WO2022039095A1 - 復元端末、通信システム、復元方法、通信方法、及びプログラム - Google Patents

Abstract

セキュリティを向上させる。　復元端末２－２は、複数の通信端末２－ｍにネットワークＮを介して接続されている。復元端末２－２は、元データを分割して得られる複数の一次分散片Ｐ_１ｉのうちのいずれかを保持する関係者ノード２－３～２－５からネットワークＮを介して一次分散片Ｐ_１ｉを取得する。また、復元端末２－２は、複数の一次分散片Ｐ_１ｉのうちの二つの一次分散片Ｐ_１ｉから生成される二次分散片Ｑ_２ｊｋを保持する部外者ノード２－６～２－８からネットワークＮを介して二次分散片Ｑ_２ｊｋを取得する。続いて、復元端末２－２は、取得した一次分散片Ｐ_１ｉと、取得した二次分散片Ｑ_２ｊｋと、から取得した一次分散片Ｐ_１ｉ以外の一次分散片Ｐ_１ｉを復元する。そして、復元端末２－２は、取得した一次分散片Ｐ_１ｉと、復元した一次分散片Ｐ_１ｉと、から元データを復元する。

Description

復元端末、通信システム、復元方法、通信方法、及びプログラム

　本発明は、復元端末、通信システム、復元方法、通信方法、及びプログラムに関し、特に、セキュリティを向上可能な復元端末、通信システム、復元方法、通信方法、及びプログラムに関する。

　従来の暗号技術は、元データのエントロピーを高めることで復号を困難にする。算出されたエントロピーを暗号の強度としている。これは、楕円関数の極大極小問題に帰依するため、境界条件の設定が可能ならば、組み合わせ問題への高い計算能力を用いる（量子コンピュータなど）ことで、容易に解読できることが予想されている。
　これとは別に、秘密分散は一つの元の情報を二つ以上に分割し、またそれらを集めることで元の情報を復元する。
　現実の割符は、元の情報自体は既知であり、割符を集めた時に既知の情報が得られたことを確認する相互認証に用いられるが、電子割符では、複数人の協力によってのみ得られる秘密情報の隠蔽に用いられる。
　電子割符の中でも秘密分散方式は、現実の割符では不可能な、例えば、６断片に分けた電子割符の内のどれでも３断片以上が集まれば秘密情報を得られる等の閾値（この例では３）を指定するなどの高い可用性を持つ。
　既存の秘密分散の仕組みは、暗号技術の一種ではあるが、一般の暗号（秘匿通信）とは異なった利用法を前提としていることから暗号として単純に評価することができない。
　秘密分散法は、公開されたネットワークを媒体とすることを前提として、応用を評価しなければならない。
　秘密共有スキームは、ブラクリー[Bla79]とシャミール[Sha79]とによって独立して発見された。これらの方式に共通する秘密共有の契機は、セキュリティで保護された鍵の管理にある。通常、機密性の高い多くのファイルへのアクセスを提供する秘密鍵が１つある。このような鍵が失われた場合 (たとえば、鍵を知っているユーザーが使用できなくなったり、鍵を格納するコンピュータが破棄されたりした場合）、すべての重要なファイルにアクセスできなくなる。

　図１２は、従来の秘密分散の説明図である。

　従来の秘密共有の基本的な考え方は、このような状態に対処することが動機として存在するため、図１２に示すように、秘密鍵を分割し、グループ内の特定のサブセットが集まって鍵を回復できるように、グループ内の異なる人物に分割データを配布することである（例えば特許文献１参照）。なお、本明細書中に特許文献１の明細書、特許請求の範囲、図面全体を参考として取り込むものとする。

特開平０９－２０５４２２号公報

　保存や通信において対象となるデータを秘密分散することで、保存や通信に強靭性をもたらす。強靭性を向上させるためには、分割数を増やして必要条件となる閾値を下げ、分割されたデータ切片を多数の拠点に分配する。しかし、分割されたデータ切片を不特定多数の拠点に十分な数をもって分配すると、不特定多数によって元データを復元することが可能になり、秘匿性が犠牲となる。実用においては、分割数を増大（強靭性）させながら、閾値を高くして秘匿性を向上させる。これは、妥協点を見出すための綱渡りであり、明示的な安全性の確保ではない。元データを知る必要がある拠点（データ共有者管理下）と知る必要のない拠点（強靭性の担保）とを明示的に区別して分割数と閾値の依存性を切り離すことが必要とされている。

　本発明は、上記の課題を解決するためになされたものであって、セキュリティを向上可能な復元端末、通信システム、復元方法、通信方法、及びプログラムを提供することを目的とする。

　上記の目的を達成するため、本発明の第１の観点に係る復元端末（２－２）は、複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）であって、元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する。

　上記の復元端末（２－２）において、前記複数の第１データ片を全て取得できなかった場合、前記第２データ片を、該取得できなかった該第１データ片の数、取得する、ものであってもよい。

　上記の復元端末（２－２）において、前記第２データ片は、前記二つの第１データ片の排他的論理和を求めることにより生成され、前記取得した第１データ片以外の第１データ片は、前記取得した第１データ片と、前記取得した第２データ片と、の排他的論理和を求めることにより復元される、ものであってもよい。

　上記の復元端末（２－２）において、前記複数の第１データ片は、前記元データを難読化してから分割することにより生成される、ものであってもよい。

　上記の復元端末（２－２）において、前記第１データ片を保持する前記通信端末（２－３～２－５）とは、前記ネットワーク（Ｎ）のうち、前記第２データ片を保持する前記通信端末（２－６～２－８）からはアクセス不能なプライベートネットワーク（Ｎ１）を介して接続されている、ものであってもよい。

　本発明の第２の観点に係る通信システム（１）は、複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された分散端末（２－１）と、復元端末（２－２）と、を具備する通信システム（１）であって、前記分散端末（２－１）は、元データを分割して複数の第１データ片を生成し、前記複数の第１データ片のうちの二つの該第１データ片から第２データ片を生成し、前記複数の第１データ片と、前記第２データ片と、を前記ネットワーク（Ｎ）を介して、それぞれ異なる前記通信端末（２－ｍ）に送信して分散し、前記復元端末（２－２）は、前記複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、前記第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する。

　上記の通信システム（１）において、前記復元端末（２－２）は、前記複数の第１データ片を全て取得できなかった場合、前記第２データ片を、該取得できなかった該第１データ片の数、取得する、ようにしてもよい。

　上記の通信システム（１）において、前記分散端末（２－１）は、前記二つの第１データ片の排他的論理和を求めることにより、前記第２データ片を生成し、前記復元端末（２－２）は、前記取得した第１データ片と、前記取得した第２データ片と、の排他的論理和を求めることにより、前記取得した第１データ片以外の第１データ片を復元する、ようにしてもよい。

　上記の通信システム（１）において、前記分散端末（２－１）は、前記元データを難読化してから分割することにより、前記複数の第１データ片を生成する、ようにしてもよい。

　上記の通信システム（１）において、前記分散端末（２－１）は、前記複数の第１データ片を、前記元データの内容を知ることが許可された関係者の前記通信端末（２－３～２－５）に送信し、前記第２データ片を、該元データの内容を知ることが許可されていない部外者の該通信端末（２－３～２－５）に送信する、ようにしてもよい。

　上記の通信システム（１）において、前記関係者の通信端末（２－３～２－５）とは、前記ネットワーク（Ｎ）のうち、前記部外者の通信端末（２－６～２－８）からはアクセス不能なプライベートネットワーク（Ｎ１）を介して接続されている、ようにしてもよい。

　本発明の第３の観点に係る復元方法は、複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）による復元方法であって、元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する。

　本発明の第４の観点に係る通信方法は、複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された分散端末（２－１）と、復元端末（２－２）と、を具備する通信システム（１）による通信方法であって、前記分散端末（２－１）が、元データを分割して複数の第１データ片を生成し、前記複数の第１データ片のうちの二つの該第１データ片から第２データ片を生成し、前記複数の第１データ片と、前記第２データ片と、を前記ネットワーク（Ｎ）を介して、それぞれ異なる前記通信端末（２－ｍ）に送信して分散し、前記復元端末（２－２）が、前記複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、前記第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する。

　上記の通信方法は、データの保管や伝送において、暗号方式ではなく割符方式を使用する際、秘密分散のスキームを使って分割したピースを、復元に必要条件となる第１データ片とこの第１データ片から可逆的に生成されたファイルのIntegrityのverifyや第２データ片とを明示的に区別して生成し、運用する、ようにしてもよい。

　上記の通信方法は、復元に必要条件となる第１データ片の生成において、いったん難読化したうえで、これを分割する、ようにしてもよい。

　上記の通信方法は、第１データ片から可逆的に生成された第２データ片のみを利用して、三次以上の高次のデータ片を生成する、ようにしてもよい。

　上記の通信方法は、三次以上の高次のデータ片を二次以上のデータ片を利用して、次数を跨いで高次のデータ片を生成する、ようにしてもよい。

　上記の通信方法は、明示的に区別することで、復元することなく、内容証明ができる、ようにしてもよい。

　本発明の第５の観点に係るプログラムは、複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）のコンピュータに、元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得する手順と、前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得する手順と、前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元する手順と、前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する手順と、を実行させる。

　本発明によれば、セキュリティを向上可能な復元端末、通信システム、復元方法、通信方法、及びプログラムを提供することができる。

秘密分散システムの構成例を示す図である。 通信端末の構成例を示すブロック図である。 実施形態１に係るデータ分散処理の詳細を示すフローチャートである。 実施形態１に係るデータ復元処理の詳細を示すフローチャートである。 簡易検査処理の詳細を示すフローチャートである。 内容検査処理の詳細を示すフローチャートである。 実施形態１に係る秘密分散の説明図である。 実施形態２に係るデータ分散処理の詳細を示すフローチャートである。 実施形態２に係るデータ復元処理の詳細を示すフローチャートである。 実施形態２に係る分散片の搬送の説明図である。 実施形態３に係る秘密分散の説明図である。 従来の秘密分散の説明図である。

　以下、本発明を実施するための形態について説明する。
［実施形態１］

　まず、本発明の実施形態１に係る秘密分散システムの構成について図面を参照しつつ説明する。

　図１は、秘密分散システムの構成例を示すブロック図である。

　図１に示すように、秘密分散システム１は、複数の通信端末２－ｍ（ｍは自然数）を具備する。複数の通信端末２－ｍは、インターネット等のネットワークＮを介して相互に通信可能に接続され、ノードと呼ばれる。複数の通信端末（ノード）２－ｍは、ピア・ツウ・ピア方式で通信を行い、ピア・ツウ・ピア（Ｐ２Ｐ）型ネットワークを構成する。

　通信端末（ノード）２－ｍは、例えば汎用のパーソナルコンピュータ、汎用のサーバコンピュータ、若しくはタブレットコンピュータ、スマートフォン、及びデジタル家庭電化製品等のＩＰ（Internet Protocol）通信機能を持つＣＰＵ（Central Processing Unit）を備えたスマートデバイス等から構成される。

　図２は、通信端末（ノード）の構成例を示すブロック図である。

　図２に示すように、通信端末（ノード）２－ｍは、それぞれ、通信部２１－ｍと、記憶部２２－ｍと、制御部２３－ｍと、を備え、これらはバス等を介して接続される。

　通信部２１－ｍは、例えば無線通信装置等から構成される。通信部２１－ｍは、他の通信端末（ノード）２－ｍとネットワークＮを介したデータの送受信を行う。

　記憶部２２－ｍは、例えば汎用のフラッシュメモリ等の不揮発性メモリ等から構成される。

　制御部２３－ｍは、例えばＣＰＵ、ＲＯＭ（Read Only Memory）、及びＲＡＭ（Random Access Memory）等から構成される。ＣＰＵは、ＲＡＭをワークメモリとして用い、ＲＯＭ及び記憶部２２に記憶されているプログラム等を適宜実行することによって、通信端末（ノード）２－ｍの各種動作を制御する。

　図１に示す秘密分散システム１は、鍵を秘密とするのではなく、共有もしくは伝送する秘密情報である任意のデータ（以下、「元データ」という）そのものを秘密として扱い、公開ネットワークＮ２上で分散を行う。一次の分割として任意の一次分散片（第１データ片）Ｐ_１ｉ（１≦ｉ≦ｎ（本実施形態ではｎ＝３））は、単独では意味を持たない。

　本実施形態において、通信端末（ノード）２－ｍには、元データから分散片を生成する通信端末（以下、「分散ノード（分散端末）」という。）２－１と、分散片から元データを復元する通信端末（以下、「復元ノード（復元端末）」という。）２－２と、元データの内容を知る必要のある（元データの内容を知ることが許可された）関係者の通信端末（以下、「関係者ノード（関係者端末）」という。」）２－３～２－５と、元データの内容を知る必要の無い（元データの内容を知ることが許可されていない）部外者の通信端末（以下、「部外者ノード（部外者端末）」という。）２－６～２－８と、が含まれる。なお、関係者ノード及び部外者ノードの数は、“３”に限定されるものではなく、任意である。

　また、ネットワークＮには、プライベートネットワークＮ１と、公開ネットワークＮ２と、が含まれる。プライベートネットワークＮ１には、分散ノード２－１と復元ノード２－２と関係者ノード２－３～２－５とからアクセスできる一方で、部外者ノード２－６～２－８からはアクセスできない。公開ネットワークＮ２には、部外者ノード２－６～２－８を含む全ての通信端末２－ｍからアクセスできる。

　次に、上記構成を備える秘密分散システム１が実行する各種処理について図面を参照して説明する。

　以下では、３つの関係者ノード２－３～２－５、及び３つの部外者ノード２－６～２－８の全６つのノードへの分散を前提とする一貫した処理について、元データから再現まで順に、具体的に説明する。

　まず、分散ノード２－１が実行するデータ分散処理について説明する。

　図３は、実施形態１に係るデータ分散処理の詳細を示すフローチャートである。

　図３に示すデータ分散処理において、分散ノード２－１の制御部２３－１は、まず、元データＸと暗号学的ハッシュ関数Ｈとから、元データＸの誤り検出用ＨＡＳＨ符号ｈ＝Ｈ（Ｘ）を生成し、これを秘密分散ＩＤ（Identification）とする（ステップＳ３０１）。

　次に、制御部２３－１は、元データＸと圧縮難読化関数Ｃとから、圧縮難読化されたビット文字列Ｓ’＝Ｃ（Ｘ）を生成して、元データＸの難読化を行う（ステップＳ３０２）。

　そして、制御部２３－１は、圧縮難読化されたビット文字列Ｓ’を、分割数ｎ（本実施形態では、関係者ノードの数＝“３”）で等長分割すると整数にならない場合があるので、分割数の剰余分をＮＵＬＬで補填し、等長整合化したビット文字列Ｓを生成する（ステップＳ３０３）。

　その後、制御部２３－１は、まず、下記の数１に示す数式に従って、等長整合化したビット文字列Ｓをｎ（＝３）片に等長分割して、第１ビット文字列Ｓ_i（１≦ｉ≦ｎ（＝３））をｎ（＝３）片生成する（ステップＳ３０４）。

　次に、制御部２３－１は、ステップＳ３０１で生成したＨＡＳＨ符号ｈ、等長分割に使用したスライス単位（ビット単位、Ｈｅｘ単位、バイト単位など）Ｄ、ｉ番目の第１ビット文字列Ｓ_iであることを認識するためのタグＴ、分割数ｎ（＝３）といった変数をヘッダとして、これらに第１ビット文字列Ｓ_ｉを連結して、それぞれの巡回冗長検査符号（ＣＲＣ）を計算しＣＲＣ_ｉを生成する（ステップＳ３０５）。

　そして、制御部２３－１は、下記の数２に示す数式に従って、最後にＣＲＣ_ｉを連結して、一次分散片Ｐ_１ｉ（１≦ｉ≦ｎ（＝３））を生成する（ステップＳ３０６）。

　続いて、制御部２３－１は、下記の数３に示す数式に従って、第１ビット文字列Ｓ_iのペアに対して可逆計算を実行し、第２ビット文字列Ｖ_ｌｊｋを生成する（ステップＳ３０７）。

　ここで、可逆計算とは、例えば論理的排他和（ＸＯＲ）のように、下記の数４に示す数式を満たす処理とする。

　また、ｌは、分散性の次数（本実施形態では“２”）である。ｊは、可逆生成に使ったｊ番目の第１ビット文字列Ｓ_jとし、ｋは、可逆生成に使ったｋ番目の第１ビット文字列Ｓ_kとし、ｊ≠ｋとする。ステップＳ３０７で生成される第２ビット文字列Ｖ_2ｊｋは、ステップＳ３０４で生成される第１ビット文字列Ｓ_ｉと等長のビット文字列である。

　さらに、制御部２３－１は、ステップＳ３０１で生成したＨＡＳＨ符号ｈ、可逆計算に使用したスライス単位（ビット単位、Ｈｅｘ単位、バイト単位など）Ｅ、ｊ番目の第１ビット文字列Ｓ_jとｋ番目の第１ビット文字列Ｓ_kとから生成された第２ビット文字列Ｖ_2ｊｋであることを認識するためのタグＵ、分割数ｎといった変数をヘッダとして、これらに第２ビット文字列Ｖ_２ｊｋを連結して、それぞれの巡回冗長検査符号（ＣＲＣ）を計算しＣＲＣ_２ｊｋを生成する（ステップＳ３０８）。

　そして、制御部２３－１は、下記の数５に示す数式に従って、最後にＣＲＣ_２ｊｋを連結して、二次分散片（第２データ片）Ｑ_２ｊｋを生成する（ステップＳ３０９）。

　一次分散片Ｐ_１ｉが一般的な秘密共有のスキームでは、元のデータを共有して秘密を回復できる利用者の最小セットを指定する。秘密共有の一般的な例は、整数１≦ｉ≦ｎのｉ－ｏｕｔ－ｏｆ－ｎスキーム（または（ｉ，ｎ）－しきい値スキーム）である。このようなスキームでは、分散ノードとｎ個の関係者ノードとが存在する。分散ノードは、元のデータをｎ個の部分に分割し、各関係者ノードに１つの部分を与え、任意のｉ個部分を組み合わせて元のデータを回復できるようにするが、ｉ－１個の部分を収集しただけでは元のデータを決定するのに十分ではない。本実施形態では、ｉとｎとの値が一意的に決まるのではなく、一次分散片Ｐ_１ｉを取得すれば合計ｉ個の一次分散片Ｐ_１ｉ又は二次分散片Ｑ_２ｊｋから元のデータを復元・決定できる。一方、一次分散片Ｐ_１ｉが取得できなければ、ｉ個どころか、何個二次分散片Ｑ_２ｊｋを集めても元のデータを復元・決定することはできない。信頼できる相手の関係者ノード２－３～２－５には一次分散片Ｐ_１ｉを、それ以外の不特定多数の部外者ノード２－６～２－８には二次分散片Ｑ_２ｊｋを分配する。すなわち、分配する相手のノード２－ｍによって分配する分散片を意図的に選択することで、セキュリティを犠牲にすることなく、冗長性を高めることができる。

　本実施形態では、３つの関係者ノード２－３～２－５、及び３つの部外者ノード２－６～２－８の計６つのノードによる秘密分散を想定している。ステップＳ３０６で一次分散片Ｐ_１１、Ｐ_１２、Ｐ_１３の３分散片が生成され、これら３分散片の可逆計算の組み合わせが_３Ｃ_２＝３通りあり、ステップＳ３０９で３種類の二次分散片Ｑ_２１２、Ｑ_２２３、Ｑ_２３１が生成されるので、一様な分配が可能となる。強靭性を高めるため、元データの内容を知る必要のない部外者の部外者ノードを増やすことができる。その際、組み合わせによるヘッダが異なるが同値な二次分散片Ｑ_２１２、Ｑ_２２３、Ｑ_２３１を生成する。ただし、本実施形態に係る分散片は等長なのでこのように冗長性を高めるとこれに比例して、ストレージコストが高くなる。ネットワークＮ上での分散保存や、分散伝送は、関係者ノード２－３～２－５が直接このコストを負担する構造ではないので、不用意に使われることが多い。この問題に関して、国際出出願ＰＣＴ／ＪＰ２０２１／　２５２２６に記載されているインセンティブを設けた多重因子三点認証ルーティングを参照されたい。なお、本明細書中にＰＣＴ／ＪＰ２０２１／　２５２２６の明細書、特許請求の範囲、図面全体を参考として取り込むものとする。

　そして、制御部２３－１は、ステップＳ３０６で生成した一次分散片Ｐ_１１、Ｐ_１２、Ｐ_１３を、それぞれプライベートネットワークＮ１を介して３つの関係者ノード２－３～２－５に送信して分配し、ステップＳ３０９で生成した二次分散片Ｑ_２１２、Ｑ_２２３、Ｑ_２３１を、それぞれ公開ネットワークＮ２を介して３つの部外者ノード２－６～２－８に送信して分配することにより、一次分散片Ｐ_１２及び二次分散片Ｑ_２１３を分散してから（ステップＳ３１０）、データ分散処理を終了する。具体的に、制御部２３－１は、一次分散片Ｐ_１１を関係者ノード２－３に、一次分散片Ｐ_１２を関係者ノード２－４に、一次分散片Ｐ_１３を関係者ノード２－５に、それぞれ分配し、二次分散片Ｑ_２１２を部外者ノード２－６に、二次分散片Ｑ_２２３を部外者ノード２－７に、二次分散片Ｑ_２３１を部外者ノード２－８に、それぞれ分配する。

　次に、復元ノード２－２が実行するデータ復元処理について説明する。

　図４は、実施形態１に係るデータ復元処理の詳細を示すフローチャートである。

　図４に示すデータ復元処理において、復元ノード２－２の制御部２３－２は、まず、下記の数６に示す数式に従って、秘密分散ＩＤであるＨＡＳＨ符号ｈをキーワードにして、プライベートネットワークＮ１を介して関係者ノード２－３～２－５から一次分散片Ｐ_１ｉを収集（取得）する（ステップＳ４０１）。なお、関係者ノード２－３～２－５のうちのいずれかが復元ノード２－２であってもよく、この場合、ステップＳ４０１で収集される一次分散片Ｐ_１ｉには、他の関係者ノード２－３～２－５からプライベートネットワークＮ１を介して収集されるものに加え、復元ノード２－２自身が保持するものも含まれる。

　次に、制御部２３－２は、各一次分散片Ｐ_１ｉからヘッダを抽出してＣＲＣ_ｉを検査し、健全な一次分散片Ｐ_１ｉがｎ（本実施形態では“３”）個手元にあることを確認する（ステップＳ４０２）。

　制御部２３－２は、健全な一次分散片Ｐ_１ｉがｎ個に満たない場合（ステップＳ４０２；Ｎｏ）、ｉ番目の一次分散片Ｐ_１ｉであることを認識するためのタグＴをリストして、欠如している一次分散片Ｐ_１ｉを欠損配列としてリストした上で、下記の数７に示す数式に従って、秘密分散ＩＤであるＨＡＳＨ符号ｈをキーワードにして、公開ネットワークＮ２を介して、部外者ノード２－６～２－８から不足数の二次分散片Ｑ_２ｊｋを収集（取得）する（ステップＳ４０３）。

　続いて、制御部２３－２は、各二次分散片Ｑ_２ｊｋからヘッダを抽出してＣＲＣ_２ｊｋを検査し、健全な二次分散片Ｑ_２ｊｋが不足数手元にあることを確認する（ステップＳ４０４）。具体的に、制御部２３－２は、ｊ番目の第１ビット文字列Ｓ_jとｋ番目の第１ビット文字列Ｓ_kとから生成された第２ビット文字列Ｖ_2ｊｋであることを認識するためのタグＵを検査して、欠損配列検査を実行する。

　制御部２３－２は、欠損リストがＮＵＬＬにならない場合、即ち健全な二次分散片Ｑ_２ｊｋが不足数に満たない場合（ステップＳ４０４；Ｎｏ）、追加処理として、ステップＳ４０３の処理を、欠損リストがＮＵＬＬになるまで、即ち健全な二次分散片Ｑ_２ｊｋが不足数になるまで（ステップＳ４０４；Ｙｅｓ）、繰り返し実行する。なお、制御部２３－２は、欠損リストがＮＵＬＬにならない場合、復元不能とすればよい。

　また、制御部２３－２は、欠損している一次分散片Ｐ_１ｉがある場合、第１ビット文字列Ｓ_iを二次分散片Ｑ_２ｊｋから抽出した第２ビット文字列Ｖ_２ｉｋ又はＶ_２ｊｉから復元する（ステップＳ４０５）。具体的に、制御部２３－２は、下記の数８に示す数式で、欠損している第１ビット文字列Ｓ_iを復元する。

　そして、制御部２３－２は、下記の数９に示す数式に従って、第１ビット文字列Ｓ_iをシリアル番号ｉ順に並べて連結して難読化圧縮されたビット文字列Ｓを得る（ステップＳ４０６）。

　さらに、制御部２３－２は、この難読化圧縮されたビット文字列Ｓから、ＮＵＬＬを切り落としてビット文字列Ｓ’を生成する（ステップＳ４０７）。

　続いて、制御部２３－２は、先の（圧縮難読化）関数の逆関数Ｃ^－１と、ステップＳ４０７で生成したビット文字列Ｓ’と、からビット文字列（復元データ）Ｘ’＝Ｃ^－１ （Ｓ’）を生成する（ステップＳ４０８）。

　さらに、制御部２３－２は、ステップＳ４０８で生成したビット文字列（復元データ）Ｘ’と、先の暗号学的ハッシュ関数Ｈと、からＨＡＳＨ値ｈ’＝Ｈ（Ｘ’）を生成する（ステップＳ４０９）。

　そして、制御部２３－２は、秘密分散ＩＤであるＨＡＳＨ値ｈと、ステップＳ４０９で生成したＨＡＳＨ値ｈ’と、の同一検査をし（ステップＳ４１０）、同一であれば、これを元データＸの正しい復元として、データ復元処理を終了する。

　最後に、復元ノード２－２が実行する整合性検査処理について説明する。

　整合性検査処理には、大きく分けて、簡易検査（クイックテスト）処理と、内容検査（ディープテスト）処理と、の二つのレベルの検査処理がある。

　図５は、簡易検査処理の詳細を示すフローチャートである。

　図５に示す簡易検査（クイックテスト）処理において、復元ノード２－２の制御部２３－２は、まず、下記の数１０に示す数式に従って、プライベートネットワークＮ１を介して関係者ノード２－３～２－５から一次分散片Ｐ_１ｉを収集する（ステップＳ５０１）。

　次に、制御部２３－２は、各一次分散片Ｐ_１ｉからヘッダを抽出してＣＲＣ_ｉを検査し、健全な一次分散片Ｐ_１ｉがｎ（本実施形態では“３”）個手元にあることを確認する（ステップＳ５０２）。制御部２３－２は、健全な一次分散片Ｐ_１ｉがｎ（本実施形態では“３”）個全て揃っている場合（ステップＳ５０２；Ｙｅｓ）、このデータセットをＸ^１とし、簡易検査合格としてから（ステップＳ５０５）、簡易検査処理を終了する。

　制御部２３－２は、健全な一次分散片Ｐ_１ｉがｎ個に満たない場合（ステップＳ５０２；Ｎｏ）、下記の数１１に示す数式に従って、秘密分散ＩＤであるＨＡＳＨ符号ｈをキーワードにして、公開ネットワークＮ２を介して部外者ノード２－６～２－８から不足数の二次分散片Ｑ_２ｊｋを収集する（ステップＳ５０３）。

　続いて、制御部２３－２は、各二次分散片Ｑ_２ｊｋからヘッダを抽出してＣＲＣ_２ｊｋを検査し、手元にある健全な二次分散片Ｑ_２ｊｋの数が、ステップＳ５０３で収集した二次分散片Ｑ_２ｊｋの総数と一致するか、すなわちステップＳ５０３で収集した不足数の二次分散片Ｑ_２ｊｋが全て健全であるかを確認する（ステップＳ５０４）。

　そして、制御部２３－２は、一致すれば、すなわちステップＳ５０３で収集した不足数の二次分散片Ｑ_２ｊｋが全て健全であれば（ステップＳ５０４；Ｙｅｓ）、簡易検査合格とし（ステップＳ５０５）、一致しなければ（ステップＳ５０４；Ｎｏ）、元データが壊れている可能性があるとして簡易検査不合格としてから（ステップＳ５０６）、簡易検査処理を終了する。

　図６は、内容検査処理の詳細を示すフローチャートである。

　図６は、内容検査処理（ディープテスト）において、復元ノード２－２の制御部２３－２は、まず、上記の数２に示す数式に従って、プライベートネットワークＮ１を介して関係者ノード２－３～２－５から一次分散片Ｐ_１ｉを収集する（ステップＳ６０１）。

　次に、制御部２３－２は、各一次分散片Ｐ_１ｉからヘッダを抽出してＣＲＣ_ｉを検査し、健全な一次分散片Ｐ_１ｉがｎ（本実施形態では“３”）個手元にあることを確認する（ステップＳ６０２）。

　制御部２３－２は、健全な一次分散片Ｐ_１ｉがｎ（本実施形態では“３”）個全て揃っている場合、図４に示すステップＳ４０６～Ｓ４０９と同様の処理を経てから（ステップＳ６０３）、秘密分散ＩＤであるＨＡＳＨ値ｈと、ステップＳ４０９で生成したＨＡＳＨ値ｈ’と、の同一検査をし（ステップＳ６０４）、同一であれば（ステップＳ６０５；Ｙｅｓ）、これを元データＸの正しい復元としてから（ステップＳ６０６）、内容検査処理を終了する。

　制御部２３－２は、同一でなかった場合（ステップＳ６０５；Ｎｏ）、秘密分散ＩＤであるＨＡＳＨ符号ｈをキーワードにして、公開ネットワークＮ２を介して、部外者ノード２－６～２－８から残る不足数の二次分散片Ｑ_２ｊｋを収集する（ステップＳ６０７）。

　続いて、制御部２３－２は、データセットＸ^１を生成する際に使った手元の一次分散片Ｐ_１ｉ内の第１ビット文字列Ｓ_ｉと、二次分散片Ｑ_２ｊｋから抽出した第２ビット文字列Ｖ_２ｉｋ又はＶ_２ｊｉと、から第１ビット文字列Ｓ’_ｋ又はＳ’_ｊを復元する（ステップＳ６０８）。制御部２３－２は、残る二次分散片Ｑ_２ｊｋに対してもステップＳ６０８と同様の処理を行って、第２ビット文字列Ｖ_２ｉｋ又はＶ_２ｊｉから、第１ビット文字列Ｓ”_ｋまたはＳ”_ｊを復元する。

　さらに、制御部２３－２は、ステップＳ６０８で得た第１ビット文字列Ｓ’_ｉと第１ビット文字列Ｓ”_ｉとの同値テストを行い、同値ではない第１ビット文字列Ｓ’_ｉもしくはＳ”_ｉを置き換えて連結し（ステップＳ６０９）、ＮＵＬＬを切り落としてビット文字列Ｓ”を生成する（ステップＳ６１０）。

　続いて、制御部２３－２は、先の（圧縮難読化）関数の逆関数Ｃ^－１と、ステップＳ６１０で生成したビット文字列Ｓ”と、からビット文字列（復元データ）Ｘ”＝Ｃ^－１（Ｓ”）を生成する（ステップＳ６１１）。

　さらに、制御部２３－２は、ステップＳ６１１で生成したビット文字列（復元データ）Ｘ’と、先の暗号学的ハッシュ関数Ｈと、からＨＡＳＨ値ｈ’＝Ｈ（Ｘ’）を生成する（ステップＳ６１２）。

　続いて、制御部２３－２は、ステップＳ６０４へと戻り、秘密分散ＩＤであるＨＡＳＨ値ｈと、ステップＳ６１２で生成したＨＡＳＨ値ｈ”と、の同一検査をし、同一であれば（ステップＳ６０５；Ｙｅｓ）、これを元データＸの正しい復元としてから（ステップＳ６０６）、内容検査処理を終了する。

　以上説明したように、本実施形態に係る秘密分散システム（通信システム）１は、複数の通信端末２－ｍにネットワークＮを介して接続された分散ノード（分散端末）２－１と、復元ノード（復元端末）２－２と、を具備する。

　分散ノード２－１（の制御部２３－１）は、元データを分割して複数（本実施形態では“３”）の一次分散片（第１データ片）Ｐ_１ｉを生成する。具体的に、分散ノード２－１は、元データを難読化してから分割することにより、複数の一次分散片Ｐ_１ｉを生成する。

　次に、分散ノード２－１は、複数の一次分散片Ｐ_１ｉのうちの二つの一次分散片Ｐ_１ｉから二次分散片（第２データ片）Ｑ_２ｊｋを生成する。具体的に、分散ノード２－１は、二つの一次分散片Ｐ_１ｉの排他的論理和を求めることにより、二次分散片Ｑ_２ｊｋを生成する。

　続いて、分散ノード２－１は、複数の一次分散片Ｐ_１ｉと、二次分散片Ｑ_２ｊｋと、をネットワークＮを介して、それぞれ異なる通信端末２－ｍに送信して分散する。具体的に、分散ノード２－１は、複数の一次分散片Ｐ_１ｉを、元データの内容を知ることが許可された関係者の通信端末（関係者ノード）２－３～２－５に送信し、二次分散片Ｑ_２ｊｋを、元データの内容を知ることが許可されていない部外者の通信端末（部外者ノード）２－３～２－５に送信する。ここで、分散ノード２－１は、関係者ノード２－３～２－５とは、ネットワークＮのうち、部外者ノード２－６～２－８からはアクセス不能なプライベートネットワークＮ１を介して接続されている。

　一方、復元ノード２－２は、複数の一次分散片Ｐ_１ｉのうちのいずれかを保持する通信端末（関係者ノード）２－３～２－５からネットワークＮ（具体的には「プライベートネットワークＮ１」）を介して一次分散片Ｐ_１ｉを取得する。

　また、復元ノード２－２は、二次分散片Ｑ_２ｊｋを保持する通信端末（部外者ノード）２－６～２－８からネットワークＮ（具体的には「公開ネットワークＮ２」）を介して二次分散片Ｑ_２ｊｋを取得する。ここで、復元ノード２－２は、複数の一次分散片Ｐ_１ｉを全て取得できなかった場合、二次分散片Ｑ_２ｊｋを、取得できなかった一次分散片Ｐ_１ｉの数、取得すればよい。例えば、復元ノード２－２は、３つの一次分散片Ｐ_１ｉのうち、１つしか取得できなかった場合、二次分散片Ｑ_２ｊｋを２つ取得すればよい。

　続いて、復元ノード２－２は、取得した一次分散片Ｐ_１ｉと、取得した二次分散片Ｑ_２ｊｋと、から、取得した一次分散片Ｐ_１ｉ以外の一次分散片Ｐ_１ｉを復元する。具体的に、復元ノード２－２は、取得した一次分散片Ｐ_１ｉと、取得した二次分散片Ｑ_２ｊｋと、の排他的論理和を求めることにより、取得した一次分散片Ｐ_１ｉ以外の一次分散片Ｐ_１ｉを復元する。

　そして、復元ノード２－２は、取得した一次分散片Ｐ_１ｉと、復元した一次分散片Ｐ_１ｉと、から元データを復元する。

　これにより、本実施形態に係る秘密分散システム１によれば、セキュリティを向上させることができる。

　具体的に、本実施形態に係る公証可能な秘密分散システム１は、秘密分散の特性である「復号を困難にする」のではなく、「適切なデータセットの取得を困難にする」ことで秘匿性を確保する。さらに、秘密分散のデータ切片を復元に必要な一次分散片Ｐ_１ｉと内容を再構築する上で十分ではない２次以上の高次の分散片に別けて分割分散するので、１）当事者は解読できるが、２）その他の人は解読困難となる。

　本実施形態に係る秘密分散システム１による秘匿化は、復号を担う復元ノード２－２のコンピュータがどんなに強力でも、暗号化されたデータの適切な組み合わせを収集することができない限り復号できない。したがって、本実施形態に係る秘密分散システム１がもたらす革新は、秘密とすべき情報（秘密情報）を含む一次分散片（可視証人）Ｐ_１ｉと、秘密情報を含まない復元のための冗長化した二次分散片（不可視証人）Ｑ_２ｊｋと、を意図的に生成する。

　図７は、実施形態１に係る秘密分散の説明図である。

　図７に示すように、例えば、秘密分散システム１は、元データを３個の一次分散片Ｐ_１ｉとさらに３個の二次分散片Ｑ_２ｊｋの計６つに分けた分散片の内、一次分散片Ｐ_１ｉを１つ持っていれば、あとはどれでも２以上の分散片が集まれば秘密情報を得られる等といった閾値（この例では１＋２＝３）を指定できる。このように、秘密分散システム１は、秘密情報の内容を知る必要のある関係者ノード２－３～２－５の閾値と、秘密情報の内容知る必要の無い部外者ノード２－６～２－８に対する閾値が指定できるので、可用性を飛躍的に高めながら、高度なセキュリティを実現することができる。
［実施形態２］

　次に、本発明の実施形態２に係る秘密分散システムの構成について図面を参照しつつ説明する。なお、実施形態１に係る秘密分散システムと同様の構成については、同一の符号を付し、その説明を省略する。

　本実施形態に係る秘密分散システム１は、第５世代移動通信システム（5th Generation Mobile Communication System；５Ｇ）等、多くの通信端末（ノード）２－ｍを経て通信が成立する環境で、主にＩｏＴ（Internet of Things）及びスマート・コントラクトでの応用を前提としている。したがって、分散片は、インターネットのように公開ネットワークＮ２上の通信端末（ノード）２－ｍに分配される。一次分散片（プライマリ・ピース）と二次分散片（ヴェリフィケーション・ピース若しくはセカンダリ・ピース）とは区別して取り扱われる。

　分散ノード２－１の制御部２３－１は、下記の数１２に示す数式に従って、秘密情報ｓを等長分割して一次分散片（プライマリ・ピース）ｓ_ｉ（ｉは変数）を生成するとともに、一次分散片ｓ_ｉのペアに対して可逆計算を実行し、二次分散片（セカンダリ・ピース）ｐ_ｉｊ（ｉ及びｊは変数）を生成する。

　ここで、秘密情報ｓを回復するには、全ての分散片共有が必要であることに注意を要する。

　図８は、実施形態２に係るデータ分散処理の詳細を示すフローチャートである。

　図８に示すデータ分散処理において、まず、分散ノード２－１の制御部２３－１は、元のファイルのＨＡＳＨを生成し、これを元のファイルの認識票のヘッダとする（ステップＳ８０１）。

　次に、制御部２３－１は、分割する前に元のファイルのＨＡＳＨに圧縮をかける（ステップＳ８０２）。圧縮することで単純分割した元のファイルの分散片は難読化される。

　続いて、制御部２３－１は、圧縮された元のファイルのＨＡＳＨを等分に３以上に分割する（ステップＳ８０３）。

　さらに、制御部２３－１は、元のファイルにＮＵＬＬ記号を付加することで、等分に整数分割できるよう調整する（ステップＳ８０４）。

　そして、制御部２３－１は、等分割された分散片を一次分散片（プライマリピース）ｓ_ｉとして、認識票にシリアルを付記する（ステップＳ８０５）。

　続いて、制御部２３－１は、互いに異なる一次分散片（プライマリ・ピース）ｓ_ｉを、可逆演算（例えば排他的論理和：ＸＯＲ）して、二次分散片（セカンダリ・ピース）ｐ_ｉｊを生成する（ステップＳ８０６）。二次分散片（セカンダリ・ピース）ｐ_ｉｊの生成より、高次の分配片の生成には次数の異なる分配片間で可逆演算をするが、一次分散片（プライマリ・ピース）ｓ_ｉとの可逆演算は禁止する。

　そして、制御部２３－１は、秘密情報ｓを解読できる関係者ノード２－３～２－５に一次分散片（プライマリ・ピース）ｓ_ｉを配布し、秘密情報ｓを解読困難な部外者ノード２－６～２－８に二次分散片（セカンダリ・ピース）ｐ_ｉｊを配布して分散から（ステップＳ８０７）、データ復元処理を終了する。

　図９は、実施形態２に係るデータ復元処理の詳細を示すフローチャートである。

　図９に示すデータ復元処理において、まず、復元ノード２－２の制御部２３－２は、元のファイルの認識票からＨＡＳＨを入手、もしくは一次分散片（プライマリ・ピース）ｓ_ｉの認識票からＨＡＳＨを入手する（ステップＳ９０１）。

　次に、制御部２３－２は、認識票のＨＡＳＨをもとに、一次分散片（プライマリ・ピース）ｓ_ｉを収集する（ステップＳ９０２）。制御部２３－２は、一次分散片（プライマリ・ピース）ｓ_ｉを一つも入手できない場合、再構築不能である。

　制御部２３－２は、一次分散片（プライマリ・ピース）ｓ_ｉを少なくとも一つ入手できた場合、ＨＡＳＨをもとに、二次分散片（セカンダリ・ピース）ｐ_ｉｊを収集する（ステップＳ９０３）。

　そして、制御部２３－２は、手元の一次分散片（プライマリ・ピース）と二次分散片（セカンダリ・ピース）ｐ_ｉｊとに可逆演算の逆を適用して、入手（収集）できなかった一次分散片（プライマリ・ピース）ｓ_ｉを構築（復元）する（ステップＳ９０４）。

　続いて、制御部２３－２は、一次分散片（プライマリ・ピース）ｓ_ｉが揃ったところで、収集した一次分散片（プライマリ・ピース）ｓ_ｉの認識票をもとに、認識票を破棄した上で、これらを連結し元のファイルを圧縮したファイルとして再構築（復元）する（ステップＳ９０５）。

　さらに、制御部２３－２は、圧縮したファイルを伸長して元のファイルを入手（復元）する（ステップＳ９０６）。

　そして、制御部２３－２は、ここで得た元のファイルのＨＡＳＨ値と、認識票に書き込まれたＨＡＳＨ値と、を比較してエラーが無いことを確認（同一検査）してから（ステップＳ９０７）、データ復元処理を終了する。

　本実施形態において、インターネットプロトコルは、ピア・ツウ・ピア通信であり、ピア・ツウ・ピア（Ｐ２Ｐ）型ネットワークを構成する通信端末２－ｍの起点から終点までの通信の整合性を保証する。したがって、起点となる通信端末２－ｍ（本実施形態では、「分散ノード２－１」）から終点となる通信端末２－ｍ（本実施形態では、「復元ノード２－２」）に向かって転送するファイルを「動くデータ」と定義する。これとは対照的に、複数の通信端末２－ｍ（以下、「参加ノード」という。）によって共有されるデータを「静止データ」と定義する。ここで、上記の二種類のデータの取り扱いについて説明する。

　「動くデータ」は、起点となる分散ノード２－１から終点となる復元ノード２－２に向かって転送されるファイルである。ここで、起点となる分散ノード２－１は、元のファイルを所有しているので、内容を知っているが、終点となる復元ノード２－２は、このファイルに関する内容について無知である。安全にファイルを終点となる復元ノード２－２に転送するためには、ファイルの一次分散片（プライマリ・ピース）ｓ_ｉの１つを直接転送するか、もしくは別媒体に保存して物理的に転送する。起点となる分散ノード２－１は、ＨＡＳＨ値を認識番号として終点となる復元ノード２－２を含めた参加ノードをグラフで定義し、二次分散片（セカンダリ・ピース）ｐ_ｉｊを参加ノードに対して分散配布する。終点となる復元ノード２－２は、この一次分散片（プライマリ・ピース）ｓ_ｉの認識票から、元のファイルのＨＡＳＨ値の知識を得る。終点となる復元ノード２－２は、このＨＡＳＨ値を認識番号としたグラフの参加ノードなので、二次分散片（セカンダリ・ピース）ｐ_ｉｊを収集することができる。終点となる復元ノード２－２は、直接受け取った１つの一次分散片（プライマリ・ピース）ｓ_ｉと二次分散片（セカンダリ・ピース）ｐ_ｉｊとの可逆演算から、全ての一次分散片（プライマリ・ピース）ｓ_ｉを再現することができる。仮にＨＡＳＨ値を認識番号とした単に二次分散片（セカンダリ・ピース）ｐ_ｉｊしか分配されていないグラフの参加ノードにアクセスしても、再生に必要な情報が集まらない。

　「静止データ」は、起点や終点といった概念ではなく、対象となるファイルを共有している通信端末２－ｍ（本実施形態では、「部外者ノード２－６～２－８」）が存在する。全く同じファイルを共有しているかどうかの判断は、まず、元データのＨＡＳＨ値を生成し、これを交換することで、同一性の確認をとる。部外者ノード２－６～２－８の数（もしくは最低でも３）によって、分割数を決定し、これを共有する。分散ン―ド２－１は、ＨＡＳＨ値を認識番号として共有する部外者ノード２－６～２－８を含めた参加ノードをグラフで定義し、二次分散片（セカンダリ・ピース）ｐ_ｉｊを参加ノードに対して分散配布する。終点となる復元ノード２－２は、この一次分散片（プライマリ・ピース）ｓ_ｉの認識票から、元のファイルのＨＡＳＨ値の知識を得る。終点となる復元ノード２－２は、このＨＡＳＨ値を認識番号としたグラフの参加ノードなので、二次分散片（セカンダリ・ピース）ｐ_ｉｊを収集することができる。終点となる復元ノード２－２は、直接受け取った１つの一次分散片（プライマリ・ピース）ｓ_ｉと二次分散片（セカンダリ・ピース）ｐ_ｉｊとの可逆演算から、全一次分散片（プライマリ・ピース）ｓ_ｉを復元することができるが、仮にＨＡＳＨ値を認識番号としたグラフの参加ノードにアクセスしても、復元に必要な情報が集まらない。

　図１０は、実施形態２に係る分散片の搬送の説明図である。

　図１０に示すように、分散ノード２－１は、本出願人が発明したＨＹＤＲＡ０のように黒で描かれた既知の安全な経路（プライベートネットワークＮ１）に一次分散片（プライマリ・ピース）ｓ_ｉをストライピングして高速に搬送する。分散ノード２－１は、網線で描かれた安全性が確認できていない経路（公開ネットワークＮ２）で、二次分散片（セカンダリ・ピース）ｐ_ｉｊを搬送する。既知の安全な経路（プライベートネットワーク）Ｎ１のリソースが不足している場合、３つの一次分散片（プライマリ・ピース）ｓ_ｉのうちの１つのみ搬送して、その他の搬送を実行しなくても、安全に高速搬送ができ、なお、安全が確認できていない経路（公開ネットワークＮ２）上で、少なくとも二系統が確立できていれば、第三系統を冗長データとして復号が可能である。

　以上説明したように、本実施形態に係る秘密分散システム１によれば、実施形態１に係る秘密分散システム１による効果に加え、一次分散片（プライマリ・ピース）ｓ_ｉと二次分散片（セカンダリ・ピース）ｐ_ｉｊとを送信する経路（ネットワークＮ）を、その安全性に応じて変更することにより、安全な経路（プライベートネットワークＮ１）のリソースを有効に使うことができる。
［実施形態３］

　次に、本発明の実施形態３に係る秘密分散システムの構成について図面を参照しつつ説明する。なお、実施形態１及び２に係る秘密分散システムと同様の構成については、同一の符号を付し、その説明を省略する。

　従来、ネットワーク通信のセキュリティは、安全な領域（内）とそうでない領域（外）という境界線で区別し、外からの内への浸食を防ぐことで安全を担保してきた。

　今日広く利用されている通信ネットワークは、インターネットであり、ローカルエリアネットワークを内とし、ワイドエリアネットワークを外という領域で区切ることは可能であるが、安全という概念との相関性が無い。すなわち、インターネットプロトコルを使って通信する相手は安全ではない。なりすました端末かもしれなければ、パケットを中継する際に通信内容を傍受されているかもしれない。いかなる端末も信用してはならない、信用できないという前提で通信のセキュリティを担保する。これをゼロトラスト通信という。

　本実施形態に係る秘密分散システム１は、インターネット上でゼロトラスト通信を実現し、セキュリティに関する考え方を革新する。分散ノード２－１は、元データＸを難読化の上で分割した一次分散片ｆ_ｎと、この一次分散片ｆ_ｎから生成する二次分散片Ｐ_ｉｊと、に分散する。これらの一次分散片ｆ_ｎと二次分散片Ｐ_ｉｊとをそれぞれ別の通信端末２－ｍを介した経路に配信すれば、これらの経路上に存在する通信端末２－ｍに元データＸを露出することなく通信することが実現できる。

　上記で説明したゼロトラスト前提でファイル転送を安全に実行する方法は、元データＦの発信元の通信端末２－ｍと受信先の通信端末２－ｍとの二点間のネットワークＮ上に流通する全てのパケットを収集して分析することができれば、元データＦを再構築することができる。分散ノード２－１は、元データＦを圧縮難読化してビット文字列ｆを生成した上で等分にｎ分割して一次分散片ｆ_ｎを生成する。分散ノード２－１は、この一次分散片ｆ_ｎから二次分散片Ｐ_ｉｊを排他的論理和のような可逆計算を用いて生成する。したがって、これらの二次分散片Ｐ_ｉｊを全て集めても一次分散片ｆ_ｎを循環参照することになり、提示された一次分散片ｆ_ｎが元データＸから生成された一次分散片ｆ_ｎであることの確証にはなるが、元の一次分散片ｆ_ｎを決定することはない。

　一次分散片ｆ_ｎを二次分散片Ｐ_ｉｊで記述すると、下記の数１３に示す数式のようになる（ここではｎ＝３で例を挙げる。）。

　循環参照解なので、元データＸを決定する上で少なくとも一つの一次分散片ｆ_ｎが必要となる。

　上記の性質を利用して、不完全な情報を配信して、メンバーに限定して元データを構築する仕組みをゼロナレッジ通信として実装が可能である。例えば、メンバーはあらかじめ、乱数列などからなるメンバーファイルを持っていることを前提とする。

　図１１は、実施形態３に係る秘密分散の説明図である。

　図１１に示すように、分散ノード２－１は、メンバー間で共有したい元データであるオリジナルデータファイルＦを圧縮難読化した上で２等分する。分散ノード２－１は、これらを一次分散片ｆ_１、ｆ_２とし、メンバーファイルＭを先頭から一次分散片ｆ_１、ｆ_２とデータサイズを揃えて切り捨てた一次分散片ｍを作成する。分散ノード２－１は、下記の数１４に示す数式に従って、これらの一次分散片ｆ_１、ｆ_２、ｍから二次分散片Ｐ_２、Ｐ_４、Ｐ_５を生成し配信する。

　以上説明したように、本実施形態に係る秘密分散システム１によれば、実施形態１及び２に係る秘密分散システム１による効果に加え、上記でネットワークＮ上に露出配信された分散片は、元データであるオリジナルデータファイルＦの分散片の真正性を確認する事には十部であるが、元データＸであるオリジナルデータファイルＦの分散片を再構築するためにはメンバーファイルＭが必要となり、不完全なデータの交換でセキュアな通信が実現できる。

　なお、本発明は、上記の実施形態に限定されず、種々の変形、応用が可能である。以下、本発明に適用可能な上記の実施形態の変形態様について、説明する。

　上記の実施形態において、一次分散片Ｐ_１ｉから可逆的に生成された二次分散片Ｑ_２ｊｋのみを利用して、三次以上の高次の分散片を生成するようにしてもよい。具体的に、分散ノード２－１の制御部２３－１は、三次以上の高次の分散片を二次以上の分散片を利用して、次数を跨いで高次の分散片を生成するようにしてもよい。また、明示的に区別することで、復元することなく、内容証明ができるようにしてもよい。

　上記の実施形態において、制御部２３－ｍのＣＰＵが実行するプログラムは、予めＲＯＭ等に記憶されていた。しかしながら、本発明は、これに限定されず、上述の処理を実行させるためのプログラムを、既存の汎用コンピュータに適用することで、上記の実施形態に係る通信端末（ノード）２－ｍとして機能させてもよい。

　このようなプログラムの提供方法は任意であり、例えばコンピュータが読取可能な記録媒体（フレキシブルディスク、ＣＤ（Compact Disc）－ＲＯＭ、ＤＶＤ（Digital Versatile Disc）－ＲＯＭ等）に格納して配布してもよいし、インターネット等のネットワーク上のストレージにプログラムを格納しておき、これをダウンロードさせることにより提供してもよい。

　また、上記の処理をＯＳとアプリケーションプログラムとの分担、又はＯＳとアプリケーションプログラムとの協働によって実行する場合には、アプリケーションプログラムのみを記録媒体やストレージに格納してもよい。また、搬送波にプログラムを重畳し、ネットワークを介して配信することも可能である。例えば、ネットワーク上の掲示板（ＢＢＳ：Bulletin Board System）に上記プログラムを掲示し、ネットワークを介してプログラムを配信してもよい。そして、このプログラムを起動し、ＯＳの制御下で、他のアプリケーションプログラムと同様に実行することにより、上記の処理を実行できるように構成してもよい。

　なお、本発明は、本発明の広義の精神と範囲を逸脱することなく、様々な実施の形態及び変形が可能とされるものである。また、上述した実施の形態は、本発明の一実施例を説明するためのものであり、本発明の範囲を限定するものではない。

　本出願は、２０２０年８月１７日に出願された日本国特許出願２０２０－１３７６８０に基づく。本明細書中に日本国特許出願２０２０－１３７６８０の明細書、特許請求の範囲、図面全体を参照として取り込むものとする。

　　１　　　　　　　秘密分散システム（通信システム）
　　２－ｍ　　　　　通信端末（ノード）
　　２－１　　　　　分散ノード（分散端末）
　　２－２　　　　　復元ノード（復元端末）
　　２－３～２－５　関係者ノード（関係者端末）
　　２－６～２－８　部外者ノード（部外者端末）
　２１－ｍ　　　　　通信部
　２２－ｍ　　　　　記憶部
　２３－ｍ　　　　　制御部

Claims (14)

1. 　複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）であって、
   　元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、
   　前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、
   　前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、
   　前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する、
   　復元端末（２－２）。
2. 　前記複数の第１データ片を全て取得できなかった場合、前記第２データ片を、該取得できなかった該第１データ片の数、取得する、
   　請求項１に記載の復元端末（２－２）。
3. 　前記第２データ片は、前記二つの第１データ片の排他的論理和を求めることにより生成され、
   　前記取得した第１データ片以外の第１データ片は、前記取得した第１データ片と、前記取得した第２データ片と、の排他的論理和を求めることにより復元される、
   　請求項１に記載の復元端末（２－２）。
4. 　前記複数の第１データ片は、前記元データを難読化してから分割することにより生成される、
   　請求項１に記載の復元端末（２－２）。
5. 　前記第１データ片を保持する前記通信端末（２－３～２－５）とは、前記ネットワーク（Ｎ）のうち、前記第２データ片を保持する前記通信端末（２－６～２－８）からはアクセス不能なプライベートネットワーク（Ｎ１）を介して接続されている、
   　請求項１に記載の復元端末（２－２）。
6. 　複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された分散端末（２－１）と、復元端末（２－２）と、を具備する通信システム（１）であって、
   　前記分散端末（２－１）は、
   　元データを分割して複数の第１データ片を生成し、
   　前記複数の第１データ片のうちの二つの該第１データ片から第２データ片を生成し、
   　前記複数の第１データ片と、前記第２データ片と、を前記ネットワーク（Ｎ）を介して、それぞれ異なる前記通信端末（２－ｍ）に送信して分散し、
   　前記復元端末（２－２）は、
   　前記複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、
   　前記第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、
   　前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、
   　前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する、
   　通信システム（１）。
7. 　前記復元端末（２－２）は、前記複数の第１データ片を全て取得できなかった場合、前記第２データ片を、該取得できなかった該第１データ片の数、取得する、
   　請求項６に記載の通信システム（１）。
8. 　前記分散端末（２－１）は、前記二つの第１データ片の排他的論理和を求めることにより、前記第２データ片を生成し、
   　前記復元端末（２－２）は、前記取得した第１データ片と、前記取得した第２データ片と、の排他的論理和を求めることにより、前記取得した第１データ片以外の第１データ片を復元する、
   　請求項６に記載の通信システム（１）。
9. 　前記分散端末（２－１）は、前記元データを難読化してから分割することにより、前記複数の第１データ片を生成する、
   　請求項６に記載の通信システム（１）。
10. 　前記分散端末（２－１）は、前記複数の第１データ片を、前記元データの内容を知ることが許可された関係者の前記通信端末（２－３～２－５）に送信し、前記第２データ片を、該元データの内容を知ることが許可されていない部外者の該通信端末（２－３～２－５）に送信する、
    　請求項６に記載の通信システム（１）。
11. 　前記関係者の通信端末（２－３～２－５）とは、前記ネットワーク（Ｎ）のうち、前記部外者の通信端末（２－６～２－８）からはアクセス不能なプライベートネットワーク（Ｎ１）を介して接続されている、
    　請求項１０に記載の通信システム（１）。
12. 　複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）による復元方法であって、
    　元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、
    　前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、
    　前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、
    　前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する、
    　復元方法。
13. 　複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された分散端末（２－１）と、復元端末（２－２）と、を具備する通信システム（１）による通信方法であって、
    　前記分散端末（２－１）が、
    　元データを分割して複数の第１データ片を生成し、
    　前記複数の第１データ片のうちの二つの該第１データ片から第２データ片を生成し、
    　前記複数の第１データ片と、前記第２データ片と、を前記ネットワーク（Ｎ）を介して、それぞれ異なる前記通信端末（２－ｍ）に送信して分散し、
    　前記復元端末（２－２）が、
    　前記複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得し、
    　前記第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得し、
    　前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元し、
    　前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する、
    　通信方法。
14. 　複数の通信端末（２－ｍ）にネットワーク（Ｎ）を介して接続された復元端末（２－２）のコンピュータに、
    　元データを分割して得られる複数の第１データ片のうちのいずれかを保持する前記通信端末（２－３～２－５）から前記ネットワーク（Ｎ）を介して該第１データ片を取得する手順と、
    　前記複数の第１データ片のうちの二つの該第１データ片から生成される第２データ片を保持する前記通信端末（２－６～２－８）から前記ネットワーク（Ｎ）を介して該第２データ片を取得する手順と、
    　前記取得した第１データ片と、前記取得した第２データ片と、から該取得した第１データ片以外の第１データ片を復元する手順と、
    　前記取得した第１データ片と、前記復元した第１データ片と、から前記元データを復元する手順と、
    　を実行させるためのプログラム。

Images