JPWO2020075797A1 - 秘密右シフト演算システム、秘密除算システム、それらの方法、秘密計算装置、およびプログラム - Google Patents

Abstract

秘密計算において高速な右シフト演算および除算を実現する。公開値倍部１１は値aの分散値[a]から[a']=[2^ua]を計算する。第一変換部１２は[a']を加法的秘密分散に変換する。右シフト演算部１３は<s>_i=<a'>_i≫b+uを計算する。第二変換部１４は<s>を線形秘密分散に変換する。第一ビット変換部１５は<a'>_iの下位uビットを{a'_i mod 2^u}に変換する。商転移部１６は-Σ_i<m{a'_imod 2^u}の下位uビットを{q}として得る。第二ビット変換部１７は<a'>_iの下位b+uビットを{a'_iR}={a'_i mod 2^b+u}に変換する。加算部１８は{z}=Σ_i<m{a'_iR}+{q}を計算し、{z}のb+uビット目以降のビット列{z_Q}を得る。第三変換部１９は{q}, {z_Q}を線形秘密分散に変換する。出力計算部２０は[s]-[2^l-(b+u)q]+[z_Q]を[a≫b]として出力する。

Description

この発明は、秘密計算において右シフト演算および除算を行う技術に関する。

秘密計算とは、データを秘匿したまま任意の関数を計算する暗号技術である。この特徴を活かして、システム運用者にもデータ利用者にもデータを漏らさないデータ利活用の形態が期待されている。秘密計算にはいくつかの方式が存在し、その中でも秘密分散を構成要素にするものは、データの処理単位が小さく、高速な処理が可能であることが知られている。

秘密分散とは、秘密情報をシェアと呼ばれるいくつかの断片に変換する方法である。例えば、秘密の情報からn個のシェアを生成し、k個以上のシェアからは秘密が復元できるが、k個未満のシェアからは秘密の情報が漏れない(k, n)閾値法と呼ばれる秘密分散がある。秘密分散の具体的な構成方法は、Shamir秘密分散や複製秘密分散などが知られている。本明細書では、秘密分散により分散された値の１個の断片を「シェア」と呼ぶ。また、すべてのシェアの集合全体を「分散された値」または「分散値」と呼ぶ。

右シフト演算はコンピュータ等での基本的な演算の一つであり、様々な場面で利用されている。例えば、右シフト演算は数値精度を落とす演算として利用することができる。また、除数が２べきの場合の除算は右シフト演算で実現することができる。非特許文献１には、秘密計算において位数２べきの整数環上でシフト演算を行う方法が開示されている。

D. Bogdanov, M. Niitsoo, T. Toft, and J. Willemson, "High-performance secure multi-party computation for data mining applications," International Journal of Information Security, Volume 11, Issue 6, Pages 403-418, November 2012.

しかしながら、非特許文献１に開示された方法は、位数２べきの整数環上でしか利用できないため、体上で乗算などの数値精度を増大させる演算を繰り返すとオーバーフローを起こして計算ができなくなる、という課題がある。

この発明の目的は、上記のような技術的課題に鑑みて、高速な右シフト演算および除算を実現する秘密計算技術を提供することである。

上記の課題を解決するために、この発明の第一の態様の秘密右シフト演算システムは、[・]は値・を第一の秘密分散で分散した分散値であり、<・>は値・を加法的秘密分散で分散した分散値であり、{・}は値・のビット表現を分散した分散値であり、分散値[・]と分散値<・>とは相互に変換可能であり、aは任意の値であり、bはシフト量であり、mは3以上の分散数であり、uはlog m以上の整数であり、lは値aのビット数であり、≫は右シフト演算子であり、m台の秘密計算装置を含み、値aの分散値[a]とシフト量bとを入力とし、値aをbビット右シフトした値の分散値[a≫b]を計算する秘密右シフト演算システムであって、秘密計算装置は、分散値[a]を用いて分散値[a']=[2^ua]を計算する公開値倍部と、分散値[a']を加法的秘密分散の分散値<a'>=<a'>₀, …, <a'>_m-1に変換する第一変換部と、0以上m未満の各整数iについて、<s>_i=<a'>_i≫b+uを計算し、分散値<s>=<s>₀, …, <s>_m-1を生成する右シフト演算部と、分散値<s>を第一の秘密分散の分散値[s]に変換する第二変換部と、0以上m未満の各整数iについて、分散値<a'>のシェア<a'>_iの下位uビットをビット表現の分散値{a'_i mod 2^u}に変換する第一ビット変換部と、分散値{a'_i mod 2^u}を用いて-Σ_i<m{a'_i mod 2^u}の下位uビットを計算し、ビット表現の分散値{q}として得る商転移部と、分散値{q}を第一の秘密分散の分散値[q]に変換する第三変換部と、分散値[s], [q]を用いて[s]-[2^l-(b+u)q]+1を計算し、分散値[a≫b]として得る出力計算部と、を含む。

上記の課題を解決するために、この発明の第二の態様の秘密除算システムは、pは素数であり、[・]は値・をシェア数が3である第一の秘密分散で分散した分散値であり、<・>は値・をシェア数が2である加法的秘密分散で分散した分散値であり、分散値[・]と分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、/は小数点以下を切り捨てる除算を表す演算子であり、3台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムであって、秘密計算装置は、分散値[a]を加法的秘密分散の分散値<a>=<a>₀, <a>₁に変換する入力変換部と、分散値[a]と除数dを用いて分散値<a'>=<2a>と値d'=2dを計算する公開値倍部と、分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得る商転移部と、素数pの値d'による商p'と剰余r'を得る公開除算部と、分散値<a'>と値d'と剰余r'を用いて、<b>₀=(<a'>₀+d'-1-r')/d', <b>₁=<a'>₁/d'を計算し、分散値<b>=<b>₀, <b>₁を生成する近似部と、分散値<b>, <q>と商p'を用いて、<b>-(p'+1)<q>+1を計算し、除算結果a/dの分散値<a/d>として得る出力計算部と、分散値<a/d>を第一の秘密分散の分散値[a/d]に変換する出力変換部と、を含む。

上記の課題を解決するために、この発明の第三の態様の秘密除算システムは、pは素数であり、[・]は値・をシェア数がmである第一の秘密分散で分散した分散値であり、<・>は値・をシェア数がmである加法的秘密分散で分散した分散値であり、分散値[・]と分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、mは3以上の分散数であり、uはlog m以上の整数であり、/は小数点以下を切り捨てる除算を表す演算子であり、m台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムであって、秘密計算装置は、分散値[a]を加法的秘密分散の分散値<a>=<a>₀, …, <a>_m-1に変換する入力変換部と、分散値[a]と除数dを用いて分散値<a'>=<2^ua>と値d'=2^udを計算する公開値倍部と、分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得る商転移部と、素数pの値d'による商p'と剰余r'を得る公開除算部と、r'≧d'/2ならばz=1を設定し、r'<d'/2ならばz=0を設定したフラグzを得るフラグ設定部と、0以上m未満の各整数iについて、i=0であれば<b>_i=(<a'>_i+(d'-r')+(d'-r')/2)/d'を計算し、i≠0であれば<b>_i=<a'>_i/d'を計算し、分散値<b>=<b>₀, …, <b>_m-1を生成する近似部と、0以上m未満の各整数iについて、分散値<b>のシェア<b>_jを値d'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">を計算し、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、分散値<b'>=<b'>₀, …, <b'>_m-1を得る端数処理部と、分散値<b'>, <q>と商p'とフラグzを用いて、<b'>-(p'+z)<q>-1を計算し、除算結果a/dの分散値<a/d>として得る出力計算部と、分散値<a/d>を第一の秘密分散の分散値[a/d]に変換する出力変換部と、を含む。

この発明の秘密計算技術によれば、秘密計算において高速な右シフト演算および除算を実現することができる。

図１は秘密右シフト演算システムの機能構成を例示する図である。 図２は第一実施形態の秘密計算装置の機能構成を例示する図である。 図３は第一実施形態の秘密右シフト演算方法の処理手順を例示する図である。 図４は第二実施形態の秘密計算装置の機能構成を例示する図である。 図５は第二実施形態の秘密右シフト演算方法の処理手順を例示する図である。 図６は第三実施形態の秘密除算システムの機能構成を例示する図である。 図７は第三実施形態の秘密計算装置の機能構成を例示する図である。 図８は第三実施形態の秘密除算方法の処理手順を例示する図である。 図９は第四実施形態の秘密除算システムの機能構成を例示する図である。 図１０は第四実施形態の秘密計算装置の機能構成を例示する図である。 図１１は第四実施形態の秘密除算方法の処理手順を例示する図である。

以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。また、数式等において、logの底を省略した場合、底は２である。

［第一実施形態］
この発明の第一実施形態は、右シフトの対象とする被シフト数を秘匿したまま、与えられたシフト量だけ被シフト数を右シフトして出力する秘密右シフト演算システムおよび方法である。以下、第一実施形態の秘密右シフト演算システムが実行する右シフトプロトコルの概要について説明する。このプロトコルはメルセンヌ素体上のプロトコルである。メルセンヌ素体は、秘密分散ベースの秘密計算で用いられる重要な構造である（参考文献１参照）。
〔参考文献１〕桐淵直人, 五十嵐大, 濱田浩気, 菊池亮, “プログラマブルな秘密計算ライブラリMEVAL3,”暗号と情報セキュリティシンポジウム（SCIS）, pp. 1-8, 2018.

右シフトは整数除算であり、加算および乗算からなる環演算ではない。まず、定理１で一般の整数除算を、その系１で右シフトを、加法的秘密分散の商qを用いた環演算で表現する。なお、商qは商転移により効率的に計算できる（参考文献２参照）。
〔参考文献２〕Ryo Kikuchi, Dai Ikarashi, Takahiro Matsuda, Koki Hamada, and Koji Chida, "Efficient bit-decomposition and modulus-conversion protocols with an honest majority," Proceedings of Information Security and Privacy - 23rd Australasian Conference (ACISP 2018), pp. 64-82, July 11-13, 2018.

＜定理１：整数環Z_q上の公開値による商＞
任意の分散数m∈N、素数p∈N、除数d∈N、被除数a∈R、a=Σ_i<ma_imod pを満たすシェアa₀, ..., a_m-1があるとする。ここで、各iに対して非負整数a_iQ, a_iRはそれぞれa_iのdによる商と剰余、非負整数p_Q, p_Rはそれぞれpのdによる商と剰余、非負整数qはΣ_i<ma_iのpによる商、z_QはΣ_i<ma_iR+q(d-p_R)のdによる商とおく。このとき、aのdによる商a_Qは以下の式（１）で表される。
a_Q=Σ_i<ma_iQ-(p_Q+1)q+z_Q （１）

＜定理１の証明＞
仮定a=Σ_i<ma_imod pより、aはΣ_i<ma_iのpによる剰余である。仮定“qはΣ_i<ma_iのpによる商”より、Σ_i<ma_i=qp+aである。仮定よりa_i=a_iQd+a_iR, p=p_Qd+p_Rだから、
a=(Σ_i<ma_iQ)d+Σ_aiR-qp_Qd-qp_R
=(Σ_i<ma_iQ-qp_Q)d+(Σ_i<ma_iR-qp_R)
である。さらにΣ_i<ma_iR-qp_Rのdによる商をy_Qとおけば、
a_Q=(Σ_i<ma_iQ-qp_Q)+y_Q
である。一方z_QはΣ_i<ma_iR+q(d-p_R)のdによる商だから、y_Q=z_Q-qである。

＜系１：メルセンヌ素体上右シフト公式＞
定理１で、素数ビット長l∈Nを任意、シフトビット数b∈Nをb≦lとして、素数p=2^l-1、除数d=2^bとする。するとz'_QはΣ_i<ma_iR+qの2^bによる商であり、a_Qは以下の式（２）で表される。
a_Q=Σ_i<ma_iQ-2^l-bf+z'_Q （２）

＜系１の証明＞
式（１）においてp=2^l-1, d=2^bを代入すればよい。

＜系２：メルセンヌ素体上の商転移＞
任意の分散数m∈N、メルセンヌ素数pに対して、u∈Nはlog m≦uを満たし、a₀, ..., a_m-1∈Z_pはΣ_i<ma_i mod 2^u=0を満たすものとする。このときqをΣ_i<ma_iのpによる商とすると、qは以下の式（３）で表される。
q=-Σ_i<ma_i mod 2^u （３）

＜右シフトプロトコル＞
本実施形態で実行する右シフトプロトコルを以下に示す。このプロトコルは系１の式（２）に従って計算するものである。ここでは、以下の記法を用いる。

[・]は、入出力の形式となる秘密分散で分散された値である。加法、公開値倍、加法的秘密分散との相互変換、ビット列からのビット合成が可能である必要がある。例えば、Shamir秘密分散、複製秘密分散などの線形秘密分散を用いることができる。
<・>は加法的秘密分散で分散された値である。加法的秘密分散は復元が加法で行われる秘密分散である。例えば、単純な加法的秘密分散、複製秘密分散を用いることができる。
{・}はビット列として分散された値である。すなわち、ビットを秘密分散した値の列として数値をビット表現した値である。例えば、Z₂上の複製秘密分散の列を用いることができる。
添え字が付されていない[・], <・>, {・}は分散された値全体を表す。下付き添え字が付された[・]_i, <・>_i, {・}_iはシェア（ここではi番目のシェア）を表す。
複製秘密分散では、各パーティがもつシェアは、「サブシェア」と呼ばれる複数の要素で構成され、複数のパーティで同じ値の要素が共有される。このサブシェアもシェアとして扱う。

〔アルゴリズム１：整数環Z_q上の右シフトプロトコル〕
入力：被シフト数[a]、シフト量b
パラメータ：加法的秘密分散の分散数m、log m以上の整数u
出力：[a≫b]（ただし、≫は右シフト演算子であり、aの各ビットをbビットだけ右シフトすることを表す。）
１: 公開値倍により[a']=[2^ua]を計算する。
２: [a']を加法的秘密分散に変換し、<a'>を得る。
３: <s>を<s>_i=<a'>_i≫b+uとする。
４: <s>を線形秘密分散に変換して[s]を得る。
５: 各<a'>_iの下位uビットを分散して、<a'>_i mod 2^uのビット表現{a'_i mod 2^u}を得る。
６: 加算回路および符号反転回路により、-Σ_i<m{a'_i mod 2^u}の下位uビットを計算する。この出力は商転移定理よりqに等しいため、{q}とおく。
７: 各<a'>_iの下位b+uビットを分散して、<a'>_i mod 2^b+uのビット表現{a'_iR}を得る。
８: 加算回路により、{z}=Σ_i<m{a'_iR}+{q}を計算し、b+uビット目（0スタート）以降のビット列を{z_Q}とおく。このとき、一部、ステップ６で得たuビットの加算回路の処理結果を使い回すことができる。
９: {q}, {z_Q}をビット合成により線形秘密分散に変換し、[q], [z_Q]を得る。
10: [s]-[2^l-(b+u)q]+[z_Q]を出力する。

なお、上記プロトコルで用いる線形秘密分散と複製秘密分散を含む加法的秘密分散の相互変換、ビット合成、複製秘密分散の各ビットの分散はいずれも上記参考文献２に記載されている。

＜秘密右シフト演算システム１００＞
第一実施形態の秘密右シフト演算システム１００は上述したアルゴリズム１：整数環Z_q上の右シフトプロトコルを実行する。秘密右シフト演算システム１００は、図１に示すように、m（≧3）台の秘密計算装置１₁, …, １_mを含む。この実施形態では、秘密計算装置１₁, …, １_mはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１_i（i=1, …, m）へ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１_iへオフラインで入力するように構成してもよい。

第一実施形態の秘密右シフト演算システムに含まれる秘密計算装置１_i（i=1, …, m）は、例えば、図２に示すように、公開値倍部１１、第一変換部１２、右シフト演算部１３、第二変換部１４、第一ビット変換部１５、商転移部１６、第二ビット変換部１７、加算部１８、第三変換部１９、および出力計算部２０を含む。この秘密計算装置１_iが他の秘密計算装置１_i'（i'=1, …, m、ただしi≠i'）と協調しながら後述する各ステップの処理を行うことにより第一実施形態の秘密右シフト演算方法が実現される。

秘密計算装置１_iは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_iは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_iに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_iの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

図３を参照して、第一実施形態の秘密右シフト演算システム１００が実行する秘密右シフト演算方法の処理手続きを説明する。

ステップＳ１１において、各秘密計算装置１_iの公開値倍部１１は、秘密計算装置１_iに入力された被シフト数aの分散値[a]を受け取り、公開値倍により[a']=[2^ua]を計算する。ここで、uはlog m以上の整数であり、mは加法的秘密分散の分散数である。u, mはあらかじめ与えられているパラメータである。公開値倍部１１は、計算した分散値[a']を第一変換部１２へ入力する。

ステップＳ１２において、各秘密計算装置１_iの第一変換部１２は、公開値倍部１１から分散値[a']を受け取り、分散値[a']を加法的秘密分散の分散値<a'>=<a'>₀, …, <a'>_m-1に変換する。第一変換部１２は、変換後の分散値<a'>を右シフト演算部１３、第一ビット変換部１５、および第二ビット変換部１７へ入力する。

ステップＳ１３において、各秘密計算装置１_iの右シフト演算部１３は、第一変換部１２から分散値<a'>を受け取り、<s>_i=<a'>_i≫b+uを計算し、分散値<s>を得る。ただし、≫は右シフト演算子である。右シフト演算部１３は、計算した分散値<s>を第二変換部１４へ入力する。

ステップＳ１４において、各秘密計算装置１_iの第二変換部１４は、右シフト演算部１３から分散値<s>を受け取り、分散値<s>を線形秘密分散に変換する。第二変換部１４は、変換後の分散値[s]を出力計算部２０へ入力する。

ステップＳ１５において、各秘密計算装置１_iの第一ビット変換部１５は、第一変換部１２から分散値<a'>を受け取り、分散値<a'>のシェア<a'>_iの下位uビットを分散して、<a'>_i mod 2^uのビット表現である分散値{a'_i mod 2^u}を得る。第一ビット変換部１５は、分散値{a'_i mod 2^u}を商転移部１６へ入力する。

ステップＳ１６において、各秘密計算装置１_iの商転移部１６は、第一ビット変換部１５から分散値{a'_imod 2^u}を受け取り、加算回路および符号反転回路により、-Σ_i<m{a'_imod 2^u}の下位uビットを計算する。計算結果のビット列を商qの分散値{q}とする。商転移部１６は、分散値{q}を加算部１８および第三変換部１９へ入力する。

ステップＳ１７において、各秘密計算装置１_iの第二ビット変換部１７は、第一変換部１２から分散値<a'>を受け取り、分散値<a'>のシェア<a'>_iの下位b+uビットを分散して、<a'>_i mod 2^b+uのビット表現である分散値{a'_iR}を得る。第二ビット変換部１７は、分散値{a'_iR}を加算部１８へ入力する。

ステップＳ１８において、各秘密計算装置１_iの加算部１８は、商転移部１６から分散値{q}を、第二ビット変換部１７から分散値{a'_iR}を受け取り、加算回路により、{z}=Σ_i<m{a'_iR}+{q}を計算する。計算結果のビット列{z}のb+uビット目（0スタート）以降のビット列を分散値{z_Q}とする。加算部１８は、分散値{z_Q}を第三変換部１９へ入力する。

ステップＳ１９において、各秘密計算装置１_iの第三変換部１９は、商転移部１６から分散値{q}を、加算部１８から分散値{z_Q}を受け取り、{q}, {z_Q}をビット合成により線形秘密分散に変換する。第三変換部１９は、変換後の分散値[q], [z_Q]を出力計算部２０へ入力する。

ステップＳ２０において、各秘密計算装置１_iの出力計算部２０は、第二変換部１４から分散値[s]を、第三変換部１９から分散値[q], [z_Q]を受け取り、[s]-[2^l-(b+u)q]+[z_Q]を計算し、被シフト数aをbビット右シフトした値a≫bの分散値[a≫b]として出力する。

＜効果＞
右シフトプロトコルの通信量とラウンド数を評価する。係数は考慮し、定数項は無視する。uの値はpassiveで１、activeでも２と小さいものと想定されるため、uは定数と見なして評価する。

通信量は以下となる。パーティあたりの送信ビット数を単位とする。線形秘密分散から加法的秘密分散への変換は０、加法的秘密分散から線形秘密分散への変換はl、下位b+uビットの分散はb、加算回路はb、符号反転回路は０、ビット合成は１回あたりlを２回であり、合計は素数ビット長l、シフト量bを使って3l+2bと表される。

ラウンド数は以下となる。加算回路はbラウンド、他は定数ラウンドであり、合計bラウンドである。

［第二実施形態］
第一実施形態の秘密右シフト演算システムでは、第二ビット変換部１７および加算部１８が右シフト演算により発生する下位ビットの誤差を近似する処理を行っていた。しかしながら、近似し得る誤差は数値計算では無視できる範囲の誤差である。秘密計算では加算回路の演算量が大きいため、この誤差を無視する（すなわち、その近似処理を省略する）ことで、より高速な右シフト演算を実現することができる。本実施形態で実行する右シフトプロトコルを以下に示す。

〔アルゴリズム２：高速な右シフトプロトコル〕
入力：被シフト数[a]、シフト量b
パラメータ：加法的秘密分散の分散数m、log m以上の整数u
出力：[a≫b]（ただし、≫は右シフト演算子であり、aの各ビットをbビットだけ右シフトすることを表す。）
１: 公開値倍により[a']=[2^ua]を計算する。
２: [a']を加法的秘密分散に変換し、<a'>を得る。
３: <s>を<s>_i=<a'>_i≫b+uとする。
４: <s>を線形秘密分散に変換して[s]を得る。
５: 各<a'>_iの下位uビットを分散して、<a'>_i mod 2^uのビット表現{a'_i mod 2^u}を得る。
６: 加算回路および符号反転回路により、-Σ_i<m{a'_imod 2^u}の下位uビットを計算する。この出力は商転移定理よりqに等しいため、{q}とおく。
７: {q}をビット合成により線形秘密分散に変換し、[q]を得る。
８: [s]-[2^l-(b+u)q]+1を出力する。

＜秘密右シフト演算システム２００＞
第二実施形態の秘密右シフト演算システム２００は上述したアルゴリズム２：高速な右シフトプロトコルを実行する。第二実施形態の秘密右シフト演算システム２００に含まれる秘密計算装置２_i（i=1, …, m）は、例えば、図４に示すように、公開値倍部１１、第一変換部１２、右シフト演算部１３、第二変換部１４、第一ビット変換部１５、商転移部１６、第三変換部１９、および出力計算部２０を含む。すなわち、第一実施形態の秘密計算装置１_i（i=1, …, m）には含まれていた第二ビット変換部１７および加算部１８を含まない。この秘密計算装置２_iが他の秘密計算装置２_i'（i'=1, …, m、ただしi≠i'）と協調しながら後述する各ステップの処理を行うことにより第二実施形態の秘密右シフト演算方法が実現される。

図５を参照して、第二実施形態の秘密右シフト演算システム２００が実行する秘密右シフト演算方法の処理手続きを説明する。

ステップＳ１１において、各秘密計算装置２_iの公開値倍部１１は、秘密計算装置２_iに入力された被シフト数aの分散値[a]を受け取り、公開値倍により[a']=[2^ua]を計算する。公開値倍部１１は、計算した分散値[a']を第一変換部１２へ入力する。

ステップＳ１２において、各秘密計算装置２_iの第一変換部１２は、公開値倍部１１から分散値[a']を受け取り、分散値[a']を加法的秘密分散の分散値<a'>=<a'>₀, …, <a'>_m-1に変換する。第一変換部１２は、変換後の分散値<a'>を右シフト演算部１３および第一ビット変換部１５へ入力する。

ステップＳ１３において、各秘密計算装置２_iの右シフト演算部１３は、第一変換部１２から分散値<a'>を受け取り、<s>_i=<a'>_i≫b+uを計算し、分散値<s>を得る。右シフト演算部１３は、計算した分散値<s>を第二変換部１４へ入力する。

ステップＳ１４において、各秘密計算装置２_iの第二変換部１４は、右シフト演算部１３から分散値<s>を受け取り、分散値<s>を線形秘密分散に変換する。第二変換部１４は、変換後の分散値[s]を出力計算部２０へ入力する。

ステップＳ１５において、各秘密計算装置２_iの第一ビット変換部１５は、第一変換部１２から分散値<a'>を受け取り、分散値<a'>のシェア<a'>_iの下位uビットを分散して、<a'>_i mod 2^uのビット表現である分散値{a'_i mod 2^u}を得る。第一ビット変換部１５は、分散値{a'_i mod 2^u}を商転移部１６へ入力する。

ステップＳ１６において、各秘密計算装置２_iの商転移部１６は、第一ビット変換部１５から分散値{a'_I mod 2^u}を受け取り、加算回路および符号反転回路により、-Σ_i<m{a'_i mod 2^u}の下位uビットを計算する。計算結果のビット列を商qの分散値{q}とする。商転移部１６は、分散値{q}を第三変換部１９へ入力する。

ステップＳ１９において、各秘密計算装置２_iの第三変換部１９は、商転移部１６から分散値{q}を受け取り、{q}をビット合成により線形秘密分散に変換する。第三変換部１９は、変換後の分散値[q]を出力計算部２０へ入力する。

ステップＳ２０において、各秘密計算装置１_iの出力計算部２０は、第二変換部１４から分散値[s]を、第三変換部１９から分散値[q]を受け取り、[s]-[2^l-(b+u)q]+1を計算し、被シフト数aをbビット右シフトした値a≫bの分散値[a≫b]として出力する。

［第三実施形態］
右シフト演算は２べきによる除算とみなすことができる。そこで、第三実施形態では、２べき以外による除算に拡張することを考える。なお、右シフト演算でシフト量が公開であったのと同様に、除数は公開値とする。第三実施形態では、シェア数が２である加法的秘密分散を用いることを想定する。すなわち、内部の処理で用いる加法的秘密分散は(2, 2)加法的秘密分散であり、入出力の形式となる秘密分散は(2, 3)線形秘密分散である。本実施形態で実行する除数公開除算プロトコルを以下に示す。

〔アルゴリズム３：除数公開除算プロトコル（シェア数２、除数は符号なし整数）〕
入力：被除数[a]、除数d
出力：[a/d]（ただし、/は小数点以下を切り捨てる除算を表す。）
１: [a]を(2, 2)加法的秘密分散に変換し、<a>を得る。
２: <a'>:=<2a>, d'=2dを計算する。
３: 商転移等により、<a'>のpによる商<q>を得る。
４: pのd'による商p'と剰余r'を得る。
５: 次式を計算し、<b>を得る。ここでは、加減算はmod pではなく自然数上の加減算である。

６: <b>-(p'+1)<q>+1を計算し、<a/d>の結果として得る。
７: <a/d>を(2, 3)線形秘密分散に変換し、[a/d]を出力する。

＜秘密除算システム３００＞
第三実施形態の秘密除算システム３００は上述したアルゴリズム３：除数公開除算プロトコルを実行する。秘密除算システム３００は、図６に示すように、3台の秘密計算装置３₁, ３₂, ３₃を含む。この実施形態では、秘密計算装置３₁, ３₂, ３₃はそれぞれ通信網９へ接続される。

第三実施形態の秘密除算システム３００に含まれる秘密計算装置３_i（i=1, …, 3）は、例えば、図７に示すように、入力変換部３１、公開値倍部３２、商転移部３３、公開除算部３４、近似部３５、出力計算部３６、および出力変換部３７を含む。この秘密計算装置３_iが他の秘密計算装置３_i'（i'=1, …, 3、ただしi≠i'）と協調しながら後述する各ステップの処理を行うことにより第三実施形態の秘密除算方法が実現される。

図８を参照して、第三実施形態の秘密除算システム３００が実行する秘密除算方法の処理手続きを説明する。

ステップＳ３１において、各秘密計算装置３_iの入力変換部３１は、秘密計算装置３_iに入力された被除数aの分散値[a]を受け取り、分散値[a]を(2, 2)加法的秘密分散の分散値<a>=<a>₀, <a>₁に変換する。入力変換部３１は、変換後の分散値<a>を公開値倍部３２へ入力する。

ステップＳ３２において、各秘密計算装置３_iの公開値倍部３２は、秘密計算装置２_iに入力された除数dと入力変換部３１から入力された分散値<a>を受け取り、公開値倍により<a'>=<2a>, d'=2dを計算する。公開値倍部３２は、計算した分散値<a'>と値d'を商転移部３３および近似部３５へ入力する。また、公開値倍部３２は、値d'を公開除算部３４へ入力する。

ステップＳ３３において、各秘密計算装置３_iの商転移部３３は、公開値倍部３２から分散値<a'>と値d'を受け取り、商転移等により値a'の法pによる商qの分散値<q>を得る。具体的には、第一実施形態の第一ビット変換部１５、商転移部１６、および第三変換部１９で行った処理を実行すればよい。すなわち、分散値<a'>のシェア<a'>_iの下位uビットを分散して、<a'>_i mod 2^uのビット表現である分散値{a'_i mod 2^u}を得、加算回路および符号反転回路により、-Σ_i<m{a'_imod 2^u}の下位uビットを計算し、計算結果のビット列を商qの分散値{q}として、{q}をビット合成により分散値<q>に変換する。商転移部３３は、分散値<q>を出力計算部３６へ入力する。

ステップＳ３４において、各秘密計算装置３_iの公開除算部３４は、公開値倍部３２から値d'を受け取り、法pの値d'による商p'と剰余r'を得る。公開除算部３４は、剰余r'を近似部３５へ入力する。また、公開除算部３４は、商p'を出力計算部３６へ入力する。

ステップＳ３５において、各秘密計算装置３_iの近似部３５は、公開値倍部３２から分散値<a'>と値d'を、公開除算部３４から剰余r'を受け取り、次式を計算する。

すなわち、i=0であれば<b>_i=(<a'>_i+d'-1-r')/d'を計算し、それ以外であれば<b>_i=<a'>_i/d'を計算し、分散値<b>を得る。近似部３５は、分散値<b>を出力計算部３６へ入力する。

ステップＳ３６において、各秘密計算装置３_iの出力計算部３６は、商転移部３３から分散値<q>を、公開除算部３４から商p'を、近似部３５から分散値<b>を受け取り、<b>-(p'+1)<q>+1を計算する。出力計算部３６は、計算結果をa/dの分散値<a/d>として出力変換部３７へ入力する。

ステップＳ３７において、各秘密計算装置３_iの出力変換部３７は、出力計算部３６から分散値<a/d>を受け取り、分散値<a/d>を(2, 3)線形秘密分散に変換する。出力変換部３７は、変換後の分散値[a/d]を出力する。

＜定理２：アルゴリズム３の誤差＞
アルゴリズム３は以下の３つの性質を満たす。これは確率的出力をもつ数値計算向けの固定小数点数向け整数除算として理想的である。なお、/, ÷はいずれも除算を表す演算子であるが、/は小数点以下を切り捨てる除算であり、÷は実数除算である。
（１）「出力の期待値の小数部分〜a÷dの小数部分」が成り立ち、その近似誤差はO(a÷p)である。
（２）出力は1-O(a÷p)の確率でa/dもしくはa/d+1であり、整数出力で期待値をa÷dに一致させるための最小誤差幅である。最悪値に関しては、O(a÷p)の確率でa/d+2となる。
（３）特にaがdで割り切れるとき、誤差は1-O(a÷p)の確率で0である。

＜効果＞
アルゴリズム３：除数公開除算プロトコルの通信量とラウンド数を評価する。通信量は、5/3(|p|+1)ビットとなる。ラウンド数は、2ラウンドとなる。通信量O(|p|)、ラウンド数O(1)を両立する除数公開除算は今まで存在しなかった。また、定数係数も2以下とごく小さく、例えば機械学習などの演算を反復するために右シフト（すなわち、２べきの除算）を大量に処理するアプリケーションでは特に有効であると言える。

［第四実施形態］
第三実施形態では、シェア数が２である加法的秘密分散を用いることを想定した。第四実施形態では、シェア数が３以上である加法的秘密分散または複製秘密分散に一般化する。本実施形態で実行する除数公開除算プロトコルを以下に示す。

〔アルゴリズム４：除数公開除算プロトコル（シェア数３以上）〕
入力：被除数[a]、除数d
出力：[a/d]（ただし、/は小数点以下を切り捨てる除算を表す。）
１: [a]をシェア数m（≧3）の加法的秘密分散または複製秘密分散に変換し、<a>を得る。
２: <a'>:=<2^ua>, d':=2^udを計算する。
３: 商転移等により、<a'>のpによる商<q>を得る。
４: pのd'による商p'と剰余r'を得る。
５: r'≧d'/2ならばz=1、それ以外であればz=0を設定する。
６: 次式を計算し、<b>を得る。ここでは、加減算はmod pではなく自然数上の加減算である。

７: <b>_iをd'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、<b'>を得る。d':=2^udであるため、d'は偶数であることに注意されたい。
８: <b'>-(p'+z)<q>-1を計算し、<a/d>の結果として得る。
９: <a/d>をシェア数mの線形秘密分散に変換し、[a/d]を出力する。

＜秘密除算システム４００＞
第四実施形態の秘密除算システム４００は上述したアルゴリズム４：除数公開除算プロトコルを実行する。秘密除算システム４００は、図９に示すように、m（≧3）台の秘密計算装置４₁, …, ４_mを含む。この実施形態では、秘密計算装置４₁, …, ４_mはそれぞれ通信網９へ接続される。

第四実施形態の秘密除算システム４００に含まれる秘密計算装置４_i（i=1, …, m）は、例えば、図１０に示すように、入力変換部３１、公開値倍部３２、商転移部３３、公開除算部３４、近似部３５、出力計算部３６、出力変換部３７、フラグ設定部３８、および端数処理部３９を含む。すなわち、第三実施形態の秘密計算装置３_i（i=1, …, 3）に含まれる各処理部に加えて、フラグ設定部３８および端数処理部３９をさらに含む。この秘密計算装置４_iが他の秘密計算装置４_i'（i'=1, …, m、ただしi≠i'）と協調しながら後述する各ステップの処理を行うことにより第四実施形態の秘密除算方法が実現される。

図１１を参照して、第四実施形態の秘密除算システム４００が実行する秘密除算方法の処理手続きを、第三実施形態との相違点を中心に説明する。

ステップＳ３１において、各秘密計算装置３_iの入力変換部３１は、秘密計算装置３_iに入力された被除数aの分散値[a]を受け取り、分散値[a]をシェア数mの加法的秘密分散または複製秘密分散の分散値<a>=<a>₀, …, <a>_m-1に変換する。入力変換部３１は、変換後の分散値<a>を公開値倍部３２へ入力する。

ステップＳ３２において、各秘密計算装置３_iの公開値倍部３２は、秘密計算装置２_iに入力された除数dと入力変換部３１から入力された分散値<a>を受け取り、公開値倍により<a'>=<2^ua>, d'=2^udを計算する。公開値倍部３２は、計算した分散値<a'>と値d'を商転移部３３および近似部３５へ入力する。また、公開値倍部３２は、値d'を公開除算部３４および端数処理部３９へ入力する。

ステップＳ３８において、各秘密計算装置３_iのフラグ設定部３８は、公開除算部３４から剰余r'を受け取り、r'≧d'/2ならばz=1、それ以外であればz=0を設定する。フラグ設定部３８は、設定したフラグzを出力計算部３６へ入力する。

ステップＳ３５において、各秘密計算装置３_iの近似部３５は、公開値倍部３２から分散値<a'>と値d'を、公開除算部３４から剰余r'を受け取り、次式を計算する。

すなわち、i=0であれば<b>_i=(<a'>_i+(d'-r')+(d'-r')/2)/d'を計算し、それ以外であれば<b>_i=<a'>_i/d'を計算し、分散値<b>を得る。近似部３５は、分散値<b>を端数処理部３９へ入力する。

ステップＳ３９において、各秘密計算装置３_iの端数処理部３９は、公開値倍部３２から値d'を、近似部３５から分散値<b>を受け取り、<b>_iをd'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、<b'>を得る。端数処理部３９は、分散値<b'>を出力計算部３６へ入力する。

ステップＳ３６において、各秘密計算装置３_iの出力計算部３６は、商転移部３３から分散値<q>を、公開除算部３４から商p'を、フラグ設定部３８からフラグzを、端数処理部３９から分散値<b'>を受け取り、<b'>-(p'+z)<q>-1を計算する。出力計算部３６は、計算結果をa/dの分散値<a/d>として出力変換部３７へ入力する。

ステップＳ３７において、各秘密計算装置３_iの出力変換部３７は、出力計算部３６から分散値<a/d>を受け取り、分散値<a/d>をシェア数mの線形秘密分散に変換する。出力変換部３７は、変換後の分散値[a/d]を出力する。

［第五実施形態］
第三実施形態および第四実施形態では、除数dは一般的な符号なし整数を用いることを想定した。第五実施形態では、除数dが符号あり整数である場合を想定する。本実施形態で実行する除算プロトコルを以下に示す。

〔アルゴリズム５：除数公開除算プロトコル（除数は符号あり整数）〕
入力：被除数[a]、除数d（ただし、μ<0, M≧0として、aはμ≦a≦Mを満たす。）
出力：[a/d]（ただし、/は小数点以下を切り捨てる除算を表す。）
１: -μ≦wd≦2^|p|-uを満たすwを得る。
２: アルゴリズム３または４により、[(wd+a)/d]（=[w+a/d]）を得る。
３: [w+a/d]からwを減算し、[a/d]を出力する。

第五実施形態の秘密除算システムは上述したアルゴリズム５：除数公開除算プロトコルを実行する。第五実施形態の秘密除算システムは、第三実施形態または第四実施形態と同様に複数台の秘密計算装置を含み、各秘密計算装置は第三実施形態または第四実施形態と同様の処理部を含む。

各秘密計算装置の入力変換部３１は、秘密計算装置に入力された除数dを受け取り、2^|p|-1をdで割って切り上げた数wを得る。また、秘密計算装置に入力された被除数aの分散値[a]を[wd+a]で更新する。そして、更新後の分散値[a]を所定の加法的秘密分散の分散値<a>に変換する。入力変換部３１は、変換後の分散値<a>を公開値倍部３２へ入力する。

各秘密計算装置３_iの出力変換部３７は、出力計算部３６から分散値<a/d>を受け取り、分散値<a/d>を所定の線形秘密分散に変換する。この分散値[a/d]は、入力変換部３１が[a]を[wd+a]で更新しているため、実際には[(wd+a)/d]（=[w+a/d]）である。そこで、出力変換部３７は、変換後の分散値[a/d]からwを減算する。出力変換部３７は、減算後の分散値[a/d]を出力する。

以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

ステップＳ２０において、各秘密計算装置２ _iの出力計算部２０は、第二変換部１４から分散値[s]を、第三変換部１９から分散値[q]を受け取り、[s]-[2^l-(b+u)q]+1を計算し、被シフト数aをbビット右シフトした値a≫bの分散値[a≫b]として出力する。

ステップＳ３２において、各秘密計算装置３_iの公開値倍部３２は、秘密計算装置３ _iに入力された除数dと入力変換部３１から入力された分散値<a>を受け取り、公開値倍により<a'>=<2a>, d'=2dを計算する。公開値倍部３２は、計算した分散値<a'>と値d'を商転移部３３および近似部３５へ入力する。また、公開値倍部３２は、値d'を公開除算部３４へ入力する。

ステップＳ３１において、各秘密計算装置４ _iの入力変換部３１は、秘密計算装置４ _iに入力された被除数aの分散値[a]を受け取り、分散値[a]をシェア数mの加法的秘密分散または複製秘密分散の分散値<a>=<a>₀, …, <a>_m-1に変換する。入力変換部３１は、変換後の分散値<a>を公開値倍部３２へ入力する。

ステップＳ３２において、各秘密計算装置４ _iの公開値倍部３２は、秘密計算装置４ _iに入力された除数dと入力変換部３１から入力された分散値<a>を受け取り、公開値倍により<a'>=<2^ua>, d'=2^udを計算する。公開値倍部３２は、計算した分散値<a'>と値d'を商転移部３３および近似部３５へ入力する。また、公開値倍部３２は、値d'を公開除算部３４および端数処理部３９へ入力する。

ステップＳ３８において、各秘密計算装置４ _iのフラグ設定部３８は、公開除算部３４から剰余r'を受け取り、r'≧d'/2ならばz=1、それ以外であればz=0を設定する。フラグ設定部３８は、設定したフラグzを出力計算部３６へ入力する。

ステップＳ３５において、各秘密計算装置４ _iの近似部３５は、公開値倍部３２から分散値<a'>と値d'を、公開除算部３４から剰余r'を受け取り、次式を計算する。

すなわち、i=0であれば<b>_i=(<a'>_i+(d'-r')+(d'-r')/2)/d'を計算し、それ以外であれば<b>_i=<a'>_i/d'を計算し、分散値<b>を得る。近似部３５は、分散値<b>を端数処理部３９へ入力する。

ステップＳ３９において、各秘密計算装置４ _iの端数処理部３９は、公開値倍部３２から値d'を、近似部３５から分散値<b>を受け取り、<b>_iをd'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、<b'>を得る。端数処理部３９は、分散値<b'>を出力計算部３６へ入力する。

ステップＳ３６において、各秘密計算装置４ _iの出力計算部３６は、商転移部３３から分散値<q>を、公開除算部３４から商p'を、フラグ設定部３８からフラグzを、端数処理部３９から分散値<b'>を受け取り、<b'>-(p'+z)<q>-1を計算する。出力計算部３６は、計算結果をa/dの分散値<a/d>として出力変換部３７へ入力する。

ステップＳ３７において、各秘密計算装置４ _iの出力変換部３７は、出力計算部３６から分散値<a/d>を受け取り、分散値<a/d>をシェア数mの線形秘密分散に変換する。出力変換部３７は、変換後の分散値[a/d]を出力する。

各秘密計算装置の出力変換部３７は、出力計算部３６から分散値<a/d>を受け取り、分散値<a/d>を所定の線形秘密分散に変換する。この分散値[a/d]は、入力変換部３１が[a]を[wd+a]で更新しているため、実際には[(wd+a)/d]（=[w+a/d]）である。そこで、出力変換部３７は、変換後の分散値[a/d]からwを減算する。出力変換部３７は、減算後の分散値[a/d]を出力する。

Claims (10)

1. [・]は値・を第一の秘密分散で分散した分散値であり、<・>は値・を加法的秘密分散で分散した分散値であり、{・}は値・のビット表現を分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは任意の値であり、bはシフト量であり、mは3以上の分散数であり、uはlog m以上の整数であり、lは値aのビット数であり、≫は右シフト演算子であり、
   m台の秘密計算装置を含み、値aの分散値[a]とシフト量bとを入力とし、値aをbビット右シフトした値の分散値[a≫b]を計算する秘密右シフト演算システムであって、
   上記秘密計算装置は、
   上記分散値[a]を用いて分散値[a']=[2^ua]を計算する公開値倍部と、
   上記分散値[a']を加法的秘密分散の分散値<a'>=<a'>₀, …, <a'>_m-1に変換する第一変換部と、
   0以上m未満の各整数iについて、<s>_i=<a'>_i≫b+uを計算し、分散値<s>=<s>₀, …, <s>_m-1を生成する右シフト演算部と、
   上記分散値<s>を第一の秘密分散の分散値[s]に変換する第二変換部と、
   0以上m未満の各整数iについて、上記分散値<a'>のシェア<a'>_iの下位uビットをビット表現の分散値{a'_i mod 2^u}に変換する第一ビット変換部と、
   上記分散値{a'_i mod 2^u}を用いて-Σ_i<m{a'_imod 2^u}の下位uビットを計算し、ビット表現の分散値{q}として得る商転移部と、
   上記分散値{q}を第一の秘密分散の分散値[q]に変換する第三変換部と、
   上記分散値[s], [q]を用いて[s]-[2^l-(b+u)q]+1を計算し、上記分散値[a≫b]として得る出力計算部と、
   を含む秘密右シフト演算システム。
2. 請求項１に記載の秘密右シフト演算システムであって、
   上記秘密計算装置は、
   0以上m未満の各整数iについて、上記シェア<a'>_iの下位b+uビットをビット表現の分散値{a'_iR}={a'_imod 2^b+u}に変換する第二ビット変換部と、
   上記分散値{a'_iR}, {q}を用いてビット表現の分散値{z}=Σ_i<m{a'_iR}+{q}を計算し、上記分散値{z}のb+uビット目以降のビット列を分散値{z_Q}として得る加算部と、
   をさらに含み、
   上記第三変換部は、上記分散値{q}, {z_Q}を第一の秘密分散の分散値[q], [z_Q]に変換するものであり、
   上記出力計算部は、上記分散値[s], [q], [z_Q]を用いて[s]-[2^l-(b+u)q]+[z_Q]を計算し、上記分散値[a≫b]として得るものである、
   秘密右シフト演算システム。
3. pは素数であり、[・]は値・をシェア数が3である第一の秘密分散で分散した分散値であり、<・>は値・をシェア数が2である加法的秘密分散で分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、/は小数点以下を切り捨てる除算を表す演算子であり、
   3台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムであって、
   上記秘密計算装置は、
   上記分散値[a]を上記加法的秘密分散の分散値<a>=<a>₀, <a>₁に変換する入力変換部と、
   上記分散値[a]と上記除数dを用いて分散値<a'>=<2a>と値d'=2dを計算する公開値倍部と、
   上記分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得る商転移部と、
   素数pの値d'による商p'と剰余r'を得る公開除算部と、
   上記分散値<a'>と上記値d'と上記剰余r'を用いて、<b>₀=(<a'>₀+d'-1-r')/d', <b>₁=<a'>₁/d'を計算し、分散値<b>=<b>₀, <b>₁を生成する近似部と、
   上記分散値<b>, <q>と上記商p'を用いて、<b>-(p'+1)<q>+1を計算し、上記除算結果a/dの分散値<a/d>として得る出力計算部と、
   上記分散値<a/d>を上記第一の秘密分散の分散値[a/d]に変換する出力変換部と、
   を含む秘密除算システム。
4. pは素数であり、[・]は値・をシェア数がmである第一の秘密分散で分散した分散値であり、<・>は値・をシェア数がmである加法的秘密分散で分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、mは3以上の分散数であり、uはlog m以上の整数であり、/は小数点以下を切り捨てる除算を表す演算子であり、
   m台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムであって、
   上記秘密計算装置は、
   上記分散値[a]を上記加法的秘密分散の分散値<a>=<a>₀, …, <a>_m-1に変換する入力変換部と、
   上記分散値[a]と上記除数dを用いて分散値<a'>=<2^ua>と値d'=2^udを計算する公開値倍部と、
   上記分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得る商転移部と、
   素数pの値d'による商p'と剰余r'を得る公開除算部と、
   r'≧d'/2ならばz=1を設定し、r'<d'/2ならばz=0を設定したフラグzを得るフラグ設定部と、
   0以上m未満の各整数iについて、i=0であれば<b>_i=(<a'>_i+(d'-r')+(d'-r')/2)/d'を計算し、i≠0であれば<b>_i=<a'>_i/d'を計算し、分散値<b>=<b>₀, …, <b>_m-1を生成する近似部と、
   0以上m未満の各整数iについて、上記分散値<b>のシェア<b>_jを値d'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">を計算し、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、分散値<b'>=<b'>₀, …, <b'>_m-1を得る端数処理部と、
   上記分散値<b'>, <q>と上記商p'と上記フラグzを用いて、<b'>-(p'+z)<q>-1を計算し、上記除算結果a/dの分散値<a/d>として得る出力計算部と、
   上記分散値<a/d>を上記第一の秘密分散の分散値[a/d]に変換する出力変換部と、
   を含む秘密除算システム。
5. 請求項３または４に記載の秘密除算システムであって、
   μ<0, M≧0とし、aはμ≦a≦Mを満たし、
   上記入力変換部は、-μ≦wd≦2^|p|-uを満たすwを計算し、上記分散値[a]を分散値[wd+a]で更新するものであり、
   上記出力変換部は、変換後の分散値[a/d]からwを減算した結果を上記分散値[a/d]として出力するものである、
   秘密除算システム。
6. [・]は値・を第一の秘密分散で分散した分散値であり、<・>は値・を加法的秘密分散で分散した分散値であり、{・}は値・のビット表現を分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは任意の値であり、bはシフト量であり、mは3以上の分散数であり、uはlog m以上の整数であり、lは値aのビット数であり、≫は右シフト演算子であり、
   m台の秘密計算装置を含み、値aの分散値[a]とシフト量bとを入力とし、値aをbビット右シフトした値の分散値[a≫b]を計算する秘密右シフト演算システムが実行する秘密右シフト演算方法であって、
   上記秘密計算装置の公開値倍部が、上記分散値[a]を用いて分散値[a']=[2^ua]を計算し、
   上記秘密計算装置の第一変換部が、上記分散値[a']を加法的秘密分散の分散値<a'>=<a'>₀, …, <a'>_m-1に変換し、
   上記秘密計算装置の右シフト演算部が、0以上m未満の各整数iについて、<s>_i=<a'>_i≫b+uを計算し、分散値<s>=<s>₀, …, <s>_m-1を生成し、
   上記秘密計算装置の第二変換部が、上記分散値<s>を第一の秘密分散の分散値[s]に変換し、
   上記秘密計算装置の第一ビット変換部が、0以上m未満の各整数iについて、上記分散値<a'>のシェア<a'>_iの下位uビットをビット表現の分散値{a'_i mod 2^u}に変換し、
   上記秘密計算装置の商転移部が、上記分散値{a'_imod 2^u}を用いて-Σ_i<m{a'_imod 2^u}の下位uビットを計算し、ビット表現の分散値{q}として得、
   上記秘密計算装置の第三変換部が、上記分散値{q}を第一の秘密分散の分散値[q]に変換し、
   上記秘密計算装置の出力計算部が、上記分散値[s], [q]を用いて[s]-[2^l-(b+u)q]+1を計算し、上記分散値[a≫b]として得る、
   秘密右シフト演算方法。
7. pは素数であり、[・]は値・をシェア数が3である第一の秘密分散で分散した分散値であり、<・>は値・をシェア数が2である加法的秘密分散で分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、/は小数点以下を切り捨てる除算を表す演算子であり、
   3台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムが実行する秘密除算方法であって、
   上記秘密計算装置の入力変換部が、上記分散値[a]を上記加法的秘密分散の分散値<a>=<a>₀, <a>₁に変換し、
   上記秘密計算装置の公開値倍部が、上記分散値[a]と上記除数dを用いて分散値<a'>=<2a>と値d'=2dを計算し、
   上記秘密計算装置の商転移部が、上記分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得、
   上記秘密計算装置の公開除算部が、素数pの値d'による商p'と剰余r'を得、
   上記秘密計算装置の近似部が、上記分散値<a'>と上記値d'と上記剰余r'を用いて、<b>₀=(<a'>₀+d'-1-r')/d', <b>₁=<a'>₁/d'を計算し、分散値<b>=<b>₀, <b>₁を生成し、
   上記秘密計算装置の出力計算部が、上記分散値<b>, <q>と上記商p'を用いて、<b>-(p'+1)<q>+1を計算し、上記除算結果a/dの分散値<a/d>として得、
   上記秘密計算装置の出力変換部が、上記分散値<a/d>を上記第一の秘密分散の分散値[a/d]に変換する、
   秘密除算方法。
8. pは素数であり、[・]は値・をシェア数がmである第一の秘密分散で分散した分散値であり、<・>は値・をシェア数がmである加法的秘密分散で分散した分散値であり、上記分散値[・]と上記分散値<・>とは相互に変換可能であり、aは被除数であり、dは除数であり、mは3以上の分散数であり、uはlog m以上の整数であり、/は小数点以下を切り捨てる除算を表す演算子であり、
   m台の秘密計算装置を含み、被除数aの分散値[a]と除数dとを入力とし、被除数aの除数dによる小数点以下切り捨ての除算結果a/dの分散値[a/d]を計算する秘密除算システムが実行する秘密除算方法であって、
   上記秘密計算装置の入力変換部が、上記分散値[a]を上記加法的秘密分散の分散値<a>=<a>₀, …, <a>_m-1に変換し、
   上記秘密計算装置の公開値倍部が、上記分散値[a]と上記除数dを用いて分散値<a'>=<2^ua>と値d'=2^udを計算し、
   上記秘密計算装置の商転移部が、上記分散値<a'>を用いて値a'の素数pによる商qの分散値<q>を得、
   上記秘密計算装置の公開除算部が、素数pの値d'による商p'と剰余r'を得、
   上記秘密計算装置のフラグ設定部が、r'≧d'/2ならばz=1を設定し、r'<d'/2ならばz=0を設定したフラグzを得、
   上記秘密計算装置の近似部が、0以上m未満の各整数iについて、i=0であれば<b>_i=(<a'>_i+(d'-r')+(d'-r')/2)/d'を計算し、i≠0であれば<b>_i=<a'>_i/d'を計算し、分散値<b>=<b>₀, …, <b>_m-1を生成し、
   上記秘密計算装置の端数処理部が、0以上m未満の各整数iについて、上記分散値<b>のシェア<b>_jを値d'で割った商p"と剰余r"が、r"≦d'/2-1であれば<b'>_i=<p">を計算し、r"≧d'/2であれば<b'>_i=<p"+1>を計算し、分散値<b'>=<b'>₀, …, <b'>_m-1を得、
   上記秘密計算装置の出力計算部が、上記分散値<b'>, <q>と上記商p'と上記フラグzを用いて、<b>-(p'+z)<q>-1を計算し、上記除算結果a/dの分散値<a/d>として得、
   上記秘密計算装置の出力変換部が、上記分散値<a/d>を上記第一の秘密分散の分散値[a/d]に変換する、
   秘密除算方法。
9. 請求項１または２に記載の秘密右シフト演算システムもしくは請求項３から５のいずれかに記載の秘密除算システムに含まれる秘密計算装置。
10. 請求項９に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。

Images