WO2019039380A1

WO2019039380A1 - シェア生成装置、シェア変換装置、秘密計算システム、シェア生成方法、シェア変換方法、プログラム、および記録媒体

Info

Publication number: WO2019039380A1
Application number: PCT/JP2018/030439
Authority: WO
Inventors: 大五十嵐; 亮菊池; 千田　浩司
Original assignee: 日本電信電話株式会社
Priority date: 2017-08-22
Filing date: 2018-08-16
Publication date: 2019-02-28
Also published as: US20210135849A1; JPWO2019039380A1; EP3675088A1; AU2018320433B2; US20220278829A1; CN111052204A; AU2018320433A1; CN111052204B; EP3675088B1; US11374743B2; US11888977B2; JP6885467B2; EP3675088A4

Abstract

シェア生成装置は、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得、平文ｘ∈Ｆ^ｍおよび関数値ｅの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得、要素ｙ_ｉとｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄとを含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。ただし、関数値ｙはｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現される。

Description

シェア生成装置、シェア変換装置、秘密計算システム、シェア生成方法、シェア変換方法、プログラム、および記録媒体

　本発明は、暗号技術に関し、特に秘密計算技術に関する。

　秘密分散方式の一つにシャミア（Shamir）秘密分散法がある（例えば、非特許文献１等参照）。

A. Shamir, "How to Share a Secret", Communications of the ACM, November 1979, Volume 22, Number 11, pp.612-613.

　秘密計算装置は、シャミア秘密分散法に則って得られたシェアをそのまま用いて秘密計算を行うことができる。しかし、このシェアがＮ個の秘密計算装置に秘密分散される場合、シェアの総データ量は平文のデータ量のＮ倍のオーダーになってしまう。そのため、このシェアをそのままＮ個の秘密計算装置に送信したのでは、総通信データ量も平文のデータ量のＮ倍のオーダーとなってしまう。

　本発明の目的は、シャミア秘密分散法に則ったシェアよりも総通信データ量が小さく、かつシャミア秘密分散法に則ったシェアに変換可能なシェアを生成する技術、またはシャミア秘密分散法に則ったシェアよりも総通信データ量が小さいシェアをシャミア秘密分散法に則ったシェアに変換する技術を提供することである。

　シェア生成装置は、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得、平文ｘ∈Ｆ^ｍおよび関数値ｅの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得、要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄとを含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。ただし、Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、Ｐが関数であり、関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍがシードｓ_０，…，ｓ_Ｎ－１の関数値であり、ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍが関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍの関数値であり、関数値ｙがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現される。

　Ｎ個のシェア変換装置Ａ_０，…，Ａ_Ｎ－１に含まれる各シェア変換装置Ａ_ｉはシェアＳＳ_ｉを受け付け、他のシェア変換装置Ａ_{ｉ－１ｍｏｄＮ}との間で任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）を共有し、任意値ｔ_ｉをシェア変換装置Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}としてシャミア秘密分散法に則って要素ｙ_ｉを秘密分散することで各シェア変換装置Ａ_ｕのシェア［ｙ_ｉ］_ｕ∈Ｆ^ｍ（ｉ）を得て出力し、シェア［ｙ_ｄ］_ｉを受け付け、シードｓ_ｄの関数値Ｐ（ｓ_ｄ）∈Ｆ^ｍを得、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１の関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）に対する関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍのシェアである、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについての関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉを、シャミア秘密分散法に則った関数値ｅのシェア［ｅ］_ｉに変換し、シェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉによって表現されるシェア［ｙ］_ｉおよびシェア［ｅ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったｘ＝ｇ^－１（ｙ，ｅ）のシェア［ｘ］_ｉを得る。ただし、ｕ＝０，…，Ｎ－１であり、シェア［ｙ］_ｉは平文ｘおよび関数値ｅに対する関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍのシェアである。

　シェア生成装置は、シャミア秘密分散法に則ったシェアよりも総通信データ量が小さく、かつシャミア秘密分散法に則ったシェアに変換可能なシェアを生成できる。シェア変換装置は、シャミア秘密分散法に則ったシェアよりも総通信データ量が小さいシェアをシャミア秘密分散法に則ったシェアに変換できる。

図１は実施形態の秘密計算システムの構成を例示したブロック図である。図２は実施形態のシェア生成装置の機能構成を例示したブロック図である。図３は実施形態のシェア変換装置の機能構成を例示したブロック図である。図４は実施形態のシェア生成方法を説明するためのフロー図である。図５は実施形態のシェア変換方法を説明するためのフロー図である。

　以下、図面を参照して本発明の実施形態を説明する。
　［第１実施形態］
　まず、第１実施形態を説明する。
　＜構成＞
　図１に例示するように、本形態の秘密計算システム１はシェア生成装置１１およびＮ個のシェア変換装置１２－Ａ_０，…，１２－Ａ_Ｎ－１を有し、これらの装置はインターネット等のネットワークを通じて互いに通信可能である。ただし、Ｎは２以上の整数である。例えば、Ｎは３以上の整数である。Ｎの一例はＮ＝３である。なお、図１には１個のシェア生成装置１１を図示しているが、秘密計算システム１が複数個のシェア生成装置を有していてもよい。

　図２に例示するように、本形態のシェア生成装置１１は、シード生成部１１１、演算部１１２、分割部１１３、シェア生成部１１６、通信部１１７、記憶部１１８、および制御部１１９を有し、制御部１１９の制御のもとで各処理を実行する。シェア生成装置１１の各処理部（処理を行う部位）から出力された情報は記憶部１１８に格納され、必要に応じて読み出されて他の処理部に入力される。

　図３に例示するように、各シェア変換装置１２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は、通信部１２０１－Ａ_ｉ、共有部１２０２－Ａ_ｉ、秘密分散部１２０３－Ａ_ｉ、秘密計算部１２０６－Ａ_ｉ、演算部１２０７－Ａ_ｉ、シャミア変換部１２０８－Ａ_ｉ、シェア生成部１２０９－Ａ_ｉ、記憶部１２１０－Ａ_ｉ、および制御部１２１１－Ａ_ｉを有し、制御部１２１１－Ａ_ｉの制御のもとで各処理を実行する。シェア変換装置１２－Ａ_ｉの各処理部から出力された情報は記憶部１２１０－Ａ_ｉに格納され、必要に応じて読み出されて他の処理部に入力される。

　＜シェア生成方法＞
　図４を用い、本形態のシェア生成装置１１が行うシェア生成方法を説明する。なお、「シェア」とは秘密分散における断片を意味する。
　まずシード生成部１１１（図２）は、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得て出力する。シードｓ_０，…，ｓ_Ｎ－１のデータ形式に限定はなく、どのような値をシードｓ_０，…，ｓ_Ｎ－１としてもよい。各シードｓ_０，…，ｓ_Ｎ－１の一例はｗ個の体Ｆの元の列を要素とする集合Ｆ^ｗの元である（ｓ_０，…，ｓ_Ｎ－１∈Ｆ^ｗ）。ただし、α∈βはαがβの要素であることを意味する。ｗは１以上の整数である。ｗ＝１の場合、Ｆ^ｗは体Ｆである。体Ｆの例は素数ｐを法とした剰余（任意のαに対するα　ｍｏｄ　ｐ）からなる集合であり、この場合の体Ｆでの演算結果は素数ｐを法とした剰余として得られる。ｐ≧３であり、例えばｐ＝２^６１－１である。シードｓ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は任意値であってもよいし、他の処理で得られた出力値であってもよい。「任意値」は乱数（擬似乱数または真正乱数）であってもよいし、予め設定された複数の値から選択された値であってもよいし、他の処理で得られた値であってもよい。例えば、シード生成部１１１は、Ｎ個の乱数を生成し、それらをシードｓ_０，…，ｓ_Ｎ－１として出力する（ステップＳ１１１）。

　秘密分散対象の平文ｘ∈Ｆ^ｍおよびシード生成部１１１から出力されたシードｓ_０，…，ｓ_Ｎ－１は演算部１１２に入力される。ただし、ｍは１以上の整数である。例えば、ｍは２以上の整数または３以上の整数である。演算部１１２は、平文ｘ∈Ｆ^ｍおよび関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得て出力する。ただし、Ｐは関数である。関数Ｐの値域はｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属する。集合Ｆ^ｍの一例はｍ個の体Ｆの元を要素とするｍ次元ベクトルの集合である。関数Ｐの定義域はどのようなものであってもよいが、例えば、関数Ｐの定義域は集合Ｆ^ｗに属する。例えばｗ＜ｍである。関数Ｐの例は擬似乱数生成関数である。Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍはシードｓ_０，…，ｓ_Ｎ－１の関数値（例えば、擬似乱数）である。ｇ：Ｆ^ｍ×２→Ｆ^ｍは２個の集合Ｆ^ｍの元を１個の集合Ｆ^ｍの元に移す線形関数（線形性を持つ関数）である。例えば、ｙ＝ｘ－ｅ∈Ｆ^ｍである。しかし、これは本発明を限定しない。例えばｘ－ｅの一部または全部の項に定数が乗じられた式によって表される演算によって得られる値をｙとしてもよいし、ｘ－ｅの一部または全部の項が逆元に置換された式によって表される演算によって得られる値をｙとしてもよいし、ｘ－ｅの一部または全部の項を逆元に置換し、さらに一部または全部の項に定数が乗じられた式によって表される演算によって得られる値をｙとしてもよいし、さらに定数項が加えられた式によって表される演算によって得られる値をｙとしてもよい。関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））は関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍの関数値である。ｆ：Ｆ^ｍ×ｎ→Ｆ^ｍはｎ個の集合Ｆ^ｍの元を１個の集合Ｆ^ｍの元に移す線形関数である。例えば、ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））＝Σ_{０≦ｉ＜Ｎ}Ｐ（ｓ_ｉ）＝Ｐ（ｓ_０）＋…＋Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍである。しかし、これは本発明を限定しない。例えば、Ｐ（ｓ_０）＋…＋Ｐ（ｓ_Ｎ－１）の一部または全部の項に定数が乗じられた式によって表される演算によって得られる値をｅとしてもよいし、Ｐ（ｓ_０）＋…＋Ｐ（ｓ_Ｎ－１）の一部または全部の項が逆元に置換された式によって表される演算によって得られる値をｅとしてもよいし、Ｐ（ｓ_０）＋…＋Ｐ（ｓ_Ｎ－１）の一部または全部の項を逆元に置換し、さらに一部または全部の項に定数が乗じられた式によって表される演算によって得られる値をｅとしてもよいし、さらに定数項が加えられた式によって表される演算によって得られる値をｅとしてもよい（ステップＳ１１２）。

　関数値ｙ∈Ｆ^ｍは分割部１１３に入力される。分割部１１３は、関数値ｙをＮ個の要素ｙ_０，…，ｙ_Ｎ－１に分割して出力する。ただし、ｉ＝０，…，Ｎ－１についてｙ_ｉ∈Ｆ^ｍ（ｉ）であり、ｍ（ｉ）が０以上の整数であり（例えば、ｍ（ｉ）は１以上の整数であり）、ｍ≧Ｎであり、ｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす。例えば、ｍがＮの倍数である場合にはｍ（０）＝…＝ｍ（Ｎ－１）＝ｍ／Ｎとしてもよい。しかし、ｍがＮの倍数であるか否かにかかわらず、ｍ（０），…，ｍ（Ｎ－１）がすべて同一でなくてもよい。例えば、ｍ（０），…，ｍ（Ｎ－１）の少なくとも一部が０であってもよい。ただしγ∈Ｆ^０はヌル値を表す。ｍ（ｉ）＝０の場合、ｙ_ｉ∈Ｆ^ｍ（ｉ）はヌル値である。関数値ｙは要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}（例えば、ｙ_０，…，ｙ_Ｎ－１の列）によって表現される。例えば、関数値ｙはｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}を並べた列ｙ_０｜…｜ｙ_Ｎ－１で表現される。ｍ＝１の場合、ｍ（０），…，ｍ（Ｎ－１）の何れか１個のみが１であり、他はすべて０である。このような場合、分割部１１３は関数値ｙを分割する必要はなく、要素ｙ_０，…，ｙ_Ｎ－１の何れか１個の要素を関数値ｙとし、残りの要素を全てヌル値として出力する（ステップＳ１１３）。

　分割部１１３から出力された要素ｙ_０，…，ｙ_Ｎ－１およびシード生成部１１１から出力されたシードｓ_０，…，ｓ_Ｎ－１はシェア生成部１１６に入力される。シェア生成部１１６は、要素ｙ_ｉとｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄとを各シェア変換装置１２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）に割り当て、要素ｙ_ｉとｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄとを含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。なお、ｉ≠０かつｉ≠Ｎ－１の場合、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄはシードｓ_０，…，ｓ_ｉ－１，ｓ_ｉ＋１，…，ｓ_Ｎ－１である。ｉ＝０の場合、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄはシードｓ_１，…，ｓ_Ｎ－１である。ｉ＝Ｎ－１の場合、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄはシードｓ_０，…，ｓ_Ｎ－２である。各シェアＳＳ_ｉは各シェア変換装置１２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）のシェアである。各シェアＳＳ_ｉは他の情報を含んでもよいが、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについての要素ｙ_ｄおよびシードｓ_ｉを含まない。なお、ヌル値である要素ｙ_ｉ∈Ｆ^０とＮ－１個のシードｓ_ｄとを含む情報とは、要素ｙ_ｉがヌル値であることを示し、かつＮ－１個のシードｓ_ｄを含む情報を意味する。ヌル値である要素ｙ_ｉ∈Ｆ^０とＮ－１個のシードｓ_ｄとを含む情報は、Ｎ－１個のシードｓ_ｄを含むが実質的には要素ｙ_ｉを含まない。シードｓ_１，…，ｓ_Ｎ－１のサイズおよびＮはｍに依存しない。平文のデータサイズｍに関する総シェアサイズのオーダーは、（２，Ｎ）－シャミア秘密分散ではＯ（Ｎｍ）となるところ、本形態ではＯ（ｍ）で済む。個々のシェアのサイズはＯ（ｍ／Ｎ）である。例えば、シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は平文ｘのデータ量のＮ倍未満である。例えば、各シェアＳＳ_ｉのデータ量は平文ｘのデータ量未満である（ステップＳ１１６）。

　シェア生成部１１６から出力された各シェアＳＳ_ｉは通信部１１７に入力される。通信部１１７は、各シェアＳＳ_ｉを各シェア変換装置１２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）に対して出力する。出力された各シェアＳＳ_ｉはネットワークを通じて各シェア変換装置１２－Ａ_ｉに送信される。すなわち、シェアＳＳ_０はシェア変換装置１２－Ａ_０に送信され、シェアＳＳ_１はシェア変換装置１２－Ａ_１に送信され、・・・、シェアＳＳ_Ｎ－１はシェア変換装置１２－Ａ_Ｎ－１に送信される（ステップＳ１１７）。

　＜シェア変換方法＞
　図５を用い、本形態の各シェア変換装置１２－Ａ_ｉが行うシェア変換方法を説明する。
　シェア生成装置１１から出力された要素ｙ_ｉとｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄとを含むシェアＳＳ_ｉはシェア変換装置１２－Ａ_ｉ（図３）の通信部１２０１－Ａ_ｉ（第１入力部）に受信される（受け付けられる）。受信されたシェアＳＳ_ｉは記憶部１２１０－Ａ_ｉに格納される（ステップＳ１２１０－Ａ_ｉ）。

　共有部１２０２－Ａ_ｉは、他のシェア変換装置１２－Ａ_{ｉ－１ｍｏｄＮ}の共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}との間で任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）を共有する。すなわち、共有部１２０２－Ａ_ｉと共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}とは同一の任意値ｔ_ｉを得る。共有部１２０２－Ａ_ｉから任意値ｔ_ｉまたは任意値ｔ_ｉを特定する情報を共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}に送信して両者で任意値ｔ_ｉが共有されてもよいし、共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}から任意値ｔ_ｉまたは任意値ｔ_ｉを特定する情報を共有部１２０２－Ａ_ｉに送信して両者で任意値ｔ_ｉが共有されてもよいし、共有部１２０２－Ａ_ｉと共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}とで共有シード値を共有しておき、両者が共有シード値を用いた同一の処理を実行することで任意値ｔ_ｉが共有されてもよい。任意値ｔ_ｉは、乱数（擬似乱数または真正乱数）であってもよいし、他の処理で得られた値であってもよいし、予め定められた複数の値から選択された値であってもよい。任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）の共有は、ステップＳ１２１０－Ａ_ｉが実行されたことを契機として行われてもよいし、他の共有部１２０２－Ａ_{ｉ－１ｍｏｄＮ}からの要求を契機として行われてもよいし、その他の契機で行われてもよいし、予め行われていてもよい。共有部１２０２－Ａ_ｉは得た任意値ｔ_ｉを出力する。要素ｙ_ｉがヌル値である場合には任意値ｔ_ｉもヌル値に設定される（ステップＳ１２０２－Ａ_ｉ）。

　シェアＳＳ_ｉに含まれた要素ｙ_ｉおよび共有部１２０２－Ａ_ｉから出力された任意値ｔ_ｉは秘密分散部１２０３－Ａ_ｉに入力される。秘密分散部１２０３－Ａ_ｉは、シャミア（Shamir）秘密分散法に則って要素ｙ_ｉを秘密分散することで各シェア変換装置１２－Ａ_ｕ（ただし、ｕ＝０，…，Ｎ－１）のシェア［ｙ_ｉ］_ｕ∈Ｆ^ｍ（ｉ）（Shamirシェア）を得て出力する。ただし、任意値ｔ_ｉをシェア変換装置１２－Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}とする。実施形態のシャミア秘密分散法は2-out-of-Nしきい値分散方式であり、任意の相違なる２個のシェアが与えられれば平文を復元できるが、任意の１個のシェア情報が与えられても平文の情報はまったく得られない。2-out-of-Nしきい値分散方式の場合、秘密分散対象の要素ｙ_ｉと１つのシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}＝ｔ_ｉとが定まれば他のシェアを求めることができる。例えば、秘密分散部１２０３－Ａ_ｉは、任意値ｔ_ｉをシェア変換装置１２－Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}とし、ラグランジェ(Lagrange)の補間公式を用いて要素ｙ_ｉとシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}＝ｔ_ｉと他のシェア［ｙ_ｉ］_ｕ’∈Ｆ^ｍ（ｉ）（ただし、ｕ’∈｛０，…，Ｎ－１｝かつｕ’≠ｉ－１ｍｏｄＮ）との間に成り立つ方程式を特定し（例えば、当該方程式の各項の係数を特定し）、それを解くことで他のシェア［ｙ_ｉ］_ｕ’∈Ｆ^ｍ（ｉ）を生成する。通信部１２０１－Ａ_ｉ（第１出力部）は秘密分散部１２０３－Ａ_ｉで得たシェア［ｙ_ｉ］_ｄを他のＮ－１個のシェア変換装置１２－Ａ_ｄ（ただし、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉ）に対して出力（送信）する。ただし、シェア変換装置１２－Ａ_ｉとシェア変換装置１２－Ａ_{ｉ－１ｍｏｄＮ}とは既にシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}＝ｔ_ｉを共有しているため（ステップＳ１２０２－Ａ_ｉ）、シェア変換装置１２－Ａ_{ｉ－１ｍｏｄＮ}へのシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}＝ｔ_ｉの更なる送信が省略されてもよい。要素ｙ_ｉがヌル値である場合にはシェア［ｙ_ｉ］_ｕもヌル値に設定される。通信部１２０１－Ａ_ｉ（第２入力部）は、同様に他のシェア変換装置１２－Ａ_ｄから出力（送信）されたシェア［ｙ_ｄ］_ｉを受信する（受け付ける）（ステップＳ１２０３－Ａ_ｉ）。

　秘密分散部１２０３－Ａ_ｉから出力されたシェア変換装置１２－Ａ_ｉのシェア［ｙ_ｉ］_ｉおよび他のシェア変換装置１２－Ａ_ｄ（ただし、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉ）から送信されたシェア［ｙ_ｄ］_ｉは秘密計算部１２０６－Ａ_ｉ（第１秘密計算部）に入力される。秘密計算部１２０６－Ａ_ｉは、公知の秘密計算によってシェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉを結合（連結）してシェア［ｙ］_ｉ∈Ｆ^ｍを得て出力する。シェア［ｙ］_ｉはシャミア秘密分散法に則った関数値ｙのシェアである。関数値ｙはＮ個の要素ｙ_０，…，ｙ_Ｎ－１を結合したものである。例えば、ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}を並べた列ｙ_０｜…｜ｙ_Ｎ－１がｙである。秘密計算によって、シャミア秘密分散法に則ったシェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉを結合してシェア［ｙ］_ｉ∈Ｆ^ｍを得るには、例えばシェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉの列をシェア［ｙ］とすればよい。すなわち、シェア［ｙ］はシェア［ｙ_０］_ｉ∈Ｆ^ｍ（０），…，［ｙ_Ｎ－１］_ｉ∈Ｆ^{ｍ（Ｎ－１）}によって表現される。例えば、シェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉを並べた列［ｙ_０］_ｉ｜…｜［ｙ_Ｎ－１］_ｉがシェア［ｙ］である（ステップＳ１２０６－Ａ_ｉ）。

　シェアＳＳ_ｉに含まれたＮ－１個のシードｓ_ｄは演算部１２０７－Ａ_ｉに入力される。演算部１２０７－Ａ_ｉは、Ｎ－１個のシードｓ_ｄのＮ－１個の関数値Ｐ（ｓ_ｄ）∈Ｆ^ｍ（例えば、擬似乱数）を得て出力する（ただし、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉ）。この演算に用いられる関数Ｐは、シェア生成装置１１の演算部１１２で関数値ｙを得るための関数Ｐと同一である。ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉ（すなわち、集合ＳＥＴ_ｉはｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の関数値Ｐ（ｓ_ｄ）を要素として持つ）は、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１の関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）に対する関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍのシェアである。つまり、少なくとも２個の互いに異なる集合ＳＥＴ_ｉ’およびＳＥＴ_ｉ”（ただし、ｉ’，ｉ”∈｛０，…，Ｎ－１｝かつｉ’≠ｉ”）があれば、関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））を復元できる。すなわち、集合ＳＥＴ_ｉは関数値ｅの（２，Ｎ）－複製秘密分散シェアである（ステップＳ１２０７－Ａ_ｉ）。

　ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉはシャミア変換部１２０８－Ａ_ｉに入力される。シャミア変換部１２０８－Ａ_ｉは、関数値ｅの（２，Ｎ）－複製秘密分散シェアである集合ＳＥＴ_ｉを、公知のシャミア変換方法によって、シャミア秘密分散法に則った関数値ｅのシェア［ｅ］_ｉに変換して出力する。（２，Ｎ）－複製秘密分散シェアをシャミア秘密分散法に則ったシェアに変換する方法としては、例えば、「Ronald Cramer, Ivan Damgard, Yuval Ishai: Share Conversion, Pseudorandom Secret-Sharing and Applications to Secure Computation. TCC 2005: 342-362」（参考文献１）に記載された方法を例示できる（ステップＳ１２０８－Ａ_ｉ）。

　秘密計算部１２０６－Ａ_ｉから出力されたシェア［ｙ］_ｉおよびシャミア変換部１２０８－Ａ_ｉから出力されたシェア［ｅ］_ｉは、シェア生成部１２０９－Ａ_ｉ（第１シェア生成部）に入力される。前述のように、シェア［ｙ］_ｉは平文ｘおよび関数値ｅに対する関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍのシャミア秘密分散法に則ったシェアである。ここでｙ＝ｇ（ｘ，ｅ）に対してｘ＝ｇ^－１（ｙ，ｅ）∈Ｆ^ｍを満たす関数をｇ^－１：Ｆ^ｍ×２→Ｆ^ｍと定義する。例えば、ｙ＝ｘ－ｅの場合、ｘ＝ｙ＋ｅである。シェア生成部１２０９－Ａ_ｉは、シェア［ｙ］_ｉおよびシェア［ｅ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったｘ＝ｇ^－１（ｙ，ｅ）のシェア［ｘ］_ｉ∈Ｆ^ｍを得て出力する。例えば、ｘ＝ｙ＋ｅの場合、シェア生成部１２０９－Ａ_ｉは、シェア［ｙ］_ｉおよびシェア［ｅ］_ｉを用いた秘密計算により、シェア［ｙ＋ｅ］_ｉを得て出力する。シャミア秘密分散法に則ったシェアを用いた秘密計算は、例えば、「Michael Ben-Or, Shafi Goldwasser, Avi Wigderson: Completeness Theorems for Non-Cryptographic Fault-Tolerant Distributed Computation (Extended Abstract). STOC 1988: 1-10」（参考文献２）に記載されている（ステップＳ１２０９－Ａ_ｉ）。

　＜本形態の特徴＞
　シェア生成装置１１は、要素ｙ_ｉ∈Ｆ^ｍ（ｉ）およびｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄを含む情報をシェアＳＳ_ｉとして各シェア変換装置１２－Ａ_ｉに出力する。これにより、シャミア秘密分散法に則ったシェアよりも総通信データ量を小さくできる。各シェア変換装置１２－Ａ_ｉはシェアＳＳ_ｉをシャミア秘密分散法に則ったシェア［ｘ］_ｉに変換できる。これにより、秘密計算を行うことができる。

　［第２実施形態］
　第２実施形態は第１実施形態の変形例である。本形態では、シェア生成の際にシェアに対応するチェックサムを生成し、シェア変換の際にチェックサムを用いてシェアを検証する。以下では、第１実施形態で既に説明した事項については第１実施形態と同じ参照番号を用い、説明を簡略化する場合がある。

　＜構成＞
　図１に例示するように、本形態の秘密計算システム２はシェア生成装置２１およびＮ個のシェア変換装置２２－Ａ_０，…，２２－Ａ_Ｎ－１を有し、これらの装置はインターネット等のネットワークを通じて互いに通信可能である。図１には１個のシェア生成装置２１を図示しているが、秘密計算システム２が複数個のシェア生成装置を有していてもよい。

　図２に例示するように、本形態のシェア生成装置２１は、シード生成部１１１、演算部１１２、分割部１１３、任意値生成部２１４、チェックサム生成部２１５、シェア生成部２１６、通信部１１７、記憶部１１８、および制御部１１９を有し、制御部１１９の制御のもとで各処理を実行する。各処理部から出力された情報は記憶部１１８に格納され、必要に応じて読み出されて他の処理部に入力される。

　図３に例示するように、各シェア変換装置２２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は、通信部１２０１－Ａ_ｉ、共有部１２０２－Ａ_ｉ、秘密分散部１２０３－Ａ_ｉ、シェア生成部２２０４－Ａ_ｉ、検証部２２０５－Ａ_ｉ、秘密計算部１２０６－Ａ_ｉ、演算部１２０７－Ａ_ｉ、シャミア変換部１２０８－Ａ_ｉ、シェア生成部１２０９－Ａ_ｉ、記憶部１２１０－Ａ_ｉ、および制御部１２１１－Ａ_ｉを有し、制御部１２１１－Ａ_ｉの制御のもとで各処理を実行する。各処理部から出力された情報は記憶部１２１０－Ａ_ｉに格納され、必要に応じて読み出されて他の処理部に入力される。

　＜シェア生成方法＞
　図４を用い、シェア生成装置２１が行うシェア生成方法を説明する。まず、シェア生成装置１１に代えてシェア生成装置２１が、第１実施形態で説明したステップＳ１１１からＳ１１３の処理を実行する。

　次に、任意値生成部２１４が、集合Ｆ^ｖに属するＮ個の任意値ｒ_０，…，ｒ_Ｎ－１∈Ｆ^ｖを得て出力する。ただし、ｖは１以上の整数である。ｖがｍ以下である（例えば、ｖがｍよりも小さい）ほうがデータ量の削減効果が大きい。例えばｖ＝１である。集合Ｆ^ｖの一例は体Ｆを基礎体とした拡大次数ｖの拡大体である。「任意値」は乱数（擬似乱数または真正乱数）であってもよいし、予め設定された複数の値から選択された値であってもよい。例えば、任意値生成部２１４は、Ｎ個の乱数を生成し、それらを任意値ｒ_０，…，ｒ_Ｎ－１として出力する（ステップＳ２１４）。

　分割部１１３から出力された要素ｙ_０，…，ｙ_Ｎ－１および任意値生成部２１４から出力された任意値ｒ_０，…，ｒ_Ｎ－１はチェックサム生成部２１５に入力される。ここで、各要素ｙ_ｉ∈Ｆ^ｍ（ｉ）はｍ（ｉ）個のサブ要素（ｙ_ｉ）_０，…，（ｙ_ｉ）_{ｍ（ｉ）－１}∈Ｆに分割可能である。例えば、各要素ｙ_ｉはサブ要素（ｙ_ｉ）_０，…，（ｙ_ｉ）_{ｍ（ｉ）－１}を並べた列（ｙ_ｉ）_０｜…｜（ｙ_ｉ）_{ｍ（ｉ）－１}で表現される。また、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、（ｙ’_ｉ）_ｊが集合Ｆ^ｖに属する（（ｙ_ｉ）_ｖｊ，（ｙ_ｉ）_ｖｊ＋１，…，（ｙ_ｉ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖである。ただし、ｃｅｉｌは天井関数であり、ｍ’（ｉ）はｃｅｉｌ（ｍ（ｉ）／ｖ）（すなわち、ｍ’（ｉ）はｍ（ｉ）／ｖ以上の最小の整数）である。また、ｊ＝ｍ’（ｉ）－１について、（ｙ’_ｉ）_{ｖ（ｍ’（ｉ）－１）}，（ｙ_ｉ）_{ｖ（ｍ’（ｉ）－１）＋１}，…，（ｙ_ｉ）_{ｖｍ’（ｉ）－１}がｖ個に満たない場合、（ｙ’_ｉ）_{ｍ’（ｉ）－１}＝（（ｙ_ｉ）_{ｖ（ｍ’（ｉ）－１）}，（ｙ_ｉ）_{ｖ（ｍ’（ｉ）－１）＋１}，…，（ｙ_ｉ）_{ｍ（ｉ）－１}，０，…，０）∈Ｆ^ｖとする。チェックサム生成部２１５は、要素ｙ_０，…，ｙ_Ｎ－１および任意値ｒ_０，…，ｒ_Ｎ－１を用い、各シェアＳＳ_ｉに対応するチェックサムｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）－１}｛（ｙ’_ｉ）_ｊｒ_ｉ ^ｊ＋１｝＋（ｙ’_ｉ）_{ｍ’（ｉ）－１}ｒ_ｉ ^{ｍ’（ｉ）＋１}∈Ｆ^ｖを得て出力する（ステップＳ２１５）。

　分割部１１３から出力された要素ｙ_０，…，ｙ_Ｎ－１、シード生成部１１１から出力されたシードｓ_０，…，ｓ_Ｎ－１、任意値生成部２１４から出力された任意値ｒ_０，…，ｒ_Ｎ－１、および、チェックサム生成部２１５から出力されたチェックサムｃ_０，…，ｃ_Ｎ－１はシェア生成部２１６に入力される。シェア生成部２１６は、要素ｙ_ｉ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の任意値ｒ_ｄ、およびチェックサムｃ_{ｉ－１ｍｏｄＮ}を各シェア変換装置２２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）に割り当て、要素ｙ_ｉ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の任意値ｒ_ｄ、およびチェックサムｃ_{ｉ－１ｍｏｄＮ}を含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。各シェアＳＳ_ｉは各シェア変換装置２２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）のシェアである。各シェアＳＳ_ｉは他の情報を含んでもよいが、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについての要素ｙ_ｄ、シードｓ_ｉ、任意値ｒ_ｉ、およびｃ_０，…，ｃ_Ｎ－１のうちｃ_{ｉ－１ｍｏｄＮ}以外のチェックサムを含まない。シードｓ_１，…，ｓ_Ｎ－１のサイズおよびＮ，ｖはｍに依存しない。平文のデータサイズｍに関する総シェアサイズのオーダーは、（２，Ｎ）－シャミア秘密分散ではＯ（Ｎｍ）となるところ、本形態ではＯ（ｍ）で済む。個々のシェアのサイズはＯ（ｍ／Ｎ）である。例えば、シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は平文ｘのデータ量のＮ倍未満である。例えば、各シェアＳＳ_ｉのデータ量は平文ｘのデータ量未満である（ステップＳ２１６）。

　シェア生成部２１６で得られた各シェアＳＳ_ｉは通信部１１７に入力される。通信部１１７は、各シェアＳＳ_ｉを各シェア変換装置２２－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）に対して出力する。出力された各シェアＳＳ_ｉはネットワークを通じて各シェア変換装置２２－Ａ_ｉに送信される。すなわち、シェアＳＳ_０はシェア変換装置２２－Ａ_０に送信され、シェアＳＳ_１はシェア変換装置２２－Ａ_１に送信され、・・・、シェアＳＳ_Ｎ－１はシェア変換装置２２－Ａ_Ｎ－１に送信される（ステップＳ２１７）。

　＜シェア変換方法＞
　図５を用い、本形態の各シェア変換装置２２－Ａ_ｉが行うシェア生成方法を説明する。
　シェア生成装置２１から出力された要素ｙ_ｉ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄ、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の任意値ｒ_ｄ、およびチェックサムｃ_{ｉ－１ｍｏｄＮ}を含むシェアＳＳ_ｉはシェア変換装置２２－Ａ_ｉ（図３）の通信部１２０１－Ａ_ｉ（第１入力部）に受信される（受け付けられる）。受信されたシェアＳＳ_ｉは記憶部１２１０－Ａ_ｉに格納される（ステップＳ２２１０－Ａ_ｉ）。

　次に、各シェア変換装置１２－Ａ_ｉに代えて各シェア変換装置２２－Ａ_ｉが、第１実施形態で説明したステップＳ１２０２－Ａ_ｉおよびＳ１２０３－Ａ_ｉの処理を実行する。

　シェアＳＳ_ｉに含まれた任意値ｒ_ｄおよび通信部１２０１－Ａ_ｉで受信されたシェア［ｙ_ｄ］_ｉ（ただし、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉ）（ステップＳ１２０３－Ａ_ｉ）はシェア生成部２２０４－Ａ_ｉ（第２シェア生成部）に入力される。シェア生成部２２０４－Ａ_ｉは、任意値ｒ_ｄおよびシェア［ｙ_ｄ］_ｉを用いた秘密計算（秘密計算による公開値倍算、および加算）により、シャミア秘密分散法に則ったチェックサムｃ_ｄ＝Σ_{０≦ｊ＜ｍ’（ｄ）－１}｛（ｙ’_ｄ）_ｊｒ_ｄ ^ｊ＋１｝＋（ｙ’_ｄ）_{ｍ’（ｄ）－１}ｒ_ｄ ^{ｍ’（ｄ）＋１}∈Ｆ^ｖのシェア［ｃ_ｄ］_ｉを得て出力する。前述のように要素ｙ_ｄはｍ（ｄ）個のサブ要素（ｙ_ｄ）_０，…，（ｙ_ｉ）_{ｍ（ｄ）－１}に分割できる。（ｙ’_ｄ）_ｊが集合Ｆ^ｖに属する（（ｙ_ｄ）_ｖｊ，（ｙ_ｄ）_ｖｊ＋１，…，（ｙ_ｄ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、ｍ’（ｄ）はｃｅｉｌ（ｍ（ｄ）／ｖ））である。また、ｊ＝ｍ’（ｉ）－１について、（ｙ_ｄ）_{ｖ（ｍ’（ｄ）－１）}，（ｙ_ｄ）_{ｖ（ｍ’（ｄ）－１）＋１}，…，（ｙ_ｄ）_{ｖｍ’（ｄ）－１}がｖ個に満たない場合、（ｙ’_ｄ）_{ｍ’（ｄ）－１}＝（（ｙ_ｄ）_{ｖ（ｍ’（ｄ）－１）}，（ｙ_ｄ）_{ｖ（ｍ’（ｄ）－１）＋１}，…，（ｙ_ｄ）_{ｍ（ｄ）－１}，０，…，０）∈Ｆ^ｖとする。シャミア秘密分散法に則ったシェアを用いて秘密計算による公開値倍算、および加算を行う方法は、例えば、参考文献２（３ページのＬｅｍｍａ）に記載されている（ステップＳ２２０４－Ａ_ｉ）。

　シェア［ｃ_ｄ］_ｉは通信部１２０１－Ａ_ｉに入力される。通信部１２０１－Ａ_ｉ（第２出力部）はシェア［ｃ_ｄ］_ｉ（ただし、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉ）を他のシェア変換装置２２－Ａ_{ｄ＋１ｍｏｄＮ}に対して出力する。出力されたシェア［ｃ_ｄ］_ｉはネットワークを介してシェア変換装置２２－Ａ_{ｄ＋１ｍｏｄＮ}に送信され、シェア変換装置２２－Ａ_{ｄ＋１ｍｏｄＮ}の通信部１２０１－Ａ_{ｄ＋１ｍｏｄＮ}で受信され、記憶部１２１０－Ａ_{ｄ＋１ｍｏｄＮ}に格納される。当該シェア［ｃ_ｄ］_ｉ、シェア生成部２２０４－Ａ_{ｄ＋１ｍｏｄＮ}で生成されたシェア［ｃ_ｄ］_{ｄ＋１ｍｏｄＮ}、シェアＳＳ_{ｄ＋１ｍｏｄＮ}に含まれたチェックサムｃ_ｄは検証部２２０５－Ａ_{ｄ＋１ｍｏｄＮ}に入力される。検証部２２０５－Ａ_{ｄ＋１ｍｏｄＮ}は、チェックサムｃ_ｄとシェア［ｃ_ｄ］_ｉが正しい関係にあるかを検証する。本形態の検証部２２０５－Ａ_{ｄ＋１ｍｏｄＮ}は、チェックサムｃ_ｄとＮ個のシェア［ｃ_ｄ］_０，…，［ｃ_ｄ］_Ｎ－１が正しい関係にあるかを検証する。例えば、検証部２２０５－Ａ_{ｄ＋１ｍｏｄＮ}は、入力されたＮ個のシェア［ｃ_ｄ］_０，…［ｃ_ｄ］_Ｎ－１が互いに整合性を持つか否かを検証し（検証１：整合性検証）、さらに、入力されたＮ個のシェア［ｃ_ｄ］_０，…［ｃ_ｄ］_Ｎ－１の何れか２個のシェア［ｃ_ｄ］_ｉ’および［ｃ_ｄ］_ｉ”（ただし、ｉ’，ｉ”∈｛０，…，Ｎ－１｝かつｉ’≠ｉ”）から復元された値（実施形態のシャミア秘密分散法は2-out-of-Nしきい値分散方式である）とチェックサムｃ_ｄとが互いに一致するかを検証する（検証２：同一性検証）。整合性検証は、例えば、何れか２個のシェア［ｃ_ｄ］_ｉ’および［ｃ_ｄ］_ｉ”からラグランジェの補間公式を用いて他のシェア［ｃ_ｄ］_ｉ’’’（ただし、ｉ’’’∈｛０，…，Ｎ－１｝かつｉ’’’≠ｉ”かつｉ’’’≠ｉ’）を計算してその計算結果を［ｂ_ｄ］_ｉ’’’とし、［ｂ_ｄ］_ｉ’’’と検証部２２０５－Ａ_{ｄ＋１ｍｏｄＮ}に入力されたＮ個のシェア［ｃ_ｄ］_０，…［ｃ_ｄ］_Ｎ－１に含まれる［ｃ_ｄ］_ｉ’’’とが互いに一致するかを検証する処理である。すべてのｉ’’’について［ｂ_ｄ］_ｉ’’’＝［ｃ_ｄ］_ｉ’’’が成り立てば整合性検証は合格であり、そうでなければ整合性検証は不合格である。また、同一性検証では、２個のシェア［ｃ_ｄ］_ｉ’および［ｃ_ｄ］_ｉ”から復元された値とチェックサムｃ_ｄとが互いに一致すれば同一性検証は合格であり、そうでなければ同一性検証は不合格である。整合性検証および同一性検証の両方に合格すれば検証合格であり、そうでない場合に検証不合格である。

　同様に、他のシェア変換装置２２－Ａ_ｄから出力されたシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄは、通信部１２０１－Ａ_ｉ（第２入力部）で受信され（受け付けられ）、記憶部１２１０－Ａ_ｉに格納される。他のシェア変換装置２２－Ａ_ｄから出力されたシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄ、シェア生成部２２０４－Ａ_ｉで生成されたシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ、シェアＳＳ_ｉに含まれたチェックサムｃ_{ｉ－１ｍｏｄＮ}は検証部２２０５－Ａ_ｉに入力される。検証部２２０５－Ａ_ｉは、チェックサムｃ_{ｉ－１ｍｏｄＮ}とシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄとが正しい関係にあるかを検証する。本形態の検証部２２０５－Ａ_ｉは、入力されたチェックサムｃ_{ｉ－１ｍｏｄＮ}、シェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄ、およびシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉが正しい関係にあるかを検証する。例えば、検証部２２０５－Ａ_ｉは、入力されたＮ個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_０，…，［ｃ_{ｉ－１ｍｏｄＮ}］_Ｎ－１が互いに整合性を持つか否かを検証し（検証１：整合性検証）、さらに、入力されたＮ個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_０，…，［ｃ_{ｉ－１ｍｏｄＮ}］_Ｎ－１の何れか２個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’および［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ”（ただし、ｉ’，ｉ”∈｛０，…，Ｎ－１｝かつｉ’≠ｉ”）から復元された値がチェックサムｃ_{ｉ－１ｍｏｄＮ}に一致するかを検証する（検証２：同一性検証）。整合性検証は、例えば、何れか２個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’および［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ”からラグランジェの補間公式を用いて他のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’’’（ただし、ｉ’’’∈｛０，…，Ｎ－１｝かつｉ’’’≠ｉ”かつｉ’’’≠ｉ’）を計算してその計算結果を［ｂ_{ｉ－１ｍｏｄＮ}］_ｉ’’’とし、［ｂ_{ｉ－１ｍｏｄＮ}］_ｉ’’’と検証部２２０５－Ａ_ｉに入力されたＮ個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_０，…，［ｃ_{ｉ－１ｍｏｄＮ}］_Ｎ－１に含まれる［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’’’とが互いに一致するかを検証する処理である。すべてのｉ’’’について［ｂ_{ｉ－１ｍｏｄＮ}］_ｉ’’’＝［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’’’が成り立てば整合性検証は合格であり、そうでなければ整合性検証は不合格である。また、同一性検証では、２個のシェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ’および［ｃ_{ｉ－１ｍｏｄＮ}］_ｉ”から復元された値とチェックサムｃ_{ｉ－１ｍｏｄＮ}とが互いに一致すれば同一性検証は合格であり、そうでなければ同一性検証は不合格である。整合性検証および同一性検証の両方に合格すれば検証合格であり、そうでない場合に検証不合格である（ステップＳ２２０５－Ａ_ｉ）。

　検証部２２０５－Ａ_ｉで検証合格であると判定された場合、各シェア変換装置１２－Ａ_ｉに代えて各シェア変換装置２２－Ａ_ｉが、第１実施形態で説明したステップＳ１２０６－Ａ_ｉからＳ１２０９－Ａ_ｉの処理を実行して処理を終了する。一方、検証部２２０５－Ａ_ｉで検証不合格であると判定された場合、制御部１２１１－Ａ_ｉは処理をエラー終了させる（ステップＳ２２０６－Ａ_ｉ）。

　＜本形態の特徴＞
　本形態でもシャミア秘密分散法に則ったシェアよりも総通信データ量を小さくできる。また、各シェア変換装置２２－Ａ_ｉはシェアＳＳ_ｉをシャミア秘密分散法に則ったシェア［ｘ］_ｉに変換できる。さらに、本形態ではシェアＳＳ_ｉがチェックサムを含み、シェア変換の際に検証処理を行うことにしたため、シェア生成装置２１および／またはシェア変換装置２２－Ａ_ｉで行われた不正な処理を検知できる。

　なお、本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。また、シェア生成装置および／またはシェア変換装置は、秘密計算を行う秘密計算装置の一部であってもよいし、秘密計算装置とは別個の装置であってもよい。

　上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

　「シェア生成方法」および「シェア変換方法」に係る発明は、特許法第２条第３項第３号に規定された「物を生産する方法の発明」に該当する。また、「シェア生成方法」および「シェア変換方法」によって得られるシェアは、同条第４項に規定された「プログラム等」に該当する。例えば、このようなシェアにはその後の処理のためヘッダや拡張子等が付され、これらを処理するコンピュータはシェアに付されたヘッダや拡張子等を参照しつつ、各シェアを用いた処理を実行する。

１，２　秘密計算システム
１１，２１　シェア生成装置
１２－Ａ_ｉ，２２－Ａ_ｉ　シェア変換装置

Claims

　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、Ｐが関数であり、前記関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、
　Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得るシード生成部と、
　Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍが前記シードｓ_０，…，ｓ_Ｎ－１の関数値であり、ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍが前記関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍの関数値であり、平文ｘ∈Ｆ^ｍおよび前記関数値ｅの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得る演算部と、
　前記関数値ｙがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現され、要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記シードｓ_ｄとを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成部と、
を有するシェア生成装置。
　請求項１のシェア生成装置であって、
　ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記要素ｙ_ｉがｍ（ｉ）個のサブ要素（ｙ_ｉ）_０，…，（ｙ_ｉ）_{ｍ（ｉ）－１}∈Ｆに分割でき、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、（ｙ’_ｉ）_ｊが集合Ｆ^ｖに属する（（ｙ_ｉ）_ｖｊ，（ｙ_ｉ）_ｖｊ＋１，…，（ｙ_ｉ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、
　前記集合Ｆ^ｖに属するＮ個の任意値ｒ_０，…，ｒ_Ｎ－１∈Ｆ^ｖを得る任意値生成部と、
　チェックサムｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）－１}｛（ｙ’_ｉ）_ｊｒ_ｉ ^ｊ＋１｝＋（ｙ’_ｉ）_{ｍ’（ｉ）－１}ｒ_ｉ ^{ｍ’（ｉ）＋１}∈Ｆ^ｖを得るチェックサム生成部と、を有し、
　前記シェア生成部が生成する前記シェアＳＳ_ｉは、さらにｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記任意値ｒ_ｄと前記チェックサムｃ_{ｉ－１ｍｏｄＮ}とを含む、シェア生成装置。
　請求項１または２のシェア生成装置であって、
　前記シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は、前記平文ｘのデータ量のＮ倍未満である、シェア生成装置。
　請求項１から３の何れかに記載のシェア生成装置であって、
　前記関数値ｅはｅ＝Σ_{０≦ｉ＜Ｎ}Ｐ（ｓ_ｉ）∈Ｆ^ｍであり、前記関数値ｙはｙ＝ｘ－ｅ∈Ｆ^ｍである、シェア生成装置。
　Ｎ個のシェア変換装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア変換装置Ａ_ｉであって、
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、ｕ＝０，…，Ｎ－１であり、Ｐが関数であり、前記関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、
　ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄと集合Ｆ^ｍ（ｉ）に属する要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とを含むシェアＳＳ_ｉを受け付ける第１入力部と、
　他のシェア変換装置Ａ_{ｉ－１ｍｏｄＮ}との間で任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）を共有する共有部と、
　前記任意値ｔ_ｉを前記シェア変換装置Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}としてシャミア秘密分散法に則って前記要素ｙ_ｉを秘密分散することで各シェア変換装置Ａ_ｕのシェア［ｙ_ｉ］_ｕ∈Ｆ^ｍ（ｉ）を得て出力する秘密分散部と、
　シェア［ｙ_ｄ］_ｉを受け付ける第２入力部と、
　前記シードｓ_ｄの関数値Ｐ（ｓ_ｄ）∈Ｆ^ｍを得る演算部と、
　Ｎ個のシードｓ_０，…，ｓ_Ｎ－１の関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）に対する関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍのシェアである、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉを、シャミア秘密分散法に則った前記関数値ｅのシェア［ｅ］_ｉに変換するシャミア変換部と、
　シェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉによって表現されるシェア［ｙ］_ｉが平文ｘおよび前記関数値ｅに対する関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍのシェアであり、前記シェア［ｙ］_ｉおよび前記シェア［ｅ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったｘ＝ｇ^－１（ｙ，ｅ）のシェア［ｘ］_ｉを得る第１シェア生成部と、
を有するシェア変換装置。
　請求項５のシェア変換装置であって、
　ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記要素ｙ_ｄがｍ（ｄ）個のサブ要素（ｙ_ｄ）_０，…，（ｙ_ｉ）_{ｍ（ｄ）－１}に分割でき、ｍ’（ｄ）がｃｅｉｌ（ｍ（ｄ）／ｖ）であり、（ｙ’_ｄ）_ｊが集合Ｆ^ｖに属する（（ｙ_ｄ）_ｖｊ，（ｙ_ｄ）_ｖｊ＋１，…，（ｙ_ｄ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、
　前記第１入力部が受け付ける前記シェアＳＳ_ｉは、さらに集合Ｆ^ｖに属するｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の任意値ｒ_ｄ∈Ｆ^ｖとチェックサムｃ_{ｉ－１ｍｏｄＮ}∈Ｆ^ｖとを含み、
　前記任意値ｒ_ｄおよび前記シェア［ｙ_ｄ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったチェックサムｃ_ｄ＝Σ_{０≦ｊ＜ｍ’（ｄ）－１}｛（ｙ’_ｄ）_ｊｒ_ｄ ^ｊ＋１｝＋（ｙ’_ｄ）_{ｍ’（ｄ）－１}ｒ_ｄ ^{ｍ’（ｄ）＋１}∈Ｆ^ｖのシェア［ｃ_ｄ］_ｉを得る第２シェア生成部と、
　前記シェア［ｃ_ｄ］_ｉを他のシェア変換装置Ａ_{ｄ＋１ｍｏｄＮ}に対して出力する第２出力部と、
　シェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄを受け付ける第２入力部と、
　前記チェックサムｃ_{ｉ－１ｍｏｄＮ}と前記シェア［ｃ_{ｉ－１ｍｏｄＮ}］_ｄとが正しい関係にあるかを検証する検証部と、
を有するシェア変換装置。
　請求項５または６のシェア変換装置であって、
　前記シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は、前記平文ｘのデータ量のＮ倍未満である、シェア変換装置。
　請求項５から７の何れかのシェア変換装置であって、
　前記関数値ｅはｅ＝Σ_{０≦ｉ＜Ｎ}Ｐ（ｓ_ｉ）∈Ｆ^ｍであり、前記関数値ｙはｙ＝ｘ－ｅ∈Ｆ^ｍである、シェア変換装置。
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、ｕ＝０，…，Ｎ－１であり、Ｐが関数であり、前記関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、
　シェア生成装置とＮ個のシェア変換装置Ａ_０，…，Ａ_Ｎ－１とを有し、
　前記シェア生成装置は、
　Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得るシード生成部と、
　Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍが前記シードｓ_０，…，ｓ_Ｎ－１の関数値であり、ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍが前記関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍの関数値であり、平文ｘ∈Ｆ^ｍおよび前記関数値ｅの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得る演算部と、
　前記関数値ｙがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現され、要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記シードｓ_ｄとを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成部と、を含み、
　前記シェア変換装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア変換装置Ａ_ｉは、
　前記シェアＳＳ_ｉを受け付ける第１入力部と、
　他のシェア変換装置Ａ_{ｉ－１ｍｏｄＮ}との間で任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）を共有する共有部と、
　前記任意値ｔ_ｉを前記シェア変換装置Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}としてシャミア秘密分散法に則って前記要素ｙ_ｉを秘密分散することで各シェア変換装置Ａ_ｕのシェア［ｙ_ｉ］_ｕ∈Ｆ^ｍ（ｉ）を得て出力する秘密分散部と、
　前記他のシェア変換装置Ａ_ｄから出力されたシェア［ｙ_ｄ］_ｉを受け付ける第２入力部と、
　前記シードｓ_ｄの関数値Ｐ（ｓ_ｄ）∈Ｆ^ｍを得る演算部と、
　Ｎ個のシードｓ_０，…，ｓ_Ｎ－１の関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）に対する関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍのシェアである、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉを、シャミア秘密分散法に則った前記関数値ｅのシェア［ｅ］_ｉに変換するシャミア変換部と、
　シェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉによって表現されるシェア［ｙ］_ｉが平文ｘおよび前記関数値ｅに対する関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍのシェアであり、前記シェア［ｙ］_ｉおよび前記シェア［ｅ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったｘ＝ｇ^－１（ｙ，ｅ）のシェア［ｘ］_ｉを得る第１シェア生成部と、を含む、秘密計算システム。
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、Ｐが関数であり、前記関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、
　シード生成部が、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１を得るシード生成ステップと、
　Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍが前記シードｓ_０，…，ｓ_Ｎ－１の関数値であり、ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍが前記関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）∈Ｆ^ｍの関数値であり、演算部が、平文ｘ∈Ｆ^ｍおよび前記関数値ｅの関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍを得る演算ステップと、
　前記関数値ｙがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たす要素ｙ_０∈Ｆ^ｍ（０），…，ｙ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現され、シェア生成部が、要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記シードｓ_ｄとを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成ステップと、
を有するシェア生成方法。
　Ｎ個のシェア変換装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア変換装置Ａ_ｉのシェア変換方法であって、
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上の整数であり、ｉ＝０，…，Ｎ－１であり、ｕ＝０，…，Ｎ－１であり、Ｐが関数であり、前記関数Ｐの値域がｍ個の体Ｆの元の列を要素とする集合Ｆ^ｍに属し、
　第１入力部が、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個のシードｓ_ｄと集合Ｆ^ｍ（ｉ）に属する要素ｙ_ｉ∈Ｆ^ｍ（ｉ）とを含むシェアＳＳ_ｉを受け付ける第１入力ステップと、
　共有部が、他のシェア変換装置Ａ_{ｉ－１ｍｏｄＮ}との間で任意値ｔ_ｉ∈Ｆ^ｍ（ｉ）を共有する共有ステップと、
　秘密分散部が、前記任意値ｔ_ｉを前記シェア変換装置Ａ_{ｉ－１ｍｏｄＮ}のシェア［ｙ_ｉ］_{ｉ－１ｍｏｄＮ}としてシャミア秘密分散法に則って前記要素ｙ_ｉを秘密分散することで各シェア変換装置Ａ_ｕのシェア［ｙ_ｉ］_ｕ∈Ｆ^ｍ（ｉ）を得て出力する秘密分散ステップと、
　第２入力部が、シェア［ｙ_ｄ］_ｉを受け付ける第２入力ステップと、
　演算部が、前記シードｓ_ｄの関数値Ｐ（ｓ_ｄ）∈Ｆ^ｍを得る演算ステップと、
　シャミア変換部が、Ｎ個のシードｓ_０，…，ｓ_Ｎ－１の関数値Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１）に対する関数値ｅ＝ｆ（Ｐ（ｓ_０），…，Ｐ（ｓ_Ｎ－１））∈Ｆ^ｍのシェアである、ｄ∈｛０，…，Ｎ－１｝かつｄ≠ｉについてのＮ－１個の前記関数値Ｐ（ｓ_ｄ）の集合ＳＥＴ_ｉを、シャミア秘密分散法に則った前記関数値ｅのシェア［ｅ］_ｉに変換するシャミア変換ステップと、
　シェア［ｙ_０］_ｉ，…，［ｙ_Ｎ－１］_ｉによって表現されるシェア［ｙ］_ｉが平文ｘおよび前記関数値ｅに対する関数値ｙ＝ｇ（ｘ，ｅ）∈Ｆ^ｍのシェアであり、第１シェア生成部が、前記シェア［ｙ］_ｉおよび前記シェア［ｅ］_ｉを用いた秘密計算により、シャミア秘密分散法に則ったｘ＝ｇ^－１（ｙ，ｅ）のシェア［ｘ］_ｉを得る第１シェア生成ステップと、
を有するシェア変換方法。
　請求項１から４の何れかのシェア生成装置、または請求項５から８の何れかのシェア変換装置としてコンピュータを機能させるためのプログラム。
　請求項１から４の何れかのシェア生成装置、または請求項５から８の何れかのシェア変換装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。