WO2019039383A1

WO2019039383A1 - シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体

Info

Publication number: WO2019039383A1
Application number: PCT/JP2018/030442
Authority: WO
Inventors: 大五十嵐; 亮菊池; 千田　浩司
Original assignee: 日本電信電話株式会社
Priority date: 2017-08-22
Filing date: 2018-08-16
Publication date: 2019-02-28
Also published as: JPWO2019039383A1; CN111052205B; AU2018321008A1; US20200366466A1; EP3675090B1; US11818254B2; EP3675090A4; AU2018321008B2; EP3675090A1; CN111052205A; JP6825111B2

Abstract

シャミア秘密分散法に則った平文ｘのシェア［ｘ］ｉがＮ個のシェア［ｘ０］ｉ，…，［ｘＮ－１］ｉによって表現され、各シェア生成装置Ａｉは、シードｓｉの関数値ｒｉ＝Ｐｍ（ｉ（－））（ｓｉ）を得、ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘｉ（－）］ｉ、および関数値ｒｉを用いて第１計算値ζｉ＝λ（ｉ，ｉ（－））［ｘｉ（－）］ｉ＋ｒｉを得、第１計算値ζｉをシェア生成装置Ａｉ（－）に対して出力する。各シェア生成装置Ａｉは、第２計算値ζｉ（＋）を受け付け、ラグランジュ係数λ（ｉ，ｉ（＋））、シェア［ｘｉ］ｉ、および第２計算値ζｉ（＋）を用いて第３計算値ｚｉ＝λ（ｉ，ｉ（＋））［ｘｉ］ｉ＋ζｉ（＋）を得、シードｓｉおよび第３計算値ｚｉを含む情報を、秘密分散における平文ｘのシェアＳＳｉとして得て出力する。

Description

シェア生成装置、復元装置、秘密計算システム、シェア生成方法、復元方法、プログラム、および記録媒体

　本発明は、暗号技術に関し、特に秘密計算技術に関する。

　秘密分散方式の一つにシャミア（Shamir）秘密分散法がある（例えば、非特許文献１等参照）。

A. Shamir, "How to Share a Secret", Communications of the ACM, November 1979, Volume 22, Number 11, pp.612-613.

　秘密計算装置は、シャミア秘密分散法に則って得られたシェアをそのまま用いて秘密計算を行うことができる。しかし、Ｎ個の秘密計算装置にシェアが秘密分散されて秘密計算が行われる場合、秘密計算結果を表すシェアの総データ量は平文のデータ量のＮ倍になってしまう。そのため、これらのシェアをそのまま送信したのでは総通信データ量も平文のデータ量のＮ倍となってしまう。

　本発明の目的は、シャミア秘密分散法に則ったシェアから総通信データ量が小さいシェアを生成する技術を提供することである。

　Ｎ個のシェア生成装置Ａ_０，…，Ａ_Ｎ－１に含まれる各シェア生成装置Ａ_ｉが以下を実行する。ただし、Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｊ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合に属する。シャミア秘密分散法に則ったシェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（－））を乗じて得られる値とシャミア秘密分散法に則ったシェア［α］_ｉ（－）にラグランジュ係数λ（ｉ（－），ｉ）を乗じて得られる値との和が復元値αである。シェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（＋））を乗じて得られる値とシャミア秘密分散法に則ったシェア［α］_ｉ（＋）にラグランジュ係数λ（ｉ（＋），ｉ）を乗じて得られる値との和も当該復元値αである。

　シャミア秘密分散法に則った平文ｘのシェア［ｘ］_ｉ∈Ｆ^ｍが秘密計算によってｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）および［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｊ）を満たすＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉによって表現される。各シェア生成装置Ａ_ｉは、シードｓ_ｉの関数値ｒ_ｉ＝Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）∈Ｆ^{ｍ（ｉ（－））}を得、ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘ_ｉ（－）］_ｉ、および関数値ｒ_ｉを用いて第１計算値ζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉ∈Ｆ^{ｍ（ｉ（－））}を得、第１計算値ζ_ｉをシェア生成装置Ａ_ｉ（－）に対して出力する。各シェア生成装置Ａ_ｉは、第２計算値ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を受け付け、ラグランジュ係数λ（ｉ，ｉ（＋））、シェア［ｘ_ｉ］_ｉ、および第２計算値ζ_ｉ（＋）を用いて第３計算値ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を得、シードｓ_ｉおよび第３計算値ｚ_ｉを含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。

　本発明では、シャミア秘密分散法に則ったシェアから総通信データ量が小さいシェアを生成できる。

図１は実施形態の秘密計算システムの構成を例示したブロック図である。図２は実施形態のシェア生成装置の機能構成を例示したブロック図である。図３は実施形態の復元装置の機能構成を例示したブロック図である。図４は実施形態のシェア生成方法を説明するためのフロー図である。図５は実施形態の復元方法を説明するためのフロー図である。

　以下、図面を参照して本発明の実施形態を説明する。
　［第１実施形態］
　まず、第１実施形態を説明する。
　＜構成＞
　図１に例示するように、本形態の秘密計算システム１はＮ個のシェア生成装置１１－Ａ_０，…，１１－Ａ_Ｎ－１および復元装置１２を有し、これらの装置はインターネット等のネットワークを通じて互いに通信可能である。ただし、Ｎは２以上の整数である。例えば、Ｎは３以上の整数である。Ｎの一例はＮ＝３である。なお、図１には１個の復元装置１２を図示しているが、秘密計算システム１が複数個の復元装置を有していてもよい。

　図２に例示するように、本形態の各シェア生成装置１１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は、分割部１１１－Ａ_ｉ、シード取得部１１２－Ａ_ｉ、関数演算部１１３－Ａ_ｉ、秘密計算部１１４－Ａ_ｉ，１１５－Ａ_ｉ、シェア生成部１１６－Ａ_ｉ、記憶部１１７－Ａ_ｉ、通信部１１８－Ａ_ｉ、および制御部１１９－Ａ_ｉを有し、制御部１１９－Ａ_ｉの制御のもとで各処理を実行する。シェア生成装置１１－Ａ_ｉの各処理部（処理を行う部位）から出力された情報は記憶部１１７－Ａ_ｉに格納され、必要に応じて読み出されて他の処理部に入力される。

　図３に例示するように、本形態の復元装置１２は、通信部１２１、演算部１２２、連結部１２３、記憶部１２７、および制御部１２８を有し、制御部１２８の制御のもとで各処理を実行する。復元装置１２の各処理部から出力された情報は記憶部１２７に格納され、必要に応じて読み出されて他の処理部に入力される。

　＜シェア生成方法＞
　図４を用い、本形態の各シェア生成装置１１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）（図２）が行うシェア生成方法（シェア変換方法）を説明する。前提として、各シェア生成装置１１－Ａ_ｉの記憶部１１７－Ａ_ｉには、シャミア秘密分散法に則った平文ｘ∈Ｆ^ｍのシェア［ｘ］_ｉ∈Ｆ^ｍが格納されている。「シェア」とは秘密分散における断片を意味する。実施形態のシャミア秘密分散法は2-out-of-Nしきい値分散方式であり、任意の相違なる２個のシェアが与えられれば復元値（平文）を復元できるが、任意の１個のシェア情報が与えられても復元値の情報はまったく得られない。当該シャミア秘密分散法に則ったシェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（－））を乗じて得られる値と当該シャミア秘密分散法に則ったシェア［α］_ｉ（－）にラグランジュ係数λ（ｉ（－），ｉ）を乗じて得られる値との和は復元値αであり、シェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（＋））を乗じて得られる値と当該シャミア秘密分散法に則ったシェア［α］_ｉ（＋）にラグランジュ係数λ（ｉ（＋），ｉ）を乗じて得られる値との和も復元値αである。すなわち、
　α＝λ（ｉ，ｉ（－））［α］_ｉ＋λ（ｉ（－），ｉ）［α］_ｉ（－）
　α＝λ（ｉ，ｉ（＋））［α］_ｉ＋λ（ｉ（＋），ｉ）［α］_ｉ（＋）
を満たす。つまり、λ（ｉ，ｉ（－））はシェア［α］_ｉとシェア［α］_ｉ（－）とから復元値αを復元する際にシェア［α］_ｉに乗じられる係数であり、λ（ｉ（－），ｉ）はこの際にシェア［α］_ｉ（－）に乗じられる係数である。λ（ｉ，ｉ（＋））はシェア［α］_ｉとシェア［α］_ｉ（＋）とから復元値αを復元する際にシェア［α］_ｉに乗じられる係数であり、λ（ｉ（＋），ｉ）はこの際にシェア［α］_ｉ（＋）に乗じられる係数である。ただし、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎである。このようなラグランジュ係数λ（ｉ，ｉ（－）），λ（ｉ（－），ｉ），λ（ｉ，ｉ（＋）），λ（ｉ（＋），ｉ）は、周知のラグランジュの補間公式によって容易に求めることができる。Ｆ^ｍはｍ個の体Ｆの元の列を要素とする集合を意味する。集合Ｆ^ｍの一例はｍ個の体Ｆの元を要素とするｍ次元ベクトルである。α∈βはαがβの要素であることを意味する。ｍは１以上の整数である。例えば、ｍは２以上の整数または３以上の整数である。体Ｆの例は素数ｐを法とした剰余（任意のαに対するα　ｍｏｄ　ｐ）からなる集合であり、この場合の体Ｆでの演算結果は素数ｐを法とした剰余として得られる。ｐ≧３であり、例えばｐ＝２^６１－１である。またシェア［ｘ］_ｉは他の装置から送信されたものであってもよいし、他の装置から送信されたシェアに秘密計算を行って得られたものであってもよい。

　分割部１１１－Ａ_ｉ（第１分割部）は、記憶部１１７－Ａ_ｉから前述のシャミア秘密分散法に則った平文ｘのシェア［ｘ］_ｉ∈Ｆ^ｍを読み込む。分割部１１１－Ａ_ｉは、秘密計算によってシェア［ｘ］_ｉをＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉに分割して出力する。ただし、ｍ（ｉ）は０以上ｍ未満の整数であり（例えば、ｍ（ｉ）は１以上の整数であり）、ｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）を満たし、ｉ＝０，…，Ｎ－１およびｊ＝０，…，Ｎ－１について［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｊ）を満たす。ｍがＮの倍数である場合にはｍ（０）＝…＝ｍ（Ｎ－１）＝ｍ／Ｎとしてもよい。しかし、ｍがＮの倍数であるか否かにかかわらず、ｍ（０），…，ｍ（Ｎ－１）がすべて同一でなくてもよい。例えば、ｍ（０），…，ｍ（Ｎ－１）の少なくとも一部が０であってもよい。ただしγ∈Ｆ^０はヌル値を表す。ｍ（ｉ）＝０の場合、［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｉ）はヌル値である。［ｘ_ｊ］_ｉは前述のシャミア秘密分散法に則った平文ｘ_ｊのシェアである。平文ｘはＮ個のｘ_０∈Ｆ^ｍ（０），…，ｘ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}によって表現される。例えば、平文ｘはＮ個のｘ_０∈Ｆ^ｍ（０），…，ｘ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}を並べた列ｘ_０｜…｜ｘ_Ｎ－１で表現される。秘密計算によってシェア［ｘ］_ｉをＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉに分割するには、例えば、シェア［ｘ］_ｉをそのままＮ個のシェア［ｘ_０］_ｉ∈Ｆ^ｍ（０），…，［ｘ_Ｎ－１］_ｉ∈Ｆ^{ｍ（Ｎ－１）}に区分して分割すればよい。ただし、ｍ＝１の場合、ｍ（０），…，ｍ（Ｎ－１）の何れか１個のみが１であり、他はすべて０である。このような場合、分割部１１１－Ａ_ｉはシェア［ｘ］_ｉを分割する必要はなく、シェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉの何れか１個のシェアを［ｘ］_ｉとし、残りのシェアを全てヌル値として出力すればよい。上述のように、シェア［ｘ］_ｉはＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉによって表現される。例えば、シェア［ｘ］_ｉはＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉを並べた列［ｘ_０］_ｉ｜…｜［ｘ_Ｎ－１］_ｉで表現される（ステップＳ１１１－Ａ_ｉ）。

　シード取得部１１２－Ａ_ｉはシードｓ_ｉを得て出力する。シードｓ_ｉのデータ形式に限定はなく、どのような値をシードｓ_ｉとしてもよい。シードｓ_ｉの一例はｗ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｗ（ｉ）の元である（ｓ_ｉ∈Ｆ^ｗ（ｉ））。ただし、ｗ（ｉ）は１以上ｍ未満の整数である。シードｓ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は任意値であってもよいし、他の処理で得られた出力値であってもよい。「任意値」は乱数（擬似乱数または真正乱数）であってもよいし、予め設定された複数の値から選択された値であってもよいし、他の処理で得られた値であってもよい。なお、ヌル値であるシェア［ｘ_ｊ］_ｉに対応するシードｓ_ｉがヌル値に設定されてもよい（ステップＳ１１２－Ａ_ｉ）。

　関数演算部１１３－Ａ_ｉは、シードｓ_ｉを入力として関数値ｒ_ｉ＝Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）∈Ｆ^{ｍ（ｉ（－））}（例えば、擬似乱数）を得て出力する。ただし、Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）はシードｓ_ｉに関数Ｐ_{ｍ（ｉ（－））}を作用させて得られる関数値である。Ｐ_ｍ（ｉ）：Ｆ^{ｗ（ｉ（＋））}→Ｆ^ｍ（ｉ）は関数であり、関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属する。集合Ｆ^ｍ（ｉ）の一例はｍ（ｉ）個の体Ｆの元を要素とするｍ（ｉ）次元ベクトルの集合である。関数Ｐ_ｍ（ｉ）の定義域はどのようなものであってもよい。例えば、関数Ｐ_ｍ（ｉ）の定義域はｗ（ｉ（＋））個の体Ｆの元の列を要素とする集合Ｆ^{ｗ（ｉ（＋））}に属する。好ましくはｗ（ｉ（＋））＜ｍ（ｉ）を満たす（シードｓ_ｉのデータ量は関数値ｒ_ｉのデータ量よりも小さい）。Ｐ_ｍ（ｉ）の例は擬似乱数生成関数である。すなわち、Ｐ_{ｍ（ｉ（－））}は関数であり、関数Ｐ_{ｍ（ｉ（－））}の値域がｍ（ｉ（－））個の体Ｆの元の列を要素とする集合Ｆ^{ｍ（ｉ（－））}に属する。例えば、関数Ｐ_{ｍ（ｉ（－））}の定義域はｗ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｗ（ｉ）に属する。好ましくはｗ（ｉ）＜ｍ（ｉ（－））を満たす。なお、ヌル値であるシェア［ｘ_ｊ］_ｉに対応する関数値ｒ_ｉがヌル値に設定されてもよい（ステップＳ１１３－Ａ_ｉ）。

　秘密計算部１１４－Ａ_ｉ（第１秘密計算部）は、シェア［ｘ_ｉ（－）］_ｉおよび関数値ｒ_ｉを入力とし、ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘ_ｉ（－）］_ｉ、および関数値ｒ_ｉを用いて計算値（第１計算値）ζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉ∈Ｆ^{ｍ（ｉ（－））}を得て出力する。ただし、ヌル値であるシェア［ｘ_ｉ（－）］_ｉに対応するζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉはヌル値に設定される（ステップＳ１１４－Ａ_ｉ）。

　計算値ζ_ｉは通信部１１８－Ａ_ｉに入力される。通信部１１８－Ａ_ｉ（出力部）は、計算値ζ_ｉをシェア生成装置１１－Ａ_ｉ（－）に対して出力する。出力された計算値ζ_ｉはネットワークを通じてシェア生成装置１１－Ａ_ｉ（－）に送信される（ステップＳ１１８１－Ａ_ｉ）。

　同様にシェア生成装置１１－Ａ_ｉ（＋）から出力された計算値（第２計算値）ζ_ｉ（＋）＝λ（ｉ（＋），ｉ）［ｘ_ｉ］_ｉ（＋）＋ｒ_ｉ（＋）∈Ｆ^ｍ（ｉ）（ただし、ｒ_ｉ（＋）＝Ｐ_ｍ（ｉ）（ｓ_ｉ（＋）））は、ネットワークを通じてシェア生成装置１１－Ａ_ｉに送信される。ただし、ヌル値であるシェア［ｘ_ｉ（－）］_ｉに対応するζ_ｉ（＋）＝λ（ｉ（＋），ｉ）［ｘ_ｉ］_ｉ（＋）＋ｒ_ｉ（＋）は、ヌル値に設定されている。計算値ζ_ｉ（＋）は通信部１１８－Ａ_ｉ（入力部）で受信され（受け付けられる）、出力される（ステップＳ１１８２－Ａ_ｉ）。

　秘密計算部１１５－Ａ_ｉ（第２秘密計算部）は、シェア［ｘ_ｉ］_ｉおよび計算値ζ_ｉ（＋）を入力とし、ラグランジュ係数λ（ｉ，ｉ（＋））、シェア［ｘ_ｉ］_ｉ、および計算値ζ_ｉ（＋）を用いて計算値（第３計算値）ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を得て出力する。なお、ζ_ｉ（＋）＝λ（ｉ（＋），ｉ）［ｘ_ｉ］_ｉ（＋）＋ｒ_ｉ（＋）であるため、ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋λ（ｉ（＋），ｉ）［ｘ_ｉ］_ｉ（＋）＋ｒ_ｉ（＋）である。また、ｘ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋λ（ｉ（＋），ｉ）［ｘ_ｉ］_ｉ（＋）であるため、ｚ_ｉ＝ｘ_ｉ＋ｒ_ｉ（＋）である。ただし、ヌル値であるシェア［ｘ_ｉ］_ｉに対応するｚ_ｉはヌル値に設定される（ステップＳ１１５－Ａ_ｉ）。

　シード取得部１１２－Ａ_ｉから出力されたシードｓ_ｉおよび秘密計算部１１５－Ａ_ｉから出力された計算値ｚ_ｉはシェア生成部１１６－Ａ_ｉに入力される。シェア生成部１１６－Ａ_ｉは、シードｓ_ｉおよび計算値ｚ_ｉを含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する。ヌル値であるシードｓ_ｉおよび計算値ｚ_ｉに対応するシェアＳＳ_ｉは、シードｓ_ｉおよび計算値ｚ_ｉがヌル値に設定された情報である（ステップＳ１１６－Ａ_ｉ）。

　シェア生成部１１６－Ａ_ｉから出力されたシェアＳＳ_ｉは通信部１１８－Ａ_ｉに入力される。通信部１１８－Ａ_ｉは、シェアＳＳ_ｉを復元装置１２に対して出力する。出力されたシェアＳＳ_ｉはネットワークを通じて復元装置１２に送信される。シードｓ_ｉのサイズおよびＮはｍに依存しない。平文のデータサイズｍに関する総シェアサイズ（送信される総シェアサイズ）のオーダーは、（２，Ｎ）－シャミア秘密分散ではＯ（Ｎｍ）となるところ、本形態ではＯ（ｍ）で済む。個々のシェアのサイズはＯ（ｍ／Ｎ）である。例えば、各シェア生成装置１１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）から送信されるシェアＳＳ_ｉの総データ量は、平文ｘのデータ量のＮ倍未満である。例えば、各シェアＳＳ_ｉのデータ量は平文ｘのデータ量未満である（ステップＳ１１８－Ａ_ｉ）。

　＜復元方法＞
　図５を用い、本形態の復元装置１２（図３）が行う復元方法を説明する。
　シェア生成装置１１－Ａ_０，…，１１－Ａ_Ｎ－１から出力されたＮ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１は、復元装置１２の通信部１２１（入力部）で受信され（受け付けられ）、出力される（ステップＳ１２１）。

　各ｉ＝０，…，Ｎ－１について、シェアＳＳ_ｉに含まれた計算値ｚ_ｉおよびシェアＳＳ_ｉ（＋）に含まれたシードｓ_ｉ（＋）は演算部１２２に入力される。演算部１２２は、計算値ｚ_ｉおよびシードｓ_ｉ（＋）を用い、要素ｘ_ｉ＝ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））∈Ｆ^ｍ（ｉ）を得て出力する。ただし、Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））はシードｓ_ｉ（＋）に関数Ｐ_ｍ（ｉ）を作用させて得られる関数値である。関数Ｐ_ｍ（ｉ）はステップＳ１１３－Ａ_ｉで定義した関数と同一である。ステップＳ１１５－Ａ_ｉで示したようにｚ_ｉ＝ｘ_ｉ＋ｒ_ｉ（＋）である。また、ステップＳ１１８２－Ａ_ｉで示したようにｒ_ｉ（＋）＝Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））である。そのため、ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））に演算によって要素ｘ_ｉが得られる。なお、ヌル値である計算値ｚ_ｉおよびシードｓ_ｉ（＋）に対応する要素ｘ_ｉはヌル値に設定される（ステップＳ１２２）。

　演算部１２２で得られた要素ｘ_０，…，ｘ_Ｎ－１は連結部１２３に入力される。連結部１２３は、要素ｘ_０，…，ｘ_Ｎ－１を連結（結合）した復元値ｘを得て出力する。例えば、ｘ_０∈Ｆ^ｍ（０），…，ｘ_Ｎ－１∈Ｆ^{ｍ（Ｎ－１）}を並べた列ｘ_０｜…｜ｘ_Ｎ－１がｘである（ステップＳ１２３）。

　＜本形態の特徴＞
　各シェア生成装置１１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は、シャミア秘密分散法に則ったシェア［ｘ］_ｉからシードｓ_ｉおよび計算値ｚ_ｉ∈Ｆ^ｍ（ｉ）を含むシェアＳＳ_ｉを得て出力する。ここで、シードｓ_ｉのサイズおよびＮはｍに依存しない。平文のデータサイズｍに関する総シェアサイズ（送信される総シェアサイズ）のオーダーは、（２，Ｎ）－シャミア秘密分散ではＯ（Ｎｍ）となるところ、本形態ではＯ（ｍ）で済む。個々のシェアのサイズはＯ（ｍ／Ｎ）である。例えば、ｍ（ｉ）＜ｍかつｗ（ｉ）＜ｍとすることで、シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量を平文ｘ∈Ｆ^ｍのデータ量のＮ倍未満にすることができる。これにより、シャミア秘密分散法に則ったシェアよりも総通信データ量を小さくできる。各シェア生成装置１１－Ａ_ｉは平文ｘの情報を一切得ることなく、シャミア秘密分散法に則ったシェア［ｘ］_ｉからデータ量の小さなシェアＳＳ_ｉを得ることができる。復元装置１２はＮ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１を用いて平文ｘを復元できる。

　［第２実施形態］
　第２実施形態は第１実施形態の変形例である。本形態では、シェア生成の際にシェアに対応するチェックサムを生成し、平文の復元時にチェックサムを用いてシェアを検証する。以下では、第１実施形態で既に説明した事項については第１実施形態と同じ参照番号を用い、説明を簡略化する場合がある。

　＜構成＞
　図１に例示するように、本形態の秘密計算システム２はＮ個のシェア生成装置２１－Ａ_０，…，２１－Ａ_Ｎ－１および復元装置２２を有し、これらの装置はインターネット等のネットワークを通じて互いに通信可能である。ただし、本形態のＮは３以上の整数である。Ｎの一例はＮ＝３である。なお、図１には１個の復元装置２２を図示しているが、秘密計算システム２が複数個の復元装置を有していてもよい。

　図２に例示するように、本形態の各シェア生成装置２１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）は、分割部１１１－Ａ_ｉ、シード取得部１１２－Ａ_ｉ、関数演算部１１３－Ａ_ｉ、秘密計算部１１４－Ａ_ｉ，１１５－Ａ_ｉ、共有部２１５－Ａ_ｉ、シェア生成部２１６－Ａ_ｉ、分割部２１７－Ａ_ｉ、チェックサム生成部２１８－Ａ_ｉ，２１９－Ａ_ｉ、記憶部１１７－Ａ_ｉ、通信部１１８－Ａ_ｉ、および制御部１１９－Ａ_ｉを有し、制御部１１９－Ａ_ｉの制御のもとで各処理を実行する。シェア生成装置２１－Ａ_ｉの各処理部（処理を行う部位）から出力された情報は記憶部１１７－Ａ_ｉに格納され、必要に応じて読み出されて他の処理部に入力される。

　図３に例示するように、本形態の復元装置２２は、通信部１２１、演算部１２２、連結部１２３、復元部２２４、検証値生成部２２５、判定部２２６、記憶部１２７、および制御部１２８を有し、制御部１２８の制御のもとで各処理を実行する。復元装置２２の各処理部から出力された情報は記憶部１２７に格納され、必要に応じて読み出されて他の処理部に入力される。

　＜シェア生成方法＞
　図４を用い、シェア生成装置２１－Ａ_ｉ（図２）が行うシェア生成方法を説明する。まず、シェア生成装置１１－Ａ_ｉに代えてシェア生成装置２１－Ａ_ｉが、第１実施形態で説明したステップＳ１１１－Ａ_ｉからＳ１１５－Ａ_ｉの処理を実行する。ただし、本形態ではＮおよびｍは３以上の整数である。

　次に各シェア生成装置２１－Ａ_ｉの共有部２１５－Ａ_ｉが、シェア生成装置２１－Ａ_{ｉ（－－）}の共有部２１５－Ａ_{ｉ（－－）}との間で任意値ｔ_{ｉ（－－）}∈Ｆ^ｖを共有し、シェア生成装置２１－Ａ_{ｉ（＋＋）}の共有部２１５－Ａ_{ｉ（＋＋）}との間で任意値ｔ_ｉ∈Ｆ^ｖを共有し、シェア生成装置２１－Ａ_ｉ（＋）の共有部２１５－Ａ_ｉ（＋）との間で任意値ｕ_{ｉ（－－）}∈Ｆ^ｖを共有し、シェア生成装置２１－Ａ_ｉ（－）の共有部２１５－Ａ_ｉ（－）との間で任意値ｕ_ｉ（－）∈Ｆ^ｖを共有する。すなわち、共有部２１５－Ａ_ｉと共有部２１５－Ａ_{ｉ（－－）}とは同一の任意値ｔ_{ｉ（－－）}を得、共有部２１５－Ａ_ｉと共有部２１５－Ａ_{ｉ（＋＋）}とは同一の任意値ｔ_ｉを得、共有部２１５－Ａ_ｉと共有部２１５－Ａ_ｉ（＋）とは同一の任意値ｕ_{ｉ（－－）}を得、共有部２１５－Ａ_ｉと共有部２１５－Ａ_ｉ（－）とは同一の任意値ｕ_ｉ（－）を得る。ただし、ｖは１以上の整数であり、例えばｖ＝１である。ｖがｍ以下である（例えば、ｖがｍよりも小さい）ほうがデータ量の削減効果が大きい。ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎであり、ｉ（＋＋）＝ｉ＋２　ｍｏｄ　Ｎであり、ｉ（－－）＝ｉ－２　ｍｏｄ　Ｎである。共有部β_１と共有部β_２との間での任意値γの共有は、共有部β_１から共有部β_２に任意値γまたは任意値γを特定する情報を送信することで行われてもよいし、共有部β_２から共有部β_１に任意値γまたは任意値γを特定する情報を送信することで行われてもよいし、共有部β_１と共有部β_２とで共有シード値を共有しておき、両者が当該共有シード値を用いた同一の処理を実行することで任意値γが共有されてもよい。任意値ｔ_{ｉ（－－）}，ｔ_ｉ，ｕ_{ｉ（－－）}，ｕ_ｉ（－）は、乱数（擬似乱数または真正乱数）であってもよいし、他の処理で得られた値であってもよいし、予め定められた複数の値から選択された値であってもよい。任意値ｔ_{ｉ（－－）}，ｔ_ｉ，ｕ_{ｉ（－－）}，ｕ_ｉ（－）の共有は、ステップＳ１１１－Ａ_ｉからＳ１１５－Ａ_ｉのいずれかの処理が実行されたことを契機として行われてもよいし、他の共有部２１５－Ａ_{ｉ（－－）}，２１５－Ａ_{ｉ（＋＋）}，２１５－Ａ_ｉ（＋），２１５－Ａ_ｉ（－）からの要求を契機として行われてもよいし、その他の契機で行われてもよいし、予め行われていてもよい。共有部２１５－Ａ_ｉは得た任意値ｔ_{ｉ（－－）}，ｔ_ｉ，ｕ_{ｉ（－－）}，ｕ_ｉ（－）を出力する（ステップＳ２１５－Ａ_ｉ）。

　分割部２１７－Ａ_ｉは、分割部１１１－Ａ_ｉから出力されたシェア［ｘ_ｊ］_ｉ（ただし、ｊ＝０，…，Ｎ－１）を入力とし、当該シェア［ｘ_ｊ］_ｉを秘密計算によってｍ（ｊ）個のシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ∈Ｆに分割して出力する。秘密計算によってシェア［ｘ_ｊ］_ｉをｍ（ｊ）個のシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ∈Ｆに分割するには、例えば、シェア［ｘ_ｊ］_ｉをそのままｍ（ｊ）個のシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ∈Ｆに区分して分割すればよい。ただし、［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｉ）がヌル値である場合、［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉもヌル値である（ステップＳ２１７－Ａ_ｉ）。

　任意値ｔ_{ｉ（－－）}，ｕ_{ｉ（－－）}、およびシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ（ただし、ｊ＝０，…，Ｎ－１）は、チェックサム生成部２１８－Ａ_ｉに入力される。チェックサム生成部２１８－Ａ_ｉ（第１チェックサム生成部）は、任意値ｔ_{ｉ（－－）}，ｕ_{ｉ（－－）}、およびシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉを用い、以下のようにチェックサムｃ_{ｉ（－－），ｉ}およびｄ_{ｉ（－－），ｉ}を得て出力する。
c_i(--),i=Σ_{0≦j<m’(i(--))}{t_i(--) ^j+1[(x’_i(--))_j]_i}+t_i(--) ^{m’(i(--))+1}[(x’_i(--))_{m’(i(--))-1}]_i∈F^v
d_i(--),i=Σ_{0≦j<m’(i(--))}{u_i(--) ^j+1[(x’_i(--))_j]_i}+u_i(--) ^{m’(i(--))+1}[(x’_i(--))_{m’(i(--))-1}]_i∈F^v
ただし、δ＝０，…，Ｎ－１であり、ｃｅｉｌが天井関数であり、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）である。［（ｘ’_δ）_ｊ］_ｉは、集合Ｆ^ｖに属する（［（ｘ_δ）_ｖｊ］_ｉ，［（ｘ_δ）_ｖｊ＋１］_ｉ，…，［（ｘ_δ）_{ｖ（ｊ＋１）－１}］_ｉ）∈Ｆ^ｖである。また、ｊ＝ｍ’（ｉ）－１について、［（ｘ_δ）_ｖｊ］_ｉ，［（ｘ_δ）_ｖｊ＋１］_ｉ，…，［（ｘ_δ）_{ｖ（ｊ＋１）－１}］_ｉがｖ個に満たない場合、［（ｘ’_δ）_{（ｍ’（ｉ）－１）}］_ｉ＝（［（ｘ_δ）_{ｖ（ｍ’（ｉ）－１）}］_ｉ，［（ｘ_δ）_{ｖ（ｍ’（ｉ）－１）＋１}］_ｉ，…，［（ｘ_δ）_{ｍ（ｉ）－１}］_ｉ，０，…，０）∈Ｆ^ｖとする。チェックサムｃ_{ｉ（－－），ｉ}およびｄ_{ｉ（－－），ｉ}は、Ｆを基礎体としたｖ次拡大体上で計算されてもよい。Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛β_ｊ｝はβ_０＋…＋β_{ｍ’（ｉ（－－））}を表し、β_ｉ(--) ^γは（β_ｉ(--)）^γを表す（ステップＳ２１８１－Ａ_ｉ，Ｓ２１８２－Ａ_ｉ）。

　任意値ｔ_ｉ，ｕ_ｉ（－）、およびシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ（ただし、ｊ＝０，…，Ｎ－１）は、チェックサム生成部２１９－Ａ_ｉに入力される。チェックサム生成部２１９－Ａ_ｉ（第２チェックサム生成部）は、任意値ｔ_ｉ，ｕ_ｉ（－）、およびシェア［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉを用い、以下のようにチェックサムｃ_ｉ，ｉおよびｄ_{ｉ（－），ｉ}を得て出力する。
c_i,i=Σ_{0≦j<m’(i)}{t_i ^j+1[(x’_i)_j]_i}+t_i ^m’(i)+1[(x’_i)_m’(i)-1]_i∈F^v
d_i(-),i=Σ_{0≦j<m’(i(-))}{u_i(-) ^j+1[(x’_i(-))_j]_i}+u_i(-) ^m’(i(-))+1[(x’_i(-))_m’(i(-))-1]_i∈F^v
ただし、β_ｉ ^γは（β_ｉ）^γを表し、β_ｉ（－） ^γは（β_ｉ（－））^γを表す。チェックサムｃ_ｉ，ｉおよびｄ_{ｉ（－），ｉ}は、Ｆを基礎体としたｖ次拡大体上で計算されてもよい（ステップＳ２１９１－Ａ_ｉ，Ｓ２１９２－Ａ_ｉ）。

　シード取得部１１２－Ａ_ｉから出力されたシードｓ_ｉ、秘密計算部１１５－Ａ_ｉから出力された計算値ｚ_ｉ、共有部２１５－Ａ_ｉから出力された任意値ｔ_{ｉ（－－）}，ｔ_ｉ，ｕ_{ｉ（－－）}，ｕ_ｉ（－）、チェックサム生成部２１８－Ａ_ｉから出力されたチェックサムｃ_{ｉ（－－），ｉ}，ｄ_{ｉ（－－），ｉ}、およびチェックサム生成部２１９－Ａ_ｉから出力されたチェックサムｃ_ｉ，ｉ，ｄ_{ｉ（－），ｉ}はシェア生成部２１６－Ａ_ｉに入力される。シェア生成部２１６－Ａ_ｉは、シードｓ_ｉ、計算値ｚ_ｉ、任意値ｔ_{ｉ（－－）}，ｔ_ｉ，ｕ_{ｉ（－－）}，ｕ_ｉ（－）、およびチェックサムｃ_{ｉ（－－），ｉ}，ｄ_{ｉ（－－），ｉ}、ｃ_ｉ，ｉ，ｄ_{ｉ（－），ｉ}を含む情報を、秘密分散における平文ｘのシェアＳＳ_ｉとして得て出力する（ステップＳ２１６－Ａ_ｉ）。

　シェア生成部２１６－Ａ_ｉから出力されたシェアＳＳ_ｉは通信部１１８－Ａ_ｉに入力される。通信部１１８－Ａ_ｉは、シェアＳＳ_ｉを復元装置２２に対して出力する。出力されたシェアＳＳ_ｉはネットワークを通じて復元装置２２に送信される。シードｓ_ｉのサイズおよびＮ，ｖはｍに依存しない。平文のデータサイズｍに関する総シェアサイズ（送信される総シェアサイズ）のオーダーは、（２，Ｎ）－シャミア秘密分散ではＯ（Ｎｍ）となるところ、本形態ではＯ（ｍ）で済む。個々のシェアのサイズはＯ（ｍ／Ｎ）である。例えば、各シェア生成装置２１－Ａ_ｉ（ただし、ｉ＝０，…，Ｎ－１）から送信されるシェアＳＳ_ｉの総データ量は、平文ｘのデータ量のＮ倍未満である。例えば、各シェアＳＳ_ｉのデータ量は平文ｘのデータ量未満である（ステップＳ２１８－Ａ_ｉ）。

　＜復元方法＞
　図５を用い、本形態の復元装置２２（図３）が行う復元方法を説明する。
　シェア生成装置２１－Ａ_０，…，２１－Ａ_Ｎ－１から出力されたＮ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１は、復元装置２２の通信部２２１（入力部）で受信され（受け付けられ）、出力される（ステップＳ２２１）。

　次に、第１実施形態で説明したように、演算部１２２が、シェアＳＳ_ｉに含まれた計算値ｚ_ｉおよびシェアＳＳ_ｉ（＋）に含まれたシードｓ_ｉ（＋）を用い、要素ｘ_ｉ＝ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））∈Ｆ^ｍ（ｉ）を得て出力する（ステップＳ１２２）。

　各シェアＳＳ_ｉ（ただし、ｉ＝０，…，Ｎ－１）に含まれたチェックサムｃ_{ｉ（－－），ｉ}，ｄ_{ｉ（－－），ｉ}、ｃ_ｉ，ｉ，ｄ_{ｉ（－），ｉ}は復元部２２４に入力される。復元部２２４は、シェアＳＳ_ｉに含まれたチェックサムｃ_ｉ，ｉおよびシェアＳＳ_{ｉ（＋＋）}に含まれたチェックサムｃ_{ｉ，ｉ（＋＋）}を前述のシャミア秘密分散法（2-out-of-Nしきい値分散方式）に則ったシェアとしてチェックサムｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１（ｘ’_ｉ）_ｊ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}を復元して出力する。同様に、復元部２２４は、シェアＳＳ_ｉ（＋）に含まれたチェックサムｄ_{ｉ，ｉ（＋）}およびシェアＳＳ_{ｉ（＋＋）}に含まれたチェックサムｄ_{ｉ，ｉ（＋＋）}を前述のシャミア秘密分散法に則ったシェアとしてチェックサムｄ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１（ｘ’_ｉ）_ｊ｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}（ｘ’_ｉ）_{ｍ’（ｉ）－１}を復元して出力する。ここで、シェアＳＳ_{ｉ（＋＋）}に含まれたｃ_{ｉ，ｉ（＋＋）}＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_{ｉ（＋＋）}｝＋ｔ_ｉ ^{ｍ（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_{ｉ（＋＋）}と、シェアＳＳ_ｉに含まれたｃ_ｉ，ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_ｉとは、前述のシャミア秘密分散法に則ったチェックサムｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１（ｘ’_ｉ）_ｊ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}（ｘ’_ｉ）_{ｍ’（ｉ）－１}のシェアとなっている。そのため、復元部２２４はｃ_{ｉ，ｉ（＋＋）}とｃ_ｉ，ｉとラグランジュ係数とからチェックサムｃ_ｉを復元できる。また、シェアＳＳ_ｉ（＋）に含まれたｄ_{ｉ，ｉ（＋）}＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ（＋）｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_ｉ（＋）と、シェアＳＳ_{ｉ（＋＋）}に含まれたｄ_{ｉ，ｉ（＋＋）}＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_{ｉ（＋＋）}｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_{ｉ（＋＋）}とは、前述のシャミア秘密分散法に則ったチェックサムｄ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１（ｘ’_ｉ）_ｊ｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}（ｘ’_ｉ）_{ｍ’（ｉ）－１}のシェアとなっている。そのため、復元部２２４はｄ_{ｉ，ｉ（＋）}とｄ_{ｉ，ｉ（＋＋）}とラグランジュ係数とからチェックサムｄ_ｉを復元できる（ステップＳ２２４１，Ｓ２２４２）。

　演算部１２２から出力された要素ｘ_ｉは分割部２２９に入力される。分割部２２９は、要素ｘ_ｉ∈Ｆ^ｍ（ｉ）をｍ（ｉ）個のサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}∈Ｆに分割して出力する。例えば、要素ｘ_ｉはｍ（ｉ）個のサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}を並べた列（ｘ_ｉ）_０｜…｜（ｘ_ｉ）_{ｍ（ｉ）－１}で表現され、分割部２２９は、ｘ_ｉ＝（ｘ_ｉ）_０｜…｜（ｘ_ｉ）_{ｍ（ｉ）－１}をサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}に分割する（ステップＳ２２９）。

　シェアＳＳ_ｉまたはＳＳ_{ｉ（＋＋）}に含まれた任意値ｔ_ｉ、シェアＳＳ_ｉ（＋）またはＳＳ_{ｉ（＋＋）}に含まれた任意値ｕ_ｉ、および、分割部２２９から出力されたサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}は検証値生成部２２５に入力される。検証値生成部２２５は、任意値ｔ_ｉ，ｕ_ｉおよびサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}を用い、以下のように検証値ｖｃ_ｉ，ｖｄ_ｉを得て出力する。
vc_i=Σ_{0≦j<m’(i)}{t_i ^j+1(x_’i)_j}+t_i ^m’(i)+1(x_’i)_m’(i)-1∈F^v
vd_i=Σ_{0≦j<m’(i)}{u_i ^j+1(x_’i)_j}+u_i ^m’(i)+1(x_’i)_m’(i)-1∈F^v
ただし、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、（ｘ’_ｉ）_ｊが集合Ｆ^ｖに属する（（ｘ_ｉ）_ｖｊ，（ｘ_ｉ）_ｖｊ＋１，…，（ｘ_ｉ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、β_ｉ ^γは（β_ｉ）^γを表す（ステップＳ２２５２）。

　復元部２２４から出力されたチェックサムｃ_ｉ，ｄ_ｉ、および検証値生成部２２５から出力された検証値ｖｃ_ｉ，ｖｄ_ｉは判定部２２６に入力される。判定部２２６は、すべてのｉ＝０，…，Ｎ－１についてｃ_ｉ＝ｖｃ_ｉを満たすかを判定する（ステップＳ２２６１）。何れかのｉでｃ_ｉ≠ｖｃ_ｉであると判定された場合、制御部１２８は処理をエラー終了させる（ステップＳ２２６３）。一方、すべてのｉ＝０，…，Ｎ－１についてｃ_ｉ＝ｖｃ_ｉを満たすと判定された場合、判定部２２６は、すべてのｉ＝０，…，Ｎ－１についてｄ_ｉ＝ｖｄ_ｉを満たすかを判定する（ステップＳ２２６２）。何れかのｉでｄ_ｉ≠ｖｄ_ｉであると判定された場合、制御部１２８は処理をエラー終了させる（ステップＳ２２６３）。一方、すべてのｉ＝０，…，Ｎ－１についてｄ_ｉ＝ｖｄ_ｉを満たすと判定された場合、連結部１２３に演算部１２２で得られた要素ｘ_０，…，ｘ_Ｎ－１が入力される。この場合、演算部１２２は、第１実施形態で説明したように、要素ｘ_０，…，ｘ_Ｎ－１を連結した復元値ｘを得て出力する（ステップＳ１２３）。

　＜本形態の特徴＞
　本形態でも、シャミア秘密分散法に則ったシェアよりも総通信データ量を小さくできる。各シェア生成装置２１－Ａ_ｉは平文ｘの情報を一切得ることなく、シャミア秘密分散法に則ったシェア［ｘ］_ｉからデータ量の小さなシェアＳＳ_ｉを得ることができる。復元装置２２はＮ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１を用いて平文ｘを復元できる。

　さらに本形態ではシェアＳＳ_ｉがチェックサムを含み、復元装置２２でチェックサムの検証を行うことにした。そのため、復元装置２２は何れかのシェア生成装置２１－Ａ_ｉで行われた不正な処理を検知することができる。また、復元装置２２が各ｉ＝０，…，Ｎ－１について２種類のチェックサムｃ_ｉ，ｄ_ｉを検証することとしたため、何れかのシェア生成装置２１－Ａ_ｉで不正なチェックサムが生成されたことをも検知できる。

　［第２実施形態の変形例１］
　第２実施形態では、ステップＳ２２６１でｃ_ｉ＝ｖｃ_ｉを満たすと判定された場合に、ステップＳ２２６２でｄ_ｉ＝ｖｄ_ｉを満たすかを判定した。しかしながら、すべてのｉ＝０，…，Ｎ－１についてｃ_ｉ＝ｖｃ_ｉかつｄ_ｉ＝ｖｄ_ｉを満たす場合にステップＳ１２３の処理が実行され、それ以外の場合にステップＳ２２６３が実行されるのであれば、その他の判定処理が行われてもよい。

　［第２実施形態の変形例２］
　第２実施形態では復元装置２２が２種類のチェックサムｃ_ｉ，ｄ_ｉを検証することとした。しかしながら、復元装置２２がチェックサムｃ_ｉ，ｄ_ｉの何れか一方のみを検証する構成であってもよい。この場合の処理は以下のようになる。

　＜シェア生成方法＞
　ステップＳ１１１－Ａ_ｉからＳ１１５－Ａ_ｉの処理が実行された後、ステップＳ２１５－Ａ_ｉの処理に代えて、（処理Ｉ）各シェア生成装置２１－Ａ_ｉの共有部２１５－Ａ_ｉがシェア生成装置２１－Ａ_{ｉ（－－）}の共有部２１５－Ａ_{ｉ（－－）}との間で任意値ｔ_{ｉ（－－）}∈Ｆを共有し、かつ、シェア生成装置２１－Ａ_{ｉ（＋＋）}の共有部２１５－Ａ_{ｉ（＋＋）}との間で任意値ｔ_ｉ∈Ｆを共有する、または、（処理ＩＩ）各シェア生成装置２１－Ａ_ｉの共有部２１５－Ａ_ｉがシェア生成装置２１－Ａ_ｉ（＋）の共有部２１５－Ａ_ｉ（＋）との間で任意値ｕ_{ｉ（－－）}∈Ｆを共有し、かつ、シェア生成装置２１－Ａ_ｉ（－）の共有部２１５－Ａ_ｉ（－）との間で任意値ｕ_ｉ（－）∈Ｆを共有する。すべてのｉ＝０，…，Ｎ－１について処理Ｉのみが実行されるか、または、すべてのｉ＝０，…，Ｎ－１について処理ＩＩのみが実行される。

　次に分割部２１７－Ａ_ｉがステップＳ２１７－Ａ_ｉの処理を実行する。

　その後、処理Ｉか処理ＩＩかに応じて以下の処理が実行される。共有部２１５－Ａ_ｉで任意値ｔ_{ｉ（－－）}が共有される場合（処理Ｉ）、チェックサム生成部２１８－Ａ_ｉは、前述したステップＳ２１８１－Ａ_ｉを行い、チェックサムｃ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｔ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｔ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２１８２－Ａ_ｉの処理は実行されない。

　一方、共有部２１５－Ａ_ｉで任意値ｕ_{ｉ（－－）}が共有される場合（処理ＩＩ）、チェックサム生成部２１８－Ａ_ｉは、前述したステップＳ２１８２－Ａ_ｉを行い、チェックサムｄ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｕ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｕ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２１８１－Ａ_ｉの処理は実行されない。

　次に、共有部２１５－Ａ_ｉで任意値ｔ_ｉが共有される場合（処理Ｉ）、チェックサム生成部２１９－Ａ_ｉは、前述したステップＳ２１９１－Ａ_ｉを行い、チェックサムｃ_ｉ，ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_ｉ∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２１９２－Ａ_ｉの処理は実行されない。

　一方、共有部２１５－Ａ_ｉで任意値ｕ_ｉ（－）が共有される場合（処理ＩＩ）、チェックサム生成部２１９－Ａ_ｉは、前述したステップＳ２１９２－Ａ_ｉを行い、チェックサムｄ_{ｉ（－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－））}｛ｕ_ｉ（－） ^ｊ＋１［（ｘ’_ｉ（－））_ｊ］_ｉ｝＋ｕ_ｉ（－） ^{ｍ’（ｉ（－））＋１}［（ｘ’_ｉ（－））_{ｍ’（ｉ（－））－１}］_ｉ∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２１９１－Ａ_ｉの処理は実行されない。

　その後、ステップＳ２１６－Ａ_ｉの処理に代えて、処理Ｉか処理ＩＩかに応じて以下の処理が実行される。共有部２１５－Ａ_ｉで任意値ｔ_{ｉ（－－）}および任意値ｔ_ｉが共有される場合（処理Ｉ）、シェア生成部１１６－Ａ_ｉは、シードｓ_ｉ、計算値ｚ_ｉ、任意値ｔ_{ｉ（－－）}、任意値ｔ_ｉ、チェックサムｃ_{ｉ（－－），ｉ}、およびチェックサムｃ_ｉ，ｉを含む情報をシェアＳＳ_ｉとして得て出力する。一方、共有部２１５－Ａ_ｉで任意値ｕ_{ｉ（－－）}および任意値ｕ_ｉ（－）が共有される場合（処理ＩＩ）、シェア生成部１１６－Ａ_ｉは、シードｓ_ｉ、計算値ｚ_ｉ、任意値ｕ_{ｉ（－－）}、任意値ｕ_ｉ（－）、チェックサムｄ_{ｉ（－－），ｉ}、およびチェックサムｄ_{ｉ（－），ｉ}を含む情報をシェアＳＳ_ｉとして得て出力する。その後、ステップＳ２１８－Ａ_ｉの処理が実行される。

　＜復元方法＞
　ステップＳ２２１およびＳ１２２の処理が実行された後、復元部２２４は以下の処理を行う。シェアＳＳ_ｉがチェックサムｃ_ｉ，ｉを含み、かつ、シェアＳＳ_{ｉ（＋＋）}がチェックサムｃ_{ｉ，ｉ（＋＋）}を含む場合（処理Ｉ）、復元部２２４はステップＳ２２４１を実行し、チェックサムｃ_ｉ，ｉおよびチェックサムｃ_{ｉ，ｉ（＋＋）}をシャミア秘密分散法に則ったシェアとしてチェックサムｃ_ｉを復元して出力する。この場合、前述したステップＳ２２４２の処理は実行されない。

　一方、シェアＳＳ_ｉ（＋）がチェックサムｄ_{ｉ，ｉ（＋）}を含み、かつ、シェアＳＳ_{ｉ（＋＋）}がチェックサムｄ_{ｉ，ｉ（＋＋）}を含む場合（処理ＩＩ）、復元部２２４はステップＳ２２４２を実行し、チェックサムｄ_{ｉ，ｉ（＋）}およびチェックサムｄ_{ｉ，ｉ（＋＋）}をシャミア秘密分散法に則ったシェアとしてチェックサムｄ_ｉを復元して出力する。この場合、前述したステップＳ２２４１の処理は実行されない。

　次に分割部２２９がステップＳ２２９の処理を実行する。

　その後、処理Ｉか処理ＩＩかに応じて以下の処理が実行される。チェックサムｃ_ｉが復元される場合（処理Ｉ）、検証値生成部２２５は、ステップＳ２２５１の処理を実行し、検証値ｖｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２２５２の処理は実行されない。一方、チェックサムｄ_ｉが復元される場合（処理ＩＩ）、検証値生成部２２５は、ステップＳ２２５２の処理を実行し、検証値ｖｄ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得て出力する。この場合、前述したステップＳ２２５１の処理は実行されない。

　その後、処理Ｉか処理ＩＩかに応じて以下の処理が実行される。チェックサムｃ_ｉが復元される場合（処理Ｉ）、判定部２２６は、ステップＳ２２６１において、すべてのｉ＝０，…，Ｎ－１についてｃ_ｉ＝ｖｃ_ｉを満たすかを判定する。この場合にはステップＳ２２６２の処理は実行されない。何れかのｉでｃ_ｉ≠ｖｃ_ｉであると判定された場合、制御部１２８は処理をエラー終了させる（ステップＳ２２６３）。一方、すべてのｉ＝０，…，Ｎ－１についてｃ_ｉ＝ｖｃ_ｉを満たすと判定された場合、ステップＳ１２３に進む。一方、チェックサムｄ_ｉが復元される場合（処理ＩＩ）、判定部２２６は、ステップＳ２２６２において、すべてのｉ＝０，…，Ｎ－１についてｄ_ｉ＝ｖｄ_ｉを満たすかを判定する。この場合にはステップＳ２２６１の処理は実行されない。何れかのｉでｄ_ｉ≠ｖｄ_ｉであると判定された場合、制御部１２８は処理をエラー終了させる（ステップＳ２２６３）。一方、すべてのｉ＝０，…，Ｎ－１についてｄ_ｉ＝ｖｄ_ｉを満たすと判定された場合、ステップＳ１２３に進む。

　［その他の変形例等］
　なお、本発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

１　秘密計算システム
１１－Ａ_ｉ，２１－Ａ_ｉ　シェア生成装置
１２，２２　復元装置

Claims

　Ｎ個のシェア生成装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア生成装置Ａ_ｉであって、
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｊ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、前記関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属し、
　シャミア秘密分散法に則ったシェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（－））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（－）にラグランジュ係数λ（ｉ（－），ｉ）を乗じて得られる値との和が復元値αであり、前記シェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（＋））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（＋）にラグランジュ係数λ（ｉ（＋），ｉ）を乗じて得られる値との和が前記復元値αであり、
　前記シャミア秘密分散法に則った平文ｘのシェア［ｘ］_ｉ∈Ｆ^ｍがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）および［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｊ）を満たすＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉによって表現され、
　入力されたシードｓ_ｉの関数値ｒ_ｉ＝Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）∈Ｆ^{ｍ（ｉ（－））}を得る関数演算部と、
　前記ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘ_ｉ（－）］_ｉ、および前記関数値ｒ_ｉを用いて第１計算値ζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉ∈Ｆ^{ｍ（ｉ（－））}を得る第１秘密計算部と、
　前記第１計算値ζ_ｉを前記シェア生成装置Ａ_ｉ（－）に対して出力する出力部と、
　第２計算値ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を受け付ける入力部と、
　前記ラグランジュ係数λ（ｉ，ｉ（＋））、前記シェア［ｘ_ｉ］_ｉ、および前記第２計算値ζ_ｉ（＋）を用いて第３計算値ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を得る第２秘密計算部と、
　前記シードｓ_ｉおよび前記第３計算値ｚ_ｉを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成部と、
を有するシェア生成装置。
　請求項１のシェア生成装置であって、
　Ｎが３以上の整数であり、ｉ（＋＋）＝ｉ＋２　ｍｏｄ　Ｎであり、ｉ（－－）＝ｉ－２　ｍｏｄ　Ｎであり、δ＝０，…，Ｎ－１であり、ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記シェア［ｘ_ｊ］_ｉがｍ（ｊ）個のシェア（［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ∈Ｆに分割でき、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、［（ｘ’_δ）_ｊ］_ｉが集合Ｆ^ｖに属する（［（ｘ_δ）_ｖｊ］_ｉ，［（ｘ_δ）_ｖｊ＋１］_ｉ，…，［（ｘ_δ）_{ｖ（ｊ＋１）－１}］_ｉ）∈Ｆ^ｖであり、
　シェア生成装置Ａ_{ｉ（－－）}との間で任意値ｔ_{ｉ（－－）}∈Ｆ^ｖを共有し、かつ、シェア生成装置Ａ_{ｉ（＋＋）}との間で任意値ｔ_ｉ∈Ｆ^ｖを共有する、および／または、シェア生成装置Ａ_ｉ（＋）との間で任意値ｕ_{ｉ（－－）}∈Ｆ^ｖを共有し、かつ、シェア生成装置Ａ_ｉ（－）との間で任意値ｕ_ｉ（－）∈Ｆ^ｖを共有する共有部と、
　前記共有部で前記任意値ｔ_{ｉ（－－）}が共有される場合にチェックサムｃ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｔ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｔ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得、前記共有部で前記任意値ｕ_{ｉ（－－）}が共有される場合にチェックサムｄ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｕ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｕ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得る第１チェックサム生成部と、
　前記共有部で前記任意値ｔ_ｉが共有される場合にチェックサムｃ_ｉ，ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_ｉ∈Ｆ^ｖを得、前記共有部で前記任意値ｕ_ｉ（－）が共有される場合にチェックサムｄ_{ｉ（－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－））}｛ｕ_ｉ（－） ^ｊ＋１［（ｘ’_ｉ（－））_ｊ］_ｉ｝＋ｕ_ｉ（－） ^{ｍ’（ｉ（－））＋１}［（ｘ’_ｉ（－））_{ｍ’（ｉ（－））－１}］_ｉ∈Ｆ^ｖを得る第２チェックサム生成部と、を有し、
　前記共有部で前記任意値ｔ_{ｉ（－－）}および前記任意値ｔ_ｉが共有される場合に、前記シェア生成部が生成する前記シェアＳＳ_ｉは、さらに、前記任意値ｔ_{ｉ（－－）}、前記任意値ｔ_ｉ、前記チェックサムｃ_{ｉ（－－），ｉ}、および前記チェックサムｃ_ｉ，ｉを含み、
　前記共有部で前記任意値ｕ_{ｉ（－－）}および前記任意値ｕ_ｉ（－）が共有される場合に、前記シェア生成部が生成する前記シェアＳＳ_ｉは、さらに、前記任意値ｕ_{ｉ（－－）}、前記任意値ｕ_ｉ（－）、前記チェックサムｄ_{ｉ（－－），ｉ}、および前記チェックサムｄ_{ｉ（－），ｉ}を含む、シェア生成装置。
　請求項１のシェア生成装置であって、
　Ｎが３以上の整数であり、ｉ（＋＋）＝ｉ＋２　ｍｏｄ　Ｎであり、ｉ（－－）＝ｉ－２　ｍｏｄ　Ｎであり、δ＝０，…，Ｎ－１であり、ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記シェア［ｘ_ｊ］_ｉがｍ（ｊ）個のシェア（［（ｘ_ｊ）_０］_ｉ，…，［（ｘ_ｊ）_{ｍ（ｊ）－１}］_ｉ∈Ｆに分割でき、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、［（ｘ’_δ）_ｊ］_ｉが集合Ｆ^ｖに属する（［（ｘ_δ）_ｖｊ］_ｉ，［（ｘ_δ）_ｖｊ＋１］_ｉ，…，［（ｘ_δ）_{ｖ（ｊ＋１）－１}］_ｉ）∈Ｆ^ｖであり、
　シェア生成装置Ａ_{ｉ（－－）}との間で任意値ｔ_{ｉ（－－）}∈Ｆ^ｖを共有し、シェア生成装置Ａ_{ｉ（＋＋）}との間で任意値ｔ_ｉ∈Ｆ^ｖを共有し、シェア生成装置Ａ_ｉ（＋）との間で任意値ｕ_{ｉ（－－）}∈Ｆ^ｖを共有し、シェア生成装置Ａ_ｉ（－）との間で任意値ｕ_ｉ（－）∈Ｆ^ｖを共有する共有部と、
　チェックサムｃ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｔ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｔ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得、チェックサムｄ_{ｉ（－－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－－））}｛ｕ_{ｉ（－－）} ^ｊ＋１［（ｘ’_{ｉ（－－）}）_ｊ］_ｉ｝＋ｕ_{ｉ（－－）} ^{ｍ’（ｉ（－－））＋１}［（ｘ’_{ｉ（－－）}）_{ｍ’（ｉ（－－））－１}］_ｉ∈Ｆ^ｖを得る第１チェックサム生成部と、
　チェックサムｃ_ｉ，ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}［（ｘ’_ｉ）_{ｍ’（ｉ）－１}］_ｉ∈Ｆ^ｖを得、チェックサムｄ_{ｉ（－），ｉ}＝Σ_{０≦ｊ＜ｍ’（ｉ（－））}｛ｕ_ｉ（－） ^ｊ＋１［（ｘ’_ｉ）_ｊ］_ｉ｝＋ｕ_ｉ（－） ^{ｍ’（ｉ（－））＋１}［（ｘ’_ｉ）_{ｍ’（ｉ（－））－１}］_ｉ∈Ｆ^ｖを得る第２チェックサム生成部と、を有し、
　前記シェア生成部が生成する前記シェアＳＳ_ｉは、さらに、前記任意値ｔ_{ｉ（－－）}、前記任意値ｔ_ｉ、前記任意値ｕ_{ｉ（－－）}、前記任意値ｕ_ｉ（－）、前記チェックサムｃ_{ｉ（－－），ｉ}、前記チェックサムｃ_ｉ，ｉ、前記チェックサムｄ_{ｉ（－－），ｉ}、およびチェックサムｄ_{ｉ（－），ｉ}を含む、シェア生成装置。
　請求項１から３のいずれかのシェア生成装置であって、
　前記シードｓ_ｉのデータ量は前記関数値ｒ_ｉのデータ量よりも小さい、シェア生成装置。
　請求項１から４のいずれかのシェア生成装置であって、
　前記シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は、前記平文ｘのデータ量のＮ倍未満である、シェア生成装置。
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、前記関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属し、
　Ｎ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１を受け付ける入力部と、
　シェアＳＳ_ｉに含まれた第３計算値ｚ_ｉ∈Ｆ^ｍ（ｉ）およびシェアＳＳ_ｉ（＋）に含まれたシードｓ_ｉ（＋）を用いて要素ｘ_ｉ＝ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））∈Ｆ^ｍ（ｉ）を得る演算部と、
　前記演算部で得られた要素ｘ_０，…，ｘ_Ｎ－１によって表現される復元値ｘ∈Ｆ^ｍを得る連結部と、
を有する復元装置。
　請求項６の復元装置であって、
　Ｎが３以上の整数であり、ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記要素ｘ_ｉ∈Ｆ^ｍ（ｉ）がｍ（ｉ）個のサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}∈Ｆに分割でき、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、（ｘ’_ｉ）_ｊが集合Ｆ^ｖに属する（（ｘ_ｉ）_ｖｊ，（ｘ_ｉ）_ｖｊ＋１，…，（ｘ_ｉ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、前記シェアＳＳ_ｉは、さらに、任意値ｔ_{ｉ（－－）}、任意値ｔ_ｉ、チェックサムｃ_{ｉ（－－），ｉ}、およびチェックサムｃ_ｉ，ｉ、および／または、任意値ｕ_{ｉ（－－）}、任意値ｕ_ｉ（－）、チェックサムｄ_{ｉ（－－），ｉ}、およびチェックサムｄ_{ｉ（－），ｉ}を含み、
　前記シェアＳＳ_ｉが前記チェックサムｃ_ｉ，ｉを含み、かつ、シェアＳＳ_{ｉ（＋＋）}がチェックサムｃ_{ｉ，ｉ（＋＋）}を含む場合に、前記チェックサムｃ_ｉ，ｉおよび前記チェックサムｃ_{ｉ，ｉ（＋＋）}をシャミア秘密分散法に則ったシェアとしてチェックサムｃ_ｉを復元し、シェアＳＳ_ｉ（＋）がチェックサムｄ_{ｉ，ｉ（＋）}を含み、かつ、前記シェアＳＳ_{ｉ（＋＋）}がチェックサムｄ_{ｉ，ｉ（＋＋）}を含む場合に、前記チェックサムｄ_{ｉ，ｉ（＋）}および前記チェックサムｄ_{ｉ，ｉ（＋＋）}を前記シャミア秘密分散法に則ったシェアとしてチェックサムｄ_ｉを復元する復元部と、
　前記チェックサムｃ_ｉが復元される場合に、検証値ｖｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得、前記チェックサムｄ_ｉが復元される場合に、検証値ｖｄ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得る検証値生成部と、
　前記チェックサムｃ_ｉが復元される場合にｃ_ｉ＝ｖｃ_ｉを満たすかを判定し、前記チェックサムｄ_ｉが復元される場合にｄ_ｉ＝ｖｄ_ｉを満たすかを判定する判定部と、
を有する復元装置。
　請求項６の復元装置であって、
　Ｎが３以上の整数であり、ｖが１以上の整数であり、ｃｅｉｌが天井関数であり、前記要素ｘ_ｉ∈Ｆ^ｍ（ｉ）がｍ（ｉ）個のサブ要素（ｘ_ｉ）_０，…，（ｘ_ｉ）_{ｍ（ｉ）－１}∈Ｆに分割でき、ｍ’（ｉ）がｃｅｉｌ（ｍ（ｉ）／ｖ）であり、（ｘ’_ｉ）_ｊが集合Ｆ^ｖに属する（（ｘ_ｉ）_ｖｊ，（ｘ_ｉ）_ｖｊ＋１，…，（ｘ_ｉ）_{ｖ（ｊ＋１）－１}）∈Ｆ^ｖであり、前記シェアＳＳ_ｉは、さらに、任意値ｔ_{ｉ（－－）}、任意値ｔ_ｉ、チェックサムｃ_{ｉ（－－），ｉ}、チェックサムｃ_ｉ，ｉ、任意値ｕ_{ｉ（－－）}、任意値ｕ_ｉ（－）、チェックサムｄ_{ｉ（－－），ｉ}、およびチェックサムｄ_{ｉ（－），ｉ}を含み、
　前記チェックサムｃ_ｉ，ｉおよび前記チェックサムｃ_{ｉ，ｉ（＋＋）}をシャミア秘密分散法に則ったシェアとしてチェックサムｃ_ｉを復元し、前記チェックサムｄ_{ｉ，ｉ（＋）}および前記チェックサムｄ_{ｉ，ｉ（＋＋）}を前記シャミア秘密分散法に則ったシェアとしてチェックサムｄ_ｉを復元する復元部と、
　検証値ｖｃ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｔ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｔ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得、検証値ｖｄ_ｉ＝Σ_{０≦ｊ＜ｍ’（ｉ）}｛ｕ_ｉ ^ｊ＋１（ｘ_’ｉ）_ｊ｝＋ｕ_ｉ ^{ｍ’（ｉ）＋１}（ｘ_’ｉ）_{ｍ’（ｉ）－１}∈Ｆ^ｖを得る検証値生成部と、
　ｃ_ｉ＝ｖｃ_ｉを満たすかを判定し、ｄ_ｉ＝ｖｄ_ｉを満たすかを判定する判定部と、
を有する復元装置。
　請求項６から８のいずれかの復元装置であって、
　前記シードｓ_ｉ（＋）のデータ量は前記Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））のデータ量よりも小さい、復元装置。
　請求項６から９のいずれかの復元装置あって、
　前記シェアＳＳ_０，…，ＳＳ_Ｎ－１の総データ量は、前記平文ｘのデータ量のＮ倍未満である、復元装置。
　復元装置およびＮ個のシェア生成装置Ａ_０，…，Ａ_Ｎ－１を有し、
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｊ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、前記関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属し、
　シャミア秘密分散法に則ったシェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（－））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（－）にラグランジュ係数λ（ｉ（－），ｉ）を乗じて得られる値との和が復元値αであり、前記シェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（＋））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（＋）にラグランジュ係数λ（ｉ（＋），ｉ）を乗じて得られる値との和が前記復元値αであり、
　前記シャミア秘密分散法に則った平文ｘのシェア［ｘ］_ｉ∈Ｆ^ｍがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）および［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｊ）を満たすＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉによって表現され、
　前記Ｎ個のシェア生成装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア生成装置Ａ_ｉは、
　入力されたシードｓ_ｉの関数値ｒ_ｉ＝Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）∈Ｆ^{ｍ（ｉ（－））}を得る関数演算部と、
　前記ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘ_ｉ（－）］_ｉ、および前記関数値ｒ_ｉを用いて第１計算値ζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉ∈Ｆ^{ｍ（ｉ（－））}を得る第１秘密計算部と、
　前記第１計算値ζ_ｉを前記シェア生成装置Ａ_ｉ（－）に対して出力する出力部と、
　第２計算値ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を受け付ける第１入力部と、
　前記ラグランジュ係数λ（ｉ，ｉ（＋））、前記シェア［ｘ_ｉ］_ｉ、および前記第２計算値ζ_ｉ（＋）を用いて第３計算値ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を得る第２秘密計算部と、
　前記シードｓ_ｉおよび前記第３計算値ｚ_ｉを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成部と、を含み、
　前記復元装置は、
　Ｎ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１を受け付ける第２入力部と、
　シェアＳＳ_ｉに含まれた第３計算値ｚ_ｉ∈Ｆ^ｍ（ｉ）およびシェアＳＳ_ｉ（＋）に含まれたシードｓ_ｉ（＋）を用いて要素ｘ_ｉ＝ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））∈Ｆ^ｍ（ｉ）を得る演算部と、
　前記演算部で得られた要素ｘ_０，…，ｘ_Ｎ－１によって表現される復元値ｘ∈Ｆ^ｍを得る連結部と、を含む、秘密計算システム。
　Ｎ個のシェア生成装置Ａ_０，…，Ａ_Ｎ－１に含まれるシェア生成装置Ａ_ｉのシェア生成方法あって、
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｊ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、ｉ（－）＝ｉ－１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、前記関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属し、
　シャミア秘密分散法に則ったシェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（－））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（－）にラグランジュ係数λ（ｉ（－），ｉ）を乗じて得られる値との和が復元値αであり、前記シェア［α］_ｉにラグランジュ係数λ（ｉ，ｉ（＋））を乗じて得られる値と前記シャミア秘密分散法に則ったシェア［α］_ｉ（＋）にラグランジュ係数λ（ｉ（＋），ｉ）を乗じて得られる値との和が前記復元値αであり、
　前記シャミア秘密分散法に則った平文ｘのシェア［ｘ］_ｉ∈Ｆ^ｍがｍ＝ｍ（０）＋…＋ｍ（Ｎ－１）および［ｘ_ｊ］_ｉ∈Ｆ^ｍ（ｊ）を満たすＮ個のシェア［ｘ_０］_ｉ，…，［ｘ_Ｎ－１］_ｉによって表現され、
　関数演算部が、入力されたシードｓ_ｉの関数値ｒ_ｉ＝Ｐ_{ｍ（ｉ（－））}（ｓ_ｉ）∈Ｆ^{ｍ（ｉ（－））}を得る関数演算ステップと、
　第１秘密計算部が、前記ラグランジュ係数λ（ｉ，ｉ（－））、シェア［ｘ_ｉ（－）］_ｉ、および前記関数値ｒ_ｉを用いて第１計算値ζ_ｉ＝λ（ｉ，ｉ（－））［ｘ_ｉ（－）］_ｉ＋ｒ_ｉ∈Ｆ^{ｍ（ｉ（－））}を得る第１秘密計算ステップと、
　出力部が、前記第１計算値ζ_ｉを前記シェア生成装置Ａ_ｉ（－）に対して出力する出力ステップと、
　入力部が、第２計算値ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を受け付ける入力ステップと、
　第２秘密計算部が、前記ラグランジュ係数λ（ｉ，ｉ（＋））、前記シェア［ｘ_ｉ］_ｉ、および前記第２計算値ζ_ｉ（＋）を用いて第３計算値ｚ_ｉ＝λ（ｉ，ｉ（＋））［ｘ_ｉ］_ｉ＋ζ_ｉ（＋）∈Ｆ^ｍ（ｉ）を得る第２秘密計算ステップと、
　シェア生成部が、前記シードｓ_ｉおよび前記第３計算値ｚ_ｉを含む情報を、秘密分散における前記平文ｘのシェアＳＳ_ｉとして得て出力するシェア生成ステップと、
を有するシェア生成方法。
　Ｎが２以上の整数であり、ｍが１以上の整数であり、ｍ（ｉ）が０以上ｍ未満の整数であり、ｉ＝０，…，Ｎ－１であり、ｉ（＋）＝ｉ＋１　ｍｏｄ　Ｎであり、Ｐ_ｍ（ｉ）が関数であり、前記関数Ｐ_ｍ（ｉ）の値域がｍ（ｉ）個の体Ｆの元の列を要素とする集合Ｆ^ｍ（ｉ）に属し、
　入力部が、Ｎ個のシェアＳＳ_０，…，ＳＳ_Ｎ－１を受け付ける入力ステップと、
　演算部が、シェアＳＳ_ｉに含まれた第３計算値ｚ_ｉ∈Ｆ^ｍ（ｉ）およびシェアＳＳ_ｉ（＋）に含まれたシードｓ_ｉ（＋）を用いて要素ｘ_ｉ＝ｚ_ｉ－Ｐ_ｍ（ｉ）（ｓ_ｉ（＋））∈Ｆ^ｍ（ｉ）を得る演算ステップと、
　連結部が、前記演算部で得られた要素ｘ_０，…，ｘ_Ｎ－１によって表現される復元値ｘ∈Ｆ^ｍを得る連結ステップと、
を有する復元方法。
　請求項１から５の何れかのシェア生成装置、または、請求項６から１０の何れかの復元装置としてコンピュータを機能させるためのプログラム。
　請求項１から５の何れかのシェア生成装置、または、請求項６から１０の何れかの復元装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。