WO2015053185A1 - 秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラム - Google Patents

Abstract

　通信コストを削減することができる秘密商転移装置を提供する。ｕは自然数であって境界値を表すものとし、ｍをｍ≦２^ｕを充たす整数、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、平文ａを０以上任意の法ｐ未満となる整数とし、整数ａと０が２^ｕを法として合同であるものとし、ａがｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、サブシェアの合計値ａ_Ｚのｐによる商ｑをｑ＝Σ（ｉ＜ｍ）ｘ^ｉｍｏｄ２^ｕと計算する秘密商転移装置。

Description

秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラム

　本発明は秘密分散によりデータを秘匿しつつデータ処理を行う秘密計算の技術分野における、秘密商転移装置、秘密ビット分解装置、秘密モジュラス変換装置、秘密商転移方法、秘密ビット分解方法、秘密モジュラス変換方法、プログラムに関する。

　従来、秘密分散によりデータを秘匿しつつデータ処理を行う秘密計算の技術分野において、分散された任意の法ｐ未満の数の列ｘ_０，…，ｘ_ｍ-１を加算した値

をｐで割った商ｑ（すなわちａ_Ｚ＝ａ＋ｑｐと表現した場合のｑ、ただし０≦ａ＜ｐ，０≦ｑ＜ｍ）を求める技術（「シェアの商計算」と呼ぶ）が知られている。シェアの商計算を実現する技術に、ビット分解（非特許文献１）がある。

I. Damgard, M. Fitzi, E. Kiltz, J. B. Nielsen, and T. Toft. Unconditionally secure constant-rounds multi-party computation for equality, comparison, bits and exponentiation. In S. Halevi and T. Rabin eds., TCC, Vol. 3876 of Lecture Notes in Computer Science, pp. 285{304. Springer, 2006.

　上記の従来技術においては、｜ｐ｜をｐのビット長とした場合に、通信量がＯ（｜ｐ｜^２）ビットとなり通信コストが大きいという課題があった。そこで本発明では、通信コストを削減することができる秘密商転移装置を提供することを目的とする。

　本発明の秘密商転移装置は、

を、整数ｘとｚがｙを法として合同であることを示す記号とし、
　ｕは自然数であって境界値を表すものとし、ｍをｍ≦２^ｕを充たす整数、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、平文ａを０以上任意の法ｐ未満であって、

となる整数とし、ａが

となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、サブシェアの合計値ａ_Ｚを、

としてｑをサブシェアの合計値ａ_Ｚのｐによる商とするとき、
　商ｑを

と計算する。

　本発明の秘密商転移装置によれば、通信コストを削減することができる。

実施例１の秘密商転移装置の構成を示すブロック図。 実施例１の秘密商転移装置の動作を示すフローチャート。 線形複製変換装置の構成を示すブロック図。 線形複製変換装置の動作を示すフローチャート。 実施例２の秘密ビット分解装置の構成を示すブロック図。 実施例２の秘密ビット分解装置の動作を示すフローチャート。 変形例１の秘密ビット分解装置の構成を示すブロック図。 実施例３の秘密モジュラス変換装置の構成を示すブロック図。 実施例３の秘密モジュラス変換装置の動作を示すフローチャート。 変形例２の秘密モジュラス変換装置の構成を示すブロック図。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜用語の説明＞
　以下、本明細書において使用される用語を説明する。
［ｓｅｍｉ－ｈｏｎｅｓｔ］
　ｓｅｍｉ－ｈｏｎｅｓｔとは、攻撃者はデータを盗み見するが、処理は正しく行う前提のことである。
［ｍａｌｉｃｉｏｕｓ］
　ｍａｌｉｃｉｏｕｓとは、攻撃者は任意の不正な動作を行う前提のことである。

＜記法＞
　以下、本明細書において共通で使用される記法について説明する。

は、整数ｘとｚがｙを法として合同であることを示す。任意の命題Ｐに対して、〔Ｐ〕は、Ｐの真偽を整数に変換する演算子とする。典型的にはＰが真ならば１、偽ならば０である。

＜前提＞
　本発明では全体的に、ｐ未満の数というデータ型の中に、実際には状況依存のあるＭ未満の数が格納されると想定する。例えば通常のコンピュータでも、３２ビット整数の中に「性別」という１ビット（Ｍ＝２）のデータが格納される場合がある。Ｍのビット数をｌと表記する。本発明ではこのような場合を想定し、｜ｐ｜に依存しない（｜ｐ｜に関してＯ（１））ビット通信量での非常に高速なシェアの商計算を実現する。シェアの商計算の高速化はビット分解、モジュラス変換など秘密計算の分野の多くの処理の高速化を導く。

＜秘密商転移装置１＞
　以下、図１、図２を参照して実施例１の秘密商転移装置について説明する。図１は本実施例の秘密商転移装置１の構成を示すブロック図である。図２は本実施例の秘密商転移装置１の動作を示すフローチャートである。

　ｕは自然数であって境界値を表すものとし、ｍをｍ≦２^ｕを充たす整数、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、平文ａを０以上任意の法ｐ未満（０≦ａ＜ｐ）であって、

となる整数とし、ａが

となるｍ個のｘ_０，…，ｘ_ｍ-１の和として表現されるとする。整数ｉ＝０，１,…,ｍ－１とし、各ｘ_ｉをａのサブシェアと呼ぶ。このときサブシェアの合計値ａ_Ｚを、

としてｑをａ_Ｚのｐによる商とする。本実施例の秘密商転移装置１には、複数の装置からサブシェアが送信されるものとする。秘密商転移装置１は、商ｑを

と計算し、計算された商ｑを出力する（Ｓ１）。すなわち、秘密商転移装置１は、各ｘ_ｉのビット表現が得られたとき、その各下位ｕビットの加算回路または減算回路により商を計算することができる。本実施例の秘密商転移装置１によれば、ｕビット目より上位ビットの計算が不要となる点がポイントである。本実施例で開示された秘密商転移装置１、および秘密商転移方法は秘密分散されたデータに対してデータの秘匿性を保ったまま処理を行う秘密計算において多くの応用が考えられる。以下の実施例２、実施例３においてこれらの応用例について説明する。

　以下の実施例を説明するために、まず秘密分散の説明を行う。
＜（ｋ，ｎ）－線形秘密分散）＞
　（ｋ，ｎ）－秘密分散とは、平文をｎ個のシェアとして分散し、そのうちｋ個のシェアを集めれば平文を復元でき、かつｋ－１個以下のシェアを集めても平文の情報が一切得られないデータ分散方式のことである。

　ここでは（ｋ，ｎ）－線形秘密分散は以下のように定義する。関数

が（ｋ，ｎ）－線形秘密分散であるとは、任意の単射σ：｛０，…，ｋ-１｝→｛０，…，ｎ-１｝に対して以下の復元用の係数列が存在することとする。σはｎ個のシェアからｋ個のシェアを任意に選択することを表現している。ただしＲは可換群、ＣはＲとの積が定義される集合とする。

＜復元＞
　ある係数列

が存在して、任意の入力ａに対して

ＳＨＡＲＥ_ｐｒ（ａ）をａの線形秘密分散値と呼び、［ａ］と表記する。また各ｉ∈｛０，…，ｎ-１｝に対してＳＨＡＲＥ_ｐｒ（ａ）_ｉを［ａ］_ｉと表記し、ｉ番目の、またはパーティｉのシェアと呼ぶ。Ｓｈａｍｉｒの秘密分散は代表的な（ｋ，ｎ）－線形秘密分散である。Ｓｈａｍｉｒの秘密分散では係数列はＬａｇｒａｎｇｅ補完法におけるＬａｇｒａｎｇｅ係数である。また、本発明では線形秘密分散の中でも特に以下の複製秘密分散の利用も想定する。

＜複製秘密分散＞
　複製秘密分散とは次のような秘密分散である。まずｍ＝_ｎＣ_ｋ-１個の可換群Ｒの元ａ_０，…，ａ_ｍ-１をもって平文ａを

とする。そして各ｋ-１パーティの組（ｉ番目のｋ-１パーティの組をＰ_ｉとする）について、Ｐ_ｉに属さないパーティがみなａ_ｉを持つ。Ｐ_ｉに属するパーティはみなａ_ｉを持たない。以上のようにすると、任意のｋ-１パーティ組に対して、持たないａ_ｉが存在するからｋ-１パーティまでの結託に対して安全である。またｋパーティ集まると、どのａ_ｉも必ず誰かが持っているため、復元できる。よって（ｋ，ｎ）－秘密分散となっている。各ａ_ｉをサブシェアと呼ぶ。例えば（２，３）－複製秘密分散は、ａ＝ａ_０＋ａ_１＋ａ_２とし、各パーティのシェアは（ａ_０，ａ_１），（ａ_１，ａ_２），（ａ_２，ａ_０）となる。

　複製秘密分散の秘密分散値は｛ａ｝のように書き、ｉ番目のパーティのシェアは｛ａ｝_ｉのように書く。また、ｊをｊ＝０，１,…,ｍ－１を充たす整数とし、ｊ番目のサブシェアは｛ａ｝〈ｊ〉のように書く。本発明のｓｅｍｉ－ｈｏｎｅｓｔプロトコルでは（ｋ，ｋ）－複製秘密分散を用いる。（ｋ，ｋ）－複製秘密分散は、ｋ人だけでシェアを１個ずつ持つため効率的であるという利点がある。また、（ｋ，ｋ）－複製秘密分散は任意の（ｋ，ｎ）－線形秘密分散からオフラインで簡単に変換できるという利点もある。すなわち、任意にｋパーティを選択し（簡略化のため本稿では０，…，ｋ-１のｋパーティとして書くが任意のｋパーティでよい。）、各ｉ＜ｋに対して以下のように復元時の係数を乗ずればよい。
｛ａ｝_ｉ＝λ_ｉ［ａ］_ｉ

　以下、図３、図４を参照して、本発明で用いることができるＭａｌｉｃｉｏｕｓ対応プロトコルによる（ｋ，ｎ）－複製秘密分散を用いる線形複製変換装置２について説明する。図３は、線形複製変換装置２の構成を示すブロック図である。図４は、線形複製変換装置２の動作を示すフローチャートである。線形複製変換装置２への入力、線形複製変換装置２からの出力は以下である。
入力：線形秘密分散値［ａ］^Ｚｐ
出力：複製秘密分散値｛ａ｝^Ｚｐ

　図２に示すように、線形複製変換装置２は、乱数生成部２１と、線形変換部２２と、差分値計算部２３と、公開部２４と、和算部２５を含む。乱数生成部２１は、複製秘密分散された乱数｛ｒ｝^Ｚｐを生成する（Ｓ２１）。線形変換部２２は、複製秘密分散された乱数｛ｒ｝^Ｚｐを取得し、当該乱数を所望の線形秘密分散された乱数［ｒ］^Ｚｐに変換する（Ｓ２２）。差分値計算部２３は、線形秘密分散値［ａ］^Ｚｐ、線形秘密分散された乱数［ｒ］^Ｚｐを取得して、差分値［ａ-ｒ］^Ｚｐを計算する（Ｓ２３）。公開部２４は、差分値［ａ-ｒ］^Ｚｐをｍａｌｉｃｉｏｕｓ対応の方式で公開（例えば、非特許文献１参照）して、差分値の復号値ａ-ｒを取得する（Ｓ２４）。和算部２５は、複製秘密分散された乱数｛ｒ｝^Ｚｐと、差分値の復号値ａ-ｒを取得して、和算（ａ-ｒ）＋｛ｒ｝^Ｚｐ＝｛ａ｝^Ｚｐにより、複製秘密分散値｛ａ｝^Ｚｐを取得する（Ｓ２５）。（ｋ，ｎ）－複製秘密分散は、（ｋ，ｋ）－複製秘密分散とは逆に、任意の（ｋ，ｎ）－線形秘密分散にオフラインで変換できる（詳細は参考非特許文献１参照）という利点がある。
（参考非特許文献１）R. Cramer, I. Damg_ard, and Y. Ishai. Share conversion, pseudorandom secret-sharing and applications to secure computation. In J. Kilian ed., TCC, Vol. 3378 of Lecture Notes in Computer Science, pp. 342{362. Springer, 2005.

＜秘密ビット分解装置＞
　以下、図５、図６を参照して、実施例２の秘密ビット分解装置について説明する。図５は本実施例の秘密ビット分解装置３の構成を示すブロック図である。図６は本実施例の秘密ビット分解装置３の動作を示すフローチャートである。図５に示すように、秘密ビット分解装置３は、公開値倍秘密計算部３１と、下位ビット分散部３２と、上位ビット分散部３３と、下位ビット加算部３４と、零判定部３５と、上位ビット加算部３６を含む。

　ビット分解は、Ｍ未満の数ａの秘密分散値［ａ］^Ｚｐを、ｌ個の秘密分散値の列

に変換する操作である。ただし各ａ_０，…，ａ_ｌ-１はａを２進表現したときの各ビット（０が最下位）である。また［・］^Ｚｐと［・］^Ｚ２は同じ形式の秘密分散であっても異なる形式の秘密分散であっても構わない。

は長さｌの、［・］^Ｚ２の形式の秘密分散の列である。秘密計算は加算・乗算を基本処理とするため、算術演算は高速であるが、算術演算の結果は１ビットを超えた数値となりうる。一方低速な代わりに任意の処理を実現する論理回路は１ビット値を入出力とする。両者を橋渡しし、算術演算を高速に処理した後に任意の処理を行うために数値を１ビット値の列に変換するのがビット分解であり、実用的な秘密計算においては無くてはならない処理である。

＜実施例２の秘密ビット分解方法＞
　以下、図６を参照して本実施例の秘密ビット分解装置３が実行する秘密ビット分解方法について説明する。ｐをメルセンヌ素数とする。つまりｐは２べき-１となる素数である。（ｘ_０，…，ｘ_ｍ-１）を０≦ａ＜ｐのサブシェアとする。境界値ｕを┌ｌｏｇｍ┐とし、さらに各ｑ_ｉ，ｒ_ｉをそれぞれｘ_ｉのｕビット目以降およびｕ-１ビット以前を表現する数値とし、ｑ_ｕ，ｒ_ｕを

のｕビット目以降およびｕ-１ビット以前を表現する数値とする。すると式（１）よりｌをｌ＋ｕ≦｜ｐ｜として以下の等式が成り立つ。

　このことを利用すると、複製秘密分散に対する本実施例のアルゴリズムが導かれる。本アルゴリズムは式（２）を計算している。通信量は｜ｐ｜，ｌに関してＯ（ｌ）ビットでｐに非依存であり、高速である。

　複製秘密分散へは任意の線形秘密分散から変換することができ（参考非特許文献１）、入力が複製秘密分散の形式に限定されていることは実際の利用上の制限とはならない。

　秘密ビット分解装置３への入力、秘密ビット分散装置３からの出力を以下に示す。
入力：｛ａ｝^Ｚｐ，ただし２^ｕａ＜ｐ
出力：ビットの秘密分散値列

なお、パラメータ：サブシェア数ｍ∈Ｎ，ｕ＝┌ｌｏｇｍ┐，素数ｐとする。

　公開値倍秘密計算部３１は、２^ｕａ＜ｐの条件の下、複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する（Ｓ３１）。例えばｐ未満の任意の整数ｂに対して、複製秘密分散の公開値倍ｂ×_Ｚｐ｛ａ｝^Ｚｐは、｛ａ｝の各サブシェアにｂを乗ずることで実現される。また（ｋ，ｎ）―線形秘密分散の効果値倍ｂ×_Ｚｐ［ａ］^Ｚｐは、［ａ］の各シェアにｂを乗ずることで実現される。なお、前述の演算記号×などは、演算を行う代数構造ごとに区別して演算を行うことを意味する。以下のステップＳ３２、Ｓ３３、Ｓ３４、Ｓ３６は、ｉ＜ｍを充たすすべてのｉについて実行される。下位ビット分散部３２は、変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉の０ビット目からｕビットをビットごとに分散して下位ビット分散値

を取得する（Ｓ３２）。上位ビット分散部３３は、変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉のｕビット目からｌビットをビットごとに分散して上位ビット分散値

を取得する（Ｓ３３）。下位ビット加算部３４は、加算回路の秘密計算により下位ビット加算値

を計算する（Ｓ３４）。以下、下位ビット加算値のうち下位ｕビットを

上位ｕビットを

とおく。零判定部３５は、下位ビット加算値の下位ｕビットを取得して、零判定回路の秘密計算により、零判定値［〔ｒ_ｕ≠０〕］^Ｚ２を計算する（Ｓ３５）。上位ビット加算部３６は、上位ビット加算値と、下位ビット加算値の上位ｕビットと、零判定値を取得して、加算回路の秘密計算により、ビットの秘密分散列

を計算して出力する（Ｓ３６）。

［変形例１］
　以下、図７を参照して実施例２の秘密ビット分解装置３の変形例である秘密ビット分解装置３Ａについて説明する。図７は本変形例の秘密ビット分解装置３Ａの構成を示すブロック図である。図７に示すように、本変形例の秘密ビット分解装置３Ａは、上述の構成に加え、上述した線形秘密分散値を複製秘密分散値に変換する構成である線形複製変換装置２を含む。このように、秘密ビット分解装置３Ａが線形複製変換装置２を含むことにより、装置への入力が線形秘密分散値であったとしても、秘密ビット分解を実行することができる。なお、本変形例の秘密ビット分解装置３Ａは、（ｋ，ｎ）―線形秘密分散を（ｋ，ｋ）―複製秘密分散に変換してから秘密ビット分解処理を実行してもよいし、（ｋ，ｎ）―線形秘密分散を（ｋ，ｎ）―複製秘密分散に変換してから秘密ビット分解処理を実行してもよい。

　以下、図８、図９を参照して実施例３の秘密モジュラス変換装置について説明する。図８は本実施例の秘密モジュラス変換装置４の構成を示すブロック図である。図９は本実施例の秘密モジュラス変換装置４の動作を示すフローチャートである。図８に示すように、本実施例の秘密モジュラス変換装置４は、公開値倍秘密計算部４１と、モジュラス下位ビット分散部４２と、モジュラス下位ビット加算部４３と、変換処理部４４と、再変形部４５と、モジュラス差分部４６を含む。

　モジュラス変換とは、法ｐ未満の数の形式の秘密分散値を、別の法ｐ′未満の数の形式に変換する処理である。通常のコンピュータでは３２ビット整数から６４ビット整数への型変換などに相当し、これも実用的な秘密計算においては無くてはならない処理である。

＜実施例３の秘密モジュラス変換方法＞
　以下、図９を参照して本実施例の秘密モジュラス変換装置４が実行する秘密モジュラス変換方法について説明する。式（１）を利用して、複製秘密分散に対する本実施例のアルゴリズムが導かれる。通信量は｜ｐ｜，｜ｐ′｜に関してＯ（｜ｐ′｜）ビットでｐに非依存であり、高速である。複製秘密分散へは任意の線形秘密分散から変換することができ（詳細は線形複製変換装置２の記載を参照）、入力が複製秘密分散の形式に限定されていることは実際の利用上の制限とはならない。以下に、秘密モジュラス変換装置４への入力、秘密モジュラス変換装置４からの出力を示す。
入力：ｍｏｄ　ｐ複製秘密分散値｛ａ｝^Ｚｐ、ただし２^ｕａ＜ｐ，ｕ＝┌ｌｏｇｍ┐
出力：ｍｏｄ　ｐ′複製秘密分散値｛ａ｝^Ｚｐ′

　公開値倍秘密計算部４１は、２^ｕａ＜ｐ，ｕ＝┌ｌｏｇｍ┐の条件の下、ｍｏｄ　ｐ複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により、変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する（Ｓ４１）。以下のステップＳ４２、Ｓ４３、Ｓ４５、Ｓ４６は、ｉ＜ｍを充たすすべてのｉについて実行される。モジュラス下位ビット分散部４２は、モジュラス変形秘密分散値のｉ番目のパーティのシェアである

の０ビット目からｕビットを分散して、モジュラス下位ビット分散値

を取得する（Ｓ４２）。マイナスがＺ_ｐ上ではなくＺ_２ｕ上となっていることに注意する。モジュラス下位ビット加算部４３は、加算回路の秘密計算により、下位ビット加算値

を計算し、計算結果を商の線形秘密分散値

とする（Ｓ４３）。変換処理部４４は、商の線形秘密分散値にｍｏｄ　２→ｍｏｄ　ｐ′変換等の所定の変換処理を施して、変換された商の線形秘密分散値｛ｑ｝^Ｚｐ′を取得する（Ｓ４４）。ｍｏｄ　２→ｍｏｄ　ｐ′変換の具体的な演算方法について以下に詳述する。

＜ｍｏｄ　２→ｍｏｄ　ｐ′変換（ステップ１～７）＞
入力：｛ａ｝^２
出力：｛ａ｝^ｐ′
ステップ１：乱数ｒを平文に持つ２種類の秘密分散値｛ｒ｝^２，｛ｒ｝^ｐ′を生成する。
ステップ２：つまり、各ｉ番目のパーティは１ビットの乱数ｒ_ｉを生成し、さらに｛・｝^２，｛・｝^ｐ′の２種類の形式で秘密分散して｛ｒ_ｉ｝^２，｛ｒ_ｉ｝^ｐ′を得る。

ステップ３：秘密計算により、

を計算する。ただし○に＋を重ねて表示した記号はＸＯＲ演算，ｎはパーティ数である。

ステップ４：

を計算して公開し、

を得る。

ステップ５：

を計算する。

ステップ６：つまり、

ステップ７：

　次に、再変形部４５は、変形秘密分散値

のｍｏｄ　ｐ′である再変形秘密分散値

を計算する（Ｓ４５）。なお、式（１）より

となっている。モジュラス差分部４６は、再変形秘密分散値と、変換された商の線形秘密分散値を取得して、加算および公開値倍の秘密計算を用いて、差分計算

を計算して出力する（Ｓ４６）。

［変形例２］
　以下、図１０を参照して実施例３の秘密モジュラス変換装置４の変形例である秘密モジュラス変換装置４Ａについて説明する。図１０は本変形例の秘密モジュラス変換装置４Ａの構成を示すブロック図である。図１０に示すように、本変形例の秘密モジュラス変換装置４Ａは、上述の構成に加え、上述した線形秘密分散値を複製秘密分散値に変換する構成である線形複製変換装置２を含む。このように、秘密モジュラス変換装置４Ａが線形複製変換装置２を含むことにより、装置への入力が線形秘密分散値であったとしても、モジュラス秘密変換を実行することができる。なお、本変形例の秘密モジュラス変換装置４Ａは、（ｋ，ｎ）―線形秘密分散を（ｋ，ｋ）―複製秘密分散に変換してから秘密モジュラス変換処理を実行してもよいし、（ｋ，ｎ）―線形秘密分散を（ｋ，ｎ）―複製秘密分散に変換してから秘密モジュラス変換処理を実行してもよい。

＜発明の要点＞
　本発明の要点は、ビット分解、モジュラス変換ともシェアの商計算と密接な関係にあり、従来｜ｐ｜ビットの加算回路を用いて計算していたところ、商転移というアイデアを考案し、｜ｐ｜に依存しないｌｏｇｍビットの回路で計算できるようにしたことである。商転移は、通常加算結果の上位ビットに現れる商を、整数剰余の性質を利用して加算結果の下位ビットに現れるように移動させる、本発明で考案の新しい技法である。通信量はシェアの商計算、ビット分解、モジュラス変換とも｜ｐ｜に関してＯ（｜ｐ｜^２）からＯ（１）となり、飛躍的に効率化されている。例えば｜ｐ｜＝３１でｌ＝２（すなわち３１ビット整数に２ビットデータが格納されている）ケースでは従来の最速実装（参考非特許文献２、図「ｓｈｉｆｔＲ」参照）よりも２６００倍程度高速である。
（参考非特許文献２） D. Bogdanov, M. Niitsoo, T. Toft, and J. Willemson. High-performance secure multi-party computation for data mining applications. Int. J. Inf. Sec., 11(6):403{418,2012.

　上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (9)

1. 

   を、整数ｘとｚがｙを法として合同であることを示す記号とし、
   　ｕは自然数であって境界値を表すものとし、ｍをｍ≦２^ｕを充たす整数、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、前記サブシェアの合計値ａ_Ｚを、
   

   

   としてｑを前記サブシェアの合計値ａ_Ｚのｐによる商とするとき、
   　前記商ｑを
   

   

   と計算する秘密商転移装置。
2. 　ｐをメルセンヌ素数とし、ｍをｍ≦２^ｕを充たす整数とし、自然数である境界値ｕを┌ｌｏｇｍ┐とし、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、ｊをｊ＝０，１,…,ｍ－１を充たす整数とし、任意の命題Ｐに対して、〔Ｐ〕は、Ｐの真偽を整数に変換する演算子とし、ａの線形秘密分散値を［ａ］と表記し、ａの複製秘密分散値を{ａ}と表記し、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、
   　２^ｕａ＜ｐの条件の下、複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する公開値倍秘密計算部と、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉の０ビット目からｕビットをビットごとに分散して下位ビット分散値
   

   

   を取得する下位ビット分散部と、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉のｕビット目からｌビットをビットごとに分散して上位ビット分散値
   

   

   を取得する上位ビット分散部と、
   　加算回路の秘密計算により下位ビット加算値
   

   

   を計算する下位ビット加算部と、
   　前記下位ビット加算値のうち下位ｕビットを
   

   

   上位ｕビットを
   

   

   と表すものとし、
   　前記下位ビット加算値の下位ｕビットを取得して、零判定回路の秘密計算により、零判定値［〔ｒ_ｕ≠０〕］^Ｚ２を計算する零判定部と、
   　ｉ＜ｍを充たすすべてのｉについて、前記上位ビット加算値と、前記下位ビット加算値の上位ｕビットと、前記零判定値を取得して、加算回路の秘密計算により、ビットの秘密分散列
   

   

   を計算して出力する上位ビット加算部
   を含む秘密ビット分解装置。
3. 　ｐをメルセンヌ素数とし、ｍをｍ≦２^ｕを充たす整数とし、自然数である境界値ｕを┌ｌｏｇｍ┐とし、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、ｊをｊ＝０，１,…,ｍ－１を充たす整数とし、任意の命題Ｐに対して、〔Ｐ〕は、Ｐの真偽を整数に変換する演算子とし、ａの線形秘密分散値を［ａ］と表記し、ａの複製秘密分散値を{ａ}と表記し、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、
   　２^ｕａ＜ｐの条件の下、ｍｏｄ　ｐ複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により、変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する公開値倍秘密計算部と、
   　ｉ＜ｍを充たすすべてのｉについて、モジュラス変形秘密分散値のｉ番目のパーティのシェアである
   

   

   の０ビット目からｕビットを分散して、モジュラス下位ビット分散値
   

   

   を取得するモジュラス下位ビット分散部と、
   　ｉ＜ｍを充たすすべてのｉについて、加算回路の秘密計算により、下位ビット加算値
   

   

   を計算し、計算結果を商の線形秘密分散値
   

   

   とするモジュラス下位ビット加算部と、
   　前記商の線形秘密分散値にｍｏｄ　２→ｍｏｄ　ｐ′変換等の所定の変換処理を施して、変換された商の線形秘密分散値｛ｑ｝^Ｚｐ′を取得する変換処理部と、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値
   

   

   のｍｏｄ　ｐ′である再変形秘密分散値
   

   

   を計算する再変形部と、
   　前記再変形秘密分散値と、前記変換された商の線形秘密分散値を取得して、加算および公開値倍の秘密計算を用いて、差分計算
   

   

   を計算して出力するモジュラス差分部
   を含む秘密モジュラス変換装置。
4. 

   を、整数ｘとｚがｙを法として合同であることを示す記号とし、
   　ｕは自然数であって境界値を表すものとし、ｍをｍ≦２^ｕを充たす整数、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、前記サブシェアの合計値ａ_Ｚを、
   

   

   としてｑを前記サブシェアの合計値ａ_Ｚのｐによる商とするとき、
   　前記商ｑを
   

   

   と計算する秘密商転移方法。
5. 　ｐをメルセンヌ素数とし、ｍをｍ≦２^ｕを充たす整数とし、自然数である境界値ｕを┌ｌｏｇｍ┐とし、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、ｊをｊ＝０，１,…,ｍ－１を充たす整数とし、任意の命題Ｐに対して、〔Ｐ〕は、Ｐの真偽を整数に変換する演算子とし、ａの線形秘密分散値を［ａ］と表記し、ａの複製秘密分散値を{ａ}と表記し、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、
   　２^ｕａ＜ｐの条件の下、複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する公開値倍秘密計算ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉の０ビット目からｕビットをビットごとに分散して下位ビット分散値
   

   

   を取得する下位ビット分散ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値のｊ番目のサブシェア｛ａ′｝^Ｚｐ〈ｊ〉のｕビット目からｌビットをビットごとに分散して上位ビット分散値
   

   

   を取得する上位ビット分散ステップと、
   　加算回路の秘密計算により下位ビット加算値
   

   

   を計算する下位ビット加算ステップと、
   　前記下位ビット加算値のうち下位ｕビットを
   

   

   上位ｕビットを
   

   

   と表すものとし、
   　前記下位ビット加算値の下位ｕビットを取得して、零判定回路の秘密計算により、零判定値［〔ｒ_ｕ≠０〕］^Ｚ２を計算する零判定ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、前記上位ビット加算値と、前記下位ビット加算値の上位ｕビットと、前記零判定値を取得して、加算回路の秘密計算により、ビットの秘密分散列
   

   

   を計算して出力する上位ビット加算ステップ
   を含む秘密ビット分解方法。
6. 　ｐをメルセンヌ素数とし、ｍをｍ≦２^ｕを充たす整数とし、自然数である境界値ｕを┌ｌｏｇｍ┐とし、ｉをｉ＝０，１,…,ｍ－１を充たす整数とし、ｊをｊ＝０，１,…,ｍ－１を充たす整数とし、任意の命題Ｐに対して、〔Ｐ〕は、Ｐの真偽を整数に変換する演算子とし、ａの線形秘密分散値を［ａ］と表記し、ａの複製秘密分散値を{ａ}と表記し、平文ａを０以上任意の法ｐ未満であって、
   

   

   となる整数とし、前記ａが
   

   

   となるｍ個のサブシェアｘ_０，…，ｘ_ｍ-１の和として表現されるものとし、
   　２^ｕａ＜ｐの条件の下、ｍｏｄ　ｐ複製秘密分散値｛ａ｝^Ｚｐを取得して、公開値倍の秘密計算により、変形秘密分散値｛ａ′｝^Ｚｐ：＝２^ｕ×_Ｚｐ｛ａ｝^Ｚｐを計算する公開値倍秘密計算ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、モジュラス変形秘密分散値のｉ番目のパーティのシェアである
   

   

   の０ビット目からｕビットを分散して、モジュラス下位ビット分散値
   

   

   を取得するモジュラス下位ビット分散ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、加算回路の秘密計算により、下位ビット加算値
   

   

   を計算し、計算結果を商の線形秘密分散値
   

   

   とするモジュラス下位ビット加算ステップと、
   　前記商の線形秘密分散値にｍｏｄ　２→ｍｏｄ　ｐ′変換等の所定の変換処理を施して、変換された商の線形秘密分散値｛ｑ｝^Ｚｐ′を取得する変換処理ステップと、
   　ｉ＜ｍを充たすすべてのｉについて、前記変形秘密分散値
   

   

   のｍｏｄ　ｐ′である再変形秘密分散値
   

   

   を計算する再変形ステップと、
   　前記再変形秘密分散値と、前記変換された商の線形秘密分散値を取得して、加算および公開値倍の秘密計算を用いて、差分計算
   

   

   を計算して出力するモジュラス差分ステップ
   を含む秘密モジュラス変換方法。
7. 　コンピュータを、請求項１に記載の秘密商転移装置として機能させるためのプログラム。
8. 　コンピュータを、請求項２に記載の秘密ビット分解装置として機能させるためのプログラム。
9. 　コンピュータを、請求項３に記載の秘密モジュラス変換装置として機能させるためのプログラム。

Images