WO2019180787A1 - 復号装置、復号方法及びプログラム記録媒体 - Google Patents

Abstract

本発明はトラップドア関数により暗号化されたメッセージの復号処理を効率化、高速化する。トラップドア付き一方向関数により暗号化されたメッセージを復号する復号装置であって、前記メッセージのベクトルの各要素と、2のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは2以上の所定の整数）毎に推測する推測部と、前記推測部で推測されたLビットの誤りの有無の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認部を備える。

Description

復号装置、復号方法及びプログラム記録媒体

　本発明は、復号装置、復号方法及びプログラム記録媒体に関する。

　トラップドア（trap door:落とし戸）付き関数は、鍵生成処理、関数計算処理、及び、逆関数計算処理から成る手続きであり、特に公開鍵暗号や署名において使用される。格子暗号や署名は、計算の簡潔性に基づく効率性と、基本演算の線形性から生じる準同型と、量子計算機による攻撃が発見されていない安全性を有する暗号として、鋭意研究が進められている。例えば非特許文献１には、トラップドア付き一方向性関数（lattice based trap-door one-way function）において、格子次元の減少、ガジェット（gadget）ベクトルの導入により、効率的で、汎用性の高いアルゴリズムが記載されている。非特許文献１ではＧ－トラップドアの新しい概念を導入し、ＬＷＥ(Learning with Errors)の逆関数計算の新アルゴリズムが開示されている。

　以下では、非特許文献１におけるトラップドア関数の逆関数計算処理（inversion algorithm）について説明する。なお、以下では、演算はqを2のべき乗の整数q=2^K（Ｋは自然数）としてモジュロｑの整数環：

  
において行うものとする。

　非特許文献１では、鍵生成処理を以下のように構成する。トラップドア一方向性関数の鍵生成処理は、N（正整数）をセキュリティパラメータとし、パラメータ

 
を入力として受け付ける。

　ただし、

, 

, 

,

 

　　
　なお、O、ωはLandau記法である。

　非特許文献１では、N=284～2＾8, q=2^24, α・q～2-^16(＾は冪乗演算子)としている。

　非特許文献１において、公開行列（public matrix）G（N×N・Kの原始行列（primitive　matrix）は次式(1)で与えられる。

　　　　　　　　　　　　　　　　　　　　　　(1)

　ここで、ベクトルgは、2のべき乗を要素とするK次元ベクトルである。

　　　　　　　　　　　　　　　　　　　　　　(2)

　行列Gは固定値であり、且つ、パブリックである。原始行列は、既約、周期＝１、非負行列（irreducible aperiodic non-negative matrices）である。行列Ｇはガジェット（gadget）行列とも称され、ベクトルgはガジェット（gadget）ベクトルとも称される。

＜鍵生成処理（GenTrap）＞
　鍵生成処理は、公開鍵(public key)となる行列と、トラップドア（秘密鍵）となる行列を出力する。

　上記行列Gを用いて

　
のセミランダム（semi-random）行列A'を、次式(3)にしたがって生成する。

 
　　　　　　　　　　　　　　　　　　　　　　(3)

　ただし、行列

は、

から一様にサンプルしたものとする。

　ここで記号|は連結（concatenation）を表す。例えば、

,

とすると、行列A1とB1の連結（concatenation）は以下で表される。

　式(3)の行列A'に以下の行列Tを演算する。

　　　　　　　　　　　　　　　　　　　　　　(4)

　行列Tの逆行列は、

　行列R：

　
は、各列ベクトルを、中心が０分散値σである

　
上の離散ガウス分布から生成した

　
の行列とする。すなわち、以下のようにも表記される。

　　　　　　　　　　　　　　　　　　　　　　(5)

　ここで、中心が０、分散値がσの

 
上の離散ガウス分布は、実数

　
により定まる関数：

　
　　　　　　　　　　　　　　　　　　　　　　(6)
を用いて、整数値

　
を確率：

　　
　　　　　　　　　　　　　　　　　　　　　　(7)
で出力した分布をいう。この離散ガウス分布は　

 
とも表記される。

　公開鍵Aは、次式(8)にしたがって生成される。

 
　　　　　　　　　　　　　　　　　　　　　　(8)

Aは

　
の行列である。

 

　行列Aは、格子暗号方式で要求される一様にランダム分布特性を有する。

　また、秘密鍵(secret key)（秘密行列）は上式(5)の行列Rである。

　行列Gに関して以下が成り立つ。

　　　　　　　　　　　　　　　　　　　　　　(9)

＜関数計算処理＞
　関数計算処理は、入力として、前述のように生成した公開鍵Aと、パラメータparamと、メッセージに相当するベクトル：

　
　　　　　　　　　　　　　　　　　　　　　(10)
を受け付ける。

　ベクトルsはN次元横ベクトルである。

  
　　　　　　　　　　　　　　　　　　　　　(11)

　また、関数計算処理は、離散ガウス分布から

　
　　　　　　　　　　　　　　　　　　　　　　(12)
をサンプルする。

　ベクトルe'はM次元横ベクトルである。

　　　　　　　　　　　　　　　　　　　　　　(13)

ただし、

 
　　　　　　　　　　　　　　　　　　　　　　(14)

　　　　　　　　　　　　　　　　　　　　　　(15)

　関数計算処理は次式(16)で定義される。

　　　　　　　　　　　　　　　　　　　　　　(16)

　ただし、行列Aは、上式(8)により生成される。

 

　関数f_Ａ()は以下の関数計算を行う。

　

＜逆関数処理(Invert)＞
　逆関数処理（復号演算）では、上式(16)の関数計算処理で生成されたベクトルv

　　　　　　　　　　　　　　　　　　　　　　(17)
が入力される。

　この入力に対して、

　　　　　　　　　　　　　　　　　　　　　　(18)
を演算する。

　そして、n=0～n=N-1の繰り返しループ(forループ)で、後述されるInversion関数(g-vector-inversion関数:GVI)（引数：）を計算し、x_nに代入する処理を行う。

　
　　　　　　　　　　　　　　　　　　　　　　(19)

　
から、

　
　　　　　　　　　　　　　　　　　　　　　　(20)
を求め、

　
とし（s:復号されたメッセージベクトル）、

　　　　　　　　　　　　　　　　　　　　　　(21)
を返す。

　逆関数計算処理についてさらに詳細に説明する。関数計算処理で生成されたベクトルvを受け付ける。次に、式(17)のベクトルvに対して、行列

　
　　　　　　　　　　　　　　　　　　　　　　(22)
を右から作用させる。Iは単位行列である。

　ここで、式(17)のベクトルｖに上式(22)の行列を右から作用させた結果をベクトルbと表す。このとき、ベクトルbは以下で与えられる。

　
　　　　　　　　　　　　　　　　　　　　　　(23)

　上式(23)の右辺は、式(8)及び式(9)より以下で与えられる。

　

　　　　　　　　　　　　　　　　　　　　　　(24)

　ベクトルbはN・K次元の横ベクトルである。

　

　式(24)の最右辺において

　
　　　　　　　　　　　　　　　　　　　　　　(25)
としている。

　式(24)を具体的に表すと以下のようになる。

　
　　　　　　　　　　　　　　　　　　　　　　(26)

　ベクトルbn、ベクトルenはK次元の横ベクトルである。

　

　　

　
　　　　　　　　　　　　　　　　　　　　　　(27)

　次にInversion関数について説明する。
整数ｘ：

　
は2進数展開（2冪乗展開）で

　
　　　　　　　　　　　　　　　　　　　　　　(28)
と表される。ただし、

　　

　Kビットのxは、

　　
　　　　　　　　　　　　　　　　　　　　　　(29)
とも表記される。ただし、x_K-1はMSB（Most Significant Bit）、x₀はLSB(Least Significant Bit）である。

　ここで、エラーベクトルｅ_nの各成分ｅ_n,i (0≦n≦N-1, 0≦i≦K-1)は、秘密鍵である行列R(secret matrix)とエラーベクトルｅ_nを適当な分布からとることで、ほぼ確実に（with an overwhelming probability for all 0≦n≦N-1, 0≦i≦K-1)、以下が成り立つ。ここで、「ほぼ確実」は、上記のとおり、暗号用語の"overwhelming"に対応する。

　

(0≦n≦N-1, 0≦i≦K-1)
　　　　　　　　　　　　　　　　　　　　　　(30)

　式(26)、(27)からベクトルb₀は以下で与えられる。

　
　　　　　　　　　　　　　　　　　　　　　　(31)

　s₀の二進数展開は、

　
　　　　　　　　　　　　　　　　　　　　　　(32)

　なお、s₀の2進数展開は以下のようなビット表現でも表される。

　
　　　　　　　　　　　　　　　　　　　　　　(33)
　ここで、s_0,K-1はMSB（Most Significant Bit）、s_0,0はLSB(Least Significant Bit）である。

　式(31)のベクトルb₀の各成分b_0,0,…,b_0,K-2, b_0,K-1は以下で表される。

　
                                                     (34)

　
                                                     (35)

　
                                                     (36)

　エラーベクトルe_０の各成分は、ほぼ確実に（with an overwhelming probability for all 0≦i≦K-1)、以下が成り立つ。

　
(0≦i≦K-1)
                                                     (37)

　この場合、s_0,0は、式(36)のb_0,K-1の最左端と等しい。したがって、Inversion関数では、式(33)で表記されるs₀の最右端のビットs_0,0をデコード（復号）することができる。

　s_0,0が得られると、

　
　　　　　　　　　　　　　　　　　　　　　　(38)
が計算される。式(35)から、以下が得られる。

　
　　　　　　　　　　　　　　　　　　　　　　(39)

　上式は式(35)と同一構造である。そこで、Inversion関数はs_0,1をデコード（復号）することができる。

　この手順を繰り返すことで、ベクトルsの第１成分s₀が得られる。

　

　　　　　　　　　　　　　　　　　　　　　　(40)

　ベクトルsの第２成分以降も同様にして求められる。以上が、非特許文献１における逆関数計算処理である。

Daniele Micciancio, Chris Peikert, "Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller," EUROCRYPT 2012: Advances in Cryptology - EUROCRYPT 2012 pp 700-718

　非特許文献１による復号処理では、Kビットのメッセージを復号するのに、K回のビットごとの逐次復号処理が必要であり、高速化ができないという問題がある。

　本発明は、かかる課題に鑑みて創案されたものであって、その目的はトラップドア付き一方向関数により暗号化されたメッセージの復号処理を効率化、高速化する復号装置、復号方法及びプログラム記録媒体を提供することにある。

　本発明の一形態によれば、トラップドア付き一方向関数により暗号化されたメッセージを復号する復号装置であって、前記メッセージのベクトルの各要素と、2のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは2以上の所定の整数）毎に推測する推測部と、前記推測部で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認部と、を備えた復号装置が提供される。

　本発明の一形態によれば、トラップドア付き一方向関数により暗号化されたメッセージを復号する復号方法であって、前記メッセージのベクトルの各要素と、2のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは2以上の所定の整数）毎に推測する推測処理と、前記推測処理で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認処理と含む復号方法が提供される。

　本発明の一形態によれば、トラップドア付き一方向関数により暗号化されたメッセージを復号する処理を実行するコンピュータに、前記メッセージのベクトルの各要素と、2のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは2以上の所定の整数）毎に推測する推測処理と、前記推測処理で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認処理と、を実行させるプログラム、及び該プログラムを記録したプログラム記録媒体が提供される。本発明によれば、該記録媒体は、非一時的なコンピュータ可読可能な媒体（a non-transitory computer readable medium）（例えばRAM（Random Access Memory）、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable ROM)等の半導体メモリ、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)としてもよい。

　本発明によれば、トラップドア付き一方向関数により暗号化されたメッセージの復号処理を効率化、高速化することができる。

本発明の一実施形態を説明する図である。 本発明の一実施形態（L=3）の推測処理を説明する流れ図である。 本発明の一実施形態（L=3）の確認処理を説明する流れ図である。 本発明の一実施形態の構成を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 装置構成の一例を例示する図である。

　本発明の実施形態について説明する。メモリに接続されるプロセッサを備えた情報処理装置は、トラップドア付き一方向関数により暗号化されたメッセージを復号する復号装置として機能し、復号処理を実行する演算ブロックを含む。図１を参照すると、演算ブロック１１０は、前記メッセージ（s）のベクトルの各要素s_i(i=0,…,N-1)と、2のべき乗を要素とするベクトル(g=(1,2,…,2^K-1))との積(s_i・g)、中心型分布（centered distribution）（確率分布）からサンプルされた要素から成るベクトルe^' _iと、トラップドア行列Rとの演算に基づき生成されたエラーベクトルe_iを足し合わせた入力ベクトル（b_i：=s_i・g＋e_i）(i=0,…,N-1)を受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは2以上の所定の整数）毎に推測する推測部（Guess）１２０と、推測部１２０で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認(Check)部１３０と、を備える。

　非特許文献１では、メッセージ（例えばメッセージｓの第1成分ｓ₀）を構成する複数のビット（s_0,0, …, s_0,K-1）を逐次的に復号することで、基本的には復号したビットに誤りが含まれないようにしつつ、メッセージを復号化する。

　一方、一実施形態では、メッセージ（例えばメッセージsの第1成分s₀）を構成する複数のビット（例えばLビット：s_0,0, …, s_0,L-1）を復号する際に、推測したビットに誤りが含まれることを許容する。一実施形態では、推測部１２０で推測した複数のビットに誤りが含まれるか否かを、確認部１３０において、例えば並列に判定するようにしてもよい。一実施形態によると、推測部１２０で、Lビットごと一括して推測することで、Kビットのメッセージの復号演算の回数を、例えばK/L回程度にまで削減することができる。

　また、確認部１３０では、推測部１２０で推測されたLビットの正誤判定にあたり、Lビットにおける最上位ビットの判定は行わず、該最上位ビットの１つ下位のビットの判定結果を、前記最上位ビットにそのまま適用する。すなわち、確認部１３０では、Lビット（例えばL=3）のうち，最上位のビットの確認（Check）は行なわず、上から２番目のビットのチェック結果（誤りの有無の判定結果）を、そのまま最上位のビットのチェック結果とする。

　以下の＜性質１＞により、上から２番目のビットのチェック結果（誤りの有無の判定結果）をそのまま最上位のビットのチェック結果は、Lビットの並列復号によるチェック結果と一致する。

　Lビットの最上位のビットのチェックを最上位から２番目のビットのチェック結果を適用することで、L-1ビット（並列）計算環境で、Lビット（並列）計算環境と同等の機能を実現可能としている。すなわち、Lビット（並列）計算環境でlビット復号可能である場合、ほぼ l+1ビットの復号を可能としている。Lビットにおける正誤判定は、例えばL個の演算処理装置（例えばL個の比較演算回路）を用いた並列計算によってlビット相当の計算時間で処理することができる。したがって、一実施形態によると、トラップドア付き関数で暗号化されたメッセージの復号処理を、非特許文献１と比較して大幅に高速化することが可能となる。Lが、2≦L≦6程度であることを鑑みると，並列度を１つ増加させる効果は小さくない。L=2の場合、2ビットのうち上から2ビット目の1ビットのみのチェックで済み、演算処理装置、計算効率を、２ビット並列計算する場合と比べてほぼ半分としている。

　上式(34)-(36)において、次式(41)がほぼ確実に（with an overwhelming probability for all 0≦i≦K-1)成立する。

＜性質１＞

　

(0≦i≦K-1)
                                                     (41)

　これは、2の補数表示で、

　

　
                                                     (42)

　すなわち、ほぼ確実に（with an overwhelming probability for all 0≦i≦K-1)、e_o,iの最上位２ビットは同一である。

＜性質２＞
　また小さいLに対して大きな確率で以下が成り立つ。

　

                                                     (43)

　すなわち、大きな確率で最上位L+1ビットは同一である。

                                                     (44)

　ただし、性質２の確率は、Lやその他のパラメータ（分布特性やセキュリティパラメータ等の暗号パラメータ等）に依存する。例えば50％～95%程度の確率で成立する。

　推測部１２０には、上式(16)の関数計算処理で生成されたベクトルv(式(45))を、上式(23)にしたがって変換したベクトルb（式(46)）が入力される。

　　　　　　　　　　　　　　　　　　　(45)

ただし、

 

　

　　　　　　　　　　　　　　　　　　　　　　(46)

　ただし、エラーベクトルeは、上式(25)にしたがって以下で与えられる。

　
　　　　　　　　　

　式(46)を具体的に表すと以下のようになる。

　
　　　　　　　　　　　　　　　　　　　　　　(47)

　ここで、メッセージs_ｎ(0≦n≦N-1)の最下位からc≦Kビットが復元されたものとする。演算ブロック１１０の推測部１２０は、s_ｎ(0≦n≦N-1)のc+1ビット目から次のＬビットを推測（guess）する。次に確認部１３０は、推測した値が正しいか確認（check）する。確認部１３０は、Ｌビット推測値の最初のlビット（1≦l≦L）が正しいことを確認する。

　L=3を例として説明する。入力ベクトルをb_０とする。
整数ｘ：

　

は以下のように展開される。

　

ただし、

　　

　展開は一意的ではない。なお、負数は２の補数表示とし、－2²を4ビット表記すると、
[0|| - 1||0||0]、[1||1||0||0](2ｎ補数表現)のいずれかが選択可能である。前述したように、s_０の最下位からcビット目（c≦Kビット）が復元されたもの(推測・確認処理済み)とする。

   0≦i≦c-1
に対して、推測部１２０は、次の3ビット（c+1ビット目からc+3ビット目）:

　　
を推測する。図２は、推測部１２０におけるこの3ビットの処理を説明する図である。

　0≦c≦K-3とし、格子用の３つのビットを入力する（S101）。

　　　　
　　　　　　　　　　　　　　　　　　　　　　　　(48)

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(49)

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(50)

　推測部１２０は次式(51)を計算する（S102）。

　　
　　　　　　　　　　　　　　　　　　　　　　　　　(51)

　式(48)から式(51)は次式(52)で与えられる。

　　
　　　　　　　　　　　             (52)

　推測部は、s_０の最下位ビットからc+1ビット目から3ビット

　
に関して、式(51)の上から4（＝L+1）ビット目が0であれば、式(51)をそのまま推測値とする（S104）。

　式(51)の上から4（＝L+1）ビット目が１であれば、式(51)から

　
　を引いた値を推測値とする（S105）。

　なお、q-2^K-3のビット表現(2の補数表現)は、[1||1||1||0…0||0]である。この推測は、e0,i（i=0,…,K-1）の中心型分布（Centered Distribution）により無視できない確率で次の条件式(53)が満たされるため、理に適っている（reasonable）。なお、中心型分布は、ガウス分布に制限されず、中心（平均）部が他の部分よりも多く分布する確率分布である。なお、中心型分布は、例えば、上記した離散ガウス分布や、離散ガウス分布に、一様分布（離散一様分布）等を掛け合わせたものであってもよい。

　　　
　　　　　　　　　　　　　　　　　　　　　　　(53)

　条件式（53）が成り立つとき、推測値(guessed value)は真値(true value)に等しい。式(51)の上から4ビット目が0の場合、式（52）は、e_0,K-c-3 の上から４ビット目は0であることを含意(imply)する。

　条件式（53）により、これは、e_0,iのビット表現は、

 
　　　　　　　　　　　　　　　　　　　　　（54)
の形式であることを意味する。

　したがって、式(52)から、推測値は、

 
となる。

　一方、式(51)の上から４ビット目が1の場合、式(52)は、e_0,K-c-3 の上から４ビット目は1であることを含意(imply)する。条件式(53)により、e0,iのビット表現は、

 
　　　　　　　　　　　　　　　　　　　　　（55)
の形式であることを意味する。

　したがって、式(52)から、推測値は、

　

である。

　確認部１３０でのビットの正誤の確認処理は並列に行われる。s_０の最下位ビットからc+1ビット目から３ビット

　
の推測部１２０による推測値を

　
　　　　　　　　　　　　　　　　　　　(56)
とする。

  
　　　　　　　　　　　　　　　　　　　(57)

を３ビットの推測値と、復号済みの正しいdビット(最下位ビットからcビット)の連接（concatenation）とする。

　条件式(53)が成立する場合、推測値３ビットは正しい。

　一方、条件式(53)が成立しない場合、

　　
のいずれかが正しくないことになる。

　確認部１３０は、確認手順（Checking Procedure）として、どのビットが正しく推測されたかどのビットが正しくないかを以下のようにして検出する。図３は、確認部１３０の処理を説明する図である。

　確認部１３０は式(58)-(60)を計算する(S107)。

 
　　　　　　　　　　　　　　　　(58)

  
　　　　　　　　　　　　　　　  (59)

  
　　　　　　　　　　　　　　　  (60)

　式(48)、(49)、(50)、(56)、(58)、(59)、(60)から、以下のように表される。

  
　　　　　　　　　　　　　　　　　　　　　　　　　　 (61)

 
　　　　　　　　　　　　　　　　　　　　　　　　　　  (62)

 
      　　　　　　　　　　　　　　　　　　　　　　   (63)

　式(63)と式(41)（性質１）から、次式(64)がほぼ確実に（with an overwhelming probability）、成り立つ。

 
　　　　　　　　　　　　　   (64)

　したがって、確認部１３０では、v₁が
[-q/4, q/4)
の範囲にあることをチェックすることで(S109)、

　　
がs_0,cに等しいか否かを決定することができる。

　

　　　　　　　　　　　　　   (65)
が成り立たない場合（S109のNo分岐：i=1）、
確認部１３０は、

　
　　　　　　　　　　　　　   (66)
であるとする(S114)。

　確認部１３０は、

を

として出力し(S115)、確認手順を終了する。すなわち、誤りのあったビットs0,cを反転し、当該ビットで確認処理を終了する。この場合、１ビットs_0,cが復元できたことになる(L=3のうちｌ＝１ビットが復号完了)。すなわち、最下位ビットからc+1ビット目までの復号が終わったことになり、次のLビット推測処理に進む。次のLビット推測処理では、最下位ビットからc＋2ビット目から３ビットの復号処理を行う。

　条件式(65)が成り立つ場合（S109のYes分岐）、次のビットv₂のチェックを行う。この場合、

 
が成り立ち（S110）、

　

となる。

　これは式(62)の形式と等しい。このため、

　
がs_0,c+1に等しいか否かを、同様にチェックすることができる。

　

　　　　　　　　　　　　　   (67)
が成り立たない場合（S109のNo分岐：i=2）、確認部１３０では、

　
　　　　　　　　　　　　　   (68)
として（S114）、確認手順を終了し、2ビット

　
を戻り値として返す（S115）。

　条件式(67)が成り立つ場合（S109のYes分岐:i=2）、次のビットv₃のチェックを行う。この場合、

 
が成り立ち（S110）、

　
となる。

　これは式(63)の形式と等しい。このため、

　
がs_0,c+2に等しいか否か同様にチェックできる。

 
　　　　　　　　　　　　　   (69)
　が成り立たない場合（S109のNo分岐：i=3）、確認部１３０では、

　
　　　　　　　　　　　　　   (70)
とし（S114）、確認手順を終了し、3ビット

　
を戻り値として返す（S115）。

条件式(69)が成り立つ場合（S109のYes分岐：i=3）

 
となる（S110）。この場合、次のビットは存在しないため（i=i+1=4>3）、確認手順を終了し、3ビット：

　
を戻り値として返す。

　上記の通り、確認部１３０では、
(a) v1, v2, v3を計算し、
(b) v1, v2, v3∈[-q/4, q/4)が成り立つか否かを決定する。

　これら2つの処理は並列に実行可能である。全体の確認手順は並列化できる。なお、上記した例は、一般の場合に容易に拡張できる（Lビットを並列にチェック）。

　演算ブロック１１０で平均I_AVGが復元できた場合、並列演算のループ回数はK/I_AVGとなる。

　ところで、上記確認部１３０において．いま注目している3ビット（Lビット: L=3）のうち，最上位のビット（s_0.c+2）のチェックを行なわず、上から2番目のビット（s_0.c+1）のチェック結果をそのまま適用するようにしてもよい。上記性質１により、

 
の上位２ビットは同一と考えて良い。

　Lビット=3ビットの場合、上記性質１により,

 　又は、

 
である。

　このため、入力ベクトルb₀とメッセージs₀の最上位ビットが等しいことと、b₀とs₀の上から2番目のビットが等しい事は同値である。上記の例では、v₁、v₂、v₃について、入力ベクトルb₀とメッセージs₀の最上位ビットs_0,c+2に関する

 
について、

　
のチェックは行わず、v₂のチェック結果をそのまま適用する。

　すなわち、v₂に関し条件：

　
が成立する場合、v_３に関する条件：

　
も成立するものとする。

　v₂に関し条件：

　
が成立しない場合、v_３にする条件、

　
も成立しないものとする。

　図４は、本発明の一実施形態の確認処理を説明する図である。図３との相違点について説明する。

　確認部１３０では、S107において、式(61)のv₃の計算は行わない。

　
のチェックは、i=1,2 (v₁,v₂)のみとなる。

　条件式(65):

　

が成り立たない場合（S109のNo分岐：i=1）、確認部１３０は、

　
　　　　　　　　　　　　　   (72)
とし(S114)、

を出力し(S115)、確認手順を終了する。

　条件式(65):

　
は成り立ったが、
条件式(67)：

　
が成り立たない場合には（S109のNo分岐：i=2）、確認部１３０は、

　
とし（S114）、さらに、v3に関する条件式(69)：

　
も成り立たないものとして、

　
とし（S118）、
3ビット：

　
を戻り値として返す(S119)。

条件式(67)：

　
が成立する場合、条件式(65)：

　
も成立するものとする。この場合、S110で

 
とし、i=i+1が３になるため、S116で

 
とし、

　
を戻り値として返す(S113)。

　図５は、本発明の実施形態の復号装置１００の構成を例示する図である。復号装置１００において、演算ブロック１１０は、図１の演算ブロック１１０に対応し、L-1ビット並列計算環境でLビット並列計算環境を実現する。演算ブロック１１０により、メッセージs_ｎ(0≦n≦N-1)の最下位からcビットまでが復元され、c>K-Lのとき、残りビット演算部１４０は、c+1からKビットまでの復号処理（推測・確認）を行う。入力部１５０は、上式(17)の関数計算処理で生成されたベクトルv(式(45)を、上式(23)にしたがって変換したベクトルb（式(46))を入力する。出力部１６０は、メッセージs_ｎ(0≦n≦N-1)の復号結果を出力する。

　図６は、図５の復号装置１００の動作を説明する流れ図である。復号装置１００は復号メッセージxと何ビット目まで復号されたかを示すインデクスcを初期化する（S201）。

　c≦K-Lである場合、演算ブロック１１０を動作させる。演算ブロック１１０には、上式(12)の関数計算処理で生成されたベクトルv(式(41))を、上式(18)にしたがって変換したベクトルb（式(42）)ｗが入力される（S203）。演算ブロック１１０は、復号したメッセージｘと何ビット目まで復号されたか示すインデクスcを出力する。

　c>K-Lとなると、残りビット演算部１４０がK-cビットの復号演算を行う（S２04）。
　c=Kの場合、復号メッセージxを戻り値として返す（S208）。

　c<Kであれば、例えば、非特許文献１の逆関数処理で説明した1ビット逐次型の復号演算を行う（S207）。c=Kとなると、復号メッセージxを戻り値として返す（S208）。

　図７は、復号処理を実行するコンピュータ装置２００の構成例を説明する図である。コンピュータ装置２００は、メモリ２０２（RAM（Random Access Memory）、ROM(Read Only　Memory)、EEPROM（Electrically Erasable Programmable Read-Only Memory）等）に接続されたプロセッサ２０１を備えている。プロセッサ２０１は、複数のプロセッサを備えた構成としてもよいし（マルチプロセッサ）、複数の演算コアを１チップに搭載したマルチコアプロセッサを備えていてもよい。プロセッサ２０１は、対応するインタフェース２０３、２０４、２０５を介して、表示装置・入力装置２０６、ストレージ２０７、ネットワーク２０８に接続される。表示装置・入力装置２０６、ストレージ２０７、ネットワーク２０８は、図５の入力部１５０、出力部１６０として作用してもよい。入力装置は、キーボード、マウス等であってもよい。ストレージ２０７はHDD(Hard Disk Drive)、USB（Universal Serial Bus）メモリ、SSD(Solid State Drive)、CD（Compact Disc）-RW、DVD(Digital Versatile Disc)-RW、DVD+RW、DVD-RAM等であってもよい。ネットワーク２０８は有線、無線LAN（Local Area Network）、携帯網、インタネット等であってもよい。

　メモリ２０２に記憶されている命令群（プログラム）をプロセッサ２０１が実行することにより、上記復号装置１００の演算ブロック、残りビット演算部１４０等の機能の一部又は全部を実現するようにしてもよい。この場合、Lビットの確認処理（v_i∈(-q/2^L+1, q/2^L+1]）を、複数（L-1個）のCPU（Central Processing Unit）、演算コア、又はハードウェアロジックで並列に実行することで、非特許文献１と比較して復号処理を高速化することが可能となる。

　なお、非特許文献１の全開示内容は、本書に引用をもって繰り込み記載されているものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

１００　復号装置
１１０　演算ブロック（推測・確認演算ブロック）
１２０　推測部
１３０　確認部
１４０　残りビット演算部
１５０　入力部
１６０　出力部
２００　コンピュータ装置
２０１　プロセッサ
２０２　メモリ
２０３、２０４　入出力インタフェース
２０５　通信インタフェース
２０６　表示装置・入力装置
２０７　ストレージ
２０８　ネットワーク

Claims (15)

1. 　トラップドア付き一方向関数により暗号化されたメッセージを復号する復号装置であって、
   　前記メッセージのベクトルの各要素と、２のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは２以上の所定の整数）毎に推測する推測部と、
   　前記推測部で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認部と、
   　を備えた、ことを特徴とする復号装置。
2. 　前記確認部は、前記エラーベクトルに含まれる要素がとり得る値の範囲に基づいて、推測された各ビットの正誤を判定する、ことを特徴とする請求項１に記載の復号装置。
3. 　前記確認部は、前記最上位ビットの１つ下位のビットが誤りと判定された場合、前記最上位ビットも誤りとして、前記最上位ビットの１つ下位のビットと前記最上位ビットをそれぞれ反転し、反転した２ビットを含むLビットを確認済みの復号結果とする、ことを特徴とする請求項１又は２に記載の復号装置。
4. 　前記確認部は、前記最上位ビットの２つ下位のビット又はより下位のビットが誤りと判定された場合、誤りと判定されたビットを反転し、推測された前記Lビットのうち前記反転したビットまでを確認済みの復号結果とする、ことを特徴とする請求項１乃至３のいずれか１項に記載の復号装置。
5. 　前記メッセージを構成するビットのうち、前記確認部で正誤が確認済みの復号結果の１ビット上位のビット位置からLビット上位のビット数が、前記メッセージのビット数（K）からLを差し引いた値以下であるとき、前記推測部は、前記誤りと判定されたビットの１ビット上位のビット位置からLビットを推測する、ことを特徴とする請求項３又は４に記載の復号装置。
6. 　前記メッセージを構成するビットのうち、前記誤りと判定されたビットの１ビット上位のビット位置からLビット上位のビット数cが、前記メッセージのビット数（K）からLを差し引いた値を越えるとき、上位ビットK-cに関して、Lビット未満の推測と確認を行う、ことを特徴とする請求項３乃至５のいずれか１項に記載の復号装置。
7. 　前記Ｌは、前記最上位２ビットが所望の確率で同一となる値から選択される、ことを特徴とする請求項１乃至６のいずれか１項に記載の復号装置。
8. 　トラップドア付き一方向関数により暗号化されたメッセージを復号する復号方法であって、
   　前記メッセージのベクトルの各要素と、２のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは２以上の所定の整数）毎に推測する推測処理と、前記推測処理で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認処理と、
   　を含む、ことを特徴とする復号方法。
9. 　前記確認処理では、前記エラーベクトルに含まれる要素がとり得る値の範囲に基づいて、推測された各ビットが正しいか否かを判定する、ことを特徴とする請求項８に記載の復号方法。
10. 　前記確認処理では、前記確認部は、前記最上位ビットの１つ下位のビットが誤りと判定された場合、前記最上位ビットも誤りとして、前記最上位ビットの１つ下位のビットと前記最上位ビットをそれぞれ反転し、反転した２ビットを含むLビットを確認済みの復号結果とする、ことを特徴とする請求項８又は９に記載の復号方法。
11. 　前記確認処理では、前記最上位ビットの２つ下位のビット又はより下位のビットが誤りと判定された場合、誤りと判定されたビットを反転し、推測された前記Lビットのうち前記反転したビットまでを確認済みの復号結果とする、ことを特徴とする請求項８乃至１０のいずれか１項に記載の復号方法。
12. 　前記メッセージを構成するビットのうち、前記確認処理で正誤が確認済みの復号結果の１ビット上位のビット位置からLビット上位のビット数が、前記メッセージのビット数（K）からLを差し引いた値以下であるとき、前記推測部は、前記誤りと判定されたビットの１ビット上位のビット位置からLビットを推測する、ことを特徴とする請求項１０又は１１に記載の復号方法。
13. 　前記メッセージを構成するビットのうち、前記誤りと判定されたビットの１ビット上位のビット位置からLビット上位のビット数cが、前記メッセージのビット数（K）からLを差し引いた値を越えるとき、上位ビットK-cに関して、Lビット未満の推測と確認を行う、ことを特徴とする請求項８乃至１１のいずれか１項に記載の復号方法。
14. 　前記Ｌは、前記最上位２ビットが所望の確率で同一となる値から選択される、ことを特徴とする請求項８乃至１２のいずれか１項に記載の復号方法。
15. 　トラップドア付き一方向関数により暗号化されたメッセージを復号する処理を実行するコンピュータに、
    　前記メッセージのベクトルの各要素と、２のべき乗を要素とするベクトルとの積に、中心型分布からサンプルされた要素から成るベクトルとトラップドア行列とに基づき生成したエラーベクトルを足し合わせた入力ベクトルを受け、前記入力ベクトルに基づいて、前記メッセージを、Lビット（Lは２以上の所定の整数）毎に推測する推測処理と、
    　前記推測処理で推測されたLビットの正誤の判定にあたり、Lビットにおける最上位ビットの判定は行わず、前記最上位ビットの１つ下位のビットの判定結果を、そのまま前記最上位ビットに適用する確認処理と、を実行させるプログラムを記録したプログラム記録媒体。

Images