WO2021124520A1 - 秘密乱数生成システム、秘密計算装置、秘密乱数生成方法、およびプログラム - Google Patents

Abstract

逐次の通信を介することなく二項分布に従う秘密乱数を生成する。秘密計算装置（１i）は、二項分布に従う乱数rのシェア[r]iを生成する。パラメータ記憶部（１０）は、疑似ランダム関数PRFと少なくとも１組の鍵kAおよび多項式fAとを記憶する。疑似乱数生成部（１１）は、各鍵kAを用いて疑似ランダム関数PRF(kA, a)を計算して各鍵kAに対応する疑似乱数pAを得る。ビット計数部（１２）は、各疑似乱数pAに含まれる１の個数rAを数える。乱数シェア生成部（１３）は、１の個数rAと１の個数rAに対応する多項式fA(i)の出力との積和を乱数rのシェア[r]iとして得る。

Description

秘密乱数生成システム、秘密計算装置、秘密乱数生成方法、およびプログラム

　この発明は、秘密計算技術およびプライバシ保護技術に関する。

　昨今、個人情報を始めとするプライバシデータの活用需要が高まる中、情報を秘密にしたままで様々な計算を行える秘密計算技術が注目を集めつつある。秘密計算は、様々な応用例に富む有用な技術である（例えば、非特許文献１参照）。しかしながら、秘密計算は計算結果の正確さ（正当性）が保証されているがゆえ、「出力プライバシ」と呼ばれる計算結果のプライバシをカバーできていない。出力プライバシの保護には、例えばランダムノイズによる計算結果の撹拌などが必要であり、秘密計算においてもこうした撹拌、ひいてはランダムノイズの生成が１つの技術的課題となる。

　こうした課題に対し、非特許文献２には、秘密計算を用いて、二項分布に従う秘密のランダムノイズを生成する方法が開示されている。二項分布に従うノイズは差分プライバシと呼ばれる出力プライバシ保護基準を満たすために用いられることから、非特許文献２は秘密計算において出力プライバシ保護を達成する有用な技術であると言える。

桐淵直人，五十嵐大，濱田浩気，菊池亮，"プログラマブルな秘密計算ライブラリMEVAL3"，暗号と情報セキュリティシンポジウム(SCIS)，2018年 C. Dwork, K, Kenthapadi, F. McSherry, I. Mironov, M. Naor, "Our data, ourselves: privacy via distributed noise generation", Advances in Cryptology, EUROCRYPT, LNCS 4004, pp. 486-503, 2006.

　しかしながら、非特許文献２では、ノイズ生成の際に、ノイズの値域に応じた通信量が必要となってしまう課題がある。ノイズの値域は、保護対象である計算結果の値域と保護強度に依存して莫大となることから、任意の計算に対して十分な保護強度を達成するためには、それだけ多くの通信量を必要としてしまう。秘密計算の高速化の観点から、この通信量を削減することが大きな課題となっていた。

　この発明の目的は、上記のような技術的課題に鑑みて、逐次の通信を介することなく二項分布に従う秘密乱数を生成することである。

　上記の課題を解決するために、この発明の一態様の秘密乱数生成システムは、複数の秘密計算装置を含み、二項分布に従う乱数の秘匿値を生成する秘密乱数生成システムであって、秘密計算装置は、疑似ランダム関数と少なくとも１組の鍵および多項式とを記憶する記憶部と、各鍵を用いて疑似ランダム関数を計算して各鍵に対応する疑似乱数を得る疑似乱数生成部と、各疑似乱数に含まれる１の個数を数えるビット計数部と、１の個数と当該１の個数に対応する多項式の出力との積和を乱数のシェアとして得る乱数シェア生成部と、を含む。

　この発明によれば、逐次の通信を介することなく二項分布に従う秘密乱数を生成することができる。この秘密乱数を用いて計算結果の撹拌を行うことで、秘密計算における出力プライバシを効率的に保護することができる。

図１は、秘密乱数生成システムの機能構成を例示する図である。 図２は、秘密計算装置の機能構成を例示する図である。 図３は、秘密乱数生成方法の処理手順を例示する図である。 図４は、コンピュータの機能構成を例示する図である。

　本明細書において、下付き添え字中の「_」（アンダースコア）は、左側の文字に右側の文字が下付き添え字で付されることを表す。すなわち、「a_{b_c}」は、aにb_cが下付き添え字で付されていることを表す。

　まず、本発明で前提とする既存技術について説明する。

　＜シャミアの秘密分散法＞
　シャミアの秘密分散法は、秘密の値sをランダムな多項式fによりn個の断片に分散し、また、任意のt個の断片から秘密の値sを復元する方法である（例えば、参考文献１参照）。以下、ある値を分散した１個の断片を「シェア」と呼び、すべてのシェアの集合を「秘匿値」と呼ぶ。ある値・の秘匿値は[・]と表し、秘匿値[・]のi番目のシェアは[・]_iと表す。ただし、nは3以上の整数であり、tはn≧2t-1を満たす整数である。

　〔参考文献１〕A. Shamir, "How to share a secret," Communications of the ACM, Vol. 22, No. 11, pp. 612-613, 1979.

　シャミアの秘密分散法では、まず、位数pの有限体Z_p上の秘密sに対し、有限体Z_p上のt-1次多項式f(x)=r_t-1x^t-1+…+r₁x¹+sを選択する。ただし、各r_iは有限体Z_p上のランダムな値である。このとき、秘密sのシェア[s]₁, …, [s]_nそれぞれを、例えば[s]_i=f(i)として得ることができる。秘密sを復元する場合は、重複しない任意のt個以上のシェアを用いて多項式補間を行い、多項式f(x)の定数項sを求める。

　＜疑似ランダム秘密分散＞
　擬似ランダム秘密分散は、擬似ランダム関数を用いて、通信を介さずに一様乱数のシェアを生成する方法である（例えば、参考文献２参照）。

　〔参考文献２〕R. Cramer, I. Damgard, and Y. Ishai, "Share conversion, pseudorandom secret-sharing and applications to secure computation," Theory of Cryptography, LNCS 3378, pp. 342-362, 2005.

　擬似ランダム関数PRF: K×{0, 1}^α→Z_pを、秘密鍵と長さαのビット列を入力として、（ほぼ）一様な有限体Z_p上の乱数を出力する関数である。ここで、Kは鍵空間を表す。また、シャミアの秘密分散法におけるシェアをn台のパーティP₁, …, P_nでそれぞれ分散して所持する場合を考える。このとき、以下のようにして、乱数rのシェア[r]₁, …, [r]_nをnパーティで共有する。

　１．まず事前に、擬似ランダム関数の鍵を一部のパーティの間で共有しておく。具体的には、Aをnパーティの中からn-t+1パーティを選んだ集合とし、集合Aに含まれるn-t+1パーティ全員で鍵k_A∈Kを共有する。逆に、集合Aに含まれないt-1パーティは鍵k_Aに関する情報を得ない。同様にして、想定し得るすべての集合Aについて、それぞれ別の鍵k_Aを共有する。また別途、すべての集合Aについて、それぞれに対応するt次多項式f_Aを共有する。ただし、f_A(0)=1かつf_A(i)=0（P_iが集合Aに含まれないとき）を満たすものとする。

　２．乱数生成が必要となった際には、各パーティが、例えばタイムスタンプなど共通に用いられる値aにより、疑似乱数生成を行う。具体的には、各パーティP_iが集合A_jに含まれ、鍵集合{k_{A_j}}を持っているとき、各パーティP_iが[r]_i←Σ_jPRF(k_{A_j}, a)・f_{A_j}(i)を計算する。ただし、JをパーティP_iが属する集合Aの数として、jは1以上J以下の各整数である。

　上記の処理により各パーティP_iが得られるシェア[r]_iは、疑似乱数r=Σ_APRF(k_A, a)のシェアとなっている。

　＜二項分布＞
　Lビットの一様乱数r∈{0, 1}^Lに含まれる１の個数は、二項分布Bin(L, 1/2)に従う乱数となることが知られている。擬似ランダム関数PRF: K×{0, 1}^α→{0, 1}^Lが十分な一様性を持つならば、疑似乱数PRF(k, a)に含まれる１の個数もまた同様に二項分布Bin(L, 1/2)に従うと言える。

　［実施形態］
　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　実施形態の秘密乱数生成システムは、N（≧3）台の秘密計算装置が協調して、二項分布に従うランダムな値の秘匿値を計算する。本実施形態では、シャミアの秘密分散法に基づくマルチパーティ計算を用いることを想定する。

　実施形態の秘密乱数生成システム１００は、例えば、図１に示すように、n（≧3）台の秘密計算装置１₁, …, １_nを含む。本実施形態では、秘密計算装置１₁, …, １_nはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …, １_nへオフラインで入力するように構成してもよい。

　実施形態の秘密乱数生成システム１００に含まれる秘密計算装置１_i（i=1, …, n）は、例えば、図２に示すように、パラメータ記憶部１０、疑似乱数生成部１１、ビット計数部１２、乱数シェア生成部１３、および出力部１４を備える。この秘密計算装置１_i（i=1, …, n）が他の秘密計算装置１_j（j=1, …, n、ただしi≠j）と協調しながら後述する各ステップの処理を行うことにより本実施形態の秘密乱数生成方法が実現される。

　秘密計算装置１_iは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_iは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_iに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_iの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。秘密計算装置１_iが備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。

　以下、図３を参照しながら、実施形態の秘密乱数生成システム１００が実行する秘密乱数生成方法の処理手続きを説明する。

　パラメータ記憶部１０には、疑似ランダム関数PRF: K×{0, 1}^α→{0, 1}^Lと、J個の鍵{k_{A_1}, …, k_{A_J}}と、J個の多項式{f_{A_1}(x), …, f_{A_J}(x)}とが記憶されている。

　ステップＳ１１において、疑似乱数生成部１１は、1以上J以下の各整数jについて、パラメータ記憶部１０に記憶された各鍵k_{A_j}とパラメータaとを用いて、疑似ランダム関数PRF(k_{A_j}, a)を計算する。パラメータaは、例えばタイムスタンプなど、すべての秘密計算装置１₁, …, １_nの間で共通に利用できるパラメータである。疑似乱数生成部１１は、各鍵k_{A_j}から計算した疑似乱数p_{A_j}をビット計数部１２へ出力する。

　ステップＳ１２において、ビット計数部１２は、1以上J以下の各整数jについて、各疑似乱数p_{A_j}に含まれる１の個数r_{A_j}を求める。ビット計数部１２は、各疑似乱数p_{A_j}から求めた１の個数r_{A_j}を乱数シェア生成部１３へ出力する。

　ステップＳ１３において、乱数シェア生成部１３は、１の個数r_{A_j}と多項式f_{A_j}(i)の出力との積和[r]_i←Σ_jr_{A_j}・f_{A_j}(i)を計算する。ただし、iは秘密計算装置の番号である。この[r]_iは乱数r=Σ_Ar_Aのシェアとなっている。乱数シェア生成部１３は、乱数rのシェア[r]_iを出力部１４へ出力する。

　ステップＳ１４において、出力部１４は、乱数rのシェア[r]_iを出力する。

　疑似ランダム関数PRF(k_A, a)の出力であるLビットの疑似乱数p_Aは、これに含まれる１の個数r_Aが二項分布Bin(L, 1/2)に従う。同様に、各パーティで共有するすべての鍵k_Aにより計算した計N=(nCn-t+1)×Lビットの乱数に含まれる１の個数rは、二項分布Bin(N, 1/2)に従うこととなる。ここで、nCn-t+1は異なるn個から異なるn-t+1個を選ぶ組み合わせの数を表す。この１の個数rはr=Σ_Ar_Aを満たす。また、これらの計算はすべてローカルで計算可能であるため、パーティ間の通信は不要である。本発明は、この性質を利用して、各パーティが互いに通信を行うことなく、二項分布Bin(N, 1/2)に従う乱数のシェア[r]_iを求め、システム全体として乱数rの秘匿値[r]を生成するものである。

　本発明では、疑似ランダム秘密分散法に基づき、秘密乱数生成における逐次の通信を不要化した。このとき、一様乱数を生成する疑似ランダム秘密分散法を、二項分布に従う乱数を生成できるよう変更することで、従来法に比べ通信量を大きく削減した。このように、本発明によれば、秘密計算結果の出力プライバシ保護などに用いることのできる二項分布に従う秘密乱数を、逐次の通信を介することなく生成することができる。従来の方法では、秘密乱数生成のたびにノイズの値域Nに比例する量の通信を必要としていた。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図４に示すコンピュータの記憶部１０２０に読み込ませ、制御部１０１０、入力部１０３０、出力部１０４０などに動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (4)

1. 　複数の秘密計算装置を含み、二項分布に従う乱数の秘匿値を生成する秘密乱数生成システムであって、
   　前記秘密計算装置は、
   　疑似ランダム関数と少なくとも１組の鍵および多項式とを記憶する記憶部と、
   　前記各鍵を用いて前記疑似ランダム関数を計算して前記各鍵に対応する疑似乱数を得る疑似乱数生成部と、
   　前記各疑似乱数に含まれる１の個数を数えるビット計数部と、
   　前記１の個数と当該１の個数に対応する前記多項式の出力との積和を前記乱数のシェアとして得る乱数シェア生成部と、
   　を含む秘密乱数生成システム。
2. 　二項分布に従う乱数の秘匿値を生成する秘密乱数生成システムで用いられる秘密計算装置であって、
   　疑似ランダム関数と少なくとも１組の鍵および多項式とを記憶する記憶部と、
   　前記各鍵を用いて前記疑似ランダム関数を計算して前記各鍵に対応する疑似乱数を得る疑似乱数生成部と、
   　前記各疑似乱数に含まれる１の個数を数えるビット計数部と、
   　前記１の個数と当該１の個数に対応する前記多項式の出力との積和を前記乱数のシェアとして得る乱数シェア生成部と、
   　を含む秘密計算装置。
3. 　二項分布に従う乱数の秘匿値を生成する秘密乱数生成システムが実行する秘密乱数生成方法であって、
   　記憶部に、疑似ランダム関数と少なくとも１組の鍵および多項式とが記憶されており、
   　疑似乱数生成部が、前記各鍵を用いて前記疑似ランダム関数を計算して前記各鍵に対応する疑似乱数を得、
   　ビット計数部が、前記各疑似乱数に含まれる１の個数を数え、
   　乱数シェア生成部が、前記１の個数と当該１の個数に対応する前記多項式の出力との積和を前記乱数のシェアとして得る、
   　秘密乱数生成方法。
4. 　請求項２に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。

Images