WO2018135566A1

WO2018135566A1 - 秘密計算システム、秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2018135566A1
Application number: PCT/JP2018/001346
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2017-01-20
Filing date: 2018-01-18
Publication date: 2018-07-26
Also published as: JP6766182B2; CN110199339A; EP3573039A4; EP3573039B1; EP3573039A1; CN110199339B; US20190310829A1; JPWO2018135566A1; US11294633B2

Abstract

より小さい計算時間で2のべき乗を計算する秘密計算技術を提供する。秘匿文[[r]]を用いて、秘匿文[[x]]から値xと乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、秘匿文[[x]]-[[r]]から差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する小数分解手段１２０と、秘匿文[[f]]から、小数部分fを復元する復元手段１３０と、小数部分fと秘匿文[[e]]から、小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する左シフト手段１４０と、秘匿文[[2^r]]を用いて、秘匿文[[y]]から2のべき乗2^rと左シフト値yを乗算した値2^r×yの秘匿文[[2^r]]×[[y]]を秘匿文[[2^x]]として計算するべき乗計算手段１５０とを含む。

Description

秘密計算システム、秘密計算装置、秘密計算方法、プログラム

　本発明は、秘密計算技術に関するものであり、特に、入力値を秘密にしたまま２のべき乗を計算する秘密計算技術に関する。

　暗号化された数値を復元することなく指定された演算の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば非特許文献１参照）。非特許文献１の方法では、数値を復元することのできる複数の情報（数値の断片）を3つの秘密計算装置に分散するという暗号化を行い、数値を復元することなく、加減算、定数和、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を3つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。一般に、分散数は3に限らずW（Wは2以上の所定の定数）とすることができ、W個の秘密計算装置による協調計算によって秘密計算を実現するプロトコルはマルチパーティプロトコルと呼ばれる。

　なお、分散数が2の場合の秘密計算方法については、例えば、非特許文献２に開示されている。

　秘密計算によって指数関数の計算を実現した方法として、非特許文献３の方法がある。非特許文献３の方法では、まず2のべき乗を求めたい値を整数部分eと小数部分f(0≦f<1)に分解、それぞれの2のべき乗2^eと2^fを計算し、2^eと2^fの積を求めることにより、指数関数の計算を実現している。

千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, "軽量検証可能３パーティ秘匿関数計算の再考", 情報処理学会シンポジウム論文集, Vol.2010, No.9, pp.555-560，2010. Ivan Damgard, Valerio Pastro, Nigel Smart, Sarah Zakarias,"Multiparty Computation from Somewhat Homomorphic Encryption", CRYPTO 2012, LNCS7417, pp.643-662, 2012. Liina Kamm, Jan Willemson, "Secure floating point arithmetic and private satellite collision analysis", International Journal of Information Security, Vol.14, No.6, pp.531-548, 2015.

　しかしながら、非特許文献３の方法では、小数部分fの2のべき乗2^fを計算する際、fの4次多項式の計算をする必要があるため、計算時間が大きくなるという問題があった。

　そこで本発明は、より小さい計算時間で2のべき乗を計算する秘密計算技術を提供することを目的とする。

　本発明の一態様は、rを0≦r<1を満たす乱数、[[r]]を前記乱数rの秘匿文、[[2^r]]を前記乱数rの2のべき乗2^rの秘匿文とし、2個以上の秘密計算装置で構成され、2のべき乗を計算する値xの秘匿文[[x]]から、前記値xの2のべき乗2^xの秘匿文[[2^x]]を計算する秘密計算システムであって、前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、前記秘匿文[[x]]-[[r]]から前記差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する小数分解手段と、前記秘匿文[[f]]から、前記小数部分fを復元する復元手段と、前記小数部分fと前記秘匿文[[e]]から、前記小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する左シフト手段と、前記秘匿文[[2^r]]を用いて、前記秘匿文[[y]]から前記2のべき乗2^rと前記左シフト値yを乗算した値2^r×yの秘匿文[[2^r]]×[[y]]を前記秘匿文[[2^x]]として計算するべき乗計算手段とを含む。

　本発明によれば、多項式の計算を行うことなく、2のべき乗の計算をすることができるため、2のべき乗の秘密計算に必要な計算時間を削減することが可能となる。

第一実施形態の秘密計算アルゴリズムの処理手順を示す図である。秘密計算システム１０の構成を示すブロック図である。秘密計算装置１００_iの構成を示すブロック図である。秘密計算システム１０の動作を示すフローチャートである。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　後述する2のべき乗の秘密計算アルゴリズムは、既存の秘密計算上の演算の組み合わせで構築される。この秘密計算アルゴリズムが必要とする演算は、秘匿化と復元、加算、減算、乗算、小数分解、左シフトである。まず、各演算の定義、記法等について説明する。

＜定義、記法等＞
［秘匿化と復元］
　ある値aを暗号化や秘密分散などにより秘匿化した値のことをaの秘匿文と呼び、[[a]] と表すこととする。aの秘匿文[[a]]が秘密分散により生成されたものである場合は、[[a]]により各秘密計算装置が持つ秘密分散の断片の集合を参照するものとする。

　また、aの秘匿文[[a]]を復元して、aを得る処理をa←Open([[a]])と表すこととする。

　秘匿化と復元の方法として、具体的には、参考非特許文献１や参考非特許文献２の手法がある。

（参考非特許文献１）Octavian Catrina, Amitabh Saxena, “Secure Computation with Fixed-Point Numbers”, Financial Cryptography 2010, LNCS6052, pp.35-50, 2010.

（参考非特許文献２）Mehrdad Aliasgari, Marina Blanton, Yihua Zhang, Aaron Steele, “Secure Computation on Floating Point Numbers”, NDSS 2013, 2013.

　参考非特許文献１には、固定小数点や整数での演算について開示されている。また、参考非特許文献２には、浮動小数点での演算について開示されている。

［加算、減算、乗算］
　加算、減算、乗算の各演算は、2つの値a, bの秘匿文[[a]], [[b]]を入力とし、それぞれa+b, a-b, abの計算結果である和c₁、差c₂、積c₃の秘匿文[[c₁]]，[[c₂]]，[[c₃]]を計算する。[[c₁]]，[[c₂]]，[[c₃]] を得る処理をそれぞれ、[[c₁]]←Add([[a]],[[b]])，[[c₂]]←Sub([[a]],[[b]])，[[c₃]]←Mul([[a]],[[b]])と表すこととする。誤解を招く恐れのない場合は、Add([[a]],[[b]])， Sub([[a]],[[b]])， Mul([[a]],[[b]])をそれぞれ[[a]]+[[b]], [[a]]-[[b]], [[a]]×[[b]]と略記することもある。

　加算、減算、乗算の方法として、具体的には、参考非特許文献１や参考非特許文献２の手法がある。参考非特許文献１には、固定小数点や整数での演算について開示されている。また、参考非特許文献２には、浮動小数点での演算について開示されている。

［小数分解］
　aの秘匿文[[a]]に対して、aの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]]，[[f]]を計算する処理を[[e]],[[f]]←Split([[a]])と表すこととする。

　小数分解の方法として、具体的には、非特許文献３の手法がある。非特許文献３には、浮動小数点での演算について開示されている。また、固定小数点や整数での演算については、参考非特許文献１の固定小数点数（整数）と浮動小数点数の相互変換と非特許文献３の浮動小数点数の小数分解を組み合わせればよい。

［左シフト］
　aの秘匿文[[a]]とbの秘匿文[[b]]からaをbビット左シフトした値（つまり、aを2^b倍した値）である左シフト値c(=a×2^b)の秘匿文[[c]]を計算する処理を[[c]]←[[a]]<<[[b]]と表すこととする。

　浮動小数点での演算については、指数部にシフト量(x << yのyのこと)を加算すればよい。また、固定小数点や整数での演算については、参考非特許文献１の固定小数点数（整数）と浮動小数点数の相互変換と上述の浮動小数点数の左シフトを組み合わせればよい。

＜第一実施形態＞
　第一実施形態の秘密計算アルゴリズムの入力と出力、処理手順と第一実施形態の秘密計算アルゴリズムを実現する秘密計算システムについて、以下説明していく。

［入力と出力］
　図１に示す第一実施形態の秘密計算アルゴリズムの入力と出力について説明する。

　2のべき乗を計算する値xの秘匿文[[x]]が入力となる。また、0≦r<1を満たす乱数rとrの2のべき乗2^rの秘匿文[[r]], [[2^r]]も入力する。

　xの2のべき乗2^xの秘匿文[[2^x]]が出力となる。

［処理手順］
　図１に示す第一実施形態の秘密計算アルゴリズムの処理手順について説明する。その際、図１の左端の数字を用いてステップ１、ステップ２等と表現することにする。

　ステップ１では、入力された秘匿文[[x]]と[[r]]から、xから乱数rを減算した結果である差x-rの秘匿文[[x]]-[[r]]を計算する。次に、秘匿文[[x]]-[[r]]から、差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する。ここで、x-r=e+fが成り立つ。

　ステップ２では、ステップ１で生成した秘匿文[[f]]から、差x-rの小数部分fを復元する。

　ステップ３では、ステップ２で復元した小数部分fとステップ１で生成した秘匿文[[e]]から、fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する。ここで、[[y]]=2^f<<[[e]]=[[2^f+e]]=[[2^x-r]]が成り立つ。

　ステップ４では、入力された秘匿文[[2^r]]とステップ３で生成した秘匿文[[y]]から、2^rとyを乗算した結果である積2^r×yの秘匿文[[2^r]]×[[y]]を計算する。ここで、[[2^r]]×[[y]]= [[2^r×y]]=[[2^r×2^x-r]]=[[2^x]]が成り立つ。

［秘密計算システム］
　以下、図２～図４を参照して第一実施形態の秘密計算システム１０について説明する。図２は、秘密計算システム１０の構成を示すブロック図である。秘密計算システム１０は、W個（Wは2以上の所定の整数）の秘密計算装置１００₁、…、１００_Wを含む。秘密計算装置１００₁、…、１００_Wは、ネットワーク８００に接続しており、相互に通信可能である。ネットワーク８００は、例えば、インターネットなどの通信網あるいは同報通信路などでよい。図３は、秘密計算装置１００_i(1≦i≦W)の構成を示すブロック図である。図４は、秘密計算システム１０の動作を示すフローチャートである。

　図３に示すように秘密計算装置１００_iは、乱数生成部１１０_iと、小数分解部１２０_iと、復元部１３０_iと、左シフト部１４０_iと、べき乗計算部１５０_iと、記録部１９０_iを含む。記録部１９０_iを除く秘密計算装置１００_iの各構成部は、秘密計算アルゴリズムで必要とされる演算、つまり、少なくとも秘匿化、復元、加算、減算、乗算、小数分解、左シフトのうち、各構成部の機能を実現するうえで必要になる演算を実行できるように構成されている。本発明において個々の演算を実現するための具体的な機能構成は、例えば先行技術文献として開示している非特許文献や＜定義、記法等＞で開示している参考非特許文献などにあるアルゴリズムを実行できるような構成で十分であり、これらは従来的構成であるから詳細な説明については省略する。また、記録部１９０_iは、秘密計算装置１００_iの処理に必要な情報を記録する構成部である。

　W個の秘密計算装置１００_iによる協調計算によって、秘密計算システム１０はマルチパーティプロトコルである秘密計算アルゴリズムを実現する。よって、秘密計算システム１０の乱数生成手段１１０（図示していない）は乱数生成部１１０₁、…、１１０_Wで構成され、小数分解手段１２０（図示していない）は小数分解部１２０₁、…、１２０_Wで構成され、復元手段１３０（図示していない）は復元部１３０₁、…、１３０_Wで構成され、左シフト手段１４０（図示していない）は左シフト部１４０₁、…、１４０_Wで構成され、べき乗計算手段１５０（図示していない）はべき乗計算部１５０₁、…、１５０_Wで構成される。

　秘密計算システム１０は、事前に生成した乱数r(0≦r<1)とその2のべき乗2^rの秘匿文[[r]], [[2^r]]を用いて、2のべき乗を計算する値（つまり、指数）xの秘匿文[[x]]から、xの2のべき乗2^xの秘匿文[[2^x]]を計算する。以下、図４に従い秘密計算システム１０の動作について説明する。

　乱数生成手段１１０は、0≦r<1を満たす乱数rを生成し、秘匿文[[r]],[[2^r]]を生成する（Ｓ１１０）。図１の秘密計算アルゴリズムの入力値の事前セットアップに対応する。秘匿文[[r]],[[2^r]]は、記録部１９０₁、…、１９０_Wに記録しておく。

　小数分解手段１２０は、秘匿文[[x]]が入力される前に生成しておいた秘匿文[[r]]を用いて、xの秘匿文[[x]]から、xと乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、秘匿文[[x]]-[[r]]から、差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する（Ｓ１２０）。図１の秘密計算アルゴリズムのステップ１に対応する。

　復元手段１３０は、Ｓ１２０で生成した秘匿文[[f]]から、小数部分fを復元する（Ｓ１３０）。図１の秘密計算アルゴリズムのステップ２に対応する。

　左シフト手段１４０は、Ｓ１３０で復元した小数部分fとＳ１２０で生成した秘匿文[[e]]から、小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]=2^f<<[[e]]を生成する（Ｓ１４０）。図１の秘密計算アルゴリズムのステップ３に対応する。

　べき乗計算手段１５０は、秘匿文[[x]]が入力される前に生成しておいた秘匿文[[2^r]]を用いて、Ｓ１４０で生成した秘匿文[[y]]から、2のべき乗2^rと左シフト値yを乗算した結果である積2^r×yの秘匿文[[2^r]]×[[y]]を計算する（Ｓ１５０）。図１の秘密計算アルゴリズムのステップ４に対応する。

　本実施形態の発明によれば、2^xの計算を減算、小数分解、復元、左シフト、乗算をそれぞれ1回実行することで実現できるため、計算コストが削減される。また、[[2^r]]が与えられていることを前提とし、2^x=2^x-r×2^rであることを利用し、入力値[[x]]から出力値[[2^x]]を計算する処理を[[2^x-r]]の計算に還元している。通常、2^x-rの指数x-rの小数部分fを復元すると情報が漏れてしまうが、指数x-rの小数部分が0以上1未満の一様ランダムな値となるように調整（つまり、x-rを計算してから小数部分を抜き出して小数部分のみを公開）することにより、安全に2^xの計算を実行することを可能としている。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electronically Erasable and Programmable-Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　上述の本発明の実施形態の記載は、例証と記載の目的で提示されたものである。網羅的であるという意思はなく、開示された厳密な形式に発明を限定する意思もない。変形やバリエーションは上述の教示から可能である。実施形態は、本発明の原理の最も良い例証を提供するために、そして、この分野の当業者が、熟考された実際の使用に適するように本発明を色々な実施形態で、また、色々な変形を付加して利用できるようにするために、選ばれて表現されたものである。すべてのそのような変形やバリエーションは、公正に合法的に公平に与えられる幅にしたがって解釈された添付の請求項によって定められた本発明のスコープ内である。

Claims

　rを0≦r<1を満たす乱数、[[r]]を前記乱数rの秘匿文、[[2^r]]を前記乱数rの2のべき乗2^rの秘匿文とし、
　2個以上の秘密計算装置で構成され、2のべき乗を計算する値xの秘匿文[[x]]から、前記値xの2のべき乗2^xの秘匿文[[2^x]]を計算する秘密計算システムであって、
　前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、前記秘匿文[[x]]-[[r]]から前記差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する小数分解手段と、
　前記秘匿文[[f]]から、前記小数部分fを復元する復元手段と、
　前記小数部分fと前記秘匿文[[e]]から、前記小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する左シフト手段と、
　前記秘匿文[[2^r]]を用いて、前記秘匿文[[y]]から前記2のべき乗2^rと前記左シフト値yを乗算した値2^r×yの秘匿文[[2^r]]×[[y]]を前記秘匿文[[2^x]]として計算するべき乗計算手段と
　を含む秘密計算システム。
　rを0≦r<1を満たす乱数、[[r]]を前記乱数rの秘匿文、[[2^r]]を前記乱数rの2のべき乗2^rの秘匿文とし、
　2のべき乗を計算する値xの秘匿文[[x]]から、前記値xの2のべき乗2^xの秘匿文[[2^x]]を計算する2個以上の秘密計算装置で構成される秘密計算システムの中の秘密計算装置であって、
　前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、前記秘匿文[[x]]-[[r]]から前記差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する小数分解部と、
　前記秘匿文[[f]]から、前記小数部分fを復元する復元部と、
　前記小数部分fと前記秘匿文[[e]]から、前記小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する左シフト部と、
　前記秘匿文[[2^r]]を用いて、前記秘匿文[[y]]から前記2のべき乗2^rと前記左シフト値yを乗算した値2^r×yの秘匿文[[2^r]]×[[y]]を前記秘匿文[[2^x]]として計算するべき乗計算部と
　を含む秘密計算装置。
　rを0≦r<1を満たす乱数、[[r]]を前記乱数rの秘匿文、[[2^r]]を前記乱数rの2のべき乗2^rの秘匿文とし、
　2個以上の秘密計算装置で構成される秘密計算システムを用いて、2のべき乗を計算する値xの秘匿文[[x]]から、前記値xの2のべき乗2^xの秘匿文[[2^x]]を計算する秘密計算方法であって、
　前記秘密計算システムが、前記秘匿文[[r]]を用いて、前記秘匿文[[x]]から前記値xと前記乱数rの差x-rの秘匿文[[x]]-[[r]]を計算し、前記秘匿文[[x]]-[[r]]から前記差x-rの整数部分eと小数部分f(0≦f<1)の秘匿文[[e]],[[f]]を生成する小数分解ステップと、
　前記秘密計算システムが、前記秘匿文[[f]]から、前記小数部分fを復元する復元ステップと、
　前記秘密計算システムが、前記小数部分fと前記秘匿文[[e]]から、前記小数部分fの2のべき乗2^fをeビット左シフトした値である左シフト値yの秘匿文[[y]]を生成する左シフトステップと、
　前記秘密計算システムが、前記秘匿文[[2^r]]を用いて、前記秘匿文[[y]]から前記2のべき乗2^rと前記左シフト値yを乗算した値2^r×yの秘匿文[[2^r]]×[[y]]を前記秘匿文[[2^x]]として計算するべき乗計算ステップと
　を実行する秘密計算方法。
　請求項１に記載の秘密計算システムを構成する秘密計算装置としてコンピュータを機能させるためのプログラム。