WO2022044464A1

WO2022044464A1 - 暗号処理装置、暗号処理方法、及び暗号処理プログラム

Info

Publication number: WO2022044464A1
Application number: PCT/JP2021/020522
Authority: WO
Inventors: 優佑星月
Original assignee: 株式会社アクセル
Priority date: 2020-08-31
Filing date: 2021-05-28
Publication date: 2022-03-03
Also published as: US20240039693A1

Abstract

完全準同型暗号を実現する全加算器の演算を高速化する。暗号処理装置が処理する暗号文は、２種類の値を平文として有し、復号することなく論理演算を行うことにより種々の演算が可能な完全準同型暗号文であり、受付部が受け付けた暗号文に対して論理演算を行う演算部と、演算部による演算結果を出力する出力部と、を備え、演算部は、暗号文として、一時的に平文として多値を取りうる特定暗号文を用いることにより論理演算（準同型演算）の回数を削減する。

Description

暗号処理装置、暗号処理方法、及び暗号処理プログラム

　本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。

　準同型暗号（Homomorphic Encryption）は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
　平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
　有限巡回群を整数に見立てて、加法演算（加算、減算）、乗法演算（乗算）のみを行う加法準同型暗号、乗法準同型暗号が以前から知られていた。
　有限巡回群は、加算を繰り返せば整数倍が出来るので、「平文の」整数倍ができ、乗算を繰り返せば「平文の」のべき乗計算をすることも出来る。
　また、加法演算（加算、減算）と乗法演算（乗算）の両方を暗号化したまま処理する完全準同型暗号（Fully Homomorphic Encryption，FHE）がある。
　現在知られている完全準同型暗号では、複数回の加減算、乗算が可能な、例えばLWE問題に基づくsomewhat準同型暗号を用いる。LWE問題に基づく場合、somewhat準同型暗号は、暗号化時に復号には問題ない程度の小さな誤差を平文に加えることで構成される。なお、somewhat準同型暗号はLWE暗号に限定されない。

　LWE問題に基づくsomewhat準同型暗号では演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingを行う。
　このようなbootstrappingは膨大なデータ量が必要となったり計算量が膨大となったりし、実用的な意味で完全準同型暗号が実現できていたとは言えなかった。
　この問題を劇的に改善した手法が、非特許文献１（以下の説明において、上記論文として参照される）に示されるTFHE（Fast Fully Homomorphic Encryption over the Torus）である。

TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene

　ところで、準同型暗号には、平文として２値を持ち論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと１暗号文とするInteger-wise型の準同型暗号と、があり非特許文献１に示されるTFHEはBit-wise型である。
　Bit-wise型の準同型暗号において、１つの暗号文は１ｂｉｔの情報しか持ち得ないため、例えば３２ｂｉｔの整数を扱おうとすると３２個の暗号文を処理する必要がある。
　整数同士の加算や減算、乗算や比較は様々なデータ処理で多用される。１ｂｉｔの情報を持つ暗号文を用いる場合、論理回路を設計するイメージで演算を行うが、３２ｂｉｔの整数の加算・減算の場合は１個の半加算器と、３１個の全加算器を用いる。乗算の場合は、約３２の２乗（１０２４）個近くの全加算器を用いる。
　従って、完全準同型暗号の処理時間を低減し、さらに効率化を図るためには、bootstrappingを含む全加算器の演算を高速化する必要がある。
　本発明はこのような事情を鑑みてなされたものであり、一側面として、完全準同型暗号に必要な全加算器の演算を高速化し、完全準同型暗号の処理時間を低減することを目的とする。

　本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、前記暗号文を用いた所定の演算において、平文として２値よりも多い多値を有する前記暗号文に基づいた一時暗号文を出力とする多値論理演算を使用することにより前記演算に必要な計算処理の回数を削減する、暗号処理装置を特徴とする。

　本発明によれば、一側面として、全加算器の演算を高速化して完全準同型暗号の処理時間を低減することが出来る。

最小の論理演算素子数による全加算器回路の構成を説明する図である。本実施形態の暗号処理装置の機能構成を説明する図である。図２の機能構成に基づく全加算器の演算プロセスを詳しく説明する図である TLWE暗号が平文として有する円周群を説明するイメージ図である。２値Gate Bootstrappingの動作イメージ図である。３値Gate Bootstrappingの動作イメージ図である。暗号処理装置が実行する全加算器の演算処理の流れを説明するフローチャートである。コンピュータ装置の一実施例を示すブロック図である。

　以下に、図面を参照して本発明の実施の形態を詳細に説明する。
　なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
　また、本明細書において、「論理演算」と記す場合は２値もしくは多値の論理演算のことを指すものとする。

　本実施形態の暗号処理装置は、全加算器を用いて完全準同型暗号の演算を行う。完全準同型暗号は、準同型で（暗号化したまま）加算、減算、乗算の演算が可能な暗号である。
　暗号処理装置に含まれる、全加算器を構成するＡＮＤ回路部、ＸＯＲ回路部の夫々において、Bit-wise型の準同型暗号に対するＡＮＤを得るための演算、ＸＯＲを得るための演算を行うことが知られている。
　しかし、完全準同型暗号とするためには、ＡＮＤを得るための演算、ＸＯＲを得るための演算のあとで、下記に説明するGate Bootstrappingと呼ばれる誤差を削減する処理が必要である。
　このGate Bootstrappingの処理に時間を要していたが、本実施形態の暗号処理装置は、Gate Bootstrapping後の一時的な暗号文が取り得る値の種類を増やすことで、全加算器を構成する準同型演算の回数を削減する。
　これにより、本実施形態の暗号処理装置は、各準同型演算の後段で行われるGate Bootstrappingの回数を減らし、全加算器の演算を高速化することが出来る。

　図１は、最小の論理演算素子数による全加算器回路を例示する図である。
　図１は、論理演算素子によるハードウェア回路で全加算器を説明しているが、全加算器をソフトウェアで実装したＣＰＵが実行する全加算器プログラムであると考えてもよい。
　全加算器をソフトウェアで実装するとき、暗号文に対して論理回路（論理ゲート）を設計するイメージで演算を行う。
　それは、図２以降で説明する本実施形態の暗号処理装置についても同様である。
　全加算器回路５０は、２つの半加算器５１、５２と１つのＯＲ回路部（ＯＲを得るための演算処理部）５３から構成される。
　第１半加算器５１は、ＡＮＤ回路部（ＡＮＤを得るための演算処理部）５１ＡとＸＯＲ回路部（ＸＯＲを得るための演算処理部）５１Ｂを備える。
　第２半加算器５２は、ＡＮＤ回路部５２（ＡＮＤを得るための演算処理部）ＡとＸＯＲ回路部（ＸＯＲを得るための演算処理部）５２Ｂを備える。
　加算される入力Ａと入力Ｂが第１半加算器５１のＡＮＤ回路部５１ＡとＸＯＲ回路部５１Ｂに入力される。
　第１半加算器５１のＡＮＤ回路部５１Ａの出力と、第２半加算器５２のＡＮＤ回路部５２Ａの出力と、が後段のＯＲ回路部５３に入力され、ＯＲ回路部５３からは桁上げ出力Ｃ_０（Carry out）が出力される。
　第１半加算器５１のＸＯＲ回路部５１Ｂからの出力と、桁上げ入力Ｃ_ｉ（Carry in）が第２半加算器５２のＡＮＤ回路部５２ＡとＸＯＲ回路部５２Ｂに入力される。
　第２半加算器５２のＸＯＲ回路部５２Ｂからは、全加算器回路５０の出力Ｓ（Sum）が出力される。

　図１に示すように、全加算器５０は、２つのＡＮＤ回路部と２つのＸＯＲ回路部とＯＲ回路部を備えており、全部で５つの論理演算素子（論理演算素子に対応する処理部）を備えている。
　従って、１つの全加算器の演算につき、論理演算素子５つ分の演算時間が必要である。上記論文に示されるTFHEの場合、１つの論理演算素子の演算には約１６ｍｓの演算時間を要し、論理演算素子を５つ備える全加算器５０全体では、約８０ｍｓの演算時間を要する。TFHEによる完全準同型暗号の演算に用いる場合、５つの論理演算素子の前段部の演算（準同型演算）の後段で、夫々Gate Bootstrappingを行う必要がある。なお、準同型論理演算の処理時間のほぼすべてをGate Bootstrappingが占めている。
　従って、図１の全加算器回路５０による完全準同型暗号の演算にはGate Bootstrapping５回分の演算時間を要するとみなしても構わない。
　なお、半加算器５１、半加算器５２を構成するＡＮＤ回路部とＸＯＲ回路部の演算には依存関係がないため、全加算器をソフトウェアで構成する場合には、マルチスレッドなどの手法で並列演算を行うことが出来る。
　並列演算によって、半加算器の演算を１つの論理演算素子分の演算時間で行うことが出来る。
　従って、図１に示す１つの全加算器の演算を３つの論理演算素子分の演算時間で演算を実行することが出来る。ただし、この場合でも１つの全加算器の演算に４８ｍｓの演算時間を要する。これは、Gate Bootstrapping ３回分の演算時間とほぼ同じである。

　TFHEは、ＡＮＤ回路部とＸＯＲ回路部などの論理ゲートをベースとするBit-wise型暗号である。
　全加算器を使用することで、整数の加減乗除（四則演算）の全てと比較演算に対応することが出来る。
　しかしながら、Bit-wise型暗号は、１つの暗号文は１ｂｉｔの情報しか持ち得ない。
　整数同士の加算、減算、乗算、除算や比較（比較は減算結果の正負と等価である）は様々なデータ処理で多用されるが、扱われるデータは、ビット長が大きいものが通常である。
　例えば、３２ｂｉｔの整数を扱おうとすると、３２個の暗号文を処理する必要がある。

　Bit-wise型の完全準同型暗号について３２ｂｉｔの整数の加算・減算を行う場合は、１個の半加算器と、３１個の全加算器を用いる。また、乗算を行う場合は、約３２の２乗（１０２４）個近くの全加算器を用いる。
　完全準同型暗号の演算（四則演算と比較）をさらに実用的なものにするためには、完全準同型暗号の演算に多用される全加算器の演算をより高速化することが重要となる。
　下記に説明するように、本実施形態の暗号処理装置は、特に、完全準同型暗号の演算に用いる全加算器において、演算毎に行うGate Bootstrappingが多値を出力可能なように改良することで準同型演算の回数を減らす。
　その結果、本実施形態の暗号処理装置は、準同型演算の後段の、長い演算時間を要するGate Bootstrappingの回数を減らし、完全準同型暗号の処理時間を大幅に低減することが出来る。

　図２は、本実施形態の暗号処理装置の機能構成を説明する図である。
　暗号処理装置１は、制御部１０と、記憶部２０と、通信部２５と、入力部２６と、を備える。
　制御部１０は、受付部１１と、第１演算部１２と、第２演算部１３と、第３演算部１４と、第１Bootstrapping部（第１算出部）１５と、第２Bootstrapping部（第２算出部）１６と、第３Bootstrapping部（第３算出部）１７と、出力部１８と、を備えている。
　受付部１１は、通信部２５や入力部２６を介した、演算の対象となる暗号文の入力を受け付ける。
　第１演算部１２は、受付部１１が受け付けた入力暗号に対して、第１準同型演算を行う。
　第２演算部１３は、第１Bootstrapping部１５から出力される後述する一時暗号文と桁上げ入力の暗号文とに対して、第２準同型演算を行う。
　第３演算部１４は、第１Bootstrapping部１５から出力される後述する一時暗号文と桁上げ入力の暗号文とに対して、第３準同型演算を行う。
　第１演算部１２、第２演算部１３、及び第３演算部１４は、図１で説明した論理ゲート（ＡＮＤ回路部、ＸＯＲ回路部）による全加算器の演算（準同型演算）をソフトウェアで実現する演算処理部である。なお、第１演算部１２、第２演算部１３、及び第３演算部１４の少なくとも一つが、ハードウェアで実現されてもよい。
　第１Bootstrapping部１５は、第１演算部１２の演算結果に対して下記に説明する３値Gate Bootstrapping処理を行い、３値を取り得る一時暗号文を出力する。
　第２Bootstrapping部１６は、第２演算部１３の演算結果に対して下記に説明する２値Gate Bootstrapping処理を行い、２値を取り得る新たな暗号文として桁上げ出力Ｃ_Ｏを出力する。
　第３Bootstrapping部１７は、第３演算部１４の演算結果に対して下記に説明する２値Gate Bootstrapping処理を行い、２値を取り得る新たな暗号文として出力Ｓを出力する。
　出力部１８は、最終的な演算結果を暗号処理装置１の外部、あるいは、暗号処理装置１で実行される別の処理プロセスに対して出力する。
　記憶部２０は、入力暗号文や、全加算器の演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
　また、記憶部２０には、暗号化された暗号化データベース６０を格納することが出来る。
　通信部２５は、暗号処理装置１をネットワークに接続し、外部装置との通信を可能にする。
　記憶部２０に暗号化された暗号化データベース６０を格納し、通信部２５を備えることにより、暗号処理装置１は、データベースサーバとして機能することが出来る。この場合、暗号処理装置１は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース６０に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
　入力部２６は、暗号処理装置１に対して、演算処理対象の暗号文を入力する。

　図３は、図２の機能構成に基づく全加算器の演算プロセスを詳しく説明する図である。
　図３の説明において、暗号処理装置１に入力される暗号文ｃａ、ｃｂ、ｃｃは、いずれも上記論文に示されるTLWE暗号文である。
　下記に詳しく説明するが、TLWE暗号は、０又はμ（非０）の値を平文として有するBit-wise型の完全準同型暗号である。
　論理ゲートを用いた論理演算によって様々な演算を行うことができる。
　暗号処理装置１は、一時的に平文として多値（例えば３値）を取りうる暗号文を用いることにより、論理演算（準同型演算）の回数を削減し、完全準同型暗号の処理時間を大幅に低減することが出来る。
　一時暗号文が取り得る３種類の値は、全加算器全体では一時的な値であるが、各論理ゲートの論理演算（多値論理演算）で用いられる値であって論理演算の中での一時的な値ではない。

　図３に示す構成では、非特許文献１の論文（上記論文）で提示された（２値）Gate Bootstrappingを改良して３値の出力を可能とした３値Gate Bootstrappingを使用する。
　上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
　入力された暗号文ｃａ、ｃｂを第１演算部１２に入力して準同型演算を行い、その演算結果（暗号文ｃａ＋ｃｂ）を３値Gate Bootstrappingを行う第１Bootstrapping部１５に入力する。
　上記論文の２値Gate Bootstrappingの出力は、平文として２値（０，μ）の何れかを取り得る暗号文である。それに対して、本実施形態の３値Gate Bootstrappingの出力は平文として３値（０，μ_１，μ_２）の何れかを取り得る一時暗号文ｃｔである。

　３値Gate Bootstrappingの出力である一時暗号文ｃｔは、桁上げ入力Ｃ_ｉの暗号文ｃｃと合わせるために、第２演算部１３、第３演算部１４に入力される。
　第２演算部１３の出力が第２Bootstrapping部１６に入力されて２値Gate Bootstrappingが行われ、桁上げ出力Ｃ_Ｏの暗号文ｃｙが出力される。
　第３演算部１４の出力が第３Bootstrapping部１７に対して入力されて２値Gate Bootstrappingが行われ、出力Ｓの暗号文ｃｚが出力される。
　第２演算部１３による準同型演算、第３演算部１４による準同型演算に要する時間は微々たるものである。
　Gate Bootstrappingは、準同型演算を用いて全加算器を処理するとき、ほとんど全ての処理時間を消費している。

　図１に示す全加算器回路５０のように、２値Gate Bootstrappingを用いて全加算器の演算を行う場合、ＡＮＤ回路部５１Ａ、５２Ａ、ＸＯＲ回路部５１Ｂ、５２Ｂ、ＯＲ回路部５３の後段で夫々１回、全体で５回Gate Bootstrappingを実行する必要がある。
　それに対して、暗号処理装置１では、第１Bootstrapping部１５による３値Gate Bootstrappingを全加算器の演算に用いることにより、準同型演算処理の回数を全体で３回に減らしている。
　その結果、暗号処理装置１では、準同型演算処理のほぼ全てを占めるGate Bootstrappingの回数を全体で３回に減らすることが出来る。したがって、図１に示す全加算器回路５０と比較して、暗号処理装置１は、計算処理時間を約４０％削減することが出来る。
　さらに、暗号処理装置１は、第２演算部１３及び第２Bootstrapping部１６の処理と、第３演算部１４及び第３Bootstrapping部１７の処理とを、それぞれマルチスレッド処理によって並列に実行してもよい。この場合には、暗号処理装置１は、全加算器の演算で処理時間の大半を占めるBootstrappingの段数を２段階にすることができる。これに対して、図１に示す全加算器回路５０は、ＡＮＤ回路部５１Ａ及びＸＯＲ回路部５１Ｂと、ＡＮＤ回路部５２Ａ及びＸＯＲ回路部５２Ｂとをそれぞれ並列に実行することができるが、全体としてのBootstrappingの段数は３段階である。したがって、並列処理を用いた場合でも、図１に示す全加算器回路５０と比較して、暗号処理装置１は、計算処理時間を約３３％削減することが出来る。
　以上のように、完全準同型暗号に関する全加算器の演算時間のほぼ全てをGate Bootstrappingが占めるので、暗号処理装置１は、Gate Bootstrappingの回数を削減することによって、全加算器の演算を著しく高速化することが出来る。

　TFHEで説明されるGate Bootstrappingについて詳述する。
　Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
　上記論文のTFHEでは、LWE（Learning with Errors）暗号を円周群上で構成した「TLWE暗号」と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算（ひいては加算・乗算などの任意の演算）を実現する。

　TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
　TFHEでは、TLWE暗号文を基本として完全準同型暗号（FHE)を実現する。
　TLWE暗号は、格子暗号の一種であるLWE暗号の変形（LWE暗号を円周群上で定義したもの）である。
　TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。

　図４は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
　TLWE暗号は、０から実数の精度で進み１になると０に戻る、図４に示す円周群{Ｔ}の点０、又は円周群{Ｔ}上の０以外（非０）の任意の点に対応する実数μを平文として有する。TLWE暗号自体は円周群上の任意の点を平文とし、０近辺（誤差含む）とμ近辺（誤差含む）を平文として使用する。
　円周群{Ｔ}上の点は、本明細書において「要素」ともいう。
　TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度（後段での）論理演算が可能な完全準同型暗号（FHE)を実現する。

［TLWE暗号］
　TLWE暗号を説明する。
　円周群{Ｔ}上の要素として、一様分布な乱数をＮ個集めたベクトル[ａ]を用意する。また、０，１の２値をＮ個集めた秘密鍵[ｓ]を用意する。
　平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布（正規分布）の乱数をｅとしたときに、（[ａ]，[ｓ]・[ａ]＋ｅ）の組がTLWE暗号文の一例となる。
　同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、ｅは誤差付きの平文である。
　なお、「・」は、ベクトルの内積を表す。以降についても同様である。
　上記[ｓ]・[ａ]＋ｅをｂとおくと、TLWE暗号文は（[ａ]，ｂ）と表すことができる。
　φ_ｓ（（[ａ]，ｂ））＝ｂ－[ｓ]・[ａ]＝ｅは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。

　このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
　２つのTLWE暗号文（[ａ]，ｂ）、（[ａ’]，ｂ’）をそのまま足して、（[ａ]＋[ａ’]，ｂ＋ｂ’）としたものを、上記の復号関数φ_ｓに入力すると、
φ_ｓ（（[ａ]＋[ａ’]，ｂ＋ｂ’））＝（ｂ＋ｂ’）－[ｓ]・（[ａ]＋[ａ’]）＝（ｂ－[ｓ]・[ａ]）＋（ｂ’－[ｓ]・[ａ’]）＝φ_ｓ（[ａ]，ｂ）＋φ_ｓ（[ａ’]，ｂ’）
となり、２つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
　上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。

　なお、下記において、（[０]，μ）などの「自明な暗号文（trivial）」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
　（[０]，μ）において、[０]は、ゼロベクトルを表す。
　「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
　TLWE暗号文（[０]，μ）は、復号関数φ_ｓにかけると、φ_ｓ（（[０]，μ））＝μ－[ｓ]・０＝μとなり、秘密鍵[ｓ]がゼロベクトル[０]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。

　TFHEのGate Bootstrappingで用いる「有限巡回群」を説明する。
　Gate Bootstrappingでは、「多項式環の剰余環」を、有限巡回群として用いる。
　「多項式環の剰余環」が有限巡回群であることを説明する。
　ｎ次の多項式は、一般にａ_ｎｘ^ｎ＋ａ_ｎ－１ｘ^ｎ－１＋…＋ａ_０と表される。
　これらの全ての集合は、多項式同士の和ｆ（ｘ）＋ｇ（ｘ）に対して可換群をなす。
　また、多項式同士の積ｆ（ｘ）ｇ（ｘ）は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
　多項式同士の和と積に対しては、下記のように分配法則が成り立つ
ｆ（ｘ）｛ｇ（ｘ）＋ｇ’（ｘ）｝＝ｆ（ｘ）ｇ（ｘ）＋ｆ（ｘ）ｇ’（ｘ）
　従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。

　TFHEでは、有限巡回群である円周群{Ｔ}を係数とする多項式環を用い、このような多項式環をＴ［Ｘ］と表記する。
　多項式環である多項式Ｔ（Ｘ）をＴ［Ｘ］（Ｘ^ｎ＋１）＋Ｔ［Ｘ］のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため「多項式環の剰余環」が得られる。
　TFHEでは、「多項式環の剰余環」をＴ［Ｘ］／（Ｘ^ｎ＋１）と表す。

　「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）として、任意の係数μ（μ∈Ｔ）を用いて、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μ
を取り出す。
　多項式環の剰余環の要素Ｆ（Ｘ）にＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ－μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
　さらにＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ^２－μＸ－μのように、もう一度同じことが起きる（一番上の項の係数がプラスからマイナスに反転して定数項として現れる）。
　これを全部でｎ回繰り返すと、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ－μとなって全ての項の係数がマイナスとなる。

　さらにＸを掛け続けると、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ＋μ
－μＸ^ｎ－１－μＸ^ｎ－２・・・＋μＸ＋μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で２ｎ回繰り返すと、元の多項式環の剰余環の要素Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μに戻る。このように、最上位の係数（μ）が最下位の定数項に符号反転して（－μ）現れて、全体的に項が１つ、ずれている。
　すなわち、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μは、「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）という環のなかで位数２ｎの有限巡回群になっている。
　TFHEにおいて、暗号処理装置は、このような「多項式環の剰余環」に基づく多項式Ｆ（Ｘ）が有する性質を利用して完全準同型暗号を実現する。

[TRLWE暗号]
　Gate Bootstrappingでは、TLWE暗号の他に「TRLWE暗号」と呼ばれる暗号を利用する。
　TRLWE暗号について説明する。
　TRLWE暗号の「Ｒ」は「環」を意味し、TRLWE暗号は「環」で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
　TRLWE暗号における「環」は、上記した「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）である。
　TRLWE暗号を得るに当たり、「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）をランダムに選択する。
　実際には、ｎ－１次多項式の係数ｎ個を、円周群｛Ｔ｝から一様分布な乱数で選出する。
　多項式の次数がｎ－１であれば、Ｘ^ｎ＋１で割れることがなく、剰余を考える必要がないため、次数がｎ－１の多項式を多項式ａ（Ｘ）とする。

　０，１の２値からランダムにｎ個を集めて、下記の秘密鍵となる多項式ｓ（Ｘ）を組み立てる。
ｓ（Ｘ）＝ｓ_ｎ－１Ｘ^ｎ－１＋ｓ_ｎ－２Ｘ^ｎ－２＋・・・ｓ_１Ｘ＋ｓ_０
　ｎ個の乱数ｅ_ｉを、平均値が平文μ_ｉになり分散がαとなるガウス分布（正規分布）の乱数とし、これらから下記の多項式ｅ（Ｘ）を組み立てる。
ｅ（Ｘ）＝e_ｎ－１Ｘ^ｎ－１＋ｅ_ｎ－２Ｘ^ｎ－２＋・・・ｅ_１Ｘ＋ｅ_０
　ｓ（Ｘ）・ａ（Ｘ）＋ｅ（Ｘ）を、ｆ（Ｘ）（Ｘ^ｎ＋１）＋ｂ（Ｘ）と分解して、ｂ（Ｘ）を得る。
　その結果、TRLWE暗号文として、（ａ（Ｘ），ｂ（Ｘ））が得られる。
　TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
　また、TRLWE暗号は、TLWE暗号と同様に、φ_ｓ（（ａ（Ｘ），ｂ（Ｘ））＝ｂ（Ｘ）－ｓ（Ｘ）・ａ（Ｘ）＋ｇ（Ｘ）（Ｘ^ｎ＋１）として、φ_ｓがＴ［Ｘ］／（Ｘ^ｎ＋１）の元となるようにｇ（Ｘ）を定めたものが、復号関数として機能する。

[Gadget Decomposition]
　Gadget Decompositionについて説明する。
　TRLWE暗号文で用いている多項式の係数は、図４の円周群{Ｔ}の要素である０以上１未満の実数であり小数部分のみを有する。
　これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition（Dec）と定義している。
　例えば、TRLWE暗号文の多項式Ｆ（Ｘ）の次数ｎがｎ＝２として、分割の１単位をＢｇ＝２^２で、ｌ＝３要素に分解する。このとき、各要素は－Ｂｇ／２からＢｇ／２の間に入るようにする。
　TRLWE暗号文は、上記の（ａ（Ｘ），ｂ（Ｘ））のように、２つの多項式の組み合わせである。従って、TRLWE暗号文ｄを、多項式環の剰余環の元となる多項式を要素とする２次元のベクトルと見なして、例えば、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５]
と書くことができる。そのため、以下では各要素をＢｇ^－１＝０．２５のべき乗の和の形に分解する。

　円周群{Ｔ}上では、０．７５＝－０．２５であるので、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５］
＝［－０．２５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．２５＋０．１２５］
＝［０．２５×（－Ｘ^２＋２）＋０．２５^２×２Ｘ＋０．２５^３×０，０．２５×（Ｘ^２＋２Ｘ＋１）９＋０．２５Ｘ^２×２＋０．２５^３×０］
と分解できる。
　従って、Gadget Decompositionを行うと、
　Ｄｅｃ（ｄ）＝［－Ｘ^２＋２，２Ｘ，０，Ｘ^２＋２Ｘ＋１，２，０]
というベクトルになる。

　ベクトルから暗号文に逆変換する作用素Ｈも定義する。
　上記の例に基づいて説明すると、

　という行列が、逆変換の作用素Ｈとなる。Ｄｅｃ（ｄ）・Ｈを演算することで、TRLWE暗号文ｄ’が得られる。下位ビットは四捨五入をしてまるめられている。

　TRLWE暗号文ｄに対して、||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作が、Gadget Decompositionであるとも言える。ここで｜｜はベクトルのノルム（長さ）である。
　ｅ（Ｘ）の係数全てが平均値０となり、分散はαとなる多項式でできた暗号文Ｚｉ＝（ａ（Ｘ），ｂ（Ｘ））を２ｌ（エル）個生成する。
　そして、平文μを以下のように暗号化し、以下の暗号文ｋを得る。

　この暗号文ｋをTRGSW暗号文ＢＫとして定義する。
　TRGSW暗号文ＢＫは、下記に用いるBootstrapping Keyを構成する。

　Bootstrapping Keyを説明する。
　Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
　TLWE暗号文に用いる秘密鍵[ｓ]（Ｎ次）とは別に、Gate Bootstrappingに使うために、秘密鍵[ｓ]を暗号化するための秘密鍵[ｓ’]の各要素を０か１の２値で選択する。
　秘密鍵[ｓ’]の次数は、TRLWE暗号で使用する多項式の次数ｎとそろえる必要がある。
　秘密鍵[ｓ]の要素ごとにTRGSW暗号文ＢＫを作成する。
　秘密鍵[ｓ’]で復号するとφ_ｓ’（Zｊ）＝０となるTRLWE暗号文Ｚｊを２ｌ（エル）個作成する。
　そして、上記したTRGSW暗号文の構成どおり、

とする。
　このTRGSW暗号文を、秘密鍵[s]の次数と同じＮ個用意したセットを、Bootstrapping Keyと呼ぶ。

　TRGSW暗号文ＢＫｉとTRLWE暗号文ｄの外積を、
ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ
と定義する。
　Gadget Decompositionは、TRLWE暗号文ｄに対して||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作であった。
　従って、[ｖ]＝Ｄｅｃ（ｄ）と誤差（ε_ａ（Ｘ），ε_ｂ（Ｘ））を用いて、
[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））と書ける。
　その結果、ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ

となる。
　左半分は内積を計算し、右半分には[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））を代入すると、

となり、下記の３つの暗号文ｃ１、ｃ２、ｃ３の和の計算と同じとなる。

　TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
　Ｃ_１は、Ｚ_ｊを何倍かして足したものなので、平文φ_ｓ’（ｃ_１）の期待値は０となる。
　また復号したφ_ｓ’（ｃ_３）は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。

　そうするとφ_ｓ’（BKｉ×ｄ）＝φ_ｓ’（ｓ_ｉ×ｄ）となるが、ｓ_ｉが０であっても１であっても計算結果は上記３つの暗号文ｃ１、ｃ２、ｃ３の和になる。単純な比較でｓ_ｉが０と１の何れであるかを判別することができない。
　２つの平文μ_０、μ_１に対応するTRLWE暗号文ｄ_０、ｄ_１があるとして、ｄ＝ｄ_１－ｄ_０と代入して、最後にｄ_０を加算すると、下記のようなＣＭｕｘ関数が完成する。
　ＣＭｕｘ（ＢＫ_ｉ，ｄ_０，ｄ_１）＝ＢＫｉ×（ｄ_１－ｄ_０）＋ｄ_０＝Ｄｅｃ（ｄ_１－ｄ_０）・ＢＫ_ｉ＋ｄ_０
　ＣＭｕｘ関数は、ｓ_ｉが０であると平文μ_０の暗号文を復号することなく出力し、ｓ_ｉが１であると平文μ_１の暗号文を復号することなく出力する。
　ＣＭｕｘ関数は、平文μ_０もしくは平文μ_１の暗号文を計算することができるが、どちらを選択したかは分からない。

　TFHEの２値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
　２値Gate Bootstrappingは、以下に説明する３つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。

　図５は、２値Gate Bootstrappingの動作イメージ図である。
　２値Gate Bootstrappingは、下記に説明する３つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
　以下の説明で、特に説明をしない場合、「平文」とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
　図４の円周群{Ｔ}における０～０．２５（１／４）、０．７５（３／４）～１の区間の平文を０のTLWE暗号文に変換し、０．２５（１／４）～０．７５（３／４）の区間の平文を０．２５（１／４）の暗号文に変換する。
　この変換の際、平文に付加される誤差は±１／１６の範囲のいずれかである。

(1)BlindRotate
　Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
　BlindRotateは、TRLWE暗号文を作成する工程である。
　BlindRotateでは、多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））から、Ｘ^{－φｓ（ｃ’）}を乗算したTRLWE暗号文を復号することなく得る。「０」は、０次の多項式０を示す。
　ここでφｓ（ｃ’）は、下記のLWE暗号文ｃ’を復号関数にかけた平文である。
　BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式Ｆ（Ｘ）
Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋…μＸ＋μ
ただし、μ＝１／８
にＸ^ｎ／２を掛けて得た下記の多項式Ｔ（Ｘ）
Ｔ（Ｘ）＝Ｆ（Ｘ）・Ｘ^ｎ／２
を用意する。

　平文μ１を秘密鍵[ｓ]で暗号化したTLWE暗号文ｃがあるとする。
　このTLWE暗号文ｃ＝（[ａ]，ｂ）の各要素を２ｎ倍して四捨五入したLWE暗号文ｃ’＝（[ａ’]，ｂ’）を得る。
　LWE暗号文ｃ’＝（[ａ’]，ｂ’）を復号すると、μ１’＝φ_ｓ（ｃ’）≒２Ｎ×φ_ｓ（ｃ）＝２Ｎμ１となる。Ｎが大きくなるほど相対的に誤差は小さくなる。
　多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））を用意して、
Ａ_０＝Ｘ^－ｂ’×（０，Ｔ（Ｘ））＝（０，Ｘ^－ｂ’×Ｔ（Ｘ））とする。０は、０次の多項式０を示す。この時、ｂ’は整数であるため、累乗が自然に定義できる。
　以降、上記に説明したBootstrapping KeyであるＢＫ_ｉを用いて、順番にＡ_ｉ＝ＣＭｕｘ（ＢＫ_ｉ，Ａ_ｉ－１，Ｘ^ａ’ｉＡ_ｉ－１）を計算する。ここでも、ａ’ｉが整数になっているため、Ｘの累乗が自然に定義できる。

　そうすると、ｓ_ｉが０の時は、平文はそのまま変わらず、ｓ_ｉが１の時は、Ｘ^ａ’ｉが順番に乗算されていく。
　従って、

と繰り返すと、

となる。
　ここで、

は、復号関数φｓ（ｃ’）の符号を反転したものに等しいので、

となる。ここでφｓ’（Ａ_ｎ）は、多項式Ｔ（Ｘ）にＸ^－１をμ１’回乗算した多項式の暗号文である。

(2)SampleExtract
　(1)のBlindRotateで得たTRLWE暗号文Ａｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）を見ると、下位の項から数えてｎ／２－φ_ｓ（ｃ’）個分の項は係数が－μとなり、負になった場合、逆に上の項から順に係数が－μとなる。
　TRLWE暗号文Ａ_ｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）の定数項だけを見ると、φ_ｓ（ｃ’）がｎ／２以上３ｎ／２未満、すなわちφ_ｓ（ｃ）が１／２±１／４の場合、定数項はμとなる。それ以外、すなわちφｓ（ｃ）が±１／４の場合、定数項は－μとなる。
　SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎから、これを復号することなく平文多項式φ_ｓ’（Ａ_ｎ）の定数項の係数だけを取り出して、その結果、TLWE暗号文ｃｓを得るための処理である。

　TLWE暗号文ｃｓを得るための処理を説明する。
　全てのTRLWE暗号文は、次数をｎとして、

と多項式をおいて、（Ａ（Ｘ），Ｂ（Ｘ））と表現することができる。
　これを秘密鍵[ｓ’]で復号したとき、秘密鍵の多項式を

とおいて、

と展開することができる。

　これに対して下記の演算を行い、

を得る。
　「多項式環の剰余環」であるので（Ｘ^ｎ＋１）で割った余りを求めると、

が得られる。

　さらに、

とおくと、

となり、

から、平文多項式の各項の係数が求まる。
　そのうち必要なのは定数項の係数であるので、ｊ＝０の場合の係数を取り出すと、

が得られる。

とおくと、

のように、TLWE暗号の復号関数に変形することができる。

　つまり、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎ＝（Ａ（Ｘ），Ｂ（Ｘ））から、係数を

として取り出すと、元のTRLWE暗号文Ａ_ｎに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号（［ａ”］，ｂ_１）が得られた。この新しいTLWE暗号文は、平文として－μ又はμの２種類を有する。
　得られたTLWE暗号文に対して、平文がμとなる自明な暗号文（[０]，μ）を加えたTLWE暗号文ｃｓ＝（［ａ”］，ｂ１）＋（[０]，μ）がSampleExtractの出力である。
　具体的には、テストベクタとしての多項式Ｆ（Ｘ）ではμ＝１／８であるので、この段階では、－１／８、１／８の暗号文が得られている。
　これに、平文がμ＝１／８となる自明なTLWE暗号文（[０]，１／８）を加えると、
－１／８＋１／８＝０
１／８＋１／８＝１／４
から、０、１／４の２値のうちいずれかの値を平文として持つ新たなTLWE暗号文ｃｓが得られた。以上の操作を、TFHEではSampleExtractと呼ぶ。

(3)キースイッチング
　(2)のSampleExtractで得られたTLWE暗号文ｃｓは、秘密鍵[ｓ]ではなく、秘密鍵[ｓ']で暗号化されている。
　従って、TLWE暗号文ｃｓを復号することなく、TLWE暗号文ｃｓの鍵を秘密鍵[ｓ]に差し替え、秘密鍵[ｓ]で暗号化された状態に戻す必要がある。
　そのためキースイッチングの手法を説明する。
　NAND演算に用いるTLWE暗号文の秘密鍵[ｓ]はＮ次のベクトルであった。
　これを用い、Bootstrapping Keyを作成したときのｎ次のベクトルの秘密鍵[ｓ’]を暗号化する。
　すなわち、

と、円周群{Ｔ}の要素、０から１の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[ｓ]である。「桁数」ｔはシステムパラメータである。
　秘密鍵[ｓ]で復号すると、

となる。これが「キースイッチングキー」である。
　上記したように(2)で得られたTLWE暗号文ｃｓ＝（[ａ]、ｂ）は秘密鍵[ｓ’]で暗号化された０又は１／４の値である。[ａ]の要素数は、秘密鍵[ｓ’]と同じくｎ個である。
　これを一つずつ、夫々ｔビットの固定小数に変換すると、

の形式で書くことができる。
　この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
　キースイッチング本体の処理として、以下のTLWE暗号文ｃｘを計算する。

　（[０]，ｂ）の項は自明な暗号文なので、復号するとｂであり、TLWE暗号文ｃｘを復号した結果を計算すると、

である。
　ｓ’_ｉは、ｊに対して定数なのでくくりだして

とし、上記で固定小数に分解したときの式を代入する。

　その結果、

となって鍵の切り替えが成功したことになる。

　ここで得られたTLWE暗号文ｃｘは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[ｓ]で暗号化されている。
　キースイッチングの処理を行うことにより、秘密鍵[ｓ]で暗号化されたTLWE暗号文に戻っており、φ_ｓ（ｃ）が±１／４の範囲なら平文φ_ｓ（ｃｘ）は０に、φ_ｓ（ｃ）が１／２±１／４の範囲なら、平文φ_ｓ（ｃｘ）は１／４になっている。
　以上の処理により、Gate Bootstrappingの結果として、０、１／４の２値のうちのいずれかであって誤差が±１／１６以内のいずれかになるTLWE暗号文が得られた。
　誤差の最大値は、入力となるTLWE暗号文ｃに依存せず、システムパラメータによって固定された値となる。
　従って、誤差の最大値が入力となるTLWE暗号文と同じ±１／１６以内のいずれかの値となるように、システムパラメータを設定する。
　これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。

　Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、ＣＭｕｘで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±１／１６となるようにシステムパラメータを調整することができる。
　以上が、TFHEのGate Bootstrappingの処理である。

　本実施形態では、上記のようなTFHEにおける２値のGate Bootstrappingを改良し、３値Gate Bootstrappingを全加算器の演算に用いることにより、Gate Bootstrappingの回数を削減する。
　具体的には、暗号処理装置１は、特に、完全準同型暗号の演算に用いる全加算器において、準同型演算毎に行うGate Bootstrappingが平文として多値（例えば３値）を取りうる暗号文を出力可能に改良することで論理演算（準同型演算）の回数自体を減らす。
　その結果、暗号処理装置１は、論理演算（準同型演算）の後段で行われる、長い演算時間を要するGate Bootstrappingの回数を減らし、完全準同型暗号の処理時間を大幅に低減することが出来る。
　論理演算（準同型演算）の回数を削減し、完全準同型暗号の処理時間を大幅に低減するものである。

　図２、図３を参照して、本実施形態の３値Gate Bootstrappingを詳しく説明する。
　図３に示す全加算器の構成に、平文Ａ、Ｂ、Ｃに夫々対応するTLWE暗号文ｃａ、ｃｂ、ｃｃを入力することを考える。
　上記したように、TLWE暗号文ｃａ、ｃｂ、ｃｃは加法準同型暗号であり、暗号文の和を演算することで平文同士の和を演算することが出来る。
　これらのTLWE暗号文ｃａ、ｃｂ、ｃｃは夫々上記に説明した２値Gate Bootstrappingにより生成されたものであり、あるいは新規に暗号化されたものである。
　TLWE暗号文ｃａ、ｃｂ、ｃｃの平文Ａ、Ｂ、Ｃは、例えば図４の円周群{Ｔ}における０、１／４の何れかあり、誤差は±１／１６の中に含まれるものとする。
　第１演算部１２が、まずｃａ＋ｃｂ＋（[０]，１／８）を演算する。上記に説明したように、（[０]，１／８）は、どの秘密鍵を用いても復号関数により同じ平文１／８が得られる自明なTLWE暗号文である。
　演算結果は、
０＋０＋１／８＝１／８
０＋１／４＋１／８＝３／８
１／４＋１／４＋１／８＝５／８
から、１／８、３／８、５／８の３つの何れかとなり、これら３つの何れかの平文に対する暗号文が得られる。
　平文に付加される誤差は±１／８以内である。これはｃａ、ｃｂの誤差±１／１６を２つ足しているためである。

　第１演算部１２の演算結果に対して、第１Bootstrapping部１４が、３値Gate Bootstrappingを実行する。
　図６は、３値Gate Bootstrappingの動作イメージ図である。
　図６に示すように、３値Gate Bootstrappingは、図４の円周群{Ｔ}に基づいて平文として３値を取り得る（円周群{Ｔ}上にマッピングした）TLWE暗号文（後述する一時暗号文ｃｔ）を得ることが出来る。
　上記の１／８±１／８は、０～０．２５（１／４）であり、円周群{Ｔ}におけるこの範囲からは、平文が「０」であるTLWE暗号文を得る。
　また、３／８±１／８は、０．２５（１／４）～０．５（１／２）であり、円周群{Ｔ}におけるこの範囲からは、平文が「１／４」であるTLWE暗号文を得る。
　また、５／８±１／８は、０．５（１／２）～０．７５（３／４）であり、円周群{Ｔ}におけるこの範囲からは、平文が「１／２」であるTLWE暗号文を得る。
　本実施形態では、３値Gate Bootstrappingの結果、ｃａ＋ｃｂに基づくTLWE暗号文ｃｔが平文として円周群{Ｔ}における３値を取り得るように、非０の暗号文の平文を１／４とし、TLWE暗号文ｃａ、TLWE暗号文ｃｂの夫々の誤差を±１／１６とし、ｃａ＋ｃｂにおける平文に対する誤差を、±１／８としている。

　なお、３値Bootstrappingでは、２値Gate Bootstrappingと同様に、Bootstrappingに先立つ暗号文同士の加算、BlindRotate、SampleExtract キースイッチングを行う。
　暗号文同士の加算の段階で、適当な平文に対応する自明な暗号文を足し引きすること、BlindRotateの前にテストベクタにＸの何乗かをかけること、SampleExtractで抽出するサンプルの位置を変えること、は非自明に本質的に同一の処理である。
　すなわち、ｃａ＋ｃｂの演算結果に自明な暗号文（[０]，１／８）を足すこと、テストベクタにＸ^－ｎ／４を掛けること、SampleExtractでｎ／２の位置の値を抽出して正負を反転させること、からはいずれも同じ結果が得られる。

　暗号処理装置１は、３値Gate Bootstrappingの最初のステップとしてBlindRotateを行う。
　上記論文では、BlindRotateにおけるテストベクタとして、
Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２・・・＋μＸ＋μ
ただし、μ＝１／８
が用いられていた。

　それに対して、暗号処理装置１は、３値Gate BootstrappingのBlindRotateにおけるテストベクタとして、
Ｔ１（Ｘ）＝μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２
ただし、μ_１＝１／２、μ_２＝１／４
を用いる。
　このテストベクタ多項式Ｔ１（Ｘ）は、高次部分と低次部分で異なる値の係数を有している。
　高次部分では係数をμ_１＝１／２とし、低次部分では係数をμ_２＝１／４としている。
　テストベクタ多項式Ｔ１（Ｘ）の係数μ_１、μ_２は夫々、本実施形態の３値Gate Bootstrappingが出力するTLWE暗号文の平文がとり得る円周群{Ｔ}上の値である。

　暗号処理装置１は、テストベクタ多項式Ｔ１（Ｘ）を用いて、上記論文と同様にBlindRotateを行ってTRLWE暗号文を得る。
　BlindRotateにおいて、円周群{Ｔ}における０～０．２５の範囲では、TLWE暗号文ｃａ＋ｃｂに２ｎをかけてTLWE暗号文（ｃａ＋ｃｂ）’を得るときに、０×２ｎ＝０、０．２５×２ｎ＝ｎ／２となる。
　なお、テストベクタとなる多項式について上記に説明したように、多項式Ｔ１（Ｘ）にＸを掛けることで、μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ－μ_２となって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
　さらにＸを掛けると、μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…＋μ_２Ｘ^２－μ_２Ｘ－μ_２のように、もう一度同じことが起きる（一番上の項の係数がプラスからマイナスに反転して定数項として現れる）。
　これを全部でｎ回繰り返すと、
－μ_１Ｘ^{（ｎ－１）}～－μ_１Ｘ^{（ｎ／２）}－μ_２Ｘ^{（ｎ／２－１）}～－μ_２
となって全ての項の係数がマイナスとなる。
　さらにＸを掛け続けると、
－μ_１Ｘ^{（ｎ－１）}…－μ_１Ｘ^{（ｎ／２）}－μ_２Ｘ^{（ｎ／２－１）}…－μ_２Ｘ＋μ_１
－μ_１Ｘ^{（ｎ－１）}…－μ_１Ｘ^{（ｎ／２）}－μ_２Ｘ^{（ｎ／２－１）}…＋μ_２Ｘ＋μ_１
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で２ｎ回繰り返すと、元の多項式Ｔ１（Ｘ）＝μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２に戻る。
　すなわち、円周群｛Ｔ｝の一周（０→１）が０→２ｎに変換され、０→０．２５が０→ｎ／２の区間に対応する。
　よって、対応するSampleExtractにおいて、TRLWE暗号文の平文多項式の定数項は、上記テストベクタの次数が低い下側のμ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２の係数μ_２＝１／４となる。

　BlindRotateにおいて、円周群{Ｔ}における０．２５～０．５の範囲では、TLWE暗号文ｃａ＋ｃｂに２ｎをかけて暗号文（ｃａ＋ｃｂ）’を得るときに、０．２５×２ｎ＝ｎ／２、０．５×２ｎ＝ｎから、（ｃａ＋ｃｂ）’の平文は、ｎ／２からｎの間に入る。
　よって、対応するSampleExtractにおいて、TRLWE暗号文の平文多項式の定数項は、上記テストベクタの次数が高い上側のμ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}の係数μ_１＝１／２となる。

　さらに進んで、BlindRotateにおいて、円周群{Ｔ}における０．５～０．７５の範囲では、TLWE暗号文ｃａ＋ｃｂに２ｎをかけてTLWE暗号文（ｃａ＋ｃｂ）’を得るときに、０．５×２ｎ＝ｎ、０．７５×２ｎ＝３ｎ／２から、（ｃａ＋ｃｂ）’の平文は、の平文はｎから３ｎ／２の間に入る。
　テストベクタにＸをかけることで、係数がローテートしていき、円周群{Ｔ}上において０．５から１の間は係数が負である。
　対応するSampleExtractにおいて、TRLWE暗号文の平文多項式の定数項は、上記テストベクタの次数が低い下側のμ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２の係数μ_２＝１／４をマイナスにした－１／４となる。－１／４は、円周群｛Ｔ｝上では３／４と同じであるので、３／４がTRLWE暗号文ｄの定数項となる。

　このように、暗号処理装置１は、BlindRotateにおいて１／４、１／２、３／４の３種類の値を平文多項式の定数項として持つTRLWE暗号文ｄを得て、TRLWE暗号文ｄに対するSampleExtractを行う。
　上記論文のSampleExtractでは、SampleExtractの後に得られたTLWE暗号文に対して、平文が１／８となる自明なTLWE暗号文（[０]，１／８）をさらに加える。
　それに対して、暗号処理装置１は、中途で得られた１／４、１／２、３／４の３種類の値を持つTLWE暗号文に対して、平文が－１／４となる自明なTLWE暗号文（[０]，－１／４）を加える。

　その演算の結果、図６に示すように、
１／４＋（－１／４）＝０
１／２＋（－１／４）＝１／４
３／４＋（－１／４）＝１／２
から、平文として、０、１／４、１／２の３値の何れかを有するTLWE暗号文が得られた。
　暗号処理装置１は、このようにして得られたTLWE暗号文に対して、上記論文と同様のキースイッチングを行う。

　その結果、暗号処理装置１は、３値Gate Bootstrappingの出力として、平文として０、１／４、１／２の３値を有し、平文に付加される誤差が±１／１６の範囲に含まれる一時的な（一時的に利用する）TLWE暗号文ｃｔを得る。
　３値Gate Bootstrappingの前に行ったTLWE暗号ｃａ＋ｃｂの演算結果では、平文の和（ａ＋ｂ）に対して、±１／８の誤差が付加されていた。
　３値Gate Bootstrappingの結果として、新たなTLWE暗号文ｃｔにおいて平文に付加されている誤差は±１／１６に、すなわち、当初のTLWE暗号文ｃａ、ｃｂと同じ範囲の誤差にまで削減されたことが分かる。
　誤差が削減されることで、TLWE暗号文ｃｔは再度論理演算に用いることが出来る。

　全加算記の処理として、暗号処理装置１は、３値Gate Bootstrappingの結果得られたTLWE暗号文ｃｔに対して、桁上げ入力のTLWE暗号文ｃｃを加算する。
　第２演算部１３が、ｃｔ＋ｃｃ＋（[０]，－１／８）を演算し、第３演算部１４が、２×（ｃｔ＋ｃｃ）を演算する。
　第２演算部１３の出力と第３演算部１４の出力（いずれも、２値を取り得るTLWE暗号）に対して、夫々、第２算出部１６、第３算出部１７が上記論文に記載されている２値Gate Bootstrappingを行うことで、全加算器の桁上げ出力Ｃ_Ｏと出力ＳとしてのTLWE暗号文ｃｙ、ｃｚがさらに得られる。
　以上のように構成したので、本実施形態によれば、論理演算素子の演算でほとんどすべての演算時間を消費しているGate Bootstrappingの回数を３回に減らすことができた。
　３値Gate Bootstrappingを行わずに上記論文の２値Gate Bootstrappingだけで全加算器を実装する場合には２値Gate Bootstrappingを５回実行する必要がある。それに比べて、本実施形態の手法では演算時間を４０％短縮できることが実験によって確認できた。
　また、桁上げ出力とＳＵＭ出力を夫々処理する後半２つの２値Gate Bootstrappingは互いに依存関係がないため、マルチスレッド処理などにより並列化することで、全加算器全体で、Gate Bootstrapping２回分の処理時間とすることが出来る。
　後半２つの２値Gate Bootstrappingを並列化することで、それをせずGate Bootstrappingを３回実行する場合と比べて演算時間をさらに３３％短縮できることが見込める。
　図１に示した方法をマルチスレッド化した場合にも、全加算器全体で、Gate Bootstrapping３回分の処理時間とすることが出来る。それと比べても、マルチスレッド化した本実施形態の手法によれば演算時間を３３％短縮できることが見込める。

　図７は、暗号処理装置が実行する全加算器の演算処理の流れを説明するフローチャートである。
　上記したように、２値の暗号文の場合、円周群｛Ｔ｝における０～１／４、３／４～１の区間の平文を０のTLWE暗号文に変換する。また、円周群｛Ｔ｝における１／４～３／４の区間の平文を１／４のTLWE暗号文に変換する。この変換の際、平文に付加される誤差は、±１／１６の範囲のいずれかの値である。
　上記した円周群｛Ｔ｝の範囲を、０、１などの（多値）論理演算で用いるシンボルを対応づける。
　すなわち、

となる。

　３値の暗号文の場合、円周群｛Ｔ｝における０～１／４の区間の平文を０のTLWE暗号文に変換する。円周群｛Ｔ｝における１／４～１／２、３／４～１の区間の平文を１／４のTLWE暗号文に変換する。円周群｛Ｔ｝における１／２～３／４の区間の平文を１／２のTLWE暗号文に変換する。この変換の際、平文に付加される誤差は、±１／１６の範囲のいずれかの値でである。
　上記した円周群｛Ｔ｝の範囲を、（多値）論理演算で用いるシンボル０、１、２を対応づける。

　円周群｛Ｔ｝上の範囲（誤差を含む）が、暗号文における２値又は３値の平文の何れかに値に対応している。
　暗号文は、（［ａ］、ｂ）の形式を有するベクトルであり、ベクトルの要素は円周群上の点である。平文もまた、円周群｛Ｔ｝上の点である。
　多値論理演算で用いるシンボル０、１、２は、円周群｛Ｔ｝上の範囲と対応付いており、ある暗号文に対する平文は、その範囲内の何れか１点を指している。平文が、その範囲内のどの点を指しているかは、秘密鍵なしでは、特定することが難しい。これによってTLWE暗号文の強度が担保されている。範囲を０として円周群上の点とシンボルを対応づけると、複数の暗号文を集めて連立方程式として平文を導出可能であり、TLWE暗号文の強度は低下してしまう。

　暗号処理装置１（受付部１１）は、ステップＳ１０１において、演算対象の暗号文が入力されたか否かを受け付けたかを判定する。
　暗号文が入力されたと判定した場合（ステップＳ１０１でＹｅｓ）、暗号処理装置１（受付部１１）は、ステップＳ１０２において、暗号文を受けつけ、記憶部２０に格納する。
　次に、暗号処理装置１（第１演算部１２）は、ステップＳ１０３において、暗号文を用いて準同型演算を行い、演算結果を記憶部２０に格納する。
　暗号処理装置１（第１算出部１５）は、ステップＳ１０４において、演算結果に対して３値Gate Bootstrappingを行い、平文として多値（３値）を有する一時暗号文を算出し、記憶部２０に格納する。
　第１演算部１２、第１算出部１５による処理の結果、以下の真理値表に示すような演算が行われる。
　この演算は、平文として２値を有する２つの暗号文ｃａ、ｃｂの入力を受け付け、暗号文ｃａ＋暗号文ｃｂから平文として３値を有する一時暗号文ｃｔの出力を得るものである。

　例えば、入力される２つの暗号文がシンボル０又は１、つまり区間０±１／１６又は１／４±１／１６で、ステップＳ１０３の演算を行うとき以下の演算を行う。
ｃａが０、ｃｂが０の場合：０±１／１６＋０±１／１６＋１／８＝１／８±１／８
ｃａが０、ｃｂが１の場合：０±１／１６＋１／４±１／１６＋１／８＝３／８±１／８
ｃａが１、ｃｂが０の場合：１／４±１／１６＋０±１／１６＋１／８＝３／８±１／８
ｃａが１、ｃｂが１の場合：１／４±１／１６＋１／４±１／１６＋１／８＝５／８±１／８
　さらに３値Gate Bootstrapping（図６）を行うと、一時暗号文ｃｔの出力は、
ｃａが０、ｃｂが０の場合：１／８±１／８→０±１／１６＝０
ｃａが０、ｃｂが１の場合：３／８±１／８→１／４±１／１６⇒１
ｃａが１、ｃｂが０の場合：３／８±１／８→１／４±１／１６⇒１
ｃａが１、ｃｂが１の場合：５／８±１／８→１／２±１／１６⇒２
となる。

　暗号処理装置１（第２演算部１３）は、ステップＳ１０５において、一時暗号文ｃｔと桁上げ入力ｃｃとの準同型演算を行い、演算結果を記憶部２０に格納する。
　暗号処理装置１（第２算出部１６）は、ステップＳ１０６において、ステップＳ１０５の演算結果に対して２値Gate Bootstrappingを行って桁上げ出力ｃｙを算出し、記憶部２０に格納する。
　第２演算部１３、第２算出部１６による処理の結果、以下の真理値表に示すような演算が行われる。
　この演算は、平文として３値を有する暗号文ｃｔの入力と、平文として２値を有する暗号文ｃｃの入力を受け付け、暗号文ｃｔと暗号文ｃｃから平文として２値を有する出力暗号文ｃｙを得るものである。

　例えば、暗号文ｃｃがシンボル０又は１、つまり区間０±１／１６又は１／４±１／１６であり、暗号文ｃｔがシンボル０、１又は２、つまり区間０±１／１６、１／４±１／１６、１／２±１／１６のとき準同型演算として以下の演算を行う。
ｃｔが０、ｃｃが０の場合：
０±１／１６＋０±１／１６－１／８＝－１／８±１／８
ｃｔが０、ｃｃが１の場合：
０±１／１６＋１／４±１／１６－１／８＝１／８±１／８
ｃｔが１、ｃｃが０の場合：
１／４±１／１６＋０±１／１６－１／８＝１／８±１／８
ｃｔが１、ｃｃが１の場合：
１／４±１／１６＋１／４±１／１６－１／８＝３／８±１／８
ｃｔが２、ｃｃが０の場合：
１／２±１／１６＋０±１／１６－１／８＝３／８±１／８
ｃｔが２、ｃｃが１の場合：
１／２±１／１６＋１／４±１／１６－１／８＝５／８±１／８
　さらに２値Gate Bootstrapping（図５）を行うと、出力暗号文ｃｙの出力は、
ｃｔが０、ｃｃが０の場合：－１／８±１／８⇒０
ｃｔが０、ｃｃが１の場合：１／８±１／８⇒０
ｃｔが１、ｃｃが０の場合：１／８±１／８⇒０
ｃｔが１、ｃｃが１の場合：３／８±１／８⇒１
ｃｔが２、ｃｃが０の場合：３／８±１／８⇒１
ｃｔが２、ｃｃが１の場合：５／８±１／８⇒１
となる。

　暗号処理装置１（第３演算部１４）は、ステップＳ１０７において、一時暗号文と桁上げ入力と暗号文を用いた準同型演算を行う。
　暗号処理装置１（第３算出部１７）は、ステップＳ１０８において、ステップＳ１０５の演算結果に対して２値Gate Bootstrappingを行って、出力暗号文ｃｚを算出し、記憶部２０に格納する。
　第３演算部１４、第３算出部１７による処理の結果、平文において、以下の真理値表に示すような演算が行われる。
　この演算は、３値を有する暗号文ｃｔの入力と、２値を有する暗号文ｃｃの入力を受け付け、２値を有する暗号文ｃｚの出力を得るものである。

　例えば暗号文ｃｃがシンボル０又は１、つまり区間０±１／１６又は１／４±１／１６であり、暗号文ｃｔがシンボル０、１又は２、つまり区間０±１／１６、１／４±１／１６又は１／２±１／１６のとき、準同型演算として以下の演算を行う。
ｃｔが０、ｃｃが０の場合：
２×（０±１／１６＋０±１／１６）＝０±１／４
ｃｔが０、ｃｃが１の場合：
２×（０±１／１６＋１／４±１／１６）＝１／２±１／４
ｃｔが１、ｃｃが０の場合：
２×（１／４±１／１６＋０±１／１６）＝１／２±１／４
ｃｔが１、ｃｃが１の場合：
２×（１／４±１／１６＋１／４±１／１６）＝０±１／４
ｃｔが２、ｃｃが０の場合：
２×（１／２±１／１６＋０±１／１６）＝０±１／４
ｃｔが２、ｃｃが１の場合：
２×（１／２±１／１６＋１／４±１／１６）＝１／２±１／４
　さらに２値Gate Bootstrapping（図５）を行うと、出力暗号文ｃｚの出力は、
ｃｔが０、ｃｃが０の場合：０±１／４⇒０
ｃｔが０、ｃｃが１の場合：１／２±１／４⇒１
ｃｔが１、ｃｃが０の場合：１／２±１／４⇒１
ｃｔが１、ｃｃが１の場合：０±１／４⇒０
ｃｔが２、ｃｃが０の場合：０±１／４⇒０
ｃｔが２、ｃｃが１の場合：１／２±１／４⇒１
となる。
　ステップＳ１０６の２値Gate Bootstrappingと、ステップＳ１０８の２値Gate Bootstrappingと、はマルチスレッド処理によって、並列で実行することが出来る。

　一例として、２つのＴＬＷＥ暗号文ｘ１、ｘ２に対してＯＲを得るための演算（準同型ＯＲ）を行う場合、ＨｏｍＯＲ（ｘ１，ｘ２）＝Ｂｏｏｔｓｔｒａｐｐｉｎｇ（（０，１／８）＋ｘ１＋ｘ２）を実行する。
　実際にシンボル０と０のＯＲを得るための演算を例示する。
　暗号文には乱数を使い、平文に誤差が付加されるので、
Ｄｅｃｏｄｅ（ｘ１）＝０＋１／１００、Ｄｅｃｏｄｅ（ｘ２）＝０－１／５０
となる。
　加算の準同型演算をすると、
Ｄｅｃｏｄｅ（ｘ１＋ｘ２＋（０，１／８））＝１／８－１／１００
となる。この時、後半の誤差成分は暗号化するたびに異なる値となる。
　２値Gate Bootstrappingを行うと、
Ｄｅｃｏｄｅ（ｇａｔｅ＿ｂｏｏｔｓｔｒａｐｐｉｎｇ（ｘ１＋ｘ２＋（０，１／８））＝０＋１／１８０
である。
　２値Gate Bootstrappingで、０±１／１６のどこかになるので、０－０．１２５もしくは０．８７５－１の区間となる。このときの誤差は、元々の誤差やシステムパラメータに依存する。
　０±１／１８０は、シンボル０の範囲０±１／１６の範囲内なので、シンボル０となる。

［応用例］
　暗号処理装置１が行う全加算器の高速化は、以下のように応用することが出来る。
　例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合（例えば、３０～３９歳の平均年収を求めたい場合など）を考える。
　このとき、暗号処理装置１は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
　暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。

　暗号処理装置１０は、全加算器を実現する第１演算部１２、第２演算部１３、第３演算部１４、第１Bootstrapping部１５、第２Bootstrapping部１６、第３Bootstrapping部１７の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
　比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
　暗号処理装置１はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
　集約演算において、暗号処理装置１は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
　このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較（比較は減算結果の正負と等価である）を行う必要がある。そして、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。
　全加算器の演算を上記に説明した３値Gate Bootstrappingによって高速化することによってクエリの実行時間を著しく低減することが可能となる。
　四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。

　このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
　他の例として、ファジー認証やファジー検索が挙げられる。
　ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
　ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
　ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
　ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
　特にファジー認証やファジー検索では、整数同士の加算、減算、乗算、除算や比較は処理時間の大半を占めるため、それらに用いられる全加算器の演算を高速化することによって処理時間の短縮に大きな効果を奏し得る。

　またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には２乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、Ｏ（Ｎ^２）の全加算器を演算しなければならない。また単純な減算による比較演算でも、Ｏ（Ｎ）の全加算器を演算する必要がある。そのため、全加算器の演算を高速化することによって、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。

　図８は、コンピュータ装置の一実施例を示すブロック図である。
　図８を参照して、コンピュータ装置１００の構成について説明する。
　コンピュータ装置１００は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置１００は、制御回路１０１と、記憶装置１０２と、読書装置１０３と、記録媒体１０４と、通信インターフェイス１０５と、入出力インターフェイス１０６と、入力装置１０７と、表示装置１０８とを含む。また、通信インターフェイス１０５は、ネットワーク２００と接続される。そして、各構成要素は、バス１１０により接続される。
　暗号処理装置１は、コンピュータ装置１００に記載の構成要素の一部又は全てを適宜選択して構成することができる。

　制御回路１０１は、コンピュータ装置１００全体の制御をする。制御回路１０１は、例えば、Central Processing Unit（ＣＰＵ）、Field Programmable Gate Array（ＦＰＧＡ）、Application Specific Integrated Circuit（ＡＳＩＣ）及びProgrammable Logic Device（ＰＬＤ）などのプロセッサである。制御回路１０１は、例えば、図２における制御部１０として機能する。

　記憶装置１０２は、各種データを記憶する。そして、記憶装置１０２は、例えば、Read Only Memory（ＲＯＭ）及びRandom Access Memory（ＲＡＭ）などのメモリや、Hard Disk（ＨＤ）などである。記憶装置１０２は、制御回路１０１を、図２における制御部１０として機能させる情報処理プログラムを記憶してもよい。記憶装置１０２は、例えば、図２における記憶部２０として機能する。

　暗号処理装置１は、情報処理を行うとき、記憶装置１０２に記憶されたプログラムをＲＡＭに読み出す。
　暗号処理装置１は、ＲＡＭに読み出されたプログラムを制御回路１０１で実行することにより、受付処理、第１演算処理、第２演算処理、第３演算処理、第１Bootstrapping処理、第２Bootstrapping処理、第３Bootstrapping処理、出力処理のいずれか１以上を含む処理を実行する。
　なお、プログラムは、制御回路１０１が通信インターフェイス１０５を介してアクセス可能であれば、ネットワーク２００上のサーバが有する記憶装置に記憶されていても良い。

　読書装置１０３は、制御回路１０１に制御され、着脱可能な記録媒体１０４のデータのリード／ライトを行なう。
　記録媒体１０４は、各種データを保存する。記録媒体１０４は、例えば、情報処理プログラムを記憶する。記録媒体１０４は、例えば、Secure Digital（ＳＤ）メモリーカード、Floppy Disk（ＦＤ）、Compact Disc（ＣＤ）、Digital Versatile Disk（ＤＶＤ）、Blu-ray（登録商標） Disk（ＢＤ）、及びフラッシュメモリなどの不揮発性メモリ（非一時的記録媒体）である。

　通信インターフェイス１０５は、ネットワーク２００を介してコンピュータ装置１００と他の装置とを通信可能に接続する。通信インターフェイス１０５は、例えば、図２において、通信部２５として機能する。
　入出力インターフェイス１０６は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス１０６と接続される入力装置１０７には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス１０６は、接続された各種入力装置とコンピュータ装置１００とを通信可能に接続する。そして、入出力インターフェイス１０６は、接続された各種入力装置から入力された信号を、バス１１０を介して制御回路１０１に出力する。また、入出力インターフェイス１０６は、制御回路１０１から出力された信号を、バス１１０を介して入出力装置に出力する。入出力インターフェイス１０６は、例えば、図２において、入力部２６として機能する。

　表示装置１０８は、各種情報を表示する。ネットワーク２００は、例えば、ＬＡＮ、無線通信、Ｐ２Ｐネットワーク、又はインターネットなどであり、コンピュータ装置１００と他の装置を通信接続する。
　なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。

１　暗号処理装置、１０　制御部、１１　受付部、１２　第１演算部、１３　第２演算部、１４　第３演算部、１５　第１Bootstrap部（算出部）、１６　第２Bootstrap部（算出部）、１７　第３Bootstrap部（算出部）、１８　出力部、２０　記憶部、２５　通信部、２６　入力部、１００　コンピュータ装置、１０１　制御回路、１０２　記憶装置、１０３　読書装置、１０４　記録媒体、１０５　通信インターフェイス、１０６　入出力インターフェイス、１０７　入力装置、１０８　表示装置、１１０　バス、２００　ネットワーク

Claims

　暗号文を処理する暗号処理装置であって、
　前記暗号文は、平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　前記暗号文を用いた所定の演算において、平文として２値よりも多い多値を有する前記暗号文に基づいた一時暗号文を出力とする多値論理演算を使用することにより前記演算に必要な計算処理の回数を削減する、
ことを特徴とする暗号処理装置。
　請求項１に記載の暗号処理装置において、
　入力された前記暗号文に対して、前記所定の演算に係る準同型演算を行う第１演算部と、
　前記第１演算部による準同型演算の結果から、前記一時暗号文を第１多項式に基づいて算出する第１算出部と、
　前記一時暗号文に対して、前記所定の演算に係る準同型演算を行う第２演算部と、
　前記第２演算部による準同型演算結果から、平文として２値を有する出力暗号文を第２多項式に基づいて算出する第２算出部と、
を備える、
ことを特徴とする暗号処理装置。
　請求項１に記載の暗号処理装置において、
　前記一時暗号文は、平文として３値を取り得ることを特徴とする暗号処理装置。
　請求項２又は３に記載の暗号処理装置において、
　前記所定の演算は全加算器の演算であり、前記一時暗号文を用いることにより前記全加算器の演算を高速化する、
ことを特徴とする暗号処理装置。
　請求項４に記載の暗号処理装置において、
　前記所定の演算として前記全加算器の演算を行うことにより、入力された前記暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算を行う、
ことを特徴とする暗号処理装置。
　請求項４に記載の暗号処理装置において、
　前記所定の演算として前記全加算器の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
ことを特徴とする暗号処理装置。
　請求項４に記載の暗号処理装置において、
　前記所定の演算として前記全加算器の演算を行うことによって、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
ことを特徴とする暗号処理装置。
　プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
　前記暗号文は、平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　前記暗号文を用いた所定の演算において、平文として２値よりも多い多値を有する前記暗号文に基づいた一時暗号文を出力とする多値論理演算を使用することにより前記演算に必要な計算処理の回数を削減する、
ことを特徴とする暗号処理方法。
　暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
　前記暗号文は、平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　前記暗号文を用いた所定の演算において、平文として２値よりも多い多値を有する前記暗号文に基づいた一時暗号文を出力とする多値論理演算を使用することにより前記演算に必要な計算処理の回数を削減する、
ことを特徴とする暗号処理プログラム。