WO2019059042A1

WO2019059042A1 - 秘密読み込み装置、秘密書き込み装置、それらの方法、およびプログラム

Info

Publication number: WO2019059042A1
Application number: PCT/JP2018/033595
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2017-09-21
Filing date: 2018-09-11
Publication date: 2019-03-28
Also published as: EP3686870B1; US20200218833A1; EP3686870A1; CN111133495B; US11514192B2; JP6825119B2; AU2018338249A1; JPWO2019059042A1; AU2018338249B2; CN111133495A; EP3686870A4

Abstract

読み込み位置を明かすことなく配列からのデータ読み込みを効率よく行う。秘密読み込み装置１は、秘匿文の配列と読み込み位置の秘匿文とを入力とし、秘匿文の配列の読み込み位置の要素を出力する。ベクトル作成部（１２）は、読み込み位置を表現するベクトルを作成する。圧縮計算部（１３）は、秘匿文の配列に基づくベクトルと読み込み位置を表現するベクトルとの内積を要素とする新たな秘匿文の配列を繰り返し生成する。読み込み部（１４）は、要素数が1の新たな秘匿文の配列を秘匿文の配列の読み込み位置の要素として出力する。

Description

秘密読み込み装置、秘密書き込み装置、それらの方法、およびプログラム

　この発明は、暗号応用技術に関するものであり、特にアクセスした位置を明かすことなく配列に対するデータの読み込みや書き込みを行う技術に関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照）。非特許文献１に記載された方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数加算、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　読み込み位置iを明かすことなく、配列からi番目のデータを読み込む場合、すべての要素に対してその位置と読み込み位置iとが一致するか否かを判定して、一致しない場合にはその位置の値を0に置き換え、すべての要素の値を足し合わせることで、i番目のデータを得ることがよく行われる（例えば、非特許文献２参照）。

　書き込み位置iを明かすことなく、配列のi番目のデータに値dを書き込む場合、配列のサイズnと同じ大きさの新しい配列を用意し、i番目の要素にのみdを、他の要素には0を設定し、新しい配列を書き込み先の配列に加算することがよく行われる（例えば、非特許文献２参照）。

千田浩司、濱田浩気、五十嵐大、高橋克巳、"軽量検証可能3パーティ秘匿関数計算の再考"、CSS、2010年 Marcel Keller and Peter Scholl, "Efficient, oblivious data structures for MPC", Advances in Cryptology - ASIACRYPT 2014, Vol. 8874 of Lecture Notes in Computer Science, pp. 506-525, 2014.

　しかしながら、非特許文献２に記載された従来技術は、定数段の乗算で大きさnの配列からのデータ読み込みを行う場合に、nに比例した回数の乗算が必要であった。また、非特許文献２に記載された従来技術は、定数段の通信でm個の値を大きさnの配列へ書き込むのに通信量Ω(nm)が必要であった。

　この発明の目的は、上記のような点に鑑みて、定数段の乗算で従来よりも小さい回数で読み込み位置を明かすことなく配列からのデータ読み込みを効率よく行うことを可能とすることである。また、定数段の通信で従来よりも少ない通信量で書き込み位置を明かすことなく配列へのデータ書き込みを効率よく行うことを可能とすることである。

　上記の課題を解決するために、この発明の第一の態様の秘密読み込み装置は、秘匿文の配列と読み込み位置の秘匿文とを入力とし、当該秘匿文の配列の当該読み込み位置の要素を出力する秘密読み込み装置であって、読み込み位置を表現するベクトルと秘匿文の配列に基づくベクトルとの内積を要素とする新たな秘匿文の配列を生成することを新たな秘匿文の配列の要素数が１となるまで繰り返し、要素数が１の新たな秘匿文の配列を読み込み位置の要素として出力する。

　上記の課題を解決するために、この発明の第二の態様の秘密書き込み装置は、秘匿文の配列と書き込み番地の秘匿文と書き込む値の秘匿文とを入力とし、当該秘匿文の配列の当該書き込み番地の要素に当該値を加算する秘密書き込み装置であって、書き込み番地を表現するベクトルと書き込む値を表現するベクトルとの内積を秘匿文の配列に加算する。

　この発明の第一の態様の秘密読み込み技術によれば、定数段の乗算で従来よりも小さい回数で読み込み位置を明かすことなく配列からのデータ読み込みを効率よく行うことが可能となる。この発明の第二の態様の秘密書き込み技術によれば、定数段の通信で従来よりも少ない通信量で書き込み位置を明かすことなく配列へのデータ書き込みを効率よく行うことが可能となる。

図１は、秘密読み込み装置の機能構成を例示する図である。図２は、秘密読み込み方法の処理手続きを例示する図である。図３は、秘密書き込み装置の機能構成を例示する図である。図４は、秘密書き込み方法の処理手続きを例示する図である。

　実施形態の説明に先立ち、この明細書における表記方法および用語の定義について説明する。

　＜表記方法＞
　ある値aを暗号化や秘密分散などにより秘匿化した値をaの秘匿文と呼び、[a]と表記する。また、aを[a]の平文と呼ぶ。秘匿化が秘密分散である場合は、[a]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。ベクトルa=(a₀, a₁, …)のi番目の要素をa[i]により参照する。ベクトルaの要素の数を|a|と表記する。

は床関数であり、実数x以下の最大の整数を表す。

は天井関数であり、実数x以上の最小の整数を表す。

　＜加算、減算、乗算＞
　秘匿文に対する加算、減算、乗算の各演算は、２つの値a, bの秘匿文[a], [b]を入力とし、それぞれa+b, a-b, abの計算結果c₁, c₂, c₃の秘匿文[c₁], [c₂], [c₃]を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　誤解を招く恐れのない場合は、Add([a], [b]), Sub([a], [b]), Mul([a], [b])をそれぞれ[a]+[b], [a]-[b], [a][b]と略記する。

　＜等号判定＞
　２つの値a, bの秘匿文[a], [b]を入力とし、a=bならばc=1、a≠bならばc=0となる秘匿文[c]を計算する処理を次式のように記述する。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　＜第一実施形態＞
　第一実施形態の秘密読み込み装置は、秘匿文の配列と読み込み位置の秘匿文とを入力とし、当該秘匿文の配列の当該読み込み位置の要素を出力する。この際、読み込み位置を表現するベクトルと秘匿文の配列に基づくベクトルとの内積を要素とする新たな秘匿文の配列を生成することを新たな秘匿文の配列の要素数が１となるまで繰り返し、要素数が１の新たな秘匿文の配列を読み込み位置の要素として出力することを特徴とする。

　第一実施形態の秘密読み込み装置１は、図１に例示するように、入力部１１、ベクトル作成部１２、圧縮計算部１３、および読み込み部１４を含む。この秘密読み込み装置１が、図２に例示する各ステップの処理を行うことにより第一実施形態の秘密読み込み方法が実現される。

　秘密読み込み装置１は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密読み込み装置１は、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密読み込み装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密読み込み装置１の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下、図２を参照して、第一実施形態の秘密読み込み装置１が実行する秘密読み込み方法について説明する。

　ステップＳ１１において、入力部１１は、大きさnの秘匿文の配列[a₀]=([a₀[0]], [a₀[1]], …, [a₀[n-1]])と、読み込み位置xの秘匿文[x]とを入力として受け取る。入力部１１は、秘匿文の配列[a₀]と秘匿文[x]とをベクトル作成部１２へ出力する。

　ステップＳ１２において、ベクトル作成部１２は、入力部１１から秘匿文の配列[a₀]と秘匿文[x]とを受け取り、k個の秘匿文のベクトル[v_j]を作成する。ただし、kは2以上の整数であり、jは1以上k以下の各整数である。具体的には、m₁, m₂, …, m_kをn≦m₁×m₂×…×m_kを満たす自然数とし、各整数jについて、x_jを式（１）で定義される整数とし、(x_jmod m_j)番目の要素が1であり、他の要素が0である、大きさm_jの秘匿文のベクトル[v_j]を作成する。

　特に、入力される各秘匿文が、(t, s)Shamir秘密分散によるシェアであれば、k, m_i（i=1, 2, …, k）を式（２）とすることができる。なお、(t, s)Shamir秘密分散とは、入力された平文をs個に分割した分散値をs個の秘密計算装置に分散して保持しておき、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られないような秘密分散である。このとき、tは1以上の整数であり、s≧2t-1である。

　ステップＳ１３－１において、圧縮計算部１３は、jを1に初期化する。

　ステップＳ１３－２において、圧縮計算部１３は、秘匿文の配列[a_j-1]を用いてn_j個の秘匿文のベクトル[b_j,i]を作成する。作成する秘匿文のベクトル[b_j,i]の数n_jは、jの値により異なる。具体的には、n_jを式（３）で定義される整数とし、iを0以上n_j未満の各整数とし、[b_j,i]=([a_j-1[m_ji+0]], [a_j-1[m_ji+1]], …, [a_j-1[m_ji+m_j-1]])（ただし、λ≧|a_j-1|のとき[a_j-1[λ]]=0）として、秘匿文のベクトル[b_j,j]を計算する。

　ステップＳ１３－３において、圧縮計算部１３は、秘匿文のベクトル[b_j,j]と秘匿文のベクトル[v_j]との内積を第i要素とする秘匿文の配列[a_j]を計算する。

　ステップＳ１３－４において、圧縮計算部１３は、j+1がk以下（j+1≦k）であるか否かを判定し、j+1がk以下であれば、jをインクリメント（j←j+1）してステップＳ１３－２へ処理を戻し、j+1がkより大きければ（j+1>k）、秘匿文の配列[a_k]を出力する。なお、このとき、秘匿文の配列[a_k]は要素数が１の配列となっている。

　ステップＳ１４において、読み込み部１４は、要素数が１の秘匿文の配列[a_k]を秘匿文の配列[a₀]のx番目の要素である秘匿文[a₀[x]]として出力する。

　第一実施形態は、(t, s)Shamir秘密分散では、k-1段までの乗算（内積）を乗算１回分の通信で行うことができることを利用し、第i要素の読み込みを大きさΘ(n^1/k)のベクトルによるk段の内積で表現したことがポイントである。各ベクトルの大きさをO(n^1/k)とし、k-1段目の計算がO(n^1/k)回で済むようにしたことで、全体の通信量をO(n^1/k)に抑えることができる。

　＜第二実施形態＞
　第二実施形態の秘密書き込み装置は、秘匿文の配列と書き込み番地の秘匿文と書き込む値の秘匿文とを入力とし、当該秘匿文の配列の当該書き込み番地の要素に当該値を加算する。この際、書き込み番地を表現するベクトルと書き込む値を表現するベクトルとの内積を秘匿文の配列に加算することを特徴とする。

　第二実施形態の秘密書き込み装置２は、図３に例示するように、入力部２１、番地分解部２２、ベクトル作成部２３、および書き込み部２４を含む。この秘密書き込み装置２が、図４に例示する各ステップの処理を行うことにより第二実施形態の秘密書き込み方法が実現される。

　秘密書き込み装置２は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密書き込み装置２は、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密書き込み装置２に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密書き込み装置２の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下、図４を参照して、第二実施形態の秘密書き込み装置２が実行する秘密書き込み方法について説明する。

　ステップＳ２１において、入力部２１は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])と、m個の書き込み先番地の秘匿文[x_i]と、m個の書き込む値の秘匿文[y_i]とを入力として受け取る。ただし、mは2以上の整数であり、iは0以上m未満の各整数である。入力部２１は、書き込み先番地の秘匿文[x_i]と書き込む値の秘匿文[y_i]とを番地分解部２２へ出力する。

　ステップＳ２２において、番地分解部２２は、入力部２１から書き込み先番地の秘匿文[x_i]と書き込む値の秘匿文[y_i]とを受け取り、各値y_iを書き込み先番地x_iに書き込むことを表現する秘匿文のベクトル[w_i]を作成する。具体的には、n₁, n₂をn₁n₂≧nを満たす自然数とし、p_i[λ₁]q_i[λ₂]が、n₂λ₁+λ₂=x_iのとき[y_i]となり、他のときは0となる秘匿文のベクトル[p_i], [q_i]を作成し、その秘匿文のベクトル[p_i], [q_i]を結合して、秘匿文のベクトル[w_i]=[p_i]||[q_i]を生成する。このとき、秘匿文のベクトル[p_i]は、

の要素が1であり、他の要素が0である大きさn₁の秘匿文のベクトルとし、秘匿文のベクトル[q_i]は、

の要素が[y_i]であり、他の要素が0である大きさn₂の秘匿文のベクトルとしてもよい。

　特に、入力される各秘匿文が、(t, s)Shamir秘密分散によるシェアであれば、n₁, n₂は、式（４）とすることができる。なお、(t, s)Shamir秘密分散とは、入力された平文をs個に分割した分散値をs個の秘密計算装置に分散して保持しておき、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られないような秘密分散である。このとき、tは1以上の整数であり、s≧2t-1である。

　ステップＳ２３において、ベクトル作成部２３は、jを0以上n未満の各整数とし、秘匿文のベクトル[w_i]から要素を選択して秘匿文のベクトル[u_j], [v_j]を生成する。具体的には、iを0以上m未満の各整数とし、jを0以上n未満の各整数とし、λ₁, λ₂を式（５）とし、

式（６）のようにして秘匿文のベクトル[u_j], [v_j]を生成する。

　ステップＳ２４において、書き込み部２４は、jを0以上n未満の各整数とし、秘匿文のベクトル[u_j]と秘匿文のベクトル[v_j]との内積を秘匿文の配列[a]のj番目の要素である秘匿文[a[j]]に加算する。

　第二実施形態は、書き込む値をそれぞれ２個のベクトルの内積で表現することで、書き込み先の各番地に加算する値を大きさmのベクトル同士の内積により計算できるようにしたことがポイントである。内積は乗算１回分の通信で計算できるため、全体の通信量はO(n+m√n)に抑えることができる。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　秘匿文の配列と読み込み位置の秘匿文とを入力とし、当該秘匿文の配列の当該読み込み位置の要素を出力する秘密読み込み装置であって、
　上記読み込み位置を表現するベクトルと上記秘匿文の配列に基づくベクトルとの内積を要素とする新たな秘匿文の配列を生成することを上記新たな秘匿文の配列の要素数が１となるまで繰り返し、要素数が１の上記新たな秘匿文の配列を上記読み込み位置の要素として出力する、
　秘密読み込み装置。
　請求項１に記載の秘密読み込み装置であって、
　n, kを2以上の整数とし、jを1以上k以下の各整数とし、
　上記秘密読み込み装置は、大きさnの秘匿文の配列[a₀]=([a₀[0]], [a₀[1]], …,[a₀[n-1]])と読み込み位置xの秘匿文[x]とを入力とし、秘匿文の配列[a₀]のx番目の要素である秘匿文[a₀[x]]を出力するものであり、
　各整数jについて秘匿文[x]を用いて秘匿文のベクトル[v_j]を作成するベクトル作成部と、
　各整数jについて秘匿文の配列[a_j-1]と秘匿文のベクトル[v_j]とを用いて秘匿文の配列[a_j]を作成する圧縮計算部と、
　要素数が1の秘匿文の配列[a_k]を秘匿文の配列[a₀]のx番目の要素である秘匿文[a₀[x]]として出力する読み込み部と、
　を含む秘密読み込み装置。
　請求項２に記載の秘密読み込み装置であって、
　m₁, m₂, …, m_kをn≦m₁×m₂×…×m_kを満たす自然数とし、
　n_jを次式で定義される整数とし、iを0以上n_j未満の各整数とし、

　上記圧縮計算部は、各整数iについて秘匿文の配列[a_j-1]を用いて作成した秘匿文のベクトル[b_j,i]と、上記秘匿文のベクトル[v_j]との内積を第i要素とする上記秘匿文の配列[a_j]を作成するものである、
　秘密読み込み装置。
　請求項３に記載の秘密読み込み装置であって、
　上記ベクトル作成部は、各整数jについて、x_jを次式で定義される整数とし、

第x_jmod m_j番目の要素が1であり、他の要素が0である大きさm_jの上記秘匿文のベクトル[v_j]を作成するものであり、
　上記圧縮計算部は、各整数iについて、[b_j,i]=([a_j-1[m_ji+0]], [a_j-1[m_ji+1]], …, [a_j-1[m_ji+m_j-1]])、かつ、λ≧|a_j-1|のとき[a_j-1[λ]]=0となる上記秘匿文のベクトル[b_j,i]を作成するものである、
　秘密読み込み装置。
　請求項４に記載の秘密読み込み装置であって、
　上記秘匿文の配列[a₀]および上記秘匿文[x]は、tを1以上の整数とし、s≧2t-1とし、平文をs個に分割したシェアのうち、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られない秘密分散により秘匿化したものであり、
　k, m_i（i=1, 2, …, k）は、次式で定義されるものである、

　秘密読み込み装置。
　秘匿文の配列と読み込み位置の秘匿文とを入力とし、当該秘匿文の配列の当該読み込み位置の要素を出力する秘密読み込み装置が実行する秘密読み込み方法であって、
　上記秘密読み込み装置が、上記読み込み位置を表現するベクトルと上記秘匿文の配列に基づくベクトルとの内積を要素とする新たな秘匿文の配列を生成することを上記新たな秘匿文の配列の要素数が１となるまで繰り返し、要素数が１の上記新たな秘匿文の配列を上記読み込み位置の要素として出力する、
　秘密読み込み方法。
　秘匿文の配列と書き込み番地の秘匿文と書き込む値の秘匿文とを入力とし、当該秘匿文の配列の当該書き込み番地の要素に当該値を加算する秘密書き込み装置であって、
　上記書き込み番地を表現するベクトルと上記書き込む値を表現するベクトルとの内積を上記秘匿文の配列に加算する、
　秘密書き込み装置。
　請求項７に記載の秘密書き込み装置であって、
　n, mを2以上の整数とし、iを0以上m未満の各整数とし、jを0以上n未満の各整数とし、
　上記秘密書き込み装置は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …,[a[n-1]])と書き込み番地x_iの秘匿文[x_i]と書き込む値y_iの秘匿文[y_i]とを入力とし、各整数iについて秘匿文の配列[a]のx_i番目の要素である秘匿文[a[x_i]]に値y_iを加算するものであり、
　各整数iについて値y_iの書き込み先番地x_iを表現する秘匿文のベクトル[w_i]を作成する番地分解部と、
　各整数jについて秘匿文のベクトル[w_i]から要素を選択して秘匿文のベクトル[u_j], [v_j]を作成するベクトル作成部と、
　各整数jについて秘匿文のベクトル[u_j]と秘匿文のベクトル[v_j]との内積を秘匿文の配列[a]のj番目の要素である秘匿文[a[j]]に加算する書き込み部と、
　を含む秘密書き込み装置。
　請求項８に記載の秘密書き込み装置であって、
　上記番地分解部は、n₁, n₂をn₁n₂≧nを満たす自然数とし、p_i[λ₁]q_i[λ₂]がn₂λ₁+λ₂=x_iのとき[y_i]となり、他のときは0となる秘匿文のベクトル[p_i], [q_i]を結合して上記秘匿文のベクトル[w_i]を作成するものであり、
　上記ベクトル作成部は、iを0以上m未満の各整数とし、jを0以上n未満の各整数とし、λ₁, λ₂を次式とし、

次式のようにして上記秘匿文のベクトル[u_j], [v_j]を作成するものである、

　秘密書き込み装置。
　請求項９に記載の秘密書き込み装置であって、
　上記秘匿文のベクトル[p_i]は、

の要素が1であり、他の要素が0である大きさn₁の秘匿文のベクトルであり、
　上記秘匿文のベクトル[q_i]は、

の要素が[y_i]であり、他の要素が0である大きさn₂の秘匿文のベクトルである、
　秘密書き込み装置。
　請求項９または１０に記載の秘密書き込み装置であって、
　上記秘匿文の配列[a]と上記秘匿文[x_i]と上記秘匿文[y_i]とは、tを1以上の整数とし、s≧2t-1とし、平文をs個に分割したシェアのうち、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られない秘密分散により秘匿化したものであり、
　n₁, n₂は、次式で定義されるものである、

　秘密書き込み装置。
　秘匿文の配列と書き込み番地の秘匿文と書き込む値の秘匿文とを入力とし、当該秘匿文の配列の当該書き込み番地の要素に当該値を加算する秘密書き込み装置が実行する秘密書き込み方法であって、
　上記秘密書き込み装置が、上記書き込み番地を表現するベクトルと上記書き込む値を表現するベクトルとの内積を上記秘匿文の配列に加算する、
　秘密書き込み方法。
　請求項１から５のいずれかに記載の秘密読み込み装置または請求項７から１１のいずれかに記載の秘密書き込み装置としてコンピュータを機能させるためのプログラム。