JP7133728B2 - プライベートグループにおけるべき乗演算のアウトソーシング - Google Patents

プライベートグループにおけるべき乗演算のアウトソーシング Download PDF

Info

Publication number
JP7133728B2
JP7133728B2 JP2021568063A JP2021568063A JP7133728B2 JP 7133728 B2 JP7133728 B2 JP 7133728B2 JP 2021568063 A JP2021568063 A JP 2021568063A JP 2021568063 A JP2021568063 A JP 2021568063A JP 7133728 B2 JP7133728 B2 JP 7133728B2
Authority
JP
Japan
Prior art keywords
server
series
exponent
exponentiation
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021568063A
Other languages
English (en)
Other versions
JP2022534364A (ja
Inventor
ヨー、ケビン
パテル、サルバール
ショップマン、フィリップ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of JP2022534364A publication Critical patent/JP2022534364A/ja
Application granted granted Critical
Publication of JP7133728B2 publication Critical patent/JP7133728B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3033Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/9035Filtering based on additional data, e.g. user or group profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/3001Arithmetic instructions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/50Oblivious transfer

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)
  • Saccharide Compounds (AREA)

Description

本開示は、プライベートグループにおけるべき乗演算のアウトソーシングに関する。
プライベート情報引出(PIR:Private Information Retrival)スキームは、ユーザが1つまたは複数のストレージ装置からデータを引出(retrieve)することを可能にする一方で、ユーザまたは引き出されたデータに関するいかなる知識も、1つまたは複数のストレージ装置をホストするサーバに明らかにしない。プライベート情報引出PIRでは、サーバのストレージ装置は一般的に保護されておらず、プライベート情報は、パブリックなストレージ装置から、もしくはストレージ装置全体からデータをダウンロードすることが許可されている加入者のグループがいるサーバのストレージ装置のいずれかから、取得される。
Cachin C ら、「Computationally Private Information Retrieval with Polylogarithmic Communication」,Electronic Publishing,Artistic Imaging, and Digital Typography,Lecture Notes in Computer Science,ISSN 0302-9743、Springer Verlag,DE,vol.1592,1999年1月1日,402~414頁,XP002346989,DOI:10.1007/3-540-48910-X_28,ISBN:978-3-540-24128-7,Section1,Section3.2
アクセスパターンが明らかにならないように、ユーザはサーバストレージ装置からすべてのコンテンツをダウンロードすればよいが、複数のストレージ装置にまたがるクラウドストレージサービスからすべてのコンテンツをダウンロードしなければならない場合には、時間がかかりすぎる。また、従来のプライベート情報引出PIR方式では、大量の帯域を消費したり、膨大な計算を必要としたりしていた。
本開示の一態様は、プライベートグループにおいてべき乗演算(Exponentiation)をアウトソーシングする方法を提供する。本方法は、クライアント装置のデータ処理ハードウェアにおいて、非信頼(untrusted)サーバに記憶されているクエリ要素に関連する法(ほう:modulus)の素因数分解(prime factorization)を選択することで、非信頼サーバに記憶されているクエリ要素を引き出すべくクエリ命令を実行する工程を備えている。素因数分解は、2つ以上の素数(prime numbers)を備えている。本方法は、素因数分解の2つ以上の素数のそれぞれ1つを生成するように構成されたグループ要素を取得する工程と、法の素因数分解とグループ要素とを用いて(using the prime factorization of the modulus and the groug element)、一連の底値(a series of base values)を生成する工程とを備えている。また、本方法は、一連の底値をクライアント装置から非信頼サーバに送信する工程を備えている。非信頼サーバは、一連の底値を用いて、非信頼サーバに記憶されている指数(exponent)を伴うグループ要素のべき乗演算を決定するように構成されている。本方法はまた、データ処理ハードウェアにおいて、非信頼サーバから結果を受け取る工程を備えている。結果は、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算に基づく。
本開示の実装は、以下の任意の特徴のうちの1つまたは複数を備えていることができる。いくつかの実装では、一連の底値を生成する工程は、法の素因数分解とグループ要素とを用いて一連の初期底値を生成する工程と、一連の初期底値内の各初期底値を法で削減して一連の法削減底値(法で削減された底値)を生成する工程とを備えている。各法削減底値は、法によって削減された一連の初期底値のうちのそれぞれの初期底値を備えている。一連の底値を非信頼サーバに送信する工程は、いくつかの例では、一連の法削減底値を非信頼サーバに送信する工程を備えている。非信頼サーバは、一連の法削減底値を用いて、非信頼サーバに記憶された指数を伴うグループ要素のべき乗演算を決定するように構成される。
いくつかの実装では、一連の底値を非信頼サーバに送信する工程はさらに、法を非信頼サーバに送信する工程を備えている。非信頼サーバは、一連の底値を用いて、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算を決定するように構成されてもよい。また、非信頼サーバは、指数を伴うグループ要素のべき乗演算を法で削減することで結果を生成するとともに、その結果をクライアント装置に送信するように構成されてもよい。いくつかの例では、本方法はさらに、指数を伴うグループ要素のべき乗演算を結果が備えている場合、データ処理ハードウェアによって、結果を法で削減する工程を備えている。
任意に、一連の底値を生成する工程は、非信頼サーバに記憶された指数を表す位取り記数法(numeral position system:数字位置システム)を取得する工程と、位取り記数法の桁位置に対応するそれぞれの基数要素(base element:ベース要素。底要素)によるグループ要素のべき乗演算に基づき、一連の底値における各底値を生成する工程とを備えている。非信頼サーバに記憶された指数を表す位取り記数法は、いくつかの例では、クライアント装置と非信頼サーバとの間の通信についての帯域幅制限に基づき、クライアント装置または非信頼サーバによって選択される。位取り記数法は、2進法、16進法、または10進法(十進法)のうちの1つを備えてもよい。
非信頼サーバに記憶されている指数を表す位取り記数法を取得する工程はさらに、いくつかの実装において、位取り記数法によって表される指数の桁数を取得する工程を備えている。指数の桁数は、実行されたクエリ命令によって生成された一連の底値のうちの底値の数に等しい。クライアント装置から受け取った一連の底値の各底値について、指数のそれぞれの桁位置における値を伴う底値のべき乗演算を決定する工程と、指数のそれぞれの桁位置における値を伴う底値のべき乗演算同士を一緒に乗算する工程とによって、非信頼サーバは、非信頼サーバに記憶された指数を伴うグループ要素のべき乗演算を決定するように構成されてもよい。結果は、被クエリ要素(照会された要素)に関連付けられてもよく、クライアント装置は、いくつかの例では、法の素因数分解を非信頼サーバに決して明らかにしなくてもよい。
本開示の別の態様は、プライベートグループでべき乗演算をアウトソーシングするためのシステムを提供する。システムは、クライアント装置のデータ処理ハードウェアと、データ処理ハードウェアに通信するメモリハードウェアとを備えている。メモリハードウェアは、データ処理ハードウェア上で実行されるとデータ処理ハードウェアに動作を実行させる命令を記憶する。動作は、非信頼サーバに記憶されているクエリ要素に関連する法の素因数分解を選択することで、非信頼サーバに記憶されているクエリ要素を引き出すべくクエリ命令を実行する工程を備えている。素因数分解は、2つ以上の素数を備えている。また動作は、素因数分解の2つ以上の素数のそれぞれ1つを生成するように構成されたグループ要素を取得する工程と、法の素因数分解およびグループ要素を用いて一連の底値を生成する工程とを備えている。前記動作は、一連の底値をクライアント装置から非信頼サーバに送信する工程も備えている。非信頼サーバは、一連の底値を用いて、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算を決定するように構成されている。動作はまた、非信頼サーバから結果を受け取る工程を備えている。結果は、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算に基づく。
この態様は、以下の任意の機能のうちの1つまたは複数を備えてもよい。いくつかの実装では、一連の底値を生成する工程は、法の素因数分解とグループ要素とを用いて一連の初期底値を生成する工程と、一連の初期底値における各初期底値を法によって削減して一連の法削減底値を生成する工程とを備えている。各法削減底値は、法によって削減された一連の初期底値のうちのそれぞれの初期底値を備えている。一連の底値を非信頼サーバに送信する工程は、いくつかの例では、一連の法で削減された底値を非信頼サーバに送信する工程を備えている。非信頼サーバは、一連の法削減された底値を用いて、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算を決定するように構成される。
いくつかの実装では、一連の底値を非信頼サーバに送信する工程はさらに、法を非信頼サーバに送信する工程を備えている。非信頼サーバは、一連の底値を用いて、非信頼サーバに記憶されている指数を伴うグループ要素のべき乗演算を決定するように構成されてもよい。また、非信頼サーバは、指数を伴うグループ要素のべき乗演算を法で削減することで結果を生成するとともに、その結果をクライアント装置に送信するように構成されてもよい。いくつかの例では、動作はさらに、指数を伴うグループ要素のべき乗演算を結果が備えている場合、結果を法で削減する工程を備えている。
任意で、一連の底値を生成する工程は、非信頼サーバに記憶された指数を表す位取り記数法を取得する工程と、位取り記数法の桁位置に対応するそれぞれの基数要素によるグループ要素のべき乗演算に基づき、一連の底値における各底値を生成する工程とを備えている。非信頼サーバに記憶された指数を表す位取り記数法は、いくつかの例では、クライアント装置と非信頼サーバとの間の通信についての帯域幅制限に基づき、クライアント装置または非信頼サーバによって選択される。位取り記数法は、2進法、16進法、または10進法のいずれか1つを備えてもよい。
非信頼サーバに記憶されている指数を表す位取り記数法を取得する工程はさらに、いくつかの実装において、位取り記数法によって表される指数の桁数を取得する工程を備えている。指数の桁数は、実行されたクエリ命令によって生成された一連の底値のうちの底値の数に等しい。クライアント装置から受け取った一連の底値の各底値について、指数のそれぞれの桁位置における値を伴う底値のべき乗演算を決定する工程と、指数のそれぞれの桁位置における値を伴う底値のべき乗演算同士を一緒に乗算する工程とによって、非信頼サーバは、非信頼サーバに記憶された指数を伴うグループ要素のべき乗演算を決定するように構成されてもよい。結果は、被クエリ(問い合わせられた)要素に関連付けられてもよく、クライアント装置は、いくつかの例では、法(ほう:modulus)の素因数分解を非信頼サーバに明らかにすることはない。
本開示の1つまたは複数の実装の詳細は、添付の図面および以下の説明に記載されている。他の態様、特徴、および利点は、説明および図面、ならびに特許請求の範囲から明らかになるであろう。
分散システムの非一時的なデータストレージに記憶されたデータブロックに気付かれずにアクセスする際に、べき乗演算をアウトソースする例示的なプライベート情報引出PIRシステムの概略図。 図1のシステムの例示的なセレクタの模式図。 図1のシステムの構成要素および例示的な位取り記数法の概略図。 一連の底値を生成するための、例示的な動作のフローチャート。 プライベートグループの中にべき乗演算をアウトソーシングする方法のための動作の、例示的な配置のフローチャート。 本明細書に記載されたシステムおよび方法を実施するべく用いることができる、例示的なコンピューティング装置の概略図。
様々な図面における同様の参照記号は、同様の要素を示す。
べき乗演算(Exponentiation)は、底(ベース)と指数(exponent)との間の一般的な数学的操作であり、べき乗演算は、底の繰り返しの乗算に相当する。べき乗演算は、生物学、物理学、およびコンピュータサイエンスなど、多くの分野で広く用いられている。しかし、指数が非常に大きくなると、べき乗演算が超線形になるので、計算が困難になる。つまり、指数が大きくなると、生の計算難易度は、線形よりも速い速度で増加する。しかし、大きなべき乗演算の結果を計算する難しさを軽減する方法がある。例えば、いわゆる「指数のべき乗則」は、指数の因子(ファクター)が既知の場合、計算を大幅に軽減する。
しかし、整数の因数分解も、既知の難問である。実際、十分に大きな整数では、効率的で既知の因数分解の手段は無い。この難問は、現代の暗号技術の多くの基礎を形成している。例えば、2つの大きな素数は秘密にしておくことができ(例えば、秘密鍵)、一方で、2つの大きな素数の掛け算は、秘密の素数を明らかにすることなく共有することができる(例えば、公開鍵)。
べき乗演算と素因数分解は、プライベート情報引出(PIR)スキームにおいても重要な役割を果たすことができる。プライベート情報引出PIRスキームは、ユーザが1つまたは複数のストレージ装置からデータを引き出すことを可能にする一方で、ユーザまたは引き出されたデータに関するいかなる知識も、1つまたは複数のストレージ装置をホストするサーバに明らかにしない。例えば、サーバは、同じ長さのn個のブロックB,...,Bを備えているパブリックデータベースを保存している場合がある。ユーザは、ブロックBのダウンロードを希望する。プライバシー上の理由から、ユーザは、ダウンロードしたデータブロックのインデックスを、サーバ(または他の誰か)に公開したくない。つまり、ユーザは、選択されたデータブロックを気付かれずに取得したいと考えている。この問題に対する1つの解決策は、クライアントにデータベース全体をダウンロードさせることである。効果的ではあるが、帯域幅のコストがかかるので、かなりのサイズのデータベースの場合、この解決策は実現不可能である。
別のアプローチは、べき乗演算(Exponentiation)を用いることである。例えば、サーバはデータベースを、整数の指数Eとして表現することができる。データベースのサイズに応じて、Eはかなり大きくなる可能性がある(例えば、数千桁または数百万桁)。クライアントは、非信頼サーバ上のデータブロック(例えば、保存されているクエリ要素)に関連付けられた法(ほう:modulus)Mで表されるグループGを取得する。クライアントは、グループ要素gを選択することができる。ここで、gは、クライアントがダウンロードしたいと考えているサーバに記憶されたデータブロック(例えば、クエリ要素)に関連付けられている。クライアントは、選択したデータブロックを気付かれずに取得するべくその結果を用いることができるので、gmod_Mを解くことを望む。クライアントはMの素因数分解を知っているが、その素因数分解を秘密にしておきたいと考えている。
この状況では、クライアントは単にgとMをサーバに送り、サーバにgmod_Mを計算させることができる。しかし、先に述べたように、べき乗演算は超線形問題であり、指数Eが十分な大きさ(例えば、データベースの大きさ)であると、計算要件は法外に高くなる。サーバは、法の素因数(prime factors)を知ることで(例えば、フェルマーの小定理を利用することで)計算を大幅に簡略化できるが、クライアントは素因数を秘密にしておきたいと考えている。したがって、クライアントが素因数分解を用いて効率的な計算を行うとともに、残りのべき乗演算をサーバにアウトソースすることは、データベース全体(すなわち、指数)を送信する際の帯域幅コストと、法の素因数分解にアクセスすることなくサーバが完全なべき乗演算を行う際の計算コストと、の両方を回避するべく有利である。
本明細書の実装は、法(ほう:modulus)の素因数分解を明らかにすることなく、プライベートグループでべき乗演算をアウトソーシングするためのルーチンに向けられている。このルーチンは、クライアントに、法の秘密の素因数分解を用いて効率的なべき乗演算を実行させ、サーバが保持する指数を使用せずに一連の底値を生成することで、帯域幅と計算との実用的なバランスをとることができる。クライアントは、素因数分解を提供することなく、サーバが保持する指数を用いてさらなる計算を行うべく、一連の底値をサーバに送信する。
図1を参照すると、いくつかの実装において、例示的なシステム100は、それぞれのユーザまたはクライアント12に関連するユーザ装置10(クライアント装置10とも呼ばれる)を備えており、ネットワーク112を介してリモートシステム111(本明細書ではサーバとも呼ばれ、または非信頼サーバ(信頼されていないサーバ)とも呼ばれる)に通信する。ユーザ装置10は、デスクトップワークステーション、ラップトップワークステーション、またはモバイル装置(すなわち、スマートフォン)などの、任意のコンピューティング装置に対応してもよい。リモートシステム111は、単一のコンピュータであるか、複数のコンピュータであるか、または、スケーラブル/エラスティックなコンピューティングリソース118(例えば、データ処理ハードウェア)および/またはストレージリソース116(例えば、メモリハードウェア)を有する分散システム(例えば、クラウド環境)であってもよい。非信頼データストア150(例えば、「非信頼ストレージ装置」または「非信頼サーバ」)は、クライアントまたはコンピューティングリソース118の1つまたは複数によるストレージリソース116のスケーラブルな使用を可能にするべく、ストレージリソース116にオーバーレイされる。非信頼データストア150は、クライアント装置10によるダウンロードに利用可能な複数のデータブロック152、152a~152nを記憶するように構成されている。
例えば、非信頼データストア150は、公知で暗号化されていないn個のデータブロック(B)152を備えており、クライアント装置10によるデータブロック(B)152上の引出機能を保持しつつ1つまたは複数のクライアント装置10がアクセスパターンを隠蔽するようにデータブロック(B)152を気付かれずに(obliviously)引き出すべくプライベート情報引出PIRを用いることを可能にする。このように、クライアント装置10は、データブロック152を所有していなくてもよく、データブロック152の内容は、いくつかの構成では公開されている。あるいは、データブロック152は、特定のクライアント12に対してプライベートなものであってもよいが、クライアント12は、依然として、非信頼データストア150からのアクセスパターンを隠蔽したいと考えている。データブロック152は、整数で表されてもよい。すなわち、非信頼データストア150またはサーバ111は、各データブロック152を処理して、データブロック152のすべてを代表する単一の整数を生成してもよい。例えば、サーバ111は、「中国の剰余定理」(チャイニーズリマインダセオリー)を用いて、各データブロック152を明瞭(distinct)な小素数(small prime)で符号化してもよい。
クライアント12に関連付けられたクライアント装置10(例えば、コンピュータ)は、関連付けられたメモリハードウェア122と、関連付けられたデータ処理ハードウェア124とを備えてもよい。各クライアント装置10は、関連するメモリハードウェア122を活用して、クエリ命令130と、法(M)134で表されるグループ(G)132と、位取り基数(positional base:位置ベース、位置底)(B)136と、および位取りカウント(positional count:位置カウント)(m)138とを保持または記憶してもよい。いくつかの例では、データ処理ハードウェア124は、リモートシステム111に発行された一連の底値162を生成するためのジェネレータ160を実行するが、このリモートシステム111は、本明細書では、「非信頼環境で実行されるサーバ」とも呼ばれることがある。
ジェネレータ160は、いくつかの例では、クエリ命令130を実行して、非信頼データストア150に記憶されているクエリ要素(すなわち、データブロック(B)152)を引き出す。この目的のために、ジェネレータ160は、非信頼データストア150上に記憶されたクエリ要素152に関連する法(M)134を取得または受取または生成する。法(modulus)134は、2つ以上の素数135の積である。素数135はユーザ装置10によって選択され、秘密鍵の基礎を形成してもよい。したがって、素数135は、他のすべての当事者(サーバ111を含む)から、秘密のままである。また、ジェネレータ160は、1つまたは複数のグループ要素(g)133を備えているグループ(G)132を取得または受取または生成する。グループ132は法134によって表され、グループ132の各グループ要素133は、素数135のサブグループのジェネレータである。
次に図2を参照すると、いくつかの実装では、データ処理ハードウェア122は、クエリ命令130を受け取るセレクタ200を実行する。クエリ命令130は、1つまたは複数のデータブロック選択131を備えている。各データブロック選択131は、非信頼データストア150から気付かれずに取得されるデータブロック152(例えば、クエリ要素)に対応する。セレクタ200は、サーバ111(例えば、メモリハードウェア116)に記憶されたデータブロック素数データストア210に通信している。データブロック素数データストア210は、いくつかの例では、非信頼データストア150に記憶された各データブロック152に関連付けられた、それぞれのデータブロック素数220を記憶する。すなわち、データブロック素数ストア210は、データストア150から引き出されるデータブロック152に対応する、データブロック素数220を提供してもよい。セレクタ200は、クエリ命令130からのデータブロック選択131を用いて、データブロック選択131に関連するデータブロック152に対応するデータブロック素数220を取得してもよい。得られたデータブロック素数220を用いて、セレクタ200は、法134の素因数分解を選択する。素因数分解は2つ以上の素数135を備えており、素数135のうちの少なくとも1つはデータブロック素数220に対応する。同様に、法134およびグループ要素133の両方が、非信頼データストア150から取得されるデータブロック152に関連するデータブロック素数220に関連付けられるように、グループ要素133は、データブロック選択131に基づき選択される。すなわち、グループ要素133は、法M134の素因数分解の素数135のそれぞれ1つを生成するように構成されている。
図1に戻ると、ジェネレータ160は、いくつかの実装では、位取り基数(B)136も受け取りまたは決定する。位取り基数136は、サーバが保持する指数154の底(radixとも呼ばれる)である。すなわち、指数154は、2に等しい底(すなわち、2進数)またはそれ以上の任意の底で表すことができ、位取り基数136は、指数154を表すべくクライアント装置10またはサーバ111によって選択される。位取り基数136は、いくつかの例ではユーザ12によって選択され、他の例ではユーザ装置10は位取り基数136を自動的に決定する。追加の例では、サーバは位取り基数136を決定し、クライアント装置10に中継する。位取り基数136に加えて、ジェネレータ160は、位取りカウント138を受け取ってもよい。以下でより詳細に説明するように、位取りカウント138は、位取り基数136で指数154を表すのに必要な桁数212(図3)を表す。
ジェネレータ160は、素因数135を用いて、一連の底値162、162a~162nを生成する。各底値162は、いくつかの例では、グループ要素133を位取り基数136でべき乗演算したものであり、これは、位取り記数法(位置数字システム)における桁位置における値に対応する。ここで図3を参照すると、位取り基数136が10に等しい場合(すなわち、10進数の位取り記数法を用いる場合)、例示的な指数154は「153729」に等しい。任意の位取り記数法(すなわち、位取り基数136)が選択され得ることが理解される。例えば、位取り記数法は、2進数、16進数、または10進数を備えてもよい。典型的には、指数154は極めて大きいが、本例では、分かりやすくするべく小さい数字が使用されている。選択された位取り基数136(ここでは「10」)で指数154を解釈したサーバ111は、位取りカウント138を決定する。すなわち、サーバ111は、位取り基数136で指数154を表すべく必要な桁数212を決定する。図示の例では、指数154(すなわち、「153729」)は、10進法(すなわち、b=「10」)では6桁212で表現できる。したがって、位取りカウント138は、(10進数では)「6」に相当する。選択された位取り基数136にかかわらず、指数は次の式(1)のように表すことができる。
Figure 0007133728000001
ここで、指数154は、10進法(すなわち、位取り基数が「10」に等しい)では、9+(2×10)+(7×100)+(3×1000)+(5×10000)+(1×100000)と表され、合計で「153729」となる。次に、図4を参照すると、式(1)470によって、gを次の式(2)のように書き換えることができる。
Figure 0007133728000002
式(2)480から明らかなように、gの一部は、サーバ保有の指数154を用いずに、計算されてもよい。即ち、ジェネレータ160は、一連の底値162を、一連の式(3)として生成してもよい。
Figure 0007133728000003
選択された位取り基数136は、一連の底値162a~162nにおける底値162の数(すなわち、変数m)に影響を与えるので、したがって、位取り基数136は、一連の底値162を送信する際の通信コストに直接影響を与えることが明らかである。より大きな位取り基数136はより困難な計算を必要とするので、位取り基数136の選択は、通信コストと計算コストとの間のトレードオフを直接提供する。いくつかの例では、位取り基数136(すなわち、位取り記数法)は、クライアント装置10とサーバ111との間の通信についての帯域幅制限に基づき、クライアント装置10またはサーバ111によって選択される。他の例では、位取り基数136は、選択された位取り記数法(位置数字システム)において指数154を表すべく必要な桁数212の、約半分になるように選択される。例えば、選択によって、5000個の位取り基数で表されたときに、10000桁を必要とする指数154が得られる場合がある。
いくつかの実装形態では、サーバ111は、指数154の位取りカウント138を、ジェネレータ160に送信する。ジェネレータ160は、位取りカウント138を用いて、生成する底値162の数を決定してもよい。図示の例では、値「153729」が6つの桁数212で表されるので、ジェネレータ160は6つの底値162を生成してもよい。ジェネレータ160は素因数135にアクセスできるので、ジェネレータ160はサーバ保持の指数154を使用せずに(例えば、フェルマーの小定理を用いたり、オイラーの定理、カーマイケルの定理、または「中国の剰余定理」などの他の技術を用いたりして)、一連の底値162を効率的に生成する。ジェネレータ160は、一連の底値162をサーバ111に送信してもよい。
いくつかの実施例では、一連の底値162は、一連の初期底値162A、162Aa~162Anを表す。すなわち、いくつかの例では、ジェネレータ160は、法134の素因数分解とグループ要素133とを用いて、一連の初期底値162Aを生成する。ジェネレータ160は、各初期底値162Aを法134によって(すなわち、法Mによって)削減することで、一連の法削減された底値162B、162Ba~162Bnを生成してもよい。したがって、各法削減された底値162Bは、法134によって削減された一連の初期底値162Aのうちのそれぞれの初期底値162Aを備えている。一連の初期底値162Aの代わりに、ジェネレータ160は、一連の法削減された底値162Bを、非信頼サーバ111に送信してもよい。すなわち、サーバ111に送信される一連の底値162は、一連の初期底値162Aと、または一連の法削減された底値162Bとのうちのいずれかを備えている。初期底値162Aを法Mで削減すると、サーバ11に送信される底値162Bのサイズが大幅に減少し、したがって一連の底値162Bをサーバ111に送信するのに必要な帯域幅が大幅に減少する。法演算はべき乗演算よりも計算が容易であるので、余分(エクストラ)な法演算を行うことは有利であると考えられる。
図1に戻って、いくつかの実装では、サーバ111は、指数乗算器170を実行する。指数乗算器170は、クライアント装置10(例えば、ジェネレータ160)から一連の底値162を受け取るとともに、非信頼データストア150から指数154を受け取る。任意で、クライアント装置10はまた、結果192を生成する際に指数乗算器170が用いるべく、グループ要素133および/または法134をサーバ111に提供してもよい。いくつかの例では、指数乗算器170(または、サーバ111上で実行される別のモジュール)は、非信頼データストア150のデータブロック152から、指数154を決定する。指数乗算器170は、クライアントが生成した一連の底値162および指数154を用いて、gを計算する。いくつかの例では、一連の底値162の各底値162について、指数154のそれぞれの桁位置における値482(図4)を伴う底値162のべき乗演算を決定することと、指数154のそれぞれの桁位置における値482を伴う底値162のべき乗演算同士を一緒に乗算して結果192を生成することで、サーバ111は、非信頼サーバ111に記憶された指数154を伴うグループ要素133のべき乗演算を決定する。結果192は、被クエリ(照会された)要素(すなわち、データブロック選択131によって選択されたデータブロック152)に関連付けられる。
サーバ111は現在、この計算をm個の底とm個の指数とを乗算する標準的な問題に一般化することができるので、サーバ111は結果192を効率的に決定するべく多くのアルゴリズムを利用することができる。例えば、サーバ111は、Pippenger(ピッペンガー)のべき乗演算アルゴリズムまたは他の加算鎖べき乗演算法を用いてもよい。gを決定した後、サーバ111は、gを結果192としてユーザ装置10に送り返してもよい。あるいは、サーバ111は、結果192を生成するべく法M(すなわち、法134)によってgを削減してもよく、これは結果192のサイズを大幅に削減することができるからであり、また前述したように法演算はべき乗演算よりも計算が容易であるからである。結果192は、非信頼データストア150に記憶されている指数154を伴うべき乗演算に基づく。すなわち、結果192は、データブロック選択131によって選択されたデータブロック152の値に対応する。
システム100は、それぞれがlog(M)ビットで表される可能性のあるm個の指数を送信するだけなので、指数154全体をクライアント装置10に送信することに比べて、著しく削減された帯域幅使用を提供する。法134(M)は、典型的には、指数154よりもはるかに小さく、m×log(M)<Eである。さらに、非信頼サーバ111または非信頼データストア150に決して明らかにされない法134の素因数分解をユーザ装置10が知っていることを利用するので、サーバがグループ要素133のべき乗演算を完全に計算することに比べて、システム100は著しく削減された計算を提供する。このように、システムが大きな問題(すなわち、非常に大きな指数を用いたべき乗演算)をいくつかの小さな問題(すなわち、より小さな底値162の指数)に分割することで、クライアント装置10が法134の素因数分解を非信頼サーバ111に決して明らかにすることなく、システム100は、計算の全体的なコスト(漸近的(asymptotic)および具体的の両方)を削減する。システム100は、通信コスト(例えば、帯域幅)と計算コストとの間のバランスを提供するとともに、ユーザ装置10およびサーバ111の両方が効率的に計算できるようにする。例えば、システム100は、計算および通信の標準的なコストを用いて、より素朴なアプローチ(例えば、完全な指数154を送信すること、またはサーバがgを完全に計算することを許可すること)と比較して、10倍から100倍の間で改善することができる。本明細書の例はプライベート情報引出PIRに向けられているが、べき乗演算をアウトソーシングするための説明された方法は、他の多くの分野(例えば、ブロックチェーン)において有利である可能性がある。
図5は、プライベートグループのべき乗演算をアウトソーシングするための例示的な方法500のフローチャートである。方法500は、動作502において、クライアント装置10のデータ処理ハードウェア122において、非信頼サーバ111、150に記憶されたクエリ要素152を引き出すクエリ命令130を実行する工程と、動作504において、非信頼サーバ111、150に記憶されたクエリ要素152に関連する法134の素因数分解を選択する工程とで始まる。素因数分解は、2つ以上の素数135を備えている。動作506において、方法500は、素因数分解の2つ以上の素数135のうちのそれぞれの1つを生成するように構成されたグループ要素133を取得する工程を備えている。動作508において、方法500は、法134の素因数分解とグループ要素133とを用いて一連の底値162を生成する工程と、動作510において、一連の底値162をクライアント装置10から非信頼サーバ111、150に送信する工程と、を備えている。非信頼サーバ111、150は、一連の底値162を用いて、非信頼サーバに記憶された指数154を伴う(による)グループ要素133のべき乗演算を決定するように構成される。動作512において、方法500は、データ処理ハードウェア122において、非信頼サーバ111、150から結果192を受け取る工程を備えている。結果192は、非信頼サーバ111、150に記憶されている指数154を伴う(による)、グループ要素133のべき乗演算に基づく。
図6は、本書で説明したシステムおよび方法を実施するべく用いることができる例示的なコンピューティング装置600の概略図である。コンピューティング装置600は、ラップトップ、デスクトップ、ワークステーション、パーソナルデジタルアシスタント、サーバ、ブレードサーバ、メインフレーム、および他の適切なコンピュータなど、様々な形態のデジタルコンピュータを表すことを意図している。ここに示されている構成要素、それらの接続および関係、ならびにそれらの機能は、例示的なものであることを意図しており、本書に記載および/または請求されている発明の実施を制限することを意図していない。
コンピューティング装置600は、プロセッサ610と、メモリ620と、ストレージ装置630と、メモリ620および高速拡張ポート650に接続する高速インタフェース/コントローラ640と、および低速バス670およびストレージ装置630に接続する低速インタフェース/コントローラ660とを備えている。構成要素610、620、630、640、650、660のそれぞれは、様々なバスを用いて相互に接続されており、共通のマザーボードに搭載されていてもよいし、適宜他の態様で搭載されていてもよい。プロセッサ610は、高速インタフェース640に結合されたディスプレイ680などの外部入出力装置にグラフィカルユーザインタフェース(GUI)のためのグラフィカル情報を表示するべく、メモリ620またはストレージ装置630に記憶された命令を備えている、コンピューティング装置600内で実行するための命令を処理することができる。他の実装では、複数のプロセッサおよび/または複数のバスが、複数のメモリおよびメモリの種類とともに、適宜使用されてもよい。また、複数のコンピューティング装置600が接続され、各装置が必要な動作の一部を提供してもよい(例えば、サーババンク、ブレードサーバグループ、またはマルチプロセッサシステムとして)。
メモリ620は、コンピューティング装置600内の情報を非一時的に記憶する。メモリ620は、コンピュータ読取可能媒体、揮発性メモリユニット(複数可)、または不揮発性メモリユニット(複数可)であってもよい。不揮発性メモリ620は、コンピューティング装置600による使用のために、プログラム(例えば、命令のシーケンス)またはデータ(例えば、プログラムの状態情報)を一時的または永久的に記憶するべく使用される物理装置であってもよい。不揮発性メモリの例には、フラッシュメモリおよびリードオンリーメモリ(ROM)/プログラマブルリードオンリーメモリ(PROM)/消去可能プログラマブルリードオンリーメモリ(EPROM)/電子的消去可能プログラマブルリードオンリーメモリ(EEPROM)(例えば、ブートプログラムなどのファームウェアに典型的に使用される)が含まれるが、これらに限定されない。揮発性メモリの例としては、ランダムアクセスメモリ(RAM)、ダイナミックランダムアクセスメモリ(DRAM)、スタティックランダムアクセスメモリ(SRAM)、フェイズチェンジメモリ(PCM)のほか、ディスクやテープなどが挙げられるが、これらに限定されるものではない。
ストレージ装置630は、コンピューティング装置600に大容量記憶を提供することができる。いくつかの実施態様において、ストレージ装置630は、コンピュータ読取可能媒体である。様々な異なる実装において、ストレージ装置630は、フロッピー(登録商標)ディスク装置、ハードディスク装置、光ディスク装置、またはテープ装置、フラッシュメモリまたは他の類似のソリッドステートメモリ装置、またはストレージエリアネットワークまたは他の構成の装置を備えている、装置のアレイであってもよい。追加の実装では、コンピュータプログラム製品が、情報キャリア(担体)に有形的に具現化される。コンピュータプログラム製品は、実行されると上述したような1つまたは複数の方法を実行する命令を備えている。情報キャリアは、メモリ620、ストレージ装置630、またはプロセッサ610上のメモリなどの、コンピュータ読取可能媒体または機械読取可能媒体である。
高速コントローラ640は、コンピューティング装置600のための帯域幅集中型の動作を管理し、低速コントローラ660は、より低い帯域幅集中型の動作を管理する。このような職務の割り当ては、例示的なものに過ぎない。いくつかの実装では、高速コントローラ640は、メモリ620に、ディスプレイ680(例えば、グラフィックプロセッサまたはアクセラレータを介して)に、および、様々な拡張カード(図示せず)を受け入れ得る高速拡張ポート650に結合される。いくつかの実装では、低速コントローラ660は、ストレージ装置630および低速拡張ポート690に結合される。様々な通信ポート(例えば、USB、Bluetooth(登録商標)、イーサネット(登録商標)、ワイヤレスイーサネット(登録商標))を備えてもよい低速拡張ポート690は、キーボード、ポインティング装置、スキャナ、またはスイッチやルータなどのネットワーク装置などの1つまたは複数の入出力装置に、例えばネットワークアダプタを介して結合されてもよい。
コンピューティング装置600は、図に示すように、いくつかの異なる形態で実装されてもよい。例えば、標準的なサーバ600aまたはそのようなサーバ600aのグループにおける複数倍として、ラップトップコンピュータ600bとして、またはラックサーバシステム600cの一部として、実装されてもよい。
本明細書に記載のシステムおよび技術の様々な実装は、デジタル電子および/または光学回路、集積回路、特別に設計されたASIC(特定用途向け集積回路)、コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはそれらの組み合わせで実現することができる。これらの様々な実装には、ストレージ装置、少なくとも1つの入力装置、および少なくとも1つの出力装置からデータおよび命令を受け取るとともに、それら装置にデータおよび命令を送信するように結合された、特殊用途または汎用用途の少なくとも1つのプログラマブルプロセッサを備えているプログラマブルシステム上で実行可能および/または解釈可能な1つまたは複数のコンピュータプログラムでの実装が含まれ得る。
ソフトウェアアプリケーション(すなわち、ソフトウェアリソース)は、コンピューティング装置にタスクを実行させるコンピュータソフトウェアを指すことがある。いくつかの例では、ソフトウェアアプリケーションは、「アプリケーション」、「アプリ」、または「プログラム」と呼ばれることがある。アプリケーションの例としては、システム診断アプリケーション、システム管理アプリケーション、システムメンテナンスアプリケーション、ワードプロセッシングアプリケーション、表計算アプリケーション、メッセージングアプリケーション、媒体ストリーミングアプリケーション、ソーシャルネットワーキングアプリケーション、ゲームアプリケーションなどがあるが、これらに限定されるものではない。
これらのコンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、またはコードとも呼ばれる)は、プログラマブルなプロセッサのための機械命令を備えており、高レベルの手続き型および/またはオブジェクト指向のプログラミング言語、および/またはアセンブリ/機械言語で実装することができる。本明細書において、「機械読取可能媒体」および「コンピュータ読取可能媒体」という用語は、機械読取可能信号として機械命令を受け取る機械読取可能媒体を備えている、機械命令および/またはデータをプログラマブルプロセッサに提供するべく使用される任意のコンピュータプログラム製品、非一時的なコンピュータ読取可能媒体、アパレイタスおよび/または装置(例えば、磁気ディスク、光ディスク、メモリ、プログラマブル論理装置(PLD))を意味する。「機械読取可能信号」という用語は、機械命令および/またはデータをプログラマブルプロセッサに提供するべく使用される任意の信号を指す。
本明細書に記載されている処理および論理フローは、データ処理ハードウェアとも呼ばれる1つまたは複数のプログラマブルプロセッサが、1つまたは複数のコンピュータプログラムを実行して、入力データを操作して出力を生成することで機能を実行することができる。また、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)などの特殊な論理回路によっても処理や論理フローを実行することができる。コンピュータプログラムの実行に適したプロセッサには、一例として、汎用および特殊目的のマイクロプロセッサの両方、および任意の種類のデジタルコンピュータの任意の1つまたは複数のプロセッサが含まれる。一般に、プロセッサは、読み取り専用メモリまたはランダムアクセスメモリ、あるいはその両方から命令とデータを受け取る。コンピュータの本質的な要素は、命令を実行するためのプロセッサと、命令やデータを記憶するための1つまたは複数のメモリ装置である。一般に、コンピュータは、データを記憶するための1つまたは複数の大容量ストレージ装置、例えば、磁気ディスク、光磁気ディスク、または光ディスクを備えているか、またはそれらからデータを受け取るか、またはデータを転送するようにそれらに動作可能に結合されるか、または両方である。しかし、コンピュータはそのような装置を持っている必要はない。コンピュータプログラムの命令やデータを記憶するのに適したコンピュータ読取可能媒体には、あらゆる形態の不揮発性メモリ、媒体、およびメモリ装置が含まれ、例として、半導体メモリ装置、例えばEPROM、EEPROM、およびフラッシュメモリ装置、磁気ディスク、例えば内蔵ハードディスクまたはリムーバブルディスク、光磁気ディスク、およびCD-ROMおよびDVD-ROMディスクが挙げられる。プロセッサとメモリは、特別な目的のための論理回路によって補完されたり、組み込まれたりする。
ユーザとのインタラクションを提供するべく、本開示の1つまたは複数の態様は、ユーザに情報を表示するためのディスプレイ装置、例えばCRT(cathode ray tube)、LCD(liquid crystal display)モニタ、またはタッチスクリーンと、任意でユーザがコンピュータに入力を提供することができるキーボードおよびポインティング装置、例えばマウスまたはトラックボールとを有するコンピュータ上で実装することができる。ユーザとのインタラクションを提供するべく同様に他の種類の装置が使用されることができ、例えば、ユーザに提供されるフィードバックは、視覚的なフィードバック、聴覚的なフィードバック、触覚的なフィードバックなど、あらゆる形態の感覚的なフィードバックであり、ユーザからの入力は、音響的な入力、音声的な入力、触覚的な入力など、あらゆる形態で受け取ることができる。さらに、コンピュータは、ユーザが用いる装置にドキュメントを送信したり、装置からドキュメントを受け取ったりすることで、ユーザと対話することができる。例えば、ユーザのクライアント装置上のウェブブラウザに、ウェブブラウザから受け取ったリクエストに応じてウェブページを送信することができる。
多数の実施例を説明してきた。それにもかかわらず、本開示の精神および範囲から逸脱することなく、様々な変更を行うことができることが理解されるであろう。したがって、他の実施態様は、以下の請求項の範囲内にある。

Claims (18)

  1. クライアント装置(10)のデータ処理ハードウェア(124)において、非信頼サーバ(111)に記憶されているクエリ要素(152)を引き出すべくクエリ命令(130)を実行する工程であって、前記クエリ命令(130)を実行する工程は、
    前記非信頼サーバ(111)に記憶されている前記クエリ要素(152)に関連する法(134)の素因数分解を選択する工程であって、前記素因数分解は2つ以上の素数(135)を備えている、前記素因数分解を選択する工程と、
    前記素因数分解の前記2つ以上の素数(135)のそれぞれ1つを生成するように構成されたグループ要素(133)を取得する工程と、
    前記法(134)の前記素因数分解と前記グループ要素(133)とを用いて、一連の底値(162)を生成する工程であって、前記一連の底値(162)を生成する工程は、
    前記非信頼サーバ(111)に記憶された指数(154)を表す位取り記数法(100)を取得する工程であって、前記位取り記数法(100)は前記クライアント装置(10)と前記非信頼サーバ(111)との間の通信についての帯域幅制限に基づき、前記クライアント装置(10)または前記非信頼サーバ(111)によって選択される、前記位取り記数法(100)を取得する工程と、
    前記位取り記数法(100)における桁位置に対応するそれぞれの基数要素(136)による前記グループ要素(133)のべき乗演算に基づき、前記一連の底値(162)内の各底値(162)を生成する工程と
    を備えている、前記一連の底値(162)を生成する工程と、
    前記一連の底値(162)を前記クライアント装置(10)から前記非信頼サーバ(111)に送信する工程であって、前記非信頼サーバ(111)は、前記一連の底値(162)を用いて、前記非信頼サーバ(111)に記憶されている前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、前記一連の底値(162)を送信する工程と、
    によって行われる、前記クエリ命令(130)を実行する工程と、および
    前記データ処理ハードウェア(124)において、前記非信頼サーバ(111)から結果(192)を受け取る工程であって、前記結果(192)は、前記非信頼サーバ(111)に記憶されている前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算に基づく、前記結果(192)を受け取る工程と、
    を備えている、方法(500)。
  2. 前記一連の底値(162)を生成する工程は、
    前記法(134)の素因数分解と前記グループ要素(133)とを用いて、一連の初期底値(162)を生成する工程と、
    一連の法削減底値(162)を生成するべく、前記一連の初期底値(162)における各初期底値(162)を前記法(134)によって削減する工程であって、各法削減底値(162)は、前記法(134)によって削減された前記一連の初期底値(162)におけるそれぞれの初期底値(162)を備えている、各初期底値(162)を前記法(134)によって削減する工程と、
    を備えており、
    前記一連の底値(162)を前記非信頼サーバ(111)に送信する工程は、前記一連の法削減底値(162)を前記非信頼サーバ(111)に送信する工程を備えており、
    前記非信頼サーバ(111)は、前記一連の法削減底値(162)を用いて、前記非信頼サーバ(111)に記憶された前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、
    請求項1に記載の方法(500)。
  3. 前記一連の底値(162)を前記非信頼サーバ(111)に送信する工程はさらに、前記法(134)を前記非信頼サーバ(111)に送信する工程を備えており、
    前記非信頼サーバ(111)は、
    前記一連の底値(162)を用いて、前記非信頼サーバ(111)に記憶された前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定する工程と、
    前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を前記法(134)で減らすことで、前記結果(192)を生成する工程と、
    前記結果(192)を前記クライアント装置(10)に送信する工程と、
    を実行するように構成されている、
    請求項1または2に記載の方法(500)。
  4. 前記方法(500)はさらに、前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を前記結果(192)が備えている場合に、前記データ処理ハードウェア(124)によって、前記法(134)で前記結果(192)を削減する工程を備えている、
    請求項1~3のいずれか一項に記載の方法(500)。
  5. 前記位取り記数法(100)は、2進法、16進法、または10進法のうちの1つを備えている、
    請求項1~4のいずれか一項に記載の方法(500)。
  6. 前記非信頼サーバ(111)に記憶されている前記指数(154)を表す前記位取り記数法(100)を取得する工程はさらに、前記位取り記数法(100)によって表される前記指数(154)の桁数(212)を取得する工程を備えており、
    前記指数(154)の前記桁数(212)は、実行された前記クエリ命令(130)によって生成された前記一連の底値(162)のうちの底値(162)の数に等しい、
    請求項1~4のいずれか一項に記載の方法(500)。
  7. 前記クライアント装置(10)から受け取った前記一連の底値(162)の各底値(162)について、前記指数(154)のそれぞれの桁位置における値を伴う前記底値(162)の前記べき乗演算を決定する工程と、
    前記指数(154)のそれぞれの前記桁位置における値を伴う前記底値(162)の前記べき乗演算同士を一緒に乗算する工程と、
    によって、前記非信頼サーバ(111)は、前記非信頼サーバ(111)に記憶されている前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、
    請求項1~のいずれか一項に記載の方法(500)。
  8. 前記結果(192)は、被クエリ要素に関連付けられている、
    請求項1~のいずれか一項に記載の方法(500)。
  9. 前記クライアント装置(10)は、前記法(134)の前記素因数分解を、前記非信頼サーバ(111)に決して明らかにしない、
    請求項1~のいずれか一項に記載の方法(500)。
  10. クライアント装置(10)のデータ処理ハードウェア(124)と、および
    前記データ処理ハードウェア(124)に通信するメモリハードウェア(122)であって、前記データ処理ハードウェア(124)上で実行されると前記データ処理ハードウェア(124)に動作を実行させる命令を記憶する前記メモリハードウェア(122)と、
    を備えているシステム(100)であって、前記動作は、
    非信頼サーバ(111)に記憶されているクエリ要素(152)を引き出すべくクエリ命令(130)を実行する工程であって、前記クエリ命令(130)を実行する工程は、
    前記非信頼サーバ(111)に記憶されている前記クエリ要素(152)に関連する法(134)の素因数分解を選択する工程であって、前記素因数分解は2つ以上の素数(135)を備えている、前記素因数分解を選択する工程と、
    前記素因数分解の前記2つ以上の素数(135)のそれぞれ1つを生成するように構成されたグループ要素(133)を取得する工程と、
    前記法(134)の前記素因数分解と前記グループ要素(133)とを用いて、一連の底値(162)を生成する工程であって、前記一連の底値(162)を生成する工程は、
    前記非信頼サーバ(111)に記憶された指数(154)を表す位取り記数法(100)を取得する工程であって、前記位取り記数法(100)は前記クライアント装置(10)と前記非信頼サーバ(111)との間の通信についての帯域幅制限に基づき、前記クライアント装置(10)または前記非信頼サーバ(111)によって選択される、前記位取り記数法(100)を取得する工程と、
    前記位取り記数法(100)における桁位置に対応するそれぞれの基数要素(136)による前記グループ要素(133)のべき乗演算に基づき、前記一連の底値(162)内の各底値(162)を生成する工程と、
    を備えている、前記一連の底値(162)を生成する工程と、
    前記一連の底値(162)を前記クライアント装置(10)から前記非信頼サーバ(111)に送信する工程であって、前記非信頼サーバ(111)は、前記一連の底値(162)を用いて、前記非信頼サーバ(111)に記憶されている前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、前記一連の底値(162)を送信する工程と、
    によって行われる、前記クエリ命令(130)を実行する工程と、および
    前記非信頼サーバ(111)から結果(192)を受け取る工程であって、前記結果(192)は、前記非信頼サーバ(111)に記憶された前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算に基づく、前記結果(192)を受け取る工程と、を備えている、
    システム(100)。
  11. 前記一連の底値(162)を生成する工程は、
    前記法(134)の前記素因数分解と前記グループ要素(133)とを用いて、一連の初期底値(162)を生成する工程と、
    一連の法削減底値(162)を生成するべく、前記一連の初期底値(162)における各初期底値(162)を前記法(134)によって削減する工程であって、各法削減底値(162)は、前記法(134)によって削減された前記一連の初期底値(162)におけるそれぞれの初期底値(162)を備えている、各初期底値(162)を前記法(134)によって削減する工程と、
    を備えており、
    前記一連の底値(162)を前記非信頼サーバ(111)に送信する工程は、前記一連の法削減底値(162)を前記非信頼サーバ(111)に送信する工程を備えており、
    前記非信頼サーバ(111)は、前記一連の法削減底値(162)を用いて、前記非信頼サーバ(111)に記憶された前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、
    請求項10に記載のシステム(100)。
  12. 前記一連の底値(162)を前記非信頼サーバ(111)に送信する工程はさらに、前記法(134)を前記非信頼サーバ(111)に送信する工程を備えており、
    前記非信頼サーバ(111)は、
    前記一連の底値(162)を用いて、前記非信頼サーバ(111)に記憶された前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定する工程と、
    前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を前記法(134)で減らすことで、前記結果(192)を生成する工程と、
    前記結果(192)を前記クライアント装置(10)に送信する工程と、
    を実行するように構成されている、
    請求項10または11に記載のシステム(100)。
  13. 前記動作はさらに、前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を前記結果(192)が備えている場合に、前記法(134)で前記結果(192)を削減する工程を備えている、
    請求項1012のいずれか一項に記載のシステム(100)。
  14. 前記位取り記数法(100)は、2進法、16進法、または10進法のうちの1つを備えている、
    請求項10~13のいずれか一項に記載のシステム(100)。
  15. 前記非信頼サーバ(111)に記憶されている前記指数(154)を表す前記位取り記数法(100)を取得する工程はさらに、前記位取り記数法(100)によって表される前記指数(154)の桁数(212)を取得する工程を備えており、
    前記指数(154)の前記桁数(212)は、実行された前記クエリ命令(130)によって生成された前記一連の底値(162)のうちの底値(162)の数に等しい、
    請求項10~14のいずれか一項に記載のシステム(100)。
  16. 前記クライアント装置(10)から受け取った前記一連の底値(162)の各底値(162)について、前記指数(154)のそれぞれの桁位置における値を伴う前記底値(162)の前記べき乗演算を決定する工程と、
    前記指数(154)のそれぞれの前記桁位置における値を伴う前記底値(162)の前記べき乗演算同士を一緒に乗算する工程と、
    によって、前記非信頼サーバ(111)は、前記非信頼サーバ(111)に記憶されている前記指数(154)を伴う前記グループ要素(133)の前記べき乗演算を決定するように構成されている、
    請求項10~15のいずれか一項に記載のシステム(100)。
  17. 前記結果(192)は、被クエリ要素に関連付けられている、
    請求項10~16のいずれか一項に記載のシステム(100)。
  18. 前記クライアント装置(10)は、前記法(134)の前記素因数分解を前記非信頼サーバ(111)に明らかにすることはない、
    請求項10~17のいずれか一項に記載のシステム(100)。
JP2021568063A 2019-05-14 2019-12-10 プライベートグループにおけるべき乗演算のアウトソーシング Active JP7133728B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/411,646 US11005654B2 (en) 2019-05-14 2019-05-14 Outsourcing exponentiation in a private group
US16/411,646 2019-05-14
PCT/US2019/065563 WO2020231471A1 (en) 2019-05-14 2019-12-10 Outsourcing exponentiation in a private group

Publications (2)

Publication Number Publication Date
JP2022534364A JP2022534364A (ja) 2022-07-29
JP7133728B2 true JP7133728B2 (ja) 2022-09-08

Family

ID=69173395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021568063A Active JP7133728B2 (ja) 2019-05-14 2019-12-10 プライベートグループにおけるべき乗演算のアウトソーシング

Country Status (6)

Country Link
US (2) US11005654B2 (ja)
EP (1) EP3963820A1 (ja)
JP (1) JP7133728B2 (ja)
KR (1) KR102384913B1 (ja)
TW (2) TWI783571B (ja)
WO (1) WO2020231471A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112650451B (zh) * 2020-12-28 2023-06-09 杭州趣链科技有限公司 查找网络服务器的优化方法、装置、计算机设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008500598A (ja) 2004-05-20 2008-01-10 株式会社エヌ・ティ・ティ・ドコモ 通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6282290B1 (en) * 1997-03-28 2001-08-28 Mykotronx, Inc. High speed modular exponentiator
US7086086B2 (en) * 1999-02-27 2006-08-01 Alonzo Ellis System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment
DE10024325B4 (de) 2000-05-17 2005-12-15 Giesecke & Devrient Gmbh Kryptographisches Verfahren und kryptographische Vorrichtung
US7421583B1 (en) 2000-06-19 2008-09-02 Xerox Corp System, method and article of manufacture for determining a price of cryptograph IC services based on a computational burden thereof
US6990468B1 (en) 2000-06-19 2006-01-24 Xerox Corporation System, method and article of manufacture for cryptoserver-based auction
US7051199B1 (en) 2000-06-19 2006-05-23 Xerox Corporation System, method and article of manufacture for providing cryptographic services utilizing a network
US6836784B2 (en) * 2001-01-17 2004-12-28 Matsushita Electric Industrial Co., Ltd. Efficient greatest common divisor algorithm using multiprecision arithmetic
US7016494B2 (en) * 2001-03-26 2006-03-21 Hewlett-Packard Development Company, L.P. Multiple cryptographic key precompute and store
JP4625011B2 (ja) 2003-05-21 2011-02-02 株式会社エヌ・ティ・ティ・ドコモ Rsaを用いるブロードキャスト暗号
US8005019B2 (en) * 2004-05-11 2011-08-23 Opnet Technologies, Inc. Fuzzy routing
JP2008512060A (ja) 2004-08-27 2008-04-17 株式会社エヌ・ティ・ティ・ドコモ 仮署名スキーム
US7315941B2 (en) 2004-12-17 2008-01-01 Ntt Docomo Inc. Multi-certificate revocation using encrypted proof data for proving certificate's validity or invalidity
US7266692B2 (en) 2004-12-17 2007-09-04 Ntt Docomo, Inc. Use of modular roots to perform authentication including, but not limited to, authentication of validity of digital certificates
US8132006B2 (en) 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
US7987201B2 (en) 2005-05-19 2011-07-26 Ntt Docomo, Inc. Method and apparatus for communication efficient private information retrieval and oblivious transfer
US9813415B2 (en) * 2007-04-02 2017-11-07 Abdul Rahman Syed Ibrahim Abdul Hameed Khan System and method of generating and using bilaterally generated variable instant passwords
EP2417726B1 (en) 2009-12-24 2016-03-30 NDS Limited Private key compression
KR101166129B1 (ko) * 2011-05-31 2012-07-23 서울대학교산학협력단 사전계산 테이블을 이용한 이산대수 계산 방법 및 그 장치
JP6417727B2 (ja) * 2014-06-09 2018-11-07 富士通株式会社 情報集約システム、プログラム、および方法
US20170293913A1 (en) 2016-04-12 2017-10-12 The Governing Council Of The University Of Toronto System and methods for validating and performing operations on homomorphically encrypted data
US20180115535A1 (en) 2016-10-24 2018-04-26 Netflix, Inc. Blind En/decryption for Multiple Clients Using a Single Key Pair
DE112017006021T5 (de) 2016-12-30 2019-08-22 Robert Bosch Gmbh Verfahren und System zur unscharfen Schlagwortsuche in verschlüsselten Daten
US10044509B1 (en) 2017-08-14 2018-08-07 Fmr Llc Method for encrypting and storing data
US11258861B2 (en) * 2018-06-29 2022-02-22 Intel Corporation Secure reporting of platform state information to a remote server
US10942909B2 (en) * 2018-09-25 2021-03-09 Salesforce.Com, Inc. Efficient production and consumption for data changes in a database under high concurrency
CN109740376B (zh) 2018-12-21 2020-11-13 哈尔滨工业大学(深圳) 基于近邻查询的位置隐私保护方法、系统、设备及介质
US11615301B2 (en) * 2019-09-03 2023-03-28 Microsoft Technology Licensing, Llc Lossless exponent and lossy mantissa weight compression for training deep neural networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008500598A (ja) 2004-05-20 2008-01-10 株式会社エヌ・ティ・ティ・ドコモ 通信効率の良い秘匿情報検索及び紛失通信のための方法及び装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Christian Cachin, Silvio Micali, and Markus Stadler,"Computationally Private Information Retrieval with Polylogarithmic Communication",Lecture Notes in Computer Science, Advances in Cryptology - EUROCRYPT'99,1999年05月,Vol.1592,p.402-414

Also Published As

Publication number Publication date
CN114128208A (zh) 2022-03-01
EP3963820A1 (en) 2022-03-09
US11943352B2 (en) 2024-03-26
US20200366482A1 (en) 2020-11-19
KR20220002668A (ko) 2022-01-06
US11005654B2 (en) 2021-05-11
KR102384913B1 (ko) 2022-04-08
TWI783571B (zh) 2022-11-11
WO2020231471A1 (en) 2020-11-19
TWI736065B (zh) 2021-08-11
TW202042053A (zh) 2020-11-16
TW202141262A (zh) 2021-11-01
JP2022534364A (ja) 2022-07-29
US20210234688A1 (en) 2021-07-29

Similar Documents

Publication Publication Date Title
US9742556B2 (en) Comparison and search operations of encrypted data
CN110417726A (zh) 一种密钥管理方法及相关设备
US20230185960A1 (en) Private Information Retrieval with Sublinear Public-Key Operations
Pitchai et al. Searchable encrypted data file sharing method using public cloud service for secure storage in cloud computing
Taha et al. An improved security schema for mobile cloud computing using hybrid cryptographic algorithms
Nassar et al. Securing aggregate queries for DNA databases
JP7133728B2 (ja) プライベートグループにおけるべき乗演算のアウトソーシング
Hu et al. Efficient parallel secure outsourcing of modular exponentiation to cloud for IoT applications
Markovskyi et al. Secure modular exponentiation in cloud systems
WO2022012162A1 (zh) 基于矩阵运算的数据加密方法、装置、电子设备及存储介质
Al-Shorman et al. Performance of Parallel RSA on IMAN1 Supercomputer
CN114128208B (zh) 在私人群组中进行委外取幂的方法和系统
Bardis Secure, green implementation of modular arithmetic operations for IoT and cloud applications
JPWO2020152831A1 (ja) 情報処理装置、秘密計算方法及びプログラム
JP7212179B2 (ja) Rlwe暗号文の圧縮および忘却型展開
Wang et al. EPSLP: Efficient and privacy-preserving single-layer perceptron learning in cloud computing
Bisseling et al. Mondriaan sparse matrix partitioning for attacking cryptosystems by a parallel block Lanczos algorithm–A case study
US20230085239A1 (en) Querying fully homomorphic encryption encrypted databases using client-side preprocessing or post-processing
Bahadori et al. A programmable SoC implementation of the DGK cryptosystem for privacy-enhancing technologies
CN111461178B (zh) 数据处理方法、系统及装置
KR20230144435A (ko) 동형 암호 연산 장치 및 방법
Dams et al. WIDESEAS: A lattice-based PIR scheme implemented in EncryptedQuery
JP2024516387A (ja) モジュラ算術演算を加速する方法、システム、プログラム
Gotfryd et al. RiffleScrambler–a memory-hard password storing function
Salač Distributed application for cryptanalysis of public–key cryptosystems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220706

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220829

R150 Certificate of patent or registration of utility model

Ref document number: 7133728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150