JP7185346B1 - 暗号処理装置、暗号処理方法、及び暗号処理プログラム - Google Patents
暗号処理装置、暗号処理方法、及び暗号処理プログラム Download PDFInfo
- Publication number
- JP7185346B1 JP7185346B1 JP2021102510A JP2021102510A JP7185346B1 JP 7185346 B1 JP7185346 B1 JP 7185346B1 JP 2021102510 A JP2021102510 A JP 2021102510A JP 2021102510 A JP2021102510 A JP 2021102510A JP 7185346 B1 JP7185346 B1 JP 7185346B1
- Authority
- JP
- Japan
- Prior art keywords
- ciphertext
- plaintext
- polynomial
- cryptographic processing
- homomorphic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 154
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims abstract description 32
- 239000000284 extract Substances 0.000 claims description 5
- 230000006870 function Effects 0.000 description 19
- 239000013598 vector Substances 0.000 description 19
- 238000007792 addition Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 15
- 239000000654 additive Substances 0.000 description 12
- 230000000996 additive effect Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 12
- 125000004122 cyclic group Chemical group 0.000 description 8
- 238000000354 decomposition reaction Methods 0.000 description 6
- 230000002776 aggregation Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 5
- 230000015654 memory Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3093—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computing Systems (AREA)
- Complex Calculations (AREA)
Abstract
【課題】完全準同型暗号を実現する全加算器の演算を高速化する。【解決手段】暗号処理装置が処理する暗号文は、2種類の値を平文として有し、復号することなく論理演算を行うことにより種々の演算が可能な完全準同型暗号文であり、受付部が受け付けた暗号文に対して論理演算を行う演算部と、演算部による演算結果を出力する出力部と、を備え、演算部は、暗号文として、新たな暗号文を複数算出するとき、準同型演算の結果と多項式とを用いて算出した一の暗号文から新たな暗号文を算出する処理を複数回行うことにより論理演算(準同型演算)の回数を削減する。【選択図】図2
Description
本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。
準同型暗号(Homomorphic Encryption)は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
加法準同型暗号は、有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う。また、乗法準同型暗号は、有限巡回群を整数に見立てて、乗法演算(乗算)のみを行う。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。なお、完全準同型暗号はLWE暗号に限定されない。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
加法準同型暗号は、有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う。また、乗法準同型暗号は、有限巡回群を整数に見立てて、乗法演算(乗算)のみを行う。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。なお、完全準同型暗号はLWE暗号に限定されない。
LWE問題に基づく完全準同型暗号では、演算を行うとともに誤差が蓄積されていくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingが実行される。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene
ところで、準同型暗号には、平文として2値を持ち論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり非特許文献1に示されるTFHEはBit-wise型である。
Bit-wise型の準同型暗号において、1つの暗号文は1bitの情報しか持ち得ないため、例えば32bitの整数を扱おうとすると32個の暗号文を処理する必要がある。
整数同士の加算や減算、乗算や比較は様々なデータ処理で多用される。1bitの情報を持つ暗号文を用いる場合、論理回路を設計するイメージで演算を行うが、32bitの整数の加算・減算の場合は1個の半加算器と、31個の全加算器を用いる。乗算の場合は、約32の2乗(1024)個近くの全加算器を用いる。
従って、完全準同型暗号の処理時間を低減し、さらに効率化を図るためには、bootstrappingを含む全加算器の演算を高速化する必要がある。
本発明はこのような事情を鑑みてなされたものであり、一側面として、完全準同型暗号に必要な全加算器の構成に用いられる半加算器の演算を高速化し、完全準同型暗号の処理時間を低減することを目的とする。
Bit-wise型の準同型暗号において、1つの暗号文は1bitの情報しか持ち得ないため、例えば32bitの整数を扱おうとすると32個の暗号文を処理する必要がある。
整数同士の加算や減算、乗算や比較は様々なデータ処理で多用される。1bitの情報を持つ暗号文を用いる場合、論理回路を設計するイメージで演算を行うが、32bitの整数の加算・減算の場合は1個の半加算器と、31個の全加算器を用いる。乗算の場合は、約32の2乗(1024)個近くの全加算器を用いる。
従って、完全準同型暗号の処理時間を低減し、さらに効率化を図るためには、bootstrappingを含む全加算器の演算を高速化する必要がある。
本発明はこのような事情を鑑みてなされたものであり、一側面として、完全準同型暗号に必要な全加算器の構成に用いられる半加算器の演算を高速化し、完全準同型暗号の処理時間を低減することを目的とする。
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、シンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、入力された前記暗号文に基づいて複数の新たな暗号文を算出することを含む所定の演算を行い、入力された前記暗号文に対して準同型演算を行う第1演算部と、前記第1演算部による準同型演算の結果に対して所定の多項式を用いることにより多項式を平文として持つ第1暗号文を算出し、前記第1暗号文の平文多項式の一の係数を平文として持つ第2暗号文を抽出する第1算出部と、前記第1暗号文の平文多項式の他の係数を平文として持つ第3暗号文を抽出する第2算出部と、前記第2暗号文と前記第3暗号文とを用いて準同型演算を行い、第4暗号文を算出する第2演算部と、を備える、ことを特徴とする。
本発明によれば、一側面として、全加算器の構成に用いられる半加算器の演算を高速化して完全準同型暗号の処理時間を低減することが出来る。
以下に、図面を参照して本発明の実施の形態を詳細に説明する。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
本実施形態の暗号処理装置は、完全準同型暗号を用いて全加算器の演算を行う。本実施形態の暗号処理装置は、完全準同型暗号であるTFHEを用いて演算を行う際に多用される全加算器の演算をより高速に行う。
暗号処理装置に含まれる、全加算器を構成するAND回路部、XOR回路部の夫々において、Bit-wise型の準同型暗号に対するANDを得るための演算、XORを得るための演算を行うことが知られている。
しかし、完全準同型暗号とするためには、ANDを得るための演算、XORを得るための演算のあとで、下記に説明するGate Bootstrappingと呼ばれる誤差を削減する処理が必要であり、このGate Bootstrappingの処理に時間を要していた。
全加算器は一般的に、半加算器2つとORを得るための演算を行うOR回路部1つとで構成され、半加算器は、ANDを得るための演算を行うAND回路部と、XORを得るための演算を行うXOR回路部とのペアとして構成する。従って半加算器を高速化することで全加算器を高速化することができる。
本実施形態では、半加算器を構成する演算(ANDを得るための演算、XORを得るための演算)を一つにまとめることによって半加算器を構成する準同型演算の回数を削減し、ひいては全加算器を構成する準同型演算の回数を削減する。
これにより、本実施形態の暗号処理装置は、各準同型演算の後段で行われるGate Bootstrappingの回数を減らし、全加算器の演算を高速化することが出来る。
暗号処理装置に含まれる、全加算器を構成するAND回路部、XOR回路部の夫々において、Bit-wise型の準同型暗号に対するANDを得るための演算、XORを得るための演算を行うことが知られている。
しかし、完全準同型暗号とするためには、ANDを得るための演算、XORを得るための演算のあとで、下記に説明するGate Bootstrappingと呼ばれる誤差を削減する処理が必要であり、このGate Bootstrappingの処理に時間を要していた。
全加算器は一般的に、半加算器2つとORを得るための演算を行うOR回路部1つとで構成され、半加算器は、ANDを得るための演算を行うAND回路部と、XORを得るための演算を行うXOR回路部とのペアとして構成する。従って半加算器を高速化することで全加算器を高速化することができる。
本実施形態では、半加算器を構成する演算(ANDを得るための演算、XORを得るための演算)を一つにまとめることによって半加算器を構成する準同型演算の回数を削減し、ひいては全加算器を構成する準同型演算の回数を削減する。
これにより、本実施形態の暗号処理装置は、各準同型演算の後段で行われるGate Bootstrappingの回数を減らし、全加算器の演算を高速化することが出来る。
図1は、最小の論理演算素子数による全加算器回路を例示する図である。
図1は、論理演算素子によるハードウェア回路で全加算器を説明しているが、全加算器をソフトウェアで実装したCPUが実行する全加算器プログラムであると考えてもよい。
Bit-wise型の準同型暗号の処理をソフトウェアで実装するとき、暗号文に対して論理回路(論理ゲート)を設計するイメージで演算を行う。
それは、図2以降で説明する本実施形態の暗号処理装置についても同様である。
全加算器回路50は、2つの半加算器51、52と1つのOR回路部(ORを得るための演算処理部)53から構成される。
第1半加算器51は、AND回路部(ANDを得るための演算処理部)51AとXOR回路部(XORを得るための演算処理部)51Bを備える。
第2半加算器52は、AND回路部(ANDを得るための演算処理部)52AとXOR回路部(XORを得るための演算処理部)52Bを備える。
加算される入力Aと入力Bが第1半加算器51のAND回路部51AとXOR回路部51Bに入力される。
第1半加算器51のAND回路部51Aの出力と、第2半加算器52のAND回路部52Aの出力と、が後段のOR回路部53に入力され、OR回路部53からは桁上げ出力C0(Carry out)が出力される。
第1半加算器51のXOR回路部51Bからの出力と、桁上げ入力Ci(Carry in)が第2半加算器52のAND回路部52AとXOR回路部52Bに入力される。
第2半加算器52のXOR回路部52Bからは、全加算器回路50の出力S(Sum)が出力される。
図1は、論理演算素子によるハードウェア回路で全加算器を説明しているが、全加算器をソフトウェアで実装したCPUが実行する全加算器プログラムであると考えてもよい。
Bit-wise型の準同型暗号の処理をソフトウェアで実装するとき、暗号文に対して論理回路(論理ゲート)を設計するイメージで演算を行う。
それは、図2以降で説明する本実施形態の暗号処理装置についても同様である。
全加算器回路50は、2つの半加算器51、52と1つのOR回路部(ORを得るための演算処理部)53から構成される。
第1半加算器51は、AND回路部(ANDを得るための演算処理部)51AとXOR回路部(XORを得るための演算処理部)51Bを備える。
第2半加算器52は、AND回路部(ANDを得るための演算処理部)52AとXOR回路部(XORを得るための演算処理部)52Bを備える。
加算される入力Aと入力Bが第1半加算器51のAND回路部51AとXOR回路部51Bに入力される。
第1半加算器51のAND回路部51Aの出力と、第2半加算器52のAND回路部52Aの出力と、が後段のOR回路部53に入力され、OR回路部53からは桁上げ出力C0(Carry out)が出力される。
第1半加算器51のXOR回路部51Bからの出力と、桁上げ入力Ci(Carry in)が第2半加算器52のAND回路部52AとXOR回路部52Bに入力される。
第2半加算器52のXOR回路部52Bからは、全加算器回路50の出力S(Sum)が出力される。
図1に示すように、全加算器50は、2つのAND回路部と2つのXOR回路部とOR回路部を備えており、全部で5つの論理演算素子(論理演算素子に対応する処理部)を備えている。
従って、1つの全加算器の演算につき、論理演算素子5つ分の演算時間が必要である。上記論文に示されるTFHEの場合、1つの論理演算素子の演算には約16msの演算時間を要し、論理演算素子を5つ備える全加算器50全体では、約80msの演算時間を要する。TFHEによる完全準同型暗号の演算に用いる場合、5つの論理演算素子の前段部の演算(準同型演算)の後段で、夫々Gate Bootstrappingを行う必要がある。なお、準同型論理演算の処理時間のほぼすべてをGate Bootstrappingが占めている。
従って、図1の全加算器回路50による完全準同型暗号の演算にはGate Bootstrapping5回分の演算時間を要するとみなしても構わない。
なお、半加算器51、半加算器52を構成するAND回路部とXOR回路部の演算には依存関係がないため、全加算器をソフトウェアで構成する場合には、マルチスレッドなどの手法で並列演算を行うことが出来る。
並列演算によって、半加算器の演算を1つの論理演算素子分の演算時間で行うことが出来る。
従って、図1に示す1つの全加算器の演算を3つの論理演算素子分の演算時間で演算を実行することが出来る。ただし、この場合でも1つの全加算器の演算に48msの演算時間を要する。これは、Gate Bootstrapping 3回分の演算時間とほぼ同じである。
従って、1つの全加算器の演算につき、論理演算素子5つ分の演算時間が必要である。上記論文に示されるTFHEの場合、1つの論理演算素子の演算には約16msの演算時間を要し、論理演算素子を5つ備える全加算器50全体では、約80msの演算時間を要する。TFHEによる完全準同型暗号の演算に用いる場合、5つの論理演算素子の前段部の演算(準同型演算)の後段で、夫々Gate Bootstrappingを行う必要がある。なお、準同型論理演算の処理時間のほぼすべてをGate Bootstrappingが占めている。
従って、図1の全加算器回路50による完全準同型暗号の演算にはGate Bootstrapping5回分の演算時間を要するとみなしても構わない。
なお、半加算器51、半加算器52を構成するAND回路部とXOR回路部の演算には依存関係がないため、全加算器をソフトウェアで構成する場合には、マルチスレッドなどの手法で並列演算を行うことが出来る。
並列演算によって、半加算器の演算を1つの論理演算素子分の演算時間で行うことが出来る。
従って、図1に示す1つの全加算器の演算を3つの論理演算素子分の演算時間で演算を実行することが出来る。ただし、この場合でも1つの全加算器の演算に48msの演算時間を要する。これは、Gate Bootstrapping 3回分の演算時間とほぼ同じである。
TFHEは、AND回路部とXOR回路部などの論理ゲートをベースとするBit-wise型暗号である。
全加算器を使用することで、整数の加減乗除(四則演算)の全てと比較演算に対応することが出来る。
しかしながら、Bit-wise型暗号は、1つの暗号文は1bitの情報しか持ち得ない。
整数同士の加算、減算、乗算、除算や比較(比較は減算結果の正負と等価である)は様々なデータ処理で多用されるが、扱われるデータは、ビット長が大きいものが通常である。
例えば、32bitの整数を扱おうとすると、32個の暗号文を処理する必要がある。
全加算器を使用することで、整数の加減乗除(四則演算)の全てと比較演算に対応することが出来る。
しかしながら、Bit-wise型暗号は、1つの暗号文は1bitの情報しか持ち得ない。
整数同士の加算、減算、乗算、除算や比較(比較は減算結果の正負と等価である)は様々なデータ処理で多用されるが、扱われるデータは、ビット長が大きいものが通常である。
例えば、32bitの整数を扱おうとすると、32個の暗号文を処理する必要がある。
Bit-wise型の完全準同型暗号について32bitの整数の加算・減算を行う場合は、1個の半加算器と、31個の全加算器を用いる。また、乗算を行う場合は、約32の2乗(1024)個近くの全加算器を用いる。
完全準同型暗号の演算(四則演算と比較)をさらに実用的なものにするためには、完全準同型暗号の演算に多用される全加算器の演算をより高速化することが重要となる。
下記に説明するように、本実施形態の暗号処理装置は、特に完全準同型暗号の演算に用いる全加算器において、Gate BootstrappingのBlindRotate1回にSampleExtractを複数回行い、各SampleExtractの結果得られる暗号文同士の演算を行うことで準同型演算の回数を減らす。その結果、本実施形態の暗号処理装置は、準同型演算の後段の、長い演算時間を要するGate Bootstrapping(特に長い時間を要するBlindRotate)の回数を減らし、完全準同型暗号の処理時間を大幅に低減することが出来る。
完全準同型暗号の演算(四則演算と比較)をさらに実用的なものにするためには、完全準同型暗号の演算に多用される全加算器の演算をより高速化することが重要となる。
下記に説明するように、本実施形態の暗号処理装置は、特に完全準同型暗号の演算に用いる全加算器において、Gate BootstrappingのBlindRotate1回にSampleExtractを複数回行い、各SampleExtractの結果得られる暗号文同士の演算を行うことで準同型演算の回数を減らす。その結果、本実施形態の暗号処理装置は、準同型演算の後段の、長い演算時間を要するGate Bootstrapping(特に長い時間を要するBlindRotate)の回数を減らし、完全準同型暗号の処理時間を大幅に低減することが出来る。
図2は、本実施形態の暗号処理装置の機能構成を説明する図である。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)15と、第2Bootstrapping部(第2算出部)16と、出力部18と、を備えている。
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。
第1演算部12は、受付部11が受け付けた入力暗号に対して、第1準同型演算を行う。
第2演算部13は、第1Bootstrapping部15からの暗号文と第2Bootstrapping部16からの一時暗号文とに対して第2準同型演算を行う。
第1演算部12、第2演算部13は、図1で説明した論理ゲート(AND回路部、XOR回路部)による全加算器の演算(準同型演算)をソフトウェアで実現する演算処理部である。なお、第1演算部12、第2演算部13の少なくとも一つが、ハードウェアで実現されてもよい。
第1Bootstrapping部15は、第1演算部12の第1準同型演算結果に基づいて、Gate Bootstrappingの処理を行い、半加算器の桁上げ出力を得る。
第2Bootstrapping部16は、第1演算部12の第1準同型演算結果と第2演算部12の第1準同型演算結果と基づいてGate Bootstrappingの処理を行い、半加算器の和の出力を得る。
出力部18は、最終的な演算結果を暗号処理装置1の外部、あるいは、暗号処理装置1で実行される別の処理プロセスに対して出力する。
記憶部20は、入力暗号文や、全加算器の演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は暗号処理装置1に対して演算処理対象の暗号文を入力する。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)15と、第2Bootstrapping部(第2算出部)16と、出力部18と、を備えている。
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。
第1演算部12は、受付部11が受け付けた入力暗号に対して、第1準同型演算を行う。
第2演算部13は、第1Bootstrapping部15からの暗号文と第2Bootstrapping部16からの一時暗号文とに対して第2準同型演算を行う。
第1演算部12、第2演算部13は、図1で説明した論理ゲート(AND回路部、XOR回路部)による全加算器の演算(準同型演算)をソフトウェアで実現する演算処理部である。なお、第1演算部12、第2演算部13の少なくとも一つが、ハードウェアで実現されてもよい。
第1Bootstrapping部15は、第1演算部12の第1準同型演算結果に基づいて、Gate Bootstrappingの処理を行い、半加算器の桁上げ出力を得る。
第2Bootstrapping部16は、第1演算部12の第1準同型演算結果と第2演算部12の第1準同型演算結果と基づいてGate Bootstrappingの処理を行い、半加算器の和の出力を得る。
出力部18は、最終的な演算結果を暗号処理装置1の外部、あるいは、暗号処理装置1で実行される別の処理プロセスに対して出力する。
記憶部20は、入力暗号文や、全加算器の演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は暗号処理装置1に対して演算処理対象の暗号文を入力する。
図3、図4は、図2の機能構成に基づく全加算器の演算プロセスを詳しく説明する図である。
図3、図4の説明において、暗号処理装置1に入力される暗号文ca、cb、ccは、いずれも上記論文に示されるTLWE暗号文である。
下記に詳しく説明するが、TLWE暗号は、0又はμ(非0)の値を平文として有するBit-wise型の完全準同型暗号である。
論理ゲートを用いた論理演算によって様々な演算を行うことができる。
また後述するように、TLWE暗号文は、二進数のシンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能である。
図3、図4の説明において、暗号処理装置1に入力される暗号文ca、cb、ccは、いずれも上記論文に示されるTLWE暗号文である。
下記に詳しく説明するが、TLWE暗号は、0又はμ(非0)の値を平文として有するBit-wise型の完全準同型暗号である。
論理ゲートを用いた論理演算によって様々な演算を行うことができる。
また後述するように、TLWE暗号文は、二進数のシンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能である。
図3、図4に示す構成では、非特許文献1の論文(上記論文)で提示された(2値)Gate Bootstrappingを使用する。
上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
図3に示す前段の半加算器51の処理では、入力された暗号文ca、cbを第1演算部12に入力して準同型演算を行い、その演算結果(暗号文ca+cb)を2値Gate Bootstrappingを行う第1Bootstrapping部15に入力する。
2値Gate Bootstrappingの出力は、平文として2値(0,μ)の何れかを取り得る暗号文である。
上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
図3に示す前段の半加算器51の処理では、入力された暗号文ca、cbを第1演算部12に入力して準同型演算を行い、その演算結果(暗号文ca+cb)を2値Gate Bootstrappingを行う第1Bootstrapping部15に入力する。
2値Gate Bootstrappingの出力は、平文として2値(0,μ)の何れかを取り得る暗号文である。
第1演算部12の出力が第1Bootstrapping部15に入力され、第1Bootstrapping部15は、Bootstrapping処理として、第1演算部12の演算結果に対してBlindRotateを行う。
第1Bootstrapping部15は、BlindRotateの結果に得られたTRLWE暗号文に対して0位置でのSampleExtract(0)を行う。
その結果、得られるTLWE暗号文cy1に対して第1Bootstrapping部15はキースイッチングを行い、半加算器51の桁上げ出力として出力する。
第2Bootstrapping部16は、第1Bootstrapping部15よるBlindRotateの結果に対して、n/2位置でのSampleExtract(n/2)を行い、TLWE暗号文ct1を得る。
また第2演算部13は、第1Bootstrapping部15、第2Bootstrapping部16によるSampleExtractで得られたTLWE暗号文cy1、TLWE暗号文ct1に対する準同型演算を行い、TLWE暗号文cz1を得る。
第2Bootstrapping部16は、TLWE暗号文cz1に対してキースイッチングを行って、半加算器の和として出力する。
第1Bootstrapping部15は、BlindRotateの結果に得られたTRLWE暗号文に対して0位置でのSampleExtract(0)を行う。
その結果、得られるTLWE暗号文cy1に対して第1Bootstrapping部15はキースイッチングを行い、半加算器51の桁上げ出力として出力する。
第2Bootstrapping部16は、第1Bootstrapping部15よるBlindRotateの結果に対して、n/2位置でのSampleExtract(n/2)を行い、TLWE暗号文ct1を得る。
また第2演算部13は、第1Bootstrapping部15、第2Bootstrapping部16によるSampleExtractで得られたTLWE暗号文cy1、TLWE暗号文ct1に対する準同型演算を行い、TLWE暗号文cz1を得る。
第2Bootstrapping部16は、TLWE暗号文cz1に対してキースイッチングを行って、半加算器の和として出力する。
図4に示す後段の半加算器52の処理では、入力された暗号文cz1、ccを第1演算部12に入力して準同型演算を行い、その演算結果(暗号文cz1+cc)を2値Gate Bootstrappingを行う第1Bootstrapping部15に入力する。
第1演算部12の出力が第1Bootstrapping部15に入力され、第1Bootstrapping部15は、Bootstrapping処理として、第1演算部12の演算結果に対してBlindRotateを行う。
第1Bootstrapping部15は、BlindRotateの結果に得られたTRLWE暗号文に対して0位置でのSampleExtract(0)を行う。
その結果、得られるTLWE暗号文cy1に対して第1Bootstrapping部15はキースイッチングを行い、半加算器52の桁上げ出力として出力する。
第1演算部12の出力が第1Bootstrapping部15に入力され、第1Bootstrapping部15は、Bootstrapping処理として、第1演算部12の演算結果に対してBlindRotateを行う。
第1Bootstrapping部15は、BlindRotateの結果に得られたTRLWE暗号文に対して0位置でのSampleExtract(0)を行う。
その結果、得られるTLWE暗号文cy1に対して第1Bootstrapping部15はキースイッチングを行い、半加算器52の桁上げ出力として出力する。
第2Bootstrapping部16は、第1Bootstrapping部15よるBlindRotateの結果に対して、n/2位置でのSampleExtract(n/2)を行い、TLWE暗号文ct1を得る。
また第2演算部13は、第1Bootstrapping部15、第2Bootstrapping部16によるSampleExtractで得られたTLWE暗号文cy1、TLWE暗号文ct1に対する準同型演算を行い、TLWE暗号文cz1を得る。
第2Bootstrapping部16は、TLWE暗号文cz1に対してキースイッチングを行って、半加算器の和、すなわち全加算器の和として出力する。
また第2演算部13は、第1Bootstrapping部15、第2Bootstrapping部16によるSampleExtractで得られたTLWE暗号文cy1、TLWE暗号文ct1に対する準同型演算を行い、TLWE暗号文cz1を得る。
第2Bootstrapping部16は、TLWE暗号文cz1に対してキースイッチングを行って、半加算器の和、すなわち全加算器の和として出力する。
第1演算部12による準同型演算、第2演算部13による準同型演算に要する時間は微々たるものである。
Gate Bootstrappingは、準同型演算を用いて全加算器を処理するとき、ほとんど全ての処理時間を消費している。そして、Gate Bootstrappingの処理時間のほとんどはBlindRotateによって占められている。
Gate Bootstrappingは、準同型演算を用いて全加算器を処理するとき、ほとんど全ての処理時間を消費している。そして、Gate Bootstrappingの処理時間のほとんどはBlindRotateによって占められている。
図1に示す全加算器回路50のように、2値Gate Bootstrappingを用いて全加算器の演算を行う場合、AND回路部51A、52A、XOR回路部51B、52B、OR回路部53の後段で夫々1回、全体で5回Gate Bootstrappingを実行する必要がある。
暗号処理装置1では、準同型演算処理のほぼ全てを占めるGate Bootstrapping、特に時間のかかるBlindRotateの回数を全体で3回に減らすることが出来る。3回とは、上記の半加算器1つにつき1回で計2回のBlindRotateと、OR回路部のGate Bootstrappingにおける1回のBlindRotateと、を合わせた数である。
図1に示す全加算器回路50と比較して、暗号処理装置1は、単純に計算処理時間を約40%削減することが出来る。詳しくは後述する。
完全準同型暗号に関する全加算器の演算時間のほぼ全てをGate Bootstrappingが占めるので、暗号処理装置1は、Gate Bootstrappingの回数を削減することによって、全加算器の演算を著しく高速化することが出来る。
暗号処理装置1では、準同型演算処理のほぼ全てを占めるGate Bootstrapping、特に時間のかかるBlindRotateの回数を全体で3回に減らすることが出来る。3回とは、上記の半加算器1つにつき1回で計2回のBlindRotateと、OR回路部のGate Bootstrappingにおける1回のBlindRotateと、を合わせた数である。
図1に示す全加算器回路50と比較して、暗号処理装置1は、単純に計算処理時間を約40%削減することが出来る。詳しくは後述する。
完全準同型暗号に関する全加算器の演算時間のほぼ全てをGate Bootstrappingが占めるので、暗号処理装置1は、Gate Bootstrappingの回数を削減することによって、全加算器の演算を著しく高速化することが出来る。
TFHEで説明されるGate Bootstrappingについて詳述する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE暗号を円周群上で構成した「TLWE暗号」と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE暗号を円周群上で構成した「TLWE暗号」と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
図5は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の点0、又は円周群{T}上の0以外(非0)の任意の点に対応する実数μを平文として有する。TLWE暗号自体は円周群上の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の点0、又は円周群{T}上の0以外(非0)の任意の点に対応する実数μを平文として有する。TLWE暗号自体は円周群上の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
[TLWE暗号]
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは、平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する、ことを繰り返していくことで、様々な演算を実現する。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは、平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する、ことを繰り返していくことで、様々な演算を実現する。
なお、下記において、([0],μ)などの自明な暗号文(trivial)は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
([0],μ)において、[0]は、ゼロベクトルを表す。
自明な暗号文は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
([0],μ)において、[0]は、ゼロベクトルを表す。
自明な暗号文は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
TFHEのGate Bootstrappingで用いる有限巡回群を説明する。
Gate Bootstrappingでは、多項式環の剰余環を有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると環をなし、これを多項式環と呼ぶ。
Gate Bootstrappingでは、多項式環の剰余環を有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると環をなし、これを多項式環と呼ぶ。
TFHEでは、有限巡回群である円周群{T}を係数とする多項式環を用い、このような多項式環をT[X]と表記する。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた環であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた環であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環の剰余環T[X]/(Xn+1)の要素(元)として、任意の係数μ(μ∈T)を用いて、多項式F(X)=μXn-1+μXn-2+・・・+μX+μを取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる。すなわち、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる。すなわち、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
さらにXを掛け続けると、
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つずれる。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つずれる。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
[TRLWE暗号]
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
0,1の2値からランダムにn個を集めて、下記の秘密鍵となる多項式s(X)を組み立てる。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
[Gadget Decomposition]
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
円周群{T}上では、0.75=-0.25であるので、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
ベクトルから暗号文に逆変換する作用素Hも定義する。
上記の例に基づいて説明すると、
という行列が、逆変換の作用素Hとなる。Dec(d)・Hを演算することで、TRLWE暗号文d’が得られる。下位ビットは四捨五入をしてまるめられている。
上記の例に基づいて説明すると、
TRLWE暗号文dに対して、||d-[v]・H||が最小値となる[v]を得る操作が、Gadget Decompositionであるとも言える。ここで||はベクトルのノルム(長さ)である。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
この暗号文kをTRGSW暗号文BKとして定義する。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
Bootstrapping Keyを説明する。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
とする。
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
TRGSW暗号文BKiとTRLWE暗号文dの外積を、
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
となる。
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
となり、下記の3つの暗号文c1、c2、c3の和の計算と同じとなる。
TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
そうするとφs’(BKi×d)=φs’(si×d)となるが、siが0であっても1であっても計算結果は上記3つの暗号文c1、c2、c3の和になる。単純な比較でsiが0と1の何れであるかを判別することができない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
TFHEの2値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
図6は、2値Gate Bootstrappingの動作イメージ図である。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図5の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図5の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
(1)BlindRotate
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
平文μ1を秘密鍵[s]で暗号化したTLWE暗号文cがあるとする。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
そうすると、siが0の時は、平文はそのまま変わらず、siが1の時は、Xa’iが順番に乗算されていく。
従って、
と繰り返すと、
となる。
ここで、
は、復号関数φs(c’)の符号を反転したものに等しいので、
となる。ここでφs’(An)は、多項式T(X)にX-1をμ1’回乗算した多項式の暗号文である。
従って、
ここで、
(2)SampleExtract
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
TLWE暗号文csを得るための処理を説明する。
全てのTRLWE暗号文は、次数をnとして、
と多項式をおいて、(A(X),B(X))と表現することができる。
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
とおいて、
と展開することができる。
全てのTRLWE暗号文は、次数をnとして、
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
これに対して下記の演算を行い、
を得る。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
が得られる。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
さらに、
とおくと、
となり、
から、平文多項式の各項の係数が求まる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
が得られる。
とおくと、
のように、TLWE暗号の復号関数に変形することができる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
つまり、(1)のBlindRotateで得たTRLWE暗号文An=(A(X),B(X))から、係数を
として取り出すと、元のTRLWE暗号文Anに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号([a”],b1)が得られた。この新しいTLWE暗号文は、平文として-μ又はμの2種類を有する。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)がSampleExtractの出力である。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
このSampleExtractの出力結果に、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)がSampleExtractの出力である。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
このSampleExtractの出力結果に、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
(3)キースイッチング
(2)のSampleExtractを用いて得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
NAND演算に用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
と、円周群{T}の要素、0から1の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[s]である。「桁数」tはシステムパラメータである。
秘密鍵[s]で復号すると、
となる。これが「キースイッチングキー」である。
上記したように(2)で得られたTLWE暗号文cs=([a]、b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
の形式で書くことができる。
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
([0],b)の項は自明な暗号文なので、復号するとbであり、TLWE暗号文cxを復号した結果を計算すると、
である。
s’iは、jに対して定数なのでくくりだして
とし、上記で固定小数に分解したときの式を代入する。
その結果、
となって鍵の切り替えが成功したことになる。
(2)のSampleExtractを用いて得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
NAND演算に用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
秘密鍵[s]で復号すると、
上記したように(2)で得られたTLWE暗号文cs=([a]、b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
s’iは、jに対して定数なのでくくりだして
ここで得られたTLWE暗号文cxは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[s]で暗号化されている。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、CMuxで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±1/16となるようにシステムパラメータを調整することができる。
以上が、TFHEのGate Bootstrappingの処理である。
以上が、TFHEのGate Bootstrappingの処理である。
本実施形態は、上記に説明した完全準同型暗号であるTFHEを用いて演算を行う際に多用される全加算器の演算をより高速に行うものである。
上記に説明したが、全加算器は一般的に、半加算器2つとORを得るための演算を行うOR回路部1つとで構成され、半加算器は、ANDを得るための演算を行うAND回路部と、XORを得るための演算を行うXOR回路部とのペアとして構成する。従って半加算器を高速化することで全加算器を高速化することができる。
本実施形態では、半加算器を構成する演算(ANDを得るための演算、XORを得るための演算)を一つにまとめることによって半加算器を構成する準同型演算の回数を削減し、ひいては全加算器を構成する準同型演算の回数を削減する。
上記に説明したが、全加算器は一般的に、半加算器2つとORを得るための演算を行うOR回路部1つとで構成され、半加算器は、ANDを得るための演算を行うAND回路部と、XORを得るための演算を行うXOR回路部とのペアとして構成する。従って半加算器を高速化することで全加算器を高速化することができる。
本実施形態では、半加算器を構成する演算(ANDを得るための演算、XORを得るための演算)を一つにまとめることによって半加算器を構成する準同型演算の回数を削減し、ひいては全加算器を構成する準同型演算の回数を削減する。
図2乃至図4を参照して、本実施形態の全加算器を構成する半加算器の処理を詳しく説明する。
図3は、図1の半加算器51に相当する半加算器を示す図である。
図4は、図1の半加算器52に相当する半加算器を示す図である。
図3、図4の半加算器を含んで構成される全加算器に、平文A、B、Cに夫々対応するTLWE暗号文ca、cb、ccを入力する。
上記したように、TLWE暗号文ca、cb、ccは加法準同型暗号であり、暗号文の和を演算することで平文同士の和を演算することが出来る。
これらは夫々、通常のGate Bootstrappingにより生成された暗号文、または新規に暗号化された暗号文である。
TLWE暗号文ca、cb、ccの平文A、B、Cは、例えば図5の円周群{T}における0、1/4の何れかあり、平文に付加される誤差は±1/16の中に含まれる。
図3は、図1の半加算器51に相当する半加算器を示す図である。
図4は、図1の半加算器52に相当する半加算器を示す図である。
図3、図4の半加算器を含んで構成される全加算器に、平文A、B、Cに夫々対応するTLWE暗号文ca、cb、ccを入力する。
上記したように、TLWE暗号文ca、cb、ccは加法準同型暗号であり、暗号文の和を演算することで平文同士の和を演算することが出来る。
これらは夫々、通常のGate Bootstrappingにより生成された暗号文、または新規に暗号化された暗号文である。
TLWE暗号文ca、cb、ccの平文A、B、Cは、例えば図5の円周群{T}における0、1/4の何れかあり、平文に付加される誤差は±1/16の中に含まれる。
図3に示す半加算器51の構成を説明する。
半加算器51には、全加算器の入力A、Bに対応するTLWE暗号文ca、cbが入力される。
暗号処理装置1(第1演算部12)は、ca+cb-(0,1/8)を計算する。(0,1/8)は、平文が1/8となる自明なTLWE暗号文である。
caが0、cbが0⇒0+0-1/8=-1/8=7/8
caが0、cbが1/4⇒0+1/4-1/8=1/8
caが1/4、cbが0⇒1/4+0-1/8=1/8
caが1/4、cbが1/4⇒1/4+1/4-1/8=3/8
である。
上記から演算結果は、1/8、3/8、7/8の3つのうちのいずれかとなり、これら3つの何れかの平文に対する暗号文が得られる。平文に付加される誤差は±1/8の範囲に含まれる。暗号文ca、暗号文cbの誤差±1/16を2つ足しているためである。
半加算器51には、全加算器の入力A、Bに対応するTLWE暗号文ca、cbが入力される。
暗号処理装置1(第1演算部12)は、ca+cb-(0,1/8)を計算する。(0,1/8)は、平文が1/8となる自明なTLWE暗号文である。
caが0、cbが0⇒0+0-1/8=-1/8=7/8
caが0、cbが1/4⇒0+1/4-1/8=1/8
caが1/4、cbが0⇒1/4+0-1/8=1/8
caが1/4、cbが1/4⇒1/4+1/4-1/8=3/8
である。
上記から演算結果は、1/8、3/8、7/8の3つのうちのいずれかとなり、これら3つの何れかの平文に対する暗号文が得られる。平文に付加される誤差は±1/8の範囲に含まれる。暗号文ca、暗号文cbの誤差±1/16を2つ足しているためである。
暗号処理装置1(第1Bootstrap部15)は、上記ca+cb-(0,1/8)の計算結果に対して上記論文のGate BootstrappingをSampleExtract(0の位置)まで行う。
すなわち暗号処理装置1(第1Bootstrap部15)は、ca+cb-(0,1/8)の計算結果に対してBlindRotateを行って得たTRLWE暗号文に対して、円周群{T}の0の位置でSampleExtractを行う。
その結果、暗号処理装置1(第1Bootstrap部15)は、下記TLWE暗号文cy1([s']にて暗号化されている)を得る。
0の位置のSampleExtractの結果は、
caが0、cbが0⇒0
caが0、cbが1/4⇒0
caが1/4、cbが0⇒0
caが1/4、cbが1/4⇒1/4
である。
得られたTLWE暗号文cy1は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(0)の結果(TLWE暗号文cy1)を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒0
caが1、cbが0⇒0
caが1、cbが1⇒1
である。
このようにTLWE暗号文cy1を得たことは、暗号文caと暗号文cbのANDを演算したことと同義である。得られた暗号文cy1は、半加算器51の桁上げ出力であり後段のOR回路部に入力される。
すなわち暗号処理装置1(第1Bootstrap部15)は、ca+cb-(0,1/8)の計算結果に対してBlindRotateを行って得たTRLWE暗号文に対して、円周群{T}の0の位置でSampleExtractを行う。
その結果、暗号処理装置1(第1Bootstrap部15)は、下記TLWE暗号文cy1([s']にて暗号化されている)を得る。
0の位置のSampleExtractの結果は、
caが0、cbが0⇒0
caが0、cbが1/4⇒0
caが1/4、cbが0⇒0
caが1/4、cbが1/4⇒1/4
である。
得られたTLWE暗号文cy1は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(0)の結果(TLWE暗号文cy1)を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒0
caが1、cbが0⇒0
caが1、cbが1⇒1
である。
このようにTLWE暗号文cy1を得たことは、暗号文caと暗号文cbのANDを演算したことと同義である。得られた暗号文cy1は、半加算器51の桁上げ出力であり後段のOR回路部に入力される。
暗号処理装置1(第2Bootstrap部15)は、上記ca+cb-(0,1/8)に対してBlindRotateをした後のTRLWE暗号文に対してn/2の位置でのSampleExtractを行う。より詳しくは、暗号処理装置1は、ca+cb-(0,1/8)の計算結果に対してBlindRotateを行って得たTRLWE暗号文に対して、n/2の位置でSampleExtractを行う。
n/2の位置でのSampleExtractは、以下のように行われる。
上記したようにSampleExtractの処理では、TRLWE暗号文cを復号した平文多項式から、
の式が現れる。この式から平文多項式の各項の係数が得られることも上記した通りである。n/2の位置でSampleExtractを行うことはφs’(c)のn/2乗の項を取り出すことであり、j=n/2の係数のみを取り出すことである。
n/2の位置でTRLWE暗号文cをSampleExtractしたTLWE暗号文c’’の復号結果が
となるように、[a]及びbを定める。そのためには、a’の添え字をh{i-(n/2)+2}=n-iと変換すればよく、h(x)=-x+n/2+2となる。
よって、
とすることで、n/2の位置でSampleExtractしたTLWE暗号文c’’=(a’’i,b’’)が得られる。
このような処理によって、暗号処理装置1(第2Bootstrap部15)は上記ca+cb-(0,1/8)に対してBlindRotateをした後のTRLWE暗号文に対してn/2の位置でSampleExtractをしたTLWE暗号文ct(TLWE暗号文c'')を得ることができる。
n/2の位置のSampleExtractの結果は、
caが0、cbが0⇒0
caが0、cbが1/4⇒1/4
caが1/4、cbが0⇒1/4
caが1/4、cbが1/4⇒1/4
である。
得られたTLWE暗号文ctは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(n/2)の結果(TLWE暗号文ct1)を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒1
caが1、cbが0⇒1
caが1、cbが1⇒1
である。
このようにTLWE暗号文ctを得たことは、暗号文caと暗号文cbとのORを演算したことと同義である。
BlindRotateの結果に対して、円周群{T}の複数の異なる位置(0、n/2)でSampleExtractを行うことで、AND、ORを得ることが出来ることを示したが、これは、TFHEにおいて、暗号文同士のANDとORが円周群{T}における位相の違いとして現れることに基づいている。
n/2の位置でのSampleExtractは、以下のように行われる。
上記したようにSampleExtractの処理では、TRLWE暗号文cを復号した平文多項式から、
の式が現れる。この式から平文多項式の各項の係数が得られることも上記した通りである。n/2の位置でSampleExtractを行うことはφs’(c)のn/2乗の項を取り出すことであり、j=n/2の係数のみを取り出すことである。
n/2の位置でTRLWE暗号文cをSampleExtractしたTLWE暗号文c’’の復号結果が
よって、
このような処理によって、暗号処理装置1(第2Bootstrap部15)は上記ca+cb-(0,1/8)に対してBlindRotateをした後のTRLWE暗号文に対してn/2の位置でSampleExtractをしたTLWE暗号文ct(TLWE暗号文c'')を得ることができる。
n/2の位置のSampleExtractの結果は、
caが0、cbが0⇒0
caが0、cbが1/4⇒1/4
caが1/4、cbが0⇒1/4
caが1/4、cbが1/4⇒1/4
である。
得られたTLWE暗号文ctは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(n/2)の結果(TLWE暗号文ct1)を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒1
caが1、cbが0⇒1
caが1、cbが1⇒1
である。
このようにTLWE暗号文ctを得たことは、暗号文caと暗号文cbとのORを演算したことと同義である。
BlindRotateの結果に対して、円周群{T}の複数の異なる位置(0、n/2)でSampleExtractを行うことで、AND、ORを得ることが出来ることを示したが、これは、TFHEにおいて、暗号文同士のANDとORが円周群{T}における位相の違いとして現れることに基づいている。
次に、暗号処理装置1は、上記ORの結果(暗号文ct1)から上記ANDの結果(TLWE暗号文cy1)を準同型減算して暗号文cz1を得る。
演算結果は、
caが0、cbが0の場合:0-0=0
caが0、cbが1/4の場合:1/4-0=1/4
caが1/4、cbが0の場合:1/4-0=1/4
caが1/4、cbが1/4の場合:1/4-1/4=0
である。
TLWE暗号文cz1は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算(準同型減算)の結果を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒1
caが1、cbが0⇒1
caが1、cbが1⇒0
である。
このようにTLWE暗号文cz1を得たことは、暗号文caと暗号文cbとのXORを演算したことと同義である。
得られたTLWE暗号文cz1は、半加算器51の出力としての和である。
ORの結果からANDの結果を減算することによりXORの結果が得られることはhttps://eprint.iacr.org/2018/637.pdfに記載されている。
最後に、暗号処理装置1は、暗号文cy1と暗号文cz1との夫々に対してキースイッチングを行う。これにより得られる暗号文は、元のTLWE暗号文ca、cbと同じパラメータによる暗号文となり、再度別の演算に使用することができるようになる。
この時、どちらの暗号文も誤差が±1/16の範囲に収まる。なぜなら、Gate Bootstrappingで付与される誤差の大半はキースイッチングにより発生するものであり、SampleExtract以前のTLWE暗号文が持つ誤差は、キースイッチングによる誤差と比べて数桁少ないためである。
演算結果は、
caが0、cbが0の場合:0-0=0
caが0、cbが1/4の場合:1/4-0=1/4
caが1/4、cbが0の場合:1/4-0=1/4
caが1/4、cbが1/4の場合:1/4-1/4=0
である。
TLWE暗号文cz1は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算(準同型減算)の結果を二進数のシンボルで表すと、
caが0、cbが0⇒0
caが0、cbが1⇒1
caが1、cbが0⇒1
caが1、cbが1⇒0
である。
このようにTLWE暗号文cz1を得たことは、暗号文caと暗号文cbとのXORを演算したことと同義である。
得られたTLWE暗号文cz1は、半加算器51の出力としての和である。
ORの結果からANDの結果を減算することによりXORの結果が得られることはhttps://eprint.iacr.org/2018/637.pdfに記載されている。
最後に、暗号処理装置1は、暗号文cy1と暗号文cz1との夫々に対してキースイッチングを行う。これにより得られる暗号文は、元のTLWE暗号文ca、cbと同じパラメータによる暗号文となり、再度別の演算に使用することができるようになる。
この時、どちらの暗号文も誤差が±1/16の範囲に収まる。なぜなら、Gate Bootstrappingで付与される誤差の大半はキースイッチングにより発生するものであり、SampleExtract以前のTLWE暗号文が持つ誤差は、キースイッチングによる誤差と比べて数桁少ないためである。
図4に示す半加算器52は、図3の半加算器51と同じ構成を有する。
半加算器52には、半加算器51からのTLWE暗号文cz1と、桁上げ入力Ciの暗号文ccが入力される。
暗号処理装置1は、cz1+cc-(0,1/8)を計算する。(0,1/8)は、平文が1/8となる自明なTLWE暗号文である。
cz1が0、ccが0⇒0+0-1/8=-1/8=7/8
cz1が0、ccが1/4⇒0+1/4-1/8=1/8
cz1が1/4、ccが0⇒1/4+0-1/8=1/8
cz1が1/4、ccが1/4⇒1/4+1/4-1/8=3/8
である。
演算結果は、1/8、3/8、7/8の3つのうちのいずれかとなり、これら3つの何れかの平文に対する暗号文が得られる。
平文に付加される誤差は±1/8の範囲に含まれる。cz1、ccの誤差±1/16を2つ足しているためである。
半加算器52には、半加算器51からのTLWE暗号文cz1と、桁上げ入力Ciの暗号文ccが入力される。
暗号処理装置1は、cz1+cc-(0,1/8)を計算する。(0,1/8)は、平文が1/8となる自明なTLWE暗号文である。
cz1が0、ccが0⇒0+0-1/8=-1/8=7/8
cz1が0、ccが1/4⇒0+1/4-1/8=1/8
cz1が1/4、ccが0⇒1/4+0-1/8=1/8
cz1が1/4、ccが1/4⇒1/4+1/4-1/8=3/8
である。
演算結果は、1/8、3/8、7/8の3つのうちのいずれかとなり、これら3つの何れかの平文に対する暗号文が得られる。
平文に付加される誤差は±1/8の範囲に含まれる。cz1、ccの誤差±1/16を2つ足しているためである。
暗号処理装置1は、上記cz1+cc-(0,1/8)の計算結果に対して上記論文のGate BootstrappingをSampleExtract(0の位置)まで行う。すなわち暗号処理装置1は、cz1+cc-(0,1/8)の計算結果に対してBlindRotateを行って得たTRLWE暗号文に対して、円周群{T}の0の位置でSampleExtractを行う。
その結果、暗号処理装置1は、下記TLWE暗号文cy([s']にて暗号化されている)を得る。
0の位置のSampleExtract(0)の結果は、
cz1が0、ccが0⇒0
cz1が0、ccが1/4⇒0
cz1が1/4、ccが0⇒0
cz1が1/4、ccが1/4⇒1/4
であり、得られたTLWE暗号文cyは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(0)の結果(TLWE暗号文cy)を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒0
cz1が1、ccが0⇒0
cz1が1、ccが1⇒1
である。
このようにTLWE暗号文cyを得たことは、暗号文cz1と暗号文ccとのANDを演算したことと同義である。得られたTLWE暗号文cyは桁上げ出力Coとして出力される。
その結果、暗号処理装置1は、下記TLWE暗号文cy([s']にて暗号化されている)を得る。
0の位置のSampleExtract(0)の結果は、
cz1が0、ccが0⇒0
cz1が0、ccが1/4⇒0
cz1が1/4、ccが0⇒0
cz1が1/4、ccが1/4⇒1/4
であり、得られたTLWE暗号文cyは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(0)の結果(TLWE暗号文cy)を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒0
cz1が1、ccが0⇒0
cz1が1、ccが1⇒1
である。
このようにTLWE暗号文cyを得たことは、暗号文cz1と暗号文ccとのANDを演算したことと同義である。得られたTLWE暗号文cyは桁上げ出力Coとして出力される。
また暗号処理装置1は、上記cz1+cc-(0,1/8)に対してBlindRotateをした後のTRLWE暗号文に対してn/2の位置でのSampleExtractを行う。より詳しくは、暗号処理装置1は、cz1+cc-(0,1/8)の計算結果に対してBlindRotateを行って得たTRLWE暗号文に対して、円周群{T}のn/2の位置でSampleExtractを行う。
n/2の位置でSampleExtractを行う処理は上記に説明したとおりである。
上記cz1+cc-(0,1/8)に対してBlindRotateをした後のTRLWE暗号に対してn/2の位置でSampleExtractを行った結果、暗号処理装置1はTLWE暗号文ct2(TLWE暗号文c'')を得る。
n/2の位置のSampleExtractの結果は、
cz1が0、ccが0⇒0
cz1が0、ccが1/4⇒1/4
cz1が1/4、ccが0⇒1/4
cz1が1/4、ccが1/4⇒1/4
である。
得られたTLWE暗号文ct2は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(n/2)の結果(TLWE暗号文ct1)を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒1
cz1が1、ccが0⇒1
cz1が1、ccが1⇒1
である。
このようにTLWE暗号文ct2を得たことは、暗号文cz1と暗号文ccとのORを演算したことと同義である。
n/2の位置でSampleExtractを行う処理は上記に説明したとおりである。
上記cz1+cc-(0,1/8)に対してBlindRotateをした後のTRLWE暗号に対してn/2の位置でSampleExtractを行った結果、暗号処理装置1はTLWE暗号文ct2(TLWE暗号文c'')を得る。
n/2の位置のSampleExtractの結果は、
cz1が0、ccが0⇒0
cz1が0、ccが1/4⇒1/4
cz1が1/4、ccが0⇒1/4
cz1が1/4、ccが1/4⇒1/4
である。
得られたTLWE暗号文ct2は、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算、BlindRotate、SampleExtract(n/2)の結果(TLWE暗号文ct1)を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒1
cz1が1、ccが0⇒1
cz1が1、ccが1⇒1
である。
このようにTLWE暗号文ct2を得たことは、暗号文cz1と暗号文ccとのORを演算したことと同義である。
次に、暗号処理装置1は、上記ORから上記ANDを準同型減算(OR-AND)して暗号文czを得る。
演算結果は、
cz1が0、ccが0の場合:0-0=0
cz1が0、ccが1/4の場合:1/4-0=1/4
cz1が1/4、ccが0の場合:1/4-0=1/4
cz1が1/4、ccが1/4の場合:1/4-1/4=0
である。得られたTLWE暗号文czは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算(準同型減算)の結果を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒1
cz1が1、ccが0⇒1
cz1が1、ccが1⇒0
である。
このようにTLWE暗号文czを得たことは、暗号文cz1と暗号文ccとのXORを演算したことと同義である。得られたTLWE暗号文czは、全加算器51の出力Sである。
演算結果は、
cz1が0、ccが0の場合:0-0=0
cz1が0、ccが1/4の場合:1/4-0=1/4
cz1が1/4、ccが0の場合:1/4-0=1/4
cz1が1/4、ccが1/4の場合:1/4-1/4=0
である。得られたTLWE暗号文czは、平文として0又は1/4を有し、平文に付加される誤差は±1/16の範囲より数桁狭い範囲に含まれる。
上記の準同型演算(準同型減算)の結果を二進数のシンボルで表すと、
cz1が0、ccが0⇒0
cz1が0、ccが1⇒1
cz1が1、ccが0⇒1
cz1が1、ccが1⇒0
である。
このようにTLWE暗号文czを得たことは、暗号文cz1と暗号文ccとのXORを演算したことと同義である。得られたTLWE暗号文czは、全加算器51の出力Sである。
実験の結果、図3、図4の構成を有する半加算器51、52の処理には夫々12.9msの時間を要することが分かった。
通常の1論理演算(準同型演算+Gate Bootstrapping)に要する時間は11.5msであり、図1に示す2論理演算の半加算器では23msの時間を要する。本実施形態の手法では、従来手法に対して約倍速となる結果が得られた。上記論文と処理時間が異なるのは、実験環境による差異と考えられる。
本実施形態の暗号処理装置1は、全加算器を構成する半加算器において1回のBlindRotate後に、異なる2か所でSampleExtractを行うことで、AND演算、OR演算に相当する処理を行い、OR演算の結果からAND演算の結果を減算(準同型演算)することで、XOR演算をする。
上記論文に記載の通り、SampleExtractの後かつキースイッチングの前の段階のTLWE暗号文同士の準同型加算は、誤差の増加が無視できるレベルである。パラメータにもよるが、BlindRotateで追加される誤差とキースイッチングで追加される誤差は約一桁異なる。実験結果では、通常のGate Bootstrappingでの誤差の分散が1.355×10-5であるのに対して、本実施形態の方法では1.942×10-5である。
通常の1論理演算(準同型演算+Gate Bootstrapping)に要する時間は11.5msであり、図1に示す2論理演算の半加算器では23msの時間を要する。本実施形態の手法では、従来手法に対して約倍速となる結果が得られた。上記論文と処理時間が異なるのは、実験環境による差異と考えられる。
本実施形態の暗号処理装置1は、全加算器を構成する半加算器において1回のBlindRotate後に、異なる2か所でSampleExtractを行うことで、AND演算、OR演算に相当する処理を行い、OR演算の結果からAND演算の結果を減算(準同型演算)することで、XOR演算をする。
上記論文に記載の通り、SampleExtractの後かつキースイッチングの前の段階のTLWE暗号文同士の準同型加算は、誤差の増加が無視できるレベルである。パラメータにもよるが、BlindRotateで追加される誤差とキースイッチングで追加される誤差は約一桁異なる。実験結果では、通常のGate Bootstrappingでの誤差の分散が1.355×10-5であるのに対して、本実施形態の方法では1.942×10-5である。
本実施形態の手法を採用して全加算器を構成すると、各加算器で1回(全加算器で2回)のBlindRotateを行う本実施形態は、BlindRotateを5回行う図1の方法に対して約40%の高速化が見込める。
実験結果では図1の5ゲート構成では59.2msを要し、本実施形態の構成では37.6msとなり、約36.5%の高速化が確認できた。
理論値(40%)との差異は、SampleExtractとキースイッチングが1回ずつ増えたことに起因すると見られる。
実験結果では図1の5ゲート構成では59.2msを要し、本実施形態の構成では37.6msとなり、約36.5%の高速化が確認できた。
理論値(40%)との差異は、SampleExtractとキースイッチングが1回ずつ増えたことに起因すると見られる。
図7は、暗号処理装置が実行する全加算器の演算処理の流れを説明するフローチャートである。
上記したように、2値の暗号文の場合、円周群{T}における0~1/4、3/4~1の区間の平文を0のTLWE暗号文に変換する。また、円周群{T}における1/4~3/4の区間の平文を1/4のTLWE暗号文に変換する。この変換の際、平文に付加される誤差は、±1/16の範囲のいずれかの値である。
上記した円周群{T}の範囲を、0、1など論理演算で用いるシンボルを対応づける。
すなわち、
となる。
上記したように、2値の暗号文の場合、円周群{T}における0~1/4、3/4~1の区間の平文を0のTLWE暗号文に変換する。また、円周群{T}における1/4~3/4の区間の平文を1/4のTLWE暗号文に変換する。この変換の際、平文に付加される誤差は、±1/16の範囲のいずれかの値である。
上記した円周群{T}の範囲を、0、1など論理演算で用いるシンボルを対応づける。
すなわち、
となる。
円周群{T}上の範囲(誤差を含む)が、暗号文における平文の何れかに値に対応している。
暗号文は、([a]、b)の形式を有するベクトルであり、ベクトルの要素は円周群上の点である。平文もまた、円周群{T}上の点である。
論理演算で用いるシンボルは、円周群{T}上の範囲と対応付いており、ある暗号文に対する平文は、その範囲内の何れか1点を指している。平文が、その範囲内のどの点を指しているかは、秘密鍵なしでは、特定することが難しい。これによってTLWE暗号文の強度が担保されている。範囲を0として円周群上の点とシンボルを対応づけると、複数の暗号文を集めて連立方程式として平文を導出可能であり、TLWE暗号文が暗号として機能しない。
暗号文は、([a]、b)の形式を有するベクトルであり、ベクトルの要素は円周群上の点である。平文もまた、円周群{T}上の点である。
論理演算で用いるシンボルは、円周群{T}上の範囲と対応付いており、ある暗号文に対する平文は、その範囲内の何れか1点を指している。平文が、その範囲内のどの点を指しているかは、秘密鍵なしでは、特定することが難しい。これによってTLWE暗号文の強度が担保されている。範囲を0として円周群上の点とシンボルを対応づけると、複数の暗号文を集めて連立方程式として平文を導出可能であり、TLWE暗号文が暗号として機能しない。
暗号処理装置1(受付部11)は、ステップS101において、演算対象の暗号文が入力されたか否かを判定する。
暗号文が入力されたと判定した場合(ステップS101でYes)、暗号処理装置1(受付部11)は、ステップS102において、暗号文を受けつけ、記憶部20に格納する。
次に、暗号処理装置1(第1演算部12)は、ステップS103において、暗号文を用いて準同型演算を行い、演算結果を記憶部20に格納する。
第1演算部12は、平文として2値を有する2つの暗号文ca、cbの入力を受け付けたとき、ca+cb-1/8の準同型演算を行う。
暗号処理装置1(第1Bootstrap部15)は、ステップS104において、演算結果に対してGate BootstrappingのうちのBlindRotateを行い、処理結果のTRLWE暗号文を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS105において、BlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(0)を行い、処理結果を記憶部20に格納する。
暗号文が入力されたと判定した場合(ステップS101でYes)、暗号処理装置1(受付部11)は、ステップS102において、暗号文を受けつけ、記憶部20に格納する。
次に、暗号処理装置1(第1演算部12)は、ステップS103において、暗号文を用いて準同型演算を行い、演算結果を記憶部20に格納する。
第1演算部12は、平文として2値を有する2つの暗号文ca、cbの入力を受け付けたとき、ca+cb-1/8の準同型演算を行う。
暗号処理装置1(第1Bootstrap部15)は、ステップS104において、演算結果に対してGate BootstrappingのうちのBlindRotateを行い、処理結果のTRLWE暗号文を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS105において、BlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(0)を行い、処理結果を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS106において、SampleExtract(0)の処理結果に対してキースイッチングを行い、処理結果として、平文として2値を有する半加算器51の桁上げ出力の暗号文cy1を記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS107において、第1演算部12によるBlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(n/2)を行い、処理結果(暗号文ct1)を記憶部20に格納する。
暗号処理装置1(第1演算部)は、ステップS108において、SampleExtract(0)を行った処理結果(暗号文cy1)とSampleExtract(n/2)を行った処理結果(暗号文ct1)との準同型演算(減算)を行い、演算結果(暗号文cz1)を記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS109において、演算結果に対してキースイッチングを行い、処理結果として、平文として2値を有する半加算器51の和の暗号文cz1を記憶部20に格納する。
ステップS105とステップS107のSampleExtractは、マルチスレッド処理によって、並列で実行することが出来る。
暗号処理装置1(第2Bootstrap部16)は、ステップS107において、第1演算部12によるBlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(n/2)を行い、処理結果(暗号文ct1)を記憶部20に格納する。
暗号処理装置1(第1演算部)は、ステップS108において、SampleExtract(0)を行った処理結果(暗号文cy1)とSampleExtract(n/2)を行った処理結果(暗号文ct1)との準同型演算(減算)を行い、演算結果(暗号文cz1)を記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS109において、演算結果に対してキースイッチングを行い、処理結果として、平文として2値を有する半加算器51の和の暗号文cz1を記憶部20に格納する。
ステップS105とステップS107のSampleExtractは、マルチスレッド処理によって、並列で実行することが出来る。
次に、暗号処理装置1(第1演算部12)は、ステップS111において、暗号文を用いて準同型演算を行い、演算結果を記憶部20に格納する。
第1演算部12は、平文として2値を有する2つの暗号文cz1、ccの入力を受け付けたとき、cz1+cc-1/8の準同型演算を行う。
暗号処理装置1(第1Bootstrap部15)は、ステップS112において、演算結果に対してGate BootstrappingのうちのBlindRotateを行い、処理結果のTRLWE暗号文を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS113において、BlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(0)を行い、処理結果を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS114において、SampleExtract(0)の処理結果に対してキースイッチングを行い、処理結果として、平文として2値を有する半加算器52の桁上げ出力の暗号文cyを記憶部20に格納する。
第1演算部12は、平文として2値を有する2つの暗号文cz1、ccの入力を受け付けたとき、cz1+cc-1/8の準同型演算を行う。
暗号処理装置1(第1Bootstrap部15)は、ステップS112において、演算結果に対してGate BootstrappingのうちのBlindRotateを行い、処理結果のTRLWE暗号文を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS113において、BlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(0)を行い、処理結果を記憶部20に格納する。
暗号処理装置1(第1Bootstrap部15)は、ステップS114において、SampleExtract(0)の処理結果に対してキースイッチングを行い、処理結果として、平文として2値を有する半加算器52の桁上げ出力の暗号文cyを記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS115において、第2演算部13によるBlindRotateによって得たTRLWE暗号文に対してGate BootstrappingのうちのSampleExtract(n/2)を行い、処理結果(暗号文ct2)を記憶部20に格納する。
暗号処理装置1(第2演算部13)は、ステップS116において、SampleExtract(0)を行った処理結果(暗号文cy)とSampleExtract(n/2)を行った処理結果(暗号文ct2)との準同型演算(減算)を行い、演算結果(暗号文cz)を記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS117において、演算結果に対してキースイッチングを行い、処理結果として、平文として2値を有する全加算器の和の暗号文czを記憶部20に格納する。
ステップS113とステップS115のSampleExtractは、マルチスレッド処理によって、並列で実行することが出来る。
暗号処理装置1(第2演算部13)は、ステップS116において、SampleExtract(0)を行った処理結果(暗号文cy)とSampleExtract(n/2)を行った処理結果(暗号文ct2)との準同型演算(減算)を行い、演算結果(暗号文cz)を記憶部20に格納する。
暗号処理装置1(第2Bootstrap部16)は、ステップS117において、演算結果に対してキースイッチングを行い、処理結果として、平文として2値を有する全加算器の和の暗号文czを記憶部20に格納する。
ステップS113とステップS115のSampleExtractは、マルチスレッド処理によって、並列で実行することが出来る。
[応用例]
暗号処理装置1が行う全加算器の高速化は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置1が行う全加算器の高速化は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置10は、全加算器を実現する第1演算部12、第2演算部13、第1Bootstrapping部15、第2Bootstrapping部16の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。
全加算器の演算を、上記に説明した論理演算の回数ひいてはGate Bootstrapping(BlindRotate)の回数を減らして高速化することによって、クエリの実行時間を著しく低減することが可能となる。
四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。
全加算器の演算を、上記に説明した論理演算の回数ひいてはGate Bootstrapping(BlindRotate)の回数を減らして高速化することによって、クエリの実行時間を著しく低減することが可能となる。
四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
特にファジー認証やファジー検索では、整数同士の加算、減算、乗算、除算や比較は処理時間の大半を占めるため、それらに用いられる全加算器の演算を高速化することによって処理時間の短縮に大きな効果を奏し得る。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
特にファジー認証やファジー検索では、整数同士の加算、減算、乗算、除算や比較は処理時間の大半を占めるため、それらに用いられる全加算器の演算を高速化することによって処理時間の短縮に大きな効果を奏し得る。
またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には2乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、O(N2)の全加算器を演算しなければならない。また単純な減算による比較演算でも、O(N)の全加算器を演算する必要がある。そのため、全加算器の演算を高速化することによって、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。
図8は、コンピュータ装置の一実施例を示すブロック図である。
図8を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
図8を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
制御回路101は、コンピュータ装置100全体の制御をする。制御回路101は、例えば、Central Processing Unit(CPU)、Field Programmable Gate Array(FPGA)、Application Specific Integrated Circuit(ASIC)及びProgrammable Logic Device(PLD)などのプロセッサである。制御回路101は、例えば、図2における制御部10として機能する。
記憶装置102は、各種データを記憶する。そして、記憶装置102は、例えば、Read Only Memory(ROM)及びRandom Access Memory(RAM)などのメモリや、Hard Disk Drive(HDD)、Solid State Drive(SSD)などである。記憶装置102は、制御回路101を、図2における制御部10として機能させる情報処理プログラムを記憶してもよい。記憶装置102は、例えば、図2における記憶部20として機能する。
暗号処理装置1は、情報処理を行うとき、記憶装置102に記憶されたプログラムをRAMに読み出す。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
読書装置103は、制御回路101に制御され、着脱可能な記録媒体104のデータのリード/ライトを行なう。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
通信インターフェイス105は、ネットワーク200を介してコンピュータ装置100と他の装置とを通信可能に接続する。通信インターフェイス105は、例えば、図2において、通信部25として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
表示装置108は、各種情報を表示する。ネットワーク200は、例えば、LAN、無線通信、P2Pネットワーク、又はインターネットなどであり、コンピュータ装置100と他の装置を通信接続する。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
1 暗号処理装置、10 制御部、11 受付部、12 第1演算部、13 第2演算部、15 第1Bootstrap部(算出部)、16 第2Bootstrap部(算出部)、18 出力部、20 記憶部、25 通信部、26 入力部、100 コンピュータ装置、101 制御回路、102 記憶装置、103 読書装置、104 記録媒体、105 通信インターフェイス、106 入出力インターフェイス、107 入力装置、108 表示装置、110 バス、200 ネットワーク
Claims (8)
- 暗号文を処理する暗号処理装置であって、
前記暗号文は、シンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
入力された前記暗号文に基づいて複数の新たな暗号文を算出することを含む所定の演算を行い、
入力された前記暗号文に対して準同型演算を行う第1演算部と、
前記第1演算部による準同型演算の結果に対して所定の多項式を用いることにより多項式を平文として持つ第1暗号文を算出し、前記第1暗号文の平文多項式の一の係数を平文として持つ第2暗号文を抽出する第1算出部と、
前記第1暗号文の平文多項式の他の係数を平文として持つ第3暗号文を抽出する第2算出部と、
前記第2暗号文と前記第3暗号文とを用いて準同型演算を行い、第4暗号文を算出する第2演算部と、を備える、
ことを特徴とする暗号処理装置。 - 請求項1に記載の暗号処理装置において、
前記所定の演算は半加算器の演算であり、
前記第2暗号文は、前記半加算器の桁上げの出力に対応する暗号文であり、
前記第4暗号文は、前記半加算器の和の出力に対応する暗号文である、
ことを特徴とする暗号処理装置。 - 請求項2に記載の暗号処理装置において、
前記所定の演算として前記半加算器の演算を行うことにより、入力された前記暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算を行う、
ことを特徴とする暗号処理装置。 - 請求項2に記載の暗号処理装置において、
前記所定の演算として前記半加算器を用いた全加算器の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
ことを特徴とする暗号処理装置。 - 請求項2に記載の暗号処理装置において、
前記所定の演算として前記半加算器を用いた全加算器の演算を行うことによって、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
ことを特徴とする暗号処理装置。 - プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、シンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
入力された前記暗号文に基づいて複数の新たな暗号文を算出することを含む所定の演算を行い、
入力された前記暗号文に対して準同型演算を行い、
前記準同型演算の結果に対して所定の多項式を用いることにより多項式を平文として持つ第1暗号文を算出し、前記第1暗号文の平文多項式の一の係数を平文として持つ第2暗号文を抽出し、
前記第1暗号文の平文多項式の他の係数を平文として持つ第3暗号文を抽出し、
前記第2暗号文と前記第3暗号文とを用いて準同型演算を行い、第4暗号文を算出する、
ことを特徴とする暗号処理方法。 - 暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、シンボル0又は1に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として2値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
入力された前記暗号文に基づいて複数の新たな暗号文を算出することを含む所定の演算を行い、
入力された前記暗号文に対して準同型演算を行い、
前記準同型演算の結果に対して所定の多項式を用いることにより多項式を平文として持つ第1暗号文を算出し、前記第1暗号文の平文多項式の一の係数を平文として持つ第2暗号文を抽出し、
前記第1暗号文の平文多項式の他の係数を平文として持つ第3暗号文を抽出し、
前記第2暗号文と前記第3暗号文とを用いて準同型演算を行い、第4暗号文を算出する、
ことを特徴とする暗号処理プログラム。 - 2値の平文に対応する誤差を含む第1暗号文と2値の平文に対応する誤差を含む第2暗号文とを用いて暗号化したまま加算を実行する第1演算部と、
暗号化したまま前記加算の結果に応じて第1多項式の係数を巡回した第2多項式の第3暗号文を求め、前記第3暗号文から前記第1暗号文に対応する平文と前記2暗号文に対応する平文とのAND演算の結果が得られる、前記第2多項式の係数の第4暗号文を抽出する第1算出部と、
前記第3暗号文から前記第1暗号文に対応する平文と前記2暗号文に対応する平文とのOR演算の結果が得られる、前記第2多項式の係数の第5暗号文を抽出する第2算出部と、
前記第4暗号文と前記第5暗号文とを用いて、前記第1暗号文に対応する平文と前記第2暗号文に対応する平文とのXOR演算の結果に対応する第6暗号文を算出する第2演算部と、を備える、
ことを特徴とする暗号処理装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021102510A JP7185346B1 (ja) | 2021-06-21 | 2021-06-21 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
| PCT/JP2022/013622 WO2022270079A1 (ja) | 2021-06-21 | 2022-03-23 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
| US18/527,207 US20240121077A1 (en) | 2021-06-21 | 2023-12-01 | Encryption processing device and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021102510A JP7185346B1 (ja) | 2021-06-21 | 2021-06-21 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7185346B1 true JP7185346B1 (ja) | 2022-12-07 |
| JP2023001660A JP2023001660A (ja) | 2023-01-06 |
Family
ID=84357715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021102510A Active JP7185346B1 (ja) | 2021-06-21 | 2021-06-21 | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20240121077A1 (ja) |
| JP (1) | JP7185346B1 (ja) |
| WO (1) | WO2022270079A1 (ja) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021083038A (ja) | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7069460B2 (ja) * | 2020-08-31 | 2022-05-18 | 株式会社アクセル | 暗号処理装置、暗号処理方法、及び暗号処理プログラム |
-
2021
- 2021-06-21 JP JP2021102510A patent/JP7185346B1/ja active Active
-
2022
- 2022-03-23 WO PCT/JP2022/013622 patent/WO2022270079A1/ja active Application Filing
-
2023
- 2023-12-01 US US18/527,207 patent/US20240121077A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021083038A (ja) | 2019-11-22 | 2021-05-27 | Kddi株式会社 | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム |
Non-Patent Citations (4)
| Title |
|---|
| CHEN, Y. et al.,Integer Arithmetic over Ciphertext and Homomorphic Data Aggregation,2015 IEEE Conference on Communications and Network Security (CNS),IEEE,2015年09月28日,pp.628-632,<DOI:10.1109/CNS.2015.7346877> |
| DUCAS, L. et al.,FHEW: Bootstrapping Homomorphic Encryption in Less Than a Second,EUROCRYPT 2015, Part I,Springer,2015年04月14日,617-640,LNCS 9056, <DOI:10.1007/978-3-662-46800-5_24> |
| LEI, X. et al.,Accelerating Homomorphic Full Adder based on FHEW Using Multicore CPU and GPUs,2019 IEEE 21st International Conference on High Performance Computing and Communications,IEEE,2019年08月10日,pp.2508-2513,<DOI:10.1109/HPCC/SmartCity/DSS.2019.00351> |
| 岡田 大樹,TFHEにおけるInteger-wise型一般化Bootstrapping,2020年 暗号と情報セキュリティシンポジウム予稿集,日本,一般社団法人電気情報通信学会,2020年01月21日,pp.1-8 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20240121077A1 (en) | 2024-04-11 |
| WO2022270079A1 (ja) | 2022-12-29 |
| JP2023001660A (ja) | 2023-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aguilar Melchor et al. | A comparison of the homomorphic encryption libraries helib, seal and fv-nfllib | |
| WO2022201791A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP2021083038A (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| KR20240004830A (ko) | 완전 동형 암호화에서 사용하기 위한 블라인드 회전 | |
| Mounica et al. | Implementation of 5-Qubit approach-based Shor's Algorithm in IBM Qiskit | |
| JP7069460B2 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2023074133A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2023067928A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7185346B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP2024012928A (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| JP7261502B2 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2022044464A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| WO2022270080A1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7228287B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP7187076B1 (ja) | 暗号処理装置、暗号処理方法、及び暗号処理プログラム | |
| JP2021083039A (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| JP7556577B2 (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| JP2021081591A (ja) | 安全性評価装置、安全性評価方法及び安全性評価プログラム | |
| Matthews et al. | Quantum resistant public key encryption scheme HermitianRLCE | |
| JP2024013184A (ja) | 暗号処理装置、暗号処理方法、暗号処理プログラム | |
| JP7179788B2 (ja) | 秘匿演算装置、秘匿演算方法及び秘匿演算プログラム | |
| US20240214201A1 (en) | Encryption processing apparatus and encryption processing method | |
| Golimblevskaia et al. | Survey software implementations of homomorphic encryption methods | |
| Chua et al. | On the concrete security of LWE with small secret | |
| Agrawal et al. | The CKKS FHE Scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220307 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220607 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220729 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7185346 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |