WO2022201791A1

WO2022201791A1 - 暗号処理装置、暗号処理方法、及び暗号処理プログラム

Info

Publication number: WO2022201791A1
Application number: PCT/JP2022/001829
Authority: WO
Inventors: 優佑星月; 航太郎松岡
Original assignee: 株式会社アクセル
Priority date: 2021-03-26
Filing date: 2022-01-19
Publication date: 2022-09-29
Also published as: US20240022395A1; JP2022151492A; JP7084067B1

Abstract

完全準同型暗号を実現する全加算器の演算を高速化する。暗号文は、復号することなく論理演算が可能な完全準同型暗号文であり、所定の順序で配列される暗号文を所定の手法に従って入れ替えるソート処理を行い、ソート処理において、第１暗号文と第２暗号文とに基づく準同型演算を行い、該準同型演算の結果と所定の多項式とに基づいて得られる暗号文から新たな第１暗号文と新たな第２暗号文を算出し、第１暗号文及び第２暗号文と、新たな第１暗号文及び新たな第２暗号文と、が所定条件を満たすときに、第１暗号文及び第２暗号文を入れ替える。

Description

暗号処理装置、暗号処理方法、及び暗号処理プログラム

　本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。

　準同型暗号（Homomorphic Encryption）は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことができる暗号方式である。平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
　有限巡回群を整数に見立てて、加法演算（加算、減算）、乗法演算（乗算）のみを行う加法準同型暗号、乗法準同型暗号が以前から知られていた。
　有限巡回群は、加算を繰り返せば整数倍ができるので、「平文の」整数倍ができ、乗算を繰り返せば「平文の」のべき乗計算をすることもできる。
　また、加法演算（加算、減算）と乗法演算（乗算）の両方を暗号化したまま処理する完全準同型暗号（Fully Homomorphic Encryption，FHE）がある。
　現在知られている完全準同型暗号では、複数回の加減算、乗算が可能な、例えばLWE問題に基づくsomewhat準同型暗号を用いる。LWE問題に基づく場合、somewhat準同型暗号は、暗号化時に復号には問題ない程度の小さな誤差を平文に加えることで構成される。なお、somewhat準同型暗号はLWE暗号に限定されない。

　LWE問題に基づくsomewhat準同型暗号では演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingを行う。
　このようなbootstrappingは膨大なデータ量が必要となったり計算量が膨大となったりし、実用的な意味で完全準同型暗号が実現できていたとは言えなかった。
　この問題を劇的に改善した手法が、非特許文献１（以下の説明において、上記論文として参照される）に示されるTFHE（Fast Fully Homomorphic Encryption over the Torus）である。

TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene

　TFHEをはじめとする準同型暗号は、格納される値やデータを暗号化した暗号化データベースを実現するための暗号としても注目されている。
　上記のとおり、準同型暗号は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことができる暗号方式である。
　暗号化されたデータベースではインデックスを作成することはできないが、データベース上の値だけでなくクエリも準同型暗号で暗号化することにより、いずれをも復号することなく内容を秘匿したまま検索などの操作を行うことができる。
　また、暗号化されたデータベースに対する操作としては、データベース上の値をカテゴリごとに集約し、集約結果を昇順や降順に入れ替える操作も考えられる。
　本発明は、一側面として、暗号化されたデータベースに対する入れ替え処理を効率化することを目的とする。

　本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、シンボル０または１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、所定の順序で配列される第１暗号文の平文と第２暗号文の平文の夫々に対応する新たな暗号文を、前記順序と同じ又は逆の順序で得ることができ、前記新たな暗号文の順序を第３暗号文の平文に基づいて選択可能な処理を行い、平文として２値よりも多い多値を有する前記暗号文に基づく一時暗号文を出力とする多値論理演算を用いることにより前記処理に必要な計算の回数を削減する、暗号処理装置を特徴とする。

　本発明によれば、一側面として、暗号化されたデータベースに対する入れ替え処理を効率化することができる。

暗号文の条件付き入れ替えを行うための暗号演算処理部の構成を説明する図である。本実施形態の暗号処理装置の機能構成を説明する図である。本実施形態の暗号処理装置の演算プロセスを詳しく説明する図である。 TLWE暗号が平文として有する円周群を説明するイメージ図である。２値Gate Bootstrappingの動作イメージ図である。暗号化されたデータベースの一例を示す図である。空の応答としてのテーブルの一例を示す図である。集約結果テーブルの一例を示す図である。暗号処理装置による暗号化データベース集約処理の流れを説明するフローチャートである。第１のステップのGate Bootstrappingの動作を説明する図である。第２のステップのGate Bootstrappingの動作を説明する図である。第３のステップのGate Bootstrappingの動作を説明する図である。本実施形態の条件付き入れ替え処理において暗号文が取り得る値を示す図である。暗号処理装置による集約結果ソート処理の流れを説明するフローチャートである。ソート処理を完了後の集約結果テーブルの一例を示す図である。変形例に係る暗号処理装置の機能構成を説明する図である。変形例に係る暗号処理装置の演算プロセスを詳しく説明する図である。変形例に係る集約結果ソート処理の流れを説明するフローチャートである。本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。コンピュータ装置の一実施例を示すブロック図である。

　以下に、図面を参照して本発明の実施の形態を詳細に説明する。
　なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
　また、本明細書において、「論理演算」と記す場合は２値もしくは多値の論理演算のことを指すものとする。

　本実施形態は、下記に詳しく説明するように、暗号化されたデータベース（暗号化データベース）に対する操作を行う暗号処理装置に関する。
　本実施形態の暗号処理装置は、暗号化した値を格納した暗号化データベースを、特定の基準値に基づいて集約した集約結果に対して、暗号文を復号することなく、昇順又は降順で入れ替えを行う。
　このようなデータベースの値を暗号文のまま入れ替える場合、平文データベースを入れ替える場合や暗号化データベースの値を復号してから入れ替える場合と異なり、値の大小関係で簡単に入れ替えることはできない。
　その場合、暗号処理装置は、下記に説明するように、条件付き入れ替えの基準となる暗号文ａｖと暗号文ｂｖとの引き算を行って暗号文ｃｚを得る。暗号文ｃｚは、暗号文ａｖと暗号文ｂｖの大小関係を示すボロービットである。
　暗号処理装置は、条件付き入れ替えの対象となる、暗号文ａｖ、ｂｖに夫々対応する暗号文ａｚ及び暗号文ｂｚと、上記暗号文ｃｚとを、図１に示すマルチプレクサ（ＭＵＸ）演算文を用いた暗号演算処理部に入力し、新たな暗号文ａｚ’、新たな暗号文ｂｚ’を得る。そして暗号処理装置は、暗号文ａｚ、暗号文ｂｚを夫々、暗号文ａｚ’、暗号文ｂｚ’で置き換えることによって入れ替えを行う。

　図１は、暗号文の条件付き入れ替えを行うための暗号演算処理部を例示する図である。
　図１は、論理演算素子によるハードウェア回路で暗号演算処理部を説明しているが、暗号演算処理部をソフトウェアで実装したＣＰＵが実行する入れ替えプログラムであると考えてもよい。
　暗号演算処理部をソフトウェアで実装するとき、暗号文に対して論理回路（論理ゲート）を設計するイメージで演算を行う。
　図１（ａ）に示すように、暗号演算処理部５０は２つのＭＵＸ演算部５１、５２を備える。
　ＭＵＸ演算部５１、５２は、１つの暗号文ｃｚによって、２つの暗号文ａｚ、ｂｘを選択する論理演算を行う。
　第１ＭＵＸ演算部５１と第２ＭＵＸ演算部５２に、夫々暗号文ａｚ、ｂｘ、ｃｘが入力される。
　第１ＭＵＸ演算部５１に対しては、入力０に暗号文ａｚを入力し、入力１に暗号文ｂｚを入力し、出力として暗号文ａｚ’を得る。
　第２ＭＵＸ演算部５２に対しては、入力０に暗号文ｂｚを入力し、入力１に暗号文ａｚを入力し、出力として暗号文ｂｚ’を得る。
　このようにすると、暗号文ｃｚがビット「０」の時には、暗号文ａｚ’、暗号文ｂｚ’は暗号文ａｚ、暗号文ｂｚと同じ並び順となり、暗号文ｃｚがビット「１」の時には、ａｚ’、暗号文ｂｚ’は順序が入れ替わり暗号文ｂｚ、暗号文ａｚの並び順で出力される。

　図１（ｂ）に示すように、一つのマルチプレクサは、２つのＡＮＤ回路５３、５４と、１つのＮＯＴ回路部５５と、１つのＯＲ回路５６とから構成される。
　第１ＡＮＤ回路部５３、第２ＡＮＤ回路部５４は、ＡＮＤを得るための演算処理部である。
　ＮＯＴ回路部５５は、ＮＯＴを得るための演算処理部である。
　ＯＲ回路部５６は、ＯＲを得るための演算処理部である。
　図１の２つのマルチプレクサは同じ構成を有している。
　ＭＵＸ演算部５１において、暗号文ａｚと暗号文ｃｚが第１ＡＮＤ回路部５３に入力される。
　暗号文ｃｚは、ＮＯＴ回路部５５にも入力され、その出力と、暗号文ｂｚとが第２ＡＮＤ回路部５４に入力される。
　第１ＡＮＤ回路部５３の出力と第２ＡＮＤ回路部５４の出力とがＯＲ回路部５６に入力され、ＯＲ回路部５６の出力がマルチプレクサの出力として出力される。
　また、ＭＵＸ演算部５２において、暗号文ｂｚと暗号文ｃｚが第１ＡＮＤ回路部５３に入力される。
　暗号文ｃｚは、ＮＯＴ回路部５５にも入力され、その出力と、暗号文ａｚとが第２ＡＮＤ回路部５４に入力される。
　第１ＡＮＤ回路部５３の出力と第２ＡＮＤ回路部５４の出力とがＯＲ回路部５６に入力され、ＯＲ回路部５６の出力がマルチプレクサの出力として出力される。
　上記の構成によって、ＭＵＸ演算部５１、５２は、夫々（ｃｚ　ＡＮＤ　ａｚ）ＯＲ（（ＮＯＴ　ｃｚ）　ＡＮＤ　ｂｚ）、（ｃｚ　ＡＮＤ　ｂｚ）ＯＲ（（ＮＯＴ　ｃｚ）　ＡＮＤ　ａｚ）の論理演算を実行する。

　ＭＵＸ演算部５１、５２は、夫々２つのＡＮＤ回路部と、１つのＯＲ回路部と、１つのＮＯＴ回路部と、を備え、すなわち４つの論理演算素子（論理演算素子に対応する処理部）を備えている。従って、１回のマルチプレクサの演算につき、論理演算素子４つ分の演算時間が必要である。TFHEによる完全準同型暗号の演算に用いる場合、論理演算素子（ＡＮＤ回路部、ＯＲ回路部）の演算（準同型演算）の後段で、夫々Gate Bootstrappingを行う必要がある。なおＮＯＴ回路部５５にGate Bootstrappingは不要である。従って、ＭＵＸ演算部５１、５２における２つのＡＮＤ回路部５３、５４と１つのＯＲ回路部５５で、３回のGate Bootstrappingを行う。
　条件付き入れ替え処理において新たな暗号文を演算する１回の演算処理において、ＭＵＸ演算部５１の処理を実行し、もう一つの新たな暗号文のためにＭＵＸ演算部５２の処理を行う。上記のようにＭＵＸ演算部５１、ＭＵＸ演算部５２によって夫々３回のGate Bootstrappingを行う必要がある。従って、図１の暗号演算処理部５０による完全準同型暗号の演算には、膨大なGate Bootstrappingの演算時間を要し、実用的に暗号化データベースを操作できるとは言えない。

　これに対して、上記論文には、図１の構成を用いた改良したＨｏｍＭＵＸと呼ばれる手法を提案している。これによれば、ＴＨＦＥのマルチプレクサ（ＨｏｍＭＵＸ）演算を１回の比較につき２回行う点は上記と同じである。
　ＭＵＸ演算１回につきGate Bootstrappingを２回行う場合と同じだけの処理時間を要するため、ＭＵＸ演算２回ではBlindRotate４回分（４ゲート分）の計算時間を要する。必要なソートを全て行うためには膨大な処理時間がかかることには違いがない。

　本実施形態の暗号処理装置は、このような暗号化データベースに対する操作に要する処理時間を削減して実用的なものにする。
　暗号化データベースに対する操作の説明に先だって、本実施形態の暗号処理装置が行う完全準同型暗号の演算について説明する。

　図２は、本実施形態の暗号処理装置の機能構成を説明する図である。
　暗号処理装置１は、制御部１０と、記憶部２０と、通信部２５と、入力部２６と、を備える。
　制御部１０は、受付部１１と、第１演算部１２と、第２演算部１３と、第３演算部１４と、第１Bootstrapping部（第１算出部）１５と、第２Bootstrapping部（第２算出部）１６と、第３Bootstrapping部（第３算出部）１７と、出力部１８と、を備えている。
　また、制御部１０は、集約部２１と、比較部２２と、置換部２３とを備えている。

　受付部１１は、通信部２５や入力部２６を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部１１は、暗号処理装置１が実行する他のプロセスから暗号文の入力を受け付ける。
　第１演算部１２は、受付部１１が受け付けた入力暗号に対して、第１準同型演算を行う。
　第２演算部１３は、第１Bootstrapping部１５から出力される暗号文に対して、第２準同型演算を行う。
　第３演算部１４は、第２Bootstrapping部１６から出力される暗号文に対して、第３準同型演算を行う。
　第１演算部１２、第２演算部１３、及び第３演算部１４は、下記に説明する暗号化データベースに対する集約・入れ替え操作のための準同型演算をソフトウェアで実現する演算処理部である。第１演算部１２、第２演算部１３、及び第３演算部１４の少なくとも一つが、ハードウェアで実現されてもよい。

　第１Bootstrapping部１５は、第１演算部１２の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
　第２Bootstrapping部１６は、第２演算部１３の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
　第３Bootstrapping部１７は、第３演算部１４の演算結果に対して下記に説明するGate Bootstrapping処理を行い、新たな暗号文を出力する。
　集約部２１は、暗号化データベースを集約するための処理を行う。
　比較部２２は、集約結果のソート（条件付き入れ替え）のために、隣接する暗号文同士を比較する。
　置換部２３は、暗号化データベースの集約結果をソートするために、比較部２２による比較結果に基づいて、第１～第３演算部１２～１４、第１～第３算出部１５～１７の処理によって得られた新たな暗号文で、元の暗号文を置き換える。

　出力部１８は、最終的な演算結果を暗号処理装置１の外部、あるいは、暗号処理装置１で実行される別の処理プロセスに対して出力する。
　記憶部２０は、入力暗号文や、条件付き入れ替えの演算で用いられる一時ファイルや一時データ、出力暗号文を格納することができる。
　また記憶部２０には、暗号化された暗号化データベース６０を格納することができる。
　通信部２５は、暗号処理装置１をネットワークに接続し、外部装置との通信を可能にする。
　記憶部２０に暗号化された暗号化データベース６０を格納し、通信部２５を備えることにより、暗号処理装置１は、データベースサーバとして機能することができる。
　この場合、暗号処理装置１は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース６０に対する検索を行い、暗号化された検索結果を端末装置に応答することができる。
　入力部２６は、暗号処理装置１に対して、演算処理対象の暗号文や、暗号化データベース６０に対するクエリを入力する。

　図３は、本実施形態の暗号処理装置の演算プロセスを詳しく説明する図である。
　図３の説明において、暗号処理装置１に入力される暗号文ａｚ、ｂｚ、ｃｚは、いずれも上記論文に示されるTLWE暗号文である。TLWE暗号は、０又はμ（非０）の値を平文として有するBit-wise型の完全準同型暗号である。
　論理ゲートを用いた論理演算によって様々な演算を行うことができる。
　また後述するように、TLWE暗号文は、二進数のシンボル０又は１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能である。

　図３に示す構成では、非特許文献１の論文（上記論文）で提示された（２値）Gate Bootstrappingを使用する。
　上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
　入力された暗号文ａｚ、ｃｚを第１演算部１２に入力して準同型演算（暗号文ａｚ＋ｃｚ－（０，１／８））を行い、その演算結果である暗号文ｃｔを２値Gate Bootstrappingを行う第１Bootstrapping部１５に入力する。
　第１Bootstrapping部１５の出力は、平文として２値（０，μ）の何れかを取り得る一時暗号文ｔｚである。
　暗号文ｔｚ、暗号文ｂｚを第２演算部１３に入力して準同型演算（ｔｚ＋ｂｚ－（０，１／８））を行い、その出力結果を第２算出部１６に入力し、２値Gate Bootstrappingが行われて一時暗号文ｕｚが出力される。
　暗号文ｕｚ、暗号文ｃｚを第３演算部１４に入力して準同型演算（（０，１／４）－ｕｚ＋ｃｚ）を行い、その出力結果を第３算出部に入力し、２値Gate Bootstrappingが行われて新たな暗号文ａｚ’、新たな暗号文ｂｚ’が出力される。
　第１演算部１２による準同型演算、第２演算部１３による準同型演算、第３演算部１４による準同型演算に要する時間は微々たるものである。Gate Bootstrappingは、準同型演算を用いてＭＵＸ演算を処理するとき、ほとんど全ての処理時間を消費している。

　図１に示す暗号処理装置５０のように、２値Gate Bootstrappingを用いて全加算器の演算を行う場合、ＭＵＸ演算部５１、５２夫々におけるＡＮＤ回路部５３、５４、ＯＲ回路部５６の後段で計３回、全体で６回Gate Bootstrappingを実行する必要がある。ＡＮＤ回路部５３、５４を並列処理することにより１つのＭＵＸ演算部は２ゲート分の処理（Bootstrappingの段数は２段階）で行い得る。従って、ＭＵＸ演算部５１、５２全体を４ゲート分の処理（Bootstrappingの段数は２段階）で行うことが出来る。

　TFHEで説明されるGate Bootstrappingについて詳述する。
　Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
　上記論文のTFHEでは、LWE（Learning with Errors）暗号を円周群上で構成した「TLWE暗号」と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算（ひいては加算・乗算などの任意の演算）を実現する。

　TFHEにおけるGate Bootstrappingの入力は秘密鍵で暗号化されたTLWE暗号文である。
　TFHEでは、TLWE暗号文を基本として完全準同型暗号（FHE)を実現する。
　TLWE暗号は、格子暗号の一種であるLWE暗号の変形（LWE暗号を円周群上で定義したもの）である。
　TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。

　図４は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
　TLWE暗号は、０から実数の精度で進み１になると０に戻る、図４に示す円周群{Ｔ}の点０、又は円周群{Ｔ}上の０以外（非０）の任意の点に対応する実数μを平文として有する。TLWE暗号自体は円周群上の任意の点を平文とし、０近辺（誤差含む）とμ近辺（誤差含む）を平文として使用する。
　円周群{Ｔ}上の点は、本明細書において「要素」ともいう。
　TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度（後段での）論理演算が可能な完全準同型暗号（FHE)を実現する。

［TLWE暗号］
　TLWE暗号を説明する。
　円周群{Ｔ}上の要素として、一様分布な乱数をＮ個集めたベクトル[ａ]を用意する。また、０，１の２値をＮ個集めた秘密鍵[ｓ]を用意する。
　平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布（正規分布）の乱数をｅとしたときに、（[ａ]，[ｓ]・[ａ]＋ｅ）の組がTLWE暗号文の一例となる。
　同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、ｅは誤差付きの平文である。
　なお、「・」は、ベクトルの内積を表す。以降についても同様である。
　上記[ｓ]・[ａ]＋ｅをｂとおくと、TLWE暗号文は（[ａ]，ｂ）と表すことができる。
　φ_ｓ（（[ａ]，ｂ））＝ｂ－[ｓ]・[ａ]＝ｅは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
　このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。

　２つのTLWE暗号文（[ａ]，ｂ）、（[ａ’]，ｂ’）をそのまま足して、（[ａ]＋[ａ’]，ｂ＋ｂ’）としたものを、上記の復号関数φ_ｓに入力すると、
φ_ｓ（（[ａ]＋[ａ’]，ｂ＋ｂ’））＝（ｂ＋ｂ’）－[ｓ]・（[ａ]＋[ａ’]）＝（ｂ－[ｓ]・[ａ]）＋（ｂ’－[ｓ]・[ａ’]）＝φ_ｓ（[ａ]，ｂ）＋φ_ｓ（[ａ’]，ｂ’）
となり、２つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
　上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。

　なお、下記において、（[０]，μ）などの「自明な暗号文（trivial）」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
　（[０]，μ）において、[０]は、ゼロベクトルを表す。
　「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
　TLWE暗号文（[０]，μ）は、復号関数φ_ｓにかけると、φ_ｓ（（[０]，μ））＝μ－[ｓ]・０＝μとなり、秘密鍵[ｓ]がゼロベクトル[０]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。

　TFHEのGate Bootstrappingで用いる「有限巡回群」を説明する。
　Gate Bootstrappingでは、「多項式環の剰余環」を、有限巡回群として用いる。
　「多項式環の剰余環」が有限巡回群であることを説明する。
　ｎ次の多項式は、一般にａ_ｎｘ^ｎ＋ａ_ｎ－１ｘ^ｎ－１＋…＋ａ_０と表される。
　これらの全ての集合は、多項式同士の和ｆ（ｘ）＋ｇ（ｘ）に対して可換群をなす。
　また、多項式同士の積ｆ（ｘ）ｇ（ｘ）は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
　多項式同士の和と積に対しては、下記のように分配法則が成り立つ。
ｆ（ｘ）｛ｇ（ｘ）＋ｇ’（ｘ）｝＝ｆ（ｘ）ｇ（ｘ）＋ｆ（ｘ）ｇ’（ｘ）
　従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。

　TFHEでは、有限巡回群である円周群{Ｔ}を係数とする多項式環を用い、このような多項式環をＴ［Ｘ］と表記する。
　多項式環である多項式Ｔ（Ｘ）をＴ［Ｘ］（Ｘ^ｎ＋１）＋Ｔ［Ｘ］のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため「多項式環の剰余環」が得られる。
　TFHEでは、「多項式環の剰余環」をＴ［Ｘ］／（Ｘ^ｎ＋１）と表す。

　「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）として、任意の係数μ（μ∈Ｔ）を用いて、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μ
を取り出す。
　多項式環の剰余環の要素Ｆ（Ｘ）にＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ－μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
　さらにＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ^２－μＸ－μのように、もう一度同じことが起きる（一番上の項の係数がプラスからマイナスに反転して定数項として現れる）。
　これを全部でｎ回繰り返すと、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ－μとなって全ての項の係数がマイナスとなる。

　さらにＸを掛け続けると、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ＋μ
－μＸ^ｎ－１－μＸ^ｎ－２・・・＋μＸ＋μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で２ｎ回繰り返すと、元の多項式環の剰余環の要素Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μに戻る。このように、最上位の係数（μ）が最下位の定数項に符号反転して（－μ）現れて、全体的に項が１つ、ずれている。
　すなわち、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μは、「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）という環のなかで位数２ｎの有限巡回群になっている。
　TFHEにおいて、暗号処理装置は、このような「多項式環の剰余環」に基づく多項式Ｆ（Ｘ）が有する性質を利用して完全準同型暗号を実現する。

[TRLWE暗号]
　Gate Bootstrappingでは、TLWE暗号の他に「TRLWE暗号」と呼ばれる暗号を利用する。
　TRLWE暗号について説明する。
　TRLWE暗号の「Ｒ」は「環」を意味し、TRLWE暗号は「環」で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
　TRLWE暗号における「環」は、上記した「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）である。
　TRLWE暗号を得るに当たり、「多項式環の剰余環」Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）をランダムに選択する。
　実際には、ｎ－１次多項式の係数ｎ個を、円周群{Ｔ}から一様分布な乱数で選出する。
　多項式の次数がｎ－１であれば、Ｘ^ｎ＋１で割れることがなく、剰余を考える必要がないため、次数がｎ－１の多項式を多項式ａ（Ｘ）とする。

　０，１の２値からランダムにｎ個を集めて、下記の秘密鍵となる多項式ｓ（Ｘ）を組み立てる。
ｓ（Ｘ）＝ｓ_ｎ－１Ｘ^ｎ－１＋ｓ_ｎ－２Ｘ^ｎ－２＋・・・ｓ_１Ｘ＋ｓ_０
　ｎ個の乱数ｅ_ｉを、平均値が平文μ_ｉになり分散がαとなるガウス分布（正規分布）の乱数とし、これらから下記の多項式ｅ（Ｘ）を組み立てる。
ｅ（Ｘ）＝e_ｎ－１Ｘ^ｎ－１＋ｅ_ｎ－２Ｘ^ｎ－２＋・・・ｅ_１Ｘ＋ｅ_０
　ｓ（Ｘ）・ａ（Ｘ）＋ｅ（Ｘ）を、ｆ（Ｘ）（Ｘ^ｎ＋１）＋ｂ（Ｘ）と分解して、ｂ（Ｘ）を得る。
　その結果、TRLWE暗号文として、（ａ（Ｘ），ｂ（Ｘ））が得られる。
　TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
　また、TRLWE暗号は、TLWE暗号と同様に、φ_ｓ（（ａ（Ｘ），ｂ（Ｘ））＝ｂ（Ｘ）－ｓ（Ｘ）・ａ（Ｘ）＋ｇ（Ｘ）（Ｘ^ｎ＋１）として、φ_ｓがＴ［Ｘ］／（Ｘ^ｎ＋１）の元となるようにｇ（Ｘ）を定めたものが、復号関数として機能する。

[Gadget Decomposition]
　Gadget Decompositionについて説明する。
　TRLWE暗号文で用いている多項式の係数は、図４の円周群{Ｔ}の要素である０以上１未満の実数であり小数部分のみを有する。
　これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition（Dec）と定義している。
　例えば、TRLWE暗号文の多項式Ｆ（Ｘ）の次数ｎがｎ＝２として、分割の１単位をＢｇ＝２^２で、ｌ＝３要素に分解する。このとき、各要素は－Ｂｇ／２からＢｇ／２の間に入るようにする。
　TRLWE暗号文は、上記の（ａ（Ｘ），ｂ（Ｘ））のように、２つの多項式の組み合わせである。従って、TRLWE暗号文ｄを、多項式環の剰余環の元となる多項式を要素とする２次元のベクトルと見なして、例えば、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５]
と書くことができる。そのため、以下では各要素をＢｇ^－１＝０．２５のべき乗の和の形に分解する。

　円周群{Ｔ}上では、０．７５＝－０．２５であるので、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５］
＝［－０．２５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．２５＋０．１２５］
＝［０．２５×（－Ｘ^２＋２）＋０．２５^２×２Ｘ＋０．２５^３×０，０．２５×（Ｘ^２＋２Ｘ＋１）９＋０．２５Ｘ^２×２＋０．２５^３×０］
と分解できる。
　従って、Gadget Decompositionを行うと、
　Ｄｅｃ（ｄ）＝［－Ｘ^２＋２，２Ｘ，０，Ｘ^２＋２Ｘ＋１，２，０]
というベクトルになる。

　ベクトルから暗号文に逆変換する作用素Ｈも定義する。
　上記の例に基づいて説明すると、

　という行列が、逆変換の作用素Ｈとなる。Ｄｅｃ（ｄ）・Ｈを演算することで、TRLWE暗号文ｄ’が得られる。下位ビットは四捨五入をしてまるめられている。

　TRLWE暗号文ｄに対して、||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作が、Gadget Decompositionであるとも言える。ここで｜｜はベクトルのノルム（長さ）である。
　ｅ（Ｘ）の係数全てが平均値０となり、分散はαとなる多項式でできた暗号文Ｚｉ＝（ａ（Ｘ），ｂ（Ｘ））を２ｌ（エル）個生成する。
　そして、平文μを以下のように暗号化し、以下の暗号文ｋを得る。

　この暗号文ｋをTRGSW暗号文ＢＫとして定義する。
　TRGSW暗号文ＢＫは、下記に用いるBootstrapping Keyを構成する。

　Bootstrapping Keyを説明する。
　Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
　TLWE暗号文に用いる秘密鍵[ｓ]（Ｎ次）とは別に、Gate Bootstrappingに使うために、秘密鍵[ｓ]を暗号化するための秘密鍵[ｓ’]の各要素を０か１の２値で選択する。
　秘密鍵[ｓ’]の次数は、TRLWE暗号で使用する多項式の次数ｎとそろえる必要がある。
　秘密鍵[ｓ]の要素ごとにTRGSW暗号文ＢＫを作成する。
　秘密鍵[ｓ’]で復号するとφ_ｓ’（Zｊ）＝０となるTRLWE暗号文Ｚｊを２ｌ（エル）個作成する。
　そして、上記したTRGSW暗号文の構成どおり、

とする。
　このTRGSW暗号文を、秘密鍵[s]の次数と同じＮ個用意したセットを、Bootstrapping Keyと呼ぶ。

　TRGSW暗号文ＢＫｉとTRLWE暗号文ｄの外積を、
ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ
と定義する。
　Gadget Decompositionは、TRLWE暗号文ｄに対して||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作であった。
　従って、[ｖ]＝Ｄｅｃ（ｄ）と誤差（ε_ａ（Ｘ），ε_ｂ（Ｘ））を用いて、
[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））と書ける。
　その結果、ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ

となる。
　左半分は内積を計算し、右半分には[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））を代入すると、

となり、下記の３つの暗号文ｃ１、ｃ２、ｃ３の和の計算と同じとなる。

　TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
　Ｃ_１は、Ｚ_ｊを何倍かして足したものなので、平文φ_ｓ’（ｃ_１）の期待値は０となる。
　また復号したφ_ｓ’（ｃ_３）は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。

　そうするとφ_ｓ’（BKｉ×ｄ）＝φ_ｓ’（ｓ_ｉ×ｄ）となるが、ｓ_ｉが０であっても１であっても計算結果は上記３つの暗号文ｃ１、ｃ２、ｃ３の和になる。単純な比較でｓ_ｉが０と１の何れであるかを判別することができない。
　２つの平文μ_０、μ_１に対応するTRLWE暗号文ｄ_０、ｄ_１があるとして、ｄ＝ｄ_１－ｄ_０と代入して、最後にｄ_０を加算すると、下記のようなＣＭｕｘ関数が完成する。
　ＣＭｕｘ（ＢＫ_ｉ，ｄ_０，ｄ_１）＝ＢＫｉ×（ｄ_１－ｄ_０）＋ｄ_０＝Ｄｅｃ（ｄ_１－ｄ_０）・ＢＫ_ｉ＋ｄ_０
　ＣＭｕｘ関数は、ｓ_ｉが０であると平文μ_０の暗号文を復号することなく出力し、ｓ_ｉが１であると平文μ_１の暗号文を復号することなく出力する。
　ＣＭｕｘ関数は、平文μ_０もしくは平文μ_１の暗号文を計算することができるが、どちらを選択したかは分からない。

　TFHEの２値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
　２値Gate Bootstrappingは、以下に説明する３つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。

　図５は、２値Gate Bootstrappingの動作イメージ図である。
　２値Gate Bootstrappingは、下記に説明する３つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
　以下の説明で、特に説明をしない場合、「平文」とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
　図４の円周群{Ｔ}における０～０．２５（１／４）、０．７５（３／４）～１の区間の平文を０のTLWE暗号文に変換し、０．２５（１／４）～０．７５（３／４）の区間の平文を０．２５（１／４）の暗号文に変換する。
　この変換の際、平文に付加される誤差は±１／１６の範囲のいずれかである。

(1)BlindRotate
　Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
　BlindRotateは、TRLWE暗号文を作成する工程である。
　BlindRotateでは、多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））から、Ｘ^{－φｓ（ｃ’）}を乗算したTRLWE暗号文を復号することなく得る。「０」は、０次の多項式０を示す。
　ここでφｓ（ｃ’）は、下記のLWE暗号文ｃ’を復号関数にかけた平文である。
　BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式Ｆ（Ｘ）
Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋…μＸ＋μ
ただし、μ＝１／８
にＸ^ｎ／２を掛けて得た下記の多項式Ｔ（Ｘ）
Ｔ（Ｘ）＝Ｆ（Ｘ）・Ｘ^ｎ／２
を用意する。

　平文μ１を秘密鍵[ｓ]で暗号化したTLWE暗号文ｃがあるとする。
　このTLWE暗号文ｃ＝（[ａ]，ｂ）の各要素を２ｎ倍して四捨五入したLWE暗号文ｃ’＝（[ａ’]，ｂ’）を得る。
　LWE暗号文ｃ’＝（[ａ’]，ｂ’）を復号すると、μ１’＝φ_ｓ（ｃ’）≒２ｎ×φ_ｓ（ｃ）＝２ｎμ１となる。ｎが大きくなるほど相対的に誤差は小さくなる。
　多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））を用意して、
Ａ_０＝Ｘ^－ｂ’×（０，Ｔ（Ｘ））＝（０，Ｘ^－ｂ’×Ｔ（Ｘ））とする。０は、０次の多項式０を示す。この時、ｂ’は整数であるため、累乗が自然に定義できる。
　以降、上記に説明したBootstrapping KeyであるＢＫ_ｉを用いて、順番にＡ_ｉ＝ＣＭｕｘ（ＢＫ_ｉ，Ａ_ｉ－１，Ｘ^ａ’ｉＡ_ｉ－１）を計算する。ここでも、ａ’ｉが整数になっているため、Ｘの累乗が自然に定義できる。

　そうすると、ｓ_ｉが０の時は、平文はそのまま変わらず、ｓ_ｉが１の時は、Ｘ^ａ’ｉが順番に乗算されていく。
　従って、

と繰り返すと、

となる。
　ここで、

は、復号関数φｓ（ｃ’）の符号を反転したものに等しいので、

となる。ここでφｓ’（Ａ_ｎ）は、多項式Ｔ（Ｘ）にＸ^－１をμ１’回乗算した多項式の暗号文である。

(2)SampleExtract
　(1)のBlindRotateで得たTRLWE暗号文Ａｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）を見ると、下位の項から数えてｎ／２－φ_ｓ（ｃ’）個分の項は係数が－μとなり、負になった場合、逆に上の項から順に係数が－μとなる。
　TRLWE暗号文Ａ_ｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）の定数項だけを見ると、φ_ｓ（ｃ’）がｎ／２以上３ｎ／２未満、すなわちφ_ｓ（ｃ）が１／２±１／４の場合、定数項はμとなる。それ以外、すなわちφｓ（ｃ）が±１／４の場合、定数項は－μとなる。
　SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎから、これを復号することなく平文多項式φ_ｓ’（Ａ_ｎ）の定数項の係数だけを取り出して、その結果、TLWE暗号文ｃｓを得るための処理である。

　TLWE暗号文ｃｓを得るための処理を説明する。
　全てのTRLWE暗号文は、次数をｎとして、

と多項式をおいて、（Ａ（Ｘ），Ｂ（Ｘ））と表現することができる。
　これを秘密鍵[ｓ’]で復号したとき、秘密鍵の多項式を

とおいて、

と展開することができる。

　これに対して下記の演算を行い、

を得る。
　「多項式環の剰余環」であるので（Ｘ^ｎ＋１）で割った余りを求めると、

が得られる。

　さらに、

とおくと、

となり、

から、平文多項式の各項の係数が求まる。
　そのうち必要なのは定数項の係数であるので、ｊ＝０の場合の係数を取り出すと、

が得られる。

とおくと、

のように、TLWE暗号の復号関数に変形することができる。

　つまり、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎ＝（Ａ（Ｘ），Ｂ（Ｘ））から、係数を

として取り出すと、元のTRLWE暗号文Ａ_ｎに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号（［ａ”］，ｂ_１）が得られた。この新しいTLWE暗号文は、平文として－μ又はμの２種類を有する。
　得られたTLWE暗号文に対して、平文がμとなる自明な暗号文（[０]，μ）を加えたTLWE暗号文ｃｓ＝（［ａ”］，ｂ_１）＋（[０]，μ）がSampleExtractの出力である。
　具体的には、テストベクタとしての多項式Ｆ（Ｘ）ではμ＝１／８であるので、この段階では、－１／８、１／８の暗号文が得られている。
　これに、平文がμ＝１／８となる自明なTLWE暗号文（[０]，１／８）を加えると、
－１／８＋１／８＝０
１／８＋１／８＝１／４
から、０、１／４の２値のうちいずれかの値を平文として持つ新たなTLWE暗号文ｃｓが得られた。以上の操作を、TFHEではSampleExtractと呼ぶ。

(3)キースイッチング
　(2)のSampleExtractで得られたTLWE暗号文ｃｓは、秘密鍵[ｓ]ではなく、秘密鍵[ｓ']で暗号化されている
　従って、TLWE暗号文ｃｓを復号することなく、TLWE暗号文ｃｓの鍵を秘密鍵[ｓ]に差し替え、秘密鍵[ｓ]で暗号化された状態に戻す必要がある。
　そのためキースイッチングの手法を説明する。
　NAND演算に用いるTLWE暗号文の秘密鍵[ｓ]はＮ次のベクトルであった。
　これを用い、Bootstrapping Keyを作成したときのｎ次のベクトルの秘密鍵[ｓ’]を暗号化する。
　すなわち、

と、円周群{Ｔ}の要素、０から１の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[ｓ]である。「桁数」ｔはシステムパラメータである。
　秘密鍵[ｓ]で復号すると、

となる。これが「キースイッチングキー」である。
　上記したように(2)で得られたTLWE暗号文ｃｓ＝（［ａ］，ｂ）は秘密鍵[ｓ’]で暗号化された０又は１／４の値である。[ａ]の要素数は、秘密鍵[ｓ’]と同じくｎ個である。
　これを一つずつ、夫々ｔビットの固定小数に変換すると、

の形式で書くことができる。
　この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
　キースイッチング本体の処理として、以下のTLWE暗号文ｃｘを計算する。

　（[０]，ｂ）の項は自明な暗号文なので、復号するとｂであり、TLWE暗号文ｃｘを復号した結果を計算すると、

である。
　ｓ’_ｉは、ｊに対して定数なのでくくりだして

とし、上記で固定小数に分解したときの式を代入する。

　その結果、

となって鍵の切り替えが成功したことになる。

　ここで得られたTLWE暗号文ｃｘは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[ｓ]で暗号化されている。
　キースイッチングの処理を行うことにより、秘密鍵[ｓ]で暗号化されたTLWE暗号文に戻っており、φ_ｓ（ｃ）が±１／４の範囲なら平文φ_ｓ（ｃｘ）は０に、φ_ｓ（ｃ）が１／２±１／４の範囲なら、平文φ_ｓ（ｃｘ）は１／４になっている。
　以上の処理により、Gate Bootstrappingの結果として、０、１／４の２値のうちのいずれかであって誤差が±１／１６以内のいずれかになるTLWE暗号文が得られた。
　誤差の最大値は、入力となるTLWE暗号文ｃに依存せず、システムパラメータによって固定された値となる。
　従って、誤差の最大値が入力となるTLWE暗号文と同じ±１／１６以内のいずれかの値となるように、システムパラメータを設定する。
　これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。

　Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、ＣＭｕｘで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±１／１６となるようにシステムパラメータを調整することができる。
　以上が、TFHEのGate Bootstrappingの処理である。

　上記に説明したTFHE暗号を扱う暗号処理装置１は、以下のような実施例に適用することができる。
　例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベース（以下、暗号データベース）に対して、カテゴリ（地区ごとの平均年齢など）ごとに集約したい場合がある。
　このとき暗号処理装置１は、暗号化データベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
　TFHEは決定性暗号ではないため、暗号化データベースでは、同一の平文に対して無数の暗号文が対応している。
　そのため、暗号化データベースをカテゴリごとに集約したい場合に、レコードをどのカテゴリとして集約すればよいのかわからない。
　下記に説明する手法によれば、暗号化データベースをカテゴリごとに分類した上で集約を行い、集約結果を高速にソート（入れ替え）することができる。

　本実施形態による集約結果のソート（入れ替え）手法により、値の大きい順（降順）や小さい順（昇順）に集約結果を並べた上で、クエリに応答することができる。
　本実施形態によるソート方法では、ソート（入れ替え）に用いる演算を高速化し、本実施形態のソート方法を用いない実装と比較して約２０％低いレイテンシでの応答が可能となる。

　本実施形態において、カテゴリごとに分類して集計（集約）を行うために、暗号処理装置１は、空の返答を予め作成する。
　そして、空の返答に対して暗号化したまま比較を行い、カテゴリが一致した場合にのみクエリのカラムを加え、一致しない場合には０を加える処理を繰り返すことでデータベースの集約を行う。

　集約結果のソートには、バブルソートを用いる。
　バブルソートは、隣り合うふたつの要素の値を比較し、値の大きい順（降順）、あるいは値の小さい順（昇順）に、要素を入れ替える整列アルゴリズムである。
　バブルソートは、平均計算時間がＯ（ｑ^２）と比較的遅いため、平文でソートを行う際にはあまり用いられない。
　しかしバブルソートは、最悪計算量Ｏ（ｑ^２）だけ処理を繰り返せば、必ずソートが完了する利点がある。またバブルソートは、クイックソートのようにデータの中身によって処理を変えることがないため、暗号文を暗号化したままの処理が可能である。
　さらに、バブルソートでは、比較を行い大小関係が逆であれば順序を入れ替える、という操作をデータ数ｑ－１の二乗回（（ｑ－１）^２）繰り返すが、比較は、引き算を行った際のボロービットで判断できる。
　暗号化されたレコードのバブルソートにおいて、隣り合う暗号化されたレコード同士の比較に関しては、完全準同型暗号の演算が可能な全加算器の構成を適用して実行することができる。
　完全準同型暗号の演算が可能な全加算器をソフトウェアで実装するとき、暗号文に対して論理回路（論理ゲート）を設計するイメージで演算を行う。
　全加算器回路は、２つの半加算器と１つのＯＲ回路部（ＯＲを得るための演算処理部）から構成される。
　第１半加算器は、ＡＮＤ回路部（ＡＮＤを得るための演算処理部）とＸＯＲ回路部（ＸＯＲを得るための演算処理部）を備える。
　第２半加算器は、ＡＮＤ回路部（ＡＮＤを得るための演算処理部）とＸＯＲ回路部（ＸＯＲを得るための演算処理部）を備える。
　加算される入力Ａと入力Ｂが第１半加算器のＡＮＤ回路部とＸＯＲ回路部に入力される。
　第１半加算器のＡＮＤ回路部の出力と、第２半加算器のＡＮＤ回路部の出力と、が後段のＯＲ回路部に入力され、ＯＲ回路部からは桁上げ出力（Carry out）が出力される。
　第１半加算器のＸＯＲ回路部からの出力と、桁上げ入力（Carry in）が第２半加算器のＡＮＤ回路部とＸＯＲ回路部に入力される。
　第２半加算器のＸＯＲ回路部からは、全加算器回路の出力（Sum）が出力される。
　バブルソートでは、この比較結果によって隣り合うレコードを入れ替えたり、あるいは入れ替えなかったりする処理を行う。
　TFHEの場合、図１でも説明した準同型ＭＵＸ（上記論文ではＨｏｍＭＵＸ）を用いた高速な条件付き入れ替え演算をバブルソートの処理に利用することもできる。

　本実施形態の暗号処理装置１による、暗合化されたデータベースの集約処理をより具体的に説明していく。
　図６は、暗号化データベースの一例を示す図である。
　図６に示す暗号化データベース６０は、例えば、情報処理装置１の記憶部２０に格納される。情報処理装置１は、暗号化データベース６０を管理し、外部装置からのクエリに応じて暗号化データベース６０に対する操作を行うデータベースサーバとして機能し得る。

　図６の暗号化データベース６０は、カラム６１、カラム６２、カラム６３を備えている。
　カラム６１には「名前」、カラム６２には「住所」、カラム６３には「年齢」が格納される。
　「名前」カラム６１の先頭フィールドには見出し「名前」が格納され、「住所」カラム６２の先頭フィールドには見出し「住所」が格納され、「年齢」カラム６３の先頭フィールドには、見出し「年齢」が格納されている。
　「名前」カラム６１、「住所」カラム６２、「年齢」カラム６３が備える夫々備える複数のフィールドに、データが登録されている。
　なお、図６に示す暗号化データベース６０には、説明の便宜上平文が表示されているが、実際には、暗号化データベース６０の全てのデータは全てTFHEで利用可能なTLWE暗号文である。
　また、下記の説明では、図６の暗号化データベース６０における見出しを表示する先頭行は行数に含めないものとする。実際に名前や住所、年齢を登録している暗号化データベース６０の２番目の行（名前フィールドに「鈴木太郎」）を１行目とし、３番目の行（名前フィールドに「佐藤たかし」）を２行目とし、以下同様とする。

　本実施形態において、情報処理装置１は、一例として、暗号化データベース６０に対して「住所」ごとの「平均年齢」を得るクエリを実行する。
　暗号化データベース６０の集約処理に当たって、本実施形態では、図７に示すような空の応答（空テーブル）を利用する。
　図７は、空の応答としてのテーブルの一例を示す図である。
　図７の空テーブル（ＴＢＬ）７０の各フィールドには、クエリのキーである「住所」と、集約処理で求めるべき「年齢の合計」、「人数」が格納される。
　空テーブル７０は、カラム７１、カラム７２、カラム７３を備えている。
　カラム７１には「住所」、カラム７２には「年齢の合計」、カラム７３には「人数」が格納される。
　「住所」カラム７１の先頭フィールドには見出し「住所」が格納され、「年齢の合計」カラム７２の先頭フィールドには見出し「年齢の合計」が格納され、「人数」カラム７３の先頭フィールドには、見出し「人数」が格納されている。

　上記のように、「住所」カラム７１の各フィールドには、図６の暗号化データベース６０の「住所」カラム６２に登録されるデータと同じ「住所」のデータが格納されている。本実施形態のクエリは、暗号化データベース６０において、少なくとも「住所」を格納する「住所」カラム６２にどのようなデータが登録されているかが既知であることを前提に実行されるのである。
　初期状態の空テーブル７０には、集約処理で求めるべき「年齢の合計」を格納する「年齢の合計」カラム７２と「人数」を格納する「人数」カラム７３の全てのフィールドに、「０」が登録されている。
　空テーブル７０の全てのデータは、TFHEの手法で暗号化されたTLWE暗号文である。
　なお、空テーブル７０の作成とその暗号化の作業は、クエリを投げるすなわち検索要求を行う端末装置側で行ってもよいし、暗号化データベース６０を管理する暗号処理装置１側で行ってもよい。

　暗号処理装置１は、暗号化データベース６０（図６）の「住所」カラム６２の特定の行（レコード）に登録される住所データに対して、空テーブル７０（図７）の「住所」カラム７１の全ての行に登録される住所データを順次比較する。
　住所データの同士の比較は、文字列データの比較である。暗号化データベース６０の住所データと空テーブル７０の一の住所データとを比較する際、暗号処理装置１は、暗号化データベース６０及び空テーブル７０の住所データの同じ位置のビット同士に対し、TFHEによるビット演算のＥＸＮＯＲを実行する。
　詳しくは、暗号処理装置１は、暗号化データベース６０の住所データと空テーブル７０の住所データの１ビット目同士、２ビット目同士、３ビット目同士・・のＥＸＮＯＲを行う。
　ＥＸＮＯＲでは、一致するビットは「１」となり異なるビットは「０」となる。暗号処理装置１は、ＥＸＮＯＲの結果同士をＡＮＤで集約する。
　暗号化データベース６０と空テーブル７０の住所データが完全に一致していれば集約結果として「１」の暗号文が得られ、一部でも一致していなければ「０」の暗号文が得られる。
　すなわち、暗号処理装置１は、暗号化データベース６０の住所データと空テーブル７０の住所データとを夫々ａｉ，ｂｉ（ｉは文字列データのビット単位での位置）としたときに、ｃｒ＝（ａ０　ＥＸＮＯＲ　ｂ０）ＡＮＤ（ａ１　ＥＸＮＯＲ　ｂ１）ＡＮＤ・・・を計算する。

　計算の結果得られるｃｒは暗号化データベース６０の住所データと空テーブル７０の住所データの比較結果である。
　両データが完全に一致、すなわち同じ住所であれば、比較結果ｃｒの平文はビットとして「１」となり、一致していなければ比較結果ｃｒの平文はビット「０」である。

　次に暗号処理装置１は、暗号化データベース６０の「年齢」カラム６３のフィールドに格納されるビット値に対して、対応する住所に関する上記比較結果ｃｒ（平文がビットとして「１」又は「０」の暗号文）を準同型ＡＮＤ（上記論文ではＨｏｍＡＮＤ）処理する。
　その結果、住所が一致している場合（比較結果ｃｒの平文がビットとして「１」の場合）には、対応する「年齢」が得られ、住所が異なる場合（比較結果ｃｒの平文がビット「０」の場合）には、「０」が得られる。
　暗号処理装置１は、空テーブル７０の「住所」カラム７１の全ての住所フィールドのデータに対して同様の演算を行う。

　暗号処理装置１は、比較を行った住所に対応する空テーブル７０の「年齢の合計」カラム７２のフィールドに、得られた「年齢」の値（暗号文）を加算する。
　このとき暗号化データベース６０と一致していた住所に対応する空テーブル７０の「年齢の合計」カラム７２のフィールドには、得られた「年齢」の値（暗号文）が加算されている。暗号化データベース６０と一致していなかった住所に対応する「年齢の合計」カラム７２のフィールドに「０」が加算されている。

　すなわち、暗号処理装置１は、空テーブル７０の値と暗号化データベース６０の値を比較し、比較結果ｃｒを得る。そして暗号処理装置１は、暗号化データベース６０の値と比較結果ｃｒ（平文がビット「１」又は「０」の暗号文）のＡＮＤをとってから加算する。このとき、空テーブル７０の値と暗号化データベース６０の値が一致していた場合には暗号化データベースの値が、異なっていた場合には０が、空テーブル７０に加算されている。
　また暗号処理装置１は、比較を行った住所に対応する空テーブル７０の「人数」カラム７３のフィールドに、得られた「人数」の値（暗号文）を加算する。
　このとき暗号化データベース６０と一致していた住所に対応する空テーブル７０の「人数」カラム７３のフィールドに、比較結果ｃｒ（平文がビット「１」の暗号文）が加算されている。また暗号化データベース６０と一致していなかった住所に対応する空テーブル７０の「人数」カラム７３のフィールドには、比較結果ｃｒ（平文がビット「０」の暗号文）が加算されている。
　以上の処理を、暗号化データベース６０の全ての行に対して行うと、最終的に、図８に示す、「年齢の合計」と人数とを住所ごとに集計した集約結果テーブル８０が得られる。

　なお、上記の比較結果ｃｒは、暗号化された状態で得られており、暗号処理装置１は、比較結果ｃｒの平文を知ることはない。すなわち、暗号処理装置１は、暗号化データベース６０の住所データと空テーブル７０の住所データとが一致しているか否かが分からない。
　上記のように暗号処理装置１は、比較結果ｃｒの平文がビット「１」と「０」の何れであっても、暗号化データベース６０の値と比較結果ｃｒの準同型ＡＮＤ（ＨｏｍＡＮＤ）をとることによる加算処理を行う。
　暗号処理装置１は、暗号化データベース６０の住所データと空テーブル７０の住所データが一致しているか否かによって処理を分岐することはない。

　より具体的に、暗号化データベースの集約処理を説明する。
　例えば暗号処理装置１は、暗号化データベース６０の１行目のレコード（名前：鈴木太郎、住所：千代田区、年齢：４６）の住所フィールドのデータと、空テーブル７０の住所フィールドの各データ（千代田区、港区、台東区）と、に対してビットごとのＥＸＮＯＲとＡＮＤによる集計を行う。
　この場合、空テーブル７０の「千代田区」について、比較結果としての平文がビット「１」の暗号文が得られる。
　従って、暗号処理装置１は、暗号化データベース６０の１行目のレコードにおける年齢フィールドの値に比較結果ｃｒ（平文がビット「１」）をＡＮＤして得た「４６」を、空テーブル７０の千代田区に該当する行の年齢の合計フィールドに加算し、空テーブル７０の千代田区に該当する行の人数フィールドに１（比較結果としての平文がビット「１」の暗号文）を加算する。「千代田区」以外の他の住所は、比較結果が、平文がビット「０」の暗号文となるので、該当する行の年齢の合計フィールド、人数フィールドには０が加算される。

　次に、暗号処理装置１は、暗号化データベース６０の２行目のレコード（名前：佐藤たかし、住所：港区、年齢：５０）の住所フィールドのデータと、空テーブル７０の住所フィールドの各データ（千代田区、港区、台東区）と、に対してビットごとのＥＸＮＯＲとＡＮＤによる集計を行う。
　この場合、空テーブル７０の「港区」について比較結果としてビット「１」の暗号文が得られる。
　従って、暗号処理装置１は、暗号化データベース６０の２行目のレコードにおける年齢フィールドの値に比較結果ｃｒ（平文がビット「１」）をＡＮＤして得た「５０」を、空テーブル７０の港区に該当する行の年齢の合計フィールドに加算し、空テーブル７０の港区に該当する行の人数フィールドに１（比較結果としての平文がビット「１」の暗号文）を加算する。「港区」以外の他の住所は、比較結果が、平文がビット「０」の暗号文となるので、該当する行の年齢の合計フィールド、人数フィールドには０が加算される。

　次に、暗号処理装置１は、暗号化データベース６０の３行目のレコード（名前：田中次郎、住所：千代田区、年齢：３４）の住所フィールドのデータと、空テーブル７０の住所フィールドの各データ（千代田区、港区、台東区）と、に対してビットごとのＥＸＮＯＲとＡＮＤによる集計を行う。
　この場合、空テーブル７０の「千代田区」について比較結果としてビット「１」の暗号文が得られる。
　従って、暗号処理装置１は、暗号化データベース６０の３行目のレコードにおける年齢フィールドの値に比較結果ｃｒ（平文がビット「１」）をＡＮＤして得た「３４」を、空テーブル７０の千代田区に該当する行の年齢の合計フィールドに加算し、空テーブル７０の千代田区に該当する行の人数フィールドに１（比較結果としての平文がビット「１」の暗号文）を加算する。「千代田区」以外の他の住所は、比較結果が、平文がビット「０」の暗号文となるので、該当する行の年齢の合計フィールド、人数フィールドには０が加算される。

　次に、暗号処理装置１は、暗号化データベース６０の４行目のレコード（名前：吉川幸次、住所：台東区、年齢：５８）の住所フィールドのデータと、空テーブル７０の住所フィールドの各データ（千代田区、港区、台東区）と、に対してビットごとのＥＸＮＯＲとＡＮＤによる集計を行う。
　この場合、空テーブル７０の「台東区」について比較結果としてビット「１」の暗号文が得られる。
　従って、暗号処理装置１は、暗号化データベース６０の４行目のレコードにおける年齢フィールドの値に比較結果ｃｒ（平文がビット「１」）をＡＮＤして得た「５８」を、空テーブル７０の台東区に該当する行の年齢の合計フィールドに加算し、空テーブル７０の台東区に該当する行の人数フィールドに１（比較結果としての平文がビット「１」の暗号文）を加算する。
　「台東区」以外の他の住所は、比較結果が、平文がビット「０」の暗号文となるので、該当する行の年齢の合計フィールド、人数フィールドには０が加算される。

　次に、暗号処理装置１は、暗号化データベース６０の５行目のレコード（名前：武田定宗、住所：港区、年齢：４３）の住所フィールドのデータと、空テーブル７０の住所フィールドの各データ（千代田区、港区、台東区）と、に対してビットごとのＥＸＮＯＲとＡＮＤによる集計を行う。
　この場合、空テーブル７０の「港区」について比較結果としてビット「１」の暗号文が得られる。
　従って、暗号処理装置１は、暗号化データベース６０の５行目のレコードにおける年齢フィールドの値に比較結果ｃｒ（平文がビット「１」）をＡＮＤして得た「４３」を、空テーブル７０の港区に該当する行の年齢の合計フィールドに加算し、空テーブル７０の港区に該当する行の人数フィールドに１（比較結果としての平文がビット「１」の暗号文）を加算する。
　「港区」以外の他の住所は、比較結果が、平文がビット「０」の暗号文となるので、該当する行の年齢の合計フィールド、人数フィールドには０が加算される。
　これを全てのレコードについて実行することで、図８に示す集約結果テーブル８０を得ることができる。
　上記の説明では、空テーブル７０の住所フィールドとの比較と年齢の合計及び人数の集計は、暗号化データベース６０の行ごとに順次行っている。
　それに限らず、「住所」カラム６２の住所データと空テーブル７０の住所データとの比較をまとめて実行して、空テーブル７０の住所レコードに対応する暗号化データベース６０の行を記憶しておき、年齢の合計及び人数の集計はあとで一括して行っても良い。逆に、空テーブル７０の行ごとに、順次暗号化データベース６０の住所フィールドとの比較を行ってもよい。
　空テーブル７０の住所フィールドと一致した住所について年齢を得て、住所ごとに人数と年齢を合算して、「年齢の合計」カラム７２、「人数」カラム７３に格納する点で違いはない。

　図８は、集約結果テーブルの一例を示す図である。
　図８に示す集約結果テーブル８０の各フィールドには、「住所」と、集約処理結果としての「年齢の合計」、集約処理結果としての「人数」が格納される。
　空テーブル７０は、カラム７１、カラム７２、カラム７３を備えている。
　カラム８１には「住所」、カラム８２には「年齢の合計」、カラム８３には「人数」が格納される。
　「住所」カラム８１の先頭フィールドには見出し「住所」が格納され、「年齢の合計」カラム８２の先頭フィールドには見出し「年齢の合計」が格納され、「人数」カラム８３の先頭フィールドには、見出し「人数」が格納されている。

　図８の集約結果テーブル８０に基づいて、「住所」カラム８１に格納される各住所について、「年齢の合計」カラム８２に格納される対応する「年齢の合計」を「人数」カラム８３に格納される対応する「人数」で割ることにより、住所ごとの「平均年齢」を得ることができる。
　集約結果テーブル８０に格納される「年齢の合計」と「人数」は何れもBit-wise形式のTLWE暗号文である。
　「平均年齢」を求めるための割り算は、論理演算を用いた２進数の割算（除算）を行う既知の方法を用いて実現することができる。
　暗号化データベース６０の集約後、「平均年齢」カラムを集約結果テーブル８０の一部として追加して、「平均年齢」カラムにおける各住所との対応フィールドに「平均年齢」の暗号文を書き込んでもよい。
　その場合、「平均年齢」に基づいて「住所」を条件付き入れ替えするときに、「平均年齢」も入れ替えることができる。

　図９は、暗号処理装置による暗号化データベース集約処理の流れを説明するフローチャートである。
　図９に示す処理は、暗号処理装置１（受付部１１）が、外部装置から暗号化データベースを集約してソートをするクエリを受け付けたときに行われる処理である。
　暗号処理装置１（集約部）は、ステップＳ１０１において、変数ｍに暗号化データベース６０の行数、すなわちレコード数を代入し、変数ｐに１を代入して初期化する。

　暗号処理装置１（集約部）は、ステップＳ１０２において、暗号化データベース６０のｐ行目の住所データと、空テーブル７０の全ての住所データと、を夫々比較する。すなわち、上記に説明したように、暗号化データベース６０の住所データと、空テーブル７０の住所データをａｉ，ｂｉ（ｉは文字列データのビット単位での位置）としたときに、比較結果ｃｒ＝（ａ０　ＥＸＮＯＲ　ｂ０）ＡＮＤ（ａ１　ＥＸＮＯＲ　ｂ１）ＡＮＤ…を計算する。
　住所データが完全に一致すると比較結果ｃｒはビット「１」の暗号文となり、住所データが異なると比較結果ｃｒはビット「０」の暗号文となる。

　暗号処理装置１（集約部）は、ステップＳ１０３において、比較結果ｃｒ（平文がビット「１」又は「０」の暗号文）を住所データに対応する暗号化データベース６０における「年齢」にＡＮＤする。
　比較結果ｃｒの平文がビット「１」の場合年齢が得られ、これが空テーブル７０の年齢の合計フィールドに加算される。
　比較結果ｃｒの平文がビット「０」の場合は０が得られ、これが空テーブル７０の年齢の合計フィールドに加算される。
　すなわち、暗号処理装置１（集約部）は、暗号化データベース６０の年齢をａｒ、空テーブル７０の年齢の合計をｂｒとしたとき、比較結果ｃｒを用いて、ｂｒ＋（ｃｒ　ＡＮＤ　ａｒ）を計算する。加算処理は、例えば、上記に説明した全加算器によって行うことができる。

　そして、暗号処理装置１（集約部）は、ステップＳ１０４において、比較結果ｃｒ（ビット「１」又は「０」の暗号文）を住所データに対応する空テーブル７０における「人数」にＡＮＤする。
　比較結果ｃｒの平文がビット「１」の場合、空テーブル７０の人数フィールドに１が加算される。
　比較結果ｃｒの平文がビット「０」の場合、空テーブル７０の人数フィールドに０が加算される。
　暗号処理装置（集約部）１は、空テーブル７０の人数をｄｒとしたとき、上記ｃｒを用いてｄｒ＋ｃｒを計算して人数を得る。加算処理は、例えば、上記に説明した全加算器によって行うことができる。比較結果ｃｒは１ｂｉｔ幅の整数を暗号化したものとして加算される。

　暗号処理装置１（集約部）は、ステップＳ１０５において、ｐ＝ｍであるか、すなわち暗号化データベース６０の全ての行（レコード）について集約を終えたか否かを判定する。
　ｐ＝ｍでない場合（ステップＳ１０５でＮｏ）、暗号処理装置１は、ステップＳ１０７において、変数ｐにｐ＋１を代入してインクリメントし、ステップＳ１０２に処理を戻す。
　ｐ＝ｍである場合（ステップＳ１０５でＹｅｓ）、暗号処理装置１（集約部）は、図８の集約結果テーブル８０を完成し、暗号化データベース集約処理を終了する。

　この集約結果を、平均年齢が高い方から低い方にソートすることを考える。上記のようにバブルソートを用いると、暗号化したままのソート処理が可能である。
　バブルソートでは、比較結果によって隣り合うデータを入れ替えたり入れ替えなかったりする処理を行う。
　バブルソートの性質として、ｑ行のテーブルをソートする際に（ｑ－１）^２回比較と入れ替えを繰り返すと、必ず完全にテーブルを降順又は昇順にソートする（入れ替える）ことができる。ここでの（ｑ－１）^２回の計算を最悪計算量と呼ぶ。
　バブルソートは最悪計算量だけ計算を行えばソートが完了するので、暗号文のソートに好適であるが、同様の性質を有する方法であればバブルソートに限定することなく、別のソート方法を採用してもよい。
　バブルソートは、比較をして入れ替えることを繰り返すのみであるので、暗号文の中身（平文）が分からずともソート処理ができることが利点である。

　一例として、ＨｏｍＭＵＸ（準同型ＭＵＸ）演算を利用してソート処理を行うことができる。これは、図１で説明した処理である。
　以下の手順（１）～（５）からなる処理を集約結果テーブル８０（図８）の行数分繰り返すことで、平均年齢を基準にした集約結果テーブル８０の行のソートが可能である。
　下記の説明において、図８の集約結果テーブル８０における見出しを表示する先頭行は行数に含めないものとする。実際に住所、年齢の合計、人数を登録している集約結果テーブル８０の２番目の行（住所フィールドに「千代田区」）を１行目とし、３番目の行（名前フィールドに「港区」）を２行目とし、以下同様とする。

　ｉ行目の「年齢の合計」カラム８２の値と「人数」カラム８３の値に基づく平均年齢の値（データ）を暗号文ａｖとする。またｉ－１行目の「年齢の合計」カラム８２の値と「人数」カラム８３の値に基づく「平均年齢」を暗号文ｂｖとする。
　暗号文ａｖ、暗号文ｂｖは、条件付き入れ替えの基準となる「平均年齢」を示す暗号文である。
　条件付き入れ替えの対象となる「住所」、「年齢の合計」、「人数」に関して、ｉ行目のデータの任意のビットを暗号文ａｚとし、ｉ－１行目のデータの同じ位置のビットを暗号文ｂｚとする。
　新しいｉ行目のデータを暗号文ａｚ’とし、新しいｉ－１行目のデータを暗号文ｂｚ’とする。
　ｉ－１行目の「平均年齢」がｉ行目の「平均年齢」より大きければ暗号文ａｚ’と暗号文ａｚの平文を同じくし、暗号文ｂｚ’と暗号文ｂｚの平文を同じくする。そうでなければ暗号文ａｚ’と暗号文ｂｚ、暗号文ｂｚ’と暗号文ａｚの平文を同じくする。

　図８の集約結果テーブル８０では、データ行数が３行（ｑ＝３）のみであるが、より行数が多い場合でも同じ処理方法で対応することができる。
　本実施形態のバブルソートでは、隣接するｉ行目のデータとｉ－１行目のデータを比較して大小によって入れ替える。
　ｉ行目のデータとｉ－１行目との比較を行うので、ｉ＝２行目を初期値として比較を行っていく。

　まず、２行目の港区（ｉ＝２）の平均年齢４６．５（暗号文ａｖ）と、１行目の千代田区（ｉ－１＝１）の平均年齢４０（暗号文ｂｖ）と、を比較する。
　このとき、２行目（ｉ＝２）の暗号文ａｖ、１行目（ｉ－１＝１）の暗号文ｂｖについて減算を行って得たボロービットｃｚと、暗号文ａｚ及び暗号文ｂｚとによってＭＵＸ演算２回を行い、新たな暗号文ａｚ’、暗号文ｂｚ’を算出する。
　図８の場合、千代田区の平均年齢（４０）＜港区の平均年齢（４６．５）であり、ｉ行目とｉ－１行目のレコードが入れ替わり、下記に示すように港区が１行目、千代田区が２行目となる。

　次に、３行目の台東区（ｉ＝３）の平均年齢５８（暗号文ａｖ）と、２行目の千代田区（ｉ－１＝２）の平均年齢４０（暗号文ｂｖ）と、を比較する。
　このとき、３行目（ｉ＝３）の暗号文ａｚ、２行目（ｉ－１＝２）の暗号文ｂｚについて減算を行って得たボロービットｃｚ、暗号文ａｚ及び暗号文ｂｚによってＭＵＸ演算２回を行い、新たな暗号文ａｚ’、暗号文ｂｚ’を算出する。

　図８の場合、千代田区の平均年齢（４０）＜台東区の平均年齢（５８）であり、ｉ行目とｉ－１行目のレコードが入れ替わり、下記に示すように、台東区が２行目、千代田区が３行目となる。

　全ての行数（ｑ行目）まで比較と入れ替えが済んだ結果、最も平均年齢が少ない千代田区が集約結果テーブル８０の最も下に位置している。
　上記と同じ処理を、行数分繰り返す。
　なお上記は「住所」についてのソートであり、「年齢の合計」、「人数」についても、ボロービットｃｚを用いて同様の処理を行うことで、集約結果テーブル８０全体をソートすることが出来る。

　上記をまとめると、以下の処理を行う。
手順（１）：ｉ＝２として初期化する。
手順（２）：暗号文ｂｖ－暗号文ａｖのボロービットを暗号文ｃｚとする。
手順（３）：暗号文ａｚ’を、全ビットに対する後述するＨｏｍＭＵＸ（ｃｚ，ａｚ，ｂｚ）とする。
手順（４）：暗号文ｂｚ’を、全ビットに対するＨｏｍＭＵＸ（ｃｚ，ｂｚ，ａｚ）とする。
　すなわち、手順（３）、手順（４）では、
暗号文ａｚ’＝ＨｏｍＭＵＸ（ｃｚ，ａｚ，ｂｚ）
暗号文ｂｚ’＝ＨｏｍＭＵＸ（ｃｚ，ｂｚ，ａｚ）
を、演算する。
　暗号文ｃｚの平文が１の場合は暗号文ａｚの平文＝暗号文ｂｚ’の平文、暗号文ｂｚの平文＝暗号文ａｚ’の平文であり、平文として、ｉ行目とｉ－１行目のレコードは元の順序から入れ替わっている。
　暗号文ｃｚの平文が０の場合は暗号文ａｚの平文＝暗号文ａｚ’の平文、暗号文ｂｚ＝暗号文ｂｚ’であり、平文として、ｉ行目とｉ－１行目のレコードは元の順序から入れ替わっていない。
手順（５）：ｉの値を１増やし、手順（２）に戻る。

　以上の手順を、ｉの値が集約結果テーブル８０の行数ｑと等しくなるまで繰り返す。
　これによって、最も大きな（小さな）レコードが集約結果テーブル８０の最終行に浮かび上がってくる。
　手順（１）～（５）を行数ｑ－１分繰り返し、バブルソートが終了する。
　これによって、暗号化したまま、平均年齢を基準にした集約結果テーブル８０のソート（バブルソート）が可能である。
　条件付き入れ替えの対象となる「住所」、「年齢の合計」、「人数」の各カラムのデータについて、手順（１）～（５）を繰り返す処理を行うことにより、集約結果テーブル８０全体をソートすることが出来る。

　手順（２）～（４）の処理は、例えば、上記に説明した全加算器と、上記論文に記載のＨｏｍＭＵＸによって行うことができる。
　ＨｏｍＭＵＸについて簡単に解説する。図１で説明したＭＵＸ演算では、１つのビットｃ_０によって、２つのビットｄ_０／ｄ_１を選択する論理演算は（ｃ_０　ＡＮＤ　ｄ_１）ＯＲ（（ＮＯＴ　ｃ_０）　ＡＮＤ　ｄ_０）である。ビットｃ_０は図１における暗号文ｃｚ、２つのビットｄ_０／ｄ_１は暗号文ａｚ／ｂｚまたは暗号文ｂｚ／ａｚである。
　ＮＯＴにGate Bootstrappingは不要なため、ＡＮＤ演算部２つとＯＲ演算部１つで、３Gate Bootstrappingを使用するのが、自然な実装である。図１について説明したように、ＮＯＴ回路部５５にGate Bootstrappingは不要であるので、ＡＮＤ回路部、ＯＲ回路部の準同型演算の後段で、夫々Gate Bootstrappingを行う必要がある。
　従って、図１における暗号文ａｚ、ｂｚから新たな暗号文ａｚ’を演算するためのＭＵＸ演算部５１、５２が備える２つのＡＮＤ回路部５３、５４と１つのＯＲ回路部５５において、夫々３回のGate Bootstrappingを行う必要がある。
　１回のマルチプレクサの処理で３回のGate Bootstrappingを行い、それを２回行うので、必要な並び替えを行うためには膨大な演算時間を要する。
　上記論文では、これを改良したＨｏｍＭＵＸを提案している。
　このＨｏｍＭＵＸでは、左辺（ｃ_０　ＡＮＤ　ｄ_１）と右辺（（ＮＯＴ　ｃ_０）　ＡＮＤ　ｄ_０）のGate Bootstrappingを、キースイッチングの手前（SampleExtractの後）まで行い、それぞれがｓ’を秘密鍵とするTLWE暗号文となっている状態で加算する。
　ＯＲの左辺と右辺は同時に１／４になることがないため、左辺のTLWE暗号文（秘密鍵はｓ’）と右辺のTLWE暗号文（秘密鍵はｓ’）の和は、０もしくは１／４であり、秘密鍵はｓ’のTLWE暗号文となる。それからキースイッチングを行うことでｓを秘密鍵とするTLWE暗号文にする。
　これは、SampleExtractまでで付与される誤差は、キースイッチングで付与される誤差に比べてはるかに（１桁以上）小さいために可能なことである。キースイッチングの前の加算で誤差が２倍になるが、それでもキースイッチングによる誤差よりもはるかに小さいため無視することができる。

　なお、この方法によるバブルソートでは、暗号処理装置は、手順（２）において、２つの行の順序があっているかを知るために引き算を１回行う。
　手順（２）の結果、必要な入れ替えを行うために、手順（３）、（４）において、ＴＨＦＥのマルチプレクサ（ＨｏｍＭＵＸ）演算を１回の比較につき２回行う。ＭＵＸ演算１回につきGate Bootstrappingを２回行う場合と同じだけの処理時間を要するため、ＭＵＸ演算２回ではBlindRotate４回分（４ゲート分）の計算時間を要する。
　これは、上記の例（ＭＵＸ演算１回につきGate Bootstrappingを３回）と比較すると少ない。しかしながら、ｑ行全てに入れ替えに関しては、引き算を（ｑ－１）^２回行い、ＭＵＸ演算式を２（ｑ－１）^２回行うため、必要なソートを全て行うためには膨大な処理時間がかかることになる。

　そこで、本実施形態では、１回の入れ替えに関して、２回のＭＵＸを行う上記手順のうち、手順（３）及び手順（４）を他の手順で置き換えることで、ＭＵＸ演算２回分の処理を高速化し、ソートを高速にする。
　具体的には、テストベクタ多項式を改良し、且つ１回のBlindRotateの後でSampleExtractを２回行って２種類の暗号文を取り出すことにより、３ゲート分（Gate Bootstrapping３回分）の処理時間で、１回の入れ替えを行うことができる。ＭＵＸ演算を用いる場合と比べて単純計算で３÷４＝７５％となり理論上約２５％の高速化が見込め、実装では約２１％の高速化が確認された。

　下記に詳しく説明する。
　バブルソートについての基本的な考え方は上記のＭＵＸ演算を用いる場合と同じである。暗号文ａｚ、暗号文ｂｚから暗号文ａｚ’、暗号文ｂｚ’を算出する方法が異なる。
　まず、ＭＵＸ演算を用いる場合と同様に、「年齢の合計」カラム８２の値と「人数」カラム８３の値に基づいて、集約結果テーブル８０（図８）の各行の平均年齢を演算する。
　各行の平均年齢の演算は、例えば上記に説明した全加算器によって行うことができる。
　すなわち、ｉ行目の「平均年齢」を示すデータの任意のビットを暗号文ａｖとし、ｉ－１行目の「平均年齢」示すデータの同じ位置のビットを暗号文ｂｖとする。
　暗号文ａｖ、暗号文ｂｖは、条件付き入れ替えの基準となる「平均年齢」を示す暗号文である。
　条件付き入れ替えの対象となる「住所」、「年齢の合計」、「人数」に関して、ｉ行目のデータの任意のビットを暗号文ａｚとし、ｉ－１行目のデータの同じ位置のビットを暗号文ｂｚとする。
　新しいｉ行目のデータを暗号文ａｚ’とし、新しいｉ－１行目のデータを暗号文ｂｚ’とする。
　ｉ－１行目の「平均年齢」がｉ行目の「平均年齢」より大きければ暗号文ａｚ’と暗号文ａｚの平文を同じくし、暗号文ｂｚ’と暗号文ｂｚの平文を同じくする。そうでなければ暗号文ａｚ’と暗号文ｂｚ、暗号文ｂｚ’と暗号文ａｚの平文を同じくする。
　TLWE暗号文ａｚ、TLWE暗号文ｂｚ、さらに下記のTLWE暗号文ｃｚは、上記論文通り、ビット「０」の場合は平文として０±１／１６とし、ビット「１」の場合は１／４±１／１６とする。

　下記の手順（１１）～（１４）によって平均年齢を基準にした集約結果テーブル８０のレコードのソートが可能である。
手順（１１）：ｉ＝２とする。上記したように、集約結果テーブル８０における見出しを表示する先頭行は行数に含めないものとする。実際に住所、年齢の合計、人数を登録している集約結果テーブル８０の２番目の行（住所フィールドに「千代田区」）を１行目とし、３番目の行（名前フィールドに「港区」）を２行目とし、以下同様とする。
手順（１２）：条件付き入れ替えの基準となる平均年齢の暗号文ｂｖ－暗号文ａｖのボロービット（繰り下がり）を暗号文ｃｚとする。
手順（１３）：下記に説明するソート処理を行う。
手順（１４）：ｉの値を１増やし、手順（１２）に戻る。

　ｉの値をインクリメントしながら、手順（１１）～（１４）からなる処理を集約結果テーブル８０（図８）の行数分繰り返すことで、最も大きな（小さな）値がリストの端に浮かび上がるかたちとなる。
　手順（１１）～（１４）をレコードの数（見出しを除く行数分）－１だけ繰り返すことにより、集約結果テーブル８０の全てレコードを基準となる「平均年齢」に基づいて降順又は昇順に入れ替えることができる。
　条件付き入れ替えの対象となる「住所」、「年齢の合計」、「人数」の各カラムのデータについて、手順（１２）～（１４）を繰り返す処理を行うことにより、集約結果テーブル８０全体をソートすることが出来る。
　集約結果テーブル８０（図８）のレコード数は３つなので、最悪の場合、手順（１２）、（１３）のソート処理を２回行い、それをさらに２回繰り返し、合計４回行う（最悪計算量（ｑ－１）^２→２^２）。
　バブルソートはＯ（ｑ^２）であるが、実際の計算量は（ｑ－１）^２である。（ｑ－１）^２＝ｑ^２－２ｑ＋１なので、Ｏ（（ｑ－１）^２）＝Ｏ（ｑ^２）となる。
　手順（１２）の演算も、全部で（ｑ－１）^２回（ｑ＝レコード数）行う。これも上記に説明した全加算器によって行うことができる。

　手順（１３）におけるソート処理は、下記の３つのステップによって実行する。
［第１のステップ］
　まず、暗号処理装置１は、ａｚ＋ｃｚ－（０，１／８）を計算し、上記論文に記載のGate Bootstrapping（１回目）を行う。
　上記論文では、BlindRotateにおけるテストベクタとして、
Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２・・・＋μＸ＋μ
ただし、μ＝１／８を用いていた。
　それに対して、暗号処理装置１は、Gate BootstrappingのBlindRotateにおけるテストベクタとして、
Ｔ１（Ｘ）＝μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２を用いる。なお、μ_１＝０、μ_２＝１／２とする。
　こうすると、SampleExtract直後の段階で、暗号文ａｚと暗号文ｃｚの平文ビットが異なる場合は１／２が得られ、暗号文ａｚと暗号文ｃｚがともに０もしくは１ならば、０が得られる。上記論文ではここに（０，１／８）を足しているが、何も加えないこととする。以降は上記論文と同様にキースイッチングを行う。すると、０もしくは１／２の暗号文で、誤差は±１／１６のTLWE暗号文ｔｚが得られる。

　図１０は、第１のステップのGate Bootstrappingの動作を説明する図である。
　上記論文と同様のキースイッチングを行うと、図１０に示すように、０から０．２５（１／４）の区間が１／２となり、０．２５（１／４）から０．５（１／２）の区間、０．７５（３／４）から１の区間は０となる。
　結果的に、第１のステップでは、平文として１／２と０の２種類の値を取り得、誤差が±１／１６であるTLWE暗号文ｔｚが得られる。
　TLWE暗号文ｃｚの値とTLWE暗号文ａｚの値が異なるときTLWE暗号文ｔｚの平文は１／２であり、TLWE暗号文ｃｚの値とTLWE暗号文ａｚの値が同じ（ともに０もしくは１）ときTLWE暗号文ｔｚの平文は０である。このような一時暗号文ｔｚを得るのが、第１のステップである。

［第２のステップ］
　次に、暗号処理装置１は、ｔｚ＋ｂｚ－（０，１／８）を計算し、Gate Bootstrapping（２回目）を行う。
　上記と同様に、暗号処理装置１は、Gate BootstrappingのBlindRotateにおけるテストベクタとして、
Ｔ１（Ｘ）＝μ_１Ｘ^ｎ－１＋μ_１Ｘ^ｎ－２＋…μ_１Ｘ^{（ｎ／２）}＋μ_２Ｘ^{（ｎ／２）－１}＋…μ_２Ｘ＋μ_２
を用いる。今回はμ_１＝５／８、μ_２＝１／８とする。上記論文ではここで（０，１／８）を足しているが、本実施形態では何も加えない。

　図１１は、第２のステップのGate Bootstrappingの動作を説明する図である。
　Gate Bootstrappingの結果、図１１に示すように、０から０．２５（１／４）の範囲が１／８となり、０．２５（１／４）から０．５（１／２）の範囲が５／８となる。
　これらは、テストベクタにおいてμ_１＝５／８、μ_２＝１／８として指定した値がそのまま出ている。
　０．５（１／２）から０．７５（３／４）の範囲が７／８となる。０．５（１／２）から０．７５（３／４）の範囲には０から０．２５（１／４）の範囲の負の値が出てくるので－１／８となり、－１／８は円周群{Ｔ}上では７／８に相当するからである。
　０．７５（３／４）から１の範囲は３／８となる。０．７５（３／４）から１の範囲には０．２５（１／４）から０．５（１／２）の範囲の負の値が出てくるので－５／８となり、－５／８は円周群{Ｔ}上では３／８に相当するからである。
　第２のステップでは、平文として１／８、３／８、５／８、７／８の４種類の値を有する一時暗号文ｕｚが得られる。

［第３のステップ］
　次に、暗号処理装置１は、（０，１／４）－ｕｚ＋ｃｚを計算し、計算結果として１／８、３／８、５／８、７／８を得る。そして、これらの値に対して上記論文通りのGate Bootstrapping（３回目）を行う。
　図１２は、第３のステップのGate Bootstrappingの動作を説明する図である。
　３回目のGate Bootstrappingにおいて、暗号処理装置１は、異なるサンプリング位置でSampleExtractを２回行う。
　まず、０の位置でSampleExtract(0)を行ってキースイッチングを行うと、図１２（ａ）に示すような１／８と７／８の２種類の値が得られる。

　図１２（ａ）における０から０．２５（１／４）の範囲が７／８となり、０．２５（１／４）から０．５（１／２）の範囲が１／８となる。
　０．５（１／２）から０．７５（３／４）の範囲は、０から０．２５（１／４）の範囲の負の値が出てくるので－７／８の暗号文となり、－７／８は円周群{Ｔ}上では１／８に相当する。
　０．７５（３／４）から１の範囲は、０．２５（１／４）から０．５（１／２）の範囲の負の値が出てくるので－１／８の暗号文となり、－１／８は円周群{Ｔ}上では７／８に相当する。得られた値に（０，１／８）を足すと、平文として０、１／４の２種類の値を取り得る新たな暗号文ａｚ’が得られる。

　また、ｎ／２の位置でSampleExtract(n/2)を行ってキースイッチングを行うと、図１２（ｂ）に示すような１／８と７／８の２種類の値が得られ、得られた値を（０，１／８）から引くと、平文として０、１／４の２種類の値を取り得る新たな暗号文ｂｚ’が得られる。

　図１２（ｂ）における０から０．２５（１／４）の範囲が７／８となり、０．２５（１／４）から０．５（１／２）の範囲が７／８となる。
　０．５（１／２）から０．７５（３／４）の範囲は、０から０．２５（１／４）の範囲の負の値が出てくるので－７／８の暗号文となり、－７／８は円周群{Ｔ}上では１／８に相当する。
　０．７５（３／４）から１の範囲は、０．２５（１／４）から０．５（１／２）の範囲の負の値が出てくるので－７／８の暗号文となり、－７／８は円周群{Ｔ}上では１／８に相当する。得られた値を（０，１／８）から引くと、平文として０、１／４の２種類の値を取り得る新たな暗号文ｂｚ’が得られる。

　このように、一度のGate BootstrappingにおいてSample extractを２回行うことで、暗号文ａｚ’の値と、暗号文ｂｚ’の値とを一度に求めることができる。
　その結果、Gate Bootstrapping（BlindRotate）の回数を３回とすることができる。Gate Bootstrappingを２回行うＨｏｍＭＵＸを２回使う場合に比べて、Gate Bootstrappingを１回減らし、ソートを高速化することができる。
　暗号文ｃｚの平文が１／４、つまりビットとして１でありｉ－１行目の方が小さく、すなわち順序を入れ替えたい場合には、暗号文ａｚの平文＝暗号文ｂｚ’の平文、暗号文ｂｚの平文＝暗号文ａｚ’の平文となる。暗号分ｃｚの平文が０の場合は、暗号文ａｚの平文＝暗号文ａｚ’の平文、暗号文ｂｚの平文＝暗号文ｂｚ’の平文となる。

　図１３は、本実施形態の条件付き入れ替え処理において暗号文が取り得る値を示す図である。
　図１３の（１）～（４）は、ボロービットを示す暗号文ｃｚの平文が０である場合を示している。
　（１）において、ｉ行目のデータの暗号文ａｚの平文が０、ｉ－１行目のデータの暗号文ｂｚの平文が０の場合、第１のステップで得られる暗号文ｔｚの平文は０である。第２のステップで得られる暗号文ｕｚの平文は３／８であり、第３のステップで得られる（０，１／４）－ｕｚ＋ｃｚの平文は７／８である。
　上記SampleExtract(0)で得られた値に（０，１／８）を足して得られる新しいｉ行目のデータの暗号文ａｚ’は０となる。また上記SampleExtract(n/2)で得られた値を（０，１／８）から引いて得られる新しいｉ－１行目のデータの暗号文ｂｚ’は０となる。
　この場合、暗号文ａｚの平文＝暗号文ａｚ’の平文、暗号文ｂｚの平文＝暗号文ｂｚ’の平文となっており、暗号文ａｚと暗号文ｂｚを、夫々新たな暗号文ａｚ’と暗号文ｂｚ’で置き換えたとき、平文として、ｉ行目とｉ－１行目のレコードは夫々元の順序のままである。
　（２）～（４）においても（１）と同様に、暗号文ａｚの平文＝暗号文ａｚ’の平文、暗号文ｂｚの平文＝暗号文ｂｚ’の平文となっている。例えば（２）において、ｉ行目のデータの暗号文ａｚの平文が０、ｉ－１行目のデータの暗号文ｂｚの平文が１／４であり、新しいｉ行目のデータの暗号文ａｚ’は０、新しいｉ－１行目のデータの暗号文ｂｚ’は１／４である。
　暗号文ａｚと暗号文ｂｚを、夫々新たな暗号文ａｚ’と暗号文ｂｚ’で置き換えたとき、平文として、ｉ行目とｉ－１行目のレコードは夫々元の順序のままである。

　図１３の（５）～（８）は、ボロービットを示す暗号文ｃｚの平文が１／４である場合を示している。
　（５）において、ｉ行目のデータの暗号文ａｚの平文が０、ｉ－１行目のデータの暗号文ｂｚの平文が０の場合、第１のステップで得られる暗号文ｔｚの平文は１／２である。第２のステップで得られる暗号文ｕｚの平文は５／８であり、第３のステップで得られる（０，１／４）－ｕｚ＋ｃｚの平文は７／８である。
　上記SampleExtract(0)で得られた値に（０，１／８）を足して得られる新しいｉ行目のデータの暗号文ａｚ’は０となる。また上記SampleExtract(n/2)で得られた値を（０，１／８）から引いて得られる新しいｉ－１行目のデータの暗号文ｂｚ’は０となる。
　この場合、暗号文ａｚの平文＝暗号文ｂｚ’の平文、暗号文ｂｚの平文＝暗号文ａｚ’の平文となっており、暗号文ａｚと暗号文ｂｚを、夫々暗号文ａｚ’と暗号文ｂｚ’で置き換えたとき、平文として、ｉ行目とｉ－１行目のレコードは元の順序から入れ替わっている。
　（６）～（８）においても（５）と同様に、暗号文ａｚの平文＝暗号文ｂｚ’の平文、暗号文ａｚの平文＝暗号文ｂｚ’の平文となっている。例えば（６）において、ｉ行目のデータの暗号文ａｚの平文が０、ｉ－１行目のデータの暗号文ｂｚの平文が１／４であり、新しいｉ行目のデータの暗号文ａｚ’は１／４、新しいｉ－１行目のデータの暗号文ｂｚ’は０となっている。
　暗号文ａｚと暗号文ｂｚを、夫々新たな暗号文ａｚ’と暗号文ｂｚ’で置き換えたとき、平文として、ｉ行目とｉ－１行目のレコードは元の順序から入れ替わっている。

　上記に説明したように、暗号文ａｚ’と暗号文ｂｚ’は、暗号文ｃｚの平文によって、夫々の平文が、暗号文ａｚ、暗号文ｂｚの平文と同じ異なる暗号文となるか、暗号文ｂｚ、暗号文ａｚの平文と同じ異なる暗号文になるか、のいずれかとなる。
　復号関数をφとしたとき、φ（ｃｚ）＝０の場合（ｉ－１行目の方が平均年齢が大きく、順序を入れ替えない場合）、
φ（ａｚ’）＝φ（ａｚ）
φ（ｂｚ’）＝φ（ｂｚ）
となる。
　φ（ｃｚ）＝１／４の場合（ｉ－１行目の方が平均年齢が小さく、順序を入れ替える場合）、
φ（ａｚ’）＝φ（ｂｚ）
φ（ｂｚ’）＝φ（ａｚ）
となる。

　いずれの場合でも、暗号文ａｚ≠暗号文ａｚ’かつ、暗号文ｂｚ≠暗号文ｂｚ’であり、暗号文自体は、元の暗号文と新たな暗号文とで異なるものになる。暗号文自体は、暗号処理装置１が直接扱うものであり、暗号文ａｚ’、暗号文ｂｚ’が、暗号文ａｚと暗号文ｂｚと夫々同じ暗号文であるか否か、あるいは暗号文ｂｚと暗号文ａｚと夫々同じ暗号文であるか否かがわかると、暗号文ｃｚの平文が推測できてしまう。従って、暗号文自体は元の暗号文と新たな暗号文とで必ず異なるものになる。ただし、暗号文ａｚ’の平文、暗号文ｂｚ’の平文は、暗号文ｃｚの平文によって、暗号文ａｚの平文、暗号文ｂｚの平文のいずれかになる。
　実際のところ、新たな暗号文ａｚ’と暗号文ｂｚ’を得た段階で、暗号文ｃｚによって暗号文ａｚと暗号文ｂｚを入れ替えるか否かの処理が済んでいる。従って、暗号文ａｚと暗号文ｂｚを、暗号文ａｚ’と暗号文ｂｚ’で夫々置き換えることで、条件付き入れ替えの処理が完了する。

　本実施形態の暗号処理装置１は、条件付き入れ替えの基準となる、例えば「平均年齢」の暗号文ａｖ、ｂｖから得られた同じ暗号文ｃｚを用いて、条件付き入れ替えの対象となる「住所」、「年齢の合計」、「人数」等の他のフィールドの暗号文ａｚ、ｂｚから暗号文ａｚ’、ｂｚ’を求める。
　そして暗号処理装置１は、「住所」、「年齢の合計」、「人数」等の条件付き入れ替えの対象となる各カラムについて暗号文ａｚ’、ｂｚ’で暗号文ａｚ、ｂｚを置き換えることで、集約結果テーブル８０全体のソートを行うことが出来る。
　条件付き入れ替えの基準となる平均年齢（暗号文ａｖ、ｂｖ）についてもソートを行う場合には、上記に説明した暗号文ａｚ、ｂｚの並び替えの場合と同様の処理によって、新たな暗号文ａｖ’、ｂｖ’を求め、暗号文ａｖ’、ｂｖ’によって暗号文ａｖ、ｂｖを置き換えることによって行うことが出来る。

　図１４は、暗号処理装置による集約結果ソート処理の流れを説明するフローチャートである。
　図１４に示す処理は、暗号処理装置１（集約部２１）が、暗号化データベースを集約してソートをするクエリに対して、暗号化データベースの集約を行った後に行われる処理である。
　情報処理装置１は、ステップＳ２０１において、変数ｑに集約結果テーブル８０の行数（レコード数）を代入し、変数ｉに２を代入する。
　情報処理装置１（比較部２２）は、ステップＳ２０２において暗号文ｂｖ－暗号文ａｖを演算し、ボロービットの暗号文ｃｚを得る。
　比較部２２は、この演算を、例えば上記に説明した全加算器によって行わせることができる。
　情報処理装置１（第１演算部１２）は、ステップＳ２０３においてａｚ＋ｃｚ－（０，１／８）を計算する。
　情報処理装置１（第１Bootstrapping部１５）は、ステップＳ２０４において１回目のGate Bootstrappingを行い、その結果、ステップＳ２０５において、暗号文ｔｚを得る。

　次に、情報処理装置１（第２演算部１３）は、ステップＳ２０６においてｔｚ＋ｂｚ－（０，１／８）を計算する。
　情報処理装置１（第２算出部１６）は、ステップＳ２０７において２回目のGate Bootstrappingを行い、その結果、ステップＳ２０８において、暗号文ｕｚを得る。

　次に、情報処理装置１（第３演算部１４）は、ステップＳ２０９において、（０，１／４）－ｕｚ＋ｃｚを計算する。
　次に、情報処理装置１（第３Bootstrapping部１７）は、ステップＳ２１０～Ｓ２１４において、３回目のGate Bootstrappingを行う。
　情報処理装置１（第３Bootstrapping部１７）は、ステップＳ２１０でBlindRotateを行い、ステップＳ２１１において、SampleExtract(0)とキースイッチングを行い、その結果、ステップＳ２１２において暗号文ａｚ’を得る。
　情報処理装置１（第３Bootstrapping部１７）は、ステップＳ２１３においてSampleExtract(n/2)とキースイッチングを行い、その結果ステップＳ２１４において、暗号文ｂｚ’を得る。
　情報処理装置１（置換部２３）は、ステップＳ２１４において、集約結果テーブル８０において、暗号文ａｚと暗号文ａｚ’、暗号文ｂｚと暗号文ｂｚ’を置き換える。

　情報処理装置１は、ステップＳ２１６において、ｉ＝ｑか、すなわち、全ての行についてソート処理を終了したか否かを判定する。
　ｉ＝ｑでなかった場合（ステップＳ２１６でＮｏ）、情報処理装置１は、ステップＳ２１７で変数ｉにｉ＋１を代入してインクリメントし、ステップＳ２０２に処理を戻す。
　ｉ＝ｑであった場合（ステップＳ２１６でＹｅｓ）、情報処理装置１は、ソート処理を終了する。
　さらに、図１４の処理を、集約結果テーブル８０の行数（レコード数）－１分繰り返すことで、集約結果テーブル８０のレコードを全てソートして、図１５のような結果を得ることができる。

　図１５は、ソート処理を完了後の集約結果テーブルの一例を示す図である。
　図１４の処理を必要回数行った結果、図８の集約結果テーブル８０は、図１５のように入れ替えがされた。
　図８において、千代田区についての平均年齢は４０歳、港区についての平均年齢は４６．５歳、台東区についての平均年齢は５８歳であった。
　この平均年齢に基づいて、上記のバブルソートを行った結果、平均年齢の高い順に、集約結果テーブル８０のレコードがソートされた。

　上記に説明したように、本実施形態の暗号処理装置１では、Gate Bootstrappingの回数を３回に減らすことが出来ている。演算時間のほぼ全てを占めるGate Bootstrappingには多くの処理時間がかかるため、この回数を削減することで、ＭＵＸ演算を高速且つ短時間で行い得ることが見込まれる。
　ただし図３に示すように、Gate Bootstrappingの回数は３回に減ったものの、Bootstrappingの段数は３段階に増えているので、マルチスレッディングを行った場合の図１に比べて図３の構成による処理が決定的に高速であるとは言い切れない。
　下記に説明する変形例では、本実施形態の暗号処理装置１では、TLWE暗号文ａｚ、ｂｚ、ｃｚの平文が有する誤差を、例えば±１／４０に削減する。これにより、ＭＵＸ演算において、第１演算部１２に２値の暗号文を３つ入力可能とし、Gate Bootstrappingを改良することにより、準同型演算処理の回数を全体で２回に減らす。その結果、暗号処理装置１では、準同型演算処理のほぼ全てを占めるGate Bootstrappingの回数を全体で２回に減らすことが出来る。Bootstrappingの段数は２段階としたまま準同型演算処理の回数を全体で２回に減らし、マルチスレッドで処理した場合の図１に比べてＭＵＸ演算を５０％高速化することが出来る。また図３に示した構成の６６％の時間でＭＵＸ演算を行うことが出来る。

　図１６は、本実施形態の変形例に係る暗号処理装置の機能構成を説明する図である。
　暗号処理装置１は、制御部１０と、記憶部２０と、通信部２５と、入力部２６と、を備える。
　制御部１０は、受付部１１と、第４演算部３１と、第５演算部３２と、第４Bootstrapping部（第４算出部）３３と、第５Bootstrapping部（第５算出部）３４と、出力部１８と、を備えている。また、制御部１０は、集約部２１と、比較部２２と、置換部２３とを備えている。
　第４演算部３１と、第５演算部３２と、第４Bootstrapping部３３と、第５Bootstrapping部３４以外の構成については図２と同様であるので説明は省略する。
　第４演算部３１は、受付部１１が受け付けた入力暗号に対して、第４準同型演算を行う。
　第５演算部３２は、第４Bootstrapping部３３から出力される暗号文に対して、第５準同型演算を行う。
　第４Bootstrapping部３３は、第４演算部３１の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
　第５Bootstrapping部３４は、第５演算部３２の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。

　図１７は、変形例に係る暗号処理装置の演算プロセスを詳しく説明する図である。
　図１７の説明において、暗号処理装置１に入力される暗号文ａｚ、ｃｚ、ｃｚは、いずれも上記論文に示されるTLWE暗号文である。TLWE暗号は、０又はμ（非０）の値を平文として有するBit-wise型の完全準同型暗号である。
　論理ゲートを用いた論理演算によって様々な演算を行うことができる。
　TLWE暗号文は、二進数のシンボル０又は１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能である。
　これらの暗号文は、それぞれ特別に設定したシステムパラメータによるTLWE暗号文であり、Gate Bootstrappingにより生成された又は新規に暗号化されたものである。
　TLWE暗号文ａｚ、ｃｚ、ｃｚは、何れも平文として０又は１／４を有し、平文に付加される誤差は±１／４０の範囲に含まれる。
　TLWE暗号文ｃａ、ｃｂ、ｃｃは、夫々０が二進数のシンボル０に対応し、１／４がシンボル１に対応する。
　２値３入力とすることで誤差範囲が重なる可能性があり、平文に付加される誤差を上記論文の±１／１６よりも小さく±１／４０以内としている。
　ただし後述するように、誤差が重なることによる問題が許容できる場合はその限りではなく、誤差として実施例の±１／４０や上記論文の±１／１６を採用してもよい。

　図１７に示す構成では、非特許文献１の論文（上記論文）で提示された（２値）Gate Bootstrappingを使用する。
　入力された暗号文ａｚ、ｂｚ、ｃｚを第４演算部３１に入力して準同型演算（２×（ａｚ＋ｃｚ）＋ｂｚ－（０，１／８））を行い、その演算結果である暗号文を２値Gate Bootstrappingを行う第４Bootstrapping部３３に入力する。
　第４Bootstrapping部３３の出力は、平文として２値（０，μ）の何れかを取り得る一時暗号文ｕｚである。
　暗号文ｕｚ、暗号文ｃｚを第５演算部３２に入力して準同型演算（（０，１／４）－ｕｚ＋ｃｚ）を行い、その出力結果を第５Bootstrapping部３４に入力し、２値Gate Bootstrappingが行われて新たな暗号文ａｚ’、新たな暗号文ｂｚ’が出力される。
　第５演算部３２、第５Bootstrapping部３４の処理は、上記の第３演算部１４、第３Bootstrapping部１７の処理と同じである。

　暗号処理装置１（第４演算部３１）は、２（ａｚ＋ｃｚ）＋ｂｚ－（０，１／８）を計算し、演算結果としてTLWE暗号文ｃｔを得る。（０，１／８）は平文が１／８となる自明な暗号文である。
　２（ａｚ＋ｃｚ）＋ｂｚ－（０，１／８）の演算結果の平文は、以下のとおりである。
ａｚが０、ｂｚが０、ｃｚが０（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（０＋０）＋０＝０）
⇒２×（０＋０）＋０－１／８＝－１／８（７／８）
ａｚが０、ｂｚが０、ｃｚが１／４（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（０＋１）＋０＝０）
⇒２×（０＋１／４）＋０－１／８＝３／８
ａｚが０、ｂｚが１／４、ｃｚが０（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（０＋０）＋１＝１）
⇒２×（０＋０）＋１／４－１／８＝１／８
ａｚが０、ｂｚが１／４、ｃｚが１／４（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（０＋１）＋１＝３）
⇒２（０＋１／４）＋１／４－１／８＝５／８
ａｚが１／４、ｂｚが０、ｃｚが０（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（１＋０）＋０＝２）
⇒２（１／４＋０）＋０－１／８＝３／８
ａｚが１／４、ｂｚが０、ｃｚが１／４（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（１＋１）＋０＝４）
⇒２（１／４＋１／４）＋０－１／８＝－１／８（７／８）
ａｚが１／４、ｂｚが１／４、ｃｚが０（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（１＋０）＋１＝３）
⇒２（１／４＋０）＋１／４－１／８＝５／８
ａｚが１／４、ｂｚが１／４、ｃｚが１／４（２（ａｚ＋ｃｚ）＋ｂｚは二進数のシンボルで２×（１＋１）＋１＝５）
⇒２（１／４＋１／４）＋１／４－１／８＝９／８⇒１／８

　TLWE暗号文ｃｔは、平文として１／８、３／８、５／８、７／８の４つのいずれかを有し、平文に付加される誤差は±１／８の範囲に含まれる。
　これはｃａ＋ｃｂの誤差±１／４０の和×２と、ｃｃの誤差±１／４０を足しているためである。

　次に暗号処理装置１（第４Bootstrapping部）３３は、TLWE暗号文ｃｔに対して上記論文どおりのGate Bootstrappingを行うと、上記の［第２のステップ］で算出したものと同じ、平文として１／８、３／８、５／８、７／８を有し、平文が有する誤差が±１／４０である一時暗号文ｕｚが得られる。
　一時暗号文ｕｚと暗号文ｃｚを用いた以降の処理は、上記［第３のステップ］と同じであるので説明を省略する。

　図１８は、変形例に係る集約結果ソート処理の流れを説明するフローチャートである。
　図１８に示す処理は、暗号処理装置１（集約部２１）が、暗号化データベースを集約してソートをするクエリに対して、暗号化データベースの集約を行った後に行われる処理である。
　情報処理装置１は、ステップＳ２０１において、変数ｑに集約結果テーブル８０の行数（レコード数）を代入し、変数ｉに２を代入する。
　情報処理装置１（比較部２２）は、ステップＳ２０２において暗号文ｂｖ－暗号文ａｖを演算し、ボロービットの暗号文ｃｚを得る。
　比較部２２は、この演算を、例えば上記に説明した全加算器によって行わせることができる。
　情報処理装置１（第４演算部３１）は、ステップＳ２０３Ａにおいて２（ａｚ＋ｃｚ）＋＋ｂｚ－（０，１／８）を計算する。
　情報処理装置１（第４Bootstrapping部３３）は、ステップＳ２０４Ａにおいて１回目のGate Bootstrappingを行い、その結果、ステップＳ２０８において、暗号文ｕｚを得る。この暗号文ｕｚは、平文に付加される誤差以外は、図１４のステップＳ２０８で得られる暗号文ｕｚと同じである。

　次に、情報処理装置１（第５演算部３２）は、ステップＳ２０９Ａにおいて、（０，１／４）－ｕｚ＋ｃｚを計算する。
　次に、情報処理装置１（第５算出部３３）は、ステップＳ２１０Ａ～Ｓ２１４Ａにおいて、３回目のGate Bootstrappingを行う。
　情報処理装置１（第５Bootstrapping部３２）は、ステップＳ２１０ＡでBlindRotateを行い、ステップＳ２１１において、SampleExtract(0)とキースイッチングを行い、その結果、ステップＳ２１２において暗号文ａｚ’を得る。
　情報処理装置１（第５Bootstrapping部３２）は、ステップＳ２１３ＡにおいてSampleExtract(n/2)とキースイッチングを行い、その結果ステップＳ２１４Ａにおいて、暗号文ｂｚ’を得る。
　第５算出部３３によるステップＳ２１０Ａ～Ｓ２１４Ａの処理は、図１４に示した第３算出部１７によるステップＳ２１０～Ｓ２１４と同じ処理である。
　情報処理装置１（置換部２３）は、ステップＳ２１４において、集約結果テーブル８０において、暗号文ａｚと暗号文ａｚ’、暗号文ｂｚと暗号文ｂｚ’を置き換える。

　図１９は、本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
　上記では、図１９（ａ）に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
　それに限らず、図１９（ｂ）に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
　TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
　図１９（ａ）のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
　それに対して図１９（ｂ）に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。

　LEVEL0の暗号文は、Ｎ次の秘密鍵［ｓ］で暗号化された円周群{Ｔ}上の要素のＮ次のベクトル［ａ］よりなっている。一方、SampleExtractの結果得られるLEVEL1の暗号文は、ｎ次の秘密鍵［ｓ’］で暗号化された円周群{Ｔ}上の要素のｎ次のベクトル［ａ'］よりなっている。
　LEVEL0の暗号文は、LWE問題の難易度となる係数の数（ベクトルの次数）がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量は少ない。
　一方でLEVEL0の暗号文は、上記の変形例のように２値３入力の準同型演算を可能とするために平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
　TLWE暗号は、平文に付加する誤差が大きいほど、係数の数（ベクトルの次数）が多いほど計算（解読）が難しい。
　裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数（ベクトルの次数）が少ないほど、計算（解読）が容易となるのである。
　誤差を小さくする場合には暗号文の係数の数（ベクトルの次数）を上げてセキュリティを確保する必要がある。

　変形例では、平文に付加する誤差を±１／４０と小さくすることによって２値３入力の準同型演算によってBlindRotateの回数を減らし、MUX演算を高速化する。平文に付加する誤差を小さくすることで計算（解読）が容易となった暗号文のセキュリティを確保するために、キースイッチングをGate Bootstrappingの先頭に移動し、係数の数（ベクトルの次数）が多く誤差の範囲を小さくしやすいLEVEL1の暗号文をGate Bootstrappingの入出力とすることが望ましい。そして、Gate Bootstrappingの先頭でLEVEL0に変換してから、最後にLEVEL0に戻さないようにする。
　BlindRotateの所要時間は、入力となるTLWE暗号文の係数の数（ベクトルの次数）に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数（ベクトルの次数）に比例してBlindRotateの所要時間が長くなる。
　暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
　Gate Bootstrappingの入出力をLEVEL1のTLWE暗号文とする方法は、変形例のような２値３入力の準同型演算を行う場合に限らず、図３の２値２入力の準同型演算の場合にも適用可能である。LEVEL0に戻さないことで、次段でのTLWE暗号文の計算でも同様に、安全に多値入力を行って高速に処理を行うことが出来る。

　また、平文に付加する誤差を±１／４０などにすることには、上記のセキュリティ強度以外に復号時エラーの問題もある。
　本実施形態の構成では、Gate Bootstrappingの処理時間の大半を占めるBlindRotateを１回で済ますことができるが、誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
　TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
　０付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
　例えば、平文に付加する誤差を±１／４０以内と設定しても、その範囲外の誤差が付加される可能性が数パーセント存在する。
　設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
　計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。

　本実施形態では、平文に付加する誤差を±１／４０と設定するようにシステムパラメータを変更することで、計算にエラーが発生する確率を抑える、BlindRotateの数を減らして計算を高速化する、セキュリティを高く保つ、という３つの目標をバランスよく解決することが出来る。
　これらのバランスが最もとれるように、誤差範囲の重なりが一定値内に収まるように誤差となるようにシステムパラメータを設定することが必要である。

　なお、本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
　演算の高速化を重視する場合には、平文に付加する誤差を±１／３２の範囲内に設定することで２値４入力などの準同型演算も可能となる。
　異なる計算結果が得られる可能性をある程度許容できるアプリケーションであれば、誤差範囲が重なる可能性はある程度許容しつつ、２値３入力として計算を高速化しながら、誤差を±１／１６以内と大きくとってセキュリティを保つことも出来る。
　例えば、平文に付加する誤差を±１／１６以内と設定してある上記論文のパラメータを用いても、原理上、２値３入力の準同型演算で全加算器を高速化する本実施形態の構成は可能である。設定範囲から誤差がはみ出し、異なる計算結果が得られる確率が上がるのみである。

　図２０は、コンピュータ装置の一実施例を示すブロック図である。
　図２０を参照して、コンピュータ装置１００の構成について説明する。
　コンピュータ装置１００は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置１００は、制御回路１０１と、記憶装置１０２と、読書装置１０３と、記録媒体１０４と、通信インターフェイス１０５と、入出力インターフェイス１０６と、入力装置１０７と、表示装置１０８とを含む。また、通信インターフェイス１０５は、ネットワーク２００と接続される。そして、各構成要素はバス１１０により接続される。
　暗号処理装置１は、コンピュータ装置１００に記載の構成要素の一部又は全てを適宜選択して構成することができる。

　制御回路１０１は、コンピュータ装置１００全体の制御をする。制御回路１０１は、例えば、Central Processing Unit（ＣＰＵ）、Field Programmable Gate Array（ＦＰＧＡ）、Application Specific Integrated Circuit（ＡＳＩＣ）及びProgrammable Logic Device（ＰＬＤ）などのプロセッサである。制御回路１０１は、例えば、図２、図１６における制御部１０として機能する。

　記憶装置１０２は、各種データを記憶する。そして、記憶装置１０２は、例えば、Read Only Memory（ＲＯＭ）及びRandom Access Memory（ＲＡＭ）などのメモリや、Hard Disk（ＨＤ）などである。記憶装置１０２は、制御回路１０１を、図２、図１６における制御部１０として機能させる情報処理プログラムを記憶してもよい。記憶装置１０２は、例えば、図２、図１６における記憶部２０として機能する。

　暗号処理装置１は、情報処理を行うとき、記憶装置１０２に記憶されたプログラムをＲＡＭに読み出す。
　暗号処理装置１は、ＲＡＭに読み出されたプログラムを制御回路１０１で実行することにより、受付処理、第１演算処理、第２演算処理、第３演算処理、第４演算処理、第５演算処理、第１Bootstrapping処理、第２Bootstrapping処理、第３Bootstrapping処理、第４Bootstrapping処理、第５Bootstrapping処理、出力処理、比較処理、集約処理、置換処理のいずれか１以上を含む処理を実行する。
　なおプログラムは、制御回路１０１が通信インターフェイス１０５を介してアクセス可能であれば、ネットワーク２００上のサーバが有する記憶装置に記憶されていても良い。

　読書装置１０３は、制御回路１０１に制御され、着脱可能な記録媒体１０４のデータのリード／ライトを行う。
　記録媒体１０４は、各種データを保存する。記録媒体１０４は、例えば、情報処理プログラムを記憶する。記録媒体１０４は、例えば、Secure Digital（ＳＤ）メモリーカード、Floppy Disk（ＦＤ）、Compact Disc（ＣＤ）、Digital Versatile Disk（ＤＶＤ）、Blu-ray（登録商標） Disk（ＢＤ）、及びフラッシュメモリなどの不揮発性メモリ（非一時的記録媒体）である。

　通信インターフェイス１０５は、ネットワーク２００を介してコンピュータ装置１００と他の装置とを通信可能に接続する。通信インターフェイス１０５は、例えば、図２において、通信部２５として機能する。
　入出力インターフェイス１０６は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス１０６と接続される入力装置１０７には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス１０６は、接続された各種入力装置とコンピュータ装置１００とを通信可能に接続する。そして、入出力インターフェイス１０６は、接続された各種入力装置から入力された信号を、バス１１０を介して制御回路１０１に出力する。また、入出力インターフェイス１０６は、制御回路１０１から出力された信号を、バス１１０を介して入出力装置に出力する。入出力インターフェイス１０６は、例えば、図２、図１６において、入力部２６として機能する。

　表示装置１０８は、各種情報を表示する。ネットワーク２００は、例えば、ＬＡＮ、無線通信、Ｐ２Ｐネットワーク、又はインターネットなどであり、コンピュータ装置１００と他の装置を通信接続する。
　なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態をとることができる。

１　暗号処理装置、１０　制御部、１１　受付部、１２　第１演算部、１３　第２演算部、１４　第３演算部、１５　第１算出部、１６　第２算出部、１７　第３算出部、２１　集約部、２２　比較部、２３　置換部、１８　出力部、２０　記憶部、２５　通信部、２６　入力部、１００　コンピュータ装置、１０１　制御回路、１０２　記憶装置、１０３　読書装置、１０４　記録媒体、１０５　通信インターフェイス、１０６　入出力インターフェイス、１０７　入力装置、１０８　表示装置、１１０　バス、２００　ネットワーク

Claims

　暗号文を処理する暗号処理装置であって、
　前記暗号文は、シンボル０または１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　所定の順序で配列される第１暗号文の平文と第２暗号文の平文の夫々に対応する新たな暗号文を、前記順序と同じ又は逆の順序で得ることができ、
　前記新たな暗号文の順序を第３暗号文の平文に基づいて選択可能な処理を行い、
　平文として２値よりも多い多値を有する前記暗号文に基づく一時暗号文を出力とする多値論理演算を用いることにより前記処理に必要な計算の回数を削減する、
ことを特徴とする暗号処理装置。
　請求項１に記載の暗号処理装置において、
　誤差の重なりが所定値以内となるように前記誤差を設定することにより、前記暗号文を用いて前記多値論理演算を行う際の多項式による演算の回数を削減する、
ことを特徴とする暗号処理装置。
　請求項１又は２に記載の暗号処理装置において、
　入力された前記暗号文に対して前記所定の演算に係る準同型演算を行う演算部と、
　前記演算部による準同型演算の結果に対して、所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、
　前記演算部による準同型演算の結果に対して、所定の多項式を用いて新たな暗号文を算出するまえに暗号文の係数の数を削減する、
ことを特徴とする暗号処理装置。
　請求項１乃至３の何れか一項に記載の暗号処理装置において、
　前記処理を実行することによりバブルソートを行う
ことを特徴とする暗号処理装置。
　請求項１乃至３の何れか一項に記載の暗号処理装置において、
　入れ替える暗号文は、暗号化データベースに格納される値を集約した集約用テーブルに格納される値であり
　前記暗号化データベースに格納される値は、集約の基準となる複数の基準値と、各基準値に関連付けられた値と、を含み、
　前記集約テーブルは、前記複数の基準値と、前記暗号化データベースにおいて各基準値に付けられた値の集約結果と、を含み、
　前記集約用テーブルが備える集約用基準値と、前記暗号化データベースが備える基準値と、を比較した比較結果に基づいて、集約用基準値に対応する前記暗号化データベースの値を、集約用基準値に対応づけて前記集約用テーブルにおいて集約することによって前記暗号化データベースを集約し、
　集約後の前記集約用テーブルに対して前記処理を実行することを特徴とする暗号処理装置。
　請求項５に記載の暗号処理装置において、
　前記基準値と前記集約用基準値は複数ビットの値よりなり、
　一の前記基準値と、一の前記集約用基準値とをビットごとに比較した結果を集計することによって比較を行い、
　前記比較結果と、前記基準値に対応する値と、に基づく値を前記集約テーブルにおける対応する合計値に加算することにより前記暗号化データベースを集約する、
ことを特徴とする暗号処理装置。
　プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
　前記暗号文は、シンボル０または１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　所定の順序で配列される第１暗号文の平文と第２暗号文の平文の夫々に対応する新たな暗号文を、前記順序と同じ又は逆の順序で得ることができ、
　前記新たな暗号文の順序を第３暗号文の平文に基づいて選択可能な処理を行い、
　平文として２値よりも多い多値を有する前記暗号文に基づく一時暗号文を出力とする多値論理演算を用いることにより前記処理に必要な計算の回数を削減する、
ことを特徴とする暗号処理方法。
　暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
　前記暗号文は、シンボル０または１に対応する所定の値に所定の分散を持つ誤差を与えた値を平文として２値を有し、復号することなく論理演算が可能な完全準同型暗号文であり、
　所定の順序で配列される第１暗号文の平文と第２暗号文の平文の夫々に対応する新たな暗号文を、前記順序と同じ又は逆の順序で得ることができ、
　前記新たな暗号文の順序を第３暗号文の平文に基づいて選択可能な処理を行い、
　平文として２値よりも多い多値を有する前記暗号文に基づく一時暗号文を出力とする多値論理演算を用いることにより前記処理に必要な計算の回数を削減する、
ことを特徴とする暗号処理プログラム。