WO2018135511A1

WO2018135511A1 - 秘密計算方法、秘密計算システム、秘密計算装置、およびプログラム

Info

Publication number: WO2018135511A1
Application number: PCT/JP2018/001135
Authority: WO
Inventors: 大五十嵐; 亮菊池
Original assignee: 日本電信電話株式会社
Priority date: 2017-01-18
Filing date: 2018-01-17
Publication date: 2018-07-26
Also published as: JP6732959B2; US20190349193A1; EP4167213B1; EP4167213A1; EP3573041A1; EP3573041A4; US11646880B2; JPWO2018135511A1

Abstract

少ない通信回数で高速にべき乗計算を行う。３台以上の秘密計算装置を含む秘密計算システムがデータaのシェア[a]からデータaを秘匿したままデータaのν乗のシェア[a^ν]を計算する。入力部にデータaのシェア[a]と指数νが入力される（ステップＳ１１）。ローカル演算部が、他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算する（ステップＳ１２）。秘密計算部が、他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数がローカル演算部の計算結果[a^{(t*p^u)}]である乗算を計算して、シェア[a^ν]を求める（ステップＳ１３）。出力部からシェア[a^ν]を出力する（ステップＳ１４）。

Description

秘密計算方法、秘密計算システム、秘密計算装置、およびプログラム

　この発明は、秘密計算技術に関し、特に、データを秘匿したまま、そのべき乗を計算する技術に関する。

　機微なデータを共有して分析するために、データを秘匿したまま分析する秘密計算技術が研究されている。その一種に、データをシェアと呼ばれる複数の断片に分割する秘密分散と呼ばれる手法を用いた秘密計算方法がある。データを秘匿したまま様々な分析を行うために、秘匿したデータの乗算や加算、ソートなどの演算を行うプロトコルが提案されている（例えば、非特許文献１や非特許文献２参照）。

　データを秘匿したままべき乗を行うことを考える。あるデータaが秘匿されている状態を[a]と書くとすると、べき乗を計算したい場合（例えば、[a]から[a⁹]を計算したい場合）は、通常バイナリ法などが用いられる。バイナリ法は乗算を繰り返し用いて所望のべき乗を行う手法である。乗算を行う手続きをMultと書くとすると、バイナリ法では、以下のようにして[a⁹]を計算する。

　　　1. [a²]←Mult([a], [a])
　　　2. [a⁴]←Mult([a²], [a²])
　　　3. [a⁸]←Mult([a⁴], [a⁴])
　　　4. [a⁹]←Mult([a⁸], [a])

Dai Ikarashi, Ryo Kikuchi, Koki Hamada, and Koji Chida, "Actively private and correct MPC scheme in t<n/2 from passively secure schemes with small overhead", IACR Cryptology ePrint Archive, vol. 2014, p. 304, 2014. Toshinori Araki, Jun Furukawa, Yehuda Lindell, Ariel Nof, and Kazuma Ohara. "High-Throughput Semi-Honest Secure Three-Party Computation with an Honest Majority", ACM CCS 2016.

　バイナリ法でべき乗を行うと、m乗を行うためにO(log m)回の乗算が必要である。秘密計算では乗算に通信が必要となりパフォーマンスのボトルネックとなるため、より少ない乗算の呼び出し回数でべき乗を行えることが望ましい。

　この発明の目的は、上述のような技術的課題を鑑みて、データを秘匿したまま少ない通信回数でべき乗計算を行うことができる秘密計算技術を提供することである。

　上記の課題を解決するために、この発明の第一の態様の秘密計算方法は、GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、[a]をデータaの加法的秘密分散によるシェアとし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、３台以上の秘密計算装置を含む秘密計算システムが実行する、データaのシェア[a]からデータaを秘匿したままデータaのν乗のシェア[a^ν]を計算する秘密計算方法であって、秘密計算装置のローカル演算部が、他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算し、秘密計算装置の秘密計算部が、他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数がローカル演算部の計算結果[a^{(t*p^u)}]である乗算を計算して、シェア[a^ν]を求める。

　この発明の第二の態様の秘密計算方法は、GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、rを拡大体GF(p^k)の元である乱数とし、[a]をデータaの加法的秘密分散によるシェアとし、<a>:=([a], [ra])をデータaのランダム化分散値とし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、３台以上の秘密計算装置を含む秘密計算システムが実行する、データaのランダム化分散値<a>からデータaを秘匿したままデータaのν乗のランダム化分散値<a^ν>:=([a^ν], [ra^ν])を計算する秘密計算方法であって、秘密計算装置のローカル演算部が、他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算し、秘密計算装置のランダム化部が、他の秘密計算装置との通信を要する秘密計算により、ローカル演算部の計算結果[a^{(t*p^u)}]と乱数rのシェア[r]との乗算を計算して、ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>:=([a^{(t*p^u)}], [ra^{(t*p^u)}])を求め、秘密計算装置の秘密計算部が、他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数がローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>である乗算を計算して、ランダム化分散値<a^ν>を求める。

　この発明によれば、データを秘匿したままべき乗計算を行う際に一部の演算をローカルで行うため、少ない通信回数で高速にべき乗計算を行うことができる。

図１は、第一実施形態の秘密計算システムの機能構成を例示する図である。図２は、第一実施形態の秘密計算装置の機能構成を例示する図である。図３は、第一実施形態の秘密計算方法の処理手続きを例示する図である。図４は、第二実施形態の秘密計算システムの機能構成を例示する図である。図５は、第二実施形態の秘密計算装置の機能構成を例示する図である。図６は、第二実施形態の秘密計算方法の処理手続きを例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　＜表記方法＞
　上付き添え字はべき乗を表し、上付き添え字における^はべき乗を表す。すなわち、a^bはaのb乗を表し、a^{b^c}はaのb^c乗を表す。

　あるデータaを暗号化や秘密分散などにより秘匿化したデータをaの秘匿文と呼び、[a]と表記する。また、aを[a]の平文と呼ぶ。秘匿化が秘密分散である場合、[a]をデータaのシェアまたは分散値と呼ぶこともある。

　データaのランダム化分散値を<a>と表記する。ランダム化分散値とは、データaのシェア[a]と、データaと乱数rとの積算値raのシェア[ra]との組である。したがって、データaのランダム化分散値<a>は、<a>:=([a], [ra])と定義できる。ランダム化分散値<a>:=([a], [ra])のうち、[a]を第０成分と呼び、[ra]を第１成分と呼ぶ。ランダム化分散値による改ざん検知対応については、非特許文献１を参照されたい。

　データやシェアの属する体をGF(p^k)とし、これ以降、演算は全てGF(p^k)上で行われるものとする。pは標数と呼び、kは拡大次数と呼ぶ。例えば、a, b∈GF(7)ならば、a+bはaとbを足し合わせてmod 7を取ったものである。a, b∈GF(2⁸)ならば、a+bはaとbをビット表現した際のビット毎の排他的論理和である。

　＜加法的秘密分散＞
　加法的秘密分散とは、データaを次式のように、複数のシェアa_i（i=0, 1, …, m-1）の和および差に分割し、分散および復元が加減算のみで構成される秘密分散方法である。

　加法的秘密分散では、いくつかのサーバが集まり、m個のシェアa₀, a₁, …, a_m-1すべてが得られれば元のデータaが復元でき、シェアa₀, a₁, …, a_m-1のうち一つでも得られないものがあれば元のデータaを復元することができない。

　＜複製秘密分散＞
　加法的秘密分散として、下記に示すプロトコルShareおよびRecからなる複製秘密分散を用いることができる。なお、Shareプロトコルは平文をシェアに分散するプロトコルであり、Recプロトコルはシェアから平文を復元するプロトコルである。ただし、この発明では加法的秘密分散の性質を有していれば複製秘密分散でなくても用いることができる。

　データaのシェア全体を[a]とし、シェア[a]のうちサーバiが持つシェアを[a]_iと書くものとする。データaを３台のサーバ0, 1, 2に分散する際には、下記のShareプロトコルに従って、データaをあらかじめa₀, a₁, a₂に分割し、サーバ0, 1, 2にそれぞれ[a]₀:=(a₀,a₁), [a]₁:=(a₁, a₂), [a]₂:=(a₂, a₀)を保存する。データaを復元する際には、下記のRecプロトコルに従って、シェア[a]₀, [a]₁, [a]₂のうち少なくとも２つを集めてa₀, a₁, a₂を取得し、それらを加算してデータaを計算する。

　Shareプロトコルは、例えば、以下のようなプロトコルである。

　　　Input: a
　　　Output: ([a]₀, [a]₁, [a]₂)
　　　1. a₁, a₂←GF(p^k)
　　　2. a₀:=a-(a₁+a₂)
　　　3. [a]_i:=(a_i, a_i+1 mod 3) for i∈{0, 1, 2}
　　　4. return ([a]₀, [a]₁, [a]₂)

　Recプロトコルは、例えば、以下のようなプロトコルである。

　　　Input: [a]_i0, [a]_i1 (i₀, i₁∈{0, 1, 2})
　　　Output: a
　　　1. Obtain a₀, a₁, a₂from [a]_i0, [a]_i1
　　　2. return a:=a₀+a₁+a₂

　＜複製秘密分散の変形＞
　複製秘密分散の変形として、以下のような秘密分散も用いることができる。

　　　Input: a
　　　Output: ([a]₀, [a]₁, [a]₂)
　　　1. a₁, a₂←GF(p^k)
　　　2. a₀:=-(a₁+a₂)
　　　3. [a]_i:=(a_i, a_i-1 mod 3- a) for i∈{0, 1, 2}
　　　4. return ([a]₀, [a]₁, [a]₂)

　　　Input: [a]_i0, [a]_i1 (i₀, i₁∈{0, 1, 2})
　　　Output: a
　　　1. Obtain a_i mod 3, a_i+1 mod 3, (a_i+2 mod 3-a) from [a]_i0, [a]_i1 for some i ∈{0, 1, 2}
　　　2. return a:=-(a₀+a₁+a₂)

　＜演算の定義＞
　Multは、加法的秘密分散の乗算を表す。すなわち、３台のサーバ0, 1, 2にそれぞれ加法的秘密分散のシェアが2つずつ([a]₀, [b]₀), ([a]₁, [b]₁), ([a]₂, [b]₂)保存されているとき、互いに通信および計算を行い、最終的にサーバ0, 1, 2がそれぞれ[ab]₀, [ab]₁, [ab]₂を得るプロトコルである。また、このような演算を[ab]←Mult([a], [b])と表記する。Multは、公知の秘密計算による乗算プロトコルを用いることができ、例えば、複製秘密分散に対しては非特許文献１のScheme 11に記載されたプロトコル、複製秘密分散の変形には非特許文献２のプロトコルなどを用いればよい。以下の実施形態では、Multとして非特許文献１のScheme 11を用いることとする。このとき通信ラウンドはMultを呼び出すたびに１回である。

　LocalExpは、各サーバが自身の所有するシェアをべき乗する演算を表す。すなわち、サーバ0, 1, 2にそれぞれ[a]₀=(a₀, a₁), [a]₁=(a₁, a₂), [a]₂=(a₂, a₀)が保存されているとき、サーバ0, 1, 2がそれぞれ[a^u]₀=(a^u ₀, a^u ₁), [a^u]₁=(a^u ₁, a^u ₂), [a^u]₂=(a^u ₂,a^u ₀)を計算するプロトコルである。また、このような演算を[a^u]:=LocalExp([a], u)と書く。LocalExpは、ローカルに保持している値のべき乗を計算するだけであるため、他のサーバとの通信は発生しない。

　DoubleMultは、秘匿文の２つの組を入力とし、各秘匿文同士を乗算した結果の秘匿文を得る演算を表す。すなわち、([a], [a'])と([b], [b'])とを入力とし、([ab], [a'b'])を出力するプロトコルである。また、このような演算を([ab], [a'b'])←DoubleMult(([a],[a']), ([b], [b']))と書く。DoubleMultは、任意の公知のプロトコルを用いることができ、例えば、非特許文献１にこのようなプロトコルが記載されている。このとき通信ラウンドはDoubleMultを呼び出すたびに１回である。また、Multを２回行うことで実現することも可能である。すなわち、[ab]←Mult([a], [b]), [a'b']←Mult([a'], [b'])を計算してもよい。このとき２回のMultは並列で実行できるため、通信ラウンドはDoubleMultと同様に１回である。

　＜発明の原理＞
　この発明では、フロベニウス自己準同型という性質を利用する。これは、任意のu∈Z（ただし、Zは整数の集合）に対し、GF(p^u)上で次式の関係が成り立つことである。

　ここでは簡単のため、

とするが、

のように符号のプラスマイナスが任意であっても成立する。

　この関係を加法的秘密分散の平文とシェアとの関係（a=a₀+a₁+…+a_m-1）に適用すると、次式の関係が成り立つ。

　式（１）の左辺は平文aの「標数べきのべき乗」であり、右辺は平文aのシェアa₀, a₁, …, a_m-1の「標数べきのべき乗」の和である。ここで、a':=a^{p^u}と定義し、i=0, …, m-1についてa'_i:=a_i ^{p^u}と定義すれば、式（１）にて加法的秘密分散の平文とシェアの関係（a'=a'₀+a'₁+…+a'_m-1）が成り立っていることがわかる。すなわち、[a]から[a^{p^u}]を計算するときは、各パーティが自身のシェアをp^u乗すればよく、一切の通信を必要としない。

　この手法を用いることで、任意の数のべき乗についても高速化が可能である。例えば、GF(2⁸)で[a]から[a⁹⁶]を計算したい場合、下記のように[a⁶⁴]=[a^{2^6}]と[a³²]=[a^{2^5}]をローカルで計算し、Mult([a⁶⁴], [a³²])を行えば[a⁹⁶]が得られる。これに必要な通信回数はMult演算の１回である。

　　　1. [a⁶⁴]:=LocalExp([a], 2⁶)
　　　2. [a³²]:=LocalExp([a], 2⁵)
　　　3. [a⁹⁶]←Mult([a⁶⁴], [a³²])

　一方、従来のバイナリ法では、以下のようにMult演算を７回行うため、大幅な高速化になっている。

　　　1. [a²]←Mult([a], [a])
　　　2. [a⁴]←Mult([a²], [a²])
　　　3. [a⁸]←Mult([a⁴], [a⁴])
　　　4. [a¹⁶]←Mult([a⁸], [a⁸])
　　　5. [a³²]←Mult([a¹⁶], [a¹⁶])
　　　6. [a⁶⁴]←Mult([a³²], [a³²])
　　　7. [a⁹⁶]←Mult([a⁶⁴], [a³²])

　＜改ざん検知対応＞
　加法的秘密分散によるシェア[a]から標数べきのべき乗[a^{p^u}]を計算するときは、各パーティが自身のシェアをp^u乗すればよいことを確認した。しかしながら、秘密計算において改ざんを行おうとする攻撃者を想定し、非特許文献１に記載された改ざん検知対応の手法を用いた場合、各パーティが持つシェアは、加法的秘密分散のシェア[a]とランダム化シェア[ra]との組であるランダム化分散値<a>:=([a], [ra])となる。また、それとは別に、乱数を加法的秘密分散で分散したシェア[r]も持つことになる。

　改ざんを行おうとする攻撃者を想定した際の標数べきのべき乗の入出力は、入力が<a>:=([a], [ra])であり、出力が<a^{p^u}>:=([a^{p^u}], [ra^{p^u}])である。上述の標数べきのべき乗を素直にランダム化シェア[ra]に適用してしまうと、第１成分が[ra^{p^u}]ではなく[(ra)^{p^u}]=[r^{p^u}a^{p^u}]となってしまい、所望の出力が得られない。そのため、ランダム化シェア[ra]には標数べきのべき乗を行わず、[a]に対して標数べきのべき乗を行い、[a^{p^u}]を得た後に[r]を乗じて[ra^{p^u}]を求める。すなわち、<a>=([a], [ra])から<a^{p^u}>=([a^{p^u}],[ra^{p^u}])を求めるときは、[a]をp^u乗して[a^{p^u}]を求めた後に、Mult([a^{p^u}], [r])を行い、[ra^{p^u}]を得る。

　＜第一実施形態＞
　第一実施形態の秘密計算システムは、図１に例示するように、n（≧3）台の秘密計算装置１₁, …, １_nを含む。秘密計算装置１₁, …, １_nはそれぞれ通信網３へ接続される。通信網３は、秘密計算装置１₁, …, １_nがそれぞれと通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網３を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１_i（i∈{1, …, n}）へ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体からオフラインで入力するように構成してもよい。

　秘密計算装置１は、図２に例示するように、入力部１１、ローカル演算部１２、秘密計算部１４、および出力部１５を含む。この秘密計算装置１が、他の秘密計算装置１と協調して図３に例示する各ステップの処理を行うことにより第一実施形態の秘密計算方法が実現される。

　秘密計算装置１は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１は、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下、図３を参照して、第一実施形態の秘密計算方法の処理手続きを説明する。

　ステップＳ１１において、入力部１１へ、演算対象のデータaの加法的秘密分散によるシェア[a]と、データaをべき乗する際の指数ν（≧2）とが入力される。シェア[a]および指数νはローカル演算部１２へ送られる。

　ステップＳ１２において、ローカル演算部１２は、他の秘密計算装置と通信を行わずに、データaのt乗の加法的秘密分散のシェア[a^t]の標数べきのべき乗p^uを計算し、データa^tのp^u乗の加法的秘密分散によるシェア[a^{t*p^u}]を求める。すなわち、[a^{t*p^u}]:=LocalExp([a^t], p^u)を計算する。ここで、u, tはt*p^u≦νとなる１以上の整数である。ローカル演算部１２は、データaのν乗の加法的秘密分散によるシェア[a^ν]を求めるために複数回実行されることがあるが、少なくとも１回目の実行時には、t=1となり、データaの加法的秘密分散によるシェア[a]のp^u乗を計算する。

　ステップＳ１３において、秘密計算部１４は、秘密計算により他の秘密計算装置と協調して、データaのα乗の加法的秘密分散のシェア[a^α]とデータaのβ乗の加法的秘密分散のシェア[a^β]との乗算を計算する。すなわち、[a^α+β]←Mult([a^α], [a^β])を計算する。ここで、α, βはα+β≦νとなる１以上の整数である。[a^α]および[a^β]のいずれかは、ローカル演算部１２により求めたデータa^tのp^u乗の加法的秘密分散によるシェア[a^{t*p^u}]である。すなわち、α=t*p^uもしくはβ=t*p^uである。秘密計算部１４は、データaのν乗の加法的秘密分散によるシェア[a^ν]を求めるために複数回実行されることがある。

　ステップＳ１４において、出力部１５は、ローカル演算部１２または秘密計算部１４の計算結果がデータaのν乗の加法的秘密分散によるシェア[a^ν]となったら、そのシェア[a^ν]を出力する。

　＜第二実施形態＞
　第二実施形態は、秘密計算によるべき乗計算において、改ざん検知を可能とする秘密計算システムである。第二実施形態の秘密計算システムは、図４に例示するように、n（≧3）台の秘密計算装置２₁, …, ２_nを含む。

　秘密計算装置２は、図５に例示するように、入力部１１、ローカル演算部１２、ランダム化部１３、秘密計算部１４、および出力部１５を含む。この秘密計算装置２が、他の秘密計算装置２と協調して図６に例示する各ステップの処理を行うことにより第二実施形態の秘密計算方法が実現される。

　以下、図６を参照して、第二実施形態の秘密計算方法の処理手続きを説明する。

　ステップＳ２１において、入力部１１へ、演算対象のデータaの加法的秘密分散によるランダム化分散値<a>:=([a], [ra])と、ランダム化分散値<a>を生成する際に用いた乱数rの加法的秘密分散によるシェア[r]と、データaをべき乗する際の指数νとが入力される。ランダム化分散値<a>、シェア[r]、および指数νはローカル演算部１２へ送られる。

　ステップＳ２２において、ローカル演算部１２は、他の秘密計算装置と通信を行わずに、データaのt乗の加法的秘密分散のシェア[a^t]の標数べきのべき乗p^uを計算し、データa^tのp^u乗の加法的秘密分散によるシェア[a^{t*p^u}]を求める。すなわち、[a^{t*p^u}]:=LocalExp([a^t], p^u)を計算する。シェア[a^{t*p^u}]はランダム化部１３へ送られる。

　ステップＳ２３において、ランダム化部１３は、秘密計算により他の秘密計算装置と協調して、ローカル演算部１２の計算結果[a^{(t*p^u)}]と乱数rの加法的秘密分散によるシェア[r]との乗算を計算する。すなわち、[ra^{(t*p^u)}]←Mult([a^{(t*p^u)}], [r])を計算する。これにより、データa^tのp^u乗のランダム化分散値<a^{(t*p^u)}>:=([a^{(t*p^u)}], [ra^{(t*p^u)}])を生成することができる。また、ランダム化部１３は、ローカル演算部１２の計算結果[a^{(t*p^u)}]と他のランダム化分散値<a^s>:=([a^s], [ra^s])の第１成分[ra^s]との乗算を計算してもよい。すなわち、[ra^{(t*p^u)+s}]←Mult([a^{(t*p^u)}], [ra^s])を計算してもよい。ここで、sはt*p^u+s≦νとなる１以上の整数である。このとき同時に、秘密計算部１４がローカル演算部１２の計算結果[a^{(t*p^u)+s}]と他のランダム化分散値<a^s>:=([a^s], [ra^s])の第０成分[a^s]との乗算[a^{(t*p^u)+s}]←Mult([a^{(t*p^u)}], [a^s])を計算することで、データa^tのp^u乗とデータa^sとの乗算のランダム化分散値<a^{(t*p^u)+s}>:=([a^{(t*p^u)+s}], [ra^{(t*p^u)+s}])を生成することができる。

　ステップＳ２４において、秘密計算部１４は、秘密計算により他の秘密計算装置と協調して、データaのα乗の加法的秘密分散のランダム化分散値<a^α>:=([a^α], [ra^α])とデータaのβ乗の加法的秘密分散のランダム化分散値<a^β>:=([a^β], [ra^β])との乗算を計算する。この乗算には、上記のDoubleMultを用いることができる。すなわち、<a^α+β>←DoubleMult(([a^α], [a^α]), ([a^β], [ra^β]))を計算する。また、上記のMultを２回並列で実行してもよい。すなわち、[a^α+β]←Mult([a^α], [a^β])と、[ra^α+β]←Mult([a^α], [ra^β])とを計算し、[a^α+β]と[ra^α+β]とを組み合わせて<a^α+β>:=([a^α+β], [ra^α+β])を生成する。<a^α>および<a^β>のいずれかは、ランダム化部１３により求めたデータa^tのp^u乗の加法的秘密分散によるランダム化分散値<a^{t*p^u}>である。すなわち、α=t*p^uもしくはβ=t*p^uである。秘密計算部１４は、データaのν乗の加法的秘密分散によるランダム化分散値<a^ν>を求めるために複数回実行されることがある。

　ステップＳ２５において、出力部１５は、ランダム化部１３または秘密計算部１４の計算結果がデータaのν乗の加法的秘密分散によるランダム化分散値<a^ν>となったら、そのランダム化分散値<a^ν>を出力する。

　＜具体例＞
　以下、上述の実施形態により実現される具体的なプロトコルを示す。以下の具体例は３パーティによる秘密計算を想定しているが、この発明の秘密計算技術は３パーティの秘密計算に限られるものではない。また、以下の具体例では、GF(2⁸)およびGF(3³)の例を示すが、標数は2, 3に限られるものではなく、拡大次数は8, 3に限られるものではない。

　第一の具体例は、体GF(2⁸)上の秘密計算において、べき乗を行うプロトコルである。ここでは、[a]から[a²¹]を計算するプロトコルを示す。

　　　Input: [a]
　　　Output: [a²¹]
　　　1. [a¹⁶]:=LocalExp([a], 2⁴)
　　　2. [a⁴]:=LocalExp([a], 2²)
　　　3. [a²⁰]←Mult([a¹⁶], [a⁴])
　　　4. [a²¹]←Mult([a²⁰], [a¹])
　　　5. return [a²¹]

　上記のプロトコルではMultが２回であり、通信ラウンド数は２である。一方、[a²¹]をバイナリ法で計算した場合、下記のプロトコルのとおり、Multが６回必要であり、通信ラウンド数が大幅に削減できていることがわかる。

　　　Input: [a]
　　　Output: [a²¹]
　　　1. [a²]←Mult([a], [a])
　　　2. [a⁴]←Mult([a²], [a²])
　　　3. [a⁵]←Mult([a⁴], [a])
　　　4. [a¹⁰]←Mult([a⁵], [a⁵])
　　　5. [a²⁰]←Mult([a¹⁰], [a¹⁰])
　　　6. [a²¹]←Mult([a²⁰], [a])
　　　7. return [a²¹]

　第二の具体例は、体GF(2⁸)上の秘密計算において、逆元を求めるプロトコルである。ここでは、[a]の逆元[a^-1]を計算するプロトコルを示す。フェルマーの小定理により、[a^-1]=[a²⁵⁴]であるから、逆元を求めることは254乗を計算することと同義である。

　　　Input: [a]
　　　Output: [a^-1]=[a²⁵⁴]
　　　1. [a²]:=LocalExp([a], 2)
　　　2. [a³]←Mult([a²], [a])
　　　3. [a¹²]:=LocalExp([a³], 2²)
　　　4. [a¹⁵]←Mult([a¹²], [a³])
　　　5. [a¹⁴]←Mult([a¹²], [a²])
　　　6. [a²⁴⁰]:=LocalExp([a¹⁵], 2⁴)
　　　7. [a²⁵⁴]←Mult([a²⁴⁰], [a¹⁴])
　　　8. return [a²⁵⁴]

　上記のプロトコルでは４行目と５行目を並列で実行できるため、通信ラウンド数は３である。一方、[a^-1]をバイナリ法で計算した場合、下記のプロトコルのとおり、Multが13回必要であり、通信ラウンド数が大幅に削減できていることがわかる。

　　　Input: [a]
　　　Output: [a^-1]=[a²⁵⁴]
　　　1. [a²]←Mult([a], [a])
　　　2. [a³]←Mult([a²], [a])
　　　3. [a⁶]←Mult([a³], [a³])
　　　4. [a⁷]←Mult([a⁶], [a])
　　　5. [a¹⁴]←Mult([a⁷], [a⁷])
　　　6. [a¹⁵]←Mult([a¹⁴], [a])
　　　7. [a³⁰]←Mult([a³⁰], [a³⁰])
　　　8. [a³¹]←Mult([a³⁰], [a])
　　　9. [a⁶²]←Mult([a³²], [a³²])
　　　10. [a⁶³]←Mult([a⁶²], [a])
　　　11. [a¹²⁶]←Mult([a⁶³], [a⁶³])
　　　12. [a¹²⁷]←Mult([a¹²⁶], [a])
　　　13. [a²⁵⁴]←Mult([a¹²⁷], [a¹²⁷])
　　　14. return [a²⁵⁴]

　第三の具体例は、体GF(2⁸)上の秘密計算におけるべき乗プロトコルを改ざん検知に対応したものである。ここでは、<a>=([a], [ra])から<a²¹>=([a²¹], [ra²¹])を計算するプロトコルを示す。下記のプロトコルでは、ランダム化シェアのべき乗を避けるために、ローカル演算の後に乱数の乗算をMultにより行っている。

　　　Input: <a>=([a], [ra]), [r]
　　　Output: <a²¹>=([a²¹], [ra²¹])
　　　1. [a¹⁶]:=LocalExp([a], 2⁴)
　　　2. [a⁴]:=LocalExp([a], 2²)
　　　3. [ra⁴]←Mult([a⁴], [r])
　　　4. ([a²⁰], [ra²⁰])←DoubleMult(([a¹⁶], [a¹⁶]), ([a⁴], [ra⁴]))
　　　5. ([a²¹], [ra²¹])←DoubleMult(([a], [a]), ([a²⁰], [ra²⁰]))
　　　6. return <a²¹>=([a²¹], [ra²¹])

　第四の具体例は、体GF(2⁸)上の秘密計算における逆元プロトコルを改ざん検知に対応したものである。ここでは、<a>=([a], [ra])の逆元<a^-1>=<a²⁵⁴>=([a²⁵⁴], [ra²⁵⁴])を計算するプロトコルを示す。下記のプロトコルでは、ランダム化シェアのべき乗を避けるために、ローカル演算の後に乱数の乗算をMultにより行っている。

　　　Input: <a>=([a], [ra]), [r]
　　　Output: <a^-1>=<a²⁵⁴>=([a²⁵⁴], [ra²⁵⁴])
　　　1. [a²]:=LocalExp([a], 2)
　　　2. [ra²]←Mult([a²], [r])
　　　3. ([a³], [ra³])←DoubleMult(([a], [a]), ([a²], [ra²]))
　　　4. [a¹²]:=LocalExp([a³], 2²)
　　　5. ([a¹⁵], [ra¹⁵])←DoubleMult(([a¹²], [a¹²]), ([a³], [ra³]))
　　　6. ([a¹⁴], [ra¹⁴])←DoubleMult(([a¹²], [a¹²]), ([a²], [ra²]))
　　　7. [a²⁴⁰]:=LocalExp([a¹⁵], 2⁴)
　　　8. ([a²⁵⁴], [ra²⁵⁴])←DoubleMult(([a²⁴⁰], [a²⁴⁰]), ([a¹⁴], [ra¹⁴]))
　　　9. return <a²⁵⁴>=([a²⁵⁴], [ra²⁵⁴])

　第五の具体例は、体GF(3³)上の秘密計算において、べき乗を行うプロトコルである。ここでは、[a]から[a¹⁰]を計算するプロトコルを示す。

　　　Input: [a]
　　　Output: [a¹⁰]
　　　1. [a⁹]:=LocalExp([a], 3²)
　　　2. [a¹⁰]←Mult([a⁹], [a])
　　　3. return [a¹⁰]

　上記のプロトコルではMultが１回であり、通信ラウンド数は１である。一方、[a¹⁰]をバイナリ法で計算した場合、下記のプロトコルのとおり、Multが４回必要であり、通信ラウンド数が大幅に削減できていることがわかる。

　　　Input: [a]
　　　Output: [a¹⁰]
　　　1. [a²]←Mult([a], [a])
　　　2. [a⁴]←Mult([a²], [a²])
　　　3. [a⁵]←Mult([a⁴], [a])
　　　4. [a¹⁰]←Mult([a⁵], [a⁵])
　　　5. return [a¹⁰]

　第六の具体例は、体GF(3³)上の秘密計算において、逆元を求めるプロトコルである。ここでは、[a]の逆元[a^-1]を計算するプロトコルを示す。フェルマーの小定理により、[a^-1]=[a²⁵]であるから、逆元を求めることは25乗を計算することと同義である。

　　　Input: [a]
　　　Output: [a^-1]=[a²⁵]
　　　1. [a⁹]:=LocalExp([a], 3²)
　　　2. [a³]:=LocalExp([a], 3)
　　　2. [a¹²]←Mult([a⁹], [a³])
　　　4. [a²⁴]←Mult([a¹²], [a¹²])
　　　5. [a²⁵]←Mult([a²⁴], [a])
　　　8. return [a²⁵]

　上記のプロトコルではMultが３回であり、並列で行うこともできないため、通信ラウンド数は３である。一方、[a^-1]をバイナリ法で計算した場合、下記のプロトコルのとおり、Multが６回必要であり、通信ラウンド数が大幅に削減できていることがわかる。

　　　Input: [a]
　　　Output: [a^-1]=[a²⁵]
　　　1. [a²]←Mult([a], [a])
　　　2. [a³]←Mult([a²], [a])
　　　3. [a⁶]←Mult([a³], [a³])
　　　4. [a¹²]←Mult([a⁶], [a⁶])
　　　5. [a²⁴]←Mult([a¹²], [a¹²])
　　　6. [a²⁵]←Mult([a²⁴], [a])
　　　7. return [a²⁵]

　第七の具体例は、体GF(3³)上の秘密計算におけるべき乗プロトコルを改ざん検知に対応したものである。ここでは、<a>=([a], [ra])から<a¹⁰>=([a¹⁰], [ra¹⁰])を計算するプロトコルを示す。下記のプロトコルでは、ランダム化シェアのべき乗を避けるために、ローカル演算の後に乱数の乗算をMultにより行っている。

　　　Input: <a>=([a], [ra]), [r]
　　　Output: <a¹⁰>=([a¹⁰], [ra¹⁰])
　　　1. [a⁹]:=LocalExp([a], 3²)
　　　2. ([a¹⁰], [ra¹⁰])←DoubleMult(([a⁹], [a⁹]), ([a], [ra]))
　　　3. return <a¹⁰>=([a¹⁰], [ra¹⁰])

　第八の具体例は、体GF(3³)上の秘密計算における逆元プロトコルを改ざん検知に対応したものである。ここでは、<a>=([a], [ra])の逆元<a^-1>=<a²⁵>=([a²⁵], [ra²⁵])を計算するプロトコルを示す。下記のプロトコルでは、ランダム化シェアのべき乗を避けるために、ローカル演算の後に乱数の乗算をMultにより行っている。

　　　Input: <a>=([a], [ra]), [r]
　　　Output: <a^-1>=<a²⁵>=([a²⁵], [ra²⁵])
　　　1. [a⁹]:=LocalExp([a], 3²)
　　　2. [a³]:=LocalExp([a], 3)
　　　3. [ra³]←Mult([a³], [r])
　　　4. ([a¹²], [ra¹²])←DoubleMult(([a⁹], [a⁹]), ([a³], [ra³]))
　　　5. ([a²⁴], [ra²⁴])←DoubleMult(([a¹²], [a¹²]), ([a¹²], [ra¹²]))
　　　6. ([a²⁵], [ra²⁵])←DoubleMult(([a²⁴], [a²⁴]), ([a], [ra]))
　　　7. return <a²⁵>=([a²⁵], [ra²⁵])

　この発明の秘密計算技術は、拡大体上の以下の関係式を利用して、標数べきのべき乗をローカルで実行することで、べき乗計算全体の通信回数を削減したことにより、データを秘匿したまま高速にべき乗を計算することが可能となる。また、この技術を応用することで、べき乗を用いる逆元計算も高速に行うことが可能となる。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、[a]をデータaの加法的秘密分散によるシェアとし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　３台以上の秘密計算装置を含む秘密計算システムが実行する、データaのシェア[a]からデータaを秘匿したままデータaのν乗のシェア[a^ν]を計算する秘密計算方法であって、
　上記秘密計算装置のローカル演算部が、他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算し、
　上記秘密計算装置の秘密計算部が、他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果[a^{(t*p^u)}]である乗算を計算して、上記シェア[a^ν]を求める、
　秘密計算方法。
　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、rを拡大体GF(p^k)の元である乱数とし、[a]をデータaの加法的秘密分散によるシェアとし、<a>:=([a], [ra])をデータaのランダム化分散値とし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　３台以上の秘密計算装置を含む秘密計算システムが実行する、データaのランダム化分散値<a>からデータaを秘匿したままデータaのν乗のランダム化分散値<a^ν>:=([a^ν], [ra^ν])を計算する秘密計算方法であって、
　上記秘密計算装置のローカル演算部が、他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算し、
　上記秘密計算装置のランダム化部が、他の秘密計算装置との通信を要する秘密計算により、上記ローカル演算部の計算結果[a^{(t*p^u)}]と上記乱数rのシェア[r]との乗算を計算して、上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>:=([a^{(t*p^u)}], [ra^{(t*p^u)}])を求め、
　上記秘密計算装置の秘密計算部が、他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>である乗算を計算して、上記ランダム化分散値<a^ν>を求める、
　秘密計算方法。
　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、[a]をデータaの加法的秘密分散によるシェアとし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　３台以上の秘密計算装置を含み、データaのシェア[a]からデータaを秘匿したままデータaのν乗のシェア[a^ν]を計算する秘密計算システムであって、
　上記秘密計算装置は、
　他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算するローカル演算部と、
　他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果[a^{(t*p^u)}]である乗算を計算して、上記シェア[a^ν]を求める秘密計算部と、
　を含む秘密計算システム。
　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、rを拡大体GF(p^k)の元である乱数とし、[a]をデータaの加法的秘密分散によるシェアとし、<a>:=([a], [ra])をデータaのランダム化分散値とし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　３台以上の秘密計算装置を含み、データaのランダム化分散値<a>からデータaを秘匿したままデータaのν乗のランダム化分散値<a^ν>:=([a^ν], [ra^ν])を計算する秘密計算システムであって、
　上記秘密計算装置は、
　他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算するローカル演算部と、
　他の秘密計算装置との通信を要する秘密計算により、上記ローカル演算部の計算結果[a^{(t*p^u)}]と上記乱数rのシェア[r]との乗算を計算して、上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>:=([a^{(t*p^u)}], [ra^{(t*p^u)}])を求めるランダム化部と、
　他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>である乗算を計算して、上記ランダム化分散値<a^ν>を求める秘密計算部と、
　を含む秘密計算システム。
　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、[a]をデータaの加法的秘密分散によるシェアとし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　データaのシェア[a]からデータaを秘匿したままデータaのν乗のシェア[a^ν]を計算する秘密計算システムに含まれる秘密計算装置であって、
　他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算するローカル演算部と、
　他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果[a^{(t*p^u)}]である乗算を計算して、上記シェア[a^ν]を求める秘密計算部と、
　を含む秘密計算装置。
　GF(p^k)を標数pかつ拡大次数kの拡大体とし、aを拡大体GF(p^k)の元であるデータとし、rを拡大体GF(p^k)の元である乱数とし、[a]をデータaの加法的秘密分散によるシェアとし、<a>:=([a], [ra])をデータaのランダム化分散値とし、νを２以上の整数とし、u, tをt*p^u≦νとなる１以上の整数とし、
　データaのランダム化分散値<a>からデータaを秘匿したままデータaのν乗のランダム化分散値<a^ν>:=([a^ν], [ra^ν])を計算する秘密計算システムに含まれる秘密計算装置であって、
　他の秘密計算装置と通信せずに、データaのt乗のシェア[a^t]のp^u乗を計算するローカル演算部と、
　他の秘密計算装置との通信を要する秘密計算により、上記ローカル演算部の計算結果[a^{(t*p^u)}]と上記乱数rのシェア[r]との乗算を計算して、上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>:=([a^{(t*p^u)}], [ra^{(t*p^u)}])を求めるランダム化部と、
　他の秘密計算装置との通信を要する秘密計算により、少なくとも一方の数が上記ローカル演算部の計算結果のランダム化分散値<a^{(t*p^u)}>である乗算を計算して、上記ランダム化分散値<a^ν>を求める秘密計算部と、
　を含む秘密計算装置。
　請求項５または６に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。