WO2019163636A1 - 秘密計算装置、秘密計算認証システム、秘密計算方法、およびプログラム - Google Patents

Abstract

秘密計算装置は、格納しておいた秘匿化認証情報［ｗ］_ｉ及び入力された秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得、拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得、第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得、秘匿化拡大体乱数［ｒ_ｍ］_ｉ及び第２秘匿化検証値［ｙ_ｍ］_ｉを用い、秘密計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得て出力する。

Description

秘密計算装置、秘密計算認証システム、秘密計算方法、およびプログラム

　本発明は、秘密計算技術に関し、特に、秘密計算によって認証処理を行う秘密計算認証技術に関する。

　秘密計算技術（例えば、非特許文献１等参照）を用いれば、認証情報（例えば、パスワード）を秘密に保ったまま認証処理を行うことができる。単純な方法は、登録済みの認証情報ｗの秘匿化認証情報［ｗ］と入力された認証情報ωの秘匿化認証情報［ω］とを用い、秘密計算によってｗ－ωに対応する秘匿化検証値［ｗ－ω］を計算する方法である。ｗ－ω＝０であればｗ＝ω（認証成功）であり、ｗ－ω≠０であればｗ≠ω（認証失敗）であるため、秘匿化検証値［ｗ－ω］は認証結果の秘匿値を表す。

Ivan Damgaard, Matthias Fitzi, Eike Kiltz, Jesper Buus Nielsen, Tomas Toft, "Unconditionally Secure Constant-Rounds Multi-party Computation for Equality, Comparison, Bits and Exponentiation", TCC 2006, pp. 285-304.

　しかし、上述した方法では、なりすましに対する安全性が低いという問題点がある。すなわち、ｗ－ω≠０であるにもかかわらず０が復元されるような不正な秘匿化検証値が計算された場合には、ｗ－ω≠０であるにもかかわらず認証成功と判定されてしまう。また認証情報ｗ，ωが秘密に保たれているため、このような不正な秘匿化検証値を検知することも困難である。

　本発明の目的は、認証情報を秘密に保ったまま、なりすましに対する安全性が高い認証処理を行う技術を提供することである。

　秘密計算装置は、認証情報ｗの秘密分散値である秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌを格納し、認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ∈［Ｆ］^Ｌの入力を受け、秘匿化認証情報［ｗ］_ｉおよび秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得、拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得、第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得、秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび第２秘匿化検証値［ｙ_ｍ］_ｉを用い、秘密計計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得て出力する。ただし、Ｌが１以上の整数であり、εが２以上の整数であり、Ｆが有限体であり、Ｆ^εが有限体Ｆの拡大体であり、拡大体Ｆ^εの拡大次数がεであり、ｃｅｉｌ（ｘ）が実数ｘ以上の最小の整数であり、Ｍ＝ｃｅｉｌ（Ｌ／ε）であり、ｊ＝０，…、Ｌ－１であり、ｍ＝０，…，Ｍ－１であり、ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｍ＝０，…，Ｍ－１についてｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）‐１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０である。

　認証情報を秘密に保ったまま、なりすましに対する安全性が高い認証処理を行うことができる。

図１は実施形態の秘密計算認証システムの機能構成を例示したブロック図である。 図２は実施形態の秘密計算装置の機能構成を例示したブロック図である。 図３Ａは実施形態の利用者装置の機能構成を例示したブロック図である。図３Ｂは実施形態の検証装置の機能構成を例示したブロック図である。 図４は実施形態の利用者装置の処理を説明するためのフロー図である。 図５は実施形態の秘密計算装置の処理を説明するためのフロー図である。 図６は実施形態の検証装置の処理を説明するためのフロー図である。 図７は実施形態の処理を説明するための概念図である。

　以下、図面を用いて本発明の実施形態を説明する。
　［概要］
　実施形態の秘密計算認証システムは、Ｎ個（複数個）の秘密計算装置Ｐ_１，…，Ｐ_Ｎと検証装置とを有する。検証装置はＮ個の秘密計算装置Ｐ_１，…，Ｐ_Ｎの外部の装置であってもよいし、何れかの秘密計算装置Ｐ_ｉの内部に含まれた装置であってもよい。秘密計算装置Ｐ_ｉのそれぞれは、認証情報ｗの秘密分散値である秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌを記憶部に格納する。ただし、ｉ＝１，…，Ｎであり、Ｎは２以上の整数である。「β_１∈β_２」はβ_１がβ_２に属することを表す。Ｆは有限体を表し、Ｌは１以上の整数を表す。有限体Ｆは、素体であってもよいし、拡大体であってもよい。例えばＬは２以上の整数である。［Ｆ］は有限体Ｆの元の秘密分散値を表し、［Ｆ］^ＬはＬ個の［Ｆ］からなる集合を表す。［α］_ｉは秘密計算装置Ｐ_ｉに割り当てられたαの秘密分散値を意味する。認証情報ｗは正規の利用者に対して事前登録されたものである。認証情報ｗに限定はなく、例えば、パスワード、生体認証情報、音声認証情報、パターン認証情報等どのようなものであってもよい。秘密計算装置Ｐ_ｉのそれぞれは、複数個の認証情報ｗにそれぞれ対応する秘匿化認証情報［ｗ］_ｉを格納してもよいし、単数の認証情報ｗに対応する秘匿化認証情報［ｗ］_ｉのみを格納してもよい。秘密分散値を得るための秘密分散方式に限定はなく、複製型秘密分散方式（例えば、参考文献１等参照）、シャミア秘密分散方式（例えば、参考文献２等参照）などの周知の（Ｋ，Ｎ）秘密分散方式（「K-out-of-Nしきい値秘密分散方式」ともいう）を用いればよい。ただし、Ｋは２以上の整数であり、Ｋ≦Ｎを満たす。例えばＫ＝２である。（Ｋ，Ｎ）秘密分散方式では、任意の相違なるＫ個の秘密分散値が与えられれば秘匿化されている秘密情報を復元できるが、任意のＫ－１個の秘密分散値が与えられても秘密情報の情報はまったく得られない。以下では（Ｋ，Ｎ）秘密分散方式であるシャミア秘密分散方式を「（Ｋ，Ｎ）シャミア秘密分散方式」と呼ぶ。
　参考文献１：五十嵐大，千田浩司，濱田浩気，高橋克巳，“軽量検証可能３パーティ秘匿関数計算の効率化及びこれを用いたセキュアなデータベース処理，”ＩｎＳＣＩＳ２０１１，２０１１．
　参考文献２：A. Shamir, "How to Share a Secret", Communications of the ACM, November 1979, Volume 22, Number 11, pp.612-613.

　各秘密計算装置Ｐ_ｉの入力部には、認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ∈［Ｆ］^Ｌが入力される。各秘密計算装置Ｐ_ｉの演算部は、秘匿化認証情報［ｗ］_ｉおよび秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得て出力する。［ｗ－ω］_ｉはｗ－ωの秘密分散値を表す。秘密計算方法に限定はなく、例えば非特許文献１や参考文献３に記載された周知の秘密計算方法を用いればよい。以下の秘密計算についても同様である。
　参考文献３：千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, “軽量検証可能３パーティ秘匿関数計算の再考”, In CSS, 2010.

　各秘密計算装置Ｐ_ｉの乱数生成部は、拡大体乱数ｒ_ｍ∈Ｆ^εの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得て出力する。ただし、εが２以上の整数であり、Ｆ^εが有限体Ｆの拡大体であり、拡大体Ｆ^εの拡大次数がεである。ｃｅｉｌは天井関数であり、ｃｅｉｌ（ｘ）は実数ｘ以上の最小の整数を表す。ｍ＝０，…，Ｍ－１であり、Ｍ＝ｃｅｉｌ（Ｌ／ε）を満たす。Ｍは１以上の整数である。例えば、Ｍは２以上の整数である。秘匿化拡大体乱数［ｒ_ｍ］_ｉの生成は、いずれの秘密計算装置Ｐ_ｉからも拡大体乱数ｒ_ｍが秘匿された状態で行われなければならない。このような方法はよく知られており、どのような方法が用いられてもよい。例えば、秘密計算装置Ｐ_１，…，Ｐ_Ｎが協調して秘匿化拡大体乱数［ｒ_ｍ］_ｉを生成できる。一例を挙げると、各秘密計算装置Ｐ_ｉ’がそれぞれ拡大体乱数ｒ_ｍ，ｉ’の秘密分散値［ｒ_ｍ，ｉ’］_ｉ∈［Ｆ^ε］を計算して秘密計算装置Ｐ_ｉに送り（ただし、ｉ＝１，…，Ｎ、ｉ’＝１，…，Ｎかつｉ’≠ｉ）、各秘密計算装置Ｐ_ｉが秘密分散値［ｒ_ｍ，１］_ｉ，…，［ｒ_ｍ，Ｎ］_ｉを用いた秘密計算によって［ｒ_ｍ］_ｉ＝［ｒ_ｍ，１＋…＋ｒ_ｍ，Ｎ］_ｉを得る。

　各秘密計算装置Ｐ_ｉの演算部は、第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得て出力する。ただし、ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｊ＝０，…、Ｌ－１であり、ｍ＝０，…，Ｍ－１についてｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０である。ｑ＞Ｌ－１となるｚ_ｑはｚ_ｑ＝０とされてもよいし（すなわち、０がｚ_ｑにパディングされてもよいし）、ｑ＞Ｌ－１となるｚ_ｑが０であることを表す情報が付加されてもよい。各秘密計算装置Ｐ_ｉの演算部は、第１秘匿化検証値［ｚ］_ｉを表す列を分割して各第２秘匿化検証値［ｙ_ｍ］_ｉを得てもよい。例えば、ｑ＞Ｌ－１となるｚ_ｑが存在しないのであれば、各秘密計算装置Ｐ_ｉの演算部が第１秘匿化検証値［ｚ］_ｉ＝［ｙ_０］_ｉ｜…｜［ｙ_Ｍ－１］_ｉをＭ個に分割して［ｙ_０］_ｉ，…，［ｙ_Ｍ－１］_ｉを得てもよい。ただし、α_１｜α_２はα_１とα_２との連結を表す。ｑ＞Ｌ－１となるｚ_ｑが存在するのであれば、各秘密計算装置Ｐ_ｉの演算部は、第１秘匿化検証値［ｚ］_ｉ＝［ｙ_０］_ｉ｜…｜［ｙ_Ｍ－２］_ｉ｜［ｙ’_Ｍ－１］_ｉを［ｙ_０］_ｉ，…，［ｙ_Ｍ－２］_ｉ，［ｙ’_Ｍ－１］_ｉに分割するとともに、ｑ＞Ｌ－１についてのｚ_ｑ＝０の秘密分散値［０，…，０］_ｉまたはｑ＞Ｌ－１となるｚ_ｑが０であることを表す情報の秘密分散値［０，…，０］_ｉを得、［ｙ_Ｍ－１］_ｉ＝［ｙ’_Ｍ－１］_ｉ｜［０，…，０］_ｉとしてもよい。

　第２秘匿化検証値［ｙ_ｍ］_ｉはε次拡大体Ｆ^ε上の（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値として扱うことができる。Ｋ＝２の場合について説明する。ｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）をε次拡大体の元をベクトル表現したものとみなす。すなわち、ｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）∈Ｆ^εとして扱う。ε次拡大体Ｆ^ε上の（２，Ｎ）シャミア秘密分散方式に則ってｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）∈Ｆ^εを秘密分散して得られる秘密分散値［ｙ_ｍ］_ｉは、以下のようになる。
［ｙ_ｍ］_ｉ＝ｙ_ｍ＋_ｙｓ_ｍ・Ｉ
　　　　＝（ｚ_εｍ＋_ｙｓ_ｍ，０・ｉ，…，ｚ_{ε（ｍ＋１）－１}＋_ｙｓ_{ｍ，ε－１}・ｉ）　　（１）
なぜなら、ε次拡大体Ｆ^ε上の（２，Ｎ）シャミア秘密分散方式に則って秘密分散値を求めるための多項式をｇ（χ）＝ｙ_０＋_ｙｓ_ｍ・χ∈Ｆ^εとみなせるからである。ただし、_ｙｓ_ｍ，０，…，_ｙｓ_{ｍ，ε－１}は拡大体上乱数_ｙｓ_ｍ∈Ｆ^εのベクトル表現_ｙｓ_ｍ＝（_ｙｓ_ｍ，０，…，_ｙｓ_{ｍ，ε－１}）∈Ｆ^εの各要素であり、ｉに対応する座標軸Ｉ∈Ｆ^εのベクトル表現がＩ＝（ｉ，０，…，０）∈Ｆ^εである。座標軸χ＝（η，０，…，０）∈Ｆ^εであり、ηは整数変数である。χ＝Ｉ＝（ｉ，０，…，０）としたｇ（Ｉ）が［ｙ_ｍ］_ｉであり、χ＝０＝（０，０，…，０）としたｇ（０）がｙ_ｍである。式（１）に示すように、この秘密分散値［ｙ_ｍ］_ｉはε次拡大体Ｆ^εの元となっている。なお、ｙ_ｍ∈Ｆ^ε，_ｙｓ_ｍ∈Ｆ^ε，Ｉ∈Ｆ^εを多項式表現すると以下のようになる。
ｙ_ｍ＝ｚ_εｍ＋ｚ_εｍ＋１・Ｘ＋…＋ｚ_{ε（ｍ＋１）－１}・Ｘ^ε－１
_ｙｓ_ｍ＝ｓ_ｍ，０＋ｓ_ｍ，１・Ｘ＋…＋_ｙｓ_{ｍ，ε－１}・Ｘ^ε－１
Ｉ＝ｉ＋０・Ｘ＋…＋_０・Ｘ^ε－１
従って、ｙ_ｍ＋_ｙｓ_ｍ・Ｉ∈Ｆ^εを多項式表現すると以下のようになる。
＝ｙ_ｍ＋_ｙｓ_ｍ・Ｉ
＝ｚ_εｍ＋ｚ_εｍ＋１・Ｘ＋…＋ｚ_{ε（ｍ＋１）－１}・Ｘ^ε－１＋（ｓ_ｍ，０＋ｓ_ｍ，１・Ｘ＋…＋_ｙｓ_{ｍ，ε－１}・Ｘ^ε－１）（ｉ＋０・Ｘ＋…＋_０・Ｘ^ε－１）
＝ｚ_εｍ＋ｚ_εｍ＋１・Ｘ＋…＋ｚ_{ε（ｍ＋１）－１}・Ｘ^ε－１＋ｓ_ｍ，０・Ｉ＋ｓ_ｍ，１・Ｉ・Ｘ＋…＋_ｙｓ_{ｍ，ε－１}・Ｉ・Ｘ^ε－１
＝ｚ_εｍ＋ｓ_ｍ，０・Ｉ＋（ｚ_εｍ＋１＋ｓ_ｍ，１・Ｉ）・Ｘ＋…＋（ｚ_{ε（ｍ＋１）－１}＋_ｙｓ_{ｍ，ε－１}・Ｉ）・Ｘ^ε－１　　（２）
ただし、Ｘは有限体Ｆ上の既約多項式ρ（Ｘ）についてρ（Ｘ）＝０を満たす。式（２）の各係数を要素とするベクトルは（ｚ_εｍ＋_ｙｓ_ｍ，０・ｉ，…，ｚ_{ε（ｍ＋１）－１}＋_ｙｓ_{ｍ，ε－１}・ｉ）となる。このことから、ｙ_ｍ＋_ｙｓ_ｍ・Ｉ∈Ｆ^εをベクトル表現すると式（１）のようになることが分かる。

　Ｌ＝２、ε＝２、Ｋ＝２、Ｎ＝３、有限体Ｆが位数５の素体ＧＦ（５）であるの場合の簡単な例を示す。ｚ_０＝０、ｚ_１＝０を素体ＧＦ（５）上で（２，３）シャミア秘密分散方式によって秘密分散した場合、秘密計算装置Ｐ_ｉに対応するｚ_０、ｚ_１秘密分散値の一例は、それぞれ、ｆ_０（ｉ）＝ｚ_０＋２ｉ　ｍｏｄ　５、ｆ_１（ｉ）＝ｚ_１＋ｉ　ｍｏｄ　５である。このときＭ＝ｃｅｉｌ（２／２）＝１であり、第２秘匿化検証値［ｙ_０］_ｉ＝［（ｚ_０，ｚ_１）］_ｉは［ｙ_０］_ｉ＝［（ｚ_０＋２ｉ　ｍｏｄ　５，ｚ_１＋ｉ　ｍｏｄ　５）］_ｉとなる。すなわち、［ｙ_０］_１＝［（２，１）］_１、［ｙ_０］_２＝［（４，２）］_２、［ｙ_０］_３＝［（１，３）］_３となる。このとき、第２秘匿検証値［ｙ_０］_ｉは、ＧＦ（５）の２次拡大体Ｆ^ε＝ＧＦ（５^２）上でのシャミア秘密分散法に則った秘密分散値と扱っても構わない。これは、（２，Ｎ）シャミア秘密分散方式に則って秘密分散値を求めるための多項式をｇ（χ）＝ｙ_０＋_ｙｓ_ｍ・χ∈ＧＦ（５^２）とみなせるためである。ただし、秘密情報ｙ_０＝（ｚ_０，ｚ_１）であり、乱数_ｙｓ_ｍ＝（２，１）であり、座標軸χ＝（η，０）とする。ηは整数変数であり、χ＝Ｉ＝（ｉ，０）としたｇ（Ｉ）が［ｙ_０］_ｉであり、χ＝（０，０）＝０としたｇ（０）がｙ_０である。このように第２秘匿化検証値［ｙ_ｍ］_ｉはε次拡大体Ｆ^ε上の（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値として扱うことができる。

　各秘密計算装置Ｐ_ｉの演算部は、秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび第２秘匿化検証値［ｙ_ｍ］_ｉを用い、秘密計計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得て出力する。上述のように、秘匿化認証情報［ｗ］_ｉが（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値であり、秘匿化認証情報［ω］_ｉが（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値であり、第１秘匿化検証値［ｚ］_ｉを表す列の要素を結合して各第２秘匿化検証値［ｙ_ｍ］_ｉが得られ、秘匿化拡大体乱数［ｒ_ｍ］_ｉが（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値である場合、各秘密計算装置Ｐ_ｉの演算部は、第２秘匿化検証値［ｙ_ｍ］_ｉを（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値として第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得ることができる。各秘密計算装置Ｐ_ｉの演算部は、例えば、［ｒ_ｍｙ_ｍ］_ｉ＝［ｒ_ｍ］_ｉ［ｙ_ｍ］_ｉの計算（拡大体Ｆ^ε上での乗算）を行う。２個の（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値の乗算結果は（２Ｋ－１，Ｎ）シャミア秘密分散方式に則った秘密分散値となる。そのため、このように得られた第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉは（２Ｋ－１，Ｎ）シャミア秘密分散方式に則った秘密分散値となる。例えば、Ｋ＝２の場合、第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉは（３，Ｎ）シャミア秘密分散方式に則った秘密分散値となっている。すなわち、式（１）と同様、ε次拡大体Ｆ^ε上の（２，Ｎ）シャミア秘密分散方式に則ってｒ_ｍ∈Ｆ^εを秘密分散して得られる秘密分散値［ｒ_ｍ］_ｉは、以下のようになる。
［ｒ_ｍ］_ｉ＝ｒ_ｍ＋_ｒｓ_ｍ・Ｉ　　（３）
ただし、_ｒｓ_ｍ∈Ｆ^εは拡大体乱数ある。式（２）および式（３）から、以下を満たすことが分かる。
［ｒ_ｍｙ_ｍ］_ｉ＝［ｒ_ｍ］_ｉ［ｙ_ｍ］_ｉ
＝（ｙ_ｍ＋_ｙｓ_ｍ・Ｉ）（ｒ_ｍ＋_ｒｓ_ｍ・Ｉ）
＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ＋_ｒｓ・ｙ_ｍ）・Ｉ＋_ｒｓ・_ｙｓ・Ｉ^２∈Ｆ^ε　　（４）
これにより、［ｒ_ｍｙ_ｍ］_ｉが（３，Ｎ）シャミア秘密分散方式に則ったｒ_ｍｙ_ｍの秘密分散値となっていることが分かる。なぜなら、ε次拡大体Ｆ^ε上の（３，Ｎ）シャミア秘密分散方式に則って秘密分散値を求めるための多項式をｇ’（χ）＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ＋_ｒｓ・ｙ_ｍ）・χ＋_ｒｓ・_ｙｓ・χ^２∈Ｆ^εとみなせ、χ＝Ｉ＝（ｉ，０，…，０）としたｇ’（Ｉ）が［ｒ_ｍｙ_ｍ］_ｉとなり、χ＝０＝（０，０，…，０）としたｇ’（０）がｒ_ｍ・ｙ_ｍとなるからである。

　ここで、第３秘匿化検証値［ｒ_０ｙ_０］_ｉ，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉが認証結果の秘匿値として出力されてもよい（方式１）。しかし、各秘密計算装置Ｐ_ｉがさらに以下の処理を行うことでさらに安全性を向上させることができる（方式２）。方式２の場合、さらに各秘密計算装置Ｐ_ｉの乱数生成部が、ε次拡大体Ｆ^ε上の（２，Ｎ）シャミア秘密分散方式に則って、第２拡大体乱数Ｒ_ｍ∈Ｆ^εの秘密分散値である第２秘匿化拡大体乱数［Ｒ_ｍ］_ｉ＝Ｒ_ｍ＋_Ｒｓ_ｍ・Ｉ∈Ｆ^εを得て出力する。前述した秘匿化拡大体乱数［ｒ_ｍ］_ｉの生成と同様、第２秘匿化拡大体乱数［Ｒ_ｍ］_ｉの生成は、いずれの秘密計算装置Ｐ_ｉからも第２拡大体乱数Ｒ_ｍが秘匿された状態で行われなければならない。このような方法はよく知られており、どのような方法が用いられてもよい。次に、各秘密計算装置Ｐ_ｉの演算部が、第２秘匿化拡大体乱数［Ｒ_ｍ］_ｉとＩとを用い、拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉ＝Ｒ_ｍ・Ｉ＋_Ｒｓ_ｍ・Ｉ^２∈Ｆ^εを得て出力する。さらに、各秘密計算装置Ｐ_ｉの演算部が、第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉと拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉとを用い、第４秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ＋Ｒ_ｍ）・Ｉ＋（_ｒｓ_ｍ・_ｙｓ_ｍ＋_Ｒｓ_ｍ）・Ｉ^２∈Ｆ^εを得て出力する。ここで［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉは、ε次拡大体Ｆ^ε上の（３，Ｎ）シャミア秘密分散方式に則ったｒ_ｍ・ｙ_ｍの秘密分散値となっている。なぜなら、ε次拡大体Ｆ^ε上の（３，Ｎ）シャミア秘密分散方式に則って秘密分散値を求めるための多項式をｇ”（χ）＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ＋Ｒ_ｍ）・χ＋（_ｒｓ_ｍ・_ｙｓ_ｍ＋_Ｒｓ_ｍ）・χ^２∈Ｆ^εとみなせ、χ＝Ｉ＝（ｉ，０，…，０）としたｇ’（Ｉ）が［ｒ_ｍｙ_ｍ］_ｉとなり、χ＝０＝（０，０，…，０）としたｇ’（０）がｒ_ｍ・ｙ_ｍとなるからである。

　検証装置は、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功と判定する。一方、検証装置は、何れかのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たさない場合に認証失敗と判定する。以下に、方式１，２に対する検証装置の処理を示す。

　方式１の場合、第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉが（κ，Ｎ）シャミア秘密分散方式に則った秘密分散値である場合、互いに相違する少なくともκ個の第３秘匿化検証値［ｒ_ｍｙ_ｍ］_φ（１），…，［ｒ_ｍｙ_ｍ］_φ（κ）が検証装置の復元部に入力され、検証装置の復元部は、第３秘匿化検証値［ｒ_ｍｙ_ｍ］_φ（１），…，［ｒ_ｍｙ_ｍ］_φ（κ）を用いて検証値ｒ_ｍｙ_ｍを復元して出力する。ただし、κは１以上Ｎ以下の正整数であり、｛φ（１），…，φ（κ）｝⊆｛１，…，Ｎ｝である。例えば、第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉが（２Ｋ－１，Ｎ）シャミア秘密分散方式に則った秘密分散値である場合、検証装置の復元部は、少なくとも２Ｋ－１個の秘密計算装置から出力された第３秘匿化検証値［ｒ_ｍｙ_ｍ］_φ（１），…，［ｒ_ｍｙ_ｍ］_{φ（２Ｋ－１）}を用いて検証値ｒ_ｍｙ_ｍを復元して出力する。検証装置の判定部は、何れかの認証情報ｗに対し、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功とする。一方、すべての認証情報ｗに対し、何れかのｍについてｒ_ｍｙ_ｍ＝０を満たさない場合に認証失敗とする。あるいは、方式１において検証装置が［ｒ_０ｙ_０］_ｉ，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉの少なくとも一部を用いた秘密計算および復元を含む演算を行い、それによって得られた復元値を用い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすか否かを判定してもよい。例えば、検証装置が［ｒ_０ｙ_０］_μ，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_μを用いた秘密計算によって秘密分散値［ｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１］_μを得、これらから復元されるｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１が０である場合にすべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定し、ｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１が０でない場合にｍ＝０，…，Ｍ－１の何れかについてｒ_ｍｙ_ｍ＝０を満たさないと判定してもよい。ただし、μ＝φ（１），…，φ（κ）である。

　方式２の場合、検証装置は、前述の第４秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉのうち、［ｒ_ｍｙ_ｍ］_φ（１）＋［Ｒ_ｍ］_φ（１）・Ｉ、［ｒ_ｍｙ_ｍ］_φ（２）＋［Ｒ_ｍ］_φ（２）・Ｉ、［ｒ_ｍｙ_ｍ］_φ（３）＋［Ｒ_ｍ］_φ（３）・Ｉを用い、ε次拡大体Ｆ^ε上の（３，Ｎ）シャミア秘密分散方式に則って、［ｒ_ｍｙ_ｍ］_φ（１）＋［Ｒ_ｍ］_φ（１）・Ｉと［ｒ_ｍｙ_ｍ］_φ（２）＋［Ｒ_ｍ］_φ（２）・Ｉと［ｒ_ｍｙ_ｍ］_φ（３）＋［Ｒ_ｍ］_φ（３）・Ｉとに対する演算を行い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功と判定する。例えば、検証装置の復元部に［ｒ_ｍｙ_ｍ］_φ（１）＋［Ｒ_ｍ］_φ（１）・Ｉと［ｒ_ｍｙ_ｍ］_φ（２）＋［Ｒ_ｍ］_φ（２）・Ｉと［ｒ_ｍｙ_ｍ］_φ（３）＋［Ｒ_ｍ］_φ（３）・Ｉが入力され、検証装置の復元部はこれらを用いて検証値ｒ_ｍｙ_ｍを復元して出力する。検証装置の判定部は、何れかの認証情報ｗに対し、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功とする。一方、すべての認証情報ｗに対し、何れかのｍについてｒ_ｍｙ_ｍ＝０を満たさない場合に認証失敗とする。あるいは、方式２において検証装置が［ｒ_０ｙ_０］_ｉ”＋［Ｒ_０］_ｉ”・Ｉ”，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”＋［Ｒ_Ｍ－１］_ｉ”・Ｉ”の少なくとも一部を用いた秘密計算および復元を含む演算を行い、それによって得られた復元値を用い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすか否かを判定してもよい。ただし、ｉ^”＝φ（１），φ（２），φ（３）であり、Ｉ”＝（ｉ^”，０，…，０）∈Ｆ^εである。例えば、検証装置が［ｒ_０ｙ_０］_ｉ”＋［Ｒ_０］_ｉ”・Ｉ”，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”＋［Ｒ_Ｍ－１］_ｉ”・Ｉ”を用いた秘密計算によって秘密分散値［ｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”を得、秘密分散値［ｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”を復元して得られるｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１が０である場合にすべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定し、ｒ_０ｙ_０＋…＋ｒ_Ｍ－１ｙ_Ｍ－１が０でない場合にｍ＝０，…，Ｍ－１の何れかについてｒ_ｍｙ_ｍ＝０を満たさないと判定してもよい。

　以上の手法では、秘匿化拡大体乱数［ｒ_ｍ］_ｉを用いることで、ｗ－ω≠０であるにもかかわらずｒ_ｍｙ_ｍ＝０が復元されるような不正な秘匿化検証値が生成され、認証成功と判定されることを防止できる。また、ｗ－ω＝０である場合には拡大体乱数ｒ_ｍの値にかかわらずｒ_ｍｙ_ｍ＝０となるため、ｗ－ω＝０であるにもかかわらず認証失敗と判定されることはない。また各処理が秘密計算によって行われるため、認証情報を秘密に保ったまま認証処理を行うことができる。このように、認証情報を秘密に保ったまま、なりすましに対する安全性が高い認証処理を行うことができる。

　［第１実施形態］
　次に図面を用いて本発明の第１実施形態を説明する。第１実施形態は方式１の一例である。
　＜構成＞
　図１に例示するように、本実施形態の秘密計算認証システム１は、利用者装置１１、複数個の秘密計算装置１２－１，…，１２－Ｎ、および検証装置１３を有し、これらはネットワークを通じて通信可能に構成されている。本実施形態のＮは２以上の整数である。なお、説明の簡略化のため、図１の秘密計算認証システム１は利用者装置１１および検証装置１３をそれぞれ１個含むが、秘密計算認証システム１が２個以上の利用者装置１１および／または検証装置１３を含んでいてもよい。

　図２に例示するように、本実施形態の秘密計算装置１２－ｉは、入力部１２１－ｉ、出力部１２２－ｉ、制御部１２４－ｉ、演算部１２５－ｉ，１２６－ｉ，１２７－ｉ、乱数生成部１２８－ｉ、判定部１２９－ｉ、および記憶部１２３－ｉを有する。秘密計算装置１２－ｉは、制御部１２４－ｉの制御下で各処理を実行し、各部が得たデータは記憶部１２３－ｉに格納され、必要に応じて読み出されて他の処理に用いられる。図３Ａに例示するように、本実施形態の利用者装置１１は、入力部１１１、出力部１１２、制御部１１４、秘匿化部１１５、および表示部１１６を有する。利用者装置１１は、制御部１１４の制御下で各処理を実行し、各部が得たデータは記憶部（図示せず）に格納され、必要に応じて読み出されて他の処理に用いられる。図３Ｂに例示するように、本実施形態の検証装置１３は、入力部１３１、出力部１３２、制御部１３４、復元部１３６、および判定部１３７を有する。検証装置１３は、制御部１３４の制御下で各処理を実行し、各部が得たデータは記憶部（図示せず）に格納され、必要に応じて読み出されて他の処理に用いられる。

　＜事前処理＞
　各秘密計算装置１２－ｉ（ただし、ｉ＝１，…，Ｎ）の記憶部１２３－ｉには、事前登録された単数または複数の秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌが格納される。認証情報ｗ自体は各秘密計算装置１２－ｉに公開されない。なお、秘密計算認証システム１で使用される秘密分散方式は予め定められており、利用者装置１１、複数個の秘密計算装置１２－１，…，１２－Ｎ、および検証装置１３は、この秘密分散方式に則った秘密分散値に対する秘密計算を行う。

　＜秘密計算認証処理＞
　図４に例示するように、まず利用者が利用者装置１１（図３Ａ）の入力部１１１に認証情報ωを入力する（ステップＳ１１１１）。認証情報ωは秘匿化部１１５に送られ、秘匿化部１１５は当該認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ（ただし、ｉ＝１，…，Ｎ）を得て出力する（ステップＳ１１５）。秘匿化認証情報［ω］_ｉは出力部１１２に送られ、出力部１１２は各秘匿化認証情報［ω］_ｉを各秘密計算装置１２－ｉに対して出力する（ステップＳ１１２１）。

　図５に例示するように、各秘匿化認証情報［ω］_ｉはネットワーク経由で各秘密計算装置１２－ｉ（図２）に送信され、入力部１２１－ｉに入力される（ステップＳ１２１－ｉ）。秘匿化認証情報［ω］_ｉは判定部１２９－ｉに入力される。秘匿化認証情報［ω］_ｉは記憶部１２３－ｉから何れかの秘匿化認証情報［ｗ］_ｉ（例えば、ステップＳ１２９１－ｉ以降の処理が行われていない何れかの秘匿化認証情報［ｗ］_ｉ）を読み出し（ステップＳ１２３－ｉ）、秘匿化認証情報［ω］_ｉのサイズと秘匿化認証情報［ｗ］_ｉのサイズとが互いに同一であるかを判定する（ステップＳ１２９１－ｉ）。これらが互いに同一でないと判定された場合には「失敗」を表す情報を出力し（ステップＳ１２２１－ｉ）、ステップＳ１２９２－ｉの処理に進む。

　一方、秘匿化認証情報［ω］_ｉのサイズと秘匿化認証情報［ｗ］_ｉのサイズとが互いに同一であると判定された場合、演算部１２５－ｉ（第１演算部）はこれらの秘匿化認証情報［ω］_ｉおよび秘匿化認証情報［ｗ］_ｉを入力とし、秘密計算によって秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉ（第１秘匿化検証値）を得て出力する（ステップＳ１２５－ｉ、図７）。乱数生成部１２８－ｉは、拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］（ただし、ｍ＝０，…，Ｍ－１，Ｍ＝ｃｅｉｌ（Ｌ／ε））を得て出力する（ステップＳ１２８－ｉ、図７）。演算部１２６－ｉ（第２演算部）は、秘匿化検証値［ｚ］_ｉを入力とし、秘密計算によってｙ_ｍを秘匿化した秘匿化検証値［ｙ_ｍ］_ｉ（第２秘匿化検証値）を得て出力する。ただし、ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｊ＝０，…、Ｌ－１であり、ｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０である。すなわち、図７に例示するように、Ｍε－Ｌ＝０であればｚ_０，…，ｚ_Ｌ－１の列をＭ等分して得られる各列がｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）である。Ｍε－Ｌ≠０であれば、ｍ＝０，…，Ｍ－２についてはｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｍ＝Ｍ－１についてはｚ_{ε（Ｍ－１）}，…，ｚ_Ｌ－１とＭε－Ｌ個の０とからなる（ｚ_{ε（Ｍ－１）}，…，ｚ_Ｌ－１，０，…，０）がｙ_Ｍ－１である（ステップＳ１２６－ｉ）。演算部１２７－ｉ（第３演算部）は、秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび秘匿化検証値［ｙ_ｍ］_ｉを入力とし、秘密計計算によって秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ（第３秘匿化検証値）を得て出力し、ステップＳ１２９２－ｉの処理に進む（ステップＳ１２７－ｉ）。

　ステップＳ１２９２－ｉでは、記憶部１２３－ｉに格納されたすべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行されたかを判定する（ステップＳ１２９２－ｉ）。すべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行されていない場合、処理がステップＳ１２３－ｉに戻される。一方、すべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行された場合、ステップＳ１２２２－ｉの処理が実行される。

　ステップＳ１２２２－ｉでは、ステップＳ１２７－ｉで得られた秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉが出力部１２２－ｉに入力される。ステップＳ１２７－ｉで得られた秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉが存在しない場合には「失敗」を表す情報が出力部１２２－ｉに入力される。出力部１２２－ｉは秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉまたは「失敗」を表す情報を検証装置１３に対して出力する（ステップＳ１２２２－ｉ）。

　図６に例示するように、秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉまたは「失敗」を表す情報はネットワーク経由で検証装置１３に送信され、検証装置１３（図３Ｂ）の入力部１３１に入力される（ステップＳ１３１）。ここで「失敗」を表す情報が入力された場合、ステップＳ１３２２の処理が実行される。一方、秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを表す情報が入力された場合、ステップＳ１３６以降の処理が実行される。

　ステップＳ１３６では、復元部１３６は同一のｗに対応する秘匿化検証値［ｒ_ｍｙ_ｍ］_φ（１），…，［ｒ_ｍｙ_ｍ］_φ（Ｋ）を用いて検証値ｒ_ｍｙ_ｍを復元して出力する。ただし、｛φ（１），…，φ（Ｋ）｝⊆｛１，…，Ｎ｝である（ステップＳ１３６）。判定部１３７はｒ_０ｙ_０，…，ｒ_Ｍ－１ｙ_Ｍ－１を入力とし、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすかを判定する（ステップＳ１３７１）。すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定された場合、判定部１３７は「認証が成功したことを表す情報」を出力する（ステップＳ１３２１）。一方、何れかのｍについてｒ_ｍｙ_ｍ＝０を満たさないと判定された場合、次に判定部１３７はすべてのｗについてステップＳ１３７１の処理を行ったかを判定する（ステップＳ１３７２）。何れかのｗについてステップＳ１３７１の処理を行っていないと判定された場合、処理がステップＳ１２３－ｉに戻る。一方、すべてのｗについてステップＳ１３７１の処理を行ったと判定された場合、ステップＳ１３２２の処理が実行される。ステップＳ１３２２では、判定部１３７が「認証が失敗したことを表す情報」を出力する（ステップＳ１３２２）。

　ステップＳ１３２１から出力された「認証が成功したことを表す情報」またはステップＳ１３２２で出力された「認証が失敗したことを表す情報」である認証結果は出力部１３２に入力される。出力部１３２は検証結果を利用者装置１１に対して出力する。検証結果は利用者装置（図３Ａ）の入力部１１１に入力され（ステップＳ１１１２）、表示部１１６から表示される（ステップＳ１１６）。

　［第１実施形態の変形例］
　検証装置１３が［ｒ_０ｙ_０］_ｉ，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉの少なくとも一部を用いた秘密計算および復元を含む演算を行い、それによって得られた復元値を用い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすか否かを判定してもよい。前述した一例の他、例えば、検証装置１３が［ｒ_０ｙ_０］_μ，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_μを用いた秘密計算によって秘密分散値［ｒ_０ｙ_０＋ｒ_１ｙ_１］_μ，［ｒ_２ｙ_２＋ｒ_３ｙ_３］_μ，…，［ｒ_Ｍ－２ｙ_Ｍ－２＋ｒ_Ｍ－１ｙ_Ｍ－１］_μを得、これらから復元されるｒ_０ｙ_０＋ｒ_１ｙ_１，ｒ_２ｙ_２＋ｒ_３ｙ_３，…，ｒ_Ｍ－２ｙ_Ｍ－２＋ｒ_Ｍ－１ｙ_Ｍ－１がすべて０である場合にすべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定し、そうでない場合にｍ＝０，…，Ｍ－１の何れかについてｒ_ｍｙ_ｍ＝０を満たさないと判定してもよい。

　［第２実施形態］
　次に図面を用いて本発明の第２実施形態を説明する。第２実施形態は方式２の一例である。以下では第１実施形態との相違点を中心に説明し、第１実施形態と共通する事項については同じ参照番号を用いて説明を簡略化する。また、以下では逐一説明しないが、特に断りのない限り、本実施形態では、秘密分散方式として（２，Ｎ）シャミア秘密分散方式が用いられる。

　＜構成＞
　図１に例示するように、本実施形態の秘密計算認証システム２は、利用者装置１１、複数個の秘密計算装置２２－１，…，２２－Ｎ、および検証装置２３を有し、これらはネットワークを通じて通信可能に構成されている。本実施形態のＮは３以上の整数である。なお、説明の簡略化のため、図１の秘密計算認証システム２は利用者装置１１および検証装置１３をそれぞれ１個含むが、秘密計算認証システム２が２個以上の利用者装置１１および／または検証装置１３を含んでいてもよい。

　図２に例示するように、本実施形態の秘密計算装置２２－ｉは、入力部１２１－ｉ、出力部１２２－ｉ、制御部１２４－ｉ、演算部１２５－ｉ，１２６－ｉ，１２７－ｉ，２２３－ｉ，２２４－ｉ、乱数生成部１２８－ｉ，２２８－ｉ、判定部１２９－ｉ、および記憶部１２３－ｉを有する。秘密計算装置２２－ｉは、制御部１２４－ｉの制御下で各処理を実行し、各部が得たデータは記憶部１２３－ｉに格納され、必要に応じて読み出されて他の処理に用いられる。図３Ｂに例示するように、本実施形態の検証装置２３は、入力部１３１、出力部１３２、制御部１３４、復元部２３６、および判定部１３７を有する。検証装置２３は、制御部１３４の制御下で各処理を実行し、各部が得たデータは記憶部（図示せず）に格納され、必要に応じて読み出されて他の処理に用いられる。

　＜事前処理＞
　第１実施形態と同じである。

　＜秘密計算認証処理＞
　図４に例示するように、第１実施形態で説明したステップＳ１１１１，Ｓ１１５，Ｓ１１２１の処理が実行される。これによって利用者装置１１から出力された各秘匿化認証情報［ω］_ｉは各秘密計算装置２２－ｉ（図２）の入力部１２１－ｉに入力される（ステップＳ１２１－ｉ）。その後、第１実施形態で説明したステップＳ１２３－ｉ，Ｓ１２９１－ｉの処理が実行され、ステップＳ１２９１で秘匿化認証情報［ω］_ｉのサイズと秘匿化認証情報［ｗ］_ｉのサイズとが互いに同一でないと判定された場合には「失敗」を表す情報を出力し（ステップＳ１２２１－ｉ）、ステップＳ１２９２－ｉの処理に進む。一方、秘匿化認証情報［ω］_ｉのサイズと秘匿化認証情報［ｗ］_ｉのサイズとが互いに同一であると判定された場合には第１実施形態で説明したステップＳ１２５－ｉ，Ｓ１２８－ｉ，１２６－ｉ，Ｓ１２７－ｉの処理が実行される。本実施形態では、ｒ_ｍ∈Ｆ^εであり、_ｒｓ_ｍ∈Ｆ^εであり、_ｙｓ_ｍ∈Ｆ^εであり、Ｉ∈Ｆ^εであり、［ｒ_ｍ］_ｉ＝ｒ_ｍ＋_ｒｓ_ｍ・Ｉ∈Ｆ^εであり、［ｙ_ｍ］_ｉ＝ｙ_ｍ＋_ｙｓ_ｍ・Ｉ∈Ｆ^εであり、［ｒ_ｍｙ_ｍ］_ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ）・Ｉ＋_ｒｓ_ｍ・_ｙｓ_ｍ・Ｉ^２∈Ｆ^εである。

　その後、乱数生成部２２８－ｉ（第２乱数生成部）が、拡大体乱数（第２拡大体乱数）Ｒ_ｍ∈Ｆ^εの秘密分散値である秘匿化拡大体乱数（第２秘匿化拡大体乱数）［Ｒ_ｍ］_ｉ＝Ｒ_ｍ＋_Ｒｓ_ｍ・Ｉ∈Ｆ^εを得て出力する（ステップＳ２２８－ｉ）。次に、演算部２２３－ｉ（第４演算部）が、秘匿化拡大体乱数［Ｒ_ｍ］_ｉとＩとをε次拡大体Ｆ^ε上で乗算し、拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉ＝Ｒ_ｍ・Ｉ＋_Ｒｓ_ｍ・Ｉ^２∈Ｆ^εを得て出力する。ただし、_Ｒｓ_ｍ∈Ｆ^εである（ステップＳ２２３－ｉ）。さらに、演算部２２４－ｉ（第５演算部）が、秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉと拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉとを用い、秘匿化検証値（第４秘匿化検証値）［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ＋Ｒ_ｍ）・Ｉ＋（_ｒｓ_ｍ・_ｙｓ_ｍ＋_Ｒｓ_ｍ）・Ｉ^２∈Ｆ^εを得て出力する（ステップＳ２２４－ｉ）。

　ステップＳ１２９２－ｉでは、記憶部１２３－ｉに格納されたすべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行されたかを判定する（ステップＳ１２９２－ｉ）。すべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行されていない場合、処理がステップＳ１２３－ｉに戻される。一方、すべての秘匿化認証情報［ｗ］_ｉについてステップＳ１２３－ｉ以降の処理が実行された場合、ステップＳ２２２２－ｉの処理が実行される。

　ステップＳ１２２２－ｉでは、ステップＳ２２４－ｉで得られた秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉが出力部１２２－ｉに入力される。ステップＳ２２４－ｉで得られた秘匿化検証値が存在しない場合には「失敗」を表す情報が出力部１２２－ｉに入力される。出力部１２２－ｉは秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉまたは「失敗」を表す情報を検証装置１３に対して出力する（ステップＳ２２２２－ｉ）。

　図６に例示するように、秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉまたは「失敗」を表す情報はネットワーク経由で検証装置２３に送信され、検証装置２３（図３Ｂ）の入力部１３１に入力される（ステップＳ１３１）。ここで「失敗」を表す情報が入力された場合、ステップＳ１３２２の処理が実行される。一方、秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを表す情報が入力された場合、ステップＳ２３６以降の処理が実行される。

　ステップＳ２３６では、復元部２３６が（３，Ｎ）シャミア秘密分散方式に則って、［ｒ_ｍｙ_ｍ］_Ｋ（１）＋［Ｒ_ｍ］_Ｋ（１）・Ｉと［ｒ_ｍｙ_ｍ］_Ｋ（２）＋［Ｒ_ｍ］_Ｋ（２）・Ｉと［ｒ_ｍｙ_ｍ］_Ｋ（３）＋［Ｒ_ｍ］_Ｋ（３）・Ｉとを用いて検証値ｒ_ｍｙ_ｍを復元して出力する。ただし、｛Ｋ（１），Ｋ（２），Ｋ（３）｝⊆｛１，…，Ｎ｝である（ステップＳ２３６）。判定部１３７はｒ_０ｙ_０，…，ｒ_Ｍ－１ｙ_Ｍ－１を入力とし、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすかを判定する（ステップＳ１３７１）。すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定された場合、判定部１３７は「認証が成功したことを表す情報」を出力する（ステップＳ１３２１）。一方、何れかのｍについてｒ_ｍｙ_ｍ＝０を満たさないと判定された場合、次に判定部１３７はすべてのｗについてステップＳ１３７１の処理を行ったかを判定する（ステップＳ１３７２）。何れかのｗについてステップＳ１３７１の処理を行っていないと判定された場合、処理がステップＳ１２３－ｉに戻る。一方、すべてのｗについてステップＳ１３７１の処理を行ったと判定された場合、ステップＳ１３２２の処理が実行される。ステップＳ１３２２では、判定部１３７が「認証が失敗したことを表す情報」を出力する（ステップＳ１３２２）。それ以降の処理は第１実施形態と同じである。

　［第２実施形態の変形例］
　検証装置２３が［ｒ_０ｙ_０］_ｉ”＋［Ｒ_０］_ｉ”・Ｉ”，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”＋［Ｒ_Ｍ－１］_ｉ”・Ｉ”の少なくとも一部を用いた秘密計算および復元を含む演算を行い、それによって得られた復元値を用い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすか否かを判定してもよい。ただし、ｉ^”＝φ（１），φ（２），φ（３）であり、Ｉ”＝（ｉ^”，０，…，０）∈Ｆ^εである。前述した一例の他、例えば、検証装置２３が［ｒ_０ｙ_０］_ｉ”＋［Ｒ_０］_ｉ”・Ｉ”，…，［ｒ_Ｍ－１ｙ_Ｍ－１］_ｉ”＋［Ｒ_Ｍ－１］_ｉ”・Ｉ”を用いた秘密計算によって、ｒ_０ｙ_０＋ｒ_１ｙ_１，ｒ_２ｙ_２＋ｒ_３ｙ_３，…，ｒ_Ｍ－２ｙ_Ｍ－２＋ｒ_Ｍ－１ｙ_Ｍ－１それぞれの秘密分散値を生成し、これらから復元されるｒ_０ｙ_０＋ｒ_１ｙ_１，ｒ_２ｙ_２＋ｒ_３ｙ_３，…，ｒ_Ｍ－２ｙ_Ｍ－２＋ｒ_Ｍ－１ｙ_Ｍ－１がすべて０である場合にすべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たすと判定し、そうでない場合にｍ＝０，…，Ｍ－１の何れかについてｒ_ｍｙ_ｍ＝０を満たさないと判定してもよい。

　［変形例等］
　本発明は上述の実施形態に限定されるものではない。例えば、秘密計算装置１２－１～１２－Ｎの少なくとも一部（例えば、すべての秘密計算装置１２－１～１２－Ｎ）が利用者装置１１を含んでいてもよいし、検証装置１３を含んでいてもよい。また、各装置の各部で扱われる秘密分散値がすべて同じ秘密分散方式に則ったものであってもよいし、そうでなくてもよい。後者の場合、公知の秘密分散値の変換方法によって、特定の秘密分散方式に則った秘密分散値が他の秘密分散方式に則った秘密分散値に変換されてもよい。また、「αを用いてβを得る」とは、αを用いた計算によってβを算出することであってもよいし、αを用いた検索処理により、事前計算されていたβを抽出することであってもよい。

　上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

１，２　秘密計算認証システム
１１　利用者装置
１２－ｉ，２２－ｉ　秘密計算装置
１３，２３　検証装置

Claims (9)

1. 　Ｌが１以上の整数であり、εが２以上の整数であり、Ｆが有限体であり、Ｆ^εが前記有限体Ｆの拡大体であり、前記拡大体Ｆ^εの拡大次数がεであり、ｃｅｉｌ（ｘ）が実数ｘ以上の最小の整数であり、Ｍ＝ｃｅｉｌ（Ｌ／ε）であり、ｊ＝０，…、Ｌ－１であり、ｍ＝０，…，Ｍ－１であり、
   　認証情報ｗの秘密分散値である秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌを格納する記憶部と、
   　認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ∈［Ｆ］^Ｌの入力を受け付ける入力部と、
   　前記秘匿化認証情報［ｗ］_ｉおよび前記秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得る第１演算部と、
   　拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得る乱数生成部と、
   　ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｍ＝０，…，Ｍ－１についてｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０であり、前記第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得る第２演算部と、
   　前記秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび前記第２秘匿化検証値［ｙ_ｍ］_ｉを用い、秘密計計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得て出力する第３演算部と、
   を有する秘密計算装置。
2. 　請求項１の秘密計算装置であって、
   　Ｍが２以上の整数である、秘密計算装置。
3. 　請求項１または２の秘密計算装置であって、
   　ＫおよびＮが２以上の整数であり、Ｋ≦Ｎであり、
   　前記秘匿化拡大体乱数［ｒ_ｍ］_ｉは、（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値であり、
   　前記第２演算部は、前記第１秘匿化検証値［ｚ］_ｉを表す列の要素を結合して前記第２秘匿化検証値［ｙ_ｍ］_ｉを得、
   　前記第３演算部は、前記第２秘匿化検証値［ｙ_ｍ］_ｉを前記（Ｋ，Ｎ）シャミア秘密分散方式に則った秘密分散値として前記第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得、
   　前記第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉが（２Ｋ－１，Ｎ）シャミア秘密分散方式に則った秘密分散値となる、秘密計算装置。
4. 　請求項３の秘密計算装置であって、
   　Ｋ＝２である、秘密計算装置。
5. 　請求項４の秘密計算装置であって、
   　ｒ_ｍ∈Ｆ^εであり、_ｒｓ_ｍ∈Ｆ^εであり、_ｙｓ_ｍ∈Ｆ^εであり、_Ｒｓ_ｍ∈Ｆ^εであり、Ｉ∈Ｆ^εであり、［ｒ_ｍ］_ｉ＝ｒ_ｍ＋_ｒｓ_ｍ・Ｉ∈Ｆ^εであり、［ｙ_ｍ］_ｉ＝ｙ_ｍ＋_ｙｓ_ｍ・Ｉ∈Ｆ^εであり、［ｒ_ｍｙ_ｍ］_ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ）・Ｉ＋_ｒｓ_ｍ・_ｙｓ_ｍ・Ｉ^２∈Ｆ^εであり、
   　当該秘密計算装置は、
   　第２拡大体乱数Ｒ_ｍ∈Ｆ^εの秘密分散値である第２秘匿化拡大体乱数［Ｒ_ｍ］_ｉ＝Ｒ_ｍ＋_Ｒｓ_ｍ・Ｉ∈Ｆ^εを得る第２乱数生成部と、
   　拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉ＝Ｒ_ｍ・Ｉ＋_Ｒｓ_ｍ・Ｉ^２∈Ｆ^εを得る第４演算部と、
   　第４秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ＋Ｒ_ｍ）・Ｉ＋（_ｒｓ_ｍ・_ｙｓ_ｍ＋_Ｒｓ_ｍ）・Ｉ^２∈Ｆ^εを得て出力する第５演算部と、
   をさらに有する秘密計算装置。
6. 　複数の秘密計算装置と検証装置とを有し、
   　Ｌが１以上の整数であり、εが２以上の整数であり、Ｆが有限体であり、Ｆ^εが前記有限体Ｆの拡大体であり、前記拡大体Ｆ^εの拡大次数がεであり、ｃｅｉｌ（ｘ）が実数ｘ以上の最小の整数であり、Ｍ＝ｃｅｉｌ（Ｌ／ε）であり、ｊ＝０，…、Ｌ－１であり、ｍ＝０，…，Ｍ－１であり、
   　前記秘密計算装置のそれぞれは、
   　認証情報ｗの秘密分散値である秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌを格納する記憶部と、
   　認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ∈［Ｆ］^Ｌの入力を受け付ける第１入力部と、
   　前記秘匿化認証情報［ｗ］_ｉおよび前記秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得る第１演算部と、
   　拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得る乱数生成部と、
   　ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｍ＝０，…，Ｍ－１についてｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０であり、前記第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得る第２演算部と、
   　前記秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび前記第２秘匿化検証値［ｙ_ｍ］_ｉを用い、秘密計計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得て出力する第３演算部と、を含み、
   　前記検証装置は、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功と判定する、秘密計算認証システム。
7. 　請求項６の秘密計算認証システムであって、
   　Ｎ個の前記秘密計算装置を有し、
   　Ｎが３以上の整数であり、
   　前記秘匿化拡大体乱数［ｒ_ｍ］_ｉは、（２，Ｎ）シャミア秘密分散方式に則った秘密分散値であり、
   　前記第２演算部は、前記第１秘匿化検証値［ｚ］_ｉを表す列の要素を結合して前記第２秘匿化検証値［ｙ_ｍ］_ｉを得、
   　前記第３演算部は、前記第２秘匿化検証値［ｙ_ｍ］_ｉを前記（２，Ｎ）シャミア秘密分散方式に則った秘密分散値として前記第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得、
   　ｒ_ｍ∈Ｆ^εであり、_ｒｓ_ｍ∈Ｆ^εであり、_ｙｓ_ｍ∈Ｆ^εであり、_Ｒｓ_ｍ∈Ｆ^εであり、Ｉ∈Ｆ^εであり、［ｒ_ｍ］_ｉ＝ｒ_ｍ＋_ｒｓ_ｍ・Ｉ∈Ｆ^εであり、［ｙ_ｍ］_ｉ＝ｙ_ｍ＋_ｙｓ_ｍ・Ｉ∈Ｆ^εであり、［ｒ_ｍｙ_ｍ］_ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ）・Ｉ＋_ｒｓ_ｍ・_ｙｓ_ｍ・Ｉ^２∈Ｆ^εであり、ｉ＝１，…，Ｎであり、
   　前記秘密計算装置のそれぞれは、
   　第２拡大体乱数Ｒ_ｍ∈Ｆ^εの秘密分散値である第２秘匿化拡大体乱数［Ｒ_ｍ］_ｉ＝Ｒ_ｍ＋_Ｒｓ_ｍ・Ｉ∈Ｆ^εを得る第２乱数生成部と、
   　拡大体乗算値［Ｒ_ｍ］_ｉ・Ｉ＝Ｒ_ｍ・Ｉ＋_Ｒｓ_ｍ・Ｉ^２∈Ｆ^εを得る第４演算部と、
   　第４秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉ＋［Ｒ_ｍ］_ｉ・Ｉ＝ｒ_ｍ・ｙ_ｍ＋（ｒ_ｍ・_ｙｓ_ｍ＋_ｒｓ_ｍ・ｙ_ｍ＋Ｒ_ｍ）・Ｉ＋（_ｒｓ_ｍ・_ｙｓ_ｍ＋_Ｒｓ_ｍ）・Ｉ^２∈Ｆ^εを得て出力する第５演算部と、をさらに含む、
   　前記検証装置は、（３，Ｎ）シャミア秘密分散方式に則って、｛φ（１），φ（２），φ（３）｝⊆｛１，…，Ｎ｝について、［ｒ_ｍｙ_ｍ］_φ（１）＋［Ｒ_ｍ］_φ（１）・Ｉと［ｒ_ｍｙ_ｍ］_φ（２）＋［Ｒ_ｍ］_φ（２）・Ｉと［ｒ_ｍｙ_ｍ］_φ（３）＋［Ｒ_ｍ］_φ（３）・Ｉとに対する演算を行い、すべてのｍ＝０，…，Ｍ－１についてｒ_ｍｙ_ｍ＝０を満たす場合に認証成功と判定する、秘密計算認証システム。
8. 　秘密計算装置の秘密計算方法であって、
   　Ｌが１以上の整数であり、εが２以上の整数であり、Ｆが有限体であり、Ｆ^εが前記有限体Ｆの拡大体であり、前記拡大体Ｆ^εの拡大次数がεであり、ｃｅｉｌ（ｘ）が実数ｘ以上の最小の整数であり、Ｍ＝ｃｅｉｌ（Ｌ／ε）であり、ｊ＝０，…、Ｌ－１であり、ｍ＝０，…，Ｍ－１であり、
   　入力部が、認証情報ωの秘密分散値である秘匿化認証情報［ω］_ｉ∈［Ｆ］^Ｌの入力を受け付ける入力ステップと、
   　第１演算部が、認証情報ｗの秘密分散値である秘匿化認証情報［ｗ］_ｉ∈［Ｆ］^Ｌおよび前記秘匿化認証情報［ω］_ｉを用い、秘密計算によって第１秘匿化検証値［ｚ］_ｉ＝［ｗ－ω］_ｉを得る第１演算ステップと、
   　乱数生成部が、拡大体乱数ｒ_ｍの秘密分散値である秘匿化拡大体乱数［ｒ_ｍ］_ｉ∈［Ｆ^ε］を得る乱数生成ステップと、
   　ｚ＝（ｚ_０，…，ｚ_Ｌ－１）＝ｗ－ωであり、ｚ_ｊ∈Ｆであり、ｍ＝０，…，Ｍ－１についてｙ_ｍ＝（ｚ_εｍ，…，ｚ_{ε（ｍ＋１）－１}）であり、ｑ＝ε（Ｍ－１），…，εＭ－１のうちｑ＞Ｌ－１となるｚ_ｑが０であり、第２演算部が、前記第１秘匿化検証値［ｚ］_ｉを用い、秘密計算によってｙ_ｍを秘匿化した第２秘匿化検証値［ｙ_ｍ］_ｉを得る第２演算ステップと、
   　第３演算部が、前記秘匿化拡大体乱数［ｒ_ｍ］_ｉおよび前記第２秘匿化検証値［ｙ_ｍ］を用い、秘密計計算によって第３秘匿化検証値［ｒ_ｍｙ_ｍ］_ｉを得る第３演算ステップと、
   を有する秘密計算方法。
9. 　請求項１から５の何れかの秘密計算装置としてコンピュータを機能させるためのプログラム。

Images