WO2018135563A1

WO2018135563A1 - 秘密計算システム、秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2018135563A1
Application number: PCT/JP2018/001341
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2017-01-20
Filing date: 2018-01-18
Publication date: 2018-07-26
Also published as: EP3573040A4; US11164484B2; CN110199338A; US20190333415A1; JP6629466B2; EP3573040A1; CN110199338B; EP3573040B1; JPWO2018135563A1

Abstract

より小さい計算時間で多項式を計算する秘密計算技術を提供する。秘匿文[[r]]を用いて、秘匿文[[x]]から値xと乱数rの大小比較結果であるuの秘匿文[[u]]を生成する比較手段１２０と、秘匿文[[x]]、[[r]]、[[u]]から、マスクcの秘匿文[[c]]を生成するマスク手段１３０と、秘匿文[[c]]から、マスクcを復元する復元手段１４０と、次数n、係数a₀,a₁,…,a_n、マスクcから、i=0,…,nに対して係数b_iを計算する係数計算手段１５０と、秘匿文[[u]]から、i=1,…,nに対して大小比較結果uに応じて定まる選択値s_iの秘匿文[[s_i]]を生成する選択手段１６０と、係数b_iと秘匿文[[s_i]]の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]として計算する線形結合手段１７０とを含む。

Description

秘密計算システム、秘密計算装置、秘密計算方法、プログラム

　本発明は、秘密計算技術に関するものであり、特に、入力値を秘密にしたまま多項式を計算する秘密計算技術に関する。

　暗号化された数値を復元することなく指定された演算の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば非特許文献１参照）。非特許文献１の方法では、数値を復元することのできる複数の情報（数値の断片）を3つの秘密計算装置に分散するという暗号化を行い、数値を復元することなく、加減算、定数和、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を3つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。一般に、分散数は3に限らずW（Wは2以上の所定の定数）とすることができ、W個の秘密計算装置による協調計算によって秘密計算を実現するプロトコルはマルチパーティプロトコルと呼ばれる。

　なお、分散数が2の場合の秘密計算方法については、例えば、非特許文献２に開示されている。

　秘密計算によって多項式の計算を実現した方法として、非特許文献３の方法がある。非特許文献３の方法では、変数xの多項式の計算を行う際に、x¹,x²,…,x^{2^k}それぞれにx^{2^k}を乗ずる処理(k=0,1,…)を並列に行うことを繰り返して、x¹,x²,…,xⁿの計算を実現している（なお、^（キャレット）は上付き添字を表し、例えば、x^{y^z}はy^zがxに対する上付き添字であることを表している）。

千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, "軽量検証可能３パーティ秘匿関数計算の再考", 情報処理学会シンポジウム論文集, Vol.2010, No.9, pp.555-560，2010. Ivan Damgard, Valerio Pastro, Nigel Smart, Sarah Zakarias,"Multiparty Computation from Somewhat Homomorphic Encryption", CRYPTO 2012, LNCS7417, pp.643-662, 2012. Liina Kamm, Jan Willemson, "Secure floating point arithmetic and private satellite collision analysis", International Journal of Information Security, Vol.14, No.6, pp.531-548, 2015.

　しかしながら、非特許文献３の方法では、多項式a₀+a₁x¹+…+a_nxⁿを計算する際、2n-1回（ceiling(log₂n)+1段）の乗算とn回の加算を実行する必要があるため、計算時間が大きくなるという問題があった。

　そこで本発明は、より小さい計算時間で多項式を計算する秘密計算技術を提供することを目的とする。

　本発明の一態様は、a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、kをk≦x<k+1を満たす整数、rをk≦r<k+1を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記値xを代入した前記n次多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]を計算する秘密計算システムであって、前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの大小比較結果であるu（ただし、x≦rならばu=1、x≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、前記秘匿文[[x]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成するマスク手段と、前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]として計算する線形結合手段とを含む。

　本発明の一態様は、a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、前記値xの逆数1/xが1/x=a₀+a₁x¹+…+a_nxⁿと表されるものとし、2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記逆数1/xの秘匿文[[1/x]]を計算する秘密計算システムであって、前記秘匿文[[x]]から、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する入力値分解手段と、前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク手段と、前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの逆数1/fの秘匿文[[1/f]]として計算する線形結合手段と、前記秘匿文[[s]]、前記秘匿文[[e]]、前記秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])（ただし、[[1/f]]<<[[-e]]は1/fを-eビット左シフトした値）を前記秘匿文[[1/x]]として計算する逆数計算手段とを含む。

　本発明の一態様は、a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、前記値xの対数logxがlogx=a₀+a₁x¹+…+a_nxⁿと表されるものとし、2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記対数logxの秘匿文[[logx]]を計算する秘密計算システムであって、前記秘匿文[[x]]から、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する入力値分解手段と、前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク手段と、前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの対数logfの秘匿文[[logf]]として計算する線形結合手段と、前記秘匿文[[e]]、前記秘匿文[[logf]]から、前記対数logfにeを加算した値[[logf]]+[[e]]を前記秘匿文[[logx]]として計算する対数計算手段とを含む。

　本発明によれば、多項式の計算に必要な乗算を1段とすることにより、多項式の秘密計算に必要な計算時間を削減することが可能となる。

第一実施形態の秘密計算アルゴリズムの処理手順を示す図である。秘密計算システム１０の構成を示すブロック図である。秘密計算装置１００_iの構成を示すブロック図である。秘密計算システム１０の動作を示すフローチャートである。第二実施形態の秘密計算アルゴリズムの処理手順を示す図である。秘密計算装置２００_iの構成を示すブロック図である。秘密計算システム２０の動作を示すフローチャートである。第三実施形態の秘密計算アルゴリズムの処理手順を示す図である。秘密計算装置３００_iの構成を示すブロック図である。秘密計算システム３０の動作を示すフローチャートである。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　後述する秘密計算アルゴリズムは、既存の秘密計算上の演算の組み合わせで構築される。この秘密計算アルゴリズムが必要とする演算は、秘匿化と復元、加算、減算、乗算、比較、選択、左シフトである。まず、各演算の定義、記法等について説明する。

＜定義、記法等＞
［秘匿化と復元］
　ある値aを暗号化や秘密分散などにより秘匿化した値のことをaの秘匿文と呼び、[[a]]と表すこととする。aの秘匿文[[a]]が秘密分散により生成されたものである場合は、[[a]]により各秘密計算装置が持つ秘密分散の断片の集合を参照するものとする。

　また、aの秘匿文[[a]]を復元して、aを得る処理をa←Open([[a]])と表すこととする。

　秘匿化と復元の方法として、具体的には、参考非特許文献１の手法がある。
（参考非特許文献１）Mehrdad Aliasgari, Marina Blanton, Yihua Zhang, Aaron Steele, “Secure Computation on Floating Point Numbers”, NDSS 2013, 2013.

　参考非特許文献１には、浮動小数点での演算について開示されている。固定小数点や整数での演算については、参考非特許文献１に開示されている浮動小数点から固定小数点や整数への型変換を組み合わせることで実現することができる。

［加算、減算、乗算］
　加算、減算、乗算の各演算は、2つの値a, bの秘匿文[[a]], [[b]]を入力とし、それぞれa+b, a-b, abの計算結果である和c₁、差c₂、積c₃の秘匿文[[c₁]]，[[c₂]]，[[c₃]]を計算する。[[c₁]]，[[c₂]]，[[c₃]]を得る処理をそれぞれ、[[c₁]]←Add([[a]],[[b]])，[[c₂]]←Sub([[a]],[[b]])，[[c₃]]←Mul([[a]],[[b]])と表すこととする。誤解を招く恐れのない場合は、Add([[a]],[[b]])， Sub([[a]],[[b]])， Mul([[a]],[[b]])をそれぞれ[[a]]+[[b]], [[a]]-[[b]], [[a]]×[[b]]と略記することもある。

　加算、減算、乗算の方法として、具体的には、参考非特許文献１の手法がある。参考非特許文献１には、浮動小数点での演算について開示されている。固定小数点や整数での演算については、参考非特許文献１に開示されている浮動小数点から固定小数点や整数への型変換を組み合わせることで実現することができる。

［比較］
　aの秘匿文[[a]]、bの秘匿文[[b]]に対して、a≦bならばc=1、a≦bでないならばc=0となるaとbの大小比較結果cの秘匿文[[c]]を計算する処理を[[c]]←([[a]]≦^?[[b]])と表すこととする。

　比較の方法として、具体的には、参考非特許文献１の手法がある。参考非特許文献１には、浮動小数点での演算について開示されている。固定小数点や整数での演算については、参考非特許文献１に開示されている浮動小数点から固定小数点や整数への型変換を組み合わせることで実現することができる。

［選択］
　a∈{0,1}の秘匿文[[a]]と2つの値t,fの秘匿文[[t]],[[f]]に対して、a=1ならばb=t、a=0ならばb=fとなる選択値bの秘匿文[[b]]を計算する処理を[[b]]←IfElse([[a]],[[t]],[[f]])と表すことにする。この選択処理は、IfElse([[a]],[[t]],[[f]]):=[[a]]×[[t]]+[[a]]×[[f]]として、乗算と加算を用いて実現することができる。

［左シフト］
　aの秘匿文[[a]]とbの秘匿文[[b]]からaをbビット左シフトした値（つまり、aを2^b倍した値）である左シフト値c(=a×2^b)の秘匿文[[c]]を計算する処理を[[c]]←[[a]]<<[[b]]と表すこととする。

　浮動小数点での演算については、指数部にシフト量(x << yのyのこと)を加算すればよい。また、固定小数点や整数での演算については、参考非特許文献１の固定小数点数と浮動小数点数の相互変換と上述の浮動小数点数の左シフトを組み合わせればよい。

＜第一実施形態＞
　第一実施形態の秘密計算アルゴリズムの入力と出力、処理手順と第一実施形態の秘密計算アルゴリズムを実現する秘密計算システムについて、以下説明していく。

［入力と出力］
　図１に示す第一実施形態の秘密計算アルゴリズムの入力と出力について説明する。

　多項式a₀+a₁x¹+…+a_nxⁿの次数n、係数a₀,a₁,…,a_nと多項式に代入する値xの秘匿文[[x]]が入力となる。また、k≦r<k+1（ただし、kはk≦x<k+1を満たす整数とする）を満たす乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]も入力する。

　xを代入した多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]が出力となる。

［処理手順］
　図１に示す第一実施形態の秘密計算アルゴリズムの処理手順について説明する。その際、図１の左端の数字を用いてステップ１、ステップ２等と表現することにする。

　ステップ１では、入力された秘匿文[[x]]と[[r]]から、xと乱数rの大小比較結果であるuの秘匿文[[u]]←([[x]]≦^?[[r]])を生成する。[[u]]は、x≦rならばu=1、x≦rでないならばu=0となるuの秘匿文である。

　ステップ２では、秘匿文[[x]]、[[r]]とステップ１で生成した秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成する。マスクcは、0<c≦1を満たす。

　ステップ３では、ステップ２で生成した秘匿文[[c]]から、マスクcを復元する。

　ステップ４では、次数n、係数a₀,a₁,…,a_nとステップ３で復元したcから、i=0,…,nに対して係数b_iを次式で計算する。

　ステップ５では、ステップ１で生成した秘匿文[[u]]から、i=1,…,nに対して大小比較結果uに応じて定まる選択値s_iの秘匿文[[s_i]]=IfElse([[u]],[[(r-1)ⁱ]],[[rⁱ]])を生成する。[[s_i]]は、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱとなる秘匿文である。つまり、[[u]]=[[1]]ならば[[s_i]]=[[(r-1)ⁱ]]、[[u]]=[[0]]ならば[[s_i]]=[[rⁱ]]となる。

　ステップ６では、ステップ４で生成した係数b_i(i=0,…,n)とステップ５で生成した秘匿文[[s_i]](i=1,…,n)から、線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を計算する。ここで、[[a₀+a₁x¹+…+a_nxⁿ]]= b₀+b₁[[s₁]]+…+b_n[[s_n]]が成り立つ。

［秘密計算システム］
　以下、図２～図４を参照して第一実施形態の秘密計算システム１０について説明する。図２は、秘密計算システム１０の構成を示すブロック図である。秘密計算システム１０は、W個（Wは2以上の所定の整数）の秘密計算装置１００₁、…、１００_Wを含む。秘密計算装置１００₁、…、１００_Wは、ネットワーク８００に接続しており、相互に通信可能である。ネットワーク８００は、例えば、インターネットなどの通信網あるいは同報通信路などでよい。図３は、秘密計算装置１００_i(1≦i≦W)の構成を示すブロック図である。図４は、秘密計算システム１０の動作を示すフローチャートである。

　図３に示すように秘密計算装置１００_iは、乱数生成部１１０_iと、比較部１２０_iと、マスク部１３０_iと、復元部１４０_iと、係数計算部１５０_iと、選択部１６０_iと、線形結合部１７０_iと、記録部１９０_iを含む。記録部１９０_iを除く秘密計算装置１００_iの各構成部は、秘密計算アルゴリズムで必要とされる演算、つまり、少なくとも秘匿化、復元、加算、減算、乗算、比較、選択のうち、各構成部の機能を実現するうえで必要になる演算を実行できるように構成されている。本発明において個々の演算を実現するための具体的な機能構成は、例えば先行技術文献として開示している非特許文献や＜定義、記法等＞で開示している参考非特許文献などにあるアルゴリズムを実行できるような構成で十分であり、これらは従来的構成であるから詳細な説明については省略する。また、記録部１９０_iは、秘密計算装置１００_iの処理に必要な情報を記録する構成部である。例えば、次数n、係数a₀,a₁,…,a_nを記録しておく。

　W個の秘密計算装置１００_iによる協調計算によって、秘密計算システム１０はマルチパーティプロトコルである秘密計算アルゴリズムを実現する。よって、秘密計算システム１０の乱数生成手段１１０（図示していない）は乱数生成部１１０₁、…、１１０_Wで構成され、比較手段１２０（図示していない）は比較部１２０₁、…、１２０_Wで構成され、マスク手段１３０（図示していない）はマスク部１３０₁、…、１３０_Wで構成され、復元手段１４０（図示していない）は復元部１４０₁、…、１４０_Wで構成され、係数計算手段１５０（図示していない）は係数計算部１５０₁、…、１５０_Wで構成され、選択手段１６０（図示していない）は選択部１６０₁、…、１６０_Wで構成され、線形結合手段１７０（図示していない）は線形結合部１７０₁、…、１７０_Wで構成される。

　秘密計算システム１０は、事前に生成した乱数r（k≦r<k+1、ただし、kはk≦x<k+1を満たす整数）とr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…,[[(r-1)ⁿ]]を用いて、多項式に代入する値xの秘匿文[[x]]から、xを代入した多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]を計算する。以下、図４に従い秘密計算システム１０の動作について説明する。

　乱数生成手段１１０は、k≦r<k+1を満たす乱数rを生成し、秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を生成する（Ｓ１１０）。図１の秘密計算アルゴリズムの入力値の事前セットアップに対応する。秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]は、記録部１９０₁、…、１９０_Wに記録しておく。

　比較手段１２０は、秘匿文[[x]]が入力される前に生成しておいた秘匿文[[r]]を用いて、秘匿文[[x]]から値xと乱数rの大小比較結果であるuの秘匿文[[u]]←([[x]]≦^?[[r]])を生成する（Ｓ１２０）。図１の秘密計算アルゴリズムのステップ１に対応する。

　マスク手段１３０は、秘匿文[[x]]、[[r]]とＳ１２０で生成した秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成する（Ｓ１３０）。図１の秘密計算アルゴリズムのステップ２に対応する。

　復元手段１４０は、Ｓ１３０で生成した秘匿文[[c]]から、マスクcを復元する（Ｓ１４０）。図１の秘密計算アルゴリズムのステップ３に対応する。

　係数計算手段１５０は、多項式の次数n、係数a₀,a₁,…,a_nとＳ１４０で復元したマスクcから、i=0,…,nに対して係数b_iを次式で計算する（Ｓ１５０）。図１の秘密計算アルゴリズムのステップ４に対応する。

　選択手段１６０は、Ｓ１２０で生成した秘匿文[[u]]から、i=1,…,nに対して大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する（Ｓ１６０）。図１の秘密計算アルゴリズムのステップ５に対応する。

　線形結合手段１７０は、Ｓ１５０で生成した係数b_i(i=0,…,n)とＳ１６０で生成した秘匿文[[s_i]](i=1,…,n)から、線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を計算する（Ｓ１６０）。図１の秘密計算アルゴリズムのステップ６に対応する。

　本実施形態の発明によれば、多項式a₀+a₁x¹+…+a_nxⁿの計算をn回の加算、n回(1段)の乗算、1回の比較、1回の復元で実現することができるため、計算コストが削減される。特に、固定小数点での計算のように加算演算が無視できる場合は、計算時間が効果的に削減される。具体的には、従来おおよそビット分解を2n-1回（ceiling(log₂n)+1段) 要した処理がn+1回(2段)の処理で実現することができる。また、代入する値xの範囲がk≦x<k+1に制限されることを利用し、入力値[[x]]から出力値[[a₀+a₁x¹+…+a_nxⁿ]]を計算する処理をx-r+uと事前に生成した乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を用いて計算する処理に還元している。通常、x-r+u を復元すると情報が漏れてしまうが、x-r+uが0より大きく1以下の一様ランダムな値となるように調整することにより、安全にa₀+a₁x¹+…+a_nxⁿの計算を実行することを可能としている。

＜第二実施形態＞
　xの逆数1/xが多項式を用いて1/x=a₀+a₁x¹+…+a_nxⁿと表すことができる場合、第一実施形態の秘密計算アルゴリズムを用いて、xの秘匿文[[x]]から、逆数1/xの秘匿文[[1/x]]を効率的に計算することができる。

　第二実施形態の秘密計算アルゴリズムの入力と出力、処理手順と第二実施形態の秘密計算アルゴリズムを実現する秘密計算システムについて、以下説明していく。

［入力と出力］
　図５に示す第二実施形態の秘密計算アルゴリズムの入力と出力について説明する。

　多項式a₀+a₁x¹+…+a_nxⁿの次数n、係数a₀,a₁,…,a_nと逆数の値を計算する値xの秘匿文[[x]]が入力となる。また、1≦r<2を満たす乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]も入力する。

　xの逆数1/xの秘匿文[[1/x]]が出力となる。

［処理手順］
　図５に示す第二実施形態の秘密計算アルゴリズムの処理手順について説明する。その際、図５の左端の数字を用いてステップ１、ステップ２等と表現することにする。

　ステップ１では、入力された秘匿文[[x]]に対して、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する。参考非特許文献１の[[x]]の浮動小数点表現を求める演算を用いて、秘匿文[[s]],[[e]],[[f]]を生成することができる。

　ステップ２では、多項式の次数n、係数a₀,a₁,…,a_n、秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]とステップ１で生成した秘匿文[[f]]から、 [[a₀+a₁f¹+…+a_nfⁿ]]を計算する。ここで、[[a₀+a₁f¹+…+a_nfⁿ]]=[[1/f]]が成り立つ。

　ステップ３では、ステップ１で生成した秘匿文[[s]],[[e]]とステップ２で計算した秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])を計算する。ここで、[[s]]×([[1/f]]<<[[-e]])=[[1/x]]が成り立つ。

［秘密計算システム］
　以下、図６～図７を参照して第二実施形態の秘密計算システム２０について説明する。秘密計算システム２０は、W個（Wは2以上の所定の整数）の秘密計算装置１００₁、…、１００_Wを含む代わりに、W個の秘密計算装置２００₁、…、２００_Wを含む点において秘密計算システム１０と異なる。図６は、秘密計算装置２００_i(1≦i≦W)の構成を示すブロック図である。図７は、秘密計算システム２０の動作を示すフローチャートである。

　図６に示すように秘密計算装置２００_iは、入力値分解部２１０_iと、逆数計算部２２０_iを更に含む点において秘密計算装置１００_iと異なる。入力値分解部２１０_iと逆数計算部２２０_iも、秘密計算アルゴリズムで必要とされる演算のうち、その機能を実現するうえで必要になる演算を実行できるように構成されている。

　秘密計算システム２０の入力値分解手段２１０は入力値分解部２１０₁、…、２１０_Wで構成され、逆数計算手段２２０は逆数計算部２２０₁、…、２２０_Wで構成される。

　秘密計算システム２０は、事前に生成した乱数r（1≦r<2）とr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を用いて、多項式に代入する値xの秘匿文[[x]]から、xの逆数1/xの秘匿文[[1/x]]を計算する。以下、図７に従い秘密計算システム２０の動作について説明する。

　乱数生成手段１１０は、1≦r<2を満たす乱数rを生成し、秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を生成する（Ｓ１１０）。図５の秘密計算アルゴリズムの入力値の事前セットアップに対応する。秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]は、記録部１９０₁、…、１９０_Wに記録しておく。

　入力値分解手段２１０は、秘匿文[[x]]から、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する（Ｓ２１０）。図５の秘密計算アルゴリズムのステップ１に対応する。

　比較手段１２０、マスク手段１３０、復元手段１４０、係数計算手段１５０、選択手段１６０、線形結合手段１７０は、多項式の次数n、係数a₀,a₁,…,a_nと、[[x]]が入力される前に生成しておいた秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]と、Ｓ２１０で生成した秘匿文[[f]]とから、[[a₀+a₁f¹+…+a_nfⁿ]](=[[1/f]])を計算する（Ｓ１２０～Ｓ１７０）。図５の秘密計算アルゴリズムのステップ２（図１の秘密計算アルゴリズムのステップ１～ステップ６）に対応する。

　逆数計算手段２２０は、Ｓ２１０で生成した秘匿文[[s]],[[e]]と、Ｓ１２０～Ｓ１７０で計算した秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])を逆数1/xの秘匿文[[1/x]]として計算する（Ｓ２２０）。図５の秘密計算アルゴリズムのステップ３に対応する。

　本実施形態の発明によれば、第一実施形態の秘密アルゴリズムを用いて多項式a₀+a₁x¹+…+a_nxⁿの計算をすることにより、秘匿文[[x]]から逆数1/xの秘匿文[[1/x]]を計算するコストを削減することができる。また、xを分解して得られるfの範囲が1≦f<2に制限されることを利用し、入力値[[f]]から出力値[[a₀+a₁f¹+…+a_nfⁿ]]を計算する処理をf-r+uと事前に生成した乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を用いて計算する処理に還元している。通常、f-r+u を復元すると情報が漏れてしまうが、f-r+uが0より大きく1以下の一様ランダムな値となるように調整することにより、安全にa₀+a₁f¹+…+a_nfⁿの計算を実行することを可能としている。

＜第三実施形態＞
　xの対数logxが多項式を用いてlogx=a₀+a₁x¹+…+a_nxⁿと表すことができる場合、第一実施形態の秘密計算アルゴリズムを用いて、xの秘匿文[[x]]から、対数logxの秘匿文[[logx]]を効率的に計算することができる。

　第三実施形態の秘密計算アルゴリズムの入力と出力、処理手順と第三実施形態の秘密計算アルゴリズムを実現する秘密計算システムについて、以下説明していく。

［入力と出力］
　図８に示す第三実施形態の秘密計算アルゴリズムの入力と出力について説明する。

　多項式a₀+a₁x¹+…+a_nxⁿの次数n、係数a₀,a₁,…,a_nと対数の値を計算する値xの秘匿文[[x]]が入力となる。また、1≦r<2を満たす乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…,[[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]も入力する。

　xの対数logxの秘匿文[[logx]]が出力となる。

［処理手順］
　図８に示す第三実施形態の秘密計算アルゴリズムの処理手順について説明する。その際、図８の左端の数字を用いてステップ１、ステップ２等と表現することにする。

　ステップ１では、入力された秘匿文[[x]]に対して、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する。参考非特許文献１の[[x]]の浮動小数点表現を求める演算を用いて、秘匿文[[e]],[[f]]を生成することができる。

　ステップ２では、多項式の次数n、係数a₀,a₁,…,a_n、秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]とステップ１で生成した秘匿文[[f]]から、[[a₀+a₁f¹+…+a_nfⁿ]]を計算する。ここで、[[a₀+a₁f¹+…+a_nfⁿ]]=[[logf]]が成り立つ。

　ステップ３では、ステップ１で生成した秘匿文[[e]]とステップ２で計算した秘匿文[[logf]]から、[[logf]]+[[e]]を計算する。ここで、[[logf]]+[[e]]=[[logx]]が成り立つ。

［秘密計算システム］
　以下、図９～図１０を参照して第三実施形態の秘密計算システム３０について説明する。秘密計算システム３０は、W個（Wは2以上の所定の整数）の秘密計算装置１００₁、…、１００_Wを含む代わりに、W個の秘密計算装置３００₁、…、３００_Wを含む点において秘密計算システム１０と異なる。図９は、秘密計算装置３００_i(1≦i≦W)の構成を示すブロック図である。図１０は、秘密計算システム３０の動作を示すフローチャートである。

　図９に示すように秘密計算装置３００_iは、入力値分解部３１０_iと、対数計算部３２０_iを更に含む点において秘密計算装置１００_iと異なる。入力値分解部３１０_iと対数計算部３２０_iも、秘密計算アルゴリズムで必要とされる演算のうち、その機能を実現するうえで必要になる演算を実行できるように構成されている。

　秘密計算システム３０の入力値分解手段３１０は入力値分解部３１０₁、…、３１０_Wで構成され、対数計算手段３２０は逆数計算部３２０₁、…、３２０_Wで構成される。

　秘密計算システム３０は、事前に生成した乱数r（1≦r<2）とr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を用いて、多項式に代入する値xの秘匿文[[x]]から、xの対数logxの秘匿文[[logx]]を計算する。以下、図１０に従い秘密計算システム３０の動作について説明する。

　乱数生成手段１１０は、1≦r<2を満たす乱数rを生成し、秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を生成する（Ｓ１１０）。図８の秘密計算アルゴリズムの入力値の事前セットアップに対応する。秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]は、記録部１９０₁、…、１９０_Wに記録しておく。

　入力値分解手段３１０は、秘匿文[[x]]から、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する（Ｓ３１０）。図８の秘密計算アルゴリズムのステップ１に対応する。

　比較手段１２０、マスク手段１３０、復元手段１４０、係数計算手段１５０、選択手段１６０、線形結合手段１７０は、多項式の次数n、係数a₀,a₁,…,a_nと、[[x]]が入力される前に生成しておいた秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]と、Ｓ３１０で生成した秘匿文[[f]]とから、[[a₀+a₁f¹+…+a_nfⁿ]](=[[logf]])を計算する（Ｓ１２０～Ｓ１７０）。図８の秘密計算アルゴリズムのステップ２（図１の秘密計算アルゴリズムのステップ１～ステップ６）に対応する。

　対数計算手段３２０は、Ｓ３１０で生成した秘匿文[[e]]と、Ｓ１２０～Ｓ１７０で計算した秘匿文[[logf]]から、[[logf]]+[[e]]を対数logxの秘匿文[[logx]]として計算する（Ｓ３２０）。図８の秘密計算アルゴリズムのステップ３に対応する。

　本実施形態の発明によれば、第一実施形態の秘密アルゴリズムを用いて多項式a₀+a₁x¹+…+a_nxⁿの計算をすることにより、秘匿文[[x]]から対数logxの秘匿文[[logx]]を計算するコストを削減することができる。また、xを分解して得られるfの範囲が1≦f<2に制限されることを利用し、入力値[[f]]から出力値[[a₀+a₁f¹+…+a_nfⁿ]]を計算する処理をf-r+uと事前に生成した乱数rとr-1のべき乗の秘匿文[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を用いて計算する処理に還元している。通常、f-r+u を復元すると情報が漏れてしまうが、f-r+uが0より大きく1以下の一様ランダムな値となるように調整することにより、安全にa₀+a₁f¹+…+a_nfⁿの計算を実行することを可能としている。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electronically Erasable and Programmable-Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　上述の本発明の実施形態の記載は、例証と記載の目的で提示されたものである。網羅的であるという意思はなく、開示された厳密な形式に発明を限定する意思もない。変形やバリエーションは上述の教示から可能である。実施形態は、本発明の原理の最も良い例証を提供するために、そして、この分野の当業者が、熟考された実際の使用に適するように本発明を色々な実施形態で、また、色々な変形を付加して利用できるようにするために、選ばれて表現されたものである。すべてのそのような変形やバリエーションは、公正に合法的に公平に与えられる幅にしたがって解釈された添付の請求項によって定められた本発明のスコープ内である。

Claims

　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、kをk≦x<k+1を満たす整数、rをk≦r<k+1を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記値xを代入した前記n次多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]を計算する秘密計算システムであって、
　前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの大小比較結果であるu（ただし、x≦rならばu=1、x≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、
　前記秘匿文[[x]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成するマスク手段と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]として計算する線形結合手段と
　を含む秘密計算システム。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの逆数1/xが1/x=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記逆数1/xの秘匿文[[1/x]]を計算する秘密計算システムであって、
　前記秘匿文[[x]]から、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する入力値分解手段と、
　前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、
　前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク手段と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの逆数1/fの秘匿文[[1/f]]として計算する線形結合手段と、
　前記秘匿文[[s]]、前記秘匿文[[e]]、前記秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])（ただし、[[1/f]]<< [[-e]]は1/fを-eビット左シフトした値）を前記秘匿文[[1/x]]として計算する逆数計算手段と
　を含む秘密計算システム。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの対数logxがlogx=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　2個以上の秘密計算装置で構成され、前記値xの秘匿文[[x]]から、前記対数logxの秘匿文[[logx]]を計算する秘密計算システムであって、
　前記秘匿文[[x]]から、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する入力値分解手段と、
　前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較手段と、
　前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク手段と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元手段と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算手段と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択手段と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの対数logfの秘匿文[[logf]]として計算する線形結合手段と、
　前記秘匿文[[e]]、前記秘匿文[[logf]]から、前記対数logfにeを加算した値[[logf]]+[[e]]を前記秘匿文[[logx]]として計算する対数計算手段と
　を含む秘密計算システム。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、kをk≦x<k+1を満たす整数、rをk≦r<k+1を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの秘匿文[[x]]から、前記値xを代入した前記n次多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]を計算する2個以上の秘密計算装置で構成される秘密計算システムの中の秘密計算装置であって、
　前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの大小比較結果であるu（ただし、x≦rならばu=1、x≦rでないならばu=0）の秘匿文[[u]]を生成する比較部と、
　前記秘匿文[[x]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成するマスク部と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元部と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算部と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択部と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]として計算する線形結合部と
　を含む秘密計算装置。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの逆数1/xが1/x=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　前記値xの秘匿文[[x]]から、前記逆数1/xの秘匿文[[1/x]]を計算する2個以上の秘密計算装置で構成される秘密計算システムの中の秘密計算装置であって、
　前記秘匿文[[x]]から、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する入力値分解部と、
　前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較部と、
　前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク部と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元部と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算部と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択部と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの逆数1/fの秘匿文[[1/f]]として計算する線形結合部と、
　前記秘匿文[[s]]、前記秘匿文[[e]]、前記秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])（ただし、[[1/f]]<< [[-e]]は1/fを-eビット左シフトした値）を前記秘匿文[[1/x]]として計算する逆数計算部と
　を含む秘密計算装置。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの対数logxがlogx=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　前記値xの秘匿文[[x]]から、前記対数logxの秘匿文[[logx]]を計算する2個以上の秘密計算装置で構成される秘密計算システムの中の秘密計算装置であって、
　前記秘匿文[[x]]から、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する入力値分解部と、
　前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較部と、
　前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスク部と、
　前記秘匿文[[c]]から、前記マスクcを復元する復元部と、
　前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算部と、

　前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択部と、
　前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの対数logfの秘匿文[[logf]]として計算する線形結合部と、
　前記秘匿文[[e]]、前記秘匿文[[logf]]から、前記対数logfにeを加算した値[[logf]]+[[e]]を前記秘匿文[[logx]]として計算する対数計算部と
　を含む秘密計算装置。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、kをk≦x<k+1を満たす整数、rをk≦r<k+1を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　2個以上の秘密計算装置で構成される秘密計算システムを用いて、前記値xの秘匿文[[x]]から、前記値xを代入した前記n次多項式a₀+a₁x¹+…+a_nxⁿの値の秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]を計算する秘密計算方法であって、
　前記秘密計算システムが、前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの大小比較結果であるu（ただし、x≦rならばu=1、x≦rでないならばu=0）の秘匿文[[u]]を生成する比較ステップと、
　前記秘密計算システムが、前記秘匿文[[x]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[x]]-[[r]]+[[u]]として生成するマスクステップと、
　前記秘密計算システムが、前記秘匿文[[c]]から、前記マスクcを復元する復元ステップと、
　前記秘密計算システムが、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0, …, nに対して係数b_iを次式で計算する係数計算ステップと、

　前記秘密計算システムが、前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択ステップと、
　前記秘密計算システムが、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記秘匿文[[a₀+a₁x¹+…+a_nxⁿ]]として計算する線形結合ステップと
　を実行する秘密計算方法。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの逆数1/xが1/x=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　2個以上の秘密計算装置で構成される秘密計算システムを用いて、前記値xの秘匿文[[x]]から、前記逆数1/xの秘匿文[[1/x]]を計算する秘密計算方法であって、
　前記秘密計算システムが、前記秘匿文[[x]]から、x=s×2^e×f(s∈{-1,1}、eは整数、1≦f<2)を満たすs,e,fの秘匿文[[s]],[[e]],[[f]]を生成する入力値分解ステップと、
　前記秘密計算システムが、前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較ステップと、
　前記秘密計算システムが、前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスクステップと、
　前記秘密計算システムが、前記秘匿文[[c]]から、前記マスクcを復元する復元ステップと、
　前記秘密計算システムが、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算ステップと、

　前記秘密計算システムが、前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択ステップと、
　前記秘密計算システムが、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの逆数1/fの秘匿文[[1/f]]として計算する線形結合ステップと、
　前記秘密計算システムが、前記秘匿文[[s]]、前記秘匿文[[e]]、前記秘匿文[[1/f]]から、[[s]]×([[1/f]]<<[[-e]])（ただし、[[1/f]]<<[[-e]]は1/fを-eビット左シフトした値）を前記秘匿文[[1/x]]として計算する逆数計算ステップと
　を実行する秘密計算方法。
　a₀+a₁x¹+…+a_nxⁿを変数xのn次多項式（nは多項式の次数、a₀,a₁,…,a_nは多項式の各係数）、xを前記n次多項式に代入する値、rを1≦r<2を満たす乱数、[[r]], [[r²]],…, [[rⁿ]], [[r-1]], [[(r-1)²]],…, [[(r-1)ⁿ]]を前記乱数rとr-1のべき乗の秘匿文とし、
　前記値xの対数logxがlogx=a₀+a₁x¹+…+a_nxⁿと表されるものとし、
　2個以上の秘密計算装置で構成される秘密計算システムを用いて、前記値xの秘匿文[[x]]から、前記対数logxの秘匿文[[logx]]を計算する秘密計算方法であって、
　前記秘密計算システムが、前記秘匿文[[x]]から、x=2^e×f(eは整数、1≦f<2)を満たすe,fの秘匿文[[e]],[[f]]を生成する入力値分解ステップと、
　前記秘密計算システムが、前記秘匿文[[r]]を用いて、前記秘匿文[[f]]から前記fと前記乱数rの大小比較結果であるu（ただし、f≦rならばu=1、f≦rでないならばu=0）の秘匿文[[u]]を生成する比較ステップと、
　前記秘密計算システムが、前記秘匿文[[f]]、前記秘匿文[[r]]、前記秘匿文[[u]]から、マスクcの秘匿文[[c]]を[[c]]=[[f]]-[[r]]+[[u]]として生成するマスクステップと、
　前記秘密計算システムが、前記秘匿文[[c]]から、前記マスクcを復元する復元ステップと、
　前記秘密計算システムが、前記次数n、前記係数a₀,a₁,…,a_n、前記マスクcから、i=0,…,nに対して係数b_iを次式で計算する係数計算ステップと、

　前記秘密計算システムが、前記秘匿文[[u]]から、i=1,…,nに対して前記大小比較結果uに応じて定まる選択値s_i（ただし、u=1ならばs_i=(r-1)ⁱ、u=0ならばs_i=rⁱ）の秘匿文[[s_i]]を生成する選択ステップと、
　前記秘密計算システムが、前記係数b_i(i=0,…,n)と前記秘匿文[[s_i]](i=1,…,n)の線形結合b₀+b₁[[s₁]]+…+b_n[[s_n]]を前記fの対数logfの秘匿文[[logf]]として計算する線形結合ステップと、
　前記秘密計算システムが、前記秘匿文[[e]]、前記秘匿文[[logf]]から、前記対数logfにeを加算した値[[logf]]+[[e]]を前記秘匿文[[logx]]として計算する対数計算ステップと
　を実行する秘密計算方法。
　請求項１ないし３のいずれか１項に記載の秘密計算システムを構成する秘密計算装置としてコンピュータを機能させるためのプログラム。