WO2020165931A1

WO2020165931A1 - 情報処理装置、秘密計算方法及びプログラム

Info

Publication number: WO2020165931A1
Application number: PCT/JP2019/004793
Authority: WO
Inventors: 光土田; 俊則荒木; 一真大原; 拓磨天田
Original assignee: 日本電気株式会社
Priority date: 2019-02-12
Filing date: 2019-02-12
Publication date: 2020-08-20
Also published as: US20220129567A1; JPWO2020165931A1; JP7259875B2

Abstract

２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた４者間ＭＰＣにて効率の良い型変換処理を実行する情報処理装置を提供する。情報処理装置は、基本演算シード記憶部と、再分散値計算部と、シェア構成部と、を備える。基本演算シード記憶部は、シェアについての演算を行う際の乱数を生成するためのシードを格納する。再分散値計算部は、シードを用いて乱数を生成し、生成された乱数によりシェアの再分散値を計算すると共に、生成された乱数に関するデータを他の装置に送信する。シェア構成部は、他の装置から受信した生成された乱数に関するデータ及びシェアの再分散値を用いて型変換用のシェアを構成する。

Description

情報処理装置、秘密計算方法及びプログラム

　本発明は、情報処理装置、秘密計算方法及びプログラムに関する。特に、不正検知可能な４者秘密計算におけるシェアの型変換に関する情報処理装置、秘密計算方法及びプログラムに関する。

　近年、秘密計算に関する研究開発が盛んに行われている。秘密計算では、入力データを秘匿したまま所定の処理を実行し、結果を得ることができる。

　秘密計算プロトコルは大きく２つの種類に大別される。第１の方式は、特定の計算に限って実行可能な秘密計算プロトコルである。第２の方式は、任意の計算が実行可能な秘密計算プロトコルである。また、第２の方式には種々の方式が存在し、方式間で通信量（データ量）や通信ラウンド数をはじめとした様々なコストにおけるトレードオフが成立する。たとえば、通信量が少ない代わりに通信回数が多い方式や通信量は多いが通信回数が少ない方式が存在する。

　代表的な秘密計算プロトコルとして、マルチパーティ計算（ＭＰＣ；Multi Party Computation）が挙げられる。ＭＰＣとは、各参加者の入力を秘匿しながら、複数の参加者間で任意の関数を計算できる秘密計算プロトコルである。ＭＰＣにも、いくつかの方式があるが、近年注目を集める方式は、秘密分散ベースのＭＰＣである。秘密分散ベースのＭＰＣでは、入力を各参加者に分散する。ここで、分散データのことをシェアと呼称する。各参加者は各自のシェアを用いて、参加者間で協調しながら、目的の関数を計算する。このとき、計算過程の値に関してもシェアの形式を保っているために、元々の入力や計算過程の値が明らかになることはない。最終的な計算結果のシェアだけが復元され、安全に任意の関数が計算できる。以降、ｎ≧２のときの

の値のシェアを

、ｎ＝１
のときの

の値のシェアを

として表記する。

　ここで、ＭＰＣが達成する安全性は、大きく２つある。１つは秘匿性（Secrecy）である。もう１つは正当性（Correctness）である。秘匿性は、ＭＰＣを実行するにあたり、想定する攻撃者が存在したとしても、参加者に対し、入力に関する情報が漏れないことを保証する安全性となる。正当性は、秘密計算プロトコルを実行するにあたり、想定する攻撃者が存在したとしても、実行結果が正しいことを保証する安全性となる。

　ここで、上記の「想定する攻撃者」には、いくつかの指標がある。代表的な指標として、１つ目は攻撃者の振舞いが挙げられる。２つ目は参加者における攻撃者の割合である。

　攻撃者の振舞いに着目した場合、代表的な攻撃者の種類として、セミオネスト攻撃者（Semi-honest Adversary）とマリシャス攻撃者（Malicious Adversary）が挙げられる。セミオネスト攻撃者は、プロトコルに従いつつも、可能な範囲で得られる情報を増やそうと試みる攻撃者である。マリシャス攻撃者は、プロトコルから逸脱した振舞いを取ることで、自身が得られる情報を増やそうと試みる攻撃者である。ここで、プロトコルから逸脱する振舞いとは、たとえば、本来送信すべきデータに対し、ビット反転を行うことによって、送信データを改ざんすることが挙げられる。

　参加者における攻撃者の割合に着目した場合、大きく２つの種類が挙げられる。１つは、過半数が不正者（Dishonest majority）の場合である。もう１つは、過半数が正直者（Honest majority）の場合である。ここで、全参加者数をｎとし、攻撃者の数をｔとする。過半数が不正者の場合とは、つまり、ｔ＜ｎが成り立つ場合を意味する。過半数が正直者の場合とは、つまり、ｔ＜ｎ／２が成り立つ場合を意味する。過半数が正直者である場合としてｔ＜ｎ／３が成り立つ場合も含まれるが、本書では特に断りが無い限り、ｔ＜ｎ／２が成り立つ場合を過半数が正直者である場合とする。

　近年、注目を集めるＭＰＣとして３者間ＭＰＣが挙げられる。非特許文献１は、過半数が正直者で、かつ、攻撃者がセミオネスト攻撃者である場合の３者間ＭＰＣを開示する。非特許文献１に開示されたＭＰＣは、

上での算術演算を実現する。非特許文献１に開示せれたＭＰＣは、

上での乗算１回あたり、３ｎビットの通信コストを要する。つまり、参加者あたりｎビットの通信コストで乗算を実現できる。

　非特許文献２は、過半数が正直者で、かつ、攻撃者がマリシャス攻撃者である場合の３者間ＭＰＣを開示する。これは、非特許文献１の方式をベースとした方式である。非特許文献２に開示されたＭＰＣは、非特許文献１に開示されたＭＰＣとは異なり、マリシャス攻撃者の存在を許容する。非特許文献２に開示されたＭＰＣではマリシャス攻撃者による不正を、確率的に検知することが可能となる。検知確率を上げるほど、つまり、不正が成功する確率を下げようとするほど、通信コストが増加することとなる。たとえば、不正が成功する確率を２^-４０とした場合、非特許文献２では、

上での乗算１回あたり、２１ｎビットの通信コストを要する。つまり、参加者あたり７ｎビットの通信コストで不正検知機能付きの乗算を実現できる。

　非特許文献３では、非特許文献１におけるシェアの型変換の方法が提案されている。シェアの型変換とは、たとえば、

から

のシェア列を得ることが挙げられる。この型変換をビット分解と呼称する。また、異なる型変換の例として、

から、

を得ることが挙げられる。この型変換を環合成と呼称する。

　非特許文献３には、たとえば、ビット分解に６ｎ－６ビットの通信コストを要することが開示されている。このような処理は、算術回路や論理回路が混在した混合回路に対し、効率よくＭＰＣを実行したい場合に重要な処理となる。たとえば、非特許文献２の方式を用いて非特許文献３で提案されたビット分解を実行した場合、マリシャス攻撃者の存在を許容できるが、通信コストは４２ｎ―４２ビットとなる。

　多くの場合、ＭＰＣにおいて参加者が少なく、過半数が正直者の場合の方が、通信コストは低くなる。このため、前述のような３者間ＭＰＣが計算効率の良い方式であると考えられてきた。しかし、想定する攻撃者がマリシャス攻撃者の場合、計算効率は４者間ＭＰＣの方が良い場合がある。

　たとえば、非特許文献４は、ｔ＜ｎ／３、つまりｔ＝１で、かつ、攻撃者がマリシャス攻撃者である場合の４者間ＭＰＣを開示する。非特許文献４に開示されたＭＰＣは、

上での乗算１回あたり、６ｎビットの通信コストを要する。つまり、参加者あたり１．５ｎビットの通信コストで乗算を実現できる。しかし、非特許文献４では方式固有の型変換が提案されていない。このため、たとえば、非特許文献５に開示されたようなビット分解を用いる必要がある。

　非特許文献５で提案された方式は、環上でビット分解を行う方式のため、

から

のシェア列を計算するものとなる。このため、非特許文献５によるビット分解の結果を

上での計算に用いることはできず、混合回路を計算する際には効率が悪い。

T. Araki et al.、"High-Throughput Semi-Honest Secure Three-Party Computation with an Honest Majority."、2016、In Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (CCS '16). ACM, New York, NY, USA, 805-817. T. Araki et al.、"Optimized Honest-Majority MPC for Malicious Adversaries － Breaking the 1 Billion-Gate Per Second Barrier"、2017、IEEE Symposium on Security and Privacy (SP), San Jose, California, USA, 2017, pp. 843-862. T. Araki et al.、"Generalizing the SPDZ Compiler For Other Protocols."、2018、In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security (CCS '18). ACM, New York, NY, USA, 880-895. S. Dov Gordon et al.、"Secure Computation with Low Communication from Cross-checking."、Cryptology ePrint Archive, Report 2018/216, 2018, https://eprint.iacr.org/2018/216. I. Damgard et al.、"Unconditionally Secure Constant-Rounds Multi-party Computation for Equality, Comparison, Bits and Exponentiation"、In Theory of Cryptography Conference (pp. 285-304). Springer, Berlin, Heidelberg, 2006.

　なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。

　ＭＰＣを行うにあたり、可能な限り通信コストが軽減された方式が望まれる。通信コストには通信量と通信ラウンド回数とがあるが、単位時間あたりの処理件数の効率を重視する場合、特に通信量が重要となる。

　たとえば、ｔ＜ｎ／３、つまりｔ＝１で、かつ、攻撃者がマリシャス攻撃者である場合での４者間ＭＰＣであれば、

上での乗算１回あたり、５ｎビットの通信コストで実現できる。つまり、参加者あたり１．２５ｎビットの通信コストで乗算を実現できる。これは２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた方法である。

　各参加者をＰ_ｉ（ｉ＝１、…、４）としたとき、

のシェアを

として、

をＰ_ｉのシェアとする。また、

のシェアを

として、

をＰ_ｉのシェアとする。このとき、

に対して、

とすると、

とする。また、

に対して、

とすると、

とする。

　なお、

とし、疑似ランダム関数

とする。また、

を文字列連結演算子とする。ここで、Ｐ_１は

を、Ｐ_２は

を、Ｐ_３は

を、Ｐ_４は

を、それぞれ有する。

　なお、

に関して、参加者の内、ある一人の参加者は

の出力を計算できず、他の三人の参加者は

の出力を計算できるという状況を作ることを意図している。この状況を作り出せるのであれば、

の扱いは特に制限されない。本書での

はあくまでも一例である。

　ここで、

を

上のシェアに関する加法演算子、減法演算子、乗法演算子とする。なお、これらの演算子は

上の要素に対する二項演算子としての加法演算子、減法演算子、乗法演算子としても以降用いることに注意されたい。

上のシェアに関する加法演算子、乗法演算子について、

としたとき、以下の４つの式が成り立つ。

　また、

を

上のシェアに関する排他的論理和、論理積とする。なお、これらの演算子は

上の要素に対する二項演算子としての排他的論理和、論理積としても以降用いることに注意されたい。

上のシェアに関する排他的論理和、論理積について、

としたとき、以下の４つの式が成り立つ。

　たとえば、前述の２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた４者間ＭＰＣでは、

となり

から

が計算できる。また、

としたとき、

に関しても、以下の手順で

を用いて計算できる。

１．各参加者（Ｐ_１～Ｐ_３）のそれぞれは以下の計算を行う。

Ｐ_１：

Ｐ_２：

Ｐ_３：

２．上記計算が終了すると、各参加者は以下の通信を行う。

・Ｐ_１は

をＰ_３に送信する。
・Ｐ_２は

をＰ_１に送信する。
・Ｐ_３は

をＰ_２に送信する。
・Ｐ_１は

をＰ_４に送信する。
・Ｐ_２は

をＰ_４に送信する。

　３．各参加者は、上記通信により得た情報を用いて以下の計算により

を得る。

　なお、Ｐ_４のシェアは以下のようにして、計算する。

Ｐ_４：

　シェアと定数倍算、および定数加算については当業者にとって自明なので説明を割愛する。また、

上のシェアに関する演算についても、

上のシェアに関する演算と同様に実行できるので説明を割愛する。このとき、参加者中にマリシャス攻撃者が１人存在したとしても、各自のシェアと異なる参加者から受信した値を用いて、値の改ざんがなかったか検証できる。改ざんがあった場合は、プロトコルを中断する。

　しかし、上記２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた方法を用いた４者間ＭＰＣでは、型変換処理を行うことが難しい。シェアの形式が異なるため、非特許文献３に開示された方法を直接用いることができないためである。また、非特許文献５に開示されたようなgeneralな型変換方式は位数のビット長が２以上の環上で行われ、混合回路中の論理回路部分の計算効率が悪い。よって、混合回路の計算を不正検知可能なＭＰＣで効率よく行いたい場合、非特許文献４に開示された４者間ＭＰＣもしくは上記２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた４者間ＭＰＣで実行可能な、効率の良い型変換処理が求められる。

　本発明は、２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた４者間ＭＰＣにて効率の良い型変換処理を実行することに寄与する、情報処理装置、秘密計算方法及びプログラムを提供することを主たる目的とする。

　本発明乃至開示の第１の視点によれば、シェアについての演算を行う際の乱数を生成するためのシードを格納する、基本演算シード記憶部と、前記シードを用いて乱数を生成し、前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信する、再分散値計算部と、他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成する、シェア構成部と、を備える、情報処理装置が提供される。

　本発明乃至開示の第２の視点によれば、シードを用いて乱数を生成するステップと、前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信するステップと、他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成するステップと、を含む秘密計算方法が提供される。

　本発明乃至開示の第３の視点によれば、シードを用いて乱数を生成する処理と、前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信する処理と、他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成する処理と、をコンピュータに実行させるプログラムが提供される。
　なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transient）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明乃至開示の各視点によれば、２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた４者間ＭＰＣにて混合回路を計算する際、論理回路の計算部分も含め効率よく計算可能な型変換を実行することに寄与する情報処理装置、秘密計算方法及びプログラムが提供される。

一実施形態の概要を説明するための図である。第１の実施形態における型変換システムの機能構成例を示すブロック図である。第１の実施形態によるサーバ装置の機能構成を示すブロック図である。第１の実施形態におけるビット分解についての型変換システムの動作例を示すフローチャートである。第１の実施形態における環合成についての型変換システムの動作例を示すフローチャートである。第２の実施形態における型変換システムの機能構成例を示すブロック図である。第２の実施形態によるサーバ装置の機能構成を示すブロック図である。第２の実施形態における環合成についての型変換システムの動作例を示すフローチャートである。第３の実施形態における型変換システムの機能構成例を示すブロック図である。第３の実施形態によるサーバ装置の機能構成を示すブロック図である。第３の実施形態におけるビット分解についての型変換システムの動作例を示すフローチャートである。第３の実施形態における環合成についての型変換システムの動作例を示すフローチャートである。第４の実施形態における型変換システムの機能構成例を示すブロック図である。第４の実施形態によるサーバ装置の機能構成を示すブロック図である。第４の実施形態における環合成についての型変換システムの動作例を示すフローチャートである。第５の実施形態における型変換システムの機能構成例を示すブロック図である。第５の実施形態によるサーバ装置の機能構成を示すブロック図である。第５の実施形態におけるビット分解についての型変換システムの動作例を示すフローチャートである。第６の実施形態における型変換システムの機能構成例を示すブロック図である。第６の実施形態によるサーバ装置の機能構成を示すブロック図である。第６の実施形態におけるビット分解についての型変換システムの動作例を示すフローチャートである。第７の実施形態における型変換システムの機能構成例を示すブロック図である。第７の実施形態によるサーバ装置の機能構成を示すブロック図である。第７の実施形態におけるビット分解についての型変換システムの動作例を示すフローチャートである。秘密計算サーバ装置のハードウェア構成の一例を示す図である。

　初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。

　一実施形態に係る情報処理装置１０は、基本演算シード記憶部１１と、再分散値計算部１２と、シェア構成部１３と、を備える（図１参照）。基本演算シード記憶部１１は、シェアについての演算を行う際の乱数を生成するためのシードを格納する。再分散値計算部１２は、シードを用いて乱数を生成し、生成された乱数によりシェアの再分散値を計算すると共に、生成された乱数に関するデータを他の装置に送信する。シェア構成部１３は、他の装置から受信した生成された乱数に関するデータ及びシェアの再分散値を用いて型変換用のシェアを構成する。

　ここで、４者ＭＰＣにおいてもビット分解や環合成は効率よく秘密計算を実行するためには有益な型変換であるが、各装置が保有するシェアの形式が不統一であるとビット分解等の恩恵が得られない。そこで、上記情報処理装置１０は、各装置が保有するシェアの形式を統一しビット分解等の型変換が容易となるようにシェアを再構成する。

　以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。

［第１の実施形態］
　第１の実施形態について、図面を用いてより詳細に説明する。

　図２～図５を参照して、第１の実施形態に係る型変換処理システムについて説明する。

　図２は、第１の実施形態による型変換処理システムの機能構成例を示すブロック図である。図２を参照すると、第１の実施形態による型変換処理システムは、後述する図３で参照される第ｉ（ｉ＝１、２、３、４）の秘密計算サーバ装置（以下、単にサーバ装置と表記する）から成る。第１の実施形態による型変換処理システムにおいて、サーバ装置１００_１、１００_２、１００_３、１００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。

　図３は、第ｉのサーバ装置１００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。図３に示すように、第ｉのサーバ装置１００_ｉは、第ｉの再分散値計算部１０２_ｉと、第ｉのシェア構成部１０３_ｉと、第ｉの不正検知部１０４_ｉと、第ｉの算術演算部１０５_ｉと、第ｉの論理演算部１０６_ｉと、第ｉの基本演算シード記憶部１０７_ｉと、第ｉのデータ記憶部１０８_ｉと、を含む。なお、第ｉの再分散値計算部１０２_ｉと、第ｉのシェア構成部１０３_ｉと、第ｉの不正検知部１０４_ｉと、第ｉの算術演算部１０５_ｉと、第ｉの論理演算部１０６_ｉと、第ｉの基本演算シード記憶部１０７_ｉと、第ｉのデータ記憶部１０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置１００_１～１００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部１０８_１～１０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置１００_１～１００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部１０８_１～１０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置１００_１～１００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置１００_１～１００_４ではない外部にシェアが送信され、復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置１００_１～１００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部１０９_１～１０９_４に記憶されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部１０８_１～１０８_４に記憶する。

　上記計算結果のシェアは、第１乃至第４のサーバ装置１００_１～１００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置１００_１～１００_４ではない外部にシェアが送信され、復元されてもよい。

　次に、第１の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置１００_１～１００_４の動作について、詳細に説明する。図４は、第１乃至第４のサーバ装置１００_１～１００_４のビット分解に関する動作例を示すフローチャートである。図５は、第１乃至第４のサーバ装置１００_１～１００_４の環合成に関する動作例を示すフローチャートである。

　まず、図４に示すビット分解に関するフローチャートを説明する。

（ステップＡ１）
各基本演算シード記憶部１０７_１、１０７_２、１０７_３、１０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置１００_１～１００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部１０８_１～１０８_４に、それぞれ

、

を記憶する。

　なお、

に関して、サーバ装置１００_ｉ（ｉ＝１～４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

の出力を計算できるという状況を作ることを意図している。また、

は、サーバ装置１００_１、１００_２、１００_３の内、ある一台の参加者は

の出力を計算できず、他の二台の参加者は

の扱いは特に制限されない。ただし、本書での

はあくまでも一例である。

（ステップＡ２）
第１の再分散値計算部１０２_１と第２の再分散値計算部１０２_２はそれぞれ、第１の基本演算シード記憶部１０７_１、第２の基本演算シード記憶部１０７_２より、

を取得する。次に、第１の再分散値計算部１０２_１と第２の再分散値計算部１０２_２は

を生成する。

　そして、第１の再分散値計算部１０２_１は、

を第１のデータ記憶部１０８_１に記憶する。第２の再分散値計算部１０２_２は、

を、第３のシェア構成部１０３_３に送信する。また、第２の再分散値計算部１０２_２は

を、第４のシェア構成部１０３_４に送信する。

　同様に、第２の再分散値計算部１０２_２と第３の再分散値計算部１０２_３は、

を生成する。第２の再分散値計算部１０２_２は、

を第２のデータ記憶部１０８_２に記憶する。第３の再分散値計算部１０２_３は、

を、第１のシェア構成部１０３_１に送信する。また、第３の再分散値計算部１０２_３は

を、第４のシェア構成部１０３_４に送信する。

　さらに同様に、第３の再分散値計算部１０２_３と第１の再分散値計算部１０２_１は

を生成する。第３の再分散値計算部１０２_３は、

を第３のデータ記憶部１０８_３に記憶する。第１の再分散値計算部１０２_１は、

を、第２のシェア構成部１０３_２に送信する。また、第１の再分散値計算部１０２_１は

を、第４のシェア構成部１０３_４に送信する。

　このように、第ｉの再分散値計算部１０２_ｉは、基本演算シード記憶部１０７_ｉに格納されたシードを用いて乱数（例えば、

）を生成する。さらに、再分散値計算部１０２_ｉは、シェア（例えば、

）の再分散値（例えば、

）を計算する。その後、再分散値計算部１０２_ｉは、生成された乱数に関するデータ（例えば、

）を他のサーバ装置の再分散値計算部１０２_ｉに送信する。なお、生成された乱数に関するデータには、乱数自身も含まれる。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置１００_１～１００_４の間で共有している。

（ステップＡ３）
　各シェア構成部１０３_１、１０３_２、１０３_３、１０３_４は上記ステップＡ２で送信された値を用いて、以下の１２の式によりシェアを構成する。

　ここで、

に対し、

は

のｊ番目のビット（ｊ＝０、．．．、ｎ－１）を意味する。

、

は各ｉ番目のデータ記憶部１０８_ｉに記憶される。

　このように、第ｉのシェア構成部１０３_ｉは、他のサーバ装置から受信した乱数に関するデータ、シェアの再分散値を用いて型変換用（ステップＡ３ではビット分解用）のシェアを構成する（再構成）する。つまり、値ｘは、シェアｘ_１、ｘ_２、ｘ_３として分散される。さらに、当該シェアは、再分散され再分散値ｘ_１’、ｘ_２’、ｘ_３’が計算される。この再分散値と再分散値の計算に用いられた乱数ｒに基づき、当初のシェアｘ_１、ｘ_２、ｘ_３はビット分解用のシェアに再構成される。その際、本願開示では、上記１２の式に示されるように、第４のサーバ装置１００_４におけるシェアの形式が他のサーバ装置１００_１～１００_３と異なるにも関わらず、各サーバ装置のシェアの形式を保つように値ｘが再分散され、シェアが再構成される。上述のように、４者ＭＰＣでは、値

に対して、

とすると、

となり、サーバ装置１００_１～１００_３のシェアの形式は二つの値の組み合わせからなり、サーバ装置１００_４のシェアの形式は２つの排他的論理和による計算結果の組み合わせとなる。本願開示では、これらのシェアの形式を変換前の形式とし、上記１２の式で表せるシェアの形式が変換後の形式となる。本願開示では、変換前後の形式を比較すると、変換前後で形式は保持されたままシェアが再構成（ビット分解用のシェアに再構成）されていることが理解される。

（ステップＡ４）
　各ｉ番目の論理演算部１０６_ｉ同士で通信することで、ｎビット加算器処理

を以下のように計算する。ここで、

とは、たとえば、

、

を入力とし、

を出力する処理のことである。

ここで、

なので、

が計算できた。
なお、

は、

、…、

のシェア列を意味する。各ｉ番目の論理演算部１０６_ｉは、

を各データ記憶部１０８_ｉに記憶する。

　このように、第ｉの論理演算部１０６_ｉは、上記型変換されたシェア（ビット分解用のシェア）についての論理演算を行う。より具体的には、第ｉの論理演算部１０６_ｉは、型変換されたシェアの加算処理を他のサーバ装置と相互に通信することで実行する。

　ここで、上記ステップＡ３、Ａ４について具体例を用いてより具体的に説明する。

　ここでは、

上のシェア

にビット分解を行う場合を説明する。このとき、

とすると、各サーバ装置は以下のような形式でシェア

を保有する。
サーバ装置１００_１：

サーバ装置１００_２：

サーバ装置１００_３：

サーバ装置１００_４：

　上記ステップＡ３、Ａ４では、初めに

、

の各桁のビットのシェアを得て（ステップＡ３）、次に、ステップＡ３にて得られたビットのシェアを用いて加算器の計算を行うことで値ｘの各桁のビットのシェアを得ている（ステップＡ４）。これは、ステップＡ３は、加算した結果が値ｘとなる各桁のビットのシェアを生成（値ｘからの再分散）を目的を有し、その後に続くステップＡ４における加算器計算に伴う負荷が軽減されるように再分散のシェアの個数自体を少なくするという意義を持つ。

　本願開示では、上記再構成されたシェアを得るため、各サーバ装置１００_ｉは、

を使用する。その際、各サーバ装置１００_ｉは、自身が保持する

だけでは上記再構成されたシェアを生成することが出来ない場合がある。そこで、各サーバ装置１００_ｉは、他のサーバ装置から当該他のサーバ装置が保持する

の一部を取得する必要があるが、秘密漏洩を防止する観点から当該値を他のサーバ装置から得ることはできない。そこで、各サーバ装置１００_ｉは、乱数でマスクした値（シェアの再分散値）を送受信し、上記再構成されたシェアの再構成に利用する。本願開示では、シェアの再構成に続く加算器の計算負荷が低減されるように、上記乱数（マスク用の乱数）とシェアの再構成が行われる。

　例えば、上記１２の式に記載された

は、

により再分散され、再構成された

、

のうち

がサーバ装置１００_１が保有する値（保有する値の組）となる。その際、

がマスク用のビットの乱数となり、

は、

を

、

でマスクすることで生成された再分散値となる。

　ここで、上述のステップＡ３の目的や意義を考えると、サーバ装置１００_３やサーバ装置１００_４は、値

を直接保持していないので、これらのサーバ装置が

を生成することは困難である。そこで、サーバ装置１００_３やサーバ装置１００_４は、上記値を有するサーバ装置１００_１やサーバ装置１００_２から受信するか、計算可能な乱数により

を構成する必要がある。しかし、サーバ装置１００_１やサーバ装置１００_２が保有する値自体を送信すると秘密漏洩の危険が増すのでマスク用の乱数が用いられている。そこで、各再分散値計算部１０２_ｉは、マスク用の乱数を計算すると共に、例えば、サーバ装置１００_２がサーバ装置１００_４に

を送信している（ステップＡ２）。その後、ステップＡ３において、

を含むシェアの再構成が行われている。

　なお、上述のようにシェアの再構成にあたり、その形式を満たす必要がある。例えば、

とすると、上記の１２の式では、

、

と置き換えることできる。従って、サーバ装置１００_１は、

を設定（シェアの再構成）する必要がある。即ち、シェアの形式が満たされるように、

や

が選択されている。また、本実施形態では、ステップＡ４における加算器計算に伴う負荷を軽減するために再分散のシェアの個数自体を少なくする目的でステップＡ３が実行されている。即ち、加算器の計算コストがビット分解全体の通信コストの大半を占めるため、当該通信コストの重い加算器計算の計算コストを低減するように再分散が行われている。しかし、再分散の目的は上記に限定されず、他の実施形態にて説明するように、「シェアの個数は増加するが、通信の形態に適合させ環合成における通信コストの効率化」や「再分散のシェアの個数は同じであるが、ステップＡ３における再分散のコスト低減」を目的とした再分散もあり得る。

（ステップＡ５）
　第１の再分散値計算部１０２_１は、第１のデータ記憶部１０８_１から

を取り出す。次に、第１の再分散値計算部１０２_１は、

を、第３の不正検知部１０４_３に送信する。また、第１の再分散値計算部１０２_１は、

を、第４の不正検知部１０４_４に送信する。第３の不正検知部１０４_３および第４の不正検知部１０４_４は、それぞれ、第３のデータ記憶部１０８_３に記憶されている

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第３の不正検知部１０４_３又は第４の不正検知部１０４_４は、successの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第３の不正検知部１０４_３又は第４の不正検知部１０４_４は、abortの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列して行う場合、上記検証は、

それぞれとを連結した値に対するハッシュ値と、

に関する値それぞれとを連結した値に対するハッシュ値とで、一致するかを検証することにしてもよい。この場合、処理全体の通信量に対して、それぞれ

を連結した値に対するハッシュ値は無視できるものと捉えることができる。

に関しても同様である。

　また同様に、第２の再分散値計算部１０２_２は、

を第２のデータ記憶部１０８_２から取り出す。次に、第２の再分散値計算部１０２_２は、

を、第１の不正検知部１０４_１に送信する。また、第２の再分散値計算部１０２_２は、

を、第４の不正検知部１０４_４に送信する。第１の不正検知部１０４_１および第４の不正検知部１０４_４は、それぞれ、第１のデータ記憶部１０８_１に記憶されている

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第１の不正検知部１０４_１又は第４の不正検知部１０４_４は、successの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第１の不正検知部１０４_１又は第４の不正検知部１０４_４は、abortの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、プロトコルを中断する。

　大量の型変換処理を並列して行う場合、上記検証は、

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　さらに同様に、第３の再分散値計算部１０２_３は、

を第３のデータ記憶部１０８_３から取り出す。次に、第３の再分散値計算部１０２_３は、

を、第２の不正検知部１０４_２に送信する。また、第３の再分散値計算部１０２_３は、

を、第４の不正検知部１０４_４に送信する。第２の不正検知部１０４_２および第４の不正検知部１０４_４は、それぞれ、第２のデータ記憶部１０８_２に記憶されている

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第２の不正検知部１０４_２又は第４の不正検知部１０４_４は、successの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第２の不正検知部１０４_１乃至第４の不正検知部１０４_４は、abortの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、プロトコルを中断する。

　大量の型変換処理を並列して行う場合、上記検証は、

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　このように、第ｉの不正検知部１０４_ｉは、他のサーバ装置から受信した乱数に関するデータに基づきプロトコルの不正を検知する。具体的には、第ｉの不正検知部１０４_ｉは、他のサーバ装置から受信した乱数に関するデータと自装置に格納されている乱数に関するデータが一致するか否かに応じて不正の有無（不正行為者の有無）を検知する。

（ステップＡ６）
各ｉ番目の不正検知部１０４_ｉは、上記ステップＡ４の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置１００_１、１００_２、１００_３、１００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置１００_１、１００_２、１００_３、１００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＡ６は上記ステップＡ５と並列に実行することが可能である。

　このように、第ｉの不正検知部１０４_ｉは、型変換されたシェアの加算処理のために送受信されたデータを用いて不正行為者の有無を検知する。

　次に、図５に示す環合成に関するフローチャートを説明する。

（ステップＢ１）
各基本演算シード記憶部１０７_１、１０７_２、１０７_３、１０７_４は、それぞれ、

、

を記憶する。
また、各サーバ装置１００_１～１００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。

　また、各データ記憶部１０８_１～１０８_４に、

、

を記憶する。さらに、各データ記憶部１０８_１～１０８_４に、ループカウンタ

を記憶する。なお、

とし、

、

とする。

　なお、

の出力を計算できず、他の三台の参加者は

の出力を計算できず、他の二台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＢ２）
　各サーバ装置１００_ｉは、各データ記憶部１０８_ｉより、ループカウンタｊをとりだす。各サーバ装置１００_ｉは、ｊ＜ｎであればステップＢ３～Ｂ７を実行する。ｊ＝ｎであれば、ステップＢ８を実行する。

　また、各論理演算部１０６_１～１０６_４は、各データ記憶部１０８_１～１０８_４から

を取り出す。ここで、

はｊ番目のビットに対するキャリーである。そして、各論理演算部１０６_１～１０６_４は、

を計算し、

を各データ記憶部１０８_１～１０８_４に記憶する。

　なお、第ｉのデータ記憶部１０８_ｉが記憶する

を

と表記する。また、

とする。

（ステップＢ３）
　第１の再分散値計算部１０２_１と第２の再分散値計算部１０２_２はそれぞれ、第１の基本演算シード記憶部１０７_１、第２の基本演算シード記憶部１０７_２より、

を生成する。

　そして、第１の再分散値計算部１０２_１は、

を、第４のシェア構成部１０３_４に送信する。

　同様に、第２の再分散値計算部１０２_２と第３の再分散値計算部１０２_３は

を生成する。第２の再分散値計算部１０２_２は、

を、第４のシェア構成部１０３_４に送信する。

を生成する。第３の再分散値計算部１０２_３は、

を、第４のシェア構成部１０３_４に送信する。

　ここで、

である。

（ステップＢ４）
　各シェア構成部１０３_１、１０３_２、１０３_３、１０３_４は上記ステップＢ３で送信された値を用いて、以下の１２の式によりシェアを構成する。

、

は各ｉ番目のデータ記憶部２０８_ｉに記憶される。

（ステップＢ５）
　各ｉ番目の論理演算部１０６_ｉ同士で通信することで、キャリー計算処理

を以下のように計算する。ここで、

とは、全加算器における入力

と下位からの桁上げ入力

の５つを入力とし、下記の式のように桁上げ出力

を出力する処理である。

　各ｉ番目の論理演算部１０６_ｉは、

を各データ記憶部１０８_ｉに記憶する。各サーバ装置１００_ｉは、各データ記憶部２０８_ｉより、ループカウンタｊを取り出し、ｊ＝ｊ＋１として各データ記憶部１０８_ｉに記憶する。なお、ｊ＝ｎ－１のとき、ステップＢ５は実行しなくても良い。

　このように、第ｉの論理演算部１０６_ｉは、他のサーバ装置と互いに通信を行い型変換されたシェアのキャリー計算処理を実行する。

（ステップＢ６）
　第１の再分散値計算部１０２_１は、第１のデータ記憶部１０８_１から

を取り出す。次に、第１の再分散値計算部１０２_１は、

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　同様に、第２の再分散値計算部１０２_２は、

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　さらに同様に、第３の再分散値計算部１０２_３は、

、第４のデータ記憶部１０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第２の不正検知部１０４_２又は第４の不正検知部１０４_４は、successの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第２の不正検知部１０４_１又は第４の不正検知部１０４_４は、abortの文字列を各サーバ装置１００_１、１００_２、１００_３、１００_４にブロードキャストし、プロトコルを中断する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

（ステップＢ７）
　各ｉ番目の不正検知部１０５_ｉは、上記ステップＢ５の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置１００_１、１００_２、１００_３、１００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置１００_１、１００_２、１００_３、１００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＢ７は上記ステップＢ６と並列に実行することが可能である。また、ステップＢ６、Ｂ７はループごとではなく、ｊ＝ｎ－１のときに、ｎ回のループ分を並列に実行することが可能である。

　このように、第ｉの不正検知部１０５_ｉは、型変換されたシェアのキャリー計算処理のために送受信されたデータを用いて不正行為者の有無を検知する。

（ステップＢ８）
　各ｉ番目の算術演算部１０５_ｉは、各データ記憶部１０８_ｉから

を取り出す。その後、以下の式による計算を行う。

各ｉ番目の算術演算部１０５_ｉは、各データ記憶部１０８_ｉに

を記憶する。

　以上、説明した第１の実施形態においては、以下に記載するような効果を奏する。

　第１の効果は、不正検知可能な４者間秘密計算を用いて、シェアの型変換が実行できる。複雑な混合回路を実行する際に不正検知に関するステップを並列に行った場合、不正検知に関する通信コストを消却できるものとする。たとえば、加算器の計算にリップルキャリー型のｎビット加算器を用いた場合、このときのビット分解の通信コストは、（１６ｎ－１０）ビット・ｎ＋１ラウンドとなる。環合成の通信コストは、（１６ｎ－１６）ビット・２ｎ－２ラウンドとなる。一方で、非特許文献２と非特許文献３を組み合わせた場合の型変換の通信コストは、不正が成功する確率を２^－４０としたとき、（４２ｎ－４２）ビット・ｎ－１ラウンドである。これより、本願開示の方が効率の良い方式となる。なお、本特許の実施はリップルキャリー型のｎビット加算器に限定されない。キャリールックアヘッド型やパラレルプリフィックス型などのｎビット加算器を用いても良い。

　第２の効果は、不正検知可能な４者間秘密計算を用いて、シェアの型変換を行う際に、不正検知確率が常に「１」となることである。非特許文献２と非特許文献３を組み合わせた場合、不正検知確率はパラメタライズであるため、不正検知確率を向上させようとした際に、通信コストも大きくなる。秘密計算を適用できるアプリケーションには様々なものがあり、そのアプリケーションに応じて求められる不正検知確率は異なる。求められる要件の調査と、調査に伴う各パラメータの設定は利用者にとって負担となる。本願開示では、不正検知確率が「１」なので、要件の調査やパラメータ設定の負担が軽減される。

［第２の実施形態］
　図６～図８を参照して、第２の実施形態に係る型変換処理システムについて説明する。

　図６は、第２の実施形態による型変換処理システムの機能構成例を示すブロック図である。図６を参照すると、第２の実施形態による型変換処理システムは、後述する図７で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第２の実施形態による型変換処理システムにおいて、サーバ装置２００_１、２００_２、２００_３、２００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図７は、第ｉのサーバ装置２００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図７に示すように、第ｉのサーバ装置２００_ｉは、第ｉの再分散値計算部２０２_ｉと、第ｉのシェア構成部２０３_ｉと、第ｉの不正検知部２０４_ｉと、第ｉの算術演算部２０５_ｉと、第ｉの論理演算部２０６_ｉと、第ｉの基本演算シード記憶部２０７_ｉと、第ｉのデータ記憶部２０８_ｉと、を含む。なお、第ｉの再分散値計算部２０２_ｉと、第ｉのシェア構成部２０３_ｉと、第ｉの不正検知部２０４_ｉと、第ｉの算術演算部２０５_ｉと、第ｉの論理演算部２０６_ｉと、第ｉの基本演算シード記憶部２０７_ｉと、第ｉのデータ記憶部２０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置２００_１～２００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部２０８_１～２０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置２００_１～２００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部２０８_１～２０８_４に記憶する。上記計算結果のシェアは、第１乃至第４のサーバ装置２００_１～２００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置２００_１～２００_４ではない外部にシェアが送信され、シェアが復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置２００_１～２００_４の内のいずれかの装置が入力した値

に対し、その入力や計算過程の値から

の値を知られることなく、

　次に、第２の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置２００_１～２００_４の動作について、詳細に説明する。図７は、第１乃至第４のサーバ装置２００_１～２００_４の環合成に関する動作例を示すフローチャートである。ビット分解については、第１の実施例と同様に実施可能であるため説明を割愛する。

　図７に示す環合成に関するフローチャートを説明する。

（ステップＢ´１）
各基本演算シード記憶部２０７_１、２０７_２、２０７_３、２０７_４は、それぞれ、

、

を記憶する。

また、各サーバ装置２００_１～２００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。

　また、各データ記憶部２０８_１～２０８_４に、

、

を記憶する。さらに、各データ記憶部２０８_１～２０８_４に、ループカウンタｊ（＝１）を記憶する。なお、

とし、

、

とする。

　なお、

に関して、サーバ装置２００_ｉ（ｉ＝１、２、３、４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

は、サーバ装置２００_１、２００_２、２００_３の内、ある一台の参加者は

の出力を計算できず、他の二台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＢ´２）
各サーバ装置２００_ｉは、以下の式に示されるように

の値を定める。

各データ記憶部２０８_１～２０８_４は、それぞれ

、

を記憶する。

　第１の再分散値計算部２０２_１と第２の再分散値計算部２０２_２はそれぞれ、第１の基本演算シード記憶部２０７_１、第２の基本演算シード記憶部２０７_２より、

を取得する。次に、第１の再分散値計算部２０２_１と第２の再分散値計算部２０２_２は、

を生成する。

　そして、第１の再分散値計算部２０２_１は、

を第１のデータ記憶部２０８_１に記憶する。第２の再分散値計算部２０２_２は、

を、第３のシェア構成部２０３_３に送信する。また、第２の再分散値計算部２０２_２は

を、第４のシェア構成部２０３_４に送信する。

　同様に、第２の再分散値計算部２０２_２と第３の再分散値計算部２０２_３は、

を生成する。第２の再分散値計算部２０２_２は、

を第２のデータ記憶部２０８_２に記憶する。第３の再分散値計算部２０２_３は、

を、第１のシェア構成部２０３_１に送信する。また、第３の再分散値計算部２０２_３は

を、第４のシェア構成部２０３_４に送信する。

　さらに同様に、第３の再分散値計算部２０２_３と第１の再分散値計算部２０２_１は

を生成する。第３の再分散値計算部３０２_３は、

を第３のデータ記憶部２０８_３に記憶する。第１の再分散値計算部２０２_１は、

を、第２のシェア構成部２０３_２に送信する。また、第１の再分散値計算部２０２_１は

を、第４のシェア構成部２０３_４に送信する。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置２００_１～２００_４の間で共有している。

（ステップＢ´３）
　各シェア構成部２０３_１、２０３_２、２０３_３、２０３_４は上記ステップＢ´２で送信された値を用いて、以下の１２の式によりシェアを構成する。

、

は各ｉ番目のデータ記憶部２０８_ｉに記憶される。

（ステップＢ´４）
　第１の再分散値計算部２０２_１は、第１のデータ記憶部２０８_１から

を取り出す。次に、第１の再分散値計算部２０２_１は、

を、第３の不正検知部２０４_３に送信する。また、第１の再分散値計算部２０２_１は、

を、第４の不正検知部２０４_４に送信する。第３の不正検知部２０４_３および第４の不正検知部２０４_４は、それぞれ、第３のデータ記憶部２０８_３に記憶されている

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第３の不正検知部２０４_３又は第４の不正検知部２０４_４は、successの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第３の不正検知部２０４_３又は第４の不正検知部２０４_４は、abortの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、プロトコルを中断する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　同様に、第２の再分散値計算部１０２_２は、

を第２のデータ記憶部２０８_２から取り出す。次に、第２の再分散値計算部２０２_２は、

を、第１の不正検知部２０４_１に送信する。また、第２の再分散値計算部２０２_２は、

を、第４の不正検知部２０４_４に送信する。第１の不正検知部２０４_１および第４の不正検知部２０４_４は、それぞれ、第１のデータ記憶部２０８_１に記憶されている

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第１の不正検知部２０４_１又は第４の不正検知部２０４_４は、successの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第１の不正検知部２０４_１又は第４の不正検知部２０４_４は、abortの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、プロトコルを中断する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　さらに同様に、第３の再分散値計算部２０２_３は、

を第３のデータ記憶部２０８_３から取り出す。次に、第３の再分散値計算部２０２_３は、

を、第２の不正検知部２０４_２に送信する。また、第３の再分散値計算部２０２_３は、

を、第４の不正検知部２０４_４に送信する。第２の不正検知部２０４_２および第４の不正検知部２０４_４は、それぞれ、第２のデータ記憶部２０８_２に記憶されている

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

　一致した場合、第２の不正検知部２０４_２又は第４の不正検知部２０４_４は、successの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第２の不正検知部２０４_２又は第４の不正検知部２０４_４は、abortの文字列を各サーバ装置２００_１、２００_２、２００_３、２００_４にブロードキャストし、プロトコルを中断する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

（ステップＢ´５）
　各サーバ装置２００_ｉは、各データ記憶部２０８_より、ループカウンタｊをとりだす。各サーバ装置２００_ｉは、ｊ＜ｎであればステップＢ´６～Ｂ´１０を実行する。ｊ＝ｎであれば、ステップＢ´１１を実行する。

（ステップＢ´６）
　ここで、キャリー計算処理

を、

と

という２つの処理に分割して考える。なお、

とは、全加算器における入力

と下位からの桁上げ入力

の５つを入力とし、桁上げ出力

を出力する処理である。

とは、

、

を入力に取り、

を出力するといった、論理演算部２０６_ｉ（ｉ＝１、２、３）が計算する通信不要の処理を指す。

　また、

とは、

、

および

を入力に取り、

を出力するといった、論理演算部２０６_ｉ（ｉ＝１、２、３、４）が通信を伴って計算する処理を指す。

　ステップＢ´６で、論理演算部２０６_ｉ（ｉ＝１、２、３）は

、

を入力に取り、

を計算することで、

を得る。

　さらに論理演算部２０６_ｉ（ｉ＝１、２、３）は、

を用いて、

を計算する。論理演算部２０６_ｉ（ｉ＝１、２、３）は、データ記憶部２０８_ｉ（ｉ＝１、２、３）に

を記憶する。

（ステップＢ´７）
　第１の再分散値計算部２０２_１と第２の再分散値計算部２０２_２はそれぞれ、第１の基本演算シード記憶部２０７_１、第２の基本演算シード記憶部２０７_２より、

を生成する。

　そして、第１の再分散値計算部２０２_１は、

を、第４のシェア構成部２０３_４に送信する。

を生成する。第２の再分散値計算部２０２_２は、

を、第４のシェア構成部２０３_４に送信する。

を生成する。第３の再分散値計算部２０２_３は、

を、第４のシェア構成部２０３_４に送信する。

　ここで、

である。

　また、論理演算部２０６_ｉ（ｉ＝１、２、３、４）は、

、

および

を入力に取り、

を通信を伴って計算することで、

を得る。論理演算部２０６_ｉ（ｉ＝１、２、３、４）は、データ記憶部２０８_ｉ（ｉ＝１、２、３、４）に

を記憶する。

　このように、キャリー計算処理は、第１要素

及び当該第１要素に続く第２要素

に分離可能である。第ｉの論理演算部２０６_ｉは、第１要素を他のサーバ装置と非通信により計算すると共に、シェアの再分散値の計算に必要な通信と第２要素のキャリー計算処理に必要な通信を並列に行う（ステップＢ’７）。

（ステップＢ´８）
　論理演算部２０６_ｉ（ｉ＝１、２、３、４）は、

を用いて、

を計算する。
ここで、上記ステップＢ´７で得た値と、

を用いて、各シェア構成部２０３_１、２０３_２、２０３_３、２０３_４は、以下の１２の式によりシェアを構成する。

、

が各ｉ番目のデータ記憶部２０８_ｉに記憶される。また、データ記憶部２０８_ｉはループカウンタｊを取り出し、ｊ＝ｊ＋１として値を更新する。

（ステップＢ´９）
　第１の再分散値計算部２０２_１は、第１のデータ記憶部２０８_１から

を取り出す。次に、第１の再分散値計算部２０２_１は、

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　同様に、第２の再分散値計算部２０２_２は、

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　さらに同様に、第３の再分散値計算部２０２_３は、

、第４のデータ記憶部２０８_４に記憶されている

を取出し、値が一致するかを検証する。

それぞれとを連結した値に対するハッシュ値と、

に関しても同様である。

　なお、ステップＢ´９は、ループごとではなく、ｊ＝ｎ－１のときに全ループ分を並列に実行しても良い。また、ステップＢ´９は、上記ステップＢ´４と並列に実行することも可能である。

（ステップＢ´１０）
　各ｉ番目の不正検知部２０４_ｉは、上記ステップＢ´７の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置２００_１、２００_２、２００_３、２００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置２００_１、２００_２、２００_３、２００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＢ´１０は上記ステップＢ´４、Ｂ´９と並列に実行することが可能である。また、ステップＢ´１０はループごとではなく、ｊ＝ｎ－１のときに、全ループ分を並列に実行することが可能である。

（ステップＢ´１１）
　各ｉ番目の算術演算部２０５_ｉは、各データ記憶部２０８_ｉから

を取り出す。その後、以下の式に示す計算が実行される。

各ｉ番目の算術演算部２０５_ｉは、各データ記憶部２０８_ｉに

を記憶する。

　以上、説明した第２の実施形態においては、第１の実施形態における効果と同じ効果を奏する。ただし、第１の実施形態における第１の効果に関して、第２の実施形態の方が環合成における通信コストの点で効率が良い。第２の実施形態では、キャリー計算処理

を分割して考え、シェアの再分散とキャリー計算における通信を伴う処理を並列して行うことで、通信ラウンドの削減を実現している。このため、第２の実施形態における環合成の通信コストは、（１６ｎ－１６）ビット・ｎ－１ラウンドとなる。

［第３の実施形態］
図９～図１２を参照して、第３の実施形態に係る型変換処理システムについて説明する。

　図９は、第３の実施形態による型変換処理システムの機能構成例を示すブロック図である。第３の実施形態に係る型変換処理システムは、上述した第１の実施形態および第２の実施形態に係る型変換処理システムの変形例である。

　図９を参照すると、第３の実施形態による型変換処理システムは、後述する図１０で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第３の実施形態による型変換処理システムにおいて、サーバ装置３００_１、３００_２、３００_３、３００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図１０は、第ｉのサーバ装置３００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図１０に示すように、第ｉのサーバ装置３００_ｉは、第ｉの再分散値計算部３０２_ｉと、第ｉのシェア構成部３０３_ｉと、第ｉの不正検知部３０４_ｉと、第ｉの算術演算部３０５_ｉと、第ｉの論理演算部３０６_ｉと、第ｉの基本演算シード記憶部３０７_ｉと、第ｉのデータ記憶部３０８_ｉと、を含む。なお、第ｉの再分散値計算部３０２_ｉと、第ｉのシェア構成部３０３_ｉと、第ｉの不正検知部３０４_ｉと、第ｉの算術演算部３０５_ｉと、第ｉの論理演算部３０６_ｉと、第ｉの基本演算シード記憶部３０７_ｉと、第ｉのデータ記憶部３０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置３００_１～３００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部３０８_１～３０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置３００_１～３００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部３０８_１～３０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置３００_１～３００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置３００_１～３００_４ではない外部にシェアが送信され、復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置３００_１～３００_４の内のいずれかの装置が入力した値

に対し、その入力や計算過程の値から

の値を知られることなく、

　次に、第３の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置３００_１～３００_４の動作について、詳細に説明する。図１１は、第１乃至第４のサーバ装置３００_１～３００_４のビット分解に関する動作例を示すフローチャートである。図１２は、第１乃至第４のサーバ装置３００_１～３００_４の環合成に関する動作例を示すフローチャートである。

　まず、図１１に示すビット分解に関するフローチャートを説明する。

（ステップＣ１）
各基本演算シード記憶部３０７_１、３０７_２、３０７_３、３０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置３００_１～３００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部３０８_１～３０８_４に、それぞれ

、

を記憶する。

　なお、

に関して、サーバ装置３００_ｉ（ｉ＝１、２、３、４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＣ２）
　第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２はそれぞれ、第１の基本演算シード記憶部３０７_１、第２の基本演算シード記憶部３０７_２より、

を取得する。次に、第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２と第１の再分散値計算部３０２_１と第３の再分散値計算部３０２_３は

を生成する。

　そして、第１の再分散値計算部３０２_１は、

を第１のデータ記憶部３０８_１に記憶する。第３の再分散値計算部３０２_３は、

を、第３のシェア構成部３０３_３に送信する。また、第２の再分散値計算部３０２_２は

を、第４のシェア構成部３０３_４に送信する。

　同様に、第１の再分散値計算部３０２_１、第２の再分散値計算部３０２_２と第３の再分散値計算部３０２_３は、

を生成する。第２の再分散値計算部３０２_２は、

を第２のデータ記憶部３０８_２に記憶する。第１の再分散値計算部３０２_１は、

を、第１のシェア構成部３０３_１に送信する。また、第３の再分散値計算部３０２_３は

を、第４のシェア構成部３０３_４に送信する。

　さらに同様に、第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２と第３の再分散値計算部３０２_３は、

を生成する。第３の再分散値計算部３０２_３は、

を第３のデータ記憶部３０８_３に記憶する。第２の再分散値計算部３０２_２は、

を、第２のシェア構成部３０３_２に送信する。また、第１の再分散値計算部３０２_１は

を、第４のシェア構成部３０３_４に送信する。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置３００_１～３００_４の間で共有している。

（ステップＣ３）
　各シェア構成部３０３_１、３０３_２、３０３_３、３０３_４は上記ステップＣ２で送信された値を用いて、以下の１２の式によりシェアを構成する。

　　　　　　　　　　　　　　　　　　
ここで、

に対し、

は

の

番目のビット

を意味する。

、

が各ｉ番目のデータ記憶部３０８_ｉに記憶される。

　上記ステップＣ３における１２の式において、

は、

としたとき、

、

と置き換えることできる。このように、

となるので、各再分散値計算部３０２_ｉは、値ｘの再分散値を計算する際、値ｘをｘ１、ｘ２、ｘ３の排他的論理和とする場合にｘ１乃至ｘ３のうち２つの値を等しくするように乱数を生成している。

（ステップＣ４）
　各ｉ番目の論理演算部３０６_ｉで通信することで、ｎビット加算器処理

を以下のように計算する。ここで、

とは、たとえば、

、

を入力とし、

を出力する処理のことである。

ここで、

なので、

が計算できた。なお、

は、

、…、

のシェア列を意味する。各ｉ番目の論理演算部３０６_ｉは、

を各データ記憶部３０８_ｉに記憶する。

（ステップＣ５）
　第１の再分散値計算部３０２_１は、第１のデータ記憶部３０８_１から

を取り出す。次に、第１の再分散値計算部３０２_１は、

を、第４の不正検知部３０４_４に送信する。第４の不正検知部３０４_４は、第４のデータ記憶部３０８_４に記憶されている

を取出し、

が成立するかを検証する。

　成立した場合、第４の不正検知部３０４_４は、successの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部３０４_４は、abortの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、プロトコルを中断する。

　同様に、第２の再分散値計算部３０２_２は、

を第２のデータ記憶部３０８_２から取り出す。次に、第２の再分散値計算部３０２_２は、

を、第４の不正検知部３０４_４に送信する。第４の不正検知部２０４_４は、第４のデータ記憶部３０８_４に記憶されている

を取出し、

が成立するかを検証する。

　さらに同様に、第３の再分散値計算部３０２_３は、

を第３のデータ記憶部３０８_３から取り出す。次に、第３の再分散値計算部３０２_３は、

を取出し、

が成立するかを検証する。

　成立した場合、第４の不正検知部３０４_４は、successの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第４の不正検知部３０４_４は、abortの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列して行う場合、

については、それぞれの値を連結したものに対するハッシュ値を送信し、ハッシュ値同士の比較によって検証してもよい。このとき、処理全体の計算量に対して、ハッシュ値の送信量は無視できるものと捉えることができる。

（ステップＣ６）
　各ｉ番目の不正検知部３０４_ｉは、上記ステップＣ４の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置３００_１、３００_２、３００_３、３００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置３００_１、３００_２、３００_３、３００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＣ６は上記ステップＣ５と並列に実行することが可能である。

　次に、図１２に示す環合成に関するフローチャートを説明する。

（ステップＤ１）
各基本演算シード記憶部３０７_１、３０７_２、３０７_３、３０７_４は、それぞれ

、

を記憶する。

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部３０８_１～３０８_４に、

、

を記憶する。さらに、各データ記憶部３０８_１～３０８_４に、ループカウンタｊ（＝０）を記憶する。なお、

とし、

、

とする。

　また、

の出力を計算できず、他の三台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＤ２）
　各サーバ装置３００_ｉは、各データ記憶部３０８_ｉより、ループカウンタｊをとりだす。各サーバ装置３００_ｉは、ｊ＜ｎであればステップＤ３～Ｄ７を実行する。ｊ＝ｎであれば、各サーバ装置３００_ｉはステップＤ８を実行する。

　また、各算術演算部３０５_１～３０５_４は、各データ記憶部３０８_１～３０８_４から

を取り出す。そして、各算術演算部３０５_１～３０５_４は、

を計算し、

を各データ記憶部３０８_１～３０８_４に記憶する。なお、第ｉのデータ記憶部３０８_ｉが記憶する

を

と表記する。また、

とする。

（ステップＤ３）
　第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２と第３の再分散値計算部３０２_３はそれぞれ、第１の基本演算シード記憶部３０７_１、第２の基本演算シード記憶部３０７_２、第３の基本演算シード記憶部３０７_３より、

を取得する。次に、第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２と第３の再分散値計算部３０２_３は、

を生成する。そして、第１の再分散値計算部３０２_１は、

を第１のシェア構成部３０３_１に送信する。第３の再分散値計算部３０２_３は

を、第３のシェア構成部３０３_３に送信する。第２の再分散値計算部３０２_２は、第２のデータ記憶部３０８_２から

を取出し、

を、第４のシェア構成部３０３_４に送信する。

　同様に、第１の再分散値計算部３０２_１と第２の再分散値計算部３０２_２と第３の再分散値計算部３０２_３は

を生成する。第２の再分散値計算部３０２_２は、

を、第２のシェア構成部３０３_２に送信する。第１の再分散値計算部３０２_１は、

を、第１のシェア構成部３０３_１に送信する。また、第３の再分散値計算部３０２_３は、第３のデータ記憶部３０８_２から

を取出し、

を、第４のシェア構成部３０３_４に送信する。

を生成する。第３の再分散値計算部３０２_３は、

を第３のシェア構成部３０３_３に送信する。第２の再分散値計算部３０２_２は、

を、第２のシェア構成部３０３_２に送信する。また、第１の再分散値計算部３０２_１は、第１のデータ記憶部３０８_１から

を取出し、

を、第４のシェア構成部３０３_４に送信する。

　ここで、

である。

（ステップＤ４）
　各シェア構成部３０３_１、３０３_２、３０３_３、３０３_４は上記ステップＤ３で送信された値と、各ｉ番目のデータ記憶部３０８_ｉに記憶された

を用いて、以下の１２の式によりシェアを構成する。

、

が各ｉ番目のデータ記憶部３０８_ｉに記憶される。

（ステップＤ５）
　上記ステップＢ５と同じ処理が行われる。

（ステップＤ６）
　第１の再分散値計算部３０２_１は、第１のデータ記憶部３０８_１から

を取り出す。次に、第１の再分散値計算部３０２_１は、

を取出し、

が成り立つかを検証する。

　成り立つ場合、第４の不正検知部２０４_４は、successの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部３０４_４は、abortの文字列を各サーバ装置３００_１、３００_２、３００_３、３００_４にブロードキャストし、プロトコルを中断する。

　同様に、第２の再分散値計算部３０２_２は、第２のデータ記憶部３０８_２から

を取り出す。次に、第２の再分散値計算部３０２_２は、

を取出し

が成立するかを検証する。

　さらに同様に、第３の再分散値計算部３０２_３は、第３のデータ記憶部３０８_３から

を取り出す。次に、第３の再分散値計算部３０２_３は、

を取出し、

が成立するかを検証する。

　なお、大量の型変換処理を並列して行う場合、

（ステップＤ７）
　各ｉ番目の不正検知部３０４_ｉは、上記ステップＤ５の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置３００_１、３００_２、３００_３、３００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置３００_１、３００_２、３００_３、３００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＤ７は上記ステップＤ６と並列に実行することが可能である。また、ステップＤ６、Ｄ７はループごとではなく、ｊ＝ｎ－１のときに、ｎ回のループ分を並列に実行することが可能である。

（ステップＤ８）
　上記ステップＢ８と同じ処理が行われる。

　以上、説明した第３の実施形態においては、第１の実施形態および第２の実施形態における効果と同じ効果を奏する。ただし、第１の実施形態における第１の効果および第２の実施形態における第１の効果に関して、第３の実施形態の方が通信コストの点で効率が良い。第３の実施形態では、第１乃至第２の実施形態と同様、ビット分解に関して

の計算を２回、環合成に関して

の計算によって実行できる。第３の実施形態と第１乃至第２の実施形態とで異なる点は、加算器計算前の再分散が効率よく行われている点である。リップルキャリー型のｎビット加算器を用いて不正検知に関する処理を並列に行った場合、第３の実施形態では、ビット分解の通信コストとして、１３ｎ－１０ビット・ｎ＋１ラウンドを要する。環合成の通信コストとして、１３ｎ－１３ビット・２ｎ－２ラウンドを要する。これにより、第３の実施形態の方が第１及び第２の実施形態よりも通信コストの点で効率が良い。なお、本願開示の実施はリップルキャリー型のｎビット加算器に限定されない。キャリールックアヘッド型やパラレルプリフィックス型などのｎビット加算器を用いても良い。

［第４の実施形態］
　図１３～図１５を参照して、第４の実施形態に係る型変換処理システムについて説明する。

　図１３は、第４の実施形態による型変換処理システムの機能構成例を示すブロック図である。第４の実施形態に係る型変換処理システムは、上述した第１乃至第３の実施形態に係る型変換処理システムの変形例である。

　図１３を参照すると、第４の実施形態による型変換処理システムは、後述する図１４で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第４の実施形態による型変換処理システムにおいて、サーバ装置４００_１、４００_２、４００_３、４００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図１４は、第ｉのサーバ装置４００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図１４に示すように、第ｉのサーバ装置４００_ｉは、第ｉの再分散値計算部４０２_ｉと、第ｉのシェア構成部４０３_ｉと、第ｉの不正検知部４０４_ｉと、第ｉの算術演算部４０５_ｉと、第ｉの論理演算部４０６_ｉと、第ｉの基本演算シード記憶部４０７_ｉと、第ｉのデータ記憶部４０８_ｉと、を含む。なお、第ｉの再分散値計算部４０２_ｉと、第ｉのシェア構成部４０３_ｉと、第ｉの不正検知部４０４_ｉと、第ｉの算術演算部４０５_ｉと、第ｉの論理演算部４０６_ｉと、第ｉの基本演算シード記憶部４０７_ｉと、第ｉのデータ記憶部４０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置４００_１～４００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部４０８_１～４０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置４００_１～４００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部４０８_１～４０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置４００_１～４００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置４００_１～４００_４ではない外部にシェアが送信され、シェアが復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置４００_１～４００_４の内のいずれかの装置が入力した値

に対し、その入力や計算過程の値から

の値を知られることなく、

　次に、第４の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置４００_１～４００_４の動作について、詳細に説明する。図１５は、第１乃至第４のサーバ装置４００_１～４００_４の環合成に関する動作例を示すフローチャートである。ビット分解については、第３の実施例と同様に実施可能なため、詳細な説明を割愛する。

　図１５に示す環合成に関するフローチャートを説明する。

（ステップＤ´１）
各基本演算シード記憶部４０７_１、４０７_２、４０７_３、４０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置４００_１～４００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部４０８_１～４０８_４に、

、

を記憶する。さらに、各データ記憶部４０８_１～４０８_４に、ループカウンタｊ（＝１）を記憶する。なお、

とし、

、

とする。

また、

に関して、サーバ装置４００_ｉ（ｉ＝１、２、３、４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＤ´２）
　各サーバ装置４００_ｉは、以下に示す式のように

の値を定める。

　各データ記憶部４０８_１～４０８_４は、それぞれ

、

を記憶する。

　第１の再分散値計算部４０２_１と第２の再分散値計算部４０２_２と第３の再分散値計算部４０２_３はそれぞれ、第１の基本演算シード記憶部４０７_１、第２の基本演算シード記憶部４０７_２、第３の基本演算シード記憶部４０７_３より、

を取得する。次に、第１の再分散値計算部４０２_１と第２の再分散値計算部４０２_２と第３の再分散値計算部４０２_３は

を生成する。

　そして、第１の再分散値計算部４０２_１は、

を第１のシェア構成部４０３_１に送信する。第３の再分散値計算部４０２_３は

を、第３のシェア構成部４０３_３に送信する。第２の再分散値計算部４０２_２は、第２のデータ記憶部４０８_２から

を取出し、

を、第４のシェア構成部４０３_４に送信する。

　同様に、第１の再分散値計算部４０２_１と第２の再分散値計算部４０２_２と第３の再分散値計算部４０２_３は

を生成する。第２の再分散値計算部４０２_２は、

を、第２のシェア構成部４０３_２に送信する。第１の再分散値計算部４０２_３は、

を、第１のシェア構成部４０３_１に送信する。また、第３の再分散値計算部４０２_３は、第３のデータ記憶部４０８_３から

を取出し、

を、第４のシェア構成部４０３_４に送信する。

　さらに同様に、第１の再分散値計算部４０２_１と第２の再分散値計算部４０２_２と第３の再分散値計算部４０２_３は

を生成する。第３の再分散値計算部４０２_３は、

を第３のシェア構成部４０３_３に送信する。第２の再分散値計算部４０２_２は、

を、第２のシェア構成部４０３_２に送信する。また、第１の再分散値計算部４０２_１は、第１のデータ記憶部４０８_１から

を取出し、

を、第４のシェア構成部４０３_４に送信する。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置４００_１～４００_４の間で共有している。

（ステップＤ´３）
　各シェア構成部４０３_１、４０３_２、４０３_３、４０３_４は上記ステップＤ´２で送信された値と、各ｉ番目のデータ記憶部４０８_ｉに記憶された

を用いて、以下の１２の式によりシェアを構成する。

、

が各ｉ番目のデータ記憶部４０８_ｉに記憶される。

（ステップＤ´４）
　第１の再分散値計算部４０２_１は、第１のデータ記憶部４０８_１から

を取り出す。次に、第１の再分散値計算部４０２_１は、

を、第４の不正検知部４０４_４に送信する。第４の不正検知部４０４_４は、第４のデータ記憶部４０８_４に記憶されている

を取出し、

が成り立つかを検証する。

　成り立つ場合、第４の不正検知部４０４_４は、successの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部４０４_４は、abortの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、プロトコルを中断する。

　同様に、第２の再分散値計算部４０２_２は、第２のデータ記憶部４０８_２から

を取り出す。次に、第２の再分散値計算部４０２_２は、

を取出し

が成立するかを検証する。

　成立した場合、第４の不正検知部４０４_４は、successの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部４０４_４は、abortの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、プロトコルを中断する。

　さらに同様に、第３の再分散値計算部４０２_３は、第３のデータ記憶部４０８_３から

を取り出す。次に、第３の再分散値計算部４０２_３は、

を取出し、

が成立するかを検証する。

　成立した場合、第４の不正検知部４０４_４は、successの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、次のステップに進む。一致しなかった場合、第４の不正検知部４０４_４は、abortの文字列を各サーバ装置４００_１、４００_２、４００_３、４００_４にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列して行う場合、

（ステップＤ´５）
　各サーバ装置４００_ｉは、各データ記憶部４０８_ｉより、ループカウンタｊをとりだす。各サーバ装置４００_ｉは、ｊ＜ｎであればステップＤ´６～Ｄ´１０を実行する。各サーバ装置４００_ｉは、ｊ＝ｎであれば、ステップＤ´１１を実行する。

（ステップＤ´６）
　上記ステップＢ´６と同じ処理なので説明を割愛する。

（ステップＤ´７）
　第１の再分散値計算部４０２_１と第２の再分散値計算部４０２_２と第３の再分散値計算部４０２_３はそれぞれ、第１の基本演算シード記憶部４０７_１、第２の基本演算シード記憶部４０７_２、第３の基本演算シード記憶部４０７_３より、

を生成する。

　そして、第１の再分散値計算部４０２_１は、

を第１のシェア構成部４０３_１に送信する。第３の再分散値計算部４０２_２は

を、第３のシェア構成部４０３_４に送信する。第２の再分散値計算部４０２_２は、第２のデータ記憶部４０８_２から

を取出し、

を、第４のシェア構成部４０３_４に送信する。

を生成する。第２の再分散値計算部４０２_２は、

を取出し、

を、第４のシェア構成部４０３_４に送信する。

を生成する。第３の再分散値計算部４０２_３は、

を取出し、

を、第４のシェア構成部４０３_４に送信する。

　ここで、

である。

　また、論理演算部４０６_ｉ（ｉ＝１、２、３、４）は、

、

および

を入力に取り、

を通信を伴って計算することで、

を得る。論理演算部４０６_ｉ（ｉ＝１、２、３、４）は、データ記憶部４０８_ｉ（ｉ＝１、２、３、４）に

を記憶する。

（ステップＤ´８）
　各シェア構成部４０３_１、４０３_２、４０３_３、４０３_４は上記ステップＤ´７で送信された値と、各ｉ番目のデータ記憶部４０８_ｉに記憶された

を用いて、以下の１２の式によりシェアを構成する。

、

が各ｉ番目のデータ記憶部４０８_ｉに記憶される。また、データ記憶部４０８_ｉはループカウンタ

を取り出し、ｊ＝ｊ＋１として値を更新する。

（ステップＤ´９）
　第１の再分散値計算部４０２_１は、第１のデータ記憶部４０８_１から

を取り出す。次に、第１の再分散値計算部３０２_１は、

を取出し、

が成り立つかを検証する。

を取り出す。次に、第２の再分散値計算部４０２_２は、

を取出し

が成立するかを検証する。

を取り出す。次に、第３の再分散値計算部４０２_３は、

を取出し、

が成立するかを検証する。

　なお、大量の型変換処理を並列して行う場合、

については、それぞれの値を連結したものに対するハッシュ値を送信し、ハッシュ値同士の比較によって検証してもよい。このとき、処理全体の計算量に対して、ハッシュ値の送信量は無視できるものと捉えることができる。なお、ステップＤ´９は、ループごとではなく、ｊ＝ｎ－１のときに全ループ分を並列に実行しても良い。また、ステップＤ´９は、上記ステップＤ´４と並列に実行することも可能である。

（ステップＤ´１０）
　各ｉ番目の不正検知部４０４_ｉは、上記ステップＤ´７の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置４００_１、４００_２、４００_３、４００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置４００_１、４００_２、４００_３、４００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＤ´１０は上記ステップＤ´４、Ｄ´９と並列に実行することが可能である。また、ステップＤ´１０はループごとではなく、ｊ＝ｎ－１のときに、全ループ分を並列に実行することが可能である。

（ステップＤ´１１）
　上記ステップＢ´１１と同じ処理なので説明を割愛する。

　以上、説明した第４の実施形態においては、第１乃至第３の実施形態における効果と同じ効果を奏する。ただし、第３の実施形態における第１の効果に関して、第４の実施形態の方が環合成における通信コストの点で効率が良い。キャリー計算処理

を分割して考え、シェアの再分散とキャリー計算における通信を伴う処理を並列して行うことで、通信ラウンドの削減を実現している。このため、第４の実施形態における環合成の通信コストは、（１３ｎ－１３）ビット・ｎ－１ラウンドとなる。

［第５の実施形態］
　図１６～図１８を参照して、第５の実施形態に係る型変換処理システムについて説明する。第５の実施形態に係る型変換処理システムは、上述した第１乃至第４の実施形態に係る型変換処理システムの変形例である。

　図１６は、第５の実施形態による型変換処理システムの機能構成例を示すブロック図である。図１６を参照すると、第５の実施形態による型変換処理システムは、後述する図１７で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第５の実施形態による型変換処理システムにおいて、サーバ装置５００_１、５００_２、５００_３、５００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図１７は、第ｉのサーバ装置５００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図１７に示すように、第ｉのサーバ装置５００_ｉは、第ｉのマスク値計算部５０１_ｉと、第ｉの再分散値計算部５０２_ｉと、第ｉのシェア構成部５０３_ｉと、第ｉの不正検知部５０４_ｉと、第ｉの算術演算部５０５_ｉと、第ｉの論理演算部５０６_ｉと、第ｉの基本演算シード記憶部５０７_ｉと、第ｉのデータ記憶部５０８_ｉと、を含む。なお、第ｉのマスク値計算部５０１_ｉと、第ｉの再分散値計算部５０２_ｉと、第ｉのシェア構成部５０３_ｉと、第ｉの不正検知部５０４_ｉと、第ｉの算術演算部５０５_ｉと、第ｉの論理演算部５０６_ｉと、第ｉの基本演算シード記憶部５０７_ｉと、第ｉのデータ記憶部５０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置５００_１～５００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部５０８_１～５０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置５００_１～５００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部５０８_１～５０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置５００_１～５００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置５００_１～５００_４ではない外部にシェアが送信され、復元されてもよい。

　次に、第５の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置５００_１～５００_４の動作について、詳細に説明する。図１７は、第１乃至第４のサーバ装置５００_１～５００_４のビット分解に関する動作例を示すフローチャートである。環合成については、たとえば、第３又は第４の実施形態における環合成と同様とすることができるので、説明を割愛する。

　以下、図１７に示すビット分解に関するフローチャートを説明する。

（ステップＥ１）
　各基本演算シード記憶部５０７_１、５０７_２、５０７_３、５０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置５００_１～５００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部５０８_１～５０８_４に、それぞれ

、

を記憶する。ここで、

を文字列連結演算子とする。なお、

に関して、サーバ装置５００_ｉ（ｉ＝１、２、３、４）の内、ある一台のサーバ装置は

の出力を計算できず、他の三台のサーバ装置は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＥ２）
　第１、第２、第３のマスク値計算部５０１_１、５０１_２、５０１_３は

を計算し、第１、第２、第３のデータ記憶部５０９_１、５０９_２、５０９_３に

を記憶する。第２のマスク値計算部５０１_２は、データ記憶部５０８_２からシェア

を取り出す。第２のマスク値計算部５０１_２は、

を生成し、

を第４のサーバ装置５００_４に送信する。第４のサーバ装置５００_４は、第４のデータ記憶部５０８_４に

を記憶する。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置５００_１～５００_４の間で共有している。

　このように、第ｉのマスク値計算部５０１_ｉは、シェア（例えば、上記の例ではｘ_２）をマスクするためのマスク値（例えば、上記の例ではｒ）を計算する。当該計算されたマスク値によりマスクされたシェア（上記の例では、ｙ＝ｘ_２＋ｒ）が他のサーバ装置に送信される。

（ステップＥ３）
　各シェア構成部５０３_１、５０３_２、５０３_３、５０３_４は各データ記憶部５０８_１、５０８_２、５０８_３、５０８_４からそれぞれ、

、

を取り出し、以下の１６の式によりシェアを構成する。

ここで、

に対し、

は

、

は各ｉ番目のデータ記憶部５０８_ｉに記憶される。このように、第ｉのシェア構成部５０３_ｉは、送信されたマスク値を用いて型変換用のシェアを構成する。

（ステップＥ４）
　各ｉ番目の論理演算部５０６_ｉで通信することで、ｎビット加算器処理

を以下のように計算する。ここで、

とは、たとえば、

、

を入力とし、

を出力する処理のことである。

ここで、

なので、

が計算できた。なお、

は、

、…、

のシェア列を意味する。各ｉ番目の論理演算部５０６_ｉは、

を各データ記憶部５０８_ｉに記憶する。

（ステップＥ５）
　第１のサーバ装置５００_１は、上記ステップＥ２における第２のサーバ装置５００_２と同様、第１のマスク値計算部５０１_１は、

を生成し、

を記憶する。第４の不正検知部５０４_４は、第４のデータ記憶部５０８_４から

を取り出し、

が成り立つか、検証する。

が成り立つ場合は、第４の不正検知部５０４_４はsuccessの文字列を各サーバ装置５００_１、５００_２、５００_３にブロードキャストし、次のステップに進む。

が成り立たない場合は、第４の不正検知部５０４_４はabortの文字列を各サーバ装置５００_１、５００_２、５００_３にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列に行う際に、各ステップＥ５における

を連結してハッシュ値

を計算し、

に対しても連結した値に対するハッシュ値

を計算することで、

が成り立つか否かの検証を

が成り立つか否かの検証と捉えてもよい。このとき、

に関する通信量は処理全体の計算量に対し、無視できるものと捉えることができる。

（ステップＥ６）
　各ｉ番目の不正検知部５０４_ｉは、上記ステップＥ４の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置５００_１、５００_２、５００_３、５００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置５００_１、５００_２、５００_３、５００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＥ６は上記ステップＥ５と並列に実行することが可能である。

　以上、説明した第５の実施形態においては、第１乃至第４の実施形態における効果と同じ効果を奏する。なお、ビット分解について、理論的な通信コストとしては第５の実施形態の方が、他の実施形態よりも劣っているが、通信の形態が変化していることに留意されたい。たとえば、第３の実施形態では、ステップＣ２にて、第１のサーバ装置３００_１、第２のサーバ装置３００_２、第３のサーバ装置３００_３から第４のサーバ装置３００_４への通信が生じている。一方、第５の実施形態におけるステップＥ２では、第２のサーバ装置５００_２から、第４のサーバ装置５００_４への通信の発生だけで済む。このように通信の形態が変わるため、通信環境によっては第５の実施形態の方が、効率が良い場合があり得る。

［第６の実施形態］
　図１９～図２１を参照して、第６の実施形態に係る型変換処理システムについて説明する。図１９は、第６の実施形態による型変換処理システムの機能構成例を示すブロック図である。第６の実施形態に係る型変換処理システムは、上述した第１乃至第５の実施形態に係る型変換処理システムの変形例である。

　図１９を参照すると、第６の実施形態による型変換処理システムは、後述する図２０で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第６の実施形態による型変換処理システムにおいて、サーバ装置６００_１、６００_２、６００_３、６００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図２０は、第ｉのサーバ装置６００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図２０に示すように、第ｉのサーバ装置６００_ｉは、第ｉのマスク値計算部６０１_ｉと、第ｉの再分散値計算部６０２_ｉと、第ｉのシェア構成部６０３_ｉと、第ｉの不正検知部６０４_ｉと、第ｉの算術演算部６０５_ｉと、第ｉの論理演算部６０６_ｉと、第ｉの基本演算シード記憶部６０７_ｉと、第ｉのデータ記憶部６０８_ｉと、を含む。なお、第ｉのマスク値計算部６０１_ｉと、第ｉの再分散値計算部６０２_ｉと、第ｉのシェア構成部６０３_ｉと、第ｉの不正検知部６０４_ｉと、第ｉの算術演算部６０５_ｉと、第ｉの論理演算部６０６_ｉと、第ｉの基本演算シード記憶部６０７_ｉと、第ｉのデータ記憶部６０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置６００_１～６００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部６０８_１～６０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置６００_１～６００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部６０８_１～６０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置６００_１～６００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置６００_１～６００_４ではない外部にシェアが送信され、復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置６００_１～６００_４の内のいずれかの装置が入力した値

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部６０８_１～６０８_４に記憶する。上記計算結果のシェアは、第１乃至第４のサーバ装置６００_１～６００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置６００_１～６００_４ではない外部にシェアが送信され、復元されてもよい。

　次に、第６の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置６００_１～６００_４の動作について、詳細に説明する。図２０は、第１乃至第４のサーバ装置６００_１～６００_４のビット分解に関する動作例を示すフローチャートである。環合成については、たとえば、第３又は第４の実施形態における環合成と同様とすることができるので、説明を割愛する。

　以下に図２０に示すビット分解に関するフローチャートを説明する。

（ステップＦ１）
　各基本演算シード記憶部６０７_１、６０７_２、６０７_３、６０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置６００_１～６００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部６０８_１～６０８_４に、それぞれ

、

を記憶する。なお、

に関して、サーバ装置６００_ｉ（ｉ＝１、２、３、４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＦ２）
　第１、第２、第３のマスク値計算部６０１_１、６０１_２、６０１_３は

を計算し、第１、第２、第３のデータ記憶部６０８_１、６０８_２、６０８_３に

を記憶する。第２のマスク値計算部６０１_２は、データ記憶部６０８_２からシェア

を取り出す。第２のマスク値計算部６０１_２は、

を生成し、

を第４のサーバ装置６００_４に送信する。第４のサーバ装置６００_４は、第４のデータ記憶部６０８_４に

を記憶する。

　次に、第１の再分散値計算部６０２_１と第２の再分散値計算部６０２_２と第３の再分散値計算部６０２_３はそれぞれ、第１の基本演算シード記憶部６０７_１、第２の基本演算シード記憶部６０７_２、第３の基本演算シード記憶部６０７_３より、

を取得する。そして、第１の再分散値計算部６０２_１と第２の再分散値計算部６０２_２と第３の再分散値計算部６０２_３は

を生成する。さらに、第３の再分散値計算部６０２_３は、

を第３のデータ記憶部６０８_３に記憶する。第１の再分散値計算部６０２_１は、

を、第１のシェア構成部６０３_１に送信する。また、第２の再分散値計算部６０２_２は、第２のデータ記憶部６０８_２から

を取り出し、

を、第４のシェア構成部６０３_４に送信する。

　ここで、

である。

は、たとえば、カウンタであり、各サーバ装置６００_１～６００_４の間で共有している。

（ステップＦ３）
　各シェア構成部６０３_１、６０３_２、６０３_３、６０３_４は、各データ記憶部６０８_１、６０８_２、６０８_３、６０８_４からそれぞれ、

、

を取り出す。さらに上記ステップＦ２で送信された値を用いて、以下の１２の式によりシェアを構成する。

ここで、

に対し、

は

のｊ番目のビット（ｊ＝０、．．．、ｎ-１）を意味する。

、

が各ｉ番目のデータ記憶部６０８_ｉに記憶される。

（ステップＦ４）
　各ｉ番目の論理演算部６０６_ｉで通信することで、ｎビット加算器処理

を以下のように計算する。ここで、

とは、たとえば、

、

を入力とし、

を出力する処理のことである。

ここで、

なので、

が計算できた。なお、

は、

、…、

のシェア列を意味する。各ｉ番目の論理演算部６０６_ｉは、

を各データ記憶部６０８_ｉに記憶する。

（ステップＦ５）
　第１のサーバ装置６００_１は、上記ステップＦ２における第２のサーバ装置６００_２と同様、第１のマスク値計算部６０１_１は、

を生成し、

を記憶する。第４の不正検知部６０４_４は、第４のデータ記憶部６０８_４から

を取り出し、

が成り立つか、検証する。

が成り立つ場合は、第４の不正検知部６０４_４はsuccessの文字列を各サーバ装置６００_１、６００_２、６００_３にブロードキャストし、次のステップに進む。

が成り立たない場合は、第４の不正検知部６０４_４はabortの文字列を各サーバ装置６００_１、６００_２、６００_３にブロードキャストし、プロトコルを中断する。

　第２の再分散値計算部６０２_２は、

を第２のデータ記憶部６０８_２から取り出す。次に、第２の再分散値計算部６０２_２は、

を、第４の不正検知部６０４_４に送信する。第４の不正検知部６０４_４は、第４のデータ記憶部６０８_４に記憶されている

を取出し、

が成立するかを検証する。

　成立した場合、第４の不正検知部６０４_４は、successの文字列を各サーバ装置６００_１、６００_２、６００_３、６００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部６０４_４は、abortの文字列を各サーバ装置６００_１、６００_２、６００_３、６００_４にブロードキャストし、プロトコルを中断する。

なお、大量の型変換処理を並列して実行する場合、

、

に関しては、それぞれの値を連結したものに対するハッシュ値を送信し、ハッシュ値同士の比較によって検証してもよい。このとき、処理全体の計算量に対して、ハッシュ値の送信量は無視できるものと捉えることができる。

（ステップＦ６）
　各ｉ番目の不正検知部６０４_ｉは、上記ステップＦ４の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置６００_１、６００_２、６００_３、６００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置６００_１、６００_２、６００_３、６００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＦ６は上記ステップＦ５と並列に実行することが可能である。

　以上、説明した第６の実施形態においては、第１乃至第５の実施形態における効果と同じ効果を奏する。また、ビット分解の理論的な通信コストについて、第６の実施形態の方が第１乃至第５の実施形態よりも、効率が良い。第６の実施形態では、第１至第４の実施形態と同様、ビット分解に関して

の計算を２回行うことで実現できる。

　第６の実施形態と第１乃至第４の実施形態とで異なる点は、加算器計算前の再分散が効率よく行われている点である。リップルキャリー型のｎビット加算器を用いて不正検知に関する処理を並列に行った場合、第６の実施形態では、ビット分解の通信コストとして、１２ｎ－１０ビット・ｎ＋１ラウンドを要する。これより、第６の実施形態におけるビット分解の方が、第１乃至第５の実施形態におけるビット分解よりも通信コストの点で効率が良い。なお、本願開示の実施はリップルキャリー型のｎビット加算器に限定されない。キャリールックアヘッド型やパラレルプリフィックス型などのｎビット加算器を用いても良い。

［第７の実施形態］
　図２２～図２４を参照して、第７の実施形態に係る型変換処理システムについて説明する。図２２は、第７の実施形態による型変換処理システムの機能構成例を示すブロック図である。第７の実施形態に係る型変換処理システムは、上述した第１乃至第６の実施形態に係る型変換処理システムの変形例である。

　図２２を参照すると、第７の実施形態による型変換処理システムは、後述する図２３で参照される第ｉ（ｉ＝１、２、３、４）のサーバ装置から成る。第７の実施形態による型変換処理システムにおいて、サーバ装置７００_１、７００_２、７００_３、７００_４は、自身と異なるサーバ装置とネットワーク経由で通信可能に接続されている。図２３は、第ｉのサーバ装置７００_ｉ（ｉ＝１、２、３、４）の機能構成例を示すブロック図である。

　図２３に示すように、第ｉのサーバ装置７００_ｉは、第ｉのマスク値計算部７０１_ｉと、第ｉの再分散値計算部７０２_ｉと、第ｉのシェア構成部７０３_ｉと、第ｉの不正検知部７０４_ｉと、第ｉの算術演算部７０５_ｉと、第ｉの論理演算部７０６_ｉと、第ｉの基本演算シード記憶部７０７_ｉと、第ｉのデータ記憶部７０８_ｉと、を含む。なお、第ｉのマスク値計算部７０１_ｉと、第ｉの再分散値計算部７０２_ｉと、第ｉのシェア構成部７０３_ｉと、第ｉの不正検知部７０４_ｉと、第ｉの算術演算部７０５_ｉと、第ｉの論理演算部７０６_ｉと、第ｉの基本演算シード記憶部７０７_ｉと、第ｉのデータ記憶部７０８_ｉとは、それぞれ接続されている。

　このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置７００_１～７００_４の内のいずれかの装置が入力した値

、あるいは第１乃至第４のデータ記憶部７０８_１～７０８_４に記憶されたシェア

、あるいは第１乃至第４のサーバ装置７００_１～７００_４ではない外部から入力されたシェア

に対し、その入力や計算過程の値から

の値を知られることなく、

を計算し、第１乃至第４のデータ記憶部７０８_１～７０８_４に記憶する。上述の計算結果のシェアは、第１乃至第４のサーバ装置７００_１～７００_４がシェアを送受信し、復元されてもよい。あるいは、第１乃至第４のサーバ装置７００_１～７００_４ではない外部にシェアが送信され、復元されてもよい。

　また、このような構成の型変換処理システムにおいては、第１乃至第４のサーバ装置７００_１～７００_４の内のいずれかの装置が入力した値

に対し、その入力や計算過程の値から

の値を知られることなく、

　次に、第７の実施形態における型変換処理システムおよび第１乃至第４のサーバ装置７００_１～７００_４の動作について、詳細に説明する。図２４は、第１乃至第４のサーバ装置７００_１～７００_４のビット分解に関する動作例を示すフローチャートである。環合成については、たとえば、第３又は第４の実施形態における環合成と同様とすることができるので、説明を割愛する。

　以下、図２４に示すビット分解に関するフローチャートを説明する。

（ステップＧ１）
　各基本演算シード記憶部７０７_１、７０７_２、７０７_３、７０７_４は、それぞれ

、

を記憶する。

　また、各サーバ装置７００_１～７００_４は疑似ランダム関数

を共有する。なお、

とし、疑似ランダム関数

とする。また、各データ記憶部７０８_１～７０８_４に、それぞれ

、

を記憶する。なお、

に関して、サーバ装置７００_ｉ（ｉ＝１、２、３、４）の内、ある一台の参加者は

の出力を計算できず、他の三台の参加者は

の扱いは特に制限されない。本書での

はあくまでも一例である。

（ステップＧ２）
　第１、第２、第３のマスク値計算部７０１_１、７０１_２、７０１_３は

を計算し、第１、第２、第３のデータ記憶部７０８_１、７０８_２、７０８_３に

を記憶する。第２のマスク値計算部７０１_２は、データ記憶部７０８_２からシェア

を取り出す。第２のマスク値計算部７０１_２は、

を生成し、

を第４のサーバ装置７００_４に送信する。第４のサーバ装置７００_４は、第４のデータ記憶部７０８_４に

を記憶する。

　次に、第１の再分散値計算部７０２_１と第２の再分散値計算部７０２_２と第３の再分散値計算部７０２_３はそれぞれ、第１の基本演算シード記憶部７０７_１、第２の基本演算シード記憶部７０７_２、第３の基本演算シード記憶部７０７_３より、

を取得する。そして、第１の再分散値計算部７０２_１と第２の再分散値計算部７０２_２と第３の再分散値計算部７０２_３は

を生成する。さらに、第１の再分散値計算部７０２_１は、

を第１のデータ記憶部７０８_１に記憶する。第３の再分散値計算部７０２_３は、

を、第３のシェア構成部７０３_３に送信する。また、第２の再分散値計算部７０２_２は、第２のデータ記憶部７０８_２から

を取り出し、

を、第４のシェア構成部７０３_４に送信する。

ここで、

である。

は、たとえば、カウンタであり、各サーバ装置７００_１～７００_４の間で共有している。

（ステップＧ３）
　第２の再分散値計算部７０２_２は、第２の基本演算シード記憶部７０７_２から

を取得する。第３の再分散値計算部７０２_３は、第３の基本演算シード記憶部７０７_３から

を取得する。第４の再分散値計算部７０２_４は、第４の基本演算シード記憶部７０７_４から

を取得する。また、第４の再分散値計算部７０２_４は、第４のデータ記憶部７０８_４から

を取得する。

　ここで、第２の再分散値計算部７０２_２および第３の再分散値計算部７０２_３および第４の再分散値計算部７０２_４は

を計算する。第２の再分散値計算部７０２_２および第３の再分散値計算部７０２_３および第４の再分散値計算部７０２_４は、それぞれ、第２のデータ記憶部７０８_２および第３のデータ記憶部７０８_３および第４のデータ記憶部７０８_４に送信する。

　さらに第４の再分散値計算部７０２_４は、

を用いて、

を生成し、第１のシェア構成部７０３_１および第４のシェア構成部７０３_４に送信する。同様に第３の再分散値計算部７０２_４は、

を生成し、第３のシェア構成部７０３_３および第３のデータ記憶部７０８_３に送信する。

　ここで、

である。

（ステップＧ４）
　各シェア構成部７０３_１、７０３_２、７０３_３、７０３_４は、各データ記憶部７０８_１、７０８_２、７０８_３、７０８_４からそれぞれ、

、

を取り出す。さらに上記ステップＧ２、Ｇ３で送信された値を用いて、以下の８の式によりシェアを構成する。

ここで、

に対し、

は

、

は各ｉ番目のデータ記憶部７０８_ｉに記憶される。

　上記ステップＧ４における８の式において、

としたとき、

、

と置き換えることできる。このように、

となるので、各再分散値計算部７０２_ｉは、値ｘ’の再分散値を計算する際、値ｘ’をｘ１’、ｘ２’、ｘ３’の排他的論理和すると場合、ｘ１’を乱数ｒに等しく、ｘ２’をゼロ、ｘ３’を乱数ｒと値ｘの排他的論理和となるように乱数を生成している。
つまり、各再分散値計算部７０２_ｉは、再分散する際に一部がゼロとなるように乱数を生成する。

（ステップＧ５）
　各ｉ番目の論理演算部７０６_ｉで通信することで、加算器処理

を以下のように計算する。ここで、

とは、たとえば、

、

を入力とし、

を出力する処理のことである。

ここで、

なので、

が計算できた。なお、

は、

、…、

のシェア列を意味する。各ｉ番目の論理演算部７０６_ｉは、

を各データ記憶部７０８_ｉに記憶する。

（ステップＧ６）
　第１のサーバ装置７００_１は、上記ステップＧ２における第２のサーバ装置７００_２と同様、第１のマスク値計算部７０１_１は、

を生成し、

を記憶する。第４の不正検知部７０４_４は、第４のデータ記憶部７０８_４から

を取り出し、

が成り立つか、検証する。

が成り立つ場合は、第４の不正検知部７０４_４はsuccessの文字列を各サーバ装置７００_１、７００_２、７００_３にブロードキャストし、次のステップに進む。

が成り立たない場合は、第４の不正検知部７０４_４はabortの文字列を各サーバ装置７００_１、７００_２、７００_３にブロードキャストし、プロトコルを中断する。

　第１の再分散値計算部７０２_１は、

を第１のデータ記憶部７０８_１から取り出す。次に、第１の再分散値計算部７０２_１は、

を、第４の不正検知部７０４_４に送信する。第４の不正検知部７０４_４は、第４のデータ記憶部７０８_４に記憶されている

を取出し、

が成立するかを検証する。

　成立した場合、第４の不正検知部７０４_４は、successの文字列を各サーバ装置７００_１、７００_２、７００_３、７００_４にブロードキャストし、次のステップに進む。成立しなかった場合、第４の不正検知部７０４_４は、abortの文字列を各サーバ装置７００_１、７００_２、７００_３、７００_４にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列に行う場合、

、

（ステップＧ７）
　第３の不正検知部７０４_３は、

を第３のデータ記憶部７０８_３から取出し、

を第１の不正検知部７０４_１に送信する。第１の不正検知部７０４_１は、第１のデータ記憶部７０８_１から

を取出し、

が成り立つか、検証する。

が成り立つ場合は、第１の不正検知部７０４_１はsuccessの文字列を各サーバ装置７００_２、７００_３、７００_４にブロードキャストし、次のステップに進む。

が成り立たない場合は、第１の不正検知部７０４_１はabortの文字列を各サーバ装置７００_２、７００_３、７００_４にブロードキャストし、プロトコルを中断する。

　なお、大量の型変換処理を並列に行う場合、

（ステップＧ８）
　各ｉ番目の不正検知部７０４_ｉは、上記ステップＧ５の

における送受信データを用いて、突き合わせることで不正検知を行う。不正が検知されなかった第１乃至第４のサーバ装置７００_１、７００_２、７００_３、７００_４は、successの文字列を各サーバ装置にブロードキャストする。不正が検知された第１乃至第４のサーバ装置７００_１、７００_２、７００_３、７００_４は、abortの文字列を各サーバ装置にブロードキャストし、プロトコルを中断する。これは上述の不正検知可能な４者間秘密計算によって実現される。ステップＧ８は上記ステップＧ６、Ｇ７と並列に実行することが可能である。

　以上、説明した本発明の第７の実施形態においては、第１乃至第６の実施形態における効果と同じ効果を奏する。また、ビット分解の理論的な通信コストについて、第７の実施形態の方が他の実施形態よりも、効率が良い。第７の実施形態では、ビット分解に関して

の計算を１回行うことで実現できる。リップルキャリー型のｎビット加算器を用いて不正検知に関する処理を並列に行った場合、第５の実施形態では、ビット分解の通信コストとして、８ｎ－５ビット・ｎ＋１ラウンドを要する。これより、第７の実施形態の方が他の実施形態よりもビット分解の通信コストの点で効率が良い。なお、本願開示の実施はリップルキャリー型のｎビット加算器に限定されない。キャリールックアヘッド型やパラレルプリフィックス型などのｎビット加算器を用いても良い。

［ハードウェア構成］
　続いて、秘密計算システムをなす秘密計算サーバのハードウェア構成について説明する。

　図２５は、第ｉの秘密計算サーバ装置１００_ｉのハードウェア構成の一例を示す図である。第ｉの秘密計算サーバ装置１００_ｉは、所謂、情報処理装置（コンピュータ）により実現され、図２５に例示する構成を備える。例えば、第ｉの秘密計算サーバ装置１００_ｉは、内部バスにより相互に接続される、ＣＰＵ（Central Processing Unit）２１、メモリ２２、入出力インターフェイス２３、通信手段であるＮＩＣ（Network Interface Card）２４等を備える。

　但し、図２５に示す構成は、第ｉの秘密計算サーバ装置１００_ｉのハードウェア構成を限定する趣旨ではない。第ｉの秘密計算サーバ装置１００_ｉは、図示しないハードウェアを含んでもよい。第ｉの秘密計算サーバ装置１００_ｉに含まれるＣＰＵ等の数も図２５の例示に限定する趣旨ではなく、例えば、複数のＣＰＵ２１が第ｉの秘密計算サーバ装置１００_ｉに含まれていてもよい。

　メモリ２２は、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、補助記憶装置（ハードディスク等）等である。

　入出力インターフェイス２３は、図示しない入出力装置のインターフェイスである。入出力装置には、例えば、表示装置、操作デバイス等が含まれる。表示装置は、例えば、液晶ディスプレイ等である。操作デバイスは、例えば、キーボードやマウス等である。

　第ｉの秘密計算サーバ装置１００_ｉの機能は、上述の処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ２２に格納されたプログラムをＣＰＵ２１が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能は、何らかのハードウェア、或いはハードウェアを利用して実行されるソフトウェアにより実現できればよい。

［変形例］
　なお、第１乃至第７の実施形態にて説明した秘密計算検証システムの構成及び動作は例示であって、種々の変形が可能である。例えば、上記実施形態では、４つの秘密計算サーバ装置１００_１～１００_４が対等である場合を説明したが、１つのサーバ装置を代表サーバとして定めてもよい。この場合、代表サーバが秘密計算に用いるデータの入出力（入力データの分散及び配布、計算結果の復号）を制御してもよい。

　上述の説明で用いたフローチャートでは、複数の工程（処理）が順番に記載されているが、各実施形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態は、内容が相反しない範囲で組み合わせることができる。即ち、上記各実施形態の任意の組み合わせが更なる実施形態として含まれる。

　上記の説明により、本発明の産業上の利用可能性は明らかであるが、本発明は、たとえば、

の環上で実行される２－ｏｕｔ－ｏｆ－４複製型秘密分散を用いた不正検知可能な４者間ＭＰＣにて、生体テンプレート照合や統計演算などの混合回路の計算を効率よく実現する場合に好適である。また、本発明では加算器を計算する際に用いる回路を変更することで、通信量と通信回数についてトレードオフが成立するような異なる型変換を実現できる。これにより、通信環境に応じて、効率よく型変換を行える。よって、型変換をサブルーチンとして用いる混合回路を上記４者間ＭＰＣにて実行する際に、通信環境に応じて、効率よく実行できる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　上述の第１の視点に係る情報処理装置のとおりである。
［付記２］
　前記生成された乱数に関するデータを用いて不正行為者の有無を検知する、不正検知部をさらに備える、好ましくは付記１に記載の情報処理装置。
［付記３］
　前記型変換されたシェアについての論理演算を行う論理演算部をさらに備え、
　前記論理演算部は、他の装置と互いに通信を行い前記型変換されたシェアの加算処理を実行し、
　前記不正検知部は、前記型変換されたシェアの加算処理のために送受信されたデータを用いて不正行為者の有無を検知する、好ましくは付記２に記載の情報処理装置。
［付記４］
　前記論理演算部は、他の装置と互いに通信を行い前記型変換されたシェアのキャリー計算処理を実行し、
　前記不正検知部は、前記型変換されたシェアのキャリー計算処理のために送受信されたデータを用いて不正行為者の有無を検知する、好ましくは付記３に記載の情報処理装置。
［付記５］
　前記キャリー計算処理は、第１要素及び前記第１要素に続く第２要素に分離可能であり、
　前記論理演算部は、
　前記第１要素を他の装置と非通信により計算すると共に、前記シェアの再分散値の計算に必要な通信と前記第２要素のキャリー計算処理に必要な通信を並列に行う、好ましくは付記４に記載の情報処理装置。
［付記６］
　シェアをマスクするためのマスク値を計算すると共に、前記計算されたマスク値によりマスクされたシェアを他の装置に送信する、マスク値計算部をさらに備え、
　前記シェア構成部は、前記送信されたマスク値を用いて前記型変換用のシェアを構成する、好ましくは付記１乃至５のいずれか一に記載の情報処理装置。
［付記７］
　前記再分散値計算部は、値ｘの再分散値を計算する際、値ｘをｘ１、ｘ２、ｘ３の排他的論理和とする場合に前記ｘ１乃至ｘ３のうち２つの値を等しくするように乱数を生成する、好ましくは付記１乃至６のいずれか一に記載の情報処理装置。
［付記８］
　前記再分散値計算部は、値ｘ’の再分散値を計算する際、値ｘ’をｘ１’、ｘ２’、ｘ３’の排他的論理和とする場合、ｘ１’を乱数ｒに等しく、ｘ２’をゼロ、ｘ３’を乱数ｒと値ｘの排他的論理和とする、好ましくは付記７に記載の情報処理装置。
［付記９］
　前記再分散値計算部は、疑似ランダム関数に前記シードと他の装置と共有されるカウンタ値を入力し、前記シードを用いた乱数を生成する、好ましくは付記１乃至８のいずれか一に記載の情報処理装置。
［付記１０］
　前記型変換用のシェアは、ビット分解用のシェア又は環合成用のシェアである、好ましくは付記１乃至９のいずれか一に記載の情報処理装置。
［付記１１］
　上述の第２の視点に係る秘密計算方法のとおりである。
［付記１２］
　上述の第３の視点に係るプログラムのとおりである。
　なお、付記１１の形態及び付記１２の形態は、付記１の形態と同様に、付記２の形態～付記１０の形態に展開することが可能である。

　なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

１０　情報処理装置
１１、１０７_１、２０７_１、３０７_１、４０７_１、５０７_１、６０７_１、７０７_１、１０７_ｉ～７０７_ｉ　基本演算シード記憶部
１２、１０２_１、２０２_１、３０２_１、４０２_１、５０２_１、６０２_１、７０２_１、１０２_ｉ～７０２_ｉ　再分散値計算部
１３、１０３_１、２０３_１、３０３_１、４０３_１、５０３_１、６０３_１、７０３_１、１０３_ｉ～７０３_ｉ　シェア構成部
２１　ＣＰＵ（Central Processing Unit）
２２　メモリ
２３　入出力インターフェイス
２４　ＮＩＣ（Network Interface Card）
１００_１～１００_４、２００_１～２００_４、３００_１～３００_４、４００_１～４００_４、５００_１～５００_４、６００_１～６００_４、７００_１～７００_４、１００_ｉ～７００_ｉ　秘密計算サーバ装置
５０１_１、６０１_１、７０１_１、５０１_ｉ～５０１_ｉ　マスク値計算部
１０４_１、２０４_１、３０４_１、４０４_１、５０４_１、６０４_１、７０４_１、１０４_ｉ～７０４_ｉ　不正検知部
１０５_１、２０５_１、３０５_１、４０５_１、５０５_１、６０５_１、７０５_１、１０５_ｉ～７０５_ｉ　算術演算部
１０６_１、２０６_１、３０６_１、４０６_１、５０６_１、６０６_１、７０６_１、１０６_ｉ～７０６_ｉ　論理演算部
１０８_１、２０８_１、３０８_１、４０８_１、５０８_１、６０８_１、７０８_１、１０８_ｉ～７０８_ｉ　データ記憶部

Claims

　シェアについての演算を行う際の乱数を生成するためのシードを格納する、基本演算シード記憶部と、
　前記シードを用いて乱数を生成し、前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信する、再分散値計算部と、
　他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成する、シェア構成部と、
　を備える、情報処理装置。
　前記生成された乱数に関するデータを用いて不正行為者の有無を検知する、不正検知部をさらに備える、請求項１に記載の情報処理装置。
　前記型変換されたシェアについての論理演算を行う論理演算部をさらに備え、
　前記論理演算部は、他の装置と互いに通信を行い前記型変換されたシェアの加算処理を実行し、
　前記不正検知部は、前記型変換されたシェアの加算処理のために送受信されたデータを用いて不正行為者の有無を検知する、請求項２に記載の情報処理装置。
　前記論理演算部は、他の装置と互いに通信を行い前記型変換されたシェアのキャリー計算処理を実行し、
　前記不正検知部は、前記型変換されたシェアのキャリー計算処理のために送受信されたデータを用いて不正行為者の有無を検知する、請求項３に記載の情報処理装置。
　前記キャリー計算処理は、第１要素及び前記第１要素に続く第２要素に分離可能であり、
　前記論理演算部は、
　前記第１要素を他の装置と非通信により計算すると共に、前記シェアの再分散値の計算に必要な通信と前記第２要素のキャリー計算処理に必要な通信を並列に行う、請求項４に記載の情報処理装置。
　シェアをマスクするためのマスク値を計算すると共に、前記計算されたマスク値によりマスクされたシェアを他の装置に送信する、マスク値計算部をさらに備え、
　前記シェア構成部は、前記送信されたマスク値を用いて前記型変換用のシェアを構成する、請求項１乃至５のいずれか一項に記載の情報処理装置。
　前記再分散値計算部は、値ｘの再分散値を計算する際、値ｘをｘ_１、ｘ_２、ｘ_３の排他的論理和とする場合に前記ｘ_１乃至ｘ_３のうち２つの値を等しくするように乱数を生成する、請求項１乃至６のいずれか一項に記載の情報処理装置。
　前記再分散値計算部は、値ｘ’の再分散値を計算する際、値ｘ’をｘ_１’、ｘ_２’、ｘ_３’の排他的論理和とする場合、ｘ_１’を乱数ｒに等しく、ｘ_２’をゼロ、ｘ_３’を乱数ｒと値ｘの排他的論理和とする、請求項７に記載の情報処理装置。
　シードを用いて乱数を生成するステップと、
　前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信するステップと、
　他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成するステップと、
　を含む秘密計算方法。
　シードを用いて乱数を生成する処理と、
　前記生成された乱数によりシェアの再分散値を計算すると共に、前記生成された乱数に関するデータを他の装置に送信する処理と、
　他の装置から受信した前記生成された乱数に関するデータ及び前記シェアの再分散値を用いて型変換用のシェアを構成する処理と、
　をコンピュータに実行させるプログラム。