JP6009697B2

JP6009697B2 - 秘密計算方法、秘密計算システム、ソート装置及びプログラム

Info

Publication number: JP6009697B2
Application number: JP2015557796A
Authority: JP
Inventors: 大五十嵐; 浩気濱田; 亮菊池; 千田　浩司; 浩司千田
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2014-01-17
Filing date: 2015-01-07
Publication date: 2016-10-19
Anticipated expiration: 2035-01-07
Also published as: EP3096309B1; JPWO2015107951A1; WO2015107951A1; EP3096309A4; CN105900164B; US20160321958A1; US10074293B2; CN105900164A; EP3096309A1

Description

この発明は、秘密計算技術に関し、特に、秘密ソートを行う技術に関する。

秘密計算とは、秘密分散によりデータを秘匿しつつデータ処理を行う技術である。秘密分散は、データを複数の分散値に変換し、一定個数以上の分散値を用いれば元のデータを復元でき、一定個数未満の分散値からは元のデータを一切復元できなくする技術である。秘密分散はいくつかの種類に分類でき、例えば、(k,n)-秘密分散、置換データ秘密分散などがある。

(k,n)-秘密分散とは、入力された平文をn個のシェアに分割し、n個のパーティP=(p₀,…,p_n-1)に分散しておき、任意のk個のシェアが揃えば平文を復元でき、k個未満のシェアからは平文に関する一切の情報を得られないような秘密分散である。(k,n)-秘密分散の具体的な方式には、例えば、Shamir秘密分散、複製秘密分散などがある。

置換データ秘密分散は、置換データを秘匿して行う秘密分散である。置換データとは、データ列を並び替えるときの並び替え方を表すデータである。m個のデータ列を並び替えるとき、大きさmの置換データπは全単射写像π:N_m→N_mを表すデータである。ただし、任意の整数mに対して、N_mはm未満の非負整数の集合である。例えば、ベクトルx^→∈(N_m)^mで各要素が互いに異なるデータは大きさmのランダム置換データと見なせる。

より具体的には、ベクトルx^→=(3,0,2,1)を大きさ4のランダム置換データと見なすことができる。例えば、データ列y^→=(1,5,7,10)をベクトルx^→によって並び替えるとする。データ列y^→の0番目の要素である1を、ベクトルx^→の0番目の要素が示す3番目に移動する。データ列y^→の1番目の要素である5を、ベクトルx^→の1番目の要素が示す0番目に移動する。同様に、7を2番目に移動し、10を1番目に移動する。結果として、置換後のデータ列z^→=(5,10,7,1)が得られる。

置換データ秘密分散は、以下の手順により置換データを秘匿する。N個のkパーティ組の列Ρ=ρ₀,…,ρ_N-1があるとする。例えば、k=2のとき、各kパーティ組ρ_iは、パーティp₀とパーティp₁の組(p₀,p₁)や、パーティp₀とパーティp₂の組(p₀,p₂)などである。各kパーティ組ρ_i内の全パーティが互いに置換データπ_ρiを共有し、補集合ρ^￣ _iには知らさないものとする。そして、対応する平文をπ₀(π₁(…(π_N-1(I))…))とする。ただし、Iは入力と同じ並びでそのまま出力する置換、つまり恒等置換である。このとき、kパーティ組の列Ρ=ρ₀,…,ρ_N-1を、「（条件１）任意のk-1パーティ組ρに対して、いずれかの補集合ρ^￣ _iがρ⊆ρ^￣ _iを満たす」ように設定すれば、どのようにk-1パーティが結託しても、いずれかの置換データπ_ρiを知らないことになる。

例えば、パーティ数nがn≧2k-1を満たすとき、kパーティ組の列Ρを全てのkパーティ組を含む集合とすれば上記の条件１を満たす。また、パーティ数nがn>2k-1を満たすときは、すべてのkパーティ組を含まなくても上記の条件１が実現されることがある。例えば、k=2, n=4のとき、{(p₀,p₁),(p₂,p₃)}は全てのkパーティ組を含みはしないが条件１を満たす。

秘密ソートとは、秘密分散されたキーとバリューを秘匿したままキーの順序関係に基づいて一定の規則に従ってバリューを並び替える処理である。秘密ソートを行う従来技術として非特許文献１に記載の技術がある。

非特許文献１に記載の秘密ソートは、バリュー列v^→の秘密分散値[v^→]とキー列k^→の秘密分散値[k^→ _L-1],…,[k^→ ₀]を入力とし、整列されたバリュー列σv^→の秘密分散値[σv^→]を出力する。ここで、σはソートを表す置換関数である。まず、(1)置換関数σ₀をZ_m上の恒等写像とする。ここで、Z_mは0以上m未満の整数の集合である。(2)ランダムＩＤ列[h^→]:=[I]とする。ここで、Iは恒等置換である。(3)i=0,…,L-1について、下記の(4)から(14)までの処理を実行する。(4)置換データ<π₀>,<π₁>,<π₂>を生成する。(5)[σ_i-1k^→ _i]を1ビット安定ソートして順位表[s^→]を生成する。(6)([σ_ih^→],[s^→])を置換データ<π₀>により秘密ランダム置換して([π₀σ_ih^→],[π₀s^→])を生成する。(7)i=Lであれば下記の(15)へ進む。(8)([h^→],[k^→ _i+1])を置換データ<π₁>により秘密ランダム置換して([π₁h^→],[π₁k^→ _i+1])を生成する。(9)[π₁h^→],[π₀σ_ih^→]を復元する。(10)[π₀σ_ik^→ _i+1]:=π₀σ_ih^→(π₁h^→)^-1[π₁k^→ _i+1]を計算する。(11)([π₀σ_ih^→],[π₀s^→],[π₀σ_ik^→ _i+1])を置換データ<π₂>により秘密ランダム置換して([π₂₀σ_ih^→],[π₂₀s^→],[π₂₀σ_ik^→ _i+1])を生成する。ただし、π₂₀=π₂π₀である。(12)[π₂₀s^→]を復元する。(13)([s^→-1σ_ih^→],[s^→-1σ_ik^→ _i+1]):=(π₂₀s^→)^-1([π₂₀σ_ih^→],[π₂₀σ_ik^→ _i+1])を計算する。(14)置換関数σ_i+1:=s^→-1σ_iとおく。(15)[π₀s^→],[s^→-1σ_ih^→]を復元する。(16)置換関数σ_L:=s^→-1σ_L-1とおく。(17)置換データ<π₃>を生成する。(18)[h^→],[v^→]を置換データ<π₃>により置換して([π₃h^→],[π₃v^→])を生成する。(19)[π₃h^→],[σ_Lh^→]を復元し、[σv^→]:=σ_Lh^→(π₃h^→)^-1[π₃v^→]を出力する。ここで、置換関数σ=σ_Lである。

濱田浩気、五十嵐大、千田浩司、高橋克巳、"秘匿関数計算上の線形時間ソート"、コンピュータセキュリティシンポジウム2011、2011年

非特許文献１に記載の秘密ソート技術は、ランダムＩＤ列の作成と秘密ランダム置換を逐次的に繰り返し実行するため通信段数が大きいという問題がある。

この発明の目的は、秘密ソートに要する通信段数を低減し、秘密ソートが含まれる秘密計算を高速に行うことである。

上記の課題を解決するために、この発明の一態様の秘密計算方法は、Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列するためのソート置換σπ^-1 _Lを生成する秘密計算方法であって、置換データ生成部が、i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成ステップと、ランダムＩＤ列生成部が、i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成ステップと、秘密ランダム置換部が、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]を置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1を生成する秘密ランダム置換ステップと、フラグ作成部が、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成ステップと、順位表作成部が、フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成ステップと、ソート置換生成部が、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1と整列後ランダムＩＤ列σ_Lr^→ _L-1とを等結合してソート置換σπ^-1 _Lを生成するソート置換生成ステップと、を含む。

この発明の他の態様の秘密計算方法は、Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、整列後バリュー列[σv^→]^Vを生成する秘密計算方法であって、置換データ生成部が、i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成ステップと、ランダムＩＤ列生成部が、i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成ステップと、秘密ランダム置換部が、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]及びバリュー列[v^→]^Vを置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vを生成する秘密ランダム置換ステップと、フラグ作成部が、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成ステップと、順位表作成部が、フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成ステップと、整列部が、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組と、整列後ランダムＩＤ列σ_Lr^→ _L-1とを、置換後ランダムＩＤ列π_Lr^→ _L-1をキーとして等結合して整列後バリュー列[σv^→]^Vを生成する整列ステップと、を含む。

この発明の秘密計算技術によれば、秘密ソートを行う際の通信段数を低減することができる。したがって、秘密ソートが含まれる秘密計算を高速に実行できる。

図１は、秘密計算システムの機能構成を例示する図である。図２は、第一実施形態のソート装置の機能構成を例示する図である。図３は、第一実施形態の秘密計算方法の処理フローを例示する図である。図４は、第二実施形態のソート装置の機能構成を例示する図である。図５は、第二実施形態の秘密計算方法の処理フローを例示する図である。図６は、第三実施形態のソート装置の機能構成を例示する図である。図７は、第三実施形態の秘密計算方法の処理フローを例示する図である。図８は、第四実施形態のソート装置の機能構成を例示する図である。図９は、第四実施形態の秘密計算方法の処理フローを例示する図である。

実施形態の説明に先立ち、この明細書で用いる表記方法及び用語を定義する。
［表記方法］
pは、シェアを所持するパーティを表す。
P=(p₀,…,p_n-1)は、シェアを所持するnパーティ全体の集合を表す。
ρ=(p₀,…,p_k-1)は、置換処理を実行するkパーティ組の集合を表す。
[x]は、平文x∈Gの(k,n)-秘密分散値を表す。ここで、Gは可換群である。(k,n)-秘密分散値は、平文xを(k,n)-秘密分散で分散したシェアすべてを集めた組である。秘密分散値[x]は、普段はnパーティ集合Pに分散されて所持されているため、一か所ですべてを所持されることはなく、仮想的である。
[x]^IDは、m種類のＩＤを表現しうる空間上の秘密分散値を表す。
[x]^Oは、m種類の順序集合を表現しうる空間上の秘密分散値を表す。
[x]^Bは、ビットの秘密分散値を表す。
[x]^Vは、ソート対象のバリューを表現しうる空間上の秘密分散値を表す。
[x]^Kは、ソート順を決定するキーの一部を表現しうる空間上の秘密分散値を表し、L個の組み合わせでキー空間全体を表現する（例えば、[x]^Kがビット列の秘密分散値であり、キーがLビットである場合など）。
≪x≫^ρは、平文x∈Gの加法的秘密分散値を表す。加法的秘密分散値とは、平文xを加法的秘密分散で分散したシェアすべてを集めた組を表す。
≪x≫^ρ _pは、加法的秘密分散値≪x≫^ρのうち、パーティp∈ρが所持するシェアを表す。
≪x^→≫^ρは、平文の列がx^→となる加法的秘密分散値の列を表す。
≪G≫^ρは、可換群G上の加法的秘密分散値全体の集合を表す。
<π>は、置換データπの置換データ秘密分散値を表す。

以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
［第一実施形態］
図１を参照して、第一実施形態に係る秘密計算システムの構成例を説明する。秘密計算システムは、n（≧2）台のソート装置１₁,…,１_nとネットワーク９を含む。ソート装置１₁,…,１_nはネットワーク９にそれぞれ接続される。ネットワーク９はソート装置１₁,…,１_nそれぞれが相互に通信可能なように構成されていればよく、例えばインターネットやＬＡＮ、ＷＡＮなどで構成することができる。また、ソート装置１₁,…,１_nそれぞれは必ずしもネットワーク９を介してオンラインで通信可能である必要はない。例えば、あるソート装置１_i（1≦i≦n）が出力する情報をＵＳＢメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から異なるソート装置１_j（1≦j≦n、i≠j）へオフラインで入力するように構成してもよい。

図２を参照して、秘密計算システムに含まれるソート装置１の構成例を説明する。ソート装置１は、置換データ生成部１０、ランダムＩＤ列生成部１２、秘密ランダム置換部１４、フラグ作成部１６、順位表作成部１８、ソート置換生成部２０及びバリュー整列部２２を含む。ソート装置１は、例えば、中央演算処理装置（Central Processing Unit、ＣＰＵ）、主記憶装置（Random Access Memory、ＲＡＭ）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。ソート装置１は、例えば、中央演算処理装置の制御のもとで各処理を実行する。ソート装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて読み出されて他の処理に利用される。

図３を参照しながら、第一実施形態に係る秘密計算システムが実行する秘密計算方法の処理フローの一例を、実際に行われる手続きの順に従って説明する。

ソート装置１は、キー列k^→の秘密分散値[k^→]^Kとバリュー列v^→の秘密分散値[v^→]^Vの組([k^→]^K,[v^→]^V)を入力とし、整列後バリュー列σv^→の秘密分散値[σv^→]^Vを出力する。ここで、σはソートを表す置換関数である。キー列k^→はm個のキーk₀,…,k_m-1の列である。各キーk_iのビット長はLである。すなわち、各キーk_i=(k_i,0,…,k_i,L-1)と表すことができる。キー列k^→のビット毎の分散値の列を[k^→ ₀]^K,…,[k^→ _L-1]^Kと表す。バリュー列v^→はm個のバリューv₀,…,v_m-1の列である。各バリューv_iは少なくとも一つの値であり、複数の値の組み合わせであってもよい。キー列k^→とバリュー列v^→は同一であってもよい。

ステップＳ１０において、置換データ生成部１０は、i=0,…,L-1について、置換データ<π_i>,<π’_i>を並列かつ同時に生成する。続いて、置換データ<π_L>を生成する。

ステップＳ１２において、ランダムＩＤ列生成部１２は、i=0,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]^IDを並列かつ同時に生成する。続いて、互いに重複した値を含まないランダムＩＤ列[r^→ _L]^IDを生成する。

ステップＳ１４において、秘密ランダム置換部１４は、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]^ID、キー列[k^→ _i]^K及びランダムＩＤ列[r^→ _i]^IDの組([r^→ _i-1]^ID,[k^→ _i]^K,[r^→ _i]^ID)を置換データ<π_i>により並列かつ同時に秘密ランダム置換し、置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]^K及び置換後ランダムＩＤ列[π_ir^→ _i]^IDの組(π_ir^→ _i-1,[π_ik^→ _i]^K,[π_ir^→ _i]^ID)を生成する。続いて、ランダムＩＤ列[r^→ _L-1]^IDを置換データ<π_L>により秘密ランダム置換し、置換後ランダムＩＤ列π_Lr^→ _L-1を生成する。

秘密ランダム置換の方法は、任意の秘密ランダム置換を利用することができる。例えば、下記参考文献１に記載の方法を用いることができる。また、置換回路による置換も適用することができる。
〔参考文献１〕濱田浩気、五十嵐大、千田浩司、高橋克巳、“3パーティ秘匿関数計算のランダム置換プロトコル”、コンピュータセキュリティシンポジウム2010、2010年

さらに、秘密ランダム置換は、以下の1-加法的再分散プロトコルを用いて行うこともできる。1-加法的再分散プロトコルは、kパーティ組ρ=p₀,…,p_k-1が所持する秘密分散値≪a≫^ρ∈≪G≫^ρを入力とし、以下の手順でデータ処理を行い、他のkパーティ組ρ’=p₁,…,p_kが所持する秘密分散値≪a≫^ρ’∈≪G≫^ρ’を出力する秘密ランダム置換である。1-加法的再分散プロトコルでは、kパーティ組ρとkパーティ組ρ’とで1パーティだけが異なるため、通信量及び通信段数を低減することができ、効率的に秘密ランダム置換を行うことができる。ただし、パーティの役割は適切に変更されるものとする。

まず、パーティp₀は、i=1,…,k-1について、パーティp_iと乱数r_i∈Gを共有する。次に、パーティp₀は、次式により秘密分散値≪a≫^ρ' _pkを計算してパーティp_kに送信する。

パーティp_kは、受信した≪a≫^ρ' _pkを出力する。パーティp_i（i=1,…,k-1）は、次式により秘密分散値≪a≫^ρ' _piを計算して出力する。

ステップＳ１６において、フラグ作成部１６は、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]^K=([k_j,0]^B,…,[k_j,L-1]^B)に対して、k_j=hであるか否かを判定して、並列かつ同時にフラグ[f_j,h]を設定する。具体的には、k_j=hであればフラグ[f_j,h]^B=[1]^Bを、k_j≠hであればフラグ[f_j,h]^B=[0]^Bを設定する。フラグの設定は等号判定回路を利用すればよい。

続いて、フラグ作成部１６は、フラグ[f_j,h]^Bをフラグ[f_j,h]^Oに変換する。値aの秘密分散値[a]^Bを秘密分散値[a]^Oに変換する方法は、例えば、[a]^BがZ₂を部分群として持つ秘密分散（例えば、mod 2の複製秘密分散、2の拡大体上のShamir秘密分散など）のとき、以下のように行えばよい。まず、パーティp_iは乱数r_iを生成し、二通りの秘密分散により秘密分散値[r_i]^B,[r_i]^Oを生成する。次に、秘密計算により次式を計算し、乱数rの秘密分散値[r]^B,[r]^Oを生成する。

続いて、秘密分散値[a]^Bと秘密分散値[r]^Bを用いて、値aと値rの排他的論理和[a'=a XOR r]^Bを計算し、値a'を復元する。そして、値a'と秘密分散値[r]^Oの排他的論理和[a]^O=a' XOR [r]^Oを計算する。つまり、a XOR r=0なら、[a]^O:=[r]^Oであり、a XOR r=1なら、[a]^O:=1-[r]^Oである。

ステップＳ１８において、順位表作成部１８は、フラグ[f_j,h]^Oを用いて、順位表[s^→]^Oを作成する。まず、[S]^O=[0]^Oを設定する。次に、j=0,…,m-1について、[s_j,h]^O=[S_j,h-1]^O+[f_j,h]^O（ただし、0≦h<2^Lの各整数）を設定する。続いて、j=0,…,m-1について、次式を並列かつ同時に計算し、順位表[s^→:=(s₀,…,s_m-1)]^Oを設定する。作成された順位表[s^→]^Oは、キー列k^→=k₀,…,k_m-1の各要素の昇順の順位が設定されたベクトルとなる。

ステップＳ２０において、ソート置換生成部２０は、順位表[s^→]^O、ランダムＩＤ列[r^→ _i]、置換データ<π’_i>、置換後キー列[π_ik^→ _i]^K及び置換後ランダムＩＤ列[σ_ir^→ _i]^IDを用いて、ソート置換σπ^-1 _Lを生成する。まず、置換関数σ₀=Iを設定する。ただし、Iは恒等置換である。次に、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]^IDを置換関数σ_iにより置換し、置換後ランダムＩＤ列[σ_ir^→ _i]^IDを生成する。続いて、順位表[s^→]^O及び置換後ランダムＩＤ列[σ_ir^→ _i]^IDを置換データ<π’_i>により秘密ランダム置換し、置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成する。次に、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列し、整列後ランダムＩＤ列σ_i+1r^→ _iを生成する。ここで、置換関数σ_i+1=s^→-1σ_iである。さらに、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]^K及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]^IDの組(π_i+1r^→ _i,[π_i+1k^→ _i+1]^K,[π_i+1r^→ _i+1]^ID)と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]^K及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]^IDの組(σ_i+1r^→ _i,[σ_i+1k^→ _i+1]^K,[σ_i+1r^→ _i+1]^ID)を生成する。続いて、置換後ランダムＩＤ列π_Lr^→ _L-1と整列後ランダムＩＤ列σ_Lr^→ _L-1とを等結合し、ソート置換σπ^-1 _Lを生成する。ここで、置換関数σ=σ_Lである。

ステップＳ２２において、バリュー整列部２２は、バリュー列[v^→]^Vを置換データ<π_L>により秘密ランダム置換し、置換後バリュー列[π_Lv^→]^Vを生成する。続いて、置換後バリュー列[π_Lv^→]^Vをソート置換σπ^-1 _Lに基づいて整列し、整列後バリュー列[σv^→]を生成する。

従来の秘密ソート技術ではランダムＩＤ列の生成と秘密ランダム置換を逐次的に行っていた。第一実施形態の秘密計算システムでは最初に必要な個数のランダムＩＤ列を生成することで、ランダムＩＤ列を用いた秘密ランダム置換を並列かつ同時に行うことが可能となっている。さらに、順位表作成に必要とするフラグも並列かつ同時に生成する。これにより、秘密ソートの通信段数を低減することができ、秘密ソートが含まれる秘密計算を高速に実行することができる。

［第二実施形態］
図４を参照して、第二実施形態に係るソート装置２の構成例を説明する。ソート装置２は、第一実施形態に係るソート装置１と同様に、置換データ生成部１０、ランダムＩＤ列生成部１２、フラグ作成部１６及び順位表作成部１８を含み、秘密ランダム置換部２４及び整列部２６をさらに含む。

図５を参照しながら、第二実施形態に係る秘密計算システムが実行する秘密計算方法の処理フローの一例を、実際に行われる手続きの順に従って説明する。

ステップＳ１０からステップＳ１２までの処理は第一実施形態に係る秘密計算方法と同様である。

ステップＳ２４において、秘密ランダム置換部２４は、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]^ID、キー列[k^→ _i]^K及びランダムＩＤ列[r^→ _i]^IDの組([r^→ _i-1]^ID,[k^→ _i]^K,[r^→ _i]^ID)を置換データ<π_i>で並列かつ同時に秘密ランダム置換し、置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]^K及び置換後ランダムＩＤ列[π_ir^→ _i]^IDの組(π_ir^→ _i-1,[π_ik^→ _i]^K,[π_ir^→ _i]^ID)を生成する。続いて、ランダムＩＤ列[r^→ _L-1]^ID及びバリュー列[v^→]^Vの組([r^→ _L-1]^ID,[v^→]^V)を置換データ<π_L>により秘密ランダム置換し、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組(π_Lr^→ _L-1,[π_Lv^→]^V)を生成する。

ステップＳ１６からステップＳ１８の処理は第一実施形態に係る秘密計算方法と同様である。

ステップＳ２６において、整列部２６は、順位表[s^→]^O、ランダムＩＤ列[r^→ _i]、置換データ<π’_i>、置換後キー列[π_ik^→ _i]^K、置換後ランダムＩＤ列[σ_ir^→ _i]^ID及び置換後バリュー列[π_Lv^→]^Vを用いて、整列後バリュー列[σv^→]を生成する。まず、置換関数σ₀=Iを設定する。ただし、Iは恒等置換である。次に、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]^IDを置換関数σ_iにより置換し、置換後ランダムＩＤ列[σ_ir^→ _i]^IDを生成する。続いて、順位表[s^→]^O及び置換後ランダムＩＤ列[σ_ir^→ _i]^IDを置換データ<π’_i>により秘密ランダム置換し、置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成する。次に、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列し、整列後ランダムＩＤ列σ_i+1r^→ _iを生成する。ここで、置換関数σ_i+1=s^→-1σ_iである。さらに、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]^K及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]^IDの組(π_i+1r^→ _i,[π_i+1k^→ _i+1]^K,[π_i+1r^→ _i+1]^ID)と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]^K及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]^IDの組(σ_i+1r^→ _i,[σ_i+1k^→ _i+1]^K,[σ_i+1r^→ _i+1]^ID)を生成する。続いて、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組(π_Lr^→ _L-1,[π_Lv^→]^V)と、整列後ランダムＩＤ列σ_Lr^→ _L-1とを、置換後ランダムＩＤ列π_Lr^→ _L-1をキーとして等結合し、整列後バリュー列[σv^→]^Vを生成する。ここで、置換関数σ=σ_Lである。

第一実施形態の秘密計算システムでは、キー列[k^→]^Kに基づいてソート置換σπ^-1 _Lを生成する処理と、ソート置換σπ^-1 _Lに基づいて整列後バリュー列[σv^→]^Vを得る処理とが分かれていた。このような構成とすることで、例えば、キー列k^→とバリュー列v^→が同一でありキー列k^→のみをソートしたい場合などは、バリュー整列部の処理を省略することができる。第二実施形態の秘密計算システムでは、秘密ランダム置換部において、バリュー列[v^→]^VをランダムＩＤ列[r^→ _L-1]^IDと同じ置換データ<π_L>で同時に秘密ランダム置換するため、キー列k^→とバリュー列v^→をいずれもソートしたい場合には、より通信段数を低減することができる。

［第三実施形態］
図６を参照して、第三実施形態に係るソート装置３の構成例を説明する。ソート装置３は、第一実施形態に係るソート装置１と同様に、置換データ生成部１０、ランダムＩＤ列生成部１２、秘密ランダム置換部１４、順位表作成部１８、ソート置換生成部２０及びバリュー整列部２２を含み、フラグ作成部２８をさらに含む。第三実施形態の構成は第二実施形態に応用することもできる。すなわち、第二実施形態に係るソート装置２と同様に、置換データ生成部１０、ランダムＩＤ列生成部１２、秘密ランダム置換部２４、順位表作成部１８及び整列部２６を含み、フラグ作成部２８をさらに含むように構成してもよい。

図７を参照しながら、第三実施形態に係る秘密計算システムが実行する秘密計算方法の処理フローの一例を、実際に行われる手続きの順に従って説明する。

第一実施形態に係るソート装置１及び第二実施形態に係るソート装置２は、入力されるキー列k^→の秘密分散値[k^→]^Kが、ビットの秘密分散値であった。すなわち、j=0,…,m-1について、キー[k_j]^K=([k_j,0]^B,…,[k_j,L-1]^B)と表すことができた。一方、第三実施形態に係るソート装置３では、入力されるキー列k^→の秘密分散値[k^→]^Kが、m種類の順序集合を表現しうる空間上の秘密分散値である。すなわち、j=0,…,m-1について、キー[k_j]^K=([k_j,0]^O,…,[k_j,L-1]^O)と表すことができる。

ステップＳ１０からステップＳ１４までの処理は第一実施形態に係る秘密計算方法と同様である。

ステップＳ２８において、フラグ作成部２８は、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]^K=([k_j,0]^O,…,[k_j,L-1]^O)に対して、k_j=hであるか否かを判定して、並列かつ同時にフラグ[f_j,h]を設定する。具体的には、k_j=hであればフラグ[f_j,h]^O=[1]^Oを、k_j≠hであればフラグ[f_j,h]^O=[0]^Oを設定する。フラグの設定は等号判定回路を利用すればよい。

ステップＳ１８からステップＳ２２までの処理は第一実施形態に係る秘密計算方法と同様である。

第一実施形態の秘密計算システムでは、キーk_jをビット毎に秘密分散した秘密分散値[k_j,0]^B,…,[k_j,L-1]^Bからフラグ[f_j,h]^Bを設定するため、フラグ[f_j,h]^Bをフラグ[f_j,h]^Oへ変換する必要があった。第三実施形態の秘密計算システムでは、キーk_jの各ビットをより広い空間上の秘密分散値[k_j,0]^O,…,[k_j,L-1]^Oとして取り扱い、直接フラグ[f_j,h]^Oを設定するため変換が不要である。これにより、第一実施形態よりも単純な構成となっており、実装が容易である。ただし、計算に用いる空間が広くなることで計算量は増えるため、第一実施形態の方が効率的に計算することができる。

［第四実施形態］
第四実施形態は、この発明の秘密ソートに対して秘密計算中の改ざんを検知することを可能とする実施形態である。秘密計算中の改ざんを検知する秘密改ざん検知方法として、下記参考文献２に記載の方法が提案されている。参考文献２では、３つのフェーズで秘密計算中の改ざん検知を行う。ランダム化フェーズでは、分散値を正当性検証可能なランダム化分散値へと変換する。計算フェーズでは、semi-honestの演算により構成されるランダム化分散値用の演算を用いて所望の秘密計算を実行する。このとき、後続の正当性証明フェーズでチェックサムを計算するために必要となるランダム化分散値を収集しながら計算が行われる。正当性証明フェーズでは、計算フェーズで収集されたランダム化分散値に対して、一括でチェックサムを計算し正当性証明を行う。チェックサムが正当であれば計算フェーズによる計算結果を出力し、正当でなければ計算結果は出力せずに正当でない旨のみを出力する。
〔参考文献２〕五十嵐大、千田浩司、濱田浩気、菊池亮、“非常に高効率なn≧2k-1 malicious モデル上秘密分散ベースマルチパーティ計算の構成法”、SCIS2013、2013年

しかしながら、参考文献２に記載の方法を適用するためには、秘密計算で実行する各演算がtamper-simulatableである必要がある（参考文献３）。
〔参考文献３〕D. Ikarashi, R. Kikuchi, K. Hamada, and K. Chida, “Actively Private and Correct MPC Scheme in t<n/2 from Passively Secure Schemes with Small Overhead”, IACR Cryptology ePrint Archive, vol. 2014, p. 304, 2014

そこで、第四実施形態では、参考文献２に記載の秘密改ざん検知方法を上記の条件を満たすように第一実施形態の秘密ソートに適用した構成例を示す。なお、以下では第一実施形態に適用した例を示すが、同様の考え方により、第二実施形態及び第三実施形態に適用することも可能である。

図８を参照して、第四実施形態に係るソート装置４の構成例を説明する。ソート装置４は、第一実施形態に係るソート装置１と同様に、置換データ生成部１０、ランダムＩＤ列生成部１２、秘密ランダム置換部１４、フラグ作成部１６、順位表作成部１８及びバリュー整列部２２を含み、ランダム化部３２、ソート置換生成部３４及び正当性証明部３６をさらに含む。第四実施形態の構成は第二実施形態及び第三実施形態に応用することもできる。すなわち、第二実施形態に係るソート装置２または第三実施形態に係るソート装置３が備える各構成部に加えて、ランダム化部３２及び正当性証明部３６をさらに含み、ソート置換生成部２０をソート置換生成部３４へ変更するように構成することができる。

図９を参照しながら、第四実施形態に係る秘密計算システムが実行する秘密計算方法の処理フローの一例を、実際に行われる手続きの順に従って説明する。

ステップＳ３２において、ランダム化部３２は、入力されたキーk^→の分散値[k^→]^Kとバリューv^→の分散値[v^→]^Vの組([k^→]^K,[v^→]^V)をランダム化分散値へ変換する。ランダム化分散値とは、値x∈Rの分散値[x]と、値x∈Rと乱数r∈Aとの積算値xrの分散値[xr]との組([x],[xr])である。ここで、Rは環であり、Aは環R上の結合多元環である。結合多元環とは、結合的な環であって、かつそれと両立するような、何らかの体上の線型空間の構造を備えたものである。結合多元環は、ベクトル空間で扱う値が体ではなく環でよくなったものと言える。ランダム化分散値の第０成分（[x]）はR成分、第１成分（[xr]）はA成分とも呼ぶ。

ランダム化分散値を生成する際に用いる乱数は、同一の環上の秘密分散を複数利用する場合には、一方の秘密分散のための分散値を他方の秘密分散のための分散値に変換することで、乱数の値が同一となるように生成する。この形式変換においても、改ざん検知が可能もしくは改ざんが不可能でなければならない。例えば、複製型秘密分散（replicated secret sharing）から線形秘密分散（linear secret sharing）へ変換する改ざん不可能な方法は下記参考文献４に記載されている。
〔参考文献４〕R. Cramer, I. Damgard, and Y. Ishai, “Share conversion, pseudorandom secret-sharing and applications to secure computation”, TCC, Vol. 3378 of Lecture Notes in Computer Science, pp. 342-362, Springer, 2005.

ステップＳ１４からステップＳ１８において、秘密ランダム置換部１４、フラグ作成部１６及び順位表作成部１８は、計算対象のランダム化分散値と計算結果のランダム化分散値を秘密分散の種類ごとに用意したチェックサムC_j（j=0,…,J-1、Ｊは秘密分散の種類の数）へ含めながら、所定の秘密計算を実行する。

ステップＳ３４において、ソート置換生成部３４は、順位表[s^→]^O及び置換後ランダムＩＤ列[σ_ir^→ _i]^IDを置換データ<π’_i>により秘密ランダム置換する際に、改ざん検知が可能な秘密ランダム置換方法を用いる。順位表[s^→]^O及び置換後ランダムＩＤ列[σ_ir^→ _i]^IDに改ざんがあった場合、秘匿性が破られる可能性があるためである。改ざん検知が可能なランダム置換方法は、例えば、(k,n)-秘密分散値を加法的秘密分散値に変換し、置換と再分散を繰り返すようなランダム置換方法において、入力をランダム化分散値に変換し、一回の置換が終了するたびにランダム化分散値を加法的秘密分散値から(k,n)-秘密分散値へ変換してチェックサムに含め、反復するすべての置換が終了した後に下記ステップＳ３６と同様の正当性証明を行う。なお、ランダム置換の中では任意のタイミングでチェックサムの取得と正当性証明を繰り返すことが可能である。このとき、ランダム化分散値の生成は少なくとも入力に対して一回行っていればよい。

ステップＳ３６において、正当性証明部３６は、すべての秘密分散についてすべての秘密計算が終了するまで待機する同期処理（SYNC）を実行する。すべての秘密分散についてすべての秘密計算が終了したことを検知すると、ランダム化部３２で用いた乱数r₀,…,r_J-1の分散値[r₀],…,[r_J-1]を用いてチェックサムC₀,…,C_J-1を検証し、秘密ソートの結果として得られる整列後バリュー列[σv^→]^Vの正当性を検証する。J個のチェックサムC₀,…,C_J-1すべてを検証した結果、改ざんがないと判定した場合は整列後バリュー列[σv^→]^Vを出力する。改ざんがあったと判断した場合はその旨を示す情報（例えば、「⊥」など）を出力する。

チェックサムの検証は、j=0,…,J-1について、チェックサムC_jに含まれるランダム化分散値のR成分の総和に分散値[r_j]を乗じた分散値[φ_j]と、チェックサムC_jに含まれるランダム化分散値のA成分の総和である分散値[ψ_j]とを計算し、分散値[φ_j]と分散値[ψ_j]を減算した分散値[δ_j]=[φ_j]-[ψ_j]を復元して、値δ₀,…,δ_J-1がすべて0であれば秘密ソート全体を通して改ざんがなかったものと判定する。いずれかの値δ_jが0以外であれば、秘密ソートのいずれかの演算において改ざんがあったものと判定する。

J個の秘密分散のうち同一の環上の秘密分散が存在する場合には、可能な限りまとめて正当性証明を行うと、公開される値の数が少なくなるため、より秘匿性を向上することができる。例えば、α（α=0,…,J-1）番目の秘密分散とβ（β=0,…,J-1、α≠β）番目の秘密分散が同一の環上の秘密分散である場合には、以下のように正当性証明を行う。まず、チェックサムC_αから上述のように算出した分散値[φ_α]と、チェックサムC_αから上述のように算出した分散値[ψ_α]とをそれぞれβ番目の秘密分散へ変換する。そして、変換後の分散値[φ_α]とチェックサムC_βから同様に算出した分散値[φ_β]とを合算した分散値[φ_α+φ_β]と、変換後の分散値[ψ_α]とβ番目のチェックサムC_βから同様に算出した分散値[ψ_β]とを合算した分散値[ψ_α+ψ_β]とを減算した分散値[δ]=([φ_α]+[φ_β])-([ψ_α]+[ψ_β])を復元し、復元値δが0であれば改ざんがなかったものと判定し、復元値δが0以外であれば改ざんがあったものと判定する。このようにして、すべての同一の環上の秘密分散の組み合わせについて検証し、秘密ソート全体で改ざんがなかったことを検証する。本形態では２個の秘密分散が同一の環上の秘密分散である例を説明したが、３個以上の秘密分散が同一の環上の秘密分散である場合でも、同様の方法により正当性証明を行うことができる。

本形態のように構成すれば、この発明の秘密ソートにおいて、改ざん検知が可能となり、安全性が向上する。

この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ−ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列するためのソート置換σπ^-1 _Lを生成する秘密計算方法であって、
置換データ生成部が、i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成ステップと、
ランダムＩＤ列生成部が、i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成ステップと、
秘密ランダム置換部が、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]を置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1を生成する秘密ランダム置換ステップと、
フラグ作成部が、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成ステップと、
順位表作成部が、フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成ステップと、
ソート置換生成部が、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1と整列後ランダムＩＤ列σ_Lr^→ _L-1とを等結合してソート置換σπ^-1 _Lを生成するソート置換生成ステップと、
を含む秘密計算方法。
Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列した整列後バリュー列[σv^→]^Vを生成する秘密計算方法であって、
置換データ生成部が、i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成ステップと、
ランダムＩＤ列生成部が、i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成ステップと、
秘密ランダム置換部が、i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]及びバリュー列[v^→]^Vの組を置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組を生成する秘密ランダム置換ステップと、
フラグ作成部が、j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成ステップと、
順位表作成部が、フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成ステップと、
整列部が、i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組と、整列後ランダムＩＤ列σ_Lr^→ _L-1とを、置換後ランダムＩＤ列π_Lr^→ _L-1をキーとして等結合して整列後バリュー列[σv^→]^Vを生成する整列ステップと、
を含む秘密計算方法。
請求項１に記載の秘密計算方法であって、
バリュー整列部が、バリュー列[v^→]を置換データ<π_L>により秘密ランダム置換して置換後バリュー列[π_Lv^→]を生成し、置換後バリュー列[π_Lv^→]をソート置換σπ^-1 _Lに基づいて整列して整列後バリュー列[σv^→]を生成するバリュー整列ステップ
をさらに含む秘密計算方法。
複数のソート装置を含み、Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列するためのソート置換σπ^-1 _Lを生成する秘密計算システムであって、
上記ソート装置は、
i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成部と、
i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成部と、
i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]を置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1を生成する秘密ランダム置換部と、
j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成部と、
フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成部と、
i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1と整列後ランダムＩＤ列σ_Lr^→ _L-1とを等結合してソート置換σπ^-1 _Lを生成するソート置換生成部と、
を含む秘密計算システム。
複数のソート装置を含み、Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列した整列後バリュー列[σv^→]を生成する秘密計算システムであって、
上記ソート装置は、
i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成部と、
i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成部と、
i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]及びバリュー列[v^→]^Vを置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vを生成する秘密ランダム置換部と、
j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成部と、
フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成部と、
i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組と、整列後ランダムＩＤ列σ_Lr^→ _L-1とを、置換後ランダムＩＤ列π_Lr^→ _L-1をキーとして等結合して整列後バリュー列[σv^→]^Vを生成する整列部と、
を含む秘密計算システム。
Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列するためのソート置換σπ^-1 _Lを生成するソート装置であって、
i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成部と、
i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成部と、
i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]を置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1を生成する秘密ランダム置換部と、
j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成部と、
フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成部と、
i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1と整列後ランダムＩＤ列σ_Lr^→ _L-1とを等結合してソート置換σπ^-1 _Lを生成するソート置換生成部と、
を含むソート装置。
Lビットのm個のキーk₀,…,k_m-1の列k^→の秘密分散値[k^→]及びm個のバリューv₀,…,v_m-1の列v^→の秘密分散値[v^→]の組を入力とし、バリュー列v^→を整列した整列後バリュー列[σv^→]^Vを生成するソート装置であって、
i=1,…,L-1について、置換データ<π_i>,<π’_i>を生成し、置換データ<π_L>を生成する置換データ生成部と、
i=1,…,L-1について、互いに重複した値を含まないランダムＩＤ列[r^→ _i]を生成し、互いに重複した値を含まないランダムＩＤ列[r^→ _L]を生成するランダムＩＤ列生成部と、
i=1,…,L-1について、ランダムＩＤ列[r^→ _i-1]、キー列[k^→ _i]及びランダムＩＤ列[r^→ _i]の組を置換データ<π_i>により秘密ランダム置換して置換後ランダムＩＤ列π_ir^→ _i-1、置換後キー列[π_ik^→ _i]及び置換後ランダムＩＤ列[π_ir^→ _i]の組を生成し、ランダムＩＤ列[r^→ _L-1]及びバリュー列[v^→]^Vを置換データ<π_L>により秘密ランダム置換して置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vを生成する秘密ランダム置換部と、
j=0,…,m-1及びh=0,…,L-1について、キー[k_j]=([k_j,0],…,[k_j,L-1])に対して、k_j=hであるか否かを判定してフラグ[f_j,h]を設定するフラグ作成部と、
フラグ[f_j,h]を用いてキーk₀,…,k_m-1それぞれの昇順の順位が設定された順位表[s^→:=(s₀,…,s_m-1)]を作成する順位表作成部と、
i=0,…,L-1について、ランダムＩＤ列[r^→ _i]を置換関数σ_iにより置換して置換後ランダムＩＤ列[σ_ir^→ _i]を生成し、順位表[s^→]及び置換後ランダムＩＤ列[σ_ir^→ _i]を置換データ<π’_i>により秘密ランダム置換して置換後順位表π’_is^→及び置換後ランダムＩＤ列π’_iσ_ir^→ _iを生成し、置換後順位表π’_is^→に基づいて置換後ランダムＩＤ列π’_iσ_ir^→ _iを整列して整列後ランダムＩＤ列σ_i+1r^→ _iを生成し、置換関数σ_i+1=s^→-1σ_iを設定し、i=0,…,L-2について、置換後ランダムＩＤ列π_i+1r^→ _i、置換後キー列[π_i+1k^→ _i+1]及び置換後ランダムＩＤ列[π_i+1r^→ _i+1]の組と、整列後ランダムＩＤ列σ_i+1r^→ _iとを、置換後ランダムＩＤ列π_i+1r^→ _iをキーとして等結合し、整列後ランダムＩＤ列σ_i+1r^→ _i、整列後キー列[σ_i+1k^→ _i+1]及び整列後ランダムＩＤ列[σ_i+1r^→ _i+1]の組を生成し、置換後ランダムＩＤ列π_Lr^→ _L-1及び置換後バリュー列[π_Lv^→]^Vの組と、整列後ランダムＩＤ列σ_Lr^→ _L-1とを、置換後ランダムＩＤ列π_Lr^→ _L-1をキーとして等結合して整列後バリュー列[σv^→]^Vを生成する整列部と、
を含むソート装置。
請求項６または７に記載のソート装置としてコンピュータを機能させるためのプログラム。