JP7331953B2 - 秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム - Google Patents

秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム Download PDF

Info

Publication number
JP7331953B2
JP7331953B2 JP2021572124A JP2021572124A JP7331953B2 JP 7331953 B2 JP7331953 B2 JP 7331953B2 JP 2021572124 A JP2021572124 A JP 2021572124A JP 2021572124 A JP2021572124 A JP 2021572124A JP 7331953 B2 JP7331953 B2 JP 7331953B2
Authority
JP
Japan
Prior art keywords
value
variance
variance value
secret
normalization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021572124A
Other languages
English (en)
Other versions
JPWO2021149102A1 (ja
Inventor
大 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021149102A1 publication Critical patent/JPWO2021149102A1/ja
Application granted granted Critical
Publication of JP7331953B2 publication Critical patent/JP7331953B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Complex Calculations (AREA)
  • Image Processing (AREA)
  • Magnetic Resonance Imaging Apparatus (AREA)
  • Storage Device Security (AREA)

Description

本発明は、秘密計算において逆数を計算する技術に関する。
秘密計算とは、データを秘匿したまま任意の関数を計算する暗号技術である。この特徴を活かして、システム運用者にもデータ利用者にもデータを漏らさないデータ利活用の形態が期待されている。秘密計算にはいくつかの方式が存在し、その中でも秘密分散を構成要素にするものは、データの処理単位が小さく、高速な処理が可能であることが知られている。
秘密分散とは、秘密情報をシェアと呼ばれるいくつかの断片に変換する方法である。例えば、秘密の情報からn個のシェアを生成し、k個以上のシェアからは秘密が復元できるが、k個未満のシェアからは秘密の情報が漏れない(k, n)閾値法と呼ばれる秘密分散がある。秘密分散の具体的な構成方法は、Shamir秘密分散や複製秘密分散等が知られている。本明細書では、秘密分散により分散された値の1個の断片を「シェア」と呼ぶ。また、すべてのシェアの集合全体を「分散値」と呼ぶ。
近年、秘密計算による高度な統計や機械学習の研究が盛んに行われている。しかしながら、これらの演算のほとんどは秘密計算の得意な加減乗算を超える、逆数、平方根、指数、対数等の計算を含んでいる。逆数の計算はコンピュータ等での基本的な演算の一つであり、様々な場面で利用されている。非特許文献1には、秘密計算において逆数を計算する方法が開示されている。また、逆数を含む様々な関数計算では、数値がある範囲に収まるように正規化を行う処理が必要になることがある。秘密計算では、最左ビット(msb: most significant bit)の移動により数値の正規化を行う。
五十嵐大、"秘密計算AIの実装に向けた秘密実数演算群の設計と実装-O(|p|)ビット通信量 O(1)ラウンドの実数向け右シフト-"、CSS2019、2019年
しかしながら、従来技術では、秘密計算において正規化を行ったときの近似精度が十分ではない、という課題がある。
この発明の目的は、上記のような技術的課題に鑑みて、高精度に正規化を行うことができる秘密計算技術を提供することである。
上記の課題を解決するために、本発明の第一の態様の秘密逆数計算システムは、複数の秘密計算装置を含み、値aの分散値[a]を入力とし、値aの逆数の分散値[1/a]を計算する秘密逆数計算システムであって、λは値aの小数点位置であり、秘密計算装置は、分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成するビット分解部と、分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成するフラグ列生成部と、{y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、分散値{ai-2}の論理否定と分散値{xi-1}との論理積を計算した結果と分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は分散値{aλ-2}の論理否定と分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成するビット列生成部と、分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成する正規化乗数生成部と、分散値[a]と分散値[c]とを乗算した分散値[b]を計算する正規化部と、分散値[b]を用いて、[1/b]を計算した分散値[w]を求める逆数計算部と、分散値[w]と分散値[c]とを乗算した分散値[1/a]を計算する逆正規化部と、を含む。
本発明の第二の態様の秘密正規化システムは、複数の秘密計算装置を含み、値aの分散値[a]を正規化する秘密正規化システムであって、λは値aの小数点位置であり、秘密計算装置は、分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成するビット分解部と、分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成するフラグ列生成部と、{y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、分散値{ai-2}の論理否定と分散値{xi-1}との論理積を計算した結果と分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は分散値{aλ-2}の論理否定と分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成するビット列生成部と、分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成する正規化乗数生成部と、分散値[a]と分散値[c]とを乗算した分散値[b]を計算する正規化部と、を含む。
この発明によれば、秘密計算において高精度で正規化を行うことができる。
図1は秘密逆数計算システムの機能構成を例示する図である。 図2は秘密計算装置の機能構成を例示する図である。 図3は逆数計算部の機能構成を例示する図である。 図4は秘密逆数計算方法の処理手順を例示する図である。 図5は逆数計算部の処理手順を例示する図である。 図6はコンピュータの機能構成を例示する図である。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
本明細書では、以下の記法を用いる。
[・]は数値・を秘匿したデータである。例えば、Shamir秘密分散、複製秘密分散等の分散値を用いることができる。
{・}はビット・を秘匿したデータである。例えば、Z2上の複製秘密分散等の分散値を用いることができる。
λは小数点位置を表す。秘密計算で用いる環または体のビット数|p|の半分程度を想定する。
[a?b:c]はa=1ならばb、a=0ならばcを表す。
Figure 0007331953000001
はそれぞれ論理否定(NOT)、論理積(AND)、論理和(OR)、排他的論理和(XOR)を表す。
環上の整数に公開の小数点位置を定めることで固定小数点の実数と見なすことができる。本発明ではこのようにして環上で表した固定小数点の実数を単に実数と表記する。
[実施形態:秘密逆数計算システム]
本発明の実施形態は、値aの分散値[a]を入力とし、値aを秘匿したまま、値aの逆数の分散値[1/a]を計算する秘密逆数計算システムおよび方法である。以下、実施形態の秘密逆数計算システムが実行する逆数プロトコルの概要について説明する。
従来、秘密計算では、加減乗算を超える、逆数や平方根、指数関数、対数関数等の初等関数群は処理コストが大きく、実装されてこなかった。本発明では、これらの課題を解決するために、秘密計算上の初等関数群を効率的かつ統一的に近似可能なアルゴリズムを用いて、逆数を効率的に計算することを可能とする。この近似手法は、逆数を含む主な初等関数を単一の手法でパラメータを変えるだけで近似可能である。さらに、この近似手法は、単精度(23ビット)において実数乗算3回分の通信量/ラウンド数であり、理論最適な効率である。
逆数はすなわち除算の自明な部品である。除算は平文に対する処理でも利用頻度が高いわりに処理が遅い関数として知られている。平文に対する逆数計算では、効率的に計算するために、以下の正規化を行うことがある。入力aの小数点位置における0.5(すなわち、2-1)の桁の位置と入力aの最左ビット(msb: most significant bit)との差をeとし、以下の変形を行う。すなわち、2eを乗じて区間[0.5, 1)に正規化し、逆数1/2eaを求めた後に2eを乗ずる。
Figure 0007331953000002
逆数においては、標準的である[0.5, 1)への正規化では8次多項式近似で21ビット程度の精度となる。一般的に単精度で23ビットの精度が必要とされるため、さらに精度を向上するテクニックを導入する必要がある。通常、最左ビットを移動して[0.5, 1)に正規化するのだが、その後さらに最左ビットの1ビット下が0であれば(すなわち値が[0.5, 0.75)であれば)1.5を乗ずる。すると、[0.5, 0.75)が[0.75, 1.125)へと動くので、[0.75, 1)であれば何もしないことと合わせると、[0.75, 1.125)に正規化されることになる。[0.75, 1.125)は[0.5, 1)よりも狭い区間であるため、近似区間が狭いほど精度が向上する補間多項式近似においては有効なテクニックである。実際、このテクニックにより近似精度は23ビットを超える。一方、このテクニックを施すためにかかる処理コストは、通信量λ(≒|p|/2)、ラウンド数2程度であるため、実数乗算(通信量8/3*|p|、ラウンド数3)を1回増やすよりも効率的である。
秘密計算上の初等関数群を8次多項式で近似するためのアルゴリズムを以下に示す。
〔アルゴリズム1:8次多項式による関数近似プロトコル〕
入力:[x]∈[L, R)
パラメータ:a, b, c, d, f, g, H, i, j, k, l, m, n, o, p, q, α, β, γ, δ, ζ
出力:目的の関数funcに対応する[func(x)]
1:積和により[y']:=[x(δx+a-i)-j]を計算し、右シフトにより小数点位置を下げる。
2:[y]:=[y'+(ix+j)]を計算する。
3:積和により[z']:=[y(ζy+b-k)+(c-l)x-m]を計算し、右シフトにより小数点位置を下げる。
4:[z]:=[z'+(ky+lx+m)]を計算する。
5:積和により[w'/γ]:=[z(αz+d-n/γ)+(βx+f-o/γ)y+(g-p)x+(H-q)/γ]を計算し、γによる乗算と小数点位置の下降を同時に行い[w']を得る。
6:[w]:=[w'+(nz+oy+px+q)]を出力する。
アルゴリズム1のステップ1,3で実行する小数点位置の下降は、例えば、非特許文献1に開示された除数公開除算を用いることで効率的に行うことができる。
アルゴリズム1のステップ5で実行する公開値乗算と小数点位置の下降の同時実行は、例えば、以下のアルゴリズムを用いることで効率的に行うことができる。
〔アルゴリズム2:右シフトから処理コスト増大無しで同時に公開値乗算〕
入力:[x]、乗数m、シフト量σ
出力:シフト後の[mx]
1:公開値2σ/mを計算する。
2:公開値除算により次式を計算する。ただし、[mx]は[x]より小数点位置がσ低くなった表現とみなす。
Figure 0007331953000003
アルゴリズム1で用いるパラメータL, R, a, b, c, d, f, g, H, i, j, k, l, m, n, o, p, q, α, β, γ, δ, ζは、近似する関数funcに応じて設定される。本発明で対象とする逆数関数を近似する際には、各パラメータを、例えば次表のように設定すればよい。なお、ex, ey, ez, ewはx, y, z, wの小数点位置、e'y, e'z, e'wはy', z', w'の小数点位置である。これらは8次多項式近似中の右シフト量を定めるパラメータである。例えば、y'からyを計算する際の右シフト量はe'y-eyとなる。
Figure 0007331953000004
 アルゴリズム1を用いて秘密計算上の逆数を計算するアルゴリズムを以下に示す。ここでは、計算対象とする入力を逆数計算用に正規化するアルゴリズム(アルゴリズム3)と、そのアルゴリズムを用いて逆数を計算するアルゴリズム(アルゴリズム4)とに分けて説明する。
〔アルゴリズム3:逆数用正規化プロトコル〕
入力:[a]
出力:[b], [c](ただし、bはaの最左ビットを小数点位置λに移動した後、aの最左ビットの1ビット下のビットが0であればさらに1.5を乗じた値(すなわち、小数点位置をλ+1とするとaを[0.75, 1.125)に正規化した値)である。cは、正規化およびその逆演算に用いる2べきの数であり、b=acを満たす。)
1:ビット分解により[a]のビット表現{a0}, …, {aλ-1}を得る。
2:aの最左ビットの位置のみが1となるビット列{x0}, …, {xλ-1}を得る。
3:2≦i<λで、{yi}を次式により設定する。
Figure 0007331953000005
4:{y0}, {y1}, {yλ}を次式により設定する。
Figure 0007331953000006
msbの1ビット下の入力ビットが1であれば、msbの1ビット上のyiが1となる。次のステップで上下逆転して結合するため、yiを上下逆転して設定している。
5:ビット結合で{yλ-1}, …, {y0}を結合し[c]とする。
cは、aのmsbを定められた位置に移動し、さらにmsbの1ビット下のビットが0であれば1.5を乗じた値になる。小数点位置が1である固定小数点であることに注意されたい。
6:[b]:=[a][c]を計算し、[b], [c]を出力する。
〔アルゴリズム4:逆数プロトコル〕
入力:[a]
出力:[1/a]
1:アルゴリズム3により[a]を[0.75, 1.125)に正規化した値[b]、正規化のために乗じた値[c]を得る。
2:[b]に対してアルゴリズム1を実行し、[b]の逆数を計算する。結果を[w]とする。
3:[w][c]を計算する。
アルゴリズム3のステップ2で実行する最左ビットを表すフラグ列の生成は、例えば、以下のアルゴリズムを用いることで、効率的に行うことができる。
〔アルゴリズム5:msbフラグ列取得プロトコル〕
入力:ビット表現された整数{a0}, …, {aλ-1}
出力:aのmsb位置のみ1となるビット列{x0}, …, {xλ-1}
1:0≦i<λ-1で、{fi}:={fi+1∨ai}とする。
2:{fλ-1}:={aλ-1}とする。ここまでで、{f0}, …, {fλ-1}は0,0,0,1,1,1,…,1のようにmsbを境に01が並ぶビット列になっている。
3:0≦i<λ-1で、{xi}:={fiXOR fi+1}とする。
4:{xλ-1}:={aλ-1}とする。ここまでで、{x0}, …, {xλ-1}は0,0,0,1,0,0,…,0のようにmsb位置のみ1となるビット列になっている。
<秘密逆数計算システム100>
実施形態の秘密逆数計算システム100は、上記の逆数プロトコルを実行する情報処理システムである。秘密逆数計算システム100は、図1に示すように、N(≧3)台の秘密計算装置11, …, 1Nを含む。この実施形態では、秘密計算装置11, …, 1Nはそれぞれ通信網9へ接続される。通信網9は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN(Local Area Network)、WAN(Wide Area Network)等を用いることができる。なお、各装置は必ずしも通信網9を介してオンラインで通信可能である必要はない。例えば、秘密計算装置1n(n=1, …, N)へ入力する情報を磁気テープやUSBメモリ等の可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置1nへオフラインで入力するように構成してもよい。
実施形態の秘密逆数計算システム100に含まれる秘密計算装置1nは、例えば、図2に示すように、ビット分解部11、フラグ列生成部12、ビット列生成部13、正規化乗数生成部14、正規化部15、逆数計算部16、および逆正規化部17を備える。逆数計算部16は、例えば、図3に示すように、パラメータ記憶部160、第一積和部161、第一加算部162、第二積和部163、第二加算部164、第三積和部165、公開値乗算部166、および第三加算部167を備える。この秘密計算装置1nが他の秘密計算装置1n'(n'=1, …, N、ただしn≠n')と協調しながら後述する各ステップの処理を行うことにより実施形態の秘密逆数計算方法が実現される。
秘密計算装置1nは、例えば、中央演算処理装置(CPU: Central Processing Unit)、主記憶装置(RAM: Random Access Memory)等を有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置1nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置1nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置1nの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。秘密計算装置1nが備える各記憶部は、例えば、RAM(Random Access Memory)等の主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストア等のミドルウェアにより構成することができる。
図4を参照して、実施形態の秘密逆数計算システム100が実行する秘密逆数計算方法の処理手続きを説明する。
ステップS11において、各秘密計算装置1nのビット分解部11は、秘密逆数計算システム100に入力された値aの分散値[a]をビット分解することで、値aのビット表現の分散値の列{a0}, …, {aλ-1}を得る。ビット分解部11は、分散値の列{a0}, …, {aλ-1}をフラグ列生成部12およびビット列生成部13へ出力する。
ステップS12において、各秘密計算装置1nのフラグ列生成部12は、分散値の列{a0}, …, {aλ-1}を用いて、値aの最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成する。最左ビットを表すフラグ列は、例えば、上記のアルゴリズム5を用いて得られる最左ビットの位置のみが1となるフラグ列である。フラグ列生成部12は、分散値の列{x0}, …, {xλ-1}をビット列生成部13へ出力する。
ステップS13において、各秘密計算装置1nのビット列生成部13は、分散値の列{a0}, …, {aλ-1}および分散値の列{x0}, …, {xλ-1}を用いて、ビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成する。具体的には、まず、{y0}, {y1}を{0}に設定する。次に、2以上λ未満の各整数iについて、{yi}:={(¬ai-2∧xi-1) XOR xi}を計算する。すなわち、{y2}, …, {yλ-1}は、分散値{ai-2}の論理否定と分散値{xi-1}との論理積を計算し、その結果と分散値{xi}との排他的論理和を計算した結果である。そして、{yλ}:={¬aλ-2∧xλ-1}を計算する。すなわち、{yλ}は分散値{aλ-2}の論理否定と分散値{xλ-1}との論理積を計算した結果である。ビット列生成部13は、分散値の列{y0}, …, {yλ-1}を正規化乗数生成部14へ出力する。
ステップS14において、各秘密計算装置1nの正規化乗数生成部14は、分散値の列{y0}, …, {yλ-1}を逆順にビット結合することで、正規化およびその逆演算を計算するために計算結果に乗ずる乗数c(以下、「正規化乗数」とも呼ぶ)の分散値[c]を生成する。正規化乗数生成部14は、分散値[c]を正規化部15へ出力する。
ステップS15において、各秘密計算装置1nの正規化部15は、値aの分散値[a]と正規化乗数cの分散値[c]とを乗算することで、値aを正規化した値bの分散値[b]を計算する。正規化部15は、分散値[b]を逆数計算部16へ出力する。
ステップS16において、各秘密計算装置1nの逆数計算部16は、逆数関数を8次多項式で近似するパラメータを用いてアルゴリズム1を実行することにより、値bの分散値[b]に対して逆数を計算し、計算結果wの分散値[w]を生成する。逆数計算部16は、分散値[w]を逆正規化部17へ出力する。
ステップS17において、各秘密計算装置1nの逆正規化部17は、計算結果wの分散値[w]と正規化乗数cの分散値[c]とを乗算し、値aの逆数の分散値[1/a]として出力する。
図5を参照して、逆数計算部16が実行する処理手続きを詳細に説明する。
パラメータ記憶部160には、逆数関数を8次多項式で近似するためのパラメータa, b, c, d, f, g, H, i, j, k, l, m, n, o, p, q, α, β, γ, δ, ζが記憶されている。各パラメータは近似する関数に応じて予め定めたものであり、逆数関数を近似する場合には表1に例示した値を設定すればよい。
ステップS161において、逆数計算部16の第一積和部161は、積和により[y']:=[x(δx+a-i)-j]を計算し、右シフトにより小数点位置を下げる。ただし、xは値aを正規化した値bである。すなわち、[x]:=[b]である。第一積和部161は、[y']を第一加算部162へ出力する。
ステップS162において、逆数計算部16の第一加算部162は、[y]:=[y'+(ix+j)]を計算する。第一加算部162は、[y]を第二積和部163へ出力する。
ステップS163において、逆数計算部16の第二積和部163は、積和により[z']:=[y(ζy+b-k)+(c-l)x-m]を計算し、右シフトにより小数点位置を下げる。第二積和部163は、[z']を第二加算部164へ出力する。
ステップS164において、逆数計算部16の第二加算部164は、[z]:=[z'+(ky+lx+m)]を計算する。第二加算部164は、[z]を第三積和部165へ出力する。
ステップS165において、逆数計算部16の第三積和部165は、積和により[w'/γ]:=[z(αz+d-n/γ)+(βx+f-o/γ)y+(g-p)x+(H-q)/γ]を計算する。第三積和部165は、[w'/γ]を公開値乗算部166へ出力する。
ステップS166において、逆数計算部16の公開値乗算部166は、[w']:=[w'/γ]*γを計算する。公開値乗算部166は、[w']を第三加算部167へ出力する。
ステップS167において、逆数計算部16の第三加算部167は、[w]:=[w'+(nz+oy+px+q)]を計算する。
[変形例:秘密正規化システム]
実施形態の秘密逆数計算システム100は、逆数計算のための正規化(アルゴリズム3)と逆数計算(アルゴリズム4)を両方とも実行するように構成した。変形例の秘密正規化システムは、秘密逆数計算システム100のうち逆数計算のための正規化(アルゴリズム3)を行う部分のみを実行するように構成する。すなわち、秘密正規化システムは、値aの分散値[a]を入力とし、値aを[0.75, 1.125)に正規化した値bの分散値[b]と、正規化乗数cの分散値[c]とを出力する。具体的には、変形例の秘密正規化システムに含まれる秘密計算装置1nは、ビット分解部11、フラグ列生成部12、ビット列生成部13、正規化乗数生成部14、および正規化部15を備える。なお、この正規化アルゴリズムは、様々な関数を実行するために用いることが考えられる。そのため、変形例の秘密正規化システムは逆数計算を目的とした構成に限定されない。
以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[プログラム、記録媒体]
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図6に示すコンピュータの記憶部1020に読み込ませ、制御部1010、入力部1030、出力部1040等に動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (8)

  1. 複数の秘密計算装置を含み、値aの分散値[a]を入力とし、値aの逆数の分散値[1/a]を計算する秘密逆数計算システムであって、
    λは前記値aの小数点位置であり、
    前記秘密計算装置は、
    前記分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成するビット分解部と、
    前記分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成するフラグ列生成部と、
    {y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、前記分散値{ai-2}の論理否定と前記分散値{xi-1}との論理積を計算した結果と前記分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は前記分散値{aλ-2}の論理否定と前記分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成するビット列生成部と、
    前記分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成する正規化乗数生成部と、
    前記分散値[a]と前記分散値[c]とを乗算した分散値[b]を計算する正規化部と、
    前記分散値[b]を用いて、[1/b]を計算した分散値[w]を求める逆数計算部と、
    前記分散値[w]と前記分散値[c]とを乗算した前記分散値[1/a]を計算する逆正規化部と、
    を含む秘密逆数計算システム。
  2. 請求項1に記載の秘密逆数計算システムであって、
    a, b, c, d, f, g, H, i, j, k, l, m, n, o, p, q, α, β, γ, δ, ζは逆数関数を8次多項式で近似するためのパラメータとし、[x]:=[b]とし、
    前記逆数計算部は、
    [y']:=[x(δx+a-i)-j]を計算する第一積和部と、
    [y]:=[y'+(ix+j)]を計算する第一加算部と、
    [z']:=[y(ζy+b-k)+(c-l)x-m]を計算する第二積和部と、
    [z]:=[z'+(ky+lx+m)]を計算する第二加算部と、
    [w'/γ]:=[z(αz+d-n/γ)+(βx+f-o/γ)y+(g-p)x+(H-q)/γ]を計算する第三積和部と、
    [w']:=[w'/γ]*γを計算する公開値乗算部と、
    [w]:=[w'+(nz+op+px+q)]を計算する第三加算部と、
    を含む秘密逆数計算システム。
  3. 複数の秘密計算装置を含み、値aの分散値[a]を正規化する秘密正規化システムであって、
    λは前記値aの小数点位置であり、
    前記秘密計算装置は、
    前記分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成するビット分解部と、
    前記分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成するフラグ列生成部と、
    {y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、前記分散値{ai-2}の論理否定と前記分散値{xi-1}との論理積を計算した結果と前記分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は前記分散値{aλ-2}の論理否定と前記分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成するビット列生成部と、
    前記分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成する正規化乗数生成部と、
    前記分散値[a]と前記分散値[c]とを乗算した分散値[b]を計算する正規化部と、
    を含む秘密正規化システム。
  4. 複数の秘密計算装置を含み、値aの分散値[a]を入力とし、値aの逆数の分散値[1/a]を計算する秘密逆数計算システムが実行する秘密逆数計算方法であって、
    λは前記値aの小数点位置であり、
    各秘密計算装置のビット分解部が、前記分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成し、
    各秘密計算装置のフラグ列生成部が、前記分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成し、
    各秘密計算装置のビット列生成部が、{y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、前記分散値{ai-2}の論理否定と前記分散値{xi-1}との論理積を計算した結果と前記分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は前記分散値{aλ-2}の論理否定と前記分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成し、
    各秘密計算装置の正規化乗数生成部が、前記分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成し、
    各秘密計算装置の正規化部が、前記分散値[a]と前記分散値[c]とを乗算した分散値[b]を計算し、
    各秘密計算装置の逆数計算部が、前記分散値[b]を用いて、[1/b]を計算した分散値[w]を求め、
    各秘密計算装置の逆正規化部が、前記分散値[w]と前記分散値[c]とを乗算した前記分散値[1/a]を計算する、
    秘密逆数計算方法。
  5. 複数の秘密計算装置を含み、値aの分散値[a]を正規化する秘密正規化システムが実行する秘密正規化方法であって、
    λは前記値aの小数点位置であり、
    各秘密計算装置のビット分解部が、前記分散値[a]から値aのビット表現a0, …, aλ-1の分散値の列{a0}, …, {aλ-1}を生成し、
    各秘密計算装置のフラグ列生成部が、前記分散値の列{a0}, …, {aλ-1}の最左ビットを表すフラグ列x0, …, xλ-1の分散値の列{x0}, …, {xλ-1}を生成し、
    各秘密計算装置のビット列生成部が、{y0}, {y1}は0の分散値であり、{y2}, …, {yλ-1}は、iを2以上λ未満の各整数として、前記分散値{ai-2}の論理否定と前記分散値{xi-1}との論理積を計算した結果と前記分散値{xi}との排他的論理和を計算した値の分散値であり、{yλ}は前記分散値{aλ-2}の論理否定と前記分散値{xλ-1}との論理積を計算した値の分散値であるビット列y0, …, yλ-1の分散値の列{y0}, …, {yλ-1}を生成し、
    各秘密計算装置の正規化乗数生成部が、前記分散値の列{y0}, …, {yλ-1}を逆順にビット結合した正規化乗数cの分散値[c]を生成し、
    各秘密計算装置の正規化部が、前記分散値[a]と前記分散値[c]とを乗算した分散値[b]を計算する、
    秘密正規化方法。
  6. 請求項1または2の秘密逆数計算システムにおいて用いられる前記秘密計算装置。
  7. 請求項6に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。
  8. 請求項3の秘密正規化システムにおいて用いられる前記秘密計算装置。
JP2021572124A 2020-01-20 2020-01-20 秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム Active JP7331953B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/001678 WO2021149102A1 (ja) 2020-01-20 2020-01-20 秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2021149102A1 JPWO2021149102A1 (ja) 2021-07-29
JP7331953B2 true JP7331953B2 (ja) 2023-08-23

Family

ID=76992093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021572124A Active JP7331953B2 (ja) 2020-01-20 2020-01-20 秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム

Country Status (6)

Country Link
US (1) US20230344630A1 (ja)
EP (1) EP4095831A4 (ja)
JP (1) JP7331953B2 (ja)
CN (1) CN114945965A (ja)
AU (1) AU2020424313B2 (ja)
WO (1) WO2021149102A1 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6629466B2 (ja) * 2017-01-20 2020-01-15 日本電信電話株式会社 秘密計算システム、秘密計算装置、秘密計算方法、プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
五十嵐大,秘密計算AIの実装に向けた秘密実数演算群の設計と実装-O(|p|)ビット通信量O(1)ラウンドの実数向け右シフト,コンピュータセキュリティシンポジウム2019論文集,2019年10月14日,pp.1557-1564

Also Published As

Publication number Publication date
AU2020424313A1 (en) 2022-07-14
US20230344630A1 (en) 2023-10-26
JPWO2021149102A1 (ja) 2021-07-29
WO2021149102A1 (ja) 2021-07-29
EP4095831A4 (en) 2023-10-18
CN114945965A (zh) 2022-08-26
AU2020424313B2 (en) 2023-04-27
EP4095831A1 (en) 2022-11-30

Similar Documents

Publication Publication Date Title
EP3866142B1 (en) Secure right shift computation system, secure division system, methods therefor, secure computation apparatus, and program
WO2020071441A1 (ja) 秘密シグモイド関数計算システム、秘密ロジスティック回帰計算システム、秘密シグモイド関数計算装置、秘密ロジスティック回帰計算装置、秘密シグモイド関数計算方法、秘密ロジスティック回帰計算方法、プログラム
JPWO2018135563A1 (ja) 秘密計算システム、秘密計算装置、秘密計算方法、プログラム
JP7331953B2 (ja) 秘密逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム
JP7331951B2 (ja) 秘密平方根計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム
JP7331952B2 (ja) 秘密平方根逆数計算システム、秘密正規化システム、それらの方法、秘密計算装置、およびプログラム
JP7351353B2 (ja) 秘密指数関数計算システム、秘密指数関数計算方法、秘密計算装置、およびプログラム
JP7405156B2 (ja) 秘密選択積計算システム、秘密選択積計算方法、秘密計算装置、およびプログラム
JP7173328B2 (ja) 秘密除算システム、秘密計算装置、秘密除算方法、およびプログラム
JP7290177B2 (ja) 秘密計算装置、秘密計算方法、およびプログラム
JP7290178B2 (ja) 秘密計算装置、秘密計算方法、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230627

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230724

R150 Certificate of patent or registration of utility model

Ref document number: 7331953

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150