JP6108970B2 - データ再生成装置、データ再生成方法およびプログラム - Google Patents
データ再生成装置、データ再生成方法およびプログラム Download PDFInfo
- Publication number
- JP6108970B2 JP6108970B2 JP2013122047A JP2013122047A JP6108970B2 JP 6108970 B2 JP6108970 B2 JP 6108970B2 JP 2013122047 A JP2013122047 A JP 2013122047A JP 2013122047 A JP2013122047 A JP 2013122047A JP 6108970 B2 JP6108970 B2 JP 6108970B2
- Authority
- JP
- Japan
- Prior art keywords
- share
- data
- exclusive
- secret
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011069 regeneration method Methods 0.000 title claims description 45
- 230000008929 regeneration Effects 0.000 title claims description 34
- 238000000034 method Methods 0.000 claims description 70
- 230000008569 process Effects 0.000 claims description 48
- 230000001172 regenerating effect Effects 0.000 claims description 28
- 239000011159 matrix material Substances 0.000 claims description 23
- 238000012545 processing Methods 0.000 description 73
- 238000013500 data storage Methods 0.000 description 17
- 238000004364 calculation method Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 13
- 230000001010 compromised effect Effects 0.000 description 5
- 238000011084 recovery Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000006185 dispersion Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010130 dispersion processing Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
Images
Description
本発明は、データ再生成装置、データ再生成方法およびプログラムに関する。
情報の電子化が進展し、電子データを長期かつ安全に保管することが重要になっている。暗号や電子署名を用いると、これらの安全性は第三者が暗号鍵あるいは署名鍵を解読する計算の困難さに基づくので(計算量的安全性)、時間とともにコンピュータの性能が向上してアルゴリズムが危殆化する。そのため、機器の障害や災害に備えてバックアップを用意するコストに加えて、新たなアルゴリズムで暗号化や電子署名をやり直すなどのコストを要する。
上記のような計算量的安全性とは異なる情報量的安全性を有するものとして、秘密分散法がある。(k,n)しきい値秘密分散法は、秘密情報をn個の分散情報(以下、シェア)に分散し、n個のシェアの中から任意のk個を組み合わせれば、元の秘密情報が復元できるが、k−1個以下のシェアの組み合わせからでは、元の秘密情報に関する情報が全く得られない、というものである。この安全性はコンピュータの性能向上によっては影響されないので、電子データを長期かつ安全に保管することができる。
例えば、(2,3)しきい値秘密分散法を用いた場合、3個のシェアのうちいずれか1個が消失すると、それ以上のシェア消失は秘密情報の復元を不可能にするので、3個のシェアが存在する状態を早急に回復する必要がある。このような場合、2個のシェアから秘密情報を復元して、任意のシェアを生成することが可能であるが、秘密情報が一時的に現われることになり、機密性が損なわれる。
本発明は、上記に鑑みてなされたもので、その目的とするところは、秘密分散されたシェアを、秘密情報が復元されることなく再生成するデータ再生成装置、データ再生成方法およびプログラムを提供することにある。
上記目的を達成するため、本発明は、秘密分散されたシェアを再生成するデータ再生成装置であって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成し、シェアD i (i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS 1 、S 2 と、乱数Rを2個に区分した乱数部分データR 1 、R 2 とを用いて、
によって生成され、シェアD p が消失した場合、シェアD i (i≠p)を2個に区分したシェア部分データD i,1 、D i,2 を用いて、
によって再生成する、ことを特徴とするデータ再生成装置を提供する。
さらに、本発明は、秘密分散されたシェアを再生成するデータ再生成装置であって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成し、シェアD
i
(i=1〜n,n≧3)を区分したシェア部分データD
i,j
(i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、D
n,j
(j=1〜n−1)は乱数部分データで構成され、シェアD
p
が消失した場合、p≠nのとき、j=1〜n−1の各jについてD
p,j
をD
i,j
(i≠p,i≠n)とD
n,q
(q≠j)との排他的論理和によって再生成し、p=nのとき、j=1〜n−1の各jについてD
p,j
をD
i,q
(i≠n,q≠j)とD
r,q
(r≠n,r≠i)との排他的論理和によって再生成する、ことを特徴とするデータ再生成装置を提供する。
また、本発明では、シェア部分データD
i,j
は、秘密情報をn−1個に区分した秘密部分データS
j
(j=1〜n−1)と、乱数をn−1個に区分した乱数部分データR
k
(k=1〜n−1)とを用いて、i=1〜n−1,j=1〜n−1の各i,jについてD
i,j
が、第m列(m=1〜n−i)の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、S
j
との排他的論理和で構成され、j=1〜n−1の各jについてD
n,j
がR
j
で構成され、シェアD
p
が消失した場合、p=1のとき、j=1〜n−1の各jについてD
1,j
を、第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D
2,j
との排他的論理和によって再生成し、1<p<n−1のとき、j=1〜n−1の各jについてD
p,j
を、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D
p+1,j
との排他的論理和によって再生成するか、または、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D
p−1,j
との排他的論理和によって再生成し、p=n−1のとき、j=1〜n−1の各jについてD
n−1,j
を、第2列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D
n−2,j
との排他的論理和によって再生成し、p=nのとき、j=1〜n−1の各jについて第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応するD
n
のシェア部分データを、D
1,j
とD
2,j
との排他的論理和によって再生成する、ことを特徴とする。
さらに、本発明は、データ再生成装置により実行される、秘密分散されたシェアを再生成するデータ再生成方法であって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成するステップを有し、シェアD
i
(i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS
1
、S
2
と、乱数Rを2個に区分した乱数部分データR
1
、R
2
とを用いて、上記式1によって生成され、シェアD
p
が消失した場合、シェアD
i
(i≠p)を2個に区分したシェア部分データD
i,1
、D
i,2
を用いて、上記式2によって再生成する、ことを特徴とするデータ再生成方法を提供する。
さらに、本発明は、データ再生成装置により実行される、秘密分散されたシェアを再生成するデータ再生成方法であって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成するステップを有し、シェアD
i
(i=1〜n,n≧3)を区分したシェア部分データD
i,j
(i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、D
n,j
(j=1〜n−1)は乱数部分データで構成され、シェアD
p
が消失した場合、p≠nのとき、j=1〜n−1の各jについてD
p,j
をD
i,j
(i≠p,i≠n)とD
n,q
(q≠j)との排他的論理和によって再生成し、p=nのとき、j=1〜n−1の各jについてD
p,j
をD
i,q
(i≠n,q≠j)とD
r,q
(r≠n,r≠i)との排他的論理和によって再生成する、ことを特徴とするデータ再生成方法を提供する。
さらに、本発明は、秘密分散されたシェアを再生成するためのプログラムであって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成する処理をコンピュータに実行させ、シェアD
i
(i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS
1
、S
2
と、乱数Rを2個に区分した乱数部分データR
1
、R
2
とを用いて、上記式1によって生成され、シェアD
p
が消失した場合、シェアD
i
(i≠p)を2個に区分したシェア部分データD
i,1
、D
i,2
を用いて、上記式2によって再生成する、ことを特徴とするプログラムを提供する。
さらに、本発明は、秘密分散されたシェアを再生成するためのプログラムであって、シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、前記シェアのうち、あるシェアが消失した場合、消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成する処理をコンピュータに実行させ、シェアD
i
(i=1〜n,n≧3)を区分したシェア部分データD
i,j
(i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、D
n,j
(j=1〜n−1)は乱数部分データで構成され、シェアD
p
が消失した場合、p≠nのとき、j=1〜n−1の各jについてD
p,j
をD
i,j
(i≠p,i≠n)とD
n,q
(q≠j)との排他的論理和によって再生成し、p=nのとき、j=1〜n−1の各jについてD
p,j
をD
i,q
(i≠n,q≠j)とD
r,q
(r≠n,r≠i)との排他的論理和によって再生成する、ことを特徴とするプログラムを提供する。
本発明では、消失したシェアを残りのシェアから直接かつ高速に再生成することができ、処理中に秘密情報が復元されることはない。
以下、図面を参照して本発明の実施形態を説明する。図1は、本発明の一実施形態によるシステムの構成図である。本システムは、データ処理装置10、データ保管装置31、32、33、これらを接続する回線21、22、23を備える。図1は、秘密情報Sから3個のシェアを生成し、3つのデータ保管装置に保管する場合を示す。災害対策のためには、生成されたシェアを異なる場所に保管することが望ましい。従って、生成されたシェアがn個の場合、データ保管装置はn個設置することが望ましい。
データ処理装置10は、分散手段11、復元手段12、再生成手段13、再構成手段14を備える。分散手段11は、秘密情報Sおよびそれと同じ長さの乱数Rからn(n≧3)個のシェアを生成する。復元手段12は、分散手段11によって生成されたn個のシェアのうち所定の個数のシェアから秘密情報Sを復元する。再生成手段13は、分散手段11によって生成された1個のシェアを他の2個のシェアから再生成する。再構成手段14は、分散手段11によって生成されたn個のシェアと、それらの生成に使用された乱数Rとは別の乱数R’とを用いて、新たなn個のシェアを生成する。
ここで、本明細書で用いる記号を説明する。ビット列aとbを結合したビット列がcであるとき、これを、
と表わす。また、同じ長さのビット列aおよびbに対して、それぞれのビット毎に排他的論理和を施したビット列をcとすると、これを、
と表わす。排他的論理和は、次の演算規則が成り立つ。
<秘密情報の分散(シェアの生成)>
次に、分散手段11について詳細に説明する。分散手段11は、秘密情報Sと乱数Rからn個(n≧3)のシェアD1〜Dnを生成する。
次に、分散手段11について詳細に説明する。分散手段11は、秘密情報Sと乱数Rからn個(n≧3)のシェアD1〜Dnを生成する。
一実施形態として、分散手段11は、コンピュータとプログラムを用いて実現することができる。図2は、コンピュータ1の構成の一例を表わす。コンピュータ1は、中央演算処理装置(CPU)2、メモリ3、ディスク装置4、入出力インタフェース5を備える。メモリ3は一次記憶装置または主記憶装置と呼ばれる記憶装置、ディスク装置4は二次記憶装置または補助記憶装置と呼ばれる記憶装置に該当する。ディスク装置4には、プログラム6が記憶されている。入出力インタフェース5は、ディスプレイ、キーボード、通信回線等とのインタフェースの役割を果たす。プログラム6は、以下に述べる分散処理をCPU2に実行させるためのプログラムを含むものとする。
例えば、ユーザがコンピュータ1に分散処理の実行を指示すると、ディスク装置4から分散処理プログラムがメモリ3に読み込まれ、このプログラムに含まれる命令に従って、CPU2は処理を実行する。
ここでは、秘密情報S、同じ長さの乱数Rがメモリ3に格納されているものとする。秘密情報Sは、コンピュータ1が入出力インタフェース5を介して接続された外部記憶装置からコンピュータ1のメモリ3に読み込んでもよいし、通信回線を介して接続された他のコンピュータからコンピュータ1のメモリ3に読み込んでもよい。乱数Rは、擬似乱数生成アルゴリズムを用いて生成されたものでもよいし、自然界の物理現象を利用した乱数発生器を用いて生成されたものでもよい。後述するように、事前にまとめて生成してディスク装置に書き込んでおき、そこから読み出してもよい。
ビット列である秘密情報Sをn−1等分し、順に、S1、S2、・・・、Sn−1と表わし、ビット列である乱数Rをn−1等分し、順に、R1、R2、・・・、Rn−1と表わすと、n=3のとき、
n=4のとき、
n=5のとき、
である。
n=3の場合、CPU2は、次式の右辺の演算により、シェアD1〜D3を生成する(以下、「分散処理(基本型)」と呼ぶ)。
すなわち、CPU2は、メモリ3からS1、R1、R2を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD1用の格納領域のうち前半部分に格納し、メモリ3からS2、R2を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD1用の格納領域のうち後半部分に格納する。
次に、CPU2は、メモリ3からS1、R1を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD2用の格納領域のうち前半部分に格納し、メモリ3からS2、R1、R2を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD2用の格納領域のうち後半部分に格納する。
次に、CPU2は、メモリ3からR1を読み出し、メモリ3内のシェアD3用の格納領域のうち前半部分に格納し、メモリ3からR2を読み出し、メモリ3内のシェアD3用の格納領域のうち後半部分に格納する。
このようにしてメモリ3内に格納されたシェアD1〜D3は、入出力インタフェース5から図1に示す回線21〜23を介してそれぞれデータ保管装置31〜33に送信され保管される。
次に、CPU2は、メモリ3からS1、R1を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD2用の格納領域のうち前半部分に格納し、メモリ3からS2、R1、R2を読み出し、これらの排他的論理和演算の結果を、メモリ3内のシェアD2用の格納領域のうち後半部分に格納する。
次に、CPU2は、メモリ3からR1を読み出し、メモリ3内のシェアD3用の格納領域のうち前半部分に格納し、メモリ3からR2を読み出し、メモリ3内のシェアD3用の格納領域のうち後半部分に格納する。
このようにしてメモリ3内に格納されたシェアD1〜D3は、入出力インタフェース5から図1に示す回線21〜23を介してそれぞれデータ保管装置31〜33に送信され保管される。
上記の演算におけるD1,2とD2,2を次式のように入れ替えてもよい。この場合、CPU2は、次式の右辺の演算により、シェアD1〜D3を生成する(以下、「分散処理(変形3型)」と呼ぶ)。
分散処理(変形3型)をシェア数が3より大きい場合に拡張すると以下の通りである。
n=4の場合、CPU2は、次式の右辺の演算により、シェアD1〜D4を生成する(以下、「分散処理(変形4型)」と呼ぶ)。
n=4の場合、CPU2は、次式の右辺の演算により、シェアD1〜D4を生成する(以下、「分散処理(変形4型)」と呼ぶ)。
n=5の場合、CPU2は、次式の右辺の演算により、シェアD1〜D5を生成する(以下、「分散処理(変形5型)」と呼ぶ)。
一般に、シェア数nの場合、シェアDi(i=1〜n,n≧3)を区分したシェア部分データDi,j(i=1〜n,j=1〜n−1)は、i=1〜n−1,j=1〜n−1の各i,jについてDi,jが、第m列(m=1〜n−i)の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Sjとの排他的論理和で構成され、j=1〜n−1の各jについてDn,jがRjで構成されたものであると言える(以下、「分散処理(変形n型)」と呼ぶ)。
なお、上記の分散処理を行う前に、秘密情報Sを任意の整数個に分け、それぞれについて分散処理を行ってもよい。この場合、乱数は、秘密情報Sを整数個に分けた単位で異なるものを使用してもよいし、同じものを繰り返し使用してもよい。秘密情報Sを整数個に分ける場合のそれぞれの長さは、同じでもよいし、異なってもよい。
分散処理(基本型)は、分散処理(変形n型)と比較して次の利点がある。分散処理(変形n型)によって生成されたシェアは、個々のシェアのみから、それを構成するシェア部分データ間の演算によって乱数成分が失われる場合がある。例えば、n=3(分散処理(変形3型))の場合、D1,1とD1,2の排他的論理和演算を行うと、上述した演算規則によれば次の通りである。
このように乱数成分が失われると、例えば、シェア部分データS2の一部が既知である場合(例えば、S2が標準フォーマットのヘッダ情報あるいはパディングを含む場合)にはS1の一部が復元可能となる。一方、分散処理(基本型)によって生成されたシェアは、次式のように、シェアD1、D2それぞれを構成するシェア部分データ間で演算を行っても乱数成分が失われないため、元の秘密情報Sの一部も復元されることはない。
以上のように、分散処理の過程で使われる演算は、排他的論理和演算のみであり、多項式を用いる分散方式に比べ、アルゴリズムが単純で実装が容易かつ高速である。また、n個のシェアのうちのいずれについても、1個のシェアのみからでは秘密情報に関する情報が全く得られない情報量的安全性を有している。
シェア数3の場合で説明すると、シェアD1〜D3のうちシェアD3は、分散処理に使用した乱数Rそのものであり、秘密情報Sを含んでいないため、シェアD3だけでは、秘密情報Sに関する情報を全く得ることができない。シェアD1、D2については、秘密情報Sと、乱数R1、R2の一方または両方との排他的論理和の結果となっており、バーナム暗号による暗号文と等価である。したがって、乱数Rとして物理乱数を用いれば、シェアD1またはD2と秘密情報Sとは互いが確率的に独立となり、シェアD1またはD2だけでは、秘密情報Sに関する情報を全く得られない。
このように、シェアD1〜D3のうち1個のシェアだけでは秘密情報Sに関する情報は全く得られない。それぞれのシェアD1〜D3を結託のない独立した管理主体において保管すれば、1個のシェア(例えば、シェアD1)を管理している管理主体が、他のシェア(例えば、シェアD3)の一部でも知ることは無いため、秘密情報Sの長期的な機密性を保つことができる。つまり、データ保管装置31〜33の管理主体は、結託の無い物理的にも独立したデータセンタなどが望ましい。
<秘密情報の復元>
次に、図1の復元手段12について詳細に説明する。復元手段12は、n=3の場合、上述した分散処理によって生成された3個のシェアのうち任意の2個から秘密情報Sを復元する。nが奇数のとき(n+1)/2個、nが偶数のとき(n/2)+1個あれば復元できる。
次に、図1の復元手段12について詳細に説明する。復元手段12は、n=3の場合、上述した分散処理によって生成された3個のシェアのうち任意の2個から秘密情報Sを復元する。nが奇数のとき(n+1)/2個、nが偶数のとき(n/2)+1個あれば復元できる。
一実施形態として、復元手段12は、コンピュータとプログラムを用いて実現することができる。図2のプログラム6は、以下に述べる復元処理をCPU2に実行させるためのプログラムを含むものとする。例えば、ユーザがコンピュータ1に復元処理の実行を指示すると、ディスク装置4から復元処理プログラムがメモリ3に読み込まれ、このプログラムに含まれる命令に従って、CPU2は処理を実行する。
分散処理(基本型)によるシェアの場合、CPU2は、入出力インタフェース5を制御し、回線21〜23を介して、データ保管装置31、32、33のうち2つからシェアを取得してメモリ3に格納する。
取得したシェアがD1、D2である場合、D1、D2のシェア部分データについて次式が成り立つので、CPU2は次式の左辺の演算によりS1、S2を算出する。
取得したシェアがD1、D3である場合、D1、D3のシェア部分データについて次式が成り立つので、CPU2は次式の左辺の演算によりS1、S2を算出する。
取得したシェアがD2、D3である場合、D2、D3のシェア部分データについて次式が成り立つので、CPU2は次式の左辺の演算によりS1、S2を算出する。
分散処理(変形n型)のシェアの場合、まず、次のようにして乱数Rを取得する。
n=3の場合、次式が成り立つので、シェアD1、D2が取得できた場合、左辺の演算を行い、その結果を2等分することによりR1、R2を取得する。
n=3の場合、次式が成り立つので、シェアD1、D2が取得できた場合、左辺の演算を行い、その結果を2等分することによりR1、R2を取得する。
n=4の場合、次式が成り立つので、シェアD1とD2、または、D2とD3が取得できた場合、それぞれ左辺の演算を行い、その結果を3等分することによりR1〜R3を取得する。
n=5の場合、次式が成り立つので、シェアD1とD2、または、D2とD3、または、D3とD4が取得できた場合、それぞれ左辺の演算を行い、その結果を4等分することによりR1〜R4を取得する。
すなわち、D1〜Dn−1のうち番号が連続した2個のシェアが取得できれば(ケース1)、その2個の排他的論理和演算によりR1〜Rn−1を取得することができる。この乱数部分データR1〜Rn−1と、取得できたシェアのうちいずれかを用いれば、シェア部分データを生成した計算式において用いたのと同じ乱数部分データを用いた排他的論理和演算により、S1〜Sn−1を復元することができる。
また、D1〜Dn−1のうちいずれか1つとDnが取得できれば(ケース2)、Dnから直接にR1〜Rn−1を取得することができるので、取得できたD1〜Dn−1のうちいずれか1つを用いてS1〜Sn−1を復元することができる。
nが奇数のとき(n+1)/2個、nが偶数のとき(n/2)+1個のシェアが取得できれば、必然的に上記のケース1または2のいずれかに該当する。
また、D1〜Dn−1のうちいずれか1つとDnが取得できれば(ケース2)、Dnから直接にR1〜Rn−1を取得することができるので、取得できたD1〜Dn−1のうちいずれか1つを用いてS1〜Sn−1を復元することができる。
nが奇数のとき(n+1)/2個、nが偶数のとき(n/2)+1個のシェアが取得できれば、必然的に上記のケース1または2のいずれかに該当する。
このように、復元処理の過程で使われる演算は、分散処理と同様に排他的論理和演算のみである。また、任意の1個のシェアが消失しても他の2個のシェアから秘密情報Sが復元されるため、復元に関してバックアップと同等な可用性を確保できる。
<シェアの再生成>
次に、図1の再生成手段13について詳細に説明する。再生成手段13は、上述した分散処理によって生成された1個のシェアを、他の2個のシェアから、秘密情報Sを復元することなく再生成する。再生成によって得られるシェアは、分散処理によって生成された元のシェアと全く同じであるので、再生成によって得られたシェアとその他のシェアとの組み合わせにより秘密情報を復元することが可能である。機器の障害や災害などで1個のシェアが消失しても、残りの2個から当該シェアを再生成することで、長期にわたって可用性を確保することができる。
2個のシェアから秘密情報を一旦復元し、改めて分散処理を行えば、任意のシェアを生成することは可能であるが、このようにすると秘密情報が一時的に復元される。以下の再生成処理においては、1個のシェアを他の2個のシェアから直接かつ高速に生成することができ、秘密情報が処理中に復元されない。
次に、図1の再生成手段13について詳細に説明する。再生成手段13は、上述した分散処理によって生成された1個のシェアを、他の2個のシェアから、秘密情報Sを復元することなく再生成する。再生成によって得られるシェアは、分散処理によって生成された元のシェアと全く同じであるので、再生成によって得られたシェアとその他のシェアとの組み合わせにより秘密情報を復元することが可能である。機器の障害や災害などで1個のシェアが消失しても、残りの2個から当該シェアを再生成することで、長期にわたって可用性を確保することができる。
2個のシェアから秘密情報を一旦復元し、改めて分散処理を行えば、任意のシェアを生成することは可能であるが、このようにすると秘密情報が一時的に復元される。以下の再生成処理においては、1個のシェアを他の2個のシェアから直接かつ高速に生成することができ、秘密情報が処理中に復元されない。
一実施形態として、再生成手段13は、コンピュータとプログラムを用いて実現することができる。図2のプログラム6は、シェアの再生成処理をCPU2に実行させるためのプログラムを含むものとする。例えば、ユーザがコンピュータ1に再生成処理の実行を指示すると、ディスク装置4から再生成処理プログラムがメモリ3に読み込まれ、このプログラムに含まれる命令に従って、CPU2は次の処理を実行する。
分散処理(基本型)によるシェアの場合、CPU2は、入出力インタフェース5を制御し、回線21〜23を介して、データ保管装置31、32、33のうち2つからシェアを取得してメモリ3に格納する。
データ保管装置33のシェアD3が消失した場合、CPU2は、データ保管装置31、32からそれぞれシェアD1、D2を取得する。次式が成り立つので、CPU2は左辺の演算を行い、その結果を結合することによりD3を再生成する。
データ保管装置32のシェアD2が消失した場合、CPU2は、データ保管装置31、33からそれぞれシェアD1、D3を取得する。次式が成り立つので、CPU2は左辺の演算を行い、その結果を結合することによりD2を再生成する。
データ保管装置31のシェアD1が消失した場合、CPU2は、データ保管装置32、33からそれぞれシェアD2、D3を取得する。次式が成り立つので、CPU2は左辺の演算を行い、その結果を結合することによりD1を再生成する。
分散処理(変形3型)のシェアの場合は次の通りである。
シェアD3が消失した場合、D1、D2を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD3を再生成する。
シェアD3が消失した場合、D1、D2を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD3を再生成する。
シェアD2が消失した場合、D1、D3を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD2を再生成する。
シェアD1が消失した場合、D2、D3を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD1を再生成する。
分散処理(変形4型)のシェアの場合は次の通りである。
シェアD1が消失した場合、D2、D4を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD1を再生成する。
シェアD1が消失した場合、D2、D4を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD1を再生成する。
このように、右辺のD1,1、D1,2、D1,3を得るために、順に、乱数部分データR3、R1、R2が使用される。j=1〜3の各jについてD1,jを生成するために使用される乱数部分データの番号3、1、2は「第3列の成分が1で他の成分が0である1行3列の行列(0,0,1)の成分を右方向にj−1回巡回させたとき成分が1である列の番号」と表わすことができる。D1,jをこの乱数部分データとD2,jとの排他的論理和によって生成する。
シェアD2が消失した場合、D3、D4を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD2を再生成する。
このように、右辺のD2,1、D2,2、D2,3を得るために、順に、乱数部分データR2、R3、R1が使用される。j=1〜3の各jについてD2,jを生成するために使用される乱数部分データの番号2、3、1は「第2列の成分が1で他の成分が0である1行3列の行列(0,1,0)の成分を右方向にj−1回巡回させたとき成分が1である列の番号」と表わすことができる。D2,jをこの乱数部分データと、D3,jとの排他的論理和によって生成する。
シェアD2が消失した場合のもう1つの方法として、D1、D4を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD2を再生成する。
このように、右辺のD2,1、D2,2、D2,3を得るために、順に、乱数部分データR3、R1、R2が使用される。j=1〜3の各jについてD2,jを生成するために使用される乱数部分データの番号3、1、2は「第3列の成分が1で他の成分が0である1行3列の行列(0,0,1)の成分を右方向にj−1回巡回させたとき成分が1である列の番号」と表わすことができる。D2,jをこの乱数部分データと、D1,jとの排他的論理和によって生成する。
シェアD3が消失した場合、D2、D4を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD3を再生成する。
このように、右辺のD3,1、D3,2、D3,3を得るために、順に、乱数部分データR2、R3、R1が使用される。j=1〜3の各jについてD3,jを生成するために使用される乱数部分データの番号2、3、1は「第2列の成分が1で他の成分が0である1行3列の行列(0,1,0)の成分を右方向にj−1回巡回させたとき成分が1である列の番号」と表わすことができる。D3,jをこの乱数部分データと、D2,jとの排他的論理和によって生成する。
シェアD4が消失した場合、D1、D2を取得する。次式が成り立つので、左辺の演算を行い、その結果を結合することによりD4を再生成する。
このように、シェアD1、D2それぞれの1番目のシェア部分データD1,1とD2,1、2番目のシェア部分データD1,2とD2,2、3番目のシェア部分データD1,3とD2,3を使用して、順に、D4,3、D4,1、D4,2、すなわち、乱数部分データR3、R1、R2が生成される。この乱数部分データの番号3、1、2は「第3列の成分が1で他の成分が0である1行3列の行列(0,0,1)の成分を右方向にj−1回巡回させたとき成分が1である列の番号」と表わすことができる。
シェア数が5以上の場合も同様に考えることができ、分散処理(変形n型)のシェアの場合、シェアDp(1≦p≦n)の再生成は、p=1のときDpはDp+1とDnから再生成でき、1<p<n−1のときDpはDp+1とDn、または、Dp−1とDnから再生成でき、p=n−1のときDpはDp−1とDnから再生成でき、p=nのときDpはD1とD2から再生成できる。すなわち、
p=1のとき、j=1〜n−1の各jについてD1,jを、第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D2,jとの排他的論理和によって再生成し、
1<p<n−1のとき、j=1〜n−1の各jについてDp,jを、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp+1,jとの排他的論理和によって再生成するか、または、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp−1,jとの排他的論理和によって再生成し、
p=n−1のとき、j=1〜n−1の各jについてDn−1,jを、第2列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dn−2,jとの排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについて第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応するDnのシェア部分データを、D1,jとD2,jとの排他的論理和によって再生成する。
p=1のとき、j=1〜n−1の各jについてD1,jを、第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D2,jとの排他的論理和によって再生成し、
1<p<n−1のとき、j=1〜n−1の各jについてDp,jを、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp+1,jとの排他的論理和によって再生成するか、または、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp−1,jとの排他的論理和によって再生成し、
p=n−1のとき、j=1〜n−1の各jについてDn−1,jを、第2列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dn−2,jとの排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについて第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応するDnのシェア部分データを、D1,jとD2,jとの排他的論理和によって再生成する。
上記のいずれの処理においても、秘密情報Sを復元する必要がなく、処理の過程で計算機内のCPUやメモリなどからも秘密情報Sが漏洩する恐れがない。また、シェア数3でそのうち1個を失った状態では可用性が確保されていないため、再生成に要する時間を極力短縮する必要がある。各シェアを再生成する操作は、独立した2つのステップで構成されており、並列処理が可能な環境において、1回の排他的論理和演算の時間のみで完了することが期待される。
<シェアの再構成>
次に、図1の再構成手段14について詳細に説明する。再構成手段14は、分散処理によって生成されたn個のシェアD1〜Dnと、それらを生成する際に使用した乱数Rとは別の同じ長さの乱数R’とを用いて、新たなn個のシェアD1 ’〜Dn ’を生成する。新たなシェアは、元のシェアの算出に用いられたRをR’で置換して算出されたものに等しい。
次に、図1の再構成手段14について詳細に説明する。再構成手段14は、分散処理によって生成されたn個のシェアD1〜Dnと、それらを生成する際に使用した乱数Rとは別の同じ長さの乱数R’とを用いて、新たなn個のシェアD1 ’〜Dn ’を生成する。新たなシェアは、元のシェアの算出に用いられたRをR’で置換して算出されたものに等しい。
一実施形態として、再構成手段14は、コンピュータとプログラムを用いて実現することができる。図2のプログラム6は、以下に述べる再構成処理をCPU2に実行させるためのプログラムを含むものとする。例えば、ユーザがコンピュータ1に再構成処理の実行を指示すると、ディスク装置4から再構成処理プログラムがメモリ3に読み込まれ、このプログラムに含まれる命令に従って、CPU2は処理を実行する。
分散処理(基本型)の場合、CPU2は、入出力インタフェース5を制御し、回線21〜23を介して、データ保管装置31、32、33からそれぞれシェアD1、D2、D3を取得してメモリ3に格納する。メモリ3には、シェアD1〜D3を生成する際に使用した乱数Rではない別の同じ長さの乱数R’が格納されているものとする。乱数R’は、擬似乱数生成アルゴリズムを用いて生成されたものでもよいし、自然界の物理現象を利用した乱数発生器を用いて生成されたものでもよい。
再構成に用いる乱数R’を
とし、再構成によって得られる新たなシェアを
とする。以下、
とする。例えば、D2,1はS1とR1の排他的論理和として生成されたので、D2,1とR1の排他的論理和演算を行えばR1が打ち消されてS1が得られ、次にこれとR’ 1との排他的論理和演算を行えばD2,1 ’が得られる。このように計算すると処理中にS1が復元されてしまうが、D2,1とR1 *との排他的論理和演算を行えば、処理中にS1が復元されることはない。そこで、CPU2は、新たなシェアのそれぞれを次式の右辺の演算によって生成する。
この再構成処理によって生成される新たなシェアが、秘密情報Sと乱数R’を用いて上述した分散処理(基本型)によって生成されるものと同じであることは、上記の各式がそれぞれ次のように変形できることから確認できる。
従って、新たなシェアについても、上述した復元処理および再生成処理を行うことができる。
確認のため、再構成前のシェアのうち1個と再構成後のシェアのうち1個とで秘密情報の復元を試みる。例えば、シェアD1とシェアD3 ’を用いると、上述した分散処理(基本型)によるシェアD1とD3から秘密情報を復元する演算式のD3をD3 ’で置換して演算を行うと次式の通りである。
これらの演算結果には、元の乱数成分と再構成の際に用いた乱数成分とが含まれるため、秘密情報Sを得ることはできない。他の組み合わせについても同様である。このことから、再構成前のシェアのうち1個が漏洩した可能性がある場合でも、再構成を行い、再構成前の残りの2個のシェアを全て消去すれば、第三者が復元のために必要な残りのシェアを入手して秘密情報を復元する可能性を排除し、機密性を回復することができる。
分散処理(変形n型)によるシェアの再構成処理も同様である。
このように、再生成処理と同様、再構成処理の過程で秘密情報は復元されず、また、分散処理とほぼ同じ処理時間で新しいシェアを再構成することができる。
<秘密情報の完全性確保>
上述した復元処理では、シェアの保管中に生じた機器の故障や改ざんなどにより、シェアに誤りが生じていたとしても、それを検出することができない。これに対して、次に示すように、ハッシュ値を併用することによって完全性を確保することができる。
上述した復元処理では、シェアの保管中に生じた機器の故障や改ざんなどにより、シェアに誤りが生じていたとしても、それを検出することができない。これに対して、次に示すように、ハッシュ値を併用することによって完全性を確保することができる。
xを保管する場合、以下の手順を行う。ここで、ハッシュ関数をHとする。
(1)xのハッシュ値をh=H(x)とする。
(2)分散する秘密情報Sを
(1)xのハッシュ値をh=H(x)とする。
(2)分散する秘密情報Sを
とする。
(3)上述した分散処理により分散を行う。
(3)上述した分散処理により分散を行う。
xを復元する場合、以下の手順を行う。
(1)上述した復元処理により秘密情報を復元し、これをS’とおく。
(2)
(1)上述した復元処理により秘密情報を復元し、これをS’とおく。
(2)
とみなし, S’からx’とh’を取り出す。
(3)H(x’)とh’を比較する。H(x’)とh’が一致すればx=x’であり、x’が復元の結果として得られる情報の本体である。
(3)H(x’)とh’を比較する。H(x’)とh’が一致すればx=x’であり、x’が復元の結果として得られる情報の本体である。
復元処理の(3)において、ハッシュ値が一致しなければ,復元処理に使用した2個のシェアのうちいずれか一方または両方に誤りが発生していることを示している。
シェア数3の場合、他の2通りの組み合わせによる復元を行い、どちらかの組み合わせで正しく復元されれば、そのときに使用しなかったシェアに誤りがあることがわかる。その際には,上述した再生成処理により、正しいシェアを回復することができる。どちらの組み合わせでも正しく復元されなければ、2個以上のシェアに誤りが発生していることになり、本方式では対処できない。
シェア数3の場合、他の2通りの組み合わせによる復元を行い、どちらかの組み合わせで正しく復元されれば、そのときに使用しなかったシェアに誤りがあることがわかる。その際には,上述した再生成処理により、正しいシェアを回復することができる。どちらの組み合わせでも正しく復元されなければ、2個以上のシェアに誤りが発生していることになり、本方式では対処できない。
上記のハッシュ値を用いた手順以外に、異なる2つのシェアの組み合わせにより、それぞれの組合せで復元した結果を突合することでも完全性を確認可能である。
<保管容量の削減>
一般に、重要な情報を長期保管する場合、そのバックアップをとっておくのが通例であるため、可用性のみを確保する目的のために、合計で元の情報に対して2倍の容量を保管することになる。一方、上述した分散処理を行うと、機密性と可用性および完全性を同時に満たすが、シェア数3の場合、秘密情報と同じ長さの3個のシェアが生成されるので、秘密情報に対して3倍の容量を保管する必要がある。これは、バックアップにより可用性のみを確保した場合の1.5倍にあたる。ここでは、本発明におけるシェアの総容量を削減する方式について述べる。
一般に、重要な情報を長期保管する場合、そのバックアップをとっておくのが通例であるため、可用性のみを確保する目的のために、合計で元の情報に対して2倍の容量を保管することになる。一方、上述した分散処理を行うと、機密性と可用性および完全性を同時に満たすが、シェア数3の場合、秘密情報と同じ長さの3個のシェアが生成されるので、秘密情報に対して3倍の容量を保管する必要がある。これは、バックアップにより可用性のみを確保した場合の1.5倍にあたる。ここでは、本発明におけるシェアの総容量を削減する方式について述べる。
<擬似乱数の利用>
シェア数3の場合、シェアD3は、分散処理に使用した乱数Rそのものである。そこで、物理乱数の代わりに計算量的安全性に基づき適切な擬似乱数を利用し、シェアD3として擬似乱数のシードのみを保存する方法が考えられる。シードは、それから生成される擬似乱数系列に比べて十分に小さい容量であるため、この方法ではシェアの総容量を秘密情報Sの2倍程度に抑えることができる。
シェア数3の場合、シェアD3は、分散処理に使用した乱数Rそのものである。そこで、物理乱数の代わりに計算量的安全性に基づき適切な擬似乱数を利用し、シェアD3として擬似乱数のシードのみを保存する方法が考えられる。シードは、それから生成される擬似乱数系列に比べて十分に小さい容量であるため、この方法ではシェアの総容量を秘密情報Sの2倍程度に抑えることができる。
<擬似乱数を使用した長期的な機密性の確保>
本発明において擬似乱数を使用し、長期にわたって機密性を確保するには、擬似乱数生成アルゴリズムの危殆化に対する考慮が必要である。本発明では、上述した再構成処理を以下のように利用することにより、危殆化への対応が可能である。
本発明において擬似乱数を使用し、長期にわたって機密性を確保するには、擬似乱数生成アルゴリズムの危殆化に対する考慮が必要である。本発明では、上述した再構成処理を以下のように利用することにより、危殆化への対応が可能である。
まず、擬似乱数生成アルゴリズムFr1とそのシードseedr1を使用して擬似乱数系列r1を生成する。次に、秘密情報Sとr1を用いて、上述した分散処理に従ってシェアD1およびD2を生成する。最後に、r1ではなくseedr1をシェアD3とする。
ある期間経過後Fr1が危殆化する前に、その時点で十分に安全なFr2とseedr2を新たに用意し、これらを用いて擬似乱数系列r2を生成する。また、シェアD1とD2から、
ある期間経過後Fr1が危殆化する前に、その時点で十分に安全なFr2とseedr2を新たに用意し、これらを用いて擬似乱数系列r2を生成する。また、シェアD1とD2から、
により
を得る。シェアの再構成を行うために与える新たな疑似乱数を
とし、上述した再構成処理により新たなシェアD1 ’およびシェアD2 ’を求める。その結果、
であり、以降、シェアD1 ’およびシェアD2 ’を保管する。一方、新たなシェアD3 ’としては、seedr1を破棄してseedr2のみを保管する。
このように、擬似乱数生成アルゴリズムFr1が危殆化する前に、Fr(i+1)を用いてシェアの再構成処理を行うことで、シェアの総容量を抑えつつ、長期的な安全性を確保することができる。
このように、擬似乱数生成アルゴリズムFr1が危殆化する前に、Fr(i+1)を用いてシェアの再構成処理を行うことで、シェアの総容量を抑えつつ、長期的な安全性を確保することができる。
なお、この方法では、シェアD3 ’はFr2のシードであるため、上述した再生成処理を適用しても、シェアD3 ’だけはシェアD1 ’とシェアD2 ’から再生成することができない。仮に、シェアD3 ’が消失した場合、擬似乱数生成アルゴリズムが危殆化した場合と同様にシェアD1 ’およびシェアD2 ’の再構成処理を行い、その時に使用した擬似乱数生成アルゴリズムのシードを新たなシェアD3 ’とすればよい。
<ディザスタリカバリシステムへの適用>
上述した復元処理により、3個のシェアのうち任意の2個のシェアで秘密情報を復元でき、かつ、上述した再生成処理により、任意の2個のシェアから秘密情報を復元することなく、他の1個のシェアを迅速に再生成することができる。この特長を利用し、ディザスタリカバリシステムを容易に構築可能である。
上述した復元処理により、3個のシェアのうち任意の2個のシェアで秘密情報を復元でき、かつ、上述した再生成処理により、任意の2個のシェアから秘密情報を復元することなく、他の1個のシェアを迅速に再生成することができる。この特長を利用し、ディザスタリカバリシステムを容易に構築可能である。
図1に示すデータ保管装置31〜33は、それぞれ距離が離れた地点X、Y、Zにあるデータセンタに設置され、シェアを1個ずつ格納する。分散処理や復元処理などは自社に設置されたデータ処理装置10で行うこととし、各データセンタとの間は個別の回線21〜23で接続する。仮に、1つのデータセンタが災害に見舞われても、残りの2つのデータセンタに保管されたシェアから被災したデータセンタのシェアの再生成が可能である。
このようなディザスタリカバリシステムにおいて実装を効率化するための方式を述べる。
このようなディザスタリカバリシステムにおいて実装を効率化するための方式を述べる。
<乱数の事前生成>
上述した分散処理では、秘密情報と同じサイズの乱数を生成する必要がある。良質な乱数を生成する装置は、ディスク装置のアクセス速度に比べて低速であり、多量の乱数を生成する場合、その生成時間が上述した分散処理の処理速度を抑える要因となる可能性がある。
上述した分散処理においてシェアD3は、分散時に使用する乱数そのものであり、秘密情報Sには依存していない。このため、事前に乱数を生成してシェアD3を作成しておくことが可能である。
上述した分散処理では、秘密情報と同じサイズの乱数を生成する必要がある。良質な乱数を生成する装置は、ディスク装置のアクセス速度に比べて低速であり、多量の乱数を生成する場合、その生成時間が上述した分散処理の処理速度を抑える要因となる可能性がある。
上述した分散処理においてシェアD3は、分散時に使用する乱数そのものであり、秘密情報Sには依存していない。このため、事前に乱数を生成してシェアD3を作成しておくことが可能である。
例えば、地点Zにあるディスク装置の全セクタに予め生成した乱数を書き込んでおく。また、秘密情報を保管する際、秘密情報をディスクのセクタサイズに分割し、その単位で分散処理を行うこととする。このとき、必要なセクタ番号の乱数を地点Zから読み出し、シェアD1およびシェアD2を生成し、使用した乱数が書かれていたセクタ番号に対応する地点Xおよび地点Yのディスク装置のセクタに書き込む。シェアD3は、分散処理の前後で変化しないため、分散処理後にシェアD3を書き込む必要はない。復元処理の際には、任意の2地点の対応するセクタを読み出し、セクタごとに復元処理を行い、その結果を結合することで秘密情報を得ることができる。
一般に、ディスク装置に保管する情報とそれを記録するためのセクタ番号との対応は、ファイルシステムが管理する。このことを利用すれば、セクタ単位での分散処理および復元処理をディスクアクセスのためのデバイスドライバの機能の一部として実装することで、上述の方式を実現することができる。
このように、乱数を事前に生成しておくことで、上述した分散処理の処理速度が乱数の生成速度により抑えられる事態を避けることが可能となる。
<乱数からなるシェアを平時に使用しない分散方式>
図1に示したシェア数3のディザスタリカバリシステムを構築する場合、データ処理装置10を自社に設置し、データ保管装置31〜33をそれぞれ異なる地点X、Y、Zのデータセンタに設置すると、自社と各データセンタの間には、想定されるディスクへのアクセス頻度などに応じた帯域の回線を用意する必要がある。しかし、コスト面で既存の回線と共用せざるを得ず、十分な帯域を確保できないなどの場合も考えられる。ここでは、上述した乱数の事前生成がなされていることを前提として、シェアD1やシェアD2に誤りが発生しない限り、シェアD3に対してアクセスする必要がない実装方式を示す。
図1に示したシェア数3のディザスタリカバリシステムを構築する場合、データ処理装置10を自社に設置し、データ保管装置31〜33をそれぞれ異なる地点X、Y、Zのデータセンタに設置すると、自社と各データセンタの間には、想定されるディスクへのアクセス頻度などに応じた帯域の回線を用意する必要がある。しかし、コスト面で既存の回線と共用せざるを得ず、十分な帯域を確保できないなどの場合も考えられる。ここでは、上述した乱数の事前生成がなされていることを前提として、シェアD1やシェアD2に誤りが発生しない限り、シェアD3に対してアクセスする必要がない実装方式を示す。
事前準備として、上述した乱数の事前生成を行った後、何らかの意味のない情報(例えば、擬似乱数など)を秘密情報として、地点Xおよび地点Yのディスク装置全体にシェアが書き込まれるように分散処理を行っておく。すなわち、地点X、Y、Zのディスク装置の対応するセクタには、何らかの意味のない情報を秘密情報として分散処理によって生成された対応するシェアが予め書き込まれ、このうち地点Zのディスク装置には事前生成された乱数が書き込まれた状態となっている。この後、次の手順により秘密情報Sを保管する。上記で乱数の事前生成に関して述べたのと同様に、分散処理によって生成されたシェアを保管するときには、地点X、Y、Zのディスク装置の対応するセクタを使用するものとする。
まず、分散処理によって生成されるシェアD1、D2を書き込むために使用されることになる地点X、Yのディスク装置のセクタから書き込まれている情報を読み出す。この情報は、そのセクタが直前に使用された際(そのセクタが初めて使用される場合は、事前準備として書き込みを行った際)に書き込まれたものである。これらのシェアから、上述した再生成処理を適用して乱数
を得る。この乱数は、事前生成により地点Zのディスク装置の対応するセクタに書かれている乱数に等しい。この乱数を用い、上述した分散処理によってシェアD1、D2を生成し、それぞれ地点X、Yのディスク装置に書き込む。シェアD1とD2のみを用いた復元処理は、上述したとおりである。
この方式によれば,通常はシェアD3にアクセスする必要はない。シェアD1またはシェアD2に誤りが生じたり、災害などで消失したりした場合のみ、シェアD3を用いて復元処理や再生成処理を行えばよい。
上述したシェアD1とD2から乱数Rを導出する処理も、排他的論理和のみで構成されており、シェアへのアクセスに要する時間に比べ、十分に短い時間で完了することが期待できる。自社と地点Xおよび地点Yを結ぶ回線が十分広帯域で、かつ、シェアD1とシェアD2が同時にアクセスできるならば、この分散処理に要する時間は、ほぼ、シェアの読み出しに要する時間と書き込みに要する時間との和となる。上述した乱数を事前生成する方法でも、分散処理に要する時間は、ほぼ、シェアD3の読み出しに要する時間とシェアD1およびシェアD2の書き込みに要する時間との和となる。このことから、この方式を用いても分散処理に要する時間は、乱数を事前生成する方法と大差ないことがわかる。復元処理に要する時間は、どちらの方法においても、ほぼシェアの読み出しに要する時間となる。
このように、この方式を用いれば、通常はシェアD3にアクセスする必要がなく、自社と地点Zとの間における回線の帯域が十分に確保できない場合に有効である。
<秘密情報の通信への適用>
これまで、秘密情報の長期的な安全性を確保する保管への適用を述べた。ここでは、図3に示す本発明の秘密情報の通信への適用例に関して述べる。例えば、基地局40と移動端末41の無線によるリアルタイムな音声通信を想定する。
これまで、秘密情報の長期的な安全性を確保する保管への適用を述べた。ここでは、図3に示す本発明の秘密情報の通信への適用例に関して述べる。例えば、基地局40と移動端末41の無線によるリアルタイムな音声通信を想定する。
まず、シェア数3の場合において、シェアD3が秘密情報Sから全く独立に構成されている点に着目する。つまり、シェアD3が乱数のみにより構成されており、秘密情報が発生するタイミングとは、完全に非同期なタイミングで生成可能である。よって、シェアD3を基地局40と移動端末41との間で事前に共有しておくことが可能である。具体的には、基地局40においてシェアD3を生成し、電気通信に依存しない方法により、例えば、郵便などによりSDXCカードなどメモリーカードの格納媒体を送付して、移動端末41との間でシェアD3を共有しておく。図3の点線はシェアD3が基地局40から移動端末41へオフラインで渡されることを示す。シェアD1はオンラインで送受信される。
ここで注意を要するのは、シェアD3を確実に1回のみの使用に留める制御である。つまり、移動端末41において音声を秘密情報Sとして、上述した分散処理を用い、例えば、シェアD1を生成したタイミングにおいて、これに用いたシェアD3を使い捨てとする。移動端末41においては、勿論、シェアD2も生成可能であるが、この例では当該シェアを敢えて生成しない。
移動端末41からシェアD1のみを基地局40へ送ることにより、通信路上において、これ以外のシェアが出現することは無い。よって、音声は情報量的安全性を確保した状態で通信される。
なお、移動端末41の紛失などが発生し、事前共有したシェアD3の危殆化が懸念される場合、単に、基地局40にて保有している同一のシェアD3を破棄するのみである。
移動端末41において生成しなかったシェアD2は、シェアD3を保有している基地局40において、シェアD1が到着したタイミングで、上述した再生成処理を適用してリアルタイムに生成可能である。この際、基地局40においても、秘密情報である音声を復元する必要がない。
移動端末41において生成しなかったシェアD2は、シェアD3を保有している基地局40において、シェアD1が到着したタイミングで、上述した再生成処理を適用してリアルタイムに生成可能である。この際、基地局40においても、秘密情報である音声を復元する必要がない。
また、通信相手が接続されている基地局40において、通信相手のシェアD3を用い、上述した再構成処理を行うことにより通信相手のシェアD1を生成することができる。この時、基地局40においても通信相手のシェアD3を使い捨てとする必要がある。これにより、移動端末41において発生された秘密情報は、情報量的安全性を常時維持した状態で相手と通信される。
一方、基地局40と移動端末41の間においては、秘密情報の可用性が担保されていない。しかし、一般にはパケット通信が利用されており、必要に応じてパケットの再送を行うことにより、実質的な問題は生じないと考えられる。なお、パケット再送時においても、シェアD3の使い捨てに十分留意する必要がある。
本発明の通信への適用には、シェアD3の安全な事前共有が必須であるため、この事前共有の頻度を考察する。例えば、256GBのSDXCカードを利用し、音楽CDと同等な音声品質の確保を想定する。音声は、サンプリング周波数を44.1kHzとし、1回のサンプリングで16ビットの量子化を行う。また、移動端末41においては送信と受信が同量とする。この条件下では、少なく見積もっても約400時間の連続音声通信が可能となる。つまり、シェアD3の事前共有間隔は、最大400時間あけることが可能となる。この時間は、移動端末41の個人的な利用において、特段の制限となるものでは無いと考えられる。
本発明は、一例として、データのディザスタリカバリシステムに利用することができる。
1 コンピュータ
2 中央演算処理装置
3 メモリ
4 ディスク装置
5 入出力インタフェース
6 プログラム
10 データ処理装置
11 分散手段
12 復元手段
13 再生成手段
14 再構成手段
21、22、23 回線
31、32、33 データ保管装置
40 基地局
41 移動端末
2 中央演算処理装置
3 メモリ
4 ディスク装置
5 入出力インタフェース
6 プログラム
10 データ処理装置
11 分散手段
12 復元手段
13 再生成手段
14 再構成手段
21、22、23 回線
31、32、33 データ保管装置
40 基地局
41 移動端末
Claims (7)
- 秘密分散されたシェアを再生成するデータ再生成装置であって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成し、
シェアDi(i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS1、S2と、乱数Rを2個に区分した乱数部分データR1、R2とを用いて、
シェアDpが消失した場合、シェアDi(i≠p)を2個に区分したシェア部分データDi,1、Di,2を用いて、
ことを特徴とするデータ再生成装置。 - 秘密分散されたシェアを再生成するデータ再生成装置であって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成し、
シェアDi(i=1〜n,n≧3)を区分したシェア部分データDi,j(i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、
Dn,j(j=1〜n−1)は乱数部分データで構成され、
シェアDpが消失した場合、
p≠nのとき、j=1〜n−1の各jについてDp,jをDi,j(i≠p,i≠n)とDn,q(q≠j)との排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについてDp,jをDi,q(i≠n,q≠j)とDr,q(r≠n,r≠i)との排他的論理和によって再生成する、
ことを特徴とするデータ再生成装置。 - シェア部分データDi,jは、秘密情報をn−1個に区分した秘密部分データSj(j=1〜n−1)と、乱数をn−1個に区分した乱数部分データRk(k=1〜n−1)とを用いて、i=1〜n−1,j=1〜n−1の各i,jについてDi,jが、第m列(m=1〜n−i)の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Sjとの排他的論理和で構成され、j=1〜n−1の各jについてDn,jがRjで構成され、
シェアDpが消失した場合、
p=1のとき、j=1〜n−1の各jについてD1,jを、第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、D2,jとの排他的論理和によって再生成し、
1<p<n−1のとき、j=1〜n−1の各jについてDp,jを、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp+1,jとの排他的論理和によって再生成するか、または、第n−p列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dp−1,jとの排他的論理和によって再生成し、
p=n−1のとき、j=1〜n−1の各jについてDn−1,jを、第2列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応する乱数部分データと、Dn−2,jとの排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについて第n−1列の成分が1で他の成分が0である1行n−1列の行列の成分を右方向にj−1回巡回させたとき成分が1である列の番号に対応するDnのシェア部分データを、D1,jとD2,jとの排他的論理和によって再生成する、
ことを特徴とする請求項2に記載のデータ再生成装置。 - データ再生成装置により実行される、秘密分散されたシェアを再生成するデータ再生成方法であって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成するステップを有し、
シェアD i (i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS 1 、S 2 と、乱数Rを2個に区分した乱数部分データR 1 、R 2 とを用いて、
シェアD p が消失した場合、シェアD i (i≠p)を2個に区分したシェア部分データD i,1 、D i,2 を用いて、
ことを特徴とするデータ再生成方法。 - データ再生成装置により実行される、秘密分散されたシェアを再生成するデータ再生成方法であって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成するステップを有し、
シェアD i (i=1〜n,n≧3)を区分したシェア部分データD i,j (i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、
D n,j (j=1〜n−1)は乱数部分データで構成され、
シェアD p が消失した場合、
p≠nのとき、j=1〜n−1の各jについてD p,j をD i,j (i≠p,i≠n)とD n,q (q≠j)との排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについてD p,j をD i,q (i≠n,q≠j)とD r,q (r≠n,r≠i)との排他的論理和によって再生成する、
ことを特徴とするデータ再生成方法。 - 秘密分散されたシェアを再生成するためのプログラムであって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成する処理をコンピュータに実行させ、
シェアD i (i=1〜3)は、秘密情報Sを2個に区分した秘密部分データS 1 、S 2 と、乱数Rを2個に区分した乱数部分データR 1 、R 2 とを用いて、
シェアD p が消失した場合、シェアD i (i≠p)を2個に区分したシェア部分データD i,1 、D i,2 を用いて、
ことを特徴とするプログラム。 - 秘密分散されたシェアを再生成するためのプログラムであって、
シェアを区分したシェア部分データは、秘密情報を区分した秘密部分データと乱数データを区分した乱数部分データとの排他的論理和、または、乱数部分データで構成され、
前記シェアのうち、あるシェアが消失した場合、
消失シェア以外のシェアに含まれるシェア部分データの排他的論理和によって、秘密部分データを復元することなく消失シェアのシェア部分データを再生成する処理をコンピュータに実行させ、
シェアD i (i=1〜n,n≧3)を区分したシェア部分データD i,j (i=1〜n,j=1〜n−1)は、jが同じ値であって、シェア部分データ内での排他的論理和の演算回数の差が1である2個のシェア部分データ同士の排他的論理和によって、秘密部分データまたは乱数部分データが復元される排他的論理和の定義式に従って生成され、
D n,j (j=1〜n−1)は乱数部分データで構成され、
シェアD p が消失した場合、
p≠nのとき、j=1〜n−1の各jについてD p,j をD i,j (i≠p,i≠n)とD n,q (q≠j)との排他的論理和によって再生成し、
p=nのとき、j=1〜n−1の各jについてD p,j をD i,q (i≠n,q≠j)とD r,q (r≠n,r≠i)との排他的論理和によって再生成する、
ことを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122047A JP6108970B2 (ja) | 2013-06-10 | 2013-06-10 | データ再生成装置、データ再生成方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013122047A JP6108970B2 (ja) | 2013-06-10 | 2013-06-10 | データ再生成装置、データ再生成方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014238546A JP2014238546A (ja) | 2014-12-18 |
| JP6108970B2 true JP6108970B2 (ja) | 2017-04-05 |
Family
ID=52135722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013122047A Active JP6108970B2 (ja) | 2013-06-10 | 2013-06-10 | データ再生成装置、データ再生成方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6108970B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6300286B1 (ja) * | 2016-12-27 | 2018-03-28 | 株式会社ZenmuTech | アクセス管理システム、アクセス管理方法及びプログラム |
| JP2018110442A (ja) * | 2018-02-21 | 2018-07-12 | 株式会社ZenmuTech | アクセス管理システム、アクセス管理方法及びプログラム |
| EP3786926B1 (en) * | 2018-04-25 | 2023-06-14 | Nippon Telegraph And Telephone Corporation | Secure aggregate sum system, secure computation device, secure aggregate sum method, and program |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4602675B2 (ja) * | 2004-02-10 | 2010-12-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 機密情報管理システム、機密情報管理方法、および機密情報管理プログラム、並びに機密情報管理システム用端末プログラム |
-
2013
- 2013-06-10 JP JP2013122047A patent/JP6108970B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014238546A (ja) | 2014-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10540514B1 (en) | Distributed network for storing a redundant array of independent blockchain blocks | |
| EP3066610B1 (en) | Data protection in a storage system using external secrets | |
| EP3410633B1 (en) | Device and system with global tamper resistance | |
| WO2015107951A1 (ja) | 秘密計算方法、秘密計算システム、ソート装置及びプログラム | |
| JP3871996B2 (ja) | データ分割管理方法及びプログラム | |
| CN108768647B (zh) | 一种区块链的随机数产生方法 | |
| JP5944841B2 (ja) | 秘密分散システム、データ分散装置、分散データ保有装置、秘密分散方法、およびプログラム | |
| CN108197484A (zh) | 一种分布式存储环境下实现节点数据安全的方法 | |
| JP2023531695A (ja) | セキュアな秘密回復 | |
| JP6108970B2 (ja) | データ再生成装置、データ再生成方法およびプログラム | |
| US11599681B2 (en) | Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program | |
| CN112631836B (zh) | 用于区块链的方法、装置、存储介质及电子设备 | |
| Huang et al. | Enabling dynamic proof of retrievability in regenerating-coding-based cloud storage | |
| KR102096359B1 (ko) | 거듭 행렬 기반의 비밀키 암호화가 가능한 데이터 전송 장치 및 그 동작 방법 | |
| CN105653983A (zh) | 基于云存储的信息分配、还原、完整性验证方法及装置 | |
| KR102181645B1 (ko) | 데이터를 분산해서 저장하는 시스템 및 방법 | |
| JP6059159B2 (ja) | シェア変換システム、シェア変換方法、プログラム | |
| CN112565201B (zh) | 一种区块链中的私钥处理方法、装置及计算机存储介质 | |
| JP2011035618A (ja) | 秘密分散装置、秘密分散方法、および秘密分散プログラム | |
| JP2011119985A (ja) | 暗号復号方法 | |
| CN117318942B (zh) | 一种结合量子安全技术的分布式存储系统 | |
| JP2007004609A (ja) | シェア作成方法および装置、復元方法および装置 | |
| Vanitha et al. | Secured data destruction in cloud based multi-tenant database architecture | |
| Rawat et al. | Hyper-Space: Blockchain-based Decentralized Cloud Storage System | |
| US10437655B2 (en) | Hardware-locked encrypted backup |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160121 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161110 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170221 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170307 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6108970 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |