JP7359225B2 - 秘密最大値計算装置、方法及びプログラム - Google Patents

Description

本発明は、暗号応用技術に関するものであり、特に入力や出力を明かすことなく最大値と最大値のフラグを計算する方法に関する。

暗号化された数値を復元すること無く特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある(例えば非特許文献１参照。)。非特許文献１の方法では、３個の秘密計算装置に数値の断片を分散させるという暗号化を行い、３個の秘密計算装置が協調計算を行うことにより、数値を復元すること無く、加減算、定数加算、乗算、定数倍、論理演算 (否定、論理積、論理和、排他的論理和)、データ形式変換(整数, 二進数)の結果を３個の秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。秘密計算で暗号化されたn個の値の最大値と最大値のフラグを計算する場合、現在の最大値と最大値である要素の番号を暗号文として保持しておき、n個の暗号文と順に比較を行い、最大値と最大値である要素の番号を更新していき、最後に番号からフラグを計算する方法がある(例えば非特許文献２参照。)。

千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, 軽量検証可能 3 パーティ秘匿関数計算の再考, In CSS, 2010. Sameer Wagh, Divya Gupta, and Nishanth Chandran. Securenn: 3-party secure computation for neural network training. Proceedings on Privacy Enhancing Technologies, Vol. 1, p. 24, 2019.

しかしながら、従来の方法では、最大値を計算する際の比較の総回数はΘ(n)であるものの、比較の段数がΘ(n)と大きかった。

本発明の目的は、処理時間を小さくした秘密最大値計算装置、方法及びプログラムを提供することを目的とする。

この発明の一態様による秘密最大値計算装置は、集合X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する出力部と、Xの要素の組{[[x_i]],[[x_j]]}⊂Xのそれぞれについて、所定の順序に関してどちらが大きいのかの比較結果を計算する比較部と、各[[x_i]]について、各[[x_i]]に関する全ての比較結果が「大きい」であったかどうかを計算し、その計算された値をフラグ[[z(x_i)]]とするフラグ計算部と、[[z(x_i)]]を用いて最大値[[y]]を計算する最大値計算部と、を備えており、x _i ≦x _j である場合には[[1]]を、そうでない場合には[[0]]を出力する関数をLE(x _i ,x _j )として、比較部は、各(i,j)(i,j∈[1,n]，i<j)についてLE(x _i ,x _j )の計算を行い、その計算結果[[c _i,j ]]を比較結果とし、a=bである場合には[[1]]を、そうでない場合には[[0]]を出力する関数をEQ([[a]],[[b]])として、フラグ計算部は、各(i,j)(i,j∈[1,n]，i>j)について1-[[c _j,i ]]の計算を行い、その計算結果を[[c _i,j ]]とし、各iについて[[z(x _i )]]←EQ(Σ _i≠j [[c _i,j ]],n-1)の計算を行い、その計算結果をフラグ[[z(x _i )]]とする。

処理時間を小さくすることができる。

図１は、第一実施形態の秘密最大値計算装置の機能構成の例を示す図である。 図２は、第一実施形態の秘密最大値計算方法の処理手続きの例を示す図である。 図３は、第二実施形態の秘密最大値計算装置の機能構成の例を示す図である。 図４は、第二実施形態の秘密最大値計算方法の処理手続きの例を示す図である。 図５は、第三実施形態の秘密最大値計算装置の機能構成の例を示す図である。 図６は、第三実施形態の秘密最大値計算方法の処理手続きの例を示す図である。 図７は、コンピュータの機能構成例を示す図である。

以下、本発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

[記法]
ある値aを暗号化や秘密分散などにより秘匿化した値aの秘匿値と呼び、[[a]]と書く。秘匿化が秘密分散である場合は，[[a]]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。

<復号>
aの秘匿値[[a]]を入力とし，c=aとなる値cを計算する処理を
c←Open([[a]])
と記述する。

<算術演算>
加算、減算、乗算の各演算は２個の値a,bの秘匿値[[a]],[[b]]を入力とし、それぞれa+b，a-b，abの計算結果c₁，c₂，c₃の秘匿値[[c₁]]，[[c₂]]，[[c₃]]を計算する。これらの演算の実行をそれぞれ、
[[c₁]]←Add([[a]],[[b]])
[[c₂]]←Sub([[a]],[[b]])
[[c₃]]←Mul([[a]],[[b]])
と記述する。誤解を招く恐れのない場合は、Add([[a]],[[b]])，Sub([[a]],[[b]])，Mul([[a]],[[b]])をそれぞれ[[a]]+[[b]]，[[a]]-[[b]]，[[a]]×[[b]]と略記する。

<比較>
比較の演算は２個の値a,bの秘匿値[[a]],[[b]]を入力とし，a=b，a≦b，a<bの真偽値c∈{0,1}の秘匿値[[c₁]]，[[c₂]]，[[c₃]]を計算する。真偽値は真のとき1、偽のとき0とする。この演算の実行を
[[c₀]]←EQ([[a]],[[b]])
[[c₁]]←LE([[a]],[[b]])
[[c₂]]←LT([[a]],[[b]])
と記述する。なお、EQ,LE,LTの入力の少なくとも一方は、秘匿値でなくてもよい。

<選択>
選択の演算は、真偽値c∈{0,1}の秘匿値[[c]]と２個の値a,bの秘匿値[[a]],[[b]]を入力とし、

を満たすdの秘匿値[[d]]を計算する。この演算の実行を
[[d]]←IfElse([[c]],[[a]],[[b]])
と記述する。この演算は
[[d]]←[[c]]×([[a]]-[[b]])+[[b]]
により実現できる。

[第一実施形態]
第一実施形態の秘密最大値計算装置及び方法は、秘匿値の集合X={[[x₁]],[[x₂]],...,[[x_n]]}から、予め定められた順序に関して最大の秘匿値[[y]]と、各秘匿値が最大であったかどうかを表すフラグの秘匿値[[z(x_i)]]を計算する装置及び方法である。

第一実施形態の秘密最大値計算装置及び方法の入力、出力及び処理を表す記法は、以下のように記述することができる。

入力:X={[[x₁]],...,[[x_n]]}
出力:[[y]],[[z(x₁)]],...,[[z(x_n)]]
記法:[[y]],[[z(x₁)]],...,[[z(x_n)]]←f₀([[x₁]],...,[[x_n]])
第一実施形態の秘密最大値計算装置は、図１に示すように、出力部１、比較部２、フラグ計算部３及び最大値計算部４を例えば備えている。

秘密最大値計算方法は、秘密最大値計算装置の各構成部が、以下に説明し、図２に示すステップＳ１からステップＳ４の処理を行うことにより例えば実現される。

以下、秘密最大値計算装置の各構成部について説明する。

<出力部１>
出力部１には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。nは、所定の正の整数である。

出力部１は、n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する（ステップＳ１）。

n=1でない場合には、以下のステップＳ２以降の処理が行われる。

<比較部２>
比較部２には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。

比較部２は、Xの要素の組{[[x_i]],[[x_j]]}⊂Xのそれぞれについて、所定の順序に関してどちらが大きいのかの比較結果を計算する（ステップＳ２）。

計算された比較結果は、フラグ計算部３に出力される。

例えば、比較部２は、各1≦i<j≦nについて，[[c_i,j]]←LE([[x_i]],[[x_j]])の計算を行う。言い換えれば、比較部２は、各(i,j)(i,j∈[1,n]，i<j)についてLE(x_i,x_j)の計算を行い、その計算結果[[c_i,j]]を比較結果とする。

ここで、LE(x_i,x_j)は、x_i≦x_jである場合には[[1]]を、そうでない場合には[[0]]を出力する関数である。

<フラグ計算部３>
フラグ計算部３には、比較部２で計算された比較結果が入力される。

フラグ計算部３は、各[[x_i]]について、各[[x_i]]に関する全ての比較結果が「大きい」であったかどうかを計算し、その計算された値をフラグ[[z(x_i)]]とする（ステップＳ３）。

計算されたフラグ[[z(x_i)]]は、最大値計算部４に出力される。

例えば、フラグ計算部３は、各(i,j)(i,j∈[1,n]，i>j)について1-[[c_j,i]]の計算を行い、その計算結果を[[c_i,j]]とし、各iについてΠ_i≠j[[c_i,j]]の計算を行い、その計算結果をフラグ[[z(x_i)]]とする。

また、フラグ計算部３は、各(i,j)(i,j∈[1,n]，i>j)について1-[[c_j,i]]の計算を行い、その計算結果を[[c_i,j]]とし、各iについて[[z(x_i)]]←EQ(Σ_i≠j[[c_i,j]],n-1)の計算を行い、その計算結果をフラグ[[z(x_i)]]としてもよい。なお、関数EQで比較されるn-1は、秘匿値であってもよい。すなわち、フラグ計算部３は、各iについて[[z(x_i)]]←EQ(Σ_i≠j[[c_i,j]],[[n-1]])の計算を行い、その計算結果をフラグ[[z(x_i)]]としてもよい。

ここで、EQ([[a]],[[b]])は、a=bである場合には[[1]]を、そうでない場合には[[0]]を出力する関数である。

<最大値計算部４>
最大値計算部４には、フラグ計算部３で計算されたフラグ[[z(x_i)]]が入力される。

最大値計算部４は、[[z(x_i)]]を用いて最大値[[y]]を計算する（ステップＳ４）。

例えば、最大値計算部４は、Σ_i∈[1,n]([[x_i]]×[[z(x_i)]])を計算し、その計算結果を最大値[[y]]とする。

従来の方法では、最大値を保持しておきながら秘匿値の集合から順に最大値を更新していたため、比較の段数がΘ(n)となっていた。これに対して、第一実施形態によれば、比較を一度に行うことで比較の段数を１段にすることができる。これにより、大きさnの秘匿値の集合から最大値の秘匿値と最大値かどうかのフラグの秘匿値の計算の処理時間を小さくすることができる。

[第二実施形態]
第二実施形態の秘密最大値計算装置及び方法は、秘匿値の集合X={[[x₁]],[[x₂]],...,[[x_n]]}から、予め定められた順序に関して最大の秘匿値[[y]]の計算と、各秘匿値が最大であったかどうかを表すフラグの秘匿値[[z(x_i)]]の計算とを比較の段数を２段で行う装置及び方法である。

第二実施形態の秘密最大値計算装置及び方法の入力、出力及び処理を表す記法は、以下のように記述することができる。

入力:X={[[x₁]],...,[[x_n]]}
出力:[[y]],[[z(x₁)]],...,[[z(x_n)]]
記法:[[y]],[[z(x₁)]],...,[[z(x_n)]]←f₁([[x₁]],...,[[x_n]])
第二実施形態の秘密最大値計算装置は、図３に示すように、出力部１、分割部５、秘密最大値計算装置６及びフラグ計算部３を例えば備えている。

秘密最大値計算方法は、秘密最大値計算装置の各構成部が、以下に説明し、図４に示すステップＳ１からステップＳ３の処理を行うことにより例えば実現される。

以下、秘密最大値計算装置の各構成部について説明する。

<出力部１>
出力部１には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。nは、所定の正の整数である。

出力部１は、n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する（ステップＳ１）。

n=1でない場合には、以下のステップＳ５以降の処理が行われる。

<分割部５>
分割部５には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。

分割部５は、Xを２個以上の部分集合に分割する（ステップＳ５）。

得られた２個以上の部分集合は、秘密最大値計算装置６に出力される。

例えば、分割部５は、Xを要素数が同程度のΘ(n^2/3)個の部分集合に分割する。より詳細には、分割部５は、XをL=┌n^2/3┐個の部分集合X₁,...,X_Lに分割する。┌n^2/3┐はn^2/3以上の最小の整数である。ここで、(|X_i|≧1(i∈[1,L])，∪_i∈[1,L]X_i=X，X_i∩X_j=φ(i≠j)である。例えば、分割部５は、1=s₀<s₁<・・・<s_L=n+1となるようなs_i(i∈[0,L])について、X_i={[[x_{s_(i-1)}]],...,[[x_{s_i-1}]]}(i∈[1,L])とする。ここで、x下付きのs_(i-1)は、s_i-1を意味する。また、Xの下付きのs_i-1は、s_i-1を意味する。

<秘密最大値計算装置６>
秘密最大値計算装置６には、分割部５で得られた２個以上の部分集合が入力される。

秘密最大値計算装置６は、２個以上の部分集合のそれぞれについて処理を行い、各部分集合に対応する最大値の秘匿値及びフラグを計算すると共に、各部分集合に対応する最大値の集合について処理を行い、最大値[[y]]及び部分集合ごとのフラグを計算する（ステップＳ６）。

秘密最大値計算装置６は、第一実施形態の秘密最大値計算装置である。第一実施形態の秘密最大値計算装置の記法を用いると、秘密最大値計算装置６の処理は、以下のように記述することができる。
[[y_i]],[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]←f₀([[x_{s_(i-1)}]],...,[[x_{s_i-1}]])(i∈[1,L])
[[y]],[[z(y₁)]],...,[[z(y_L)]]←f₀([[y₁]],...,[[y_L]])
すなわち、秘密最大値計算装置６は、X=[[x_{s_(i-1)}]],...,[[x_{s_i-1}]]を入力として[[y_i]],[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]を出力する処理をi∈[1,L]について行い、また、[[y₁]],...,[[y_L]]を入力として、[[y]],[[z(y₁)]],...,[[z(y_L)]]を出力する処理を行う。

計算された各部分集合iに対応する最大値の秘匿値[[y_i]]及びフラグ[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]と、計算された最大値[[y]]及び部分集合ごとのフラグ[[z(y₁)]],...,[[z(y_L)]]は、フラグ計算部３に出力される。

<フラグ計算部３>
フラグ計算部３には、秘密最大値計算装置６で計算されたフラグ[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]及びフラグ[[z(y₁)]],...,[[z(y_L)]]が入力される。

フラグ計算部３は、計算されたフラグに部分集合ごとのフラグを乗算したフラグを計算する（ステップＳ３）。

例えば、フラグ計算部３は、各i∈[1,L]について、[[z(x_j)]]←[[z(x_j)]]×[[z(y_i)]](j∈[s_i-1,s_i-1])という処理を行う。

第二実施形態の秘密最大値計算装置及び方法によれば、比較の段数は２段となるが、全体の比較回数をΘ(n^4/3)回とすることができる。これにより、大きさnの秘匿値の集合から最大値の秘匿値と最大値かどうかのフラグの秘匿値の計算の処理時間を小さくすることができる。

[第三実施形態]
第三実施形態の秘密最大値計算装置及び方法は、秘匿値の集合X={[[x₁]],[[x₂]],...,[[x_n]]}から、予め定められた順序に関して最大の秘匿値[[y]]の計算と、各秘匿値が最大であったかどうかを表すフラグの秘匿値[[z(x_i)]]の計算とを比較の段数をk+1段で行う装置及び方法である。

第三実施形態の秘密最大値計算装置及び方法の入力、出力及び処理を表す記法は、以下のように記述することができる。k=1の場合には、第二実施形態の記述と一致する。

入力:X={[[x₁]],...,[[x_n]]}
出力:[[y]],[[z(x₁)]],...,[[z(x_n)]]
記法:[[y]],[[z(x₁)]],...,[[z(x_n)]]←f_k([[x₁]],...,[[x_n]])
第三実施形態の秘密最大値計算装置は、図５に示すように、出力部１、分割部５、秘密最大値計算装置６、秘密最大値計算装置７及びフラグ計算部３を例えば備えている。

秘密最大値計算方法は、秘密最大値計算装置の各構成部が、以下に説明し、図６に示すステップＳ１からステップＳ３の処理を行うことにより例えば実現される。

以下、秘密最大値計算装置の各構成部について説明する。

<出力部１>
出力部１には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。nは、所定の正の整数である。

出力部１は、n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する（ステップＳ１）。

n=1でない場合には、以下のステップＳ５以降の処理が行われる。

<分割部５>
分割部５には、集合X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。

分割部５は、Xを２個以上の部分集合に分割する（ステップＳ５）。

得られた２個以上の部分集合は、秘密最大値計算装置６に出力される。

例えば、XをL=┌n^(2^k/(2^k+1-1)┐個の部分集合X₁,...,X_Lに分割する。┌n^(2^k/(2^k+1-1)┐は、n^(2^k/(2^k+1-1)以上の最小の整数である。ここで、(|X_i|≧1(i∈[1,L])，∪_i∈[1,L]X_i=X，X_i∩X_j=φ(i≠j)である。例えば、分割部５は、1=s₀<s₁<・・・<s_L=n+1となるようなs_i(i∈[0,L])について、X_i={[[x_{s_(i-1)}]],...,[[x_{s_i-1}]]}(i∈[1,L])とする。ここで、x下付きのs_(i-1)は、s_i-1を意味する。また、Xの下付きのs_i-1は、s_i-1を意味する。

これにより、m回目の再帰では、Xは要素数が同程度のn^(2^k+1-m/(2^k+2-m-1)個の部分集合に分割される。

<秘密最大値計算装置６>
秘密最大値計算装置６には、分割部５で得られた２個以上の部分集合が入力される。

秘密最大値計算装置６は、２個以上の部分集合のそれぞれについて処理を行い、各部分集合に対応する最大値の秘匿値及びフラグを計算する（ステップＳ６）。

秘密最大値計算装置６は、第三実施形態の秘密最大値計算装置である。第三実施形態の秘密最大値計算装置の記法を用いると、秘密最大値計算装置６の処理は、以下のように記述することができる。このように、第三実施形態の秘密最大値計算装置は、再帰的に処理を行う。
[[y_i]],[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]←f_k-1([[x_{s_(i-1)}]],...,[[x_{s_i-1}]])(i∈[1,L])
すなわち、秘密最大値計算装置６は、X=[[x_{s_(i-1)}]],...,[[x_{s_i-1}]]を入力として[[y_i]],[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]を出力する処理をi∈[1,L]について行う。

計算された各部分集合iに対応する最大値の秘匿値[[y_i]]及びフラグ[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]は、秘密最大値計算装置７に出力される。

<秘密最大値計算装置７>
秘密最大値計算装置７には、秘密最大値計算装置６で計算された各部分集合iに対応する最大値の秘匿値[[y_i]]及びフラグ[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]が入力される。

秘密最大値計算装置７は、各部分集合に対応する最大値の集合について処理を行い、最大値[[y]]及び部分集合ごとのフラグを計算する（ステップＳ７）。

秘密最大値計算装置７は、第一実施形態の秘密最大値計算装置である。第一実施形態の秘密最大値計算装置の記法を用いると、秘密最大値計算装置７の処理は、以下のように記述することができる。
[[y]],[[z(y₁)]],...,[[z(y_L)]]←f₀([[y₁]],...,[[y_L]])
すなわち、秘密最大値計算装置７は、[[y₁]],...,[[y_L]]を入力として、[[y]],[[z(y₁)]],...,[[z(y_L)]]を出力する処理を行う。

計算された部分集合ごとのフラグ[[z(y₁)]],...,[[z(y_L)]]は、フラグ計算部３に出力される。

<フラグ計算部３>
フラグ計算部３には、秘密最大値計算装置６で計算されたフラグ[[z(x_{s_(i-1)})]],...,[[z(x_{s_i-1})]]、秘密最大値計算装置７で計算されたフラグ[[z(y₁)]],...,[[z(y_L)]]が入力される。

フラグ計算部３は、計算されたフラグに部分集合ごとのフラグを乗算したフラグを計算する（ステップＳ３）。

例えば、フラグ計算部３は、各i∈[1,L]について、[[z(x_j)]]←[[z(x_j)]]×[[z(y_i)]](j∈[s_i-1,s_i-1])という処理を行う。

第三実施形態の秘密最大値計算装置及び方法によれば、比較の段数はk+1段となるが、全体の比較回数をΘ(n^(1+1/(2^k+1-1)))回とすることができる。これにより、大きさnの秘匿値の集合から最大値の秘匿値と最大値かどうかのフラグの秘匿値の計算の処理時間を小さくすることができる。

[変形例]
以上、本発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、本発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、本発明に含まれることはいうまでもない。

実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

例えば、秘密最大値計算装置の構成部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

[プログラム、記録媒体]
上記説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。例えば、上述の各種の処理は、図７に示すコンピュータの記録部２０２０に、実行させるプログラムを読み込ませ、制御部２０１０、入力部２０３０、出力部２０４０などに動作させることで実施できる。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

１ 出力部
２ 比較部
３ フラグ計算部
４ 最大値計算部
５ 分割部
６ 秘密最大値計算装置
７ 秘密最大値計算装置

Claims (6)

1. 集合X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、
   n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する出力部と、
   Xの要素の組{[[x_i]],[[x_j]]}⊂Xのそれぞれについて、所定の順序に関してどちらが大きいのかの比較結果を計算する比較部と、
   各[[x_i]]について、前記各[[x_i]]に関する全ての比較結果が「大きい」であったかどうかを計算し、その計算された値をフラグ[[z(x_i)]]とするフラグ計算部と、
   前記[[z(x_i)]]を用いて最大値[[y]]を計算する最大値計算部と、
   を含み、
   x_i≦x_jである場合には[[1]]を、そうでない場合には[[0]]を出力する関数をLE(x_i,x_j)として、
   前記比較部は、各(i,j)(i,j∈[1,n]，i<j)についてLE(x_i,x_j)の計算を行い、その計算結果[[c_i,j]]を前記比較結果とし、
   a=bである場合には[[1]]を、そうでない場合には[[0]]を出力する関数をEQ([[a]],[[b]])として、
   前記フラグ計算部は、各(i,j)(i,j∈[1,n]，i>j)について1-[[c_j,i]]の計算を行い、その計算結果を[[c_i,j]]とし、各iについて[[z(x_i)]]←EQ(Σ_i≠j[[c_i,j]],n-1)の計算を行い、その計算結果をフラグ[[z(x_i)]]とする、
   秘密最大値計算装置。
2. 請求項１の秘密最大値計算装置であって、
   前記最大値計算部は、Σ_i∈[1,n]([[x_i]]×[[z(x_i)]])を計算し、その計算結果を最大値[[y]]とする、
   秘密最大値計算装置。
3. 集合X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、
   n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大値[[y]]及びフラグ[[z(x₁)]]として出力する出力部と、
   Xを２個以上の部分集合に分割する分割部と、
   前記２個以上の部分集合のそれぞれについて処理を行い、各部分集合に対応する最大値の秘匿値及びフラグを計算すると共に、各部分集合に対応する最大値の集合について処理を行い、最大値[[y]]及び部分集合ごとのフラグを計算する請求項１又は２の秘密最大値計算装置と、
   前記計算されたフラグに前記部分集合ごとのフラグを乗算したフラグを計算するフラグ計算部と、
   を含む秘密最大値計算装置。
4. 入力された秘匿値の集合に含まれる秘匿値の最大値[[y]]及び各秘匿値が最大値であるかを表すフラグを計算する秘密最大値計算装置であって、
   集合X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、
   n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する出力部と、
   Xを２個以上の部分集合に分割する分割部と、を含み、
   前記秘密最大値計算装置は、前記２個以上の部分集合のそれぞれについて処理を行い、各部分集合に対応する最大値の秘匿値及びフラグを計算し、
   前記秘密最大値計算装置は、
   各部分集合に対応する最大値の集合について処理を行い、最大値[[y]]及び部分集合ごとのフラグを計算する請求項１又は２の秘密最大値計算装置と、
   前記計算されたフラグに前記部分集合ごとのフラグを乗算したフラグを計算するフラグ計算部と、
   を更に含む秘密最大値計算装置。
5. 集合X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、
   出力部が、n=1である場合には、[[x₁]]及び[[1]]をそれぞれ最大の秘匿値[[y]]及びフラグ[[z(x₁)]]として出力する出力ステップと、
   比較部が、Xの要素の組{[[x_i]],[[x_j]]}⊂Xのそれぞれについて、所定の順序に関してどちらが大きいのかの比較結果を計算する比較ステップと、
   フラグ計算部が、各[[x_i]]について、前記各[[x_i]]に関する全ての比較結果が「大きい」であったかどうかを計算し、その計算された値をフラグ[[z(x_i)]]とするフラグ計算ステップと、
   最大値計算部が、前記[[z(x_i)]]を用いて最大値[[y]]を計算する最大値計算ステップと、
   を含み、
   x _i ≦x _j である場合には[[1]]を、そうでない場合には[[0]]を出力する関数をLE(x _i ,x _j )として、
   前記比較部は、各(i,j)(i,j∈[1,n]，i<j)についてLE(x _i ,x _j )の計算を行い、その計算結果[[c _i,j ]]を前記比較結果とし、
   a=bである場合には[[1]]を、そうでない場合には[[0]]を出力する関数をEQ([[a]],[[b]])として、
   前記フラグ計算部は、各(i,j)(i,j∈[1,n]，i>j)について1-[[c _j,i ]]の計算を行い、その計算結果を[[c _i,j ]]とし、各iについて[[z(x _i )]]←EQ(Σ _i≠j [[c _i,j ]],n-1)の計算を行い、その計算結果をフラグ[[z(x _i )]]とする、
   秘密最大値計算方法。
6. 請求項１又は２の何れかの秘密最大値計算装置の各部としてコンピュータを機能させるためのプログラム。

Images