JP7540501B2

JP7540501B2 - 秘匿ｍｓｂ正規化システム、分散処理装置、秘匿ｍｓｂ正規化方法、およびプログラム

Info

Publication number: JP7540501B2
Application number: JP2022556803A
Authority: JP
Inventors: 大五十嵐
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2020-10-16
Filing date: 2020-10-16
Publication date: 2024-08-27
Anticipated expiration: 2040-10-16
Also published as: AU2020472441B2; US20230401033A1; JPWO2022079891A1; CN116324933A; EP4210029A4; WO2022079891A1; EP4210029A1; AU2020472441A1

Description

本発明は、秘密計算において、最上位ビット(以下「MSB」(Most Significant Bit)ともいう)を所定のビット位置に合わせる技術(以下、「MSB合わせ」ともいう)に関する。

平文では積和演算は加算の繰り返しだが、秘密分散ベースの秘密計算では計算効率を上げるために並列処理できる必要がある(非特許文献１，２参照)。また精度も考慮すると和、積和については特別に演算を構成する必要がある。

西出隆志,天田拓磨，「通信量を削減した浮動小数点演算のためのマルチパーティ計算」，情報処理学会論文誌，Vol. 60, No.9, pp. 1433- 1447, 2019. Randmets, J.,"Programming Languages for Secure Multiparty Computation Application Development", PhD thesis. University of Tartu. 2017.

積和は出力が高ビットになるため入力時点でMSBを一定に抑えたいが、単純に右シフトすると、小さい入力が桁落ちして精度が落ちるという課題がある。

本発明は、ベクトルに含まれる要素の中で最も絶対値の大きいデータのMSB(ベクトルMSBと呼ぶ)を所定のビット位置に合わせるようなシフトでベクトル全体を一斉にシフトすること（ベクトルMSB正規化と呼ぶ）で精度を保ったままMSB合わせを行うことができる秘匿ＭＳＢ正規化システム、分散処理装置、秘匿ＭＳＢ正規化方法、およびプログラムを提供することを目的とする。

上記の課題を解決するために、本発明の一態様によれば、秘匿ＭＳＢ正規化システムは、n個の分散処理装置を含む。n個の分散処理装置は、それぞれビット分解部、論理和取得部、シフト量取得部およびシフト部を含む。n個のビット分解部は、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pをビット分解し、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得、n個の論理和取得部は、ビット表現[[^→a]]^{2^L}の各ビット位置のベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得し、n個のシフト量取得部は、論理和[[A₀]]²,…,[[A_L-1]]²の最上位ビットを固定位置にシフトさせるためのシフト量ρを法pで(k,n)-複製秘密分散したシェア<<ρ>>^pを求め、n個のシフト部は、ベクトル[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求める。

上記の課題を解決するために、本発明の他の態様によれば、分散処理装置は、秘匿ＭＳＢ正規化システムに含まれる。分散処理装置は、(n-1)個の分散処理装置とともに、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pをビット分解し、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得るビット分解部と、(n-1)個の分散処理装置とともに、ビット表現[[^→a]]^{2^L}の各ビット位置のベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得する論理和取得部と、(n-1)個の分散処理装置とともに、論理和[[A₀]]²,…,[[A_L-1]]²の最上位ビットを固定位置にシフトさせるためのシフト量ρを法pで(k,n)-複製秘密分散したシェア<<ρ>>^pを求めるシフト量取得部と、(n-1)個の分散処理装置とともに、ベクトル[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求めるシフト部とを含む。

本発明によれば、精度を保ったままMSB合わせを行うことができるという効果を奏する。

第一、第二、第三実施形態に係る秘匿ＭＳＢ正規化システムの構成例を示す図。第一実施形態に係る秘匿ＭＳＢ正規化システムの処理フローの例を示す図。第一実施形態に係る分散処理装置の機能ブロック図。第二実施形態に係る秘匿ＭＳＢ正規化システムの処理フローの例を示す図。第二実施形態に係る分散処理装置の機能ブロック図。第三実施形態に係る秘匿ＭＳＢ正規化システムの処理フローの例を示す図。第三実施形態に係る分散処理装置の機能ブロック図。実機実験の結果を示す図。本手法を適用するコンピュータの構成例を示す図。

以下、本発明の実施形態について、説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。以下の説明において、テキスト中で使用する記号「^→」等は、本来直後の文字の真上に記載されるべきものであるが、テキスト記法の制限により、当該文字の直前に記載する。式中においてはこれらの記号は本来の位置に記述している。また、ベクトルや行列の各要素単位で行われる処理は、特に断りが無い限り、そのベクトルやその行列の全ての要素に対して適用されるものとする。

＜第一実施形態＞
まず、本実施形態における記法について説明する。

＜記法＞
◎ k:秘密分散の閾値。例えば2とする。

◎ n:秘密分散の分散数、言い換えると、秘密計算のパーティ数。例えば3とする。

◎ P:素数。本実施形態ではメルセンヌ素数2⁶¹-1を想定し、処理の効率化を図る。

◎ p:Pのビット数。Pがメルセンヌ素数のとき、やはり素数であり、61である。

◎ Q:剰余環の位数。P、pや、浮動小数点の指数部に使う位数を含む一般的な位数を意味する。浮動小数点の指数部のシェアに用いたときは特に2¹³-1を想定する。

◎ L:格納されるデータの最大ビット長。pより小さいことを想定する。

◎ λ:格納される指数部の最大ビット長。10以下を想定する。

◎ [[x]]^y:mod y要素xを(k,n)-秘密分散したシェア。

◎ <x>^y:mod y要素xを(k,k)-加法的秘密分散したシェア。

◎ <<x>>^y:mod y要素xを(k,n)-複製秘密分散したシェア。なお、(k,n)-秘密分散であるため、[[x]]^yの形式のシェアに適用できるプロトコルはこのシェアにも適用できる。この記法の場合、特に複製秘密分散の性質を利用していることを意味する。

◎[[x]]^{2^m}:[[x]]²の形式のシェアをm個並べたシェア。数値のビット表現と見なすこともある。なお、添え字におけるA^BはA^Bを、A_BはA_Bを意味する。

◎ ρ○^→a:ベクトル^→aにローテーションρを施したベクトル。ローテーションは数でもあり置換でもあるため、要素ごとの乗算ρ^→aと区別する。

◎ x≒y:xとyは計算機上の実数として等しい。すなわち、差が一定の誤差範囲内である。

◎ a/d:小数点以下切り捨ての整数除算。特に2べき数での整数除算は右シフトと等しい。

◎ {命題}:命題が成り立てば1、成り立たなければ0。

次に、本実施形態で用いる(k,n)-秘密分散、(k,k)-加法的秘密分散の２つの秘密分散について説明する。

<(k,n)-秘密分散>
(k,n)-秘密分散とは、入力された平文をn個の断片(シェアと呼ぶ)に分割し、それぞれn個の異なる主体(パーティと呼ぶ)に分散しておき、うち任意のk個のシェアが揃えば復元でき、そしてk-1個未満では平文に関する一切の情報を得られないようなセキュリティ技術である。例えばShamirの秘密分散、複製秘密分散などがある。本実施形態では(k,n)-秘密分散で分散され、平文がある値xであるようなシェアを全て集めた組((k,n)-秘密分散値ともいう)を[[x]]のように表記する。各シェアのことは、パーティｒのシェアを[[x]]^y _rと表記する。ここではr=0,…,n-1とする。秘密分散値は普段は各パーティに分散されているため、誰も所持しておらず仮想的である。また(k,n)-秘密分散値の列であって平文の列が^→xとなる列を、[[^→x]]のように表記する。

<(k,k)-加法的秘密分散>
(k,k)-秘密分散とは、(k,n)-秘密分散で、n=kとした場合である。全パーティのシェアが集まらない限り復元ができない。複製秘密分散による(k,k)-秘密分散は特に、加法的秘密分散と呼ばれ、k個のシェアを加算するだけで平文が復元される最もシンプルな方法である。本実施形態では法yのもとで(k,k)-加法的秘密分散で分散され、平文がある値xであるようなシェアを全て集めた組((k,k)-加法的秘密分散値ともいう)を<x>^yのように表記し、パーティｒのシェアを<x>^y _rと表記する。また(k,k)-加法的秘密分散値の列であって平文の列が^→xとなる列を、<^→x>^Pのように表記する。

まず、第一実施形態に係る秘匿ＭＳＢ正規化システムで使われるいくつかのプロトコルについて説明する。

<乗法的ローテーションプロトコル>
入力:(k,n)-秘密分散した数値シェア[[a]]^P、ローテーション量ρを複製秘密分散したシェア<<ρ>>^P
出力:(k,n)-秘密分散したシェア[[2^ρa]]^P
処理:数値シェア[[a]]^Pとシェア<<ρ>>^Pとを用いて、数値aをρビットローテーションさせた値2^ρaを(k,n)-秘密分散したシェア[[2^ρa]]^Pを得る。この例では、k=2,n=3とする。以下、処理の詳細を説明する。

1:ラウンド1
2:数値シェア[[a]]^Pを、(k,k)-加法的秘密分散したシェア<a>^Pに変換する。この例では、パーティ0,1がシェア<a>^pを持つ。(k,n)-秘密分散から(k,k)-加法的秘密分散への変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

（参考文献１）Kikuchi, R., Ikarashi, D., Matsuda, T., Hamada, K. and Chida, K., "Efficient Bit-Decomposition and Modulus-Conversion Protocols with an Honest Majority", Information Security and Privacy - 23rd Australasian Conference, ACISP 2018, Wollongong, NSW, Australia, July 11-13, 2018, Proceedings (Susilo, W. and Yang, G., eds.), Lecture Notes in Computer Science, Vol. 10946, Springer, pp. 64-82 (online).
3:パーティ0,1は、乱数r₀₁、パーティ1,2はr₁₂を共有しておく。なお、乱数は、乱数を共有するパーティの一方が生成し、他方に渡してもよいし、第三者が生成して、対応するパーティに渡してもよいし、トークン等を利用して共有してもよい。

4:パーティ0は

を計算してパーティ2に送る。

5:パーティ1は

を計算してパーティ0に送る。

6:ラウンド2
7:パーティ0は

を計算する。

8:パーティ2は

を計算する。

9:ラウンド3
10:(k,k)-加法的秘密分散したシェア<c>^Pを(k,n)-秘密分散のシェア[[c]]^Pに変換して出力する。ここで、c=2^ρaが成り立っている。(k,k)-加法的秘密分散から(k,n)-秘密分散への変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

<フラグ列→数値シェア変換プロトコル>
入力:長さpのビットシェアベクトル[[^→f]]²。ただし^→fの中にはただ一つだけ1が存在する。

出力:^→fの中に存在する1の位置のmod pシェア[[b]]^p
処理:ビットシェアベクトル[[^→f]]²を用いて、^→fの中に存在する1の位置bを(k,n)-秘密分散したシェア[[2^ρa]]^Pを得る。以下、処理の詳細を説明する。

1:一様乱数ρをmod pで(k,n)-複製秘密分散したシェア<<ρ>>^pを生成する。

2:公開値出力ローテーションプロトコルにより、公開値ρ○^→fを計算する。なお、ρが一様乱数で、^→fは1カ所だけ1と決まっているため、ρ○^→fは数値をビット位置として表現したローテーション上の一様乱数であり、公開しても安全である。公開値出力ローテーションプロトコルとは、(k,n)-秘密分散したシェアのベクトル[[^→a]]と(k,n)-複製秘密分散したローテーション量ρのシェア<<ρ>>^Qとを入力とし、ベクトル^→aをρだけローテーションさせて得られるρ○^→a(公開値)を得るプロトコルであり、公知の技術により実現することができる。例えば、参考文献２の公開値出力ランダム置換プロトコルの、ランダム置換の空間をランダムローテーションに制限することができる。
（参考文献２）五十嵐大、濱田浩気、菊池亮、千田浩司、「インターネット環境レスポンス1秒の統計処理を目指した,秘密計算基数ソートの改良」、SCIS 2014 The 31st Symposium on Cryptography and Information Security.

3:ρ○^→fの1の位置を得てb'とおく。b'は元の1の位置bに対して、b'=b+ρとなっている。

4:<<b>>^p=b'-<<ρ>>^pを計算して出力する。
なお、入力のビットシェアベクトル[[^→f]]²の長さがpより短い場合も、上位ビットに[[0]]²をパディングすることで、本プロトコルを適用することができる。

以下、本実施形態で実現するベクトルMSB正規化について説明する。

<ベクトルMSB正規化プロトコル>
入力:シェアのベクトル[[^→a]]^P
パラメータ:入力の最大ビット数L、ベクトル長m
出力:[[2^ρ→a]]^P、<<ρ>>^p、ただし2^ρ→aのベクトルMSBはL-1ビット目とする。

処理:ベクトル[[^→a]]^Pに含まれる要素の中で最も絶対値の大きいデータのMSB(ベクトルMSB)を固定位置(ここではL-1ビット目)に合わせるようにベクトル[[^→a]]^P全体をシフトし、シフト後のベクトル[[2^ρ→a]]^Pとシフト量<<ρ>>^pとを求める。以下、処理の詳細を説明する。

1:ビット分解により[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得る。ビット分解は、公知の技術により行うことができる。例えば、参考文献１を利用する。

2:[[^→a]]^{2^L}の各ビット位置0≦i<Lのベクトル[[^→a_i]]²に対して、全要素のORをとる。^→aのs番目の要素をa_sとし、s=0,1,…,m-1、[[a_s]]のビット表現を[[a_s]]^{2^L}とし、[[a_s]]^{2^L}のi番目のビット位置のシェアを[[(a_i)_s]]²とすると、ベクトル[[^→a_i]]=([[(a_i)₀]]², …, [[(a_i)_m-1]]²)であり、求める論理和は、[[A_i]]²:=[[(a_i)₀]]²OR … OR[[(a_i)_m-1]]²である。

3-1: 0≦i<L-1で帰納的に、[[f_i]]²:=[[f_i+1∨A_i]]²とする。ただし[[f_L-1]]²:=[[A_L-1]]²とする。ここまでで、ビット表現f=(f_L-1,f_L-2,…,f₀)は、0,0,0,1,1,…,1のような、MSBを境に01が並ぶ形になっている。

3-2:最大p-L個の[[1]]²を下位ビットに挿入し、([[f'₀]]²,…[[f'_L'-1]]²):=([[1]]²,…,[[1]]²,[[f₀]]²,…[[f_L-1]]²)とする。L'はLに挿入した[[1]]²の個数を足した数である。この処理により、^→aの全ての要素が0のときにもMSB位置が定義される。
3-3: 0≦i<L'-1で、[[x_i]]²:=[[f'_ixor f'_i+1]]²とする。ただし[[x_L'-1]]²:=[[A_L-1]]²である。ここまでで、ビット表現x=(x_L'-1,x_L'-2,…,x₀)は、0,0,0,1,0,…,0のように、MSB位置のみ1となるフラグになっている。

4:上述の<フラグ列→数値シェア変換プロトコル>により、[[x_L'-1]]²,[[x_L'-2]]²,…,[[x₀]]²を<<ρ>>^pに変換する。ただし、降順であることに注意する。

5:上述の<乗法的ローテーション>により、シェアのベクトル[[^→a]]^Pとローテーション量の複製秘密分散したシェア<<ρ>>^Pから、(k,n)-秘密分散したシェア[[2^ρ→a]]^Pを求め、出力する。ただし、乗法的ローテーションは、他の公知の技術により行ってもよい。

以下、上述のベクトルMSB正規化を実現するベクトルMSB正規化システムについて説明する。

＜第一実施形態に係るベクトルMSB正規化システム＞
図１は第一実施形態に係るベクトルMSB正規化システム１の構成例を、図２はベクトルMSB正規化システム１の処理フローの例を示す。

ベクトルMSB正規化システム１は、n個の分散処理装置１００－ｒを含む。ただし、nは3以上の整数の何れかであり、r=0,1,…,n-1である。n個の分散処理装置１００－ｒは、通信回線２を介して互いに通信可能である。

ベクトルMSB正規化システム１は、法Pでベクトル^→aの各要素a_sを(k,n)-秘密分散したシェア[[a_s]]^Pのベクトル[[^→a]]^Pを入力とし、ベクトルMSB正規化し、ベクトルMSB正規化後のベクトル[[2^ρ→a]]^Pとシフト量<<ρ>>^pとを求め、出力する。シェア[[a_s]]^Pの最大ビット長L、ベクトル[[^→a]]^Pのベクトル長mをパラメータとする。

分散処理装置は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。分散処理装置は、例えば、中央演算処理装置の制御のもとで各処理を実行する。分散処理装置に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。分散処理装置の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。分散処理装置が備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。ただし、各記憶部は、必ずしも分散処理装置がその内部に備える必要はなく、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置により構成し、分散処理装置の外部に備える構成としてもよい。

＜分散処理装置１００－ｒ＞
図３は、分散処理装置１００－ｒの機能ブロック図の例を示す。

分散処理装置１００－ｒは、ビット分解部１０１、論理和取得部１０３、シフト量取得部１０５およびシフト部１０７を含む。

以下、図２を用いて各部の処理について説明する。

＜ビット分解部１０１＞
n個のビット分解部１０１は、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pを受け取り、
ビット分解により、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得る(Ｓ１０１)。

＜論理和取得部１０３＞
n個の論理和取得部１０３は、ビット表現[[^→a]]^{2^L}を受け取り、各ビット位置0≦i<Lのベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得する(Ｓ１０３)。ただし、ベクトル^→aのs番目の要素をa_sとし、s=0,1,…,m-1、[[a_s]]のビット表現を[[a_s]]^{2^L}とし、[[a_s]]^{2^L}のi番目のビット位置のシェアを[[(a_i)_s]]²とすると、ベクトル[[^→a_i]]=([[(a_i)₀]]², …, [[(a_i)_m-1]]²)であり、求める論理和は、[[A_i]]²:=[[(a_i)₀]]²OR … OR[[(a_i)_m-1]]²である。

＜シフト量取得部１０５＞
n個のシフト量取得部１０５は、論理和[[A_i]]²（0≦i<L）を受け取り、最大ビット数L≦p-1をパラメータとして、ベクトル[[^→A]]²=([[A₀]]²,…,[[A_L-1]]²)のMSBを固定位置にシフトさせるためのシフト量<<ρ>>^pを求める（ｓ１０５）。

例えば、以下のようにして、シフト量<<ρ>>^pを求める。

まず、n個のシフト量取得部１０５は、[[f_L-1]]²:=[[A_L-1]]²とし、0≦i<L-1で帰納的に、[[f_i]]²:=[[f_i+1∨A_i]]²とする。この処理により、ビット表現f=(f_L-1,f_L-2,…,f₀)は、0,0,0,1,1,…,1のような、MSBを境に01が並ぶ形になる。

次に、n個のシフト量取得部１０５は、[[x_L-1]]²:=[[A_L-1]]²とし、0≦i<L-1で、[[x_i]]²:=[[f_ixor f_i+1]]²とする。この処理により、ビット表現x=(x_L-1,x_L-2,…,x₀)は、0,0,0,1,0,…,0のように、MSB位置のみ1となるフラグになる。

最後に、n個のシフト量取得部１０５は、上述の<フラグ列→数値シェア変換プロトコル>により、長さpの列[[x_L-1]]²,[[x_L-2]]²,…,[[x₀]]²,[[1]]²,…,[[1]]²を<<ρ>>^pに変換する。

＜シフト部１０７＞
n個のシフト部１０７は、[[^→a]]^pと<<ρ>>^pとを受け取り、[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求め（Ｓ１０７）、出力する。例えば、上述の<乗法的ローテーション>により、シェアのベクトル[[^→a]]^Pとローテーション量の複製秘密分散したシェア<<ρ>>^Pとから、(k,n)-秘密分散したシェア[[2^ρa]]^Pを求める。

＜効果＞
このような構成により、精度を保ったままMSB合わせを行うことができる。

＜第二実施形態＞
第一実施形態とは異なる部分を中心に説明する。

第二実施形態では、第一実施形態のベクトルMSB正規化を利用した固定小数点ベクトル積和について説明する。まず、第二実施形態に係る固定小数点ベクトル積和で使われるいくつかのプロトコルについて説明する。

<シフト量秘匿左右シフトプロトコル>
入力:数値シェア[[a]]^P、正負ありうる左シフト量のシェア<<ρ>>^Q、
パラメータ:入力のMSB位置のとりうる上限M_max、シェアが許容する最大のMSB位置M_lim
出力:ρビットシフトした値[[s]]^P
1: まずu:=M_lim-M_max+1とおき、

とおく。uは、一回のシフト量秘匿右シフトでカバーできる右シフト量の範囲の大きさ(0～(M_lim-M_max)をカバーする)であり、dは1～(M_max-1)ビットの範囲の右シフトをするのに必要なシフト量秘匿右シフトの回数である。右シフト量が0以下の場合は左シフトでよく、右シフト量がM_max以上の場合、出力は常に0である。

2:商転移を使うモジュラス変換により<<ρ>>^pを計算する。商転移を使うモジュラス変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

3:大小比較により、
[[f₀]]²:=[[{ρ≧-M_max+1}]]²、
[[f₁]]²:=[[{ρ≧-M_max+1+u}]]²,…,
[[f_d-1]]²:=[[{ρ≧-M_max+1+(d-1)u}]]²、
[[f_L]]²:=[[{ρ≧0}]]²
を計算する。ここで、f_L、f_d-1、f_d-2、…は、推移的なフラグであることに注意する。

4: mod 2→mod p変換により、[[f₁]]²、[[f₂]]²、…、[[f_d-1]]²、[[f_L]]から<<f₁>>^p、<<f₂>>^p、…、<<f_d-1>>^p、<<f_L>>^pを計算する。ただし、<<f₀>>^pは不要である。なお、mod 2→mod P変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

5:<<ρ'>>^p:=<<ρ>>^p+M_max-1-uΣ_1≦i<d<<f_i>>^p+((d-1)u-M_max+1)<<f_L>>^pを計算する。

6:[[a]]^Pと<<ρ'>>^pとを用いて<乗法的ローテーションプロトコル>により[[b]]^P:=[[2ρ'a]]^Pを計算する。ただし、乗法的ローテーションプロトコルとして、公知の技術を用いてもよい。

7:一括シフト量公開右シフトにより、
[[c₀]]^P:=[[2^ρ'a/2^M_(max)-1]]^P,
[[c₁]]^P:=[[2^ρ'a/(2^M_(max)-1-u)]]^P,…,
[[c_d-1]]^P:=[[2^ρ'a/(2^{M_(max)-1-(d-1)u})]]^P
を計算する。

8:mod 2→mod P変換により[[f₀]]^P,[[f₁]]^P,…,[[f_d-1]]^P,[[f_L]]^Pを計算する。ここでは[[f₀]]^Pが必要である。

9:積和により[[s]]:=[[c₀]]^P[[f₀]]^P+([[c₁]]-[[c₀]])^P[[f₁]]^P+…+([[c_d-1]]-[[c_d-2]])^P[[f_d-1]]^P+([[b]]^P-[[c_d-1]]^P)[[f_L]]^P
を計算して出力する。この式は推移的なフラグに対する選択ゲートになっていることに注意する。

以下、本実施形態で実現する固定小数点ベクトル積和について説明する。

<固定小数点ベクトル積和プロトコル>
入力:固定小数点数ベクトル[[^→a]]^P、[[^→b]]^P
パラメータ:ベクトル長m
出力:[[c]]^P、ただしΣ_0≦i<ma_ib_i≒c
1:第一実施形態のベクトルMSB正規化プロトコルにより、固定小数点数ベクトル[[^→a]]^P、[[^→b]]^PをそれぞれベクトルMSB正規化し、MSB位置を調整したベクトルとシフト量、([[^→2^ρ_a→a]]^P,<<ρ_a>>^p)、([[2^ρ_b→b]]^P,<<ρ_b>>^p)を得る。

2:<<ρ_a>>^p,<<ρ_b>>^pからmod p→mod Q変換により、[[ρ_a]]^Q,[[ρ_b]]^Qを得る。なお、mod p→mod Q変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。また、参考文献１以外のモジュラス変換を用いてもよい。例えば、参考文献１の技術は、空きビットが所定のビット数あること(以下、商転移の条件ともいう)を満たす必要があるが、商転移の条件を満たさないモジュラス変換を利用してもよい。以下、商転移の条件を満たさないモジュラス変換について説明する。
<非商転移モジュラス変換プロトコル>
入力:(k,n)-秘密分散したシェア[[a]]^p
パラメータ:pのビット数|p|
出力:異なる法Qで(k,n)-秘密分散したシェア[[a]]^Q
2-1 :シェア[[a]]^pを(k,k)-加法的秘密分散したシェア<a>^pに変換する。k=2とし、パーティp₀,p₁がシェア<a>^pを持つ。(k,n)-秘密分散から(k,k)-加法的秘密分散への変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

2-2 :パーティp₀はa'₀:=<a>^p ₀+(2^|p|-p)をZ上加算によりmod pせずに計算し、a'₀の各ビットを(k,n)-秘密分散し、ビット表現のシェア[[a'₀]]^{2^|p|}を得る。ビット分解は、公知の技術により行うことができる。例えば、参考文献１を利用する。

2-3:パーティp₁は<a>^p ₁の各ビットを(k,n)-秘密分散し、ビット表現のシェア[[a₁]]^{2^|p|}を得る。

2-4:加算回路によりa'₀+a₁のビット表現のシェア[[a'₀+a₁]]^{2^(|p|+1)}を得る。ここで、加算回路計算後はビット長が|p|から|p|+1に1増える。

2-5:[[a'₀+a₁]]^{2^(|p|+1)}の最上位ビットを[[q]]²とおく。qはシェア<a>^pの商、すなわち<a>₀+<a>₁=a+qpと表したときのqである。

2-6: mod 2→mod Q変換により、[[q]]²から[[q]]^Qを得る。例えば、mod 2→mod Q変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

2-7:パーティp₀、p₁はそれぞれ<a>^p ₀、<a>^p ₁から<a>^p ₀mod Q、<a>^p ₁mod Qを得、<a'>^Qとする。ここで、a'=a+qp mod Qが成り立っている。

2-8:(k,k)-秘密分散したシェア<a'>^Qを(k,n)-秘密分散に変換し、(k,n)-秘密分散したシェア[[a']]^Qを得る。(k,k)-加法的秘密分散から(k,n)-秘密分散への変換は、公知の技術により行うことができる。例えば、参考文献１を利用する。

2-9:[[a]]^Q=[[a']]^Q-p[[q]]^Qを計算して出力する。
例えば、p=61の場合、空きビットを残すためには値が31までしかとれないため、ここでの、mod p→mod Q変換は、商転移を使える条件を満たさないことが多いと想定される。そのため、非商転移モジュラス変換プロトコルを利用するとよい。

3:[[c]]^P:=[[Σ_0≦i<m2^ρ_aa_i2^ρ_bb_i]]^Pを計算する。

4:[[-ρ_a-ρ_b]]^Qを計算し、変換により<<-ρ_a-ρ_b>>^Qを得る。

5:上述の<シフト量秘匿左右シフトプロトコル>により、[[c]]^Pを<<-ρ_a-ρ_b>>^Qでシフトし、[[c]]^Pを(-ρ_a-ρ_b)ビットシフトした値を出力する。

以下、上述の<固定小数点ベクトル積和プロトコル>を実現するベクトルMSB正規化システムについて説明する。

＜第二実施形態に係るベクトルMSB正規化システム＞
図１は第二実施形態に係るベクトルMSB正規化システム１の構成例を、図４はベクトルMSB正規化システム１の処理フローの例を示す。

ベクトルMSB正規化システム１は、二つの固定小数点ベクトル[[^→a]]^P,[[^→b]]^Pを入力とし、要素の積和[[c]]^Pを求め、出力する。ただしΣ_0≦i<ma_ib_i≒cである。ベクトル[[^→a]]^P,[[^→b]]^Pのベクトル長mをパラメータとする。

＜分散処理装置１００－ｒ＞
図５は、分散処理装置１００－ｒの機能ブロック図の例を示す。

分散処理装置１００－ｒは、ビット分解部１０１、論理和取得部１０３、シフト量取得部１０５およびシフト部１０７に加え、モジュラス変換部１０９、積和計算部１１１、秘密分散変換部１１３およびシフト量秘匿左右シフト部１１５を含む。

以下、図４を用いて各部の処理について説明する。

Ｓ１０１～Ｓ１０７については第一実施形態で説明したとおりである。ベクトルMSB正規化システム１は、固定小数点ベクトル[[^→a]]^P,[[^→b]]^Pを入力とし、ベクトルMSB正規化し、ベクトルMSB正規化後のベクトルとシフト量([[^→2^ρ_a→a]]^P,<<ρ_a>>^p)、([[2^ρ_b→b]]^P,<<ρ_b>>^p)を求める。Ｓ１０９以降の処理について説明する。

＜モジュラス変換部１０９＞
n個のモジュラス変換部１０９は、([[^→2^ρ_a→a]]^P,<<ρ_a>>^p)、([[2^ρ_b→b]]^P,<<ρ_b>>^p)を受け取り、<<ρ_a>>^p,<<ρ_b>>^pからmod p→mod Q変換により、[[ρ_a]]^Q,[[ρ_b]]^Qを得る（Ｓ１０９）。

＜積和計算部１１１＞
n個の積和計算部１１１は、シェア[[^→2^ρ_a→a]]^Pおよび([[2^ρ_b→b]]^Pを受け取り、積和[[c]]^P:=[[Σ_0≦i<m2^ρ_aa_i2^ρ_bb_i]]^Pを計算する（Ｓ１１１）。

＜秘密分散変換部１１３＞
n個の秘密分散変換部１１３は、[[ρ_a]]^Q,[[ρ_b]]^Qを受け取り、[[-ρ_a-ρ_b]]^Qを計算し、秘密分散変換により<<-ρ_a-ρ_b>>^Qを得る（Ｓ１１３）。

＜シフト量秘匿左右シフト部１１５＞
シフト量秘匿左右シフト部１１５は、積和のシェア[[c]]^Pとシフト量のシェア<<-ρ_a-ρ_b>>^Qとを受け取り、上述の<シフト量秘匿左右シフトプロトコル>により、[[c]]^Pを<<-ρ_a-ρ_b>>^Qビットシフトし（Ｓ１１５）、シフト後の値を出力する。なお、上述の<シフト量秘匿左右シフトプロトコル>を使わずに、積和のシェア[[c]]^Pとシフト量のシェア<<-ρ_a-ρ_b>>^Qを用いて公知の技術により、[[c]]^Pを<<-ρ_a-ρ_b>>^Qビットシフトした値を求めてもよい。

＜第三実施形態＞
第一実施形態と異なる部分を中心に説明する。

第三実施形態では、第一実施形態のベクトルMSB正規化を利用した浮動小数点ベクトル積和について説明する。まず、第三実施形態に係る浮動小数点ベクトル積和で使われるいくつかのプロトコルについて説明する。

<浮動小数点ベクトルの指数部統一プロトコル>
入力:浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q)、ただし、本実施形態では、仮数部をaとし、指数部をρ_aとし、実数xを、x=2^ρ_aaのように表す。[[^→a]]^P=([[a₀]]^P,…,[[^→a_m-1]]^P)、[[^→ρ_a]]^Q=([[ρ_{a_0}]]^Q,…,[[ρ_{a_m-1}]]^Q)であり、浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q)は、i(0≦i＜m-1)番目の実数を2^ρ_(a_i)a_iのように表す。

出力:([[^→b]]^P,[[ρ_max]]^Q)、ただし各i番目の要素に対して2^ρ_(a_i)a_i≒2^ρ_maxb_i
処理:浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q)の指数部[[^→ρ_a]]^Qを最も大きい値[[ρ_max]]^Qに統一し、仮数部[[^→a]]^Pを差分[[^→ρ_dif]]^Q:=[[^→ρ_a]]^Q-[[ρ_max]]^Qだけ右シフトし、指数部を統一した浮動小数点ベクトルを求める。

1:最大値計算により、[[^→ρ_a]]^Qに含まれる全ての要素の中から最も大きい値を[[ρ_max]]^Qとして得る。

2:[[^→ρ_dif]]^Q:=[[^→ρ_a]]^Q-[[ρ_max]]^Qを計算する。[[^→ρ_a]]^Qの各要素から[[ρ_max]]^Qを減算する。

3:上述の<シフト量秘匿左右シフトプロトコル>により、[[^→a]]^Pの各要素を[[-^→ρ_dif]]^Qの各要素でシフトし、[[^→b]]^Pとする。ただし^→ρ_difの各要素が非負なので右シフトとなるため、左シフトの分岐は省いてよい。

4:([[^→b]]^P,[[ρ_max]]^Q)を出力する。

以下、本実施形態で実現する浮動小数点ベクトル積和について説明する。

<浮動小数点ベクトル積和プロトコル>
入力:浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q)、([[^→b]]^P,[[^→ρ_b]]^Q)
パラメータ:ベクトル長m
出力:([[c]]^P,<<ρ_b>>^Q)、ただしΣ_0≦i<m2^{(ρ_a)_i(ρ_b)_i}a_ib_i≒2^ρ_bbとする。

1:上述の<ベクトルMSB正規化プロトコル>により[[^→a]]^P、[[^→b]]^PのMSB位置を調整したベクトルとシフト量、([[^→a']]、<<ρ'_a>>^p)、([[^→b']]、<<ρ'_b>>^p)を得る。

2:mod p→mod Q変換により[[ρ_a']]^Q、[[ρ_b']]^Qを得る。

3:上述の<浮動小数点ベクトルの指数部統一プロトコル>により、([[^→a']]^P、[[^→ρ_a-ρ_a']]^Q)、([[^→b']]^P、[[^→ρ_b-ρ_b']]^Q)の指数部を統一したベクトルと指数部、([[^→a'']]、[[ρ_a'']]^Q)、([[^→b'']]、[[ρ_b'']]^Qを得る。

4:[[c]]^P:=[[Σ_0≦i<ma''_ib''_i]]^Pを計算し、([[c]]^P、[[ρ_a''+ρ_b'']]^Q)を得る。

さらに、入力のビット数がある程度既知である場合や、MSBが調整してあるなどの理由でa、bのビット数がある程度高いことが既知である場合には、公知のシフト量公開右シフトにより所定のビット数σで右シフトする。

一方、ビット数が不明な場合には、第一実施例と同様の方法によりMSBを固定位置に合わせ、その後、公知のシフト量公開右シフトにより適切なビット位置に右シフトする。右シフト量を[[σ]]^Qとする。

以下、上述の<浮動小数点ベクトル積和プロトコル>を実現するベクトルMSB正規化システムについて説明する。

＜第三実施形態に係るベクトルMSB正規化システム＞
図１は第二実施形態に係るベクトルMSB正規化システム１の構成例を、図６はベクトルMSB正規化システム１の処理フローの例を示す。

ベクトルMSB正規化システム１は、二つの浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)を入力とし、要素の積和([[c]]^P,<<ρ_c>>^Q)を求め、出力する。ただしΣ_0≦i<m2^{(ρ_a)_i(ρ_b)_i}a_ib_i≒2^ρ_ccである。ベクトル[[^→a]]^P,[[^→b]]^Pのベクトル長mをパラメータとする。

＜分散処理装置１００－ｒ＞
図７は、分散処理装置１００－ｒの機能ブロック図の例を示す。

分散処理装置１００－ｒは、ビット分解部１０１、論理和取得部１０３、シフト量取得部１０５およびシフト部１０７に加え、モジュラス変換部１１７、指数統一部１１９および積和部１２１を含む。

以下、図６を用いて各部の処理について説明する。

Ｓ１０１～Ｓ１０７については第一実施形態で説明したとおりである。ベクトルMSB正規化システム１は、二つの浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)を入力とし、[[^→a]]^P,[[^→b]]^PをベクトルMSB正規化し、ベクトルMSB正規化後のベクトルとシフト量([[^→a']]^P,<<ρ'_a>>^p)、([[^→b']]^P,<<ρ'_b>>^p)を求める。Ｓ１１７以降の処理について説明する。

＜モジュラス変換部１１７＞
n個のモジュラス変換部１１７は、<<ρ'_a>>^pと<<ρ'_b>>^pとを受け取り,mod p→mod Q変換により[[ρ_a']]^Q、[[ρ_b']]^Qを得る（Ｓ１１７）。

＜指数統一部１１９＞
n個の指数統一部１１９は、二つの浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)の指数部[[^→ρ_a]]^Q,[[^→ρ_b]]^Qと、ベクトルMSB正規化後のベクトル[[^→a']]^P,[[^→b']]^Pと、mod p→mod Q変換後のシフト量[[ρ_a']]^Q、[[ρ_b']]^Qとを受け取り、上述の<浮動小数点ベクトルの指数部統一プロトコル>により、([[^→a']]^P,[[^→ρ_a-ρ_a']]^Q)、([[^→b']]^P,[[^→ρ_b-ρ_b']]^Q)の指数部を統一したベクトルと指数部、([[^→a'']]^P,[[ρ_a'']]^Q)、([[^→b'']]^P,[[ρ_b'']]^Qを得る（Ｓ１１９）。

＜積和部１２１＞
n個の積和部１２１は、[[c]]^P:=[[Σ_0≦i<ma''_ib''_i]]^Pを計算し、([[c]]^P、[[ρ_a''+ρ_b'']]^Q)を得る（Ｓ１２１）。

(処理効率)
アルゴリズムの処理効率に関して、要素演算である乗法的ローテーション、フラグ列→数値変換、シフト量秘匿左右シフトプロトコルおよび、比較用に浮動小数点加算・乗算について評価する。

(1)乗法的ローテーション:通信量(4/3)|P|ビット、2ラウンド
(2)フラグ列→数値変換:通信量(4/3)|L|ビット、2ラウンド
(4)シフト量秘匿左右シフトプロトコル-その2-:通信量((5/3)d+(10/3))|P|+(2d+1)|p|、ラウンド数λ+4
(5)浮動小数点加算:通信量((5/3)d+(19/3))|P|+3|Q|+2λ+(4d+1)|p|、ラウンド数2λ+7
(6)浮動小数点乗算:通信量(8/3)|P|、3ラウンド
dはシフト量秘匿左右シフトプロトコル中の分割数dである。

比較対象として、参考文献２は、加算については2つ方式があり、通信量は対数以下のコストを丸めれば、22|P|+5|Q|+O(log|P|+log|Q|)と表せる。

（参考文献２）西出隆志、天田拓磨、「通信量を削減した浮動小数点演算のためのマルチパーティ計算」、情報処理学会論文誌、Vol.60、No.9, pp. 1433-1447 (2019).
ラウンド数については良い方で、定数の42である。乗算に関しては通信量12|P|+O(1)、ラウンド数は定数の23である。加算は、dが典型的には1であることを考えると、6|P|+3|Q|+2λ+5|p|である。|P|=61、|Q|=13、λ=10、|p|=6であることを考えると、3倍程度、本方式が効率的である。加算は複雑なため、要素であるシフトを高速化してもまだ桁違いにはならないようである。乗算に関しては5倍程度高速である。

＜実機性能評価＞
実機実験の結果を報告する。下記のマシン3台の、マルチパーティ計算である。

◎CPU: Xeon Gold 6144 3.5GHz, 6cores x 2 sockets
◎memory: 768GB
◎NW: 10Gbps リングトポロジ
◎OS: CentOS 7.3
図８は各演算の性能である。

パラメータとしてMSB位置の上限が重要になるが、これは28bit(0スタート表記のため、29bit数)とした。符号付きでmod Pで商転移を用いることができる最大のMSB位置が57であり、その半分以内という条件である。28bitは単精度を超えており、多くのアプリケーションで十分と考える。

積和演算としては実際には、行列乗算を選択した。行列乗算は積和から成り、かつ機械学習などで極めて重要だからである。具体的には、左の行列を行数100とし、行数×列数=“件数”となるようにし、右の行列は左の列数を長さとするベクトルとした。処理量は、サイズを列数とする積和を、行数分だけ繰り返す処理量に等しい。

スケールとして、1000件、100万件、1000万件の3つと、遅延を100msと極大にすることで実ラウンド数を計測したものを記した。また、passiveモデルの他にactiveモデルの場合の性能も示した(プロトコルはpassive版から拡張したものである)。activeモデルのセキュリティパラメータは8bitであり、攻撃検知率は約99%である。計算量的安全性と異なりオフライン攻撃が不可能なため、この確率は攻撃を抑止するには十分である。

＜その他の変形例＞
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

＜プログラム及び記録媒体＞
上述の各種の処理は、図９に示すコンピュータの記憶部２０２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部２０１０、入力部２０３０、出力部２０４０などに動作させることで実施できる。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

n個の分散処理装置を含む秘匿ＭＳＢ正規化システムであって、
n個の前記分散処理装置は、それぞれビット分解部、論理和取得部、シフト量取得部およびシフト部を含み、
n個の前記ビット分解部は、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pをビット分解し、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得、
n個の前記論理和取得部は、前記ビット表現[[^→a]]^{2^L}の各ビット位置のベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得し、
n個の前記シフト量取得部は、論理和[[A₀]]²,…,[[A_L-1]]²の最上位ビットを固定位置にシフトさせるためのシフト量ρを法pで(k,n)-複製秘密分散したシェア<<ρ>>^pを求め、
n個の前記シフト部は、前記ベクトル[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求める、
秘匿ＭＳＢ正規化システム。
請求項１の秘匿ＭＳＢ正規化システムであって、
固定小数点ベクトル[[^→a]]^P,[[^→b]]^Pから最上位ビットを固定位置にシフトさせた後のベクトルとシフト量([[^→2^ρ_a→a]]^P,<<ρ_a>>^p)、([[2^ρ_b→b]]^P,<<ρ_b>>^p)を求め、
n個の前記分散処理装置は、それぞれモジュラス変換部、積和計算部、秘密分散変換部およびシフト量秘匿左右シフト部を含み、
n個の前記モジュラス変換部は、<<ρ_a>>^p,<<ρ_b>>^pからmod p→mod Q変換により、[[ρ_a]]^Q,[[ρ_b]]^Qを得、
n個の前記積和計算部は、[[c]]^P:=[[Σ_0≦i<m2^ρ_aa_i2^ρ_bb_i]]^Pを計算し、
n個の前記秘密分散変換部は、前記[[ρ_a]]^Q,前記[[ρ_b]]^Qから、[[-ρ_a-ρ_b]]^Qを計算し、秘密分散変換により、(k,n)-複製秘密分散したシェア<<-ρ_a-ρ_b>>^Qを求め、
n個の前記シフト量秘匿左右シフト部は、積和のシェア[[c]]^Pとシフト量のシェア<<-ρ_a-ρ_b>>^Qとを受け取り、[[c]]^Pを<<-ρ_a-ρ_b>>^Qビットシフトする、
秘匿ＭＳＢ正規化システム。
請求項１の秘匿ＭＳＢ正規化システムであって、
浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)から最上位ビットをシフトさせた後のベクトルとシフト量([[^→a']]^P,<<ρ'_a>>^p)、([[^→b']]^P,<<ρ'_b>>^p)を求め、
n個の前記分散処理装置は、それぞれモジュラス変換部、指数統一部および積和計算部を含み、
n個の前記モジュラス変換部は、前記<<ρ'_a>>^pと前記<<ρ'_b>>^pとを、mod p→mod Q変換し[[ρ_a']]^Q、[[ρ_b']]^Qを得、
n個の前記指数統一部は、前記浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)の指数部[[^→ρ_a]]^Q,[[^→ρ_b]]^Qと、最上位ビットをシフトさせた後のベクトル[[^→a']]^P,[[^→b']]^Pと、mod p→mod Q変換後のシフト量[[ρ_a']]^Q、[[ρ_b']]^Qとを用いて、([[^→a']]^P,[[^→ρ_a-ρ_a']]^Q)、([[^→b']]^P,[[^→ρ_b-ρ_b']]^Q)の指数部を統一したベクトルと指数部、([[^→a'']]^P,[[ρ_a'']]^Q)、([[^→b'']]^P,[[ρ_b'']]^Qを得、
n個の前記積和計算部は、[[c]]^P:=[[Σ_0≦i<ma''_ib''_i]]^Pを計算し、([[c]]^P、[[ρ_a''+ρ_b'']]^Q)を得る、
秘匿ＭＳＢ正規化システム。
秘匿ＭＳＢ正規化システムに含まれる分散処理装置であって、
(n-1)個の分散処理装置とともに、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pをビット分解し、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得るビット分解部と、
(n-1)個の分散処理装置とともに、前記ビット表現[[^→a]]^{2^L}の各ビット位置のベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得する論理和取得部と、
(n-1)個の分散処理装置とともに、論理和[[A₀]]²,…,[[A_L-1]]²の最上位ビットを固定位置にシフトさせるためのシフト量ρを法pで(k,n)-複製秘密分散したシェア<<ρ>>^pを求めるシフト量取得部と、
(n-1)個の分散処理装置とともに、前記ベクトル[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求めるシフト部とを含む、
分散処理装置。
n個の分散処理装置を含む秘匿ＭＳＢ正規化システムを用いる秘匿ＭＳＢ正規化方法であって、
n個の前記分散処理装置は、それぞれビット分解部、論理和取得部、シフト量取得部およびシフト部を含み、
n個の前記ビット分解部が、(k,n)-秘密分散したシェアのベクトル[[^→a]]^Pをビット分解し、ベクトル[[^→a]]^Pのビット表現[[^→a]]^{2^L}を得るビット分解ステップと、
n個の前記論理和取得部が、前記ビット表現[[^→a]]^{2^L}の各ビット位置のベクトル[[^→a_i]]に対して、全要素の論理和[[A_i]]²を取得する論理和取得ステップと、
n個の前記シフト量取得部が、論理和[[A₀]]²,…,[[A_L-1]]²の最上位ビットを固定位置にシフトさせるためのシフト量ρを法pで(k,n)-複製秘密分散したシェア<<ρ>>^pを求めるシフト量取得ステップと、
n個の前記シフト部が、前記ベクトル[[^→a]]^pの各要素をρビット左シフトさせたベクトル[[2^ρ→a]]^pを求めるシフトステップとを含む、
秘匿ＭＳＢ正規化方法。
請求項５の秘匿ＭＳＢ正規化方法であって、
固定小数点ベクトル[[^→a]]^P,[[^→b]]^Pから最上位ビットを固定位置にシフトさせた後のベクトルとシフト量([[^→2^ρ_a→a]]^P,<<ρ_a>>^p)、([[2^ρ_b→b]]^P,<<ρ_b>>^p)を求め、
n個の前記分散処理装置は、それぞれモジュラス変換部、積和計算部、秘密分散変換部およびシフト量秘匿左右シフト部を含み、
n個の前記モジュラス変換部が、<<ρ_a>>^p,<<ρ_b>>^pからmod p→mod Q変換により、[[ρ_a]]^Q,[[ρ_b]]^Qを得るモジュラス変換ステップ、
n個の前記積和計算部が、[[c]]^P:=[[Σ_0≦i<m2^ρ_aa_i2^ρ_bb_i]]^Pを計算する積和計算ステップと、
n個の前記秘密分散変換部が、前記[[ρ_a]]^Q,前記[[ρ_b]]^Qから、[[-ρ_a-ρ_b]]^Qを計算し、秘密分散変換により、(k,n)-複製秘密分散したシェア<<-ρ_a-ρ_b>>^Qを求める秘密分散変換ステップと、
n個の前記シフト量秘匿左右シフト部が、積和のシェア[[c]]^Pとシフト量のシェア<<-ρ_a-ρ_b>>^Qとを受け取り、[[c]]^Pを<<-ρ_a-ρ_b>>^Qビットシフトするシフト量秘匿左右シフトステップとを含む、
秘匿ＭＳＢ正規化方法。
請求項５の秘匿ＭＳＢ正規化方法であって、
浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)から最上位ビットをシフトさせた後のベクトルとシフト量([[^→a']]^P,<<ρ'_a>>^p)、([[^→b']]^P,<<ρ'_b>>^p)を求め、
n個の前記分散処理装置は、それぞれモジュラス変換部、指数統一部および積和計算部を含み、
n個の前記モジュラス変換部が、前記<<ρ'_a>>^pと前記<<ρ'_b>>^pとを、mod p→mod Q変換し[[ρ_a']]^Q、[[ρ_b']]^Qを得るモジュラス変換ステップと、
n個の前記指数統一部が、前記浮動小数点ベクトル([[^→a]]^P,[[^→ρ_a]]^Q),([[^→b]]^P,[[^→ρ_b]]^Q)の指数部[[^→ρ_a]]^Q,[[^→ρ_b]]^Qと、最上位ビットをシフトさせた後のベクトル[[^→a']]^P,[[^→b']]^Pと、mod p→mod Q変換後のシフト量[[ρ_a']]^Q、[[ρ_b']]^Qとを用いて、([[^→a']]^P,[[^→ρ_a-ρ_a']]^Q)、([[^→b']]^P,[[^→ρ_b-ρ_b']]^Q)の指数部を統一したベクトルと指数部、([[^→a'']]^P,[[ρ_a'']]^Q)、([[^→b'']]^P,[[ρ_b'']]^Qを得る指数統一ステップと、
n個の前記積和計算部が、[[c]]^P:=[[Σ_0≦i<ma''_ib''_i]]^Pを計算し、([[c]]^P、[[ρ_a''+ρ_b'']]^Q)を得る積和ステップとを含む、
秘匿ＭＳＢ正規化方法。
請求項４の分散処理装置として、コンピュータを機能させるためのプログラム。