WO2021070322A1

WO2021070322A1 - 秘密多重反復計算装置、方法及びプログラム

Info

Publication number: WO2021070322A1
Application number: PCT/JP2019/040006
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2019-10-10
Filing date: 2019-10-10
Publication date: 2021-04-15
Also published as: AU2019469404A1; EP4044156A1; CN114514569A; US20220350638A1; JP7351343B2; JPWO2021070322A1; CN114514569B; AU2019469404B2; EP4044156A4

Abstract

内側の反復計算が所定の反復回数で終わらなかった場合は途中のループ変数の値を保持しておき、外側の反復計算では出力値の計算を行わないこととする。そして、その後、もう一度内側の反復計算が実行される際に保持していたループ変数の値を使って続きの反復計算を実行する。すなわち、各反復計算では、対象反復計算のすぐ内側の反復計算が全て終わった場合に限ってその対象反復計算を行う。これを再帰的に行うことにより、内側の反復計算での無駄な計算を減らすことができる。

Description

秘密多重反復計算装置、方法及びプログラム

　本発明は、暗号応用技術に関する。本発明は、特に、入力や出力の値、計算終了までに要した反復回数を明かすことなく反復計算を行う技術に関する。

　暗号化された数値を復元すること無く特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照。）。非特許文献１の方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元すること無く、加減算、定数加算、乗算、定数倍、論理演算(否定、論理積、論理和、排他的論理和)、データ形式変換(整数、二進数)の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　なお、入力や出力の値に加えて反復回数をも明かすことなく計算終了までの反復回数が不定の反復計算を行う場合、計算終了までの反復回数の上界となる回数Nをあらかじめ求めておき、途中で計算終了の条件が満たされた場合は計算結果の値を更新しないでN回反復計算を行う方法がある。

千田浩司、濱田浩気、五十嵐大、高橋克巳、「軽量検証可能3パーティ秘匿関数計算の再考」、In CSS, 2010.

　しかしながら、反復計算の中に更に反復計算が含まれる場合、外側の反復計算の計算終了までの反復回数の上界をN、内側の反復計算の計算終了までの反復回数の上界をMとすると、内側の反復計算をMN回実行する必要がある。

　本発明の目的は、反復計算の中にさらに反復計算が含まれる場合に、少ない内側の反復計算の実行回数で反復計算を実現する秘密多重反復計算装置、方法及びプログラムを提供することを目的とする。

　この発明の一態様による秘密多重反復計算装置は、反復計算で使われ、反復計算ごとに値が変わり得る所定の変数であるループ変数をダミー値に設定し、各反復計算の状態を「実行前」に設定する秘密初期化部と、入力と所定の反復回数とを用いて計算の対象となっている反復計算を行った結果を出力する秘密反復計算部と、を含み、秘密反復計算部は、(i)現在計算の対象となっている反復計算である対象反復計算の状態が「実行前」であり、かつ、対象反復計算の全ての入力がダミー値ではない場合に、対象反復計算の入力を用いて、対象反復計算のループ変数の初期値を秘密計算し、対象反復計算に内側の反復計算がある場合にはその内側の各反復計算の状態を「実行前」に初期化し、対象反復計算の状態を「実行中」に変更する秘密入力反映部と、(ii)(a)直前に秘密計算された対象反復計算のループ変数の値を用いて、対象反復計算に内側の反復計算がある場合にはその内側の各反復計算についての秘密反復計算部の処理を行うことで、対象反復計算のループ変数の新たな値を秘密計算する秘密ループ変数計算部と、(b)対象反復計算の状態が「実行中」、かつ、対象反復計算の内側の各反復計算の状態が「終了」である場合に、新たな値を対象反復計算のループ変数の値とし、対象反復計算の内側の各反復計算の状態を「実行前」に更新する秘密ループ変数更新部と、(c)対象反復計算の状態が「実行中」、かつ、対象反復計算のループ変数の値が所定の終了条件を満たしている場合に、対象反復計算の状態を「終了」に変更する秘密終了状態反映部と、を含み、所定の反復回数だけ処理を行う秘密更新部と、(iii)対象反復計算の状態が「終了」の場合にはループ変数の値から対象反復計算の出力値を秘密計算し出力する秘密出力計算部と、を備えている。

　反復計算の中にさらに反復計算が含まれる場合に、少ない内側の反復計算の実行回数で反復計算を実現することができる。

図１は、秘密多重反復計算装置の機能構成の例を示す図である。図２は、秘密多重反復計算方法の処理手続きの例を示す図である。図３は、秘密初期化部１の処理の例を示す図である。図４は、第一反復計算についての秘密反復計算部２の処理の例を示す図である。図５は、第二反復計算についての秘密反復計算部２の処理の例を示す図である。図６は、第一反復計算についての秘密反復計算部２の処理の変形例を示す図である。図７は、第二反復計算についての秘密反復計算部２の処理の変形例を示す図である。図８は、コンピュータの機能構成例を示す図である。

　[概要]
　本発明では、内側の反復計算が所定の反復回数で終わらなかった場合は途中のループ変数の値を保持しておき、外側の反復計算では出力値の計算を行わないこととする。そして、その後、もう一度内側の反復計算が実行される際に保持していたループ変数の値を使って続きの反復計算を実行する。すなわち、各反復計算では、対象反復計算のすぐ内側の反復計算が全て終わった場合に限ってその対象反復計算を行う。これを再帰的に行うことにより、内側の反復計算での無駄な計算を減らすことができる。

　[実施形態]
　以下、本発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　秘密多重反復計算装置は、図１に示すように、秘密初期化部１及び秘密反復計算部２を備えている。秘密反復計算部２は、秘密入力反映部２１、秘密更新部２２及び秘密出力計算部２３を備えている。秘密更新部２２は、秘密ループ変数計算部２２１、秘密ループ変数更新部２２２及び秘密終了状態反映部２２３を備えている。

　秘密多重反復計算方法は、秘密多重反復計算装置の各構成部が、以下に説明する及び図２に示すステップＳ１からステップＳ２の処理を行うことにより例えば実現される。

　以下、秘密多重反復計算装置の各構成部について説明する。

　<秘密初期化部１>
　秘密初期化部１は、反復計算で使われ、反復計算ごとに値が変わり得る所定の変数であるループ変数をダミー値に設定し、各反復計算の状態を「実行前」に設定する（ステップＳ１）。ダミー値は、ループ変数の値がダミーであることを表す所定の値である。

　<秘密反復計算部２>
　秘密反復計算部２は、入力と所定の反復回数とを用いて計算の対象となっている反復計算を行った結果を出力する（ステップＳ２）。

　秘密反復計算部２は、秘密入力反映部２１、秘密更新部２２及び秘密出力計算部２３を備えている。ステップＳ２の処理は、例えば、秘密入力反映部２１、秘密更新部２２及び秘密出力計算部２３によるステップＳ２１からステップＳ２３の処理により実現される。

　<<秘密入力反映部２１>>
　秘密入力反映部２１は、現在計算の対象となっている反復計算である対象反復計算の状態が「実行前」であり、かつ、対象反復計算の全ての入力がダミー値ではない場合に、(a)対象反復計算の入力を用いて、対象反復計算のループ変数の初期値を秘密計算し、(b)対象反復計算に内側の反復計算がある場合にはその内側の各反復計算の状態を「実行前」に初期化し、(c)対象反復計算の状態を「実行中」に変更する（ステップＳ２１）。

　<<秘密更新部２２>>
　秘密更新部２２は、秘密ループ変数計算部２２１、秘密ループ変数更新部２２２及び秘密終了状態反映部２２３を備えている。

　秘密更新部２２の処理は、例えば、秘密ループ変数計算部２２１、秘密ループ変数更新部２２２及び秘密終了状態反映部２２３によるステップＳ２２１からステップＳ２２３の処理により実現される。秘密更新部２２は、秘密ループ変数計算部２２１、秘密ループ変数更新部２２２及び秘密終了状態反映部２２３によるステップＳ２２１からステップＳ２２３の処理を所定の反復回数だけ処理を行う。

　<<<秘密ループ変数計算部２２１>>>
　秘密ループ変数計算部２２１は、直前に秘密計算された対象反復計算のループ変数の値を用いて、対象反復計算に内側の反復計算がある場合にはその内側の各反復計算についての秘密反復計算部２の処理を行うことで、対象反復計算のループ変数の新たな値を秘密計算する（ステップＳ２２１）。

　<<<秘密ループ変数更新部２２２>>>
　秘密ループ変数更新部２２２は、対象反復計算の状態が「実行中」、かつ、対象反復計算の内側の各反復計算の状態が「終了」である場合に、(b-i)秘密ループ変数計算部２２１で秘密計算された新たな値を対象反復計算のループ変数の値とし、(b-ii)対象反復計算の内側の各反復計算の状態を「実行前」に更新する（ステップＳ２２２）。

　<<<秘密終了状態反映部２２３>>>
　秘密終了状態反映部２２３は、対象反復計算の状態が「実行中」、かつ、対象反復計算のループ変数の値が所定の終了条件を満たしている場合に、対象反復計算の状態を「終了」に変更する（ステップＳ２２３）。

　<<秘密出力計算部２３>>
　秘密出力計算部２３は、対象反復計算の状態が「終了」の場合にはループ変数の値から対象反復計算の出力値を秘密計算し出力する（ステップＳ２３）。秘密出力計算部２３は、対象反復計算の状態が「終了」でない場合には、ダミー値を出力する。

　内側の反復計算を毎回確実に終わらせるために、時々しか大きい反復回数を要さない場合にも上界を大きく設定する必要があった。本実施形態では、内側の反復計算が終わらなかった場合には他の処理を実行した「ふり」をして実際には値を更新せず、その後再び内側の反復計算に入った際に続きの処理を実行する。これにより、大きな上界の下で内側の反復回数にばらつきがある場合に無駄な反復を削減することができる。

　より詳細には、より詳細には、対象反復計算の状態が「実行中」、かつ、対象反復計算の内側の各反復計算の状態が「終了」でない場合には、言い換えれば、対象反復計算のループ変数の値が所定の終了条件を満たしていない場合には、対象反復計算のループ変数の初期値をする等の処理を行う秘密入力反映部２１の処理は行われない。これは、秘密入力反映部２１は、少なくとも対象反復計算の状態が「実行前」の場合に行われるためである。また、この場合、ループ変数の値から対象反復計算の出力値を秘密計算し出力する秘密出力計算部２３の処理は行われない。これは、秘密出力計算部２３は、対象反復計算の状態が「終了」の場合に行われるためである。

　このため、この場合には、秘密出力計算部２３の処理は行われず、秘密更新部２２において、直前に秘密計算された対象反復計算のループ変数の値を用いて、反復計算の続きが行われる。言い換えれば、この場合には、対象反復計算のループ変数の値は保持され、ループ変数の値から対象反復計算の出力値の秘密計算及び出力は行われない。

　このように、内側の反復計算が所定の反復回数で終わらなかった場合は途中のループ変数の値を保持しておき、外側の反復計算では出力値の計算を行わないこととする。そして、その後、もう一度内側の反復計算が実行される際に保持していたループ変数の値を使って続きの反復計算を実行する。すなわち、各反復計算では、対象反復計算のすぐ内側の反復計算が全て終わった場合に限ってその対象反復計算を行う。これを再帰的に行うことにより、内側の反復計算での無駄な計算を減らすことができる。

　多重の反復計算を反復回数を明かさずに実行したい場合に、外側の反復の実行回数を少し増やして内側の反復の実行回数を少なくすることができる。通常の方法では内側の反復の実行回数は各階層の反復回数の上界の積となるため非常に大きくなるが、本発明で大幅に小さくすることができる。

　例えば、外側の反復回数の上界は6回、内側の反復回数の上界が50回で、さらに内側の反復回数が25を超えることが高々2回であることが知られているとき、従来の方法では内側の反復計算を300=50×6回実行する必要がある。しかし、本発明によれば、例えば外側の反復回数の上界を8回、内側の反復回数の上界を25回に設定することで、内側の反復計算を200=25×8回の実行に抑えることができる。

　なお、本実施形態を使用しない場合に反復計算xの1回の反復に要する処理時間のうち、xの内側の反復計算の処理時間を除いた時間をf(x)、反復回数の上界をN(x)、xを含む各反復計算の反復回数の上界の積をT(x)(xが最も外側の場合はT(x)=1とする)とし、本発明を使用する場合の反復計算xの1回の反復に要する処理時間のうち、xの内側の反復計算の処理時間を除いた時間をf'(x)，反復回数の上界をN'(x)、xを含む各反復計算の反復回数の上界の積をT'(x)(xが最も外側の場合はT'(x)=1とする)としてもよい。このとき、Σx(T(x)N(x)f(x))>Σx(T'(x)N'(x)f'(x))が成り立つように各反復計算xの反復回数の上界N'(x)を設定できるとき、本実施形態により全体の処理時間を減らすことができる。

　[反復計算の例]
　図３及び図４に、秘密多重反復計算装置が、第一反復計算及び第二反復計算により構成される反復計算を行う場合の秘密多重反復計算装置の処理の例を示す。

　第一反復計算をf₁(x₁,y₁)と表記する。f₁(x₁,y₁)は、u(n)=Σ_i=0 ^n-1f₂(x₁+i)とし、y₁≦u(n),1≦nを満たす最少のu(n)を出力する関数でもある。f₁(x₁,y₁)の入力はx₁,y₁であり、f₁(x₁,y₁)の出力はz₁であるとする。f₁(x₁,y₁)のループ変数は、a₁,b₁,t₁であるとする。また、第一反復計算の状態を表す変数をs₁とする。以下、第一反復計算の状態を表す変数s₁を、単に第一反復計算の状態s₁と略記することもある。第一反復計算の所定の反復回数はn₁であるとする。n₁は、所定の正の整数である。

　また、第二反復計算をf₂(x₂)と表記する。f₂(x₂)は、x₂以上の最小の10の倍数を出力する関数でもある。f₂(x₂)の入力はx₂であり、f₂(x₂)の出力はz₂であるとする。f₂(x₂)のループ変数は、a₂,t₂であるとする。また、第二反復計算の状態を表す変数をs₂とする。以下、第二反復計算の状態を表す変数s₂を、単に第二反復計算の状態s₂と略記することもある。第二反復計算の所定の反復回数はn₂であるとする。n₂は、所定の正の整数である。

　以下、図３及び図４で用いられている記法について説明する。
　[x]は、xの秘匿値である。
　[z]←[a]+[b]は、z=a+bであるようなzの秘匿値を計算することを意味する。
　[z]←[a][b]は、z=abであるようなzの秘匿値を計算することを意味する。
　[z]←EQ([a],[b])は、a=bのときz=1、a=bでないときにはz=0であるようなzの秘匿値を計算することを意味する。
　[z]←LE([a],[b])は、a≦bのときz=1、a≦bでないときにはz=0であるようなzの秘匿値を計算することを意味する。
　[z]←NE([a],[b])は、a≠bのときz=1、a≠bでないときにはz=0であるようなzの秘匿値を計算することを意味する。
　[z]←IfElse([c],[a],[b])は、c=1のときz=a、c=0のときz=bであるようなzの秘匿値を計算することを意味する。
　[z]←AND([a₁],[a₂],...,[a_n])は、z=a₁a₂...a_nであるようなzの秘匿値を計算することを意味する。

　NULLは、所定のダミー値である。ある変数vがダミーかどうかは、v=NULLかどうかで判定できるものとする。vをダミーにする処理はv←NULLで、vをダミーでない値vにする処理はv←xで実現できるとする。なお、各変数vごとに別の変数Dummy(v)を用意して、変数vがダミーのときはDummy(v)=1、そうでないときはDummy(v)=0としてもよい。この場合、vをダミーにする処理はDummy(v)←1で、vをダミーでない値vにする処理はDummy(v)←0で実現できる。

　PRE,RUN,ENDは、それぞれ「実行前」「実行中」「終了」を表すとする。

　なお、秘密ループ変数計算部２２１では、各処理は、入力の一部にダミーが含まれていた場合は、出力もダミーとなるように計算する。このような計算を、ダミー対応した計算と呼ぶものとする。ダミー対応した各計算を以下のように記述する。

　[z]←D-Add([a],[b])は、z=a+bであるようなzの秘匿値を求める計算をダミー対応した計算を行うことを意味する。

　[z]←D-LE([a],[b])は、a≦bのときz=1,a≦bでないときにはz=0であるようなzの秘匿値をダミー対応した計算を行うことを意味する。

　なお、秘密反復計算はダミー対応である。

　この例の場合、秘密初期化部１の処理は、図３の「1:」から「7:」に対応している。

　秘密反復計算部２の処理は、図４の「1:」から「39:」に対応している。

　秘密入力反映部２１の処理は、図４の「1:」から「11:」に対応している。

　秘密更新部２２の処理は、図４の「12:」から「31:」に対応している。

　秘密ループ変数計算部２２１の処理は、図４の「12:」から「17:」に対応している。図４の「16:」において、第一反復計算の内側の第二反復計算についての秘密反復計算部２の処理、言い換えればf₂([a₁'])の計算処理が行われる。第二反復計算についての秘密反復計算部２の処理は、図５の「1:」から「34:」に対応している。

　秘密ループ変数更新部２２２の処理は、図４の「18:」から「26:」に対応している。

　秘密終了状態反映部２２３の処理は、図４の「27:」から「31:」に対応している。

　秘密出力計算部２３の処理は、図４の「32:」から「39:」に対応している。

　[変形例]
　以上、本発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、本発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、本発明に含まれることはいうまでもない。

　実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　例えば、秘密多重反復計算装置の構成部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　また、条件付きで処理を行う場合は、条件となる値(秘匿値)を明かさないために条件が満たされた場合と満たされなかった場合の両方の処理を書き込み先を一時変数に変えて実行してもよい。

　例えば、少なくとも一方の場合に値が変更される各値a_iの秘匿値[a_i]に対しては、条件が満たされた場合の値の秘匿値を[t_i]、条件が満たされなかった場合の値の秘匿値を[f_i]、条件が満たされたか(1)、満たされなかったか(0)を表すビットの秘匿値を[c]とするとき、[a_i]←[c]×[t_i]+(1-[c])×[f_i]の計算が行われてもよい。

　言い換えれば、秘密入力反映部２１、秘密ループ変数更新部２２２、秘密終了状態反映部２２３及び秘密出力計算部２３は、各場合に該当するか否かを秘匿化しつつ処理を行ってもよい。

　秘密入力反映部２１、秘密ループ変数更新部２２２、秘密終了状態反映部２２３及び秘密出力計算部２３が、各場合に該当するか否かを秘匿化しつつ行う処理の例を図６及び図７に示す。図６及び図７に出てくる記号や記法は、[反復計算の例]で述べたものと同様である。

　秘密入力反映部２１の処理は、図６の「1:」から「10:」に対応している。

　秘密更新部２２の処理は、図６の「11:」から「33:」に対応している。

　秘密ループ変数計算部２２１の処理は、図６の「13:」から「16:」に対応している。図６の「15:」において、第一反復計算の内側の第二反復計算についての秘密反復計算部２の処理、言い換えればf₂([a₁'])の計算処理が行われる。この場合の第二反復計算についての秘密反復計算部２の処理は、図７の「1:」から「28:」に対応している。

　秘密ループ変数更新部２２２の処理は、図６の「17:」から「24:」に対応している。

　秘密終了状態反映部２２３の処理は、図６の「26:」から「27:」に対応している。

　秘密出力計算部２３の処理は、図６の「29:」から「33:」に対応している。

　[プログラム、記録媒体]
　上記説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。例えば、上述の各種の処理は、図８に示すコンピュータの記録部２０２０に、実行させるプログラムを読み込ませ、制御部２０１０、入力部２０３０、出力部２０４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　反復計算で使われ、反復計算ごとに値が変わり得る所定の変数であるループ変数をダミー値に設定し、各反復計算の状態を「実行前」に設定する秘密初期化部と、
　入力と所定の反復回数とを用いて計算の対象となっている反復計算を行った結果を出力する秘密反復計算部と、を含み、
　前記秘密反復計算部は、
　(i)現在計算の対象となっている反復計算である対象反復計算の状態が「実行前」であり、かつ、前記対象反復計算の全ての入力がダミー値ではない場合に、前記対象反復計算の入力を用いて、前記対象反復計算のループ変数の初期値を秘密計算し、前記対象反復計算に内側の反復計算がある場合にはその内側の各反復計算の状態を「実行前」に初期化し、前記対象反復計算の状態を「実行中」に変更する秘密入力反映部と、
　(ii) (a)直前に秘密計算された前記対象反復計算のループ変数の値を用いて、前記対象反復計算に内側の反復計算がある場合にはその内側の各反復計算についての前記秘密反復計算部の処理を行うことで、前記対象反復計算のループ変数の新たな値を秘密計算する秘密ループ変数計算部と、(b)前記対象反復計算の状態が「実行中」、かつ、前記対象反復計算の内側の各反復計算の状態が「終了」である場合に、前記新たな値を前記対象反復計算のループ変数の値とし、前記対象反復計算の内側の各反復計算の状態を「実行前」に更新する秘密ループ変数更新部と、(c)前記対象反復計算の状態が「実行中」、かつ、前記対象反復計算のループ変数の値が所定の終了条件を満たしている場合に、前記対象反復計算の状態を「終了」に変更する秘密終了状態反映部と、を含み、前記所定の反復回数だけ処理を行う秘密更新部と、
　(iii)前記対象反復計算の状態が「終了」の場合にはループ変数の値から前記対象反復計算の出力値を秘密計算し出力する秘密出力計算部と、
　を含む、
　秘密多重反復計算装置。
　請求項１の秘密多重反復計算装置であって、
　前記秘密入力反映部、前記秘密ループ変数更新部、前記秘密終了状態反映部及び前記秘密出力計算部は、前記の場合に該当するか否かを秘匿化しつつ処理を行う、
　秘密多重反復計算装置。
　秘密初期化部が、反復計算で使われ、反復計算ごとに値が変わり得る所定の変数であるループ変数をダミー値に設定し、各反復計算の状態を「実行前」に設定する秘密初期化ステップと、
　秘密反復計算部が、入力と所定の反復回数とを用いて計算の対象となっている反復計算を行った結果を出力する秘密反復計算ステップと、を含み、
　前記秘密反復計算ステップは、
　(i)秘密入力反映部が、現在計算の対象となっている反復計算である対象反復計算の状態が「実行前」であり、かつ、前記対象反復計算の全ての入力がダミー値ではない場合に、前記対象反復計算の入力を用いて、前記対象反復計算のループ変数の初期値を秘密計算し、前記対象反復計算に内側の反復計算がある場合にはその内側の各反復計算の状態を「実行前」に初期化し、前記対象反復計算の状態を「実行中」に変更する秘密入力反映ステップと、
　(ii) (a)秘密ループ変数計算部が、直前に秘密計算された前記対象反復計算のループ変数の値を用いて、前記対象反復計算に内側の反復計算がある場合にはその内側の各反復計算についての前記秘密反復計算部の処理を行うことで、前記対象反復計算のループ変数の新たな値を秘密計算する秘密ループ変数計算ステップと、(b)秘密ループ変数更新部が、前記対象反復計算の状態が「実行中」、かつ、前記対象反復計算の内側の各反復計算の状態が「終了」である場合に、前記新たな値を前記対象反復計算のループ変数の値とし、前記対象反復計算の内側の各反復計算の状態を「実行前」に更新する秘密ループ変数更新ステップと、(c)秘密終了状態反映部が、前記対象反復計算の状態が「実行中」、かつ、前記対象反復計算のループ変数の値が所定の終了条件を満たしている場合に、前記対象反復計算の状態を「終了」に変更する秘密終了状態反映ステップと、を含み、前記所定の反復回数だけ処理を行う秘密更新ステップと、
　(iii)秘密出力計算部が、前記対象反復計算の状態が「終了」の場合にはループ変数の値から前記対象反復計算の出力値を秘密計算し出力する秘密出力計算ステップと、
　を含む、
　秘密多重反復計算方法。
　請求項１から２の何れかの秘密多重反復計算装置の各部としてコンピュータを機能させるためのプログラム。