WO2023007680A1

WO2023007680A1 - 準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラム

Info

Publication number: WO2023007680A1
Application number: PCT/JP2021/028209
Authority: WO
Inventors: 寛人田宮; 寿幸一色; 健吾森; 紗菜美中川
Original assignee: 日本電気株式会社
Priority date: 2021-07-29
Filing date: 2021-07-29
Publication date: 2023-02-02
Also published as: JPWO2023007680A1

Abstract

準同型巡回演算システムは、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をするものであって、データの周期的な配列を不定元の多項式の係数に格納して暗号化して、周期データの暗号文を生成する暗号化装置と、周期データの暗号文に前記不定元のシフト量乗を作用することにより、周期データの暗号文におけるデータの周期的な配列をシフトする準同型巡回演算装置とを備える。

Description

準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラム

　本発明は、準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムに関するものである。

　暗号技術の一つに準同型暗号というものがある。準同型暗号とは、平文m₁,m₂の暗号文Enc(m₁), Enc(m₂)が与えられたときに、平文m₁, m₂の二項演算m₁○m₂の暗号文Enc(m₁○m₂)を平文m₁, m₂に復号することなく計算できるものをいう。ここで「○」は二項演算であり、例えば加法「＋」や乗法「×」である。加法「＋」に関する準同型暗号は、加法準同型暗号と呼ばれている。また、乗法「×」に関しても準同型である準同型暗号は、完全準同型暗号と呼ばれている。

　完全準同型暗号は、加法および乗法に関しても準同型であるので最も性質がよい。しかしながら、完全準同型暗号は、計算量が多く実用に難点がある。そこで、加法準同型暗号と完全準同型暗号の中間的性質の準同型暗号も開発されている。例えば、Somewhat準同型暗号と呼ばれる暗号方式は、有限回の加算と乗算に関する準同型性を有する準同型暗号である（例えば非特許文献１参照）。

Yasuda M., Shimoyama T., Kogure J., Yokoyama K., Koshiba T. (2013) Packed Homomorphic Encryption Based on Ideal Lattices and Its Application to Biometrics. In: Cuzzocrea A., Kittl C., Simos D.E., Weippl E., Xu L. (eds) Security Engineering and Intelligence Informatics. CD-ARES 2013. Lecture Notes in Computer Science, vol 8128. Springer, Berlin, Heidelberg.

　なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。

　ところで、現実のコンピュータシステムでは、加法および乗法だけでなく、その他の良く使われる演算を用意するのが通常である。理論的には加法および乗法の組み合わせで実現される演算であっても、所定の演算をプロトコルとしてユーザーに提供する方が便利だからである。そのような演算の例として巡回演算がある。巡回演算とは、データの周期的な配列に対してデータの順序を保ちながら格納場所を移動させる演算である。データの順序を保ちながら格納場所を移動させる演算は一般にシフトと呼ばれており、巡回演算は周期的な配列に対してシフトを行う演算である。

　もちろん、準同型暗号のシステムにおいて巡回演算を実施するには、単に巡回演算を実現するだけではなく、暗号化されたデータの周期的な配列を復号することなく、データの格納場所をシフトする必要がある。そして、準同型暗号において巡回演算を実施するためには、準同型暗号固有の問題として計算コストにも対応する必要がある。

　本発明の目的は、上述した課題を鑑み、暗号化されたデータの周期的な配列を復号することなく、データの格納場所をシフトする準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを提供することにある。

　本発明の第１の視点では、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算システムであって、前記データの周期的な配列を不定元の多項式の係数に格納して暗号化して、周期データの暗号文を生成する暗号化装置と、前記周期データの暗号文に前記不定元のシフト量乗を作用することにより、前記周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置と、を備える準同型巡回演算システムが提供される。

　本発明の第２の視点では、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算装置であって、前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、前記周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置が提供される。

　本発明の第３の視点では、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算方法であって、前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって周期データの暗号文を生成するステップと、前記周期データの暗号文に前記不定元のシフト量乗を作用することによって前記周期データの暗号文における前記データの周期的な配列をシフトするステップと、を備える準同型巡回演算方法が提供される。

　本発明の第４の視点では、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をすることをコンピュータに行わせるプログラムであって、前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、前記周期データの暗号文における前記データの周期的な配列をシフトするプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transient）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明の各視点によれば、暗号化されたデータの周期的な配列を復号することなく、データの格納場所をシフトする準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを提供することができる。

図１は、第１の実施形態における準同型巡回演算システムの概略構成例を示すブロック図である。図２は、第１の実施形態における準同型巡回演算装置の概略構成例を示すブロック図である。図３は、第１の実施形態におけるシステムのシステムフローチャートである。図４は、準同型巡回演算装置のハードウェア構成例を示す図である。図５は、複素環式化合物の類似度の秘密計算の概念を示す図である。

　以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。また、各図面において、同一または対応する要素には適宜同一の符号を付している。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。

［第１の実施形態］
　以下、図１、図２を参照して、第１の実施形態に係る準同型巡回演算システムについて説明する。第１の実施形態は、本発明の基本的なコンセプトのみを説明する実施形態である。

　図１は、第１の実施形態における準同型巡回演算システムの概略構成例を示すブロック図である。図１に示すように、第１の実施形態に係る準同型巡回演算システム１００は、暗号化装置１１０と準同型巡回演算装置１２０とを備えている。暗号化装置１１０および準同型巡回演算装置１２０は、後にハードウェア構成を例示する情報処理装置（コンピュータ）である。暗号化装置１１０と準同型巡回演算装置１２０は、有線通信によって接続されていてもよく、また、無線通信によって接続されていてもよい。例えば、暗号化装置１１０は、汎用的パーソナルコンピュータとすることもでき、スマートフォンなどのモバイル端末とすることもできる。

　図１に示す第１の実施形態に係る準同型巡回演算システム１００は、データの配列を暗号化でき、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の巡回演算をするためのものである。暗号化装置１１０は、データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって周期データの暗号文を生成し、準同型巡回演算装置１２０は、周期データの暗号文に不定元のシフト量乗を作用することによって周期データの暗号文におけるデータの周期的な配列をシフトする。

　なお、準同型巡回演算装置１２０は、データの周期的な配列を復号することなくシフトする。したがって、準同型巡回演算装置１２０の出力も暗号文である。得られた暗号文をどのように用いるかは後に例示する実施形態など様々であるが、得られた暗号文を復号するための復号装置を準同型巡回演算装置１２０と分けて別途備えるように構成すると、準同型暗号の秘密鍵と公開鍵を異なる装置に分けて管理することができるので安全性が高まるので好ましい。

　第１の実施形態で用いる準同型暗号は、データの配列を暗号化でき、少なくとも１回の乗算に関して準同型演算が定義されるものを用いることができる。なお、実施形態にて直接的に用いるものではないが、加算についても準同型演算が定義されていることが好ましい。すなわち、第１の実施形態で用いる準同型暗号には、以下の関係式を満たす準同型加算および準同型乗算が定義されている。
・準同型加算
HomAdd(Enc(m), Enc(m′))＝Enc(m+m′)
・準同型乗算
HomMul(Enc(m), Enc(m′))＝Enc(m*m′)

　図２は、第１の実施形態における準同型巡回演算装置の概略構成例を示すブロック図である。図２に示すように、準同型巡回演算装置１２０は、記憶部１２１と受信部１２２と演算部１２３とを備えている。記憶部１２１は、準同型巡回演算および準同型巡回演算に関連して用いられる各種情報を記憶している。受信部１２２は、暗号化装置１１０から周期データの暗号文を受信する。演算部１２３は、上記準同型演算を用いて周期データの暗号文を復号することなく巡回演算する。

　次に、図３を参照しながら、暗号化装置１１０と準同型巡回演算装置１２０との間における処理について説明する。図３は、第１の実施形態におけるシステムのシステムフローチャートである。図３に示すシステムフローチャートは、データの配列を暗号化でき、少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算方法の手順を示している。

　ステップＳ１では、暗号化装置１１０がデータの周期的な配列を不定元の多項式の係数に格納して暗号化することによって周期データの暗号文を生成する。生成された周期データの暗号文は、暗号化装置１１０から準同型巡回演算装置１２０へ送信される。

　ステップＳ２では、準同型巡回演算装置１２０が、暗号化装置１１０から受信した周期データの暗号文に不定元のシフト量乗を作用することによって周期データの暗号文におけるデータの周期的な配列をシフトする。

　なお、ステップＳ２によって得られた暗号文をどのように用いるかは後に例示する実施形態など様々である。

［ハードウェア構成例］
　図４は、準同型巡回演算装置のハードウェア構成例を示す図である。すなわち、図４に示すハードウェア構成例は、準同型巡回演算装置１２０のハードウェア構成例である。

　図４に示すハードウェア構成を採用した情報処理装置（コンピュータ）は、上記説明した準同型巡回演算方法をプログラムとして実行することで、準同型巡回演算装置１２０の各機能を実現することを可能にする。ただし、図４に示すハードウェア構成例は、準同型巡回演算装置１２０の各機能を実現するハードウェア構成の一例であり、準同型巡回演算装置１２０のハードウェア構成を限定する趣旨ではない。準同型巡回演算装置１２０は、図４に示さないハードウェアを含むことができる。

　図４に示すように、準同型巡回演算装置１２０が採用し得るハードウェア構成１０は、例えば内部バスにより相互に接続される、ＣＰＵ（Central Processing Unit）１１、主記憶装置１２、補助記憶装置１３、およびＩＦ（Interface）部１４を備える。

　ＣＰＵ１１は、準同型巡回演算装置１２０が実行する準同型巡回演算プログラムに含まれる各指令を実行する。主記憶装置１２は、例えばＲＡＭ（Random Access Memory）であり、準同型巡回演算装置１２０が実行する準同型巡回演算プログラムなどの各種プログラムなどをＣＰＵ１１が処理するために一時記憶する。

　補助記憶装置１３は、例えば、ＨＤＤ（Hard Disk Drive）であり、準同型巡回演算装置１２０が実行する準同型巡回演算プログラムなどの各種プログラムなどを中長期的に記憶しておくことが可能である。準同型巡回演算プログラムなどの各種プログラムは、非一時的なコンピュータ可読記録媒体（non-transitory computer-readable storage medium）に記録されたプログラム製品として提供することができる。補助記憶装置１３は、非一時的なコンピュータ可読記録媒体に記録された準同型巡回演算プログラムなどの各種プログラムを中長期的に記憶することに利用することが可能である。ＩＦ部１４は、例えば準同型巡回演算装置１２０と暗号化装置１１０との間の入出力に関するインターフェイスを提供する。

　上記のようなハードウェア構成１０を採用した情報処理装置は、先述した準同型巡回演算方法をプログラムとして実行することで、準同型巡回演算装置１２０の各機能を実現する。

　以上のように、第１の実施形態における準同型巡回演算システムは、暗号化されたデータの周期的な配列を復号することなく、データの格納場所をシフトすることに寄与することができる。また、第１の実施形態における準同型巡回演算システムは、準同型巡回演算方法として実施することができ、第１の実施形態における準同型巡回演算方法は、上述のハードウェア構成の情報処理装置（コンピュータ）で実行するプログラムとしても実施可能である。

［第２の実施形態］
　以下、第２の実施形態に係る準同型巡回演算システムについて説明する。第２の実施形態は、第１の実施形態で用いられた準同型暗号を例示しながらデータの周期的な配列の準同型巡回演算を行う方法を説明する。以下で説明する準同型暗号は、データの配列を暗号化でき、少なくとも１回の乗算に関して準同型演算が定義される。

　まず、データの周期的な配列の１周期分は、ベクトルと見做すことができる。そして、ベクトルa=(a₀, a₁, … , a_n-1)と多項式a(x)=Σ_i=0 ^n-1 a_i * xⁱは同一視することができる。この同一視によって、ベクトルa=(a₀, a₁, … , a_n-1)とベクトルb=(b₀, b₁, … , b_n-1)には、多項式としての掛け算a(x) * b(x)とベクトルとしての内積<a, b>=Σ_i=0 ^n-1 a_i * b_iが定義される。

　ここで、ノイズベクトルu=(u₀, u₁, … , u_n-1)を用意する。u_i(i=0,1,…n-1)は{0, 1, -1}のいずれかとなる。u_i=0となる確率はqであり、u_i=1となる確率は(1-q)/2であり、u_i=-1となる確率は(1-q)/2である。

　このノイズベクトルu=(u₀, u₁, … , u_n-1)を用いて、平文ベクトルm=(m₀, m₁, … , m_n-1)の暗号文を以下のように定める。

　ただし、上記暗号文の定義において、ｔは平文の空間サイズであり、ｄは暗号文の空間サイズであり、ｒは進数でありrⁿ = -1 mod dを満たす。また、[ ]_dは区間[-d/2, d/2)へのリダクションであり、すなわちdで割った余りが区間[-d/2, d/2)に入るようなリダクションである。

　上記暗号文は、ノイズベクトルu=(u₀, u₁, … , u_n-1)と平文ベクトルm=(m₀, m₁, … , m_n-1)をそれぞれ多項式u(x)=Σ_i=0 ^n-1 u_i * xⁱと多項式m(x)=Σ_i=0 ^n-1 m_i * xⁱと見做すと、以下のように見做すことができる。

　次に、このように定めた暗号文が準同型暗号となっていることを示す。

・準同型加算
　多項式で表した平文ベクトルm(x)とm′(x)の暗号文Enc(m(x))とEnc(m′(x))に対して、以下に示すように加法準同型性が成り立つ。
[Enc(m(x))+Enc (m′(x))]_d
=[[m(r)+t*u(r)]_d+[m′(r)+t*u′(r)]_d]_d
=[[m(r)+ m′(r)+t*(u(r)+ u′(r))]_d
=Enc(m(x)+m′(x) mod t)
ここで、mod tはm(r)+ m(r)の各係数がtより大きくなるとt*(u(r)+ u′(r))側に吸収されることに注意する。

・準同型乗算
　多項式で表した平文ベクトルm(x)とm′(x)の暗号文Enc(m(x))とEnc(m′(x))に対して、以下に示すように乗法準同型性が成り立つ。
[Enc(m(x))*Enc(m′(x))]_d
=[[m(r)+t*u(r)]_d*[m′(r)+t*u′(r)]_d]_d
=[(m(r)+t*u(r))*(m′(r)+t*u′(r))]_d
=[m(r)*m′(r)+t*(m(r)*u′(r)+ m′(r)*u(r)+t*u(r)*u′(r))]_d
=[m(r)*m′(r)+t*u′′(r) mod rⁿ+1]_d
=Enc(m(x)*m′(x) mod (t, xⁿ+1))
ただし、上記式変形においてu′′(r)= m(r)*u′(r)+ m′(r)*u(r)+t*u(r)*u′(r)である。また、rⁿ=-1 mod dであることに注意する。なお、f(x) mod (t, xⁿ+1)は、f(x) mod t mod (xⁿ+1)を表す。つまり、f(x)をxⁿ=-1の関係を用いてn次より小さい多項式f′(x)に変換した後，f′(x)の各係数をtで割った余りの多項式である。

・準同型内積
　平文ベクトルm=(m₀,m₁,…,m_n-1)に対して、内積用ベクトルm2=(m2₀,m2₁,…,m2_n-1) =(m₀,-m_n-1,-m_n-2,…,-m₁)を用意する。内積用暗号文Enc2(m)をEnc(m2)と定め、内積用ベクトルm2を係数に持つ多項式をm2(x)とする。このとき、多項式で表した平文ベクトルm(x)の暗号文Enc(m(x))と、と平文ベクトルm′(x)の内積用暗号文Enc2(m′(x))に対して、以下が成り立つ。

HomMul(Enc(m(x)), Enc2(m′(x)))
=Enc(m(x)*m2′(x) mod (t, xⁿ⁺¹))
=Enc(<m,m′>+m′′(x) mod t)

　なぜならば、xⁿ=-1であることに注意すると、Σ_i=1 ^n-1 -m_i*m′_i*xⁿ = Σ_i=1 ^n-1 m_i*m′_iとなるので、以下の計算が成り立つからである。
m(x)=m₀ + m₁*x + m₂*x² + … + m_n-1*x^n-1
×m2′(x)=m′₀ - m′₁*x^n-1 - m′₂*x^n-2 - … - m′_n-1*x¹
=m₀* m′₀ + Σ_i=1 ^n-1 -m_i*m′_i*xⁿ + m′′(x)
=Σ_i=0 ^n-1 m_i*m′_i + m′′(x)
=<m,m′> + m′′(x)

　上記準同型演算を用いると、不定元xのシフト量s乗、つまりx^sを暗号化したEnc(x^s)と、周期データm(x)の暗号文Enc(m(x))とを準同型乗算することで、周期データm(x)の暗号文Enc(m(x))におけるデータの周期的な配列をシフトすることができる。なぜならば、以下の関係式が成り立つからである。

HomMul(Enc(m(x)),Enc(x^s))
=Enc(m(x)*x^s mod (t, xⁿ⁺¹))
=Enc((m>>_s) mod t)

　ただし、上記数式において>>_はベクトルの右方向への負巡回演算（巡回する際に-1倍される巡回演算）を表す。すなわち、上記準同型巡回演算は、平文ベクトル平文 m=(m₀, m₁,…,m_n-1) に対する暗号文をEnc(m)とし、巡回量をsとする場合、巡回後の暗号文HomCycle(Enc (m), s)が以下のように得られるものである。
HomCycle(Enc (m), s)=Enc((-m_n-s, … ,-m_n-1, m₀, … , m_n-1-s ))

　なお、上記準同型巡回演算は、巡回する際に-1倍されるが後に説明する実施形態からも解るように実用上は問題がない。また、上記準同型巡回演算は、第１の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムに組み合わせることによって、第２の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを実現する。

［第３の実施形態］
　次に、第２の実施形態における準同型巡回演算を改良した準同型巡回演算を説明する。第３の実施形態における準同型巡回演算は、第２の実施形態における暗号化および準同型巡回演算以外の準同型演算を用いることができるので、以下の第３の実施形態の説明では、第３の実施形態における準同型巡回演算のみを説明する。

　第３の実施形態における準同型巡回演算は、周期データm(x)の暗号文Enc(m(x))を不定元xに進数rを代入したもののシフト量s乗、つまりr^sでスカラー倍することで、周期データm(x)の暗号文Enc(m(x))における前記データの周期的な配列をシフトする。

　具体的には、多項式で表した平文m(x)の暗号文Enc(m(x))に対して、巡回量sの準同型巡回演算は以下のように計算することができる。ただし、下記式変形中でu′(r))=u(r)*r^sである。

[Enc(m(x))*r^s]_d
=[[m(r)+t*u(r)]_d*r^s]_d
=[m(r)*r^s + t*u(r)*r^s]_d
=[m₀*r^s + m₁*r^1+s + … + m_n-1*r^n-1+s + t*u′(r)]_d
=[-m_n-s + (-m_n-s+1)*r + … + (-m_n-1)*r^s-1 + m₀*r^s + m₁*r^s+1 + … + m_n-s-1*r^n-1 + t*u′(r)]_d
=Enc((m>>_s) mod t)

　なお、rⁿ = -1 mod d より r^-1 = -r^n-1 mod d であるから、シフト量ｓが負の場合は左方向への負巡回演算となる。

　ここで、第２の実施形態における準同型巡回演算と第３の実施形態における準同型巡回演算の違いについて説明する。

　第２の実施形態における準同型巡回演算は、HomMul(Enc(m(x)),Enc(x^s))を計算するので、Enc(x^s)を保管もしくは毎回計算する必要がある。一方、第3の実施形態における準同型巡回演算で用いるrⁱは、暗号化でも用いられるので、事前に計算されていて計算結果がメモリに記憶されていることが多い。したがって、その場合、既に計算されているrⁱを再利用することができるので、追加の保管コストおよび計算コストが発生しない。

　また、第３の実施形態における準同型巡回演算で用いるrⁱを再利用することができず、計算する必要がある場合であっても、rⁱの計算コストは、Enc(x^s)の計算コストよりは小さい。なぜならば、暗号化の定義式Enc(m)=[Σ_i=0 ^n-1 (m_i+t*u_i)*rⁱ]_dにrⁱが含まれているからである。

　さらに、第２の実施形態における準同型巡回演算は、準同型乗算HomMulを用いた場合復号誤りの要因となるノイズの増加を引き起してしまう。ここで、ノイズの増加とは暗号文Enc(m(x))=[m(r)+t*u(r)]_dにおけるu(r)に対応する多項式u(x)の係数の絶対値が大きくなることをいう。一方、第３の実施形態における準同型巡回演算では、準同型巡回演算後のノイズがu′(r)=u(r)*r^sであるから、対応するu>>_sを係数に持つ多項式であり、巡回した要素の正負は反転しているが、係数の絶対値は変わらない。したがって、ノイズの増加は発生しない。

　つまり、第３の実施形態における準同型巡回演算は、第２の実施形態における準同型巡回演算と比較すると、追加の記憶コストまたは計算コスト、および復号エラー確率の増加またはそれに対応するために暗号方式のパラメータを大きくすることによる暗号方式全体の計算コストが少ないというメリットがある。

　なお、第３の実施形態における準同型巡回演算も、第１の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムに組み合わせることによって、第３の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを実現することができる。

［第４の実施形態］
　上記説明した準同型巡回演算は、巡回する際に-1倍される負巡回演算である。第４の実施形態では、巡回する際に-1倍される負巡回演算であっても、工夫をすることで実用可能であることを類似度の計算を例に用いて説明する。データの周期的な配列を周期的に冗長させてから不定元の多項式の係数に格納して暗号化することで巡回する際に-1倍される負巡回演算であっても、適切に類似度の計算を行うことができる。

　図５は、複素環式化合物の類似度の秘密計算の概念を示す図である。図５に示すように、複数の製薬会社から複素環式化合物Ａの構造を暗号化して登録しているデータベースがあるとする。そして、ユーザーは自己が発見等した複素環式化合物Ｂが過去に登録されている複素環式化合物とどれぐらい類似しているかの類似度を知りたいとする。複素環式化合物がどれぐらい類似しているかの類似度は、例えば下記スコア表のように複素環式化合物に含まれる原子の対応関係によって定められるものとする。

　すると、スコア表から内積演算を用いて類似度の計算をすることができる。例えば、図５に示される例で説明すると、複素環式化合物Ａに含まれる原子に従いスコア表の行を選択して、これら選択されたスコア表の行を一列に繋げた配列Ａを作成する。ここでは、左上から右回りに順に繋げるとする。もう一方の複素環式化合物Ｂについては、複素環式化合物Ｂに含まれる原子に従い該当する箇所に１を該当しない箇所に０を割り当てる配列Ｂを作成する。同様に、左上から右回りに順に繋げるとする。

　この２つの配列Ａと配列Ｂにベクトルとしての内積演算を行うことで類似度計算をすることができる。ここで、既に説明したように内積演算は準同型演算を用いることができるので、複素環式化合物Ａと複素環式化合物Ｂの構造を秘匿したまま類似度計算を行うことができる。

　<A, B> = +5 + 0 + 0 + … + 0 + 0 + 0

　ところで、複素環式化合物は巡回構造であるので、どこを始点として類似度計算をするかによって類似度の値が変わってしまう。実際、複素環式化合物Ａと複素環式化合物Ｂは同じ複素環式化合物であるが巡回構造の始点が異なっているために類似度が低く計算されてしまっている。準同型巡回演算がない場合は、巡回構造の始点の取り得る組み合わせの数だけ重複して複素環式化合物のデータを暗号化する必要がある。一方、準同型巡回演算があれば、巡回構造の始点を任意の一つに定めて暗号化した後に、準同型巡回演算によって暗号化したまま始点を変更することが可能である。

　しかしながら、上記説明した準同型巡回演算では、巡回する際に－１倍される負巡回演算であるので以下の２点において問題が生じる。

・Case1：Somewhat準同型暗号が扱う平文の次元数と暗号化するベクトルの長さが異なる場合、巡回されない。

　例えば、以下に示すように、準同型暗号が扱う平文の次元数と暗号化するベクトルの長さが異なる場合、余りの次元の部分には０が格納されている。この場合、準同型内積演算を行っても正しい結果が得られない。

　<A′, B> = +1 （本来は+5）

・Case2：Somewhat準同型暗号が扱う平文の次元数と暗号化するベクトルの長さが同じ場合でも、負巡回であることから－１倍された値が計算に利用される。

　例えば、以下に示すように、準同型暗号が扱う平文の次元数と暗号化するベクトルの長さが同じ場合でも、負巡回であることから-1倍された値が計算に利用されるので、準同型内積演算を行っても正しい結果が得られない。

　<A′, B> = -5 （本来は+5）

　そこで、第４の実施形態の準同型巡回演算では、データの周期的な配列を周期的に冗長させてから不定元の多項式の係数に格納して暗号化する。これにより、第４の実施形態の準同型巡回演算は、巡回する際に－１倍される負巡回演算であっても、適切に準同型内積演算を行うことができ、結果として、類似度の計算も正しく行うことができる。なお、下記の例からも解るように、周期的に冗長させたもう一方のベクトルの対応部分にはゼロを入れる。なお、冗長部分は白抜き文字で記載された部分である。

　<A′, B> = +5 （正解）

　また、準同型暗号が扱う平文の次元数と暗号化するベクトルの長さが同じ場合でも、データの周期的な配列を周期的に冗長させてから不定元の多項式の係数に格納して暗号化することで、巡回する際に－１倍される負巡回演算であっても、適切に準同型内積演算を行うことができ、結果として、類似度の計算も正しく行うことができる。

　<A′, B> = +5 （正解）

　以下、上記説明した第４の実施形態の準同型巡回演算をより具体的に説明する。なお、以下の説明では、第１の実施形態の説明で用いた暗号化装置１１０および準同型巡回演算装置１２０を参照するが装置構成が必ずしもこれに限定されるものではない。

・前提条件
　まず、前提条件として、各要素は0からl-1にエンコードされるものとする。スコア空間のサイズはs_sizeであり、周期的なデータの配列の長さはr_sizeであるとする。また、ここでの巡回演算は、左右両方へのシフトを許容し、左シフトのシフト量をs_lとし、右シフトのシフト量をs_rとする。また、下記スコア表のi行目をベクトルT_iと見做す。

・セットアップ
　セキュリティパラメータを入力とし、係数空間サイズs>s_sizeのn－１次（n≧(r_size+s_l+s_r)×l）の多項式を平文として扱うことができるSomewhat準同型暗号の公開鍵pkと秘密鍵skを生成する。ここで、s>s_sizeは出力される可能性のあるスコアをすべて扱えることを意味している。また、n≧(r_size+s_l+s_r)×lは暗号化するベクトルの長さを暗号化できるための条件である。

・登録
　登録フェーズでは、公開鍵pkとデータの周期的な配列(ベクトル)x=(x₀, x₁, … , x_{r_size-1})を入力とし、以下の計算を行う。なお、この処理は典型的には暗号化装置１１０を用いて行われるが、事前に準同型巡回演算装置１２０に登録しておくことができるのであれば装置に限定されない。
１．データの周期的な配列(ベクトル)xを冗長化したベクトルをx′=(x_{r_size-s_r}, … , x_{r_size-1}, x₀, … , x_{r_size-1}, x₀, ... , x_{s_l})とする。
２．ベクトルx′の各要素に対応するスコア表の行ベクトルを並べたベクトルを T=(T_{x_{r_size-s_r}}, ... , T_{x_{r_size-1}}, T_{x_0}, … , T_{x_{r_size-1}}, T_{x_0}, … , T_{x_{s_l}})とする（下記表を参照）。
３．c₁=Enc(T)を計算し出力する。

・クエリ
　クエリのフェーズでは、暗号化装置１１０が公開鍵pkとデータの周期的な配列(ベクトル)y=(y₀, y₁, … , y_{r_size-1})を入力とし、以下の計算を行う。
１．ベクトルyの各要素の値の次元のみ1でそれ以外0であるベクトルを並べたベクトルをB=(B_{y_0}, … , B_{y_{r_size-1}})，B_i=(b₀, b₁, … ,b_l-1)，b_j={0 if j≠y_i ，1 if j=y_i}とする。
２．ベクトルBの左右にs_r, s_l個の次元数lの零ベクトルを追加したベクトルをB′=(0^s_r*l, B_{y_0}, … , B_{y_{r_size-1}}, 0^s_l*l)とする。ここで、0^aは次元数aの零ベクトルを表す（下記表を参照）。
３．c₂=Enc2(B′) を計算し、出力を準同型巡回演算装置１２０へ送信する。

・類似度計算
　類似度計算のフェーズでは、準同型巡回演算装置１２０が公開鍵pkと登録で生成された暗号文c₁とクエリで生成された暗号文c₂とを入力とし、以下の計算を行う。
１．空の集合C={ }を用意する。
２．j = -s_l,...,s_rに対して以下aからdを計算する。
a. c = HomCycle(c₁, l*j)
b. c_ip = HomIP_pk(c, c₂)
c. r = (0, r₁, r₂, … , r_n-1) （r_i は暗号方式の平文空間上一様ランダム）を生成する。
d. c_r=Enc(r)
e. c=HomAdd(c_ip, c_r) を C に追加する。
３．Cを出力し、これを暗号化装置１１０へ送信する。

　なお、上記類似度計算のうちaとbの計算は、c = HomCycle(c₂, l*j)とc_ip = HomIP_pk(c, c₁)としてもよい。また、上記類似度計算のうちcからeの計算は、準同型内積演算のうち定数項以外から情報が漏洩することを防ぐためにマスクをするためのものである。したがって、情報が漏洩することを防ぐ必要がない場合は省略することも可能である。

・復号
　復号のフェーズでは、暗号化装置１１０が秘密鍵skと類似度計算で生成された暗号文の集合Cとを入力として、以下の計算を行う。
１．空の集合M={ }を用意する。
２．すべてのc∈Cに対して、以下の計算をする。
a. m = (m₀, m₁, … , m_n-1) = Dec(c) とする。
b. m₀ をMに追加する。
３．Mを出力する。

　以上のように第２の実施形態および第３の実施形態で説明した準同型巡回演算は、巡回する際に－１倍される負巡回演算であるが、工夫をすることで類似度の計算に用いることができることが示された。なお、類似度の計算は、巡回する際に-1倍される負巡回演算を適用することが可能な例の一つに過ぎず、第２の実施形態および第３の実施形態で説明した準同型巡回演算の応用例がこれに限定されるものではない。

　また、第４の実施形態における準同型巡回演算も、第１の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムに組み合わせることによって、第４の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを実現することができる。したがって、第４の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムは、データの周期的な配列の類似度計算を行うのに好適な実施形態である。

［第５の実施形態］
　次に、第２の実施形態および第３の実施形態で説明した準同型巡回演算のもう一つの応用例を説明する。第５の実施形態における準同型巡回演算は、秘匿関数評価に用いられるものである。また、以下の説明では、第１の実施形態の説明で用いた暗号化装置１１０および準同型巡回演算装置１２０を参照するが装置構成が必ずしもこれに限定されるものではない。

　秘匿関数評価とは、データmの暗号文Enc(m)がデータベースサーバに登録されているとし、ユーザーは整数係数の多項式関数f(x)=a₀+a₁*x+a₂*x²+…+a_N*x^Nをデータベースサーバに秘匿したまま関数の評価値f(m)=a₀+a₁*m+a₂*m²+…+a^N*m^Nを計算するものである。ただし、評価したい多項式の次数Nは公開してもよいものとし、秘密鍵は別の安全な手段でユーザーに渡されるとする。

　まず、比較のために準同型巡回演算を用いない秘匿関数評価について説明する。この準同型巡回演算を用いない秘匿関数評価は、ホーナー法を用いるものであり、f(x)=a₀+a₁*x+a₂*x²+…+a_N*x^Nをf(x)=a₀+x*(a₁+x*(a₂+…x(a_N-1+x*a_N)))として書き換えることができることを利用する。このホーナー法は最も少ない加算と乗算の演算回数でn次の多項式の評価を行うことができることが知られている。

１．ユーザーはEnc(a₀), Enc(a₁), ... , Enc(a_N)を計算し、これらをデータベースサーバに送付する。
２．データベースサーバは以下のように準同型演算を用いてEnc(f(m))を計算し、ユーザーに送付する。
a. c = Enc(a_N)
b. i = N-1, N-2, ... , 0に対して、以下を計算する。
　1. c=HomMul(c, Enc(m))
　2. c=HomAdd(c, Enc(a_i))
３．m′=(m′₀, m′₁, ... , m′_n-1)=Dec(c)とする。
４．m′₀を評価値f(m)= a₀+a₁*m+a₂*m²+…+a^N*m^Nとする。

　上記計算から解るように、ホーナー法を用いる秘匿関数評価では、評価したい多項式の次数Nに対して、ユーザーはN+1個の暗号文Enc(a₀), Enc(a₁), ... , Enc(a_N)を計算し、データベースサーバに送付する。したがって、評価したい多項式の次数Nが大きくなるとユーザーの暗号化コストとデータベースサーバ間の通信量が増加することになる。

　そこで、準同型巡回演算を用いることで、評価したい多項式の次数Nが大きい場合でもユーザーの暗号化コストとデータベースサーバ間の通信量が増加しないようにする。

　具体的には、以下のように多項式関数f(x)=a₀+a₁*x+a₂*x²+…+a_N*x^Nをデータベースサーバに秘匿したまま関数の評価値f(m)=a₀+a₁*m+a₂*m²+…+a^N*m^Nを計算する。

１．まず、ユーザーはユーザー端末（暗号化装置１１０）を用いて内積用暗号文Enc2((a₀, a₁, ... , a_N))を計算し、これをデータベースサーバに送付する。
２．データベースサーバ（準同型巡回演算装置１２０）は以下のように準同型演算を用いてEnc(f(m))を計算する。
A. c=Enc(m)
B. 次の処理をN-1回繰り返し，Enc((m, m², ... , m^N))を計算する。
a. c=HomMul(c, Enc(m))
b. c=HomCycle(c, 1)
c. c=HomAdd(c,Enc(m))
C. 次の処理でEnc((1, m, m², ... , m^N))を計算
a. c=HomCycle(c, 1)
b. c=HomAdd(c,Enc(1)) （Enc(1)は予め計算しておく）
D．上記のように計算されたc= Enc((m, m², ... , m^N))とユーザーから送信されたEnc2((a₀, a₁, ... , a_N))との準同型内積c=HomIP(c, Enc2((a₀, a₁, ... , a_N)))を計算する。この計算後、c=Enc(a₀+a₁*m+a₂*m²+…+a^N*m^N)=Enc(f(m))となっている。
３．ユーザーはユーザー端末（暗号化装置１１０）にて秘密鍵を用いてcを復号し、評価値f(m)を取り出す。

　ここで、準同型巡回演算を用いない秘匿関数評価方法（ホーナー法）と第５の実施形態の準同型巡回演算を用いる秘匿関数評価方法の比較を行う。下記表は、準同型巡回演算を用いない秘匿関数評価方法（ホーナー法）と第５の実施形態の準同型巡回演算を用いる秘匿関数評価方法を比較した表である。なお、HomMulとHomCycleの計算コストは同じであり、EncとEnc2の計算コストは同じあり、計算コストの比較は処理回数の比較をすればよい。

　上記比較表から解るように、第５の実施形態の準同型巡回演算を用いる秘匿関数評価の方が、準同型巡回演算を用いない秘匿関数評価よりも、暗号化の計算コストおよびユーザーからデータベースサーバへの通信量が少なくて済む。一方、第５の実施形態の準同型巡回演算を用いる秘匿関数評価の方が、準同型巡回演算を用いない秘匿関数評価よりも、データベースサーバで行われる準同型処理の計算コストが大きい。したがって、第５の実施形態の準同型巡回演算を用いる秘匿関数評価は、ユーザーが用いる端末（暗号化装置１１０）が非力である場合などに好適に活用することができる。

　また、第５の実施形態における準同型巡回演算も、第１の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムに組み合わせることによって、第５の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムを実現することができる。したがって、第５の実施形態の準同型巡回演算システム、準同型巡回演算装置、準同型巡回演算方法および準同型巡回演算プログラムは、秘匿関数評価を行うのに好適な実施形態である。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算システムであって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化して、周期データの暗号文を生成する暗号化装置と、
　前記周期データの暗号文に前記不定元のシフト量乗を作用することにより、前記周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置と、
を備える準同型巡回演算システム。
［付記２］
　前記準同型巡回演算装置は、前記不定元のシフト量乗を暗号化したものと、前記周期データの暗号文とを準同型乗算することで、前記周期データの暗号文における前記データの周期的な配列をシフトする、
　付記１に記載の準同型巡回演算システム。
［付記３］
　前記準同型巡回演算装置は、前記周期データの暗号文を前記不定元に進数を代入したもののシフト量乗でスカラー倍することで、前記周期データの暗号文における前記データの周期的な配列をシフトする、
　付記１に記載の準同型巡回演算システム。
［付記４］
　前記進数ｒは、前記配列の周期ｎと暗号文空間サイズｄを用いたとき、rⁿ ≡ -1 mod dを満たす数である、付記３に記載の準同型巡回演算システム。
［付記５］
　前記暗号化装置は、前記データの周期的な配列にノイズベクトルを付加してから不定元の多項式の係数に格納して暗号化する、
　付記１から付記４のいずれか１つに記載の準同型巡回演算システム。
［付記６］
　前記暗号化装置は、前記データの周期的な配列を周期的に冗長させてから不定元の多項式の係数に格納して暗号化する、
　付記１から付記５のいずれか１つに記載の準同型巡回演算システム。
［付記７］
　前記周期的な配列は、評価用の値を代入することで評価を行いたい評価多項式の係数であり、
　前記暗号化装置は、前記評価多項式の係数を暗号化し、
　前記準同型巡回演算装置は、前記評価用の値を暗号化した暗号文に対して１シフトと前記暗号文自身の乗算とを繰り返し、前記評価多項式の係数の暗号文との内積演算をすることで、前記評価多項式に前記評価用の値を代入したものの暗号文を得る、
　付記１から付記５のいずれか１つに記載の準同型巡回演算システム。
［付記８］
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算装置であって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置。
［付記９］
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算方法であって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって周期データの暗号文を生成するステップと、
　前記周期データの暗号文に前記不定元のシフト量乗を作用することによって前記周期データの暗号文における前記データの周期的な配列をシフトするステップと、
を備える準同型巡回演算方法。
［付記１０］
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をすることをコンピュータに行わせるプログラムであって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、周期データの暗号文における前記データの周期的な配列をシフトするプログラム。

　なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。

　１００　準同型巡回演算システム
　１１０　暗号化装置
　１２０　準同型巡回演算装置
　１２１　記憶部
　１２２　受信部
　１２３　演算部
　１０　ハードウェア構成
　１１　ＣＰＵ（Central Processing Unit）
　１２　主記憶装置
　１３　補助記憶装置
　１４　ＩＦ（Interface）部

Claims

　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算システムであって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化して、周期データの暗号文を生成する暗号化装置と、
　前記周期データの暗号文に前記不定元のシフト量乗を作用することにより、前記周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置と、
を備える準同型巡回演算システム。
　前記準同型巡回演算装置は、前記不定元のシフト量乗を暗号化したものと、前記周期データの暗号文とを準同型乗算することで、前記周期データの暗号文における前記データの周期的な配列をシフトする、
　請求項１に記載の準同型巡回演算システム。
　前記準同型巡回演算装置は、前記周期データの暗号文を前記不定元に進数を代入したもののシフト量乗でスカラー倍することで、前記周期データの暗号文における前記データの周期的な配列をシフトする、
　請求項１に記載の準同型巡回演算システム。
　前記進数ｒは、前記配列の周期ｎと暗号文空間サイズｄを用いたとき、rⁿ ≡ -1 mod dを満たす数である、請求項３に記載の準同型巡回演算システム。
　前記暗号化装置は、前記データの周期的な配列にノイズベクトルを付加してから不定元の多項式の係数に格納して暗号化する、
　請求項１から請求項４のいずれか１つに記載の準同型巡回演算システム。
　前記暗号化装置は、前記データの周期的な配列を周期的に冗長させてから不定元の多項式の係数に格納して暗号化する、
　請求項１から請求項５のいずれか１つに記載の準同型巡回演算システム。
　前記周期的な配列は、評価用の値を代入することで評価を行いたい評価多項式の係数であり、
　前記暗号化装置は、前記評価多項式の係数を暗号化し、
　前記準同型巡回演算装置は、前記評価用の値を暗号化した暗号文に対して１シフトと前記暗号文自身の乗算とを繰り返し、前記評価多項式の係数の暗号文との内積演算をすることで、前記評価多項式に前記評価用の値を代入したものの暗号文を得る、
　請求項１から請求項５のいずれか１つに記載の準同型巡回演算システム。
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算装置であって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、周期データの暗号文における前記データの周期的な配列をシフトする準同型巡回演算装置。
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をする準同型巡回演算方法であって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって周期データの暗号文を生成するステップと、
　前記周期データの暗号文に前記不定元のシフト量乗を作用することによって前記周期データの暗号文における前記データの周期的な配列をシフトするステップと、
を備える準同型巡回演算方法。
　少なくとも１回の乗算に関して準同型演算が定義される準同型暗号を用いてデータの周期的な配列の準同型巡回演算をすることをコンピュータに行わせるプログラムであって、
　前記データの周期的な配列を不定元の多項式の係数に格納して暗号化することによって生成した暗号文に前記不定元のシフト量乗を作用することにより、周期データの暗号文における前記データの周期的な配列をシフトするプログラム。