WO2020250269A1

WO2020250269A1 - 秘密除算システム、秘密計算装置、秘密除算方法、およびプログラム

Info

Publication number: WO2020250269A1
Application number: PCT/JP2019/022895
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2019-06-10
Filing date: 2019-06-10
Publication date: 2020-12-17
Also published as: US20220224516A1; JP7173328B2; EP3982282A1; AU2019450855A1; EP3982282A4; US12010220B2; EP3982282B1; CN113966511A; JPWO2020250269A1; AU2019450855B2

Abstract

少ない処理段数で除算を実現する。秘密計算装置（１）は実数Nの秘匿値[N]と自然数Dの秘匿値[D]を用いてNをDで除算した結果を表す秘匿値を得る。初期化部（１２）は部分剰余PL1の秘匿値[PL1]を0に設定する。並列比較部（１３）は部分除数n=Pj+1R+Njの秘匿値[n]と1以上R未満の各整数gについての[D]×gとを並列に比較した比較結果E1, …, ER-1の秘匿値[E1], …, [ER-1]を計算する。更新部（１４）は比較結果E1, …, ER-1の秘匿値[E1], …, [ER-1]を用いてn=DQj+Pjを満たす商Qjの秘匿値[Qj]と部分剰余Pjの秘匿値[Pj]とを計算する。反復制御部（１５）はL1-1から-L0までの各整数jについて並列比較部（１３）と更新部（１４）とを実行する。

Description

秘密除算システム、秘密計算装置、秘密除算方法、およびプログラム

　この発明は、暗号応用技術に関し、特に入力や出力の値を明かすことなく除算を効率よく行う技術に関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照）。非特許文献１に記載された方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数加算、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　入力や出力の値を明かすことなく除算を行う場合、ゴールドシュミット除算を秘密計算で実現する方法がある（例えば、非特許文献２参照）。

千田浩司、濱田浩気、五十嵐大、高橋克巳、"軽量検証可能3パーティ秘匿関数計算の再考"、CSS、2010年 Dan Bogdanov, Margus Niitsoo, Tomas Toft, and Jan Willemson, "High-performance secure multi-party computation for data mining applications," International Journal of Information Security, Vol. 11, No. 6, pp. 403-418, 2012.

　しかしながら、ゴールドシュミット除算を秘密計算で実現する場合、固定小数点数の乗算を使う必要がある。秘密計算では固定小数点数の乗算は処理段数すなわち通信回数が多いという問題がある。

　この発明の目的は、上記のような技術的課題に鑑みて、固定小数点数の乗算を使わず、少ない処理段数で除算を実現することである。

　上記の課題を解決するために、この発明の一態様の秘密除算システムは、Rを3以上の整数とし、L₀, L₁を非負の整数とし、Nを0以上R^L1未満の実数とし、Dを自然数とし、N_-L0, …, N_L1-1をNのR進法での小数点以下L₀桁目から整数部L₁桁目までの各桁の値とし、jをL₁-1から-L₀までの各整数とし、複数の秘密計算装置を含み、Nの秘匿値[N]とDの秘匿値[D]を用いてNをDで除算した結果を表す秘匿値を得る秘密除算システムであって、秘密計算装置は、部分剰余P_L1の秘匿値[P_L1]を0に設定する初期化部と、部分除数n=P_j+1R+N_jの秘匿値[n]と1以上R未満の各整数gについての[D]×gとを並列に比較した比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を計算する並列比較部と、比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を用いてn=DQ_j+P_jを満たす商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する更新部と、を含む。

　この発明によれば、固定小数点数の乗算を使わず除算を実現するため、少ない処理段数で除算を実現できる。

図１は、秘密除算システムの機能構成を例示する図である。図２は、秘密計算装置の機能構成を例示する図である。図３は、秘密除算方法の処理手続きを例示する図である。図４は、コンピュータの機能構成を例示する図である。

　はじめに、この明細書における表記方法および用語の定義について説明する。

　＜表記方法＞
　ある値aを暗号化や秘密分散などにより秘匿化した値をaの秘匿値と呼び、[a]と表記する。秘匿化が秘密分散である場合は、[a]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。

　変数の定義域における[a, b]（角括弧）は閉区間を表し、(a, b)（丸括弧）は開区間を表す。例えば、i∈[a, b]はiがa以上b以下の値を取ることを表す。また、i∈[a, b)はiがa以上b未満の値を取ることを表す。

　＜加算、減算、乗算＞
　秘匿文に対する加算、減算、乗算の各演算は、２つの値a, bの秘匿値[a], [b]を入力とし、それぞれa+b, a-b, abの計算結果c₁, c₂, c₃の秘匿値[c₁], [c₂], [c₃]を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　誤解を招く恐れのない場合は、Add([a], [b]), Sub([a], [b]), Mul([a], [b])をそれぞれ[a]+[b], [a]-[b], [a]×[b]と略記する。

　＜比較＞
　比較の演算は、２つの値a, bの秘匿値[a], [b]を入力とし、a≦bの真偽値c∈{0, 1}の秘匿値[c]を計算する。真偽値は真のとき１、偽のとき０とする。この演算の実行を次式のように記述する。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　［実施形態］
　実施形態の秘密除算システムは、被除数Nの秘匿値[N]と除数Dの秘匿値[D]とを入力とし、N/DのR進法での小数点以下のL₀桁目から整数部L₁桁目までの各桁の値Q_-L0, …, Q_L1-1の秘匿値[Q_-L0], …, [Q_L1-1]を計算して出力する。ここで、Rは3以上の整数、L₀, L₁は非負の整数、Nは0以上R^L1未満の実数、Dは自然数とする。なお、実施形態中で用いる[N_-L0], [N_-L0+1], …, [N_L1-2], [N_L1-1]は、次式のようにNのR進分解を表すN_-L0, N_-L0+1, …, N_L1-2, N_L1-1の秘匿値である。

　図１を参照して、実施形態の秘密除算システムの構成例を説明する。秘密除算システム１００は、例えば、図１に示すように、K（≧2）台の秘密計算装置１₁, …, １_Kを含む。本実施形態では、秘密計算装置１₁, …, １_Kはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Kへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …, １_Kへオフラインで入力するように構成してもよい。

　図２を参照して、実施形態の秘密除算システム１００に含まれる秘密計算装置１_k（k=1, …, K）の構成例を説明する。秘密計算装置１_kは、例えば、図２に示すように、入力部１１、初期化部１２、並列比較部１３、更新部１４、反復制御部１５、および出力部１６を含む。この秘密計算装置１_k（k=1, …, K）が他の秘密計算装置１_k'（k'=1, …, K、ただしk≠k'）と協調しながら後述する各ステップの処理を行うことにより本形態の秘密除算方法が実現される。

　秘密計算装置１_kは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_kは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_kに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_kの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　図３を参照して、実施形態の秘密除算システム１００が実行する秘密除算方法の処理手続きを説明する。

　ステップＳ１１において、各秘密計算装置１_kの入力部１１へ被除数Nの秘匿値[N]と除数Dの秘匿値[D]とが入力される。被除数Nの秘匿値[N]の代わりに、被除数NのR進分解を表すN_-L0, N_-L0+1, …, N_L1-2, N_L1-1の秘匿値[N_-L0], …, [N_L1-1]が入力部１１へ入力されてもよい。入力部１１へ被除数Nの秘匿値[N]が入力された場合、入力部１１は、被除数Nの秘匿値[N]から被除数NのR進分解を表すN_-L0, N_-L0+1, …, N_L1-2, N_L1-1の秘匿値[N_-L0], …, [N_L1-1]を生成する。入力部１１は、被除数NのR進分解を表すN_-L0, N_-L0+1, …, N_L1-2, N_L1-1の秘匿値[N_-L0], …, [N_L1-1]と除数Dの秘匿値[D]とを並列比較部１３へ出力する。

　ステップＳ１２において、各秘密計算装置１_kの初期化部１２は、部分剰余P_L1の秘匿値[P_L1]を[P_L1]=0に初期化する。また、反復処理のインデックスjをj=L₁-1に初期化する。初期化部１２は、部分剰余P_L1の秘匿値[P_L1]を並列比較部１３へ出力する。また、インデックスjを反復制御部１５へ出力する。

　ステップＳ１３において、各秘密計算装置１_kの並列比較部１３は、n=P_j+1R+N_jである部分除数nの秘匿値[n]と、g∈[1, R)である各[D]×gとをそれぞれ並列に比較した結果E_gの秘匿値[E_g](g∈[1, R))を計算する。具体的には、並列比較部１３は、次式により、1以上R未満の各整数gについて比較結果E_gの秘匿値[E_g]を計算する。並列比較部１３は、比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を更新部１４へ出力する。

　ステップＳ１４において、各秘密計算装置１_kの更新部１４は、比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を用いて、商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する。なお、Q_jとP_jはn=DQ_j+P_j, Q_j∈[0, R), P_j∈[0, R)を満たす。具体的には、更新部１４は、次式により商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する。更新部１４は、商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを出力部１６へ出力する。

　ステップＳ１５－１において、各秘密計算装置１_kの反復制御部１５は、jが-L₀以下となっているか否か、すなわちj≦-L₀の真偽を判定する。j≦-L₀が偽、すなわちj>-L₀であれば、ステップＳ１５－２へ処理を進める。j≦-L₀が真であれば、ステップＳ１６へ処理を進める。ステップＳ１５－２において、各秘密計算装置１_kの反復制御部１５は、jをデクリメント、すなわちj=j-1を計算し、ステップＳ１３へ処理を戻す。言い替えると、反復制御部１５は、j=L₁-1, …, -L₀の各jについて並列比較部１３と更新部１４を繰り返し実行する制御を行う。

　ステップＳ１６において、各秘密計算装置１_kの出力部１６は、商Q_-L0, …, Q_L1-1の秘匿値[Q_-L0], …, [Q_L1-1]を出力する。

　上述した実施形態で実行するアルゴリズムを以下に示す。

　上記実施形態の構成では、L₀+L₁段の比較で除算を実現できる。１回の除算で要する段数が小さいため、特に、除算を直列に繰り返し実行するとき実行時間が短くなる。

　上記実施形態でR=2とした場合、ビット単位で除算を計算することに相当する。ビット単位で計算される除算は比較の段数が大きい。上記実施形態では、比較の回数はビット単位で計算される除算と比較して約(R-1)/(log₂R)倍に増えるものの、段数を約1/(log₂R)倍に小さくすることができる。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図４に示すコンピュータの記憶部１０２０に読み込ませ、制御部１０１０、入力部１０３０、出力部１０４０などに動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　Rを3以上の整数とし、L₀, L₁を非負の整数とし、Nを0以上R^L1未満の実数とし、Dを自然数とし、N_-L0, …, N_L1-1をNのR進法での小数点以下L₀桁目から整数部L₁桁目までの各桁の値とし、jをL₁-1から-L₀までの各整数とし、
　複数の秘密計算装置を含み、Nの秘匿値[N]とDの秘匿値[D]を用いてNをDで除算した結果を表す秘匿値を得る秘密除算システムであって、
　上記秘密計算装置は、
　部分剰余P_L1の秘匿値[P_L1]を0に設定する初期化部と、
　部分除数n=P_j+1R+N_jの秘匿値[n]と1以上R未満の各整数gについての[D]×gとを並列に比較した比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を計算する並列比較部と、
　上記比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を用いてn=DQ_j+P_jを満たす商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する更新部と、
　を含む秘密除算システム。
　請求項１に記載の秘密除算システムであって、
　上記並列比較部は、次式によりgについての比較結果E_gの秘匿値[E_g]を計算する、

　秘密除算システム。
　請求項１または２に記載の秘密除算システムであって、
　上記更新部は、次式により商Q_jの秘匿値[Q_j]を計算し、

次式により部分剰余P_jの秘匿値[P_j]を計算する、

　秘密除算システム。
　Rを3以上の整数とし、L₀, L₁を非負の整数とし、Nを0以上R^L1未満の実数とし、Dを自然数とし、N_-L0, …, N_L1-1をNのR進法での小数点以下L₀桁目から整数部L₁桁目までの各桁の値とし、jをL₁-1から-L₀までの各整数とし、
　Nの秘匿値[N]とDの秘匿値[D]を用いてNをDで除算した結果を表す秘匿値を得る秘密除算システムで用いられる秘密計算装置であって、
　部分剰余P_L1の秘匿値[P_L1]を0に設定する初期化部と、
　部分除数n=P_j+1R+N_jの秘匿値[n]と1以上R未満の各整数gについての[D]×gとを並列に比較した比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を計算する並列比較部と、
　上記比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を用いてn=DQ_j+P_jを満たす商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する更新部と、
　を含む秘密計算装置。
　Rを3以上の整数とし、L₀, L₁を非負の整数とし、Nを0以上R^L1未満の実数とし、Dを自然数とし、N_-L0, …, N_L1-1をNのR進法での小数点以下L₀桁目から整数部L₁桁目までの各桁の値とし、jをL₁-1から-L₀までの各整数とし、
　複数の秘密計算装置を含み、Nの秘匿値[N]とDの秘匿値[D]を用いてNをDで除算した結果を表す秘匿値を得る秘密除算システムが実行する秘密除算方法であって、
　各秘密計算装置の初期化部が、部分剰余P_L1の秘匿値[P_L1]を0に設定し、
　各秘密計算装置の並列比較部が、部分除数n=P_j+1R+N_jの秘匿値[n]と1以上R未満の各整数gについての[D]×gとを並列に比較した比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を計算し、
　各秘密計算装置の更新部が、上記比較結果E₁, …, E_R-1の秘匿値[E₁], …, [E_R-1]を用いてn=DQ_j+P_jを満たす商Q_jの秘匿値[Q_j]と部分剰余P_jの秘匿値[P_j]とを計算する、
　秘密除算方法。
　請求項４に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。