WO2021144974A1

WO2021144974A1 - 秘密最大値計算装置、方法及びプログラム

Info

Publication number: WO2021144974A1
Application number: PCT/JP2020/001546
Authority: WO
Inventors: 浩気濱田; 亮菊池
Original assignee: 日本電信電話株式会社
Priority date: 2020-01-17
Filing date: 2020-01-17
Publication date: 2021-07-22
Also published as: JP7322976B2; EP4092654A1; JPWO2021144974A1; EP4092654A4; AU2020422786B2; CN114930431A; AU2020422786A1; US20230029772A1

Abstract

秘密最大値計算装置は、X'=Xとする初期化部１と、X'の中からどの要素も２個以上のペアに含まれないように１個以上のペアを作成するペア作成部２と、作成された１個以上のペアのそれぞれについて、１個以上のペアのそれぞれに含まれる[[x_i]],[[x_j]]の中の、大きい値の秘匿値を秘密計算により決定する決定部３と、X'のうち１個以上のペアに含まれなかった秘匿値がある場合には、X'のうち１個以上のペアに含まれなかった秘匿値と決定部で決定された秘匿値とを含む集合を新たなX'とする集合更新部４と、上記の処理を、|X'|=1になるまで繰り返すように制御する制御部５と、[[x_g]](g∈[1,n])が最大値であるときは[[z(x_g)]]=[[1]]であり、i≠gであるときは[[z(x_i)]]=[[0]]であるようにフラグ[[z(x_i)]](i=1,…,n)を決定するフラグ決定部６と、を備えている。

Description

秘密最大値計算装置、方法及びプログラム

　本発明は、暗号応用技術に関するものであり、特に入力や出力を明かすことなく最大値と最大値のフラグを計算する方法に関する。

　暗号化された数値を復元すること無く特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある(例えば非特許文献１参照。)。非特許文献１の方法では、３個の秘密計算装置に数値の断片を分散させるという暗号化を行い、３個の秘密計算装置が協調計算を行うことにより、数値を復元すること無く、加減算、定数加算、乗算、定数倍、論理演算 (否定、論理積、論理和、排他的論理和)，データ形式変換(整数, 二進数)の結果を３個の秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。秘密計算で暗号化されたn個の値の最大値と最大値のフラグを計算する場合、現在の最大値と最大値である要素の番号を暗号文として保持しておき、n個の暗号文と順に比較を行い、最大値と最大値である要素の番号を更新していき、最後に番号からフラグを計算する方法がある(例えば非特許文献２参照。)。

千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, 軽量検証可能 3 パーティ秘匿関数計算の再考, In CSS, 2010. Sameer Wagh, Divya Gupta, and Nishanth Chandran. Securenn: 3-party secure computation for neural network training. Proceedings on Privacy Enhancing Technologies, Vol. 1, p. 24, 2019.

　しかしながら、従来の方法では、最大値を計算する際の比較の総回数はΘ(n)であるものの、比較の段数がΘ(n)と大きかった。

　本発明の目的は、処理時間を小さくした秘密最大値計算装置、方法及びプログラムを提供することを目的とする。

　この発明の一態様による秘密最大値計算装置は、X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、X′=Xとする初期化部と、X′の中からX′の中のどの要素も２個以上のペアに含まれないように１個以上のペアを作成するペア作成部と、作成された１個以上のペアのそれぞれについて、１個以上のペアのそれぞれに含まれる[[x_i]],[[x_j]]の中の、順序Rに関して大きい値の秘匿値を秘密計算により決定する決定部と、X′のうち１個以上のペアに含まれなかった秘匿値がある場合には、X′のうち１個以上のペアに含まれなかった秘匿値と決定部で決定された秘匿値とを含む集合を新たなX′とする集合更新部と、新たなX′をX′とするペア作成部、決定部及び集合更新部の処理を、|X′|=1になるまで繰り返すように制御する制御部と、|X′|=1であるX′の唯一の要素である秘匿値を最大値として、[[x_g]](g∈[1,n])が最大値であるときは[[z(x_g)]]=[[1]]であり、i≠gであるときは[[z(x_i)]]=[[0]]であるようにフラグ[[z(x_i)]](i=1,…,n)を決定するフラグ決定部と、を備えている。

　処理時間を小さくすることができる。

図１は、秘密最大値計算装置の機能構成の例を示す図である。図２は、秘密最大値計算方法の処理手続きの例を示す図である。図３は、コンピュータの機能構成例を示す図である。

　以下、本発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　[記法]
　ある値aを暗号化や秘密分散などにより秘匿化した値aの秘匿値と呼び、[[a]]と書く。秘匿化が秘密分散である場合は，[[a]]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。

　<復号>
　aの秘匿値[[a]]を入力とし，c=aとなる値cを計算する処理を
c←Open([[a]])
と記述する。

　<算術演算>
　加算、減算、乗算の各演算は２個の値a,bの秘匿値[[a]],[[b]]を入力とし、それぞれa+b，a-b，abの計算結果c₁，c₂，c₃の秘匿値[[c₁]]，[[c₂]]，[[c₃]]を計算する。これらの演算の実行をそれぞれ、
[[c₁]]←Add([[a]],[[b]])
[[c₂]]←Sub([[a]],[[b]])
[[c₃]]←Mul([[a]],[[b]])
と記述する。誤解を招く恐れのない場合は、Add([[a]],[[b]])，Sub([[a]],[[b]])，Mul([[a]],[[b]])をそれぞれ[[a]]+[[b]]，[[a]]-[[b]]，[[a]]×[[b]]と略記する。

　<比較>
　比較の演算は２個の値a,bの秘匿値[[a]],[[b]]を入力とし，a=b，a≦b，a<bの真偽値c∈{0,1}の秘匿値[[c₁]]，[[c₂]]，[[c₃]]を計算する。真偽値は真のとき1、偽のとき0とする。この演算の実行を
[[c₀]]←EQ([[a]],[[b]])
[[c₁]]←LE([[a]],[[b]])
[[c₂]]←LT([[a]],[[b]])
と記述する。

　<選択>
　選択の演算は、真偽値c∈{0,1}の秘匿値[[c]]と２個の値a,bの秘匿値[[a]],[[b]]を入力とし、

を満たすdの秘匿値[[d]]を計算する。この演算の実行を
[[d]]←IfElse([[c]],[[a]],[[b]])
と記述する。この演算は
[[d]]←[[c]]×([[a]]-[[b]])+[[b]]
により実現できる。

　[秘密最大値計算装置及び方法]
　秘密最大値計算装置は、図１に示すように、初期化部１、ペア作成部２、決定部３、集合更新部４、制御部５及びフラグ決定部６を例えば備えている。

　秘密最大値計算方法は、秘密最大値計算装置の各構成部が、以下に説明する及び図２に示すステップＳ１からステップＳ６の処理を行うことにより例えば実現される。

　以下、秘密最大値計算装置の各構成部について説明する。

　<初期化部１>
　初期化部１には、X={[[x₁]],[[x₂]],...,[[x_n]]}が入力される。nは、２以上の所定の正の整数である。例えば、n≧4である。

　初期化部１は、X′=Xとすることにより、集合X′を初期化する（ステップＳ１）。

　初期化されたX′は、ペア作成部２に出力される。

　<ペア作成部２>
　ペア作成部２には、初期化部１により初期化されたX′が入力される。なお、ペア作成部２の２回目以降の処理においては、集合更新部４により更新されたX′が入力される。

　ペア作成部２は、入力されたX′の中からX′の中のどの要素も２個以上のペアに含まれないように１個以上のペアを作成する（ステップＳ２）。

　作成された１個以上のペアは、決定部３に出力される。また、X′のうち１個以上のペアに含まれなかった秘匿値がある場合には、X′のうち前記１個以上のペアに含まれなかった秘匿値は、集合更新部４に出力される。

　例えば、ペア作成部２は、少なくとも１度は２個以上のペアを作成する。n≧4である場合には、これによりn-2段以下の段数の比較で計算を行うことができる。

　<決定部３>
　決定部３には、ペア作成部２により作成された１個以上のペアが入力される。

　決定部３は、作成された１個以上のペアのそれぞれについて、１個以上のペアのそれぞれに含まれる[[x_i]],[[x_j]]の中の、順序Rに関して大きい値の秘匿値を秘密計算により決定する（ステップＳ３）。

　決定された大きい値の秘匿値は、集合更新部４に出力される。

　<集合更新部４>
　集合更新部４には、決定部３により決定された大きい値の秘匿値が入力される。また、X′のうち１個以上のペアに含まれなかった秘匿値がある場合には、X′のうち前記１個以上のペアに含まれなかった秘匿値が、集合更新部４に入力される。

　集合更新部４は、X′のうち１個以上のペアに含まれなかった秘匿値がある場合には、X′のうち１個以上のペアに含まれなかった秘匿値と決定部３で決定された秘匿値とを含む集合を新たなX′とする（ステップＳ４）。

　<制御部５>
　制御部５は、集合更新部４により生成された新たなX′をX′とするペア作成部２、決定部３及び集合更新部４の処理を、|X′|=1になるまで繰り返すように制御する（ステップＳ５）。

　ここで、|X′|は、集合X′に含まれる要素の個数である。

　|X′|=1となったX′は、フラグ決定部６に出力される。

　<フラグ決定部６>
　フラグ決定部６には、|X′|=1となったX′が入力される。

　フラグ決定部６は、|X′|=1であるX′の唯一の要素である秘匿値を最大値として、[[x_g]](g∈[1,n])が最大値であるときは[[z(x_g)]]=[[1]]であり、i≠gであるときは[[z(x_i)]]=[[0]]であるようにフラグ[[z(x_i)]](i=1,…,n)を決定する（ステップＳ６）。

　例えば、フラグ決定部６は、X′に一度でも含まれた[x_i]に対して以下の(a),(b)の処理を行うことにより、フラグ[[z(x_i)]]を決定する。フラグ[[z(x_i)]]の計算は、ペア作成部２、決定部３、集合更新部４及び制御部５の計算の順序と逆の順序で行われる。

　(a) フラグ決定部６は、[[x_i]]が[[x_g]]であるときは、[[z(x_g)]]=[[1]]とする。

　(b) フラグ決定部６は、[[x_k]]が[[x_i]]と[[x_j]]の比較により計算されたもので[[z(x_k)]]が計算済みの場合は，[[x_i]]と[[x_j]]の比較結果と[[z(x_k)]]を使って、[[x_i]]と[[x_j]]のうち大きかった方[[x₊]]については[[z(x₊)]]=[[x_k]]、大きくなかった方[[x_-]]については[[z(x_-)]]=[[0]]となるように計算する。

　従来の方法では、最大値を保持しておきながら秘匿値の集合から順に最大値を更新していたため、比較の段数がΘ(n)となっていた。一方、上記の実施形態のように、問題を指数的に縮小しながら再帰的に最大値を計算することにより、比較の段数を小さく実現することができる。

　具体的には、大きさnの秘匿値の集合から最大値の秘匿値と最大値かどうかのフラグの秘匿値を計算するとき、従来の方法では比較の段数がΘ(n)となっていたが、比較の順序を上手く選択することにより、比較の総回数をΘ(n)にしたまま比較の段数を小さくすることができる。

　[アルゴリズムの例]
　以下、上記の秘密最大値計算装置及び方法により実現されるアルゴリズムの例について説明する。このアルゴリズムでは、ペアを作成する際に、└|X′|/2┘対のペアが作成される。なお、└|X′|/2┘は、|X′|/2以下の最大の整数である。このアルゴリズムにより、nに対して比較の段数が漸近的にO(log n)とすることができる。

　入力:X={[[x₁]],...,[[x_n]]}
　出力:[[y]]，[[z(x₁)]],...,[[z(x_n)]]
　記法:[[y]],[[z(x₁)]],...,[[z(x_n)]]←f([[x₁]],...,[[x_n]])
　(1) もしn=1であれば、[[y]]=[[x₁]]，[[z(x₁)]]=[[1]]を返して終了。
　(2) nが２の倍数であれば以下の(2-a)から(2-f)を実行。
　(2-a) h←n/2
　(2-b) [[f_i]]←LE([[x_i]],[[x_i+h]])(i∈[1,h])
　(2-c) [[m_i]]←IfElse([[f_i]],[[x_i+h]],[[x_i]])(i∈[1,h])
　(2-d) [[y]],[[z(m₁)]],...,[[z(m_h)]]←f([[m₁]],...,[[m_h]])
　(2-e) [[z(x_i)]]←[[z(m_i)]]×(1-[[f_i]])(i∈[1,h])
　(2-f) [[z(x_i+h)]]←[[z(m_i)]]×[[f_i]](i∈[1,h])
　(3) nが2の倍数でないならば以下を実行。
　(3-a) h←(n-1)/2
　(3-b) [[f_i]]←LE([[x_i]],[[x_i+h]])(i∈[1,h])
　(3-c) [[m_i]]←IfElse([[f_i]],[[x_i+h]],[[x_i]])(i∈[1,h])
　(3-d) [[m_h+1]]←[[x_n]]
　(3-e) [[y]],[[z(m₁)]],...,[[z(m_h)]],[[z(m_h+1)]]←f([[m₁]],...,[[m_h+1]])
　(3-f) [[z(x_i)]]←[[z(m_i)]]×(1-[[f_i]])(i∈[1,h])
　(3-g) [[z(x_i+h)]]←[[z(m_i)]]×[[f_i]](i∈[1,h])
　(3-h) [[z(x_n)]]←[[z(m_h+1)]]
　(2-b),(2-c),(3-b),(3-c)で、[[x_i]],[[x_i+h]]のペアが用いられている。上記のアルゴリズムでは明記されていないが、このペアの作成がペア作成部２の処理に対応している。

　(2-b),(2-c),(3-b),(3-c)は、決定部３の処理に対応している。

　(2-d)で、新たな集合[[m₁]],...,[[m_h]]に対して再帰的にアルゴリズムが行われている。この新たな集合[[m₁]],...,[[m_h]]がX′に対応している。この新たな集合X′=[[m₁]],...,[[m_h]]の決定は、集合更新部４の処理に対応している。

　同様に、(3-d),(3-e)で、新たな集合[[m₁]],...,[[m_h+1]]に対して再帰的にアルゴリズムが行われている。この新たな集合[[m₁]],...,[[m_h+1]]がX′である。この新たな集合X′=[[m₁]],...,[[m_h+1]]の決定は、集合更新部４の処理に対応している。

　また、(2-d), (3-e)で再帰的にアルゴリズムが行われる部分は、制御部５の処理に対応している。

　(3-f),(3-g),(3-h)は、フラグ決定部６の処理に対応している。

　[変形例]
　以上、本発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、本発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、本発明に含まれることはいうまでもない。

　実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　例えば、秘密最大値計算装置の構成部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　[プログラム、記録媒体]
　上記説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。例えば、上述の各種の処理は、図３に示すコンピュータの記録部２０２０に、実行させるプログラムを読み込ませ、制御部２０１０、入力部２０３０、出力部２０４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

１     初期化部
２     ペア作成部
３     決定部
４     集合更新部
５     制御部
６     フラグ決定部

Claims

　X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、X′=Xとする初期化部と、
　X′の中からX′の中のどの要素も２個以上のペアに含まれないように１個以上のペアを作成するペア作成部と、
　前記作成された１個以上のペアのそれぞれについて、前記１個以上のペアのそれぞれに含まれる[[x_i]],[[x_j]]の中の、順序Rに関して大きい値の秘匿値を秘密計算により決定する決定部と、
　X′のうち前記１個以上のペアに含まれなかった秘匿値がある場合には、前記X′のうち前記１個以上のペアに含まれなかった秘匿値と前記決定部で決定された秘匿値とを含む集合を新たなX′とする集合更新部と、
　前記新たなX′をX′とする前記ペア作成部、前記決定部及び前記集合更新部の処理を、|X′|=1になるまで繰り返すように制御する制御部と、
　|X′|=1であるX′の唯一の要素である秘匿値を最大値として、[[x_g]](g∈[1,n])が最大値であるときは[[z(x_g)]]=[[1]]であり、i≠gであるときは[[z(x_i)]]=[[0]]であるようにフラグ[[z(x_i)]](i=1,…,n)を決定するフラグ決定部と、
　を含む秘密最大値計算装置。
　初期化部が、X={[[x₁]],[[x₂]],...,[[x_n]]}であるとして、X′=Xとする初期化ステップと、
　ペア作成部が、X′の中からX′の中のどの要素も２個以上のペアに含まれないように１個以上のペアを作成するペア作成ステップと、
　決定部が、前記作成された１個以上のペアのそれぞれについて、前記１個以上のペアのそれぞれに含まれる[[x_i]],[[x_j]]の中の、順序Rに関して大きい値の秘匿値を秘密計算により決定する決定ステップと、
　集合更新部が、X′のうち前記１個以上のペアに含まれなかった秘匿値がある場合には、前記X′のうち前記１個以上のペアに含まれなかった秘匿値と前記決定部で決定された秘匿値とを含む集合を新たなX′とする集合更新ステップと、
　制御部が、前記新たなX′をX′とする前記ペア作成部、前記決定部及び前記集合更新部の処理を、|X′|=1になるまで繰り返すように制御する制御ステップと、
　フラグ決定部が、|X′|=1であるX′の唯一の要素である秘匿値を最大値として、[[x_g]](g∈[1,n])が最大値であるときは[[z(x_g)]]=[[1]]であり、i≠gであるときは[[z(x_i)]]=[[0]]であるようにフラグ[[z(x_i)]](i=1,…,n)を決定するフラグ決定ステップと、
　を含む秘密最大値計算方法。
　請求項１の秘密最大値計算装置の各部としてコンピュータを機能させるためのプログラム。