JP6059160B2 - シェア変換システム、シェア変換方法、プログラム - Google Patents

シェア変換システム、シェア変換方法、プログラム Download PDF

Info

Publication number
JP6059160B2
JP6059160B2 JP2014006164A JP2014006164A JP6059160B2 JP 6059160 B2 JP6059160 B2 JP 6059160B2 JP 2014006164 A JP2014006164 A JP 2014006164A JP 2014006164 A JP2014006164 A JP 2014006164A JP 6059160 B2 JP6059160 B2 JP 6059160B2
Authority
JP
Japan
Prior art keywords
share
plaintext
secret sharing
random number
conversion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014006164A
Other languages
English (en)
Other versions
JP2015135381A (ja
Inventor
亮 菊池
亮 菊池
千田 浩司
浩司 千田
大 五十嵐
大 五十嵐
浩気 濱田
浩気 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014006164A priority Critical patent/JP6059160B2/ja
Publication of JP2015135381A publication Critical patent/JP2015135381A/ja
Application granted granted Critical
Publication of JP6059160B2 publication Critical patent/JP6059160B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は安全に分散したデータの形式を、元の情報を復元することなく変換する技術に関する。
非特許文献1では、ある特定の計算量的安全な秘密分散方式(これを五十嵐方式と呼ぶ)を線型秘密分散のシェアに変形する方法を提案している。本技術において、登場人物は秘密分散を使って分散されたデータを保持するパーティPi(0≦i≦n-1)である。データaは秘密分散を用いてn個のシェアと呼ばれる断片([a]0,…,[a]n-1)に分割され、パーティPiがそれぞれ[a]iを持っている。秘密分散には多くの実現方法があり、本発明では非特許文献1で提案された計算量型(五十嵐方式)と線型秘密分散と呼ばれるものを扱う(定義は非特許文献2を参照)。これら2つの秘密分散方式は、互いに異なる特徴を持つ。五十嵐方式は分散する総データ量が小さく、線型秘密分散は秘密計算と呼ばれる応用が可能である。そのため、相互に変換できれば、その時々の状況によってどちらを使うか選択できる。この変換を実現するため、非特許文献3では、五十嵐方式から線型秘密分散への変換方法が開示されている。
五十嵐大、菊池亮、濱田浩気、千田浩司「マルチパーティ計算可能な秘密分散におけるデータ改ざん検知方法」、2013年暗号と情報セキュリティシンポジウム、プログラム3C3、暗号プロトコル(2)、平成25年1月 Ryo Kikuchi, Koji Chida, Dai Ikarashi, Koki Hamada, and Katsumi Takahashi. Secret sharing schemes with conversion protocol to achieve short share-size and extendibility to multiparty computation. In Colin Boyd and Leonie Simpson, editors, ACISP, Vol. 7959 of Lecture Notes in Computer Science, pp. 419-434. Springer, 2013. 五十嵐大、千田浩司、濱田浩気、菊池亮、「非常に高効率な n≧2k-1 maliciousモデル上秘密分散ベースマルチパーティ計算の構成法」、2013年暗号と情報セキュリティシンポジウム、プログラム3C3、暗号プロトコル(2)、平成25年1月
非特許文献3には、五十嵐方式から線型秘密分散への変換方法のみが開示されており、線型秘密分散から五十嵐方式への変換は示されていない。そこで本発明では、線型秘密分散から五十嵐方式にシェアを変換することができるシェア変換システムを提供することを目的とする。
本発明のシェア変換システムは、nを装置の台数とし、kを復元しきい値とし、tを安全しきい値とし、n台の装置のうち任意のn−k+1台の装置の集合の中に必ず1台以上含まれるm台のシェア変換分散装置と、n−m台のシェア変換装置からなる。
シェア変換分散装置は、線形秘密分散の平文のシェアを入力とする。シェア変換分散装置は、初期シード選択部と、初期シード送信部と、変換用シード生成部と、疑似乱数生成部と、線形秘密分散疑似乱数シェア生成部と、第1線形秘密分散疑似乱数シェア送信部と、第2線形秘密分散疑似乱数シェア送信部と、コンシステンシー復元結果検証部と、被マスク平文線形シェア生成部と、被マスク平文線形シェア復元部と、被マスク平文分割部と、五十嵐型平文シェア生成部とを含む。
初期シード選択部は、不正な装置の候補である不正装置候補のインデクスt個を不正装置候補集合とし、当該不正装置候補集合が個含まれる集合から、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、シード空間から初期シードを選択する。初期シード送信部は、初期シードを、当該初期シードに対応する不正装置候補集合に含まれない装置に送信する。変換用シード生成部は、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、不正装置候補集合に含まれない装置が生成した初期シードを足し合わせて変換用シードを生成する。疑似乱数生成部は、疑似乱数生成器を用いて、変換用シードを疑似乱数に変換する。線形秘密分散疑似乱数シェア生成部は、疑似乱数に、線形秘密分散のシェアを生成するアルゴリズムを実行して、線形秘密分散の疑似乱数のシェアを生成する。第1線形秘密分散疑似乱数シェア送信部は、線形秘密分散の疑似乱数のシェアを他の装置に送信する。第2線形秘密分散疑似乱数シェア送信部は、全ての不正装置候補集合について、線形秘密分散の疑似乱数のシェアを不正装置候補集合に含まれない装置であって、対応する装置に送信する。コンシステンシー復元結果検証部は、線形秘密分散の疑似乱数のシェアのコンシステンシーを検証し、受信した線形秘密分散の疑似乱数のシェアを復元し、検証が失敗であった場合、または復元の結果が自身が生成した対応する疑似乱数と等しくなかった場合にリジェクトシンボルを出力して処理を停止し、それ以外の場合にサクセスシンボルを他の装置に送信する。被マスク平文線形シェア生成部は、サクセスシンボルをn−1個受信した場合に、線形秘密分散の平文のシェアから線形秘密分散の疑似乱数のシェアを差し引いて、乱数でマスクされた平文の線形秘密分散のシェアを生成する。被マスク平文線形シェア復元部は、乱数でマスクされた平文の線形秘密分散のシェアを復元するプロトコルを実行して乱数でマスクされた平文を取得する。被マスク平文分割部は、乱数でマスクされた平文に情報伝播アルゴリズムを実行して、乱数でマスクされた平文のn個の分割値を取得する。五十嵐型平文シェア生成部は、自装置を含まない不正装置候補集合に対応する変換用シードと、自装置に対応する分割値とからなる組を五十嵐型の平文のシェアとして生成して出力する。シェア変換装置は、線形秘密分散の平文のシェアを入力とする。
シェア変換装置は、初期シード選択部と、初期シード送信部と、変換用シード生成部と、疑似乱数生成部と、第2線形秘密分散疑似乱数シェア送信部と、コンシステンシー復元結果検証部と、被マスク平文線形シェア生成部と、被マスク平文線形シェア復元部と、被マスク平文分割部と、五十嵐型平文シェア生成部とを含む。
本発明のシェア変換システムによれば、線型秘密分散から五十嵐方式にシェアを変換することができる。
本発明の実施例1のシェア変換システムの概要を示すブロック図。 本発明の実施例1のシェア変換分散装置の構成を示すブロック図。 本発明の実施例1のシェア変換分散装置の動作を示すフローチャート。 本発明の実施例1のシェア変換装置の構成を示すブロック図。 本発明の実施例1のシェア変換装置の動作を示すフローチャート。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
≪アルゴリズム、プロトコル≫
以下、本発明で用いられるアルゴリズム、プロトコルについて説明する。本明細書では、通信手順を含まない一連の動作をアルゴリズム、通信手順を含む一連の動作をプロトコルと呼ぶ。秘密分散のパラメータとしてデータがn個のシェアに分割され、任意のk個のシェアを集めることで復元が可能であり、t台までのパーティの結託に対し安全であるとする。kを復元しきい値、tを安全しきい値とも呼ぶ。この3変数の間にはt<k≦nが成り立つ。特に本発明で扱う秘密分散は全てk=t+1であるため、以後kは適宜省略する。
五十嵐方式(t,n)-Comp2は以下の2つのアルゴリズムの組である。ただし、φは疑似乱数生成器、
Figure 0006059160
は疑似乱数生成器のシードの空間、
Figure 0006059160
を任意の群、IDA=(IDA.Split,IDA.Recは(t,n)-IDA(詳細は参考非特許文献1参照)、
Figure 0006059160
は{0,…,n}からt個取り出した組み合わせである。なお、
Figure 0006059160
である。
(参考非特許文献1:Michael O. Rabin. Efficient dispersal of information for security, load balancing, and fault tolerance. Journal of the ACM, Vol. 36, No. 2, pp. 335-348, 1989.)
<Comp2.Shareアルゴリズム>
平文
Figure 0006059160
を入力とし、疑似乱数生成器のシードの空間から初期シード
Figure 0006059160
を選び、
Figure 0006059160
について疑似乱数ti=φ(si)を計算し、乱数でマスクされた平文
Figure 0006059160
とし、乱数でマスクされた平文の分割値
Figure 0006059160
を計算し(ただしIDA.Splitは情報伝播アルゴリズム)、0≦i≦n-1について、五十嵐型の平文のシェア
Figure 0006059160
として[a]Compを出力する。
<Comp2.Recアルゴリズム>
Comp2.Recアルゴリズムでは、任意のt個の五十嵐型の平文のシェアである
Figure 0006059160
を入力とし、
Figure 0006059160
について、
Figure 0006059160
であるような、
Figure 0006059160
を選び、疑似乱数tj=φ(sj)を計算し、乱数でマスクされた平文の分割値から乱数でマスクされた平文
Figure 0006059160
を計算し(ただしIDA.Recは分割値復元アルゴリズム)、平文
Figure 0006059160
を出力する。(t,n)-Comp2はt人の結託に対して計算量的安全である。
線型秘密分散は2つのアルゴリズム(Lin.Share,Lin.Rec)の組であり、復元が線形式で記述可能な秘密分散のことである。特に本明細書では閾値を持つような線形秘密分散であり、(t,n)-Linearとかく。線型秘密分散であれば、任意のデータa、任意の
Figure 0006059160
であるようなパーティのインデクス集合
Figure 0006059160
について、線形秘密分散の復元係数と任意のデータaの線形秘密分散のシェアの線形結合がaと等しくなる、つまり
Figure 0006059160
であるような公知の線形秘密分散の復元係数
Figure 0006059160
が存在する。特に区別するとき、(t,n)-Comp2および(t,n)-Linearのシェアをそれぞれ[a]Comp2,[a]Linと書く。
<SeedRandアルゴリズム>
SeedRandアルゴリズムとは、入力(s0,…,sk)のうち一つでもランダムな要素があれば、出力もランダムになるようなものである。例えば、siがビット列である場合は、
Figure 0006059160
を排他的論理和とし、
Figure 0006059160
で良いし、siが0からn-1までの整数の集合である
Figure 0006059160
の値であったら、Σisi mod nで良い。ただしmod nとはnで割った際の剰余をあらわす。
<CheckConsistencyアルゴリズム>
本発明で用いられるCheckConsistencyアルゴリズムとはコンシステンシー(consistency)と呼ばれる「n個のシェアのうちどのk個のシェアを用いても同じ値が復元される」性質が満たされているかチェックするものであり、例えばn個のシェアのうち全てのk個のシェアの組に対して復元を行い、同じ値が復元されるかどうかチェックするという方法がある。また、(t,n)-Linearであれば後述するalgorithm2でもCheckConsistencyが可能である。
<RevealProtocol、Revealプロトコル>
RevealProtocolは復元できるプロトコルであればよく、単純には全員に全員のシェアを渡し、各人がCheckConsistencyを行ったあと復元するという方法で実現できる。
以下、図1を参照して実施例1のシェア変換システムの概要について説明する。図1は本実施例のシェア変換システム1の概要を示すブロック図である。図1に示すように、本実施例のシェア変換システム1は、nを装置の台数とし、kを復元しきい値とし、tを安全しきい値とし、n台の装置のうち任意のn−k+1台の装置の集合の中に必ず1台以上含まれるm台のシェア変換分散装置13−1,13−2,…,13−mと、n−m台のシェア変換装置14−1,14−2,…,14−(n−m)からなる。m台のシェア変換分散装置13−1,13−2,…,13−mと、n−m台のシェア変換装置14−1,14−2,…,14−(n−m)は、NW9を介して通信可能に接続されている。m台のシェア変換分散装置13−1,13−2,…,13−mは全て同じ機能を備えるため、これらの代表として、シェア変換検証装置13について述べる。同様に、n−m台のシェア変換装置14−1,14−2,…,14−(n−m)は全て同じ機能を備えるため、これらの代表として、シェア変換装置14について述べる。
以下、図2、図3を参照してシェア変換分散装置について説明する。図2は、本実施例のシェア変換分散装置13の構成を示すブロック図である。図3は、本実施例のシェア変換分散装置13の動作を示すフローチャートである。
シェア変換分散装置13は、線形秘密分散の平文のシェアを入力とする。図2に示すように、シェア変換分散装置13は、初期シード選択部131と、初期シード送信部132と、変換用シード生成部133と、疑似乱数生成部134と、線形秘密分散疑似乱数シェア生成部135と、第1線形秘密分散疑似乱数シェア送信部136と、第2線形秘密分散疑似乱数シェア送信部137と、コンシステンシー復元結果検証部138と、被マスク平文線形シェア生成部139と、被マスク平文線形シェア復元部13Aと、被マスク平文分割部13Bと、五十嵐型平文シェア生成部13Cとを含む。なお、シェア変換分散装置13が実行する一連の通信手順(プロトコル)をprotocol1と呼ぶ。
初期シード選択部131は、不正な装置の候補である不正装置候補のインデクスt個を不正装置候補集合
Figure 0006059160
とし、当該不正装置候補集合が個含まれる集合
Figure 0006059160
から、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、シード空間から初期シードを選択する(S131)。自装置のインデクスを含まないように選択された不正装置候補集合は、
Figure 0006059160
と表せるため、ステップS131は以下のように表される。
Figure 0006059160
なお、
Figure 0006059160
は、シード空間
Figure 0006059160
は、初期シードである。s.t.はsuch thatの略である。初期シード送信部132は、初期シードを、当該初期シードに対応する不正装置候補集合に含まれない装置に送信する(S132)。lを不正装置候補集合に含まれない装置のインデクスとし、i番目のインデクスに該当する装置をPiと表すこととすると、ステップS132は以下のように表される。
Figure 0006059160
変換用シード生成部133は、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、不正装置候補集合に含まれない装置が生成した初期シードを足し合わせて(SeedRandアルゴリズム)変換用シードを生成する(S133)。つまり、ステップS133は、
Figure 0006059160
と表される。疑似乱数生成部134は、疑似乱数生成器を用いて、変換用シードを疑似乱数に変換する(S134)。つまり、
Figure 0006059160
である。線形秘密分散疑似乱数シェア生成部135は、疑似乱数に、線形秘密分散のシェアを生成するLin.Shareアルゴリズムを実行して、線形秘密分散の疑似乱数のシェアを生成する(S135)。つまり、
Figure 0006059160
である。第1線形秘密分散疑似乱数シェア送信部136は、線形秘密分散の疑似乱数のシェアを他の装置に送信する(S136)。インデクスl=0,1,…,n-1(他の全ての装置)とし、ステップS136は、
Figure 0006059160
と表される。第2線形秘密分散疑似乱数シェア送信部137は、全ての不正装置候補集合について、線形秘密分散の疑似乱数のシェアを不正装置候補集合に含まれない装置であって、対応する装置に送信する(S137)。つまり、ステップS137は、
Figure 0006059160
と表すことができる。コンシステンシー復元結果検証部138は、線形秘密分散の疑似乱数のシェアのコンシステンシーを検証し(CheckConsistencyアルゴリズム、例えば後述するalgorithm2)、受信した線形秘密分散の疑似乱数のシェアを復元し(Lin.Recアルゴリズム)、検証が失敗であった場合(if false=CheckConsistency([tj]Lin))、または復元の結果が自身が生成した対応する疑似乱数と等しくなかった場合(tj≠lin.Rec([tj]Lin))にリジェクトシンボル(┴)を出力して処理を停止し、それ以外の場合にサクセスシンボル(success)を他の装置に送信する(S138)。すなわち、ステップS138は、
Figure 0006059160
と表される。被マスク平文線形シェア生成部139は、サクセスシンボルをn−1個受信した場合に(サクセスシンボルをn−1個受信するまで処理を一時停止し)、線形秘密分散の平文のシェアから線形秘密分散の疑似乱数のシェアを差し引いて、乱数でマスクされた平文の線形秘密分散のシェアを生成する(S139)。すなわち、ステップS139は、
Figure 0006059160
と表すことができる。なお、
Figure 0006059160
は、乱数でマスクされた平文の線形秘密分散のシェアである。被マスク平文線形シェア復元部13Aは、乱数でマスクされた平文の線形秘密分散のシェアを復元するプロトコル(RevealProtocol)を実行して乱数でマスクされた平文を取得する(S13A)。すなわち、ステップS13Aは、
Figure 0006059160
と表される。被マスク平文分割部13Bは、乱数でマスクされた平文に情報伝播アルゴリズム(IDA.Split)を実行して、乱数でマスクされた平文のn個の分割値
Figure 0006059160
を取得する(S13B)。五十嵐型平文シェア生成部13Cは、自装置を含まない不正装置候補集合に対応する変換用シード
Figure 0006059160
と、自装置に対応する分割値
Figure 0006059160
とからなる組を五十嵐型の平文のシェアとして生成して出力する(S13C)。すなわち、ステップS13Cは、
Figure 0006059160
と表される。シェア変換分散装置13は、五十嵐型の平文のシェア
Figure 0006059160
を出力する。
<algorithm2:CheckConsistency for (t,n)-Linear>
以下、線形秘密分散のシェアのコンシステンシーを検証するalgorithm2について説明する。algorithm2は、前述のステップS138において、コンシステンシー復元結果検証部138が実行するアルゴリズムである。このアルゴリズムでは、任意のn個の線形秘密分散の平文のシェア
Figure 0006059160
を入力とし、true信号、またはfalse信号を出力する。具体的には、パラメータ用のインデクスの集合が
Figure 0006059160
かつ
Figure 0006059160
であるものとし、
Vに含まれるインデクスlを選び,
検証用インデクスの集合を
Figure 0006059160
とし、インデクスの集合Vに含まれない各iについて、
Figure 0006059160
である場合には、false信号を出力し、そうでなければtrue信号を出力する。
以下、図4、図5を参照してシェア変換装置について説明する。図4は、本実施例のシェア変換装置14の構成を示すブロック図である。図5は、本実施例のシェア変換装置14の動作を示すフローチャートである。
シェア変換装置14は、線形秘密分散の平文のシェアを入力とする。シェア変換装置14は、初期シード選択部131と、初期シード送信部132と、変換用シード生成部133と、疑似乱数生成部134と、第2線形秘密分散疑似乱数シェア送信部137と、コンシステンシー復元結果検証部138と、被マスク平文線形シェア生成部139と、被マスク平文線形シェア復元部13Aと、被マスク平文分割部13Bと、五十嵐型平文シェア生成部13Cとを含む。シェア変換装置14が備える各構成要件は、シェア変換分散装置13において同一番号を付した各構成要件と同じ動作をするため、これらの説明は略する。
本実施例のシェア変換システム1によれば、線型秘密分散から五十嵐方式にシェアを変換することができる。これにより、従来技術の五十嵐方式から線型秘密分散への変換方法と組み合わせることで、互いに利点・欠点がある2つの秘密分散を相互に変換することが可能となり、場合によって使い分けることができるようになる。例えば、秘密計算において、分散時は総データ量が小さい五十嵐型を用いストレージコストを抑えておきながら、秘密計算を行う際にのみ秘密計算に拡張可能な線型秘密分散に変更することや、秘密計算に用いたデータをバックアップする際に、総データ量の大きい線型秘密分散から、総データ量の小さい五十嵐型秘密分散に変換することができる。すなわち、秘密計算への拡張性を持たせつつ保持するデータ量を削減することが可能となる。本発明のポイントは、攻撃者がk−1人(台)しかいないため、k人(台)の攻撃者が同じ動作を実行して、正しく結果が一致していることを確認することで、攻撃者が不正をしたときにチェックできるように構成した点にある。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (4)

  1. nを装置の台数とし、kを復元しきい値とし、tを安全しきい値とし、n台の装置のうち任意のn−k+1台の装置の集合の中に必ず1台以上含まれるm台のシェア変換分散装置と、n−m台のシェア変換装置からなるシェア変換システムであって、
    前記シェア変換分散装置は、
    線形秘密分散の平文のシェアを入力とし、
    不正な装置の候補である不正装置候補のインデクスt個を不正装置候補集合とし、当該不正装置候補集合が個含まれる集合から、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、シード空間から初期シードを選択する初期シード選択部と、
    前記初期シードを、当該初期シードに対応する不正装置候補集合に含まれない装置に送信する初期シード送信部と、
    自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、不正装置候補集合に含まれない装置が生成した初期シードを足し合わせて変換用シードを生成する変換用シード生成部と、
    疑似乱数生成器を用いて、前記変換用シードを疑似乱数に変換する疑似乱数生成部と、
    前記疑似乱数に、線形秘密分散のシェアを生成するアルゴリズムを実行して、線形秘密分散の疑似乱数のシェアを生成する線形秘密分散疑似乱数シェア生成部と、
    前記線形秘密分散の疑似乱数のシェアを他の装置に送信する第1線形秘密分散疑似乱数シェア送信部と、
    全ての前記不正装置候補集合について、前記線形秘密分散の疑似乱数のシェアを不正装置候補集合に含まれない装置であって、対応する装置に送信する第2線形秘密分散疑似乱数シェア送信部と、
    前記線形秘密分散の疑似乱数のシェアのコンシステンシーを検証し、受信した前記線形秘密分散の疑似乱数のシェアを復元し、前記検証が失敗であった場合、または前記復元の結果が自身が生成した対応する疑似乱数と等しくなかった場合にリジェクトシンボルを出力して処理を停止し、それ以外の場合にサクセスシンボルを他の装置に送信するコンシステンシー復元結果検証部と、
    前記サクセスシンボルをn−1個受信した場合に、前記線形秘密分散の平文のシェアから前記線形秘密分散の疑似乱数のシェアを差し引いて、乱数でマスクされた平文の線形秘密分散のシェアを生成する被マスク平文線形シェア生成部と、
    前記乱数でマスクされた平文の線形秘密分散のシェアを復元するプロトコルを実行して乱数でマスクされた平文を取得する被マスク平文線形シェア復元部と、
    前記乱数でマスクされた平文に情報伝播アルゴリズムを実行して、前記乱数でマスクされた平文のn個の分割値を取得する被マスク平文分割部と、
    自装置を含まない不正装置候補集合に対応する前記変換用シードと、自装置に対応する前記分割値とからなる組を五十嵐型の平文のシェアとして生成して出力する五十嵐型平文シェア生成部とを含み、
    前記シェア変換装置は、
    線形秘密分散の平文のシェアを入力とし、
    前記初期シード選択部と、前記初期シード送信部と、前記変換用シード生成部と、前記疑似乱数生成部と、前記第2線形秘密分散疑似乱数シェア送信部と、前記コンシステンシー復元結果検証部と、前記被マスク平文線形シェア生成部と、前記被マスク平文線形シェア復元部と、前記被マスク平文分割部と、前記五十嵐型平文シェア生成部とを含む
    シェア変換システム。
  2. nを装置の台数とし、kを復元しきい値とし、tを安全しきい値とし、n台の装置のうち任意のn−k+1台の装置の集合の中に必ず1台以上含まれるm台のシェア変換分散装置と、n−m台のシェア変換装置が実行するシェア変換方法であって、
    前記シェア変換分散装置は、
    線形秘密分散の平文のシェアを入力とし、
    不正な装置の候補である不正装置候補のインデクスt個を不正装置候補集合とし、当該不正装置候補集合が個含まれる集合から、自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、シード空間から初期シードを選択する初期シード選択ステップと、
    前記初期シードを、当該初期シードに対応する不正装置候補集合に含まれない装置に送信する初期シード送信ステップと、
    自装置のインデクスを含まないように選択された不正装置候補集合それぞれについて、不正装置候補集合に含まれない装置が生成した初期シードを足し合わせて変換用シードを生成する変換用シード生成ステップと、
    疑似乱数生成器を用いて、前記変換用シードを疑似乱数に変換する疑似乱数生成ステップと、
    前記疑似乱数に、線形秘密分散のシェアを生成するアルゴリズムを実行して、線形秘密分散の疑似乱数のシェアを生成する線形秘密分散疑似乱数シェア生成ステップと、
    前記線形秘密分散の疑似乱数のシェアを他の装置に送信する第1線形秘密分散疑似乱数シェア送信ステップと、
    全ての前記不正装置候補集合について、前記線形秘密分散の疑似乱数のシェアを不正装置候補集合に含まれない装置であって、対応する装置に送信する第2線形秘密分散疑似乱数シェア送信ステップと、
    前記線形秘密分散の疑似乱数のシェアのコンシステンシーを検証し、受信した前記線形秘密分散の疑似乱数のシェアを復元し、前記検証が失敗であった場合、または前記復元の結果が自身が生成した対応する疑似乱数と等しくなかった場合にリジェクトシンボルを出力して処理を停止し、それ以外の場合にサクセスシンボルを他の装置に送信するコンシステンシー復元結果検証ステップと、
    前記サクセスシンボルをn−1個受信した場合に、前記線形秘密分散の平文のシェアから前記線形秘密分散の疑似乱数のシェアを差し引いて、乱数でマスクされた平文の線形秘密分散のシェアを生成する被マスク平文線形シェア生成ステップと、
    前記乱数でマスクされた平文の線形秘密分散のシェアを復元するプロトコルを実行して乱数でマスクされた平文を取得する被マスク平文線形シェア復元ステップと、
    前記乱数でマスクされた平文に情報伝播アルゴリズムを実行して、前記乱数でマスクされた平文のn個の分割値を取得する被マスク平文分割ステップと、
    自装置を含まない不正装置候補集合に対応する前記変換用シードと、自装置に対応する前記分割値とからなる組を五十嵐型の平文のシェアとして生成して出力する五十嵐型平文シェア生成ステップとを実行し、
    前記シェア変換装置は、
    線形秘密分散の平文のシェアを入力とし、
    前記初期シード選択ステップと、前記初期シード送信ステップと、前記変換用シード生成ステップと、前記疑似乱数生成ステップと、前記第2線形秘密分散疑似乱数シェア送信ステップと、前記コンシステンシー復元結果検証ステップと、前記被マスク平文線形シェア生成ステップと、前記被マスク平文線形シェア復元ステップと、前記被マスク平文分割ステップと、前記五十嵐型平文シェア生成ステップとを実行する
    シェア変換方法。
  3. コンピュータを、請求項1に記載のシェア変換システムに含まれるシェア変換分散装置として機能させるためのプログラム。
  4. コンピュータを、請求項1に記載のシェア変換システムに含まれるシェア変換装置として機能させるためのプログラム。
JP2014006164A 2014-01-16 2014-01-16 シェア変換システム、シェア変換方法、プログラム Active JP6059160B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014006164A JP6059160B2 (ja) 2014-01-16 2014-01-16 シェア変換システム、シェア変換方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014006164A JP6059160B2 (ja) 2014-01-16 2014-01-16 シェア変換システム、シェア変換方法、プログラム

Publications (2)

Publication Number Publication Date
JP2015135381A JP2015135381A (ja) 2015-07-27
JP6059160B2 true JP6059160B2 (ja) 2017-01-11

Family

ID=53767263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014006164A Active JP6059160B2 (ja) 2014-01-16 2014-01-16 シェア変換システム、シェア変換方法、プログラム

Country Status (1)

Country Link
JP (1) JP6059160B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6447870B2 (ja) * 2015-03-20 2019-01-09 日本電気株式会社 秘密情報分散システム、情報処理装置および情報処理プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5683503B2 (ja) * 2012-01-06 2015-03-11 日本電信電話株式会社 データ分散装置、分散データ変換装置及びデータ復元装置
JP5458116B2 (ja) * 2012-01-06 2014-04-02 日本電信電話株式会社 データ分散装置、分散データ変換装置、データ復元装置
CN104429019B (zh) * 2012-07-05 2017-06-20 日本电信电话株式会社 秘密分散系统、数据分散装置、分散数据变换装置以及秘密分散方法
CN104412539B (zh) * 2012-07-05 2017-05-24 日本电信电话株式会社 秘密分散系统、数据分散装置、分散数据变换装置、以及秘密分散方法

Also Published As

Publication number Publication date
JP2015135381A (ja) 2015-07-27

Similar Documents

Publication Publication Date Title
US9860058B2 (en) Secret computation system, arithmetic unit, secret computation method and program
US10083314B2 (en) Secret parallel processing device, secret parallel processing method, and program
JP5957095B2 (ja) 改ざん検知装置、改ざん検知方法、およびプログラム
KR20120127607A (ko) 암호화 키를 획득하기 위한 디바이스 및 방법
JP5609892B2 (ja) 検証装置、秘密情報復元装置、検証方法、プログラム、及び秘密分散システム
JP2013048351A (ja) 署名検証装置、署名検証方法、プログラム、及び記録媒体
CN111342963A (zh) 数据上链方法、数据存储方法及装置
CN110289968A (zh) 私钥恢复、协同地址的创建、签名方法及装置、存储介质
CN107851169B (zh) 计算系统、计算装置、其方法及记录介质
WO2016104476A1 (ja) 秘密改ざん検知システム、秘密計算装置、秘密改ざん検知方法、およびプログラム
JP5944841B2 (ja) 秘密分散システム、データ分散装置、分散データ保有装置、秘密分散方法、およびプログラム
EP2795833B1 (fr) Procede d&#39;authentification entre un lecteur et une etiquette radio
CN110169010A (zh) 同态运算装置、加密系统和同态运算程序
JP6053238B2 (ja) 秘密改ざん検知システム、秘密計算装置、秘密改ざん検知方法、およびプログラム
JP5972181B2 (ja) 改ざん検知装置、改ざん検知方法、およびプログラム
WO2018216512A1 (ja) 秘密改ざん検知システム、秘密改ざん検知装置、秘密改ざん検知方法、およびプログラム
JP6059159B2 (ja) シェア変換システム、シェア変換方法、プログラム
CN113132078B (zh) 一种基于同态承诺的区块链隐私保护方法及区块链系统
JP6059160B2 (ja) シェア変換システム、シェア変換方法、プログラム
US10116439B2 (en) Encrypted data computation system, device, and program
WO2013153628A1 (ja) 演算処理システムおよび演算結果認証方法
JP6818220B2 (ja) 鍵共有装置、鍵共有方法及び鍵共有プログラム
CN110941745A (zh) 电子合同管理方法、装置、存储介质及电子设备
KR101591323B1 (ko) 데이터 전송이 가능한 단말 장치 및 상기 데이터 전송이 가능한 단말 장치의 부인 방지를 위한 데이터 전송 방법
JP6059162B2 (ja) シェア復元システム、シェア復元装置、シェア復元方法、プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161208

R150 Certificate of patent or registration of utility model

Ref document number: 6059160

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150