WO2013129134A1

WO2013129134A1 - 演算装置、制御方法、及びプログラム

Info

Publication number: WO2013129134A1
Application number: PCT/JP2013/053651
Authority: WO
Inventors: 玄良樋渡; 徹秋下
Original assignee: ソニー株式会社
Priority date: 2012-03-02
Filing date: 2013-02-15
Publication date: 2013-09-06
Also published as: EP2800084A4; US20140365546A1; EP2800084A1; TW201351195A; US9672007B2

Abstract

　第１～第Ｎ＋１のレジスタで構成される複数のシフトレジスタと、前記シフトレジスタについて格納値を移動させる制御部と、を備え、前記制御部は、前記格納値の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、演算装置が提供される。

Description

演算装置、制御方法、及びプログラム

　本技術は、演算装置、制御方法、及びプログラムに関する。

　情報処理技術や通信技術の急速な発展に伴い、公文書、私文書を問わず、文書の電子化が急速に進んでいる。これに伴い、多くの個人や企業は、電子文書の安全管理に大きな関心を寄せている。こうした関心の高まりを受け、各方面で電子文書の盗聴や偽造等のタンパリング行為に対する対抗策が盛んに研究されるようになってきた。電子文書の盗聴に対しては、例えば、電子文書を暗号化することにより安全性が確保される。また、電子文書の偽造に対しては、例えば、電子署名を利用することにより安全性が確保される。但し、利用する暗号や電子署名が高いタンパリング耐性を有していなければ、十分な安全性が保証されない。

　電子署名は、電子文書の作成者を特定するために利用される。そのため、電子署名は、電子文書の作成者しか生成できないようにすべきである。仮に、悪意ある第三者が同じ電子署名を生成できてしまうと、その第三者が電子文書の作成者に成りすますことができてしまう。つまり、悪意ある第三者により電子文書が偽造されてしまう。こうした偽造を防止するため、電子署名の安全性については様々な議論が交わされてきた。現在広く利用されている電子署名方式としては、例えば、ＲＳＡ署名方式やＤＳＡ署名方式などが知られている。

　ＲＳＡ署名方式は、「大きな合成数に対する素因数分解の困難性（以下、素因数分解問題）」を安全性の根拠とする。また、ＤＳＡ署名方式は、「離散対数問題に対する解の導出の困難性」を安全性の根拠とする。これらの根拠は、古典的なコンピュータを利用して素因数分解問題や離散対数問題を効率的に解くアルゴリズムが存在しないことに起因する。つまり、上記の困難性は、古典的なコンピュータにおける計算量的な困難性を意味する。しかしながら、量子コンピュータを用いると、素因数分解問題や離散対数問題に対する解答が効率的に算出されてしまうと言われている。

　現在利用されている電子署名方式や公開鍵認証方式の多くは、ＲＳＡ署名方式やＤＳＡ署名方式と同様、素因数分解問題や離散対数問題の困難性に安全性の根拠をおいている。そのため、こうした電子署名方式や公開鍵認証方式は、量子コンピュータが実用化された場合に、その安全性が確保されないことになる。そこで、素因数分解問題や離散対数問題など、量子コンピュータにより容易に解かれてしまう問題とは異なる問題に安全性の根拠をおく新たな電子署名方式及び公開鍵認証方式の実現が求められている。量子コンピュータにより容易に解くことが難しい問題としては、例えば、多変数多項式問題がある。

　多変数多項式問題に安全性の根拠をおく電子署名方式としては、例えば、ＭＩ（Ｍａｔｓｕｍｏｔｏ－Ｉｍａｉ　ｃｒｙｐｔｏｇｒａｐｈｙ）、ＨＦＥ（Ｈｉｄｄｅｎ　Ｆｉｅｌｄ　Ｅｑｕａｔｉｏｎ　ｃｒｙｐｔｏｇｒａｐｈｙ）、ＯＶ（Ｏｉｌ－Ｖｉｎｅｇａｒ　ｓｉｇｎａｔｕｒｅ　ｓｃｈｅｍｅ）、ＴＴＭ（Ｔａｍｅｄ　Ｔｒａｎｓｆｏｒｍａｔｉｏｎ　Ｍｅｔｈｏｄ　ｃｒｙｐｔｏｇｒａｐｈｙ）に基づく方式が知られている。例えば、下記の非特許文献１、２には、ＨＦＥに基づく電子署名方式が開示されている。

Ｊａｃｑｕｅｓ　Ｐａｔａｒｉｎ　Ａｓｙｍｍｅｔｒｉｃ　Ｃｒｙｐｔｏｇｒａｐｈｙ　ｗｉｔｈ　ａ　Ｈｉｄｄｅｎ　Ｍｏｎｏｍｉａｌ．　ＣＲＹＰＴＯ　１９９６，　ｐｐ．４５－６０．Ｐａｔａｒｉｎ，　Ｊ．，　Ｃｏｕｒｔｏｉｓ，　Ｎ．，　ａｎｄ　Ｇｏｕｂｉｎ，　Ｌ．　ＱＵＡＲＴＺ，　１２８－Ｂｉｔ　Ｌｏｎｇ　Ｄｉｇｉｔａｌ　Ｓｉｇｎａｔｕｒｅｓ．　Ｉｎ　Ｎａｃｃａｃｈｅ，Ｄ．，　Ｅｄ．　Ｔｏｐｉｃｓ　ｉｎ　Ｃｒｙｐｔｏｌｏｇｙ　－　ＣＴ－ＲＳＡ　２００１　（Ｓａｎ　Ｆｒａｎｃｉｓｃｏ，　ＣＡ，　ＵＳＡ，　Ａｐｒｉｌ　２００１），　ｖｏｌ．　２０２０　ｏｆ　Ｌｅｃｔｕｒｅ　Ｎｏｔｅｓ　ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，　Ｓｐｒｉｎｇｅｒ－Ｖｅｒｌａｇ．，　ｐｐ．２８２－２９７．

　上記の通り、多変数多項式問題は、量子コンピュータを用いても解くことが困難なＮＰ困難問題と呼ばれる問題の一例である。通常、ＨＦＥなどに代表される多変数多項式問題を利用した公開鍵認証方式は、特殊なトラップドアが仕込まれた多次多変数連立方程式を利用している。例えば、ｘ_１，…，ｘ_ｎに関する多次多変数連立方程式Ｆ（ｘ_１，…，ｘ_ｎ）＝ｙと線形変換Ａ及びＢが用意され、線形変換Ａ及びＢが秘密に管理される。この場合、多次多変数連立方程式Ｆ、線形変換Ａ及びＢがトラップドアとなる。

　トラップドアＦ，Ａ，Ｂを知っているエンティティは、ｘ_１，…，ｘ_ｎに関する方程式Ｂ（Ｆ（Ａ（ｘ_１，…，ｘ_ｎ）））＝ｙ’を解くことができる。一方、トラップドアＦ，Ａ，Ｂを知らないエンティティは、ｘ_１，…，ｘ_ｎに関する方程式Ｂ（Ｆ（Ａ（ｘ_１，…，ｘ_ｎ）））＝ｙ’を解くことができない。この仕組みを利用することにより、多次多変数連立方程式の解答困難性を安全性の根拠とする公開鍵認証方式や電子署名方式が実現される。

　上記の通り、こうした公開鍵認証方式や電子署名方式を実現するには、Ｂ（Ｆ（Ａ（ｘ_１，…，ｘ_ｎ）））＝ｙを満たすような特殊な多次多変数連立方程式を用意する必要がある。また、署名生成時に多次多変数連立方程式Ｆを解く必要がある。そのため、利用可能な多次多変数連立方程式Ｆは、比較的容易に解けるものに限られていた。すなわち、これまでの方式においては、比較的容易に解ける３つの関数（トラップドア）Ｂ、Ｆ、Ａを合成した形の多次多変数連立方程式Ｂ（Ｆ（Ａ（ｘ_１，…，ｘ_ｎ）））＝ｙしか用いることができず、十分な安全性を確保することが難しかった。

　そこで、本件発明者は、上記の事情に鑑みて、効率的に解く手段（トラップドア）が知られていない多次多変数連立方程式を用いて高い安全性を有する効率的な公開鍵認証方式及び電子署名方式を考案した（Ｋｏｉｃｈｉ　Ｓａｋｕｍｏｔｏ，Ｔａｉｚｏ　Ｓｈｉｒａｉ　ａｎｄ　Ｈａｒｕｎａｇａ　Ｈｉｗａｔａｒｉ，“Ｐｕｂｌｉｃ－Ｋｅｙ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ　Ｓｃｈｅｍｅｓ　Ｂａｓｅｄ　ｏｎ　Ｍｕｌｔｉｖａｒｉａｔｅ　Ｑｕａｄｒａｔｉｃ　Ｐｏｌｙｎｏｍｉａｌｓ”，ＣＲＹＰＴＯ　２０１１，ＬＮＣＳ　６８４１，ｐｐ．７０６－７２３，２０１１．）。

　これらの公開鍵認証方式や電子署名方式においては、多変数多項式の演算が利用される。そのため、多変数多項式を効率的に演算する手法が求められている。例えば、これらの公開鍵認証方式や電子署名方式の中では、複数の入力について多変数多項式の演算結果を算出する工程が含まれる。しかし、各入力について個別に多変数多項式を演算する構成とすると、実装時の回路規模が大きくなってしまったり、クリティカルパスが長くなってしまうなど、小型化及び高速化の観点から改善の余地がある。本技術は、より小型で、高速に多変数多項式の演算を実現することが可能な、新規かつ改良された演算装置、制御方法、及びプログラムの提供を意図して考案されたものである。

　また、本技術のある観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御部と、を備え、前記制御部は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、演算装置が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御部と、を備え、前記制御部は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、演算装置が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる工程を含み、前記移動させる工程では、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、制御方法が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる工程を含み、前記移動させる工程では、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、制御方法が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、前記制御機能は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、プログラムが提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、前記制御機能は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、プログラムが提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、を備え、前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、前記制御部は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、演算装置が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、
を備え、前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、前記制御部は、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記第１のシフトレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、演算装置が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、前記移動させる工程では、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、制御方法が提供される。

　また、本技術の別の観点によれば、第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、前記移動させる工程では、前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、制御方法が提供される。

　また、本技術の別の観点によれば、上記のプログラムが記録された、コンピュータにより読み取り可能な記録媒体が提供される。

　以上説明したように本技術によれば、より小型で、高速に多変数多項式の演算を実現することが可能な装置を提供することができるようになる。

公開鍵認証方式に係るアルゴリズムの構成について説明するための説明図である。電子署名方式に係るアルゴリズムの構成について説明するための説明図である。ｎパスの公開鍵認証方式に係るアルゴリズムの構成について説明するための説明図である。３パスの公開鍵認証方式に係る効率的なアルゴリズムについて説明するための説明図である。３パスの公開鍵認証方式に係る効率的なアルゴリズムの並列化について説明するための説明図である。５パスの公開鍵認証方式に係る効率的なアルゴリズムの構成例について説明するための説明図である。５パスの公開鍵認証方式に係る効率的なアルゴリズムの並列化について説明するための説明図である。３パスの公開鍵認証方式に係る効率的なアルゴリズムを電子署名方式のアルゴリズムに変形する方法について説明するための説明図である。５パスの公開鍵認証方式に係る効率的なアルゴリズムを電子署名方式のアルゴリズムに変形する方法について説明するための説明図である。本技術の各実施形態に係るアルゴリズムを実行することが可能な情報処理装置のハードウェア構成例について説明するための説明図である。多変数多項式の計算を実行する回路の構成について説明するための説明図である。多変数多項式の計算を実行する回路の構成について説明するための説明図である。多変数多項式の計算を実行する回路の構成について説明するための説明図である。複数の多変数多項式を並列に計算する回路の構成について説明するための説明図である。複数の多変数多項式を並列に計算する回路の構成について説明するための説明図である。多変数多項式の計算を実行する回路の構成（多ビット入力のセレクタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（多ビット入力のセレクタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（多ビット入力のセレクタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（多ビット入力のセレクタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（シフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃１）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃２）について説明するための説明図である。記録メモリのデータ構造例を示す説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。記録メモリのデータ構造例を示す説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃３）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の構成（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。多変数多項式の計算を実行する回路の動作（実施例＃４）について説明するための説明図である。図３５に示した演算回路４０１を複数個並列に配置する例を示す説明図である。

　以下に添付図面を参照しながら、本技術の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。

　［説明の流れについて］
　ここで、以下に記載する本技術の実施形態に関する説明の流れについて簡単に述べる。まず、図１を参照しながら、公開鍵認証方式のアルゴリズム構成について説明する。次いで、図２を参照しながら、電子署名方式のアルゴリズム構成について説明する。次いで、図３を参照しながら、ｎパスの公開鍵認証方式について説明する。

　次いで、図４及び図５を参照しながら、３パスの公開鍵認証方式に係るアルゴリズムの構成例について説明する。次いで、図６及び図７を参照しながら、５パスの公開鍵認証方式に係るアルゴリズムの構成例について説明する。次いで、図８及び図９を参照しながら、３パス及び５パスの公開鍵認証方式に係る効率的なアルゴリズムを電子署名方式のアルゴリズムに変形する方法について説明する。次いで、図１０を参照しながら、本技術の実施形態に係る各アルゴリズムを実現することが可能な情報処理装置のハードウェア構成例について説明する。

　次いで、図１１～図１３を参照しながら、多変数多項式の計算を実行する回路の構成について説明する。次いで、図１４及び図１５を参照しながら、複数の多変数多項式を並列に計算する回路の構成について説明する。次いで、図１６～図１９を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（多ビット入力のセレクタを利用する構成例）について説明する。次いで、図２０～図２６を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（シフトレジスタを利用する構成例）について説明する。

　次いで、図２７～図３４を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（複数フィードバックループのシフトレジスタを利用する構成例）について説明する。次いで、図３５～図４２を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（実施例＃１）について説明する。次いで、図４３～図５０を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（実施例＃２）について説明する。次いで、図５１～図６５を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（実施例＃３）について説明する。次いで、図６６～図８２を参照しながら、多変数多項式の計算を実行する回路の構成及び動作（実施例＃４）について説明する。最後に、本実施形態の技術的思想について纏め、当該技術的思想から得られる作用効果について簡単に説明する。

　（説明項目）
　１：はじめに
　　　１－１：公開鍵認証方式のアルゴリズム
　　　１－２：電子署名方式のアルゴリズム
　　　１－３：ｎパスの公開鍵認証方式
　２：３パスの公開鍵認証方式に係るアルゴリズムの構成
　　　２－１：具体的なアルゴリズムの構成例
　　　２－２：並列化アルゴリズムの構成例
　３：５パスの公開鍵認証方式に係るアルゴリズムの構成
　　　３－１：具体的なアルゴリズムの構成例
　　　３－２：並列化アルゴリズムの構成例
　４：電子署名方式への変形
　　　４－１：３パスの公開鍵認証方式から電子署名方式への変形
　　　４－２：５パスの公開鍵認証方式から電子署名方式への変形
　５：ハードウェア構成例
　６：多変数多項式を計算する回路の構成
　　　６－１：概要
　　　６－２：多ビット入力のセレクタを利用する構成
　　　　　６－２－１：回路構成
　　　　　６－２－２：動作
　　　６－３：シフトレジスタを利用する構成＃１
　　　　　６－３－１：回路構成
　　　　　６－３－２：動作
　　　６－４：シフトレジスタを利用する構成＃２（フィードバックループ）
　　　　　６－４－１：回路構成
　　　　　６－４－２：動作
　　　６－５：実施例＃１（多変数多項式Ｆの計算）
　　　　　６－５－１：回路構成
　　　　　６－５－２：動作
　　　６－６：実施例＃２（多変数多項式Ｆ及びＧの計算）
　　　　　６－５－１：回路構成
　　　　　６－５－２：動作
　　　６－７：実施例＃３（多変数多項式Ｆの計算のパイプライン化）
　　　　　６－５－１：回路構成
　　　　　６－５－２：動作
　　　６－８：実施例＃４（多変数多項式Ｆの計算のパイプライン化）
　　　　　６－５－１：回路構成
　　　　　６－５－２：動作
　７：まとめ

　＜１：はじめに＞
　本実施形態は、多次多変数連立方程式に対する求解問題の困難性に安全性の根拠をおく公開鍵認証方式及び電子署名方式に関する。但し、本実施形態は、ＨＦＥ電子署名方式などの従来手法とは異なり、効率的に解く手段（トラップドア）を持たない多次多変数連立方程式を利用する公開鍵認証方式及び電子署名方式に関する。まず、公開鍵認証方式のアルゴリズム、電子署名方式のアルゴリズム、及びｎパスの公開鍵認証方式について、その概要を簡単に説明する。

　［１－１：公開鍵認証方式のアルゴリズム］
　まず、図１を参照しながら、公開鍵認証方式のアルゴリズムについて概要を説明する。図１は、公開鍵認証方式のアルゴリズムについて概要を説明するための説明図である。

　公開鍵認証は、ある人（証明者）が、公開鍵ｐｋ及び秘密鍵ｓｋを利用して、他の人（検証者）に本人であることを納得させるために利用される。例えば、証明者Ａの公開鍵ｐｋ_Ａは、検証者Ｂに公開される。一方、証明者Ａの秘密鍵ｓｋ_Ａは、証明者Ａにより秘密に管理される。公開鍵認証の仕組みにおいては、公開鍵ｐｋ_Ａに対応する秘密鍵ｓｋ_Ａを知る者が証明者Ａ本人であるとみなされる。

　公開鍵認証の仕組みを利用して証明者Ａが証明者Ａ本人であることを検証者Ｂに証明するには、対話プロトコルを介して、証明者Ａが公開鍵ｐｋ_Ａに対応する秘密鍵ｓｋ_Ａを知っているという証拠を検証者Ｂに提示すればよい。そして、証明者Ａが秘密鍵ｓｋ_Ａを知っているという証拠が検証者Ｂに提示され、その証拠を検証者Ｂが確認し終えた場合、証明者Ａの正当性（本人であること）が証明されたことになる。

　但し、公開鍵認証の仕組みには、安全性を担保するために以下の条件が求められる。

　１つ目の条件は、「対話プロトコルを実行した際に秘密鍵ｓｋを持たない偽証者により偽証が成立してしまう確率を限りなく小さくする」ことである。この１つ目の条件が成り立つことを「健全性」と呼ぶ。つまり、健全性とは、「秘密鍵ｓｋを持たない偽証者により、対話プロトコルの実行中に無視できない確率で偽証が成立することはないこと」と言い換えられる。２つ目の条件は、「対話プロトコルを実行したとしても、証明者Ａが有する秘密鍵ｓｋ_Ａの情報が検証者Ｂに一切漏れることがない」ことである。この２つ目の条件が成り立つことを「零知識性」と呼ぶ。

　安全に公開鍵認証を行うには、健全性及び零知識性を有する対話プロトコルを利用する必要がある。仮に、健全性及び零知識性を有しない対話プロトコルを用いて認証処理を行った場合には、偽証された可能性及び秘密鍵の情報が漏れてしまった可能性が否定できないため、処理自体が成功裡に完了しても証明者の正当性を証明したことにはならない。従って、対話プロトコルの健全性及び零知識性を如何に保証するかが重要になる。

　（モデル）
　公開鍵認証方式のモデルには、図１に示すように、証明者と検証者という２つのエンティティが存在する。証明者は、鍵生成アルゴリズムＧｅｎを用いて、証明者固有の秘密鍵ｓｋと公開鍵ｐｋの組を生成する。次いで、証明者は、鍵生成アルゴリズムＧｅｎを用いて生成した秘密鍵ｓｋと公開鍵ｐｋの組を利用して検証者と対話プロトコルを実行する。このとき、証明者は、証明者アルゴリズムＰを利用して対話プロトコルを実行する。上記の通り、証明者は、証明者アルゴリズムＰを利用し、対話プロトコルの中で秘密鍵ｓｋを保有している証拠を検証者に提示する。

　一方、検証者は、検証者アルゴリズムＶを利用して対話プロトコルを実行し、証明者が公開している公開鍵に対応する秘密鍵を、その証明者が保有しているか否かを検証する。つまり、検証者は、証明者が公開鍵に対応する秘密鍵を保有しているか否かを検証するエンティティである。このように、公開鍵認証方式のモデルは、証明者と検証者という２つのエンティティ、及び、鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰ、検証者アルゴリズムＶという３つのアルゴリズムにより構成される。

　なお、以下の説明において、「証明者」「検証者」という表現を用いるが、これらの表現はあくまでもエンティティを意味するものである。従って、鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰを実行する主体は、「証明者」のエンティティに対応する情報処理装置である。同様に、検証者アルゴリズムＶを実行する主体は、情報処理装置である。これら情報処理装置のハードウェア構成は、例えば、図１０に示した通りである。つまり、鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰ、検証者アルゴリズムＶは、ＲＯＭ９０４、ＲＡＭ９０６、記憶部９２０、リムーバブル記録媒体９２８などに記録されたプログラムに基づいてＣＰＵ９０２などにより実行される。

　（鍵生成アルゴリズムＧｅｎ）
　鍵生成アルゴリズムＧｅｎは、証明者により利用される。鍵生成アルゴリズムＧｅｎは、証明者に固有の秘密鍵ｓｋと公開鍵ｐｋとの組を生成するアルゴリズムである。鍵生成アルゴリズムＧｅｎにより生成された公開鍵ｐｋは公開される。そして、公開された公開鍵ｐｋは、検証者により利用される。一方、鍵生成アルゴリズムＧｅｎにより生成された秘密鍵ｓｋは、証明者が秘密に管理する。そして、証明者により秘密に管理される秘密鍵ｓｋは、公開鍵ｐｋに対応する秘密鍵ｓｋを証明者が保有していることを検証者に対して証明するために利用される。形式的に、鍵生成アルゴリズムＧｅｎは、セキュリティパラメータ１^λ（λは０以上の整数）を入力とし、秘密鍵ｓｋと公開鍵ｐｋを出力するアルゴリズムとして、下記の式（１）のように表現される。

　（証明者アルゴリズムＰ）
　証明者アルゴリズムＰは、証明者により利用される。証明者アルゴリズムＰは、公開鍵ｐｋに対応する秘密鍵ｓｋを証明者が保有していることを検証者に対して証明するためのアルゴリズムである。つまり、証明者アルゴリズムＰは、秘密鍵ｓｋと公開鍵ｐｋとを入力とし、対話プロトコルを実行するアルゴリズムである。

　（検証者アルゴリズムＶ）
　検証者アルゴリズムＶは、検証者により利用される。検証者アルゴリズムＶは、対話プロトコルの中で、公開鍵ｐｋに対応する秘密鍵ｓｋを証明者が保有しているか否かを検証するアルゴリズムである。検証者アルゴリズムＶは、公開鍵ｐｋを入力とし、対話プロトコルの実行結果に応じて０又は１（１ｂｉｔ）を出力するアルゴリズムである。なお、検証者は、検証者アルゴリズムＶが０を出力した場合には証明者が不正なものであると判断し、１を出力した場合には証明者が正当なものであると判断する。形式的に、検証者アルゴリズムＶは、下記の式（２）のように表現される。

　上記の通り、意味のある公開鍵認証を実現するには、対話プロトコルが健全性及び零知識性という２つの条件を満たしている必要がある。しかし、証明者が秘密鍵ｓｋを保有していることを証明するためには、証明者が秘密鍵ｓｋに依存した手続きを実行し、その結果を検証者に通知した上で、その通知内容に基づく検証を検証者に実行させる必要がある。秘密鍵ｓｋに依存した手続きを実行するのは、健全性を担保するために必要である。一方で、秘密鍵ｓｋの情報が一切検証者に漏れないようにする必要がある。そのため、これらの要件を満たすように、上記の鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰ、検証者アルゴリズムＶを巧妙に設計する必要がある。

　以上、公開鍵認証方式のアルゴリズムについて、その概要を説明した。

　［１－２：電子署名方式のアルゴリズム］
　次に、図２を参照しながら、電子署名方式のアルゴリズムについて概要を説明する。図２は、電子署名方式のアルゴリズムについて概要を説明するための説明図である。

　紙文書とは異なり、ある電子化されたデータに対して押印したり署名を記載したりすることはできない。そのため、電子化されたデータの作成者を証明するためには、紙文書に押印したり署名を記載したりするのと同等の効果が得られる電子的な仕組みを必要とする。この仕組みが電子署名である。電子署名とは、データの作成者しか知らない署名データをデータに関連付けて受領者に提供し、その署名データを受領者側で検証する仕組みのことを言う。

　（モデル）
　電子署名方式のモデルには、図２に示すように、署名者及び検証者という２つのエンティティが存在する。そして、電子署名方式のモデルは、鍵生成アルゴリズムＧｅｎ、署名生成アルゴリズムＳｉｇ、署名検証アルゴリズムＶｅｒという３つのアルゴリズムにより構成される。

　署名者は、鍵生成アルゴリズムＧｅｎを利用して署名者固有の署名鍵ｓｋと検証鍵ｐｋとの組を生成する。また、署名者は、署名生成アルゴリズムＳｉｇを利用して文書Ｍに付与する電子署名σを生成する。つまり、署名者は、文書Ｍに電子署名を付与するエンティティである。一方、検証者は、署名検証アルゴリズムＶｅｒを利用して文書Ｍに付与された電子署名σを検証する。つまり、検証者は、文書Ｍの作成者が署名者であるか否かを確認するために、電子署名σを検証するエンティティである。

　なお、以下の説明において、「署名者」「検証者」という表現を用いるが、これらの表現はあくまでもエンティティを意味するものである。従って、鍵生成アルゴリズムＧｅｎ、署名生成アルゴリズムＳｉｇを実行する主体は、「署名者」のエンティティに対応する情報処理装置である。同様に、署名検証アルゴリズムＶｅｒを実行する主体は、情報処理装置である。これら情報処理装置のハードウェア構成は、例えば、図１０に示した通りである。つまり、鍵生成アルゴリズムＧｅｎ、署名生成アルゴリズムＳｉｇ、署名検証アルゴリズムＶｅｒは、ＲＯＭ９０４、ＲＡＭ９０６、記憶部９２０、リムーバブル記録媒体９２８などに記録されたプログラムに基づいてＣＰＵ９０２などにより実行される。

　（鍵生成アルゴリズムＧｅｎ）
　鍵生成アルゴリズムＧｅｎは、署名者により利用される。鍵生成アルゴリズムＧｅｎは、署名者固有の署名鍵ｓｋと検証鍵ｐｋとの組を生成するアルゴリズムである。鍵生成アルゴリズムＧｅｎにより生成された検証鍵ｐｋは公開される。一方、鍵生成アルゴリズムＧｅｎにより生成された署名鍵ｓｋは、署名者により秘密に管理される。そして、署名鍵ｓｋは、文書Ｍに付与される電子署名σの生成に利用される。例えば、鍵生成アルゴリズムＧｅｎは、セキュリティパラメータ１^λ（λは０以上の整数）を入力とし、署名鍵ｓｋ及び公開鍵ｐｋを出力する。この場合、鍵生成アルゴリズムＧｅｎは、形式的に、下記の式（３）のように表現することができる。

　（署名生成アルゴリズムＳｉｇ）
　署名生成アルゴリズムＳｉｇは、署名者により利用される。署名生成アルゴリズムＳｉｇは、文書Ｍに付与される電子署名σを生成するアルゴリズムである。署名生成アルゴリズムＳｉｇは、署名鍵ｓｋと文書Ｍとを入力とし、電子署名σを出力するアルゴリズムである。この署名生成アルゴリズムＳｉｇは、形式的に、下記の式（４）のように表現することができる。

　（署名検証アルゴリズムＶｅｒ）
　署名検証アルゴリズムＶｅｒは、検証者により利用される。署名検証アルゴリズムＶｅｒは、電子署名σが文書Ｍに対する正当な電子署名であるか否かを検証するアルゴリズムである。署名検証アルゴリズムＶｅｒは、署名者の検証鍵ｐｋ、文書Ｍ、電子署名σを入力とし、０又は１（１ｂｉｔ）を出力するアルゴリズムである。この署名検証アルゴリズムＶｅｒは、形式的に、下記の式（５）のように表現することができる。なお、検証者は、署名検証アルゴリズムＶｅｒが０を出力した場合（公開鍵ｐｋが文書Ｍと電子署名σを拒否する場合）に電子署名σが不当であると判断し、１を出力した場合（公開鍵ｐｋが文書Ｍと電子署名σを受理する場合）に電子署名σが正当であると判断する。

　以上、電子署名方式のアルゴリズムについて、その概要を説明した。

　［１－３：ｎパスの公開鍵認証方式］
　次に、図３を参照しながら、ｎパスの公開鍵認証方式について説明する。図３は、ｎパスの公開鍵認証方式について説明するための説明図である。

　上記の通り、公開鍵認証方式は、対話プロトコルの中で、証明者が公開鍵ｐｋに対応する秘密鍵ｓｋを保有していることを検証者に証明する認証方式である。また、対話プロトコルは、健全性及び零知識性という２つの条件を満たす必要がある。そのため、対話プロトコルの中では、図３に示すように、証明者及び検証者の双方がそれぞれ処理を実行しながらｎ回の情報交換を行う。

　ｎパスの公開鍵認証方式の場合、証明者アルゴリズムＰを用いて証明者により処理（工程＃１）が実行され、情報Ｔ_１が検証者に送信される。次いで、検証者アルゴリズムＶを用いて検証者により処理（工程＃２）が実行され、情報Ｔ_２が証明者に送信される。さらに、ｋ＝３～ｎについて処理の実行及び情報Ｔ_ｋの送信が順次行われ、最後に処理（工程＃ｎ＋１）が実行される。このように、情報がｎ回送受信される方式のことを「ｎパス」の公開鍵認証方式と呼ぶ。

　以上、ｎパスの公開鍵認証方式について説明した。

　＜２：３パスの公開鍵認証方式に係るアルゴリズムの構成＞
　以下、３パスの公開鍵認証方式に係るアルゴリズムについて説明する。なお、以下の説明において、３パスの公開鍵認証方式のことを「３パス方式」と呼ぶ場合がある。

　［２－１：具体的なアルゴリズムの構成例（図４）］
　まず、図４を参照しながら、３パス方式に係る具体的なアルゴリズムの構成例について紹介する。図４は、３パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。ここでは、公開鍵ｐｋの一部として２次多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））を利用する場合について考える。但し、２次多項式ｆ_ｉ（ｘ）は、下記の式（６）のように表現されるものとする。また、ベクトル（ｘ_１，…，ｘ_ｎ）をｘと表記し、２次多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））を多変数多項式Ｆ（ｘ）と表記することにする。

　また、２次多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））は、下記の式（７）のように表現することができる。また、Ａ_１，…，Ａ_ｍは、ｎ×ｎ行列である。さらに、ｂ_１，…，ｂ_ｍはそれぞれｎ×１ベクトルである。

　この表現を用いると、多変数多項式Ｆは、下記の式（８）及び式（９）のように表現することができる。この表現が成り立つことは、下記の式（１０）から容易に確認することができる。

　このようにＦ（ｘ＋ｙ）をｘに依存する第１の部分と、ｙに依存する第２の部分と、ｘ及びｙの両方に依存する第３の部分とに分けたとき、第３の部分に対応する項Ｇ（ｘ，ｙ）は、ｘ及びｙについて双線形になる。以下、項Ｇ（ｘ，ｙ）を双線形項と呼ぶ場合がある。この性質を利用すると、効率的なアルゴリズムを構築することが可能になる。

　例えば、ベクトルｔ_０∈Ｋ^ｎ、ｅ_０∈Ｋ^ｍを用いて、多変数多項式Ｆ（ｘ＋ｒ）のマスクに利用する多変数多項式Ｆ_１（ｘ）をＦ_１（ｘ）＝Ｇ（ｘ，ｔ_０）＋ｅ_０と表現する。この場合、多変数多項式Ｆ（ｘ＋ｒ_０）とＦ_１（ｘ）との和は、下記の式（１１）のように表現される。ここで、ｔ_１＝ｒ_０＋ｔ_０、ｅ_１＝Ｆ（ｒ_０）＋ｅ_０とおけば、多変数多項式Ｆ_２（ｘ）＝Ｆ（ｘ＋ｒ_０）＋Ｆ_１（ｘ）は、ベクトルｔ_１∈Ｋ^ｎ、ｅ_１∈Ｋ^ｍにより表現することができる。そのため、Ｆ_１（ｘ）＝Ｇ（ｘ，ｔ_０）＋ｅ_０に設定すれば、Ｋ^ｎ上のベクトル及びＫ^ｍ上のベクトルを用いてＦ_１及びＦ_２を表現できるようになり、通信に必要なデータサイズの少ない効率的なアルゴリズムを実現することが可能になる。

　なお、Ｆ_２（或いはＦ_１）からｒ_０に関する情報が一切漏れることはない。例えば、ｅ_１及びｔ_１（或いはｅ_０及びｔ_０）を与えられても、ｅ_０及びｔ_０（或いはｅ_１及びｔ_１）を知らない限り、ｒ_０の情報を一切知ることはできない。従って、零知識性が担保される。以下、上記の論理に基づいて構築された３パス方式のアルゴリズムについて説明する。ここで説明する３パス方式のアルゴリズムは、以下のような鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰ、検証者アルゴリズムＶにより構成される。

　（鍵生成アルゴリズムＧｅｎ）
　鍵生成アルゴリズムＧｅｎは、環Ｋ上で定義されるｍ本の多変数多項式ｆ_１（ｘ_１，…，ｘ_ｎ），…，ｆ_ｍ（ｘ_１，…，ｘ_ｎ）、及びベクトルｓ＝（ｓ_１，…，ｓ_ｎ）∈Ｋ^ｎを生成する。次に、鍵生成アルゴリズムＧｅｎは、ｙ＝（ｙ_１，…，ｙ_ｍ）←（ｆ_１（ｓ），…，ｆ_ｍ（ｓ））を計算する。そして、鍵生成アルゴリズムＧｅｎは、（ｆ_１（ｘ_１，…，ｘ_ｎ），…，ｆ_ｍ（ｘ_１，…，ｘ_ｎ），ｙ）を公開鍵ｐｋに設定し、ｓを秘密鍵に設定する。

　（証明者アルゴリズムＰ、検証者アルゴリズムＶ）
　以下、図４を参照しながら、対話プロトコルの中で証明者アルゴリズムＰが実行する処理及び検証者アルゴリズムＶが実行する処理について説明する。この対話プロトコルの中で、証明者は、秘密鍵ｓの情報を検証者に一切漏らさずに、「自身がｙ＝Ｆ（ｓ）を満たすｓを知っていること」を検証者に示す。一方、検証者は、証明者がｙ＝Ｆ（ｓ）を満たすｓを知っているか否かを検証する。なお、公開鍵ｐｋは、検証者に公開されているものとする。また、秘密鍵ｓは、証明者により秘密に管理されているものとする。以下、図４に示したフローチャートに沿って説明を進める。

　工程＃１：
　図４に示すように、まず、証明者アルゴリズムＰは、ランダムにベクトルｒ_０，ｔ_０∈Ｋ^ｎ及びｅ_０∈Ｋ^ｍを生成する。次いで、証明者アルゴリズムＰは、ｒ_１←ｓ－ｒ_０を計算する。この計算は、秘密鍵ｓをベクトルｒ_０によりマスクする操作に相当する。さらに、証明者アルゴリズムＰは、ｔ_１←ｒ_０－ｔ_０を計算する。次いで、証明者アルゴリズムＰは、ｅ_１←Ｆ（ｒ_０）－ｅ_０を計算する。

　工程＃１（続き）：
　次いで、証明者アルゴリズムＰは、ｃ_０←Ｈ（ｒ_１，Ｇ（ｔ_０，ｒ_１）＋ｅ_０）を計算する。次いで、証明者アルゴリズムＰは、ｃ_１←Ｈ（ｔ_０，ｅ_０）を計算する。次いで、証明者アルゴリズムＰは、ｃ_２←Ｈ（ｔ_１，ｅ_１）を計算する。工程＃１で生成されたメッセージ（ｃ_０，ｃ_１，ｃ_２）は、検証者アルゴリズムＶに送られる。

　工程＃２：
　メッセージ（ｃ_０，ｃ_１，ｃ_２）を受け取った検証者アルゴリズムＶは、３つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムＶは、検証パターンの種類を表す３つの数値｛０，１，２｝の中から１つの数値を選択し、選択した数値を要求Ｃｈに設定する。この要求Ｃｈは証明者アルゴリズムＰに送られる。

　工程＃３：
　要求Ｃｈを受け取った証明者アルゴリズムＰは、受け取った要求Ｃｈに応じて検証者アルゴリズムＶに送る返答Ｒｓｐを生成する。Ｃｈ＝０の場合、証明者アルゴリズムＰは、返答Ｒｓｐ＝（ｒ_０，ｔ_１，ｅ_１）を生成する。Ｃｈ＝１の場合、証明者アルゴリズムＰは、返答Ｒｓｐ＝（ｒ_１，ｔ_０，ｅ_０）を生成する。Ｃｈ＝２の場合、証明者アルゴリズムＰは、返答Ｒｓｐ＝（ｒ_１，ｔ_１，ｅ_１）を生成する。工程＃３で生成された返答Ｒｓｐは、検証者アルゴリズムＶに送られる。

　工程＃４：
　返答Ｒｓｐを受け取った検証者アルゴリズムＶは、受け取った返答Ｒｓｐを利用して以下の検証処理を実行する。

　Ｃｈ＝０の場合、検証者アルゴリズムＶは、ｃ_１＝Ｈ（ｒ_０－ｔ_１，Ｆ（ｒ_０）－ｅ_１）の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムＶは、ｃ_２＝Ｈ（ｔ_１，ｅ_１）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、これらの検証が全て成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　Ｃｈ＝１の場合、検証者アルゴリズムＶは、ｃ_０＝Ｈ（ｒ_１，Ｇ（ｔ_０，ｒ_１）＋ｅ_０）の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムＶは、ｃ_１＝Ｈ（ｔ_０，ｅ_０）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、これらの検証が全て成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　Ｃｈ＝２の場合、検証者アルゴリズムＶは、ｃ_０＝Ｈ（ｒ_１，ｙ－Ｆ（ｒ_１）－Ｇ（ｔ_１，ｒ_１）－ｅ_１）の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムＶは、ｃ_２＝Ｈ（ｔ_１，ｅ_１）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、これらの検証が全て成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　以上、３パス方式に係る効率的なアルゴリズムの構成例について説明した。

　［２－２：並列化アルゴリズムの構成例（図５）］
　次に、図５を参照しながら、図４に示した３パス方式のアルゴリズムを並列化する方法について説明する。なお、鍵生成アルゴリズムＧｅｎの構成については説明を省略する。

　さて、上記の対話プロトコルを適用すれば、偽証が成功する確率を２／３以下に抑制することができる。従って、この対話プロトコルを２回実行すれば、偽証が成功する確率を（２／３）^２以下に抑制することができる。さらに、この対話プロトコルをＮ回実行すると、偽証が成功する確率は（２／３）^Ｎとなり、Ｎを十分に大きい数（例えば、Ｎ＝１４０）にすれば、偽証が成功する確率は無視できる程度に小さくなる。

　対話プロトコルを複数回実行する方法としては、例えば、メッセージ、要求、返答のやり取りを逐次的に複数回繰り返す直列的な方法と、１回分のやり取りで複数回分のメッセージ、要求、返答のやり取りを行う並列的な方法とが考えられる。さらに、直列的な方法と並列的な方法とを組み合わせたハイブリッド型の方法も考えられる。ここでは、図５を参照しながら、３パス方式に係る上記の対話プロトコルを並列的に実行するアルゴリズム（以下、並列化アルゴリズム）について説明する。

　工程＃１：
　図５に示すように、まず、証明者アルゴリズムＰは、ｉ＝１～Ｎについて以下の処理（１）～処理（６）を実行する。
　処理（１）：証明者アルゴリズムＰは、ランダムにベクトルｒ_０ｉ，ｔ_０ｉ∈Ｋ^ｎ及びｅ_０ｉ∈Ｋ^ｍを生成する。
　処理（２）：証明者アルゴリズムＰは、ｒ_１ｉ←ｓ－ｒ_０ｉを計算する。この計算は、秘密鍵ｓをベクトルｒ_０ｉによりマスクする操作に相当する。さらに、証明者アルゴリズムＰは、ｔ_１ｉ←ｒ_０ｉ＋ｔ_０ｉを計算する。
　処理（３）：証明者アルゴリズムＰは、ｅ_１ｉ←Ｆ（ｒ_０ｉ）－ｅ_０ｉを計算する。
　処理（４）：証明者アルゴリズムＰは、ｃ_０ｉ←Ｈ（ｒ_１ｉ，Ｇ（ｒ_１ｉ，ｔ_０ｉ）＋ｅ_０ｉ）を計算する。
　処理（５）：証明者アルゴリズムＰは、ｃ_１ｉ←Ｈ（ｔ_０ｉ，ｅ_０ｉ）を計算する。
　処理（６）：証明者アルゴリズムＰは、ｃ_２ｉ←Ｈ（ｔ_１ｉ，ｅ_１ｉ）を計算する。

　工程＃１（続き）
　ｉ＝１～Ｎについて上記の処理（１）～処理（６）を実行した後、証明者アルゴリズムＰは、Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）を計算する。工程＃１で生成されたハッシュ値Ｃｍｔは、検証者アルゴリズムＶに送られる。このように、メッセージ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）をハッシュ値に変換してから検証者アルゴリズムＶに送ることで、通信量を削減することが可能になる。

　工程＃２：
　ハッシュ値Ｃｍｔを受け取った検証者アルゴリズムＶは、ｉ＝１～Ｎのそれぞれについて、３つの検証パターンのうち、どの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムＶは、ｉ＝１～Ｎのそれぞれについて、検証パターンの種類を表す３つの数値｛０，１，２｝の中から１つの数値を選択し、選択した数値を要求Ｃｈ_ｉに設定する。要求Ｃｈ_１，…，Ｃｈ_Ｎは、証明者アルゴリズムＰに送られる。

　工程＃３：
　要求Ｃｈ_１，…，Ｃｈ_Ｎを受け取った証明者アルゴリズムＰは、受け取った要求Ｃｈ_１，…，Ｃｈ_Ｎのそれぞれ応じて検証者アルゴリズムＶに送る返答Ｒｓｐ_１，…，Ｒｓｐ_Ｎを生成する。Ｃｈ_ｉ＝０の場合、証明者アルゴリズムＰは、Ｒｓｐ_ｉ＝（ｒ_０ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ）を生成する。Ｃｈ_ｉ＝１の場合、証明者アルゴリズムＰは、Ｒｓｐ_ｉ＝（ｒ_１ｉ，ｔ_０ｉ，ｅ_０ｉ，ｃ_２ｉ）を生成する。Ｃｈ_ｉ＝２の場合、証明者アルゴリズムＰは、Ｒｓｐ_ｉ＝（ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_１ｉ）を生成する。

　工程＃３で生成された返答Ｒｓｐ_１，…，Ｒｓｐ_Ｎは、検証者アルゴリズムＶに送られる。

　工程＃４：
　返答Ｒｓｐ_１，…，Ｒｓｐ_Ｎを受け取った検証者アルゴリズムＶは、受け取った返答Ｒｓｐ_１，…，Ｒｓｐ_Ｎを利用して以下の処理（１）～処理（３）をｉ＝１～Ｎについて実行する。但し、検証者アルゴリズムＶは、Ｃｈ_ｉ＝０の場合に処理（１）を実行し、Ｃｈ_ｉ＝１の場合に処理（２）を実行し、Ｃｈ_ｉ＝２の場合に処理（３）を実行する。

　処理（１）：Ｃｈ_ｉ＝０の場合、検証者アルゴリズムＶは、Ｒｓｐ_ｉから（ｒ_０ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ）を取り出す。次いで、検証者アルゴリズムＶは、ｃ_１ｉ＝Ｈ（ｒ_０ｉ－ｔ_１ｉ，Ｆ（ｒ_０ｉ）－ｅ_１ｉ）を計算する。さらに、検証者アルゴリズムＶは、ｃ_２ｉ＝Ｈ（ｔ_１ｉ，ｅ_１ｉ）を計算する。そして、検証者アルゴリズムＶは、（ｃ_０ｉ，ｃ_１ｉ，ｃ_２ｉ）を保持する。

　処理（２）：Ｃｈ_ｉ＝１の場合、検証者アルゴリズムＶは、Ｒｓｐ_ｉから（ｒ_１ｉ，ｔ_０ｉ，ｅ_０ｉ，ｃ_２ｉ）を取り出す。次いで、検証者アルゴリズムＶは、ｃ_０ｉ＝Ｈ（ｒ_１ｉ，Ｇ（ｔ_０ｉ，ｒ_１ｉ）＋ｅ_０ｉ）を計算する。さらに、検証者アルゴリズムＶは、ｃ_１ｉ＝Ｈ（ｔ_０ｉ，ｅ_０ｉ）を計算する。そして、検証者アルゴリズムＶは、（ｃ_０ｉ，ｃ_１ｉ，ｃ_２ｉ）を保持する。

　処理（３）：Ｃｈ_ｉ＝２の場合、検証者アルゴリズムＶは、Ｒｓｐ_ｉから（ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_１ｉ）を取り出す。次いで、検証者アルゴリズムＶは、ｃ_０ｉ＝Ｈ（ｒ_１ｉ，ｙ－Ｆ（ｒ_１ｉ）－Ｇ（ｔ_１ｉ，ｒ_１ｉ）－ｅ_１ｉ）を計算する。さらに、検証者アルゴリズムＶは、ｃ_２ｉ＝Ｈ（ｔ_１ｉ，ｅ_１ｉ）を計算する。そして、検証者アルゴリズムＶは、（ｃ_０ｉ，ｃ_１ｉ，ｃ_２ｉ）を保持する。

　処理（１）～処理（３）をｉ＝１～Ｎについて実行した後、検証者アルゴリズムＶは、Ｃｍｔ＝Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、この検証が成功した場合に認証成功を示す値１を出力し、検証に失敗した場合に認証失敗を示す値０を出力する。

　以上、３パス方式に係る効率的な並列化アルゴリズムの構成例について説明した。

　＜３：５パスの公開鍵認証方式に係るアルゴリズムの構成＞
　次に、５パスの公開鍵認証方式に係るアルゴリズムについて説明する。なお、以下の説明において、５パスの公開鍵認証方式のことを「５パス方式」と呼ぶ場合がある。

　３パス方式の場合には対話プロトコル１回当たりの偽証確率が２／３であったが、５パス方式の場合には対話プロトコル１回当たりの偽証確率が１／２＋１／ｑとなる。但し、ｑは、利用する環の位数である。従って、環の位数が十分に大きい場合、５パス方式の方が１回当たりの偽証確率を低減することが可能になり、少ない対話プロトコルの実行回数で、偽証確率を十分に小さくすることができる。

　例えば、偽証確率を１／２^ｎ以下にしたい場合、３パス方式においては、ｎ／（ｌｏｇ３－１）＝１．７０１ｎ回以上、対話プロトコルを実行する必要がある。一方、偽証確率を１／２^ｎ以下にしたい場合、５パス方式においては、ｎ／（１－ｌｏｇ（１＋１／ｑ））回以上、対話プロトコルを実行する必要がある。従って、ｑ＝２４にすれば、同じセキュリティレベルを実現するのに必要な通信量は、３パス方式に比べ、５パス方式の方が少なくなるのである。

　［３－１：具体的なアルゴリズムの構成例（図６）］
　まず、図６を参照しながら、５パス方式に係る具体的なアルゴリズムの構成例について紹介する。図６は、５パス方式に係る具体的なアルゴリズムの構成について説明するための説明図である。ここでは、公開鍵ｐｋの一部として２次多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））を利用する場合について考える。但し、２次多項式ｆ_ｉ（ｘ）は、上記の式（６）のように表現されるものとする。また、ベクトル（ｘ_１，…，ｘ_ｎ）をｘと表記し、２次多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））を多変数多項式Ｆ（ｘ）と表記することにする。

　３パス方式に係るアルゴリズムと同様、２つのベクトルｔ_０∈Ｋ^ｎ、ｅ_０∈Ｋ^ｍを用いて、多変数多項式Ｆ（ｘ＋ｒ_０）をマスクするために用いた多変数多項式Ｆ_１（ｘ）をＦ_１（ｘ）＝Ｇ（ｘ、ｔ_０）＋ｅ_０のように表現する。この表現を用いると、多変数多項式Ｆ（ｘ＋ｒ_０）について、下記の式（１２）で表現される関係が得られる。

　そのため、ｔ_１＝Ｃｈ_Ａ・ｒ_０＋ｔ_０、ｅ_１＝Ｃｈ_Ａ・Ｆ（ｒ_０）＋ｅ_０とすれば、マスク後の多変数多項式Ｆ_２（ｘ）＝Ｃｈ_Ａ・Ｆ（ｘ＋ｒ_０）＋Ｆ_１（ｘ）も、２つのベクトルｔ_１∈Ｋ^ｎ、ｅ_１∈Ｋ^ｍにより表現することができる。これらの理由から、Ｆ_１（ｘ）＝Ｇ（ｘ，ｔ_０）＋ｅ_０と設定すれば、Ｋ^ｎ上のベクトル及びＫ^ｍ上のベクトルを用いてＦ_１及びＦ_２を表現できるようになり、通信に必要なデータサイズが少ない効率的なアルゴリズムを実現することが可能になる。

　なお、Ｆ_２（或いはＦ_１）からｒ_０に関する情報が一切漏れることはない。例えば、ｅ_１及びｔ_１（或いはｅ_０及びｔ_０）を与えられても、ｅ_０及びｔ_０（或いはｅ_１及びｔ_１）を知らない限り、ｒ_０の情報を一切知ることはできない。従って、零知識性は担保される。以下、上記の論理に基づいて構築された５パス方式のアルゴリズムについて説明する。ここで説明する５パス方式のアルゴリズムは、以下のような鍵生成アルゴリズムＧｅｎ、証明者アルゴリズムＰ、検証者アルゴリズムＶにより構成される。

　（鍵生成アルゴリズムＧｅｎ）
　鍵生成アルゴリズムＧｅｎは、環Ｋ上で定義される多変数多項式ｆ_１（ｘ_１，…，ｘ_ｎ），…，ｆ_ｍ（ｘ_１，…，ｘ_ｎ）、及びベクトルｓ＝（ｓ_１，…，ｓ_ｎ）∈Ｋ^ｎを生成する。次に、鍵生成アルゴリズムＧｅｎは、ｙ＝（ｙ_１，…，ｙ_ｍ）←（ｆ_１（ｓ），…，ｆ_ｍ（ｓ））を計算する。そして、鍵生成アルゴリズムＧｅｎは、（ｆ_１，…，ｆ_ｍ，ｙ）を公開鍵ｐｋに設定し、ｓを秘密鍵に設定する。なお、以下では、ベクトル（ｘ_１，…，ｘ_ｎ）をｘと表記し、多変数多項式の組（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））をＦ（ｘ）と表記する。

　（証明者アルゴリズムＰ、検証者アルゴリズムＶ）
　以下、図６を参照しながら、対話プロトコルの中で証明者アルゴリズムＰ及び検証者アルゴリズムＶにより実行される処理について説明する。この対話プロトコルの中で、証明者は、秘密鍵ｓの情報を検証者に一切漏らさずに、「自身がｙ＝Ｆ（ｓ）を満たすｓを知っていること」を検証者に示す。一方、検証者は、証明者がｙ＝Ｆ（ｓ）を満たすｓを知っているか否かを検証する。なお、公開鍵ｐｋは、検証者に公開されているものとする。また、秘密鍵ｓは、証明者により秘密に管理されているものとする。以下、図６に示したフローチャートに沿って説明を進める。

　工程＃１：
　図６に示すように、まず、証明者アルゴリズムＰは、ランダムにベクトルｒ_０∈Ｋ^ｎ、ｔ_０∈Ｋ^ｎ、ｅ_０∈Ｋ^ｍを生成する。次いで、証明者アルゴリズムＰは、ｒ_１←ｓ－ｒ_０を計算する。この計算は、秘密鍵ｓをベクトルｒ_０によりマスクする操作に相当する。次いで、証明者アルゴリズムＰは、ベクトルｒ_０，ｔ_０，ｅ_０のハッシュ値ｃ_０を生成する。つまり、証明者アルゴリズムＰは、ｃ_０←Ｈ（ｒ_０，ｔ_０，ｅ_０）を計算する。次いで、証明者アルゴリズムＰは、Ｇ（ｔ_０，ｒ_１）＋ｅ_０及びｒ_１のハッシュ値ｃ_１を生成する。つまり、証明者アルゴリズムＰは、ｃ_０←Ｈ（ｒ_１，Ｇ（ｔ_０，ｒ_１）＋ｅ_０）を計算する。工程＃１で生成されたメッセージ（ｃ_０，ｃ_１）は、検証者アルゴリズムＶに送られる。

　工程＃２：
　メッセージ（ｃ_０，ｃ_１）を受け取った検証者アルゴリズムＶは、ｑ通り存在する環Ｋの元からランダムに１つの数Ｃｈ_Ａを選択し、選択した数Ｃｈ_Ａを証明者アルゴリズムＰに送る。

　工程＃３：
　数Ｃｈ_Ａを受け取った証明者アルゴリズムＰは、ｔ_１←Ｃｈ_Ａ・ｒ_０－ｔ_０を計算する。さらに、証明者アルゴリズムＰは、ｅ_１←Ｃｈ_Ａ・Ｆ（ｒ_０）－ｅ_０を計算する。そして、証明者アルゴリズムＰは、ｔ_１及びｅ_１を検証者アルゴリズムＶに送る。

　工程＃４：
　ｔ_１及びｅ_１を受け取った検証者アルゴリズムＶは、２つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムＶは、検証パターンの種類を表す２つの数値｛０，１｝の中から１つの数値を選択し、選択した数値を要求Ｃｈ_Ｂに設定する。この要求Ｃｈ_Ｂは証明者アルゴリズムＰに送られる。

　工程＃５：
　要求Ｃｈ_Ｂを受け取った証明者アルゴリズムＰは、受け取った要求Ｃｈ_Ｂに応じて検証者アルゴリズムＶに送り返す返答Ｒｓｐを生成する。Ｃｈ_Ｂ＝０の場合、証明者アルゴリズムＰは、返答Ｒｓｐ＝ｒ_０を生成する。Ｃｈ_Ｂ＝１の場合、証明者アルゴリズムＰは、返答Ｒｓｐ＝ｒ_１を生成する。工程＃５で生成された返答Ｒｓｐは、検証者アルゴリズムＶに送られる。

　工程＃６：
　返答Ｒｓｐを受け取った検証者アルゴリズムＶは、受け取った返答Ｒｓｐを利用して以下の検証処理を実行する。

　Ｃｈ_Ｂ＝０の場合、検証者アルゴリズムＶは、ｒ_０←Ｒｓｐを実行する。そして、検証者アルゴリズムＶは、ｃ_０＝Ｈ（ｒ_０，Ｃｈ_Ａ・ｒ_０－ｔ_１，Ｃｈ_Ａ・Ｆ（ｒ_０）－ｅ_１）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、この検証が成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　Ｃｈ_Ｂ＝１の場合、検証者アルゴリズムＶは、ｒ_１←Ｒｓｐを実行する。そして、検証者アルゴリズムＶは、ｃ_１＝Ｈ_１（ｒ_１，Ｃｈ_Ａ・（ｙ－Ｆ（ｒ_１））－Ｇ（ｔ_１，ｒ_１）－ｅ_１）の等号が成り立つか否かを検証する。検証者アルゴリズムＶは、この検証が成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　以上、５パス方式に係る効率的なアルゴリズムの構成例について説明した。

　［３－２：並列化アルゴリズムの構成例（図７）］
　次に、図７を参照しながら、図６に示した５パス方式のアルゴリズムを並列化する方法について説明する。なお、鍵生成アルゴリズムＧｅｎの構成については説明を省略する。

　先に述べた通り、５パス方式に係る対話プロトコルを適用すれば、偽証が成功する確率を（１／２＋１／ｑ）以下に抑制することができる。従って、この対話プロトコルを２回実行すれば、偽証が成功する確率を（１／２＋１／ｑ）^２以下に抑制することができる。さらに、この対話プロトコルをＮ回実行すると、偽証が成功する確率は（１／２＋１／ｑ）^Ｎとなり、Ｎを十分に大きい数（例えば、Ｎ＝８０）にすれば、偽証が成功する確率は無視できる程度に小さくなる。

　対話プロトコルを複数回実行する方法としては、例えば、メッセージ、要求、返答のやり取りを逐次的に複数回繰り返す直列的な方法と、１回分のやり取りで複数回分のメッセージ、要求、返答のやり取りを行う並列的な方法とが考えられる。さらに、直列的な方法と並列的な方法とを組み合わせたハイブリッド型の方法も考えられる。ここでは、５パス方式に係る上記の対話プロトコルを並列的に実行するアルゴリズム（以下、並列化アルゴリズム）について説明する。

　工程＃１：
　図７に示すように、まず、証明者アルゴリズムＰは、ｉ＝１～Ｎについて処理（１）～処理（４）を実行する。
　処理（１）：証明者アルゴリズムＰは、ランダムにベクトルｒ_０ｉ，ｔ_０ｉ∈Ｋ^ｎ及びｅ_０ｉ∈Ｋ^ｍを生成する。
　処理（２）：証明者アルゴリズムＰは、ｒ_１ｉ←ｓ－ｒ_０ｉを計算する。この計算は、秘密鍵ｓをベクトルｒ_０ｉによりマスクする操作に相当する。
　処理（３）：証明者アルゴリズムＰは、ｃ_０ｉ←Ｈ（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ）を計算する。
　処理（４）：証明者アルゴリズムＰは、ｃ_１ｉ←Ｈ（ｒ_１ｉ，Ｇ（ｔ_０ｉ，ｒ_１ｉ）＋ｅ_０ｉ）を計算する。
　ｉ＝１～Ｎについて処理（１）～処理（４）を実行した後、証明者アルゴリズムＰは、ハッシュ値Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）を実行する。そして、工程＃１で生成されたハッシュ値Ｃｍｔは、検証者アルゴリズムＶに送られる。

　工程＃２：
　ハッシュ値Ｃｍｔを受け取った検証者アルゴリズムＶは、ｉ＝１～Ｎのそれぞれについて、ｑ通り存在する環Ｋの元からランダムに１つの数Ｃｈ_Ａｉを選択し、選択した数Ｃｈ_Ａｉ（ｉ＝１～Ｎ）を証明者アルゴリズムＰに送る。

　工程＃３：
　数Ｃｈ_Ａｉ（ｉ＝１～Ｎ）を受け取った証明者アルゴリズムＰは、ｉ＝１～Ｎのそれぞれについて、ｔ_１ｉ←Ｃｈ_Ａｉ・ｒ_０ｉ－ｔ_０ｉを計算する。さらに、証明者アルゴリズムＰは、ｉ＝１～Ｎのそれぞれについて、ｅ_１ｉ←Ｃｈ_Ａｉ・Ｆ（ｒ_０ｉ）－ｅ_０ｉを計算する。次いで、証明者アルゴリズムＰは、ハッシュ値ｄ←Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ）を計算する。そして、証明者アルゴリズムＰは、ハッシュ値ｄを検証者アルゴリズムＶに送る。

　工程＃４：
　ハッシュ値ｄを受け取った検証者アルゴリズムＶは、ｉ＝１～Ｎのそれぞれについて、２つの検証パターンのうち、どちらの検証パターンを利用するかを選択する。例えば、検証者アルゴリズムＶは、検証パターンの種類を表す２つの数値｛０，１｝の中から１つの数値を選択し、選択した数値を要求Ｃｈ_Ｂｉに設定する。要求Ｃｈ_Ｂｉ（ｉ＝１～Ｎ）は証明者アルゴリズムＰに送られる。

　工程＃５：
　要求Ｃｈ_Ｂｉ（ｉ＝１～Ｎ）を受け取った証明者アルゴリズムＰは、ｉ＝１～Ｎについて、受け取った要求Ｃｈ_Ｂｉに応じて検証者アルゴリズムＶに送り返す返答Ｒｓｐ_ｉを生成する。Ｃｈ_Ｂｉ＝０の場合、証明者アルゴリズムＰは、返答Ｒｓｐ_ｉ＝（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｃ_１ｉ）を生成する。Ｃｈ_Ｂｉ＝１の場合、証明者アルゴリズムＰは、返答Ｒｓｐ_ｉ＝（ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ）を生成する。工程＃５で生成された返答Ｒｓｐ_ｉ（ｉ＝１～Ｎ）は、検証者アルゴリズムＶに送られる。

　工程＃６：
　返答Ｒｓｐ_ｉ（ｉ＝１～Ｎ）を受け取った検証者アルゴリズムＶは、受け取った返答Ｒｓｐ_ｉ（ｉ＝１～Ｎ）を利用して以下の処理（１）及び処理（２）を実行する。

　処理（１）：Ｃｈ_Ｂｉ＝０の場合、検証者アルゴリズムＶは、（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｃ_１ｉ）←Ｒｓｐ_ｉを実行する。そして、検証者アルゴリズムＶは、ｃ_０ｉ＝Ｈ（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ）を計算する。さらに、検証者アルゴリズムＶは、ｔ_１ｉ←Ｃｈ_Ａｉ・ｒ_０ｉ＋ｔ_０ｉ、及びｅ_１ｉ←Ｃｈ_Ａｉ・Ｆ（ｒ_０ｉ）－ｅ_０ｉを計算する。そして、検証者アルゴリズムＶは、（ｃ_０ｉ，ｃ_１ｉ，ｔ_１ｉ，ｅ_１ｉ）を保持する。

　処理（２）：Ｃｈ_Ｂｉ＝１の場合、検証者アルゴリズムＶは、（ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ）←Ｒｓｐ_ｉを実行する。そして、検証者アルゴリズムＶは、ｃ_１ｉ＝Ｈ（ｒ_１ｉ，Ｃｈ_Ａｉ・（ｙ－Ｆ（ｒ_１ｉ））－Ｇ（ｔ_１ｉ，ｒ_１ｉ）－ｅ_１ｉ）を計算する。そして、検証者アルゴリズムＶは、（ｃ_０ｉ，ｃ_１ｉ，ｔ_１ｉ，ｅ_１ｉ）を保持する。

　ｉ＝１～Ｎについて処理（１）及び処理（２）を実行した後、検証者アルゴリズムＶは、Ｃｍｔ＝Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）の等号が成り立つか否かを検証する。さらに、検証者アルゴリズムＶは、ｄ＝Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ）の等号が成り立つか否かを検証する。そして、検証者アルゴリズムＶは、これらの検証が全て成功した場合に認証成功を示す値１を出力し、検証に失敗があった場合に認証失敗を示す値０を出力する。

　以上、５パス方式に係る効率的な並列化アルゴリズムの構成例について説明した。

　＜４：電子署名方式への変形＞
　次に、上記の公開鍵認証方式を電子署名方式へと変形する方法を紹介する。

　公開鍵認証方式のモデルにおける証明者を電子署名方式における署名者に対応させると、証明者のみが検証者を納得させられるという点において、電子署名方式のモデルと近似していることが容易に理解されよう。こうした考えに基づき、上述した公開鍵認証方式を電子署名方式へと変形する方法について説明する。

　［４－１：３パスの公開鍵認証方式から電子署名方式への変形（図８）］
　まず、３パスの公開鍵認証方式から電子署名方式への変形について説明する。

　図８に示すように、３パス方式に係る効率的なアルゴリズム（例えば、図５を参照）は、３回の対話及び４つの工程＃１～工程＃４で表現される。

　工程＃１は、ｉ＝１～Ｎについて、ａ_ｉ＝（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ，ｃ_１ｉ，ｃ_２ｉ）を生成する処理（１）と、Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）を計算する処理（２）とで構成される。工程＃１で証明者アルゴリズムＰにより生成されたＣｍｔは、検証者アルゴリズムＶへと送られる。

　工程＃２は、Ｃｈ_１，…，Ｃｈ_Ｎを選択する処理で構成される。工程＃２で検証者アルゴリズムＶにより選択されたＣｈ_１，…，Ｃｈ_Ｎは、証明者アルゴリズムＰへと送られる。

　工程＃３は、Ｃｈ_１，…，Ｃｈ_Ｎ及びａ_１，…，ａ_Ｎを用いてＲｓｐ_１，…，Ｒｓｐ_Ｎを生成する処理で構成される。この処理をＲｓｐ_ｉ←Ｓｅｌｅｃｔ（Ｃｈ_ｉ，ａ_ｉ）と表現する。工程＃３で証明者アルゴリズムＰにより生成されたＲｓｐ_１，…，Ｒｓｐ_Ｎは、検証者アルゴリズムＶへと送られる。

　工程＃４は、Ｃｈ_１，…，Ｃｈ_Ｎ及びＲｓｐ_１，…，Ｒｓｐ_Ｎを用いてｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎを再生する処理（１）と、再生したｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎを用いてＣｍｔ＝Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）を検証する処理（２）とで構成される。

　上記の工程＃１～工程＃４で表現される公開鍵認証方式のアルゴリズムは、図８に示すような署名生成アルゴリズムＳｉｇ及び署名検証アルゴリズムＶｅｒに変形される。

　（署名生成アルゴリズムＳｉｇ）
　まず、署名生成アルゴリズムＳｉｇの構成について述べる。署名生成アルゴリズムＳｉｇは、以下の処理（１）～処理（５）で構成される。

　処理（１）：署名生成アルゴリズムＳｉｇは、ａ_ｉ＝（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ，ｃ_１ｉ，ｃ_２ｉ）を生成する。
　処理（２）：署名生成アルゴリズムＳｉｇは、Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）を計算する。
　処理（３）：署名生成アルゴリズムＳｉｇは、（Ｃｈ_１，…，Ｃｈ_Ｎ）←Ｈ（Ｍ，Ｃｍｔ）を計算する。このＭは、署名を付与する文書である。
　処理（４）：署名生成アルゴリズムＳｉｇは、Ｒｓｐ_ｉ←Ｓｅｌｅｃｔ（Ｃｈ_ｉ，ａ_ｉ）を計算する。
　処理（５）：署名生成アルゴリズムＳｉｇは、（Ｃｍｔ，Ｒｓｐ_１，…，Ｒｓｐ_Ｎ）を署名に設定する。

　（署名検証アルゴリズムＶｅｒ）
　次に、署名検証アルゴリズムＶｅｒの構成について述べる。署名検証アルゴリズムＶｅｒは、以下の処理（１）～処理（３）で構成される。

　処理（１）：署名検証アルゴリズムＶｅｒは、（Ｃｈ_１，…，Ｃｈ_Ｎ）←Ｈ（Ｍ，Ｃｍｔ）を計算する。
　処理（２）：署名検証アルゴリズムＶｅｒは、Ｃｈ_１，…，Ｃｈ_Ｎ及びＲｓｐ_１，…，Ｒｓｐ_Ｎを用いてｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎを生成する。
　処理（３）：署名検証アルゴリズムＶｅｒは、再生したｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎを用いてＣｍｔ＝Ｈ（ｃ_０１，ｃ_１１，ｃ_２１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｃ_２Ｎ）を検証する。

　以上説明したように、公開鍵認証方式のモデルにおける証明者を電子署名方式における署名者に対応させることで、公開鍵認証方式のアルゴリズムを電子署名方式のアルゴリズムへと変形することが可能になる。

　［４－２：５パスの公開鍵認証方式から電子署名方式への変形（図９）］
　次に、５パスの公開鍵認証方式から電子署名方式への変形について説明する。

　図９に示すように、５パス方式に係る効率的なアルゴリズム（例えば、図７を参照）は、５回の対話及び６つの工程＃１～工程＃６で表現される。

　工程＃１は、ｉ＝１～Ｎについて、ａ_ｉ＝（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ，ｃ_１ｉ）を生成する処理（１）と、Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）を計算する処理（２）とで構成される。工程＃１で証明者アルゴリズムＰにより生成されたＣｍｔは、検証者アルゴリズムＶへと送られる。

　工程＃２は、Ｃｈ_Ａ１，…，Ｃｈ_ＡＮを選択する処理で構成される。工程＃２で検証者アルゴリズムＶにより選択されたＣｈ_Ａ１，…，Ｃｈ_ＡＮは、証明者アルゴリズムＰへと送られる。

　工程＃３は、ｉ＝１～Ｎについて、ｂ_ｉ＝（ｔ_１ｉ，ｅ_１ｉ）を生成する処理、及びｄ＝Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ）を生成する処理で構成される。工程＃３で証明者アルゴリズムＰにより生成されたｄは、検証者アルゴリズムＶへと送られる。

　工程＃４は、Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮを選択する処理で構成される。工程＃４で検証者アルゴリズムＶにより選択されたＣｈ_Ｂ１，…，Ｃｈ_ＢＮは、証明者アルゴリズムＰへと送られる。

　工程＃５は、Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ，ａ_１，…，ａ_Ｎ，ｂ_１，…，ｂ_Ｎを用いてＲｓｐ_１，…，Ｒｓｐ_Ｎを生成する処理で構成される。この処理をＲｓｐ_ｉ←Ｓｅｌｅｃｔ（Ｃｈ_Ｂｉ，ａ_ｉ，ｂ_ｉ）と表現する。工程＃５で証明者アルゴリズムＰにより生成されたＲｓｐ_１，…，Ｒｓｐ_Ｎは、検証者アルゴリズムＶへと送られる。

　工程＃６は、Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ，Ｒｓｐ_１，…，Ｒｓｐ_Ｎを用いてｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ，ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎを再生する処理と、再生したｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎを用いてＣｍｔ＝Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）を検証する処理と、ｄ＝Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ）を検証する処理とで構成される。

　上記の工程＃１～工程＃６で表現される公開鍵認証方式のアルゴリズムは、図９に示すような署名生成アルゴリズムＳｉｇ及び署名検証アルゴリズムＶｅｒに変形される。

　（署名生成アルゴリズムＳｉｇ）
　まず、署名生成アルゴリズムＳｉｇの構成について述べる。署名生成アルゴリズムＳｉｇは、以下の処理（１）～処理（７）で構成される。

　処理（１）：署名生成アルゴリズムＳｉｇは、ａ_ｉ＝（ｒ_０ｉ，ｔ_０ｉ，ｅ_０ｉ，ｒ_１ｉ，ｔ_１ｉ，ｅ_１ｉ，ｃ_０ｉ，ｃ_１ｉ）を生成する。
　処理（２）：署名生成アルゴリズムＳｉｇは、Ｃｍｔ←Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）を計算する。
　処理（３）：署名生成アルゴリズムＳｉｇは、（Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ）←Ｈ（Ｍ，Ｃｍｔ）を計算する。このＭは、署名を付与する文書である。
　処理（４）：署名生成アルゴリズムＳｉｇは、ｉ＝１～Ｎについて、ｂ_ｉ＝（ｔ_１ｉ，ｅ_１ｉ）を生成する。さらに、署名生成アルゴリズムＳｉｇは、ｄ＝Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ）を算出する。
　処理（５）：署名生成アルゴリズムＳｉｇは、（Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ）←Ｈ（Ｍ，Ｃｍｔ，Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，ｄ）を計算する。なお、（Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ）←Ｈ（Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，ｄ）と変形してもよい。
　処理（６）：署名生成アルゴリズムＳｉｇは、Ｒｓｐ_ｉ←Ｓｅｌｅｃｔ（Ｃｈ_Ｂｉ，ａ_ｉ，ｂ_ｉ）を計算する。
　処理（７）：署名生成アルゴリズムＳｉｇは、（Ｃｍｔ，ｄ，Ｒｓｐ_１，…，Ｒｓｐ_Ｎ）を電子署名に設定する。

　（署名検証アルゴリズムＶｅｒ）
　次に、署名検証アルゴリズムＶｅｒの構成について述べる。署名検証アルゴリズムＶｅｒは、以下の処理（１）～処理（４）で構成される。

　処理（１）：署名検証アルゴリズムＶｅｒは、（Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ）←Ｈ（Ｍ，Ｃｍｔ）を計算する。
　処理（２）：署名検証アルゴリズムＶｅｒは、（Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ）←Ｈ（Ｍ，Ｃｍｔ，Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，ｄ）を計算する。なお、署名検証アルゴリズムＶｅｒが実行する処理（５）において、（Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ）←Ｈ（Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，ｄ）と変形した場合、署名検証アルゴリズムＶｅｒは、（Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ）←Ｈ（Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，ｄ）を計算する。
　処理（３）：署名検証アルゴリズムＶｅｒは、Ｃｈ_Ａ１，…，Ｃｈ_ＡＮ，Ｃｈ_Ｂ１，…，Ｃｈ_ＢＮ，Ｒｓｐ_１，…，Ｒｓｐ_Ｎを用いてｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ，ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎを生成する。
　処理（４）：署名検証アルゴリズムＶｅｒは、再生したｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎを用いてＣｍｔ＝Ｈ（ｃ_０１，ｃ_１１，…，ｃ_０Ｎ，ｃ_１Ｎ）及びｄ＝Ｈ（ｔ_１１，ｅ_１１，…，ｔ_１Ｎ，ｅ_１Ｎ，）を検証する。

　＜５：ハードウェア構成例（図１０）＞
　上記の各アルゴリズムは、例えば、図１０に示す情報処理装置のハードウェア構成を用いて実行することが可能である。つまり、当該各アルゴリズムの処理は、コンピュータプログラムを用いて図１０に示すハードウェアを制御することにより実現される。なお、このハードウェアの形態は任意であり、例えば、パーソナルコンピュータ、携帯電話、ＰＨＳ、ＰＤＡ等の携帯情報端末、ゲーム機、接触式又は非接触式のＩＣチップ、接触式又は非接触式のＩＣカード、又は種々の情報家電がこれに含まれる。但し、上記のＰＨＳは、Ｐｅｒｓｏｎａｌ　Ｈａｎｄｙ－ｐｈｏｎｅ　Ｓｙｓｔｅｍの略である。また、上記のＰＤＡは、Ｐｅｒｓｏｎａｌ　Ｄｉｇｉｔａｌ　Ａｓｓｉｓｔａｎｔの略である。

　図１０に示すように、このハードウェアは、主に、ＣＰＵ９０２と、ＲＯＭ９０４と、ＲＡＭ９０６と、ホストバス９０８と、ブリッジ９１０と、を有する。さらに、このハードウェアは、外部バス９１２と、インターフェース９１４と、入力部９１６と、出力部９１８と、記憶部９２０と、ドライブ９２２と、接続ポート９２４と、通信部９２６と、を有する。但し、上記のＣＰＵは、Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略である。また、上記のＲＯＭは、Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙの略である。そして、上記のＲＡＭは、Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙの略である。

　ＣＰＵ９０２は、例えば、演算処理装置又は制御装置として機能し、ＲＯＭ９０４、ＲＡＭ９０６、記憶部９２０、又はリムーバブル記録媒体９２８に記録された各種プログラムに基づいて各構成要素の動作全般又はその一部を制御する。ＲＯＭ９０４は、ＣＰＵ９０２に読み込まれるプログラムや演算に用いるデータ等を格納する手段である。ＲＡＭ９０６には、例えば、ＣＰＵ９０２に読み込まれるプログラムや、そのプログラムを実行する際に適宜変化する各種パラメータ等が一時的又は永続的に格納される。

　これらの構成要素は、例えば、高速なデータ伝送が可能なホストバス９０８を介して相互に接続される。一方、ホストバス９０８は、例えば、ブリッジ９１０を介して比較的データ伝送速度が低速な外部バス９１２に接続される。また、入力部９１６としては、例えば、マウス、キーボード、タッチパネル、ボタン、スイッチ、及びレバー等が用いられる。さらに、入力部９１６としては、赤外線やその他の電波を利用して制御信号を送信することが可能なリモートコントローラ（以下、リモコン）が用いられることもある。

　出力部９１８としては、例えば、ＣＲＴ、ＬＣＤ、ＰＤＰ、又はＥＬＤ等のディスプレイ装置、スピーカ、ヘッドホン等のオーディオ出力装置、プリンタ、携帯電話、又はファクシミリ等、取得した情報を利用者に対して視覚的又は聴覚的に通知することが可能な装置である。但し、上記のＣＲＴは、Ｃａｔｈｏｄｅ　Ｒａｙ　Ｔｕｂｅの略である。また、上記のＬＣＤは、Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙの略である。そして、上記のＰＤＰは、Ｐｌａｓｍａ　ＤｉｓｐｌａｙＰａｎｅｌの略である。さらに、上記のＥＬＤは、Ｅｌｅｃｔｒｏ－Ｌｕｍｉｎｅｓｃｅｎｃｅ　Ｄｉｓｐｌａｙの略である。

　記憶部９２０は、各種のデータを格納するための装置である。記憶部９２０としては、例えば、ハードディスクドライブ（ＨＤＤ）等の磁気記憶デバイス、半導体記憶デバイス、光記憶デバイス、又は光磁気記憶デバイス等が用いられる。但し、上記のＨＤＤは、Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅの略である。

　ドライブ９２２は、例えば、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリ等のリムーバブル記録媒体９２８に記録された情報を読み出し、又はリムーバブル記録媒体９２８に情報を書き込む装置である。リムーバブル記録媒体９２８は、例えば、ＤＶＤメディア、Ｂｌｕ－ｒａｙメディア、ＨＤ　ＤＶＤメディア、各種の半導体記憶メディア等である。もちろん、リムーバブル記録媒体９２８は、例えば、非接触型ＩＣチップを搭載したＩＣカード、又は電子機器等であってもよい。但し、上記のＩＣは、Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略である。

　接続ポート９２４は、例えば、ＵＳＢポート、ＩＥＥＥ１３９４ポート、ＳＣＳＩ、ＲＳ－２３２Ｃポート、又は光オーディオ端子等のような外部接続機器９３０を接続するためのポートである。外部接続機器９３０は、例えば、プリンタ、携帯音楽プレーヤ、デジタルカメラ、デジタルビデオカメラ、又はＩＣレコーダ等である。但し、上記のＵＳＢは、Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓの略である。また、上記のＳＣＳＩは、Ｓｍａｌｌ　Ｃｏｍｐｕｔｅｒ　Ｓｙｓｔｅｍ　Ｉｎｔｅｒｆａｃｅの略である。

　通信部９２６は、ネットワーク９３２に接続するための通信デバイスであり、例えば、有線又は無線ＬＡＮ、Ｂｌｕｅｔｏｏｔｈ（登録商標）、又はＷＵＳＢ用の通信カード、光通信用のルータ、ＡＤＳＬ用のルータ、又は接触又は非接触通信用のデバイス等である。また、通信部９２６に接続されるネットワーク９３２は、有線又は無線により接続されたネットワークにより構成され、例えば、インターネット、家庭内ＬＡＮ、赤外線通信、可視光通信、放送、又は衛星通信等である。但し、上記のＬＡＮは、Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋの略である。また、上記のＷＵＳＢは、Ｗｉｒｅｌｅｓｓ　ＵＳＢの略である。そして、上記のＡＤＳＬは、Ａｓｙｍｍｅｔｒｉｃ　Ｄｉｇｉｔａｌ　Ｓｕｂｓｃｒｉｂｅｒ　Ｌｉｎｅの略である。

　＜６：多変数多項式を計算する回路の構成＞
　ここで、多次多変数多項式を計算する回路の構成について説明する。

　［６－１：概要（図１１～図１５）］
　これまで紹介してきた公開鍵認証方式及び電子署名方式を含め、多次多変数多項式の求解問題に安全性の根拠を置く公開鍵認証方式及び電子署名方式を機器に実装する場合、多次多変数多項式を計算する回路の設計が必要になる。特に、図４～図９に示した方式を実装する場合、例えば、入力ｘ_１，ｘ_２∈｛０，１｝^ｎに対し、二次多変数多項式Ｆ（ｘ_１）＝（ｆ_１（ｘ_１），…，ｆ_ｍ（ｘ_１））、Ｆ（ｘ_２）＝（ｆ_１（ｘ_２），…，ｆ_ｍ（ｘ_２））を計算する回路の設計が必要になる。

　上記のような回路を設計する場合、例えば、処理速度、回路規模、電力消費などの評価項目に注意して回路が設計される。ここで言う処理速度は、例えば、最大動作周波数及び処理サイクル数に基づいて評価される。また、最大動作周波数は、回路内で信号の伝搬が最も遅くなる経路（クリティカルパス）の長さにより決定する。また、回路規模は、設計自由度や製造コストなどの観点から小さい程よいとされる。また、電力消費は、実装機器のバッテリ持続時間や熱設計の自由度など、様々な観点から重要視される。

　これら全ての評価項目において高い評価が得られるように回路を設計することが望ましいが、ここでは処理速度及び回路規模の評価項目に注目して良好な特性を有する演算回路の構成について紹介する。

　（１本の二次多変数多項式ｆを計算する回路について）
　例えば、二次多変数多項式ｆ（ｘ）は、下記の式（１３）のように表現される。但し、ｘ＝（ｘ_１，…，ｘ_Ｎ）である。つまり、二次多変数多項式ｆ（ｘ）の計算は、ａ_ｉｊｘ_ｉｘ_ｊ及びｂ_ｉｘ_ｉの項を全て足し合わせる演算に他ならない。従って、演算回路の動作サイクルに合わせて各項の計算値（以下、中間値）を足し込んでいく回路を設計すれば、二次多変数多項式ｆ（ｘ）を計算する回路を構築することができる。

　例えば、上記の式（１３）で表現される１つの二次多変数多項式ｆ（ｘ）を計算する回路は、図１１に示すように、中間値生成回路１１、ＸＯＲ回路１２、及び中間値保持回路１３により構成される。中間値生成回路１１は、ａ_ｉｊｘ_ｉｘ_ｊ及びｂ_ｉｘ_ｉの項を計算して中間値を生成する回路である。また、ＸＯＲ回路１２は、中間値生成回路１１が生成した各項の中間値を足し込むための回路である。さらに、中間値保持回路１３は、ＸＯＲ回路１２を用いて足し込まれた結果を一時的に保持する回路である。

　このような回路構成にすることで、中間値生成回路１１により生成された中間値が都度足し込まれ、最終的に二次多変数多項式ｆ（ｘ）の演算結果が得られる。また、全ての項の演算に関して足し込む回路が共有できるため、回路規模が小さく抑えられる。

　また、中間値生成回路１１は、例えば、図１２に示すように、変数生成回路２１と、ＡＮＤ回路２２とを用いて構築される。変数生成回路１２は、サイクル毎に入力に応じた各項の変数ｘ_ｉｘ_ｊ又はｘ_ｉを生成する。また、ＡＮＤ回路２２は、変数生成回路１２により生成された各項の変数ｘ_ｉｘ_ｊ又はｘ_ｉの値と、当該各項の係数ａ_ｉｊ又はｂ_ｉの値との間で１ビットの論理積演算を実行する。

　このような回路構成にすることで、全ての項の演算に関してＡＮＤ回路２２が共有できるようになり、回路規模を小さく抑えることが可能になる。なお、ＡＮＤ回路２２に入力される係数の値は、例えば、図１３に示すような形式で記録メモリ（ＲＯＭやＲＡＭなど）に予め格納されているものとする。そのため、所望のタイミングで所望のアドレスにアクセスすることで、所望の係数の値を得ることができる。

　（複数本の二次多変数多項式ｆ_ｉ（ｉ＝１～ｍ）を計算する回路について）
　ところで、二次多変数多項式Ｆ（ｘ）＝（ｆ_１（ｘ），…，ｆ_ｍ（ｘ））の演算を実行する場合、あるｘ_ｉｘ_ｊ又はｘ_ｊに関する項の演算が、ｆ_１（ｘ），…，ｆ_ｍ（ｘ）のそれぞれについて１つ含まれていることに気づくであろう。そのため、処理サイクル数を低減させる観点からは、一度にｍ本の二次多変数多項式ｆ_１（ｘ），…，ｆ_ｍ（ｘ）の係数ａ_１ｉｊ，…，ａ_ｍｉｊ又はｂ_１ｉ，…、ｂ_ｍｉを生成しておき、ある変数ｘ_ｉｘ_ｊ又はｘ_ｊに関する項の演算を並列に実行できるようにする方が好ましい。

　例えば、図１４に示すように、演算回路は、１つの変数生成回路３１と、複数のＡＮＤ回路３２、３５と、複数の乗算器３３、３６と、複数の中間値保持回路３４、３７とにより構築することができる。この場合、変数生成回路３１により１度生成された変数ｘ_ｉｘ_ｊ又はｘ_ｊは、二次多変数多項式ｆ_１（ｘ），…，ｆ_ｍ（ｘ）の演算に並列で利用される。なお、係数ａ_１ｉｊ，…，ａ_ｍｉｊ又はｂ_１ｉ，…、ｂ_ｍｉは、図１５に示すような形式で記録メモリ（ＲＯＭやＲＡＭなど）に予め格納されているものとする。そのため、所望のタイミングで所望のアドレスにアクセスすることで、ｆ_１（ｘ），…，ｆ_ｍ（ｘ）に関する所望の係数の値を一度に得ることができる。

　このような構成にすることで、ｍ本の二次多変数多項式ｆ_１（ｘ），…，ｆ_ｍ（ｘ）を並列に計算することが可能になり、処理サイクル数が低減される。以下では、１本の二次多変数多項式ｆ_ｉに注目して説明を進めるが、例えば、図１４に示すような形で回路を設計することにより、ｍ本の二次多変数多項式ｆ_１（ｘ），…，ｆ_ｍ（ｘ）を並列に計算する回路を構築することが可能になる。

　（演算回路の構成例について）
　上記のような演算回路の構成としては、多ビット入力のセレクタを利用した回路構成やシフトレジスタを利用した回路構成などを適用することが可能である。多ビット入力のセレクタを利用した回路構成については、例えば、参考文献１（Ｄａｖｉｄ　Ａｒｄｉｔｔｉ，　Ｃｏｍｅ　Ｂｅｒｂａｉｎ，　Ｏｌｉｖｉｅｒ　Ｂｉｌｌｅｔ，　Ｈｅｎｒｉ　Ｇｉｌｂｅｒｔ，”Ｃｏｍｐａｃｔ　ＦＰＧＡ　Ｉｍｐｌｅｍｅｎｔａｔｉｏｎｓ　ｏｆ　ＱＵＡＤ”，　ＡＳＩＡＣＣＳ’０７，　Ｍａｒｃｈ　２０－２２，　２００７，　Ｓｉｎｇａｐｏｒｅ．）に記載がある。

　また、シフトレジスタを利用した回路構成については、例えば、参考文献２（Ａｎｄｒｅｙ　Ｂｏｇｄａｎｏｖ，　Ｔｈｏｍａｓ　Ｅｉｓｅｎｂａｒｔｈ，　Ａｎｄｙ　Ｒｕｐｐ，　ａｎｄ　Ｃｈｒｉｓｔｏｐｈｅｒ　Ｗｏｌｆ，”Ｔｉｍｅ－Ａｒｅａ　Ｏｐｔｉｍｉｚｅｄ　Ｐｕｂｌｉｃ－Ｋｅｙ　Ｅｎｇｉｎｅｓ：　ＭＱ－Ｃｒｙｐｔｏｓｙｓｔｅｍｓ　ａｓ　Ｒｅｐｌａｃｅｍｅｎｔ　ｆｏｒ　Ｅｌｌｉｐｔｉｃ　Ｃｕｒｖｅｓ？”，　ＣＨＥＳ　２００８，　ＬＮＣＳ　５１５４，　ｐｐ．４５－６１，　２００８．）に記載がある。但し、参考文献２では、シフトレジスタにフィードバックループを導入した回路構成が紹介されている。

　なお、参考文献１及び２に記載の回路構成は、１つの入力ｘ∈｛０，１｝^ｎについて二次多変数多項式ｆ（ｘ）を計算するものである。そのため、２つの入力ｘ_１，ｘ_２∈｛０，１｝^ｎについて二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を計算するには、２つの演算回路を並列に動作させるか、或いは、１つの演算回路を２回動作させる必要がある。また、以下で詳細に述べるが、参考文献１及び２に記載の回路構成は、処理速度又は回路規模の観点からも改善の余地がある。そこで、本件発明者は、複数の入力について、より効率的に二次多変数多項式を計算する演算回路の構成（後述する実施例＃１及び＃２を参照）を考案した。以下、これらの回路構成について詳細に説明する。

　［６－２：多ビット入力のセレクタを利用する構成］
　まず、多ビット入力のセレクタを利用した演算回路の構成について述べる。

　（６－２－１：回路構成（図１６～図１８））
　多ビット入力のセレクタを利用した演算回路は、二次多変数多項式ｆ（ｘ）を構成する各項の変数ｘ_ｉｘ_ｊ又はｘ_ｉを生成する第１の回路部分（図１６及び図１７を参照）と、各項の変数に係数ａ_ｉｊ又はｂ_ｊを乗算した中間値を足し込んで演算結果ｚを出力する第２の回路部分（図１８を参照）とで構成される。

　図１６に示すように、第１の回路部分は、入力ｘ＝（ｘ_１，…，ｘ_ｎ）を保持しているレジスタ１０１と、ｎビットの入力に対して１ビットを出力する２つのセレクタ１０２、１０３と、ＡＮＤ回路１０４とにより構成される。また、レジスタ１０１は、図１７に示すように、レジスタＲ_１，…，Ｒ_ｎ及びセレクタＳ_１，…，Ｓ_ｎにより構成される。レジスタＲ_１，…，Ｒ_ｎには、最初のサイクルで、それぞれセレクタＳ_１，…，Ｓ_ｎを介してｘ_１，…，ｘ_ｎが格納される。そして、任意のタイミングでレジスタＲ_１，…，Ｒ_ｎに格納されたｘ_１，…，ｘ_ｎがｙ_１，…，ｙ_ｎとして出力される。

　レジスタ１０１の出力値ｙ_１，…，ｙ_ｎは、図１６に示すように、セレクタ１０２、１０３に入力される。セレクタ１０２は、入力された値ｙ_１，…，ｙ_ｎから、それぞれ１つの値を選択してＡＮＤ回路１０４に入力する。また、セレクタ１０３は、入力された値ｙ_２，…，ｙ_ｎ，及び定数「１」から、それぞれ１つの値を選択してＡＮＤ回路１０４に入力する。ＡＮＤ回路１０４は、入力された２つの値に論理積演算を施してｘ_ｉｘ_ｊ又はｘ_ｉを出力する。ＡＮＤ回路１０４の出力値は、図１８に示すように、第２の回路部分を構成するＡＮＤ回路１０５に入力される。なお、第２の回路部分は、図１８に示すように、ＡＮＤ回路１０５の他、ＸＯＲ回路１０６及びレジスタ１０７を含む。また、図１８に示した配線の幅は、全て１ビットである。

　上記のＡＮＤ回路１０５には、ＡＮＤ回路１０４の出力値と共に係数ａ_ｉｊ又はｂ_ｉが入力される。そして、ＡＮＤ回路１０５の出力値（中間値）は、ＸＯＲ回路１０６に入力される。このＸＯＲ回路１０６には、中間値と共にレジスタ１０７の格納値が入力される。ＸＯＲ回路１０６は、入力された２つの値に対して排他的論理和演算を施し、その演算結果（中間値）をレジスタ１０７に入力する。二次多変数多項式ｆ（ｘ）を構成する全ての項について中間値の足し込みが完了した場合、レジスタ１０７に格納された値が演算結果ｚとして出力される。

　以上、多ビット入力のセレクタを利用した演算回路の回路構成について説明した。

　（６－２－２：動作（図１９））
　次に、図１９を参照しながら、演算回路の動作について説明する。なお、図中において配線を鎖線で示した部分は、該当するサイクルにおいて実質的に信号が流れないように制御されていることを表している。一方、図中において配線を実線で示した部分は、該当するサイクルにおいて信号が流れるように制御されていることを表している。このような信号経路の制御は、セレクタＳ１，…，Ｓｎを制御することで実現される。

　図１９に示すように、最初のサイクル（Ｐ１）では、レジスタ１０１を構成するレジスタＲ_１，…，Ｒ_ｎに入力ｘ∈｛０，１｝^ｎが格納される。以降のサイクル（Ｐ２）では、レジスタＲ_１，…，Ｒ_ｎの格納値が保持された状態で、レジスタＲ_１，…，Ｒ_ｎの格納値ｘ_１，…，ｘ_ｎがｙ_１，…，ｙ_ｎとして出力される。上述した通り、ｙ_１，…，ｙ_ｎ，及び定数「１」から値を選択する処理は、ｎビット入力のセレクタ１０２、１０３により実行される。また、二次多変数多項式ｆ（ｘ）に含まれる一次の項を計算する際には、セレクタ１０２、１０３の一方から「１」が出力されるようにする。

　以上、多ビット入力のセレクタを利用した演算回路の動作について説明した。

　以上説明したように、多ビット入力のセレクタを利用することにより、二次多変数多項式ｆ（ｘ）の演算回路を構築することができる。しかし、多ビット入力のセレクタを利用しているため、クリティカルパスが長くなり、最大動作周波数が低下してしまう。また、多ビット入力のセレクタを実装すると、回路規模が増大してしまう。さらに、多ビット入力のセレクタを利用した演算回路を並列に実装することで、複数の入力について二次多変数多項式ｆ（ｘ）を計算する演算回路を構築する場合、ＡＮＤ回路及びＸＯＲ回路を複数組用意する必要が生じる。これらの点については改善の余地がある。

　［６－３：シフトレジスタを利用する構成＃１］
　次に、シフトレジスタを利用した演算回路の構成について述べる。シフトレジスタを利用した演算回路の場合、多ビット入力のセレクタを含まず、シフトレジスタの出力をそのまま利用して中間値を生成できるため、最大動作周波数の低下や回路規模の増大を抑制することができる。

　（６－３－１：回路構成（図２０～図２２））
　シフトレジスタを利用した演算回路は、二次多変数多項式ｆ（ｘ）を構成する各項の変数ｘ_ｉｘ_ｊ又はｘ_ｉを生成する第１の回路部分（図２０及び図２１を参照）と、各項の変数に係数ａ_ｉｊ又はｂ_ｊを乗算した中間値を足し込んで演算結果ｚを出力する第２の回路部分（図２２を参照）とで構成される。

　第１の回路部分は、図２０に示すように、シフトレジスタ２０１と、ＡＮＤ回路２０２とにより構成される。また、シフトレジスタ２０１は、図２１に示すように、セレクタＳ_１，…，Ｓ_ｎ＋１及びレジスタＲ_１，…，Ｒ_ｎ＋１により構成される。なお、セレクタＳ_１及びＳ_ｎ＋１は、「３ビット入力：１ビット出力」のレジスタである。また、セレクタＳ_２，…，Ｓ_ｎは、「２ビット入力：１ビット出力」のレジスタである。また、配線の幅は全て１ビットである。

　また、第２の回路部分は、図２２に示すように、ＡＮＤ回路２０３と、ＸＯＲ回路２０４と、レジスタ２０５とにより構成される。ＡＮＤ回路２０３には、第１の回路部分を構成するＡＮＤ回路２０２の出力値と、係数ａ_ｉｊ又はｂ_ｉとが入力される。また、ＡＮＤ回路２０３の出力値は、ＸＯＲ回路２０４に入力される。また、ＸＯＲ回路２０４には、ＡＮＤ回路２０３の出力値と共に、レジスタ２０５に格納された格納値が入力される。また、レジスタ２０５の格納値は、ＸＯＲ回路２０４の出力値により更新される。そして、入力ｘの全ての組み合わせについて足し込み処理が完了した場合に、レジスタ２０５の格納値が演算結果ｚとして出力される。

　以上、シフトレジスタを利用した演算回路の回路構成について説明した。

　（６－３－２：動作（図２３～図２６））
　次に、図２３～図２６を参照しながら、演算回路の動作について説明する。なお、図中において配線を鎖線で示した部分は、該当するサイクルにおいて実質的に信号が流れないように制御されていることを表している。一方、図中において配線を実線で示した部分は、該当するサイクルにおいて信号が流れるように制御されていることを表している。このような信号経路の制御は、セレクタＳ_１，…，Ｓ_ｎ＋１を制御することで実現される。

　図２３に示すように、最初のサイクル（Ｐ１）で、シフトレジスタ２０１を構成するレジスタＲ_１，…，Ｒ_ｎに入力ｘ∈｛０，１｝^ｎが格納される。このとき、レジスタＲ_ｎ＋１には、値「１」が格納される。ここで格納された値「１」は、二次多変数多項式ｆ（ｘ）に含まれる一次の項を計算するために利用される。次のサイクル（Ｐ２）では、レジスタＲ_１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ２０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ２０１から出力される。

　さらに、レジスタＲ_２，…，Ｒ_ｎ＋１において格納値のローテーションが実施される。具体的には、レジスタＲ_２に格納されていた１ビットの値ｘ_２がレジスタＲ_ｎ＋１に移動し、レジスタＲ_３，…，Ｒ_ｎ＋１に格納されていた１ビットの値ｘ_３，…，ｘ_ｎ，１がレジスタＲ_２，…，Ｒ_ｎに移動する。その結果、レジスタＲ_１，…，Ｒ_ｎ＋１には、それぞれ、１ビットの値ｘ_１，ｘ_３，…，ｘ_ｎ，１，ｘ_２が格納された状態になる。なお、シフトレジスタ２０１から出力された２つの値ｙ_１，ｙ_２は、ＡＮＤ回路２０２に入力され、ＡＮＤ回路２０３、ＸＯＲ回路２０４を経てレジスタ２０５に格納される（図２２を参照）。

　次のサイクル（Ｐ３）では、図２４に示すように、レジスタＲ_１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ２０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ２０１から出力される。さらに、レジスタＲ_２，…，Ｒ_ｎ＋１において格納値のローテーションが実施される。同様にして、以降のサイクル（Ｐ４）では、ｙ_１，ｙ_２の出力及び格納値のローテーションが繰り返し実施される。

　但し、図２５に示すように、レジスタＲ_１，…，Ｒ_ｎ＋１に、それぞれ、１ビットの値ｘ_１，ｘ_２，…，ｘ_ｎ，１が格納された状態になった段階（Ｐ５）で、レジスタＲ_１，…，Ｒ_ｎ＋１において格納値のローテーションが実施される（Ｐ６）。その結果、レジスタＲ_１，…，Ｒ_ｎ＋１には、それぞれ、１ビットの値ｘ_２，ｘ_３，…，ｘ_ｎ，１，ｘ_１が格納された状態になる。

　以降のサイクルでは、再びレジスタＲ１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ２０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ２０１から出力される。さらに、レジスタＲ_２，…，Ｒ_ｎ＋１において格納値のローテーションが実施される。このように、シフトレジスタ２０１は、レジスタＲ_２，…，Ｒ_ｎ＋１における格納値のローテーションと、レジスタＲ_１，…，Ｒ_ｎ＋１における格納値のローテーションとを組み合わせ、出力される２つの値ｙ_１，ｙ_２の組み合わせを制御する。

　入力ｘが４ビットの場合（ｎ＝４の場合）について、各サイクルにおける出力値ｙ_１，ｙ_２、及びレジスタＲ_１，…，Ｒ_５の格納値を図２６に纏めた。図２６を参照しながら、演算回路の動作について具体的に説明する。

　まず、最初のサイクル（サイクル数１）において、レジスタＲ_１，…，Ｒ_５に入力ｘ_１，…，ｘ_４，１が格納される。次いで、レジスタＲ_１，Ｒ_２から格納値ｘ_１，ｘ_２が出力値ｙ_１，ｙ_２として出力される。これら出力値ｙ_１，ｙ_２は、ＡＮＤ回路２０２に入力される。次いで、ＡＮＤ回路２０２により論理和ｙ＝ｘ_１ｘ_２が算出される。そして、論理和ｙがＡＮＤ回路２０３に入力される。次いで、ＡＮＤ回路２０３により係数ａ_１２との間で論理積が計算され、レジスタ２０５に格納される。

　次のサイクル（サイクル数２）では、レジスタＲ_２，…，Ｒ_５において格納値のローテーションが実施され、それぞれ格納値がｘ_３，ｘ_４，１，ｘ_２に更新される。そのため、シフトレジスタ２０１の出力値ｙ_１，ｙ_２は、それぞれｘ_１，ｘ_３となる。同様に、サイクル数３及び４において、レジスタＲ_２，…，Ｒ_５における格納値のローテーションが実施され、サイクル毎にシフトレジスタ２０１から値ｙ_１，ｙ_２が出力される。

　次のサイクル（サイクル数５）では、レジスタＲ_１，…，Ｒ_５の格納値がそれぞれｘ_１，…，ｘ_４，１となっており、そのままレジスタＲ_１，Ｒ_２から格納値を出力すると、既に出力した値ｘ_１，ｘ_２が出力されてしまう。そこで、ＡＮＤ回路２０３において本来係数ａ_ｉｊ，ｂ_ｉが入力されるところに「０」を入力することや、レジスタ２０５の格納値を更新させないような機能を追加するなどの工夫を行い、レジスタ２０５の格納値を保持する。その際、レジスタＲ_１，…，Ｒ_５においてローテーションを実施する。ローテーションを実施すると、レジスタＲ_１，…，Ｒ_５の格納値は、サイクル数５＋１の欄に記載した通り、それぞれｘ_２，ｘ_３，ｘ_４，１，ｘ_１という順序になる。そこで、シフトレジスタ２０１は、レジスタＲ_１，Ｒ_２から格納値を出力する。

　次いで、サイクル数５＋１～５＋４に記載した通り、シフトレジスタ２０１は、レジスタＲ_２，…，Ｒ_５において格納値のローテーションを実施しつつ、レジスタＲ_１，Ｒ_２から格納値を出力する。但し、サイクル数５＋４のときは、レジスタ２０５の格納値は更新しない。次いで、サイクル数５の場合と同様、レジスタ２０５の格納値は更新せず、レジスタＲ_１，…，Ｒ_５の格納値を整列させるためにレジスタＲ_１，…，Ｒ_５の格納値をローテーションする。

　以降、シフトレジスタ２０１は、レジスタＲ_１，Ｒ_２からの出力を伴うレジスタＲ_２，…，Ｒ_５のローテーションと、レジスタＲ_１，Ｒ_２からの出力を伴わないレジスタＲ_２，…，Ｒ_５のローテーションと，レジスタＲ_１，Ｒ_２からの出力を伴わないレジスタＲ_１，…，Ｒ_５のローテーションとを実施して格納値の全組み合わせについて値を出力する。シフトレジスタ２０１から出力された値ｙ_１，ｙ_２は、ＡＮＤ回路２０２、２０３、ＸＯＲ回路２０４、及びレジスタ２０５により都度足し込まれる。そして、値ｘ_１，…，ｘ_４，１から選択可能な全ての組み合わせについて足し込みが完了した場合に、レジスタ２０５の格納値が演算結果ｚとして演算回路から出力される。

　以上、シフトレジスタを利用した演算回路の動作について説明した。

　以上説明したように、シフトレジスタを利用することにより、二次多変数多項式ｆ（ｘ）の演算回路を構築することができる。しかし、上記のように格納値の順序を整列させるために、値を更新せずにローテーションを実施するためのサイクルが必要になるため、処理サイクルが増加してしまう。また、ここで例示した演算回路を用いて並列に実装することで、複数の入力について二次多変数多項式ｆ（ｘ）を計算する演算回路を構築する場合、ＡＮＤ回路及びＸＯＲ回路を複数組用意する必要が生じる。これらの点については改善の余地がある。

　［６－４：シフトレジスタを利用する構成＃２（複数のフィードバックループ）］
　次に、複数のフィードバックループを組み込んだシフトレジスタを利用する演算回路の構成について述べる。この構成は、複数のフィードバックループを利用し、格納値の順序を整列するためだけに実施されるローテーションを回避することを可能にする。

　（６－４－１：回路構成（図２７～図２９））
　シフトレジスタを利用した演算回路は、二次多変数多項式ｆ（ｘ）を構成する各項の変数ｘ_ｉｘ_ｊ又はｘ_ｉを生成する第１の回路部分（図２７及び図２８を参照）と、各項の変数に係数ａ_ｉｊ又はｂ_ｊを乗算した中間値を足し込んで演算結果ｚを出力する第２の回路部分（図２９を参照）とで構成される。

　第１の回路部分は、図２７に示すように、主に、シフトレジスタ３０１と、ＡＮＤ回路３０２とにより構成される。但し、図２７においては、図２０に示したシフトレジスタ２０１との対比を容易にすべく、便宜上、ＡＮＤ回路３０２の前段に設けられるマスク回路３０３（図２９を参照）の記載を省略してある。また、シフトレジスタ３０１は、図２８に示すように、セレクタＳ_１，…，Ｓ_ｎ及びレジスタＲ_１，…，Ｒ_ｎにより構成される。なお、セレクタＳ_１は、「３ビット入力：１ビット出力」のレジスタである。また、セレクタＳ_２，…，Ｓ_ｎは、「４ビット入力：１ビット出力」のレジスタである。また、配線の幅は全て１ビットである。

　また、第２の回路部分は、図２９に示すように、ＡＮＤ回路３０４と、ＸＯＲ回路３０５と、レジスタ３０６とにより構成される。なお、図２７において記載を省略したマスク回路３０３には、シフトレジスタ３０１から出力された一方の値ｙ_２と、マスク値ｍａｓｋ（ｍａｓｋ＝０／１）とが入力される。マスク値が１の場合、マスク回路３０３は、入力されたｙ_２の値に関係なく、１を出力する。一方、マスク値が０の場合、マスク回路３０３は、入力されたｙ_２の値をそのまま出力する。マスク回路３０３の出力値は、ＡＮＤ回路３０２に入力される。つまり、ＡＮＤ回路３０２には、シフトレジスタ３０１から出力された一方の値ｙ_１と、マスク回路３０３の出力値とが入力される。

　ＡＮＤ回路３０４には、第１の回路部分を構成するＡＮＤ回路３０２の出力値と、係数ａ_ｉｊ又はｂ_ｉとが入力される。また、ＡＮＤ回路３０４の出力値は、ＸＯＲ回路３０５に入力される。また、ＸＯＲ回路３０５には、ＡＮＤ回路３０４の出力値と共に、レジスタ３０６に格納された格納値が入力される。また、レジスタ３０６の格納値は、ＸＯＲ回路３０６の出力値により更新される。そして、入力ｘの全ての組み合わせについて足し込み処理が完了した場合に、レジスタ３０６の格納値が演算結果ｚとして出力される。

　（６－４－２：動作（図３０～図３４））
　次に、図３０～図３４を参照しながら、演算回路の動作について説明する。なお、図中において配線を鎖線で示した部分は、該当するサイクルにおいて信号が流れないように制御されていることを表している。一方、図中において配線を実線で示した部分は、該当するサイクルにおいて信号が流れるように制御されていることを表している。

　図３０に示すように、最初のサイクル（Ｐ１）で、シフトレジスタ２０１を構成するレジスタＲ_１，…，Ｒ_ｎに入力ｘ∈｛０，１｝^ｎが格納される。次のサイクル（Ｐ２）では、レジスタＲ_１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ２０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ２０１から出力される。さらに、レジスタＲ_２，…，Ｒ_ｎにおいて格納値のローテーションが実施される。

　具体的には、レジスタＲ_２に格納されていた１ビットの値ｘ_２がレジスタＲ_ｎに移動し、レジスタＲ_３，…，Ｒ_ｎに格納されていた１ビットの値ｘ_３，…，ｘ_ｎがレジスタＲ_２，…，Ｒ_ｎ－１に移動する。その結果、レジスタＲ_１，…，Ｒ_ｎには、それぞれ、１ビットの値ｘ_１，ｘ_３，…，ｘ_ｎ，ｘ_２が格納された状態になる。なお、シフトレジスタ３０１から出力された２つの値ｙ_１，ｙ_２は、それぞれＡＮＤ回路３０２及びマスク回路３０３に入力され、ＡＮＤ回路３０４、ＸＯＲ回路３０５を経てレジスタ３０５に格納される（図２９を参照）。

　次のサイクル（Ｐ３）では、図３１に示すように、レジスタＲ１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ３０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ３０１から出力される。さらに、レジスタＲ_２，…，Ｒ_ｎにおいて格納値のローテーションが実施される。同様にして、以降のサイクル（Ｐ４）では、ｙ_１，ｙ_２の出力及び格納値のローテーションが繰り返し実施される。

　但し、図３２に示すように、レジスタＲ_１，…，Ｒ_ｎに、それぞれ、１ビットの値ｘ_１，ｘ_２，…，ｘ_ｎが格納された状態になった段階で、レジスタＲ_１，…，Ｒ_ｎにおいて格納値のローテーションが実施される（Ｐ５）。このとき、シフトレジスタ３０１は、レジスタＲ_１，Ｒ_２から格納値を出力する。このタイミングで出力される格納値ｘ_１，ｘ_２の組は既に出力されているが、マスク値を１に設定することで値ｘ_２（ｙ_２）がマスクされ、ＡＮＤ回路３０２には、値ｘ_１（ｙ_１）と値「１」とが入力されることになる。その結果、レジスタＲ_１，…，Ｒ_ｎには、それぞれ、１ビットの値ｘ_２，ｘ_３，…，ｘ_ｎ，ｘ_１が格納された状態になる（Ｐ６）。

　以降のサイクルでは、再びレジスタＲ_１の格納値が維持されつつ、その格納値が出力値ｙ_１としてシフトレジスタ３０１から出力される。また、レジスタＲ_２の格納値が出力値ｙ_２としてシフトレジスタ３０１から出力される。但し、前述した動きとは異なり、変数ｘ_１に関する項の生成処理は終了しているため、ｘ_１が格納されているＲ_ｎの格納値も維持する。そのもとで、レジスタＲ_２，…，Ｒ_ｎ－１において格納値のローテーションが実施される。その後、変数ｘ_２に関わる項の生成処理が終了したら、レジスタＲ_１，…，Ｒ_ｎにおける格納値のローテーションを実施する。このように、シフトレジスタ３０１は、レジスタＲ_１，…，Ｒ_ｎにおける格納値のローテーションと、ｉ＝３，…，ｎに対してレジスタＲ_２，…，Ｒ_ｉに関するローテーションを実行し、出力される２つの値ｙ_１，ｙ_２の組み合わせを制御する。

　先に説明したシフトレジスタ２０１と、シフトレジスタ３０１との違いは、レジスタＲ_１，…，Ｒ_ｎの格納値を整列させるためだけにサイクルを消費する期間がない点である。この点について、具体例を参照しながら、より詳細に見ていきたい。

　一例として、入力ｘが４ビットの場合（ｎ＝４の場合）について、各サイクルにおける出力値ｙ_１，ｙ_２、マスク値ｍａｓｋ、及びレジスタＲ_１，…，Ｒ_４の格納値を図３３に纏めた。図３３を参照しながら、演算回路の動作について具体的に説明する。

　まず、最初のサイクル（サイクル数１）において、レジスタＲ_１，…，Ｒ_４に入力ｘ_１，…，ｘ_４が格納される。次いで、レジスタＲ_１，Ｒ_２から格納値ｘ_１，ｘ_２が出力値ｙ_１，ｙ_２として出力される。これら出力値ｙ_１，ｙ_２は、それぞれＡＮＤ回路３０２、マスク回路３０３に入力される。また、このサイクルにおいてマスク値がｍａｓｋ＝０であるから、ＡＮＤ回路３０２により論理和ｙ＝ｘ_１ｘ_２が算出される。そして、論理和ｙがＡＮＤ回路３０４に入力される。次いで、ＡＮＤ回路３０４により係数ａ_１２との間で論理積が計算され、レジスタ３０６に格納される。

　次のサイクル（サイクル数２）では、レジスタＲ_２，…，Ｒ_４において格納値のローテーションが実施され、それぞれ格納値がｘ_３，ｘ_４，ｘ_２に更新される。そのため、シフトレジスタ３０１の出力値ｙ_１，ｙ_２は、それぞれｘ_１，ｘ_３となる。同様に、サイクル数３において、レジスタＲ_２，…，Ｒ_４における格納値のローテーションが実施され、シフトレジスタ３０１から値ｙ_１，ｙ_２が出力される。このとき、シフトレジスタ３０１の出力値ｙ_１，ｙ_２は、それぞれｘ_１，ｘ_４となる。

　次のサイクル（サイクル数４）では、レジスタＲ_１，…，Ｒ_４の格納値がそれぞれｘ_１，…，ｘ_４となっており、そのままレジスタＲ_１，Ｒ_２から格納値を出力すると、既に出力した値ｘ_１，ｘ_２が出力されてしまう。そこで、シフトレジスタ３０１は、マスク値をｍａｓｋ＝１に設定し、ＡＮＤ回路３０２に値ｙ_１と値「１」とが入力されるようにし、レジスタＲ_１，…，Ｒ_４においてローテーションを実施する。このとき、ＡＮＤ回路３０２の出力ｙは、ｙ＝ｘ_１となる。また、レジスタＲ_１，…，Ｒ_４の格納値は、サイクル数４＋１の欄に記載した通り、それぞれｘ_２，ｘ_３，ｘ_４，ｘ_１という順序になる。

　次いで、サイクル数４＋１、４＋２に記載した通り、シフトレジスタ３０１は、マスク値をｍａｓｋ＝０に戻し、レジスタＲ_２，…，Ｒ_３において格納値のローテーションを実施しつつ、レジスタＲ_１，Ｒ_２から格納値を出力する。次いで、サイクル数４の場合と同様、シフトレジスタ３０１は、マスク値をｍａｓｋ＝１に設定し、レジスタＲ_１，Ｒ_２から値を出力しつつ、レジスタＲ_１，…，Ｒ_４の格納値を整列させるためにレジスタＲ_１，…，Ｒ_４の格納値をローテーションする（サイクル数４＋３）。

　以降、シフトレジスタ３０１は、マスク値ｍａｓｋの設定を切り替えつつ、レジスタＲ_１，…，Ｒ_４の格納値の保持と、レジスタＲ_１，…，Ｒ_４のローテーションとを実施して格納値の全組み合わせについて値を出力する。シフトレジスタ３０１から出力された値ｙ_１，ｙ_２は、マスク回路３０３、ＡＮＤ回路３０２、３０４、ＸＯＲ回路３０５、及びレジスタ３０６により都度足し込まれる。そして、値ｘ_１，…，ｘ_４から選択可能な全ての組み合わせについて足し込みが完了した場合に、レジスタ３０６の格納値が演算結果ｚとして演算回路から出力される。

　以上説明したように、シフトレジスタを利用することにより、二次多変数多項式ｆ（ｘ）の演算回路を構築することができる。また、複数のフィードバックループを導入することで、上記のように格納値の順序を整列させるために、値を出力せずにローテーションを実施するための無駄なサイクルが必要なくなる。しかしながら、図３４に示すように、シフトレジスタ３０１を構成する多ビット入力のセレクタＳ_１，…，Ｓ_ｎを制御する制御装置３１０の構成が複雑になる。その結果、回路規模の増大及びクリティカルパスの増加が生じてしまう。

　さらに、ここで例示した演算回路を用いて並列に実装することで、複数の入力について二次多変数多項式ｆ（ｘ）を計算する演算回路を構築する場合、ＡＮＤ回路及びＸＯＲ回路を複数組用意する必要が生じる。これらの点について改善の余地がある。そこで、本件発明者は、上述した演算回路が抱える様々な課題について鋭意検討し、回路規模の増大を抑制しつつ、クリティカルパスを短くして高速動作が可能な演算回路の構成に想到した。以下、当該構成に係る実施例（実施例＃１及び＃２）について述べる。

　［６－５：実施例＃１（多変数多項式Ｆの計算）］
　まず、二次多変数多項式Ｆ（ｘ）の計算（Ｆ（ｘ）を構成するｆ（ｘ）の計算）に利用可能な演算回路の構成（実施例＃１）について述べる。実施例＃１に係る演算回路は、２つの入力ｘ_１，ｘ_２について並列して二次多変数多項式Ｆ（ｘ_１），Ｆ（ｘ_２）の計算（ｆ（ｘ_１），ｆ（ｘ_２）の計算）を実行できるように設計されている。

　（６－５－１：回路構成（図３５、図３６））
　図３５及び図３６に示すように、実施例＃１に係る演算回路は、シフトレジスタ４０１と、ＡＮＤ回路４０２、４０３と、セレクタ４０４と、ＡＮＤ回路４０５と、ＸＯＲ回路４０６と、セレクタ４０７、４０９と、レジスタ４０８、４１０と、セレクタ４１１とにより構成される。また、シフトレジスタ４０１は、第１のシフトレジスタ４０１１、及び第２のシフトレジスタ４０１２を含む。

　なお、第１のシフトレジスタ４０１１の構成は、図２１に示したシフトレジスタ２０１の構成と実質的に同じである。また、第２のシフトレジスタ４０１２の構成は、値を出力するレジスタの組み合わせが異なる以外、図２１に示したシフトレジスタ２０１の構成と実質的に同じである。但し、第１のシフトレジスタ４０１１と第２のシフトレジスタ４０１２とは同じサイクルで連携して動作する。

　図３５に示すように、第１のシフトレジスタ４０１１は、レジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}、及びセレクタＳ_１，１，…，Ｓ_{１，ｎ＋１}により構成される。また、第１のシフトレジスタ４０１１は、レジスタＲ_１，１及びＲ_１，２から格納値を出力するように構成されている。同様に、第２のシフトレジスタ４０１２は、レジスタＲ_２，１，…，Ｒ_{２，ｎ＋１}、及びセレクタＳ_２，１，…，Ｓ_{２，ｎ＋１}により構成される。但し、第２のシフトレジスタ４０１２は、レジスタＲ_２，１及びＲ_{２，ｎ＋１}から格納値を出力するように構成されている。

　第１のシフトレジスタ４０１１から出力される値ｙ_１，１，ｙ_１，２は、図３６に示すように、ＡＮＤ回路４０２に入力される。同様に、第２のシフトレジスタ４０１２から出力される値ｙ_２，１，ｙ_２，２は、ＡＮＤ回路４０３に入力される。また、ＡＮＤ回路４０２は、入力された値ｙ_１，１，ｙ_１，２の論理積を算出し、算出結果をセレクタ４０４に入力する。同様に、ＡＮＤ回路４０３は、入力された値ｙ_２，１，ｙ_２，２の論理積を算出し、算出結果をセレクタ４０４に入力する。セレクタ４０４は、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路４０５に入力する。

　ＡＮＤ回路４０５には、セレクタ４０４の出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路４０５は、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路４０６に入力する。ＸＯＲ回路４０６には、ＡＮＤ回路４０５の出力値と、後述するセレクタ４１１の出力値とが入力される。ＸＯＲ回路４０６は、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ４０７、４０９に入力する。なお、この演算結果は、セレクタ４０７、４０９の状態に応じて、レジスタ４０８又はレジスタ４１０に格納される。また、レジスタ４０８、４１０の格納値は、セレクタ４１１の状態に応じて、いずれか一方がＸＯＲ回路４０６に入力されるか、演算結果ｚとして演算回路から出力される。

　以上、実施例＃１に係る演算回路の構成について説明した。

　（６－５－２：動作（図３７～図４２））
　次に、図３７～図４２を参照しながら、実施例＃１に係る演算回路の動作について説明する。なお、図中において配線を鎖線で示した部分は、該当するサイクルにおいて実質的に信号が流れないように制御されていることを表している。一方、図中において配線を実線で示した部分は、該当するサイクルにおいて信号が流れるように制御されていることを表している。このような信号経路の制御は、セレクタＳ_１，１，…，Ｓ_１，ｎ，Ｓ_２，１，…，Ｓ_{２，ｎ＋１}、及び、セレクタ４０４、セレクタ４０７、セレクタ４０９、セレクタ４１１を制御することで実現される。

　最初のサイクル（Ｐ１）では、図３７に示すように、レジスタＲ_１，１，…，Ｒ_１，ｎに入力値ｘ_１，１，…，ｘ_１，ｎが格納される。このとき、レジスタＲ_{１，ｎ＋１}には値「１」が格納される。ここで格納された値「１」は、二次多変数多項式ｆ（ｘ_１）に含まれる一次の項を計算するために利用される。また、レジスタＲ_２，１，…，Ｒ_２，ｎに入力値ｘ_２，ｎ，…，ｘ_２，１（逆順である点に注意）が格納される。このとき、レジスタＲ_{２，ｎ＋１}には値「１」が格納される。ここで格納された値「１」は、二次多変数多項式ｆ（ｘ_２）に含まれる一次の項を計算するために利用される。

　次のサイクル（Ｐ２）では、図３８に示すように、レジスタＲ_１，１，Ｒ_１，２に格納されている格納値ｘ_１，１，ｘ_１，２が出力値ｙ_１，１，ｙ_１，２として出力される。また、レジスタＲ_１，１の格納値は保持され、レジスタＲ_１，２，…，Ｒ_{１，ｎ＋１}の格納値はローテーションされる。具体的には、レジスタＲ_１，２に格納されていた１ビットの値ｘ_１，２がレジスタＲ_{１，ｎ＋１}に移動し、レジスタＲ_１，３，…，Ｒ_{１，ｎ＋１}に格納されていた１ビットの値ｘ_１，３，…，ｘ_１，ｎ，１がレジスタＲ_１，２，…，Ｒ_１，ｎに移動する。その結果、レジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}には、それぞれ、１ビットの値ｘ_１，１，ｘ_１，３，…，ｘ_１，ｎ，１，ｘ_１，２が格納された状態になる。

　また、同じサイクル（Ｐ２）において、レジスタＲ_２，１の格納値が保持され、レジスタＲ_２，２，…，Ｒ_{２，ｎ＋１}の格納値がローテーションされる。具体的には、レジスタＲ_２，２に格納されていた１ビットの値ｘ_{２，ｎ－１}がレジスタＲ_{２，ｎ＋１}に移動し、レジスタＲ_２，３，…，Ｒ_{２，ｎ＋１}に格納されていた１ビットの値ｘ_{２，ｎ－２}，…，ｘ_２，１，１がレジスタＲ_２，２，…，Ｒ_２，ｎに移動する。その結果、レジスタＲ_２，１，…，Ｒ_{２，ｎ＋１}には、それぞれ、１ビットの値ｘ_２，ｎ，ｘ_{２，ｎ－２}，…，ｘ_２，１，１，ｘ_{２，ｎ－１}が格納された状態になる。このとき、レジスタＲ_２，１，Ｒ_{２，ｎ＋１}の格納値はシフトレジスタ４０１から出力されない（実際には、セレクタ４０４によりＡＮＤ回路４０２の出力値が選択される。）。

　シフトレジスタ４０１から出力された値ｙ_１，１，ｙ_１，２は、図３９に示すように、ＡＮＤ回路４０２に入力される。次いで、ＡＮＤ回路４０２から出力された論理積の値は、セレクタ４０４に入力される。このサイクルにおいて、セレクタ４０４は、ＡＮＤ回路４０２の出力値を選択するように制御される。そのため、セレクタ４０４に入力された値は、セレクタ４０４の出力値ｙとしてＡＮＤ回路４０５に入力され係数との乗算が行われる。そのＡＮＤ回路４０５の出力がＸＯＲ回路４０６に入力される。但し、このサイクルではレジスタ４０８、４１０に値が格納されていないため、ＸＯＲ回路４０６に入力された値は、セレクタ４０７、４０９に入力される。

　但し、このサイクルにおいて、セレクタ４０９は、ＸＯＲ回路４０６の出力と接続する経路を遮断し、レジスタ４１０の出力と接続する経路を接続している。そのため、ＸＯＲ回路４０６の出力値は、ＸＯＲ回路４０６の出力と接続されたセレクタ４０７を介してレジスタ４０８に格納される。このように、セレクタ４０４の入力がＡＮＤ回路４０２の出力と接続され、第１のシフトレジスタ４０１１から格納値が出力されるサイクルにおいては、ＸＯＲ回路４０６の出力とセレクタ４０７の入力とが接続され、セレクタ４０９の入力とレジスタ４１０の出力とが接続された状態に制御される。

　また、この状態において、セレクタ４１１は、レジスタ４０８の出力とＸＯＲ回路４０６の入力とを接続した状態に維持される。この状態を維持しつつ、シフトレジスタ４０１は、レジスタＲ_１，２，…，Ｒ_{１，ｎ＋１}及びレジスタＲ_２，２，…，Ｒ_{２，ｎ＋１}の格納値をローテーションしながら、レジスタＲ_１，１，Ｒ_１，２の格納値を出力する。そして、シフトレジスタ４０１から値が出力される度に、ＡＮＤ回路４０２、セレクタ４０４、ＸＯＲ回路４０６、セレクタ４０７を介して中間値が足し込まれ、レジスタ４０８の格納値が更新される。

　但し、図４０に示すように、レジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}に、それぞれ、１ビットの値ｘ_１，１，ｘ_１，２，…，ｘ_１，ｎ，１が格納された状態になった段階（Ｐ３）で、レジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}において格納値のローテーションが実施される（Ｐ３）。その結果、次のサイクル時には、レジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}には、それぞれ、１ビットの値ｘ_１，２，ｘ_１，３，…，ｘ_１，ｎ，１，ｘ_１，１が格納された状態になる。また、図４０の状態（Ｐ３）で、レジスタＲ_２，１，…，Ｒ_{２，ｎ＋１}において格納値のローテーションが実施される。さらに、この状態時（Ｐ３）にレジスタＲ_２，１，Ｒ_{２，ｎ＋１}から格納値が出力される。

　このとき、図４１に示すように、セレクタ４０４の入力は、ＡＮＤ回路４０３の出力と接続された状態に制御される。また、セレクタ４０７の入力は、レジスタ４０８の出力と接続された状態に制御される。さらに、セレクタ４０９の入力は、ＸＯＲ回路４０６の出力と接続された状態に制御される。そして、セレクタ４１１の入力は、レジスタ４１０の出力と接続された状態に制御される。その結果、ＡＮＤ回路４０３の出力値は、セレクタ４０４を介してＡＮＤ回路４０５に入力される。さらに、ＡＮＤ回路４０５の出力値は、ＸＯＲ回路４０６、セレクタ４０９を介してレジスタ４１０に格納される。

　このように、実施例＃１に係る演算回路は、第１のシフトレジスタ４０１１が格納値を整列するためにレジスタＲ_１，２，…，Ｒ_{１，ｎ＋１}についてのローテーション、又はレジスタＲ_１，１，…，Ｒ_{１，ｎ＋１}についてローテーションを実施するタイミングで、第２のシフトレジスタ４０１２の出力値を処理する。第１のシフトレジスタ４０１１において格納値の整列が完了すると、セレクタ４０４、４０７、４０９、４１１が制御され、信号経路が元の状態に戻される。そして、レジスタＲ_１，２，…，Ｒ_{１，ｎ＋１}の格納値をローテーションしつつレジスタＲ_１，１，Ｒ_１，２の格納値を出力する処理が実施される。

　ここで、具体例を参照しながら、実施例＃１に係る演算回路の動作について説明を補足する。入力ｘが４ビットの場合（ｎ＝４の場合）について、各サイクルにおける出力値ｙ_１，１，ｙ_１，２、ｙ_２，１，ｙ_２，２、及びレジスタＲ_１，１，…，Ｒ_１，５，Ｒ_２，１，…，Ｒ_２，５の格納値を図４２に纏めた。図４２を参照しながら、演算回路の動作について説明を進める。

　まず、最初のサイクル（サイクル数１）において、レジスタＲ_１，１，…，Ｒ_１，５に入力ｘ_１，１，…，ｘ_１，４，１が格納される。また、レジスタＲ_２，１，…，Ｒ_２，５に入力ｘ_２，４，…，ｘ_２，１，１が格納される。次いで、レジスタＲ_１，１，Ｒ_１，２から格納値ｘ_１，１，ｘ_１，２が出力値ｙ_１，１，ｙ_１，２として出力される。また、レジスタＲ_２，１，Ｒ_２，５から格納値ｘ_２，１，１が出力値ｙ_２，１，ｙ_２，２として出力される。但し、サイクル数１～４ではセレクタ４０４によりＡＮＤ回路４０２の出力が採択される。なお、セレクタ４０４の後段の処理については詳細を省略する。

　次のサイクル（サイクル数２）では、レジスタＲ_１，２，…，Ｒ_１，５において格納値のローテーションが実施され、それぞれ格納値がｘ_１，３，ｘ_１，４，１，ｘ_１，２に更新される。そのため、シフトレジスタ４０１の出力値ｙ_１，１，ｙ_１，２は、それぞれｘ_１，１，ｘ_１，３となる。さらに、レジスタＲ_２，２，…，Ｒ_２，５において格納値のローテーションが実施され、それぞれ格納値がｘ_２，２，ｘ_２，１，１，ｘ_２，３に更新される。同様に、サイクル数３及び４において、レジスタＲ_１，２，…，Ｒ_１，５及びＲ_２，２，…，Ｒ_２，５における格納値のローテーションが実施され、サイクル毎にシフトレジスタ４０１から値ｙ_１，１，ｙ_１，２が出力される。

　次のサイクル（サイクル数５）では、レジスタＲ_１，１，…，Ｒ_１，５の格納値がそれぞれｘ_１，１，…，ｘ_１，４，１となっており、そのままレジスタＲ_１，１，Ｒ_１，２から格納値を出力すると、既に出力した値ｘ_１，１，ｘ_１，２が出力されてしまう。そこで、シフトレジスタ４０１は、レジスタＲ_１，１，Ｒ_１，２から値を出力せずに、レジスタＲ_１，１，…，Ｒ_１，５においてローテーションを実施する。さらに、シフトレジスタ４０１は、レジスタＲ_２，１，Ｒ_２，５から格納値を出力する。但し、サイクル数５ではセレクタ４０４によりＡＮＤ回路４０３の出力が採択される。

　ローテーションを実施すると、レジスタＲ_１，１，…，Ｒ_１，５の格納値は、サイクル数５＋１の欄に記載した通り、それぞれｘ_１，２，ｘ_１，３，ｘ_１，４，１，ｘ_１，１という順序になる。同時に、レジスタＲ_２，１，…，Ｒ_２，５の格納値は、それぞれｘ_２，３，ｘ_２，２，ｘ_２，１，１，ｘ_２，４という順序になる。なお、サイクル数５＋１～５＋３ではセレクタ４０４によりＡＮＤ回路４０２の出力が再び採択される。

　次いで、サイクル数５＋１～５＋４に記載した通り、第１のシフトレジスタ４０１１は、レジスタＲ_１，２，…，Ｒ_１，５において格納値のローテーションを実施する。また、サイクル数５＋１～５＋３では、レジスタＲ_１，１，Ｒ_１，２から格納値を出力する。次いで、サイクル数２×５では、サイクル数５の場合と同様、シフトレジスタ４０１は、レジスタＲ_１，１，Ｒ_１，２から値を出力せずに、レジスタＲ_１，１，…，Ｒ_１，５の格納値を整列させるためにレジスタＲ_１，１，…，Ｒ_１，５の格納値をローテーションする。

　一方，第２のシフトレジスタ４０１２は、サイクル数５＋１～５＋４においては、レジスタＲ_２，２，…，Ｒ_２，５の格納値のローテーションを実施する。また、サイクル数５＋４では、レジスタＲ_２，１，Ｒ_２，５から格納値を出力する。次いで，サイクル数２×５では、レジスタＲ_２，１，…，Ｒ_２，５の格納値をローテーションしつつ、レジスタＲ_２，１，Ｒ_２，５から格納値を出力する。但し、サイクル数５＋４及びサイクル数２×５のタイミングではセレクタ４０４によりＡＮＤ回路４０３の出力が採択される。

　以降、シフトレジスタ４０１は、レジスタＲ_１，１，Ｒ_１，２からの出力を伴うローテーションと、レジスタＲ_２，１，Ｒ_２，５からの出力を伴うローテーションとを実施して格納値の全組み合わせについて値を出力する。そして、値ｘ_１，１，…，ｘ_１，４，１から選択可能な全ての組み合わせ、及び、値ｘ_２，４，…，ｘ_２，１，１から選択可能な全ての組み合わせについて足し込みが完了した場合に、それぞれレジスタ４０８、４１０から格納値が演算結果ｚとして出力される。

　ここで、セレクタ４０４、４０７、４０９、４１１の制御方法について整理しておきたい。なお、セレクタ４０４、４０７、４０９、４１１の制御は、演算回路に設けられた制御部（非図示）又は演算回路の外部に設けられた制御装置（非図示）により行われる。

　第１のシフトレジスタ４０１１から値を出力するサイクルにおいて、セレクタ４０４の入力は、ＡＮＤ回路４０２の出力と接続される。また、セレクタ４０７の入力は、ＸＯＲ回路４０６の出力と接続される。さらに、セレクタ４０９の入力は、レジスタ４１０の出力と接続される。そして、セレクタ４１１の入力は、レジスタ４０８の出力と接続される。

　一方、第２のシフトレジスタ４０１２から値を出力するサイクルにおいて、セレクタ４０４の入力は、ＡＮＤ回路４０３の出力と接続される。また、セレクタ４０９の入力は、ＸＯＲ回路４０６の出力と接続される。さらに、セレクタ４０７の入力は、レジスタ４０８の出力と接続される。そして、セレクタ４１１の入力は、レジスタ４１０の出力と接続される。

　以上、シフトレジスタを利用した演算回路の動作について説明した。なお、係数を読み出す順序について言及しなかったが、ＡＮＤ回路４０２の出力について演算する場合には、係数をａ_１２，ａ_１３，ａ_１４，ｂ_１，…の順序で読み出す。一方、ＡＮＤ回路４０３の出力について演算する場合には、逆の順序で読み出す（例えば、図１５に示した係数リストの最終アドレスから読み出す。）。なお、図４２では、便宜上、ＡＮＤ回路４０３の出力に対して演算する係数にプライムを付けて表記したが、ＡＮＤ回路４０２の出力に対して演算する係数と同じものを利用してもよい。また、このような読み出し方法を採用することによる演算速度の低下はないと考えられる。

　以上説明したように、実施例＃１に係る演算回路は、シフトレジスタを利用しているため、多ビット入力のセレクタを含まない。また、当該演算回路は、シフトレジスタのフィードバックループを２種類しか含まない。さらに、当該演算回路は、一方のシフトレジスタがレジスタの格納値を整列させるタイミングで、他方のシフトレジスタが格納値を出力するため、格納値の整列だけでサイクルを浪費してしまうことがない。また、２つのシフトレジスタにより、係数を乗算するためのＡＮＤ回路と、足し込みのためのＸＯＲ回路とが共有されている。その結果、クリティカルパスの増加及び回路規模の増大が抑制され、小型で演算速度の速い演算回路が実現される。

　［６－６：実施例＃２（多変数多項式Ｆ及びＧの計算）］
　次に、二次多変数多項式Ｆ（ｘ_１）及びＧ（ｘ_２，ｘ_３）の計算に利用可能な演算回路の構成（実施例＃２）について述べる。実施例＃２に係る演算回路は、３つの入力ｘ_１，ｘ_２，ｘ_３について並列して二次多変数多項式Ｆ（ｘ_１），Ｇ（ｘ_２，ｘ_３）の計算（ｆ（ｘ_１），ｇ（ｘ_２，ｘ_３）の計算）を実行できるように設計されている。

　（６－６－１：回路構成（図４３、図４４））
　図４３及び図４４に示すように、実施例＃２に係る演算回路は、シフトレジスタ５０１と、ＡＮＤ回路５０２、５０３、５０４と、ＸＯＲ回路５０５と、セレクタ５０６と、ＡＮＤ回路５０７と、ＸＯＲ回路５０８と、セレクタ５０９、５１１と、レジスタ５１０、５１２と、セレクタ５１３とにより構成される。また、シフトレジスタ５０１は、第１のシフトレジスタ５０１１、第２のシフトレジスタ５０１２、及び第３のシフトレジスタ５０１３を含む。

　なお、第１のシフトレジスタ５０１１の構成は、上述した実施例＃１に係る第１のシフトレジスタ４０１１の構成と実質的に同じである。また、第２のシフトレジスタ５０１２、及び第３のシフトレジスタ５０１３の構成は、上述した実施例＃１に係る第２のシフトレジスタ４０１２の構成と実質的に同じである。従って、詳細な構成については説明を省略する。なお、第１のシフトレジスタ５０１１、第２のシフトレジスタ５０１２、及び第３のシフトレジスタ５０１３は、同じサイクルで連携して動作する。

　実施例＃１に係る演算回路と実施例＃２に係る演算回路との間の主な相違点は、上述したシフトレジスタ５０１が含むシフトレジスタの数、及びＸＯＲ回路５０５の構成にある。そこで、この相違点に注目して実施例＃２に係る演算回路の構成を説明する。当該相違点は、二次多変数多項式ｇ（ｘ_２，ｘ_３）を計算するために追加されたものである。共に演算すべき二次多変数多項式ｆ（ｘ_１）を下記の式（１４）のように表現した場合、二次多変数多項式ｇ（ｘ_２，ｘ_３）は、下記の式（１５）のように表現される。

　そこで、ｘ_２ｉｘ_３ｊを算出するために第２のシフトレジスタ５０１２、第３のシフトレジスタ５０１３及びＡＮＤ回路５０３を設け、ｘ_２ｊｘ_３ｉを算出するための第２のシフトレジスタ、第３のシフトレジスタ５０１３及びＡＮＤ回路５０４を設け、これら算出結果を合算するためにＸＯＲ回路５０５を設けた。従って、第２のシフトレジスタ５０１２及び第３のシフトレジスタ５０１３は、同じサイクルでレジスタの格納値を出力する。また、そのサイクルでＸＯＲ回路５０５の出力がセレクタ５０６を介してＡＮＤ回路５０７に入力される。なお、ＡＮＤ回路５０７の後段における各回路の構成は構成例＃２に係る演算回路と実質的に同じであるため、説明を省略する。

　以上、実施例＃２に係る演算回路の構成について説明した。実施例＃２に係る演算回路は、実施例＃１に係る演算回路における第２のシフトレジスタ４０１２を、第２のシフトレジスタ５０１２及び第３のシフトレジスタ５０１３で置き換え、ＡＮＤ回路４０３を、ＡＮＤ回路５０３、５０４及びＸＯＲ回路５０５のセットで置き換えたものと考えると理解しやすいだろう。但し、第２のシフトレジスタ５０１２のレジスタＲ_{２，ｎ＋１}及び第３のシフトレジスタ５０１３のレジスタＲ_{３，ｎ＋１}に入力される値が「０」となっている点に注意されたい。この違いは、二次多変数多項式ｇ（ｘ_２，ｘ_３）に一次の項を含まないことに起因している。

　（６－６－２：動作（図４５～図５０））
　次に、図４５～図５０を参照しながら、実施例＃２に係る演算回路の動作について説明する。但し、実施例＃２に係る演算回路の動作は、実施例＃１に係る演算回路の動作と同様であるため、詳細な説明を省略し、相違点に注目して説明を進める。

　なお、図中において配線を鎖線で示した部分は、該当するサイクルにおいて実質的に信号が流れないように制御されていることを表している。一方、図中において配線を実線で示した部分は、該当するサイクルにおいて信号が流れるように制御されていることを表している。このような信号経路の制御は、セレクタＳ_１，１，…，Ｓ_１，ｎ，Ｓ_２，１，…，Ｓ_{２，ｎ＋１}，Ｓ_３，１，…，Ｓ_{３，ｎ＋１}、及び、セレクタ５０６、セレクタ５０９、セレクタ５１１、セレクタ５１３を制御することで実現される。

　第１のシフトレジスタ５０１１及び第２のシフトレジスタ５０１２の動作に注目すると、図４５、図４６、及び図４８に示すように、実施例＃１に係る第１のシフトレジスタ４０１１及び第２のシフトレジスタ４０１２の動作と実質的に同じであることが分かる。また、第３のシフトレジスタ５０１３の動作は、第２のシフトレジスタ５０１２の動作と同じである。また、第１のシフトレジスタ５０１１が値を出力するサイクルでは、図４７に示すように、セレクタ５０６の入力がＡＮＤ回路５０２の出力と接続されるため、実施例＃１に係る演算回路の動作と同じになる。

　一方、第２のシフトレジスタ５０１２及び第３のシフトレジスタ５０１３から値が出力されるサイクルでは、セレクタ５０６の入力がＸＯＲ回路５０５の出力と接続される。そのため、第２のシフトレジスタ５０１２及び第３のシフトレジスタ５０１３の出力値がそれぞれＡＮＤ回路５０３、５０４に入力され、ＡＮＤ回路５０３、５０４の出力値がＸＯＲ回路５０５に入力され、ＸＯＲ回路５０５の出力値がセレクタ５０６を介してＡＮＤ回路５０７に入力される。なお、ＡＮＤ回路５０７の後段に位置する回路の動作は、実施例＃１に係る演算回路と実質的に同じである。

　ｎ＝４の場合について、具体的にシフトレジスタ５０１を構成する各レジスタの格納値、各シフトレジスタからの出力値、及びＡＮＤ回路５０７において計算される中間値の構成を図５０に示した。なお、記載方法は図４２と同じである。図５０に示した具体例からも明らかなように、実施例＃２に係る演算回路は、上記の式（１４）に示した二次多変数多項式ｆ（ｘ_１）の各項と、上記の式（１５）に示した二次多変数多項式ｇ（ｘ_２，ｘ_３）の各項とを効率的に生成できている。このように、実施例＃２に係る演算回路を利用すると、先に説明した公開鍵認証方式及び電子署名方式の実装に必要な多変数多項式の演算を実現することが可能になる。

　以上、実施例＃２に係る演算回路の動作について説明した。

　以上、多変数多項式の求解問題に安全性の根拠を置く公開鍵認証方式及び電子署名方式の実装に利用可能な演算回路の構成について説明した。特に、実施例＃１及び＃２に係る演算回路を適用することで、回路規模の低減及び処理速度の向上を果たすことができる。

　［６－７：実施例＃３（多変数多項式Ｆの計算のパイプライン化）］
　上述してきた演算回路を用いることで、多変数多項式の求解問題に安全性の根拠を置く公開鍵認証方式及び電子署名方式の実装に際して回路規模の低減及び処理速度の向上を果たすことが可能になる。このような公開鍵認証方式及び電子署名方式においては、二次多項式ｆ（ｘ_１）、ｆ（ｘ_２）の演算を別々のｘ_１、ｘ_２に対して複数回（例えば１４０回）計算して、対話プロトコルの繰り返し回数を大きくすることで偽証が成功する確率は無視できる程度に小さくすることができる。

　二次多項式ｆ（ｘ_１）、ｆ（ｘ_２）の演算を複数回繰り返す際に、図３５、３６に示したような演算回路を複数個並列に配置することで、演算処理の高速化が可能である。図８３は、図３５に示した演算回路４０１を複数個並列に配置する例を示す説明図である。図８３に示したように、演算回路４０１を複数個並列に配置すると、二次多項式ｆ（ｘ_１）、ｆ（ｘ_２）の複数回の演算処理が高速化できる。

　しかし、二次多項式の演算処理を実行する演算回路を複数個並列に配置させると、演算回路が、図１５に示したような係数が格納される記録メモリに同時にアクセスする必要がある。また演算回路を複数個並列に配置させると、記録メモリに近い演算回路や、記録メモリから遠い演算回路が存在する演算回路の配置上の制約により、記録メモリへの同時アクセスと共に、最大動作周波数の低下を引き起こす要因となる。また、二次多項式の演算処理を実行する演算回路を複数個（Ｍ個）並列に配置させると、単純に回路規模が１つの演算回路のＭ倍になる。

　そこで、図１５に示したような係数が格納される記録メモリを分割しやすいデータ構造にすると共に、二次多項式の演算処理をパイプライン化することで、演算回路の配置上の制約を緩和して、最大動作周波数の低下を防ぐ技術について説明する。また、二次多項式の演算処理をパイプライン化することで、演算回路内のレジスタを削減することが可能となることについても説明する。

　（６－７－１：回路構成（図５１～図６１））
　まず、記録メモリのデータ構造を、分割しやすいデータ構造にする方法を説明する。図５１は、記録メモリのデータ構造例を示す説明図である。図５１は、後述する４ビット、４段パイプラインの演算回路が参照する記録メモリのデータ構造例を示す説明図である。二次多項式の演算処理を実行する演算回路を複数個並列に配置する際に、図５１のようなデータ構造にしておくことで、アドレスを二重に持つ必要がなくなる。なぜなら、演算処理の実行の際にアドレスをインクリメントしていき、最後のアドレスに達すると、今度はアドレスをデクリメントしていけばよいからである。

　次に、高速化を図るために、二次多項式の演算処理をパイプライン化する方法を説明する。

　図５２は、実施例＃３に係る演算回路の構成を示す説明図である。図５２に示した演算回路は、入力ｘが４ビットの場合に二次多項式を演算して出力するものである。図５２に示したように、実施例＃３に係る演算回路は、演算回路６００ａ、６００ｂ、６００ｃ、６００ｄと、係数が格納されるＲＯＭ６９０と、を含んで構成される。そして、ＲＯＭ６９０は、２つの領域６９０ａ、６９０ｂに分割されている。

　演算回路６００ａ、６００ｂ、６００ｃ、６００ｄは、２つの入力ｘ_１，ｘ_２から二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を並列に生成する回路である。実施例＃１及び実施例＃２に係る演算回路は、１つの回路で、２つの入力ｘ_１，ｘ_２について並列して二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）の計算を実行できるように設計されていた。図５２に示した、実施例＃３に係る演算回路は、４つの演算回路６００ａ、６００ｂ、６００ｃ、６００ｄによるパイプライン処理によって、２つの入力ｘ_１，ｘ_２から二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を並列に生成するよう設計されている。

　パイプライン処理は、処理要素を直列に連結し、ある処理要素の出力が次の処理要素の入力となるような処理であり、パイプライン化された各処理要素は並列化されて処理を行なう。

　４つの演算回路６００ａ、６００ｂ、６００ｃ、６００ｄによるパイプライン処理によって、二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を効率的に生成するために、係数が格納されるＲＯＭ６９０は２つの領域６９０ａ、６９０ｂに分割されている。図５３は、ＲＯＭ６９０のデータ構造例を示す説明図であり、領域６９０ａ、６９０ｂに格納される係数の例を示す説明図である。

　そして、領域６９０ａに格納されている係数は演算回路６００ａ、６００ｄが、領域６９０ｂに格納されている係数は演算回路６００ｂ、６００ｃが、それぞれ参照する。このように、各演算回路によるＲＯＭ６９０へのアクセスを局地化することで、最大動作周波数の低下を防ぐことが可能になり、二次多項式の演算処理のさらなる高速化が図られる。

　図５４及び図５５は、演算回路６００ａの回路構成を示す説明図である。図５４及び図５５に示すように、演算回路６００ａは、シフトレジスタ６０１ａと、ＡＮＤ回路６０２ａ、６０３ａと、セレクタ６０４ａと、ＡＮＤ回路６０５ａと、ＸＯＲ回路６０６ａと、セレクタ６０７ａ、６０９ａと、レジスタ６０８ａ、６１０ａと、セレクタ６１１ａとにより構成される。また、シフトレジスタ６０１ａは、第１のシフトレジスタ６０１１ａ、及び第２のシフトレジスタ６０１２ａを含む。

　第１のシフトレジスタ６０１１ａ、及び第２のシフトレジスタ６０１２ａの構成は、値を出力するレジスタの組み合わせが異なる以外、図３５に示した第１のシフトレジスタ４０１１及び第２のシフトレジスタ４０１２の構成と実質的に同じである。但し、第１のシフトレジスタ６０１１ａと第２のシフトレジスタ６０１２ａとは同じサイクルで連携して動作する。

　図５４に示すように、第１のシフトレジスタ６０１１ａは、レジスタＲＡ_１，１，ＲＡ_１，２，ＲＡ_１，３，ＲＡ_１，４，ＲＡ_１，５、及びセレクタＳＡ_１，１，ＳＡ_１，２，ＳＡ_１，３，ＳＡ_１，４，ＳＡ_１，５により構成される。また、第１のシフトレジスタ６０１１ａは、レジスタＲＡ_１，１、ＲＡ_１，２、及びＲＡ_１，３から格納値を出力するように構成されている。同様に、第２のシフトレジスタ６０１２ａは、レジスタＲＡ_２，１，ＲＡ_２，２，ＲＡ_２，３，ＲＡ_２，４，ＲＡ_２，５、及びセレクタＳＡ_２，１，ＳＡ_２，２，ＳＡ_２，３，ＳＡ_２，４，ＳＡ_２，５により構成される。但し、第２のシフトレジスタ６０１２ａは、レジスタＲＡ_２，１、ＲＡ_２，２、ＲＡ_２，３、及びＲＡ_２，５から格納値を出力するように構成されている。

　第１のシフトレジスタ６０１１ａから出力される値ｙａ_１，１，ｙａ_１，２，ｙａ_１，３は、後段の演算回路６００ｂに入力される。また第１のシフトレジスタ６０１１ａから出力される値ｙａ_１，１，ｙａ_１，２は、図５５に示すように、ＡＮＤ回路６０２ａに入力される。同様に、第２のシフトレジスタ６０１２ａから出力される値ｙａ_２，１，ｙａ_２，２，ｙａ_２，３，ｙａ_２，５は、後段の演算回路６００ｂに入力される。また第２のシフトレジスタ６０１２ａから出力される値ｙａ_２，１，ｙａ_２，５は、ＡＮＤ回路６０３ａに入力される。また、ＡＮＤ回路６０２ａは、入力された値ｙａ_１，１，ｙａ_１，２の論理積を算出し、算出結果をセレクタ６０４ａに入力する。同様に、ＡＮＤ回路６０３ａは、入力された値ｙａ_２，１，ｙａ_２，５の論理積を算出し、算出結果をセレクタ６０４ａに入力する。セレクタ６０４ａは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路６０５ａに入力する。

　ＡＮＤ回路６０５ａには、セレクタ６０４ａの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路６０５ａは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路６０６ａに入力する。ＸＯＲ回路６０６ａには、ＡＮＤ回路６０５ａの出力値と、後述するセレクタ６１１ａの出力値とが入力される。ＸＯＲ回路６０６ａは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ６０７ａ、６０９ａに入力する。なお、この演算結果は、セレクタ６０７ａ、６０９ａの状態に応じて、レジスタ６０８ａ又はレジスタ６１０ａに格納される。また、レジスタ６０８ａ、６１０ａの格納値は、セレクタ６１１ａの状態に応じて、いずれか一方がＸＯＲ回路６０６ａに入力されるか、演算結果ｚａ_１，ｚａ_２として演算回路６００ａから出力される。レジスタ６０８ａ、６１０ａからの値ｚａ_１，ｚａ_２は、後段の演算回路６００ｂに入力される。

　なお、セレクタ６０４ａ、６１１ａは、後述するｓｅｌＡの値に応じて、入力された値のいずれか一方を選択して出力する。

　図５６及び図５７は、演算回路６００ｂの回路構成を示す説明図である。図５６及び図５７に示すように、演算回路６００ｂは、シフトレジスタ６０１ｂと、ＡＮＤ回路６０２ｂ、６０３ｂと、セレクタ６０４ｂと、ＡＮＤ回路６０５ｂと、ＸＯＲ回路６０６ｂと、セレクタ６０７ｂ、６０９ｂと、レジスタ６０８ｂ、６１０ｂと、セレクタ６１１ｂとにより構成される。また、シフトレジスタ６０１ｂは、第１のシフトレジスタ６０１１ｂ、及び第２のシフトレジスタ６０１２ｂを含む。

　第１のシフトレジスタ６０１１ｂの構成は、図５４に示した第１のシフトレジスタ６０１１ａの構成から、レジスタが１つ少なくなっている。第２のシフトレジスタ６０１２ｂの構成は、値を出力するレジスタの組み合わせが異なる以外、図５４に示した第２のシフトレジスタ６０１２ａの構成と実質的に同じである。但し、第１のシフトレジスタ６０１１ｂと第２のシフトレジスタ６０１２ｂとは同じサイクルで連携して動作する。

　図５６に示すように、第１のシフトレジスタ６０１１ｂは、レジスタＲＢ_１，１，ＲＢ_１，２，ＲＢ_１，３，ＲＢ_１，４、及びセレクタＳＢ_１，１，ＳＢ_１，２，ＳＢ_１，３，ＳＢ_１，４により構成される。また、第１のシフトレジスタ６０１１ｂは、レジスタＲＢ_１，１及びＲＢ_１，２から格納値を出力するように構成されている。同様に、第２のシフトレジスタ６０１２ｂは、レジスタＲＢ_２，１，ＲＢ_２，２，ＲＢ_２，３，ＲＢ_２，４，ＲＢ_２，５、及びセレクタＳＢ_２，１，ＳＢ_２，２，ＳＢ_２，３，ＳＢ_２，４，ＳＢ_２，５により構成される。但し、第２のシフトレジスタ６０１２ｂは、レジスタＲＢ_２，１、ＲＢ_２，２、ＲＢ_２，４、及びＲＢ_２，５から格納値を出力するように構成されている。

　第１のシフトレジスタ６０１１ｂから出力される値ｙｂ_１，１，ｙｂ_１，２は、後段の演算回路６００ｃに入力される。また第１のシフトレジスタ６０１１ｂから出力される値ｙｂ_１，１，ｙｂ_１，２は、図５７に示すように、ＡＮＤ回路６０２ｂに入力される。同様に、第２のシフトレジスタ６０１２ｂから出力される値ｙｂ_２，１，ｙｂ_２，２，ｙｂ_２，４，ｙｂ_２，５は、後段の演算回路６００ｃに入力される。また第２のシフトレジスタ６０１２ｂから出力される値ｙｂ_２，１，ｙｂ_２，５は、ＡＮＤ回路６０３ｂに入力される。また、ＡＮＤ回路６０２ｂは、入力された値ｙｂ_１，１，ｙｂ_１，２の論理積を算出し、算出結果をセレクタ６０４ｂに入力する。同様に、ＡＮＤ回路６０３ｂは、入力された値ｙｂ_２，１，ｙｂ_２，５の論理積を算出し、算出結果をセレクタ６０４ｂに入力する。セレクタ６０４ｂは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路６０５ｂに入力する。

　ＡＮＤ回路６０５ｂには、セレクタ６０４ｂの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路６０５ｂは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路６０６ｂに入力する。ＸＯＲ回路６０６ｂには、ＡＮＤ回路６０５ｂの出力値と、後述するセレクタ６１１ｂの出力値とが入力される。ＸＯＲ回路６０６ｂは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ６０７ｂ、６０９ａに入力する。なお、この演算結果は、セレクタ６０７ｂ、６０９ｂの状態に応じて、レジスタ６０８ｂ又はレジスタ６１０ｂに格納される。また、レジスタ６０８ｂ、６１０ｂの格納値は、セレクタ６１１ｂの状態に応じて、いずれか一方がＸＯＲ回路６０６ｂに入力されるか、演算結果ｚｂ_１，ｚｂ_２として演算回路から出力される。レジスタ６０８ｂ、６１０ｂからの値ｚｂ_１，ｚｂ_２は、後段の演算回路６００ｃに入力される。

　なお、セレクタ６０４ｂ、６１１ｂは、後述するｓｅｌＢの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ６０７ｂは、ＸＯＲ回路６０６ｂの出力、演算回路６００ａから供給される値ｚａ_１，またはレジスタ６０８ｂの出力のいずれかを選択して出力する。同様に、セレクタ６０９ｂは、ＸＯＲ回路６０６ｂの出力、演算回路６００ａから供給される値ｚａ_２，またはレジスタ６１０ｂの出力のいずれかを選択して出力する。

　図５８及び図５９は、演算回路６００ｃの回路構成を示す説明図である。図５８及び図５９に示すように、演算回路６００ｃは、シフトレジスタ６０１ｃと、ＡＮＤ回路６０２ｃ、６０３ｃと、セレクタ６０４ｃと、ＡＮＤ回路６０５ｃと、ＸＯＲ回路６０６ｃと、セレクタ６０７ｃ、６０９ｃと、レジスタ６０８ｃ、６１０ｃと、セレクタ６１１ｃとにより構成される。また、シフトレジスタ６０１ｃは、第１のシフトレジスタ６０１１ｃ、及び第２のシフトレジスタ６０１２ｃを含む。

　第１のシフトレジスタ６０１１ｃの構成は、図５６に示した第１のシフトレジスタ６０１１ｂの構成から、さらにレジスタが１つ少なくなっている。第２のシフトレジスタ６０１２ｃの構成は、値を出力するレジスタの組み合わせが異なる以外、図５４に示した第２のシフトレジスタ６０１２ａの構成と実質的に同じである。但し、第１のシフトレジスタ６０１１ｃと第２のシフトレジスタ６０１２ｃとは同じサイクルで連携して動作する。

　図５８に示すように、第１のシフトレジスタ６０１１ｃは、レジスタＲＣ_１，１，ＲＣ_１，２，ＲＣ_１，３、及びセレクタＳＣ_１，１，ＳＣ_１，２，ＳＣ_１，３により構成される。また、第１のシフトレジスタ６０１１ｃは、レジスタＲＣ_１，１及びＲＣ_１，２から格納値を出力するように構成されている。同様に、第２のシフトレジスタ６０１２ｃは、レジスタＲＣ_２，１，ＲＣ_２，２，ＲＣ_２，３，ＲＣ_２，４，ＲＣ_２，５、及びセレクタＳＣ_２，１，ＳＣ_２，２，ＳＣ_２，３，ＳＣ_２，４，ＳＣ_２，５により構成される。但し、第２のシフトレジスタ６０１２ｃは、レジスタＲＣ_２，１、ＲＣ_２，３、ＲＣ_２，４、及びＲＣ_２，５から格納値を出力するように構成されている。

　第１のシフトレジスタ６０１１ｃから出力される値ｙｃ_１，１は、後段の演算回路６００ｄに入力される。また第１のシフトレジスタ６０１１ｃから出力される値ｙｃ_１，１，ｙｃ_１，２は、図５９に示すように、ＡＮＤ回路６０２ｃに入力される。同様に、第２のシフトレジスタ６０１２ｃから出力される値ｙｃ_２，１，ｙｃ_２，３，ｙｃ_２，４，ｙｃ_２，５は、後段の演算回路６００ｄに入力される。また第２のシフトレジスタ６０１２ｃから出力される値ｙｃ_２，１，ｙｃ_２，５は、ＡＮＤ回路６０３ｃに入力される。また、ＡＮＤ回路６０２ｃは、入力された値ｙｃ_１，１，ｙｃ_１，２の論理積を算出し、算出結果をセレクタ６０４ｃに入力する。同様に、ＡＮＤ回路６０３ｃは、入力された値ｙｃ_２，１，ｙｃ_２，５の論理積を算出し、算出結果をセレクタ６０４ｃに入力する。セレクタ６０４ｃは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路６０５ｃに入力する。

　ＡＮＤ回路６０５ｃには、セレクタ６０４ｃの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路６０５ｃは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路６０６ｃに入力する。ＸＯＲ回路６０６ｃには、ＡＮＤ回路６０５ｃの出力値と、後述するセレクタ６１１ｃの出力値とが入力される。ＸＯＲ回路６０６ｃは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ６０７ｃ、６０９ｃに入力する。なお、この演算結果は、セレクタ６０７ｃ、６０９ｃの状態に応じて、レジスタ６０８ｃ又はレジスタ６１０ｃに格納される。また、レジスタ６０８ｃ、６１０ｃの格納値は、セレクタ６１１ｃの状態に応じて、いずれか一方がＸＯＲ回路６０６ｃに入力されるか、演算結果ｚｃ_１，ｚｃ_２として演算回路から出力される。レジスタ６０８ｃ、６１０ｃからの値ｚｃ_１，ｚｃ_２は、後段の演算回路６００ｄに入力される。

　なお、セレクタ６０４ｃ、６１１ｃは、後述するｓｅｌＣの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ６０７ｃは、ＸＯＲ回路６０６ｃの出力、演算回路６００ｂから供給される値ｚｂ_１，またはレジスタ６０８ｃの出力のいずれかを選択して出力する。同様に、セレクタ６０９ｃは、ＸＯＲ回路６０６ｃの出力、演算回路６００ｂから供給される値ｚｂ_２，またはレジスタ６１０ｃの出力のいずれかを選択して出力する。

　図６０及び図６１は、演算回路６００ｄの回路構成を示す説明図である。図６０及び６２に示すように、演算回路６００ｄは、シフトレジスタ６０１ｄと、ＡＮＤ回路６０２ｄ、６０３ｄと、セレクタ６０４ｄと、ＡＮＤ回路６０５ｄと、ＸＯＲ回路６０６ｄと、セレクタ６０７ｄ、６０９ｄと、レジスタ６０８ｄ、６１０ｄと、セレクタ６１１ｄとにより構成される。また、シフトレジスタ６０１ｄは、第１のシフトレジスタ６０１１ｄ、及び第２のシフトレジスタ６０１２ｄを含む。

　第１のシフトレジスタ６０１１ｄの構成は、図５８に示した第１のシフトレジスタ６０１１ｃの構成から、さらにレジスタが１つ少なくなっている。第２のシフトレジスタ６０１２ｄの構成は、値を出力するレジスタの組み合わせが異なる以外、図５４に示した第２のシフトレジスタ６０１２ａの構成と実質的に同じである。但し、第１のシフトレジスタ６０１１ｄと第２のシフトレジスタ６０１２ｄとは同じサイクルで連携して動作する。

　図６０に示すように、第１のシフトレジスタ６０１１ｄは、レジスタＲＤ_１，１，ＲＤ_１，２、及びセレクタＳＤ_１，１，ＳＤ_１，２により構成される。また、第１のシフトレジスタ６０１１ｄは、レジスタＲＤ_１，１及びＲＤ_１，２から格納値を出力するように構成されている。同様に、第２のシフトレジスタ６０１２ｄは、レジスタＲＤ_２，１，ＲＤ_２，２，ＲＤ_２，３，ＲＤ_２，４，ＲＤ_２，５、及びセレクタＳＤ_２，１，ＳＤ_２，２，ＳＤ_２，３，ＳＤ_２，４，ＳＤ_２，５により構成される。但し、第２のシフトレジスタ６０１２ｄは、レジスタＲＤ_２，１、及びＲＤ_２，５から格納値を出力するように構成されている。

　第１のシフトレジスタ６０１１ｄから出力される値ｙｄ_１，１，ｙｄ_１，２は、図６１に示すように、ＡＮＤ回路６０２ｄに入力される。また第２のシフトレジスタ６０１２ｄから出力される値ｙｄ_２，１，ｙｄ_２，５は、ＡＮＤ回路６０３ｄに入力される。また、ＡＮＤ回路６０２ｄは、入力された値ｙｄ_１，１，ｙｄ_１，２の論理積を算出し、算出結果をセレクタ６０４ｄに入力する。同様に、ＡＮＤ回路６０３ｄは、入力された値ｙｄ_２，１，ｙｄ_２，５の論理積を算出し、算出結果をセレクタ６０４ｄに入力する。セレクタ６０４ｄは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路６０５ｄに入力する。

　ＡＮＤ回路６０５ｄには、セレクタ６０４ｄの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路６０５ｄは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路６０６ｄに入力する。ＸＯＲ回路６０６ｄには、ＡＮＤ回路６０５ｄの出力値と、後述するセレクタ６１１ｄの出力値とが入力される。ＸＯＲ回路６０６ｄは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ６０７ｄ、６０９ｄに入力する。なお、この演算結果は、セレクタ６０７ｄ、６０９ｄの状態に応じて、レジスタ６０８ｄ又はレジスタ６１０ｄに格納される。また、レジスタ６０８ｄ、６１０ｄの格納値は、セレクタ６１１ｄの状態に応じて、いずれか一方がＸＯＲ回路６０６ｄに入力されるか、演算結果ｚｄ_１，ｚｄ_２として演算回路から出力される。レジスタ６０８ｄ、６１０ｄからの値ｚｄ_１，ｚｄ_２が、それぞれｆ（ｘ_１），ｆ（ｘ_２）に相当する。

　なお、セレクタ６０４ｄ、６１１ｄは、後述するｓｅｌＤの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ６０７ｄは、ＸＯＲ回路６０６ｄの出力、演算回路６００ｃから供給される値ｚｃ_１，またはレジスタ６０８ｄの出力のいずれかを選択して出力する。同様に、セレクタ６０９ｄは、ＸＯＲ回路６０６ｄの出力、演算回路６００ｃから供給される値ｚｃ_２，またはレジスタ６１０ｄの出力のいずれかを選択して出力する。

　以上、実施例＃３に係る演算回路の構成について説明した。

　（６－７－２：動作（図６２～図６５））
　次に、図６２～図６５を用いて、実施例＃３に係る演算回路の動作について説明する。図６２～図６５は、それぞれ、演算回路６００ａ～６００ｄのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路６００ａ～６００ｄからの出力値をまとめたものである。

　演算回路６００ａ～６００ｄの基本動作は、実施例＃１に係る演算回路と同様である。すなわち、演算回路６００ａ～６００ｄに含まれる各セレクタの制御により、値の格納及びローテーションが行われる。まず、図６２を用いて演算回路６００ａのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路６００ａからの出力値を説明する。

　なお、図６２～図６５に示されているＴ_１，ｉ、Ｔ_２，ｉは、それぞれ以下の数式を表している。

　従って、ｆ（ｘ_１），ｆ（ｘ_２）は以下の数式で表せる。

　まず演算回路６００ａの最初のサイクル数１では、図６２に示したように演算回路６００ａの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，２が読み出される。また、セレクタ６０４ａ、６１１ａには、図５５における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ａ、６１０ａからの出力はいずれも０となる。

　サイクル数２では、各セレクタの制御により、図６２に示したように演算回路６００ａの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，３が読み出される。また、セレクタ６０４ａ、６１１ａには、図５５における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２となり、レジスタ６１０ａからの出力は０となる。

　サイクル数３では、各セレクタの制御により、図６２に示したように演算回路６００ａの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，４が読み出される。また、セレクタ６０４ａ、６１１ａには、図５５における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３となり、レジスタ６１０ａからの出力は０となる。

　サイクル数４では、各セレクタの制御により、図６２に示したように演算回路６００ａの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ｂ_１が読み出される。また、セレクタ６０４ａ、６１１ａには、図５５における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４となり、レジスタ６１０ａからの出力は０となる。

　サイクル数５では、各セレクタの制御により、図６２に示したように演算回路６００ａの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ｂ_４が読み出される。また、セレクタ６０４ａ、６１１ａには、図５５における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４＋ｂ_１ｘ_１，１＝Ｔ_１，１となり、レジスタ６１０ａからの出力は０となる。

　サイクル数６では、各セレクタの制御により、図６２に示したように演算回路６００ａの各レジスタに値が格納される。その結果、レジスタ６０８ａからの出力はＴ_１，１となり、レジスタ６１０ａからの出力はｂ_４ｘ_２，４＝Ｔ_２，４となる。

　演算回路６００ａは、このサイクル数１～サイクル数６を繰り返して演算結果を演算回路６００ｂに出力する。サイクル数６が終了すると、演算回路６００ａは、次のｘ_１，ｘ_２に対する演算処理を同様に実行する。

　次に、図６３を用いて演算回路６００ｂのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路６００ｂからの出力値を説明する。なお、図６３に示した演算回路６００ｂのレジスタの格納値は、演算回路６００ａにおいてサイクル数１～サイクル数６からなるローテーションが実行された後に演算回路６００ｂに供給されるものである。

　まず演算回路６００ｂの最初のサイクル数１では、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_２，３が読み出される。また、セレクタ６０４ｂ、６１１ｂには、図５７における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｂからの出力はＴ_１，１（＝演算回路６００ａの出力ｚａ_１）となり、レジスタ６１０ｂからの出力はＴ_２，４（＝演算回路６００ａの出力ｚａ_２）となる。

　サイクル数２では、各セレクタの制御により、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_２，４が読み出される。また、セレクタ６０４ｂ、６１１ｂには、図５７における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３となり、レジスタ６１０ｂからの出力はＴ_２，４となる。

　サイクル数３では、各セレクタの制御により、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ｂ_２が読み出される。また、セレクタ６０４ｂ、６１１ｂには、図５７における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４となり、レジスタ６１０ｂからの出力はＴ_２，４となる。

　サイクル数４では、各セレクタの制御により、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ｂ_３が読み出される。また、セレクタ６０４ｂ、６１１ｂには、図５７における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４＋ｂ_２ｘ_１，２＝Ｔ_１，１＋Ｔ_１，２となり、レジスタ６１０ｂからの出力はＴ_２，４となる。

　サイクル数５では、各セレクタの制御により、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_３，４が読み出される。また、セレクタ６０４ｂ、６１１ｂには、図５７における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｂからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ６１０ｂからの出力はＴ_２，４＋ｂ_３ｘ_２，３となる。

　サイクル数６では、各セレクタの制御により、図６３に示したように演算回路６００ｂの各レジスタに値が格納される。その結果、レジスタ６０８ｂからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ６１０ｂからの出力はＴ_２，４＋ｂ_３ｘ_２，３＋ａ_３，４ｘ_２，３ｘ_２，４＝Ｔ_２，４＋Ｔ_２，３となる。

　演算回路６００ｂは、このサイクル数１～サイクル数６を繰り返して演算結果を演算回路６００ｃに出力する。サイクル数６が終了すると、演算回路６００ｂは、次のｘ_１，ｘ_２に対する演算処理を同様に実行する。

　次に、図６４を用いて演算回路６００ｃのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路６００ｃからの出力値を説明する。
なお、図６４に示した演算回路６００ｃのレジスタの格納値は、演算回路６００ｂにおいてサイクル数１～サイクル数６からなるローテーションが実行された後に演算回路６００ｃに供給されるものである。

　まず演算回路６００ｃの最初のサイクル数１では、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_３，４が読み出される。また、セレクタ６０４ｃ、６１１ｃには、図５９における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２（＝演算回路６００ｂの出力ｚｂ_１）となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３（＝演算回路６００ｂの出力ｚｂ_２）となる。

　サイクル数２では、各セレクタの制御により、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ｂ_３が読み出される。また、セレクタ６０４ｃ、６１１ｃには、図５９における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋ａ_３，４ｘ_１，３ｘ_１，４となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３となる。

　サイクル数３では、各セレクタの制御により、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ｂ_２が読み出される。また、セレクタ６０４ｃ、６１１ｃには、図５９における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋ａ_３，４ｘ_１，３ｘ_１，４＋ｂ_３ｘ_１，３＝Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３となる。

　サイクル数４では、各セレクタの制御により、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_２，４が読み出される。また、セレクタ６０４ｃ、６１１ｃには、図５９における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３＋ｂ_２ｘ_２，２となる。

　サイクル数５では、各セレクタの制御により、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ｂから係数ａ_２，３が読み出される。また、セレクタ６０４ｃ、６１１ｃには、図５９における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３＋ｂ_２ｘ_２，２＋ａ_２，４ｘ_２，２ｘ_２，４となる。

　サイクル数６では、各セレクタの制御により、図６４に示したように演算回路６００ｃの各レジスタに値が格納される。その結果、レジスタ６０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ６１０ｃからの出力はＴ_２，４＋Ｔ_２，３＋ｂ_２ｘ_２，２＋ａ_２，４ｘ_２，２ｘ_２，４＋ａ_２，３ｘ_２，２ｘ_２，３＝Ｔ_２，４＋Ｔ_２，３＋Ｔ_２，２となる。

　演算回路６００ｃは、このサイクル数１～サイクル数６を繰り返して演算結果を演算回路６００ｄに出力する。サイクル数６が終了すると、演算回路６００ｃは、次のｘ_１，ｘ_２に対する演算処理を同様に実行する。

　次に、図６５を用いて演算回路６００ｄのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路６００ｄからの出力値を説明する。
なお、図６５に示した演算回路６００ｄのレジスタの格納値は、演算回路６００ｃにおいてサイクル数１～サイクル数６からなるローテーションが実行された後に演算回路６００ｄに供給されるものである。

　まず演算回路６００ｄの最初のサイクル数１では、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ｂ_４が読み出される。また、セレクタ６０４ｄ、６１１ｄには、図６１における“０”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３（＝演算回路６００ｃの出力ｚｃ_１）となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２（＝演算回路６００ｃの出力ｚｃ_２）となる。

　サイクル数２では、各セレクタの制御により、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ｂ_１が読み出される。また、セレクタ６０４ｄ、６１１ｄには、図６１における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３＋ｂ_４ｘ_１，４＝Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２となる。

　サイクル数３では、各セレクタの制御により、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，４が読み出される。また、セレクタ６０４ｄ、６１１ｄには、図６１における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２＋ｂ_１ｘ_２，１となる。

　サイクル数４では、各セレクタの制御により、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，３が読み出される。また、セレクタ６０４ｄ、６１１ｄには、図６１における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２＋ｂ_１ｘ_２，１＋ａ_１，４ｘ_２，１ｘ_２，４となる。

　サイクル数５では、各セレクタの制御により、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。また、ＲＯＭ６９０の領域６９０ａから係数ａ_１，２が読み出される。また、セレクタ６０４ｄ、６１１ｄには、図６１における“１”からの入力を出力するような信号が供給される。その結果、レジスタ６０８ｄからの出力Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２＋ｂ_１ｘ_２，１＋ａ_１，４ｘ_２，１ｘ_２，４＋ａ_１，３ｘ_２，１ｘ_２，３となる。

　サイクル数６では、各セレクタの制御により、図６５に示したように演算回路６００ｄの各レジスタに値が格納される。その結果、レジスタ６０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ６１０ｄからの出力はＴ_２，４＋Ｔ_２，３＋Ｔ_２，２＋ｂ_１ｘ_２，１＋ａ_１，４ｘ_２，１ｘ_２，４＋ａ_１，３ｘ_２，１ｘ_２，３＋ａ_１，２ｘ_２，１ｘ_２，２＝Ｔ_２，４＋Ｔ_２，３＋Ｔ_２，２＋Ｔ_２，１となる。

　演算回路６００ｄは、このサイクル数１～サイクル数６を繰り返してｆ（ｘ_１）及びｆ（ｘ_２）の演算結果を出力する。サイクル数６が終了すると、演算回路６００ｄは、次のｘ_１，ｘ_２に対する演算処理を同様に実行する。

　このように、実施例＃３に係る演算回路は、係数ａ_ｉｊ、ｂ_ｉが格納されているＲＯＭ６９０の領域を複数に分割し、二次多項式ｆ（ｘ_１）及びｆ（ｘ_２）の演算処理をパイプライン化することで、ＲＯＭ６９０の配置上の制約を緩和することができ、最大動作周波数の低下を防ぐことが出来る。また実施例＃３に係る演算回路は、ある演算回路の出力を後段の演算回路の入力として使用出来るので、シフトレジスタ６０１１ａ、６０１１ｂ、６０１１ｃ、６０１１ｄの順にレジスタの数を減らすことができる。従って実施例＃３に係る演算回路は、単純に実施例＃１に係る演算回路を複数並列に設けた場合に比べて、レジスタの数を削減することができる。

　［６－８：実施例＃４（多変数多項式Ｆの計算のパイプライン化）］
　次に、実施例＃４に係る演算回路について説明する。実施例＃３に係る演算回路は、２つの入力ｘ_１、ｘ_２を同じ順序で演算することで、単純に実施例＃１に係る演算回路を複数並列に設けた場合に比べて、レジスタの数を削減することができることを説明したが、２つの入力ｘ_１、ｘ_２の演算順序をお互い逆にすることで、レジスタの数をさらに削減することができる。

　（６－８－１：回路構成（図６６～図７６））
　図６６は、実施例＃４に係る演算回路の構成を示す説明図である。図６６に示した演算回路は、入力ｘが４ビットの場合に二次多項式を演算して出力するものである。図６６に示したように、実施例＃４に係る演算回路は、演算回路７００ａ、７００ｂ、７００ｃ、７００ｄと、係数が格納されるＲＯＭ７９０と、を含んで構成される。そして、ＲＯＭ７９０は、２つの領域７９０ａ、７９０ｂに分割されている。

　演算回路７００ａ、７００ｂ、７００ｃ、７００ｄは、２つの入力ｘ_１，ｘ_２から二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を並列に生成する回路である。実施例＃３に係る演算回路は、４つの演算回路６００ａ、６００ｂ、６００ｃ、６００ｄの順のパイプライン処理によって、２つの入力ｘ_１，ｘ_２から二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を並列に生成するよう設計されていた。実施例＃４に係る演算回路は、４つの演算回路７００ａ、７００ｂ、７００ｃ、７００ｄの順のパイプライン処理によって、入力ｘ_１から二次多変数多項式ｆ（ｘ_１）を、その逆順のパイプライン処理によって、入力ｘ_２から二次多変数多項式ｆ（ｘ_２）を、それぞれ並列に生成するよう設計されている。

　４つの演算回路７００ａ、７００ｂ、７００ｃ、７００ｄによるパイプライン処理によって、二次多変数多項式ｆ（ｘ_１），ｆ（ｘ_２）を効率的に生成するために、係数が格納されるＲＯＭ７９０は２つの領域７９０ａ、７９０ｂに分割されている。領域７９０ａ、７９０ｂに格納される係数は、図５３に示したものと同じである。

　図６７及び図６８は、演算回路７００ａの回路構成を示す説明図である。図６７及び図６８に示すように、演算回路７００ａは、シフトレジスタ７０１ａと、ＡＮＤ回路７０２ａ、７０３ａと、セレクタ７０４ａと、ＡＮＤ回路７０５ａと、ＸＯＲ回路７０６ａと、セレクタ７０７ａ、７０９ａと、レジスタ７０８ａ、７１０ａと、セレクタ７１１ａとにより構成される。また、シフトレジスタ７０１ａは、第１のシフトレジスタ７０１１ａ、及び第２のシフトレジスタ７０１２ａを含む。

　第１のシフトレジスタ７０１１ａの構成は、値を出力するレジスタの組み合わせが異なる以外、図３５に示した第１のシフトレジスタ４０１１の構成と実質的に同じである。但し、第１のシフトレジスタ７０１１ａと第２のシフトレジスタ７０１２ａとは同じサイクルで連携して動作する。

　図６７に示すように、第１のシフトレジスタ７０１１ａは、レジスタＲＡ_１，１，ＲＡ_１，２，ＲＡ_１，３，ＲＡ_１，４，ＲＡ_１，５、及びセレクタＳＡ_１，１，ＳＡ_１，２，ＳＡ_１，３，ＳＡ_１，４，ＳＡ_１，５により構成される。また、第１のシフトレジスタ７０１１ａは、レジスタＲＡ_１，１、ＲＡ_１，２、及びＲＡ_１，３から格納値を出力するように構成されている。第２のシフトレジスタ７０１２ａは、レジスタＲＡ_２，１，ＲＡ_２，２及びセレクタＳＡ_２，１，ＳＡ_２，２により構成される。第２のシフトレジスタ７０１２ａは、レジスタＲＡ_２，１、及びＲＡ_２，２から格納値を出力するように構成されている。

　第１のシフトレジスタ７０１１ａから出力される値ｙａ_１，１，ｙａ_１，２，ｙａ_１，３は、後段の演算回路７００ｂに入力される。また第１のシフトレジスタ７０１１ａから出力される値ｙａ_１，１，ｙａ_１，２は、図６８に示すように、ＡＮＤ回路７０２ａに入力される。また第２のシフトレジスタ７０１２ａから出力される値ｙａ_２，１，ｙａ_２，２は、ＡＮＤ回路７０３ａに入力される。また、ＡＮＤ回路７０２ａは、入力された値ｙａ_１，１，ｙａ_１，２の論理積を算出し、算出結果をセレクタ７０４ａに入力する。同様に、ＡＮＤ回路７０３ａは、入力された値ｙａ_２，１，ｙａ_２，２の論理積を算出し、算出結果をセレクタ７０４ａに入力する。セレクタ７０４ａは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路７０５ａに入力する。

　ＡＮＤ回路７０５ａには、セレクタ７０４ａの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路７０５ａは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路７０６ａに入力する。ＸＯＲ回路７０６ａには、ＡＮＤ回路７０５ａの出力値と、後述するセレクタ７１１ａの出力値とが入力される。ＸＯＲ回路７０６ａは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ７０７ａ、７０９ａに入力する。なお、この演算結果は、セレクタ７０７ａ、７０９ａの状態に応じて、レジスタ７０８ａ又はレジスタ７１０ａに格納される。また、レジスタ７０８ａ、７１０ａの格納値は、セレクタ７１１ａの状態に応じて、いずれか一方がＸＯＲ回路７０６ａに入力されるか、演算結果ｚａ_１，ｚａ_２として演算回路７００ａから出力される。レジスタ７０８ａからの値ｚａ_１は、後段の演算回路７００ｂに入力される。一方、レジスタ７１０ａからの値ｚａ_２は、二次多変数多項式ｆ（ｘ_２）として演算回路から出力される。

　なお、セレクタ７０４ａ、７１１ａは、後述するｓｅｌＡの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ７０７ａは、ＸＯＲ回路７０６ａの出力、値“０”，またはレジスタ７０８ａの出力のいずれかを選択して出力する。同様に、セレクタ７０９ａは、ＸＯＲ回路７０６ａの出力、演算回路７００ｂから供給される値ｚｂ_２，またはレジスタ７１０ａの出力のいずれかを選択して出力する。

　図６９及び図７０は、演算回路７００ｂの回路構成を示す説明図である。図６９及び図７０に示すように、演算回路７００ｂは、シフトレジスタ７０１ｂと、ＡＮＤ回路７０２ｂ、７０３ｂと、セレクタ７０４ｂと、ＡＮＤ回路７０５ｂと、ＸＯＲ回路７０６ｂと、セレクタ７０７ｂ、７０９ｂと、レジスタ７０８ｂ、７１０ｂと、セレクタ７１１ｂとにより構成される。また、シフトレジスタ７０１ｂは、第１のシフトレジスタ７０１１ｂ、及び第２のシフトレジスタ７０１２ｂを含む。

　第１のシフトレジスタ７０１１ｂの構成は、図６７に示した第１のシフトレジスタ７０１１ａの構成から、レジスタが１つ少なくなっている。第２のシフトレジスタ７０１２ｂの構成は、図６７に示した第１のシフトレジスタ７０１２ａの構成から、レジスタが１つ多くなっている。第１のシフトレジスタ７０１１ｂと第２のシフトレジスタ７０１２ｂとは同じサイクルで連携して動作する。

　図６９に示すように、第１のシフトレジスタ７０１１ｂは、レジスタＲＢ_１，１，ＲＢ_１，２，ＲＢ_１，３，ＲＢ_１，４、及びセレクタＳＢ_１，１，ＳＢ_１，２，ＳＢ_１，３，ＳＢ_１，４により構成される。また、第１のシフトレジスタ７０１１ｂは、レジスタＲＢ_１，１及びＲＢ_１，２から格納値を出力するように構成されている。同様に、第２のシフトレジスタ７０１２ｂは、レジスタＲＢ_２，１，ＲＢ_２，２，ＲＢ_２，３、及びセレクタＳＢ_２，１，ＳＢ_２，２，ＳＢ_２，３により構成される。但し、第２のシフトレジスタ７０１２ｂは、レジスタＲＢ_２，１、ＲＢ_２，２、及びＲＢ_２，３から格納値を出力するように構成されている。

　第１のシフトレジスタ７０１１ｂから出力される値ｙｂ_１，１，ｙｂ_１，２は、後段の演算回路７００ｃに入力される。また第１のシフトレジスタ７０１１ｂから出力される値ｙｂ_１，１，ｙｂ_１，２は、図７０に示すように、ＡＮＤ回路７０２ｂに入力される。同様に、第２のシフトレジスタ７０１２ｂから出力される値ｙｂ_２，２は、後段の演算回路７００ａに入力される。また第２のシフトレジスタ７０１２ｂから出力される値ｙｂ_２，１，ｙｂ_２，２は、ＡＮＤ回路７０３ｂに入力される。また、ＡＮＤ回路７０２ｂは、入力された値ｙｂ_１，１，ｙｂ_１，２の論理積を算出し、算出結果をセレクタ７０４ｂに入力する。同様に、ＡＮＤ回路７０３ｂは、入力された値ｙｂ_２，１，ｙｂ_２，２の論理積を算出し、算出結果をセレクタ７０４ｂに入力する。セレクタ７０４ｂは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路７０５ｂに入力する。

　ＡＮＤ回路７０５ｂには、セレクタ７０４ｂの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路７０５ｂは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路７０６ｂに入力する。ＸＯＲ回路７０６ｂには、ＡＮＤ回路７０５ｂの出力値と、後述するセレクタ７１１ｂの出力値とが入力される。ＸＯＲ回路７０６ｂは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ７０７ｂ、７０９ａに入力する。なお、この演算結果は、セレクタ７０７ｂ、７０９ｂの状態に応じて、レジスタ７０８ｂ又はレジスタ７１０ｂに格納される。また、レジスタ７０８ｂ、７１０ｂの格納値は、セレクタ７１１ｂの状態に応じて、いずれか一方がＸＯＲ回路７０６ｂに入力されるか、演算結果ｚｂ_１，ｚｂ_２として演算回路７００ｂから出力される。レジスタ７０８ｂからの値ｚｂ_１は、後段の演算回路７００ｃに入力される。またレジスタ７１０ｂからの値ｚｂ_２は、後段の演算回路７００ａに入力される。

　なお、セレクタ７０４ｂ、７１１ｂは、後述するｓｅｌＢの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ７０７ｂは、ＸＯＲ回路７０６ｂの出力、演算回路７００ａから供給される値ｚａ_１，またはレジスタ７０８ｂの出力のいずれかを選択して出力する。同様に、セレクタ７０９ｂは、ＸＯＲ回路７０６ｂの出力、演算回路７００ｃから供給される値ｚｃ_２，またはレジスタ７１０ｂの出力のいずれかを選択して出力する。

　図７１及び図７２は、演算回路７００ｃの回路構成を示す説明図である。図７１及び図７２に示すように、演算回路７００ｃは、シフトレジスタ７０１ｃと、ＡＮＤ回路７０２ｃ、７０３ｃと、セレクタ７０４ｃと、ＡＮＤ回路７０５ｃと、ＸＯＲ回路７０６ｃと、セレクタ７０７ｃ、７０９ｃと、レジスタ７０８ｃ、７１０ｃと、セレクタ７１１ｃとにより構成される。また、シフトレジスタ７０１ｃは、第１のシフトレジスタ７０１１ｃ、及び第２のシフトレジスタ７０１２ｃを含む。

　第１のシフトレジスタ７０１１ｃの構成は、図６９に示した第１のシフトレジスタ７０１１ｂの構成から、さらにレジスタが１つ少なくなっている。第２のシフトレジスタ７０１２ｃの構成は、図６９に示した第１のシフトレジスタ７０１２ｂの構成から、レジスタが１つ多くなっている。第１のシフトレジスタ７０１１ｃと第２のシフトレジスタ７０１２ｃとは同じサイクルで連携して動作する。

　図７１に示すように、第１のシフトレジスタ７０１１ｃは、レジスタＲＣ_１，１，ＲＣ_１，２，ＲＣ_１，３、及びセレクタＳＣ_１，１，ＳＣ_１，２，ＳＣ_１，３により構成される。また、第１のシフトレジスタ７０１１ｃは、レジスタＲＣ_１，１、ＲＣ_１，２及びＲＣ_１，３から格納値を出力するように構成されている。同様に、第２のシフトレジスタ７０１２ｃは、レジスタＲＣ_２，１，ＲＣ_２，２，ＲＣ_２，３，ＲＣ_２，４、及びセレクタＳＣ_２，１，ＳＣ_２，２，ＳＣ_２，３，ＳＣ_２，４により構成される。第２のシフトレジスタ７０１２ｃは、レジスタＲＣ_２，１、及びＲＣ_２，２から格納値を出力するように構成されている。

　第１のシフトレジスタ７０１１ｃから出力される値ｙｃ_１，１は、後段の演算回路７００ｄに入力される。また第１のシフトレジスタ７０１１ｃから出力される値ｙｃ_１，１，ｙｃ_１，２は、図７２に示すように、ＡＮＤ回路７０２ｃに入力される。同様に、第２のシフトレジスタ７０１２ｃから出力される値ｙｃ_２，１，ｙｃ_２，２は、後段の演算回路７００ｂに入力される。また第２のシフトレジスタ７０１２ｃから出力される値ｙｃ_２，１，ｙｃ_２，２は、ＡＮＤ回路７０３ｃに入力される。また、ＡＮＤ回路７０２ｃは、入力された値ｙｃ_１，１，ｙｃ_１，２の論理積を算出し、算出結果をセレクタ７０４ｃに入力する。同様に、ＡＮＤ回路７０３ｃは、入力された値ｙｃ_２，１，ｙｃ_２，２の論理積を算出し、算出結果をセレクタ７０４ｃに入力する。セレクタ７０４ｃは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路７０５ｃに入力する。

　ＡＮＤ回路７０５ｃには、セレクタ７０４ｃの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路７０５ｃは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路７０６ｃに入力する。ＸＯＲ回路７０６ｃには、ＡＮＤ回路７０５ｃの出力値と、後述するセレクタ７１１ｃの出力値とが入力される。ＸＯＲ回路７０６ｃは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ７０７ｃ、７０９ｃに入力する。なお、この演算結果は、セレクタ７０７ｃ、７０９ｃの状態に応じて、レジスタ７０８ｃ又はレジスタ７１０ｃに格納される。また、レジスタ７０８ｃ、７１０ｃの格納値は、セレクタ７１１ｃの状態に応じて、いずれか一方がＸＯＲ回路７０６ｃに入力されるか、演算結果ｚｃ_１，ｚｃ_２として演算回路から出力される。レジスタ７０８ｃからの値ｚｃ_１は、後段の演算回路７００ｄに入力される。またレジスタ７１０ｃからの値ｚｃ_２は、後段の演算回路７００ｂに入力される。

　なお、セレクタ７０４ｃ、７１１ｃは、後述するｓｅｌＣの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ７０７ｃは、ＸＯＲ回路７０６ｃの出力、演算回路７００ｂから供給される値ｚｂ_１，またはレジスタ７０８ｃの出力のいずれかを選択して出力する。同様に、セレクタ７０９ｃは、ＸＯＲ回路７０６ｃの出力、演算回路７００ｄから供給される値ｚｄ_２，またはレジスタ７１０ｃの出力のいずれかを選択して出力する。

　図７３及び図７４は、演算回路７００ｄの回路構成を示す説明図である。図７３及び図７４に示すように、演算回路７００ｄは、シフトレジスタ７０１ｄと、ＡＮＤ回路７０２ｄ、７０３ｄと、セレクタ７０４ｄと、ＡＮＤ回路７０５ｄと、ＸＯＲ回路７０６ｄと、セレクタ７０７ｄ、７０９ｄと、レジスタ７０８ｄ、７１０ｄと、セレクタ７１１ｄとにより構成される。また、シフトレジスタ７０１ｄは、第１のシフトレジスタ６０１１ｄ、及び第２のシフトレジスタ７０１２ｄを含む。

　第１のシフトレジスタ７０１１ｄの構成は、図７１に示した第１のシフトレジスタ７０１１ｃの構成から、さらにレジスタが１つ少なくなっている。第２のシフトレジスタ７０１２ｄの構成は、図７１に示した第１のシフトレジスタ７０１２ｃの構成から、レジスタが１つ多くなっている。第１のシフトレジスタ７０１１ｄと第２のシフトレジスタ７０１２ｄとは同じサイクルで連携して動作する。

　図７３に示すように、第１のシフトレジスタ７０１１ｄは、レジスタＲＤ_１，１，ＲＤ_１，２、及びセレクタＳＤ_１，１，ＳＤ_１，２により構成される。また、第１のシフトレジスタ７０１１ｄは、レジスタＲＤ_１，１及びＲＤ_１，２から格納値を出力するように構成されている。第２のシフトレジスタ７０１２ｄは、レジスタＲＤ_２，１，ＲＤ_２，２，ＲＤ_２，３，ＲＤ_２，４，ＲＤ_２，５、及びセレクタＳＤ_２，１，ＳＤ_２，２，ＳＤ_２，３，ＳＤ_２，４，ＳＤ_２，５により構成される。第２のシフトレジスタ７０１２ｄは、レジスタＲＤ_２，１、ＲＤ_２，２、及びＲＤ_２，３から格納値を出力するように構成されている。

　第１のシフトレジスタ７０１１ｄから出力される値ｙｄ_１，１，ｙｄ_１，２は、図７４に示すように、ＡＮＤ回路７０２ｄに入力される。また第２のシフトレジスタ７０１２ｄから出力される値ｙｄ_２，１，ｙｄ_２，２は、ＡＮＤ回路７０３ｄに入力される。また、ＡＮＤ回路７０２ｄは、入力された値ｙｄ_１，１，ｙｄ_１，２の論理積を算出し、算出結果をセレクタ７０４ｄに入力する。同様に、ＡＮＤ回路７０３ｄは、入力された値ｙｄ_２，１，ｙｄ_２，２の論理積を算出し、算出結果をセレクタ７０４ｄに入力する。セレクタ７０４ｄは、入力された２つの値から１つの値を選択し、選択結果をＡＮＤ回路７０５ｄに入力する。

　ＡＮＤ回路７０５ｄには、セレクタ７０４ｄの出力値と共に、係数ａ_ｉｊ及びｂ_ｉが入力される。そして、ＡＮＤ回路７０５ｄは、入力された出力値と係数との論理積を算出し、その算出結果をＸＯＲ回路７０６ｄに入力する。ＸＯＲ回路７０６ｄには、ＡＮＤ回路７０５ｄの出力値と、後述するセレクタ７１１ｄの出力値とが入力される。ＸＯＲ回路７０６ｄは、入力された２つの値について排他的論理和演算を実施し、その演算結果をセレクタ７０７ｄ、７０９ｄに入力する。なお、この演算結果は、セレクタ７０７ｄ、７０９ｄの状態に応じて、レジスタ７０８ｄ又はレジスタ７１０ｄに格納される。また、レジスタ７０８ｄ、７１０ｄの格納値は、セレクタ７１１ｄの状態に応じて、いずれか一方がＸＯＲ回路７０６ｄに入力されるか、演算結果ｚｄ_１，ｚｄ_２として演算回路から出力される。レジスタ７０８ｄからの値ｚｄ_１はｆ（ｘ_１）に相当する。またレジスタ７１０ｄからの値ｚｄ_２は、後段の演算回路７００ｃに入力される。

　なお、セレクタ７０４ｄ、７１１ｄは、後述するｓｅｌＤの値に応じて、入力された値のいずれか一方を選択して出力する。またセレクタ７０７ｄは、ＸＯＲ回路７０６ｄの出力、演算回路７００ｃから供給される値ｚｃ_１，またはレジスタ７０８ｄの出力のいずれかを選択して出力する。セレクタ７０９ｄは、ＸＯＲ回路７０６ｄの出力、値“０”，またはレジスタ７１０ｄの出力のいずれかを選択して出力する。

　以上、実施例＃４に係る演算回路の構成について説明した。

　（６－８－２：動作（図７５～図８２））
　次に、図７５～図８２を用いて、実施例＃４に係る演算回路の動作について説明する。図７５～図８２は、それぞれ、演算回路７００ａ～７００ｄのレジスタの格納値、ＲＯＭ６９０から読み出される係数、セレクタに供給される信号及び演算回路７００ａ～７００ｄからの出力値をまとめたものである。図７５及び図７６が、演算回路７００ａについてまとめたものであり、図７７及び図７８が、演算回路７００ｂについてまとめたものであり、図７９及び図８０が、演算回路７００ｃについてまとめたものであり、図８１及び図８２が、演算回路７００ｄについてまとめたものである。

　まず、図７５、図７６、図８１及び図８２を用いて、サイクル数１～サイクル数６における、演算回路７００ａ、７００ｄのレジスタの格納値、ＲＯＭ７９０から読み出される係数、セレクタに供給される信号及び演算回路７００ａ、７００ｄからの出力値を説明する。

　最初のサイクル数１では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，２が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａ、７１０ｄからの出力は０となる。

　サイクル数２では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，３が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、レジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２となる。

　サイクル数３では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，４が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、レジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３となる。

　サイクル数４では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ｂ_１が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、レジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３＋ａ_１，４ｘ_２，１ｘ_２，４となる。

　サイクル数５では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ｂ_４が読み出される。その結果、レジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４＋ｂ_１ｘ_１，１＝Ｔ_１，１となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３＋ａ_１，４ｘ_２，１ｘ_２，４＋ｂ_１ｘ_２，１＝Ｔ_２，１となる。

　サイクル数６では、各セレクタの制御により、図７６及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。その結果、レジスタ７０８ａからの出力はＴ_１，１となり、レジスタ７１０ｄからの出力はＴ_２，１となる。

　演算回路７００ａ、７００ｄは、このサイクル数１～サイクル数６の６つのサイクルを繰り返して演算結果を演算回路７００ｂ、７００ｃにそれぞれ出力する。６つのサイクルが終了すると、演算回路７００ａ、７００ｄは、それぞれ次のｘ_１，ｘ_２に対する演算処理を同様に実行する。

　続いて、図７７、図７８、図７９及び図８０を用いて、サイクル数６＋１～サイクル数６＋６における、演算回路７００ｂ、７００ｃのレジスタの格納値、ＲＯＭ７９０から読み出される係数、セレクタに供給される信号及び演算回路７００ｂ、７００ｃからの出力値を説明する。

　最初のサイクル数６＋１では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ａ_２，３が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１となり、レジスタ７１０ｃからの出力はＴ_２，１となる。

　サイクル数６＋２では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ａ_２，４が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、レジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３となる。

　サイクル数６＋３では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ｂ_２が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、レジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３＋ａ_２，４ｘ_２，２ｘ_２，４となる。

　サイクル数６＋４～６＋６では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ｂ_３が読み出される。その結果、レジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４＋ｂ_２ｘ_１，２＝Ｔ_１，１＋Ｔ_１，２となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３＋ａ_２，４ｘ_２，２ｘ_２，４＋ｂ_２ｘ_２，２＝Ｔ_２，１＋Ｔ_２，２となる。

　演算回路７００ｂ、７００ｃは、この６つのサイクルを繰り返して演算結果を演算回路７００ｃ、７００ｂにそれぞれ出力する。６つのサイクルが終了すると、演算回路７００ａ、７００ｄは、それぞれ次に演算回路７００ａ、７００ｄから供給される値に対する演算処理を同様に実行する。

　続いて、図７７、図７８、図７９及び図８０を用いて、サイクル数２×６＋１～サイクル数２×６＋６における、演算回路７００ｂ、７００ｃのレジスタの格納値、ＲＯＭ７９０から読み出される係数、セレクタに供給される信号及び演算回路７００ｂ、７００ｃからの出力値を説明する。

　最初のサイクル数２×６＋１では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。サイクル数６＋１では値が格納されていなかったレジスタＲＢ_２，１、ＲＢ_２，２、ＲＢ_２，３には、演算回路７００ｃのシフトレジスタ７０１２ｃからの出力値または“１”が格納される。同様に、サイクル数６＋１では値が格納されていなかったレジスタＲＣ_１，１、ＲＣ_１，２、ＲＣ_１，３には、演算回路７００ｂのシフトレジスタ７０１２ｂからの出力値または“１”が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ａ_２，３が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｃからの出力はＴ_２，１となる。

　サイクル数２×６＋２では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ａ_２，４が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３となる。

　サイクル数２×６＋３では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ｂ_２が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“１”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３＋ａ_２，４ｘ_２，２ｘ_２，４となる。

　サイクル数２×６＋４では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ｂ_３が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“１”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“０”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１＋ａ_２，３ｘ_１，２ｘ_１，３＋ａ_２，４ｘ_１，２ｘ_１，４＋ｂ_２ｘ_１，２＝Ｔ_１，１＋Ｔ_１，２となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｃからの出力はＴ_２，１＋ａ_２，３ｘ_２，２ｘ_２，３＋ａ_２，４ｘ_２，２ｘ_２，４＋ｂ_２ｘ_２，２＝Ｔ_２，１＋Ｔ_２，２となる。

　サイクル数２×６＋５では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ｂから係数ａ_３，４が読み出される。また、セレクタ７０４ｂ、７１１ｂには、図７０における“１”からの入力を出力するような信号が供給され、セレクタ７０４ｃ、７１１ｃには、図７２における“０”からの入力を出力するような信号が供給される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２＋ｂ_３ｘ_２，３となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋ｂ_３ｘ_１，３となり、レジスタ７１０ｃからの出力はＴ_２，１＋Ｔ_２，２となる。

　サイクル数２×６＋６では、各セレクタの制御により、図７７及び図７９に示したように演算回路７００ｂ、７００ｃの各レジスタに値が格納される。その結果、図７８及び図８０に示したようにレジスタ７０８ｂからの出力はＴ_１，１＋Ｔ_１，２となり、レジスタ７１０ｂからの出力はＴ_２，１＋Ｔ_２，２＋ｂ_３ｘ_２，３＋ａ_３，４ｘ_２，３ｘ_２，４＝Ｔ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｃからの出力はＴ_１，１＋Ｔ_１，２＋ｂ_３ｘ_１，３＋ａ_３，４ｘ_１，３ｘ_１，４＝Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｃからの出力はＴ_２，１＋Ｔ_２，２となる。

　続いて、図７５、図７６、図８１及び図８２を用いて、サイクル数３×６＋１～サイクル数３×６＋６における、演算回路７００ａ、７００ｄのレジスタの格納値、ＲＯＭ７９０から読み出される係数、セレクタに供給される信号及び演算回路７００ａ、７００ｄからの出力値を説明する。

　最初のサイクル数３×６＋１では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。サイクル数１～２×６＋６では値が格納されていなかったレジスタＲＡ_２，１、ＲＡ_２，２には、演算回路７００ｂのシフトレジスタ７０１２ｂからの出力値または“１”が格納される。同様に、サイクル数１～２×６＋６では値が格納されていなかったレジスタＲＤ_１，１、ＲＤ_１，２には、演算回路７００ｃのシフトレジスタ７０１２ｃからの出力値または“１”が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，２が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａからの出力は０となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｄからの出力は０となる。

　サイクル数３×６＋２では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，３が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２となる。

　サイクル数３×６＋３では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ａ_１，４が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３となる。

　サイクル数３×６＋４では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ｂ_１が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“０”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“１”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３＋ａ_１，４ｘ_２，１ｘ_２，４となる。

　サイクル数３×６＋５では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。また、ＲＯＭ７９０の領域７９０ａから係数ｂ_４が読み出される。また、セレクタ７０４ａ、７１１ａには、図６８における“１”からの入力を出力するような信号が供給され、セレクタ７０４ｄ、７１１ｄには、図７４における“０”からの入力を出力するような信号が供給される。その結果、図７６及び図８２に示したようにレジスタ７０８ａからの出力はａ_１，２ｘ_１，１ｘ_１，２＋ａ_１，３ｘ_１，１ｘ_１，３＋ａ_１，4ｘ_１，１ｘ_１，４＋ｂ_１ｘ_１，１＝Ｔ_１，１となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３となり、レジスタ７１０ｄからの出力はａ_１，２ｘ_２，１ｘ_２，２＋ａ_１，３ｘ_２，１ｘ_２，３＋ａ_１，４ｘ_２，１ｘ_２，４＋ｂ_１ｘ_２，１＝Ｔ_２，１となる。

　サイクル数３×６＋６では、各セレクタの制御により、図７５及び図８１に示したように演算回路７００ａ、７００ｄの各レジスタに値が格納される。その結果、図７７及び図８２に示したようにレジスタ７０８ａからの出力はＴ_１，１となり、レジスタ７１０ａからの出力はＴ_２，１＋Ｔ_２，２＋Ｔ_２，３＋ｂ_４ｘ_２，４＝Ｔ_２，１＋Ｔ_２，２＋Ｔ_２，３＋Ｔ_２，４となり、レジスタ７０８ｄからの出力はＴ_１，１＋Ｔ_１，２＋Ｔ_１，３＋ｂ_４ｘ_１，４＝Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４となり、レジスタ７１０ｄからの出力はＴ_２，１となる。

　このサイクル数３×６＋６でのレジスタ７１０ａからの出力値Ｔ_２，１＋Ｔ_２，２＋Ｔ_２，３＋Ｔ_２，４は、数式（１９）で示したようにｆ（ｘ_２）に相当し、レジスタ７０８ｄからの出力値Ｔ_１，１＋Ｔ_１，２＋Ｔ_１，３＋Ｔ_１，４は数式（１８）で示したようにｆ（ｘ_１）に相当する。

　このように、実施例＃４に係る演算回路は、係数ａ_ｉｊ、ｂ_ｉが格納されているＲＯＭ７９０の領域を複数に分割し、二次多項式ｆ（ｘ_１）及びｆ（ｘ_２）の演算処理をパイプライン化することで、ＲＯＭ７９０の配置上の制約を緩和することができ、最大動作周波数の低下を防ぐことが出来る。また実施例＃４に係る演算回路は、実施例＃４に係る演算回路は、４つの演算回路７００ａ、７００ｂ、７００ｃ、７００ｄの順のパイプライン処理によって、入力ｘ_１から二次多変数多項式ｆ（ｘ_１）を、その逆順のパイプライン処理によって、入力ｘ_２から二次多変数多項式ｆ（ｘ_２）を、それぞれ並列に生成するので、実施例＃３に係る演算回路に比べてさらにレジスタの数を削減することができる。

　なお、上述の説明では、入力ｘが４ビットの場合であり、係数ａ_ｉｊ及びｂ_ｉが、１≦ｉ＜ｊ≦４である場合の演算回路の例を説明したが、本開示は係る例に限定されるものではない。入力ｘのビット数や、ｉ及びｊの最大値を増やす場合には、例えばパイプライン処理をさせるための演算回路の数及びＲＯＭの領域の分割数を増やすことで、同様に、単純に演算回路を複数設ける場合に比べて、演算回路全体でのレジスタの数を削減しつつ並列に演算処理させることができる。

　例えば、入力ｘが１４０ビットで、係数ａ_ｉｊ及びｂ_ｉが、１≦ｉ＜ｊ≦１４０である場合は、ＲＯＭの領域を１０個に分割し、演算回路を２０個並列に並べてパイプライン化することで、単純に演算回路を複数設ける場合に比べて、演算回路全体でのレジスタの数を削減しつつ並列に演算処理させることができる。

　また、実施例＃３に係る演算回路及び実施例＃４に係る演算回路は、実施例＃２に係る演算回路のように、多変数多項式Ｆ及びＧの計算を並列して実行する場合にも同様に拡張可能であることは言うまでもない。

　＜７：まとめ＞
　最後に、本技術の実施形態に係る技術内容について簡単に纏める。ここで述べる技術内容は、例えば、ＰＣ、携帯電話、ゲーム機、情報端末、情報家電、カーナビゲーションシステム等、種々の情報処理装置に対して適用することができる。なお、以下で述べる装置の機能は、１つ又は複数の回路により実現することも可能であるし、１台の情報処理装置を利用して実現することも可能であるし、或いは、複数台の情報処理装置を利用して実現することも可能である。また、以下で述べる装置が処理を実行する際に用いるデータ記憶手段及び演算処理手段は、当該装置に設けられたものであってもよいし、ネットワークを介して接続された機器に設けられたものであってもよい。

　上記の装置の機能構成は以下のように表現される。例えば、下記（１）に記載の装置は、第１のシフトレジスタが格納値を整列するために、格納値を出力しないサイクルにおいて、他のシフトレジスタが格納値を出力する。その結果、有効な格納値が出力されないサイクルの数を少なくすることが可能になり、単位サイクル数あたりの演算量が増加する。また、シフトレジスタを利用するため、多ビット入力のセレクタを用いずに済むため、回路規模を抑制することが可能になる。結果として、小型で、演算処理が高速な装置を実現することが可能になる。

　なお、下記（１）に記載の装置において、所定数ｃ＝１及びｃ’＝１とすると、２つの入力に対して、上述した多変数多項式Ｆの演算に利用することができる。また、下記（５）に記載の装置において、所定数ｃ＝１、ｃ’＝０、ｃ”＝０とすると、上述した多変数多項式Ｆ及びＧの演算に利用することができる。また、下記（１３）および（１６）に記載の装置において、所定数ｃ＝１及びｃ’＝１とすると、２つの入力に対して、上述した多変数多項式Ｆの演算に利用することができる。

　（１）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、
　格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　演算装置。

　（２）
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの複数の出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記他のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備える、
　上記（１）に記載の演算装置。

　（３）
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記他のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｎ＋１のレジスタである、
　上記（１）又は（２）に記載の演算装置。

　（４）
　前記制御部は、前記第１のレジスタに格納された格納値を維持したまま前記第２～第Ｎ＋１のレジスタに格納された格納値を移動させる第１の制御処理と、前記第１～第Ｎ＋１のレジスタに格納された格納値を全て移動させる第２の制御処理と、を組み合わせて、前記一対の格納値の全組み合わせが出力されるように前記シフトレジスタを制御する、
　上記（１）～（３）のいずれか１項に記載の演算装置。

　（５）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、
　格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　演算装置。

　（６）
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記第２のシフトレジスタから出力された第１の格納値と前記第３のシフトレジスタから出力された第２の格納値に基づく前記変数乗算部の出力値と、前期第２のシフトレジスタから出力された第２の格納値と前記第３のシフトレジスタから出力された第１の格納値に基づく前記変数乗算部の出力値とを加算する加算部と、
　前記変数乗算部及び前記加算部からの複数の出力結果から一方を選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２及び第３のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を加算する第２の合計部と、
をさらに備える、
　上記（５）に記載の演算装置。

　（７）
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記第２及び第３のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｎ＋１のレジスタである、
　上記（５）又は（６）に記載の演算装置。

　（８）
　前記制御部は、前記第１のレジスタに格納された格納値を維持したまま前記第２～第Ｎ＋１のレジスタに格納された格納値を移動させる第１の制御処理と、前記第１～第Ｎ＋１のレジスタに格納された格納値を全て移動させる第２の制御処理と、を組み合わせて、前記一対の格納値の全組み合わせが出力されるように前記シフトレジスタを制御する、
　上記（５）～（８）のいずれか１項に記載の演算装置。

　（９）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる工程を含み、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。

　（１０）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる工程を含み、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。

　（１１）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、
　前記制御機能は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　プログラム。

　（１２）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、
　前記制御機能は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　プログラム。

　（１３）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、
　各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、
　演算装置。

　（１４）
　各前記演算回路は、
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備え、
　前記第１の合計部及び前記第２の合計部は、パイプライン処理における前段の前記演算回路における第１の合計部及び第２の合計部で合計された値に、前記係数乗算部の出力値をさらに加算する、
　上記（１３）に記載の演算装置。

　（１５）
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記第２のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｍ＋１のレジスタである、
　上記（１３）または（１４）に記載の演算装置。

　（１６）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、
　各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記第１のシフトレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、
　演算装置。

　（１７）
　各前記演算回路は、
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備え、
　前記第１の合計部及び前記第２の合計部は、パイプライン処理における前段の前記演算回路における第１の合計部及び第２の合計部で合計された値に、前記係数乗算部の出力値をさらに加算する、
　上記（１６）に記載の演算装置。

　（１８）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、
　前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。

　（１９）
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、
　前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。

　（２０）
　上記のプログラムが記録された、コンピュータにより読み取り可能な記録媒体。

　以上、添付図面を参照しながら本技術に係る好適な実施形態について説明したが、本技術はここで開示した構成例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本技術の技術的範囲に属するものと了解される。

　４０１、５０１　　シフトレジスタ
　４０１１、５０１１　　第１のシフトレジスタ
　４０１２、５０１２　　第２のシフトレジスタ
　５０１３　　第３のシフトレジスタ
　４０２、４０３、４０５、５０２、５０３、５０４、５０７　　ＡＮＤ回路
　４０４、４０７、４０９、４１１、５０６、５０９、５１１、５１３　　セレクタ
　４０６、５０５、５０８　　ＸＯＲ回路
　４０８、４１０、５１０、５１２　　レジスタ

Claims

　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、
　格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　演算装置。
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記他のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備える、
　請求項１に記載の演算装置。
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記他のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｎ＋１のレジスタである、
　請求項１に記載の演算装置。
　前記制御部は、前記第１のレジスタに格納された格納値を維持したまま前記第２～第Ｎ＋１のレジスタに格納された格納値を移動させる第１の制御処理と、前記第１～第Ｎ＋１のレジスタに格納された格納値を全て移動させる第２の制御処理と、を組み合わせて、前記一対の格納値の全組み合わせが出力されるように前記シフトレジスタを制御する、
　請求項１に記載の演算装置。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタと、
　格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　演算装置。
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記第２のシフトレジスタから出力された第１の格納値と前記第３のシフトレジスタから出力された第２の格納値に基づく前記変数乗算部の出力値と、前記第２のシフトレジスタから出力された第２の格納値と前記第３のシフトレジスタから出力された第１の格納値に基づく前記変数乗算部の出力値とを加算する加算部と、
　前記変数乗算部及び前記加算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２及び第３のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を加算する第２の合計部と、
をさらに備える、
　請求項５に記載の演算装置。
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記第２及び第３のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｎ＋１のレジスタである、
　請求項５に記載の演算装置。
　前記制御部は、前記第１のレジスタに格納された格納値を維持したまま前記第２～第Ｎ＋１のレジスタに格納された格納値を移動させる第１の制御処理と、前記第１～第Ｎ＋１のレジスタに格納された格納値を全て移動させる第２の制御処理と、を組み合わせて、前記一対の格納値の全組み合わせが出力されるように前記シフトレジスタを制御する、
　請求項５に記載の演算装置。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる工程を含み、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる工程を含み、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された他の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、
　前記制御機能は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記他のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　プログラム。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な複数のシフトレジスタのうち、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第２の前記シフトレジスタについて格納値を移動させ、当該第２のシフトレジスタと同じサイクルで、格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”（ｃ”は所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第３の前記シフトレジスタについて格納値を移動させる制御機能をコンピュータに実現させるためのプログラムであり、
　前記制御機能は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｎ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせ、及び、前記格納値ｘ_Ｎ”，…，ｘ_１”，ｃ”の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２及び第３のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる、
　プログラム。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、
　各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、
　演算装置。
　各前記演算回路は、
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備え、
　前記第１の合計部及び前記第２の合計部は、パイプライン処理における前段の前記演算回路における第１の合計部及び第２の合計部で合計された値に、前記係数乗算部の出力値をさらに加算する、
　請求項１３に記載の演算装置。
　前記第１のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第２のレジスタであり、
　前記第２のシフトレジスタにおける前記所定の一対のレジスタは、前記第１及び第Ｍ＋１のレジスタである、
　請求項１３に記載の演算装置。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路と、
　各前記演算回路に対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された前記第１のシフトレジスタについて格納値を移動させ、前記第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる制御部と、
を備え、
　前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、
　前記制御部は、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記第１のシフトレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成される、
　演算装置。
　各前記演算回路は、
　前記各シフトレジスタから出力された２つの格納値を乗算する変数乗算部と、
　前記変数乗算部からの出力結果から一つを選択する選択部と、
　前記選択部の出力値に所定の係数を乗算する係数乗算部と、
　前記第１のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第１の合計部と、
　前記第２のシフトレジスタから出力された格納値に関する前記係数乗算部の出力値を全て加算する第２の合計部と、
をさらに備え、
　前記第１の合計部及び前記第２の合計部は、パイプライン処理における前段の前記演算回路における第１の合計部及び第２の合計部で合計された値に、前記係数乗算部の出力値をさらに加算する、
　請求項１６に記載の演算装置。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、
　前記複数の演算回路は、前記第１のシフトレジスタと前記第２のシフトレジスタとは同じ順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。
　第１～第Ｎ＋１のレジスタで構成され、第ｎ＋１のレジスタ（ｎ＝１～Ｎ）から第ｎのレジスタへと格納値を移動させることが可能な第１のシフトレジスタ及び第１～第Ｍ＋１のレジスタで構成され、第ｍ＋１のレジスタ（ｍ＝１～Ｍ）から第ｍのレジスタへと格納値を移動させることが可能な第２のシフトレジスタを含む複数の演算回路のそれぞれに対し、格納値ｘ_１，…，ｘ_Ｎ，ｃ（ｃは所定数）がそれぞれ前記第１～第Ｎ＋１のレジスタに格納された第１の前記シフトレジスタについて格納値を移動させ、当該第１のシフトレジスタと同じサイクルで、格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’（ｃ’は所定数）がそれぞれ前記第１～第Ｍ＋１のレジスタに格納された前記第２のシフトレジスタについて格納値を移動させる工程を含み、
　前記複数の演算回路は直列に接続されて、前記第１のシフトレジスタと前記第２のシフトレジスタとは逆の順序でパイプライン処理を実行するよう構成され、前記第１のシフトレジスタのレジスタの数Ｎ＋１及び前記第２のシフトレジスタのレジスタの数Ｍ＋１は、パイプライン処理における後の演算回路になるほど少なくなるよう構成され、
　前記移動させる工程では、
　前記格納値ｘ_１，…，ｘ_Ｎ，ｃの中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第１のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させ、
　前記格納値ｘ_Ｍ’，…，ｘ_１’，ｃ’の中から選択可能な一対の格納値の全組み合わせが出力されるように、前記格納値を移動させつつ、前記第２のシフトレジスタを構成する所定の一対のレジスタから格納値を出力させる処理が実行される、
　制御方法。