WO2019059069A1

WO2019059069A1 - 秘密読み書き装置、秘密読み書き方法、およびプログラム

Info

Publication number: WO2019059069A1
Application number: PCT/JP2018/033849
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2017-09-21
Filing date: 2018-09-12
Publication date: 2019-03-28
Also published as: AU2018336413A1; US11508262B2; CN111108540A; JP6981473B2; JPWO2019059069A1; AU2018336413B2; CN111108540B; EP3686869A1; US20200279511A1; EP3686869B1; EP3686869A4

Abstract

アクセスした位置を明かすことなく配列に対するデータ読み込みやデータ書き込みを効率よく行う。秘密読み書き装置（１）は、読み込み命令もしくは書き込み命令を入力とし、読み込み命令が入力されたときは秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]を出力し、書き込み命令が入力されたときは秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]に秘匿文[d]を加算する。秘密読み込み部（１２）は、秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を読み込む。バッファ加算部（１３）は、未反映値cの秘匿文[c]を秘匿文[a[x]]へ加算する。バッファ追加部（１４）は、書き込みバッファ[b]へ秘匿文[x]と秘匿文[d]を追加する。秘密書き込み部（１５）は、書き込みバッファ[b]の要素数が所定の値を超えたとき、秘匿文の配列[a]の秘匿文のベクトル[b₀]が示すアクセス位置へ秘匿文のベクトル[b₁]が示す値を加算する。

Description

秘密読み書き装置、秘密読み書き方法、およびプログラム

　この発明は、暗号応用技術に関するものであり、特にアクセスした位置を明かすことなく配列に対するデータの読み込みや書き込みを行う技術に関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照）。非特許文献１に記載された方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数加算、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　アクセスした位置iを明かすことなく、配列のi番目のデータの読み込みや配列のi番目のデータへの値dの書き込みを行う場合、すべての要素に対してアクセスしたように見せかけることがよく行われる（例えば、非特許文献２参照）。

千田浩司、濱田浩気、五十嵐大、高橋克巳、"軽量検証可能3パーティ秘匿関数計算の再考"、CSS、2010年 Marcel Keller and Peter Scholl, "Efficient, oblivious data structures for MPC", Advances in Cryptology - ASIACRYPT 2014, Vol. 8874 of Lecture Notes in Computer Science, pp. 506-525, 2014.

　しかしながら、非特許文献２に記載された従来技術は、定数段の通信で大きさnの配列へデータの読み込みや書き込みを行うのに通信量Ω(n)が必要であった。

　この発明の目的は、上記のような点に鑑みて、定数段の通信でアクセスした位置を明かすことなく行う配列に対するデータ読み込みやデータ書き込みを従来よりも少ない通信量で効率よく行うことを可能とすることである。

　上記の課題を解決するために、この発明の秘密読み書き装置は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …,[a[n-1]])とアクセス位置xの秘匿文[x]とを含む読み込み命令、もしくは、秘匿文の配列[a]と秘匿文[x]と書き込む値dの秘匿文[d]とを含む書き込み命令を入力とし、読み込み命令が入力されたときは秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]を出力し、書き込み命令が入力されたときは秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]に秘匿文[d]を加算する秘密読み書き装置であって、２個の秘匿文のベクトル[b₀], [b₁]からなる書き込みバッファ[b]=([b₀], [b₁])を記憶するバッファ記憶部と、書き込み命令が入力されたとき、秘匿文のベクトル[b₀]へ秘匿文[x]を追加し、秘匿文のベクトル[b₁]へ秘匿文[d]を追加するバッファ追加部と、書き込みバッファ[b]の要素数が所定の値を超えたとき、秘匿文の配列[a]のうち秘匿文のベクトル[b₀]が示すアクセス位置へ秘匿文のベクトル[b₁]が示す値を加算する秘密書き込み部と、読み込み命令が入力されたとき、秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を読み込む秘密読み込み部と、秘匿文のベクトル[b₁]の要素のうち秘匿文のベクトル[b₀]が示すアクセス位置が秘匿文[x]が示すアクセス位置と等しい要素の総和である未反映値cの秘匿文[c]を秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]へ加算するバッファ加算部と、を含む。

　この発明の秘密読み書き技術によれば、定数段の通信でアクセスした位置を明かすことなく行う配列に対するデータ読み込みやデータ書き込みを従来よりも少ない通信量で効率よく行うことが可能となる。

図１は、秘密読み書き装置の機能構成を例示する図である。図２は、秘密読み書き方法の処理手続きを例示する図である。図３は、秘密読み込み部の処理手続きを例示する図である。図４は、秘密書き込み部の処理手続きを例示する図である。

　実施形態の説明に先立ち、この明細書における表記方法および用語の定義について説明する。

　＜表記方法＞
　ある値aを暗号化や秘密分散などにより秘匿化した値をaの秘匿文と呼び、[a]と表記する。また、aを[a]の平文と呼ぶ。秘匿化が秘密分散である場合は、[a]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。ベクトルa=(a₀, a₁, …)のi番目の要素をa[i]により参照する。ベクトルaとベクトルbの結合をa||bと表記する。ベクトルaの要素の数を|a|と表記する。実数xの絶対値を|x|と表記する。

は床関数であり、実数x以下の最大の整数を表す。

は天井関数であり、実数x以上の最小の整数を表す。

　＜加算、減算、乗算＞
　秘匿文に対する加算、減算、乗算の各演算は、２つの値a, bの秘匿文[a], [b]を入力とし、それぞれa+b, a-b, abの計算結果c₁, c₂, c₃の秘匿文[c₁], [c₂], [c₃]を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　誤解を招く恐れのない場合は、Add([a], [b]), Sub([a], [b]), Mul([a], [b])をそれぞれ[a]+[b], [a]-[b], [a][b]と略記する。

　＜等号判定＞
　２つの値a, bの秘匿文[a], [b]を入力とし、a=bならばc=1、a≠bならばc=0となる秘匿文[c]を計算する処理を次式のように記述する。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　実施形態の秘密読み書き装置１は、図１に例示するように、バッファ記憶部１０、命令判断部１１、秘密読み込み部１２、バッファ加算部１３、バッファ追加部１４、および秘密書き込み部１５を含む。この秘密読み書き装置１が、図２に例示する各ステップの処理を行うことにより実施形態の秘密読み書き方法が実現される。

　秘密読み書き装置１は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密読み書き装置１は、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密読み書き装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密読み書き装置１の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下、図２を参照して、実施形態の秘密読み書き装置１が実行する秘密読み書き方法について説明する。

　バッファ記憶部１０には、入力された書き込み命令を保持しておくための書き込みバッファ[b]=([b₀], [b₁])が記憶されている。[b₀]はアクセス位置の秘匿文のベクトル[b₀]=([b₀[0]], [b₀[1]], …,[b₀[m-1]])である。[b₁]は書き込む値の秘匿文のベクトル[b₁]=([b₁[0]], [b₁[1]], …,[b₁[m-1]])である。ただし、mは書き込みバッファ[b]の要素数であり、m=|[b]|である。

　ステップＳ１－１において、命令判断部１１は、読み込み命令もしくは書き込み命令を入力として受け取る。読み込み命令は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])とアクセス位置xの秘匿文[x]とを含む。書き込み命令は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])とアクセス位置xの秘匿文[x]と書き込む値dの秘匿文[d]とを含む。

　ステップＳ１－２において、命令判断部１１は、入力が読み込み命令であれば、秘匿文の配列[a]とアクセス位置の秘匿文[x]とを秘密読み込み部１２へ出力し、ステップＳ２へ処理を進める。また、入力が書き込み命令であれば、秘匿文の配列[a]とアクセス位置の秘匿文[x]と書き込む値の秘匿文[d]とをバッファ追加部１４へ出力し、ステップＳ４－１へ処理を進める。

　ステップＳ２において、秘密読み込み部１２は、アクセス位置xを秘匿したまま秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を読み込む。アクセス位置を秘匿したまま配列から要素を読み込む方法は、例えば、非特許文献２に記載されている方法を用いることができる。また、後述する秘密読み込み方法を用いれば、より効率よく読み込みを行うことができる。秘密読み込み部１２は、読み出した配列[a]のx番目の要素である秘匿文[a[x]]をバッファ加算部１３へ出力する。

　ステップＳ３－１において、バッファ加算部１３は、バッファ記憶部１０に記憶されている書き込みバッファ[b]を用いて未反映の値cの秘匿文[c]を計算する。具体的には、式（１）により秘匿文[c]を計算する。

　もしくは、式（２）により未反映の値cの秘匿文[c]を計算する。

　ステップＳ３－２において、バッファ加算部１３は、秘密読み込み部１２が出力した配列[a]のx番目の要素である秘匿文[a[x]]に未反映の値cの秘匿文[c]を加算して、秘匿文[a[x]]+[c]を配列[a]のx番目の要素である秘匿文[a[x]]として秘密読み書き装置１の出力とする。

　ステップＳ４－１において、バッファ追加部１４は、バッファ記憶部１０に記憶されている書き込みバッファ[b]へアクセス位置の秘匿文[x]と書き込む値の秘匿文[d]とを追加する。具体的には、m=|[b]|とし、[b[m]]=([b₀[m]], [b₁[m]])=([x], [d])とする。

　ステップＳ４－２において、バッファ追加部１４は、書き込みバッファ[b]の要素数|[b]|が√nを超えているか否かを判定する。書き込みバッファ[b]の要素数|[b]|が√nを超えている場合（すなわち、|[b]|>√n）はステップＳ５へ処理を進める。また、書き込みバッファ[b]の要素数|[b]|が√n以下の場合（すなわち、|[b]|≦√n）は処理を終了する。

　ステップＳ５において、秘密書き込み部１５は、書き込みバッファ[b]に記憶されているアクセス位置の秘匿文のベクトル[b₀]=([b₀[0]], [b₀[1]], …, [b₀[m-1]])と書き込む値の秘匿文のベクトル[b₁]=([b₁[0]], [b₁[1]], …, [b₁[m-1]])とを用いて、アクセス位置xを秘匿したまま書き込む値の秘匿文[d]を配列のx番目の要素である秘匿文a[x]へ加算する。アクセス位置を秘匿したまま配列へ値を書き込む方法は、例えば、非特許文献２に記載されている方法を用いることができる。また、後述する秘密書き込み方法を用いれば、より効率よく書き込みを行うことができる。

　以下、図３を参照して、秘密読み込み部１２が効率よく配列からのデータ読み込みを行う方法について説明する。

　ステップＳ１２－１において、秘密読み込み部１２は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])とアクセス位置xの秘匿文[x]とを入力として受け取る。

　ステップＳ１２－２において、秘密読み込み部１２は、k個の秘匿文のベクトル[v_j]を作成する。ただし、kは2以上の整数であり、jは1以上k以下の各整数である。具体的には、m₁, m₂, …, m_kをn≦m₁×m₂×…×m_kを満たす自然数とし、各整数jについて、x_jを式（３）で定義される整数とし、(x_jmod m_j)番目の要素が1であり、他の要素が0である、大きさm_jの秘匿文のベクトル[v_j]を作成する。

　特に、入力される各秘匿文が、(t, s)Shamir秘密分散によるシェアであれば、k, m_i（i=1, 2, …, k）を式（４）とすることができる。なお、(t, s)Shamir秘密分散とは、入力された平文をs個に分割した分散値をs個の秘密計算装置に分散して保持しておき、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られないような秘密分散である。このとき、tは1以上の整数であり、s≧2t-1である。

　ステップＳ１２－３－１において、秘密読み込み部１２は、jを1に初期化する。

　ステップＳ１２－３－２において、秘密読み込み部１２は、秘匿文の配列[a_j-1]を用いてn_j個の秘匿文のベクトル[b_j,i]を作成する。このとき、秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])は、秘匿文の配列[a₀]=([a₀[0]], [a₀[1]], …, [a₀[n-1]])として扱う。作成する秘匿文のベクトル[b_j,i]の数n_jは、jの値により異なる。具体的には、n_jを式（５）で定義される整数とし、iを0以上n_j未満の各整数とし、[b_j,i]=([a_j-1[m_ji+0]],[a_j-1[m_ji+1]], …, [a_j-1[m_ji+m_j-1]])（ただし、λ≧|a_j-1|のとき[a_j-1[λ]]=0）として、秘匿文のベクトル[b_j,j]を計算する。

　ステップＳ１２－３－３において、秘密読み込み部１２は、秘匿文のベクトル[b_j,j]と秘匿文のベクトル[v_j]との内積を第i要素とする秘匿文の配列[a_j]を計算する。

　ステップＳ１２－３－４において、秘密読み込み部１２は、j+1がk以下（j+1≦k）であるか否かを判定し、j+1がk以下であれば、jをインクリメント（j←j+1）してステップＳ１２－３－２へ処理を戻し、j+1がkより大きければ（j+1>k）、秘匿文の配列[a_k]を出力する。なお、このとき、秘匿文の配列[a_k]は要素数が１の配列となっている。

　ステップＳ１２－４において、秘密読み込み部１２は、要素数が１の秘匿文の配列[a_k]を秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]として出力する。

　以下、図４を参照して、秘密書き込み部１５が効率よく配列へデータ書き込みを行う方法について説明する。

　ステップＳ１５－１において、秘密書き込み部１５は、大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …, [a[n-1]])と、アクセス位置の秘匿文のベクトル[b₀]と、書き込む値の秘匿文のベクトル[b₁]とを入力として受け取る。以下、アクセス位置の秘匿文のベクトル[b₀]は秘匿文[x_i]、書き込む値の秘匿文のベクトル[b₁]は秘匿文[y_i]として扱う。ただし、mを書き込みバッファ[b]の要素数|[b]|とし、iは0以上m未満の各整数である。

　ステップＳ１５－２において、秘密書き込み部１５は、各値y_iの書き込み先番地x_iを表現する秘匿文のベクトル[w_i]を作成する。具体的には、n₁, n₂をn₁n₂≧nを満たす自然数とし、p_i[λ₁]q_i[λ₂]が、n₂λ₁+λ₂=x_iのとき[y_i]となり、他のときは0となる秘匿文のベクトル[p_i], [q_i]を作成し、その秘匿文のベクトル[p_i], [q_i]を結合して、秘匿文のベクトル[w_i]=[p_i]||[q_i]を生成する。このとき、秘匿文のベクトル[p_i]は、

の要素が1であり、他の要素が0である大きさn₁の秘匿文のベクトルとし、秘匿文のベクトル[q_i]は、

の要素が[y_i]であり、他の要素が0である大きさn₂の秘匿文のベクトルとしてもよい。

　特に、入力される各秘匿文が、(t, s)Shamir秘密分散によるシェアであれば、n₁, n₂は、式（６）とすることができる。なお、(t, s)Shamir秘密分散とは、入力された平文をs個に分割した分散値をs個の秘密計算装置に分散して保持しておき、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られないような秘密分散である。このとき、tは1以上の整数であり、s≧2t-1である。

　ステップＳ１５－３において、秘密書き込み部１５は、jを0以上n未満の各整数とし、秘匿文のベクトル[w_i]から要素を選択して秘匿文のベクトル[u_j], [v_j]を生成する。具体的には、iを0以上m未満の各整数とし、jを0以上n未満の各整数とし、λ₁, λ₂を式（７）とし、

式（８）のようにして秘匿文のベクトル[u_j], [v_j]を生成する。

　ステップＳ１５－４において、秘密書き込み部１５は、jを0以上n未満の各整数とし、秘匿文のベクトル[u_j]と秘匿文のベクトル[v_j]との内積を秘匿文の配列[a]のj番目の要素[a[j]]に加算する。

　この発明は、バッファからの読み込みはバッファサイズに線形の通信量でできることと、秘密書き込み方法がバッファサイズO(√n)のときはO(n)の通信量でできることを利用することがポイントである。バッファサイズが√nを超えるまで実際の書き込みを保留することで、読み込みは必ずO(√n)の通信量で、書き込みは各回O(√n)に加えて１回だけO(n)の通信量で実現することができる。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …,[a[n-1]])とアクセス位置xの秘匿文[x]とを含む読み込み命令、もしくは、上記秘匿文の配列[a]と上記秘匿文[x]と書き込む値dの秘匿文[d]とを含む書き込み命令を入力とし、上記読み込み命令が入力されたときは上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]を出力し、上記書き込み命令が入力されたときは上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]に秘匿文[d]を加算する秘密読み書き装置であって、
　２個の秘匿文のベクトル[b₀], [b₁]からなる書き込みバッファ[b]=([b₀], [b₁])を記憶するバッファ記憶部と、
　上記書き込み命令が入力されたとき、上記秘匿文のベクトル[b₀]へ上記秘匿文[x]を追加し、上記秘匿文のベクトル[b₁]へ上記秘匿文[d]を追加するバッファ追加部と、
　上記書き込みバッファ[b]の要素数が所定の値を超えたとき、上記秘匿文の配列[a]のうち上記秘匿文のベクトル[b₀]が示すアクセス位置へ上記秘匿文のベクトル[b₁]が示す値を加算する秘密書き込み部と、
　上記読み込み命令が入力されたとき、上記秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を読み込む秘密読み込み部と、
　上記秘匿文のベクトル[b₁]の要素のうち上記秘匿文のベクトル[b₀]が示すアクセス位置が上記秘匿文[x]が示すアクセス位置と等しい要素の総和である未反映値cの秘匿文[c]を上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]へ加算するバッファ加算部と、
　を含む秘密読み書き装置。
　請求項１に記載の秘密読み書き装置であって、
　上記バッファ加算部は、次式により上記未反映値cの秘匿文[c]を計算するものである、

　秘密読み書き装置。
　請求項１に記載の秘密読み書き装置であって、
　上記バッファ加算部は、次式により上記未反映値cの秘匿文[c]を計算するものである、

　秘密読み書き装置。
　請求項１に記載の秘密読み書き装置であって、
　上記秘匿文の配列[a]と上記秘匿文[x]と上記秘匿文[d]は、tを1以上の整数とし、s≧2t-1とし、平文をs個に分割したシェアのうち、任意のt個のシェアが揃えば平文を復元でき、t個未満のシェアからは平文に関する一切の情報を得られない秘密分散により秘匿化したものであり、
　上記秘密読み込み部は、上記秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を、アクセス位置xを明かすことなく読み込むものであり、
　上記秘密書き込み部は、上記書き込みバッファの要素数が√nを超えたとき、上記秘匿文の配列[a]の上記秘匿文のベクトル[b₀]が示すアクセス位置へ上記秘匿文のベクトル[b₁]が示す値を、アクセス位置xを明かすことなく書き込むものである、
　秘密読み書き装置。
　大きさnの秘匿文の配列[a]=([a[0]], [a[1]], …,[a[n-1]])とアクセス位置xの秘匿文[x]とを含む読み込み命令、もしくは、上記秘匿文の配列[a]と上記秘匿文[x]と書き込む値dの秘匿文[d]とを含む書き込み命令を入力とし、上記読み込み命令が入力されたときは上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]を出力し、上記書き込み命令が入力されたときは上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]に秘匿文[d]を加算する秘密読み書き装置が実行する秘密読み書き方法であって、
　バッファ記憶部に、２個の秘匿文のベクトル[b₀], [b₁]からなる書き込みバッファ[b]=([b₀], [b₁])が記憶されており、
　バッファ追加部が、上記書き込み命令が入力されたとき、上記秘匿文のベクトル[b₀]へ上記秘匿文[x]を追加し、上記秘匿文のベクトル[b₁]へ上記秘匿文[d]を追加し、
　秘密書き込み部が、上記書き込みバッファ[b]の要素数が所定の値を超えたとき、上記秘匿文の配列[a]のうち上記秘匿文のベクトル[b₀]が示すアクセス位置へ上記秘匿文のベクトル[b₁]が示す値を加算し、
　秘密読み込み部が、上記読み込み命令が入力されたとき、上記秘匿文の配列[a]からx番目の要素である秘匿文[a[x]]を読み込み、
　バッファ加算部が、上記秘匿文のベクトル[b₁]の要素のうち上記秘匿文のベクトル[b₀]が示すアクセス位置が上記秘匿文[x]が示すアクセス位置と等しい要素の総和である未反映値cの秘匿文[c]を上記秘匿文の配列[a]のx番目の要素である秘匿文[a[x]]へ加算する、
　秘密読み書き方法。
　請求項１から４のいずれかに記載の秘密読み書き装置としてコンピュータを機能させるためのプログラム。