24 | 2023-09-08 | 浙江大学 | 一种基于半可信硬件的多方隐私计算方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL139935A (en) * | 1998-06-03 | 2005-06-19 | Cryptography Res Inc | Des and other cryptographic processes with leak minimization for smartcards and other cryptosystems |
| US7240198B1 (en) * | 2000-08-08 | 2007-07-03 | Yeda Research & Development Co., Ltd. | Honesty preserving negotiation and computation |
| EP1720144A4 (en) * | 2004-01-26 | 2013-10-23 | Nec Corp | METHOD AND DEVICE FOR CALCULATING A FUNCTION FROM MANY INPUTS |
| US8923519B2 (en) * | 2009-05-29 | 2014-12-30 | Alcatel Lucent | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens |
| US8539220B2 (en) * | 2010-02-26 | 2013-09-17 | Microsoft Corporation | Secure computation using a server module |
| US8488791B2 (en) * | 2010-09-22 | 2013-07-16 | Alcatel Lucent | Securing two-party computation against malicious adversaries |
| US8837715B2 (en) * | 2011-02-17 | 2014-09-16 | Gradiant, Centro Tecnolóxico de Telecomunicacións de Galica | Method and apparatus for secure iterative processing and adaptive filtering |
| US9077539B2 (en) * | 2011-03-09 | 2015-07-07 | Microsoft Technology Licensing, Llc | Server-aided multi-party protocols |
-
2012
- 2012-09-28 US US13/630,568 patent/US8891766B2/en not_active Expired - Fee Related
-
2013
- 2013-09-18 KR KR1020157007753A patent/KR101687122B1/ko active IP Right Grant
- 2013-09-18 WO PCT/US2013/060323 patent/WO2014052113A1/en active Application Filing
- 2013-09-18 CN CN201380050556.5A patent/CN104685826B/zh not_active Expired - Fee Related
- 2013-09-18 JP JP2015534553A patent/JP5925969B2/ja not_active Expired - Fee Related
- 2013-09-18 EP EP13771683.3A patent/EP2901613A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| KR101687122B1 (ko) | 2016-12-15 |
| US8891766B2 (en) | 2014-11-18 |
| EP2901613A1 (en) | 2015-08-05 |
| US20140105393A1 (en) | 2014-04-17 |
| CN104685826A (zh) | 2015-06-03 |
| KR20150048827A (ko) | 2015-05-07 |
| WO2014052113A1 (en) | 2014-04-03 |
| JP2015530623A (ja) | 2015-10-15 |
| CN104685826B (zh) | 2018-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5925969B2 (ja) | 2パーティ秘匿関数計算向けの入力整合性検証 | |
| Yang et al. | Provable data possession of resource-constrained mobile devices in cloud computing | |
| Wei et al. | Security and privacy for storage and computation in cloud computing | |
| Wang et al. | Privacy-preserving public auditing for data storage security in cloud computing | |
| JP2024063229A (ja) | ブロックチェーンにより実装される方法及びシステム | |
| JP2015535956A (ja) | コンテンツ隠蔽ブルームフィルタを用いたセキュアプライベートデータベースクエリ | |
| Williamson | The aztec protocol | |
| US11764943B2 (en) | Methods and systems for somewhat homomorphic encryption and key updates based on geometric algebra for distributed ledger/blockchain technology | |
| US8321666B2 (en) | Implementations of secure computation protocols | |
| CN113536379B (zh) | 一种隐私数据的查询方法、装置及电子设备 | |
| CN114175028B (zh) | 密码假名映射方法、计算机系统、计算机程序和计算机可读介质 | |
| CN105187425A (zh) | 面向云计算通信系统安全的无证书门限解密方法 | |
| US9178704B2 (en) | Input consistency verification for server assisted secure function evaluation | |
| CN118160275A (zh) | 阈值签名方案 | |
| CN111917533A (zh) | 具有减少泄漏的区间统计量的隐私保护基准分析 | |
| WO2013153628A1 (ja) | 演算処理システムおよび演算結果認証方法 | |
| Shi et al. | Threshold eddsa signature for blockchain-based decentralized finance applications | |
| Li et al. | [Retracted] Hardware Optimization and System Design of Elliptic Curve Encryption Algorithm Based on FPGA | |
| CN111885056A (zh) | 基于区块链的零知识证明方法、装置及电子设备 | |
| Ahmed et al. | Integrity verification for an optimized cloud architecture | |
| Hinkelmann et al. | A cryptographically t‐private auction system | |
| Chaudhari et al. | Secure and Verifiable Multi-Party Computation Using Indistinguishability Obfuscation | |
| CN117454431B (zh) | 计算服务外包的可验证数据隐私保护系统及方法 | |
| JP7348848B2 (ja) | 統合属性ベースグループ署名処理方法、統合属性ベースグループ署名処理システム、および、プログラム | |
| Song et al. | General construction of compressive integrity auditing protocol from strong homomorphic encryption scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150525 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160420 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5925969 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |