WO2012057134A1 - 代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体 - Google Patents

Abstract

　Ｇ，Ｈを群、ｆ（ｘ）をｘ∈Ｈに対して群Ｇの元を得る関数、Ｘ₁，Ｘ₂を群Ｇに値を持つ確率変数、ｘ₁を確率変数Ｘ₁の実現値、ｘ₂を確率変数Ｘ₂の実現値、計算装置が、暗号文ｘに対応するτ₁及びτ₂を出力し、能力提供装置が、τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、計算結果をｚ₁とし、τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、計算結果をｚ_２とし、計算装置が、ｚ_１から計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成し、ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成し、計算結果ｕ及びｖが特定の関係を満たす場合にｕ^b'ｖ^a'を出力する。

Description

代理計算システム、計算装置、能力提供装置、代理計算方法、能力提供方法、プログラム、及び記録媒体

　本発明は、他の装置で行われた計算結果を用いて計算を行う技術に関する。

　公開鍵暗号方式や共通鍵暗号方式などの暗号方式で暗号化された暗号文を復号するためには、特定の復号鍵が必要である（例えば、非特許文献１参照）。復号鍵を保持していない第一装置が暗号文の復号結果を得るための従来方法の一つは、復号鍵を保持している第二装置が第一装置に復号鍵を提供し、第一装置がその復号鍵を用いて暗号文の復号を行う方法である。第一装置が暗号文の復号結果を得るための他の従来方法は、第一装置が暗号文を第二装置に提供し、第二装置が暗号文を復号してその復号結果を第一装置に提供する方法である。

Taher Elgamal, A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, IEEE Transactions on Information Theory, v. IT-31, n. 4, 1985, pp. 469-472 or CRYPTO 84, pp. 10-18, Springer-Verlag.

　しかしながら、第二装置が第一装置に復号鍵を提供する方法では、復号鍵を第二装置の外部に取り出さなければならず、安全上の問題がある。一方、第一装置が暗号文を第二装置に提供し、第二装置が暗号文を復号する方法では、第一装置が第二装置の復号処理の正当性を検証することができない。このような課題は復号処理以外に一般化できる。すなわち、第二装置が秘密情報を漏洩することなく計算能力のみを第一装置に提供し、第一装置がその計算能力を用いて正しく計算を行う技術は存在しなかった。

　本発明では、Ｇ，Ｈを群、ｆ（ｘ）を群Ｈの元である暗号文ｘを特定の復号鍵で復号して群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂を群Ｇに値を持つ確率変数、ｘ₁を確率変数Ｘ₁の実現値、ｘ₂を確率変数Ｘ₂の実現値、ａ，ｂを互いに素である自然数として、計算装置が、暗号文ｘに対応する、群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を出力し、能力提供装置が、第一入力情報τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、計算結果を第一出力情報ｚ₁とし、第二入力情報τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、計算結果を第二出力情報ｚ₂とし、計算装置が、第一出力情報ｚ₁から計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成し、第二出力情報ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成し、計算結果ｕ及びｖがｕ^a＝ｖ^bを満たす場合に、ａ’ａ＋ｂ’ｂ＝１を満たす整数ａ’，ｂ’についてのｕ^b’ｖ^a’を出力する。

　本発明では、能力提供装置が秘密情報を漏洩することなく計算能力のみを計算装置に提供し、計算装置がその計算能力を用いて正しく計算を行うことができる。

実施形態の代理計算システムの構成を説明するためのブロック図。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の能力提供装置の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の計算装置の処理を説明するためのフローチャート。 実施形態の能力提供装置の処理を説明するためのフローチャート。 ステップＳ２１０３（Ｓ３１０３）の処理を説明するためのフローチャート。 ステップＳ４１０３の処理を説明するためのフローチャート。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の計算装置の処理を説明するためのフローチャート。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の能力提供装置の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の計算装置の処理を説明するためのフローチャート。 ステップＳ６１０３の処理を例示するためのフローチャート。 実施形態の能力提供装置の処理を説明するためのフローチャート。 実施形態の代理計算システムの構成を説明するためのブロック図。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の能力提供装置の構成を説明するためのブロック図。 実施形態の復号制御装置の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の暗号化処理を説明するためのフローチャート。 実施形態の復号処理を説明するためのフローチャート。 実施形態の復号能力提供処理を説明するためのフローチャート。 ステップＳ１２１０３（Ｓ１３１０３）の処理を説明するためのフローチャート。 ステップＳ１４１０３の処理を説明するためのフローチャート。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の復号処理を説明するためのフローチャート。 実施形態の代理計算システムの構成を説明するためのブロック図。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の能力提供装置の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の入力情報提供部の構成を説明するためのブロック図。 実施形態の計算装置の処理を説明するためのフローチャート。 実施形態の能力提供装置の処理を説明するためのフローチャート。 ステップＳ２２１０３（Ｓ２３１０３）の処理を説明するためのフローチャート。 ステップＳ２４１０３の処理を説明するためのフローチャート。 ステップＳ２５１０３の処理を説明するためのフローチャート。 実施形態の入力情報提供部の構成を説明するためのブロック図。 ステップＳ２７１０３の処理を説明するためのフローチャート。 実施形態の計算装置の構成を説明するためのブロック図。 実施形態の計算装置の処理を説明するためのフローチャート。

　以下、図面を参照して本発明の実施形態を説明する。
　［第一実施形態］
　本発明の第一実施形態を説明する。
　＜構成＞
　図１に例示するように、第一実施形態の代理計算システム１は、例えば、復号鍵を保持していない計算装置１１と復号鍵を保持する能力提供装置１２とを有し、計算装置１１が能力提供装置１２に暗号文の復号能力の提供を依頼し、能力提供装置１２から提供された復号能力を用いて暗号文を復号する。計算装置１１と能力提供装置１２とは情報のやり取りが可能なように構成される。例えば、計算装置１１と能力提供装置１２とは、伝送線やネットワークや可搬型記録媒体などを経由した情報のやり取りが可能とされている。

　図２に例示するように、第一実施形態の計算装置１１は、例えば、自然数記憶部１１０１と自然数選択部１１０２と整数計算部１１０３と入力情報提供部１１０４と第一計算部１１０５と第一べき乗計算部１１０６と第一リスト記憶部１１０７と第二計算部１１０８と第二べき乗計算部１１０９と第二リスト記憶部１１１０と判定部１１１１と最終出力部１１１２と制御部１１１３とを有する。計算装置１１の例は、カードリーダライタ装置や携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたＣＰＵ（central processing unit）やＲＡＭ（random-access memory）を備えた公知又は専用のコンピュータなどである。

　図３に例示するように、第一実施形態の能力提供装置１２は、例えば、第一出力情報計算部１２０１と第二出力情報計算部１２０２と鍵記憶部１２０４と制御部１２０５とを有する。能力提供装置１２の例は、ＩＣカードやＩＣチップなどの耐タンパ性モジュールや、携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたＣＰＵやＲＡＭを備えた公知又は専用のコンピュータなどである。

　＜処理＞
　次に本形態の処理を説明する。処理の前提として、Ｇ，Ｈを群（例えば、可換群）、ｆ（ｘ）を群Ｈの元である暗号文ｘを特定の復号鍵ｓで復号して群Ｇの元を得るための復号関数、群Ｇ，Ｈの生成元をそれぞれμ_g，μ_h、Ｘ₁，Ｘ₂を群Ｇに値を持つ確率変数、確率変数Ｘ₁の実現値をｘ₁、確率変数Ｘ₂の実現値をｘ₂とする。計算装置１１の自然数記憶部１１０１には、互いに素である２つの自然数ａ，ｂの組（ａ，ｂ）が複数種類記憶されているものとする。「自然数」とは０以上の整数を意味する。Ｉを群Ｇの位数未満の２つの自然数の組で互いに素なものの集合とすると、自然数記憶部１１０１にはＩの部分集合Ｓに対応する自然数ａ，ｂの組（ａ，ｂ）が記憶されていると考えることができる。能力提供装置１２の鍵記憶部２１０４には、特定の復号鍵ｓが安全に格納されているものとする。計算装置１１の各処理は制御部１１１３の制御のもとで実行され、能力提供装置１２の各処理は制御部１２０５の制御のもとで実行される。

　図６に例示するように、まず、計算装置１１（図２）の自然数選択部１１０２が、自然数記憶部１１０１に記憶された複数の自然数の組（ａ，ｂ）から１つの自然数の組（ａ，ｂ）をランダムに読み込む。読み込まれた自然数の組（ａ，ｂ）少なくとも一部の情報は、整数計算部１１０３、入力情報提供部１１０４、第一べき乗計算部１１０６及び第二べき乗計算部１１０９に送られる（ステップＳ１１００）。

　整数計算部１１０３は、送られた自然数の組（ａ，ｂ）を用いて、ａ’ａ＋ｂ’ｂ＝１の関係を満たす整数ａ’，ｂ’を計算する。自然数ａ，ｂは互いに素であるため、ａ’ａ＋ｂ’ｂ＝１の関係を満たす整数ａ’，ｂ’は必ず存在する。自然数の組（ａ’，ｂ’）の情報は、最終出力部１１１２に送られる（ステップＳ１１０１）。

　制御部１１１３は、ｔ＝１とする（ステップＳ１１０２）。
　入力情報提供部１１０４は、入力された暗号文ｘにそれぞれ対応する群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を生成して出力する。好ましくは、第一入力情報τ₁及び第二入力情報τ₂はそれぞれ暗号文ｘとの関係をかく乱させた情報である。これにより、計算装置１１は、暗号文ｘを能力提供装置１２に対して隠蔽できる。好ましくは、本形態の第一入力情報τ₁は自然数選択部１１０２で選択された自然数ｂにさらに対応し、第二入力情報τ₂は自然数選択部１１０２で選択された自然数ａにさらに対応する。これにより、能力提供装置１２から提供された復号能力を計算装置１１が高い精度で評価することが可能となる（ステップＳ１１０３）。

　図７に例示するように、第一入力情報τ₁は能力提供装置１２（図３）の第一出力情報計算部１２０１に入力され、第二入力情報τ₂は第二出力情報計算部１２０２に入力される（ステップＳ１２００）。

　第一出力情報計算部１２０１は、第一入力情報τ₁と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とする（ステップＳ１２０１）。第二出力情報計算部１２０２は、第二入力情報τ₂と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする（ステップＳ１２０２）。なお、「或る確率」は１００％未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータｋについての広義単調増加関数である多項式を多項式ψ（ｋ）とした場合の１／ψ（ｋ）以上の確率である。すなわち、第一出力情報計算部１２０１や第二出力情報計算部１２０２は、意図的又は意図的ではない誤差を含んだ計算結果を出力する。言い換えると、第一出力情報計算部１２０１での計算結果がｆ（τ₁）の場合もあればｆ（τ₁）でない場合もあり、第二出力情報計算部１２０２での計算結果がｆ（τ₂）の場合もあればｆ（τ₂）でない場合もある。

　第一出力情報計算部１２０１は第一出力情報ｚ₁を出力し、第二出力情報計算部１２０２は第二出力情報ｚ₂を出力する（ステップＳ１２０３）。
　図６に戻り、第一出力情報ｚ₁は計算装置１１（図２）の第一計算部１１０５に入力され、第二出力情報ｚ₂は第二計算部１１０８に入力される。これらの第一出力情報ｚ₁及び第二出力情報ｚ₂が、能力提供装置１２から計算装置１１に与えられた復号能力に相当する（ステップＳ１１０４）。
　第一計算部１１０５は、第一出力情報ｚ₁から計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成する。ここで、ｆ（ｘ）^bｘ₁を生成（計算）するとは、ｆ（ｘ）^bｘ₁と定義される式の値を計算することである。式ｆ（ｘ）^bｘ₁の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。第一実施形態では群で定義された演算を乗法的に表現する。すなわちα∈Ｇに対する「α^b」は、群Ｇで定義された演算をαに対してｂ回作用させることを意味し、α₁，α₂∈Ｇに対する「α₁α₂」は、α₁とα₂とを被演算子とした群Ｇで定義された演算を行うことを意味する（後述する第二から第五実施形態も同様）。計算結果ｕは第一べき乗計算部１１０６に送られる（ステップＳ１１０５）。

　第一べき乗計算部１１０６はｕ’＝ｕ^aを計算する。計算結果ｕとその計算結果に基づいて計算されたｕ’との組（ｕ，ｕ’）は、第一リスト記憶部１１０７に記憶される（ステップＳ１１０６）。

　判定部１１１１は、第一リスト記憶部１１０７に記憶された組（ｕ，ｕ’）及び第二リスト記憶部１１１０に記憶された組（ｖ，ｖ’）の中で、ｕ’＝ｖ’となるものがあるか判定する（ステップＳ１１０７）。もし、第二リスト記憶部１１１０に組（ｖ，ｖ’）が記憶されていない場合には、このステップＳ１１０７の処理を行わずに、次のステップＳ１１０８の処理を行う。ｕ’＝ｖ’となるものがあった場合には、ステップＳ１１１４に進む。ｕ’＝ｖ’となるものがなかった場合には、ステップＳ１１０８に進む。
　ステップＳ１１０８では、第二計算部１１０８が、第二出力情報ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成する。計算結果ｖは第二べき乗計算部１１０９に送られる（ステップＳ１１０８）。

　第二べき乗計算部１１０９はｖ’＝ｖ^ｂを計算する。計算結果ｖとその計算結果に基づいて計算されたｖ’との組（ｖ，ｖ’）は、第二リスト記憶部１１１０に記憶される（ステップＳ１１０９）。

　判定部１１１１は、第一リスト記憶部１１０７に記憶された組（ｕ，ｕ’）及び第二リスト記憶部１１１０に記憶された組（ｖ，ｖ’）の中で、ｕ’＝ｖ’となるものがあるか判定する（ステップＳ１１１０）。ｕ’＝ｖ’となるものがあった場合には、ステップＳ１１１４に進む。ｕ’＝ｖ’となるものがなかった場合には、ステップＳ１１１１に進む。

　ステップＳ１１１１では、制御部１１１３がｔ＝Ｔ_maxであるか判定する（ステップＳ１１１１）。Ｔ_maxは予め定められた自然数である。ｔ＝Ｔ_maxであれば、制御部１１１３は、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１１３）、処理を終える。ｔ＝Ｔ_maxでない場合には、制御部１１１３は、ｔを１だけインクリメント、すなわちｔ＝ｔ＋１として（ステップＳ１１１２）、ステップＳ１１０３に戻る。

　計算をすることができなかった旨の情報（この例では記号「⊥」）は、能力提供装置１２が正しく計算を行う信頼性がＴ_maxで定められる基準を下回るということを意味する。言い換えれば、Ｔ_max回の繰り返しで正しい演算を行うことができなかったということを意味する。

　ステップＳ１１１４では、最終出力部１１１２が、ｕ’＝ｖ’であると判定されたｕ’及びｖ’に対応するｕ及びｖを用いてｕ^b’ｖ^a’を計算して、出力する（ステップＳ１１１４）。このように計算されたｕ^b’ｖ^a’は高い確率で暗号文ｘを特定の復号鍵ｓで復号した復号結果ｆ（ｘ）となる（高い確率でｕ^b’ｖ^a’＝ｆ（ｘ）となる理由については後述する）。よって、上述した処理を複数回繰り返し、ステップＳ１１１４で得られた値のうち最も頻度の高い値を復号結果とすればよい。後述するように、設定によっては圧倒的な確率でｕ^b’ｖ^a’＝ｆ（ｘ）となる。その場合にはステップＳ１１１４で得られた値をそのまま復号結果としてよい。

　≪高い確率でｕ^b’ｖ^a’＝ｆ（ｘ）となる理由について≫
　Ｘを群Ｇに値を持つ確率変数とする。ｗ∈Ｇについて、要求を受けるたびに確率変数Ｘに従った標本ｘ’に対応するｗｘ’を返すものを、ｗについて誤差Ｘを持つ標本器（sampler）と呼ぶ。

　ｗ∈Ｇについて、自然数ａが与えられるたびに確率変数Ｘに従った標本ｘ’に対応するｗ^aｘ’を返すものを、ｗについて誤差Ｘを持つ乱数化可能標本器（randomizable sampler）と呼ぶ。乱数化可能標本器はａ＝１として用いられれば標本器として機能する。

　本実施形態の入力情報提供部１１０４と第一出力情報計算部１２０１と第一計算部１１０５との組み合わせが、ｆ（ｘ）について誤差Ｘ₁を持つ乱数化可能標本器（「第一乱数化可能標本器」と呼ぶ）であり、入力情報提供部１１０４と第二出力情報計算部１２０２と第二計算部１１０８との組み合わせが、ｆ（ｘ）について誤差Ｘ₂を持つ乱数化可能標本器（「第二乱数化可能標本器」と呼ぶ）である。

　ｕ’＝ｖ’が成立するのは、すなわちｕ^a＝ｖ^bが成立するのは、第一乱数化可能標本器がｕ＝ｆ（ｘ）^bを正しく計算しており、第二乱数化可能標本器がｖ＝ｆ（ｘ）^aを正しく計算している（ｘ₁及びｘ₂が群Ｇの単位元ｅ_gである）可能性が高いことを発明者は見出した。説明の簡略化の観点から、この証明は五実施形態で行う。

　第一乱数化可能標本器がｕ＝ｆ（ｘ）^bを正しく計算しており、第二乱数化可能標本器がｖ＝ｆ（ｘ）^aを正しく計算しているとき（ｘ₁及びｘ₂が群Ｇの単位元ｅ_gであるとき）、ｕ^b’ｖ^a’＝（ｆ（ｘ）^bｘ₁）^b’（ｆ（ｘ）^aｘ₂）^a’＝（ｆ（ｘ）^bｅ_g）^b’（ｆ（ｘ）^aｅ_g）^a’＝ｆ（ｘ）^bb’ｅ_g ^b’ｆ（ｘ）^aa’ｅ_g ^a’＝ｆ（ｘ）^{(bb’+aa’)}＝ｆ（ｘ）となる。

　（ｑ₁，ｑ₂）∈Ｉについて、ｉ＝１，２の各々について関数π_iをπ_i（ｑ₁，ｑ₂）＝ｑ_iで定義する。Ｌ＝ｍｉｎ（♯π₁（Ｓ），♯π₂（Ｓ））とする。♯・は、集合・の位数である。群Ｇが巡回群や位数の計算が困難な群であるときには、計算装置１１が「⊥」以外を出力するときの出力がｆ（ｘ）ではない確率は、無視できる程度の誤差の範囲で高々Ｔ_max ²Ｌ／♯Ｓ程度と期待することができる。もしＬ／♯Ｓが無視できる量でＴ_maxが多項式オーダー程度の量であれば、計算装置１１は圧倒的な確率で正しいｆ（ｘ）を出力する。Ｌ／♯Ｓが無視できる量になるようなＳの例には、例えばＳ＝｛（１，ｄ）｜ｄ∈［２，｜Ｇ｜－１］｝がある。

　［第二実施形態］
　第二実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した例である。以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。以下の説明において、同一の参照番号が付された部分は同一の機能を持つものとし、同一の参照番号が付されたステップは同一の処理を表すものとする。

　＜構成＞
　図１に例示するように、第二実施形態の代理計算システム２は、計算装置１１が計算装置２１に置換され、能力提供装置１２が能力提供装置２２に置換されたものである。

　図２に例示するように、第二実施形態の計算装置２１は、例えば、自然数記憶部１１０１と自然数選択部１１０２と整数計算部１１０３と入力情報提供部２１０４と第一計算部２１０５と第一べき乗計算部１１０６と第一リスト記憶部１１０７と第二計算部２１０８と第二べき乗計算部１１０９と第二リスト記憶部１１１０と判定部１１１１と最終出力部１１１２と制御部１１１３とを有する。図４に例示するように、本形態の入力情報提供部２１０４は、例えば、第一乱数生成部２１０４ａと第一入力情報計算部２１０４ｂと第二乱数生成部２１０４ｃと第二入力情報計算部２１０４ｄとを有する。

　図３に例示するように、第二実施形態の能力提供装置２２は、例えば、第一出力情報計算部２２０１と第二出力情報計算部２２０２と鍵記憶部１２０４と制御部１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。第二実施形態では、復号関数ｆ（ｘ）を準同型関数とし、群Ｈを巡回群とし、群Ｈの生成元をμ_h、群Ｈの位数をＫ_H、ν＝ｆ（μ_h）とする。その他の前提は、計算装置１１が計算装置２１に置換され、能力提供装置１２が能力提供装置２２に置換されている以外、第一実施形態と同一である。

　図６及び図７に例示するように、第二実施形態の処理は第一実施形態のステップＳ１１０３～Ｓ１１０５，Ｓ１１０８，Ｓ１２００～Ｓ１２０３が、それぞれ、ステップＳ２１０３～Ｓ２１０５，Ｓ２１０８，Ｓ２２００～Ｓ２２０３に置換されたものである。以下ではステップＳ２１０３～Ｓ２１０５，Ｓ２１０８，Ｓ２２００～Ｓ２２０３の処理のみを説明する。

　《ステップＳ２１０３の処理》
　計算装置２１（図２）の入力情報提供部２１０４は、入力された暗号文ｘにそれぞれ対応する群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を生成して出力する（図６／ステップＳ２１０３）。以下、図８を用いて本形態のステップＳ２１０３の処理を説明する。

　第一乱数生成部２１０４ａ（図４）は、０以上Ｋ_H未満の自然数の一様乱数ｒ₁を生成する。生成された乱数ｒ₁は、第一入力情報計算部２１０４ｂ及び第一計算部２１０５に送られる（ステップＳ２１０３ａ）。第一入力情報計算部２１０４ｂは、入力された乱数ｒ_１と暗号文ｘと自然数ｂとを用いて第一入力情報τ₁＝μ_h ^r1ｘ^bを計算する（ステップＳ２１０３ｂ）。ここで、μ_hの右肩のｒ１は、ｒ₁のことである。このように、この出願において、αを第一の文字、βを第二の文字、γを数字として、α^βγと表記した場合には、そのβγはβ_γ、すなわちβの下付きγを意味する。

　第二乱数生成部２１０４ｃは、０以上Ｋ_H未満の自然数の一様乱数ｒ₂を生成する。生成された乱数ｒ₂は、第二入力情報計算部２１０４ｄ及び第二計算部２１０８に送られる（ステップＳ２１０３ｃ）。第二入力情報計算部２１０４ｄは、入力された乱数ｒ₂と暗号文ｘと自然数ａとを用いて第二入力情報τ₂＝μ_h ^r2ｘ^aを計算する（ステップＳ２１０３ｄ）。

　第一入力情報計算部２１０４ｂ及び第二入力情報計算部２１０４ｄは、以上のように生成した第一入力情報τ₁及び第二入力情報τ₂を出力する（ステップＳ２１０３ｅ）。なお、本形態の第一入力情報τ₁及び第二入力情報τ₂は、それぞれ、乱数ｒ₁，ｒ₂によって暗号文ｘとの関係をかく乱させた情報である。これにより、計算装置２２は、暗号文ｘを能力提供装置２２に対して隠蔽できる。本形態の第一入力情報τ₁は自然数選択部１１０２で選択された自然数ｂにさらに対応し、第二入力情報τ₂は自然数選択部１１０２で選択された自然数ａにさらに対応する。これにより、能力提供装置２２から提供された復号能力を計算装置２１が高い精度で評価することが可能となる。

　《ステップＳ２２００～Ｓ２２０３の処理》
　図７に例示するように、まず、第一入力情報τ₁＝μ_h ^r1ｘ^bが能力提供装置２２（図３）の第一出力情報計算部２２０１に入力され、第二入力情報τ₂＝μ_h ^r2ｘ^aが第二出力情報計算部２２０２に入力される（ステップＳ２２００）。

　第一出力情報計算部２２０１は、第一入力情報τ₁＝μ_h ^r1ｘ^bと鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（μ_h ^r1ｘ^b）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部２２０１での計算結果がｆ（μ_h ^r1ｘ^b）となる場合もあれば、ｆ（μ_h ^r1ｘ^b）とならない場合もある（ステップＳ２２０１）。

　第二出力情報計算部２２０２は、第二入力情報τ₂＝μ_h ^r2ｘ^aと鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（μ_h ^r2ｘ^a）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部２２０２での計算結果がｆ（μ_h ^r2ｘ^a）となる場合もあれば、ｆ（μ_h ^r2ｘ^a）とならない場合もある（ステップＳ２２０２）。第一出力情報計算部２２０１は第一出力情報ｚ₁を出力し、第二出力情報計算部２２０２は第二出力情報ｚ₂を出力する（ステップＳ２２０３）。

　《ステップＳ２１０４及びＳ２１０５の処理》
　図６に戻り、第一出力情報ｚ₁は計算装置２１（図２）の第一計算部２１０５に入力され、第二出力情報ｚ₂は第二計算部２１０８に入力される。これらの第一出力情報ｚ₁及び第二出力情報ｚ₂が、能力提供装置２２から計算装置２１に与えられた復号能力に相当する（ステップＳ２１０４）。
　第一計算部２１０５は、入力された乱数ｒ₁及び第一出力情報ｚ₁を用いてｚ₁ν^-r1を計算してその計算結果をｕとする。計算結果ｕは、第一べき乗計算部１１０６に送られる。ここで、ｕ＝ｚ₁ν^-r1＝ｆ（ｘ）^bｘ₁となる。すなわち、ｚ₁ν^-r1は、ｆ（ｘ）について誤差Ｘ_１を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ２１０５）。

　《ステップＳ２１０８の処理》
　第二計算部２１０８は、入力された乱数ｒ₂及び第二出力情報ｚ₂を用いてｚ₂ν^-r2を計算してその計算結果をｖとする。計算結果ｖは、第二べき乗計算部１１０９に送られる。ここで、ｖ＝ｚ₂ν^-r2＝ｆ（ｘ）^aｘ₂となる。すなわち、ｚ₂ν^-r2は、ｆ（ｘ）について誤差Ｘ₂を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ２１０８）。

　≪ｚ₁ν^-r1，ｚ₂ν^-r2がｆ（ｘ）についてそれぞれ誤差Ｘ₁，Ｘ₂を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒ及びＲ’を乱数として、能力提供装置２２がμ_h ^Rｘ^cを用いて行う計算の計算結果をＢ（μ_h ^Rｘ^c）とする。すなわち、第一出力情報計算部２２０１や第二出力情報計算部２２０２が計算装置２１に返す計算結果をｚ＝Ｂ（μ_h ^Rｘ^c）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（μ_h ^R’）ｆ（μ_h ^R’）^-1と定義する。

　このとき、ｚν^-R＝Ｂ（μ_h ^Rｘ^c）ｆ（μ_h）^-R＝Ｘｆ（μ_h ^Rｘ^c）ｆ（μ_h）^-R＝Ｘｆ（μ_h）^Rｆ（ｘ）^cｆ（μ_h）^-R＝ｆ（ｘ）^cＸとなる。すなわち、ｚν^-Rは、ｆ（ｘ）について誤差Ｘを持つ乱数化可能標本器の出力となる。

　上記式展開において、Ｘ＝Ｂ（μ_h ^R’）ｆ（μ_h ^R’）^-1＝Ｂ（μ_h ^Rｘ^c）ｆ（μ_h ^Rｘ^c）^-1であり、Ｂ（μ_h ^Rｘ^c）＝Ｘｆ（μ_h ^Rｘ^c）であるという性質を用いている。この性質は、関数ｆ（ｘ）が準同型関数であり、Ｒ及びＲ’が乱数であることに基づく。

　したがって、ａ，ｂが自然数、ｒ₁，ｒ₂が乱数であることを考慮すると、同様に、ｚ₁ν^-r1，ｚ₂ν^-r2がｆ（ｘ）についてそれぞれ誤差Ｘ₁，Ｘ₂を持つ乱数化可能標本器の出力となるのである。

　［第三実施形態］
　第三実施形態は第二実施形態の変形例であり、ａ＝１やｂ＝１のときに前述した標本器によってｕ又はｖの値を計算する。一般に乱数化可能標本器よりも標本器の計算量は小さい。ａ＝１やｂ＝１のときに乱数化可能標本器に代わり、標本器が計算を行うことで、代理計算システムの計算量を小さくすることができる。以下、第一実施形態及び第二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。

　＜構成＞
　図１に例示するように、第三実施形態の代理計算システム３は、計算装置２１が計算装置３１に置換され、能力提供装置２２が能力提供装置３２に置換されたものである。

　図２に例示するように、第三実施形態の計算装置３１は、例えば、自然数記憶部１１０１と自然数選択部１１０２と整数計算部１１０３と入力情報提供部２１０４と第一計算部２１０５と第一べき乗計算部１１０６と第一リスト記憶部１１０７と第二計算部２１０８と第二べき乗計算部１１０９と第二リスト記憶部１１１０と判定部１１１１と最終出力部１１１２と制御部１１１３と第三計算部３１０９とを有する。

　図３に例示するように、第三実施形態の能力提供装置３２は、例えば、第一出力情報計算部２２０１と第二出力情報計算部２２０２と鍵記憶部１２０４と制御部１２０５と第三出力情報計算部３２０３とを有する。

　＜処理＞
　次に本形態の処理を説明する。第二実施形態との相違点を説明する。
　図６及び図７に例示するように、第三実施形態の処理は第二実施形態のステップＳ２１０３～Ｓ２１０５，Ｓ２１０８，Ｓ２２００～Ｓ２２０３が、それぞれ、ステップＳ３１０３～Ｓ３１０５，Ｓ３１０８，Ｓ２２００～Ｓ２２０３及びＳ３２０５～Ｓ３２０９に置換されたものである。以下ではステップＳ３１０３～Ｓ３１０５，Ｓ３１０８，Ｓ２２００～Ｓ２２０３及びＳ３２０５～Ｓ３２０９の処理を中心に説明する。

　《ステップＳ３１０３の処理》
　計算装置３１（図２）の入力情報提供部３１０４は、入力された暗号文ｘにそれぞれ対応する群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を生成して出力する（図６／ステップＳ３１０３）。

　以下、図８を用いて本形態のステップＳ３１０３の処理を説明する。
　制御部１１１３（図２）は、自然数選択部１１０２で選択された自然数（ａ，ｂ）に応じて入力情報提供部３１０４を制御する。

　制御部１１１３でｂが１であるかが判定され（ステップＳ３１０３ａ）、ｂ≠１であると判定された場合、前述のステップＳ２１０３ａ及びＳ２１０３ｂの処理が実行され、ステップＳ３１０３ｇに進む。
　一方、ステップＳ３１０３ａでｂ＝１であると判定された場合、第三乱数生成部３１０４ｅが、０以上Ｋ_H未満の自然数の乱数ｒ₃を生成する。生成された乱数ｒ₃は第三入力情報計算部３１０４ｆ及び第三計算部３１０９に送られる（ステップＳ３１０３ｂ）。第三入力情報計算部３１０４ｆは、入力された乱数ｒ₃と暗号文ｘとを用いてｘ^r3を計算し、これを第一入力情報τ₁とする（ステップＳ３１０３ｃ）。その後、ステップＳ３１０３ｇに進む。

　ステップＳ３１０３ｇでは、制御部１１１３でａが１であるかが判定され（ステップＳ３１０３ｇ）、ａ≠１であると判定された場合、前述のステップＳ２１０３ｃ及びステップＳ２１０３ｄの処理が実行される。
　一方、ステップＳ３１０３ｇでａ＝１であると判定された場合、第三乱数生成部３１０４ｅが、０以上Ｋ_H未満の自然数の乱数ｒ₃を生成する。生成された乱数ｒ₃は第三入力情報計算部３１０４ｆに送られる（ステップＳ３１０３ｈ）。第三入力情報計算部３１０４ｆは、入力された乱数ｒ₃と暗号文ｘとを用いてｘ^r3を計算し、これを第二入力情報τ₂とする（ステップＳ３１０３ｉ）。

　第一入力情報計算部２１０４ｂ、第二入力情報計算部２１０４ｄ、第三入力情報計算部３１０４ｆは、以上のように生成した第一入力情報τ₁及び第二入力情報τ₂を対応する自然数（ａ，ｂ）の情報とともに出力する（ステップＳ３１０３ｅ）。なお、本形態の第一入力情報τ₁及び第二入力情報τ₂は、それぞれ、乱数ｒ₁，ｒ₂，ｒ₃によって暗号文ｘとの関係をかく乱させた情報である。これにより、計算装置３１は、暗号文ｘを能力提供装置３２に対して隠蔽できる。

　《Ｓ２２００～Ｓ２２０３及びＳ３２０５～Ｓ３２０９の処理》
　以下、図７を用いて本形態のＳ２２００～Ｓ２２０３及びＳ３２０５～Ｓ３２０９の処理を説明する。
　制御部１２０５（図３）は、入力された自然数（ａ，ｂ）に応じ、第一出力情報計算部２２０１、第二出力情報計算部２２０２、及び第三出力情報計算部３２０３を制御する。
　制御部１２０５の制御に基づき、ｂ≠１の場合の第一入力情報τ₁＝μ_h ^r1ｘ^bは能力提供装置３２（図３）の第一出力情報計算部２２０１に入力され、ａ≠１の場合の第二入力情報τ₂＝μ_h ^r2ｘ^aは第二出力情報計算部２２０２に入力される。ｂ＝１の場合の第一入力情報τ₁＝ｘ^r3やａ＝１の場合の第二入力情報τ₂＝ｘ^r3は第三出力情報計算部３２０３に入力される（ステップＳ３２００）。

　制御部１１１３でｂが１であるかが判定され（ステップＳ３２０５）、ｂ≠１であると判定された場合、前述のステップＳ２２０１の処理が実行される。その後、制御部１１１３でａが１であるかが判定され（ステップＳ３２０８）、ａ≠１であると判定された場合、前述したステップＳ２２０２の処理が実行されてステップＳ３２０３に進む。

　一方、ステップＳ３２０８でａ＝１であると判定された場合、第三出力情報計算部３２０３は、第二入力情報τ₂＝ｘ^r3を用い、或る確率より大きな確率でｆ（ｘ^r3）を正しく計算し、得られた計算結果を第三出力情報ｚ_３とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部３２０３での計算結果がｆ（ｘ^r3）となる場合もあれば、ｆ（ｘ^r3）とならない場合もある（ステップＳ３２０９）。その後、ステップＳ３２０３に進む。

　ステップＳ３２０５でｂ＝１であると判定された場合、第三出力情報計算部３２０３は、第二入力情報τ₁＝ｘ^r3を用い、或る確率より大きな確率でｆ（ｘ^r3）を正しく計算し、得られた計算結果を第三出力情報ｚ₃とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部３２０３での計算結果がｆ（ｘ^r3）となる場合もあれば、ｆ（ｘ^r3）とならない場合もある（ステップＳ３２０６）。

　その後、制御部１１１３でａが１であるかが判定され（ステップＳ３２０７）、ａ＝１であると判定された場合にはステップＳ３２０３に進み、ａ≠１であると判定された場合にはステップＳ２２０２に進む。

　ステップＳ３２０３では、第一出力情報ｚ_１を生成した第一出力情報計算部２２０１は第一出力情報ｚ_１を出力し、第二出力情報ｚ₂を生成した第二出力情報計算部２２０２は第二出力情報ｚ₂を出力し、第三出力情報ｚ₃を生成した第三出力情報計算部３２０２は第三出力情報ｚ₃を出力する（ステップＳ３２０３）。

　《ステップＳ３１０４及びＳ３１０５の処理》
　図６に戻り、制御部１１１３の制御のもと、第一出力情報ｚ₁は計算装置３１（図２）の第一計算部２１０５に入力され、第二出力情報ｚ₂は第二計算部２１０８に入力され、第三出力情報ｚ₃は第三計算部３１０９に入力される（ステップＳ３１０４）。

　ｂ≠１であれば、第一計算部２１０５が、前述のステップＳ２１０５の処理によってｕを生成し、ｂ＝１であれば、第三計算部３１０９が、ｚ₃ ^1/r3を計算してその計算結果をｕとする。計算結果ｕは第一べき乗計算部１１０６に送られる。ここで、ｂ＝１の場合、ｕ＝ｚ₃ ^1/r3＝ｆ（ｘ）ｘ₃となる。すなわち、ｚ₃ ^1/r3は、ｆ（ｘ）について誤差Ｘ₃を持つ標本器となる。その理由については後述する（ステップＳ３１０５）。

　《ステップＳ３１０８の処理》
　ａ≠１であれば、第二計算部２１０８が、前述のステップＳ２１０８の処理によってｖを生成し、ａ＝１であれば、第三計算部３１０９が、ｚ₃ ^1/r3を計算してその計算結果をｖとする。計算結果ｖは第二べき乗計算部１１０９に送られる。ここで、ａ＝１の場合、ｖ＝ｚ₃ ^1/r3＝ｆ（ｘ）ｘ₃となる。すなわち、ｚ₃ ^1/r3は、ｆ（ｘ）について誤差Ｘ₃を持つ標本器となる。その理由については後述する（ステップＳ３１０８）。

　なお、ｚ₃ ^1/r3の計算、すなわちｚ₃のべき乗根の計算が困難な場合には、次のようにしてｕ及び／又はｖを計算してもよい。第三計算部３１０９は、乱数ｒ₃とその乱数ｒ₃に基づいて計算されたｚ₃の組を順次（α₁，β₁），（α₂，β₂），…，（α_ｍ，β_ｍ），…として図示していない記憶部に記憶する。ｍは自然数である。第三計算部３１０９は、α₁，α₂，…，α_mの最小公倍数が１になれば、γ₁，γ₂，…，γ_mを整数としてγ₁α₁＋γ₂α₂＋…＋γ_mα_m＝１となるγ₁，γ₂，…，γ_mを計算して、そのγ₁，γ₂，…，γ_mを用いてΠ_i=1 ^mβ_i ^γi＝β₁ ^γ1β₂ ^γ2…β_m ^γmを計算して、その計算結果をｕ及び／又はｖとしてもよい。

　≪ｚ₃ ^1/r3がｆ（ｘ）について誤差Ｘ₃を持つ標本器となる理由について≫
　Ｒを乱数として、能力提供装置３２がｘ^Rを用いて行う計算の計算結果をＢ（ｘ^R）とする。すなわち、第一出力情報計算部２２０１や第二出力情報計算部２２０２や第三出力情報計算部３２０３が計算装置３１に返す計算結果をｚ＝Ｂ（x^R）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（ｘ^R）^1/Rｆ（ｘ）^-1と定義する。

　このとき、ｚ^1/R＝Ｂ（ｘ^R）^1/R＝Ｘｆ（ｘ）＝ｆ（ｘ）Ｘとなる。すなわち、ｚ^1/Rは、ｆ（ｘ）について誤差Ｘを持つ標本器となる。
　上記式展開において、Ｘ＝Ｂ（ｘ^R）^1/Rｆ（ｘ^R）^-1であり、Ｂ（ｘ^R）^1/R＝Ｘｆ（ｘ^R）であるという性質を用いている。この性質は、Ｒが乱数であることに基づく。
　したがって、ｒ₃が乱数であることを考慮すると、同様に、ｚ^1/Rがｆ（ｘ）について誤差Ｘ₃を持つ標本器となるのである。

　［第四実施形態］
　第四実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、Ｈ＝Ｇ×Ｇ、復号関数ｆ（ｘ）がＥｌＧａｍａｌ暗号の復号関数、すなわち復号鍵ｓ及び暗号文ｘ＝（ｃ₁，ｃ₂）に対してｆ（ｃ₁，ｃ₂）＝ｃ₁ｃ₂ ^-sである場合の第一乱数化可能標本器及び第二乱数化可能標本器の例を具体化したものである。以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。

　図１に例示するように、第四実施形態の代理計算システム４は、計算装置１１が計算装置４１に置換され、能力提供装置１２が能力提供装置４２に置換されたものである。
　図２に例示するように、第四実施形態の計算装置４１は、例えば、自然数記憶部１１０１と自然数選択部１１０２と整数計算部１１０３と入力情報提供部４１０４と第一計算部４１０５と第一べき乗計算部１１０６と第一リスト記憶部１１０７と第二計算部４１０８と第二べき乗計算部１１０９と第二リスト記憶部１１１０と判定部１１１１と最終出力部１１１２と制御部１１１３とを有する。図５に例示するように、本形態の入力情報提供部４１０４は、例えば、第四乱数生成部４１０４ａと第五乱数生成部４１０４ｂと第一入力情報計算部４１０４ｃと第六乱数生成部４１０４ｄと第七乱数生成部４１０４ｅと第二入力情報計算部４１０４ｆとを有する。第一入力情報計算部４１０４ｃは、例えば、第四入力情報計算部４１０４ｃａと第五入力情報計算部４１０４ｃｂとを有し、第二入力情報計算部４１０４ｆは、第六入力情報計算部４１０４ｆａと第七入力情報計算部４１０４ｆｂとを有する。

　図３に例示するように、第四実施形態の能力提供装置４２は、例えば、第一出力情報計算部４２０１と第二出力情報計算部４２０２と鍵記憶部１２０４と制御部１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。第四実施形態では、群Ｈが群Ｇの直積群Ｇ×Ｇ、群Ｇが巡回群、暗号文ｘ＝（ｃ₁，ｃ₂）∈Ｈであり、ｆ（ｃ₁，ｃ₂）が準同型関数であり、群Ｇの生成元をμ_gとし、群Ｇの位数をＫ_Gとし、同じ復号鍵ｓに対する暗号文（Ｖ，Ｗ）∈Ｈとその暗号文を復号した復号文ｆ（Ｖ，Ｗ）＝Ｙ∈Ｇとの組が計算装置４１及び能力提供装置４２に事前設定され、計算装置４１及び能力提供装置４２がこの組を利用可能とされているものとする。

　図６及び図７に例示するように、第四実施形態の処理は第一実施形態のステップＳ１１０３～Ｓ１１０５，Ｓ１１０８，Ｓ１２００～Ｓ１２０３が、それぞれ、ステップＳ４１０３～Ｓ４１０５，Ｓ４１０８，Ｓ４２００～Ｓ４２０３に置換されたものである。以下ではステップＳ４１０３～Ｓ４１０５，Ｓ４１０８，Ｓ４２００～Ｓ４２０３の処理のみを説明する。

　《ステップＳ４１０３の処理》
　計算装置４１（図２）の入力情報提供部４１０４は、入力された暗号文ｘ＝（ｃ₁，ｃ₂）に対応する、群Ｈの元である第一入力情報τ₁及び暗号文ｘ＝（ｃ₁，ｃ₂）に対応する群Ｈの元である第二入力情報τ₂を生成して出力する（図６／ステップＳ４１０３）。以下、図９を用いて本形態のステップＳ４１０３の処理を説明する。

　第四乱数生成部４１０４ａ（図５）は、０以上Ｋ_Ｇ未満の自然数の一様乱数ｒ₄を生成する。生成された乱数ｒ₄は、第四入力情報計算部４１０４ｃａ、第五入力情報計算部４１０４ｃｂ、及び第一計算部４１０５に送られる（ステップＳ４１０３ａ）。第五乱数生成部４１０４ｂは、０以上Ｋ_G未満の自然数の一様乱数ｒ₅を生成する。生成された乱数ｒ₅は、第五入力情報計算部４１０４ｃｂ、及び第一計算部４１０５に送られる（ステップＳ４１０３ｂ）。

　第四入力情報計算部４１０４ｃａは、自然数選択部１１０２で選択された自然数ｂ、暗号文ｘが含むｃ₂、及び乱数ｒ₄を用い、第四入力情報ｃ₂ ^bＷ^r4を計算する（ステップＳ４１０３ｃ）。第五入力情報計算部４１０４ｃｂは、自然数選択部１１０２で選択された自然数ｂ、暗号文ｘが含むｃ_１、及び乱数ｒ₄，ｒ₅を用い、第五入力情報ｃ₁ ^bＶ^r4μ_g ^r5を計算する（ステップＳ４１０３ｄ）。

　第六乱数生成部４１０４ｄは、０以上Ｋ_G未満の自然数の一様乱数ｒ₆を生成する。生成された乱数ｒ₆は、第六入力情報計算部４１０４ｆａ、第七入力情報計算部４１０４ｆｂ、及び第二計算部４１０８に送られる（ステップＳ４１０３ｅ）。第七乱数生成部１２５は、０以上Ｋ_G未満の自然数の一様乱数ｒ₇を生成する。生成された乱数ｒ₇は、第六入力情報計算部４１０４ｆａ、及び第二計算部４１０８に送られる（ステップＳ４１０３ｆ）。
　第六入力情報計算部４１０４ｆａは、自然数選択部１１０２で選択された自然数ａ、暗号文ｘが含むｃ₂、及び乱数ｒ₆を用い、第六入力情報ｃ₂ ^aＷ^r6を計算する（ステップＳ４１０３ｇ）。第七入力情報計算部４１０４ｆｂは、自然数選択部１１０２で選択された自然数ａ、暗号文ｘが含むｃ₁、及び乱数ｒ₇を用い、第七入力情報ｃ₁ ^aＶ^r6μ_g ^r7を計算する（ステップＳ４１０３ｈ）。

　第一入力情報計算部４１０４ｃは、以上のように生成した第四入力情報ｃ₂ ^bＷ^r4及び第五入力情報ｃ₁ ^bＶ^r4μ_g ^r5を第一入力情報τ₁＝（ｃ₂ ^bＷ^r4，ｃ₁ ^bＶ^r4μ_g ^r5）として出力する。第二入力情報計算部４１０４ｆは、以上のように生成した第六入力情報ｃ₂ ^aＷ^r6及び第七入力情報ｃ₁ ^aＶ^r6μ_g ^r7を第二入力情報τ₂＝（ｃ₂ ^aＷ^r6，ｃ₁ ^aＶ^r6μ_g ^r7）として出力する（ステップＳ４１０３ｉ）。

　《ステップＳ４２００～Ｓ４２０３の処理》
　図７に例示するように、まず、第一入力情報τ₁＝（ｃ₂ ^ｂＷ^r4，ｃ₁ ^bＶ^r4μ_g ^r5）が能力提供装置４２（図３）の第一出力情報計算部４２０１に入力され、第二入力情報τ₂＝（ｃ₂ ^ａＷ^r6，ｃ₁ ^aＶ^r6μ_g ^r7）が第二出力情報計算部４２０２に入力される（ステップＳ４２００）。
　第一出力情報計算部４２０１は、第一入力情報τ₁＝（ｃ₂ ^bＷ^r4，ｃ₁ ^bＶ^r4μ_g ^r5）と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）を正しく計算し、計算結果を第一出力情報ｚ_１とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部４２０１での計算結果がｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）となる場合もあれば、ｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）とならない場合もある（ステップＳ４２０１）。

　第二出力情報計算部４２０２は、第二入力情報τ₂＝（ｃ₂ ^aＷ^r6，ｃ₁ ^aＶ^r6μ_g ^r7）と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）を正しく計算可能であり、得られた計算結果を第二出力情報ｚ₂とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部４２０２での計算結果がｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）となる場合もあれば、ｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）とならない場合もある（ステップＳ４２０２）。第一出力情報計算部４２０１は第一出力情報ｚ_１を出力し、第二出力情報計算部４２０２は第二出力情報ｚ₂を出力する（ステップＳ４２０３）。

　《ステップＳ４１０４及びＳ４１０５の処理》
　図６に戻り、第一出力情報ｚ_１は計算装置４１（図２）の第一計算部４１０５に入力され、第二出力情報ｚ₂は第二計算部４１０８に入力される（ステップＳ４１０４）。
　第一計算部４１０５は、入力された第一出力情報ｚ₁及び乱数ｒ₄，ｒ₅を用い、ｚ₁Ｙ^-r4μ_g ^-r5を計算してその計算結果をｕとする（ステップＳ４１０５）。計算結果ｕは、第一べき乗計算部１１０６に送られる。ここで、ｕ＝ｚ₁Ｙ^-r4μ_g ^-r5＝ｆ（ｃ₁，ｃ₂）^bｘ₁となる。すなわち、ｚ₁Ｙ^-r4μ_g ^-r5は、ｆ（ｃ₁，ｃ₂）について誤差Ｘ_１を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ４１０８の処理》
　第二計算部４１０８は、入力された第二出力情報ｚ₂及び乱数ｒ₆，ｒ₇を用い、ｚ₂Ｙ^-r6μ_g ^-r7を計算してその計算結果をｖとする。計算結果ｖは、第二べき乗計算部１１０９に送られる。ここで、ｖ＝ｚ₂Ｙ^-r6μ_g ^-r7＝ｆ（ｃ₁，ｃ₂）^aｘ₂となる。すなわち、ｚ₂Ｙ^-r6μ_g ^-r7は、ｆ（ｃ₁，ｃ₂）について誤差Ｘ₂を持つ乱数化可能標本器の出力となる。その理由については後述する。

　≪ｚ₁Ｙ^-r4μ_g ^-r5，ｚ₂Ｙ^-r6μ_g ^-r7がｆ（ｃ₁，ｃ₂）についてそれぞれ誤差Ｘ₁，Ｘ₂を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒ₁、Ｒ₂、Ｒ₁’及びＲ₂’を乱数として、能力提供装置４２がｃ₁ ^cＶ^R1μ_g ^R2及びｃ₂ ^cＷ^R1を用いて行う計算の計算結果をＢ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）とする。すなわち、第一出力情報計算部４２０１や第二出力情報計算部４２０２が計算装置４１に返す計算結果をｚ＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）ｆ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）^-1と定義する。

　このとき、ｚＹ^-R1μ_g ^-R2＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁，ｃ₂）^cｆ（Ｖ，Ｗ）^R1ｆ（μ_g，ｅ_g）^R2Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁，ｃ₂）^ｃＹ^R1μ_g ^R2Ｙ^-R1μ_g ^-R2＝ｆ（ｃ₁，ｃ₂）^cＸとなる。すなわち、ｚＹ^-R1μ_g ^-R2は、ｆ（ｘ）について誤差Ｘを持つ乱数化可能標本器の出力となる。なお、ｅ_gは、群Ｇの単位元である。

　上記式展開において、Ｘ＝Ｂ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）ｆ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）^-1＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）ｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）であり、Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）＝Ｘｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）であるという性質を用いている。この性質は、Ｒ₁、Ｒ₂、Ｒ₁’及びＲ₂’が乱数であることに基づく。

　したがって、ａ，ｂが自然数、ｒ₄，ｒ₅，ｒ₆及びｒ₇が乱数であることを考慮すると、同様に、ｚ₁Ｙ^-r4μ_g ^-r5，ｚ₂Ｙ^-r6μ_g ^-r7がｆ（ｃ₁，ｃ₂）についてそれぞれ誤差Ｘ₁，Ｘ₂を持つ乱数化可能標本器の出力となるのである。

　［第五実施形態］
　上述の各実施形態では、計算装置の自然数記憶部１１０１に、互いに素である２つの自然数ａ，ｂの組（ａ，ｂ）が複数種類記憶され、これらの組（ａ，ｂ）を用いて各処理が実行されることとした。しかしながら、ａ，ｂの一方が定数であってもよい。例えば、ａが１に固定されていてもよいし、ｂが１に固定されていてもよい。言い換えると、第一乱数化可能標本器又は第二乱数化可能標本器の一方が標本器に置換されていてもよい。ａ，ｂの一方が定数である場合、定数とされたａ又はｂを選択する処理が不要となり、各処理部は定数とされたａ又はｂが入力されることなく、それを定数として扱って計算を行うことができる。定数とされたａ又はｂが１である場合には、ａ’やｂ’を用いることなく、ｆ（ｘ）＝ｕ^ｂ’ｖ^ａ’をｆ（ｘ）＝ｖ又はｆ（ｘ）＝ｕとして得ることができる。

　第五実施形態は、そのような変形の一例であり、ｂが１に固定され、第二乱数化可能標本器が標本器に置換された形態である。以下では、第一実施形態との相違点を中心に説明する。第一乱数化可能標本器や標本器の具体例は、第二実施形態から第四実施形態で説明したのと同様であるため、説明を省略する。

　＜構成＞
　図１に例示するように、第五実施形態の代理計算システム５は、第一実施形態の計算装置１１が計算装置５１に置換され、能力提供装置１２が能力提供装置５２に置換されたものである。

　図１０に例示するように、第五実施形態の計算装置５１は、例えば、自然数記憶部５１０１と自然数選択部５１０２と入力情報提供部５１０４と第一計算部５１０５と第一べき乗計算部１１０６と第一リスト記憶部１１０７と第二計算部５１０８と第二リスト記憶部５１１０と判定部５１１１と最終出力部１１１２と制御部１１１３とを有する。

　図３に例示するように、第五実施形態の能力提供装置５２は、例えば、第一出力情報計算部５２０１と第二出力情報計算部５２０２と鍵記憶部１２０４と制御部１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。処理の前提として、Ｇ，Ｈを群（例えば、可換群）、ｆ（ｘ）を群Ｈの元である暗号文ｘを特定の復号鍵ｓで復号して群Ｇの元を得るための復号関数、群Ｇ，Ｈの生成元をそれぞれμ_g，μ_h、Ｘ₁，Ｘ₂を群Ｇに値を持つ確率変数、確率変数Ｘ_１の実現値をｘ₁、確率変数Ｘ₂の実現値をｘ₂とする。計算装置５１の自然数記憶部５１０１には、自然数ａが複数種類記憶されているものとする。

　図１１に例示するように、まず、計算装置５１（図１０）の自然数選択部５１０２が、自然数記憶部５１０１に記憶された複数の自然数ａから１つの自然数ａをランダムに読み込む。読み込まれた自然数ａの情報は、入力情報提供部５１０４及び第一べき乗計算部１１０６に送られる（ステップＳ５１００）。

　制御部１１１３は、ｔ＝１とする（ステップＳ１１０２）。
　入力情報提供部５１０４は、入力された暗号文ｘにそれぞれ対応する群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を生成して出力する。好ましくは、第一入力情報τ₁及び第二入力情報τ₂はそれぞれ暗号文ｘとの関係をかく乱させた情報である。これにより、計算装置５１は、暗号文ｘを能力提供装置５２に対して隠蔽できる。好ましくは、本形態の第二入力情報τ₂は自然数選択部５１０２で選択された自然数ａにさらに対応する。これにより、能力提供装置５２から提供された復号能力を計算装置５１が高い精度で評価することが可能となる（ステップＳ５１０３）。第一入力情報τ₁及び第二入力情報τ₂の組みの具体例は、第二実施形態から第四実施形態の何れかのｂ＝１とした第一入力情報τ₁及び第二入力情報τ₂の組みである。

　図７に例示するように、第一入力情報τ₁は能力提供装置５２（図３）の第一出力情報計算部５２０１に入力され、第二入力情報τ₂は第二出力情報計算部５２０２に入力される（ステップＳ５２００）。
　第一出力情報計算部５２０１は、第一入力情報τ₁と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ_１とする（ステップＳ５２０１）。第二出力情報計算部５２０２は、第二入力情報τ₂と鍵記憶部１２０４に格納された復号鍵ｓとを用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする（ステップＳ５２０２）。すなわち、第一出力情報計算部５２０１や第二出力情報計算部５２０２は、意図的又は意図的ではない誤差を含んだ計算結果を出力する。言い換えると、第一出力情報計算部５２０１での計算結果がｆ（τ₁）の場合もあればｆ（τ₁）でない場合もあり、第二出力情報計算部５２０２での計算結果がｆ（τ₂）の場合もあればｆ（τ₂）でない場合もある。第一出力情報ｚ₁及び第二出力情報ｚ₂の組の具体例は、第二実施形態から第四実施形態の何れかのｂ＝１とした第一出力情報ｚ₁及び第二出力情報ｚ₂の組である。

　第一出力情報計算部５２０１は第一出力情報ｚ₁を出力し、第二出力情報計算部５２０２は第二出力情報ｚ₂を出力する（ステップＳ５２０３）。
　図１１に戻り、第一出力情報ｚ₁は計算装置５１（図１０）の第一計算部５１０５に入力され、第二出力情報ｚ₂は第二計算部５１０８に入力される。これらの第一出力情報ｚ₁及び第二出力情報ｚ₂が、能力提供装置５２から計算装置５１に与えられた復号能力に相当する（ステップＳ５１０４）。

　第一計算部５１０５は、第一出力情報ｚ₁から計算結果ｕ＝ｆ（ｘ）ｘ_１を生成する。計算結果ｕの具体例は、第二実施形態から第四実施形態の何れかのｂ＝１とした計算結果ｕである。計算結果ｕは第一べき乗計算部１１０６に送られる（ステップＳ５１０５）。

　第一べき乗計算部１１０６はｕ’＝ｕ^aを計算する。計算結果ｕとその計算結果に基づいて計算されたｕ’との組（ｕ，ｕ’）は、第一リスト記憶部１１０７に記憶される（ステップＳ１１０６）。

　第二計算部５１０８は、第二出力情報ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成する。計算結果ｖの具体例は、第二実施形態から第四実施形態の何れかの計算結果ｖである。計算結果ｖは第二リスト記憶部５１１０に記憶される（ステップＳ５１０８）。

　判定部５１１１は、第一リスト記憶部１１０７に記憶された組（ｕ，ｕ’）及び第二リスト記憶部５１１０に記憶されたｖの中で、ｕ’＝ｖとなるものがあるか判定する（ステップＳ５１１０）。ｕ’＝ｖとなるものがあった場合には、ステップＳ５１１４に進む。ｕ’＝ｖとなるものがなかった場合には、ステップＳ１１１１に進む。

　ステップＳ１１１１では、制御部１１１３がｔ＝Ｔ_maxであるか判定する（ステップＳ１１１１）。Ｔ_maxは予め定められた自然数である。ｔ＝Ｔ_maxであれば、制御部１１１３は、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１１３）、処理を終える。ｔ＝Ｔ_maxでない場合には、制御部１１１３は、ｔを１だけインクリメント、すなわちｔ＝ｔ＋１として（ステップＳ１１１２）、ステップＳ５１０３に戻る。

　ステップＳ５１１４では、最終出力部１１１２が、ｕ’＝ｖであると判定されたｕ’に対応するｕを出力する（ステップＳ５１１４）。このように得られたｕは、第一実施形態から第四実施形態でｂ＝１とした場合のｕ^b’ｖ^a’に相当する。すなわち、このように得られたｕは高い確率で暗号文ｘを特定の復号鍵ｓで復号した復号結果ｆ（ｘ）となる。よって、上述した処理を複数回繰り返し、ステップＳ５１１４で得られた値のうち最も頻度の高い値を復号結果とすればよい。後述するように、設定によっては圧倒的な確率でｕ＝ｆ（ｘ）となる。その場合にはステップＳ５１１４で得られた値をそのまま復号結果としてよい。

　≪復号結果ｆ（ｘ）が得られる理由について≫
　次に、本形態の計算装置５１で復号結果ｆ（ｘ）が得られる理由を説明する。まず、説明に必要な事項を定義する。
　ブラックボックス（black-box)：
　ｆ（τ）のブラックボックスＦ（τ）とは、τ∈Ｈを入力としてｚ∈Ｇを出力する処理部を意味する。本形態では、第一出力情報計算部５２０１及び第二出力情報計算部５２０２が、それぞれ復号関数ｆ（τ）のブラックボックスＦ（τ）に相当する。群Ｈから任意に選択された元τ∈_UＨ及びｚ＝Ｆ（τ）に対してｚ＝ｆ（τ）を満たす確率がδ（０＜δ≦１）よりも大きい場合、すなわち、
　Ｐｒ［ｚ＝ｆ（τ）｜τ∈_UＨ，ｚ＝Ｆ（τ）］＞δ…(1)
を満たすｆ（τ）のブラックボックスＦ（τ）のことを、信頼性δ（δ-reliable）のｆ（τ）のブラックボックスＦ（τ）という。なお、δは正の値であり、前述した「或る確率」に相当する。

　自己訂正器（self-corrector）：
　自己訂正器Ｃ^F（ｘ）とは、ｘ∈Ｈを入力とし、ｆ（τ）のブラックボックスＦ（τ）を用いて計算を行い、ｊ∈Ｇ∪⊥を出力する処理部を意味する。本形態では、計算装置５１が自己訂正器Ｃ^F（ｘ）に相当する。

　オールモスト自己訂正器（almost self-corrector）：
　自己訂正器Ｃ^F（ｘ）が、ｘ∈Ｈを入力とし、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、正しい値ｊ＝ｆ（ｘ）を出力する確率が、誤った値ｊ≠ｆ（ｘ）を出力する確率よりも十分大きい場合を想定する。すなわち、
　Ｐｒ［ｊ＝ｆ（ｘ）｜ｊ＝Ｃ^F（ｘ），ｊ≠⊥］
　　＞Ｐｒ［ｊ≠ｆ（ｘ）｜ｊ＝Ｃ^F（ｘ），ｊ≠⊥］＋Δ…(2)
を満たす場合を想定する。なお、Δは或る正の値（０＜Δ＜１）である。このような場合、自己訂正器Ｃ^F（ｘ）はオールモスト自己訂正器であるという。例えば、或る正の値Δ’（０＜Δ’＜１）に対して
　　　Ｐｒ［ｊ＝ｆ（ｘ）｜ｊ＝Ｃ^F（ｘ）］＞（１／３）＋Δ’
　　　Ｐｒ［ｊ＝⊥｜ｊ＝Ｃ^F（ｘ）］＜１／３
　　　Ｐｒ［ｊ≠ｆ（ｘ）かつｊ≠⊥｜ｊ＝Ｃ^F（ｘ）］＜１／３
を満たす場合、自己訂正器Ｃ^F（ｘ）はオールモスト自己訂正器である。Δ’の例はΔ’＝１／１２や１／３である。

　ローバスト自己訂正器（robust self-corrector）：
　自己訂正器Ｃ^F（ｘ）が、ｘ∈Ｈを入力とし、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、正しい値ｊ＝ｆ（ｘ）又はｊ＝⊥を出力する確率が圧倒的である場合を想定する。すなわち、無視することができる誤差ξ（０≦ξ＜１）に対して
Ｐｒ［ｊ＝ｆ（ｘ）またはｊ＝⊥｜ｊ＝Ｃ^F（ｘ）］＞１－ξ…(3)
を満たす場合を想定する。このような場合、自己訂正器Ｃ^F（ｘ）はローバスト自己訂正器であるという。なお、無視することができる誤差ξの例は、セキュリティパラメータｋの関数値ξ（ｋ）である。関数値ξ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ξ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ξ（ｋ）の具体例は、ξ（ｋ）＝２^-kやξ（ｋ）＝２^-√kなどである。

　オールモスト自己訂正器からローバスト自己訂正器を構成することができる。すなわち、同一のｘに対してオールモスト自己訂正器を複数回実行させ、⊥を除いて最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。例えば、同一のｘに対してオールモスト自己訂正器をＯ（ｌｏｇ（１／ξ））回実行させ、最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。なお、Ｏ（・）はオー記法を表す。

　擬似自由（pseudo-free）な作用：
　群Ｇ、自然数の集合Ω＝｛０，．．．，Ｍ｝（Ｍは１以上の自然数）、群Ｇに値を持つ確率変数Ｘ₁，Ｘ₂の各実現値α∈Ｘ₁（α≠ｅ_g），β∈Ｘ₂、及びａ∈Ωについて、α^a＝βとなる確率
Ｐｒ［α^a＝βかつα≠ｅ_g｜ａ∈_UΩ，α∈Ｘ₁，β∈Ｘ₂］…(4)
について、あらゆる可能なＸ₁，Ｘ₂に関する上限値を、組（Ｇ，Ω）の疑似自由指標とよび、これをＰ（Ｇ，Ω）と表すことにする。ある無視することができる関数ζ（ｋ）が存在して、
　　　Ｐ（Ｇ，Ω）＜ζ（ｋ）…(5)
である場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用であるという。なお、第５実施形態では群で定義された演算を乗法的に表現する。すなわちα∈Ｇに対する「α^a」は、群Ｇで定義された演算をαに対してａ回作用させることを意味する。無視することができる関数ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。例えば、セキュリティパラメータｋに対し、式（４）の確率がＯ（２^-k）未満である場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用である。例えば、任意のα∈Ｇでα≠ｅ_gであるものについて、集合Ω・α＝｛ａ（α）｜ａ∈Ω｝の要素数｜Ω・α｜が２^ｋを超える場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用といえる。このような具体例は数多く存在する。例えば、群Ｇが素数ｐを法とする剰余群Ｚ／ｐＺであり、素数ｐが２^kのオーダーであり、集合Ω＝｛０，．．．，ｐ－２｝であり、ａ（α）がα^a∈Ｚ／ｐＺであり、α≠ｅ_gである場合、Ω・α＝｛α^a｜ａ＝０，．．．，ｐ－２｝＝｛ｅ_g，α¹，．．．，α^p-2｝となり、｜Ω・α｜＝ｐ－１である。素数ｐが２^kのオーダーであるため、ある定数Ｃが存在して、ｋが十分大きければ｜Ω・α｜＞Ｃ２^kを満たす。ここで式（４）の確率はＣ^-1２^-k未満であり、このような組（Ｇ，Ω）によって定義される演算は擬似自由な作用である。

　信頼性δ^γ（δ^γ-reliable）の乱数化可能標本器：
　自然数ａが与えられるたびに、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、ｗ∈Ｇについて、確率変数Ｘに従った標本ｘ’に対応するｗ^aｘ’を返す乱数化可能標本器であって、ｗ^aｘ’＝ｗ^aである確率がδ^γよりも大きい（γは正定数）、すなわち、
　　　Ｐｒ［ｗ^aｘ’＝ｗ^a］＞δ^γ…(6)
を満たすものを、信頼性δ^γの乱数化可能標本器という。本形態の入力情報提供部５１０４と第二出力情報計算部５２０２と第二計算部５１０８との組は、ｗ＝ｆ（ｘ）について、信頼性δ^γの乱数化可能標本器である。

　次に、これらの定義を用い、本形態の計算装置５１で復号結果ｆ（ｘ）が得られる理由を説明する。
　本形態のステップＳ５１１０ではｕ’＝ｖであるか、すなわち、ｕ^a＝ｖであるかを判定している。本形態の入力情報提供部５１０４と第二出力情報計算部５２０２と第二計算部５１０８との組は信頼性δ^γの乱数化可能標本器であるため（式（６））、Ｔ_maxをｋ、δ、γから定まる一定値よりも大きい値とすれば、漸近的に大きい確率でｕ^a＝ｖが成立する（ステップＳ５１１０でｙｅｓとなる）場合が生じる。たとえば、Ｔ_max≧４／δ^γとすれば、ｕ^a＝ｖが成立する（ステップＳ５１１０でｙｅｓとなる）確率は１／２よりも大きいことがＭａｒｋｏｖの不等式によってわかる。

　本形態ではｕ＝ｆ（ｘ）ｘ₁及びｖ＝ｆ（ｘ）^aｘ₂なのであるから、ｕ^a＝ｖが成立する場合にはｘ₁ ^a＝ｘ₂が成立する。ｘ₁ ^a＝ｘ₂が成立する場合には、ｘ₁＝ｘ₂＝ｅ_gである場合とｘ₁≠ｅ_gである場合とがある。ｘ₁＝ｘ₂＝ｅ_gである場合には、ｕ＝ｆ（ｘ）となるのであるから、ステップＳ５１１４で出力されるｕは正しい復号結果ｆ（ｘ）となる。一方、ｘ₁≠ｅ_gである場合には、ｕ≠ｆ（ｘ）となるのであるから、ステップＳ５１１４で出力されるｕは正しい復号結果ｆ（ｘ）ではない。

　群Ｇと自然数ａが属する集合Ωとの組（Ｇ，Ω）によって定義される演算が擬似自由な作用であるか、疑似自由指標Ｐ（Ｇ，Ω）についてＴ_max ²Ｐ（Ｇ，Ω）が漸近的に小さい場合、ｕ^a＝ｖの場合にｘ₁≠ｅ_gである確率（式（４））は漸近的に小さい。したがって、ｕ^a＝ｖの場合にｘ₁＝ｅ_gである確率は漸近的に大きい。よって、組（Ｇ，Ω）によって定義される演算が擬似自由な作用であるか、Ｔ_max ²Ｐ（Ｇ，Ω）が漸近的に小さい場合、ｕ^a＝ｖの場合に誤った復号結果ｆ（ｘ）が出力される確率は、ｕ^a＝ｖの場合に正しい復号結果ｆ（ｘ）が出力される確率よりも十分小さい。この場合の計算装置５１はオールモスト自己訂正器であるといえる（式（２）参照）。そのため、前述のように、計算装置５１からローバスト自己訂正器を構成することが可能であり、圧倒的な確率で正しい復号結果ｆ（ｘ）を得ることができる。（Ｇ，Ω）で定義される演算が疑似自由な作用である場合には、ｕ^a＝ｖの場合に誤った復号結果ｆ（ｘ）が出力される確率も無視できる。この場合の計算装置５１は、圧倒的な確率で正しい復号結果ｆ（ｘ）または⊥を出力する。

　なお、任意の定数ρに対してｋ₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に小さい」という。ｋ’の例はセキュリティパラメータｋである。
　任意の定数ρに対してｋ₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値１－η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に大きい」という。

　《信頼性δ^γの乱数化可能標本器と安全性について》
　以下のような攻撃を想定する。
　・ブラックボックスＦ（τ）又はその部分が意図的に不正なｚを出力する、又は、ブラックボックスＦ（τ）から出力された値が不正なｚに改ざんされる。
　・不正なｚに対応するｗ^aｘ’が乱数化可能標本器から出力される。
　・不正なｚに対応するｗ^aｘ’は、自己訂正器Ｃ^F（ｘ）でｕ^a＝ｖが成立する（ステップＳ５１１０でｙｅｓとなる）にもかかわらず、自己訂正器Ｃ^F（ｘ）が誤った値を出力する確率を増加させる。

　このような攻撃は、与えられた自然数ａに対して乱数化可能標本器から出力されたｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aが自然数ａに依存する場合に可能となる。例えば、第二計算部５１０８から出力されるｖがｆ（ｘ）^aｘ₁ ^aとなるような不正が行われた場合、ｘ_１の値にかかわらず、必ずｕ^a＝ｖが成立することになる。よって、乱数化可能標本器は、与えられた自然数ａに対して乱数化可能標本器から出力されたｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aが当該自然数ａに依存しないことが望ましい。

　あるいは、集合Ωのいかなる元ａ∈^∀Ωについても、ｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aと区別することができない群Ｇに値を持つ確率分布Ｄが存在する（確率分布Ｄ_aと確率分布Ｄとが統計的に近似する（statistically-close））乱数化可能標本器であることが望ましい。なお、確率分布Ｄは自然数ａに依存しない。確率分布Ｄ_aと確率分布Ｄとを区別することができないとは、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができないことを意味し、例えば、無視することができるζ（０≦ζ＜１）に対して
　Σ_ｇ∈G｜Ｐｒ［ｇ∈Ｄ］－Ｐｒ［ｇ∈Ｄ_a］｜＜ζ…(7)
を満たすならば、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができない。無視することができるζの例は、セキュリティパラメータｋの関数値ζ（ｋ）である。関数値ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きなｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。これらの点は自然数ａ及びｂを使用する第一実施形態から第四実施形態についても同様である。

　［第六実施形態］
　本形態は、格子暗号の一種であるGHV暗号化方式（参考文献１「C. Genrty, S. Halevi and V. Vaikuntanathan, “A Simple BGNType Cryptosystem from LWE,”Advances in Cryptology - EUROCRYPT 2010, LNCS 6110, pp.506-522, Springer-Verlag, 2010.」等参照）の復号処理に本発明を適用する形態である。以下では上述の各実施形態との相違点を中心に説明を行う。

　＜構成＞
　図１に例示するように、第六実施形態の代理計算システム６は、第一実施形態の計算装置１１が計算装置６１に置換され、能力提供装置１２が能力提供装置６２に置換されたものである。

　図１２に例示するように、第六実施形態の計算装置６１は、例えば、行列記憶部６１０１と行列選択部６１０２と入力情報提供部６１０４と第一計算部６１０５と行列積計算部６１０６と第一リスト記憶部６１０７と第二計算部６１０８と第二リスト記憶部６１１０と判定部６１１１と最終出力部６１１２と制御部１１１３とを有する。

　図１４に例示するように、本形態の入力情報提供部６１０４は、例えば、第一ランダム行列選択部６１０４ａと第二ランダム行列選択部６１０４ｂと第一暗号化部６１０４ｃと第二暗号化部６１０４ｄと第一入力情報計算部６１０４ｅと第三ランダム行列選択部６１０４ｆと第四ランダム行列選択部６１０４ｇと第三暗号化部６１０４ｈと第四暗号化部６１０４ｉと第二入力情報計算部６１０４ｊとを有する。

　図１３に例示するように、第六実施形態の能力提供装置６２は、例えば、第一出力情報計算部６２０１と第二出力情報計算部６２０２と鍵記憶部６２０４と制御部１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。本形態では、Ｇ_Mをι×ι行列の集合、Ｈ_Mをι×ι行列の集合、_MＸ₁，_MＸ₂を集合Ｇ_Mに値を持つ確率変数、_Mｘ_１を確率変数_MＸ₁の実現値、_Mｘ₂を確率変数_MＸ₂の実現値、ａ_Mを集合Ｈ_Mの元とする。本形態では、ＰＫを暗号化鍵（公開鍵）であるι×κ行列、ＳＫをＰＫ・ＳＫ＝０を満たすι×ι行列である復号鍵（秘密鍵）、ＣＭをκ×ι行列、ＮＭをι×ι行列、ＵＭをι×ι単位行列、ＰＴを集合Ｇ_Mの元である平文ＰＴ∈Ｇ_M、ｘ_Mを集合Ｈ_Ｍの元である暗号文ｘ_M∈Ｈ_M、ＥＮＣ_Ｍを集合Ｇ_Mの元である平文ＰＴを暗号化して暗号文ｘ_M∈Ｈ_Mを得るための暗号化関数、ｆ_M（ｘ_M）を暗号文ｘ_M∈Ｈ_Mを特定の復号鍵ＳＫで復号して集合Ｇ_Mの元である平文ＰＴを得るための復号関数とする。復号関数ｆ_M（ｘ_M）は準同型関数である。例えば、Ｇ_Mをι×ι行列（Ｚ／２Ｚ）^ι×ιの集合、Ｈ_Mをι×ι行列（Ｚ／ｑＺ）^ι×ιの集合、暗号化鍵ＰＫをι×κ行列（Ｚ／ｑＺ）^ι×κ、復号鍵ＳＫをι×ι行列（Ｚ／ｑＺ）^ι×ι、ＣＭをランダムに選択されたκ×ι行列（Ｚ／ｑＺ）^κ×ι、ＮＭをガウス分布に従うι×ι行列（Ｚ／ｑＺ）^ι×ι、ＵＭをι×ι単位行列（Ｚ／２Ｚ）^ι×ιとし、暗号化関数ＥＮＣ_M（ＰＴ）をＰＫ・ＣＭ＋２・ＮＭ＋ＰＴ（ｍｏｄ ｑ）とし、復号関数ｆ_M（ｘ_M）をＳＫ^-1｛ＳＫ・ｘ_M・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）とする。ただし、κ，ι，ｑは正整数、κ，ι，ｑは正整数、・^Tは・の転置行列、（Ｚ／ｑＺ）^κ×ιはｑを法とする剰余環Ｚ／ｑＺを要素とするκ行ι列行列である。第六実施形態では行列α₁，α₂間の積をα₁・α₂と表し、和をα₁＋α₂と表現する。行列αの各要素を自然数β倍した行列をβ・αと表す。

　本形態の処理の前提として、計算装置６１（図１２）の行列記憶部６１０１には、行列ａ_M∈Ｈ_Mが複数種類記憶されているものとする。能力提供装置６２（図１３）の鍵記憶部６２０４には、復号鍵ＳＫが安全に記憶されているものとする。図１５に例示するように、まず、計算装置６１（図１２）の行列選択部６１０２が、行列記憶部６１０１に記憶された複数の行列から一様ランダムに１つの行列ａ_Mを選択して読み込む。読み込まれた行列ａ_Mの情報は、入力情報提供部６１０４及び行列積計算部６１０６に送られる（ステップＳ６１００）。

　制御部１１１３は、ｔ＝１とする（ステップＳ１１０２）。
　入力情報提供部６１０４は、入力された暗号文ｘ_Mにそれぞれ対応する対応する集合Ｈ_Mの元である第一入力情報_Mτ₁及び第二入力情報_Mτ₂を生成して出力する。好ましくは、第一入力情報_Mτ₁及び第二入力情報_Mτ₂はそれぞれ暗号文ｘ_Mとの関係をかく乱させた情報である。これにより、計算装置６１は暗号文ｘ_Mを能力提供装置６２に対して隠蔽できる。第二入力情報_Mτ₂は元ａ_Mにさらに対応する。これにより、能力提供装置６２から提供された復号能力を計算装置６１が高い精度で評価することが可能となる（ステップＳ６１０３）。以下、図１６を用いてステップＳ６１０３の具体例を説明する。

　［ステップＳ６１０３の具体例］
　入力情報提供部６１０４（図１４）の第一ランダム行列選択部６１０４ａが集合Ｇ_Mの元Ｍ_R1を一様ランダムに選択する（ステップＳ６１０３ａ）。選択されたＭ_R1は第一暗号化部６１０４ｃと第一計算部６１０５に送られる（ステップＳ６１０３ａ）。第二ランダム行列選択部６１０４ｂがκ×ιの一様ランダムな行列ＣＭ₁₁及びＣＭ₁₂∈（Ｚ／ｑＺ）^κ×ιを選択する。選択されたＣＭ₁₁及びＣＭ₁₂は第一入力情報計算部６１０４ｅに送られる（ステップＳ６１０３ｂ）。第一暗号化部６１０４ｃが公開鍵ＰＫを用い、Ｍ_R1の暗号文ＥＮＣ_M（Ｍ_R1）である第一暗号文Ｃ_R1＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R1（ｍｏｄ ｑ）を生成する。第一暗号文Ｃ_R1は第一入力情報計算部６１０４ｅに送られる（ステップＳ６１０３ｃ）。第二暗号化部６１０４ｄが公開鍵ＰＫを用い、単位行列ＵＭの暗号文ＥＮＣ_M（ＵＭ）である第二暗号文Ｃ_UM＝ＰＫ・ＣＭ＋２・ＮＭ＋ＵＭ（ｍｏｄ ｑ）を生成する。第二暗号文Ｃ_ＵＭは第一入力情報計算部６１０４ｅに送られる（ステップＳ６１０３ｄ）。第一入力情報計算部６１０４ｅにはさらに暗号文ｘ_Mが入力される。第一入力情報計算部６１０４ｅは、第一入力情報_Mτ₁として（ｘ_M・Ｃ_UM＋Ｃ_R1）＋ＰＫ・ＣＭ₁₁＋２・ＮＭ＋ＣＭ₁₂ ^T・ＰＫ^Tを得て出力する。なお、行列の積の順序に特段の必然性はない。すなわち第一入力情報計算部６１０４ｅは、Ｃ_Ｘ＝ｘ_M・Ｃ_UM＋Ｃ_R1としたＲｅ（Ｃ_Ｘ）＝Ｃ_X＋ＰＫ・ＣＭ₁₁＋２・ＮＭ＋ＣＭ₁₂ ^T・ＰＫ^Tを計算して第一入力情報_Mτ₁を生成してもよいし、Ｃ_X＝Ｃ_UM・ｘ_M＋Ｃ_R1としたＲｅ（Ｃ_Ｘ）を計算して第一入力情報_Mτ₁を生成してもよい（ステップＳ６１０３ｅ）。

　第三ランダム行列選択部６１０４ｆが集合Ｇ_Mの元Ｍ_R2を一様ランダムに選択する。選択されたＭ_R2は第三暗号化部６１０４ｈと第二計算部６１０８に送られる（ステップＳ６１０３ｆ）。第四ランダム行列選択部６１０４ｇが、κ×ιのランダムな行列ＣＭ₂₁及びＣＭ₂₂∈（Ｚ／ｑＺ）^κ×ιを選択する。選択されたＣＭ₂₁及びＣＭ₂₂は第二入力情報計算部６１０４ｊに送られる（ステップＳ６１０３ｇ）。第三暗号化部６１０４ｈが公開鍵ＰＫを用い、Ｍ_R2の暗号文ＥＮＣ_M（Ｍ_R2）である第三暗号文Ｃ_R2＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R2（ｍｏｄ ｑ）を生成する。第三暗号文Ｃ_R2は第二入力情報計算部６１０４ｊに送られる（ステップＳ６１０３ｈ）。第四暗号化部６１０４ｉに行列ａ_Mが入力される。第四暗号化部６１０４ｉは公開鍵ＰＫを用い、行列ａ_Mの暗号文ＥＮＣ_M（ａ_M）である第四暗号文Ｃ_ａ＝ＰＫ・ＣＭ＋２・ＮＭ＋ａ_M（ｍｏｄ ｑ）を生成する。第四暗号文Ｃ_ａは第二入力情報計算部６１０４ｊに送られる（ステップＳ６１０３ｉ）。第二入力情報計算部６１０４ｊにはさらに暗号文ｘ_Mが入力される。第二入力情報計算部６１０４ｊは、第二入力情報_Mτ₂として（ｘ_M・Ｃ_ａ＋Ｃ_R2）＋ＰＫ・ＣＭ₂₁＋２・ＮＭ＋ＣＭ₂₂ ^T・ＰＫ^Tを得て出力する。第二入力情報計算部６１０４ｊは、Ｃ_X＝ｘ_M・Ｃ_a＋Ｃ_R2としたＲｅ（Ｃ_Ｘ）を計算して第二入力情報_Mτ₂を生成してもよいし、Ｃ_X＝ｘ_M・Ｃ_ａ＋Ｃ_R2としたＲｅ（Ｃ_Ｘ）を計算して第二入力情報_Mτ₂を生成してもよい（（ステップＳ６１０３ｊ）／［ステップＳ６１０３の具体例］の説明終わり）。

　図１７に例示するように、第一入力情報_Mτ₁は能力提供装置６２（図１３）の第一出力情報計算部６２０１に入力され、第二入力情報_Mτ₂は第二出力情報計算部６２０２に入力される（ステップＳ６２００）。

　第一出力情報計算部６２０１は、第一入力情報_Mτ₁と鍵記憶部６２０４に格納された復号鍵ＳＫとを用い、或る確率より大きな確率でｆ_M（_Mτ₁）＝ＳＫ^-1｛ＳＫ・_Mτ₁・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）を正しく計算し、得られた計算結果を第一出力情報_Mｚ₁とする（ステップＳ６２０１）。第二出力情報計算部６２０２は、第二入力情報_Mτ₂と鍵記憶部６２０４に格納された復号鍵ＳＫとを用い、或る確率より大きな確率でｆ_M（_Mτ₂）＝ＳＫ^-1｛ＳＫ・_Mτ₂・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）を正しく計算し、得られた計算結果を第二出力情報_Mｚ₂とする（ステップＳ６２０２）。すなわち、第一出力情報計算部６２０１や第二出力情報計算部６２０２は、意図的又は意図的ではない誤差を含んだ計算結果を出力する。言い換えると、第一出力情報計算部６２０１での計算結果がｆ_M（_Mτ₁）の場合もあればｆ_M（_Mτ₁）でない場合もあり、第二出力情報計算部６２０２での計算結果がｆ_M（_Mτ₂）の場合もあればｆ_M（_Mτ₂）でない場合もある。

　第一出力情報計算部６２０１は第一出力情報_Mｚ₁を出力し、第二出力情報計算部６２０２は第二出力情報_Mｚ₂を出力する（ステップＳ６２０３）。
　図１５に戻り、第一出力情報_Mｚ₁は計算装置６１（図１２）の第一計算部６１０５に入力され、第二出力情報_Mｚ₂は第二計算部６１０８に入力される。これらの第一出力情報_Mｚ₁及び第二出力情報_Mｚ₂が、能力提供装置６２から計算装置６１に与えられた復号能力に相当する（ステップＳ６１０４）。

　第一計算部５１０５は、第一出力情報_Mｚ₁を用いて_Mｚ₁－Ｍ_R1を計算してその計算結果をｕ_Mとする。計算結果ｕ_Mは行列積計算部６１０６に送られる。ここで、ｕ_M＝_Mｚ₁－Ｍ_R1＝ｆ_M（ｘ_M）＋_Mｘ_１となる。すなわち、ｕ_Mはｆ_M（ｘ_M）について誤差_MＸ_１を持つ標本器となる。その理由については後述する（ステップＳ６１０５）。

　行列積計算部６１０６はｕ_M’＝ｕ_M・ａ_Mを得る。なお、行列積計算部６１０６はｕ_M・ａ_Mの計算によってｕ_M’を得てもよいし、ａ_M・ｕ_Mの計算によってｕ_M’を得てもよい。計算結果ｕ_Mとその計算結果に基づいて計算されたｕ_M’との組（ｕ_M，ｕ_M’）は、第一リスト記憶部６１０７に記憶される（ステップＳ６１０６）。

　第二計算部６１０８は、第二出力情報_Mｚ₂を用いて_Mｚ₂－Ｍ_R2を計算してその計算結果をｖ_Mとする。計算結果ｖ_Mは第二リスト記憶部６１１０に記憶される。ここで、ｖ_M＝_Mｚ₂－Ｍ_R2＝ｆ_M（ｘ_M）・ａ_M＋_Mｘ_２となる。すなわち、ｖ_Mはｆ_M（ｘ_M）について誤差_MＸ₂を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ６１０８）。

　判定部６１１１は、第一リスト記憶部６１０７に記憶された組（ｕ_M，ｕ_M’）及び第二リスト記憶部６１１０に記憶されたｖ_Mの中で、ｕ_M’＝ｖ_Mとなるものがあるか判定する（ステップＳ６１１０）。ｕ_M’＝ｖ_Mとなるものがあった場合には、ステップＳ６１１４に進む。ｕ_M’＝ｖ_Mとなるものがなかった場合には、ステップＳ１１１１に進む。

　ステップＳ１１１１では、制御部１１１３がｔ＝Ｔ_maxであるか判定する（ステップＳ１１１１）。Ｔ_maxは予め定められた自然数である。ｔ＝Ｔ_maxであれば、制御部１１１３は、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１１３）、処理を終える。ｔ＝Ｔ_maxでない場合には、制御部１１１３は、ｔを１だけインクリメント、すなわちｔ＝ｔ＋１として（ステップＳ１１１２）、ステップＳ６１０３に戻る。

　ステップＳ６１１４では、最終出力部６１１２が、ｕ_M’＝ｖ_Mであると判定されたｕ_M’に対応するｕ_Mを出力する（ステップＳ６１１４）。このように得られたｕ_Mは高い確率で暗号文ｘ_Mを復号鍵ＳＫで復号した復号結果ｆ_Ｍ（ｘ_M）となる（その理由は後述する）。よって、上述した処理を複数回繰り返し、ステップＳ６１１４で得られた値のうち最も頻度の高い値を復号結果とすればよい。設定によっては圧倒的な確率でｕ_M＝ｆ_M（ｘ_M）となる。その場合にはステップＳ６１１４で得られた値をそのまま復号結果としてよい。

　≪_Mｚ₁－Ｍ_R1，_Mｚ₂－Ｍ_R2がｆ_M（ｘ_M）についてそれぞれ誤差_MＸ_１，_MＸ_２を持つ標本器，乱数化可能標本器の出力となる理由について≫
　ｆ_M（ｘ_M）の準同型性より、ｆ_M（ｘ_M・Ｃ_ａ＋Ｃ_R2）＝ｆ_M（ｘ_M）・ｆ_M（Ｃ_ａ）+ｆ_M（Ｃ_R2）＝ｆ_M（ｘ_Ｍ）・ａ_M+Ｍ_R2を満たし、ｆ_M（ｘ_Ｍ）・ａ_M＝ｆ_M（ｘ_M・Ｃ_ａ＋Ｃ_R2）－Ｍ_R2＝ｆ_M（_Mτ₂）－Ｍ_R2を満たし、Ｍ_R2＝ｆ_M（_Mτ₂）－ｆ_M（ｘ_M）・ａ_Mを満たす。よって_Mｚ₂＝Ｆ_M（_Mτ₂）とおくと、_Mｚ₂－Ｍ_R2＝Ｆ_M（_Mτ₂）－ｆ_M（_Mτ₂）＋ｆ_M（ｘ_M）・ａ_M＝ｆ_M（ｘ_M）・ａ_M＋｛Ｆ_M（_Mτ₂）－ｆ_M（_Mτ₂）｝を満たす。_Mτ₂に対応するＣＭ₂₁，ＣＭ₂₂，Ｍ_R2の一様ランダム性から、_Mｚ₂－Ｍ_R2はｆ_M（ｘ_M）・ａ_M＋_Mｘ_２と統計的に近似する。ただし、_Mｘ₂は確率変数_MＸ₂＝Ｆ_M（ＥＮＣ_M（_MＵ₂））－_MＵ_２（_MＵ₂はＧ_M上で一様ランダムに分布）の実現値である。したがって、_Mｚ₂－Ｍ_R2はｆ_M（ｘ_M）についてそれぞれ誤差_MＸ₂を持つ乱数化可能標本器の出力となる。

　同様にｆ_M（ｘ_M・Ｃ_UM＋Ｃ_R1）＝ｆ_M（ｘ_M）・ｆ_M（Ｃ_UM）+ｆ_M（Ｃ_R1）＝ｆ_M（ｘ_M）・ＵＭ+Ｍ_R1を満たし、ｆ_M（ｘ_M）＝ｆ_M（ｘ_M・Ｃ_UM＋Ｃ_R1）－Ｍ_R1＝ｆ_M（_Mτ₁）－Ｍ_R1を満たし、Ｍ_R1＝ｆ_M（_Mτ₁）－ｆ_M（ｘ_M）を満たす。よって_Mｚ₁＝Ｆ_M（_Mτ₁）とおくと、_Mｚ₁－Ｍ_R1＝Ｆ_M（_Mτ₁）－ｆ_M（_Mτ₁）＋ｆ_M（ｘ_M）＝ｆ_M（ｘ_M）＋｛Ｆ_M（_Mτ₁）－ｆ_M（_Mτ₁）｝を満たす。_Mτ₁に対応するＣＭ_１１，ＣＭ₁₂，Ｍ_R1の一様ランダム性から、_Mｚ₁－Ｍ_R1はｆ_M（ｘ_M）＋_Mｘ₁と統計的に近似する。ただし、_Mｘ₁は確率変数_MＸ_１＝Ｆ_M（ＥＮＣ_M（_MＵ₁））－_MＵ₁（_MＵ₁はＧ_M上で一様ランダムに分布）の実現値である。したがって、_Mｚ₁－Ｍ_R1を出力する上記の構成はｆ_M（ｘ_M）についてそれぞれ誤差_MＸ_１を持つ標本器となる。

　≪復号結果ｆ_M（ｘ_M）が得られる理由について≫
　第五実施形態の≪復号結果ｆ（ｘ）が得られる理由について≫で説明したのと同様な理由により、本形態でも正しい復号結果ｆ_M（ｘ_M）が得られる。ただし本形態では行列を扱う関係上、第五実施形態の≪復号結果ｆ（ｘ）が得られる理由について≫のＧ，ＨがＧ_M，Ｈ_Mに、ｆ（ｘ）がｆ_M（ｘ_M）に、τが_Mτに、Ｆ（τ）がＦ_M（_Mτ）に、ｚが_Mｚに、ｘがｘ_Mに、Ｘ₁，Ｘ₂が_MＸ₁，_MＸ₂に、ｘ₁，ｘ₂が_Mｘ₁，_Mｘ₂に、ｅ_ｇがι×ιの単位行列_Mｅ_gに、乗法的表現が加法的表現に（例えばα^βγがα・β＋γに）それぞれ置き換えられる。さらに本形態では「擬似自由（pseudo-free）な作用」の定義が以下のようにされる。

　擬似自由（pseudo-free）な作用：
　Ｇ_M、行列の集合Ω_M＝｛０_M，．．．，Ｍ_M｝、Ｇ_M上の確率変数_MＸ₁，_MＸ₂の各実現値α_M∈_MＸ₁（α_M≠_Mｅ_ｇ），β_M∈_MＸ_２、及びａ_M∈Ω_Mについて、α_M・ａ_M＝β_Mとなる確率
　Ｐｒ［α_M・ａ_Mかつα_M≠_Mｅ_ｇ｜ａ_M∈_UΩ_M，α_M∈_MＸ₁，β_M∈_MＸ₂］
について、あらゆる可能な_MＸ₁，_MＸ₂に関する上限値を、組（Ｇ_M，Ω_M）の疑似自由指標とよび、これをＰ（Ｇ_M，Ω_M）と表すことにする。ある無視することができる関数ζ（ｋ）が存在して、
　　　Ｐ（Ｇ_M，Ω_M）＜ζ（ｋ）
である場合、組（Ｇ_M，Ω_M）によって定義される演算は擬似自由な作用であるという。

　［第一実施形態から第六実施形態の変形例］
　以上のように、上記の各実施形態では、能力提供装置が復号鍵を提供することなく、第一出力情報ｚ₁及び第二出力情報ｚ₂を計算装置に提供し、計算装置がｕ^b’ｖ^a’を出力する。ｕ^b’ｖ^a’は高い確率で暗号文ｘの復号値となる。このように、能力提供装置が復号鍵を提供することなく計算装置に復号能力を提供できる。

　なお、本発明は上述の実施の形態に限定されるものではない。例えば、確率変数Ｘ₁、Ｘ₂及びＸ₃は、同じでも異なっていてもよい。同様に、確率変数_MＸ₁及び_MＸ₂は、同じでも異なっていてもよい。

　第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部のそれぞれは、一様乱数を生成することにより、代理計算システムの安全性が最も高くなる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部の少なくとも一部が、一様乱数ではない乱数を生成してもよい。同様に、第六実施形態で行列を一様ランダムに選択する代わりに、一様ではないランダムな行列が選択されてもよい。演算効率上からは、上述の各実施形態のように０以上Ｋ_H未満の自然数である乱数や０以上Ｋ_G未満の自然数である乱数が選択されることが望ましいが、それらの代わりにＫ_H以上やＫ_G以上の自然数の乱数が選択されてもよい。

　計算装置が同一のａ，ｂに対応する、群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を能力提供装置に提供するたびに、能力提供装置の処理が複数回実行させてもよい。これにより、計算装置が第一入力情報τ₁及び第二入力情報τ₂を能力提供装置に一回提供するたびに、計算装置は第一出力情報ｚ₁や第二出力情報ｚ₂や第三出力情報ｚ₃を複数個得ることができる。これにより、計算装置と能力提供装置との間のやり取り回数や通信量を減らすことができる。第六実施形態の第一入力情報_Mτ₁及び第二入力情報_Mτ₂についても同様である。

　計算装置が複数種類の第一入力情報τ₁及び第二入力情報τ₂を能力提供装置にまとめて提供し、対応する第一出力情報ｚ₁や第二出力情報ｚ₂や第三出力情報ｚ₃を複数個まとめて取得してもよい。これにより、計算装置と能力提供装置との間のやり取り回数を減らすことができる。第六実施形態の第一入力情報_Mτ₁及び第二入力情報_Mτ₂についても同様である。

　第一実施形態から第五実施形態の第一計算部や第二計算部において得られたｕやｖが群Ｇの元であるかを確認し、群Ｇの元であった場合には上述した処理を続行し、ｕ又はｖが群Ｇの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。同様に、第六実施形態の第一計算部や第二計算部において得られたｕ_Mやｖ_MがＧ_Mの元であるかを確認し、Ｇ_Mの元であった場合には上述した処理を続行し、ｕ_M又はｖ_MがＧ_Mの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。

　計算装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、能力提供装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。
　その他、例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　［第七実施形態］
　本発明の第七実施形態を説明する。
　＜構成＞
　図１８に例示するように、第七実施形態の代理計算システム１０１は、例えば、復号鍵を保持していない計算装置１１１と、復号鍵ｓ₁，・・・，ｓ_Γをそれぞれ保持する能力提供装置１１２－１，・・・，１１２－Γ（Γは２以上の整数）と、計算装置１１１の復号能力を制御する復号制御装置１１３とを有する。復号制御装置１１３は能力提供装置１１２－１，・・・，１１２－Γから計算装置１１１へ提供される復号能力を制御し、計算装置１１１は能力提供装置１１２－１，・・・，１１２－Γから提供された復号能力を用いて暗号文を復号する。計算装置１１１と能力提供装置１１２－１，・・・，１１２－Γと復号制御装置１１３とは情報のやり取りが可能なように構成される。例えば、計算装置１１１と能力提供装置１１２－１，・・・，１１２－Γと復号制御装置１１３とは、伝送線やネットワークや可搬型記録媒体などを経由した情報のやり取りが可能とされている。

　図１９に例示するように、第七実施形態の計算装置１１１は、例えば、自然数記憶部１１１０１と自然数選択部１１１０２と整数計算部１１１０３と入力情報提供部１１１０４と第一計算部１１１０５と第一べき乗計算部１１１０６と第一リスト記憶部１１１０７と第二計算部１１１０８と第二べき乗計算部１１１０９と第二リスト記憶部１１１１０と判定部１１１１１と最終出力部１１１１２と復元部１１１００と制御部１１１１３とを有する。計算装置１１１の例は、カードリーダライタ装置や携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたＣＰＵ（central processing unit）やＲＡＭ（random-access memory）を備えた公知又は専用のコンピュータなどである。

　図２０に例示するように、第七実施形態の能力提供装置１１２－ι（ι＝１，・・・，ω、ωは２以上Γ以下の整数）は、例えば、第一出力情報計算部１１２０１－ιと第二出力情報計算部１１２０２－ιと鍵記憶部１１２０４－ιと制御部１１２０５－ιとを有する。能力提供装置１１２－ιの例は、ＩＣカードやＩＣチップなどの耐タンパ性モジュールや、携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたＣＰＵやＲＡＭを備えた公知又は専用のコンピュータなどである。後述するように、能力提供装置１１２－１，・・・，１１２－ωは能力提供装置１１２－１，・・・，１１２－Γから選択されたものである。能力提供装置１１２－（ι＋１），・・・，１１２－Γが存在する場合、これらの構成は能力提供装置１１２－ιと同様である。

　図２１に例示するように、第七実施形態の復号制御装置１１３は、例えば、暗号文記憶部１１３０１と制御命令部１１３０２と出力部１１３０３と制御部１１３０４と鍵記憶部１１３０５と暗号化部１１３０６とを有する。復号制御装置１１３の例は、携帯電話などの計算機能と記憶機能とを備えた機器や、特別なプログラムが読み込まれたＣＰＵやＲＡＭを備えた公知又は専用のコンピュータなどである。

　＜処理＞
　次に本形態の処理を説明する。処理の前提として、Ｇ_ι，Ｈ_ιを群（例えば、可換群）、ωを２以上の整数、ι＝１，・・・，ω、ｆ_ι（λ_ι）を群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して群Ｇ_ιの元を得るための復号関数、群Ｇ_ι，Ｈ_ιの生成元をそれぞれμ_ι,g，μ_ι,h、Ｘ_ι,1，Ｘ_ι,2を群Ｇ_ιに値を持つ確率変数、確率変数Ｘ_ι,1の実現値をｘ_ι,1、確率変数Ｘ_ι,2の実現値をｘ_ι,2とする。なお、本形態のωは定数である。計算装置１１１の自然数記憶部１１１０１には、互いに素である２つの自然数ａ（ι），ｂ（ι）の組（ａ（ι），ｂ（ι））が複数種類記憶されているものとする。「自然数」とは０以上の整数を意味する。Ｉ_ιを群Ｇ_ιの位数未満の２つの自然数の組で互いに素なものの集合とすると、自然数記憶部１１１０１にはＩ_ιの部分集合Ｓ_ιに対応する自然数ａ（ι），ｂ（ι）の組（ａ（ι），ｂ（ι））が記憶されていると考えることができる。能力提供装置１１２－ιの鍵記憶部１２１０４には、特定の復号鍵ｓ_ιがそれぞれ安全に記憶されているものとする。復号制御装置１１３の鍵記憶部１１３０５には、復号鍵ｓ_１，・・・，ｓ_Γにそれぞれ対応する暗号鍵ｐｋ_１，・・・，ｐｋ_Γが記憶されているものとする。復号鍵ｓ_ι及び暗号鍵ｐｋ_ιの一例は公開鍵暗号方式の秘密鍵及び公開鍵である。なお、計算装置１１１の各処理は制御部１１１１３の制御のもとで実行され、能力提供装置１１２－ιの各処理は制御部１１２０５－ιの制御のもとで実行され、復号制御装置１１３の各処理は制御部１１３０４の制御のもとで実行される。

　＜暗号化処理＞
　図２４に例示するように、まず、復号制御装置１１３（図２１）の暗号化部１１３０６にメッセージｍｅｓが入力される。暗号化部１１３０６は、暗号鍵ｐｋ₁，・・・，ｐｋ_Γからω個の暗号鍵ｐｋ_１，・・・，ｐｋ_ωをランダムに選択する（ステップＳ１１３０１）。暗号化部１１３０６は、メッセージｍｅｓからω個の分散情報ｓｈａ₁，・・・，ｓｈａ_ωを生成する（ステップＳ１１３０２）。以下に分散情報ｓｈａ₁，・・・，ｓｈａ_ωの生成方法を例示する。

　《分散情報の例１》
　ω個の分散情報ｓｈａ₁，・・・，ｓｈａ_ωのビット結合値ｓｈａ₁｜・・・｜ｓｈａ_ωがメッセージｍｅｓとなるように分散情報ｓｈａ₁，・・・，ｓｈａ_ωを生成する。
　《分散情報の例２》
　ω個の分散情報ｓｈａ₁，・・・，ｓｈａ_ωの排他的論理和がメッセージｍｅｓとなるように分散情報ｓｈａ₁，・・・，ｓｈａ_ωを生成する。
　《分散情報の例３》
　Shamirの秘密分散のような秘密分散方式によってメッセージｍｅｓを秘密分散して分散情報ｓｈａ₁，・・・，ｓｈａ_ωを生成する（分散情報の生成方法を例示終わり）。

　次に、暗号化部１１３０６は、各ι＝１，・・・，ωについて、暗号鍵ｐｋιを用いて分散情報ｓｈａ_ιを暗号化して暗号文λ_ιを生成する。生成された暗号文λ₁，・・・，λ_ωは暗号文記憶部１１３０１に記憶される（ステップＳ１１３０３）。

　その後、暗号文記憶部１１３０１に記憶されている暗号文λ₁，・・・，λ_ωが出力部１１３０１から出力され、計算装置１１１（図１９）に入力される（ステップＳ１１３０４）。暗号文λ₁，・・・，λ_ωは同時に送られてもよいし、同時に送られなくてもよい。

　＜復号処理＞
　図２５を用いて本形態の暗号文λ_ιの復号処理を説明する。以下に説明する処理は各ι＝１，・・・，ωについてそれぞれ実行される。
　まず、計算装置１１１（図１９）の自然数選択部１１１０２が、自然数記憶部１１１０１に記憶された複数の自然数の組（ａ（ι），ｂ（ι））から１つの自然数の組（ａ（ι），ｂ（ι））をランダムに読み込む。読み込まれた自然数の組（ａ（ι），ｂ（ι））の少なくとも一部の情報は、整数計算部１１１０３、入力情報提供部１１１０４、第一べき乗計算部１１１０６及び第二べき乗計算部１１１０９に送られる（ステップＳ１１１００）。

　整数計算部１１１０３は、送られた自然数の組（ａ（ι），ｂ（ι））を用いて、ａ’（ι）ａ（ι）＋ｂ’（ι）ｂ（ι）＝１の関係を満たす整数ａ’（ι），ｂ’（ι）を計算する。自然数ａ（ι），ｂ（ι）は互いに素であるため、ａ’（ι）ａ（ι）＋ｂ’（ι）ｂ（ι）＝１の関係を満たす整数ａ’（ι），ｂ’（ι）は必ず存在して、その計算方法もよく知られている。たとえば拡張互除法などのよく知られたアルゴリズムによって整数ａ’，ｂ’が計算され、自然数の組（ａ’（ι），ｂ’（ι））の情報は、最終出力部１１１１２に送られる（ステップＳ１１１０１）。

　制御部１１１１３は、ｔ_ι＝１とする（ステップＳ１１１０２）。
　計算装置１１１の入力情報提供部１１１０４は、入力された暗号文λ_ιにそれぞれ対応する群Ｈ_ιの元である第一入力情報τ_ι,1及び第二入力情報τ_ι,2を生成して出力する。好ましくは、第一入力情報τ_ι,1及び第二入力情報τ_ι,2はそれぞれ暗号文λ_ιとの関係をかく乱させた情報である。これにより、計算装置１１１は、暗号文λ_ιを能力提供装置１１２－ιに対して隠蔽できる。好ましくは、本形態の第一入力情報τ_ι,1は自然数選択部１１１０２で選択された自然数ｂ（ι）にさらに対応し、第二入力情報τ_ι,2は自然数選択部１１１０２で選択された自然数ａ（ι）にさらに対応する。これにより、能力提供装置１１２－ιから提供された復号能力を計算装置１１１が高い精度で評価できる（ステップＳ１１１０３）。

　図２６に例示するように、第一入力情報τ_ι,1は能力提供装置１１２－ι（図２０）の第一出力情報計算部１１２０１－ιに入力され、第二入力情報τ_ι,2は第二出力情報計算部１１２０２－ιに入力される（ステップＳ１１２００）。

　第一出力情報計算部１１２０１は、第一入力情報τ_ι,1と鍵記憶部１１２０４に記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた計算結果を第一出力情報ｚ_ι,1とする（ステップＳ１１２０１）。第二出力情報計算部１１２０２－ιは、第二入力情報τ_ι,2と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2とする（ステップＳ１１２０２）。なお、「或る確率」は１００％未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータｋについての広義単調増加関数である多項式を多項式ψ（ｋ）とした場合の１／ψ（ｋ）以上の確率である。すなわち、第一出力情報計算部１１２０１－ιや第二出力情報計算部１１２０２－ιは、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部１１２０１－ιでの計算結果がｆ_ι（τ_ι,1）の場合もあればｆ_ι（τ_ι,1）でない場合もあり、第二出力情報計算部１１２０２－ιでの計算結果がｆ_ι（τ_ι,2）の場合もあればｆ_ι（τ_ι,2）でない場合もある。第一出力情報計算部１１２０１－ιは第一出力情報ｚ_ι,1を出力し、第二出力情報計算部１１２０２－ιは第二出力情報ｚ_ι,2を出力する（ステップＳ１１２０３）。

　図２５に戻り、第一出力情報ｚ_ι,1は計算装置１１１（図１９）の第一計算部１１１０５に入力され、第二出力情報ｚ_ι,2は第二計算部１１１０８に入力される。これらの第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2が、能力提供装置１１２－ιから計算装置１１１に与えられた復号能力に相当する（ステップＳ１１１０４）。

　第一計算部１１１０５は、第一出力情報ｚ_ι,1から演算結果ｕ_ι＝ｆ_ι（λ_ι）^b(ι)ｘ_ι,1を生成する。ここで、ｆ_ι（λ_ι）^b(ι)ｘ_ι,1を生成（計算）するとは、ｆ_ι（λ_ι）^b(ι)ｘ_ι,1と定義される式の値を計算することである。式ｆ_ι（λ_ι）^b(ι)ｘ_ι,1の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。演算結果ｕ_ιは第一べき乗計算部１１１０６に送られる（ステップＳ１１１０５）。

　第一べき乗計算部１１１０６はｕ_ι’＝ｕ_ι ^a(ι)を計算する。計算結果ｕ_ιとその計算結果に基づいて計算されたｕ_ι’との組（ｕ_ι，ｕ_ι’）は、第一リスト記憶部１１１０７に記憶される（ステップＳ１１１０６）。

　判定部１１１１１は、第一リスト記憶部１１１０７に記憶された組（ｕ_ι，ｕ_ι’）及び第二リスト記憶部１１１１０に記憶された組（ｖ_ι，ｖ_ι’）の中で、ｕ_ι’＝ｖ_ι’となるものがあるか判定する（ステップＳ１１１０７）。もし、第二リスト記憶部１１１１０に組（ｖ_ι，ｖ_ι’）が記憶されていない場合には、このステップＳ１１１０７の処理を行わずに、次のステップＳ１１１０８の処理を行う。ｕ_ι’＝ｖ_ι’となるものがあった場合には、ステップＳ１１１１４に進む。ｕ_ι’＝ｖ_ι’となるものがなかった場合には、ステップＳ１１１０８に進む。

　ステップＳ１１１０８では、第二計算部１１１０８が、第二出力情報ｚ_ι,2から演算結果ｖ_ι＝ｆ_ι（λ_ι）^a(ι)ｘ_ι,2を生成する。演算結果ｖ_ιは第二べき乗計算部１１１０９に送られる（ステップＳ１１１０８）。

　第二べき乗計算部１１１０９はｖ_ι’＝ｖ_ι ^b(ι)を計算する。計算結果ｖ_ιとその計算結果に基づいて計算されたｖ_ι’との組（ｖ_ι，ｖ_ι’）は、第二リスト記憶部１１１１０に記憶される（ステップＳ１１１０９）。

　判定部１１１１１は、第一リスト記憶部１１１０７に記憶された組（ｕ_ι，ｕ_ι’）及び第二リスト記憶部１１１１０に記憶された組（ｖ_ι，ｖ_ι’）の中で、ｕ_ι’＝ｖ_ι’となるものがあるか判定する（ステップＳ１１１１０）。ｕ_ι’＝ｖ_ι’となるものがあった場合には、ステップＳ１１１１４に進む。ｕ_ι’＝ｖ_ι’となるものがなかった場合には、ステップＳ１１１１１に進む。

　ステップＳ１１１１１では、制御部１１１１３がｔ_ι＝Ｔ_ιであるか判定する（ステップＳ１１１１１）。Ｔ_ιは予め定められた自然数である。ｔ_ι＝Ｔ_ιであれば、最終出力部１１１１２が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１１１３）、処理を終える。ｔ_ι＝Ｔ_ιでない場合には、制御部１１１１３は、ｔ_ιを１だけインクリメント、すなわちｔ_ι＝ｔ_ι＋１（ｔ_ι＋１を新たなｔ_ι）として（ステップＳ１１１１２）、ステップＳ１１１０３に戻る。

　計算をすることができなかった旨の情報（この例では記号「⊥」）は、能力提供装置１１２－ιが正しく計算を行う信頼性がＴ_ιで定められる基準を下回るということを意味する。言い換えれば、Ｔ_ι回の繰り返しで正しい演算を行うことができなかったということを意味する。

　ステップＳ１１１１４では、最終出力部１１１１２が、ｕ_ι’＝ｖ_ι’であると判定されたｕ_ι’及びｖ_ι’に対応するｕ_ι及びｖ_ιを用いてｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を計算して、出力する（ステップＳ１１１１４）。このように計算されたｕ_ι ^b’(ι)ｖ_ι ^a’(ι)は高い確率で暗号文λ_ιを特定の復号鍵ｓ_ιで復号した復号結果ｆ_ι（λ_ι）となる（高い確率でｕ_ι ^b’(ι)ｖ_ι ^a’(ι)＝ｆ_ι（λ_ι）となる理由については後述する）。よって、上述した処理を複数回繰り返し、ステップＳ１１１１４で得られた値のうち最も頻度の高い値を復号結果ｆ_ι（λ_ι）とすればよい。後述するように、設定によっては圧倒的な確率でｕ_ι ^b’(ι)ｖ_ι ^a’(ι)＝ｆ_ι（λ_ι）となる。その場合にはステップＳ１１１１４で得られた値をそのまま復号結果ｆ_ι（λ_ι）としてよい。

　以上の処理が各ι＝１，・・・，ωについてそれぞれ実行されることで得られた各復号結果ｆ_ι（λ_ι）は復元部１１１００に入力される。復元部１１１００は、各ι＝１，・・・，ωについてのｆ_ι（λ_ι）＝ｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を用い、各ι＝１，・・・，ωについての暗号文λ_ιを復号鍵ｓ_ιで復号して得られる復号値がすべて得られた場合にのみ復元可能な復元値の復元処理を行う。例えば、前述した《分散情報の例１》によって分散情報が生成されていたのであれば、復元部１１１００はビット結合値ｆ_１（λ_１）｜・・・｜ｆ_ω（λ_ω）を復元値ｍｅｓ’として生成する。例えば、前述した《分散情報の例２》によって分散情報が生成されていたのであれば、復元部１１１００は各復号結果ｆ_１（λ_１），・・・，ｆ_ω（λ_ω）の排他的論理和を復元値ｍｅｓ’として生成する。例えば、前述した《分散情報の例３》によって分散情報が生成されていたのであれば、復元部１１１００は、秘密分散方式に対応する復元方法を用い、各復号結果ｆ_１（λ_１），・・・，ｆ_ω（λ_ω）から復元値ｍｅｓ’を生成する。

　復号結果ｆ_１（λ_１），・・・，ｆ_ω（λ_ω）がすべて正しい場合、復元部１１１００で得られる復元値ｍｅｓ’はメッセージｍｅｓと等しい。一方、復号結果ｆ_１（λ_１），・・・，ｆ_ω（λ_ω）のすべてが誤りであった場合、復元部１１１００で得られる復元値ｍｅｓ’がメッセージｍｅｓと等しくなる確率は無視できるほど小さい。

　≪高い確率でｕ_ι ^b’(ι)ｖ_ι ^a’(ι)＝ｆ_ι（λ_ι）となる理由について≫
　ここでは表記の簡略化のためιを省略して説明する。
　Ｘを群Ｇに値を持つ確率変数とする。ｗ∈Ｇについて、要求を受けるたびに確率変数Ｘに従った標本ｘ’に対応するｗｘ’を返すものを、ｗについて誤差Ｘを持つ標本器（sampler）と呼ぶ。

　ｗ∈Ｇについて、自然数ａが与えられるたびに確率変数Ｘに従った標本ｘ’に対応するｗ^ａｘ’を返すものを、ｗについて誤差Ｘを持つ乱数化可能標本器（randomizable sampler）と呼ぶ。乱数化可能標本器はａ＝１として用いられれば標本器として機能する。

　本実施形態の入力情報提供部１１１０４と第一出力情報計算部１１２０１と第一計算部１１１０５との組み合わせが、ｆ（λ）について誤差Ｘ₁を持つ乱数化可能標本器（「第一乱数化可能標本器」と呼ぶ）であり、入力情報提供部１１１０４と第二出力情報計算部１１２０２と第二計算部１１１０８との組み合わせが、ｆ（λ）について誤差Ｘ₂を持つ乱数化可能標本器（「第二乱数化可能標本器」と呼ぶ）である。

　ｕ’＝ｖ’が成立するのは、すなわちｕ^a＝ｖ^bが成立するのは、第一乱数化可能標本器がｕ＝ｆ（λ）^bを正しく計算しており、第二乱数化可能標本器がｖ＝ｆ（λ）^aを正しく計算している（ｘ₁及びｘ₂が群Ｇの単位元ｅ_ｇである）可能性が高いことを発明者は見出した。説明の簡略化の観点から、この証明は第十一実施形態で行う。

　第一乱数化可能標本器がｕ＝ｆ（λ）^bを正しく計算しており、第二乱数化可能標本器がｖ＝ｆ（λ）^aを正しく計算しているとき（ｘ₁及びｘ₂が群Ｇの単位元ｅ_ｇであるとき）、ｕ^b’ｖ^a’＝（ｆ（λ）^bｘ₁）^b’（ｆ（λ）^aｘ₂）^a’＝（ｆ（λ）^bｅ_g）^b’（ｆ（λ）^aｅ_g）^a’＝ｆ（λ）^bb’ｅ_g ^b’ｆ（λ）^aa’ｅ_g ^a’＝ｆ（λ）^{(bb’+aa’)}＝ｆ（λ）となる。

　（ｑ_１，ｑ_２）∈Ｉについて、ｉ＝１，２の各々について関数π_ｉをπ_ｉ（ｑ_１，ｑ_２）＝ｑ_ｉで定義する。さらに、Ｌ＝ｍｉｎ（♯π_１（Ｓ），♯π₂（Ｓ））とする。♯・は、集合・の位数である。群Ｇが巡回群や位数の計算が困難な群であるときには、計算装置１１１が「⊥」以外を出力するときの出力がｆ（λ）ではない確率は、無視できる程度の誤差の範囲で高々Ｔ²Ｌ／♯Ｓ程度と期待することができる。もしＬ／♯Ｓが無視できる量でＴが多項式オーダー程度の量であれば、計算装置１１１は圧倒的な確率で正しいｆ_ι（λ）を出力する。Ｌ／♯Ｓが無視できる量になるようなＳの例には、例えばＳ＝｛（１，ｄ）｜ｄ∈［２，｜Ｇ｜－１］｝がある。

　＜復号制御処理＞
　次に、本形態の復号制御処理を説明する。
　復号制御装置１１３が計算装置１１１の復号処理を制御する場合、復号制御装置１１３は、計算装置１１１の復号処理を制御する復号制御命令をすべての能力提供装置１１２－ιに出力する。復号制御命令が入力された能力提供装置１１２－ιは、入力された復号制御命令に従って、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力の有無を制御する。計算装置１１１は、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2が与えられなければ暗号文λ_ιを復号することができない。そのため、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力の有無を制御することで、計算装置１１１の復号能力を制御できる。以下に復号処理の制御方法を例示する。

　≪復号処理の制御方法の例１≫
　復号処理の制御方法の例１では、復号制御命令が計算装置１１１の復号能力を制限するための復号制限命令ｃｏｍ_１－ιを含む。復号制限命令ｃｏｍ_１－ιが能力提供装置１１２－ιの制御部１１２０５－ιに入力された場合、制御部１１２０５－ιが第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力を禁止する。

　計算装置１１１の復号能力を制限する場合、復号制御装置１１３（図２１）の制御命令部１１３０２は、すべてのιについて復号制限命令ｃｏｍ_１－ιを出力する。復号制限命令ｃｏｍ_１－ιは出力部１１３０３から能力提供装置１１２－ιに出力される。

　能力提供装置１１２－ι（図２０）の制御部１１２０５－ιは、復号制限命令ｃｏｍ_１－ιが入力されたか否かを判断し、復号制限命令ｃｏｍ_１－ιが制御部１１２０５－ιに入力されない場合には復号制御処理を行わない。一方、復号制限命令ｃｏｍ_１－ιが制御部１１２０５－ιに入力された場合には、制御部１１２０５－ιは第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力を禁止する制御を行う（復号制限モード）。

　復号制限モードでは、制御部１１２０５－ιが第一出力情報計算部１１２０１－ιによる第一出力情報ｚ_ι,1の出力及び第二出力情報計算部１１２０１－ιによる第二出力情報ｚ_ι,2の出力の両方を禁止する。第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の出力を禁止する制御の一例は、第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の生成は禁止しないがこれらの出力を禁止する制御である。第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の出力を禁止する制御の他の例は、第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の代わりにダミー情報を出力させる制御である。なお、ダミー情報の例は、乱数その他の暗号文λ_ιに依存しない情報である。第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の出力を禁止する制御の別の例は、第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の生成自体を禁止する制御である。第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の生成自体を禁止する制御を行う場合には、第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の生成を行うために必要な情報を無効又は削除してもよいし、しなくてもよい。例えば、鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιを無効又は削除してもよいし、しなくてもよい。

　第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力が禁止された場合、能力提供装置１１２－ιはステップＳ１１２０３で第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方を出力しない。そのため、計算装置１１１はステップＳ１１１０４で第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方を取得できず、演算結果ｕ_ι及びｖ_ιを計算できないため、正しい復号結果ｆ_ι（λ）を得ることができない。すべてのιについて正しい復号結果ｆ_ι（λ）が得られなかった場合、復元部１１１００で得られる復元値ｍｅｓ’がメッセージｍｅｓと等しくなる確率は無視できるほど小さい。これにより、計算装置１１１の復号能力を制限できる。

　≪復号処理の制御方法の例２≫
　復号処理の制御方法の例２では、復号制御命令が計算装置１１１の復号能力の制限を開放するための復号開放命令ｃｏｍ_２－ιを含み、復号開放命令ｃｏｍ_２－ιが能力提供装置１１２－ιの制御部１１２０５－ιに入力された場合、制御部１１２０５－ιは第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の少なくとも一方の出力を許可する。復号処理の制御方法の例２は、例えば、復号処理の制御方法の例１によって第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力が禁止された後、再び、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の出力を許可する場合に行われる。この際、第一出力情報ｚ_ι,1及び／又は第二出力情報ｚ_ι,2の生成を行うために必要な情報が無効又は削除されていた場合には、復号開放命令ｃｏｍ_２－ιが当該情報を含み、当該情報を能力提供装置１１２－ιに再設定することにしてもよい。その他、復号処理の制御方法の例２は、例えば、初期状態において第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方が禁止されている場合に、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の出力を許可する場合に行われてもよい。

　計算装置１１１の復号能力の制限を開放する場合、復号制御装置１１３（図２１）の制御命令部１１３０２がすべてのιについて復号開放命令ｃｏｍ_２－ιを出力する。復号制限命令ｃｏｍ_２－ιは出力部１１３０３から能力提供装置１１２－ιに出力される。

　能力提供装置１１２－ι（図２０）の制御部１１２０５－ιは、復号開放命令ｃｏｍ₂－ιが入力されたか否かを判断し、復号開放命令ｃｏｍ₂－ιが制御部１１２０５－ιに入力されていない場合には復号制御処理を行わない。一方、復号開放命令ｃｏｍ₂－ιが制御部１１２０５－ιに入力された場合には、制御部１１２０５－ιは第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力を許可する制御を行う（復号許可モード）。

　第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力が許可された場合、能力提供装置１１２－ιはステップＳ１１２０３で第一出力情報ｚ_ι,1又は第二出力情報ｚ_ι,2の両方を出力する。そのため、計算装置１１１はステップＳ１１１０４で第一出力情報ｚ_ι,1又は第二出力情報ｚ_ι,2の両方を取得でき、演算結果ｕ_ι又はｖ_ιを計算できるため、高い確率で復号結果を得ることができる。これにより、計算装置１１１の復号能力の制限を開放することができる。

　≪復号処理の制御方法の例３≫
　復号処理の制御方法の例１，２では、各復号制御命令が何れかの１つのιに対応し（復号関数ｆ_ιに対応し）、能力提供装置１１２－ιの制御部１１２０５－ιが復号制御命令に対応する（復号制御命令に対応する復号関数ｆ_ιに対応する）第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2のすべての出力の有無を制御することとした。しかしながら、復号制御命令が複数のιに対応し、能力提供装置１１２－ιの制御部１１２０５－ιが復号制御命令に対応する第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の出力の有無を制御することとしてもよい。

　［第八実施形態］
　第八実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した例である。以下、第七実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。以下の説明において、同一の参照番号が付された部分は同一の機能を持つものとし、同一の参照番号が付されたステップは同一の処理を表すものとする。

　＜構成＞
　図１８に例示するように、第八実施形態の代理計算システム１０２は、計算装置１１１が計算装置１２１に置換され、能力提供装置１１２－１，・・・，１１２－Γが能力提供装置１２２－１，・・・，１２２－Γに置換されたものである。

　図１９に例示するように、第八実施形態の計算装置１２１は、例えば、自然数記憶部１１１０１と自然数選択部１１１０２と整数計算部１１１０３と入力情報提供部１２１０４と第一計算部１２１０５と第一べき乗計算部１１１０６と第一リスト記憶部１１１０７と第二計算部１２１０８と第二べき乗計算部１１１０９と第二リスト記憶部１１１１０と判定部１１１１１と最終出力部１１１１２と制御部１１１１３とを有する。図２２に例示するように、本形態の入力情報提供部１２１０４は、例えば、第一乱数生成部１２１０４ａと第一入力情報計算部１２１０４ｂと第二乱数生成部１２１０４ｃと第二入力情報計算部１２１０４ｄとを有する。

　図２０に例示するように、第八実施形態の能力提供装置１２２－ι（ι＝１，・・・，ω、ωは２以上Γ以下の整数）は、例えば、第一出力情報計算部１２２０１－ιと第二出力情報計算部１２２０２－ιと鍵記憶部１１２０４－ιと制御部１１２０５－ιとを有する。能力提供装置１２２－（ι＋１），・・・，１２２－Γが存在する場合、これらの構成は能力提供装置１２２－ιと同様である。

　＜復号処理＞
　次に本形態の復号処理を説明する。第八実施形態では、復号関数ｆ_ιを準同型関数とし、群Ｈを巡回群とし、群Ｈの生成元をμ_ι,h、群Ｈの位数をＫ_ι,H、ν_ι＝ｆ_ι（μ_ι,h）とする。復号関数ｆ_ιが準同型関数である例はＲＳＡ暗号などである。その他の前提は、計算装置１１１が計算装置１２１に置換され、能力提供装置１１２－１，・・・，１１２－Γが能力提供装置１２２－１，・・・，１２２－Γに置換されている以外、第七実施形態と同一である。

　図２５及び図２６に例示するように、第八実施形態の処理は第七実施形態のステップＳ１１１０３～Ｓ１１１０５，Ｓ１１１０８，Ｓ１１２００～Ｓ１１２０３が、それぞれ、ステップＳ１２１０３～Ｓ１２１０５，Ｓ１２１０８，Ｓ１２２００～Ｓ１２２０３に置換されたものである。以下ではステップＳ１２１０３～Ｓ１２１０５，Ｓ１２１０８，Ｓ１２２００～Ｓ１２２０３の処理のみを説明する。

　《ステップＳ１２１０３の処理》
　計算装置１２１（図１９）の入力情報提供部１２１０４は、入力された暗号文λ_ιにそれぞれ対応する第一入力情報τ_ι,1及び第二入力情報τ_ι,2を生成して出力する（図２５／ステップＳ１２１０３）。以下、図２７を用いて本形態のステップＳ１２１０３の処理を説明する。

　第一乱数生成部１２１０４ａ（図２２）は、０以上Ｋ_ι，H未満の自然数の一様乱数ｒ（ι，１）を生成する。生成された乱数ｒ（ι，１）は、第一入力情報計算部１２１０４ｂ及び第一計算部１２１０５に送られる（ステップＳ１２１０３ａ）。第一入力情報計算部１２１０４ｂは、入力された乱数ｒ（ι，１）と暗号文λ_ιと自然数ｂ（ι）とを用いて第一入力情報τ_ι,1＝μ_ι,h ^r(ι,1)λ_ι ^b(ι)を計算する（ステップＳ１２１０３ｂ）。

　第二乱数生成部１２１０４ｃは、０以上Ｋ_H未満の自然数の一様乱数ｒ（ι，２）を生成する。生成された乱数ｒ（ι，２）は、第二入力情報計算部１２１０４ｄ及び第二計算部１２１０８に送られる（ステップＳ１２１０３ｃ）。第二入力情報計算部１２１０４ｄは、入力された乱数ｒ（ι，２）と暗号文λ_ιと自然数ａ（ι）とを用いて第二入力情報τ_ι,2＝μ_ι,h ^r(ι,2)λ_ι ^a(ι)を計算する（ステップＳ１２１０３ｄ）。

　第一入力情報計算部１２１０４ｂ及び第二入力情報計算部１２１０４ｄは、以上のように生成した第一入力情報τ_ι,1及び第二入力情報τ_ι,2を出力する（ステップＳ１２１０３ｅ）。なお、本形態の第一入力情報τ_ι,1及び第二入力情報τ_ι,2は、それぞれ、乱数ｒ（ι，１），ｒ（ι，２）によって暗号文λ_ιとの関係をかく乱させた情報である。これにより、計算装置１２２－ιは、暗号文λ_ιを能力提供装置１２２－ιに対して隠蔽できる。本形態の第一入力情報τ_ι,1は自然数選択部１１１０２で選択された自然数ｂ（ι）にさらに対応し、第二入力情報τ_ι,2は自然数選択部１１１０２で選択された自然数ａ（ι）にさらに対応する。これにより、能力提供装置１２２－ιから提供された復号能力を計算装置１２１が高い精度で評価できる。

　《ステップＳ１２２００～Ｓ１２２０３の処理》
　図２６に例示するように、まず、第一入力情報τ_ι,1＝μ_ι,h ^r(ι,1)λ_ι ^b(ι)が能力提供装置１２２－ι（図２０）の第一出力情報計算部１２２０１－ιに入力され、第二入力情報τ_ι,2＝μ_ι,h ^r(ι,2)λ_ι ^a(ι)が第二出力情報計算部１２２０２－ιに入力される（ステップＳ１２２００）。

　第一出力情報計算部１２２０１－ιは、第一入力情報τ_ι,1＝μ_ι,h ^r(ι,1)λ_ι ^b(ι)と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^r(ι,1)λ_ι ^b(ι)）を正しく計算し、得られた計算結果を第一出力情報ｚ_ι,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部１２２０１－ιでの計算結果がｆ_ι（μ_ι,h ^r(ι,1)λ_ι ^b(ι)）となる場合もあれば、ｆ_ι（μ_ι,h ^r(ι,1)λ_ι ^b(ι)）とならない場合もある（ステップＳ１２２０１）。

　第二出力情報計算部１２２０２－ιは、第二入力情報τ_ι,2＝μ_ι,h ^r(ι,2)λ_ι ^a(ι)と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^r(ι,2)λ_ι ^a(ι)）を正しく計算し、得られた計算結果を第二出力情報ｚ_ι,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部１２２０２－ιでの計算結果がｆ_ι（μ_ι,h ^r(ι,2)λ_ι ^a(ι)）となる場合もあれば、ｆ_ι（μ_ι,h ^r(ι,2)λ_ι ^a(ι)）とならない場合もある（ステップＳ１２２０２）。

　第一出力情報計算部１２２０１－ιは第一出力情報ｚ_ι,1を出力し、第二出力情報計算部１２２０２－ιは第二出力情報ｚ_ι,2を出力する（ステップＳ１２２０３）。

　《ステップＳ１２１０４及びＳ１２１０５の処理》
　図２５に戻り、第一出力情報ｚ_ι,1は計算装置１２１（図１９）の第一計算部１２１０５に入力され、第二出力情報ｚ_ι,2は第二計算部１２１０８に入力される。これらの第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2が、能力提供装置１２２－ιから計算装置１２１に与えられた復号能力に相当する（ステップＳ１２１０４）。

　第一計算部１２１０５は、入力された乱数ｒ（ι，１）及び第一出力情報ｚ_ι,1を用いてｚ_ι,1ν_ι ^-r(ι,1)を計算してその計算結果をｕ_ιとする。計算結果ｕ_ιは、第一べき乗計算部１１１０６に送られる。ここで、ｕ_ι＝ｚ_ι,1ν_ι ^-r(ι,1)＝ｆ_ι（λ_ι）^b(ι)ｘ_ι,1となる。すなわち、ｚ_ι,1ν_ι ^-r(ι,1)は、ｆ_ι（λ_ι）について誤差Ｘ_ι,1を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ１２１０５）。

　《ステップＳ１２１０８の処理》
　第二計算部１２１０８は、入力された乱数ｒ（ι，２）及び第二出力情報ｚ_ι,2を用いてｚ_ι,2ν_ι ^-r(ι,2)を計算してその計算結果をｖ_ιとする。計算結果ｖ_ιは、第二べき乗計算部１１１０９に送られる。ここで、ｖ_ι＝ｚ_ι，２ν_ι ^-r(ι,2)＝ｆ_ι（λ_ι）^a(ι)ｘ_ι,2となる。すなわち、ｚ_ι,2ν_ι ^-r(ι,2)は、ｆ_ι（λ_ι）について誤差Ｘ_ι,2を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ１２１０８）。

　≪ｚ_ι,1ν_ι ^-r(ι,1)，ｚ_ι,2ν_ι ^-r(ι,2)がｆ_ι（λ_ι）についてそれぞれ誤差Ｘ_ι,1，Ｘ_ι,2を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒを乱数として、能力提供装置１２２がμ_h ^Rλ^cを用いて行う計算の計算結果をＢ（μ_h ^Rλ^c）とする。すなわち、第一出力情報計算部１２２０１－ιや第二出力情報計算部１２２０２－ιが計算装置１２１に返す計算結果をｚ＝Ｂ（μ_h ^Rλ^c）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（μ_h ^R’）ｆ（μ_h ^R’）^-1と定義する。
　このとき、ｚν^-R＝Ｂ（μ_h ^Rλ^c）ｆ（μ_h）^-R＝Ｘｆ（μ_h ^Rλ^c）ｆ（μ_h）^-R＝Ｘｆ（μ_h）^Rｆ（λ）^cｆ（μ_h）^-R＝ｆ（λ）^cＸとなる。すなわち、ｚν^-Rは、ｆ（λ）について誤差Ｘを持つ乱数化可能標本器の出力となる。

　上記式展開において、Ｘ＝Ｂ（μ_h ^R’）ｆ（μ_h ^R’）^-1＝Ｂ（μ_h ^Rλ^c）ｆ（μ_h ^Rλ^c）^-1であり、Ｂ（μ_h ^Rλ^c）＝Ｘｆ（μ_h ^Rλ^c）であるという性質を用いている。この性質は、関数ｆ_ιが準同型関数であり、Ｒが乱数であることに基づく。

　したがって、ａ（ι），ｂ（ι）が自然数、ｒ（ι，１），ｒ（ι，２）が乱数であることを考慮すると、同様に、ｚ_ι,1ν_ι ^-r(ι,1)，ｚ_ι,2ν_ι ^-r(ι,2)がｆ_ι（λ_ι）についてそれぞれ誤差Ｘ_ι,1，Ｘ_ι,2を持つ乱数化可能標本器の出力となるのである。

　［第九実施形態］
　第九実施形態は第八実施形態の変形例であり、ａ（ι）＝１やｂ（ι）＝１のときに前述した標本器によってｕ_ι又はｖ_ιの値を計算する。一般に乱数化可能標本器よりも標本器の計算量は小さい。ａ（ι）＝１やｂ（ι）＝１のときに乱数化可能標本器に代わり、標本器が計算を行うことで、代理計算システムの計算量を小さくすることができる。以下、第七実施形態及び第八実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。

　＜構成＞
　図１８に例示するように、第九実施形態の代理計算システム１０３は、計算装置１２１が計算装置１３１に置換され、能力提供装置１２２－１，・・・，１２２－Γが能力提供装置１３２－１，・・・，１３２－Γに置換されたものである。

　図１９に例示するように、第九実施形態の計算装置１３１は、例えば、自然数記憶部１１１０１と自然数選択部１１１０２と整数計算部１１１０３と入力情報提供部１２１０４と第一計算部１２１０５と第一べき乗計算部１１１０６と第一リスト記憶部１１１０７と第二計算部１２１０８と第二べき乗計算部１１１０９と第二リスト記憶部１１１１０と判定部１１１１１と最終出力部１１１１２と制御部１１１１３と第三計算部１３１０９とを有する。

　図２０に例示するように、第九実施形態の能力提供装置１３２－ιは、例えば、第一出力情報計算部１２２０１－ιと第二出力情報計算部１２２０２－ιと鍵記憶部１１２０４－ιと制御部１１２０５－ιと第三出力情報計算部１３２０３－ιとを有する。

　＜復号処理＞
　次に本形態の復号処理を説明する。第八実施形態との相違点を説明する。
　図２５及び図２６に例示するように、第九実施形態の処理は第八実施形態のステップＳ１２１０３～Ｓ１２１０５，Ｓ１２１０８，Ｓ１２２００～Ｓ１２２０３が、それぞれ、ステップＳ１３１０３～Ｓ１３１０５，Ｓ１３１０８，Ｓ１２２００～Ｓ１２２０３及びＳ１３２０５～Ｓ１３２０９に置換されたものである。以下ではステップＳ１３１０３～Ｓ１３１０５，Ｓ１３１０８，Ｓ１２２００～Ｓ１２２０３及びＳ１３２０５～Ｓ１３２０９の処理を中心に説明する。

　《ステップＳ１３１０３の処理》
　計算装置１３１（図１９）の入力情報提供部１３１０４は、入力された暗号文λ_ιにそれぞれ対応する第一入力情報τ_ι,1及び第二入力情報τ_ι,2を生成して出力する（図２５／ステップＳ１３１０３）。
　以下、図２７を用いて本形態のステップＳ１３１０３の処理を説明する。

　制御部１１１１３（図１９）は、自然数選択部１１１０２で選択された自然数（ａ（ι），ｂ（ι））に応じて入力情報提供部１３１０４を制御する。

　制御部１１１１３でｂが１であるかが判定され（ステップＳ１３１０３ａ）、ｂ≠１であると判定された場合、前述のステップＳ１２１０３ａ及びＳ１２１０３ｂの処理が実行され、ステップＳ１３１０３ｇに進む。
　一方、ステップＳ１３１０３ａでｂ（ι）＝１であると判定された場合、第三乱数生成部１３１０４ｅが、０以上Ｋ_ι,H未満の自然数の乱数ｒ（ι，３）を生成する。生成された乱数ｒ（ι，３）は第三入力情報計算部１３１０４ｆ及び第三計算部１３１０９に送られる（ステップＳ１３１０３ｂ）。第三入力情報計算部１３１０４ｆは、入力された乱数ｒ（ι，３）と暗号文λ_ιとを用いてλ_ι ^(ι,3)を計算し、これを第一入力情報τ_ι,1とする（ステップＳ１３１０３ｃ）。その後、ステップＳ１３１０３ｇに進む。

　ステップＳ１３１０３ｇでは、制御部１１１１３でａ（ι）が１であるかが判定され（ステップＳ１３１０３ｇ）、ａ（ι）≠１であると判定された場合、前述のステップＳ１２１０３ｃ及びステップＳ１２１０３ｄの処理が実行される。
　一方、ステップＳ１３１０３ｇでａ（ι）＝１であると判定された場合、第三乱数生成部１３１０４ｅが、０以上Ｋ_ι,H未満の自然数の乱数ｒ（ι，３）を生成する。生成された乱数ｒ（ι，３）は第三入力情報計算部１３１０４ｆに送られる（ステップＳ１３１０３ｈ）。第三入力情報計算部１３１０４ｆは、入力された乱数ｒ（ι，３）と暗号文λ_ιとを用いてλ_ι ^(ι,3)を計算し、これを第二入力情報τ_ι,2とする（ステップＳ１３１０３ｉ）。

　第一入力情報計算部１２１０４ｂ、第二入力情報計算部１２１０４ｄ、第三入力情報計算部１３１０４ｆは、以上のように生成した第一入力情報τ_ι,1及び第二入力情報τ_ι,2を対応する自然数（ａ（ι），ｂ（ι））の情報とともに出力する（ステップＳ１３１０３ｅ）。なお、本形態の第一入力情報τ_ι,1及び第二入力情報τ_ι,2は、それぞれ、乱数ｒ（ι，１），ｒ（ι，２），ｒ（ι，３）によって暗号文λ_ιとの関係をかく乱させた情報である。これにより、計算装置１３１は、暗号文λ_ιを能力提供装置１３２－ιに対して隠蔽できる。

　《Ｓ１２２００～Ｓ１２２０３及びＳ１３２０５～Ｓ１３２０９の処理》
　以下、図２６を用いて本形態のＳ１２２００～Ｓ１２２０３及びＳ１３２０５～Ｓ１３２０９の処理を説明する。
　制御部１１２０５－ι（図２０）は、入力された自然数（ａ（ι），ｂ（ι））に応じ、第一出力情報計算部１２２０１－ι、第二出力情報計算部１２２０２－ι、及び第三出力情報計算部１３２０３－ιを制御する。

　制御部１１２０５－ιの制御に基づき、ｂ（ι）≠１の場合の第一入力情報τ_ι,1＝μ_ι,h ^r(ι,1)λ_ι ^b(ι)は能力提供装置１３２－ι（図２０）の第一出力情報計算部１２２０１－ιに入力され、ａ（ι）≠１の場合の第二入力情報τ_ι,2＝μ_ι,h ^r(ι,2)λ_ι ^a(ι)は第二出力情報計算部１２２０２－ιに入力される。ｂ（ι）＝１の場合の第一入力情報τ_ι,1＝λ_ι ^r(ι,3)やａ（ι）＝１の場合の第二入力情報τ_ι,2＝λ_ι ^r(ι,3)は第三出力情報計算部１３２０３－ιに入力される（ステップＳ１３２００）。

　制御部１１１１３でｂ（ι）が１であるかが判定され（ステップＳ１３２０５）、ｂ（ι）≠１であると判定された場合、前述のステップＳ１２２０１の処理が実行される。その後、制御部１１１１３でａが１であるかが判定され（ステップＳ１３２０８）、ａ≠１であると判定された場合、前述したステップＳ１２２０２の処理が実行されてステップＳ１３２０３に進む。

　一方、ステップＳ１３２０８でａ（ι）＝１であると判定された場合、第三出力情報計算部１３２０３－ιは、第二入力情報τ_ι,2＝λ_ι ^r(ι,3)を用い、或る確率より大きな確率でｆ_ι（λ_ι ^r(ι,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_ι,3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部１３２０３－ιでの計算結果がｆ_ι（λ_ι ^r(ι,3)）となる場合もあれば、ｆ_ι（λ_ι ^r(ι,3)）とならない場合もある（ステップＳ１３２０９）。その後、ステップＳ１３２０３に進む。

　ステップＳ１３２０５でｂ（ι）＝１であると判定された場合、第三出力情報計算部１３２０３－ιは、第二入力情報τ_ι,1＝λ_ι ^r(ι,3)を用い、或る確率より大きな確率でｆ_ι（λ_ι ^r(ι,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_ι,3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部１３２０３－ιでの計算結果がｆ_ι（λ_ι ^r(ι,3)）となる場合もあれば、ｆ_ι（λ_ι ^r(ι,3)）とならない場合もある（ステップＳ１３２０６）。

　その後、制御部１１１１３でａ（ι）が１であるかが判定され（ステップＳ１３２０７）、ａ（ι）＝１であると判定された場合にはステップＳ１３２０３に進み、ａ（ι）≠１であると判定された場合にはステップＳ１２２０２に進む。

　ステップＳ１３２０３では、第一出力情報ｚ_ι,1を生成した第一出力情報計算部１２２０１－ιは第一出力情報ｚ_ι,1を出力し、第二出力情報ｚ_ι,2を生成した第二出力情報計算部１２２０２－ιは第二出力情報ｚ_ι,2を出力し、第三出力情報ｚ_ι,3を生成した第三出力情報計算部１２２０２－ιは第三出力情報ｚ_ι,3を出力する（ステップＳ１３２０３）

　《ステップＳ１３１０４及びＳ１３１０５の処理》
　図２５に戻り、制御部１１１１３の制御のもと、第一出力情報ｚ_ι,1は計算装置１３１（図１９）の第一計算部１２１０５に入力され、第二出力情報ｚ_ι,2は第二計算部１２１０８に入力され、第三出力情報ｚ_ι,3は第三計算部１３１０９に入力される（ステップＳ１３１０４）。

　ｂ（ι）≠１であれば、第一計算部１２１０５が、前述のステップＳ１２１０５の処理によってｕ_ιを生成し、ｂ（ι）＝１であれば、第三計算部１３１０９が、ｚ_ι,3 ^1/r(ι,3)を計算してその計算結果をｕ_ιとする。計算結果ｕ_ιは第一べき乗計算部１１１０６に送られる。ここで、ｂ（ι）＝１の場合、ｕ_ι＝ｚ_ι,3 ^1/r(ι,3)＝ｆ_ι（λ_ι）ｘ_ι,3となる。すなわち、ｚ_ι,3 ^1/r(ι,3)は、ｆ_ι（λ_ι）について誤差Ｘ_ι,3を持つ標本器となる。その理由については後述する（ステップＳ１３１０５）。

　《ステップＳ１３１０８の処理》
　ａ（ι）≠１であれば、第二計算部１２１０８が、前述のステップＳ１２１０８の処理によってｖ_ιを生成し、ａ（ι）＝１であれば、第三計算部１３１０９が、ｚ_ι,3 ^1/r(ι,3)を計算してその計算結果をｖ_ιとする。計算結果ｖ_ιは第二べき乗計算部１１１０９に送られる。ここで、ａ（ι）＝１の場合、ｖ_ι＝ｚ_ι,3 ^1/r(ι,3)＝ｆ_ι（λ_ι）ｘ_ι,3となる。すなわち、ｚ_ι,3 ^1/r(ι,3)は、ｆ_ι（λ_ι）について誤差Ｘ_ι,3を持つ標本器となる。その理由については後述する（ステップＳ１３１０８）。

　なお、ｚ_ι,3 ^1/r(ι,3)の計算、すなわちｚ_ι,3のべき乗根の計算が困難な場合には、次のようにしてｕ_ι及び／又はｖ_ιを計算してもよい。第三計算部１３１０９は、乱数ｒ（ι，３）とその乱数ｒ（ι，３）に基づいて計算されたｚ_ι,3の組を順次（α₁，β₁），（α₂，β₂），…，（α_ｍ（ι），β_ｍ（ι）），…として図示していない記憶部に記憶する。ｍ（ι）は１以上の自然数である。第三計算部１３１０９は、α₁，α₂，…，α_m(ι)の最小公倍数が１になれば、γ₁，γ₂，…，γ_ｍ（ι）を整数としてγ_１α_１＋γ₂α₂＋…＋γ_m(ι)α_m(ι)＝１となるγ₁，γ₂，…，γ_m(ι)を計算して、そのγ₁，γ₂，…，γ_ｍ（ι）を用いてΠ_i=1 ^m(ι)β_i ^γi＝β₁ ^γ1β₂ ^γ2…β_m(ι) ^γm(ι)を計算して、その計算結果をｕ_ι及び／又はｖ_ιとしてもよい。なお、この出願において、αを第一の文字、βを第二の文字、γを数字として、α^βγと表記した場合には、そのβγはβ_γ、すなわちβの下付きγを意味する。

　≪ｚ_ι,3 ^1/r(ι,3)がｆ_ι（λ_ι）について誤差Ｘ_ι,3を持つ標本器となる理由について≫
　Ｒ及びＲ’を乱数として、能力提供装置１３２－ιがλ^Rを用いて行う計算の計算結果をＢ（λ^R）とする。すなわち、第一出力情報計算部１２２０１－ιや第二出力情報計算部１２２０２－ιや第三出力情報計算部１３２０３－ιが計算装置１３１に返す計算結果をｚ＝Ｂ（λ^R）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（λ^R）^1/Rｆ（λ）^-1と定義する。

　このとき、ｚ^1/R＝Ｂ（λ^R）^1/R＝Ｘｆ（λ）＝ｆ（λ）Ｘとなる。すなわち、ｚ^1/Rは、ｆ（λ）について誤差Ｘを持つ標本器となる。
　上記式展開において、Ｘ＝Ｂ（λ^R）^1/Rｆ（λ^R）^-1であり、Ｂ（λ^R）^1/R＝Ｘｆ（λ^R）であるという性質を用いている。この性質は、Ｒ及びＲ’が乱数であることに基づく。
　したがって、ｒ（ι，３）が乱数であることを考慮すると、同様に、ｚ_ι,3 ^1/r(ι,3)がｆ_ι（λ_ι）について誤差Ｘ_ι,3を持つ標本器となるのである。

　［第十実施形態］
　第十実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、Ｈ_ι＝Ｇ_ι×Ｇ_ι、復号関数ｆ_ιがＥｌＧａｍａｌ暗号の復号関数、すなわち復号鍵ｓ_ι及び暗号文λ_ι＝（ｃ_ι,1，ｃ_ι,2）に対してｆ_ι（ｃ_ι,1，ｃ_ι,2）＝ｃ_ι,1・ｃ_ι,2 ^-sιである場合の第一乱数化可能標本器及び第二乱数化可能標本器の例を具体化したものである。以下、第七実施形態と異なる部分を中心に説明し、復号制御処理などの共通する部分については重複説明を省略する。

　図１８に例示するように、第十実施形態の代理計算システム１０４は、計算装置１１１が計算装置１４１に置換され、能力提供装置１１２－１，・・・，１１２－Γが能力提供装置１４２－１，・・・，１４２－Γに置換されたものである。

　図１９に例示するように、第十実施形態の計算装置１４１は、例えば、自然数記憶部１１１０１と自然数選択部１１１０２と整数計算部１１１０３と入力情報提供部１４１０４と第一計算部１４１０５と第一べき乗計算部１１１０６と第一リスト記憶部１１１０７と第二計算部１４１０８と第二べき乗計算部１１１０９と第二リスト記憶部１１１１０と判定部１１１１１と最終出力部１１１１２と制御部１１１１３とを有する。図２３に例示するように、本形態の入力情報提供部１４１０４は、例えば、第四乱数生成部１４１０４ａと第五乱数生成部１４１０４ｂと第一入力情報計算部１４１０４ｃと第六乱数生成部１４１０４ｄと第七乱数生成部１４１０４ｅと第二入力情報計算部１４１０４ｆとを有する。第一入力情報計算部１４１０４ｃは、例えば、第四入力情報計算部１４１０４ｃａと第五入力情報計算部１４１０４ｃｂとを有し、第二入力情報計算部１４１０４ｆは、第六入力情報計算部１４１０４ｆａと第七入力情報計算部１４１０４ｆｂとを有する。

　図２０に例示するように、第十実施形態の能力提供装置１４２－ιは、例えば、第一出力情報計算部１４２０１－ιと第二出力情報計算部１４２０２－ιと鍵記憶部１１２０４－ιと制御部１１２０５－ιとを有する。能力提供装置１４２－（ι＋１），・・・，４２－Γが存在する場合、これらの構成は能力提供装置１４２－ιと同様である。

　＜復号処理＞
　次に本形態の復号処理を説明する。第十実施形態では、群Ｈ_ιが群Ｇ_ιの直積群Ｇ_ι×Ｇ_ι、群Ｇ_ιが巡回群、暗号文λ_ι＝（ｃ_ι,1，ｃ_ι,2）∈Ｈ_ιであり、ｆ_ι（ｃ_ι,1，ｃ_ι,2）が準同型関数であり、群Ｇ_ιの生成元をμ_ι,gとし、群Ｇ_ιの位数をＫ_ι，Ｇとし、同じ復号鍵ｓ_ιに対する暗号文（Ｖ_ι，Ｗ_ι）∈Ｈ_ιとその暗号文を復号した復号文ｆ_ι（Ｖ_ι，Ｗ_ι）＝Ｙ_ι∈Ｇ_ιとの組が計算装置１４１及び能力提供装置１４２－ιに事前設定され、計算装置１４１及び能力提供装置１４２－ιがこの組を利用可能とされているものとする。
　図２５及び図２６に例示するように、第十実施形態の処理は第七実施形態のステップＳ１１１０３～Ｓ１１１０５，Ｓ１１１０８，Ｓ１１２００～Ｓ１１２０３が、それぞれ、ステップＳ１４１０３～Ｓ１４１０５，Ｓ１４１０８，Ｓ１４２００～Ｓ１４２０３に置換されたものである。以下ではステップＳ１４１０３～Ｓ１４１０５，Ｓ１４１０８，Ｓ１４２００～Ｓ１４２０３の処理のみを説明する。

　《ステップＳ１４１０３の処理》
　計算装置１４１（図１９）の入力情報提供部１４１０４は、入力された暗号文λ_ι＝（ｃ_ι,1，ｃ_ι,2）に対応する第一入力情報τ_ι,1及び暗号文λ_ι＝（ｃ_ι,1，ｃ_ι,2）に対応する第二入力情報τ_ι,2を生成して出力する（図２５／ステップＳ１４１０３）。以下、図２８を用いて本形態のステップＳ１４１０３の処理を説明する。

　第四乱数生成部１４１０４ａ（図２３）は、０以上Ｋ_ι,G未満の自然数の一様乱数ｒ（ι，４）を生成する。生成された乱数ｒ（ι，４）は、第四入力情報計算部１４１０４ｃａ、第五入力情報計算部１４１０４ｃｂ、及び第一計算部１４１０５に送られる（ステップＳ１４１０３ａ）。第五乱数生成部１４１０４ｂは、０以上Ｋ_ι，Ｇ未満の自然数の一様乱数ｒ（ι，５）を生成する。生成された乱数ｒ（ι，５）は、第五入力情報計算部１４１０４ｃｂ、及び第一計算部１４１０５に送られる（ステップＳ１４１０３ｂ）。

　第四入力情報計算部１４１０４ｃａは、自然数選択部１１１０２で選択された自然数ｂ（ι）、暗号文λ_ιが含むｃ_ι,2、及び乱数ｒ（ι，４）を用い、第四入力情報ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)を計算する（ステップＳ１４１０３ｃ）。第五入力情報計算部１４１０４ｃｂは、自然数選択部１１１０２で選択された自然数ｂ（ι）、暗号文λ_ιが含むｃ_ι,1、及び乱数ｒ（ι，４），ｒ（ι，５）を用い、第五入力情報ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)を計算する（ステップＳ１４１０３ｄ）。

　第六乱数生成部１４１０４ｄは、０以上Ｋ_ι,G未満の自然数の一様乱数ｒ（ι，６）を生成する。生成された乱数ｒ（ι，６）は、第六入力情報計算部１４１０４ｆａ、第七入力情報計算部１４１０４ｆｂ、及び第二計算部１４１０８に送られる（ステップＳ１４１０３ｅ）。第七乱数生成部１４１０４ｅは、０以上Ｋ_G未満の自然数の一様乱数ｒ（ι，７）を生成する。生成された乱数ｒ（ι，７）は、第七入力情報計算部１４１０４ｆｂ、及び第二計算部１４１０８に送られる（ステップＳ１４１０３ｆ）。

　第六入力情報計算部１４１０４ｆａは、自然数選択部１１１０２で選択された自然数ａ（ι）、暗号文λ_ιが含むｃ_ι,2、及び乱数ｒ（ι，６）を用い、第六入力情報ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)を計算する（ステップＳ１４１０３ｇ）。第七入力情報計算部１４１０４ｆｂは、自然数選択部１１１０２で選択された自然数ａ（ι）、暗号文λ_ιが含むｃ_ι,1、及び乱数ｒ（ι，６），ｒ（ι，７）を用い、第七入力情報ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)を計算する（ステップＳ１４１０３ｈ）。

　第一入力情報計算部１４１０４ｃは、以上のように生成した第四入力情報ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)及び第五入力情報ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)を第一入力情報τ_ι,1＝（ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)，ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)）として出力する。第二入力情報計算部１４１０４ｆは、以上のように生成した第六入力情報ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)及び第七入力情報ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)を第二入力情報τ_ι,2＝（ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)，ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)）として出力する（ステップＳ１４１０３ｉ）。

　《ステップＳ１４２００～Ｓ１４２０３の処理》
　図２６に例示するように、まず、第一入力情報τ_ι,1＝（ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)，ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)）が能力提供装置１４２－ι（図２０）の第一出力情報計算部１４２０１－ιに入力され、第二入力情報τ_ι,2＝（ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)，ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)）が第二出力情報計算部１４２０２－ιに入力される（ステップＳ１４２００）。

　第一出力情報計算部１４２０１－ιは、第一入力情報τ_ι,1＝（ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)，ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)）と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)，ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)）を正しく計算し、計算結果を第一出力情報ｚ_ι,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部１４２０１－ιでの計算結果がｆ_ι（ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)，ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)）となる場合もあれば、ｆ_ι（ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)，ｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)）とならない場合もある（ステップＳ１４２０１）。

　第二出力情報計算部１４２０２－ιは、第二入力情報τ_ι,2＝（ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)，ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)）と鍵記憶部１１２０４に記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)，ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)）を正しく計算可能であり、得られた計算結果を第二出力情報ｚ_ι,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部１４２０２－ιでの計算結果がｆ_ι（ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)，ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)）となる場合もあれば、ｆ_ι（ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)，ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)）とならない場合もある（ステップＳ１４２０２）。

　第一出力情報計算部１４２０１－ιは第一出力情報ｚ_ι,1を出力し、第二出力情報計算部１４２０２－ιは第二出力情報ｚ_ι,2を出力する（ステップＳ１４２０３）。

　《ステップＳ１４１０４及びＳ１４１０５の処理》
　図２５に戻り、第一出力情報ｚ_ι,1は計算装置１４１（図１９）の第一計算部１４１０５に入力され、第二出力情報ｚ_ι,2は第二計算部１４１０８に入力される（ステップＳ１４１０４）。

　第一計算部１４１０５は、入力された第一出力情報ｚ_ι,1及び乱数ｒ（ι，４），ｒ（ι，５）を用い、ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)を計算してその計算結果をｕ_ιとする（ステップＳ１４１０５）。計算結果ｕ_ιは、第一べき乗計算部１１１０６に送られる。ここで、ｕ_ι＝ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)＝ｆ_ι（ｃ_ι,1，ｃ_ι,2）^b(ι)ｘ_ι,1となる。すなわち、ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)は、ｆ_ι（ｃ_ι,1，ｃ_ι,2）について誤差Ｘ_ι,1を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ１４１０８の処理》
　第二計算部１４１０８は、入力された第二出力情報ｚ_ι,2及び乱数ｒ（ι，６），ｒ（ι，７）を用い、ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)を計算してその計算結果をｖ_ιとする。計算結果ｖ_ιは、第二べき乗計算部１１１０９に送られる。ここで、ｖ_ι＝ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)＝ｆ_ι（ｃ_ι,1，ｃ_ι,2）^a(ι)ｘ_ι，2となる。すなわち、ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)は、ｆ_ι（ｃ_ι,1，ｃ_ι,2）について誤差Ｘ_ι,2を持つ乱数化可能標本器の出力となる。その理由については後述する。

　≪ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)，ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)がｆ_ι（ｃ_ι,1，ｃ_ι,2）についてそれぞれ誤差Ｘ_ι,1，Ｘ_ι,2を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒ₁、Ｒ₂、Ｒ₁’及びＲ₂’を乱数として、能力提供装置１４２－ιがｃ₁ ^cＶ^R1μ_g ^R2及びｃ₂ ^cＷ^R1を用いて行う計算の計算結果をＢ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）とする。すなわち、第一出力情報計算部１４２０１－ιや第二出力情報計算部１４２０２－ιが計算装置１４１に返す計算結果をｚ＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）とする。さらに、群Ｇに値を持つ確率変数ＸをＸ＝Ｂ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）ｆ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）^-1と定義する。

　このとき、ｚＹ^-R1μ_g ^-R2＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁，ｃ₂）^cｆ（Ｖ，Ｗ）^R1ｆ（μ_g，ｅ_g）^R2Ｙ^-R1μ_g ^-R2＝Ｘｆ（ｃ₁，ｃ₂）^cＹ^R1μ_g ^R2Ｙ^-R1μ_g ^-R2＝ｆ（ｃ₁，ｃ₂）^cＸとなる。すなわち、ｚＹ^-R1μ_g ^-R2は、ｆ（ｘ）について誤差Ｘを持つ乱数化可能標本器の出力となる。なお、ｅ_gは、群Ｇの単位元である。

　上記式展開において、Ｘ＝Ｂ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）ｆ（Ｖ^R1’μ_g ^R2’，Ｗ^R1’）^-1＝Ｂ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）ｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）であり、Ｂ（ｃ₁ ^cＶ^R1μ_ｇ ^R2，ｃ₂ ^cＷ^R1）＝Ｘｆ（ｃ₁ ^cＶ^R1μ_g ^R2，ｃ₂ ^cＷ^R1）であるという性質を用いている。この性質は、Ｒ_１、Ｒ_２、Ｒ_１’及びＲ_２’が乱数であることに基づく。

　したがって、ａ（ι），ｂ（ι）が自然数、ｒ（ι，４），ｒ（ι，５），ｒ（ι，６）及びｒ（ι，７）が乱数であることを考慮すると、同様に、ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)，ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)がｆ_ι（ｃ_ι,1，ｃ_ι,2）についてそれぞれ誤差Ｘ_ι,1，Ｘ_ι,2を持つ乱数化可能標本器の出力となるのである。

　［第十一実施形態］
　上述の第七実施形態から第十実施形態では、計算装置の自然数記憶部１１１０１に、互いに素である２つの自然数ａ（ι），ｂ（ι）の組（ａ（ι），ｂ（ι））が複数種類記憶され、これらの組（ａ（ι），ｂ（ι））を用いて各処理が実行されることとした。しかしながら、ａ（ι），ｂ（ι）の一方が定数であってもよい。例えば、ａ（ι）が１に固定されていてもよいし、ｂ（ι）が１に固定されていてもよい。ιごとに自然数ａ（ι），ｂ（ι）のどちらが定数であるかが異なっていてもよい。言い換えると、第一乱数化可能標本器又は第二乱数化可能標本器の一方が標本器に置換されていてもよい。ａ（ι），ｂ（ι）の一方が定数である場合、定数とされたａ（ι）又はｂ（ι）を選択する処理が不要となり、各処理部は定数とされたａ（ι）又はｂ（ι）が入力されることなく、それを定数として扱って計算を行うことができる。定数とされたａ（ι）又はｂ（ι）が１である場合には、ａ’（ι）やｂ’（ι）を用いることなく、ｆ_ι（λ_ι）＝ｕ_ι ^b’(ι)ｖ_ι ^a’(ι)をｆ_ι（λ_ι）＝ｖ_ι又はｆ_ι（λ_ι）＝ｕ_ιとして得ることができる。

　第十一実施形態は、そのような変形の一例であり、ｂ（ι）が１に固定され、第二乱数化可能標本器が標本器に置換された形態である。以下では、第七実施形態との相違点を中心に説明し、復号制御処理などの第七実施形態と共通する事項については説明を省略する。第一乱数化可能標本器や標本器の具体例も、第八実施形態から第十実施形態で説明したのと同様であるため、説明を省略する。

　＜構成＞
　図１８に例示するように、第十一実施形態の代理計算システム１０５は、第七実施形態の計算装置１１１が計算装置１５１に置換され、能力提供装置１１２－１，・・・，１１２－Γが能力提供装置１５２－１，・・・，１５２－Γに置換されたものである。

　図２９に例示するように、第十一実施形態の計算装置１５１は、例えば、自然数記憶部１５１０１と自然数選択部１５１０２と入力情報提供部１５１０４と第一計算部１５１０５と第一べき乗計算部１１１０６と第一リスト記憶部１１１０７と第二計算部１５１０８と第二リスト記憶部１５１１０と判定部１５１１１と最終出力部１５１１２と制御部１１１１３とを有する。
　図２０に例示するように、第十一実施形態の能力提供装置１５２－ιは、例えば、第一出力情報計算部１５２０１－ιと第二出力情報計算部１５２０２－ιと鍵記憶部１１２０４－ιと制御部１１２０５－ιとを有する。能力提供装置１５２－（ι＋１），・・・，５２－Γが存在する場合、これらの構成は能力提供装置１５２－ιと同様である。

　＜復号処理＞
　次に本形態の復号処理を説明する。復号処理の前提として、Ｇ_ι，Ｈ_ιを群（例えば、可換群）、ｆ_ι（λ_ι）を群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して群Ｇ_ιの元を得るための復号関数、群Ｇ_ι，Ｈ_ιの生成元をそれぞれμ_ι,g，μ_ι,h、Ｘ_ι,1，Ｘ_ι,2を群Ｇ_ιに値を持つ確率変数、確率変数Ｘ_ι,1の実現値をｘ_ι,1、確率変数Ｘ_ι,2の実現値をｘ_ι,2とする。計算装置１５１の自然数記憶部１５１０１には、自然数ａ（ι）が複数種類記憶されているものとする。

　図３０に例示するように、まず、計算装置１５１（図２９）の自然数選択部１５１０２が、自然数記憶部１５１０１に記憶された複数の自然数ａ（ι）から１つの自然数ａ（ι）をランダムに読み込む。読み込まれた自然数ａ（ι）の情報は、入力情報提供部１５１０４及び第一べき乗計算部１１１０６に送られる（ステップＳ１５１００）。

　制御部１１１１３は、ｔ_ι＝１とする（ステップＳ１１１０２）。
　入力情報提供部１５１０４は、入力された暗号文λ_ιにそれぞれ対応する第一入力情報τ_ι,1及び第二入力情報τ_ι,2を生成して出力する。好ましくは、第一入力情報τ_ι,1及び第二入力情報τ_ι,2はそれぞれ暗号文λ_ιとの関係をかく乱させた情報である。これにより、計算装置１５１は、暗号文λ_ιを能力提供装置１５２－ιに対して隠蔽できる。好ましくは、本形態の第二入力情報τ_ι,2は自然数選択部１５１０２で選択された自然数ａ（ι）にさらに対応する。これにより、能力提供装置１５２－ιから提供された復号能力を計算装置１５１が高い精度で評価できる（ステップＳ１５１０３）。第一入力情報τ_ι,1及び第二入力情報τ_ι,2の組みの具体例は、第八実施形態から第十実施形態の何れかのｂ（ι）＝１とした第一入力情報τ_ι,1及び第二入力情報τ_ι,2の組みである。

　図２６に例示するように、第一入力情報τ_ι,1は能力提供装置１５２－ι（図２０）の第一出力情報計算部１５２０１－ιに入力され、第二入力情報τ_ι,2は第二出力情報計算部１５２０２－ιに入力される（ステップＳ１５２００）。

　第一出力情報計算部１５２０１－ιは、第一入力情報τ_ι,1と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた計算結果を第一出力情報ｚ_ι,1とする（ステップＳ１５２０１）。第二出力情報計算部１５２０２－ιは、第二入力情報τ_ι,2と鍵記憶部１１２０４－ιに記憶された復号鍵ｓ_ιとを用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2とする（ステップＳ１５２０２）。すなわち、第一出力情報計算部１５２０１－ιや第二出力情報計算部１５２０２－ιは、意図的又は意図的ではない誤差を含んだ計算結果を出力する。言い換えると、第一出力情報計算部１５２０１－ιでの計算結果がｆ_ι（τ_ι,1）の場合もあればｆ_ι（τ_ι,1）でない場合もあり、第二出力情報計算部１５２０２－ιでの計算結果がｆ_ι（τ_ι,2）の場合もあればｆ_ι（τ_ι,2）でない場合もある。第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の組の具体例は、第八実施形態から第十実施形態の何れかのｂ（ι）＝１とした第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の組である。

　第一出力情報計算部１５２０１－ιは第一出力情報ｚ_ι,1を出力し、第二出力情報計算部１５２０２－ιは第二出力情報ｚ_ι,2を出力する（ステップＳ１５２０３）。

　図３０に戻り、第一出力情報ｚ_ι,1は計算装置１５１（図２９）の第一計算部１５１０５に入力され、第二出力情報ｚ_ι,2は第二計算部１５１０８に入力される。これらの第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2が、能力提供装置１５２－ιから計算装置１５１に与えられた復号能力に相当する（ステップＳ１５１０４）。

　第一計算部１５１０５は、第一出力情報ｚ_ι,1から演算結果ｕ_ι＝ｆ_ι（λ_ι）ｘ_ι,1を生成する。演算結果ｕ_ιの具体例は、第八実施形態から第十実施形態の何れかのｂ_ι＝１とした演算結果ｕ_ιである。演算結果ｕ_ιは第一べき乗計算部１１１０６に送られる（ステップＳ１５１０５）。

　第一べき乗計算部１１１０６はｕ_ι’＝ｕ_ι ^a(ι)を計算する。計算結果ｕ_ιとその計算結果に基づいて計算されたｕ_ι’との組（ｕ_ι，ｕ_ι’）は、第一リスト記憶部１１１０７に記憶される（ステップＳ１１１０６）。

　第二計算部１５１０８は、第二出力情報ｚ_ι,2から演算結果ｖ_ι＝ｆ_ι（λ_ι）^a(ι)ｘ_ι,2を生成する。演算結果ｖ_ιの具体例は、第八実施形態から第十実施形態の何れかの演算結果ｖ_ιである。演算結果ｖ_ιは第二リスト記憶部１５１１０に記憶される（ステップＳ１５１０８）。

　判定部１５１１１は、第一リスト記憶部１１１０７に記憶された組（ｕ_ι，ｕ_ι’）及び第二リスト記憶部１５１１０に記憶されたｖ_ιの中で、ｕ_ι’＝ｖ_ιとなるものがあるか判定する（ステップＳ１５１１０）。ｕ_ι’＝ｖ_ιとなるものがあった場合には、ステップＳ１５１１４に進む。ｕ_ι’＝ｖ_ιとなるものがなかった場合には、ステップＳ１１１１１に進む。

　ステップＳ１１１１１では、制御部１１１１３がｔ_ι＝Ｔ_ιであるか判定する（ステップＳ１１１１１）。Ｔ_ιは予め定められた自然数である。ｔ_ι＝Ｔ_ιであれば、最終出力部１５１１２が、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１１１３）、処理を終える。ｔ_ι＝Ｔ_ιでない場合には、制御部１１１１３は、ｔ_ιを１だけインクリメント、すなわちｔ_ι＝ｔ_ι＋１として（ステップＳ１１１１２）、ステップＳ１５１０３に戻る。

　ステップＳ１５１１４では、最終出力部１５１１２が、ｕ_ι’＝ｖ_ιであると判定されたｕ_ι’に対応するｕ_ιを出力する（ステップＳ１５１１４）。このように得られたｕ_ιは、第七実施形態から第十実施形態でｂ（ι）＝１とした場合のｕ_ι ^b’(ι)ｖ_ι ^a’(ι)に相当する。すなわち、このように得られたｕ_ιは高い確率で暗号文λ_ιを特定の復号鍵ｓ_ιで復号した復号結果ｆ_ι（λ_ι）となる。よって、上述した処理を複数回繰り返し、ステップＳ１５１１４で得られた値のうち最も頻度の高い値を復号結果ｆ_ι（λ_ι）とすればよい。後述するように、設定によっては圧倒的な確率でｕ_ι＝ｆ_ι（λ_ι）となる。その場合にはステップＳ１５１１４で得られた値をそのまま復号結果ｆ_ι（λ_ι）としてよい。その後の処理は第七実施形態で説明したとおりである。

　≪復号結果ｆ_ι（λ_ι）が得られる理由について≫
　次に、本形態の計算装置１５１で復号結果ｆ_ι（λ_ι）が得られる理由を説明する。ここでは表記の簡略化のためιを省略して説明する。まず、説明に必要な事項を定義する。

　ブラックボックス（black-box）：
　ｆ（τ）のブラックボックスＦ（τ）とは、τ∈Ｈを入力としてｚ∈Ｇを出力する処理部を意味する。本形態では、第一出力情報計算部１５２０１及び第二出力情報計算部１５２０２が、それぞれ復号関数ｆ（τ）のブラックボックスＦ（τ）に相当する。群Ｈから任意に選択された元τ∈_UＨ及びｚ＝Ｆ（τ）に対してｚ＝ｆ（τ）を満たす確率がδ（０＜δ≦１）よりも大きい場合、すなわち、
　Ｐｒ［ｚ＝ｆ（τ）｜τ∈_UＨ，ｚ＝Ｆ（τ）］＞δ…(8)
を満たすｆ（τ）のブラックボックスＦ（τ）のことを、信頼性δ（δ-reliable）のｆ（τ）のブラックボックスＦ（τ）という。なお、δは正の値であり、前述した「或る確率」に相当する。

　自己訂正器（self-corrector）：
　自己訂正器Ｃ^F（λ）とは、λ∈Ｈを入力とし、ｆ（τ）のブラックボックスＦ（τ）を用いて計算を行い、ｊ∈Ｇ∪⊥を出力する処理部を意味する。本形態では、計算装置１５１が自己訂正器Ｃ^F（λ）に相当する。

　オールモスト自己訂正器（almost self-corrector）：
　自己訂正器Ｃ^Ｆ（λ）が、λ∈Ｈを入力とし、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、正しい値ｊ＝ｆ（λ）を出力する確率が、誤った値ｊ≠ｆ（λ）を出力する確率よりも十分大きい場合を想定する。すなわち、
　Ｐｒ［ｊ＝ｆ（λ）｜ｊ＝Ｃ^F（λ），ｊ≠⊥］
　　＞Ｐｒ［ｊ≠ｆ（λ）｜ｊ＝Ｃ^F（λ），ｊ≠⊥］＋Δ…(9)
を満たす場合を想定する。なお、Δは或る正の値（０＜Δ＜１）である。このような場合、自己訂正器Ｃ^F（λ）はオールモスト自己訂正器であるという。例えば、或る正の値Δ’（０＜Δ’＜１）に対して
　　Ｐｒ［ｊ＝ｆ（λ）｜ｊ＝Ｃ^F（λ）］＞（１／３）＋Δ’
　　Ｐｒ［ｊ＝⊥｜ｊ＝Ｃ^F（λ）］＜１／３
　　Ｐｒ［ｊ≠ｆ（λ）かつｊ≠⊥｜ｊ＝Ｃ^F（λ）］＜１／３
を満たす場合、自己訂正器Ｃ^F（λ）はオールモスト自己訂正器である。Δ’の例はΔ’＝１／１２や１／３である。

　ローバスト自己訂正器（robust self-corrector）：
　自己訂正器Ｃ^F（λ）が、λ∈Ｈを入力とし、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、正しい値ｊ＝ｆ（λ）又はｊ＝⊥を出力する確率が圧倒的である場合を想定する。すなわち、無視することができる誤差ξ（０≦ξ＜１）に対して
Ｐｒ［ｊ＝ｆ（λ）またはｊ＝⊥｜ｊ＝Ｃ^F（λ）］＞１－ξ…(10)
を満たす場合を想定する。このような場合、自己訂正器Ｃ^Ｆ（λ）はローバスト自己訂正器であるという。なお、無視することができる誤差ξの例は、セキュリティパラメータｋの関数値ξ（ｋ）である。関数値ξ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ξ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ξ（ｋ）の具体例は、ξ（ｋ）＝２^-kやξ（ｋ）＝２^-√kなどである。

　オールモスト自己訂正器からローバスト自己訂正器を構成することができる。すなわち、同一のλに対してオールモスト自己訂正器を複数回実行させ、⊥を除いて最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。例えば、同一のλに対してオールモスト自己訂正器をＯ（ｌｏｇ（１／ξ））回実行させ、最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。なお、Ｏ（・）はオー記法を表す。

　擬似自由（pseudo-free）な作用：
　群Ｇ、自然数の集合Ω＝｛０，．．．，Ｍ｝（Ｍは１以上の自然数）、群Ｇに値を持つ確率変数Ｘ₁，Ｘ₂の各実現値α∈Ｘ₁（α≠ｅ_g），β∈Ｘ₂、及びａ∈Ωについて、α^a＝βとなる確率
Ｐｒ［α^a＝βかつα≠ｅ_g｜ａ∈_UΩ，α∈Ｘ₁，β∈Ｘ₂］…(11)
について、あらゆる可能なＸ₁，Ｘ₂に関する上限値を、組（Ｇ，Ω）の疑似自由指標とよび、これをＰ（Ｇ，Ω）と表すことにする。ある無視することができる関数ζ（ｋ）が存在して、
　　　Ｐ（Ｇ，Ω）＜ζ（ｋ）…(12)
である場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用であるという。なお、「α^a」は、群Ｇで定義された演算をαに対してａ回作用させることを意味する。無視することができる関数ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。例えば、セキュリティパラメータｋに対し、式（１１）の確率がＯ（２^－k）未満である場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用である。例えば、任意の^∀α∈Ｇでα≠ｅ_ｇであるものについて、集合Ω・α＝｛ａ（α）｜ａ∈Ω｝の要素数｜Ω・α｜が２^kを超える場合、組（Ｇ，Ω）によって定義される演算は擬似自由な作用といえる。なお、ａ（α）は、ａとαに所定の演算を作用させた結果を表す。このような具体例は数多く存在する。例えば、群Ｇが素数ｐを法とする剰余群Ｚ／ｐＺであり、素数ｐが２^kのオーダーであり、集合Ω＝｛０，．．．，ｐ－２｝であり、ａ（α）がα^a∈Ｚ／ｐＺであり、α≠ｅ_gである場合、Ω・α＝｛α^ａ｜ａ＝０，．．．，ｐ－２｝＝｛ｅ_g，α¹，．．．，α^p-2｝となり、｜Ω・α｜＝ｐ－１である。素数ｐが２^kのオーダーであるため、ある定数Ｃが存在して、ｋが十分大きければ｜Ω・α｜＞Ｃ２^kを満たす。ここで式（１１）の確率はＣ^-1２^-k未満であり、このような組（Ｇ，Ω）によって定義される演算は擬似自由な作用である。

　信頼性δ^γ（δ^γ-reliable）の乱数化可能標本器：
　自然数ａが与えられるたびに、δ-reliableのｆ（τ）のブラックボックスＦ（τ）を用い、ｗ∈Ｇについて、確率変数Ｘに従った標本ｘ’に対応するｗ^aｘ’を返す乱数化可能標本器であって、ｗ^aｘ’＝ｗ^aである確率がδ^γよりも大きい（γは正定数）、すなわち、
　　　Ｐｒ［ｗ^aｘ’＝ｗ^a］＞δ^γ…(13)
を満たすものを、信頼性δ^γな乱数化可能標本器という。本形態の入力情報提供部１５１０４と第二出力情報計算部１５２０２と第二計算部１５１０８との組は、ｗ＝ｆ（λ）について、信頼性δ^γな乱数化可能標本器である。

　次に、これらの定義を用い、本形態の計算装置１５１で復号結果ｆ（λ）が得られる理由を説明する。
　本形態のステップＳ１５１１０ではｕ’＝ｖであるか、すなわち、ｕ^a＝ｖであるかを判定している。本形態の入力情報提供部１５１０４と第二出力情報計算部１５２０２と第二計算部１５１０８との組は信頼性δ^γな乱数化可能標本器であるため（式（１３））、Ｔをｋ，δ，γから定まる一定値よりも大きい値とすれば、漸近的に大きい確率でｕ^a＝ｖが成立する（ステップＳ１５１１０でｙｅｓとなる）場合が生じる。たとえば、Ｔ≧４／δ^γとすれば、ｕ^a＝ｖが成立する（ステップＳ１５１１０でｙｅｓとなる）確率は１／２よりも大きいことがＭａｒｋｏｖの不等式によってわかる。

　本形態ではｕ＝ｆ（λ）ｘ₁及びｖ＝ｆ（λ）^aｘ₂なのであるから、ｕ^a＝ｖが成立する場合にはｘ₁ ^a＝ｘ₂が成立する。ｘ₁ ^a＝ｘ₂が成立する場合には、ｘ₁＝ｘ₂＝ｅ_gである場合とｘ₁≠ｅ_gである場合とがある。ｘ₁＝ｘ₂＝ｅ_gである場合には、ｕ＝ｆ（λ）となるのであるから、ステップＳ１５１１４で出力されるｕは正しい復号結果ｆ（λ）となる。一方、ｘ₁≠ｅ_gである場合には、ｕ≠ｆ（λ）となるのであるから、ステップＳ１５１１４で出力されるｕは正しい復号結果ｆ（λ）ではない。

　群Ｇと自然数ａが属する集合Ωとの組（Ｇ，Ω）によって定義される演算が擬似自由な作用であるか、疑似自由指標Ｐ（Ｇ，Ω）についてＴ²Ｐ（Ｇ，Ω）が漸近的に小さい場合、ｕ^a＝ｖの場合にｘ₁≠ｅ_gである確率（式（１１））は漸近的に小さい。したがって、ｕ^a＝ｖの場合にｘ₁＝ｅ_gである確率は漸近的に大きい。よって、組（Ｇ，Ω）によって定義される演算が擬似自由な作用であるか、Ｔ²Ｐ（Ｇ，Ω）が漸近的に小さい場合、ｕ^a＝ｖの場合に誤った復号結果ｆ（λ）が出力される確率は、ｕ^a＝ｖの場合に正しい復号結果ｆ（λ）が出力される確率よりも十分小さい。この場合の計算装置１５１はオールモスト自己訂正器であるといえる（式（９）参照）。そのため、前述のように、計算装置１５１からローバスト自己訂正器を構成することが可能であり、圧倒的な確率で正しい復号結果ｆ（λ）を得ることができる。（Ｇ，Ω）で定義される演算が疑似自由な作用である場合には、ｕ^a＝ｖの場合に誤った復号結果ｆ（λ）が出力される確率も無視できる。この場合の計算装置１５１は、圧倒的な確率で正しい復号結果ｆ（λ）または⊥を出力する。

　なお、任意の定数ρに対して₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に小さい」という。ｋ’の例はセキュリティパラメータｋである。

　任意の定数ρに対してｋ₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値１－η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に大きい」という。

　なお、ａをａ／ｂに置換すれば分かるように、上述の証明は第七実施形態で述べた「ｕ’＝ｖ’が成立するのは、第一乱数化可能標本器がｕ＝ｆ（λ）^bを正しく計算しており、第二乱数化可能標本器がｖ＝ｆ（λ）^aを正しく計算している（ｘ₁及びｘ₂が群Ｇの単位元ｅ_gである）可能性が高い」ことの証明ともなる。

　《信頼性δ^γな乱数化可能標本器と安全性について》
　以下のような攻撃を想定する。
　・ブラックボックスＦ（τ）又はその部分が意図的に不正なｚを出力する、又は、ブラックボックスＦ（τ）から出力された値が不正なｚに改ざんされる。
　・不正なｚに対応するｗ^aｘ’が乱数化可能標本器から出力される。
　・不正なｚに対応するｗ^aｘ’は、自己訂正器Ｃ^F（λ）でｕ^a＝ｖが成立する（ステップＳ１５１１０でｙｅｓとなる）にもかかわらず、自己訂正器Ｃ^Ｆ（λ）が誤った値を出力する確率を増加させる。
　このような攻撃は、与えられた自然数ａに対して乱数化可能標本器から出力されたｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aが自然数ａに依存する場合に可能となる。例えば、第二計算部１５１０８から出力されるｖがｆ（λ）^aｘ₁ ^aとなるような不正が行われた場合、ｘ₁の値にかかわらず、必ずｕ^a＝ｖが成立することになる。よって、与えられた自然数ａに対して乱数化可能標本器から出力されたｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aが当該自然数ａに依存しないことが望ましい。

　あるいは、集合Ωのいかなる元ａ∈^∀Ωについても、ｗ^aｘ’の誤差の確率分布Ｄ_a＝ｗ^aｘ’ｗ^-aと区別することができない群Ｇに値を持つ確率分布Ｄが存在する（確率分布Ｄ_aと確率分布Ｄとが統計的に近似する（statistically-close））乱数化可能標本器であることが望ましい。なお、確率分布Ｄは自然数ａに依存しない。確率分布Ｄ_aと確率分布Ｄとを区別することができないとは、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができないことを意味し、例えば、無視することができるζ（０≦ζ＜１）に対して
Σ_g∈G｜Ｐｒ［ｇ∈Ｄ］－Ｐｒ［ｇ∈Ｄ_a］｜＜ζ…(14)
を満たすならば、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができない。無視することができるζの例は、セキュリティパラメータｋの関数値ζ（ｋ）である。関数値ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。これらの点は自然数ａ及びｂを使用する第七実施形態から第十実施形態についても同様である。

　［第七実施形態から第十一実施形態の変形例］
　第七実施形態から第十一実施形態では、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2が計算装置に与えられた場合、計算装置はある確率でｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を出力できる。ｕ_ι ^b’(ι)ｖ_ι ^a’(ι)は高い確率で暗号文λ_ιの復号値となる。一方、第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方が復号装置に与えられなかった場合、計算装置は暗号文λ_ιの復号値を得ることができない。

　第七実施形態から第十一実施形態では、能力提供装置による第一出力情報ｚ_ι,1及び第二出力情報ｚ_ι,2の両方の出力の有無を制御することで、計算装置に復号鍵を与えることなく、計算装置による暗号文の復号能力を制御できる。

　本発明は上述の実施形態に限定されるものではない。例えば、上述の各実施形態ではωが２以上の整数であるとしたが、ωが１であってもよい。すなわち、能力提供装置が１つのみ存在する構成であってもよい。この場合の計算装置は復元部を含まなくともよく、最終出力部からの出力値をそのまま出力してもよい。例えば、前述した第一実施形態から第五実施形態の何れかのシステムが復号制御装置をさらに有し、復号制御装置が、計算装置の復号処理を制御する復号制御命令を能力提供装置に出力し、能力提供装置が、復号制御命令に従って、第一出力情報計算部及び前記第二出力情報計算部から、第一出力情報ｚ₁及び第二出力情報ｚ₂の両方が出力されるか否かを制御してもよい。例えば、前述の第六実施形態のシステムが復号制御装置をさらに有し、復号制御装置が、計算装置の復号処理を制御する復号制御命令を能力提供装置に出力し、能力提供装置が、復号制御命令に従って、第一出力情報計算部及び第二出力情報計算部から、第一出力情報_Mｚ₁及び第二出力情報_Mｚ₂の両方が出力されるか否かを制御してもよい。

　確率変数Ｘ_ι,1、Ｘ_ι,2及びＸ_ι,3は、同じでも異なっていてもよい。
　第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部のそれぞれが一様乱数を生成することにより、代理計算システムの安全性を高くできる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部、第二乱数生成部、第三乱数生成部、第四乱数生成部、第五乱数生成部、第六乱数生成部及び第七乱数生成部の少なくとも一部が、一様乱数ではない乱数を生成してもよい。演算効率上からは、上述の各実施形態のように０以上Ｋ_H未満の自然数である乱数や０以上Ｋ_ι,G未満の自然数である乱数が選択されることが望ましいが、それらの代わりにＫ_ι,H以上やＫ_ι,G以上の自然数の乱数が選択されてもよい。

　計算装置が同一のａ（ι），ｂ（ι）に対応する第一入力情報τ_ι,1及び第二入力情報τ_ι,2を能力提供装置に提供するたびに、能力提供装置の処理が複数回実行させてもよい。これにより、計算装置が第一入力情報τ_ι,1及び第二入力情報τ_ι,2を能力提供装置に一回提供するたびに、計算装置は第一出力情報ｚ_ι,1や第二出力情報ｚ_ι,2や第三出力情報ｚ_ι,3を複数個得ることができる。これにより、計算装置と能力提供装置との間のやり取り回数や通信量を減らすことができる。

　計算装置が複数種類の第一入力情報τ_ι,1及び第二入力情報τ_ι,2を能力提供装置にまとめて提供し、対応する第一出力情報ｚ_ι,1や第二出力情報ｚ_ι,2や第三出力情報ｚ_ι,3を複数個まとめて取得してもよい。これにより、計算装置と能力提供装置との間のやり取り回数を減らすことができる。

　各形態ではωが定数であることとしたが、ωの値を代理計算システム内で共有できるのであれば、ωが変数であってもよい。
　計算装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、能力提供装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　各実施形態の第一計算部や第二計算部において得られたｕ_ιやｖ_ιが群Ｇ_ιの元であるかを確認し、群Ｇ_ιの元であった場合には上述した処理を続行し、ｕ_ι又はｖ_ιが群Ｇ_ιの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。

　その他、例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。複数の能力提供装置が１つの装置内に構成されていてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　［第十二実施形態］
　本発明の第十二実施形態を説明する。本形態では、Φ個（Φは２以上の整数）の計算装置が１個の能力提供装置を共用して計算を行い、能力提供装置が計算装置からその対価を受ける例を説明する。ただし、これは本発明を限定するものではなく、Φ個の計算装置が複数個の能力提供装置を共用して計算を行ってもよい。

　＜構成＞
　図３１に例示するように、第十二実施形態の代理計算システム２０１は、例えば、Φ個の計算装置２１１－φ（φ＝１，…，Φ）と１個の能力提供装置２１２とを有する。各装置は情報のやり取りが可能なように構成される。例えば、各装置は伝送線やネットワークや可搬型記録媒体などを経由した情報のやり取りが可能とされている。

　本形態では、能力提供装置２１２が群Ｈ_φの元を群Ｇ_φの元へ写す関数ｆ_φを計算する能力（計算能力）を各計算装置２１１－φに与える。各計算装置２１１－φはこの能力に対する対価を能力提供装置２１２に支払う。各計算装置２１１－φは、提供された能力を用い、群Ｈ_φの元ｘ_φに対する群Ｇ_φの元ｆ_φ（ｘ_φ）を計算する。
　図３２に例示するように、第十二実施形態の計算装置２１１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２１１０４－φと第一計算部２１１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２１１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２１１１１－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。計算装置２１１－φは、制御部２１１１３－φの制御のもとで各処理を実行する。計算装置２１１－φの例は、特別なプログラムが読み込まれたＣＰＵ（central processing unit）やＲＡＭ（random-access memory）を備えた公知又は専用のコンピュータや、サーバ装置やゲートウェイ装置やカードリーダライタ装置や携帯電話などの計算機能と記憶機能とを備えた機器などである。

　図３３に例示するように、第十二実施形態の能力提供装置２１２は、例えば、それぞれ、第一出力情報計算部２１２０１と第二出力情報計算部２１２０２と制御部２１２０５とを有する。能力提供装置２１２は、制御部２１２０５の制御のもとで各処理を実行する。能力提供装置２１２の例は、特別なプログラムが読み込まれたＣＰＵやＲＡＭを備えた公知又は専用のコンピュータや、携帯電話などの計算機能と記憶機能とを備えた機器や、ＩＣカードやＩＣチップなどの耐タンパ性モジュールなどである。

　＜処理の前提＞
　Ｇ_φ，Ｈ_φが群（例えば、可換群）であり、Ｘ_φ,1，Ｘ_φ,2が群Ｇ_φに値を持つ確率変数であり、ｘ_φ,1が確率変数Ｘ_φ,1の実現値であり、ｘ_φ,2が確率変数Ｘ_φ,2の実現値であり、ｆ_φが群Ｈ_φの元を群Ｇ_φの元へ写す関数であり、ａ（φ），ｂ（φ）が互いに素である自然数であるとする。ｆ_φの具体例は、暗号化関数、復号関数、再暗号化関数、画像処理処理用の関数、音声処理用の関数などである。Ｇ_φ＝Ｈ_φであってもよいし、Ｇ_φ≠Ｈ_φであってもよい。すべての群Ｇ_φ（φ＝１，…，Φ）が互いに同一であってもよいし、少なくとも一部のφ’≠φに対する群Ｇ_φ’が他の群Ｇ_φと相違してもよい。すべての群Ｈ_φ（φ＝１，…，Φ）が互いに同一であってもよいし、少なくとも一部のφ’≠φに対する群Ｈ_φ’が他の群Ｈ_φと相違してもよい。以下では群Ｇ_φ，Ｈ_φ上の演算を乗法的に表現する。ａ（φ），ｂ（φ）は互いに素な自然数であり、「自然数」とは０以上の整数を表す。群Ｈ_φの元Ｍ_φに対する群Ｇ_φの元ｆ_φ（Ｍ_φ）^{ａ（φ）ｂ（φ）}を要素とする集合を「元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）」と呼ぶ。ここでＣＬ_φ（Ｍ_φ）とＣＬ_φ’（Ｍ_φ’）（φ’≠φ）とは互いに異なる類である。関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数である場合、同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）には、ａ（φ），ｂ（φ）の組に対して、一つの要素のみが属する。ａ（φ），ｂ（φ）の組みごとに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に一つの要素のみが属する場合、二つの値が同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属することと当該二つの値が等しいこととが等価となる。すなわち、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数である場合、二つの値が同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するかの判定は当該二つの値が等しいかを判定することで行うことができる。一方、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数でない場合（例えば、関数ｆ_φがＥｌＧａｍａｌ暗号方式のような確率暗号方式の暗号化関数の場合）、平文と暗号化鍵との組に対して複数の暗号文が対応するため、同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）には、ａ（φ），ｂ（φ）の組に対して、複数の要素が属する。

　各計算装置２１１－φ（図３２）の自然数記憶部２１１０１－φに、互いに素である２つの自然数ａ（φ），ｂ（φ）の組（ａ（φ），ｂ（φ））が複数種類記憶されているものとする。Ｉ_φを群Ｇ_φの位数未満の２つの自然数の組で互いに素なものの集合とすると、自然数記憶部２１１０１－φにはＩ_φの部分集合Ｓ_φに対応する自然数ａ（φ），ｂ（φ）の組（ａ（φ），ｂ（φ））が記憶されていると考えることができる。

　＜処理＞
　計算装置２１１－φが能力提供装置２１２を利用して行う処理を説明する。これらの処理は処理を行う何れか１つの計算装置２１１－φが能力提供装置２１２を或る時間占有した状態で実行されてもよいし、処理を行う複数の計算装置２１１－φが能力提供装置２１２にアクセスして並列に実行されてもよい。

　群Ｈ_φの元ｘ_φが計算装置２１１－φ（図３２）の入力情報提供部２１１０４－φに入力される。既に元ｘ_φが入力情報提供部２１１０４－φに入力されている場合にはこの処理が省略されてもよい。
　図３７に例示するように、元ｘ_φが入力情報提供部２１１０４－φに入力された計算装置２１１－φの自然数選択部２１１０２－φは、自然数記憶部２１１０１－φに記憶された複数の自然数の組（ａ（φ），ｂ（φ））から１つの自然数の組（ａ（φ），ｂ（φ））をランダムに読み込む。読み込まれた自然数の組（ａ（φ），ｂ（φ））少なくとも一部の情報は、整数計算部２１１０３－φ、入力情報提供部２１１０４－φ、第一べき乗計算部２１１０６－φ及び第二べき乗計算部２１１０９－φに送られる（ステップＳ２１１００）。

　整数計算部２１１０３－φは、送られた自然数の組（ａ（φ），ｂ（φ））を用いて、ａ’（φ）ａ（φ）＋ｂ’（φ）ｂ（φ）＝１の関係を満たす整数ａ’（φ），ｂ’（φ）を計算する。自然数ａ（φ），ｂ（φ）は互いに素であるため、ａ’（φ）ａ（φ）＋ｂ’（φ）ｂ（φ）＝１の関係を満たす整数ａ’（φ），ｂ’（φ）は必ず存在して、その計算方法もよく知られている。たとえば拡張互除法などのよく知られたアルゴリズムによって整数ａ’，ｂ’が計算され、自然数の組（ａ’（φ），ｂ’（φ））の情報は、最終出力部２１１１２－φに送られる（ステップＳ２１１０１）。

　制御部２１１１３－φは、ｔ＝１とする（ステップＳ２１１０２）。
　入力情報提供部２１１０４－φは、入力された元ｘ_φにそれぞれ対応する第一入力情報τ_φ,1及び第二入力情報τ_φ,2を生成して出力する。好ましくは、第一入力情報τ_φ,1及び第二入力情報τ_φ,2はそれぞれ元ｘ_φとの関係をかく乱させた情報である。これにより、計算装置２１１－φは、元ｘ_φを能力提供装置２１２に対して隠蔽できる。好ましくは、本形態の第一入力情報τ_φ,1は自然数選択部２１１０２－φで選択された自然数ｂ（φ）にさらに対応し、第二入力情報τ_φ,2は自然数選択部２１１０２－φで選択された自然数ａ（φ）にさらに対応する。これにより、能力提供装置２１２から提供された計算能力を計算装置２１１－φが高い精度で評価することができる（ステップＳ２１１０３）。

　図３８に例示するように、第一入力情報τ_φ,1は能力提供装置２１２（図３３）の第一出力情報計算部２１２０１に入力され、第二入力情報τ_φ,2は第二出力情報計算部２１２０２に入力される（ステップＳ２１２００）。

　第一出力情報計算部２１２０１は、第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた計算結果を第一出力情報ｚ_φ,1とする（ステップＳ２１２０１）。第二出力情報計算部２１２０２は、第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とする（ステップＳ２１２０２）。なお、「或る確率」は１００％未満の確率である。「或る確率」の例は無視することができない確率であり、「無視することができない確率」の例は、セキュリティパラメータｋについての広義単調増加関数である多項式を多項式ψ（ｋ）とした場合の１／ψ（ｋ）以上の確率である。すなわち、第一出力情報計算部２１２０１や第二出力情報計算部２１２０２は、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部２１２０１での計算結果がｆ_φ（τ_φ,1）の場合もあればｆ_φ（τ_φ,1）でない場合もあり、第二出力情報計算部２１２０２－φでの計算結果がｆ_φ（τ_φ,2）の場合もあればｆ_φ（τ_φ,2）でない場合もある。第一出力情報計算部２１２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報計算部２１２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２１２０３）。

　図３７に戻り、第一出力情報ｚ_φ,1は計算装置２１１－φ（図３２）の第一計算部２１１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２１１０８－φに入力される。これらの第一出力情報ｚ_φ,1及び第二出力情報ｚ_φ,2が、能力提供装置２１２から計算装置２１１－φに与えられた計算能力に相当する（ステップＳ２１１０４）。計算能力が与えられた計算装置２１１－φの利用者は、その対価を能力提供装置２１２に対して支払う。対価の支払い方法は、例えば、公知の電子決済処理などによって行えばよい。

　第一計算部２１１０５－φは、第一出力情報ｚ_φ,1から演算結果ｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1を生成する。ここで、ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1を生成（計算）するとは、ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1と定義される式の値を計算することである。式ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。演算結果ｕ_φは第一べき乗計算部２１１０６－φに送られる（ステップＳ２１１０５）。

　第一べき乗計算部２１１０６－φはｕ_φ’＝ｕ_φ ^a(φ)を計算する。計算結果ｕ_φとその計算結果に基づいて計算されたｕ_φ’との組（ｕ_φ，ｕ_φ’）は、第一リスト記憶部２１１０７－φに記憶される（ステップＳ２１１０６）。

　判定部２１１１１－φは、第一リスト記憶部２１１０７－φに記憶された組（ｕ_φ，ｕ_φ’）及び第二リスト記憶部２１１１０－φに記憶された組（ｖ_φ，ｖ_φ’）の中で、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するものがあるかを判定する。Ｍ_φ＝ｘ_φであることまでは判定できなくてもよい（以下同様）。言い換えると、判定部２１１１１－φは、同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組があるか判定する。例えば、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数である場合、判定部２１１１１－φはｕ_φ’＝ｖ_φ’であるかを判定する（ステップＳ２１１０７）。もし、第二リスト記憶部２１１１０－φに組（ｖ_φ，ｖ_φ’）が記憶されていない場合には、このステップＳ２１１０７の処理を行わずに、次のステップＳ２１１０８の処理を行う。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組があった場合には、ステップＳ２１１１４に進む。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組がなかった場合には、ステップＳ２１１０８に進む。

　ステップＳ２１１０８では、第二計算部２１１０８－φが、第二出力情報ｚ_φ,2から演算結果ｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2を生成する。演算結果ｖ_φは第二べき乗計算部２１１０９－φに送られる（ステップＳ２１１０８）。

　第二べき乗計算部２１１０９－φはｖ_φ’＝ｖ_φ ^b(φ)を計算する。計算結果ｖ_φとその計算結果に基づいて計算されたｖ_φ’との組（ｖ_φ，ｖ_φ’）は、第二リスト記憶部２１１１０－φに記憶される（ステップＳ２１１０９）。

　判定部２１１１１－φは、第一リスト記憶部２１１０７－φに記憶された組（ｕ_φ，ｕ_φ’）及び第二リスト記憶部２１１１０－φに記憶された組（ｖ_φ，ｖ_φ’）の中で、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するものがあるかを判定する。例えば、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数である場合、判定部２１１１１－φはｕ_φ’＝ｖ_φ’であるかを判定する（ステップＳ２１１１０）。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組があった場合には、ステップＳ２１１１４に進む。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組がなかった場合には、ステップＳ２１１１１に進む。

　ステップＳ２１１１１では、制御部２１１１３－φがｔ＝Ｔであるか判定する（ステップＳ２１１１１）。Ｔは予め定められた自然数である。Ｔはすべてのφについて同一値であってもよいし、φについての自己訂正処理でのＴの値と、φ’（σ’≠σ，σ’＝１，…，Φ）についての自己訂正処理でのＴの値が相違する場合があってもよい。ｔ＝Ｔであれば、最終出力部２１１１２－φが、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ２１１１３）、処理を終える。ｔ＝Ｔでない場合には、制御部２１１１３－φは、ｔを１だけインクリメント、すなわちｔ＝ｔ＋１（ｔ＋１を新たなｔ）として（ステップＳ２１１１２）、ステップＳ２１１０３に戻る。

　計算をすることができなかった旨の情報（この例では記号「⊥」）は、能力提供装置２１２が正しく計算を行う信頼性がＴで定められる基準を下回るということを意味する。言い換えれば、Ｔ回の繰り返しで正しい演算を行うことができなかったということを意味する。

　ステップＳ２１１１４では、最終出力部２１１１２－φが、同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属すると判定されたｕ_φ’とｖ_φ’との組に対応するｕ_φ及びｖ_φを用いてｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を計算して、出力して処理を終える（ステップＳ２１１１４）。

　以上のように計算されたｕ_φ ^b’(φ)ｖ_φ ^a’(φ)は、高い確率でｆ_φ（ｘ_φ）∈Ｇ_φとなる（高い確率でｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ）となる理由については後述する）。よって、少なくともφについての上述処理を複数回繰り返し、ステップＳ２１１１４で得られた値のうち最も頻度の高いｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を選択すれば、ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ）であることの信頼度（確率など）は所定値以上となる。後述するように、設定によっては圧倒的な確率でｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ）となる。このことは能力提供装置２１２が必ずしも正しい返答をするとは限らない場合にも成り立つため、計算装置２１１－φは能力提供装置２１２の正当性を確認するための認証処理を必要としない。他の計算装置２１１－φ’（φ’≠φ）と能力提供装置２１２との処理内容が計算装置２１１－φと能力提供装置２１２との間の処理内容に影響を与えたとしても、能力提供装置２１２が或る確率より大きな確率で正しい返答をするのであれば計算装置２１１－φは正しい答えを計算結果ｆ_φ（ｘ_φ）を得ることができる。

　≪高い確率でｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ）となる理由について≫
　Ｘ_φを群Ｇ_φに値を持つ確率変数とする。ｗ_φ∈Ｇに_φついて、要求を受けるたびに確率変数Ｘ_φに従った標本ｘ_φ’に対応するｗ_φｘ_φ’を返すものを、ｗ_φについて誤差Ｘ_φを持つ標本器（sampler）と呼ぶ。
　ｗ_φ∈Ｇ_φについて、自然数ａ（φ）が与えられるたびに確率変数Ｘ_φに従った標本ｘ_φ’に対応するｗ_φ ^a(φ)ｘ_φ’を返すものを、ｗ_φについて誤差Ｘ_φを持つ乱数化可能標本器（randomizable sampler）と呼ぶ。乱数化可能標本器はａ（φ）＝１として用いられれば標本器として機能する。

　本実施形態の入力能力提供部２１１０４－φと第一出力情報計算部２１２０１と第一計算部２１１０５－φとの組み合わせが、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,1を持つ乱数化可能標本器（「第一乱数化可能標本器」と呼ぶ）であり、入力能力提供部２１１０４－φと第二出力情報計算部２１２０２と第二計算部２１１０８－φとの組み合わせが、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,2を持つ乱数化可能標本器（「第二乱数化可能標本器」と呼ぶ）である。

　ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するのは、第一乱数化可能標本器がｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)を正しく計算しており、第二乱数化可能標本器がｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)を正しく計算している（ｘ_φ,1及びｘ_φ,2が群Ｇ_φの単位元ｅ_φ,gである）可能性が高いことを発明者は見出した。説明の簡略化の観点から、この証明は第十八実施形態で行う。

　第一乱数化可能標本器がｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)を正しく計算しており、第二乱数化可能標本器がｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)を正しく計算しているとき（ｘ_φ,1及びｘ_φ,2が群Ｇ_φの単位元ｅ_φ,gであるとき）、ｕ_φ ^b’(φ)＝（ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1）^b’(φ)＝（ｆ_φ（ｘ_φ）^b(φ)ｅ_φ,g）^b’(φ)＝ｆ_φ（ｘ_φ）^{b(φ)b’(φ)}となり、ｖ_φ ^a’(φ)＝（ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2）^a’(φ)＝（ｆ_φ（ｘ_φ）^a(φ)ｅ_φ,g）^a’(φ)＝ｆ_φ（ｘ_φ）^{a(φ)a’(φ)}となる。そのため、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数である場合、ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ）^{(b(φ)b’(φ)+a(φ)a’(φ))}＝ｆ_φ（ｘ_φ）となる。一方、関数ｆ_φ（Ｍ_φ）が元Ｍ_φに対する単写関数でない場合であったとしても準同型関数なのであれば、ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)＝ｆ_φ（ｘ_φ ^{(b(φ)b’(φ)+a(φ)a’(φ))}）＝ｆ_φ（ｘ_φ）となる。

　（ｑ₁，ｑ₂）∈Ｉについて、ｉ＝１，２の各々について関数π_iをπ_i（ｑ_１，ｑ_２）＝ｑ_iで定義する。さらに、Ｌ＝ｍｉｎ（♯π₁（Ｓ），♯π₂（Ｓ））とする。♯・は、集合・の位数である。群Ｇ_φが巡回群や位数の計算が困難な群であるときには、計算装置２１１－φが「⊥」以外を出力するときの出力がｆ_φ（ｘ_φ）ではない確率は、無視できる程度の誤差の範囲で高々Ｔ^２Ｌ／♯Ｓ程度と期待することができる。もしＬ／♯Ｓが無視できる量でＴが多項式オーダー程度の量であれば、計算装置２１１－φは圧倒的な確率で正しいｆ_φ（ｘ_φ）を出力する。Ｌ／♯Ｓが無視できる量になるようなＳの例には、例えばＳ＝｛（１，ｄ）｜ｄ∈［２，｜Ｇ_φ｜－１］｝がある。

　［第十三実施形態］
　第十三実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した例である。以下、第十二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。以下の説明において、同一の参照番号が付された部分は同一の機能を持つものとし、同一の参照番号が付されたステップは同一の処理を表すものとする。

　＜構成＞
　図３１に例示するように、第十三実施形態の代理計算システム２０２は、計算装置２１１－φが計算装置２２１－φに置換され、能力提供装置２１２が能力提供装置２２２に置換されたものである。

　図３２に例示するように、第十三実施形態の計算装置２２１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２１０４－φと第一計算部２１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２１１１１－φと最終出力部２１１１２－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。図３４に例示するように、本形態の入力情報提供部２２１０４－φは、例えば、第一乱数生成部２２１０４ａ－φと第一入力情報計算部２２１０４ｂ－φと第二乱数生成部２２１０４ｃ－φと第二入力情報計算部２２１０４ｄ－φとを有する。

　図３３に例示するように、第十三実施形態の能力提供装置２２２は、例えば、それぞれ、第一出力情報計算部２２２０１と第二出力情報計算部２２２０２と制御部２１２０５とを有する。

　＜処理の前提＞
　第十三実施形態では、関数ｆ_φを準同型関数とし、群Ｈ_φを巡回群とし、群Ｈ_φの生成元をμ_φ，ｈ、群Ｈ_φの位数をＫ_φ，Ｈ、ν_φ＝ｆ_φ（μ_φ，ｈ）とする。その他の前提は、計算装置２１１－φが計算装置２２１－φに置換され、能力提供装置２１２が能力提供装置２２２に置換されている以外、第十二実施形態と同一である。

　＜処理＞
　図３７及び図３８に例示するように、第十三実施形態の処理は第十二実施形態のステップＳ２１１０３～Ｓ２１１０５，Ｓ２１１０８，Ｓ２１２００～Ｓ２１２０３が、それぞれ、ステップＳ２２１０３～Ｓ２２１０５，Ｓ２２１０８，Ｓ２２２００～Ｓ２２２０３に置換されたものである。以下ではステップＳ２２１０３～Ｓ２２１０５，Ｓ２２１０８，Ｓ２２２００～Ｓ２２２０３の処理のみを説明する。

　《ステップＳ２２１０３の処理》
　計算装置２２１－φ（図３２）の入力情報提供部２２１０４－φは、入力された元ｘ_φにそれぞれ対応する第一入力情報τ_φ,1及び第二入力情報τ_φ,2を生成して出力する（図３７／ステップＳ２２１０３）。以下、図３９を用いて本形態のステップＳ２２１０３の処理を説明する。

　第一乱数生成部２２１０４ａ－φ（図３４）は、０以上Ｋ_φ,H未満の自然数の一様乱数ｒ（φ，１）を生成する。生成された乱数ｒ（φ，１）は、第一入力情報計算部２２１０４ｂ－φ及び第一計算部２２１０５－φに送られる（ステップＳ２２１０３ａ）。第一入力情報計算部２２１０４ｂ－φは、入力された乱数ｒ（φ，１）と元ｘ_φと自然数ｂ（φ）とを用いて第一入力情報τ_φ,1＝μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を計算する（ステップＳ２２１０３ｂ）。

　第二乱数生成部２２１０４ｃ－φは、０以上Ｋ_φ,H未満の自然数の一様乱数ｒ（φ，２）を生成する。生成された乱数ｒ（φ，２）は、第二入力情報計算部２２１０４ｄ－φ及び第二計算部２２１０８－φに送られる（ステップＳ２２１０３ｃ）。第二入力情報計算部２２１０４ｄ－φは、入力された乱数ｒ（φ，２）と元ｘ_φと自然数ａ（φ）とを用いて第二入力情報τ_φ,2＝μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を計算する（ステップＳ２２１０３ｄ）。

　第一入力情報計算部２２１０４ｂ－φ及び第二入力情報計算部２２１０４ｄ－φは、以上のように生成した第一入力情報τ_φ,1及び第二入力情報τ_φ,2を出力する（ステップＳ２２１０３ｅ）。なお、本形態の第一入力情報τ_φ,1及び第二入力情報τ_φ,2は、それぞれ、乱数ｒ（φ，１），ｒ（φ，２）によって元ｘ_φとの関係をかく乱させた情報である。これにより、計算装置２２２は、元ｘ_φを能力提供装置２２２に対して隠蔽できる。本形態の第一入力情報τ_φ,1は自然数選択部２１１０２－φで選択された自然数ｂ（φ）にさらに対応し、第二入力情報τ_φ,2は自然数選択部２１１０２－φで選択された自然数ａ（φ）にさらに対応する。これにより、能力提供装置２２２から提供された計算能力を計算装置２２１－φが高い精度で評価することができる。

　《ステップＳ２２２００～Ｓ２２２０３の処理》
　図３８に例示するように、まず、第一入力情報τ_φ,1＝μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)が能力提供装置２２２（図３３）の第一出力情報計算部２２２０１に入力され、第二入力情報τ_φ,2＝μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)が第二出力情報計算部２２２０２に入力される（ステップＳ２２２００）。

　第一出力情報計算部２２２０１は、第一入力情報τ_φ,1＝μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)）を正しく計算し、得られた計算結果を第一出力情報ｚ_φ,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部２２２０１での計算結果がｆ_φ（μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)）となる場合もあれば、ｆ_φ(μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)）とならない場合もある（ステップＳ２２２０１）。

　第二出力情報計算部２２２０２は、第二入力情報τ_φ,2＝μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)）を正しく計算し、得られた計算結果を第二出力情報ｚ_φ,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部２２２０２での計算結果がｆ_φ（μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)）となる場合もあれば、ｆ_φ（μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)）とならない場合もある（ステップＳ２２２０２）。

　第一出力情報計算部２２２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報計算部２２２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２２２０３）。

　《ステップＳ２２１０４及びＳ２２１０５の処理》
　図３７に戻り、第一出力情報ｚ_φ,1は計算装置２２１－φ（図３２）の第一計算部２２１０５－φに入力され、第二出力情報ｚ_φ，２は第二計算部２２１０８－φに入力される。これらの第一出力情報ｚ_φ,1及び第二出力情報ｚ_φ,2が、能力提供装置２２２から計算装置２２１－φに与えられた計算能力に相当する（ステップＳ２２１０４）。

　第一計算部２２１０５－φは、入力された乱数ｒ（φ，１）及び第一出力情報ｚ_φ,1を用いてｚ_φ,1ν_φ ^-r(φ,1)を計算してその計算結果をｕ_φとする。計算結果ｕ_φは、第一べき乗計算部２１１０６－φに送られる。ここで、ｕ_φ＝ｚ_φ,1ν_φ ^-r(φ,1)＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1となる。すなわち、ｚ_φ,1ν_φ ^-r(φ,1)は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,1を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ２２１０５）。

　《ステップＳ２２１０８の処理》
　第二計算部２２１０８－φは、入力された乱数ｒ（φ，２）及び第二出力情報ｚ_φ,2を用いてｚ_φ,2ν_φ ^-r(φ,2)を計算してその計算結果をｖ_φとする。計算結果ｖ_φは、第二べき乗計算部２１１０９－φに送られる。ここで、ｖ_φ＝ｚ_φ,2ν_φ ^-r(φ,2)＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2となる。すなわち、ｚ_φ,2ν_φ ^-r(φ,2)は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,2を持つ乱数化可能標本器の出力となる。その理由については後述する（ステップＳ２２１０８）。

　≪ｚ_φ,1ν_φ ^-r(φ,1)，ｚ_φ,2ν_φ ^-r(φ,2)がｆ_φ（ｘ_φ）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒ及びＲ’を乱数として、能力提供装置２２２がμ_φ,h ^Rｘ_φ ^cを用いて行う計算の計算結果をＢ（μ_φ,h ^Rｘ_φ ^c）とする。すなわち、第一出力情報計算部２２２０１や第二出力情報計算部２２２０２が計算装置２２１－φに返す計算結果をｚ_φ＝Ｂ（μ_φ,h ^Rｘ_φ ^c）とする。さらに、群Ｇ_φに値を持つ確率変数Ｘ_φをＸ_φ＝Ｂ（μ_φ,h ^R’）ｆ_φ（μ_φ,h ^R’）^-1と定義する。

　このとき、ｚ_φν_φ ^-R＝Ｂ（μ_φ,h ^Rｘ_φ ^c）ｆ（μ_φ,h）^-R＝Ｘ_φｆ_φ（μ_φ,h ^Rｘ_φ ^c）ｆ_φ（μ_φ,h）^-R＝Ｘ_φｆ_φ（μ_φ,h）^Rｆ_φ（ｘ_φ）^cｆ_φ（μ_φ,h）^-R＝ｆ_φ（ｘ_φ）^cＸ_φとなる。すなわち、ｚ_φν_φ ^-Rは、ｆ_φ（ｘ_φ）について誤差Ｘ_φを持つ乱数化可能標本器の出力となる。

　上記式展開において、Ｘ_φ＝Ｂ（μ_φ,h ^R’）ｆ_φ（μ_φ,h ^R’）^-1＝Ｂ（μ_φ,h ^Rｘ_φ ^c）ｆ_φ（μ_φ,h ^Rｘ_φ ^c）^-1であり、Ｂ（μ_φ,h ^Rｘ_φ ^c）＝Ｘ_φｆ_φ（μ_φ,h ^Rｘ_φ ^c）であるという性質を用いている。この性質は、関数ｆ_φが準同型関数であり、Ｒ及びＲ’が乱数であることに基づく。

　したがって、ａ（φ），ｂ（φ）が自然数、ｒ（φ，１），ｒ（φ，２）が乱数であることを考慮すると、同様に、ｚ_φ,1ν^-r(φ,1)，ｚ_φ,2ν^-r(φ,2)がｆ_φ（ｘ_φ）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となるのである。

　［第十四実施形態］
　第十四実施形態は第十三実施形態の変形例であり、ａ（φ）＝１やｂ（φ）＝１のときに前述した標本器によってｕ_φ又はｖ_φの値を計算する。一般に乱数化可能標本器よりも標本器の計算量は小さい。ａ（φ）＝１やｂ（φ）＝１のときに乱数化可能標本器に代わり、標本器が計算を行うことで、代理計算システムの計算量を小さくすることができる。以下、第十二実施形態及び第十三実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。

　＜構成＞
　図３１に例示するように、第十四実施形態の代理計算システム２０３は、計算装置２２１－φが計算装置２３１－φに置換され、能力提供装置２２２が能力提供装置２３２に置換されたものである。

　図３２に例示するように、第十四実施形態の計算装置２３１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２２１０４－φと第一計算部２２１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２２１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２１１１１－φと最終出力部２１１１２－φと制御部２１１１３－φと第三計算部２３１０９－φとを有する。

　図３３に例示するように、第十四実施形態の能力提供装置２３２は、例えば、第一出力情報計算部２２２０１と第二出力情報計算部２２２０２と制御部２１２０５と第三出力情報計算部２３２０３とを有する。

　＜処理＞
　次に本形態の処理を説明する。第十三実施形態との相違点を説明する。
　図３７及び図３８に例示するように、第十四実施形態の処理は第十三実施形態のステップＳ２２１０３～Ｓ２２１０５，Ｓ２２１０８，Ｓ２２２００～Ｓ２２２０３が、それぞれ、ステップＳ２３１０３～Ｓ２３１０５，Ｓ２３１０８，Ｓ２２２００～Ｓ２２２０３及びＳ２３２０５～Ｓ２３２０９に置換されたものである。以下ではステップＳ２３１０３～Ｓ２３１０５，Ｓ２３１０８，Ｓ２２２００～Ｓ２２２０３及びＳ２３２０５～Ｓ２３２０９の処理を中心に説明する。

　《ステップＳ２３１０３の処理》
　計算装置２３１－φ（図３２）の入力情報提供部２３１０４－φは、入力された元ｘ_φにそれぞれ対応する第一入力情報τ_φ,1及び第二入力情報τ_φ,2を生成して出力する（図３７／ステップＳ２３１０３）。

　以下、図３９を用いて本形態のステップＳ２３１０３の処理を説明する。
　制御部２１１１３－φ（図３２）は、自然数選択部２１１０２－φで選択された自然数（ａ（φ），ｂ（φ））に応じて入力情報提供部２３１０４－φを制御する。

　制御部２１１１３－φでｂ（φ）が１であるかが判定され（ステップＳ２３１０３ａ）、ｂ（φ）≠１であると判定された場合、前述のステップＳ２２１０３ａ及びＳ２２１０３ｂの処理が実行され、ステップＳ２３１０３ｇに進む。

　一方、ステップＳ２３１０３ａでｂ（φ）＝１であると判定された場合、第三乱数生成部２３１０４ｅ－φが、０以上Ｋ_φ,H未満の自然数の乱数ｒ（φ，３）を生成する。生成された乱数ｒ（φ，３）は第三入力情報計算部２３１０４ｆ－φ及び第三計算部２３１０９－φに送られる（ステップＳ２３１０３ｂ）。第三入力情報計算部２３１０４ｆ－φは、入力された乱数ｒ（φ，３）と元ｘ_φとを用いてｘ_φ ^r(φ,3)を計算し、これを第一入力情報τ_φ,1とする（ステップＳ２３１０３ｃ）。その後、ステップＳ２３１０３ｇに進む。

　ステップＳ２３１０３ｇでは、制御部２１１１３－φでａ（φ）が１であるかが判定され（ステップＳ２３１０３ｇ）、ａ（φ）≠１であると判定された場合、前述のステップＳ２２１０３ｃ及びステップＳ２２１０３ｄの処理が実行される。
　一方、ステップＳ２３１０３ｇでａ（φ）＝１であると判定された場合、第三乱数生成部２３１０４ｅ－φが、０以上Ｋ_φ,H未満の自然数の乱数ｒ（φ，３）を生成する。生成された乱数ｒ（φ，３）は第三入力情報計算部２３１０４ｆ－φに送られる（ステップＳ２３１０３ｈ）。第三入力情報計算部２３１０４ｆ－φは、入力された乱数ｒ（φ，３）と元ｘ_φとを用いてｘ_φ ^r(φ,3)を計算し、これを第二入力情報τ_φ,2とする（ステップＳ２３１０３ｉ）。

　第一入力情報計算部２２１０４ｂ－φ、第二入力情報計算部２２１０４ｄ－φ、第三入力情報計算部２３１０４ｆ－φは、以上のように生成した第一入力情報τ_φ,1及び第二入力情報τ_φ,2を対応する自然数（ａ（φ），ｂ（φ））の情報とともに出力する（ステップＳ２３１０３ｅ）。なお、本形態の第一入力情報τ_φ,1及び第二入力情報τ_φ,2は、それぞれ、乱数ｒ（φ，１），ｒ（φ，２），ｒ（φ，３）によって元ｘ_φとの関係をかく乱させた情報である。これにより、計算装置２３１－φは、元ｘ_φを能力提供装置２３２に対して隠蔽できる。

　《Ｓ２２２００～Ｓ２２２０３及びＳ２３２０５～Ｓ２３２０９の処理》
　以下、図３８を用いて本形態のＳ２２２００～Ｓ２２２０３及びＳ２３２０５～Ｓ２３２０９の処理を説明する。

　制御部２１２０５（図３３）は、入力された自然数（ａ（φ），ｂ（φ））に応じ、第一出力情報計算部２２２０１、第二出力情報計算部２２２０２、及び第三出力情報計算部２３２０３を制御する。
　制御部２１２０５の制御に基づき、ｂ（φ）≠１の場合の第一入力情報τ_φ,1＝μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)は能力提供装置２３２（図３３）の第一出力情報計算部２２２０１に入力され、ａ（φ）≠１の場合の第二入力情報τ_φ,2＝μ_φ，h ^r(φ,2)ｘ_φ ^a(φ)は第二出力情報計算部２２２０２に入力される。ｂ（φ）＝１の場合の第一入力情報τ_φ,1＝ｘ_φ ^r(φ,3)やａ（φ）＝１の場合の第二入力情報τ_φ,2＝ｘ_φ ^r(φ,3)は第三出力情報計算部２３２０３に入力される（ステップＳ２３２００）。

　制御部２１１１３－φでｂ（φ）が１であるかが判定され（ステップＳ２３２０５）、ｂ（φ）≠１であると判定された場合、前述のステップＳ２２２０１の処理が実行される。その後、制御部２１１１３－φでａ（φ）が１であるかが判定され（ステップＳ２３２０８）、ａ（φ）≠１であると判定された場合、前述したステップＳ２２２０２の処理が実行されてステップＳ２３２０３に進む。

　一方、ステップＳ２３２０８でａ（φ）＝１であると判定された場合、第三出力情報計算部２３２０３は、第二入力情報τ_φ,2＝ｘ_φ ^r(φ,3)を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^r(φ,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_φ,3とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部２３２０３での計算結果がｆ_φ（ｘ_φ ^r(φ,3)）となる場合もあれば、ｆ_φ（ｘ_φ ^r(φ,3)）とならない場合もある（ステップＳ２３２０９）。その後、ステップＳ２３２０３に進む。

　ステップＳ２３２０５でｂ（φ）＝１であると判定された場合、第三出力情報計算部２３２０３は、第二入力情報τ_φ,1＝ｘ_φ ^r(φ,3)を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^r(φ,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_φ，３とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第三出力情報計算部２３２０３での計算結果がｆ_φ（ｘ_φ ^r(φ,3)）となる場合もあれば、ｆ_φ（ｘ_φ ^r(φ,3)）とならない場合もある（ステップＳ２３２０６）。

　その後、制御部２１１１３－φでａ（φ）が１であるかが判定され（ステップＳ２３２０７）、ａ（φ）＝１であると判定された場合にはステップＳ２３２０３に進み、ａ（φ）≠１であると判定された場合にはステップＳ２２２０２に進む。

　ステップＳ２３２０３では、第一出力情報ｚ_φ,1を生成した第一出力情報計算部２２２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報ｚ_φ,2を生成した第二出力情報計算部２２２０２は第二出力情報ｚ_φ,2を出力し、第三出力情報ｚ_φ,3を生成した第三出力情報計算部２３２０２は第三出力情報ｚ_φ,3を出力する（ステップＳ２３２０３）。

　《ステップＳ２３１０４及びＳ２３１０５の処理》
　図３７に戻り、制御部２１１１３－φの制御のもと、第一出力情報ｚ_φ,1は計算装置２３１－φ（図３２）の第一計算部２２１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２２１０８－φに入力され、第三出力情報ｚ_φ,3は第三計算部２３１０９－φに入力される（ステップＳ２３１０４）。

　ｂ（φ）≠１であれば、第一計算部２２１０５－φが、前述のステップＳ２２１０５の処理によってｕ_φを生成し、ｂ（φ）＝１であれば、第三計算部２３１０９－φが、ｚ_φ,3 ^1/r(φ,3)を計算してその計算結果をｕ_φとする。計算結果ｕ_φは第一べき乗計算部２１１０６－φに送られる。ここで、ｂ（φ）＝１の場合、ｕ_φ＝ｚ_φ,3 ^1/r(φ,3)＝ｆ_φ（ｘ_φ）ｘ_φ,3となる。すなわち、ｚ_φ,3 ^1/r(φ,3)は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,3を持つ標本器となる。その理由については後述する（ステップＳ２３１０５）。

　《ステップＳ２３１０８の処理》
　ａ（φ）≠１であれば、第二計算部２２１０８－φが、前述のステップＳ２２１０８の処理によってｖ_φを生成し、ａ（φ）＝１であれば、第三計算部２３１０９－φが、ｚ_φ,3 ^1/r(φ,3)を計算してその計算結果をｖ_φとする。計算結果ｖ_φは第二べき乗計算部２１１０９－φに送られる。ここで、ａ（φ）＝１の場合、ｖ_φ＝ｚ_φ,3 ^1/r(φ,3)＝ｆ_φ（ｘ_φ）ｘ_φ,3となる。すなわち、ｚ_φ,3 ^1/r(φ,3)は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,3を持つ標本器となる。その理由については後述する（ステップＳ２３１０８）。

　なお、ｚ_φ,3 ^1/r(φ,3)の計算、すなわちｚ_φ,3のべき乗根の計算が困難な場合には、次のようにしてｕ_φ及び／又はｖ_φを計算してもよい。第三計算部２３１０９－φは、乱数ｒ（φ，３）とその乱数ｒ（φ，３）に基づいて計算されたｚ_φ,3の組を順次（α₁，β₁），（α₂，β₂），…，（α_m，β_m），…として図示していない記憶部に記憶する。ｍは自然数である。第三計算部２３１０９－φは、α₁，α₂，…，α_mの最小公倍数が１になれば、γ₁，γ₂，…，γ_mを整数としてγ_１α_１＋γ₂α₂＋…＋γ_mα_m＝１となるγ₁，γ₂，…，γ_mを計算して、そのγ₁，γ_２，…，γ_mを用いてΠ_i=1 ^mβ_i ^γi＝β₁ ^γ1β₂ ^γ2…β_m ^γmを計算して、その計算結果をｕ_φ及び／又はｖ_φとしてもよい。

　≪ｚ_φ,3 ^1/r(φ,3)がｆ_φ（ｘ_φ）について誤差Ｘ_φ,3を持つ標本器となる理由について≫
　Ｒを乱数として、能力提供装置２３２がｘ_φ ^Rを用いて行う計算の計算結果をＢ（ｘ_φ ^R）とする。すなわち、第一出力情報計算部２２２０１や第二出力情報計算部２２２０２や第三出力情報計算部２３２０３が計算装置２３１－φに返す計算結果をｚ_φ＝Ｂ（x_φ ^R）とする。さらに、群Ｇ_φに値を持つ確率変数Ｘ_φをＸ_φ＝Ｂ（ｘ_φ ^R）^1/Rｆ_φ（ｘ_φ）^-1と定義する。

　このとき、ｚ_φ ^1/R＝Ｂ（ｘ_φ ^R）^1/R＝Ｘ_φｆ_φ（ｘ_φ）＝ｆ_φ（ｘ_φ）Ｘ_φとなる。すなわち、ｚ_φ ^1/Rは、ｆ_φ（ｘ_φ）について誤差Ｘ_φを持つ標本器となる。
　上記式展開において、Ｘ_φ＝Ｂ（ｘ_φ ^R）^1/Rｆ_φ（ｘ_φ ^R）^-1であり、Ｂ（ｘ_φ ^R）^1/R＝Ｘ_φｆ_φ（ｘ_φ ^R）であるという性質を用いている。この性質は、Ｒが乱数であることに基づく。
　したがって、ｒ（φ，３）が乱数であることを考慮すると、同様に、ｚ_φ ^1/Rがｆ_φ（ｘ_φ）について誤差Ｘ_φ,3を持つ標本器となるのである。

　［第十五実施形態］
　第十五実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、本形態では、ｆ_φ（ｘ_φ）が第一暗号文である群Ｈ_φの元ｘ_φ＝Ｃ_φ,1（ｙ（φ，１），ｍ_φ）を群Ｇ_φの元である第二暗号文ｆ_φ（ｘ_φ）＝Ｃ_φ,2（ｙ（φ，２），ｍ_φ）に変換するための関数とする。ただし、第一暗号文Ｃ_φ,1（ｙ（φ，１），ｍ_φ）は第一暗号化方式ＥＮＣ_φ,1に則って平文ｍ_φを第一暗号化鍵ｙ（φ，１）で暗号化した暗号文であり、第二暗号文Ｃ_φ,2（ｙ（φ，２），ｍ_φ）は第二暗号化方式ＥＮＣ_φ,2に則って平文ｍ_φを第二暗号化鍵ｙ（φ，２）で暗号化した暗号文である。第二暗号化方式ＥＮＣ_φ,2がＥｌＧａｍａｌ暗号方式であり、関数ｆ_φ（ｘ_φ）が準同型関数である。なお、第一暗号化方式ＥＮＣ_φ,1には特に限定はなく、第一暗号化方式ＥＮＣ_φ,1はＥｌＧａｍａｌ暗号方式のような確率暗号方式であってもよいし、ＲＳＡ暗号方式のような確定暗号方式であってもよい。

　以下、第十二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。
　図３１に例示するように、第十五実施形態の代理計算システム２０４は、計算装置２１１－φが計算装置２４１－φに置換され、能力提供装置２１２が能力提供装置２４２に置換されたものである。

　図３２に例示するように、第十五実施形態の計算装置２４１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２４１０４－φと第一計算部２４１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２４１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２４１１１－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。図３５に例示するように、本形態の入力情報提供部２４１０４－φは、例えば、第一乱数生成部２４１０４ａ－φと第一入力情報計算部２４１０４ｂ－φと第二乱数生成部２４１０４ｃ－φと第二入力情報計算部２４１０４ｄ－φとを有する。

　図３３に例示するように、第十五実施形態の能力提供装置２４２は、例えば、第一出力情報計算部２４２０１と第二出力情報計算部２４２０２と制御部２１２０５とを有する。

　＜処理の前提＞
　第十五実施形態では、群Ｇ_φが巡回群Ｇ_φ,1，Ｇ_φ,2の直積群Ｇ_φ,1×Ｇ_φ,2、μ_φ,g1が群Ｇ_φ,1の生成元、μ_φ,g2が群Ｇ_φ,2の生成元、第二暗号化鍵ｙ（φ，２）がμ_φ,g2 ^s(φ,2)、元Ｃ_φ,2（ｙ（φ，２），ｍ_φ）が（μ_φ,g1 ^r(φ)，ｍ_φｙ（φ，２）^r(φ)）∈Ｇ_φ,1×Ｇ_φ,2、ｒ（φ）が整数の乱数、値ｕ_φ ^a(φ)が（ｃ_φ,1u，ｃ_φ,2u）∈Ｇ_φ,1×Ｇ_φ,2、値ｖ_φ ^b(φ)が（ｃ_φ,1v，ｃ_φ,2v）∈Ｇ_φ,1×Ｇ_φ,2である。Ｇ_φ,1＝Ｇ_φ,2であってもよいし、Ｇ_φ,1≠Ｇ_φ,2であってもよい。前述のように第一暗号化方式ＥＮＣ_φ,1には限定はないが、例えば第一暗号化方式ＥＮＣ_φ,1がＥｌＧａｍａｌ暗号方式である場合には、群Ｈ_φが巡回群Ｈ_φ,1，Ｈ_φ,2の直積群Ｈ_φ,1×Ｈ_φ,2、ｒ’（φ）が整数の乱数、μ_φ,h1が群Ｈ_φ,1の生成元、μ_φ,h2が群Ｈ_φ,2の生成元、第一暗号化鍵ｙ（φ，１）がμ_φ,h2 ^s(φ,1)、第一暗号文Ｃ_φ,1（ｙ（φ，１），ｍ_φ）が（μ_φ,h1 ^r’(φ)，ｍ_φｙ（φ，１）^r’(φ)）∈Ｈ_φ,1×Ｈ_φ,2となる。Ｈ_φ,1＝Ｈ_φ,2であってもよいし、Ｈ_φ,1≠Ｈ_φ,2であってもよい。

　なお、Α＝（α_１，α_２）∈Ｇ_φ,1×Ｇ_φ,2，Β＝（β_１，β_２）∈Ｇ_φ,1×Ｇ_φ,2，及びεが自然数である場合、Α^εは（α_１ ^ε，α_２ ^ε）を表し、Α^-εは（α₁ ^-ε，α₂ ^-ε）を表し、ΑΒは（α_１β_１，α_２β_２）を表す。同様に、εが自然数、Α＝（α₁，α₂）∈Ｈ_φ,1×Ｈ_φ,2，Β＝（β_１，β_２）∈Ｈ_φ,1×Ｈ_φ,2である場合、Α^εは（α₁ ^ε，α₂ ^ε）を表し、Α^-εは（α₁ ^-ε，α₂ ^-ε）を表し、ΑΒは（α₁β₁，α₂β₂）を表す。ｅ_φ（α，β）を（α，β）∈Ｇ_φ,1×Ｇ_φ,2に対して巡回群Ｇ_φ,Tの元を与える双線形写像とする。双線形写像の例は、WeilペアリングやTateペアリングなどのペアリング演算を行うための関数やアルゴリズムである（参考文献２：Alfred. J. Menezes，"ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS，" KLUWER ACADEMIC PUBLISHERS， ISBN0-7923-9368-6，pp. 61-81や、参考文献３：RFC 5091, "Identity-Based Cryptography Standard (IBCS) #1," Supersingular Curve Implementations of the BF and BB1 Cryptosystems等参照）。

　＜処理＞
　図３７及び図３８に例示するように、第十五実施形態の処理は第十二実施形態のステップＳ２１１０３～Ｓ２１１０５，Ｓ２１１０７，Ｓ２１１０８，Ｓ２１１１０，Ｓ２１２００～Ｓ２１２０３が、それぞれ、ステップＳ２４１０３～Ｓ２４１０５，Ｓ２４１０７，Ｓ２４１０８，Ｓ２４１１０，Ｓ２４２００～Ｓ２４２０３に置換されたものである。以下ではステップＳ２４１０３～Ｓ２４１０５，Ｓ２４１０７，Ｓ２４１０８，Ｓ２４１１０，Ｓ２４２００～Ｓ２４２０３の処理のみを説明する。

　《ステップＳ２４１０３の処理》
　計算装置２４１－φ（図３２）の入力情報提供部２４１０４－φは、入力された元ｘ_φ＝Ｃ_φ,1（ｙ（φ，１），ｍ_φ）に対応する第一入力情報τ_φ,1及び第二入力情報τ_φ,2を生成して出力する（図３７／ステップＳ２４１０３）。以下、図４０を用いて本形態のステップＳ２４１０３の処理を説明する。

　第一乱数生成部２４１０４ａ－φ（図３５）は、群Ｈ_φの任意の元_ｈｒ_φ,1∈Ｈ_φを生成する。本形態では群Ｈ_φからランダムかつ一様に元_ｈｒ_φ,1が選択される（一様乱数）。生成された元_ｈｒ_φ,1は、第一入力情報計算部２４１０４ｂ－φ、及び第一計算部２４１０５－φに送られる（ステップＳ２４１０３ａ）。

　第一入力情報計算部２４１０４ｂ－φは、自然数選択部２１１０２－φで選択された自然数ｂ（φ）、元ｘ_φ、元_ｈｒ_φ,1、及び第一暗号化鍵ｙ（φ，１）を用い、第一入力情報τ_φ,1としてｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）を計算する（ステップＳ２４１０３ｂ）。

　第二乱数生成部２４１０４ｃ－φは、群Ｈ_φの任意の元_hｒ_φ,2∈Ｈ_φを生成する。本形態では群Ｈ_φからランダムかつ一様に元_hｒ_φ,2が選択される（一様乱数）。生成された元_hｒ_φ,2は、第二入力情報計算部２４１０４ｄ－φ、及び第二計算部２４１０８－φに送られる（ステップＳ２４１０３ｃ）。

　第二入力情報計算部２４１０４ｂ－φは、自然数選択部２１１０２－φで選択された自然数ａ（φ）、元ｘ_φ、元_hｒ_φ,2、及び第一暗号化鍵ｙ（φ，１）を用い、第二入力情報τ_φ,2としてｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）を計算する（ステップＳ２４１０３ｄ）。

　第一入力情報計算部２４１０４ｂ－φは、以上のように生成した第一入力情報τ_φ,1＝ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）を出力する。第二入力情報計算部２４１０４ｄ－φは、以上のように生成した第二入力情報τ_φ,2＝ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）を出力する（ステップＳ２４１０３ｅ）。

　《ステップＳ２４２００～Ｓ２４２０３の処理》
　図３８に例示するように、まず、第一入力情報τ_φ,1＝ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）が能力提供装置２４２（図３３）の第一出力情報計算部２４２０１に入力され、第二入力情報τ_φ,2＝ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）が第二出力情報計算部２４２０２に入力される（ステップＳ２４２００）。

　第一出力情報計算部２４２０１は、第一入力情報τ_φ,1＝ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_ｈｒ_φ,1）と第一暗号化鍵ｙ（φ，１）に対応する第一復号鍵ｓ（φ，１）と第二暗号化鍵ｙ（φ，２）とを用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1））を正しく計算し、計算結果を第一出力情報ｚ_φ,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部２４２０１での計算結果がｆ_φ（ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1））となる場合もあれば、ｆ_φ（ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1））とならない場合もある（ステップＳ２４２０１）。

　なお、本形態の関数ｆ_φは、第一暗号化方式ＥＮＣ_φ,1に則って第一復号鍵ｓ（φ，１）で暗号文を復号して得られる値をＥｌＧａｍａｌ暗号方式に則って第二暗号化鍵ｙ（φ，２）で暗号化するための準同型関数である。例えば、第一暗号化方式ＥＮＣ_φ,1も第二暗号化方式ＥＮＣ_φ,2もＥｌＧａｍａｌ暗号方式で或る場合、関数ｆ_φは、ＥｌＧａｍａｌ暗号方式に則って第一復号鍵ｓ（φ，１）で暗号文を復号して得られる値を、ＥｌＧａｍａｌ暗号方式に則って第二暗号化鍵ｙ（φ，２）で暗号化するための準同型関数である。

　第二出力情報計算部２４２０２は、第二入力情報τ_φ,2＝ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）と第一復号鍵ｓ（φ，１）と第二暗号化鍵ｙ（φ，２）とを用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_ｈｒ_φ,2））を正しく計算可能であり、得られた計算結果を第二出力情報ｚ_φ,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部２４２０２での計算結果がｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2））となる場合もあれば、ｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2））とならない場合もある（ステップＳ２４２０２）。

　第一出力情報計算部２４２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報計算部２４２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２４２０３）。

　《ステップＳ２４１０４及びＳ２４１０５の処理》
　図３７に戻り、第一出力情報ｚ_φ,1は計算装置２４１－φ（図３２）の第一計算部２４１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２４１０８－φに入力される（ステップＳ２４１０４）。
　第一計算部２４１０５－φは、入力された第一出力情報ｚ_φ,1、元_ｈｒ_φ,1、及び第二暗号化鍵ｙ（φ，２）を用い、ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1を計算してその計算結果をｕ_φとする（ステップＳ２４１０５）。計算結果ｕ_φは、第一べき乗計算部２１１０６－φに送られる。ここで、ｕ_φ＝ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1となる。すなわち、ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,1を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ２４１０８の処理》
　第二計算部２４１０８－φは、入力された第二出力情報ｚ_φ,2、元_hｒ_φ,2、及び第二暗号化鍵ｙ（φ，２）を用い、ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1を計算してその計算結果をｖ_φとする。計算結果ｖ_φは、第二べき乗計算部２１１０９－φに送られる。ここで、ｖ_φ＝ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2となる。すなわち、ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1は、ｆ_φ（ｘ_φ）について誤差Ｘ_φ,2を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ２４１０７の処理》
　判定部２４１１１－φは、第一リスト記憶部２１１０７－φに記憶された組（ｕ_φ，ｕ_φ’）及び第二リスト記憶部２１１１０－φに記憶された組（ｖ_φ，ｖ_φ’）の中で、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するものがあるかを判定する。本形態の判定部２４１１１－φは、ｕ_φ’＝（ｃ_φ,1u，ｃ_φ,2u）及びｖ_φ’＝（ｃ_φ,1v，ｃ_φ,2v）に対して、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすものがあるかを判定する（ステップＳ２４１０７）。ｕ_φ’とｖ_φ’がこの関係を満たすかを判定することで、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属することを判定できる理由については後述する。

　もし、第二リスト記憶部２１１１０－φに組（ｖ_φ，ｖ_φ’）が記憶されていない場合には、このステップＳ２４１０７の処理を行わずに、次のステップＳ２１１０８の処理を行う。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組があった場合（上記の関係を満たすｕ_φ’とｖ_φ’との組があった場合）には、ステップＳ２１１１４に進む。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組がなかった場合には、ステップＳ２４１０８に進む。

　《ステップＳ２４１１０の処理》
　判定部２４１１１－φは、第一リスト記憶部２１１０７－φに記憶された組（ｕ_φ，ｕ_φ’）及び第二リスト記憶部２４１１０－φに記憶された組（ｖ_φ，ｖ_φ’）の中で、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するものがあるかを判定する。本形態の判定部２４１１１－φは、ｕ_φ’＝（ｃ_φ,1u，ｃ_φ,2u）及びｖ_φ’＝（ｃ_φ,1v，ｃ_φ,2v）に対して、関係ｅ_φ（μ_φ，ｇ１，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすものがあるかを判定する（ステップＳ２４１１０）。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組があった場合には、ステップＳ２１１１４に進む。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φ’との組がなかった場合には、ステップＳ２１１１１に進む。

　なお、特殊な群Ｇ_φ,1，Ｇ_φ,2や双線形写像ｅ_φを用いた場合、ステップＳ２４１０７及びＳ２４１１０の処理を計算装置２４１－φに実行させることができる者を制限できる。この詳細については後述する。

　《ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_ｈｒ_φ,1））^-1，ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_ｈｒ_φ,2））^-1がｆ_φ（ｘ_φ）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となる理由について》
　任意の元_ｈｒ_φ,1を固定して考えると、元Ｃ_φ,2（ｙ（φ，２），ｍ_φ）＝（μ_φ,g1 ^r(φ)，ｍ_φｙ（φ，２）^r(φ)）における乱数ｒ（φ）を確率空間とする確率分布について、以下の関係が成り立つ。ただし、以下の関係において［Ψ₁］＝［Ψ₂］とは、Ψ₁とΨ₂とが乱数ｒを確率空間とする確率分布として等しいことを意味する。Ｄ_φ,1（ｓ（φ，１），ｘ_φ）は、第一暗号化方式ＥＮＣ_φ,1に則って元ｘ_φを第一復号鍵ｓ（φ，１）で復号するための関数を表す。_ｈｒ_φ,2’＝Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ) _ｈｒ_φ,2とする。
　［ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_ｈｒ_φ,2））^-1］
＝［ｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,2（ｙ（φ，１），_ｈｒ_φ,2））（Ｃ_φ,2（ｙ（φ，２），_ｈｒ_φ,2））^-1］
＝［ｆ_φ（Ｃ_φ,2（ｙ（φ，１），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ) _ｈｒ_φ,2））（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1］
＝［ｆ_φ（Ｃ_φ,2（ｙ（φ，１），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ) _ｈｒ_φ,2））Ｃ_φ,2（ｙ（φ，２），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ)  _hｒ_φ,2）^-1Ｃ_φ,2（ｙ（φ，２），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ)）］
＝［ｆ_φ（Ｃ_φ,2（ｙ（φ，１），_ｈｒ_φ,2’））Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2’）^-1Ｃ_φ,2（ｙ（φ，２），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ)）］

　したがって、乱数ｒ（φ）と群Ｇ_φ上の一様かつランダムな元_gｒ_φとの両方を確率空間とし、群Ｇ_φに値を持つ確率変数をＸ_φ,2＝ｆ_φ（Ｃ_φ,2（ｙ（φ，１），_ｈｒ_φ,2’））Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2’）^-1と考えると、ｘ_φ,2∈Ｘ_φ,2について以下の関係が成り立つ。
　ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1
＝ｘ_φ,2Ｃ_φ,2（ｙ（φ，２），Ｄ_φ,1（ｓ（φ，１），ｘ_φ）^a(φ)）
＝ｘ_φ,2ｆ_φ（ｘ_φ ^a(φ)）
＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2
　同様に、ｘ_φ,1∈Ｘ_φ，１についてｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1の関係が成り立つ。したがって、ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1，ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1はｆ_φ（ｘ_φ）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となる。

　《関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすかを判定することで、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属することを判定できる理由》
　ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φ＝ｘ_φに対する類ＣＬ_φ（Ｍ_φ）に属すると仮定する。この場合には第一乱数化可能標本器がｕ_φ＝ｆ（ｘ_φ）^b(φ)を正しく計算しており、第二乱数化可能標本器がｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)を正しく計算している（ｘ_φ,1及びｘ_φ,2が群Ｇ_φの単位元ｅ_φ,gである）可能性が高い。よって、ｕ_φ’＝（μ_φ,g1 ^r’’(φ)，ｍ_φｙ（φ，２）^r’’(φ)）かつｖ_φ’＝（μ_φ,g1 ^{r’’’(φ)}，ｍ_φｙ（φ，２）^{r’’’(φ)}）である可能性が高い。ただし、ｒ’’（φ）及びｒ’’’（φ）は、ＥｌＧａｍａｌ暗号方式の乱数成分と自然数選択部２１１０２－φで選択された自然数の組とによって定まる値である。その場合、双線形写像ｅ_φの性質から、ｕ_φ’＝（ｃ_φ,1u，ｃ_φ,2u）に対して
　ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φｙ（φ，２）^r’’(φ)）／ｅ_φ（μ_φ,g1 ^r’’(φ)，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φｙ（φ，２））^r’’(φ)／ｅ_φ（μ_φ,g1，ｙ（φ，２））^r’’(φ)
＝ｅ_φ（μ_φ,g1，ｍ_φ）ｅ_φ（μ_φ,g1，ｙ（φ，２））／ｅ_φ（μ_φ,g1，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φ）
を満たす可能性が高い。ｖ_φ’＝（ｃ_φ,1v，ｃ_φ,2v）に対して
　ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φｙ（φ，２）^{r’’’(φ)}）／ｅ_φ（μ_φ,g1 ^{r’’’(φ)}，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φｙ（φ，２））^{r’’’(φ)}／ｅ_φ（μ_φ,g1，ｙ（φ，２））^{r’’’(φ)}
＝ｅ_φ（μ_φ,g1，ｍ_φ）ｅ_φ（μ_φ,g1，ｙ（φ，２））／ｅ_φ（μ_φ,g1，ｙ（φ，２））
＝ｅ_φ（μ_φ,g1，ｍ_φ）
を満たす可能性が高い。よって、ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たす可能性が高い。

　次に、ｕ_φ’とｖ_φ’とが互いに異なる元に対する類に属すると仮定する。すなわち、ｕ_φ’が元ｍ_φ，ｕに対する類ＣＬ_φ（ｍ_φ，ｕ）に属し、ｖ_φ’が元ｍ_φ，ｖ（ｍ_φ，ｖ≠ｍ_φ，ｕ）に対する類ＣＬ_φ（ｍ_φ，ｖ）に属すると仮定する。すると、ｕ_φ’＝（μ_φ,g1 ^r’’(φ)，ｍ_φ，ｕｙ（φ，２）^r’’(φ)）ｘ_φ,1かつｖ_φ’＝（μ_φ,g1 ^{r’’’(φ)}，ｍ_φ，ｖｙ（φ，２）^{r’’’(φ)}）ｘ_φ,2となる。そのため、ｕ_φ’＝（ｃ_φ,1u，ｃ_φ,2u）に対してｅ_φ，（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｍ_φ，ｕ）ｘ_φ,1を満たし、ｖ_φ’＝（ｃ_φ,1v，ｃ_φ,2v）に対してｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｍ_φ，ｖ）ｘ_φ,2を満たす。よって、ｕ_φ’とｖ_φ’とが互いに異なる元に対する類に属する場合、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））≠ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））となる可能性が高い。

　《特殊な群Ｇ_φ,1，Ｇ_φ,2や双線形写像ｅ_φ》
　群Ｇ_φ,1，Ｇ_φ,2や双線形写像ｅ_φの構成を以下のように限定した場合、ステップＳ２４１０７及びＳ２４１１０の処理を計算装置２４１－φに実行させることができる者を制限することができる。以下にその詳細を述べる。

　この特殊な例では、Ｎ_φが素数ω_φと素数ι_φの合成数、群Ｇ_φ,1，Ｇ_φ,2がそれぞれ合成数Ｎ_φを法とした剰余環Ｚ／Ｎ_φＺ上で定義された第一楕円曲線Ｅ_φ,1上の点からなる部分群、Ｇ_φ,1ω，Ｇ_φ,2ωが素数ω_φを法とした剰余体Ｚ／ω_φＺ上で定義された第二楕円曲線Ｅ_φ,2上の点からなる部分群、Ｇ_φ,1ι，Ｇ_φ,2ιが素数ι_φを法とした剰余体Ｚ／ι_φＺ上で定義された第三楕円曲線Ｅ_φ,3上の点からなる部分群、ｅ_φ（α，β）が（α，β）∈Ｇ_φ,1×Ｇ_φ,2に対して巡回群Ｇ_φ，Ｔの元を与える双線形写像、ｅ_φ，ω（α_ω，β_ω）が（α_ω，β_ω）∈Ｇ_φ,1ω×Ｇ_φ,2ωに対して巡回群Ｇ_φ，Ｔωの元を与える第二双線形写像、ｅ_φ，ι（α_ι，β_ι）が（α_ι，β_ι）∈Ｇ_φ,1ι×Ｇ_φ,2ιに対して巡回群Ｇ_φ,Tιの元を与える第三双線形写像、ＨＭ_φが第一楕円曲線Ｅ_φ,1上の点を第二楕円曲線Ｅ_φ,2上の点と第三楕円曲線Ｅ_φ,3上の点とに写す同型写像、ＨＭ_φ ^-1が同型写像ＨＭ_φの逆像である。

　この例の場合、双線形写像ｅ_φ（α，β）は剰余環Ｚ／Ｎ_φＺ上で定義された第一楕円曲線Ｅ_φ,1上で定義される。しかしながら、剰余環上で定義された楕円曲線上で定義された双線形写像ｅ_φ（α，β）を多項式時間で計算する方法は知られておらず、多項式時間で計算可能な剰余環上で定義された楕円曲線上で定義された双線形写像ｅ_φ（α，β）の構成方法も知られていない（参考文献４：Alexander W. Dent and Steven D. Galbraith, "Hidden Pairings and Trapdoor DDH Groups," ANTS 2006, LNCS 4076, pp. 436-451, 2006.）。このような設定の場合、判定部２４１１１は、双線形写像ｅ_φを剰余環Ｚ／Ｎ_φＺ上で直接計算して関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすか否かを判定することができない。

　一方、剰余体Ｚ／ω_φＺ，Ｚ／ι_φＺ上で定義された楕円曲線上で定義されたｅ_φ,ω（α_ω，β_ω）やｅ_φ,ι（α_ι，β_ι）としては、多項式時間で計算可能なWeilペアリングやTateペアリングなどが存在する（参考文献２，３等参照）。このようなｅ_φ,ω（α_ω，β_ω）やｅ_φ,ι（α_ι，β_ι）を多項式時間で行うアルゴリズムとしてMiller のアルゴリズム（参考文献５：V. S. Miller, “Short Programs for functions on Curves,”1986，インターネット＜http://crypto.stanford.edu/miller/miller.pdf＞」などがよく知られている。さらに、このようなｅ_φ,ω（α_ω，β_ω）やｅ_φ,ι（α_ι，β_ι）を効率的に行うための楕円曲線や巡回群の構成方法もよく知られている（例えば、参考文献３、参考文献６：A. Miyaji, M. Nakabayashi, S.Takano, "New explicit conditions of elliptic curve Traces for FR-Reduction," IEICE Trans. Fundamentals, vol. E84-A, no05, pp. 1234-1243, May 2001」、参考文献７：P.S.L.M. Barreto, B. Lynn, M. Scott, "Constructing elliptic curves with prescribed embedding degrees," Proc. SCN '2002, LNCS 2576, pp.257-267, Springer-Verlag. 2003」、参考文献８：R. Dupont, A. Enge, F. Morain, "Building curves with arbitrary small MOV degree over finite prime fields," http://eprint.iacr.org/2002/094/等参照）。

　中国人の剰余定理（Chinese remainder theorem）に基づき、合成数Ｎ_φ（Ｎ_φ＝ω_φ・ι_φ）を法とした剰余環Ｚ／Ｎ_φＺから剰余体Ｚ／ω_φＺと剰余体Ｚ／ι_φＺとの直積に写す同型写像が存在すること、及び剰余体Ｚ／ω_φＺと剰余体Ｚ／ι_φＺとの直積から剰余環Ｚ／Ｎ_φＺに写す同型写像が存在することがよく知られている（参考文献９：ヨハネス ブーフマン，”暗号理論入門”，シュプリンガー・フェアラーク東京 (2001/07)， ISBN-10: 4431708669 ISBN-13，pp. 52-56）。すなわち、第一楕円曲線Ｅ_φ,1上の点を第二楕円曲線Ｅ_φ,2上の点と第三楕円曲線Ｅ_φ,3上の点とに写す同型写像ＨＭ_φ、及びその逆像ＨＭ_φ ^-1が存在する。一例を挙げると、剰余環Ｚ／Ｎ_φＺの元κ ｍｏｄ Ｎ_φを剰余体Ｚ／ω_φＺの元κ ｍｏｄ ω_φと剰余体Ｚ／ι_φＺの元κ ｍｏｄ ι_φとに写す同型写像をＨＭ_φとし、剰余体Ｚ／ω_φＺの元κ_ω ｍｏｄ ω_φと剰余体Ｚ／ι_φＺの元κ_ι ｍｏｄ ι_φとを剰余環Ｚ／Ｎ_φＺの元κ_ωι_φι_φ’+κ_ιω_φω_φ’ｍｏｄ Ｎ_φに写す写像をＨＭ_φ ^－１とすることができる。ただし、ω_φ’及びι_φ’はω_φω_φ’＋ι_φι_φ’＝１を満たす自然数である。このようなω_φ’，ι_φ’は拡張ユークリッドの互除法を用いて容易に生成できる。ω_φω_φ’＋ι_φι_φ’＝１の関係から、κ_ωι_φι_φ’+κ_ιω_φω_φ’ｍｏｄ ＮにＨＭ_φを作用させると
　κ_ωι_φι_φ’+κ_ιω_φω_φ’ ｍｏｄ ω_φ＝κ_ωι_φι_φ’ｍｏｄ ω_φ＝κ_ω（１－ω_φω_φ’）ｍｏｄ ω_φ＝κ_ωｍｏｄ ω_φ∈Ｚ／ω_φＺ
　κ_ωι_φι_φ’+κ_ιω_φω_φ’ ｍｏｄι_φ＝κ_ιω_φω_φ’ ｍｏｄι_φ＝κ_ι（１－ι_φι_φ’） ｍｏｄι_φ＝κ_ιｍｏｄι_φ∈Ｚ／ι_φＺ
となり、この一例での写像はＨＭ_φとＨＭ_φ ^-1との関係にあることが分かる。

　そのため、合成数Ｎ_φを素因数分解した値、すなわち素数ω_φと素数ι_φとの値が与えられるのであれば、判定部２４１１１は、以下のステップＡ～Ｄの処理によって、剰余環Ｚ／Ｎ_φＺ上で定義された第一楕円曲線Ｅ_φ,1上の双線形写像ｅ_φ（α，β）を計算することができる。

　（ステップＡ）判定部２４１１１は、同型写像ＨＭ_φを用い、剰余環Ｚ／Ｎ_φＺ上で定義された第一楕円曲線Ｅ_φ,1上の点α∈Ｇ_φ,1を、剰余体Ｚ／ω_φＺ上で定義された第二楕円曲線Ｅ_φ,2上の点θ_ω（α）∈Ｇ_φ,1ωと剰余体Ｚ／ι_φＺ上で定義された第三楕円曲線Ｅ_φ,3上の点θ_ι（α）∈Ｇ_φ,1ιとに写す。

　（ステップＢ）判定部２４１１１は、同型写像ＨＭ_φを用い、剰余環Ｚ／Ｎ_φＺ上で定義された第一楕円曲線Ｅ_φ,1上の点β∈Ｇ_φ,2を、剰余体Ｚ／ω_φＺ上で定義された第二楕円曲線Ｅ_φ,2上の点θ_ω（β）∈Ｇ_φ,2ωと剰余体Ｚ／ι_φＺ上で定義された第三楕円曲線Ｅ_φ,3上の点θ_ι（β）∈Ｇ_φ,2ιとに写す。

　（ステップＣ）判定部２４１１１は、第二楕円曲線Ｅ_φ,2及び第三楕円曲線Ｅ_φ,3でのｅ_φ，ω（θ_ω（α），θ_ω（β））及びｅ_φ,ι（θ_ι（α），θ_ι（β））を求める。

　（ステップＤ）判定部２４１１１は、得られた演算結果ｅ_φ，ω（θ_ω（α），θ_ω（β））及びｅ_φ，ι（θ_ι（α），θ_ι（β））に逆像ＨＭ_φ ^－１を作用させた値をｅ_φ（α，β）とする。

　よって素数ω_φと素数ι_φとの値が与えられるのであれば、判定部２４１１１は、ステップＡ～Ｄに従ってｅ_φ（μ_φ,g1，ｃ_φ,2u），ｅ_φ（ｃ_φ,1u，ｙ（φ，２）），ｅ_φ（μ_φ,g1，ｃ_φ,2v），ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を計算し、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすか否かを判定することができる。

　一方、大きな合成数Ｎ_φの素因数分解を多項式時間で行う方法は知られていない。よって、この設定の場合、素数ω_φ及び素数ι_φの少なくとも一方が与えられていない判定部２４１１１は、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たすか否かを判定することができない。

　以上のような特殊な群Ｇ_φ,1，Ｇ_φ,2や双線形写像ｅ_φを用いた場合、ステップＳ２４１０７及びＳ２４１１０の処理を計算装置２４１－φに実行させることができる者を素数ω_φ及び素数ι_φの少なくとも一方を知る者に制限することができる。

　［第十六実施形態］
　第十六実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、Ｈ_φが群Ｇ_φの直積群Ｇ_φ×Ｇ_φ、群Ｇ_φが巡回群、関数ｆ_φ（ｘ_φ）がＥｌＧａｍａｌ暗号の復号関数、すなわち暗号文である元ｘ_φ＝（ｃ_φ,1，ｃ_φ,2）及び復号鍵ｓ（φ）に対してｆ_φ（ｃ_φ,1，ｃ_φ,2）＝ｃ_φ,1ｃ_φ,2 ^-s(φ)である場合の第一乱数化可能標本器及び第二乱数化可能標本器の例を具体化したものである。以下、第十二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。

　図３１に例示するように、第十六実施形態の代理計算システム２０５は、計算装置２１１－φが計算装置２５１－φに置換され、能力提供装置２１２が能力提供装置２５２に置換されたものである。

　図３２に例示するように、第十六実施形態の計算装置２５１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２５１０４－φと第一計算部２５１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２５１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２１１１１－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。図３６に例示するように、本形態の入力情報提供部２５１０４－φは、例えば、第四乱数生成部２５１０４ａ－φと第五乱数生成部２５１０４ｂ－φと第一入力情報計算部２５１０４ｃ－φと第六乱数生成部２５１０４ｄ－φと第七乱数生成部２５１０４ｅ－φと第二入力情報計算部２５１０４ｆ－φとを有する。第一入力情報計算部２５１０４ｃ－φは、例えば、第四入力情報計算部２５１０４ｃａ－φと第五入力情報計算部２５１０４ｃｂ－φとを有し、第二入力情報計算部２５１０４ｆ－φは、第六入力情報計算部２５１０４ｆａ－φと第七入力情報計算部２５１０４ｆｂ－φとを有する。

　図３３に例示するように、第十六実施形態の能力提供装置２５２は、例えば、第一出力情報計算部２５２０１と第二出力情報計算部２５２０２と制御部２１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。第十六実施形態では、群Ｈ_φ＝Ｇ_φ×Ｇ_φ、元ｘ_φ＝（ｃ_φ,1，ｃ_φ,2）∈Ｈ_φであり、ｆ_φ（ｃ_φ,1，ｃ_φ,2）が準同型関数であり、群Ｇ_φの生成元をμ_φ,gとし、群Ｇ_φの位数をＫ_φ,Gとし、同じ復号鍵ｓ（φ）に対する暗号文（Ｖ_φ，Ｗ_φ）∈Ｈ_φとその暗号文を復号した復号文ｆ_φ（Ｖ_φ，Ｗ_φ）＝Ｙ_φ∈Ｇ_φとの組が計算装置２５１－φ及び能力提供装置２５２に事前設定され、計算装置２５１－φ及び能力提供装置２５２がこの組を利用可能とされているものとする。

　図３７及び３８に例示するように、第十六実施形態の処理は第十二実施形態のステップＳ２１１０３～Ｓ２１１０５，Ｓ２１１０８，Ｓ２１２００～Ｓ２１２０３が、それぞれ、ステップＳ２５１０３～Ｓ２５１０５，Ｓ２５１０８，Ｓ２５２００～Ｓ２５２０３に置換されたものである。以下ではステップＳ２５１０３～Ｓ２５１０５，Ｓ２５１０８，Ｓ２５２００～Ｓ２５２０３の処理のみを説明する。

　《ステップＳ２５１０３の処理》
　計算装置２５１－φ（図３２）の入力情報提供部２５１０４－φは、入力された元ｘ_φ＝（ｃ_φ,1，ｃ_φ,2）に対応する第一入力情報τ_φ,1及び元ｘ_φ＝（ｃ_φ,1，ｃ_φ,2）に対応する第二入力情報τ_φ,2を生成して出力する（図３７／ステップＳ２５１０３）。以下、図４１を用いて本形態のステップＳ２５１０３の処理を説明する。

　第四乱数生成部２５１０４ａ－φ（図３６）は、０以上Ｋ_φ,G未満の自然数の一様乱数ｒ（φ，４）を生成する。生成された乱数ｒ（φ，４）は、第四入力情報計算部２５１０４ｃａ－φ、第五入力情報計算部２５１０４ｃｂ－φ、及び第一計算部２５１０５－φに送られる（ステップＳ２５１０３ａ）。第五乱数生成部２５１０４ｂ－φは、０以上Ｋ_φ,G未満の自然数の一様乱数ｒ（φ，５）を生成する。生成された乱数ｒ（φ，５）は、第五入力情報計算部２５１０４ｃｂ－φ、及び第一計算部２５１０５－φに送られる（ステップＳ２５１０３ｂ）。
　第四入力情報計算部２５１０４ｃａ－φは、自然数選択部２１１０２－φで選択された自然数ｂ（φ）、元ｘ_φが含むｃ_φ,2、及び乱数ｒ（φ，４）を用い、第五入力情報ｃ_φ，２ ^ｂ（φ）Ｗ^r(φ,4)を計算する（ステップＳ２５１０３ｃ）。第五入力情報計算部２５１０４ｃｂ－φは、自然数選択部２１１０２－φで選択された自然数ｂ（φ）、元ｘ_φが含むｃ_φ,1、及び乱数ｒ（φ，４），ｒ（φ，５）を用い、第五入力情報ｃ_φ,1 ^b(φ)Ｖ^r(φ,4)μ_φ,g ^r(φ,5)を計算する（ステップＳ２５１０３ｄ）。

　第六乱数生成部２５１０４ｄ－φは、０以上Ｋ_φ,G未満の自然数の一様乱数ｒ（φ，６）を生成する。生成された乱数ｒ（φ，６）は、第六入力情報計算部２５１０４ｆａ－φ、第七入力情報計算部２５１０４ｆｂ－φ、及び第二計算部２５１０８－φに送られる（ステップＳ２５１０３ｅ）。第七乱数生成部２５１０４ｅ－φは、０以上Ｋ_φ,G未満の自然数の一様乱数ｒ（φ，７）を生成する。生成された乱数ｒ（φ，７）は、第七入力情報計算部２５１０４ｆｂ－φ、及び第二計算部２５１０８－φに送られる（ステップＳ２５１０３ｆ）。

　第六入力情報計算部２５１０４ｆａ－φは、自然数選択部２１１０２－φで選択された自然数ａ（φ）、元ｘ_φが含むｃ_φ,2、及び乱数ｒ（φ，６）を用い、第六入力情報ｃ_φ,2 ^a(φ)Ｗ^r(φ,6)を計算する（ステップＳ２５１０３ｇ）。第七入力情報計算部２５１０４ｆｂ－φは、自然数選択部２１１０２－φで選択された自然数ａ（φ）、元ｘ_φが含むｃ_φ,1、及び乱数ｒ（φ，６），ｒ（φ，７）を用い、第七入力情報ｃ_φ,1 ^a(φ)Ｖ^r(φ,6)μ_g ^r(φ,7)を計算する（ステップＳ２５１０３ｈ）。

　第一入力情報計算部２５１０４ｃ－φは、以上のように生成した第五入力情報ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)及び第五入力情報ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)を第一入力情報τ_φ,1＝（ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)，ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)）として出力する。第二入力情報計算部２５１０４ｆ－φは、以上のように生成した第六入力情報ｃ_φ,2 ^a(φ)Ｗ^r(φ,6)及び第七入力情報ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)を第二入力情報τ_φ,2＝（ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)，ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)）として出力する（ステップＳ２５１０３ｉ）。

　《ステップＳ２５２００～Ｓ２５２０３の処理》
　図３８に例示するように、まず、第一入力情報τ_φ,1＝（ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)，ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)）が能力提供装置２５２（図３３）の第一出力情報計算部２５２０１に入力され、第二入力情報τ_φ,2＝（ｃ_φ,2 ^a(φ)Ｗ^r(φ,6)，ｃ_φ,1 ^a(φ)Ｖ^r(φ,6)μ_φ,g ^r(φ,7)）が第二出力情報計算部２５２０２に入力される（ステップＳ２５２００）。

　第一出力情報計算部２５２０１は、第一入力情報τ_φ,1＝（ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)，ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)）と復号鍵ｓ（φ）とを用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)，ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)）を正しく計算し、計算結果を第一出力情報ｚ_φ,1とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第一出力情報計算部２５２０１での計算結果がｆ_φ（ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)，ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)）となる場合もあれば、ｆ_φ（ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)，ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)）とならない場合もある（ステップＳ２５２０１）。

　第二出力情報計算部２５２０２は、第二入力情報τ_φ,2＝（ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)，ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)）と復号鍵ｓ（φ）とを用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)，ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)）を正しく計算可能であり、得られた計算結果を第二出力情報ｚ_φ,2とする。この計算結果は正しい場合もあれば正しくない場合もある。すなわち、第二出力情報計算部２５２０２での計算結果がｆ_φ（ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)，ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)）となる場合もあれば、ｆ_φ（ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)，ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)）とならない場合もある（ステップＳ２５２０２）。
　第一出力情報計算部２５２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報計算部２５２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２５２０３）。

　《ステップＳ２５１０４及びＳ２５１０５の処理》
　図３７に戻り、第一出力情報ｚ_φ,1は計算装置２５１－φ（図３２）の第一計算部２５１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２５１０８－φに入力される（ステップＳ２５１０４）。

　第一計算部２５１０５－φは、入力された第一出力情報ｚ_φ,1及び乱数ｒ（φ，４），ｒ（φ，５）を用い、ｚ_φ,1Ｙ^-r(φ,4)μ_φ,g ^-r(φ,5)を計算してその計算結果をｕ_φとする（ステップＳ２５１０５）。計算結果ｕ_φは、第一べき乗計算部２１１０６－φに送られる。ここで、ｕ_φ＝ｚ_φ，４Ｙ_φ ^-r(φ,4)μ_φ,g ^-r(φ,5)＝ｆ_φ（ｃ_φ,1，ｃ_φ,2）^b(φ)ｘ_φ,1となる。すなわち、ｚ_φ，４Ｙ_φ ^-r(φ,4)μ_φ,g ^-r(φ,5)は、ｆ_φ（ｃ_φ,1，ｃ_φ,2）について誤差Ｘ_φ,1を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ２５１０８の処理》
　第二計算部２５１０８－φは、入力された第二出力情報ｚ_φ,2及び乱数ｒ（φ，６），ｒ（φ，７）を用い、ｚ_φ,2Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)を計算してその計算結果をｖ_φとする。計算結果ｖ_φは、第二べき乗計算部２１１０９－φに送られる。ここで、ｖ_φ＝ｚ_φ，５Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)＝ｆ_φ（ｃ_φ,1，ｃ_φ,2）^ａ（φ）ｘ_φ,2となる。すなわち、ｚ_φ，５Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)は、ｆ_φ（ｃ_φ,1，ｃ_φ,2）について誤差Ｘ_φ,2を持つ乱数化可能標本器の出力となる。その理由については後述する。

　≪ｚ_φ，４Ｙ_φ ^-r(φ,4)μ_φ,g ^-r(φ,5)，ｚ_φ,5Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)がｆ_φ（ｃ_φ,1，ｃ_φ,2）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となる理由について≫
　ｃを自然数、Ｒ₁、Ｒ₂、Ｒ₁’及びＲ₂’を乱数として、能力提供装置２５２がｃ_φ,1 ^ｃＶ_φ ^R1μ_φ,g ^R2及びｃ_φ,2 ^cＷ_φ ^R1を用いて行う計算の計算結果をＢ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）とする。すなわち、第一出力情報計算部２５２０１や第二出力情報計算部２５２０２が計算装置２５１－φに返す計算結果をｚ_φ＝Ｂ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）とする。さらに、群Ｇ_φに値を持つ確率変数Ｘ_φをＸ_φ＝Ｂ（Ｖ_φ ^R1’μ_φ,g ^R2’，Ｗ_φ ^R1’）ｆ_φ（Ｖ_φ ^R1’μ_φ,g ^R2’，Ｗ_φ ^R1’）^-1と定義する。

　このとき、ｚ_φＹ_φ ^-R1μ_φ,g ^-R2＝Ｂ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）Ｙ_φ ^-R1μ_φ,g ^-R2＝Ｘ_φｆ_φ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）Ｙ_φ ^-R1μ_φ,g ^-R2＝Ｘ_φｆ_φ（ｃ_φ,1，ｃ_φ,2）^cｆ_φ（Ｖ_φ，Ｗ_φ）^R1ｆ_φ（μ_φ,g，ｅ_φ,g）^R2Ｙ_φ ^-R1μ_φ,g ^-R2＝Ｘ_φｆ_φ（ｃ_φ,1，ｃ_φ,2）^cＹ_φ ^R1μ_φ,g ^R2Ｙ_φ ^-R1μ_φ,g ^-R2＝ｆ_φ（ｃ_φ,1，ｃ_φ,2）^cＸ_φとなる。すなわち、ｚ_φＹ_φ ^-R1μ_φ,g ^-R2は、ｆ_φ（ｘ_φ）について誤差Ｘ_φを持つ乱数化可能標本器の出力となる。なお、ｅ_φ,gは、群Ｇ_φの単位元である。

　上記式展開において、Ｘ_φ＝Ｂ（Ｖ_φ ^R1’μ_φ,g ^R2’，Ｗ_φ ^R1’）ｆ_φ（Ｖ_φ ^R1’μ_φ,g ^R2’，Ｗ_φ ^R1’）^-1＝Ｂ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）ｆ_φ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）であり、Ｂ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）＝Ｘ_φｆ_φ（ｃ_φ,1 ^cＶ_φ ^R1μ_φ,g ^R2，ｃ_φ,2 ^cＷ_φ ^R1）であるという性質を用いている。この性質は、Ｒ₁、Ｒ₂、Ｒ₁’及びＲ₂’が乱数であることに基づく。

　したがって、ａ（φ），ｂ（φ）が自然数、ｒ（φ，４），ｒ（φ，５），ｒ（φ，６）及びｒ（φ，７）が乱数であることを考慮すると、同様に、ｚ_φ,4Ｙ_φ ^-r(φ,4)μ_φ,g ^-r(φ,5)，ｚ_φ,5Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)がｆ_φ（ｃ_φ,1，ｃ_φ,2）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となるのである。

　［第十七実施形態］
　第十七実施形態の代理計算システムは、上述した第一乱数化可能標本器及び第二乱数化可能標本器を具体化した他の例である。具体的には、群Ｈ_φが巡回群Ｈ_1,φ,Ｈ_2,φの直積群Ｈ_1,φ×Ｈ_2,φ、巡回群Ｈ_1,φの生成元がη_1,φ、巡回群Ｈ_2,φの生成元がη_2,φ、ｆ_φが巡回群Ｈ_1,φの元と巡回群Ｈ_2,φの元との組を巡回群Ｇ_φの元へ写す双準同型写像、巡回群Ｈ_φの元ｘ_φが巡回群Ｈ_1,φの元λ_1,φと巡回群Ｈ_2,φの元λ_2,φとの組、Ω_φ=ｆ_φ（η_1,φ，η_2,φ）である場合の第一乱数化可能標本器及び第二乱数化可能標本器の例を具体化したものである。双準同型写像ｆ_φの例には、Weilペアリングやtateペアリングなどのペアリング演算を行うための関数やアルゴリズムがある。以下、第十二実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。

　図３１に例示するように、第十七実施形態の代理計算システム２０７は、計算装置２１１－φが計算装置２７１－φに置換され、能力提供装置２１２が能力提供装置２７２に置換されたものである。

　図３２に例示するように、第十七実施形態の計算装置２７１－φは、例えば、自然数記憶部２１１０１－φと自然数選択部２１１０２－φと整数計算部２１１０３－φと入力情報提供部２７１０４－φと第一計算部２７１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２７１０８－φと第二べき乗計算部２１１０９－φと第二リスト記憶部２１１１０－φと判定部２７１１１－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。図４２に例示するように、本形態の入力情報提供部２７１０４－φは、例えば、第一乱数生成部２７１０４ａ－φと第二乱数生成部２７１０４ｃ－φと第一入力情報計算部２７１０４ｂ－φと第二入力情報計算部２７１０４ｄ－φとを有する。

　図３３に例示するように、第十七実施形態の能力提供装置２７２は、例えば、第一出力情報計算部２７２０１と第二出力情報計算部２７２０２と制御部２１２０５とを有する。

　＜処理＞
　次に本形態の処理を説明する。第十七実施形態では、群Ｈ_φが巡回群Ｈ_1,φ,Ｈ_2,φの直積群Ｈ_1,φ×Ｈ_2,φ、巡回群Ｈ_1,φの生成元がη_1,φ、巡回群Ｈ_2,φの生成元がη_2,φ、ｆ_φが巡回群Ｈ_1,φの元と巡回群Ｈ_2,φの元との組を巡回群Ｇ_φの元へ写す双準同型写像、群Ｈ_φの元ｘ_φが巡回群Ｈ_1,φの元λ_1,φと巡回群Ｈ_2,φの元λ_2,φとの組、Ω_φ=ｆ_φ（η_1,φ，η_2,φ）である。Ω_φ=ｆ_φ（η_1,φ，η_2,φ）は例えば事前計算されたものである。

　図３７及び３８に例示するように、第十七実施形態の処理は第十二実施形態のステップＳ２１１０３～Ｓ２１１０５，Ｓ２１１０７，Ｓ２１１０８，Ｓ２１１１０，Ｓ２１２００～Ｓ２１２０３が、それぞれ、ステップＳ２７１０３～Ｓ２７１０５，Ｓ２７１０７，Ｓ２７１０８，Ｓ２７１１０，Ｓ２７２００～Ｓ２７２０３に置換されたものである。以下ではステップＳ２７１０３～Ｓ２７１０５，Ｓ２７１０７，Ｓ２７１０８，Ｓ２７１１０，Ｓ２７２００～Ｓ２７２０３の処理のみを説明する。

　《ステップＳ２７１０３の処理》
　計算装置２７１－φ（図３２）の入力情報提供部２７１０４－φは、入力された巡回群Ｈ_1,φの元λ_1,φと巡回群Ｈ_2,φの元λ_2,φとの組ｘ_φ＝（λ_1,φ，λ_2,φ）に対応する第一入力情報τ_φ,1及びｘ_φ＝（λ_1,φ，λ_2,φ）に対応する第二入力情報τ_φ,2を生成して出力する（図３７／ステップＳ２７１０３）。以下、図４３を用いて本形態のステップＳ２７１０３の処理を説明する。

　第一乱数生成部２７１０４ａ－φ（図４２）は、０以上２^μ(k)+k以下の自然数の一様乱数ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６）を生成する。ただし、μ（ｋ）はセキュリティパラメータｋの関数値を意味する。生成された乱数ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６）は、第一入力情報計算部２７１０４ｂ－φ及び第一計算部２７１０５－φに送られる（ステップＳ２７１０３ａ）。

　第一入力情報計算部２７１０４ｂ－φは、自然数選択部２１１０２－φで選択された自然数ｂ（φ）、入力された値ｘ_φ＝（λ_1,φ，λ_2,φ）、生成元η_1,φ，η_2,φ及び乱数ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６）を用い、第一入力情報τ_φ,1として、（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及び（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を計算する（ステップＳ２７１０３ｂ～Ｓ２７１０３ｄ）。

　第二乱数生成部２７１０４ｃ－φ（図４２）は、０以上２^μ(k)+k以下の自然数の一様乱数ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）を生成する。生成された乱数ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）は、第二入力情報計算部２７１０４ｄ－φ及び第二計算部２７１０８－φに送られる（ステップＳ２７１０３ｅ）。

　第二入力情報計算部２７１０４ｄ－φは、自然数選択部２１１０２－φで選択された自然数ａ（φ）、入力された値ｘ_φ＝（λ_1,φ，λ_2,φ）、生成元η_1,φ，η_2,φ及び乱数ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）を用い、第二入力情報τ_φ,2として、（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及び（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を計算する（ステップＳ２７１０３ｆ～Ｓ２７１０３ｈ）。

　第一入力情報計算部２７１０４ｂ－φは、第一入力情報τ_φ,1として、（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及び（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を出力する。第二入力情報計算部２７１０４ｄ－φは、第二入力情報τ_φ,2として、（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及び（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を出力する（ステップＳＳ２７１０３ｉ）。

　《ステップＳ２７２００～Ｓ２７２０３の処理》
　図３８に例示するように、第一入力情報τ_φ，１である（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及び（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）が能力提供装置２７２（図３３）の第一出力情報計算部２７２０１に入力される。第二入力情報τ_φ,2である（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及び（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）が第二出力情報計算部２７２０２に入力される（ステップＳ２７２００）。

　第一出力情報計算部２７２０１は、第一入力情報τ_φ,1を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、ｆ_φ（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及びｆ_φ（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を正しく計算し、得られた演算結果ｚ_φ,1,1、ｚ_φ,1,2及びｚ_φ,1,3を第一出力情報ｚ_φ,1とする。これらの計算結果は正しい場合もあれば正しくない場合もある（ステップＳ２７２０１）。

　第二出力情報計算部２７２０２は、第二入力情報τ_φ,2を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、ｆ_φ（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及びｆ_φ（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を正しく計算し、得られた演算結果ｚ_φ,2,1、ｚ_φ,2,2及びｚ_φ,2,3を第二出力情報ｚ_φ,2とする。これらの計算結果は正しい場合もあれば正しくない場合もある（ステップＳ２７２０２）。第一出力情報計算部２７２０１は第一出力情報ｚ_φ,1を出力し、第二出力情報計算部２７２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２７２０３）。

　《ステップＳ２７１０４及びＳ２７１０５の処理》
　図３７に戻り、第一出力情報ｚ_φ，１は計算装置２７１－φ（図３２）の第一計算部２７１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２７１０８－φに入力される（ステップＳ２７１０４）。

　第一計算部２７１０５－φは、入力された第一出力情報ｚ_φ,1＝（ｚ_φ,1,1，ｚ_φ,1,2，ｚ_φ,1,3）及び乱数ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６）を用い、ｕ_φ＝ｚ_φ,1,1ｚ_φ,1,2ｚ_φ,1,3Ω_φ ^{-r(φ,11)・r(φ,12)・r(φ,13)・r(φ,14)-r(φ,11)・r(φ,15)-r(φ,13)・r(φ,16)}を計算して演算結果ｕ_φを得る（ステップＳ２７１０５）。計算結果ｕ_φは、第一べき乗計算部２１１０６－φに送られる。ここで、ｕ_φ＝ｆ_φ（λ_1,φ，λ_2,φ）^ｂ（φ）ｘ_φ，１となる。すなわち、ｚ_φ,1,1ｚ_φ,1,2ｚ_φ,1,3Ω_φ ^{-r(φ,11)・r(φ,12)・r(φ,13)・r(φ,14)-r(φ,11)・r(φ,15)-r(φ,13)・r(φ,16)}は、ｆ_φ（λ_1,φ，λ_2,φ）について誤差Ｘ_φ，１を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ２７１０８の処理》
　第二計算部２７１０８－φは、入力された第二出力情報ｚ_φ,2＝（ｚ_φ,2,1，ｚ_φ,2,2，ｚ_φ,2,3）及び乱数ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）を用い、ｖ_φ＝ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}を計算して演算結果ｖ_φを得る。計算結果ｖ_φは、第二べき乗計算部２１１０９－φに送られる。ここで、ｖ_φ＝ｆ_φ（λ_1,φ，λ_2,φ）^ａ（φ）ｘ_φ,2となる。すなわち、ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}は、ｆ_φ（λ_1,φ，λ_2,φ）について誤差Ｘ_φ,2を持つ乱数化可能標本器の出力となる。その理由については後述する。

　《ステップＳ２７１０７，Ｓ２７１１０の処理》
　ステップＳ２７１０７，Ｓ２７１１０では、判定部２７１１１－φがｕ_φ’＝ｖ_φ’であるかを判定する。ステップＳ２７１０７でｕ_φ’＝ｖ_φ’であると判定されればステップＳ２１１１４に進み、そうでなければステップＳ２７１０８に進む。ステップＳ２７１１０でｕ_φ’＝ｖ_φ’であると判定されればステップＳ２１１１４に進み、そうでなければステップＳ２１１１１に進む。

　≪ｚ_φ,1,1ｚ_φ,1,2ｚ_φ,1,3Ω_φ ^{-r(φ,11)・r(φ,12)・r(φ,13)・r(φ,14)-r(φ,11)・r(φ,15)-r(φ,13)・r(φ,16)}，ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}がｆ_φ（λ_1,φ，λ_2,φ）についてそれぞれ誤差Ｘ_φ,1，Ｘ_φ,2を持つ乱数化可能標本器の出力となる理由について≫
　ｆ_φの双線形性よりｖ_φについて以下の関係が成り立つ。
　ｖ_φｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)
＝ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}ｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)
＝ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）^-1ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}ｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)
＝ｚ_φ,2,1’ｚ_φ,2,2ｚ_φ,2,3ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}ｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)
＝ｚ_φ,2,1’ｚ_φ,2,2’ｚ_φ,2,3’ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）ｆ_φ（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）ｆ_φ（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}ｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)
＝ｚ_φ,2,1’ｚ_φ,2,2’ｚ_φ,2,3’

　ただし、ｚ_φ,2,1’＝ｚ_φ,2,1ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）^-1、ｚ_φ,2,2’＝ｚ_φ,2,2ｆ_φ（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）^-1、ｚ_φ,2,3’＝ｚ_φ,2,3ｆ_φ（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）^-1を満たす。

　ｚ_φ,2,1’，ｚ_φ,2,2’及びｚ_φ,2,3’は、何れもa(φ)に依存しない確率分布とstatistically-closeである。よって、ｖ_φｆ_φ（λ_1,φ，λ_2,φ）^-a(φ)がなす確率分布はa(φ)に依存しないある確率分布Ｘ_φ,2とstatistically-closeである。したがって、ｖ_φはｆ_φ（λ_1,φ，λ_2,φ）について誤差Ｘ_φ,2を持つ乱数化可能標本器の出力となる。同様に、u_φはｆ_φ（λ_1,φ，λ_2,φ）について誤差Ｘ_φ,1を持つ乱数化可能標本器の出力となる。

　［第十八実施形態］
　上述の各実施形態では、計算装置の自然数記憶部２１１０１－φに、互いに素である２つの自然数ａ（φ），ｂ（φ）の組（ａ（φ），ｂ（φ））が複数種類記憶され、これらの組（ａ（φ），ｂ（φ））を用いて各処理が実行されることとした。しかしながら、ａ（φ），ｂ（φ）の一方が定数であってもよい。例えば、ａ（φ）が１に固定されていてもよいし、ｂ（φ）が１に固定されていてもよい。言い換えると、第一乱数化可能標本器又は第二乱数化可能標本器の一方が標本器に置換されていてもよい。ａ（φ），ｂ（φ）の一方が定数である場合、定数とされたａ（φ）又はｂ（φ）を選択する処理が不要となり、各処理部は定数とされたａ（φ）又はｂ（φ）が入力されることなく、それを定数として扱って計算を行うことができる。定数とされたａ（φ）又はｂ（φ）が１である場合には、ａ’（φ）やｂ’（φ）を用いることなく、ｆ_φ（ｘ_φ）＝ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)をｆ_φ（ｘ_φ）＝ｖ_φ又はｆ_φ（ｘ_φ）＝ｕ_φとして得ることができる。

　第十八実施形態は、そのような変形の一例であり、ｂ（φ）が１に固定され、第二乱数化可能標本器が標本器に置換された形態である。以下では、第十二実施形態との相違点を中心に説明する。第一乱数化可能標本器や標本器の具体例は、第十三実施形態から第十七実施形態で説明したのと同様であるため、説明を省略する。

　＜構成＞
　図３１に例示するように、第十八実施形態の代理計算システム２０６は、第十二実施形態の計算装置２１１－φが計算装置２６１－φに置換され、能力提供装置２１２が能力提供装置２６２に置換されたものである。
　図４４に例示するように、第十八実施形態の計算装置２６１－φは、例えば、自然数記憶部２６１０１－φと自然数選択部２６１０２－φと入力情報提供部２６１０４－φと第一計算部２６１０５－φと第一べき乗計算部２１１０６－φと第一リスト記憶部２１１０７－φと第二計算部２６１０８－φと第二リスト記憶部２６１１０－φと判定部２６１１１－φと最終出力部２１１１２－φと制御部２１１１３－φとを有する。

　図３３に例示するように、第十八実施形態の能力提供装置２６２は、例えば、第一出力情報計算部２６２０１と第二出力情報計算部２６２０２と制御部２１２０５とを有する。

　＜処理の前提＞
　計算装置２６１－φの自然数記憶部２６１０１－φには自然数ｂ（φ）が記憶されておらず、自然数ａ（φ）のみが複数種類記憶されている。その他の前提は、上述の第十二実施形態から第十七実施形態の何れかと同様である。

　＜処理＞
　図４５に例示するように、まず、計算装置２６１－φ（図４４）の自然数選択部２６１０２－φが、自然数記憶部２６１０１－φに記憶された複数の自然数ａ（φ）から１つの自然数ａ（φ）をランダムに読み込む。読み込まれた自然数ａ（φ）の情報は、入力情報提供部２６１０４－φ及び第一べき乗計算部２１１０６－φに送られる（ステップＳ２６１００）。

　制御部２１１１３－φは、ｔ＝１とする（ステップＳ２１１０２）。
　入力情報提供部２６１０４－φは、入力された元ｘ_φにそれぞれ対応する第一入力情報τ_φ,1及び第二入力情報τ_φ,2を生成して出力する。好ましくは、第一入力情報τ_φ,1及び第二入力情報τ_φ,2はそれぞれ元ｘ_φとの関係をかく乱させた情報である。これにより、計算装置２６１－φは、元ｘ_φを能力提供装置２６２に対して隠蔽できる。好ましくは、本形態の第二入力情報τ_φ,2は自然数選択部２６１０２－φで選択された自然数ａ（φ）にさらに対応する。これにより、能力提供装置２６２から提供された計算能力を計算装置２６１－φが高い精度で評価することが可能となる（ステップＳ２６１０３）。第一入力情報τ_φ,1及び第二入力情報τ_φ,2の組みの具体例は、第十三実施形態から第十七実施形態の何れかのｂ（φ）＝１とした第一入力情報τ_φ,1及び第二入力情報τ_φ,2の組みである。

　図３８に例示するように、第一入力情報τ_φ,1は能力提供装置２６２（図３３）の第一出力情報計算部２６２０１に入力され、第二入力情報τ_φ,2は第二出力情報計算部２６２０２に入力される（ステップＳ２６２００）。

　第一出力情報計算部２６２０１は、第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた計算結果を第一出力情報ｚ_φ,1とする（ステップＳ２６２０１）。第二出力情報計算部２６２０２は、第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とする（ステップＳ２６２０２）。すなわち、第一出力情報計算部２６２０１や第二出力情報計算部２６２０２は、意図的又は意図的ではない誤差を含んだ計算結果を出力し得る。言い換えると、第一出力情報計算部２６２０１での計算結果がｆ_φ（τ_φ，１）の場合もあればｆ_φ（τ_φ，１）でない場合もあり、第二出力情報計算部２６２０２での計算結果がｆ_φ（τ_φ,2）の場合もあればｆ_φ（τ_φ,2）でない場合もある。第一出力情報ｚ_φ，１及び第二出力情報ｚ_φ,2の組の具体例は、第十三実施形態から第十七実施形態の何れかのｂ（φ）＝１とした第一出力情報ｚ_φ，１及び第二出力情報ｚ_φ,2の組である。

　第一出力情報計算部２６２０１は第一出力情報ｚ_φ，１を出力し、第二出力情報計算部２６２０２は第二出力情報ｚ_φ,2を出力する（ステップＳ２６２０３）。
　図４５に戻り、第一出力情報ｚ_φ，１は計算装置２６１－φ（図４４）の第一計算部２６１０５－φに入力され、第二出力情報ｚ_φ,2は第二計算部２６１０８－φに入力される。これらの第一出力情報ｚ_φ，１及び第二出力情報ｚ_φ,2が、能力提供装置２６２から計算装置２６１－φに与えられた計算能力に相当する（ステップＳ２６１０４）。

　第一計算部２６１０５－φは、第一出力情報ｚ_φ,1から演算結果ｕ_φ＝ｆ_φ（ｘ_φ）ｘ_φ,1を生成する。演算結果ｕ_φの具体例は、第十三実施形態から第十七実施形態の何れかのｂ（φ）＝１とした演算結果ｕ_φである。演算結果ｕ_φは第一べき乗計算部２１１０６－φに送られる（ステップＳ２６１０５）。

　第一べき乗計算部２１１０６－φはｕ_φ’＝ｕ_φ ^a(φ)を計算する。計算結果ｕ_φとその計算結果に基づいて計算されたｕ_φ’との組（ｕ_φ，ｕ_φ’）は、第一リスト記憶部２１１０７－φに記憶される（ステップＳ２１１０６）。

　第二計算部２６１０８－φは、第二出力情報ｚ_φ,2から演算結果ｖ_φ＝ｆ_φ（ｘ_φ）^ａ（φ）ｘ_φ,2を生成する。演算結果ｖ_φの具体例は、第十三実施形態から第十七実施形態の何れかの演算結果ｖ_φである。演算結果ｖ_φは第二リスト記憶部２６１１０－φに記憶される（ステップＳ２６１０８）。

　判定部２６１１１－φは、第十二実施形態から第十七実施形態の何れかと同様に、第一リスト記憶部２１１０７－φに記憶された組（ｕ_φ，ｕ_φ’）及び第二リスト記憶部２６１１０－φに記憶されたｖ_φの中で、ｕ_φ’とｖ_φとが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するものがあるかを判定する（ステップＳ２６１１０）。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φとの組があった場合には、ステップＳ２６１１４に進む。同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するｕ_φ’とｖ_φとの組がなかった場合には、ステップＳ２１１１１に進む。

　ステップＳ２１１１１では、制御部２１１１３－φがｔ＝Ｔであるか判定する（ステップＳ２１１１１）。Ｔは予め定められた自然数である。ｔ＝Ｔであれば、制御部２１１１３－φは、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ２１１１３）、処理を終える。ｔ＝Ｔでない場合には、制御部２１１１３－φは、ｔを１だけインクリメント、すなわちｔ＝ｔ＋１として（ステップＳ２１１１２）、ステップＳ２６１０３に戻る。

　ステップＳ２６１１４では、最終出力部２１１１２－φが、同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属すると判定されたｕ_φ’とｖ_φとの組が含むｕ_φ’に対応するｕ_φを出力する（ステップＳ２６１１４）。このように得られたｕ_φは、第十二実施形態から第十七実施形態でｂ（φ）＝１とした場合のｕ_φ ^b’(φ)ｖ_φ ^a’(φ)に相当する。すなわち、このように得られたｕ_φは高い確率でｆ_φ（ｘ_φ）となる。よって、少なくとも上述の処理を複数回繰り返し、ステップＳ２６１１４で得られた値のうち最も頻度の高い値ｕ_φを選択すれば、選択されたｕ_φがｆ_φ（ｘ_φ）であることの信頼度は所定値以上となる。後述するように、設定によっては圧倒的な確率でｕ_φ＝ｆ_φ（ｘ_φ）となる。

　≪ｆ_φ（ｘ_φ）が得られる理由について≫
　次に、本形態の計算装置２６１－φで復号結果ｆ_φ（ｘ_φ）が得られる理由を説明する。まず、説明に必要な事項を定義する。
　ブラックボックス（black-box）：
　ｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）とは、τ_φ∈Ｈ_φを入力としてｚ_φ∈Ｇ_φを出力する処理部を意味する。本形態では、第一出力情報計算部２６２０１及び第二出力情報計算部２６２０２が、それぞれ関数ｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）に相当する。群Ｈ_φから任意に選択された元τ_φ∈_UＨ_φ及びｚ_φ＝Ｆ_φ（τ_φ）に対してｚ_φ＝ｆ_φ（τ_φ）を満たす確率がδ（０＜δ≦１）よりも大きい場合、すなわち、
Ｐｒ［ｚ_φ＝ｆ_φ（τ_φ）｜τ_φ∈_UＨ_φ，ｚ_φ＝Ｆ_φ（τ_φ）］＞δ…(15)
を満たすｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）のことを、信頼性δ（δ-reliable）のｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）という。なお、δは正の値であり、前述した「或る確率」に相当する。

　自己訂正器（self-corrector）：
　自己訂正器Ｃ^Ｆ（ｘ_φ）とは、ｘ_φ∈Ｈ_φを入力とし、ｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）を用いて計算を行い、ｊ∈Ｇ∪⊥を出力する処理部を意味する。本形態では、計算装置２６１－φが自己訂正器Ｃ^Ｆ（ｘ_φ）に相当する。

　オールモスト自己訂正器（almost self-corrector）：
　自己訂正器Ｃ^F（ｘ_φ）が、ｘ_φ∈Ｈ_φを入力とし、δ-reliableのｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）を用い、正しい値ｊ＝ｆ_φ（ｘ_φ）を出力する確率が、誤った値ｊ≠ｆ_φ（ｘ_φ）を出力する確率よりも十分大きい場合を想定する。すなわち、
Ｐｒ［ｊ＝ｆ_φ（ｘ_φ）｜ｊ＝Ｃ^F（ｘ_φ），ｊ≠⊥］
　＞Ｐｒ［ｊ≠ｆ_φ（ｘ_φ）｜ｊ＝Ｃ^F（ｘ_φ），ｊ≠⊥］＋Δ…(16)
を満たす場合を想定する。なお、Δは或る正の値（０＜Δ＜１）である。このような場合、自己訂正器Ｃ^F（ｘ_φ）はオールモスト自己訂正器であるという。例えば、或る正の値Δ’（０＜Δ’＜１）に対して
　　　Ｐｒ［ｊ＝ｆ_φ（ｘ_φ）｜ｊ＝Ｃ^F（ｘ_φ）］＞（１／３）＋Δ’
　　　Ｐｒ［ｊ＝⊥｜ｊ＝Ｃ^F（ｘ_φ）］＜１／３
　　　Ｐｒ［ｊ≠ｆ_φ（ｘ_φ）かつｊ≠⊥｜ｊ＝Ｃ^F（ｘ_φ）］＜１／３
を満たす場合、自己訂正器Ｃ^F（ｘ_φ）はオールモスト自己訂正器である。Δ’の例はΔ’＝１／１２や１／３である。

　ローバスト自己訂正器（robust self-corrector）：
　自己訂正器Ｃ^F（ｘ_φ）が、ｘ_φ∈Ｈを入力とし、δ-reliableのｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）を用い、正しい値ｊ＝ｆ_φ（ｘ_φ）又はｊ＝⊥を出力する確率が圧倒的である場合を想定する。すなわち、無視することができる誤差ξ（０≦ξ＜１）に対して
Ｐｒ［ｊ＝ｆ_φ（ｘ_φ）またはｊ＝⊥｜ｊ＝Ｃ^F（ｘ_φ）］＞１－ξ…(17)
を満たす場合を想定する。このような場合、自己訂正器Ｃ^F（ｘ_φ）はローバスト自己訂正器であるという。なお、無視することができる誤差ξの例は、セキュリティパラメータｋの関数値ξ（ｋ）である。関数値ξ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ξ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ξ（ｋ）の具体例は、ξ（ｋ）＝２^-kやξ（ｋ）＝２^-√kなどである。

　オールモスト自己訂正器からローバスト自己訂正器を構成することができる。すなわち、同一のｘに対してオールモスト自己訂正器を複数回実行させ、⊥を除いて最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。例えば、同一のｘに対してオールモスト自己訂正器をＯ（ｌｏｇ（１／ξ））回実行させ、最も頻度が高い出力値をｊとすることで、ローバスト自己訂正器を構成できる。なお、Ｏ（・）はオー記法を表す。

　擬似自由（pseudo-free）な作用：
　群Ｇ_φ、自然数の集合Ω_φ＝｛０，．．．，Ｍ_φ｝（Ｍ_φは１以上の自然数）、群Ｇ_φに値を持つ確率変数Ｘ_φ,1，Ｘ_φ,2の各実現値α_φ∈Ｘ_φ，１（α_φ≠ｅ_φ,g），β_φ∈Ｘ_φ,2、及びａ（φ）∈Ω_φについて、α_φ ^a(φ)＝β_φとなる確率
　Ｐｒ［α_φ ^a(φ)＝β_φかつα_φ≠ｅ_φ,g｜ａ（φ）∈_UΩ，α_φ∈Ｘ_φ,1，β_φ∈Ｘ_φ,2］…(18)
について、あらゆる可能なＸ_φ,1，Ｘ_φ,2に関する上限値を、組（Ｇ_φ，Ω_φ）の疑似自由指標とよび、これをＰ（Ｇ_φ，Ω_φ）と表すことにする。ある無視することができる関数ζ（ｋ）が存在して、
　　　Ｐ（Ｇ_φ，Ω_φ）＜ζ（ｋ）…(19)
である場合、組（Ｇ_φ，Ω_φ）によって定義される演算は擬似自由な作用であるという。なお、「α_φ ^a(φ)」は、群Ｇ_φで定義された演算をα_φに対してａ（φ）回作用させることを意味する。無視することができる関数ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きいｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。例えば、セキュリティパラメータｋに対し、式（１８）の確率がＯ（２^-k）未満である場合、組（Ｇ_φ，Ω_φ）によって定義される演算は擬似自由な作用である。例えば、任意のα_φ∈Ｇ_φでα_φ≠ｅ_φ,gであるものについて、集合Ω_φ・α_φ＝｛ａ（φ）（α_φ）｜ａ（φ）∈Ω_φ｝の要素数｜Ω_φ・α_φ｜が２^ｋを超える場合、組（Ｇ_φ，Ω_φ）によって定義される演算は擬似自由な作用といえる。なお、ａ（φ）（α_φ）は、ａ（φ）とα_φに所定の演算を作用させた結果を表す。このような具体例は数多く存在する。例えば、群Ｇ_φが素数ｐを法とする剰余群Ｚ／ｐＺであり、素数ｐが２^kのオーダーであり、集合Ω_φ＝｛０，．．．，ｐ－２｝であり、ａ（φ）（α_φ）がα_φ ^a(φ)∈Ｚ／ｐＺであり、α_φ≠ｅ_φ,gである場合、Ω_φ・α_φ＝｛α_φ ^a(φ)｜ａ（φ）＝０，．．．，ｐ－２｝＝｛ｅ_φ,g，α_φ ¹，．．．，α_φ ^p-2｝となり、｜Ω_φ・α_φ｜＝ｐ－１である。素数ｐが２^kのオーダーであるため、ある定数Ｃが存在して、ｋが十分大きければ｜Ω_φ・α_φ｜＞Ｃ２^kを満たす。ここで式（１８）の確率はＣ^-1２^-k未満であり、このような組（Ｇ_φ，Ω_φ）によって定義される演算は擬似自由な作用である。

　信頼性δ^γ（δ^γ-reliable）の乱数化可能標本器：
　自然数ａ（φ）が与えられるたびに、δ-reliableのｆ_φ（τ_φ）のブラックボックスＦ_φ（τ_φ）を用い、ｗ_φ∈Ｇ_φについて、確率変数Ｘ_φに従った標本ｘ_φ’に対応するｗ_φ ^a(φ)ｘ_φ’を返す乱数化可能標本器であって、ｗ_φ ^a(φ)ｘ_φ’＝ｗ_φ ^a(φ)である確率がδ^γよりも大きい（γは正定数）、すなわち、
　　　Ｐｒ［ｗ_φ ^a(φ)ｘ_φ’＝ｗ_φ ^a(φ)］＞δ^γ…(20)
を満たすものを、信頼性δ^γの乱数化可能標本器という。本形態の入力情報提供部２６１０４－φと第二出力情報計算部２６２０２と第二計算部２６１０８－φとの組は、ｗ_φ＝ｆ_φ（ｘ_φ）について、信頼性δ^γの乱数化可能標本器である。

　次に、これらの定義を用い、本形態の計算装置２６１－φでｆ_φ（ｘ_φ）が得られる理由を説明する。
　本形態のステップＳ２６１１０では同一の元に対する類に属するｕ_φ’とｖ_φとの組があるか、すなわち、同一の元に対する類に属するｕ_φ ^a(φ)とｖ_φとの組があるかを判定している。本形態の入力情報提供部２６１０４－φと第二出力情報計算部２６２０２と第二計算部２６１０８－φとの組は信頼性δ^γの乱数化可能標本器であるため（式（２０））、Ｔをｋ、δ、γから定まる一定値よりも大きい値とすれば、漸近的に大きい確率でｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属することになる（ステップＳ２６１１０でｙｅｓとなる）場合が生じる。たとえば、Ｔ≧４／δ^γとすれば、ｕ_φ ^a(φ)とｖ_φとが同一の元に対する類に属する（ステップＳ２６１１０でｙｅｓとなる）確率は１／２よりも大きいことがＭａｒｋｏｖの不等式によってわかる。

　本形態ではｕ_φ＝ｆ_φ（ｘ_φ）ｘ_φ，１及びｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2なのであるから、関数ｆ_φ（ｘ_φ）が元ｘ_φに対する単写関数であれば、ステップＳ２６１１０でｙｅｓと判定される場合にはｕ_φ ^a(φ)＝ｖ_φを満たし、ｘ_φ,1 ^a(φ)＝ｘ_φ,2が成立する。関数ｆ_φ（ｘ_φ）が元ｘ_φに対する単写関数でないとしてもｆ_φ（ｘ_φ）が準同型関数なのであれば、ステップＳ２６１１０でｙｅｓと判定される場合にｘ_φ,1 ^a(φ)＝ｘ_φ,2が成立する。

　ｘ_φ,1 ^a(φ)＝ｘ_φ,2が成立する場合には、ｘ_φ,1＝ｘ_φ,2＝ｅ_φ,gである場合とｘ_φ，１≠ｅ_φ,gである場合とがある。ｘ_φ,1＝ｘ_φ,2＝ｅ_φ,gである場合には、ｕ_φ＝ｆ_φ（ｘ_φ）となるのであるから、ステップＳ２６１１４で出力されるｕ_φは正しいｆ_φ（ｘ_φ）となる。一方、ｘ_φ，１≠ｅ_φ,gである場合には、ｕ_φ≠ｆ_φ（ｘ_φ）となるのであるから、ステップＳ２６１１４で出力されるｕ_φは正しいｆ_φ（ｘ_φ）ではない。

　群Ｇ_φと自然数ａ（φ）が属する集合Ω_φとの組（Ｇ_φ，Ω_φ）によって定義される演算が擬似自由な作用であるか、疑似自由指標Ｐ（Ｇ_φ，Ω_φ）についてＴ²Ｐ（Ｇ_φ，Ω_φ）が漸近的に小さい場合、ｘ_φ,1 ^a(φ)＝ｘ_φ,2の場合にｘ_φ，１≠ｅ_φ,gである確率（式（１８））は漸近的に小さい。したがって、ｘ_φ,1 ^a(φ)＝ｘ_φ,2の場合にｘ_φ，１＝ｅ_φ,gである確率は漸近的に大きい。よって、組（Ｇ_φ，Ω_φ）によって定義される演算が擬似自由な作用であるか、Ｔ²Ｐ（Ｇ_φ，Ω_φ）が漸近的に小さい場合、ｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合に誤ったｆ_φ（ｘ_φ）が出力される確率は、ｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合に正しいｆ_φ（ｘ_φ）が出力される確率よりも十分小さい。この場合の計算装置２６１－φはオールモスト自己訂正器であるといえる（式（１６）参照）。そのため、前述のように、計算装置２６１－φからローバスト自己訂正器を構成することが可能であり、圧倒的な確率で正しいｆ_φ（ｘ_φ）を得ることができる。（Ｇ_φ，Ω_φ）で定義される演算が疑似自由な作用である場合には、ｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合に誤ったｆ_φ（ｘ_φ）が出力される確率も無視できる。この場合の計算装置２６１－φは、圧倒的な確率で正しいｆ_φ（ｘ_φ）または⊥を出力する。

　なお、任意の定数ρに対してｋ₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に小さい」という。ｋ’の例はセキュリティパラメータｋである。任意の定数ρに対してｋ₀が定まり、このｋ₀に対してｋ₀＜ｋ’を満たす任意のｋ’に対する関数値１－η（ｋ’）がρ未満となる場合「η（ｋ’）が漸近的に大きい」という。

　ａ（φ）をａ（φ）／ｂ（φ）に置換すれば分かるように、上述の証明は第十二実施形態で述べた「ｕ_φ’とｖ_φ’とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属するのは、第一乱数化可能標本器がｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)を正しく計算しており、第二乱数化可能標本器がｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)を正しく計算している（ｘ_φ,1及びｘ_φ,2が群Ｇ_φの単位元ｅ_φ,gである）可能性が高い」ことの証明ともなる。

　《信頼性δ^γの乱数化可能標本器と安全性について》
　以下のような攻撃を想定する。
　・ブラックボックスＦ_φ（τ_φ）又はその部分が意図的に不正なｚ_φを出力する、又は、ブラックボックスＦ_φ（τ_φ）から出力された値が不正なｚ_φに改ざんされる。
　・不正なｚ_φに対応するｗ_φ ^a(φ)ｘ_φ’が乱数化可能標本器から出力される。
　・不正なｚ_φに対応するｗ_φ ^a(φ)ｘ_φ’は、自己訂正器Ｃ^Ｆ（ｘ_φ）にｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属すると判定させる（ステップＳ２６１１０でｙｅｓとなる）にもかかわらず、自己訂正器Ｃ^Ｆ（ｘ_φ）が誤った値を出力する確率を増加させる。

　このような攻撃は、与えられた自然数ａ（φ）に対して乱数化可能標本器から出力されたｗ_φ ^a(φ)ｘ_φ’の誤差の確率分布Ｄ_a＝ｗ_φ ^a(φ)ｘ_φ’ｗ_φ ^-a(φ)が自然数ａ（φ）に依存する場合に可能となる。例えば、第二計算部２６１０８－φから出力されるｖ_φがｆ_φ（ｘ_φ）^a(φ)ｘ_φ,1 ^a(φ)となるような不正が行われた場合、ｘ_φ，１の値にかかわらず、必ずｕ_φ ^a(φ)＝ｖ_φが成立してｕ_φ ^a(φ)とｖ_φとが同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属すると判定されることになる。よって、与えられた自然数ａ（φ）に対して乱数化可能標本器から出力されたｗ_φ ^a(φ)ｘ_φ’の誤差の確率分布Ｄ_a＝ｗ_φ ^a(φ)ｘ_φ’ｗ_φ ^-a(φ)が当該自然数ａ（φ）に依存しないことが望ましい。

　あるいは、集合Ω_φのいかなる元ａ（φ）∈^∀Ω_φについても、ｗ_φ ^a(φ)ｘ_φ’の誤差の確率分布Ｄ_a＝ｗ_φ ^a(φ)ｘ_φ’ｗ_φ ^-a(φ)と区別することができない群Ｇ_φに値を持つ確率分布Ｄが存在する（確率分布Ｄ_aと確率分布Ｄとが統計的に近似する（statistically-close））乱数化可能標本器であることが望ましい。なお、確率分布Ｄは自然数ａ（φ）に依存しない。確率分布Ｄ_aと確率分布Ｄとを区別することができないとは、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができないことを意味し、例えば、無視することができるζ（０≦ζ＜１）に対して
Σ_g∈G｜Ｐｒ［ｇ∈Ｄ］－Ｐｒ［ｇ∈Ｄ_a］｜＜ζ…(21)
を満たすならば、多項式時間アルゴリズムによって確率分布Ｄ_aと確率分布Ｄとを区別することができない。無視することができるζの例は、セキュリティパラメータｋの関数値ζ（ｋ）である。関数値ζ（ｋ）の例は、任意の多項式ｐ（ｋ）について、十分大きなｋに対して｛ζ（ｋ）ｐ（ｋ）｝が０に収束するものである。関数値ζ（ｋ）の具体例は、ζ（ｋ）＝２^-kやζ（ｋ）＝２^-√kなどである。これらの点は自然数ａ（φ）及びｂ（φ）を使用する第十二実施形態から第十七実施形態についても同様である。

　［第十二実施形態から第十八実施形態の変形例］
　第十二実施形態から第十八実施形態の変形例では、能力提供装置が常に正当な計算を行うことが保障されていないとしても、能力提供装置が或る確率より大きな確率でｆ_φ（τ_φ,1）やｆ_φ（τ_φ,2）を正しく計算するのであれば、計算装置φのそれぞれで得られる値ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)は高い確率でｆ_φ（ｘ_φ）となる。よって、計算装置φのそれぞれは、認証処理を実行することなく能力提供装置に計算を実行させ、その計算結果を用いて正当な計算結果（例えば暗号文の復号結果）を得ることができる。

　本発明は上述の実施形態に限定されるものではない。例えば、確率変数Ｘ_φ,1、Ｘ_φ,2及びＸ_φ,3は、同じでも異なっていてもよい。
　乱数生成部のそれぞれが一様乱数を生成することにより、代理計算システムの安全性が最も高くなる。しかし、求められる安全性のレベルがそれほど高くない場合には、乱数生成部の少なくとも一部が、一様乱数ではない乱数を生成してもよい。演算効率上からは、上述の各実施形態のように、選択される自然数の乱数は、０以上Ｋ_φ,H未満の自然数又は０以上２^μ(k)+k以下の自然数であることが望ましいが、その代わりにＫ_φ,H以上の自然数や２^μ(k)+kよりも大きな自然数の乱数が選択されてもよい。ここでμはkの関数である。たとえば、μを群Ｈ_φの元のビット列としての長さとすることができる。

　計算装置が同一のａ（φ），ｂ（φ）に対応する第一入力情報τ_φ，１及び第二入力情報τ_φ,2を能力提供装置に提供するたびに、能力提供装置の処理が複数回実行させてもよい。これにより、計算装置が第一入力情報τ_φ,1及び第二入力情報τ_φ,2を能力提供装置に一回提供するたびに、計算装置は第一出力情報ｚ_φ,1や第二出力情報ｚ_φ,2や第三出力情報ｚ_φ,3を複数個得ることができる。これにより、計算装置と能力提供装置との間のやり取り回数や通信量を減らすことができる。

　計算装置が複数種類の第一入力情報τ_φ,1及び第二入力情報τ_φ,2を能力提供装置にまとめて提供し、対応する第一出力情報ｚ_φ,1や第二出力情報ｚ_φ,2や第三出力情報ｚ_φ,3を複数個まとめて取得してもよい。これにより、計算装置と能力提供装置との間のやり取り回数を減らすことができる。

　計算装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、能力提供装置の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　各実施形態の第一計算部や第二計算部において得られたｕ_φやｖ_φが群Ｇ_φの元であるかを確認し、群Ｇ_φの元であった場合には上述した処理を続行し、ｕ_φ又はｖ_φが群Ｇ_φの元でなかった場合には、計算をすることができなかった旨の情報、例えば記号「⊥」が出力されてもよい。

　その他、例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　上述の実施形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　この出願は、日本特許出願番号2010-239342，2011-5899，2011-88002，2011-77779に基づきその優先権を主張し、そのすべての内容は参照によってここに組み込まれる（This application is based upon and claims priority of Japanese Patent Application No. 2010-239342，2011-5899，2011-88002，2011-77779, the entire contents of which are incorporated by reference herein.）

　以上のように、各実施形態の計算装置は、能力提供装置が必ずしも正しい処理を実行しない状況であったとしても、能力提供装置から提供された計算能力を用いて正しい計算結果を得ることができる。そのため、計算装置は能力提供装置の正当性を確認するための認証処理を実行する必要はない。また、複数の計算装置が能力提供装置を共用する場合であっても、計算装置は正しい計算結果を得ることができる。

　このような代理計算システムは、例えば、ボランティアベースの分散計算、Ｐ２Ｐによる計算サービス、広告に対する報酬を対価とする計算サービス、ネットワークサービスや公共インフラとして提供される計算サービス、ライブラリの形態でライセンス供与される計算パッケージのネットワークサービスへの置き換えなどに利用できる。

　１～５，１０１～１０５，２０１～２０７　代理計算システム
　１１～６１，１１１～１５１，２１１～２７１　計算装置
　１２～６２，１１２～１５２，２１２～２７２　能力提供装置

Claims (118)

1. 　計算装置と能力提供装置とを有し、
   　Ｇ，Ｈが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数であり、
   　前記計算装置が、
   　前記暗号文ｘに対応する、前記群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を出力する入力情報提供部を含み、
   　前記能力提供装置が、
   　前記第一入力情報τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とする第一出力情報計算部と、
   　前記第二入力情報τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする第二出力情報計算部と、を含み、
   　前記計算装置が、さらに
   　前記第一出力情報ｚ₁から計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成する第一計算部と、
   　前記第二出力情報ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成する第二計算部と、
   　前記計算結果ｕ及びｖがｕ^a＝ｖ^ｂを満たす場合に、ａ’ａ＋ｂ’ｂ＝１を満たす整数ａ’，ｂ’についてのｕ^b’ｖ^a’を出力する最終出力部と、を含む、代理計算システム。
2. 　請求項１の代理計算システムにおいて、
   　前記計算装置が、前記自然数ａ，ｂの少なくとも一方を選択する自然数選択部を含み、
   　前記第一入力情報τ₁が、前記自然数ｂにさらに対応し、前記第二入力情報τ₂が、前記自然数ａにさらに対応する、代理計算システム。
3. 　請求項２の代理計算システムにおいて、
   　前記入力情報提供部は、前記暗号文ｘとの関係をかく乱させた情報を前記第一入力情報τ₁及び前記第二入力情報τ₂とする、代理計算システム。
4. 　請求項１の代理計算システムにおいて、
   　前記入力情報提供部は、前記暗号文ｘとの関係をかく乱させた情報を前記第一入力情報τ₁及び前記第二入力情報τ₂とする、代理計算システム。
5. 　請求項１から４の何れかの代理計算システムにおいて、
   　前記復号関数ｆ（ｘ）が準同型関数、前記群Ｈが巡回群で、前記巡回群Ｈの生成元がμ_ｈ、前記巡回群Ｈの位数がＫ_H、ν＝ｆ（μ_h）であり、
   　前記入力情報提供部が、
   　０以上の自然数の乱数ｒ₁を生成する第一乱数生成部と、
   　前記第一入力情報τ₁としてμ_h ^r1ｘ^bを計算する第一入力情報計算部と、
   　０以上の自然数の乱数ｒ₂を生成する第二乱数生成部と、
   　前記第二入力情報τ₂としてμ_h ^r2ｘ^aを計算する第二入力情報計算部と、を含み、
   　前記第一出力情報計算部が、前記第一入力情報μ_h ^r1ｘ^bを用い、或る確率より大きな確率でｆ（μ_h ^r1ｘ^b）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_１とし、
   　前記第二出力情報計算部は、前記第二入力情報μ_h ^r2ｘ^aを用い、或る確率より大きな確率でｆ（μ_h ^r2ｘ^a）を正しく計算し、得られた計算結果を第二出力情報ｚ_２とし、
   　前記第一計算部は、ｚ₁ν^-r1を計算して前記計算結果ｕを得、
   　前記第二計算部は、ｚ₂ν^-r2を計算して前記計算結果ｖを得る、代理計算システム。
6. 　請求項５の代理計算システムにおいて、
   　前記第一乱数生成部が、ｂ≠１のときに前記乱数ｒ₁を生成し、
   　前記第一入力情報計算部が、ｂ≠１のときに前記第一入力情報τ₁として前記μ_h ^r1ｘ^bを計算し、
   　前記第一出力情報計算部が、ｂ≠１のときに前記第一入力情報μ_h ^r1ｘ^bを用いて得られた前記計算結果を前記第一出力情報ｚ_１とし、
   　前記第一計算部が、ｂ≠１のときにｚ₁ν^-r1を計算して前記計算結果ｕを得、
   　前記第二乱数生成部が、ａ≠１のときに前記乱数ｒ₂を生成し、
   　前記第二入力情報計算部が、ａ≠１のときに前記第二入力情報τ_２としてμ_h ^r2ｘ^aを計算し、
   　前記第二出力情報計算部が、ａ≠１のときに前記第二入力情報μ_h ^r2ｘ^aを用いて得られた前記計算結果を第二出力情報ｚ₂とし、
   　前記第二計算部が、ａ≠１のときにｚ₂ν^-r2を計算して前記計算結果ｖを得、
   　前記入力情報提供部が、
   　０以上の自然数の乱数ｒ₃を生成する第三乱数生成部と、
   　ｂ＝１のときにｘ^r3を前記第一入力情報τ₁とし、ａ＝１のときにｘ^r3を前記第二入力情報τ₂とする第三入力情報計算部と、を含み、
   　前記能力提供装置が、
   　前記ｘ^r3を用い、或る確率より大きな確率でｆ（ｘ^r3）を正しく計算し、得られた計算結果を第三出力情報ｚ₃とする第三出力情報計算部を含み、
   　前記能力提供装置が、
   　ｂ＝１のときにｚ₃ ^1/r3を前記計算結果ｕとし、ａ＝１のときにｚ₃ ^1/r3を前記計算結果ｖとする第３計算部を含む、代理計算システム。
7. 　請求項１から４の何れかの代理計算システムにおいて、
   　前記群Ｈが前記群Ｇの直積群Ｇ×Ｇであり、前記復号関数ｆ（ｘ）が準同型関数、前記群Ｇが巡回群で前記巡回群Ｇの生成元がμ_g、前記巡回群Ｇの位数がＫ_G、ｘ＝（ｃ₁，ｃ₂），（Ｖ，Ｗ）が前記群Ｈの元、ｆ（Ｖ，Ｗ）＝Ｙであり、
   　前記入力情報提供部が、
   　０以上の自然数の乱数ｒ₄を生成する第四乱数生成部と、
   　０以上の自然数の乱数ｒ₅を生成する第五乱数生成部と、
   　前記第一入力情報τ₁としてｃ₂ ^bＷ^r4及びｃ₁ ^bＶ^r4μ_g ^r5を計算する第一入力情報計算部と、
   　０以上の自然数の乱数ｒ₆を生成する第六乱数生成部と、
   　０以上の自然数の乱数ｒ₇を生成する第七乱数生成部と、
   　前記第二入力情報τ₂としてｃ₂ ^aＷ^r6及びｃ₁ ^aＶ^r6μ_g ^r7を計算する第二入力情報計算部と、を含み、
   　前記第一出力情報計算部が、前記第一入力情報ｃ₁ ^bＶ^r4μ_g ^r5及びｃ₂ ^bＷ^r4を用い、或る確率より大きな確率でｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）を正しく計算し、得られた計算結果を前記第一出力情報ｚ₁とし、
   　前記第二出力情報計算部が、前記第二入力情報ｃ₁ ^aＶ^r6μ_g ^r7及びｃ₂ ^aＷ^r6を用い、或る確率より大きな確率でｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）を正しく計算し、得られた計算結果を前記第二出力情報ｚ₂とし、
   　前記第一計算部が、ｚ₁Ｙ^-r4μ_g ^-r5を計算して前記計算結果ｕを得、
   　前記第二計算部が、ｚ₂Ｙ^-r6μ_g ^-r7を計算して前記計算結果ｖを得る、代理計算システム。
8. 　請求項１から４の何れかの代理計算システムにおいて、
   　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
9. 　請求項５の代理計算システムにおいて、
   　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
10. 　請求項７の代理計算システムにおいて、
    　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
11. 　請求項１から４の何れかの代理計算システムにおいて、
    　前記自然数ａ又は前記自然数ｂが定数である、代理計算システム。
12. 　請求項５の代理計算システムにおいて、
    　前記自然数ａ又は前記自然数ｂが定数である、代理計算システム。
13. 　請求項７の代理計算システムにおいて、
    　前記自然数ａ又は前記自然数ｂが定数である、代理計算システム。
14. 　請求項１から４の何れかの代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　前記復号制御装置は、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置は、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
15. 　請求項５の代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　前記復号制御装置は、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置は、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
16. 　請求項７の代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　前記復号制御装置は、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置は、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
17. 　請求項１の代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　Ｇ_ι，Ｈ_ιが群、ωが２以上の整数、ι＝１，・・・，ω、ｆ_ι（λ_ι）が前記群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して前記群Ｇ_ιの元を得るための復号関数、Ｘ_ι,1，Ｘ_ι,2が前記群Ｇ_ιに値を持つ確率変数、ｘ_ι,1が確率変数Ｘ_ι,1の実現値、ｘ_ι,2が確率変数Ｘ_ι,2の実現値、ａ（ι），ｂ（ι）が互いに素である自然数であり、前記群Ｇが群Ｇ₁、前記群Ｈが群Ｈ₁、前記暗号文ｘが暗号文λ₁、前記復号関数ｆ（ｘ）が復号関数ｆ₁（λ₁）、前記確率変数Ｘ₁が確率変数Ｘ_1,1、前記確率変数Ｘ₂が確率変数Ｘ_1,2、前記実現値ｘ₁が実現値ｘ_1,1、前記実現値ｘ₂が実現値ｘ_1,2、前記自然数ａが自然数ａ（１）、前記自然数ｂが自然数ｂ（１）であり、
    　前記計算装置が、
    　前記暗号文λ_ιに対応する、前記群Ｈ_ιの元である第一入力情報τ_ι,1及び第二入力情報τ_ι,2を出力する入力情報提供部を含み、
    　前記能力提供装置が、
    　前記第一入力情報τ_ι,1を用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_ι,1として出力する第一出力情報計算部と、
    　前記第二入力情報τ_ι,2を用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2として出力する第二出力情報計算部と、を含み、
    　前記第一計算部が、前記第一出力情報ｚ_ι,1から演算結果ｕ_ι＝ｆ_ι（λ_ι）^b(ι)ｘ_ι,1を生成し、
    　前記第二計算部が、前記第二出力情報ｚ_ι,2から演算結果ｖ_ι＝ｆ_ι（λ_ι）^a(ι)ｘ_ι,2を生成し、
    　前記最終出力部が、前記演算結果ｕ_ι及びｖ_ιがｕ_ι ^a(ι)＝ｖ_ι ^b(ι)を満たす場合に、ａ’（ι）ａ（ι）＋ｂ’（ι）ｂ（ι）＝１を満たす整数ａ’（ι），ｂ’（ι）についてのｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を出力し、
    　前記復号制御装置が、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置が、さらに、
    　前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
18. 　請求項１７の代理計算システムにおいて、
    　前記復号制御命令は、何れかの前記復号関数ｆ_ιに対応し、
    　前記制御部は、前記復号制御命令に対応する前記復号関数ｆ_ι、に対応する前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方の出力の有無を制御する、代理計算システム。
19. 　請求項１７の代理計算システムにおいて、
    　前記計算装置が、さらに
    　前記最終出力部から出力された各ι＝１，・・・，ωについてのｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を用い、各ι＝１，・・・，ωについての前記暗号文λ_ιを前記復号鍵ｓ_ιで復号して得られる復号値がすべて得られた場合にのみ復元可能な復元値を生成する復元処理を行う復元部を含む、代理計算システム。
20. 　請求項１８の代理計算システムにおいて、
    　前記計算装置が、さらに
    　前記最終出力部から出力された各ι＝１，・・・，ωについてのｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を用い、各ι＝１，・・・，ωについての前記暗号文λ_ιを前記復号鍵ｓ_ιで復号して得られる復号値がすべて得られた場合にのみ復元可能な復元値を生成する復元処理を行う復元部を含む、代理計算システム。
21. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記計算装置が、前記自然数ａ（ι），ｂ（ι）の少なくとも一部を選択する自然数選択部を含み、
    　前記第一入力情報τ_ι,1が前記自然数ｂ（ι）にさらに対応し、前記第二入力情報τ_ι,2が前記自然数ａ（ι）にさらに対応する、代理計算システム。
22. 　請求項２１の代理計算システムにおいて、
    　前記入力情報提供部は、前記暗号文λ_ιとの関係をかく乱させた情報を前記第一入力情報τ_ι,1及び前記第二入力情報τ_ι,2とする、代理計算システム。
23. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記入力情報提供部は、前記暗号文λ_ιとの関係をかく乱させた情報を前記第一入力情報τ_ι,1及び前記第二入力情報τ_ι,2とする、代理計算システム。
24. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記復号関数ｆ_ιが準同型関数、前記群Ｈ_ιが巡回群で、前記巡回群Ｈ_ιの生成元がμ_ι,h、前記巡回群Ｈ_ιの位数がＫ_ι,H、ν_ι＝ｆ_ι（μ_ι,h）であり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，１）を生成する第一乱数生成部と、
    　前記第一入力情報τ_ι,1としてμ_ι,h ^r(ι,1)λ_ι ^b(ι)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（ι，２）を生成する第二乱数生成部と、
    　前記第二入力情報τ_ι,2としてμ_ι,h ^r(ι,2)λ_ι ^a(ι)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部は、前記第一入力情報μ_ι,h ^r(ι,1)λ_ι ^b(ι)を用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^(ι,1)λ_ι ^b(ι)）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第二出力情報計算部は、前記第二入力情報μ_ι,h ^r(ι,2)λ_ι ^a(ι)を用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^r(ι,2)λ_ι ^a(ι)）を正しく計算し、得られた計算結果を第二出力情報ｚ_ι,2とし、
    　前記第一計算部は、ｚ_ι,1ν_ι ^-r(ι,1)を計算して前記計算結果ｕ_ιを得、
    　前記第二計算部は、ｚ_ι,2ν_ι ^-r(ι,2)を計算して前記計算結果ｖ_ιを得る、代理計算システム。
25. 　請求項２４の代理計算システムにおいて、
    　前記第一乱数生成部が、ｂ（ι）≠１のときに前記乱数ｒ（ι，１）を生成し、
    　前記第一入力情報計算部が、ｂ（ι）≠１のときに前記第一入力情報τ_ι,1として前記μ_ι,h ^r(ι,1)λ_ι ^b(ι)を計算し、
    　前記第一出力情報計算部が、ｂ（ι）≠１のときに前記第一入力情報μ_ι,h ^r(ι,1)λ_ι ^b(ι)を用いて得られた前記計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第一計算部が、ｂ（ι）≠１のときにｚ_ι,1ν_ι ^-r(ι,1)を計算して前記計算結果ｕ_ιを得、
    　前記第二乱数生成部が、ａ（ι）≠１のときに前記乱数ｒ（ι，２）を生成し、
    　前記第二入力情報計算部が、ａ（ι）≠１のときに前記第二入力情報τ_ι,2としてμ_ι,h ^r(ι,2)λ_ι ^a(ι)を計算し、
    　前記第二出力情報計算部が、ａ（ι）≠１のときに前記第二入力情報μ_ι,h ^r(ι,2)λ_ι ^a(ι)を用いて得られた前記計算結果を第二出力情報ｚ_ι,2とし、
    　前記第二計算部が、ａ（ι）≠１のときにｚ_ι,2ν_ι ^-r(ι,2)を計算して前記計算結果ｖ_ιを得、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，３）を生成する第三乱数生成部と、
    　ｂ（ι）＝１のときにλ_ι ^r(ι,3)を前記第一入力情報τ_ι,1とし、ａ（ι）＝１のときにλ_ι ^r(ι,3)を前記第二入力情報τ_ι,2とする第三入力情報計算部と、を含み、
    　前記能力提供装置が、
    　前記ｘ^r(ι,3)を用い、或る確率より大きな確率でｆ_ι（λ_ι ^r(ι,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_ι,3とする第三出力情報計算部を含み、
    　前記計算装置が、
    　ｂ（ι）＝１のときにｚ_ι,3 ^1/r(ι,3)を前記計算結果ｕ_ιとし、ａ（ι）＝１のときにｚ_ι,3 ^1/r(ι,3)を前記計算結果ｖ_ιとする第三計算部を含む、代理計算システム。
26. 　請求項２１の代理計算システムにおいて、
    　前記復号関数ｆ_ιが準同型関数、前記群Ｈ_ιが巡回群で、前記巡回群Ｈ_ιの生成元がμ_ι,h、前記巡回群Ｈ_ιの位数がＫ_ι,H、ν_ι＝ｆ_ι（μ_ι,h）であり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，１）を生成する第一乱数生成部と、
    　前記第一入力情報τ_ι,1としてμ_ι,h ^r(ι,1)λ_ι ^b(ι)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（ι，２）を生成する第二乱数生成部と、
    　前記第二入力情報τ_ι,2としてμ_ι,h ^r(ι,2)λ_ι ^a(ι)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部は、前記第一入力情報μ_ι,h ^r(ι,1)λ_ι ^b(ι)を用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^(ι,1)λ_ι ^b(ι)）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第二出力情報計算部は、前記第二入力情報μ_ι,h ^r(ι,2)λ_ι ^a(ι)を用い、或る確率より大きな確率でｆ_ι（μ_ι,h ^r(ι,2)λ_ι ^a(ι)）を正しく計算し、得られた計算結果を第二出力情報ｚ_ι,2とし、
    　前記第一計算部は、ｚ_ι,1ν_ι ^-r(ι,1)を計算して前記計算結果ｕ_ιを得、
    　前記第二計算部は、ｚ_ι,2ν_ι ^-r(ι,2)を計算して前記計算結果ｖ_ιを得る、代理計算システム。
27. 　請求項２６の代理計算システムにおいて、
    　前記第一乱数生成部が、ｂ（ι）≠１のときに前記乱数ｒ（ι，１）を生成し、
    　前記第一入力情報計算部が、ｂ（ι）≠１のときに前記第一入力情報τ_ι,1として前記μ_ι,h ^r(ι,1)λ_ι ^b(ι)を計算し、
    　前記第一出力情報計算部が、ｂ（ι）≠１のときに前記第一入力情報μ_ι,h ^r(ι,1)λ_ι ^b(ι)を用いて得られた前記計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第一計算部が、ｂ（ι）≠１のときにｚ_ι,1ν_ι ^-r(ι,1)を計算して前記計算結果ｕ_ιを得、
    　前記第二乱数生成部が、ａ（ι）≠１のときに前記乱数ｒ（ι，２）を生成し、
    　前記第二入力情報計算部が、ａ（ι）≠１のときに前記第二入力情報τ_ι,2としてμ_ι,h ^r(ι,2)λ_ι ^a(ι)を計算し、
    　前記第二出力情報計算部が、ａ（ι）≠１のときに前記第二入力情報μ_ι,h ^r(ι,2)λ_ι ^a(ι)を用いて得られた前記計算結果を第二出力情報ｚ_ι,2とし、
    　前記第二計算部が、ａ（ι）≠１のときにｚ_ι,2ν_ι ^-r(ι,2)を計算して前記計算結果ｖ_ιを得、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，３）を生成する第三乱数生成部と、
    　ｂ（ι）＝１のときにλ_ι ^r(ι,3)を前記第一入力情報τ_ι，１とし、ａ（ι）＝１のときにλ_ι ^r(ι,3)を前記第二入力情報τ_ι,2とする第三入力情報計算部と、を含み、
    　前記能力提供装置が、
    　前記ｘ^r(ι,3)を用い、或る確率より大きな確率でｆ_ι（λ_ι ^r(ι,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_ι,3とする第三出力情報計算部を含み、
    　前記計算装置が、
    　ｂ（ι）＝１のときにｚ_ι,3 ^1/r(ι,3)を前記計算結果ｕ_ιとし、ａ（ι）＝１のときにｚ_ι,3 ^1/r(ι,3)を前記計算結果ｖ_ιとする第三計算部を含む、代理計算システム。
28. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記群Ｈ_ιが直積群Ｇ_ι×Ｇ_ι、前記復号関数ｆ_ιが準同型関数、前記群Ｇ_ιが巡回群で、前記巡回群Ｇ_ιの生成元がμ_ι,g、前記巡回群Ｇ_ιの位数がＫ_ι,G、λ_ι＝（ｃ_ι,1，ｃ_ι,2），（Ｖ_ι，Ｗ_ι）が前記群Ｈ_ιの元、ｆ_ι（Ｖ_ι，Ｗ_ι）＝Ｙ_ιであり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，４）を生成する第四乱数生成部と、
    　０以上の自然数の乱数ｒ（ι，５）を生成する第五乱数生成部と、
    　前記第一入力情報τ_ι,1としてｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)及びｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（ι，６）を生成する第六乱数生成部と、
    　０以上の自然数の乱数ｒ（ι，７）を生成する第七乱数生成部と、
    　前記第二入力情報τ_ι,2としてｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)及びｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部が、前記第一入力情報ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)及びｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)を用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)，ｃ_ι,2 ^b(ι)Ｗ_ι ^r4）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第二出力情報計算部が、前記第二入力情報ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)及びｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)を用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)，ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)）を正しく計算し、得られた計算結果を前記第二出力情報ｚ_ι,2とし、
    　前記第一計算部が、ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)を計算して前記計算結果ｕ_ιを得、
    　前記第二計算部が、ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)を計算して前記計算結果ｖ_ιを得る、代理計算システム。
29. 　請求項２１の代理計算システムにおいて、
    　前記群Ｈ_ιが直積群Ｇ_ι×Ｇ_ι、前記復号関数ｆ_ιが準同型関数、前記群Ｇ_ιが巡回群で、前記巡回群Ｇ_ιの生成元がμ_ι,g、前記巡回群Ｇ_ιの位数がＫ_ι,G、λ_ι＝（ｃ_ι,1，ｃ_ι,2），（Ｖ_ι，Ｗ_ι）が前記群Ｈ_ιの元、ｆ_ι（Ｖ_ι，Ｗ_ι）＝Ｙ_ιであり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（ι，４）を生成する第四乱数生成部と、
    　０以上の自然数の乱数ｒ（ι，５）を生成する第五乱数生成部と、
    　前記第一入力情報τ_ι,1としてｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)及びｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（ι，６）を生成する第六乱数生成部と、
    　０以上の自然数の乱数ｒ（ι，７）を生成する第七乱数生成部と、
    　前記第二入力情報τ_ι,2としてｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)及びｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部が、前記第一入力情報ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)及びｃ_ι,2 ^b(ι)Ｗ_ι ^r(ι,4)を用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^b(ι)Ｖ_ι ^r(ι,4)μ_ι,g ^r(ι,5)，ｃ_ι,2 ^b(ι)Ｗ_ι ^r4）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_ι,1とし、
    　前記第二出力情報計算部が、前記第二入力情報ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)及びｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)を用い、或る確率より大きな確率でｆ_ι（ｃ_ι,1 ^a(ι)Ｖ_ι ^r(ι,6)μ_ι,g ^r(ι,7)，ｃ_ι,2 ^a(ι)Ｗ_ι ^r(ι,6)）を正しく計算し、得られた計算結果を前記第二出力情報ｚ_ι,2とし、
    　前記第一計算部が、ｚ_ι,1Ｙ_ι ^-r(ι,4)μ_ι,g ^-r(ι,5)を計算して前記計算結果ｕ_ιを得、
    　前記第二計算部が、ｚ_ι,2Ｙ_ι ^-r(ι,6)μ_ι,g ^-r(ι,7)を計算して前記計算結果ｖ_ιを得る、代理計算システム。
30. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布が前記自然数ｂ（ι）に依存しない、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布が前記自然数ａ（ι）に依存しない、又は、前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
31. 　請求項２４の代理計算システムにおいて、
    　前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布が前記自然数ｂ（ι）に依存しない、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布が前記自然数ａ（ι）に依存しない、又は、前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
32. 　請求項２６の代理計算システムにおいて、
    　前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布が前記自然数ｂ（ι）に依存しない、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布が前記自然数ａ（ι）に依存しない、又は、前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
33. 　請求項２８の代理計算システムにおいて、
    　前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布が前記自然数ｂ（ι）に依存しない、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布が前記自然数ａ（ι）に依存しない、又は、前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
34. 　請求項２９の代理計算システムにおいて、
    　前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布が前記自然数ｂ（ι）に依存しない、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布が前記自然数ａ（ι）に依存しない、又は、前記演算結果ｕ_ιのｆ_ι（λ_ι）^b(ι)に対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_ιのｆ_ι（λ_ι）^a(ι)に対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、代理計算システム。
35. 　請求項１７から２０の何れかの代理計算システムにおいて、
    　前記自然数ａ（ι）又は前記自然数ｂ（ι）が定数である、代理計算システム。
36. 　請求項２４の代理計算システムにおいて、
    　前記自然数ａ（ι）又は前記自然数ｂ（ι）が定数である、代理計算システム。
37. 　請求項２６の代理計算システムにおいて、
    　前記自然数ａ（ι）又は前記自然数ｂ（ι）が定数である、代理計算システム。
38. 　請求項２８の代理計算システムにおいて、
    　前記自然数ａ（ι）又は前記自然数ｂ（ι）が定数である、代理計算システム。
39. 　請求項２９の代理計算システムにおいて、
    　前記自然数ａ（ι）又は前記自然数ｂ（ι）が定数である、代理計算システム。
40. 　計算装置と能力提供装置とを有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元であり、
    　前記計算装置が、
    　前記暗号文ｘ_Mに対応する、集合Ｈ_Mの元である第一入力情報_Mτ₁及び第二入力情報_Mτ₂を出力する入力情報提供部を含み、
    　前記能力提供装置が、
    　前記第一入力情報_Mτ₁を用い、或る確率より大きな確率でｆ_M（_Mτ₁）を正しく計算し、得られた計算結果を第一出力情報_Mｚ₁とする第一出力情報計算部と、
    　前記第二入力情報_Mτ₂を用い、或る確率より大きな確率でｆ_M（_Mτ₂）を正しく計算し、得られた計算結果を第二出力情報_Mｚ₂とする第二出力情報計算部と、を含み、
    　前記計算装置が、さらに
    　前記第一出力情報_Mｚ₁から計算結果ｕ_M＝ｆ_M（ｘ_M）＋_Mｘ₁を生成する第一計算部と、
    　前記第二出力情報_Mｚ₂から計算結果ｖ_M＝ｆ_M（ｘ_M）ａ_M＋_Mｘ₂を生成する第二計算部と、
    　前記計算結果ｕ_M及びｖ_Mがｕ_M・ａ_M＝ｖ_Mを満たす場合にｕ_Mを出力する最終出力部と、を含む、代理計算システム。
41. 　請求項４０の代理計算システムにおいて、
    　前記計算装置が、前記集合Ｈ_Mの元ａ_Mを選択する行列選択部を含み、
    　前記第二入力情報_Mτ₂が、前記元ａ_Mにさらに対応する、代理計算システム。
42. 　請求項４１の代理計算システムにおいて、
    　前記入力情報提供部は、前記暗号文ｘ_Mとの関係をかく乱させた情報を前記第一入力情報_Mτ₁及び前記第二入力情報_Mτ₂とする、代理計算システム。
43. 　請求項４０の代理計算システムにおいて、
    　前記入力情報提供部は、前記暗号文ｘ_Mとの関係をかく乱させた情報を前記第一入力情報_Mτ₁及び前記第二入力情報_Mτ₂とする、代理計算システム。
44. 　請求項４０から４３の何れかの代理計算システムにおいて、
    　κ，ι，ｑが正整数、・^Tが・の転置行列、Ｇ_Mがι×ι行列の集合、Ｈ_Mがι×ι行列の集合、ＰＫが暗号化鍵であるι×κ行列、ＳＫがＰＫ・ＳＫ＝０を満たすι×ι行列である前記復号鍵、ＣＭがκ×ι行列、ＮＭがι×ι行列、ＵＭがι×ι単位行列、前記復号関数ｆ_MがＳＫ^-1｛ＳＫ・ｘ_M・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）であり、
    　前記入力情報提供部が、
    　前記集合Ｇ_Mの元Ｍ_R1をランダムに選択する第一ランダム行列選択部と、
    　κ×ιのランダムな行列ＣＭ₁₁及びＣＭ₁₂を選択する第二ランダム行列選択部と、
    　第一暗号文Ｃ_R1＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R1（ｍｏｄ ｑ）を生成する第一暗号化部と、
    　第二暗号文Ｃ_UM＝ＰＫ・ＣＭ＋２・ＮＭ＋ＵＭ（ｍｏｄ ｑ）を生成する第二暗号化部と、
    　前記第一入力情報_Mτ₁として（ｘ_M・Ｃ_UM＋Ｃ_R1）＋ＰＫ・ＣＭ₁₁＋２・ＮＭ＋ＣＭ₁₂ ^T・ＰＫ^Tを得る第一入力情報計算部と、
    　前記集合Ｇ_Mの元Ｍ_R2をランダムに選択する第三ランダム行列選択部と、
    　κ×ιのランダムな行列ＣＭ₂₁及びＣＭ₂₂を選択する第四ランダム行列選択部と、
    　第三暗号文Ｃ_R2＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R2（ｍｏｄ ｑ）を生成する第三暗号化部と、
    　第四暗号文Ｃ_a＝ＰＫ・ＣＭ＋２・ＮＭ＋ａ_M（ｍｏｄ ｑ）を生成する第四暗号化部と、
    　前記第二入力情報_Mτ₂として（ｘ_M・Ｃ_a＋Ｃ_R2）＋ＰＫ・ＣＭ₂₁＋２・ＮＭ＋ＣＭ₂₂ ^T・ＰＫ^Tを得る第二入力情報計算部と、を含み、
    　前記第一計算部が前記計算結果ｕ_Mとして_Mｚ₁－Ｍ_R1を生成し、
    　前記第二計算部が前記計算結果ｖ_Mとして_Mｚ₂－Ｍ_R2を生成する、代理計算システム。
45. 　請求項４０から４３の何れかの代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　前記復号制御装置は、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置は、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報_Mｚ₁及び前記第二出力情報_Mｚ₂の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
46. 　請求項４４の代理計算システムにおいて、
    　復号制御装置をさらに有し、
    　前記復号制御装置は、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力する出力部を含み、
    　前記能力提供装置は、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報_Mｚ₁及び前記第二出力情報_Mｚ₂の両方が出力されるか否かを制御する制御部を含む、代理計算システム。
47. 　第一計算部と、第二計算部と、最終出力部とを有し、
    　Ｇ，Ｈが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数であり、
    　前記第一計算部が、計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成し、
    　前記第二計算部が、計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成し、
    　前記最終出力部が、前記計算結果ｕ及びｖがｕ^a＝ｖ^bを満たす場合に、ａ’ａ＋ｂ’ｂ＝１を満たす整数ａ’，ｂ’についてのｕ^b’ｖ^a’を出力する、を有する計算装置。
48. 　請求項４７の計算装置において、
    　前記暗号文ｘに対応する、前記群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を出力する入力情報提供部をさらに有し、
    　前記第一計算部が、或る確率より大きな確率で正しくｆ（τ₁）を計算して得られた計算結果である第一出力情報ｚ₁から、前記計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成し、
    　前記第二計算部が、或る確率より大きな確率で正しくｆ（τ₂）を正しく計算して得られた計算結果である第二出力情報ｚ₂から、前記計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成する、計算装置。
49. 　請求項４８の計算装置において、
    　前記自然数ａ，ｂの少なくとも一方を選択する自然数選択部をさらに有し、
    　前記第一入力情報τ₁が、前記自然数ｂにさらに対応し、前記第二入力情報τ₂が、前記自然数ａにさらに対応する、計算装置。
50. 　請求項４９の計算装置において、
    　前記入力情報提供部は、前記暗号文ｘとの関係をかく乱させた情報を前記第一入力情報τ₁及び前記第二入力情報τ₂とする、計算装置。
51. 　請求項４８の計算装置において、
    　前記入力情報提供部は、前記暗号文ｘとの関係をかく乱させた情報を前記第一入力情報τ₁及び前記第二入力情報τ₂とする、計算装置。
52. 　請求項４８から５１の何れかの計算装置において、
    　前記復号関数ｆ（ｘ）が準同型関数、前記群Ｈが巡回群で、前記巡回群Ｈの生成元がμ_h、前記巡回群Ｈの位数がＫ_H、ν＝ｆ（μ_h）であり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ₁を生成する第一乱数生成部と、
    　前記第一入力情報τ₁としてμ_h ^r1ｘ^bを計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ_２を生成する第二乱数生成部と、
    　前記第二入力情報τ₂としてμ_h ^r2ｘ^aを計算する第二入力情報計算部と、を含み、
    　前記第一出力情報ｚ₁は、或る確率より大きな確率でｆ（μ_h ^r1ｘ^b）を正しく計算して得られた計算結果であり、
    　前記第二出力情報ｚ₂は、或る確率より大きな確率でｆ（μ_h ^r2ｘ^a）を正しく計算して得られた計算結果であり、
    　前記計算結果ｕは、ｚ₁ν^-r1であり、
    　前記計算結果ｖは、ｚ₂ν^-r2である、計算装置。
53. 　請求項４８から５１の何れかの計算装置において、
    　前記群Ｈが直積群Ｇ×Ｇで、前記復号関数ｆ（ｘ）が準同型関数、前記群Ｇが巡回群で、前記巡回群Ｇの生成元がμ_ｇ、前記巡回群Ｇの位数がＫ_Ｇ、ｘ＝（ｃ₁，ｃ₂），（Ｖ，Ｗ）が前記群Ｈの元、ｆ（Ｖ，Ｗ）＝Ｙであり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ₄を生成する第四乱数生成部と、
    　０以上の自然数の乱数ｒ₅を生成する第五乱数生成部と、
    　前記第一入力情報τ₁としてｃ₂ ^bＷ^r4及びｃ₁ ^bＶ^r4μ_g ^r5を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ₆を生成する第六乱数生成部と、
    　０以上の自然数の乱数ｒ₇を生成する第七乱数生成部と、
    　前記第二入力情報τ₂としてｃ₂ ^aＷ^r6及びｃ₁ ^aＶ^r6μ_g ^r7を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報ｚ₁は、或る確率より大きな確率でｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）を正しく計算して得られた計算結果であり、
    　前記第二出力情報ｚ₂は、或る確率より大きな確率でｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）を正しく計算して得られた計算結果であり、
    　前記計算結果ｕは、ｚ₁Ｙ^-r4μ_g ^-r5であり、
    　前記計算結果ｖは、ｚ₂Ｙ^-r6μ_g ^-r7である、計算装置。
54. 　請求項４８から５１の何れかの計算装置において、
    　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、計算装置。
55. 　請求項５２の計算装置において、
    　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、計算装置。
56. 　請求項５３の計算装置において、
    　前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布が前記自然数ｂに依存しない、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布が前記自然数ａに依存しない、又は、前記計算結果ｕのｆ（ｘ）^bに対する誤差の確率分布と区別することができない前記自然数ｂに依存しない確率分布が存在する、及び／若しくは、前記計算結果ｖのｆ（ｘ）^aに対する誤差の確率分布と区別することができない前記自然数ａに依存しない確率分布が存在する、計算装置。
57. 　請求項４８から５１の何れかの計算装置において、
    　前記自然数ａ又は前記自然数ｂが定数である、計算装置。
58. 　請求項５２の計算装置において、
    　前記自然数ａ又は前記自然数ｂが定数である、計算装置。
59. 　請求項５３の計算装置において、
    　前記自然数ａ又は前記自然数ｂが定数である、計算装置。
60. 　第一計算部と、第二計算部と、最終出力部とを有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元であり、
    　前記第一計算部が、計算結果ｕ_M＝ｆ_M（ｘ_M）＋_Mｘ₁を生成し、
    　前記第二計算部が、計算結果ｖ_M＝ｆ_M（ｘ_M）ａ_M＋_Mｘ₂を生成し、
    　前記最終出力部が、前記計算結果ｕ_M及びｖ_Mがｕ_M・ａ_M＝ｖ_Mを満たす場合にｕ_Mを出力する、計算装置。
61. 　請求項６０の計算装置において、
    　前記暗号文ｘ_Mに対応する、集合Ｈ_Mの元である第一入力情報_Mτ₁及び第二入力情報_Mτ₂を出力する入力情報提供部をさらに含み、
    　前記第一計算部が、或る確率より大きな確率でｆ_M（_Mτ₁）を正しく計算して得られた計算結果である第一出力情報_Mｚ₁から、前記計算結果ｕ_M＝ｆ_M（ｘ_M）＋_Mｘ₁を生成し、
    　前記第二計算部が、或る確率より大きな確率でｆ_M（_Mτ₂）を正しく計算して得られた計算結果である第二出力情報_Mｚ₂から、前記計算結果ｖ_M＝ｆ_M（ｘ_M）ａ_M＋_Mｘ₂を生成する、計算装置。
62. 　請求項６１の計算装置において、
    　前記集合Ｈ_Mの元ａ_Mを選択する行列選択部を更に有し、
    　前記第二入力情報_Mτ₂が、前記元ａ_Mにさらに対応する、計算装置。
63. 　請求項６２の計算装置において、
    　前記入力情報提供部は、前記暗号文ｘ_Mとの関係をかく乱させた情報を前記第一入力情報_Mτ₁及び前記第二入力情報_Mτ₂とする、計算装置。
64. 　請求項６１の計算装置において、
    　前記入力情報提供部は、前記暗号文ｘ_Mとの関係をかく乱させた情報を前記第一入力情報_Mτ₁及び前記第二入力情報_Mτ₂とする、計算装置。
65. 　請求項６１から６４の何れかの計算装置において、
    　κ，ι，ｑが正整数、・^Tが・の転置行列、Ｇ_Mがι×ι行列の集合、Ｈ_Mがι×ι行列の集合、ＰＫが暗号化鍵であるι×κ行列、ＳＫがＰＫ・ＳＫ＝０を満たすι×ι行列である前記復号鍵、ＣＭがκ×ι行列、ＮＭがι×ι行列、ＵＭがι×ι単位行列、前記復号関数ｆ_MがＳＫ^-1｛ＳＫ・ｘ_M・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）であり、
    　前記入力情報提供部が、
    　前記集合Ｇ_Mの元Ｍ_R1をランダムに選択する第一ランダム行列選択部と、
    　κ×ιのランダムな行列ＣＭ₁₁及びＣＭ₁₂を選択する第二ランダム行列選択部と、
    　第一暗号文Ｃ_R1＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R1（ｍｏｄ ｑ）を生成する第一暗号化部と、
    　第二暗号文Ｃ_UM＝ＰＫ・ＣＭ＋２・ＮＭ＋ＵＭ（ｍｏｄ ｑ）を生成する第二暗号化部と、
    　前記第一入力情報_Mτ₁として（ｘ_M・Ｃ_UM＋Ｃ_R1）＋ＰＫ・ＣＭ₁₁＋２・ＮＭ＋ＣＭ₁₂ ^T・ＰＫ^Tを得る第一入力情報計算部と、
    　前記集合Ｇ_Mの元Ｍ_R2をランダムに選択する第三ランダム行列選択部と、
    　κ×ιのランダムな行列ＣＭ₂₁及びＣＭ₂₂を選択する第四ランダム行列選択部と、
    　第三暗号文Ｃ_R2＝ＰＫ・ＣＭ＋２・ＮＭ＋Ｍ_R2（ｍｏｄ ｑ）を生成する第三暗号化部と、
    　第四暗号文Ｃ_a＝ＰＫ・ＣＭ＋２・ＮＭ＋ａ_M（ｍｏｄ ｑ）を生成する第四暗号化部と、
    　前記第二入力情報_Mτ₂として（ｘ_M・Ｃ_a＋Ｃ_R2）＋ＰＫ・ＣＭ₂₁＋２・ＮＭ＋ＣＭ₂₂ ^T・ＰＫ^Tを得る第二入力情報計算部と、を含み、
    　前記第一計算部が前記計算結果ｕ_Mとして_Mｚ₁－Ｍ_R1を生成し、
    　前記第二計算部が前記計算結果ｖ_Mとして_Mｚ₂－Ｍ_R2を生成する、計算装置。
66. 　第一出力情報計算部と、第二出力情報計算部とを有し、
    　Ｇ，Ｈが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数であり、
    　前記第一出力情報計算部が、前記暗号文ｘに対応する、前記群Ｈの元である第一入力情報τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とし、
    　前記第二出力情報計算部が、前記暗号文ｘに対応する、前記群Ｈの元である第二入力情報τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする、
    　を有する能力提供装置。
67. 　請求項６６の能力提供装置において、
    　前記復号関数ｆ（ｘ）が準同型関数、前記群Ｈが巡回群で、前記巡回群Ｈの生成元がμ_h、前記巡回群Ｈの位数がＫ_H、ν＝ｆ（μ_h）であり、ｒ₁及びｒ₂が０以上の自然数の乱数であり、
    　前記第一出力情報計算部が、前記第一入力情報μ_h ^r1ｘ^bを用い、或る確率より大きな確率でｆ（μ_h ^r1ｘ^b）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_１とし、
    　前記第二出力情報計算部が、前記第二入力情報μ_h ^r2ｘ^aを用い、或る確率より大きな確率でｆ（μ_h ^r2ｘ^a）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とする、能力提供装置。
68. 　請求項６６の能力提供装置において、
    　前記群Ｈが直積群Ｇ×Ｇで、前記復号関数ｆ（ｘ）が準同型関数、前記群Ｇが巡回群で、前記巡回群Ｇの生成元がμ_g、前記巡回群Ｇの位数がＫ_G、ｘ＝（ｃ₁，ｃ₂），（Ｖ，Ｗ）が前記群Ｈの元、ｆ（Ｖ，Ｗ）＝Ｙであり、ｒ₄，ｒ₅，ｒ₆及びｒ₇が０以上の自然数の乱数であり、
    　前記第一出力情報計算部が、前記第一入力情報ｃ₁ ^bＶ^r4μ_g ^r5及びｃ₂ ^bＷ^r4を用い、或る確率より大きな確率でｆ（ｃ₁ ^bＶ^r4μ_g ^r5，ｃ₂ ^bＷ^r4）を正しく計算し、得られた計算結果を前記第一出力情報ｚ₁とし、
    　前記第二出力情報計算部が、前記第二入力情報ｃ₁ ^aＶ^r6μ_g ^r7及びｃ₂ ^aＷ^r6を用い、或る確率より大きな確率でｆ（ｃ₁ ^aＶ^r6μ_g ^r7，ｃ₂ ^aＷ^r6）を正しく計算し、得られた計算結果を前記第二出力情報ｚ₂とする、能力提供装置。
69. 　請求項６６から６８の何れかの能力提供装置において、
    　入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御する制御部をさらに有する、能力提供装置。
70. 　請求項６６の能力提供装置において、
    　Ｇ_ι，Ｈ_ιが群、ωが２以上の整数、ι＝１，・・・，ω、ｆ_ι（λ_ι）が前記群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して前記群Ｇ_ιの元を得るための復号関数、Ｘ_ι,1，Ｘ_ι,2が前記群Ｇ_ιに値を持つ確率変数、ｘ_ι,1が確率変数Ｘ_ι,1の実現値、ｘ_ι,2が確率変数Ｘ_ι,2の実現値、ａ（ι），ｂ（ι）が互いに素である自然数であり、前記群Ｇが群Ｇ₁、前記群Ｈが群Ｈ₁、前記暗号文ｘが暗号文λ₁、前記復号関数ｆ（ｘ）が復号関数ｆ₁（λ₁）、前記確率変数Ｘ₁が確率変数Ｘ_1,1、前記確率変数Ｘ₂が確率変数Ｘ_1,2、前記実現値ｘ₁が実現値ｘ_1,1、前記実現値ｘ₂が実現値ｘ_1,2、前記自然数ａが自然数ａ（１）、前記自然数ｂが自然数ｂ（１）であり、
    　前記第一出力情報計算部は、前記第一入力情報τ_ι,1を用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_ι,1として出力し、
    　前記第二出力情報計算部は、前記第二入力情報τ_ι,2を用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2として出力し、
    　当該能力提供装置は、入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方が出力されるか否かを制御する制御部をさらに有する、能力提供装置。
71. 　請求項７０の能力提供装置において、
    　前記復号制御命令は、何れかの前記復号関数ｆ_ιに対応し、
    　前記制御部は、前記復号制御命令に対応する前記復号関数ｆ_ι、に対応する前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方が出力されるか否かを制御する、能力提供装置。
72. 　第一出力情報計算部と、第二出力情報計算部とを有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元であり、
    　前記第一出力情報計算部が、前記暗号文ｘ_Mに対応する第一入力情報_Mτ₁を用い、或る確率より大きな確率でｆ_M（_Mτ₁）を正しく計算し、得られた計算結果を第一出力情報_Mｚ₁とし、
    　前記第二出力情報計算部が、前記暗号文ｘ_Mに対応する第二入力情報_Mτ₂を用い、或る確率より大きな確率でｆ_M（_Mτ₂）を正しく計算し、得られた計算結果を第二出力情報_Mｚ₂とする、
    　を有する能力提供装置。
73. 　請求項７２の能力提供装置において、
    　κ，ι，ｑが正整数、・^Tが・の転置行列、Ｇ_Mがι×ι行列の集合、Ｈ_Mがι×ι行列の集合、ＰＫが暗号化鍵であるι×κ行列、ＳＫがＰＫ・ＳＫ＝０を満たすι×ι行列である前記復号鍵、ＣＭがκ×ι行列、ＮＭがι×ι行列、ＵＭがι×ι単位行列、前記復号関数ｆ_MがＳＫ^-1｛ＳＫ・ｘ_M・ＳＫ^T（ｍｏｄ ｑ）｝（ＳＫ^T）^-1（ｍｏｄ ２）である、能力提供装置。
74. 　請求項７２又は７３の能力提供装置において、
    　入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報_Mｚ₁及び前記第二出力情報_Mｚ₂の両方が出力されるか否かを制御する制御部を含む、能力提供装置。
75. 　代理計算方法において、
    　計算装置で、暗号文ｘに対応する、前記群Ｈの元である第一入力情報τ₁及び第二入力情報τ₂を出力するステップと、
    　能力提供装置で、前記第一入力情報τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とするステップと、
    　前記能力提供装置で、前記第二入力情報τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とするステップと、
    　前記計算装置で、前記第一出力情報ｚ₁から計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成するステップと、
    　前記計算装置で、前記第二出力情報ｚ₂から計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成するステップと、
    　前記計算装置で、前記計算結果ｕ及びｖがｕ^a＝ｖ^bを満たす場合に、ａ’ａ＋ｂ’ｂ＝１を満たす整数ａ’，ｂ’についてのｕ^b’ｖ^a’を出力するステップと、を有し、
    　Ｇが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数である、代理計算方法。
76. 　請求項７５の代理計算方法において、
    　復号制御装置が、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力するステップと、
    　前記能力提供装置が、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御するステップと、
    　をさらに有する代理計算方法。
77. 　請求項７５の代理計算方法において、
    　Ｇ_ι，Ｈ_ιが群、ωが２以上の整数、ι＝１，・・・，ω、ｆ_ι（λ_ι）が前記群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して前記群Ｇ_ιの元を得るための復号関数、Ｘ_ι,1，Ｘ_ι,2が前記群Ｇ_ιに値を持つ確率変数、ｘ_ι,1が確率変数Ｘ_ι,1の実現値、ｘ_ι,2が確率変数Ｘ_ι,2の実現値、ａ（ι），ｂ（ι）が互いに素である自然数であり、前記群Ｇが群Ｇ₁、前記群Ｈが群Ｈ₁、前記暗号文ｘが暗号文λ₁、前記復号関数ｆ（ｘ）が復号関数ｆ₁（λ₁）、前記確率変数Ｘ₁が確率変数Ｘ_1,1、前記確率変数Ｘ₂が確率変数Ｘ_1,2、前記実現値ｘ₁が実現値ｘ_1,1、前記実現値ｘ₂が実現値ｘ_1,2、前記自然数ａが自然数ａ（１）、前記自然数ｂが自然数ｂ（１）であり、
    　（Ａ）前記計算装置で、前記暗号文λ_ιに対応する、前記群Ｈ_ιの元である第一入力情報τ_ι,1及び第二入力情報τ_ι,2を出力するステップと、
    　（Ｂ）前記能力提供装置で、前記第一入力情報τ_ι,1を用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_ι,1として出力するステップと、
    　（Ｃ）前記能力提供装置で、前記第二入力情報τ_ι,2を用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2として出力するステップと、
    　（Ｄ）前記計算装置で、前記第一出力情報ｚ_ι,1から演算結果ｕ_ι＝ｆ_ι（λ_ι）^b(ι)ｘ_ι,1を生成するステップと、
    　（Ｅ）前記計算装置で、前記第二出力情報ｚ_ι,2から演算結果ｖ_ι＝ｆ_ι（λ_ι）^a(ι)ｘ_ι,2を生成するステップと、
    　（Ｆ）前記計算装置で、前記演算結果ｕ_ι及びｖ_ιがｕ_ι ^a(ι)＝ｖ_ι ^b(ι)を満たす場合に、ａ’（ι）ａ（ι）＋ｂ’（ι）ｂ（ι）＝１を満たす整数ａ’（ι），ｂ’（ι）についてのｕ_ι ^b’(ι)ｖ_ι ^a’(ι)を出力するステップと、を有し、
    　前記ステップ（Ｂ）及び前記ステップ（Ｃ）は、
    　復号制御装置から出力された前記計算装置の復号処理を制御する復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方が出力されるか否かを制御するステップである、代理計算方法。
78. 　代理計算方法において、
    　計算装置で、暗号文ｘ_Mに対応する、集合Ｈ_Mの元である第一入力情報_Mτ₁及び第二入力情報_Mτ₂を出力するステップと、
    　能力提供装置で、前記第一入力情報_Mτ₁を用い、或る確率より大きな確率でｆ_M（_Mτ₁）を正しく計算し、得られた計算結果を第一出力情報_Mｚ₁とするステップと、
    　前記能力提供装置で、前記第二入力情報_Mτ₂を用い、或る確率より大きな確率でｆ_M（_Mτ₂）を正しく計算し、得られた計算結果を第二出力情報_Mｚ₂とするステップと、
    　前記計算装置で、前記第一出力情報_Mｚ_１から計算結果ｕ_M＝ｆ_M（ｘ_M）＋_Mｘ₁を生成するステップと、
    　前記計算装置で、前記第二出力情報_Mｚ₂から計算結果ｖ_M＝ｆ_M（ｘ_M）ａ_M＋_Mｘ₂を生成するステップと、
    　前記計算装置で、前記計算結果ｕ_M及びｖ_Mがｕ_M・ａ_M＝ｖ_Mを満たす場合にｕ_Mを出力するステップと、を有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元である、代理計算方法。
79. 　請求項７８の代理計算方法において、
    　復号制御装置が、前記計算装置の復号処理を制御する復号制御命令を前記能力提供装置に出力するステップと、
    　前記能力提供装置が、前記復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報_Mｚ₁及び前記第二出力情報_Mｚ₂の両方が出力されるか否かを制御するステップと、
    　をさらに有する代理計算方法。
80. 　第一計算部で、計算結果ｕ＝ｆ（ｘ）^bｘ₁を生成するステップと、
    　第二計算部で、計算結果ｖ＝ｆ（ｘ）^aｘ₂を生成するステップと、
    　最終出力部で、前記計算結果ｕ及びｖがｕ^a＝ｖ^bを満たす場合に、ａ’ａ＋ｂ’ｂ＝１を満たす整数ａ’，ｂ’についてのｕ^b’ｖ^a’を出力するステップと、を有し、
    　Ｇ，Ｈが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数である、計算方法。
81. 　第一計算部で、計算結果ｕ_M＝ｆ_M（ｘ_M）＋_Mｘ₁を生成するステップと、
    　第二計算部で、計算結果ｖ_M＝ｆ_M（ｘ_M）ａ_M＋_Mｘ₂を生成するステップと、
    　最終出力部で、前記計算結果ｕ_M及びｖ_Mがｕ_M・ａ_M＝ｖ_Mを満たす場合にｕ_Mを出力するステップと、を有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元である、計算方法。
82. 　第一出力情報計算部で、暗号文ｘに対応する、群Ｈの元である第一入力情報τ₁を用い、或る確率より大きな確率でｆ（τ₁）を正しく計算し、得られた計算結果を第一出力情報ｚ₁とするステップと、
    　第二出力情報計算部で、前記暗号文ｘに対応する、前記群Ｈの元である第二入力情報τ₂を用い、或る確率より大きな確率でｆ（τ₂）を正しく計算し、得られた計算結果を第二出力情報ｚ₂とするステップと、を有し、
    　Ｇが群、ｆ（ｘ）が前記群Ｈの元である暗号文ｘを特定の復号鍵で復号して前記群Ｇの元を得るための復号関数、Ｘ₁，Ｘ₂が前記群Ｇに値を持つ確率変数、ｘ₁が確率変数Ｘ₁の実現値、ｘ₂が確率変数Ｘ₂の実現値、ａ，ｂが互いに素である自然数である、能力提供方法。
83. 　請求項８２の能力提供方法において、
    　入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ₁及び前記第二出力情報ｚ₂の両方が出力されるか否かを制御するステップを含む、能力提供方法。
84. 　請求項８２の能力提供方法において、
    　Ｇ_ι，Ｈ_ιが群、ωが２以上の整数、ι＝１，・・・，ω、ｆ_ι（λ_ι）が前記群Ｈ_ιの元である暗号文λ_ιを特定の復号鍵ｓ_ιで復号して前記群Ｇ_ιの元を得るための復号関数、Ｘ_ι,1，Ｘ_ι,2が前記群Ｇ_ιに値を持つ確率変数、ｘ_ι,1が確率変数Ｘ_ι,1の実現値、ｘ_ι,2が確率変数Ｘ_ι,2の実現値、ａ（ι），ｂ（ι）が互いに素である自然数であり、前記群Ｇが群Ｇ₁、前記群Ｈが群Ｈ₁、前記暗号文ｘが暗号文λ₁、前記復号関数ｆ（ｘ）が復号関数ｆ₁（λ₁）、前記確率変数Ｘ₁が確率変数Ｘ_1,1、前記確率変数Ｘ₂が確率変数Ｘ_1,2、前記実現値ｘ₁が実現値ｘ_1,1、前記実現値ｘ₂が実現値ｘ_1,2、前記自然数ａが自然数ａ（１）、前記自然数ｂが自然数ｂ（１）であり、
    　（Ａ）第一出力情報計算部で、前記暗号文λ_ιに対応する第一入力情報τ_ι,1を用い、或る確率より大きな確率でｆ_ι（τ_ι,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_ι,1とするステップと、
    　（Ｂ）第二出力情報計算部で、前記暗号文λ_ιに対応する第二入力情報τ_ι，２を用い、或る確率より大きな確率でｆ_ι（τ_ι,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_ι,2とするステップと、を有し、
    　前記ステップ（Ａ）及び前記ステップ（Ｂ）は、
    　入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報ｚ_ι,1及び前記第二出力情報ｚ_ι,2の両方が出力されるか否かを制御するステップを含む、能力提供方法。
85. 　第一出力情報計算部で、暗号文ｘ_Mに対応する第一入力情報_Mτ₁を用い、或る確率より大きな確率でｆ_M（_Mτ₁）を正しく計算し、得られた計算結果を第一出力情報_Mｚ₁とするステップと、
    　第二出力情報計算部で、前記暗号文ｘ_Mに対応する第二入力情報_Mτ₂を用い、或る確率より大きな確率でｆ_M（_Mτ₂）を正しく計算し、得られた計算結果を第二出力情報_Mｚ₂とするステップと、を有し、
    　Ｇ_M，Ｈ_Mが行列の集合、ｆ_M（ｘ_M）が集合Ｈ_Mの元である暗号文ｘ_Mを特定の復号鍵で復号して集合Ｇ_Mの元を得るための復号関数、_MＸ₁，_MＸ₂が集合Ｇ_Mに値を持つ確率変数、_Mｘ₁が確率変数_MＸ₁の実現値、_Mｘ₂が確率変数_MＸ₂の実現値、ａ_Mが集合Ｈ_Mの元である、能力提供方法。
86. 　請求項８５の能力提供方法において、
    　入力された復号制御命令に従って、前記第一出力情報計算部及び前記第二出力情報計算部から、前記第一出力情報_Mｚ₁及び前記第二出力情報_Mｚ₂の両方が出力されるか否かを制御するステップを含む、能力提供方法。
87. 　能力提供装置とΦ個の計算装置φとを有し、
    　φ＝１，…，Φ、Φが２以上の整数、Ｇ_φ，Ｈ_φが群、ｆ_φが前記群Ｈ_φの元を前記群Ｇ_φの元へ写す関数、ａ（φ），ｂ（φ）が互いに素である自然数、前記群Ｈ_φの元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）が前記群Ｇ_φの元ｆ_φ（Ｍ_φ）^a(φ)b(φ)を要素とする集合、Ｘ_φ,1，Ｘ_φ,2が前記群Ｇ_φに値を持つ確率変数、ｘ_φ,1が確率変数Ｘ_φ,1の実現値、ｘ_φ,2が確率変数Ｘ_φ,2の実現値であり、
    　前記計算装置φのそれぞれが、前記群Ｈ_φの元ｘ_φに対応する、前記群Ｈ_φの元である第一入力情報τ_φ,1及び第二入力情報τ_φ,2を出力する入力情報提供部を含み、
    　前記能力提供装置が、
    　前記第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_φ,1とする第一出力情報計算部と、
    　前記第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とする第二出力情報計算部と、を含み、
    　前記計算装置φのそれぞれが、さらに
    　前記第一出力情報ｚ_φ,1から演算結果ｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1を生成する第一計算部と、
    　前記第二出力情報ｚ_φ,2から演算結果ｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2を生成する第二計算部と、
    　前記演算結果ｕ_φに対する値ｕ_φ ^a(φ)と前記演算結果ｖ_φに対する値ｖ_φ ^b(φ)とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合の前記演算結果ｕ_φ及び前記演算結果ｖ_φと、ａ’（φ）ａ（φ）＋ｂ’（φ）ｂ（φ）＝１を満たす整数ａ’（φ），ｂ’（φ）とに対する、値ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を出力する最終出力部と、を含む、代理計算システム。
88. 　請求項８７の代理計算システムにおいて、
    　すべての前記群Ｇ_φ（φ＝１，…，Φ）が同一であり、すべての前記群Ｈ_φ（φ＝１，…，Φ）が同一であり、すべての前記関数ｆ_φ（φ＝１，…，Φ）が同一であり、
    　前記第一出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、
    　前記第二出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算する、代理計算システム。
89. 　請求項８８の代理計算システムにおいて、
    　前記計算装置φのそれぞれが、前記自然数ａ（φ），ｂ（φ）の少なくとも一方を選択する自然数選択部を含み、
    　前記第一入力情報τ_φ,1が前記自然数ｂ（φ）にさらに対応し、前記第二入力情報τ_φ,2が前記自然数ａ（φ）にさらに対応する、代理計算システム。
90. 　請求項８７の代理計算システムにおいて、
    　前記計算装置φのそれぞれが、前記自然数ａ（φ），ｂ（φ）の少なくとも一方を選択する自然数選択部を含み、
    　前記第一入力情報τ_φ,1が前記自然数ｂ（φ）にさらに対応し、前記第二入力情報τ_φ,2が前記自然数ａ（φ）にさらに対応する、代理計算システム。
91. 　請求項８７の代理計算システムにおいて、
    　前記入力情報提供部が、前記元ｘ_φとの関係をかく乱させた情報を前記第一入力情報τ_φ,1及び前記第二入力情報τ_φ,2とする、代理計算システム。
92. 　請求項８８の代理計算システムにおいて、
    　前記入力情報提供部が、前記元ｘ_φとの関係をかく乱させた情報を前記第一入力情報τ_φ,1及び前記第二入力情報τ_φ,2とする、代理計算システム。
93. 　請求項８９の代理計算システムにおいて、
    　前記入力情報提供部が、前記元ｘ_φとの関係をかく乱させた情報を前記第一入力情報τ_φ,1及び前記第二入力情報τ_φ,2とする、代理計算システム。
94. 　請求項９０の代理計算システムにおいて、
    　前記入力情報提供部が、前記元ｘ_φとの関係をかく乱させた情報を前記第一入力情報τ_φ,1及び前記第二入力情報τ_φ,2とする、代理計算システム。
95. 　請求項８７から９４の何れかの代理計算システムにおいて、
    　前記関数ｆ_φが準同型関数である、代理計算システム。
96. 　請求項９５の代理計算システムにおいて、
    　前記関数ｆ_φが準同型関数、前記群Ｈ_φが巡回群で、μ_φ,hが前記巡回群Ｈ_φの生成元、Ｋ_φ,Hが前記巡回群Ｈ_φの位数、ν_φ＝ｆ_φ（μ_φ,h）であり、
    　前記入力情報提供部は、
    　０以上の自然数の乱数ｒ（φ，１）を生成する第一乱数生成部と、
    　前記第一入力情報τ_φ,1としてμ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（φ，２）を生成する第二乱数生成部と、
    　前記第二入力情報τ_φ,2としてμ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部は、前記第一入力情報μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)）を正しく計算し、得られた計算結果を前記第一出力情報z_φ,1とし、
    　前記第二出力情報計算部は、前記第二入力情報μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)）を正しく計算し、得られた計算結果を第二出力情報ｚ_φ,2とし、
    　前記第一計算部は、ｚ_φ,1ν_φ ^-r(φ,1)を計算して前記演算結果ｕ_φを得、
    　前記第二計算部は、ｚ_φ,2ν_φ ^-r(φ,2)を計算して前記演算結果ｖ_φを得る、代理計算システム。
97. 　請求項９６の代理計算システムにおいて、
    　前記第一乱数生成部は、ｂ（φ）≠１のときに前記乱数ｒ（φ，１）を生成し、
    　前記第一入力情報計算部は、ｂ（φ）≠１のときに前記第一入力情報τ_φ，１として前記μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を計算し、
    　前記第一出力情報計算部は、ｂ（φ）≠１のときに前記第一入力情報μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を用いて得られた前記計算結果を前記第一出力情報ｚ_φ,1とし、
    　前記第一計算部が、ｂ（φ）≠１のときにｚ_φ,1ν_φ ^-r(φ,1)を計算して前記演算結果ｕ_φを得、
    　前記第二乱数生成部が、ａ（φ）≠１のときに前記乱数ｒ（φ，２）を生成し、
    　前記第二入力情報計算部が、ａ（φ）≠１のときに前記第二入力情報τ_φ,2としてμ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を計算し、
    　前記第二出力情報計算部が、ａ（φ）≠１のときに前記第二入力情報μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を用いて得られた前記計算結果を第二出力情報ｚ_φ，２とし、
    　前記第二計算部が、ａ（φ）≠１のときにｚ_φ,2ν_φ ^-r(φ,2)を計算して前記演算結果ｖ_φを得、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（φ，３）を生成する第三乱数生成部と、
    　ｂ（φ）＝１のときにｘ_φ ^r(φ,3)を前記第一入力情報τ_φ,1とし、ａ（φ）＝１のときにｘ_φ ^r(φ,3)を前記第二入力情報τ_φ，２とする第三入力情報計算部と、を含み、
    　前記能力提供装置が、
    　前記ｘ_φ ^r(φ,3)を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^r(φ,3)）を正しく計算し、得られた計算結果を第三出力情報ｚ_φ，３とする第三出力情報計算部を含み、
    　前記計算装置φのそれぞれが、
    　ｂ（φ）＝１のときにｚ_φ,3 ^1/r(φ,3)を前記演算結果ｕ_φとし、ａ（φ）＝１のときにｚ_φ,3 ^1/r(φ,3)を前記演算結果ｖ_φとする第三計算部を含む、代理計算システム。
98. 　請求項８７から９４の何れかの代理計算システムにおいて、
    　前記群Ｈ_φが直積群Ｇ_φ×Ｇ_φで、前記関数ｆ_φが準同型関数、前記群Ｇ_φが巡回群で、前記巡回群Ｇ_φの生成元がμ_φ,g、前記巡回群Ｇ_φの位数がＫ_φ,G、ｘ_φ＝（ｃ_φ,1，ｃ_φ,2），（Ｖ_φ，Ｗ_φ）が前記群Ｈ_φの元、ｆ_φ（Ｖ_φ，Ｗ_φ）＝Ｙ_φであり、
    　前記入力情報提供部が、
    　０以上の自然数の乱数ｒ（φ，４）を生成する第四乱数生成部と、
    　０以上の自然数の乱数ｒ（φ，５）を生成する第五乱数生成部と、
    　前記第一入力情報τ_φ,1としてｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)及びｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)を計算する第一入力情報計算部と、
    　０以上の自然数の乱数ｒ（φ，６）を生成する第六乱数生成部と、
    　０以上の自然数の乱数ｒ（φ，７）を生成する第七乱数生成部と、
    　前記第二入力情報τ_φ,2としてｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)及びｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)を計算する第二入力情報計算部と、を含み、
    　前記第一出力情報計算部が、前記第一入力情報ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)及びｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)を用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)，ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_φ,1とし、
    　前記第二出力情報計算部が、前記第二入力情報ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)及びｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)を用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)，ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)）を正しく計算し、得られた計算結果を前記第二出力情報ｚ_φ，２とし、
    　前記第一計算部が、ｚ_φ,1Ｙ_φ ^-r(φ,4)μ_φ,g ^-r(φ,5)を計算して前記演算結果ｕを得、
    　前記第二計算部が、ｚ_φ,2Ｙ_φ ^-r(φ,6)μ_φ,g ^-r(φ,7)を計算して前記演算結果ｖを得る、代理計算システム。
99. 　請求項８７から９４の何れかの代理計算システムにおいて、
    　前記関数ｆ_φ（ｘ_φ）が前記群Ｈ_φの元である前記元ｘ_φ＝Ｃ_φ,1（ｙ（φ，１），ｍ_φ）を前記群Ｇ_φの元ｆ_φ（ｘ_φ）＝Ｃ_φ,2（ｙ（φ，２），ｍ_φ）に変換するための準同型関数、φ＝１，…，Φ、Ｃ_φ,1（ｙ（φ，１），ｍ_φ）が第一暗号化方式ＥＮＣ_φ,1に則って平文ｍ_φを第一暗号化鍵ｙ（φ，１）で暗号化した暗号文、Ｃ_φ,2（ｙ（φ，２），ｍ_φ）が第二暗号化方式ＥＮＣ_φ，２に則って前記平文ｍ_φを第二暗号化鍵ｙ（φ，２）で暗号化した暗号文であり、
    　前記入力情報提供部が、
    　前記群Ｈ_φの任意の元_ｈｒ_φ，１を生成する第一乱数生成部と、
    　前記第一入力情報τ_φ,1としてｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）を計算する第一入力情報計算部と、
    　前記群Ｈ_φの任意の元_hｒ_φ,2を生成する第二乱数生成部と、
    　前記第二入力情報τ_φ,2としてｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）を計算する第二入力情報計算部と、
    　前記第一出力情報計算部は、前記第一入力情報ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1））を正しく計算し、得られた計算結果を前記第一出力情報ｚ_φ,1とし、
    　前記第二出力情報計算部は、前記第二入力情報ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2））を正しく計算し、得られた計算結果を第二出力情報ｚ_φ,2とし、
    　前記第一計算部は、ｚ_φ,1（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,1））^-1を計算して前記演算結果ｕ_φを得、
    　前記第二計算部は、ｚ_φ,2（Ｃ_φ,2（ｙ（φ，２），_hｒ_φ,2））^-1を計算して前記演算結果ｖ_φを得る、代理計算システム。
100. 　請求項９９の代理計算システムにおいて、
     　前記群Ｇ_φが巡回群Ｇ_φ,1，Ｇ_φ,2の直積群Ｇ_φ,1×Ｇ_φ,2、μ_φ,g1が前記巡回群Ｇ_φ,1の生成元、μ_φ,g2が前記巡回群Ｇ_φ,2の生成元、ｓ（φ，２）が前記第二暗号化鍵ｙ（φ，２）に対応する復号鍵、前記第二暗号化鍵ｙ（φ，２）がμ_φ，ｇ２ ^{ｓ（φ，２）}、ｒ（φ）が整数の乱数、前記元Ｃ_φ,2（ｙ（φ，２），ｍ_φ）が（μ_φ,g1 ^r(φ)，ｍ_φｙ（φ，２）^r(φ)）、前記値ｕ_φ ^a(φ)が（ｃ_φ,1u，ｃ_φ,2u）∈Ｇ_φ,1×Ｇ_φ,2、前記値ｖ_φ ^b(φ)が（ｃ_φ,1v，ｃ_φ,2v）∈Ｇ_φ,1×Ｇ_φ,2、ｅ_φ（α，β）が（α，β）∈Ｇ_φ,1×Ｇ_φ,2に対して巡回群Ｇ_φ,Tの元を与える双線形写像であり、
     　前記最終出力部は、関係ｅ_φ（μ_φ,g1，ｃ_φ,2u）／ｅ_φ（ｃ_φ,1u，ｙ（φ，２））＝ｅ_φ（μ_φ,g1，ｃ_φ,2v）／ｅ_φ（ｃ_φ,1v，ｙ（φ，２））を満たす場合の前記値ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を出力する、代理計算システム。
101. 　請求項１００の代理計算システムにおいて、
     　Ｎ_φが素数ω_φと素数ι_φの合成数、前記前記巡回群Ｇ_φ,1，Ｇ_φ,2がそれぞれ前記合成数Ｎ_φを法とした剰余環上で定義された第一楕円曲線Ｅ_φ，１上の点からなる部分群、Ｇ_φ,1ω，Ｇ_φ,2ωが前記素数ω_φを法とした剰余体上で定義された第二楕円曲線Ｅ_φ,2上の点からなる部分群、Ｇ_φ,1ι，Ｇ_φ,2ιが前記素数ι_φを法とした剰余体上で定義された第三楕円曲線Ｅ_φ,3上の点からなる部分群、ｅ_φ,ω（α_ω，β_ω）が（α_ω，β_ω）∈Ｇ_φ,1ω×Ｇ_φ,2ωに対して巡回群Ｇ_φ,Tωの元を与える第二双線形写像、ｅ_φ,ι（α_ι，β_ι）が（α_ι，β_ι）∈Ｇ_φ,1ι×Ｇ_φ,2ιに対して巡回群Ｇ_φ,Tιの元を与える第三双線形写像、ＨＭ_φが前記第一楕円曲線Ｅ_φ,1上の点を前記第二楕円曲線Ｅ_φ,2上の点と前記第三楕円曲線Ｅ_φ,3上の点とに写す同型写像、ＨＭ_φ ^-1が前記同型写像ＨＭ_φの逆像であり、
     　前記計算装置φのそれぞれは、
     　前記同型写像ＨＭ_φを用いて前記第一楕円曲線Ｅ_φ,1上の点αを前記第二楕円曲線Ｅ_φ,2上の点θ_ω（α）と前記第三楕円曲線Ｅ_φ,3上の点θ_ι（α）とに写し、前記同型写像ＨＭ_φを用いて前記第一楕円曲線Ｅ_φ,1上の点βを前記第二楕円曲線Ｅ_φ,2上の点θ_ω（β）と前記第三楕円曲線Ｅ_φ,3上の点θ_ι（β）とに写し、ｅ_φ,ω（θ_ω（α），θ_ω（β））及びｅ_φ,ι（θ_ι（α），θ_ι（β））を求め、ｅ_φ,ω（θ_ω（α），θ_ω（β））及びｅ_φ,ι（θ_ι（α），θ_ι（β））に対する前記逆像ＨＭ_φ ^-1をｅ_φ（α，β）として求め、前記関係を満たすか否かを判定する判定部をさらに含む、代理計算システム。
102. 　請求項８７から９４の何れかの代理計算システムにおいて、
     　前記群Ｈ_φが巡回群Ｈ_1,φ,Ｈ_2,φの直積群Ｈ_1,φ×Ｈ_2,φ、前記巡回群Ｈ_1,φの生成元がη_1,φ、前記巡回群Ｈ_2,φの生成元がη_2,φ、ｆ_φが前記巡回群Ｈ_1,φの元と前記巡回群Ｈ_2,φの元との組を前記群Ｇ_φの元へ写す双準同型写像、前記群Ｈ_φの元ｘ_φが前記巡回群Ｈ_1,φの元λ_1,φと前記巡回群Ｈ_2,φの元λ_2,φとの組、Ω_φ=ｆ_φ（η_1,φ，η_2,φ）であり、
     　前記入力情報提供部が、
     　０以上の自然数の乱数ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６）を生成する第一乱数生成部と、
     　前記第一入力情報τ_φ,1として、（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及び（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を計算する第一入力情報計算部と、
     　０以上の自然数の乱数ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）を生成する第二乱数生成部と、
     　前記第二入力情報τ_φ,2として、（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及び（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を計算する第二入力情報計算部と、を含み、
     　前記第一出力情報計算部は、前記第一入力情報τ_φ,1を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、ｆ_φ（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及びｆ_φ（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を正しく計算し、得られた演算結果ｚ_φ,1,1、ｚ_φ,1,2及びｚ_φ,1,3を前記第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部は、前記第二入力情報τ_φ,2を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、ｆ_φ（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及びｆ_φ（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を正しく計算し、得られた演算結果ｚ_φ,2,1、ｚ_φ,2,2及びｚ_φ,2,3を前記第二出力情報ｚ_φ,2とし、
     　前記第一計算部は、ｚ_φ,1,1ｚ_φ,1,2ｚ_φ,1,3Ω_φ ^{-r(φ,11)・r(φ,12)・r(φ,13)・r(φ,14)-r(φ,11)・r(φ,15)-r(φ,13)・r(φ,16)}を計算して前記演算結果ｕ_φを得、
     　前記第二計算部は、ｚ_φ,2,1ｚ_φ,2,2ｚ_φ,2,3Ω_φ ^{-r(φ,21)・r(φ,22)・r(φ,23)・r(φ,24)-r(φ,21)・r(φ,25)-r(φ,23)・r(φ,26)}を計算して前記演算結果ｖ_φを得、
     　前記最終出力部は、前記演算結果ｕ_φ，ｖ_φがｕ_φ ^a(φ)=ｖ_φ ^b(φ)を満たす場合に、ａ’（φ）ａ（φ）＋ｂ’（φ）ｂ（φ）＝１を満たす整数ａ’（φ），ｂ’（φ）についての値ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を出力する、代理計算システム。
103. 　請求項８７から９４の何れかの代理計算システムにおいて、
     　前記演算結果ｕ_φのｆ_φ（ｘ_φ）^b(φ)に対する誤差の確率分布が前記自然数ｂ（φ）に依存しない、及び／若しくは、前記演算結果ｖ_φのｆ_φ（ｘ_φ）^a(φ)に対する誤差の確率分布が前記自然数ａ（φ）に依存しない、又は、前記演算結果ｕ_φのｆ_φ（ｘ_φ）^b(φ)に対する誤差の確率分布と区別することができない前記自然数ｂ（φ）に依存しない確率分布が存在する、及び／若しくは、前記演算結果ｖ_φのｆ_φ（ｘ_φ）^a(φ)に対する誤差の確率分布と区別することができない前記自然数ａ（φ）に依存しない確率分布が存在する、代理計算システム。
104. 　請求項８７から９４の何れかの代理計算システムにおいて、
     　前記自然数ａ（φ）又は前記自然数ｂ（φ）が定数である、代理計算システム。
105. 　第一出力情報計算部と、第二出力情報計算部とを有し、
     　φ＝１，…，Φ、Φが２以上の整数、Ｇ_φ，Ｈ_φが群、ｆ_φが前記群Ｈ_φの元を前記群Ｇ_φの元へ写す関数、ａ（φ），ｂ（φ）が互いに素である自然数、前記群Ｈ_φの元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）が前記群Ｇ_φの元ｆ_φ（Ｍ_φ）^a(φ)b(φ)を要素とする集合、Ｘ_φ,1，Ｘ_φ,2が前記群Ｇ_φに値を持つ確率変数、ｘ_φ,1が確率変数Ｘ_φ,1の実現値、ｘ_φ,2が確率変数Ｘ_φ,2の実現値であり、
     　前記第一出力情報計算部が、前記巡回群Ｈ_φの元ｘ_φに対応する、前記群Ｈ_φの元である第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部が、前記群Ｈ_φの元ｘ_φに対応する、前記群Ｈ_φの元である第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とする、能力提供装置。
106. 　請求項１０５の能力提供装置において、
     　すべての前記群Ｇ_φ（φ＝１，…，Φ）が同一であり、すべての前記群Ｈ_φ（φ＝１，…，Φ）が同一であり、すべての前記関数ｆ_φ（φ＝１，…，Φ）が同一であり、
     　前記第一出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、
     　前記第二出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算する、能力提供装置。
107. 　請求項１０５又は１０６の能力提供装置において、
     　前記関数ｆ_φが準同型関数、前記群Ｈ_φが巡回群で、μ_φ,hが前記巡回群Ｈ_φの生成元、Ｋ_φ,Hが前記巡回群Ｈ_φの位数、ν_φ＝ｆ_φ（μ_φ,h）であり、
     　前記第一出力情報計算部は、前記第一入力情報μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,1)ｘ_φ ^b(φ)）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部は、前記第二入力情報μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)を用い、或る確率より大きな確率でｆ_φ（μ_φ,h ^r(φ,2)ｘ_φ ^a(φ)）を正しく計算し、得られた計算結果を第二出力情報ｚ_φ,2とする、能力提供装置。
108. 　請求項１０５又は１０６の能力提供装置において、
     　前記群Ｈ_φが直積群Ｇ_φ×Ｇ_φで、前記関数ｆ_φが準同型関数、前記群Ｇ_φが巡回群で、前記巡回群Ｇ_φの生成元がμ_φ,g、前記巡回群Ｇ_φの位数がＫ_φ,G、ｘ_φ＝（ｃ_φ,1，ｃ_φ,2），（Ｖ_φ，Ｗ_φ）が前記群Ｈ_φの元、ｆ_φ（Ｖ_φ，Ｗ_φ）＝Ｙ_φであり、ｒ（φ，４），ｒ（φ，５），ｒ（φ，６）及びｒ（φ，７）が０以上の自然数の乱数であり、
     　前記第一出力情報計算部が、前記第一入力情報ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)及びｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)を用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^b(φ)Ｖ_φ ^r(φ,4)μ_φ,g ^r(φ,5)，ｃ_φ,2 ^b(φ)Ｗ_φ ^r(φ,4)）を正しく計算し、得られた計算結果を前記第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部が、前記第二入力情報ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)及びｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)を用い、或る確率より大きな確率でｆ_φ（ｃ_φ,1 ^a(φ)Ｖ_φ ^r(φ,6)μ_φ,g ^r(φ,7)，ｃ_φ,2 ^a(φ)Ｗ_φ ^r(φ,6)）を正しく計算し、得られた計算結果を前記第二出力情報ｚ_φ,2とする、能力提供装置。
109. 　請求項１０５又は１０６の能力提供装置において、
     　前記関数ｆ_φ（ｘ_φ）が前記群Ｈ_φの元である前記元ｘ_φ＝Ｃ_φ,1（ｙ（φ，１），ｍ_φ）を前記群Ｇ_φの元ｆ_φ（ｘ_φ）＝Ｃ_φ,2（ｙ（φ，２），ｍ_φ）に変換するための準同型関数、φ＝１，…，Φ、Ｃ_φ，１（ｙ（φ，１），ｍ_φ）が第一暗号化方式ＥＮＣ_φ,1に則って平文ｍ_φを第一暗号化鍵ｙ（φ，１）で暗号化した暗号文、Ｃ_φ,2（ｙ（φ，２），ｍ_φ）が第二暗号化方式ＥＮＣ_φ，２に則って前記平文ｍ_φを第二暗号化鍵ｙ（φ，２）で暗号化した暗号文であり、_hｒ_φ,1及び_hｒ_φ,2が前記群Ｈ_φの任意の元であり、
     　前記第一出力情報計算部が、前記第一入力情報ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1）を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^b(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,1））を正しく計算し、得られた計算結果を前記第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部が、前記第二入力情報ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2）を用い、或る確率より大きな確率でｆ_φ（ｘ_φ ^a(φ)Ｃ_φ,1（ｙ（φ，１），_hｒ_φ,2））を正しく計算し、得られた計算結果を第二出力情報ｚ_φ,2とする、能力提供装置。
110. 　請求項１０５又は１０６の能力提供装置において、
     　前記群Ｈ_φが巡回群Ｈ_1,φ,Ｈ_2,φの直積群Ｈ_1,φ×Ｈ_2,φ、前記巡回群Ｈ_1,φの生成元がη_1,φ、前記巡回群Ｈ_2,φの生成元がη_2,φ、ｆ_φが前記巡回群Ｈ_1,φの元と前記巡回群Ｈ_2,φの元との組を前記群Ｇ_φの元へ写す双準同型写像、前記群Ｈ_φの元ｘ_φが前記巡回群Ｈ_1,φの元λ_1,φと前記巡回群Ｈ_2,φの元λ_2,φとの組、Ω_φ=ｆ_φ（η_1,φ，η_2,φ）、ｒ（φ，１１），ｒ（φ，１２），ｒ（φ，１３），ｒ（φ，１４），ｒ（φ，１５），ｒ（φ，１６），ｒ（φ，２１），ｒ（φ，２２），ｒ（φ，２３），ｒ（φ，２４），ｒ（φ，２５），ｒ（φ，２６）が０以上の自然数の乱数、前記第一入力情報τ_φ,1が（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及び（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）、前記第二入力情報τ_φ,2が（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及び（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）であり、
     　前記第一出力情報計算部は、前記第一入力情報τ_φ，１を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,11)・r(φ,12)}，λ_2,φ ^b(φ)η_2,φ ^{r(φ,13)・r(φ,14)}）、ｆ_φ（η_1,φ ^r(φ,11)，λ_2,φ ^{-b(φ)・r(φ,12)}η_2,φ ^r(φ,15)）及びｆ_φ（λ_1,φ ^-r(φ,14)η_1,φ ^r(φ,16)，η_2,φ ^r(φ,13)）を正しく計算し、得られた演算結果ｚ_φ,1,1、ｚ_φ,1,2及びｚ_φ,1,3を前記第一出力情報ｚ_φ,1とし、
     　前記第二出力情報計算部は、前記第二入力情報τ_φ，２を用い、或る確率より大きな確率で、ｆ_φ（λ_1,φη_1,φ ^{r(φ,21)・r(φ,22)}，λ_2,φ ^a(φ)η_2,φ ^{r(φ,23)・r(φ,24)}）、ｆ_φ（η_1,φ ^r(φ,21)，λ_2,φ ^{-a(φ)・r(φ,22)}η_2,φ ^r(φ,25)）及びｆ_φ（λ_1,φ ^-r(φ,24)η_1,φ ^r(φ,26)，η_2,φ ^r(φ,23)）を正しく計算し、得られた演算結果ｚ_φ,2,1、ｚ_φ,2,2及びｚ_φ,2,3を前記第二出力情報ｚ_φ,2とする、能力提供装置。
111. 　Φ個の計算装置φのそれぞれで、群Ｈ_φの元ｘ_φに対応する、前記群Ｈ_φの元である第一入力情報τ_φ,1及び第二入力情報τ_φ,2を出力する入力情報提供ステップと、
     　能力提供装置で、前記第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_φ,1とする第一出力情報生成ステップと、
     　前記能力提供装置で、前記第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とする第二出力情報生成ステップと、
     　前記計算装置φのそれぞれで、前記第一出力情報ｚ_φ，１から演算結果ｕ_φ＝ｆ_φ（ｘ_φ）^b(φ)ｘ_φ,1を生成する第一計算ステップと、
     　前記計算装置φのそれぞれで、前記第二出力情報ｚ_φ,2から演算結果ｖ_φ＝ｆ_φ（ｘ_φ）^a(φ)ｘ_φ,2を生成する第二計算ステップと、
     　前記計算装置φのそれぞれで、前記演算結果ｕ_φに対する値ｕ_φ ^a(φ)と前記演算結果ｖ_φに対する値ｖ_φ ^b(φ)とが互いに同一の元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）に属する場合の前記演算結果ｕ_φ及び前記演算結果ｖ_φと、ａ’（φ）ａ（φ）＋ｂ’（φ）ｂ（φ）＝１を満たす整数ａ’（φ），ｂ’（φ）とに対する、値ｕ_φ ^b’(φ)ｖ_φ ^a’(φ)を出力する最終出力ステップと、を有し、
     　φ＝１，…，Φ、Φが２以上の整数、Ｇ_φが群、ｆ_φが前記群Ｈ_φの元を前記群Ｇ_φの元へ写す関数、ａ（φ），ｂ（φ）が互いに素である自然数、前記群Ｈ_φの元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）が前記群Ｇ_φの元ｆ_φ（Ｍ_φ）^a(φ)b(φ)を要素とする集合、Ｘ_φ,1，Ｘ_φ,2が前記群Ｇ_φに値を持つ確率変数、ｘ_φ,1が確率変数Ｘ_φ,1の実現値、ｘ_φ,2が確率変数Ｘ_φ,2の実現値である、代理計算方法。
112. 　請求項１１１の代理計算方法において、
     　すべての前記群Ｇ_φ（φ＝１，…，Φ）が同一であり、すべての前記群Ｈ_φ（φ＝１，…，Φ）が同一であり、すべての前記関数ｆ_φ（φ＝１，…，Φ）が同一であり、
     　前記第一出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、
     　前記第二出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算する、代理計算方法。
113. 　第一出力情報計算部が、群Ｈ_φの元ｘ_φに対応する、前記群Ｈ_φの元である第一入力情報τ_φ,1を用い、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、得られた演算結果を第一出力情報ｚ_φ,1とするステップと、
     　第二出力情報計算部が、前記群Ｈ_φの元ｘ_φに対応する、群Ｈ_φの元である第二入力情報τ_φ,2を用い、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算し、得られた演算結果を第二出力情報ｚ_φ,2とするステップと、を有し、
     　φ＝１，…，Φ、Φが２以上の整数、Ｇ_φが群、ｆ_φが前記群Ｈ_φの元を前記群Ｇ_φの元へ写す関数、ａ（φ），ｂ（φ）が互いに素である自然数、前記群Ｈ_φの元Ｍ_φに対する類ＣＬ_φ（Ｍ_φ）が前記群Ｇ_φの元ｆ_φ（Ｍ_φ）^a(φ)b(φ)を要素とする集合、Ｘ_φ,1，Ｘ_φ,2が前記群Ｇ_φに値を持つ確率変数、ｘ_φ,1が確率変数Ｘ_φ,1の実現値、ｘ_φ,2が確率変数Ｘ_φ,2の実現値である、能力提供方法。
114. 　請求項１１３の能力提供方法において、
     　すべての前記群Ｇ_φ（φ＝１，…，Φ）が同一であり、すべての前記群Ｈ_φ（φ＝１，…，Φ）が同一であり、すべての前記関数ｆ_φ（φ＝１，…，Φ）が同一であり、
     　前記第一出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,1）を正しく計算し、
     　前記第二出力情報計算部は、φごとに独立に、或る確率より大きな確率でｆ_φ（τ_φ,2）を正しく計算する、能力提供方法。
115. 　請求項４７又は６０の計算装置としてコンピュータを機能させるためのプログラム。
116. 　請求項６６、７２及び１０５の何れかの能力提供装置としてコンピュータを機能させるためのプログラム。
117. 　請求項４７又は６０の計算装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。
118. 　請求項６６、７２及び１０５の何れかの能力提供装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。

Images