WO2015053185A1 - 秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラム - Google Patents
秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラム Download PDFInfo
- Publication number
- WO2015053185A1 WO2015053185A1 PCT/JP2014/076532 JP2014076532W WO2015053185A1 WO 2015053185 A1 WO2015053185 A1 WO 2015053185A1 JP 2014076532 W JP2014076532 W JP 2014076532W WO 2015053185 A1 WO2015053185 A1 WO 2015053185A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- value
- secret
- bit
- secret sharing
- modulus
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
Definitions
- the present invention relates to a secret quotient transfer device, a secret bit decomposition device, a secret modulus conversion device, a secret quotient transfer method, a secret bit decomposition method, and a secret modulus conversion in the technical field of secret computation that performs data processing while keeping data secret by secret sharing. It relates to a method and a program.
- an object of the present invention is to provide a secret quotient transfer apparatus that can reduce communication costs.
- the communication cost can be reduced.
- FIG. 1 is a block diagram illustrating a configuration of a secret quotient transfer apparatus according to Embodiment 1.
- FIG. 6 is a flowchart illustrating the operation of the secret quotient transfer apparatus according to the first embodiment.
- the block diagram which shows the structure of a linear replication conversion apparatus.
- the flowchart which shows operation
- FIG. 6 is a block diagram illustrating a configuration of a secret bit decomposition apparatus according to a second embodiment.
- 9 is a flowchart showing the operation of the secret bit decomposition apparatus according to the second embodiment.
- FIG. 9 is a block diagram illustrating a configuration of a secret modulus conversion apparatus according to a third embodiment. 10 is a flowchart illustrating the operation of the secret modulus conversion apparatus according to the third embodiment. The block diagram which shows the structure of the secret modulus conversion apparatus of the modification 2.
- FIG. 1 is a block diagram showing the configuration of the secret quotient transfer apparatus 1 of this embodiment.
- FIG. 2 is a flowchart showing the operation of the secret quotient transfer apparatus 1 of this embodiment.
- u is a natural number representing a boundary value
- m is an integer satisfying m ⁇ 2 u
- the secret quotient transfer device 1 calculates the quotient q And the calculated quotient q is output (S1). That is, the secret quotient transfer apparatus 1, when the bit representation of each x i is obtained, it is possible to calculate the quotient by their respective lower u bits of the adder or subtraction circuit. According to the secret quotient transfer apparatus 1 of the present embodiment, the point is that it is not necessary to calculate higher bits than the u-th bit.
- (k, n) -linear secret sharing is defined as follows.
- function Is (k, n) -linear secret sharing the following reconstruction coefficient sequence for an arbitrary injection ⁇ : ⁇ 0,..., K ⁇ 1 ⁇ ⁇ ⁇ 0,..., N ⁇ 1 ⁇ Is assumed to exist.
- ⁇ represents that k shares are arbitrarily selected from n shares.
- R is a commutative group
- C is a set in which a product with R is defined.
- a coefficient sequence For any input a SHARE pr (a) is called a linear secret sharing value of a and is expressed as [a]. And each i ⁇ ⁇ 0, ..., n- 1 ⁇ SHARE pr respect to (a) i is expressed as [a] i, referred to as the i-th, or party i share.
- Shamir's secret sharing is a typical (k, n) -linear secret sharing.
- the coefficient sequence is the Lagrange coefficient in the Lagrange complement method. The present invention also assumes the use of the following duplicate secret sharing among linear secret sharing.
- the duplicate secret sharing is the following secret sharing.
- P i k-1 party group
- All parties that do not belong to P i have a i .
- Party belonging to the P i do not have all a i.
- it is safe for collusion up to k-1 parties.
- you gather k parties you can restore any a i because someone always has it. Therefore, (k, n) -secret sharing.
- Each a i is called a subshare.
- the shares of each party are (a 0 , a 1 ), (a 1 , a 2 ), (a 2 , a 0 ). It becomes.
- the secret sharing value of the duplicate secret sharing is written as ⁇ a ⁇ , and the share of the i-th party is written as ⁇ a ⁇ i .
- the semi-honest protocol of the present invention uses (k, k) -replica secret sharing.
- (K, k) -Replication secret sharing has the advantage of being efficient because only k people have one share at a time.
- (k, k) -replica secret sharing has the advantage that it can be easily converted off-line from any (k, n) -linear secret sharing.
- FIG. 3 is a block diagram illustrating a configuration of the linear replication conversion apparatus 2.
- FIG. 4 is a flowchart showing the operation of the linear replication conversion apparatus 2.
- the input to the linear replication conversion apparatus 2 and the output from the linear replication conversion apparatus 2 are as follows.
- the linear replication conversion device 2 includes a random number generation unit 21, a linear conversion unit 22, a difference value calculation unit 23, a disclosure unit 24, and a summation unit 25.
- the random number generation unit 21 generates a random number ⁇ r ⁇ Zp with duplicate secrets distributed (S21).
- the linear conversion unit 22 obtains a random number ⁇ r ⁇ Zp with duplicate secret sharing and converts the random number into a desired random number [r] Zp with linear secret sharing (S22).
- the difference value calculation unit 23 acquires the linear secret sharing value [a] Zp and the linear secret sharing random number [r] Zp , and calculates the difference value [a ⁇ r] Zp (S23).
- the publishing unit 24 publishes the difference value [a ⁇ r] Zp by a method corresponding to the malicious (see, for example, Non-Patent Document 1), and acquires the decoded value a ⁇ r of the difference value (S24).
- the duplicate secret sharing value ⁇ a ⁇ Zp is acquired (S25).
- (k, n) -replica secret sharing can be converted offline to any (k, n) -linear secret share (see Non-Patent Document 1 for details). ).
- (Reference Non-Patent Document 1) R. Cramer, I. Damg_ard, and Y. Ishai. Share conversion, pseudorandom secret-sharing and applications to secure computation. In J. Kilian ed., TCC, Vol. 3378 of Lecture Notes in Computer Science, pp. 342 ⁇ 362. Springer, 2005.
- FIG. 5 is a block diagram showing the configuration of the secret bit decomposition apparatus 3 of this embodiment.
- FIG. 6 is a flowchart showing the operation of the secret bit decomposition apparatus 3 of this embodiment.
- the secret bit decomposition apparatus 3 includes a public value double secret calculation unit 31, a lower bit distribution unit 32, an upper bit distribution unit 33, a lower bit addition unit 34, a zero determination unit 35, An upper bit addition unit 36 is included.
- Bit decomposition is performed by dividing a secret sharing value [a] Zp of a number a less than M into a sequence of l secret sharing values. It is an operation to convert to. However, each a 0 ,..., A l-1 is each bit when a is expressed in binary (0 is the least significant). [•] Zp and [•] Z2 may be the same type of secret sharing or different types of secret sharing.
- Boundary value u is ⁇ logm ⁇
- q i and r i are numerical values representing the u-th bit and the u ⁇ 1-th bit of x i , respectively, and q u and r u are It is assumed that the numerical value represents the u-th bit and after and the u-1 bit and before. Then, from equation (1), the following equation holds, where l is 1 + u ⁇
- This algorithm calculates equation (2).
- the amount of communication is O (l) bits for
- 2 u ⁇ Zp ⁇ a ⁇ Zp is calculated (S31).
- the public secret multiple of the duplicate secret sharing b ⁇ Zp ⁇ a ⁇ Zp is realized by multiplying each subshare of ⁇ a ⁇ by b.
- (k, n) -linear secret sharing effect value multiple b ⁇ Zp [a] Zp is realized by multiplying each share of [a] by b.
- the above-mentioned operation symbol x means that an operation is performed separately for each algebraic structure on which the operation is performed.
- the following steps S32, S33, S34, and S36 are executed for all i satisfying i ⁇ m.
- the lower bit distribution unit 32 distributes u bits bit by bit from the 0th bit of the j-th subshare ⁇ a ′ ⁇ Zp ⁇ j> of the modified secret distribution value, and the lower bit distribution value. Is acquired (S32).
- the upper bit distribution unit 33 distributes l bits from the u-th bit of the j-th subshare ⁇ a ′ ⁇ Zp ⁇ j> of the modified secret distribution value for each bit, and the upper bit distribution value Is acquired (S33).
- the lower bit adder 34 calculates the lower bit addition value by the secret calculation of the adder circuit. Is calculated (S34).
- the lower u bits of the lower bit addition value are Upper u bit far.
- the zero determination unit 35 acquires the lower u bits of the lower bit addition value, and calculates the zero determination value [[r u ⁇ 0]] Z2 by the secret calculation of the zero determination circuit (S35).
- the upper bit addition unit 36 obtains the upper bit addition value, the upper u bits of the lower bit addition value, and the zero determination value, and performs secret calculation of the bit by the secret calculation of the addition circuit. Is calculated and output (S36).
- FIG. 7 is a block diagram showing the configuration of the secret bit decomposition apparatus 3A of this modification.
- the secret bit decomposition apparatus 3A of the present modification includes a linear replication conversion apparatus 2 that is configured to convert the above-described linear secret sharing value into a replication secret sharing value in addition to the above-described configuration.
- the secret bit decomposition apparatus 3A since the secret bit decomposition apparatus 3A includes the linear replication conversion apparatus 2, even if the input to the apparatus is a linear secret distribution value, the secret bit decomposition can be executed.
- the secret bit decomposition apparatus 3A may execute the secret bit decomposition process after converting (k, n) -linear secret sharing into (k, k) -copy secret sharing,
- the secret bit decomposition processing may be executed after converting k, n) -linear secret sharing into (k, n) -copy secret sharing.
- Modulus conversion is a process of converting a secret sharing value in a number less than the modulus p into another number less in the modulus p ′. In a normal computer, this corresponds to type conversion from a 32-bit integer to a 64-bit integer, and this is also an indispensable process in practical secret calculation.
- variance value ⁇ a ' ⁇ Zp: 2 to calculate the u ⁇ Zp ⁇ a ⁇ Zp ( S41).
- the following steps S42, S43, S45, and S46 are executed for all i satisfying i ⁇ m.
- the modulus lower-order bit distribution unit 42 is the share of the i-th party of the modulus modified secret distribution value.
- the u bits are distributed from the 0th bit of the moduli and the modulus lower bit dispersion value Is acquired (S42).
- the modulus lower bit addition unit 43 calculates the lower bit addition value by the secret calculation of the addition circuit. And the result of the calculation is the linear secret sharing value of the quotient (S43).
- the conversion processing unit 44 performs predetermined conversion processing such as mod 2 ⁇ mod p ′ conversion on the linear secret sharing value of the quotient, and acquires the converted linear secret sharing value ⁇ q ⁇ Zp ′ of the quotient (S44). .
- a specific calculation method of the mod 2 ⁇ mod p ′ conversion will be described in detail below.
- Step 3 By secret calculation Calculate However, the symbol displayed by superimposing + on the circle is the XOR operation, and n is the number of parties.
- Step 4 Calculate and publish Get.
- Step 6 That is
- FIG. 10 is a block diagram showing the configuration of the secret modulus conversion device 4A of the present modification.
- the secret modulus conversion device 4A of the present modification includes a linear replication conversion device 2 that is configured to convert the above-described linear secret sharing value into a replication secret sharing value in addition to the above configuration.
- the secret modulus conversion device 4A since the secret modulus conversion device 4A includes the linear replication conversion device 2, the modulus secret conversion can be executed even if the input to the device is a linear secret sharing value.
- the secret modulus conversion device 4A may execute the secret modulus conversion process after converting (k, n) -linear secret sharing into (k, k) -copy secret sharing,
- the secret modulus conversion process may be executed after converting k, n) -linear secret sharing into (k, n) -copy secret sharing.
- the gist of the present invention is closely related to the quotient calculation of share for both bit decomposition and modulus conversion.
- the calculation was performed using a
- the quotient transfer is a new technique devised in the present invention that moves the quotient that normally appears in the upper bits of the addition result so as to appear in the lower bits of the addition result using the property of the integer remainder.
- the amount of communication is dramatically improved from O (
- the program describing the processing contents can be recorded on a computer-readable recording medium.
- a computer-readable recording medium any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
- this program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
- a computer that executes such a program first stores a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device.
- the computer reads a program stored in its own recording medium and executes a process according to the read program.
- the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer.
- the processing according to the received program may be executed sequentially.
- the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes a processing function only by an execution instruction and result acquisition. It is good.
- the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
- the present apparatus is configured by executing a predetermined program on a computer.
- a predetermined program on a computer.
- at least a part of these processing contents may be realized by hardware.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
Description
以下、本明細書において使用される用語を説明する。
[semi-honest]
semi-honestとは、攻撃者はデータを盗み見するが、処理は正しく行う前提のことである。
[malicious]
maliciousとは、攻撃者は任意の不正な動作を行う前提のことである。
以下、本明細書において共通で使用される記法について説明する。
本発明では全体的に、p未満の数というデータ型の中に、実際には状況依存のあるM未満の数が格納されると想定する。例えば通常のコンピュータでも、32ビット整数の中に「性別」という1ビット(M=2)のデータが格納される場合がある。Mのビット数をlと表記する。本発明ではこのような場合を想定し、|p|に依存しない(|p|に関してO(1))ビット通信量での非常に高速なシェアの商計算を実現する。シェアの商計算の高速化はビット分解、モジュラス変換など秘密計算の分野の多くの処理の高速化を導く。
以下、図1、図2を参照して実施例1の秘密商転移装置について説明する。図1は本実施例の秘密商転移装置1の構成を示すブロック図である。図2は本実施例の秘密商転移装置1の動作を示すフローチャートである。
<(k,n)-線形秘密分散)>
(k,n)-秘密分散とは、平文をn個のシェアとして分散し、そのうちk個のシェアを集めれば平文を復元でき、かつk-1個以下のシェアを集めても平文の情報が一切得られないデータ分散方式のことである。
ある係数列
複製秘密分散とは次のような秘密分散である。まずm=nCk-1個の可換群Rの元a0,…,am-1をもって平文aを
{a}i=λi[a]i
入力:線形秘密分散値[a]Zp
出力:複製秘密分散値{a}Zp
(参考非特許文献1)R. Cramer, I. Damg_ard, and Y. Ishai. Share conversion, pseudorandom secret-sharing and applications to secure computation. In J. Kilian ed., TCC, Vol. 3378 of Lecture Notes in Computer Science, pp. 342{362. Springer, 2005.
以下、図5、図6を参照して、実施例2の秘密ビット分解装置について説明する。図5は本実施例の秘密ビット分解装置3の構成を示すブロック図である。図6は本実施例の秘密ビット分解装置3の動作を示すフローチャートである。図5に示すように、秘密ビット分解装置3は、公開値倍秘密計算部31と、下位ビット分散部32と、上位ビット分散部33と、下位ビット加算部34と、零判定部35と、上位ビット加算部36を含む。
以下、図6を参照して本実施例の秘密ビット分解装置3が実行する秘密ビット分解方法について説明する。pをメルセンヌ素数とする。つまりpは2べき-1となる素数である。(x0,…,xm-1)を0≦a<pのサブシェアとする。境界値uを┌logm┐とし、さらに各qi,riをそれぞれxiのuビット目以降およびu-1ビット以前を表現する数値とし、qu,ruを
入力:{a}Zp,ただし2ua<p
出力:ビットの秘密分散値列
以下、図7を参照して実施例2の秘密ビット分解装置3の変形例である秘密ビット分解装置3Aについて説明する。図7は本変形例の秘密ビット分解装置3Aの構成を示すブロック図である。図7に示すように、本変形例の秘密ビット分解装置3Aは、上述の構成に加え、上述した線形秘密分散値を複製秘密分散値に変換する構成である線形複製変換装置2を含む。このように、秘密ビット分解装置3Aが線形複製変換装置2を含むことにより、装置への入力が線形秘密分散値であったとしても、秘密ビット分解を実行することができる。なお、本変形例の秘密ビット分解装置3Aは、(k,n)―線形秘密分散を(k,k)―複製秘密分散に変換してから秘密ビット分解処理を実行してもよいし、(k,n)―線形秘密分散を(k,n)―複製秘密分散に変換してから秘密ビット分解処理を実行してもよい。
以下、図9を参照して本実施例の秘密モジュラス変換装置4が実行する秘密モジュラス変換方法について説明する。式(1)を利用して、複製秘密分散に対する本実施例のアルゴリズムが導かれる。通信量は|p|,|p′|に関してO(|p′|)ビットでpに非依存であり、高速である。複製秘密分散へは任意の線形秘密分散から変換することができ(詳細は線形複製変換装置2の記載を参照)、入力が複製秘密分散の形式に限定されていることは実際の利用上の制限とはならない。以下に、秘密モジュラス変換装置4への入力、秘密モジュラス変換装置4からの出力を示す。
入力:mod p複製秘密分散値{a}Zp、ただし2ua<p,u=┌logm┐
出力:mod p′複製秘密分散値{a}Zp′
入力:{a}2
出力:{a}p′
ステップ1:乱数rを平文に持つ2種類の秘密分散値{r}2,{r}p′を生成する。
ステップ2:つまり、各i番目のパーティは1ビットの乱数riを生成し、さらに{・}2,{・}p′の2種類の形式で秘密分散して{ri}2,{ri}p′を得る。
以下、図10を参照して実施例3の秘密モジュラス変換装置4の変形例である秘密モジュラス変換装置4Aについて説明する。図10は本変形例の秘密モジュラス変換装置4Aの構成を示すブロック図である。図10に示すように、本変形例の秘密モジュラス変換装置4Aは、上述の構成に加え、上述した線形秘密分散値を複製秘密分散値に変換する構成である線形複製変換装置2を含む。このように、秘密モジュラス変換装置4Aが線形複製変換装置2を含むことにより、装置への入力が線形秘密分散値であったとしても、モジュラス秘密変換を実行することができる。なお、本変形例の秘密モジュラス変換装置4Aは、(k,n)―線形秘密分散を(k,k)―複製秘密分散に変換してから秘密モジュラス変換処理を実行してもよいし、(k,n)―線形秘密分散を(k,n)―複製秘密分散に変換してから秘密モジュラス変換処理を実行してもよい。
本発明の要点は、ビット分解、モジュラス変換ともシェアの商計算と密接な関係にあり、従来|p|ビットの加算回路を用いて計算していたところ、商転移というアイデアを考案し、|p|に依存しないlogmビットの回路で計算できるようにしたことである。商転移は、通常加算結果の上位ビットに現れる商を、整数剰余の性質を利用して加算結果の下位ビットに現れるように移動させる、本発明で考案の新しい技法である。通信量はシェアの商計算、ビット分解、モジュラス変換とも|p|に関してO(|p|2)からO(1)となり、飛躍的に効率化されている。例えば|p|=31でl=2(すなわち31ビット整数に2ビットデータが格納されている)ケースでは従来の最速実装(参考非特許文献2、図「shiftR」参照)よりも2600倍程度高速である。
(参考非特許文献2) D. Bogdanov, M. Niitsoo, T. Toft, and J. Willemson. High-performance secure multi-party computation for data mining applications. Int. J. Inf. Sec., 11(6):403{418,2012.
Claims (9)
- pをメルセンヌ素数とし、mをm≦2uを充たす整数とし、自然数である境界値uを┌logm┐とし、iをi=0,1,…,m-1を充たす整数とし、jをj=0,1,…,m-1を充たす整数とし、任意の命題Pに対して、〔P〕は、Pの真偽を整数に変換する演算子とし、aの線形秘密分散値を[a]と表記し、aの複製秘密分散値を{a}と表記し、平文aを0以上任意の法p未満であって、
2ua<pの条件の下、複製秘密分散値{a}Zpを取得して、公開値倍の秘密計算により変形秘密分散値{a′}Zp:=2u×Zp{a}Zpを計算する公開値倍秘密計算部と、
i<mを充たすすべてのiについて、前記変形秘密分散値のj番目のサブシェア{a′}Zp〈j〉の0ビット目からuビットをビットごとに分散して下位ビット分散値
i<mを充たすすべてのiについて、前記変形秘密分散値のj番目のサブシェア{a′}Zp〈j〉のuビット目からlビットをビットごとに分散して上位ビット分散値
加算回路の秘密計算により下位ビット加算値
前記下位ビット加算値のうち下位uビットを
前記下位ビット加算値の下位uビットを取得して、零判定回路の秘密計算により、零判定値[〔ru≠0〕]Z2を計算する零判定部と、
i<mを充たすすべてのiについて、前記上位ビット加算値と、前記下位ビット加算値の上位uビットと、前記零判定値を取得して、加算回路の秘密計算により、ビットの秘密分散列
を含む秘密ビット分解装置。 - pをメルセンヌ素数とし、mをm≦2uを充たす整数とし、自然数である境界値uを┌logm┐とし、iをi=0,1,…,m-1を充たす整数とし、jをj=0,1,…,m-1を充たす整数とし、任意の命題Pに対して、〔P〕は、Pの真偽を整数に変換する演算子とし、aの線形秘密分散値を[a]と表記し、aの複製秘密分散値を{a}と表記し、平文aを0以上任意の法p未満であって、
2ua<pの条件の下、mod p複製秘密分散値{a}Zpを取得して、公開値倍の秘密計算により、変形秘密分散値{a′}Zp:=2u×Zp{a}Zpを計算する公開値倍秘密計算部と、
i<mを充たすすべてのiについて、モジュラス変形秘密分散値のi番目のパーティのシェアである
i<mを充たすすべてのiについて、加算回路の秘密計算により、下位ビット加算値
前記商の線形秘密分散値にmod 2→mod p′変換等の所定の変換処理を施して、変換された商の線形秘密分散値{q}Zp′を取得する変換処理部と、
i<mを充たすすべてのiについて、前記変形秘密分散値
前記再変形秘密分散値と、前記変換された商の線形秘密分散値を取得して、加算および公開値倍の秘密計算を用いて、差分計算
を含む秘密モジュラス変換装置。 - pをメルセンヌ素数とし、mをm≦2uを充たす整数とし、自然数である境界値uを┌logm┐とし、iをi=0,1,…,m-1を充たす整数とし、jをj=0,1,…,m-1を充たす整数とし、任意の命題Pに対して、〔P〕は、Pの真偽を整数に変換する演算子とし、aの線形秘密分散値を[a]と表記し、aの複製秘密分散値を{a}と表記し、平文aを0以上任意の法p未満であって、
2ua<pの条件の下、複製秘密分散値{a}Zpを取得して、公開値倍の秘密計算により変形秘密分散値{a′}Zp:=2u×Zp{a}Zpを計算する公開値倍秘密計算ステップと、
i<mを充たすすべてのiについて、前記変形秘密分散値のj番目のサブシェア{a′}Zp〈j〉の0ビット目からuビットをビットごとに分散して下位ビット分散値
i<mを充たすすべてのiについて、前記変形秘密分散値のj番目のサブシェア{a′}Zp〈j〉のuビット目からlビットをビットごとに分散して上位ビット分散値
加算回路の秘密計算により下位ビット加算値
前記下位ビット加算値のうち下位uビットを
前記下位ビット加算値の下位uビットを取得して、零判定回路の秘密計算により、零判定値[〔ru≠0〕]Z2を計算する零判定ステップと、
i<mを充たすすべてのiについて、前記上位ビット加算値と、前記下位ビット加算値の上位uビットと、前記零判定値を取得して、加算回路の秘密計算により、ビットの秘密分散列
を含む秘密ビット分解方法。 - pをメルセンヌ素数とし、mをm≦2uを充たす整数とし、自然数である境界値uを┌logm┐とし、iをi=0,1,…,m-1を充たす整数とし、jをj=0,1,…,m-1を充たす整数とし、任意の命題Pに対して、〔P〕は、Pの真偽を整数に変換する演算子とし、aの線形秘密分散値を[a]と表記し、aの複製秘密分散値を{a}と表記し、平文aを0以上任意の法p未満であって、
2ua<pの条件の下、mod p複製秘密分散値{a}Zpを取得して、公開値倍の秘密計算により、変形秘密分散値{a′}Zp:=2u×Zp{a}Zpを計算する公開値倍秘密計算ステップと、
i<mを充たすすべてのiについて、モジュラス変形秘密分散値のi番目のパーティのシェアである
i<mを充たすすべてのiについて、加算回路の秘密計算により、下位ビット加算値
前記商の線形秘密分散値にmod 2→mod p′変換等の所定の変換処理を施して、変換された商の線形秘密分散値{q}Zp′を取得する変換処理ステップと、
i<mを充たすすべてのiについて、前記変形秘密分散値
前記再変形秘密分散値と、前記変換された商の線形秘密分散値を取得して、加算および公開値倍の秘密計算を用いて、差分計算
を含む秘密モジュラス変換方法。 - コンピュータを、請求項1に記載の秘密商転移装置として機能させるためのプログラム。
- コンピュータを、請求項2に記載の秘密ビット分解装置として機能させるためのプログラム。
- コンピュータを、請求項3に記載の秘密モジュラス変換装置として機能させるためのプログラム。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP19168522.1A EP3528234B1 (en) | 2013-10-10 | 2014-10-03 | Secret modulus conversion device, secret modulus conversion method, and program therefor |
EP14851517.4A EP3057078B1 (en) | 2013-10-10 | 2014-10-03 | Secret quotient transfer device, secret quotient transfer method, and program therefor |
JP2015541551A JP6095792B2 (ja) | 2013-10-10 | 2014-10-03 | 秘密ビット分解装置、秘密モジュラス変換装置、秘密ビット分解方法、秘密モジュラス変換方法、プログラム |
US15/025,394 US10003460B2 (en) | 2013-10-10 | 2014-10-03 | Secret quotient transfer device, secret bit decomposition device, secret modulus conversion device, secret quotient transfer method, secret bit decomposition method, secret modulus conversion method, and programs therefor |
EP19168521.3A EP3528233B1 (en) | 2013-10-10 | 2014-10-03 | Secret bit decomposition device, secret bit decomposition method, and program therefor |
CN201480054555.2A CN105593919B (zh) | 2013-10-10 | 2014-10-03 | 秘密商转移装置及方法、秘密比特分解装置及方法、秘密模数转换装置及方法 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013-213027 | 2013-10-10 | ||
JP2013213027 | 2013-10-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015053185A1 true WO2015053185A1 (ja) | 2015-04-16 |
Family
ID=52813001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2014/076532 WO2015053185A1 (ja) | 2013-10-10 | 2014-10-03 | 秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10003460B2 (ja) |
EP (3) | EP3528233B1 (ja) |
JP (1) | JP6095792B2 (ja) |
CN (1) | CN105593919B (ja) |
WO (1) | WO2015053185A1 (ja) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105204782A (zh) * | 2015-10-13 | 2015-12-30 | 中国联合网络通信集团有限公司 | 一种实现数据存储的方法及装置 |
JP5957126B1 (ja) * | 2015-06-24 | 2016-07-27 | 日本電信電話株式会社 | 秘密計算装置、秘密計算方法、およびプログラム |
WO2018211675A1 (en) * | 2017-05-18 | 2018-11-22 | Nec Corporation | Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program |
WO2019039383A1 (ja) * | 2017-08-22 | 2019-02-28 | 日本電信電話株式会社 | シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体 |
WO2019039380A1 (ja) * | 2017-08-22 | 2019-02-28 | 日本電信電話株式会社 | シェア生成装置、シェア変換装置、秘密計算システム、シェア生成方法、シェア変換方法、プログラム、および記録媒体 |
WO2019087317A1 (ja) * | 2017-10-31 | 2019-05-09 | 日本電気株式会社 | 秘密計算装置、システム、方法、プログラム |
CN110800034A (zh) * | 2017-07-05 | 2020-02-14 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法、程序以及记录介质 |
CN112805769A (zh) * | 2018-10-04 | 2021-05-14 | 日本电信电话株式会社 | 秘密s型函数计算系统、秘密逻辑回归计算系统、秘密s型函数计算装置、秘密逻辑回归计算装置、秘密s型函数计算方法、秘密逻辑回归计算方法、程序 |
WO2022079892A1 (ja) * | 2020-10-16 | 2022-04-21 | 日本電信電話株式会社 | 秘匿モジュラス変換システム、分散処理装置、秘匿モジュラス変換方法、プログラム |
WO2022153358A1 (ja) * | 2021-01-12 | 2022-07-21 | 日本電気株式会社 | 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム |
US11991178B2 (en) | 2019-10-04 | 2024-05-21 | Nec Corporation | Secret computation system, secret computation server, auxiliary server, secret computation method, and program |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018034079A1 (ja) * | 2016-08-18 | 2018-02-22 | 日本電気株式会社 | 秘密計算システム、秘密計算方法、秘密計算装置、分散情報生成装置およびそれらの方法とプログラム |
WO2020075273A1 (ja) * | 2018-10-11 | 2020-04-16 | 日本電気株式会社 | 情報処理装置、秘密計算方法及びプログラム |
JP2022523182A (ja) * | 2019-02-22 | 2022-04-21 | インファー,インク. | モジュラー整数を使用したセキュアなマルチパーティ計算のための算術 |
CN114760055B (zh) * | 2022-06-15 | 2022-09-09 | 山东区块链研究院 | 基于梅森素数的秘密分享方法、系统、存储介质及设备 |
CN116938455B (zh) * | 2023-09-15 | 2023-12-12 | 山东师范大学 | 基于秘密分享大小比较的数据处理方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005209095A (ja) * | 2004-01-26 | 2005-08-04 | Fujitsu Ltd | 多倍長データ積和演算処理回路及びモンゴメリ積和剰余演算回路 |
JP2013205592A (ja) * | 2012-03-28 | 2013-10-07 | Toshiba Corp | 秘匿計算システム、集計装置及び集計結果復号プログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BE1003932A6 (fr) * | 1989-04-28 | 1992-07-22 | Musyck Emile | Systeme cryptographique par bloc de donnees binaires. |
US6993136B2 (en) * | 2000-08-18 | 2006-01-31 | The United States Of America As Represented By The National Security Agency | Cryptographic key exchange method using efficient elliptic curve |
US7194089B2 (en) * | 2001-10-24 | 2007-03-20 | International Business Machines Corporation | Method for reducing a value modulo a shared secret |
JP3917507B2 (ja) * | 2002-01-28 | 2007-05-23 | 株式会社東芝 | コンテンツ提供側システム、ユーザ側システム、追跡システム、コンテンツ提供方法、暗号化コンテンツ復号方法、不正ユーザ特定方法、暗号化装置、復号装置及びプログラム |
-
2014
- 2014-10-03 US US15/025,394 patent/US10003460B2/en active Active
- 2014-10-03 EP EP19168521.3A patent/EP3528233B1/en active Active
- 2014-10-03 EP EP14851517.4A patent/EP3057078B1/en active Active
- 2014-10-03 CN CN201480054555.2A patent/CN105593919B/zh active Active
- 2014-10-03 WO PCT/JP2014/076532 patent/WO2015053185A1/ja active Application Filing
- 2014-10-03 EP EP19168522.1A patent/EP3528234B1/en active Active
- 2014-10-03 JP JP2015541551A patent/JP6095792B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005209095A (ja) * | 2004-01-26 | 2005-08-04 | Fujitsu Ltd | 多倍長データ積和演算処理回路及びモンゴメリ積和剰余演算回路 |
JP2013205592A (ja) * | 2012-03-28 | 2013-10-07 | Toshiba Corp | 秘匿計算システム、集計装置及び集計結果復号プログラム |
Non-Patent Citations (6)
Title |
---|
"D9.1 Secure Computation Models and Frameworks", July 2008 (2008-07-01), pages 48 - 92, XP008183298, Retrieved from the Internet <URL:http://sesar.di.unimi.it/securescm/documents/D9.1_SecureSCM_V1.0.pdf> * |
D. BOGDANOV; M. NIITSOO; T. TOFT; J. WILLEMSON: "High-performance secure multi-party computation for data mining applications", INT. J. INF. SEC., vol. 11, no. 6, 2012, pages 403 - 418, XP035125356, DOI: doi:10.1007/s10207-012-0177-2 |
DAI IGARASHI ET AL.: "Multiparty Keisan ni Kakucho Kano na Himitsu Bunsanho no Kosoku Jisso", 2013 NEN SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY (SCIS2013, 22 January 2013 (2013-01-22), pages 3C3 - 3, XP008183991 * |
I. DAMGARD; M. FITZI; E. KILTZ; J. B. NIELSEN; T. TOFT: "TCC", vol. 3876, 2006, SPRINGER, article "Unconditionally secure constant-rounds multi-party computation for equality, comparison, bits and exponentiation", pages: 285 - 304 |
R. CRAMER; I, DAMGARG; Y ISHAI: "TCC", vol. 3378, 2005, SPRINGER, article "Share conversion, pseudorandom secret-sharing and applications to secure computation", pages: 342 - 362 |
RYO KATO ET AL.: "Teisu Round (k,n) Hitoku Modulo Henkan Protocol no Teian", COMPUTER SECURITY SYMPOSIUM 2011 (CSS2011, 12 October 2011 (2011-10-12), RONBUNSHU, pages 427 - 431, XP008183336 * |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5957126B1 (ja) * | 2015-06-24 | 2016-07-27 | 日本電信電話株式会社 | 秘密計算装置、秘密計算方法、およびプログラム |
WO2016208437A1 (ja) * | 2015-06-24 | 2016-12-29 | 日本電信電話株式会社 | 秘密計算装置、秘密計算方法、およびプログラム |
CN107735830A (zh) * | 2015-06-24 | 2018-02-23 | 日本电信电话株式会社 | 秘密计算装置、秘密计算方法和程序 |
CN105204782A (zh) * | 2015-10-13 | 2015-12-30 | 中国联合网络通信集团有限公司 | 一种实现数据存储的方法及装置 |
WO2018211675A1 (en) * | 2017-05-18 | 2018-11-22 | Nec Corporation | Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program |
US11599681B2 (en) | 2017-05-18 | 2023-03-07 | Nec Corporation | Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program |
CN110800034A (zh) * | 2017-07-05 | 2020-02-14 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法、程序以及记录介质 |
CN110800034B (zh) * | 2017-07-05 | 2023-05-02 | 日本电信电话株式会社 | 秘密计算系统、秘密计算装置、秘密计算方法、程序以及记录介质 |
JPWO2019039383A1 (ja) * | 2017-08-22 | 2020-09-03 | 日本電信電話株式会社 | シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体 |
JPWO2019039380A1 (ja) * | 2017-08-22 | 2020-09-03 | 日本電信電話株式会社 | シェア生成装置、シェア変換装置、秘密計算システム、シェア生成方法、シェア変換方法、プログラム、および記録媒体 |
WO2019039383A1 (ja) * | 2017-08-22 | 2019-02-28 | 日本電信電話株式会社 | シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体 |
WO2019039380A1 (ja) * | 2017-08-22 | 2019-02-28 | 日本電信電話株式会社 | シェア生成装置、シェア変換装置、秘密計算システム、シェア生成方法、シェア変換方法、プログラム、および記録媒体 |
US11381390B2 (en) | 2017-10-31 | 2022-07-05 | Nec Corporation | Secure computation apparatus, system, method and program |
JP7031682B2 (ja) | 2017-10-31 | 2022-03-08 | 日本電気株式会社 | 秘密計算装置、システム、方法、プログラム |
JPWO2019087317A1 (ja) * | 2017-10-31 | 2020-11-12 | 日本電気株式会社 | 秘密計算装置、システム、方法、プログラム |
WO2019087317A1 (ja) * | 2017-10-31 | 2019-05-09 | 日本電気株式会社 | 秘密計算装置、システム、方法、プログラム |
CN112805769A (zh) * | 2018-10-04 | 2021-05-14 | 日本电信电话株式会社 | 秘密s型函数计算系统、秘密逻辑回归计算系统、秘密s型函数计算装置、秘密逻辑回归计算装置、秘密s型函数计算方法、秘密逻辑回归计算方法、程序 |
CN112805769B (zh) * | 2018-10-04 | 2023-11-07 | 日本电信电话株式会社 | 秘密s型函数计算系统、装置、方法及记录介质 |
US11991178B2 (en) | 2019-10-04 | 2024-05-21 | Nec Corporation | Secret computation system, secret computation server, auxiliary server, secret computation method, and program |
WO2022079892A1 (ja) * | 2020-10-16 | 2022-04-21 | 日本電信電話株式会社 | 秘匿モジュラス変換システム、分散処理装置、秘匿モジュラス変換方法、プログラム |
JP7485068B2 (ja) | 2020-10-16 | 2024-05-16 | 日本電信電話株式会社 | 秘匿モジュラス変換システム、分散処理装置、秘匿モジュラス変換方法、プログラム |
WO2022153358A1 (ja) * | 2021-01-12 | 2022-07-21 | 日本電気株式会社 | 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム |
Also Published As
Publication number | Publication date |
---|---|
EP3057078B1 (en) | 2019-08-28 |
JPWO2015053185A1 (ja) | 2017-03-09 |
EP3057078A1 (en) | 2016-08-17 |
US20160218862A1 (en) | 2016-07-28 |
EP3528234A1 (en) | 2019-08-21 |
US10003460B2 (en) | 2018-06-19 |
EP3528234B1 (en) | 2021-05-05 |
JP6095792B2 (ja) | 2017-03-15 |
EP3528233B1 (en) | 2021-03-10 |
CN105593919A (zh) | 2016-05-18 |
EP3528233A1 (en) | 2019-08-21 |
EP3057078A4 (en) | 2017-10-18 |
CN105593919B (zh) | 2018-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6095792B2 (ja) | 秘密ビット分解装置、秘密モジュラス変換装置、秘密ビット分解方法、秘密モジュラス変換方法、プログラム | |
JP5885840B2 (ja) | 秘密分散システム、データ分散装置、分散データ変換装置、秘密分散方法、およびプログラム | |
Nkandeu et al. | An image encryption algorithm based on substitution technique and chaos mixing | |
CA2723319C (en) | A closed galois field cryptographic system | |
Li et al. | Essential secret image sharing scheme with the same size of shadows | |
Li et al. | Distortion less secret image sharing scheme for Internet of Things system | |
EP1081889A2 (en) | Extended key generator, encryption / decryption unit, extended key generation method, and storage medium | |
WO2014112548A1 (ja) | 秘匿計算システム、演算装置、秘匿計算方法、およびプログラム | |
JPWO2015107951A1 (ja) | 秘密計算方法、秘密計算システム、ソート装置及びプログラム | |
CN111866018B (zh) | 数据信息加密发送方法、装置、计算机设备及存储介质 | |
JP5860557B1 (ja) | 秘密公開方法、秘密公開システム、秘密公開装置、およびプログラム | |
JP5872084B1 (ja) | 分散値変換システム、分散値変換装置、分散値変換方法、およびプログラム | |
Gupta et al. | Session key based novel lightweight image encryption algorithm using a hybrid of Chebyshev chaotic map and crossover | |
Liu et al. | Optimal XOR based (2, n)-visual cryptography schemes | |
Hussam | New lightweight hybrid encryption algorithm for cloud computing (LMGHA-128bit) by using new 5-D hyperchaos system | |
Reyad et al. | Image encryption using koblitz’s encoding and new mapping method based on elliptic curve random number generator | |
US20210157955A1 (en) | Bit decomposition secure computation apparatus, bit combining secure computation apparatus, method and program | |
US20220069980A1 (en) | Information processing apparatus, secure computation method, and program | |
Patil et al. | Pixel co-ordinate-based secret image sharing scheme with constant size shadow images | |
CN105099693B (zh) | 一种传输方法及传输装置 | |
CN114830210A (zh) | 秘密随机数生成系统、秘密计算装置、秘密随机数生成方法以及程序 | |
JP2015135380A (ja) | シェア変換システム、シェア変換方法、プログラム | |
EP3675088B1 (en) | Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium | |
JP5355263B2 (ja) | 鍵共有装置、鍵共有方法及びプログラム | |
JP5506633B2 (ja) | 代理計算システム、端末装置、代理計算装置、代理計算方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14851517 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15025394 Country of ref document: US |
|
ENP | Entry into the national phase |
Ref document number: 2015541551 Country of ref document: JP Kind code of ref document: A |
|
REEP | Request for entry into the european phase |
Ref document number: 2014851517 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2014851517 Country of ref document: EP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |