WO2021149106A1 - 秘密計算装置、秘密計算方法、およびプログラム - Google Patents

Abstract

公開値２^σ／ｍを得、秘密分散値［ｘ］と得られた前記公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行って、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する。ただし、ｘが実数であり、［・］が・の秘密分散値であり、σが右シフト量を表すビット数である正整数であり、ｍが実数である。

Description

秘密計算装置、秘密計算方法、およびプログラム

　本発明は、秘密計算において実数値の乗算を行う技術に関する。

　非特許文献１には、公開されている実数値を秘密分散値に乗算する秘密計算方法が開示されている。

五十嵐大，"秘密計算AIの実装に向けた秘密実数演算群の設計と実装-O(|p|)ビット通信量O(1)ラウンドの実数向け右シフト，"In CSS2019, 2019.

　しかし、非特許文献１の秘密計算方法では、オーバーフローしないように乗算のたびに乗算に加えて右シフトを秘密計算で行っており、計算コストが大きいという問題点がある。

　本発明はこのような点に鑑みてなされたものであり、公開されている実数値を秘密分散値に乗算する秘密計算の計算コストを削減することを目的とする。

　ｘが実数であり、［・］が・の秘密分散値であり、σが右シフト量を表すビット数である正整数であり、ｍが実数であり、公開値２^σ／ｍを得、秘密分散値［ｘ］と得られた前記公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行って、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する。

　以上のように、本発明では、実数ｍの乗算とσビットの右シフトとを同時に実行するため、計算コストを削減できる。

図１Ａは実施形態の秘密計算装置を例示したブロック図である。図１Ｂは実施形態の秘密計算方法を例示するためのフロー図である。 図２は各初等関数に関する計算済みのパラメータを例示した表である。 図３はハードウェア構成を説明するためのブロック図である。

　以下、図面を参照して本発明の実施形態を説明する。
　実施形態では、秘密計算装置が、実数ｘの秘密分散値［ｘ］、乗数である実数ｍ、および右シフト量を表すビット数である正整数σを入力とし、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する。秘密分散値の秘密分散方式に限定はなく、例えば、加法的秘密分散方式やシャミア秘密分散方式などを例示できる。［・］の一例は剰余環上の要素・を線形秘密分散した秘密分散値（シェア）である。また環上の整数に公開の小数点位置を定めることで固定小数点の実数と見なすことができる。実施形態ではこのようにして環上で表した固定小数点の実数を単に実数と表記する。

　図１Ａに例示するように、実施形態の秘密計算装置１は、公開値計算部１１、秘密計算部１２、および制御部１９を有する。秘密計算装置１は、制御部１９の制御の下で各処理を実行する。

　図１Ｂに例示するように、まず、秘密分散値［ｘ］、実数ｍ、および正整数σが秘密計算装置１に入力される（ステップＳ１０）。秘密分散値［ｘ］は秘密計算部１２に送られ、実数ｍおよび正整数σは公開値計算部１１に送られる。

　実数ｍおよび正整数σは公開値計算部１１に入力される。公開値計算部１１は、公開値２^σ／ｍを計算して出力する（ステップＳ１１）。

　秘密分散値［ｘ］および公開値計算部１１から出力された公開値２^σ／ｍは秘密計算部１２に入力される。秘密計算部１２は、秘密分散値［ｘ］と公開値計算部１１で得られた公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行って、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する（ステップＳ１２）。

　秘密計算装置１は秘密分散値［ｍｘ］_ｒを出力する（ステップＳ１３）。

　＜本実施形態の特徴＞
　通常、秘密計算において、秘密分散値［ｘ］に公開された実数ｍの乗算とσビットの右シフトとを行う場合には、乗算を行ってから右シフトを行うか、または右シフトを行ってから乗算を行うことになる。この場合には、乗算を行うための計算コストと右シフトを行うための計算コストが必要となる。これに対し、本実施形態では、右シフトが除算と等価であることに着目し、まず、公開値２^σ／ｍを計算し、秘密分散値［ｘ］と得られた公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行う。この秘密計算で得られる値は乗算結果ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒと等価である。しかしながら、計算コストの低い公開値除算の秘密計算によって乗算と右シフトを同時に実現している。その結果、演算コストを大幅に削減できる。秘密計算分野の当業者にとって除算は乗算に比べて演算コストが大きい処理と認識されており、乗算の処理にあえて除算を用いるという発想には至らない。それにもかかわらず、本実施形態では、右シフトが除算と等価であることに着目して公開値２^σ／ｍを計算し、公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行うことで、乗算と右シフトとを別個に行う場合よりも計算コストを削減できるといった予測できない顕著な効果を得ることができる。なおオーバーフローは秘密計算を実装したプロセッサの性能に基づく問題であり、本方式はこのハードウェア上の制約に基づく問題を解決するための手法を提供する。このように、本方式は純粋数学上の問題を解決するものではなく、ハードウェア実装上の問題を解決するものであって技術的特徴を有するものである。右シフト量を表すσの値はプロセッサで扱うことが可能なビット数に応じて定められる。すなわち、公開値２^σ／ｍはハードウェア上の要請から定まる値である。

　［実装例］
　以下に上述した方式を実装可能なアルゴリズムを例示する。
　＜実施例１＞
　実施例１では、条件ｃ∈｛０，１｝に応じて２つの公開値ｍ_０，ｍ_１のうちどちらかを実数ｘの秘密分散値［ｘ］に乗じる。公開値ｍ_０，ｍ_１の大きさが大きいと、乗算後の値の有効ビット数（その数を２進数で表現するのに必要なビット数）が上昇し、これ以上乗算できない数になってしまうため右シフトが必要になる場合がある。実施例１では、このような処理を効率化する。

入力：［ｘ］，乗数ｍ_０，ｍ_１，条件ｃ∈｛０，１｝の秘密分散値［ｃ］
出力：［ｍ_０ｘ］　ｉｆ　ｃ＝０，［ｍ_１ｘ］　ｉｆ　ｃ＝１

　秘密計算装置は、秘密分散値［ｘ］および乗数ｍ_０，ｍ_１、および法ｐを用いた秘密計算によって秘密分散値［ｍ_０ｘ］および［ｍ_１ｘ］を得て出力する（ステップＳ２１）。ステップＳ２１の処理の具体例については後述する。

　秘密計算装置は、秘密分散値［ｃ］，［ｍ_０ｘ］，［ｍ_１ｘ］を用いた秘密計算によって、ｍ_ｃｘの秘密分散値［ｃ？ｍ_０ｘ：ｍ_１ｘ］を得て出力する。すなわち、秘密計算部２２はｃ＝０の場合に［ｍ_０ｘ］を得て出力し、ｃ＝１の場合に［ｍ_１ｘ］を得て出力する（ステップＳ２２）。

　＜ステップＳ２１の処理の具体例＞
　ステップＳ２１の処理の具体例を説明する。ここでは、ｄ_０＝１／ｍ_０およびｄ_１＝１／ｍ_１が除数であり、ｐが正整数の法であり、ｑが正整数の商であるとする。

　秘密計算装置は、秘密分散値［ｘ］および法ｐを用いた秘密計算により、ｘ／ｐの商ｑの秘密分散値［ｑ］を得て出力する（ステップＳ２１１）。

　秘密計算装置は、秘密分散値［ｘ］，［ｑ］、除数ｄ_０，…，ｄ_ｎ－１および法ｐを用いた秘密計算により、［ｍ_０ｘ］＝［ｘ／ｄ_０］＝［（ｘ＋ｑｐ）／ｄ_０］－［ｑ］ｐ／ｄ_０，［ｍ_１ｘ］＝［ｘ／ｄ_１］＝［（ｘ＋ｑｐ）／ｄ_１］－［ｑ］ｐ／ｄ_１を得て出力する（ステップＳ２１２）。ステップＳ２１２の処理の具体例を以下に説明する。

　＜ステップＳ２１２の処理の具体例＞
　秘密計算装置は、公開値計算部２１２ａは、乗数ｍ_０，ｍ_１および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する。ただし、σ０，σ１は、それぞれ乗数ｍ_０，ｍ_１が大きい場合に必要となる右シフト量を表すビット数である正整数である（ステップＳ２１２ａ）。

　秘密計算装置は、秘密分散値［ｘ］，［ｑ］および法ｐと公開値計算部２１２ａで得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［ｘ＋ｑｐ］／（２^σ０／ｍ_０），［ｘ＋ｑｐ］／（２^σ１／ｍ_１）を行って、（ｘ＋ｑｐ）ｍ_０をσ０ビットだけ右シフトした値の秘密分散値［（ｘ＋ｑｐ）ｍ_０］および（ｘ＋ｑｐ）ｍ_１をσ１ビットだけ右シフトした値の秘密分散値［（ｘ＋ｑｐ）ｍ_１］を得て出力する（ステップＳ２１２ｂ）。

　秘密計算装置は、秘密分散値［（ｘ＋ｑｐ）ｍ_０］，［（ｘ＋ｑｐ）ｍ_１］，［ｑ］と法ｐと乗数ｍ_０，ｍ_１を用いた秘密計算によって［ｍ_０ｘ］＝［（ｘ＋ｑｐ）ｍ_０］－［ｑ］ｐｍ_０および［ｍ_１ｘ］＝［（ｘ＋ｑｐ）ｍ_１］－［ｑ］ｐｍ_１を得て出力する（ステップＳ２１２ｃ）。

　＜実施例２＞
　実施例２では、任意の関数（例えば、初等関数）を多項式関数f_t(x)で近似し、さらに右シフト前の関数ｆ_ｔ（ｘ）と当該関数ｆ_ｔ（ｘ）の近似関数ｆ’_ｕ（ｘ）との差分ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］を計算し、ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）を右シフトした（ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ））_ｒの秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］_ｒを得、秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］_ｒと秘密分散値［ｆ’_ｔ（ｘ）］の秘密計算によってｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）にｆ’_ｔ（ｘ）を加算した関数ｆ_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）］を得る。ただし、ｘが実数であり、［・］が・の秘密分散値であり、ｎが１以上の整数（例えば、ｎは２以上の整数）であり、ｔ＝０，…，ｎ－１であり、ｕ＝１，…，ｎ－１であり、ｆ_ｔ（ｘ）が実数ｘに対する関数であり、ｆ’_ｔ（ｘ）は関数ｆ_ｔ（ｘ）の近似関数であり、近似関数ｆ’_０（ｘ）の秘密分散値［ｆ’_０（ｘ）］が［ｆ’_０（ｘ）］＝ｃ_０，０＋ｃ_０，１［ｘ］であり、近似関数ｆ’_ｕ（ｘ）の秘密分散値［ｆ’_ｕ（ｘ）］が［ｆ’_ｕ（ｘ）］＝ｃ_ｕ，０＋ｃ_ｕ，１［ｘ］＋ｃ_ｕ，２［ｆ_０（ｘ）］＋…＋［ｆ_ｕ－１（ｘ）］であり、ｃ_ｔ，０は公開値であり、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}は係数である。ただし、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}は有効ビット数の小さな値であり、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}が乗じられても桁あふれによってシフトが必要になるようなことがない値である。ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）は正である。秘密分散方式に限定はなく、例えば、加法的秘密分散方式やシャミア秘密分散方式などを例示できる。ここでｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の大きさはｆ_ｔ（ｘ）の大きさよりも小さいため、秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］のオーバーフローを抑制することができる。また右シフト前の関数ｆ_ｔ（ｘ）と当該関数ｆ_ｔ（ｘ）の近似関数ｆ’_ｕ（ｘ）との差分ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］を計算するため、高い精度を保つことができる。オーバーフローは秘密計算を実装したプロセッサの性能に基づく問題であり、本方式はこのハードウェア上の制約に基づく問題を解決するための手法を提供する。このように、本方式は純粋数学上の問題を解決するものではなく、ハードウェア実装上の問題を解決するものであって技術的特徴を有するものである。例えば、秘密分散値［ｆ_ｔ（ｘ）］を計算するとオーバーフローしてしまうが秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］の計算ではオーバーフローしないプロセッサではその技術的特徴は顕著である。

　秘密計算装置は、実数ｘの秘密分散値［ｘ］∈［Ｌ，Ｒ）を入力とし、以下の秘密計算を行って目的の関数ｆ_ｎ－１（ｘ）の秘密分散値［ｆ_ｎ－１（ｘ）］を出力する。なお、Ｌ，ＲはＬ＜Ｒを満たす実数であり、［Ｌ，Ｒ）はＬ以上Ｒ未満の左閉右開区間を表す。ここでは、ｎ＝３であり、ａ，ｂ，ｃ，ｄ，ｆ，ｇ，ｈ，ｉ，ｊ，ｋ，ｓ，ｍ，ｎ，ｏ，ｐ，ｑ，α，β，γ，δ，ζが実数であり、ｆ_０（ｘ）＝ｙ＝δｘ^２＋ａｘであり、ｆ_１（ｘ）＝ｚ＝ｙ（ζｙ＋ｂ）＋ｃｘであり、ｆ_２（ｘ）＝ｗ＝γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）であり、ｆ’_０（ｘ）＝ｉｘ＋ｊであり、ｆ’_１（ｘ）＝ｋｙ＋ｓｘ＋ｍであり、ｆ’_２（ｘ）＝ｎｚ＋ｏｙ＋ｐｘ＋ｑである例を説明する。

入力：［ｘ］∈［Ｌ，Ｒ）
設定済のパラメータ：ａ，ｂ，ｃ，ｄ，ｆ，ｇ，Ｈ，ｉ，ｊ，ｋ，ｓ，ｍ，ｎ，ｏ，ｐ，ｑ，α，β，γ，δ，ζ
出力：目的の関数（例えば、初等関数）ｆ_ｎ－１（ｘ）に対応する秘密分散値［ｆ_ｎ－１（ｘ）］

1：秘密計算装置は、積和の秘密計算により［ｙ’］＝［ｘ（δｘ＋ａ-ｉ）-ｊ］を得、右シフトの秘密計算により小数点位置を下げたｙ’_ｒの秘密分散値［ｙ’］_ｒを得る。
２：秘密計算装置は、秘密分散値［ｙ’］_ｒを用いた秘密計算により［ｙ］＝［ｙ’＋（ｉｘ＋ｊ）］を得る。
３：秘密計算装置は、積和の秘密計算により［ｚ’］＝［ｙ（ζｙ＋ｂ-ｋ）＋（ｃ-ｓ）ｘ-ｍ］を得、右シフトにより小数点位置を下げたｚ’_ｒの秘密分散値［ｚ’］_ｒを得る。
４：秘密計算装置は、秘密分散値［ｚ’］_ｒを用いた秘密計算により［ｚ］＝［ｚ’＋（ｋｙ＋ｓｘ＋ｍ）］を得る。
５：　秘密計算装置は、積和の秘密計算により［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得、［ｘ］＝［ｗ’／γ］かつｍ＝γとおいたステップＳ１０～Ｓ１３の処理を行い、γによる乗算と小数点位置の下降を同時に行い［ｗ’］を得る。
６：秘密計算装置は、秘密計算により［ｗ］＝［ｗ’＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得て出力する。

　＜実施例３＞
　実施例３では、実数ｘの秘密分散値［ｘ］の指数関数値ｅｘｐ（ｘ）の秘密分散値を得る。指数関数は入力に加法性があるため、入力を以下の３パートに分解する。
I．想定される入力の最小値μ
II.ｘ-μの小数点以下ｔビット以上の上位ｕビットｘ_０，…，ｘ_ｕ-１
III．ｘ-μのｘ_０よりも下位ビット全体が表す数ｘ_ρ
　ｅｘｐ ｘ＝ｅｘｐ μ ｅｘｐ ２^-ｔｘ_０，…，ｅｘｐ ２^ｕ-ｔ-１ｘ_ｕ-１ｅｘｐ ｘ_ρとする。ｅｘｐ μは公開値、ｅｘｐ ２^-ｔｘ_０，…，ｅｘｐ ２^ｕ-ｔ-１ｘ_ｕ-１は表によって計算される箇所である。ｅｘｐ ｘ_ρが近似により計算される箇所であり、［０，２^-ｔ）に正規化される。
入力：［ｘ］
出力：［ｅｘｐ（ｘ）］
設定済のパラメータ：ｔ＝-１
１：秘密計算装置は、秘密計算によって［ｘ’］＝［ｘ］-μを得る。ただし、μは想定されるｘの最小値である。
２：秘密計算装置は、秘密計算により、小数点以下ｔビットより上位のビットをビット分解で取り出してｍｏｄ　ｐ変換し、［ｘ’_０］，…，［ｘ’_ｕ-１］を得る。
３：秘密計算装置は、秘密計算により、各０≦ｉ＜ｕで、ｆ_ｉ，ε_ｉをそれぞれｅｘｐ（２^ｉ-ｔ）の仮数部、指数部とする。
４：秘密計算装置は、秘密計算によって、ｉ＝０，…，ｕ－１について、ｘ’_ｉ’＝０ならばＦ_ｉ＝１、ｘ’_ｉ’＝１ならばＦ_ｉ＝ｆ_ｉとした

を得る。
５：秘密計算装置は、秘密計算によって、各０≦ｉ＜ｕで、選択肢公開のｉｆ－ｔｈｅｎ－ｅｌｓｅゲートにより［ε’_ｉ］：＝ｉｆ　［ｘ’_ｉ］　ｔｈｅｎ　２^εｉ　ｅｌｓｅ　１を計算する。
６：秘密計算装置は、秘密計算によって、各ｉに関する［ε’_ｉ］の積［ε’］を得る（ε’＝ε’_０…ε’_ｕ－１）。これはｅｘｐ（ｘ’）の上位ビット部分の指数部の２のべき乗値である。
７：秘密計算装置は、秘密計算によって、

を得る。これはexp(ｘ’)の下位ビット部分の表す数である。
８：秘密計算装置は、秘密計算によって、［ｘ’_ρ］から［ｗ］を得る。ただし、ｗはｘ’_ρの指数関数ｅｘｐ　ｘ_ρを近似する多項式である。秘密計算装置は、例えば、ｘ＝ｘ’_ρとした実施例２の方法を用いて［ｗ］を得る。
９：秘密計算装置は、秘密計算によって、［ｗ］［ｆ’］［ε’］ｅｘｐ（μ）を得て出力する。ただし、ｅｘｐ（μ）の乗算では［ｘ］＝［ｗ］［ｆ’］［ε’］かつｍ＝ｅｘｐ（μ）とおいたステップＳ１０～Ｓ１３の処理を行い、ｅｘｐ（μ）による乗算と小数点位置の下降を同時に行い［ｗ］［ｆ’］［ε’］ｅｘｐ（μ）を得る。

　［各初等関数に関する計算済みのパラメータの例］
　図２に初等関数が逆数関数、平方根関数、平方根の逆数関数、指数関数、対数関数である場合の計算済みのパラメータを例示する。なお、ｅｘ，ｅｙ，ｅｚはそれぞれｘ，ｙ，ｚの小数点位置を示す。また、ｅ’ｘ，ｅ’ｙ，ｅ’ｚはそれぞれ右シフト前のｘ’，ｙ’，ｚ’の小数点位置を示す。これらの小数点位置は、下位ビットから数えた小数点位置のビット位置を表す。このビット位置を表す値は０から始まり、下位ビットから数えてｅ１ビット目が１を表すときに、小数点位置がｅ１であると表記する。

　［ハードウェア構成］
　実施形態における秘密計算装置１は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）やＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される装置である。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、単独で処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。また、１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　図３は、実施形態における秘密計算装置１のハードウェア構成を例示したブロック図である。図３に例示するように、この例の秘密計算装置１は、ＣＰＵ（Central Processing Unit）１０ａ、出力部１０ｂ、出力部１０ｃ、ＲＡＭ（Random Access Memory）１０ｄ、ＲＯＭ（Read Only Memory）１０ｅ、補助記憶装置１０ｆ及びバス１０ｇを有している。この例のＣＰＵ１０ａは、制御部１０ａａ、演算部１０ａｂ及びレジスタ１０ａｃを有し、レジスタ１０ａｃに読み込まれた各種プログラムに従って様々な演算処理を実行する。また、出力部１０ｂは、データが出力される出力端子、ディスプレイ等である。また、出力部１０ｃは、所定のプログラムを読み込んだＣＰＵ１０ａによって制御されるＬＡＮカード等である。また、ＲＡＭ１０ｄは、ＳＲＡＭ (Static Random Access Memory)、ＤＲＡＭ (Dynamic Random Access Memory)等であり、所定のプログラムが格納されるプログラム領域１０ｄａ及び各種データが格納されるデータ領域１０ｄｂを有している。また、補助記憶装置１０ｆは、例えば、ハードディスク、ＭＯ（Magneto-Optical disc）、半導体メモリ等であり、所定のプログラムが格納されるプログラム領域１０ｆａ及び各種データが格納されるデータ領域１０ｆｂを有している。また、バス１０ｇは、ＣＰＵ１０ａ、出力部１０ｂ、出力部１０ｃ、ＲＡＭ１０ｄ、ＲＯＭ１０ｅ及び補助記憶装置１０ｆを、情報のやり取りが可能なように接続する。ＣＰＵ１０ａは、読み込まれたＯＳ（Operating System）プログラムに従い、補助記憶装置１０ｆのプログラム領域１０ｆａに格納されているプログラムをＲＡＭ１０ｄのプログラム領域１０ｄａに書き込む。同様にＣＰＵ１０ａは、補助記憶装置１０ｆのデータ領域１０ｆｂに格納されている各種データを、ＲＡＭ１０ｄのデータ領域１０ｄｂに書き込む。そして、このプログラムやデータが書き込まれたＲＡＭ１０ｄ上のアドレスがＣＰＵ１０ａのレジスタ１０ａｃに格納される。ＣＰＵ１０ａの制御部１０ａｂは、レジスタ１０ａｃに格納されたこれらのアドレスを順次読み出し、読み出したアドレスが示すＲＡＭ１０ｄ上の領域からプログラムやデータを読み出し、そのプログラムが示す演算を演算部１０ａｂに順次実行させ、その演算結果をレジスタ１０ａｃに格納していく。このような構成により、図１Ａに例示した秘密計算装置１の機能構成が実現される。

　上述のプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。上述のように、このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　各実施形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　本発明は、例えば、データを秘匿化しつつ秘密計算で行う機械学習やデータマイニングでの実数値の乗算に用いることができる。

１　秘密計算装置

Claims (3)

1. 　ｘが実数であり、［・］が・の秘密分散値であり、σが右シフト量を表すビット数である正整数であり、ｍが実数であり、
   　公開値２^σ／ｍを得る公開値計算部と、
   　秘密分散値［ｘ］と前記公開値計算部で得られた前記公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行って、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する秘密計算部と、
   を有する秘密計算装置。
2. 　ｘが実数であり、［・］が・の秘密分散値であり、σが右シフト量を表すビット数である正整数であり、ｍが実数であり、
   　公開値計算部が、公開値２^σ／ｍを得る公開値計算ステップと、
   　秘密計算部が、秘密分散値［ｘ］と前記公開値計算部で得られた前記公開値２^σ／ｍとを用いた公開値除算の秘密計算［ｘ］／（２^σ／ｍ）を行って、ｍｘをσビットだけ右シフトした値の秘密分散値［ｍｘ］_ｒを得て出力する秘密計算ステップと、
   を有する秘密計算方法。
3. 　請求項１の秘密計算装置としてコンピュータを機能させるプログラム。
   　

Images