WO2023074133A1

WO2023074133A1 - 暗号処理装置、暗号処理方法、及び暗号処理プログラム

Info

Publication number: WO2023074133A1
Application number: PCT/JP2022/033600
Authority: WO
Inventors: 優佑星月; 航太郎松岡
Original assignee: 株式会社アクセル
Priority date: 2021-10-26
Filing date: 2022-09-07
Publication date: 2023-05-04
Also published as: JP2023064452A; JP7187074B1; JP2023064757A

Abstract

暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで多倍長整数の演算を実現する。暗号文を処理する暗号処理装置であって、ｃｅ暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、割られる数の暗号文に対して、割る数の平文を含む第１の多項式に基づいてスカラ剰余算を行い、剰余に対応する新たな暗号文を算出する算出部を備える。

Description

暗号処理装置、暗号処理方法、及び暗号処理プログラム

　本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。

　準同型暗号（Homomorphic Encryption）は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
　平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
　有限巡回群を整数に見立てて、加法演算（加算、減算）のみを行う加法準同型暗号と、乗法演算（乗算）のみを行う乗法準同型暗号とが以前から知られていた。
　有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
　また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号（Fully Homomorphic Encryption，FHE）がある。
　完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE（Learning with Errors）問題に基づく完全準同型暗号が知られている。

　LWE問題に基づく完全準同型暗号では、演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingが実行される。
　bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
　この問題を劇的に改善した手法が、非特許文献１（以下の説明において、上記論文として参照される）に示されるTFHE（Fast Fully Homomorphic Encryption over the Torus）である。
　準同型暗号には、平文として二値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと１暗号文とするInteger-wise型の準同型暗号と、があり、非特許文献１に示されるTFHEはBit-wise型である。
　なおTFHEの平文は円周群に対応づけられた０～１の実数である。よって、円周群の値域０～１を区切った区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る（非特許文献２参照）。

TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene Integerwise Functional Bootstrapping on TFHE, 2020, Hiroki Okada, Shinsaku Kiyomoto, and Carlos Cid

　TFHEをBit-wiseではなくInteger-wiseでの四則演算が可能な準同型暗号として利用することができれば、1ビットずつ計算するよりも効率的に処理を行うことができる。
　しかしながら、従来はInteger-wise型のTFHEで大きな数の演算を行うには、円周群の分割数を大きくして一つの暗号文で大きな数を表現する必要があった。円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。
　本発明は、一側面として暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで大きな数を扱うために、多倍長整数の演算を実現することを目的とする。

　本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、割られる数の暗号文に対して、割る数の平文から得られる第１の多項式に基づいてスカラ剰余算を行い、剰余に対応する新たな暗号文を算出する算出部を備える、暗号処理装置を特徴とする。

　本発明によれば、一側面として、暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで多倍長整数の演算を実現することが出来る。

本実施形態の暗号処理装置の機能構成を説明する図である。図２の機能構成に基づく演算プロセスを詳しく説明する図である TLWE暗号が平文として有する円周群を説明するイメージ図である。２値Gate Bootstrappingの動作イメージ図である。 Integer-wise型に適用したTFHEを説明する図である。多倍長乗算をひっ算で実現する仕組みを説明する図である。暗号処理装置が実行するスカラ除算処理の流れを示すフローチャートである。暗号処理装置が実行するスカラ剰余算処理の流れを示すフローチャートである。暗号処理装置が実行する多倍長演算処理の流れを示すフローチャートである。本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。コンピュータ装置の一実施例を示すブロック図である。

　以下に、図面を参照して本発明の実施の形態を詳細に説明する。
　なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
　また、本明細書において、「論理演算」と記す場合は２値もしくは多値の論理演算のことを指すものとする。

　図１は、本実施形態の暗号処理装置の機能構成を説明する図である。
　暗号処理装置１は、制御部１０と、記憶部２０と、通信部２５と、入力部２６と、を備える。
　制御部１０は、受付部１１と、第１演算部１２と、第２演算部１３と、第１Bootstrapping部（第１算出部）１５と、第２Bootstrapping部（第２算出部）１６と、出力部１８と、を備えている。
　受付部１１は、通信部２５や入力部２６を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部１１は、暗号処理装置１が実行する他のプロセスから暗号文の入力を受け付ける。
　第１演算部１２は、入力暗号に対して第１準同型演算を行う。
　第２演算部１３は、入力暗号に対して第２準同型演算を行う。
　第１Bootstrapping部１５は、第１演算部１２の演算結果、又は第２演算部１２の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
　第２Bootstrapping部１６は、第１演算部１２の演算結果、又は第２演算部１２の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
　第１演算部１２、第２演算部１３は、下記に説明する準同型演算をソフトウェアで実現する演算処理部である。第１演算部１２、第２演算部１３、第１Bootstrapping部１５、第２Bootstrapping部１６の少なくとも一つはハードウェアで実現されてもよい。

　出力部１８は、最終的な演算結果を暗号処理装置１の外部、あるいは、暗号処理装置１で実行される別の処理プロセスに対して出力する。
　記憶部２０は、入力暗号文や、暗号文に対する演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
　また、記憶部２０には、暗号化された暗号化データベース６０を格納することが出来る。
　通信部２５は、暗号処理装置１をネットワークに接続し、外部装置との通信を可能にする。
　記憶部２０に暗号化された暗号化データベース６０を格納し、通信部２５を備えることにより、暗号処理装置１は、データベースサーバとして機能することが出来る。
　この場合、暗号処理装置１は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース６０に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
　入力部２６は、暗号処理装置１に対して、演算処理対象の暗号文や、暗号化データベース６０に対するクエリを入力する。

　図２は、図１の機能構成に基づく演算プロセスを詳しく説明する図である。図２に示す構成では、上記論文で提示されたGate Bootstrappingを使用する。上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
　図２（a）は、スカラ演算（スカラ除算、スカラ剰余算）を行うための機能構成、図２（ｂ）は、スカラ演算（スカラ除算、スカラ剰余算）を含み多倍長演算（加算）を行うための機能構成を示している。
　図２（ａ）において、第１演算部１２、第１Bootstrapping部１５は図２（ｂ）のスカラ除算部を構成し、第２準同型演算の演算結果に対してスカラ除算を実行する。例えば、整数ｘを平文として有する暗号文ｃｘが入力されると、第１演算部１２は暗号文ｃｘの２ｎ倍する第１準同型演算を行い、新たな暗号文ｃｘ’を得る。
　暗号文ｃｘの２ｎ倍は暗号文の整数倍であり、上記に説明したように暗号文の整数倍は円周群上に定義されている。従って、暗号文ｃｘ’は従来知られる方法から得られる。
　暗号文ｃｘ’を入力された第１Bootstrapping部１５は下記に説明するGate Bootstrappingを行うと同時に、暗号文ｃｘ’を所定の平文で割るスカラ除算を行う。
　また暗号文ｃｘ’を入力された第２Bootstrapping部１６は下記に説明するGate Bootstrappingを行うと同時に、暗号文ｃｘ’を所定の平文で割った余りを求めるスカラ剰余算を行う。

　図２（ａ）において、第１演算部１２、第２Bootstrapping部１５は図２（ｂ）のスカラ除算部を構成し、第２準同型演算の演算結果に対してスカラ除算を実行する。
　また図２（ａ）において、第１演算部１２、第２Bootstrapping部１６は図２（ｂ）のスカラ剰余算部を構成し、第２準同型演算の演算結果に対してスカラ剰余算を実行する。
　図２（ｂ）は、図２（ａ）のスカラ除算部、スカラ剰余算部を用いて暗号文同士の多倍長演算（加算）を行う場合の構成を示している。
　図２（ｂ）において、第２演算部１３は、演算対象の入力暗号文ｃａ、ｃｂを夫々分割したｉ番目の部分と、ｉ－1番目にスカラ除算部から出力された商の暗号文ｃｄ_ｉ－1（後に詳述する繰り上がり）とに対して第２準同型演算（ｃａ_ｉ＋ｃｂ_ｉ＋ｃｄ_ｉ－1）を行う。ただし初回（ｉ＝１）の第２準同型演算を行う場合は、下記に説明するようにｃｄ_ｉ－１は０を平文とする暗号文であり、単にｃａ_ｉ＋ｃｂ_ｉ（ｉ＝１）を行うのみである。
　第２準同型演算の出力である暗号文ｃｃは、スカラ除算部、スカラ剰余算部に入力されて、暗号文ｃｃを平文で割ったときの除算結果である商の暗号文ｃｄ、剰余算結果である剰余の暗号文ｃｍ_ｉが出力される。
　商の暗号文ｃｄは第２演算部１３に戻され、第２演算部１３は、入力暗号文ｃａ、ｃｂのｉ＋１番目の部分と商の暗号文ｃｄの第２準同型演算を行う。次のスカラ除算、スカラ剰余算を行われる。
　第２準同型演算、スカラ除算、スカラ剰余算を繰り返し行い、全体で所定回数繰り返したときのスカラ剰余算の結果である暗号文ｃｍの列が、多倍長演算（加算）の演算結果となる。

　TFHEで説明されるGate Bootstrappingについて詳述する。
　Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
　上記論文のTFHEでは、LWE（Learning with Errors）暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算（ひいては加算・乗算などの任意の演算）を実現する。

　TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
　TFHEでは、TLWE暗号文を基本として完全準同型暗号（FHE)を実現する。
　TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合（LWE暗号を円周群上で定義したもの）である。
　TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。

　図３は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
　TLWE暗号は、０から実数の精度で進み１になると０に戻る、図５に示す円周群{Ｔ}の任意の点を平文とし、０近辺（誤差含む）とμ近辺（誤差含む）を平文として使用する。
　円周群{Ｔ}上の点は、本明細書において「要素」ともいう。
　TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度（後段での）論理演算が可能な完全準同型暗号（FHE)を実現する。

［TLWE暗号］
　TLWE暗号を説明する。
　円周群{Ｔ}上の要素として、一様分布な乱数をＮ個集めたベクトル[ａ]を用意する。また、０，１の２値をＮ個集めた秘密鍵[ｓ]を用意する。
　平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布（正規分布）の乱数をｅとしたときに、（[ａ]，[ｓ]・[ａ]＋ｅ）の組がTLWE暗号文の一例となる。
　同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、ｅは誤差付きの平文である。
　なお、「・」は、ベクトルの内積を表す。以降についても同様である。
　上記[ｓ]・[ａ]＋ｅをｂとおくと、TLWE暗号文は（[ａ]，ｂ）と表すことができる。
　φ_ｓ（（[ａ]，ｂ））＝ｂ－[ｓ]・[ａ]＝ｅは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。

　このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
　２つのTLWE暗号文（[ａ]，ｂ）、（[ａ’]，ｂ’）をそのまま足して、（[ａ]＋[ａ’]，ｂ＋ｂ’）としたものを、上記の復号関数φ_ｓに入力すると、
φ_ｓ（（[ａ]＋[ａ’]，ｂ＋ｂ’））＝（ｂ＋ｂ’）－[ｓ]・（[ａ]＋[ａ’]）＝（ｂ－[ｓ]・[ａ]）＋（ｂ’－[ｓ]・[ａ’]）＝φ_ｓ（[ａ]，ｂ）＋φ_ｓ（[ａ’]，ｂ’）
となり、２つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
　上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。

　なお、下記において、（[０]，μ）などの「自明な暗号文（trivial）」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
　（[０]，μ）において、[０]は、ゼロベクトルを表す。
　「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
　TLWE暗号文（[０]，μ）は、復号関数φ_ｓにかけると、φ_ｓ（（[０]，μ））＝μ－[ｓ]・０＝μとなり、秘密鍵[ｓ]がゼロベクトル[０]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。

　TFHEのGate Bootstrappingで用いる有限巡回群を説明する。
　Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
　多項式環の剰余環が有限巡回群であることを説明する。
　ｎ次の多項式は、一般にａ_ｎｘ^ｎ＋ａ_ｎ－１ｘ^ｎ－１＋…＋ａ_０と表される。
　これらの全ての集合は、多項式同士の和ｆ（ｘ）＋ｇ（ｘ）に対して可換群をなす。
　また、多項式同士の積ｆ（ｘ）ｇ（ｘ）は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
　多項式同士の和と積に対しては、下記のように分配法則が成り立つ
ｆ（ｘ）｛ｇ（ｘ）＋ｇ’（ｘ）｝＝ｆ（ｘ）ｇ（ｘ）＋ｆ（ｘ）ｇ’（ｘ）
　従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。

　TFHEでは、円周群{Ｔ}を係数とする多項式環を用い、このような多項式環をＴ［Ｘ］と表記する。
　多項式環である多項式Ｔ（Ｘ）をＴ［Ｘ］（Ｘ^ｎ＋１）＋Ｔ［Ｘ］のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
　TFHEでは、多項式環の剰余環をＴ［Ｘ］／（Ｘ^ｎ＋１）と表す。

　多項式環の剰余環Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）として、任意の係数μ（μ∈Ｔ）を用いて、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μ
を取り出す。
　多項式環の剰余環の要素Ｆ（Ｘ）にＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ－μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
　さらにＸを掛けると、μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ^２－μＸ－μのように、もう一度同じことが起きる（一番上の項の係数がプラスからマイナスに反転して定数項として現れる）。
　これを全部でｎ回繰り返すと、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ－μとなって全ての項の係数がマイナスとなる。

　さらにＸを掛け続けると、
－μＸ^ｎ－１－μＸ^ｎ－２・・・－μＸ＋μ
－μＸ^ｎ－１－μＸ^ｎ－２・・・＋μＸ＋μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で２ｎ回繰り返すと、元の多項式環の剰余環の要素Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μに戻る。このように、最上位の係数（μ）が最下位の定数項に符号反転して（－μ）現れて、全体的に項が１つ、ずれている。
　すなわち、多項式Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋・・・＋μＸ＋μは、多項式環の剰余環Ｔ［Ｘ］／（Ｘ^ｎ＋１）という環のなかで位数２ｎの有限巡回群になっている。
　TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式Ｆ（Ｘ）が有する性質を利用して完全準同型暗号を実現する。

[TRLWE暗号]
　Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
　TRLWE暗号について説明する。
　TRLWE暗号のＲは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
　TRLWE暗号における環は、上記した多項式環の剰余環Ｔ［Ｘ］／（Ｘ^ｎ＋１）である。
　TRLWE暗号を得るに当たり、多項式環の剰余環Ｔ［Ｘ］／（Ｘ^ｎ＋１）の要素（元）をランダムに選択する。
　実際には、ｎ－１次多項式の係数ｎ個を、円周群{Ｔ}から一様分布な乱数で選出する。
　多項式の次数がｎ－１であれば、Ｘ^ｎ＋１で割れることがなく、剰余を考える必要がないため、次数がｎ－１の多項式を多項式ａ（Ｘ）とする。

　０，１の２値からランダムにｎ個を集めて、下記の秘密鍵となる多項式ｓ（Ｘ）を組み立てる。
ｓ（Ｘ）＝ｓ_ｎ－１Ｘ^ｎ－１＋ｓ_ｎ－２Ｘ^ｎ－２＋・・・ｓ_１Ｘ＋ｓ_０
　ｎ個の乱数ｅ_ｉを、平均値が平文μ_ｉになり分散がαとなるガウス分布（正規分布）の乱数とし、これらから下記の多項式ｅ（Ｘ）を組み立てる。
ｅ（Ｘ）＝e_ｎ－１Ｘ^ｎ－１＋ｅ_ｎ－２Ｘ^ｎ－２＋・・・ｅ_１Ｘ＋ｅ_０
　ｓ（Ｘ）・ａ（Ｘ）＋ｅ（Ｘ）を、ｆ（Ｘ）（Ｘ^ｎ＋１）＋ｂ（Ｘ）と分解して、ｂ（Ｘ）を得る。
　その結果、TRLWE暗号文として、（ａ（Ｘ），ｂ（Ｘ））が得られる。
　TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
　また、TRLWE暗号は、TLWE暗号と同様に、φ_ｓ（（ａ（Ｘ），ｂ（Ｘ））＝ｂ（Ｘ）－ｓ（Ｘ）・ａ（Ｘ）＋ｇ（Ｘ）（Ｘ^ｎ＋１）として、φ_ｓがＴ［Ｘ］／（Ｘ^ｎ＋１）の元となるようにｇ（Ｘ）を定めたものが、復号関数として機能する。

[Gadget Decomposition]
　Gadget Decompositionについて説明する。
　TRLWE暗号文で用いている多項式の係数は、図５の円周群{Ｔ}の要素である０以上１未満の実数であり小数部分のみを有する。
　これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition（Dec）と定義している。
　例えば、TRLWE暗号文の多項式Ｆ（Ｘ）の次数ｎがｎ＝２として、分割の１単位をＢｇ＝２^２で、ｌ＝３要素に分解する。このとき、各要素は－Ｂｇ／２からＢｇ／２の間に入るようにする。
　TRLWE暗号文は、上記の（ａ（Ｘ），ｂ（Ｘ））のように、２つの多項式の組み合わせである。従って、TRLWE暗号文ｄを、多項式環の剰余環の元となる多項式を要素とする２次元のベクトルと見なして、例えば、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５]
と書くことができる。そのため、以下では各要素をＢｇ^－１＝０．２５のべき乗の和の形に分解する。

　円周群{Ｔ}上では、０．７５＝－０．２５であるので、
ｄ＝［０．７５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．３７５］
＝［－０．２５Ｘ^２＋０．１２５Ｘ＋０．５，０．２５Ｘ^２＋０．５Ｘ＋０．２５＋０．１２５］
＝［０．２５×（－Ｘ^２＋２）＋０．２５^２×２Ｘ＋０．２５^３×０，０．２５×（Ｘ^２＋２Ｘ＋１）９＋０．２５Ｘ^２×２＋０．２５^３×０］
と分解できる。
　従って、Gadget Decompositionを行うと、
　Ｄｅｃ（ｄ）＝［－Ｘ^２＋２，２Ｘ，０，Ｘ^２＋２Ｘ＋１，２，０]
というベクトルになる。

　ベクトルから暗号文に逆変換する作用素Ｈも定義する。
　上記の例に基づいて説明すると、

　という行列が、逆変換の作用素Ｈとなる。Ｄｅｃ（ｄ）・Ｈを演算することで、TRLWE暗号文ｄ’が得られる。下位ビットは四捨五入をしてまるめられている。

　TRLWE暗号文ｄに対して、||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作が、Gadget Decompositionであるとも言える。ここで｜｜はベクトルのノルム（長さ）である。
　ｅ（Ｘ）の係数全てが平均値０となり、分散はαとなる多項式でできた暗号文Ｚｉ＝（ａ（Ｘ），ｂ（Ｘ））を２ｌ（エル）個生成する。
　そして、平文μを以下のように暗号化し、以下の暗号文ｋを得る。

　この暗号文ｋをTRGSW暗号文ＢＫとして定義する。
　TRGSW暗号文ＢＫは、下記に用いるBootstrapping Keyを構成する。

　Bootstrapping Keyを説明する。
　Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
　TLWE暗号文に用いる秘密鍵[ｓ]（Ｎ次）とは別に、Gate Bootstrappingに使うために、秘密鍵[ｓ]を暗号化するための秘密鍵[ｓ’]の各要素を０か１の２値で選択する。
　秘密鍵[ｓ’]の次数は、TRLWE暗号で使用する多項式の次数ｎとそろえる必要がある。
　秘密鍵[ｓ]の要素ごとにTRGSW暗号文ＢＫを作成する。
　秘密鍵[ｓ’]で復号するとφ_ｓ’（Zｊ）＝０となるTRLWE暗号文Ｚｊを２ｌ（エル）個作成する。
　そして、上記したTRGSW暗号文の構成どおり、

とする。
　このTRGSW暗号文を、秘密鍵[s]の次数と同じＮ個用意したセットを、Bootstrapping Keyと呼ぶ。

　TRGSW暗号文ＢＫｉとTRLWE暗号文ｄの外積を、
ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ
と定義する。
　Gadget Decompositionは、TRLWE暗号文ｄに対して||ｄ－[ｖ]・Ｈ||が最小値となる[ｖ]を得る操作であった。
　従って、[ｖ]＝Ｄｅｃ（ｄ）と誤差（ε_ａ（Ｘ），ε_ｂ（Ｘ））を用いて、
[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））と書ける。
　その結果、ＢＫｉ×ｄ＝Ｄｅｃ（ｄ）・ＢＫｉ

となる。
　左半分は内積を計算し、右半分には[ｖ]・Ｈ＝ｄ＋（ε_ａ（Ｘ），ε_ｂ（Ｘ））を代入すると、

となり、下記の３つの暗号文ｃ１、ｃ２、ｃ３の和の計算と同じとなる。

　TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
　Ｃ_１は、Ｚ_ｊを何倍かして足したものなので、平文φ_ｓ’（ｃ_１）の期待値は０となる。
　また復号したφ_ｓ’（ｃ_３）は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。

　そうするとφ_ｓ’（BKｉ×ｄ）＝φ_ｓ’（ｓ_ｉ×ｄ）となるが、ｓ_ｉが０であっても１であっても計算結果は上記３つの暗号文ｃ１、ｃ２、ｃ３の和になる。単純な比較でｓ_ｉが０と１の何れであるかを判別することができない。
　２つの平文μ_０、μ_１に対応するTRLWE暗号文ｄ_０、ｄ_１があるとして、ｄ＝ｄ_１－ｄ_０と代入して、最後にｄ_０を加算すると、下記のようなＣＭｕｘ関数が完成する。
　ＣＭｕｘ（ＢＫ_ｉ，ｄ_０，ｄ_１）＝ＢＫｉ×（ｄ_１－ｄ_０）＋ｄ_０＝Ｄｅｃ（ｄ_１－ｄ_０）・ＢＫ_ｉ＋ｄ_０
　ＣＭｕｘ関数は、ｓ_ｉが０であると平文μ_０の暗号文を復号することなく出力し、ｓ_ｉが１であると平文μ_１の暗号文を復号することなく出力する。
　ＣＭｕｘ関数は、平文μ_０もしくは平文μ_１の暗号文を計算することができるが、どちらを選択したかは分からない。

　TFHEの２値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
　２値Gate Bootstrappingは、以下に説明する３つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。

　図４は、２値Gate Bootstrappingの動作イメージ図である。
　２値Gate Bootstrappingは、下記に説明する３つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
　以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
　図３の円周群{Ｔ}における０～０．２５（１／４）、０．７５（３／４）～１の区間の平文を０のTLWE暗号文に変換し、０．２５（１／４）～０．７５（３／４）の区間の平文を０．２５（１／４）の暗号文に変換する。
　この変換の際、平文に付加される誤差は±１／１６の範囲のいずれかである。

(1)BlindRotate
　Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
　BlindRotateは、TRLWE暗号文を作成する工程である。
　BlindRotateでは、多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））から、Ｘ^{－φｓ（ｃ’）}を乗算したTRLWE暗号文を復号することなく得る。０は、０次の多項式０を示す。
　ここでφｓ（ｃ’）は、下記のLWE暗号文ｃ’を復号関数にかけた平文である。
　BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式Ｆ（Ｘ）
Ｆ（Ｘ）＝μＸ^ｎ－１＋μＸ^ｎ－２＋…μＸ＋μ
ただし、μ＝１／８
にＸ^ｎ／２を掛けて得た下記の多項式Ｔ（Ｘ）
Ｔ（Ｘ）＝Ｆ（Ｘ）・Ｘ^ｎ／２
を用意する。

　平文μ１を秘密鍵[ｓ]で暗号化したTLWE暗号文ｃがあるとする。
　このTLWE暗号文ｃ＝（[ａ]，ｂ）の各要素を２ｎ倍して四捨五入したLWE暗号文ｃ’＝（[ａ’]，ｂ’）を得る。
　LWE暗号文ｃ’＝（[ａ’]，ｂ’）を復号すると、μ１’＝φ_ｓ（ｃ’）≒２ｎ×φ_ｓ（ｃ）＝２ｎμ１となる。ｎが大きくなるほど相対的に誤差は小さくなる。
　多項式Ｔ（Ｘ）を平文とする自明なTRLWE暗号文（０，Ｔ（Ｘ））を用意して、
Ａ_０＝Ｘ^－ｂ’×（０，Ｔ（Ｘ））＝（０，Ｘ^－ｂ’×Ｔ（Ｘ））とする。０は、０次の多項式０を示す。この時、ｂ’は整数であるため、累乗が自然に定義できる。
　以降、上記に説明したBootstrapping KeyであるＢＫ_ｉを用いて、順番にＡ_ｉ＝ＣＭｕｘ（ＢＫ_ｉ，Ａ_ｉ－１，Ｘ^ａ’ｉＡ_ｉ－１）を計算する。ここでも、ａ’ｉが整数になっているため、Ｘの累乗が自然に定義できる。

　そうすると、ｓ_ｉが０の時は、平文はそのまま変わらず、ｓ_ｉが１の時は、Ｘ^ａ’ｉが順番に乗算されていく。
　従って、

と繰り返すと、

となる。
　ここで、

は、復号関数φｓ（ｃ’）の符号を反転したものに等しいので、

となる。ここでφ_ｓ’（Ａ_ｎ）は、多項式Ｔ（Ｘ）にＸ^－１をμ１’回乗算した多項式の暗号文である。
　BlindRotateに係るTLWE暗号文ｃの平文μ１に対応して、多項式Ｔ（Ｘ）にＸをかける回数μ１’（＝２ｎμ１）に応じたユニークな値（ｎ個の係数とその符号反転で最大２ｎ個）が得られるので、一種のルックアップテーブル（Look UP Table）とみなすことが出来る。

(2)SampleExtract
　(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）を見ると、下位の項から数えてｎ／２－φ_ｓ（ｃ’）個分の項は係数が－μとなり、負になった場合、逆に上の項から順に係数が－μとなる。
　TRLWE暗号文Ａ_ｎを復号して得られる平文多項式φ_ｓ’（Ａ_ｎ）の定数項だけを見ると、φ_ｓ（ｃ’）がｎ／２以上３ｎ／２未満、すなわちφ_ｓ（ｃ）が１／２±１／４の場合、定数項はμとなる。それ以外、すなわちφｓ（ｃ）が±１／４の場合、定数項は－μとなる。
　SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎから、これを復号することなく平文多項式φ_ｓ’（Ａ_ｎ）の定数項の係数だけを取り出して、その結果、TLWE暗号文ｃｓを得るための処理である。

　TLWE暗号文ｃｓを得るための処理を説明する。
　全てのTRLWE暗号文は、次数をｎとして、

と多項式をおいて、（Ａ（Ｘ），Ｂ（Ｘ））と表現することができる。
　これを秘密鍵[ｓ’]で復号したとき、秘密鍵の多項式を

とおいて、

と展開することができる。

　これに対して下記の演算を行い、

を得る。
　「多項式環の剰余環」であるので（Ｘ^ｎ＋１）で割った余りを求めると、

が得られる。

　さらに、

とおくと、

となり、

から、平文多項式の各項の係数が求まる。
　そのうち必要なのは定数項の係数であるので、ｊ＝０の場合の係数を取り出すと、

が得られる。

とおくと、

のように、TLWE暗号の復号関数に変形することができる。

　つまり、(1)のBlindRotateで得たTRLWE暗号文Ａ_ｎ＝（Ａ（Ｘ），Ｂ（Ｘ））から、係数を

として取り出すと、元のTRLWE暗号文Ａ_ｎに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号文（［ａ”］，ｂ_１）が得られた。この新しいTLWE暗号文がSampleExtractの出力であり、平文として－μ又はμの２種類を有する。
　得られたTLWE暗号文に対して、平文がμとなる自明な暗号文（[０]，μ）を加えたTLWE暗号文ｃｓ＝（［ａ”］，ｂ１）＋（[０]，μ）を得る。
　具体的には、テストベクタとしての多項式Ｆ（Ｘ）ではμ＝１／８であるので、この段階では、－１／８、１／８の暗号文が得られている。
　これに、平文がμ＝１／８となる自明なTLWE暗号文（[０]，１／８）を加えると、
－１／８＋１／８＝０
１／８＋１／８＝１／４
から、０、１／４の２値のうちいずれかの値を平文として持つ新たなTLWE暗号文ｃｓが得られた。

(3)キースイッチング
　(2)のSampleExtractで得られたTLWE暗号文ｃｓは、秘密鍵[ｓ]ではなく、秘密鍵[ｓ']で暗号化されている
　従って、TLWE暗号文ｃｓを復号することなく、TLWE暗号文ｃｓの鍵を秘密鍵[ｓ]に差し替え、秘密鍵[ｓ]で暗号化された状態に戻す必要がある。
　そのためキースイッチングの手法を説明する。
　TFHEで用いるTLWE暗号文の秘密鍵[ｓ]はＮ次のベクトルであった。
　これを用い、Bootstrapping Keyを作成したときのｎ次のベクトルの秘密鍵[ｓ’]を暗号化する。
　すなわち、

と、円周群{Ｔ}の要素、０から１の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[ｓ]である。「桁数」ｔはシステムパラメータである。
　秘密鍵[ｓ]で復号すると、

となる。これが「キースイッチングキー」である。
　上記したように(2)で得られたTLWE暗号文ｃｓ＝（［ａ］，ｂ）は秘密鍵[ｓ’]で暗号化された０又は１／４の値である。[ａ]の要素数は、秘密鍵[ｓ’]と同じくｎ個である。
　これを一つずつ、夫々ｔビットの固定小数に変換すると、

の形式で書くことができる。
　この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
　キースイッチング本体の処理として、以下のTLWE暗号文ｃｘを計算する。

　（[０]，ｂ）の項は自明な暗号文なので、復号するとｂであり、TLWE暗号文ｃｘを復号した結果を計算すると、

である。
　ｓ’_ｉは、ｊに対して定数なのでくくりだして

とし、上記で固定小数に分解したときの式を代入する。

　その結果、

となって鍵の切り替えが成功したことになる。

　ここで得られたTLWE暗号文ｃｘは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[ｓ]で暗号化されている。
　キースイッチングの処理を行うことにより、秘密鍵[ｓ]で暗号化されたTLWE暗号文に戻っており、φ_ｓ（ｃ）が±１／４の範囲なら平文φ_ｓ（ｃｘ）は０に、φ_ｓ（ｃ）が１／２±１／４の範囲なら、平文φ_ｓ（ｃｘ）は１／４になっている。
　以上の処理により、Gate Bootstrappingの結果として、０、１／４の２値のうちのいずれかであって誤差が±１／１６以内のいずれかになるTLWE暗号文が得られた。
　誤差の最大値は、入力となるTLWE暗号文ｃに依存せず、システムパラメータによって固定された値となる。
　従って、誤差の最大値が入力となるTLWE暗号文と同じ±１／１６以内のいずれかの値となるように、システムパラメータを設定する。
　これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。

　Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、ＣＭｕｘで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±１／１６となるようにシステムパラメータを調整することができる。
　以上が、TFHEのGate Bootstrappingの処理である。

　上記したように、TFHEは０もしくは非０を平文として持ち、論理演算を行うBit-wise型の準同型暗号である。ただし図４で説明したように平文は円周群{Ｔ}に対応づけられた０～１の実数である。従って、円周群{Ｔ}を区切った区間を順番に整数と対応付けることにより、整数を平文として持つInteger-wise型の準同型暗号として応用することが出来る。
　TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算（減算）の演算ができることは自明である。
　以下に説明する方法で、スカラ除算又はスカラ剰余算が可能である。スカラ除算、スカラ剰余算は、Integer-wise型の暗号文を暗号文ではない実数で割ったときの商、剰余を求める演算である。スカラ除算又はスカラ剰余算が可能となることで、TFHEをInteger-wise型での四則演算が可能な準同型暗号として利用することができる。Bit-wise型のTFHEによって１ビットずつ計算するよりも効率的に処理を行うことができる。
　さらにスカラ除算又はスカラ剰余算の結果を用いて、準同型暗号の多倍長演算を実現することができる。

　図５は、Integer-wise型に適用したTFHEを説明する図である。
　図５に示すように、円周群{Ｔ}に対応づけた０～１の値域をｔ個に分割する。TLWE暗号文において、平文が取り得る値は、値域０～１を分割したｔ個の値－（ｔ／２）から（ｔ／２）－１であり、（ｔ／２）－１が１つのTLWE暗号文に記録できる整数の最大値である。
　図５に例示するように、ｔ＝１０として０～１の値域を１０個に分割する場合に、暗号文は－５、－４、－３、－２、－１、０、１、２、３、４の整数を表現することが出来る。
　この場合、これらの整数値は、円周群{Ｔ}の０～１の値域をｔ＝１０個に区切った－４／ｔ、－３／ｔ、－２／ｔ、－１／ｔ、－０／ｔ、４／ｔ、３／ｔ、２／ｔ、１／ｔ、０／ｔの区間に割り当てられている。
　ｔの値を大きくして円周群{Ｔ}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点については後に説明する。

　上記したように本実施形態では、準同型暗号に対するスカラ除算・剰余算を実現し、さらに、スカラ除算・スカラ剰余算の結果を用いて準同型暗号の多倍長演算を実現する。多倍長演算は、１つの数を１つ以上の演算単位に分割して計算を行う。多倍長演算によって、暗号の強度を損なうことなく大きな数値を扱うことができるようになる。
　スカラ除算・スカラ剰余算を実現するために、暗号処理装置１は、上記論文で提示されるGate Bootstrappingに改良を行う。
　暗号処理装置１は、BlindRotateに入力するTRLWE暗号文（テストベクタとしての多項式Ｆ（Ｘ））を、夫々階段関数、ノコギリ波関数の結果を係数とする多項式とする。
　暗号処理装置１は、このようなTRLWE暗号文を除数から算出し、このようなTRLWE暗号文を用いてBlindRotateを行うことで、スカラ除算・スカラ剰余算を実現する。
　多倍長演算の中身や、それを用いて行う暗号などの処理は一般的に知られているものがそのまま使える。

　図２を用いて、本実施形態を詳細に説明する。
［スカラ除算・スカラ剰余算］
　まず、図２（a）に対応して、多倍長演算に用いるスカラ除算、スカラ剰余算の方法を説明する。
　図５で説明したように、暗号処理装置１は円周群{Ｔ}の値域０～１を分割する個数ｔを設定する。（ｔ／２）－１が、１つのTLWE暗号文に記録できる整数の最大値となる。
　暗号処理装置１は、TFHE暗号のシステムパラメータを設定する。手順は上記論文と変わらないが、TRLWE暗号の多項式（テストベクタとしての多項式Ｆ（Ｘ））の次数nはtの倍数が好ましい。またGate Bootstrapping後に得られる暗号文において、平文に付加される誤差の範囲が±１／（２ｔ）未満となるように、システムパラメータを設定する。

　被除数（割られる数）のTLWE暗号文ｃｘがあるとする。
　TLWE暗号文ｃｘは、秘密鍵がなければ知ることができない、整数ｘ（被除数）に対応する実数

を平文として有する。１／（２ｔ）は、図５の円周群{Ｔ}を分割したスライスの中心に平文を位置させるためのオフセットである。
　本実施形態では、TLWE暗号文ｃｘを実数ｙで除算あるいは剰余算する。

　暗号化された平文の値に対する一変数関数を演算するには、上記論文（非特許文献１）のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。同論文では、テストベクタ多項式として、

を用いることを提案している。

　暗号処理装置１は、以下のテストベクタ多項Ｔ１（Ｘ）、Ｔ２（Ｘ）を用いる。
　テストベクタ多項式Ｔ１は、除算用のテストベクタ多項式である。
　テストベクタ多項式Ｔ２は、剰余算用のテストベクタ多項式である。

　２つのテストベクタ多項式に共通する

は、円周群をｔで分割した１区間に対応する。
　テストベクタ多項式Ｔ１（Ｘ）は、上記で説明した一変数関数を演算する方法を適用し、割られる数（被除数）の暗号文を平文ｙ（除数）で割った除算を得る関数（ｔ／ｙ）の結果を係数として設定している。
　暗号処理装置１は、TLWE暗号文ｃｘ、平文ｙを夫々Gate Bootstrappingの入力とし、テストベクタ多項式Ｔ１を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、除算結果（商）に対応するｘ／ｙを平文とするTLWE暗号文を得ることが出来る。
　テストベクタ多項式Ｔ２（Ｘ）は、上記で説明した一変数関数を演算する方法を適用し、割られる数（被除数）の暗号文を平文ｙ（除数）で割った余り（剰余）を得る関数（ｔ　ｍｏｄ　ｙ）の結果を係数として設定している。
　暗号処理装置１は、TLWE暗号文ｃｘ、平文ｙを夫々Gate Bootstrappingの入力とし、テストベクタ多項式Ｔ２を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、剰余算の結果（剰余）に対応するｔ　ｍｏｄ　ｙを平文とするTLWE暗号文を得ることが出来る。

　まず、暗号処理装置１は、上記テストベクタ多項式Ｔ１（Ｘ）、Ｔ２（Ｘ）を夫々平文として有する自明な暗号文（０，Ｔ１（Ｘ））及び（０，Ｔ２（Ｘ））を作成する。
　暗号処理装置１（第１演算部１２）は、TLWE暗号文ｃｘの各係数を２ｎ倍して四捨五入し、TLWE暗号文ｃｘ’を得る。TLWE暗号文ｃｘ’は、平文として、

を有する。
　暗号処理装置１（第１Gate Bootstrapping部１５）は、TLWE暗号文ｃｘ’を入力として、テストベクタ多項式Ｔ１（Ｘ）を用いたBlindRotateを行う。BlindRotateの結果得られる平文多項式の定数項の係数は

である。εは、BlindRotateによって発生する誤差である。
　また暗号処理装置１（第２Gate Bootstrapping部１６）は、TLWE暗号文ｃｘ’を入力として、テストベクタ多項式Ｔ２（Ｘ）を用いたBlindRotateを行う。
　BlindRotateの結果得られる平文多項式の定数項の係数は、

である。ここでεは、BlindRotateによって発生する誤差である。

　暗号処理装置１は、夫々のBlindRotateの結果得られるTRLWE暗号文に対して、通常のGate Bootstrappingと同様に、SampleExtractとキースイッチングを行う。その結果、暗号処理装置１は、除算の演算結果（商）に対応するTLWE暗号文ｃｑと、剰余算の演算結果（剰余）に対応するTLWE暗号文ｃｒを得る。
　TLWE暗号文ｃｑは、平文として、テストベクタ多項式Ｔ１（Ｘ）を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する

を有する。
　TLWE暗号文ｃｒは、平文として、テストベクタ多項式Ｔ２（Ｘ）を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する

を有する。
　以上説明した処理が、暗号処理装置１が行うことが出来るスカラ除算、スカラ剰余算の処理である。

［多倍長演算］
　暗号処理装置１は、上記に説明したスカラ除算、スカラ剰余算を用いて大きな平文の数（多倍長整数BIG INTEGER）について多倍長演算を行う。
　図２（ｂ）に対応して、暗号処理装置１が行う多倍長演算を説明する。
　暗号処理装置１は、暗号としての強度を十分に維持できる程度に小さいｔ（図５で説明した円周群の分割数）を、適当な自然数ｔ’を用いてｔ≧ｔ’^２とする。
　ｔ’は、２のべき乗であると平文との換算をコンピュータで計算しやすいが他の数でも構わない。
　また暗号処理装置１は、多倍長のフィールド数（多倍長整数を分割するビット単位、区間）として適当な自然数ｕを定める。ｕは１つの平文（多倍長整数）を分割するTLWE暗号文の数である。
　ｕ個のフィールド又はフィールドｔ’^０、ｔ’^１、ｔ’^２、・・・ｔ’^ｕ－１毎に多倍長整数を分割する。

　暗号処理装置１は、加法、乗法で共通して、平文Ｘを、

の形でｕ個のＸ_ｉに分割する。
　暗号処理装置１は、Ｘ_ｉを夫々暗号化し、ｕ個のTLWE暗号文ｃａ_ｉ（０≦ｉ≦ｕ－１）を作成する。
　暗号文ｃａ_０が多倍長整数を分割したフィールドｔ’^０の暗号文であり、暗号文ｃａ_１が多倍長整数を分割したフィールドｔ’^１の暗号文であり、暗号文ｃａ_２が多倍長整数を分割したフィールドｔ’^２の暗号文であり、暗号文ｃａ_ｕ－１が多倍長整数を分割したフィールドｔ’^ｕ－１の暗号文である。
　なお、ｃａ_ｉを復号して得たＸ_ｉを上記の式で計算すれば、元の平文Ｘを得ることが出来る。
　暗号処理装置１は、もう１つの平文Ｙを、平文Ｘと同様に、

の形でｕ個のＹ_iに分割する。暗号処理装置１は、Ｙ_iを夫々暗号化し、ｕ個のTLWE暗号文ｃｂ_ｉ（０≦ｉ≦ｕ－１）を作成する。
　上記と同様に、暗号文ｃｂ_０が多倍長整数を分割したフィールドｔ’^０の暗号文であり、暗号文ｃｂ_１が多倍長整数を分割したフィールドｔ’^１の暗号文であり、暗号文ｃｂ_２が多倍長整数を分割したフィールドｔ’^２の暗号文であり、暗号文ｃｂ_ｕ－１が多倍長整数を分割したフィールドｔ’^ｕ－１の暗号文である。
　多倍長整数Ｘ、Ｙを分割して暗号化することで、TLWE暗号文ｃａ_ｉ、TLWE暗号文ｃｂ_ｉがとる平文の値を小さくし、円周群の分割数を小さくすることが出来る。これにより、暗号処理装置１は、暗号文のセキュリティを保ったまま多倍長の四則演算を行うことが出来る。

　以下に説明するのは、多倍長整数Ｘ、Ｙの和の演算（Ｘ＋Ｙ）に対応する暗号文同士の多倍長演算（加算）である。
　暗号処理装置１は、平文Ｘ＋平文Ｙに対応する暗号文同士の多倍長演算は、以下の手順で実行する。
　初期化として、ｉ＝０とする。
（１）ｃｄ_ｉ－１を、０を平文とするTLWE暗号文とする。
（２）ｃａ_ｉとｃｂ_ｉとｃｄ_ｉ－１を暗号化したまま加算（準同型加算）して、ｃｃ_ｉを得る（第２演算部１３）。図２（ａ）でいえば、暗号文ｃｃ_ｉが暗号文ｃｘに相当する。
（３）ｃｃ_ｉを、スカラ除算・スカラ剰余算によりｔ’で割った商の暗号文ｃｄ_ｉ及び剰余の暗号文ｃｍ_ｉを得る（スカラ除算部、スカラ剰余算部）。図２（ａ）でいえば、暗号文ｃｄ_ｉが暗号文ｃｑ、暗号文ｃｍ_ｉが暗号文ｃｒに夫々相当する。
　ｔ’^ｉにおける準同型加算に対してスカラ除算して得られた商の暗号文ｃｄ_ｉは、ｔ’^ｉの演算によるｔ’^ｉ＋１に対する繰り上がりである。ｔ’^ｉ＋１のためのｃａ_ｉ＋１とｃｂ_ｉ＋１の準同型演算において暗号文ｃｄ_ｉも加算されている。
　暗号処理装置１は、ｉを１増やし、（１）～（３）の処理をｕ回繰り返す。ｕ回繰り返したあとのｃｍ_ｉの列が、平文Ｘ＋平文Ｙに対応する多倍長暗号文ｃｍとなる。

　これをふまえ、平文Ｘと平文Ｙの暗号文同士の加算を具体的に説明する。
　平文Ｘをフィールドｔ’^ｉ毎にｕ個のＸ_ｉに分割して暗号化しｕ個のTLWE暗号文ｃａ_ｉを作成すること、平文Ｙをフィールドｔ’^ｉ毎にｕ個のＹ_iに分割して暗号化しｕ個のTLWE暗号文ｃｂ_ｉを作成することは上記と同じである。
　説明の簡単化のため、平文Ｘを分割したフィールドｔ’^０の暗号文をａ、フィールドｔ’^１の暗号文をｂとし、平文Ｙを分割したフィールドｔ’^０の暗号文をｃ、フィールドｔ’^１の暗号文をｄとする。

　暗号処理装置１は、平文Ｘと平文Ｙのフィールドｔ’^０の暗号文同士でｂ＋ｄの演算を行う。
　暗号処理装置１は、まず、ｂ＋ｄの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、加算結果である暗号文の、区間（あるいはケタ）ｔ’^０の値である。
　一方、スカラ除算の結果得られる商はｔ’^１に繰り上げられる。
　暗号処理装置１は、ａ＋ｃ＋繰り上げの演算結果に対してスカラ除算とスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、加算結果である暗号文の区間（あるいはケタ）ｔ’^１の値である。
　一方、スカラ除算の結果得られる商はｔ’^２に繰り上げられる。
　ｔ’^ｉがより多い場合には、さらにフィールドｔ’^２の暗号文の和に繰り上げを加算した結果に対してスカラ除算とスカラ剰余算を行うことを繰り返していく。
　繰り上げを含めて、ｔ’^０、ｔ’^１・・・に夫々該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置１は多倍長演算を行うことが出来る。

　平文Ｘ－Ｙに対応する暗号文同士の多倍長演算も、（２）の準同型加算に代えて準同型減算（ｃａ_ｉ－ｃｂ_ｉ－ｃｄ_ｉ－１）を行うことで計算できる。
　この場合、ｔ’^ｉにおける準同型減算に対してスカラ除算して得られた商の暗号文ｃｄ_ｉは、ｔ’^ｉの演算によるｔ’^ｉ＋１からの繰り下がりである。ｔ’^ｉ＋１のためのｃａ_ｉ＋１とｃｂ_ｉ＋１の準同型演算において暗号文ｃｄ_ｉも減算されている。
　平文Ｘ×平文Ｙに対応する暗号文同士の多倍長演算も、一般的な多倍長乗算と同様に、ひっ算や、カラツバ法、ＦＦＴを用いた方法などで計算できる。平文Ｘ÷平文Ｙに対応する暗号文同士の多倍長演算も公知のアルゴリズムが利用できる。
　平文Ｘ＋平文Ｙの最大公約数ＧＣＤ（Ｘ，Ｙ）もユークリッドの互除法など、公知のアルゴリズムが利用できる。
　適当な素数ｐに対するａの逆元も、拡張ユークリッドの互除法や、フェルマーの小定理など、公知のアルゴリズムで計算できる。
　以上説明をしたように、準同型暗号の多倍長整数は通常の整数と同様の扱いが可能である。またTLWE暗号文の個数ｕを増やすことで、一つのTLWE暗号文が有する平文の数値を小さくして円周群の分割数tを小さくしつつ、演算全体としては扱える平文の数値を小さくせずともよい。従って、本実施形態は、暗号の強度を犠牲することもなく大きな数を扱うことが出来る。

　図６は、暗号文同士の多倍長乗算をひっ算で実現する仕組みを説明する図である。
　上記と同様に、平文Ｘを分割したフィールドｔ’^０の暗号文をａ、フィールドｔ’^１の暗号文をｂとし、平文Ｙを分割したフィールドｔ’^０の暗号文をｃ、フィールドｔ’^１の暗号文をｄとして説明する。
　暗号処理装置１は、平文Ｘと平文Ｙのフィールドｔ’^０の暗号文同士でｄ×ｂの演算を行う。
　暗号処理装置１は、まず、ｄ×ｂの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドｔ’^０の値である。
　スカラ除算の結果得られる商はｔ’^１に繰り上げられる。
　暗号処理装置１は、ｄ×ａの演算結果に対してスカラ除算とスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドｔ’^１の値である。
　スカラ除算の結果得られる商は、ｔ’^２に繰り上げられる。
　暗号処理装置１は、ｃ×ｂの演算結果に対してスカラ除算とスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドｔ’^１の値である。
　スカラ除算の結果得られる商は、ｔ’^２に繰り上げられる。
　暗号処理装置１は、ｃ×ａの演算結果に対してスカラ除算とスカラ剰余算を行う。
　スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドｔ’^２の値である。
　スカラ除算の結果得られる商は、ｔ’^３に繰り上げられる。
　繰り上げを含めて、ｔ’^０、ｔ’^１、ｔ’^２、ｔ’^３・・・に該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置１は多倍長演算（乗算）を行うことが出来る。

　ところで、Integer-wise型のTFHEを開示している非特許文献２は、本実施形態で用いているスカラ除算を行うためのテストベクタと同様のテストベクタを記載している。
　しかしながら、非特許文献２には、スカラ剰余算を行うためのテストベクタは開示されていないため、非特許文献２に開示の方法で、上記に説明したスカラ剰余算を用いた多倍長演算を行うことは出来ない。
　非特許文献２では４ビット整数で実験を行っているが、非特許文献２に開示されている構成を用いてスカラ剰余算を用いずに大きな数（１２８ビットなど）の演算をするには、円周群の分割数を増やすほかない。
　非特許文献２では、円周群の分割数を大きくして一つの暗号文で表現し、これらの暗号文同士で演算を行うことになる。
　しかしながら、下記にも説明しているが、円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。TFHEで用いるTLWE暗号文を含むLWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
　それに対して、暗号処理装置１は、加法（加算、減算）と、乗算の多倍長演算を、夫々剰余演算を用いた一桁ずつの足し算と引き算と、一桁ずつの掛け算と、にすることが出来る。すなわち、本実施形態の暗号処理装置１は、多倍長整数を分割して暗号化した暗号文に対し、剰余演算を利用して多倍長演算を行う。
　従って、暗号処理装置１は、円周群の分割数を増やさずに暗号文のセキュリティ強度を維持しながら、TFHEで大きな数の演算を行うことが出来る。
　本実施形態のように剰余演算を用いて、円周群の分割数を増やさずにセキュリティ強度を維持した多倍長演算を構成することは、非特許文献２には記載されていない。

　図７は、暗号処理装置が実行するスカラ除算処理の流れを示すフローチャートである。
　暗号処理装置１（第１演算部１２）は、ステップＳ１０１において、割られる数ｘの暗号文ｃｘの各係数を２ｎ倍して、暗号文ｃｘ’を得る。
　暗号処理装置１（第１Bootstrapping部１５）は、暗号文ｃｘ’を入力とするGate Bootstrappingを行うことによって除算を行う。
　暗号処理装置１は、ステップＳ１０２において、暗号文ｃｘ’とテストベクタ多項式Ｔ１（Ｘ）を用いてBlindRotateを行う。
　暗号処理装置１は、ステップＳ１０３において、SampleExtractを行う。
　暗号処理装置１は、ステップＳ１０４において、キースイッチングを行い、得られた暗号文を除算結果として出力する。

　図８は、暗号処理装置が実行するスカラ剰余算処理の流れを示すフローチャートである。
　暗号処理装置１（第１演算部１２）は、ステップＳ１１１において、割られる数ｘの暗号文ｃｘの各係数を２ｎ倍して、暗号文ｃｘ’を得る。
　暗号処理装置１（第２Bootstrapping部１６）は、暗号文ｃｘ’を入力とするGate Bootstrappingを行うことによって剰余算を行う。
　暗号処理装置１は、ステップＳ１１２において、暗号文ｃｘ’とテストベクタ多項式Ｔ（Ｘ）を用いてBlindRotateを行う。
　暗号処理装置１は、ステップＳ１１３において、SampleExtractを行う。
　暗号処理装置１は、ステップＳ１１４において、キースイッチングを行い、得られた暗号文を剰余算結果として出力する。

　図９は、暗号処理装置が実行する多倍長演算処理の流れを示すフローチャートである。
　暗号処理装置１（第２演算部１３）は、ステップＳ２０１において、初期化として、変数iに０を代入する。
　暗号処理装置１（第２演算部１３）は、ステップＳ２０２において、ｃａ_ｉとｃｂ_ｉとｃｄ_ｉ－１を準同型加算して、ｃｃ_ｉを得る。
　暗号処理装置１（第１演算部１２、第１Bootstrapping部１５）は、ステップＳ２０３において、図７で説明した方法を用いてｃｃ_ｉを入力としたスカラ除算を行い、暗号文ｃｄ_iを得る。
　暗号処理装置１（第１演算部１２、第２Bootstrapping部１６）は、ステップＳ２０４において、図８で説明した方法を用いてｃｃ_ｉを入力としたスカラ剰余算を行い、暗号文ｃｍ_iを得る。
　暗号処理装置１は、ステップＳ２０５において、iがｕに達したか否かを判定する。
　iがｕに達していないと判定した場合（ステップＳ２０５でＮｏ）、暗号処理装置１は、ステップＳ２０６において、ｉの値を１増やし、ステップＳ２０２～ステップＳ２０４の処理を繰り返す。
　iがｕに達したと判定した場合（ステップＳ２０５でＹｅｓ）、暗号処理装置１は、このときまで得られたｃｍの列を多倍長演算結果として出力する。以上の処理によって、Integer-wise型のTLWE暗号文同士の多倍長演算（加算）を実行することが出来た。

［暗号文同士の準同型乗算について］
　下記に説明するように、暗号処理装置１は（１）整数と二進数の暗号文の準同型乗算、（２）暗号文と定数との準同型一致テストを用いて、整数の暗号文同士の準同型乗算を行う。
　（１）整数と二進数の暗号文の準同型乗算、（２）暗号文と定数との準同型一致テストを説明する。
（１）バイナリ乗算部による整数の暗号文ｃｙと二進数の暗号文ｃｚとの乗算は、例えば以下のように行うことが出来る。
　図５に示したように本実施形態では、円周群{Ｔ}に対応づけた０～１の値域をｔ個に分割しており、暗号文ｃｙは０～（ｔ／２）－１の暗号文である。
　暗号文ｃｚは、平文が０のときに二進数のシンボル１となり、平文が１／２のときに二進数のシンボル０となる。
　下記では、平文として整数０又は整数ｔ／２を有する暗号文に暗号文ｃｚを対応付けて説明する。ｔは偶数である。
　暗号文ｃｚの平文０を整数０に対応づけ、暗号文ｃｚの平文１／２を下記の整数ｔ／２に対応づける。
　平文が整数０のときシンボル１であり、平文が整数ｔ／２のときシンボル０である暗号文ｃｚとして暗号文ｃｚを説明する。
　整数の暗号文ｃｙと二進数の暗号文ｃｚの乗算を行うために、Gate Bootstrappingの要素として、２つの一変数関数Ｆ_idとＦ_halfを用いる。
　暗号化された整数値に対する一変数関数を演算するには、上記論文（非特許文献１）のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Miｃｚiancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
　一変数関数Ｆ_idは、整数０～（ｔ／２）－１の暗号文ｃｙの入力に対して、同じ整数０～（ｔ／２）－１の暗号文を出力する。
　BlindRotateと同時に一変数関数ｆ_idを実行するためのテストベクタＴ_id（Ｘ）は、０次からｎ－１次の各次数の係数として、

を設定する。
　一変数関数ｆ_halfは、整数０～（ｔ／２）－１の暗号文ｃｙの入力に対して、平文整数の値が偶数であれば、ｃｙ／２を算出し、それ以外では－（ｃｙ＋１）／２－（（ｔ／２）－１）／２を算出する関数である。
　BlindRotateと同時に一変数関数ｆ_halfを実行するためのテストベクタＴ_half（Ｘ）は、０次からｎ－１次の各次数の係数として、

を設定する。
　まず暗号処理装置１は、二値の暗号文であるTLWE暗号文ｃｚと、整数の暗号文であるTLWE暗号文ｃｙと、の準同型演算を行う。
　暗号処理装置１は、準同型演算の結果を入力として、上記テストベクタ多項式Ｔ_id（Ｘ）を用いてGate Bootstrappingを行い、一時暗号文ｃ_ｔｍｐを得る。
　TLWE暗号文ｃｚがｔ／２（暗号文ｃｚの平文０に対応、シンボル０）の暗号文である場合、ｃｚ＋ｃｙの結果はｙ／ｔ＋１／２の暗号文であり、TLWE暗号文ｃｙの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Ｔ_id（Ｘ）を用いたGate Bootstrappingのあとの暗号文ｃ_ｔｍｐの平文は、左右対称の位置に移動する。暗号文ｃ_ｔｍｐは暗号文ｃｙの符号を反転させた暗号文である。
　TLWE暗号文ｃｚが０（暗号文ｃｚの平文１／ｔに対応、シンボル１）の暗号文である場合、ｃｚ＋ｃｙの結果はｙ／ｔの暗号文であり、Bootstrappingのあとの暗号文ｃ_ｔｍｐは暗号文ｃｙの平文と同じ平文のままである。
　そこで暗号処理装置１は暗号文ｃｙ＋暗号文ｃ_ｔｍｐの準同型演算を行う。
　TLWE暗号文ｃｚが０（シンボル１）の暗号文である場合、暗号文ｃｙ＋暗号文ｃ_ｔｍｐの準同型演算結果は、暗号文ｃｙ＋暗号文ｃｙである。
　TLWE暗号文ｃｚがｔ／２（シンボル０）の暗号文である場合、暗号文ｃｙ＋暗号文ｃ_ｔｍｐの準同型演算結果は、平文が０となる暗号文ｃ_０である。
　暗号処理装置１は、準同型加算の結果を入力として、上記テストベクタ多項式Ｔ_half（Ｘ）を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文ｃｙ＋暗号文ｃｙは暗号文ｃｙに変換され、暗号文ｃ_０は暗号文ｃ_０のままである。
　整数の暗号文ｃｙに乗算するTLWE暗号文ｃｚが０の暗号文である場合に、Gate Bootstrappingにおいて暗号文ｃｙが得られ、TLWE暗号文ｃｚがｔ／２の暗号文である場合に暗号文ｃ_０が得られる。
　以上のようにすることで、暗号処理装置１は、整数の暗号文ｃｙと二進数の暗号文ｃｚとの乗算を行うことが出来る。
　なお、上記したように暗号文ｃｚで利用する円周群上の値が異なるため、Gate Bootstrappingで得られた値を２ｔ倍することにより調整を行う必要がある。ここで２ｔは整数であるため、円周群上で乗算が定義されている。

（２）暗号文と定数との準同型一致テスト
　整数の暗号文と平文整数との一致テストを説明する。
　例として、整数の暗号文ｃ_ｍ１と平文整数ｍ２の場合を説明する。
　暗号文ｃ_ｍ１は、平文ｍ１として、０，１，～（ｔ／２）－１の整数を有する。
　平文整数ｍ２は、０，１，～（ｔ／２）－１の整数である。
　まず暗号処理装置１は、平文ｍ２を暗号化してｖ_ｍ２を得る。
　暗号処理装置１は、暗号文ｃ_ｍ１－（０，ｖ_ｍ２）を準同型演算し、演算結果を入力として、

を係数とするテストベクタ多項式を用いたGate Bootstrappingを行う。（０，ｖ_ｍ２）は、ｖ_ｍ２を平文とする自明な暗号文である。
　Gate Bootstrappingの結果得られる新たな暗号文ｃｆは、暗号文と定数との一致不一致を示す２値（二進数）の暗号文であり、ｃ_ｍ１＝（０，ｖ_ｍ２）の場合は平文としてｔ／２を有し、ｃ_ｍ１≠（０，ｖ_ｍ２）の場合、平文として０を有する。

　以上に説明した、（１）整数と二進数の暗号文の準同型乗算、（２）暗号文と定数との準同型一致テストに基づいて、整数の暗号文同士の準同型乗算を行う方法を説明する。
　整数同士の乗算は、乗数に応じた回数だけ被乗数を足し合わせることにより行うことが出来るが、暗号化された整数同士の乗算を暗号文のまま準同型で行うためには、暗号処理装置１は、以下に説明する処理を行う。
　乗算結果を示す暗号文を、暗号文ｃ_ｓｕｍとする。
　暗号処理装置１は、初期値として暗号文ｃ_ｓｕｍに０を代入し、また繰り返し数を示す変数ｉの初期値として０を代入する。
　暗号処理装置１は、被乗数を入力として、上記論文の多項式Ｆ（Ｘ）をテストベクタとしたGate Bootstrappingを行い、暗号文ｃｅを得る。
　暗号処理装置１は、上記した暗号文と定数との準同型一致テストの方法を用いて、乗数と変数ｉの値が一致するかをテストする。
　上記に従えば、乗数と変数ｉが一致するときに、平文としてｔ／２を有し、乗数と変数ｉが一致しないときには平文として０を有する暗号文ｃｆが得られる。
　暗号処理装置１は、上記した整数と二進数の暗号文の準同型乗算の方法を用いて、整数の暗号文ｃｅ（ｃｙに対応）に、二進数の暗号文ｃｆ（ｃｚに対応）を乗算する。
　乗数と変数ｉが一致するときには、被乗数にｔ／２を乗算し、乗数と変数ｉが一致しないときには、被乗数に０を乗算する。
　暗号処理装置１は、この演算結果を乗算結果の暗号文ｃ_ｓｕｍに加算した結果を入力として、上記一変数関数Ｆ_idを実行するテストベクタ多項式を用いたGate Bootstrappingを行う。
　これを、変数ｉをインクリメントしながらｔ／２回（暗号文が平文としてとりうる０以上の整数の個数）処理を繰り返した結果が、整数の暗号文同士を乗算した結果である。
　上記の説明において、例えば被乗数を暗号文ｂ、乗数を暗号文ｄとすることで、実施例で説明したｄ×ｂを算出することが出来る。

　図１０は、本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
　上記の説明では、図１０（ａ）に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
　それに限らず、図１０（ｂ）に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
　TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
　図１０（ａ）のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
　それに対して図１０（ｂ）に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。

　LEVEL0の暗号文は、Ｎ次の秘密鍵［ｓ］で暗号化された円周群{Ｔ}上の要素のＮ次のベクトル［ａ］よりなっている。一方、SampleExtractの結果得られるLEVEL1の暗号文は、ｎ次の秘密鍵［ｓ’］で暗号化された円周群{Ｔ}上の要素のｎ次のベクトル［ａ'］よりなっている。
　LEVEL0の暗号文は、LWE問題の難易度となる係数の数（ベクトルの次数）がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
　一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
　TLWE暗号は、平文に付加する誤差が大きいほど、係数の数（ベクトルの次数）が多いほど計算（解読）が難しい。
　裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数（ベクトルの次数）が少ないほど、計算（解読）が容易となるのである。
　特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文（整数）の値が大きくなるほど、円周群{Ｔ}における０～１の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数（ベクトルの次数）を上げてセキュリティを確保する必要がある。

　平文に付加する誤差を小さくすることで計算（解読）が容易となった暗号文のセキュリティを確保するために、キースイッチングをGate Bootstrappingの先頭に移動し、係数の数（ベクトルの次数）が多く誤差の範囲を小さくしやすいLEVEL1の暗号文をGate Bootstrappingの入出力とすることが望ましい。そして、Gate Bootstrappingの先頭でLEVEL0に変換してから、最後にLEVEL0に戻さないようにする。LEVEL0に戻さないことで、次段でも同様にTLWE暗号文の計算を安全に行うことが出来る。
　BlindRotateの所要時間は、ＣＭｕｘの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数（ベクトルの次数）に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数（ベクトルの次数）に比例してBlindRotateの所要時間が長くなる。
　暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。

　また、平文に付加する誤差を小さくすることには、上記のセキュリティ強度の以外に復号時エラーの問題もある。
　上記したように、Integer-wise型に適用したTFHEでは、円周群{Ｔ}に対応づけた０～１の値域をｔ個に分割する。ｔの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数ｔで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
　TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
　０付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
　設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
　計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。

　計算にエラーが発生する確率を抑える、BlindRotateの数を減らして計算を高速化する、セキュリティを高く保つ、という３つの目標をバランスが最もとれるよう、誤差範囲の重なりが一定値内に収まるようにシステムパラメータを設定することが必要である。
　本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。

［応用例］
　暗号処理装置１が行う処理は、以下のように応用することが出来る。
　例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合（例えば、３０～３９歳の平均年収を求めたい場合など）を考える。
　このとき、暗号処理装置１は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
　暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。

　暗号処理装置１は、第１演算部１２、第２演算部１３、第１Bootstrapping部１４、第１Bootstrapping部１５の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
　比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
　暗号処理装置１はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
　集約演算において、暗号処理装置１は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
　このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較（比較は減算結果の正負と等価である）を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
　本実施形態の暗号処理装置１は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。

　このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
　他の例として、ファジー認証やファジー検索が挙げられる。
　ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
　ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
　ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
　ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。

　またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には２乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、Ｏ（Ｎ^２）の全加算器を演算しなければならない。また単純な減算による比較演算でも、Ｏ（Ｎ）の全加算器を演算する必要がある。本実施形態の暗号処理装置１は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。

　また、本実施形態によっては、TFHEで暗号化されたデータに対して、属性ベース暗号などの高機能暗号を実装することができる。属性ベース暗号は、暗号化されたデータについての、ユーザやユーザが属するグループに対するアクセスコントロールなど、高度な付加価値を有する。
　しかしながら、高機能暗号は楕円曲線やペアリング写像など、比較的計算量の多いものが多く、マイコンのような非力な環境では採用が難しい。
　それに対して、上記に説明した多倍長演算によって、TFHEにおいて暗号強度を落とすことなく大きな値が扱えるようになることで、高機能暗号の秘密鍵などをTFHEで暗号化することが出来る。
　それにより、高機能暗号の処理をより高機能、高性能な外部サーバやクラウドサービスに委譲することが出来るため、高機能暗号をより実用的なものとすることが出来る。また、TFHEで暗号化されたデータの中身を暗号化・復号することで、二重暗号化の内側を処理することが出来る。

　図１１は、コンピュータ装置の一実施例を示すブロック図である。
　図１１を参照して、コンピュータ装置１００の構成について説明する。
　コンピュータ装置１００は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置１００は、制御回路１０１と、記憶装置１０２と、読書装置１０３と、記録媒体１０４と、通信インターフェイス１０５と、入出力インターフェイス１０６と、入力装置１０７と、表示装置１０８とを含む。また、通信インターフェイス１０５は、ネットワーク２００と接続される。そして、各構成要素は、バス１１０により接続される。
　暗号処理装置１は、コンピュータ装置１００に記載の構成要素の一部又は全てを適宜選択して構成することができる。

　制御回路１０１は、コンピュータ装置１００全体の制御をする。制御回路１０１は、例えば、Central Processing Unit（ＣＰＵ）、Field Programmable Gate Array（ＦＰＧＡ）、Application Specific Integrated Circuit（ＡＳＩＣ）及びProgrammable Logic Device（ＰＬＤ）などのプロセッサである。制御回路１０１は、例えば、図１における制御部１０として機能する。

　記憶装置１０２は、各種データを記憶する。そして、記憶装置１０２は、例えば、Read Only Memory（ＲＯＭ）及びRandom Access Memory（ＲＡＭ）などのメモリや、Hard Disk（ＨＤ）、Solid State Drive（ＳＳＤ）などである。記憶装置１０２は、制御回路１０１を、図１における制御部１０として機能させる情報処理プログラムを記憶してもよい。記憶装置１０２は、例えば、図１における記憶部２０として機能する。

　暗号処理装置１は、情報処理を行うとき、記憶装置１０２に記憶されたプログラムをＲＡＭに読み出す。
　暗号処理装置１は、ＲＡＭに読み出されたプログラムを制御回路１０１で実行することにより、受付処理、第１演算処理、第２演算処理、第１Bootstrapping処理、第２Bootstrapping処理、出力処理のいずれか１以上を含む処理を実行する。
　なお、プログラムは、制御回路１０１が通信インターフェイス１０５を介してアクセス可能であれば、ネットワーク２００上のサーバが有する記憶装置に記憶されていても良い。

　読書装置１０３は、制御回路１０１に制御され、着脱可能な記録媒体１０４のデータのリード／ライトを行なう。
　記録媒体１０４は、各種データを保存する。記録媒体１０４は、例えば、情報処理プログラムを記憶する。記録媒体１０４は、例えば、Secure Digital（ＳＤ）メモリーカード、Floppy Disk（ＦＤ）、Compact Disc（ＣＤ）、Digital Versatile Disk（ＤＶＤ）、Blu-ray（登録商標） Disk（ＢＤ）、及びフラッシュメモリなどの不揮発性メモリ（非一時的記録媒体）である。

　通信インターフェイス１０５は、ネットワーク２００を介してコンピュータ装置１００と他の装置とを通信可能に接続する。通信インターフェイス１０５は、例えば、図１において、通信部２５として機能する。
　入出力インターフェイス１０６は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス１０６と接続される入力装置１０７には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス１０６は、接続された各種入力装置とコンピュータ装置１００とを通信可能に接続する。そして、入出力インターフェイス１０６は、接続された各種入力装置から入力された信号を、バス１１０を介して制御回路１０１に出力する。また、入出力インターフェイス１０６は、制御回路１０１から出力された信号を、バス１１０を介して入出力装置に出力する。入出力インターフェイス１０６は、例えば、図１において、入力部２６として機能する。

　表示装置１０８は、各種情報を表示する。表示装置１０８は、例えば、例えばＣＲＴ（Cathode Ray Tube）、ＬＣＤ（Liquid Crystal Display）、ＰＤＰ（Plasma Display Panel）、およびＯＥＬＤ（Organic Electroluminescence Display）などである。ネットワーク２００は、例えば、ＬＡＮ、無線通信、Ｐ２Ｐネットワーク、又はインターネットなどであり、コンピュータ装置１００と他の装置を通信接続する。
　なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。

１　暗号処理装置、１０　制御部、１１　受付部、１２　第１演算部、１３　第２演算部、１５　第１Bootstrapping部（算出部）、１６　第２Bootstrapping部（算出部）、１８　出力部、２０　記憶部、２５　通信部、２６　入力部、１００　コンピュータ装置、１０１　制御回路、１０２　記憶装置、１０３　読書装置、１０４　記録媒体、１０５　通信インターフェイス、１０６　入出力インターフェイス、１０７　入力装置、１０８　表示装置、１１０　バス、２００　ネットワーク

Claims

　暗号文を処理する暗号処理装置であって、
　前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
　割られる数の暗号文に対して、割る数の平文から得られる第１の多項式に基づいてスカラ剰余算を行い、剰余に対応する新たな暗号文を算出する算出部を備える、
ことを特徴とする暗号処理装置。
　請求項１に記載の暗号処理装置において、
　前記算出部は、割られる数の暗号文に対して、割る数の平文から得られる第２の多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出することを特徴とする暗号処理装置。
　請求項２に記載の暗号処理装置において、
　所定の演算として、第１の整数に対応する第１の暗号文及び第２の整数に対応する第２の暗号文の多倍長演算を実行し、
　前記第１の暗号文は、前記第１の整数を区間毎に所定数に分割した結果を夫々暗号化した暗号文を有し、
　前記第２の暗号文は、前記第２の整数を区間毎に前記所定数に分割した結果を夫々暗号化した暗号文を有し、
　前記第１の暗号文と前記第２の暗号文との対応する暗号文同士を準同型演算することにより前記多倍長演算を実行する、
ことを特徴とする暗号処理装置。
　請求項３に記載の暗号処理装置において、
　前記算出部は、
　前記第１の暗号文と前記第２の暗号文との同一区間の暗号文同士と、第３の暗号文と、の準同型演算を行って第４の暗号文を算出し、
　前記第４の暗号文に対して前記スカラ除算を行って新たな前記第３の暗号文を算出し、
　前記第４の暗号文に対して前記スカラ剰余算を行って第５の暗号文を算出し、
　前記準同型演算を所定回数繰り返したときの前記第４の暗号文の列を多倍長演算結果に対応する暗号文として出力する、
ことを特徴とする暗号処理装置。
　請求項３又は４に記載の暗号処理装置において、
　前記算出部は、入力される暗号文に対して前記所定の多項式を用いて新たな暗号文を算出するまえに、暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。
　請求項３乃至５の何れか一項に記載の暗号処理装置において、
　前記所定の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
ことを特徴とする暗号処理装置。
　請求項３乃至５の何れか一項に記載の暗号処理装置において、
　前記所定の演算を行うことにより、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
ことを特徴とする暗号処理装置。
　請求項３乃至５の何れか一項に記載の暗号処理装置において、
　前記所定の演算を行うことにより、入力された前記暗号文を暗号化したまま拡張ユークリッドの互除法で逆元を求める、
ことを特徴とする暗号処理装置。
　請求項３乃至５の何れか一項に記載の暗号処理装置において、
　前記所定の演算を行うことにより、入力された前記暗号文したまま、中身を高機能暗号によって処理する、
ことを特徴とする暗号処理装置。
　プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
　前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
　割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ剰余算を行い、剰余に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
　暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
　前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
　割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ剰余算を行い、剰余に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理プログラム。