WO2023276740A1

WO2023276740A1 - 第三者装置、秘匿計算システム、及びプログラム

Info

Publication number: WO2023276740A1
Application number: PCT/JP2022/024419
Authority: WO
Inventors: 惠市岩村
Original assignee: 学校法人東京理科大学
Priority date: 2021-06-30
Filing date: 2022-06-17
Publication date: 2023-01-05

Abstract

第三者装置は、ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するための秘匿計算システムにおける第三者装置であって、秘密情報を用いず、ｎ＝ｋにおける秘匿計算に用いるｋ個の第１の乱数の積からなる変換用乱数を計算する計算部と、変換用乱数をｎ個の計算装置に対して、秘密分散して送信する送信部と、を備える。

Description

第三者装置、秘匿計算システム、及びプログラム

　開示の技術は、第三者装置、秘匿計算システム、及びプログラムに関する。

　近年、ビッグデータおよびＩＯＴ環境の進歩に伴い、個人に関する情報の活用が期待されている。ただし、個人情報の活用においては、その情報が漏洩すると個人のプライバシーに影響を与える可能性がある。そのため、ビッグデータの利活用においては、個人に関する情報を守る技術と両立させる必要がある。それに対して、データを守りながら演算を行うことができる秘匿計算技術が盛んに研究されている。

　秘匿計算技術は、大きく分けると、主に鍵を用いてデータを秘匿する準同型暗号と、鍵を用いずにデータを秘匿する秘密分散法を用いた秘匿計算がある。ただし、準同型暗号は一般的に計算量が多く、演算処理に多大な時間がかかるという問題がある。そのため、クラウドシステムへの適用に対しては、計算量が重い準同型暗号よりも、計算量が軽い秘密分散法を用いるというアプローチが検討されている。

　秘密分散法とは、１つの秘密情報を複数の異なる値（以降、分散値）に変換し、複数のサーバに分散する手法である。秘密分散法の１つであるＳｈａｍｉｒの（ｋ、ｎ）閾値秘密分散法（非特許文献１参照）は、１つの秘密情報をｎ個の分散値に変換し、ｎ台のサーバに分散する。Ｓｈａｍｉｒの秘密分散法の特徴は、分散したｎ個の分散値からｋ個の分散値を集めれば、元の秘密情報を復元することができるが、ｋ個未満の分散値からは、秘密情報に関する情報を一切得ることができないということである。以降、Ｓｈａｍｉｒの（ｋ、ｎ）閾値秘密分散法を（ｋ、ｎ）Ｓｈａｍｉｒと記述する。また、ｎ＝ｋとする場合、加法的秘密分散法を用いることもでき、処理を高速化できる。
非特許文献１：Shamir A.: “How to share a secret”, Communications of the ACM, Vol. 22, Issue 11, pp. 612-613. ACM, New York, NY, USA. (1979)

　（ｋ、ｎ）Ｓｈａｍｉｒは、ｋ個未満の分散値からは秘密情報に関する情報が一切漏洩しない。これは換言すれば、攻撃者がｎ個の分散値からｋ個の分散値を集めることができれば、秘密情報は漏洩することを意味する。

　一方、秘密分散法を用いた一般的な秘匿計算システムして、秘匿計算を行うサーバ群を貸し出す、さらに秘匿計算を行うプログラムを販売することなどが行われている。この際、最も重要になるのは、ｎ台のサーバを如何に安全かつ独立に管理しているかということをユーザに示す点と考えられる。現在までに提案されている秘密分散を用いた秘匿計算法は、ｎ台のサーバは独立かつ安全に管理されているという前提の下に構成されているが、ｎ台のサーバを如何に独立かつ安全に管理するかについては考慮されていない。

　例えば、ある企業が秘匿計算に関するシステムを運営する場合、その子会社や関連会社などが独立にサーバ管理を行い、ユーザのデータを当該部門外に出さないという契約書などがあるとしても、情報の内部漏洩の危惧はぬぐえない。それは、その子会社や関連会社は同一グループに属し利害関係があるので、内部漏洩が起こっていないことを証明するのは難しいためである。例えば、その秘匿計算に参加したユーザが故意または自分の不注意で秘密情報を漏洩させ、それを秘匿計算した際の内部漏洩であると主張した場合、それを否定する証拠を示すことは難しい。

　逆に、競合関係にある複数の企業が連携して個別にサーバを管理する秘匿計算システムの場合、以下の問題が発生する。一般に、秘密分散を用いた秘匿計算ではｎ≧２ｋ－１という条件を必要とし、提案されている秘匿計算法のほとんどがこの条件を前提とする。例えば、ｋ＝２、ｎ＝３とする場合、３台のサーバ中２台のサーバが結託すれば秘密情報は漏洩する。よって、３つの競合関係にある企業が秘匿計算システムを構築し、この秘匿計算システムの安全性を示すために、各々自社の秘密情報を秘匿計算システムに入力する場合、２つの企業が結託して互いの秘密情報に関する分散値を交換しないが、他の１つの企業の秘密情報に関する分散値を交換した場合、その企業の秘密情報は競合関係にある他の２つの企業に漏洩する。この場合、その３つの企業は情報漏洩を恐れて自らの秘密情報を秘匿計算システムに入力できないことになり、ユーザにその安全性をアピールできない。

　また、上記では同一グループによる組織的な情報漏洩の可能性を指摘したが、ｎ≧２ｋ－１という条件が加われば、例えばｋ＝２、ｎ＝３の場合、個別の２社間の結託の可能性もあり、全ての結託を否定することはより困難になる。

　開示の技術は、秘密分散を用いた秘匿計算法に関する秘匿計算システムについてユーザに安全性を示すことが可能な秘匿計算システムを構成する第三者装置、秘匿計算システム、及びプログラムを得ることを目的とする。

　上記目的を達成するため、第１態様に係る第三者装置は、ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するための秘匿計算システムにおける第三者装置であって、秘密情報を用いず、ｎ＝ｋにおける秘匿計算に用いるｋ個の第１の乱数の積からなる変換用乱数を計算する計算部と、変換用乱数をｎ個の計算装置に対して、秘密分散して送信する送信部と、を備える。

　第１態様に係る第三者装置において、前記変換用乱数の分散値を秘匿する秘匿部と、前記変換用乱数の分散値を秘匿した後に、変換用乱数生成に関わる情報を消去する消去部と、を備えた構成としてもよい。

　第２態様に係る第三者装置は、ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するための秘匿計算システムにおける第三者装置であって、秘密情報を用いず、ｎ＜ｋにおける秘匿計算を実現するために必要な情報を計算する第１の計算部と、計算された情報のうち変換用乱数をｎ個の計算装置に対して、秘密分散して送信する送信部と、を備える。

　第２態様に係る第三者装置において、前記ｎ個の計算装置の各々について定めた第２の乱数を得る乱数取得部を備え、前記第１の計算部は、前記変換用乱数の各分散値に前記第２の乱数を乗算した第３の乱数を前記変換用乱数とする構成としてもよい。

　第２態様に係る第三者装置において、前記変換用乱数を計算する第２の計算部と、前記変換用乱数以外の秘匿計算に必要な補助乱数を計算する第３の計算部と、を備えた構成としてもよい。

　第２態様に係る第三者装置において、前記変換用乱数を秘匿後、変換用乱数生成に関わる情報を消去する第１の消去部と、前記補助乱数を秘匿後、補助乱数生成に関わる情報を消去する第２の消去部と、を備えた構成としてもよい。

　第３態様に係る秘匿計算システムは、第１態様又は第２態様に係る第三者装置を複数備えた秘匿計算システムであって、複数の前記第三者装置のうち少なくとも２つ以上の第三者装置が、各々定めた変換用乱数をｎ＝２ｋ－１以上として秘密分散する秘密分散部と、３つ以上の第三者装置にｋを超えない数の分散値を送信する第１の送信部と、を有し、前記分散値を受信した各第三者装置は、受信した分散値同士を乗算する乗算部と、前記分散値同士の乗算結果を秘密分散して計算装置または第三者装置に送信する第２の送信部と、前記分散値を秘匿した直後に前記変換用乱数に関する情報を消去する消去部と、を有する。

　第４態様に係る秘匿計算システムは、第１態様又は第２態様に係る第三者装置を複数備えた秘匿計算システムであって、前記第三者装置は、変換用乱数を秘密分散する秘密分散部からの分散値に第２の乱数及び第３の乱数を別々に乗算する乗算部と、前記分散値に第２の乱数及び第３の乱数を別々に乗算した乗算結果の分散値が同一の分散値を用いたものにならないように組み合わせを変えて、３つ以上の前記第三者装置にｋを超えない数の分散値を送信する送信部と、を有する。

　第５態様に係るプログラムは、コンピュータを、第１態様又は第２態様に係る第三者装置の各部として機能させるためのプログラムである。

　開示の技術によれば、秘密分散を用いた秘匿計算法に関する秘匿計算システムについてユーザに安全性を示すことができる、という効果を有する。

秘匿計算システムの構成図である。第三者装置のハードウェア構成を示す図である。第三者装置の機能構成を示す図である。ＴＴＰ処理１のフローチャートである。ＴＴＰ処理２のフローチャートである。ＴＴＰ処理２’のフローチャートである。ＴＴＰ処理３のフローチャートである。ＴＴＰ処理４のフローチャートである。

　以下、本開示の実施形態について図面を参照しながら詳細に説明する。

　上記問題点を解決するため、ｎ＝ｋで秘匿計算できる手法を採用した場合、秘匿計算の参加者は自らの分散値を安全に管理すれば、たとえ残りのｎ－１台のサーバ、または参加者が結託しても、秘密情報は漏洩しない。また、漏洩したとしてもそれは参加者自身の分散値の管理に問題があることになり、責任の一端は自らにあることになる。

　このようなｎ＝ｋで秘匿計算できる秘匿計算法としてＳＰＤＺ２方式（下記非特許文献２参照）とＴＵＳ方式（下記非特許文献３参照）などが知られている。ただし、ＳＰＤＺ２方式はＭｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅと呼ぶ乱数の分散値、ＴＵＳ方式は、後述する変換用乱数組を事前に計算して各サーバがもつ必要があり、一般にｎ＝ｋを実現する秘匿計算法は何らかの制限を持つ。

　ＳＰＤＺ２方式では、Ｍｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅを準同型暗号によって計算するが、ＴＵＳ方式では変換用乱数組は前提条件として示されているだけである。また、Ｍｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅや変換用乱数を信頼できる第三者機関（Ｔｒｕｓｔｅｄ　Ｔｈｉｒｄ　Ｐａｒｔｙ：以下、ＴＴＰと称する）で生成するとしても、そのＴＴＰが持つべき機能や特徴については全く明らかにされていなかった。また、ＴＴＰは安全とするだけで、ＴＴＰが攻撃された場合の具体的対策なども全く検討されていなかった。

　そこで、本実施形態では、ＴＴＰが持つべき機能や特徴を明らかにし、ＴＴＰが攻撃された場合の対策を含めて、ＴＴＰがＳＰＤＺ２方式のＭｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅや、ＴＵＳ方式の変換用乱数組を生成する秘匿計算システムについて説明する。この秘匿計算システムでは、一般的に考えられる秘匿計算を行う主体であるサーバ群の構成・管理等はユーザに任せてＴＴＰは関与しない。よって、ＴＴＰは秘密情報漏洩が起こってもその責任から免れることができる。また、ＴＴＰは、前記Ｍｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅ及び変換用乱数組の生成以外にユーザのサーバ群の構成・管理などに関するサポート（例えば、安全性を満たさないユーザのサーバに関するアドバイスやセキュリティソフトの販売等）などを行うことも可能である。

　ただし、ＴＵＳ方式における変換用乱数組とは、攻撃者が知らない乱数をεとし、

とすると、サーバＳ_ｊがもつ

を指す（ｊ＝０，…，ｋ－１）。また、変換用乱数の代わりに、

を各サーバがもち、秘匿計算を行う前に、秘匿計算の事前計算に参加するサーバＳ_ｊが

を集めて復元し、

としてもよい。

　また、ＳＰＤＺ２方式におけるＭｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅとは、攻撃者が知らない乱数をａ、ｂとしたとき、ｃ＝ａｂに対する分散値

を指す。ただし、

はＳｈａｍｉｒ法などによるｘの分散値を表す。以上より、Ｍｕｌｔｉｐｌｉｃａｔｉｏｎ　Ｔｒｉｐｌｅは変換用乱数のε_０、ε_１をａ、ｂとして分散したものと言える。

（非特許文献２）Damgard I., Keller M., Larraia E., Pastro V., Scholl P., Smart N.P.: “Practical covertly secure MPC for dishonest majority - Or: Breaking the SPDZ Limits.” In: Crampton J., Jajodia S., Mayes K. (eds) Computer Security (ESORICS 2013). LNCS, vol. 8134, pp. 1-18. Springer, Berlin, Heidelberg. (2013)

（非特許文献３）鴇田恭平，岩村惠市：“高速かつn<2k-1において秘密情報に0を含んでも実行可能な秘密分散法による秘匿計算法．”電気学会論文誌C，Vol. 138，No.12．(2018)

＜第１実施形態＞

　まず、秘匿計算システムについて説明する。図１に示すように、秘匿計算システム１０は、第三者装置ＴＴＰ、ユーザ装置ＵＳ、及び複数のサーバＳがネットワークＮによって接続された構成である。なお、場合によっては、第三者装置ＴＴＰ及びユーザ装置ＵＳが複数存在していてもよい。

　秘匿計算システム１０は、ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するためのシステムである。

　本実施形態において、乱数は、後述するように物理的雑音等による情報理論的安全性をもつ乱数（以降、物理乱数）を用いることを基本とする。物理乱数は、熱雑音や原子核崩壊のような物理的雑音から作られるが様々な生成法があり、物理乱数生成部において生成されるとする。第三者装置ＴＴＰは、後述する共通部分の他に図３に示す乱数処理装置ＲＳを有する。

　乱数処理装置ＲＳは、詳細は後述するが、図３に示すように、物理乱数生成部２０１、変換用乱数の計算部２０２、変換用乱数を暗号化する秘匿部２０３、履歴記録部２０４、消去部２０５、及び接続部２０６から構成される。第三者装置ＴＴＰにおける共通部分と乱数処理装置ＲＳは通常分離されており、乱数処理装置ＲＳは内外部から隔離されている。また、暗号化が終了し、処理履歴を記録し、それら以外の情報を消去した後に共通部分と接続され、共通部分を介して暗号化された変換用乱数等は各サーバに送信される。物理乱数が外部から送られてくる場合、第三者装置ＴＴＰは物理乱数生成部２０１を持たず、外部からの乱数を接続部２０６を介して乱数処理装置ＲＳに取り込んだ後、後述のように接続を遮断して、暗号の復号を行い、変換用乱数を計算して暗号化し、処理履歴を記録した後、それら以外の情報を消去する。ユーザ装置ＵＳ、及び複数のサーバＳは、第三者装置ＴＴＰの共通部分と同様の構成となるが、以下にその構成を説明する。ただし、乱数処理装置ＲＳが共通部分の機能を含み、インターネットを含む外部との接続を接続部２０６で制御できる場合、第三者装置ＴＴＰは乱数処理装置ＲＳだけでもよい。

　図２に第三者装置ＴＴＰの共通部分のハードウェア構成を示す。図１に示すように、第三者装置ＴＴＰは、ＣＰＵ２１、ＲＯＭ２２、ＲＡＭ２３、メモリ２４、入力装置２５、送受信装置２６、表示装置２７がバス２８を介して相互に接続されて、構成されている。メモリ２４には、後述するＴＴＰ処理１～４等の各種プログラムが記憶されている。

　図３に第三者装置ＴＴＰの乱数処理装置ＲＳの機能構成を示す。図３に示すように、乱数処理装置ＲＳは、物理乱数生成部２０１、計算部２０２、秘匿部２０３、履歴記録部２０４、消去部２０５、及び接続部２０６を備える。ただし、物理乱数が外部から送られる場合、乱数処理装置ＲＳは物理乱数生成部２０１を有しない。

　物理乱数生成部２０１は、熱雑音や原子核崩壊のような物理的雑音から情報理論的安全性をもつ物理乱数を生成する。

　計算部２０２は、秘密情報を用いず、ｎ＝ｋにおける秘匿計算に用いるｋ個の第１の乱数を外部から得る又は自ら生成して、その積からなる変換用乱数を計算し、秘密分散する。

　秘匿部２０３は、変換用乱数の分散値をバーナム暗号などによって秘匿する。

　履歴記録部２０４は、第三者装置ＴＴＰが行った処理及び内外部からの乱数処理装置ＲＳへのアクセス等に関する履歴を記録する。

　消去部２０５は、変換用乱数の分散値を秘匿した後に、変換用乱数生成に関わる情報を消去する。

　接続部２０６は、消去部２０５での消去が終了後、共通部分と接続されて、暗号化された変換用乱数などを共通部分に渡し、再び接続を遮断する。また、乱数が外部から送られてくる場合は、それを取り込むときに接続を行い、その後共通部分と遮断する。以降、通信に関する細かな処理の記述は煩雑になるため省略するが、第三者装置ＴＴＰが他の装置にデータを送信するときは、必ずデータを秘匿部２０３で秘匿した後に行われ、接続部２０６で共通部分と接続して共通部分を介して送信するとする。ただし、接続部２０６が直接外部との通信を行う場合、共通部分を介さずに行うことができる。

　なお、以下では、第三者装置ＴＴＰを単にＴＴＰと称する場合がある。

　第１実施形態では、ｎ＝ｋにおいて理論的に情報理論的安全性を実現する秘密分散を用いた秘匿計算法であるＴＵＳ４方式を、実運用においても情報理論的安全性を実現する秘匿計算システムとして運用する場合を説明する。以下にＴＵＳ方式の基本形であるＴＵＳ４方式を説明する。

　ＴＵＳ４方式では、ａｂ＋ｃのような単純な積和演算ではなく

のような拡張積和演算を扱う。これは１回の演算の範囲をａｂ＋ｃのみに限定しないためである。ただし、ｌ＝２、ｍ_１＝２、ｍ_２＝１とすれば積和演算になる。

　一般に、下記式（１）、（２）式が成り立つため、任意の（ａ_１ａ_２・・ａ_ｍ）は（ａ_１＋１）、（ａ_２＋１）、・・・、（ａ_ｍ＋１）を用いて計算できる。

　　　・・・（１）

　　　　・・・（２）

　また、上記（２）式を展開すると以下となる。

　ただし、ｊ’はｍ個の（ａ_ｊ＋１）からｍ－ｉ個を選ぶ組み合わせの要素を意味する。例えば、ｍ＝３のときは以下となる。

　また、ｍ＝４のときは以下となる。

　よって、ｌ＝２、ｍ_１＝３、ｍ_２＝４とすれば上記ａ_１ａ_２ａ_３をａ_１，１ａ_２，１ａ_３，１とし、ａ_１ａ_２ａ_３ａ_４をａ_１，２ａ_２，２ａ_３，２ａ_４，２として以下を計算することができる。
ａ_１，１ａ_２，１ａ_３，１＋ａ_１，２ａ_２，２ａ_３，２ａ_４，２

　以下のＴＵＳ４方式において、入力ａ_１，ｉａ_２，ｉ，…ａ_ｍ，ｉはｐを法として、ｐ－２以下の数とする。また、乱数は一様分布する乱数であり、０は用いられない。また、それ以外の値はＧＦ（ｐ）に属し、秘密分散を含む全ての演算はｐを法として行われる。また、秘密情報の入力者、分散値を記憶するサーバ、秘密情報を復元する復元者間の通信は安全であるとする。また、変換用乱数組

は事前にサーバに準備されているとする。以下では、説明の簡単のためｍ_ｉ＝３のときのアルゴリズムを示すが、任意のｍ_ｉに拡張できることは明らかである。

［ＴＵＳ４方式］

［事前計算］

（１）ディーラＤは、秘密情報ａ_１，ｉ（ｉ＝１，・・・，ｌ）に対してｋ個の乱数ｂ_{（１，ｉ），０}，ｂ_{（１，ｉ），１}，・・・ｂ_{（１，ｉ），ｋ－１}を生成し、

を計算し、ｂ_{（１，ｉ），ｊ}をサーバＳ_ｊに送る。

（２）ディーラＤは、ａ_２，ｉ、ａ_３，ｉに対しても上記（１）と同様の処理を行う。

（３）ディーラＤは、ｂ_ｇ，ｉをユーザＵ_ｇ，ｉに送る（ｇ＝１，２，３）。

（４）サーバＳ_ｊは、乱数ｄ_ｊを生成して以下の値を計算し、１台のサーバ（ここではサーバＳ_０とする）に送る。ただし、ｎ＞ｋの場合、サーバＳ_ｊは乱数ｄ_ｊを秘密分散する。

（５）サーバＳ_０は、送られてきた値を掛け合わせて以下の値を計算し、全サーバに送信する（ｉ＝１，・・・，ｌ）。

（６）全サーバＳ_ｊは、以下の値を計算して保持する。

［秘密情報の秘匿］

　ユーザＵ_ｇ，ｉは、自らが持つ秘密情報ａ_ｇ，ｉに対してｂ_ｇ，ｉ（ａ_ｇ，ｉ＋１）＝ｂ_ｇ，ｉ×（ａ_ｇ，ｉ＋１）を計算して全サーバに送る（ｇ＝１，２，３）。以下では、ｂ_ｇ，ｉ（ａ_ｇ，ｉ＋１）を秘匿化秘密情報と呼ぶ。

［秘匿計算］

　全サーバＳ_ｊは、以下の値を計算する。

［復元処理］

　復元者は、ｋ台のサーバＳ_ｊから

を集めて

を復元し、次式により演算結果

を得る。

　ただしｎ＞ｋの場合、ｄ_ｊは［事前計算］の（４）で分散した

から復元される。

　上記において、ディーラＤは、ユーザＵ_ｇ，ｉでもよいしＴＴＰでもよい。ここでは、ディーラＤはユーザＵ_ｇ，ｉとする。よって、ユーザＵ_ｇ，ｉは自らの秘密情報ａ_ｇ，ｉに対して、［事前計算］の（１）の処理と［秘密情報の秘匿］の処理を秘匿装置としてのユーザ装置ＵＳで行う。また、残りの［事前計算］と［秘匿計算］はｋ台の計算装置としてのサーバＳが行い、［復元処理］は復元装置としてユーザ装置ＵＳが行う。また、予めサーバに準備されている変換用乱数組をＴＴＰが生成する。このようなシステム構成において上記ＴＵＳ４方式を実行するための処理を以下に説明する。

　以降において、秘匿計算を依頼するユーザを代表者と呼ぶ。代表者は、秘匿計算に参加するユーザ（以降、参加者と呼ぶ）を集め、そのアドレスやＰＣ（パーソナルコンピュータ）環境などの情報を収集し、ＴＴＰにそれらの情報を付けて秘匿計算のサポートを依頼し契約する。これを第０段階と呼ぶ。

　ＴＴＰは、参加者のＰＣ環境に対して安全性を保つためのセキュリティソフトや、ＰＣのスペックなどに対するアドバイスを含め、安全に秘匿計算が行える環境をアドバイスする。また、ＴＴＰは、実行する秘匿計算アルゴリズムに関する安全性などを参加者に説明し、ライブラリなどを各ユーザに導入させる、または依頼によって必要とする演算に対する秘匿計算ソフトを制作し、代表者はそれを購入し、全参加者にその秘匿計算ソフトを導入させる。ただし、参加者はＴＵＳ４方式のユーザＵ_ｇ，ｉに相当し、代表者はＴＵＳ４方式のユーザＵ_ｇ，ｉまたは復元者に相当する。秘匿計算を行うサーバＳは、参加者全員のＰＣを用いる。ただし、ＰＣの性能が劣るものがある場合等は、比較的性能のよいｎ＝ｋ台を選択してもよい（ｋは、用いるＰＣの結託可能性等から定める）。以下では全員のＰＣを用いるとする。

　また、ＴＴＰは、参加者と以降の通信のために情報理論的安全性を実現する暗号の鍵となる乱数を共有する。本実施形態において乱数とは、断りがない限り、熱雑音又は物理雑音のような無限の計算能力があっても予測できない情報理論的安全性をもつ物理乱数である。ここではバーナム暗号を想定する。バーナム暗号の鍵として用いる乱数は量子暗号などによっても共有できるが、ＴＴＰが参加者毎に上記物理乱数を生成し、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）等の記録媒体等に格納して本人確認付きで郵送するなどしてもよい。また、参加者が乱数を変形したい場合、自ら生成した乱数を送られた鍵でバーナム暗号化してＴＴＰに送り、互いに定めた乱数部分に加算するなどしてもよい。また、各参加者は何らかの方法で互いのサーバ間の通信を安全に行うための情報理論的安全性を実現する暗号の鍵を共有するとする。ただし、代表者や参加者が情報理論的安全性にこだわらず、計算量的安全性でよいとする場合、この暗号通信はＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）などを用いることができ、鍵の共有も公開鍵暗号的な手法と組み合わせたハイブリッド方式等を採用することができる。また、以降の処理でも計算量的に安全な乱数を用いることができる。これらの処理を第１段階と呼ぶ。

　ＴＴＰは、秘匿計算に必要な変換用乱数組を以下の［ＴＴＰ処理１］で生成し消去する。以降、暗号化は特に断りがない限り、共有した鍵によるバーナム暗号を用いるとする。これらの処理を第２段階と呼ぶ。

　以降、全参加者はＴＴＰから送られた暗号化データを共有する鍵で復号し、前記制作された秘匿計算用のソフトウェアに、送られた変換用乱数組や自らが持つ秘密情報を入力してＴＵＳ４方式の［事前計算］及び［秘密情報の秘匿］などを行い、［秘匿計算］を実行して、復元者はその結果を得る。

［ＴＴＰ処理１］

　以下、第三者装置ＴＴＰが実行するＴＴＰ処理１について図４のフローチャートを参照して説明する。ＴＴＰ処理１は、ＣＰＵ２１がメモリ２４に記憶されたプログラムを読み込むことにより実行される。

（Ｓ１）第三者装置ＴＴＰは、ｋ個の第１の乱数としての乱数ε_０，・・・，ε_ｋ－１を取得する。例えば、外部（ｋ台のサーバ等）から送られる場合、各サーバはＴＴＰと共有する乱数で、その乱数をバーナム暗号化して送り、ＴＴＰはそれを復号することによって、第１の乱数を得る。ＴＴＰが乱数を生成する場合、物理乱数生成部２０１から第１の乱数を得る）。

（Ｓ２）第三者装置ＴＴＰは、計算部２０２で、ｋ個の第１の乱数の積である変換用乱数として

を計算して秘密分散し、秘匿部２０３で、（［ε］_ｊ、ε_ｊ）を暗号化した直後、すなわち秘匿した後に、その暗号化情報を除く上記（１）、（２）に関連する全情報、すなわち変換用乱数生成に関わる情報を、消去部２０５で、後述の履歴情報を除いて全消去する。

（Ｓ３）第三者装置ＴＴＰは、暗号化された（［ε］_ｊ、ε_ｊ）をサーバＳ_ｊ（ｊ＝０，・・・，ｋ－１）に送り、その転送履歴を記憶する。

（Ｓ４）第三者装置ＴＴＰは、上記（Ｓ１）～（Ｓ３）の処理履歴（乱数取得履歴、乱数の乗算履歴、乗算結果の秘密分散履歴、分散値の暗号化履歴、情報消去履歴、及び暗号化情報の転送履歴等）と、その処理を行ったサーバ及び乱数処理装置ＲＳへの処理中における内外部からのアクセス履歴を履歴情報として履歴記録部２０４に保存する。

　なお、上記（Ｓ１）における乱数は、第三者装置ＴＴＰが生成してもよいし、サーバＳ_ｊ（ｊ＝０，・・・，ｋ－１）がε_ｊを生成して第三者装置ＴＴＰに送ってもよい。その場合、上記（Ｓ３）では［ε］_ｊのみをサーバＳ_ｊに返すとしてもよい。また、第三者装置ＴＴＰは、ε_ｊ（ｊ＝０，・・・，ｋ－１）も秘密分散して、

をＳ_ｊに送り、秘匿計算に参加するサーバＳ_ｊが

を集めて復元し、

を持つとしてもよい。また、第三者装置ＴＴＰが上記（Ｓ１）の乱数を生成する場合、第三者装置ＴＴＰは、少なくとも上記（Ｓ１）の処理の前に内部及び外部からのアクセスを遮断して上記（Ｓ１）の処理を行い、上記（Ｓ２）で計算された情報の全消去が行われた後、アクセスを回復して、そのアクセス遮断及び回復履歴を処理履歴として加えてもよい。また、上記（Ｓ３）で送信した後で暗号化した

も消去してよい。

＜第１実施形態の安全性＞

　ＴＴＰが物理乱数を生成する場合、物理乱数生成部２０１は内外部と隔離されているため、ＴＴＰも変換用乱数を知ることはできない。物理乱数が外部から送られてくる場合も、暗号化が復元されるのは隔離された乱数処理装置ＲＳ内であるので、ＴＴＰは物理乱数を知りえない。さらに、サーバ間の通信はサーバ間で定めた鍵によって暗号化されているので、ＴＴＰはそれ以上の情報を知りえない。よって、秘匿計算の或る参加者が故意または自分の不注意で秘密情報が漏洩させ、それを秘匿計算のせいだと主張しても、ＴＴＰは処理履歴によって乱数処理装置ＲＳに不正なアクセスがないことを証明でき、サーバ間で安全な通信が行われていれば、それを知ることができないので情報漏洩の責任は負わない。ただし、この場合、ＴＴＰがアドバイスしたＰＣの構成や安全性に問題があったとされる可能性はあるが、秘匿計算実行に関する最終的な決断及び運用は代表者側に任されるため、その責任も回避できる。

　また、ＴＴＰは、公開鍵暗号におけるＣＡ等と同様に民間企業が運営し、複数存在することができ、代表者はその中から信頼できると考えるＴＴＰを選び、第０段階の依頼をする。ＴＴＰは、代表者から選んでもらえるように、自らがサポートした秘匿計算の数や実績などを公開するが、後述するように明らかな不正があった場合の履歴も公開される。明らかな不正が公開されれば、以降代表者が選択することはなくなり、後述のペナルティ等を負う可能性もあるので、ＴＴＰは基本的に不正を行わないという安全性を主張できる。

　また、ＴＴＰは、民間企業であるが、セキュリティの専門機関であり、自らのサーバ環境の安全性等を常に検証して最新の安全性を持つものにし、変換用乱数組をバーナム暗号化するとその暗号化結果を除いて変換用乱数組に関する情報を全消去して、その履歴のみを残す。よって、攻撃者は、ＴＴＰの高いセキュリティ環境及び隔離された乱数処理装置ＲＳから変換用乱数組を漏洩させる必要があり、外部からの攻撃は非常に困難と言える。

　一方、サーバ群において各サーバのアクセス履歴等を示すことはできるが、ＴＵＳ方式以外では乗算の度にサーバ間の通信を必要とし、秘匿計算中の通信の遮断は困難である。また、不正アクセスもｋ－１台までであれば情報漏洩しないが、秘匿計算中にｋ台のサーバへの不正アクセスがあった場合、秘密情報が既に漏洩している可能性もある。また、行う秘匿計算によってサーバ群の処理は異なるため、秘匿計算中に不正があったか否かの解析は容易ではなく、実用上の安全性を証明することは難しいと考えられる。それに対して、本実施形態におけるＴＴＰは１台であり、行う処理は定型で且つ単独で行うため、処理を行うサーバの処理履歴やアクセス履歴、転送履歴、またはアクセス遮断等によって情報が漏洩していない証明は容易である。ここで、［ＴＴＰ処理１］の（Ｓ１）、（Ｓ２）の処理を行う部分への内部からのアクセスも遮断するのは、内部犯罪も防止するためである。

　以上より、本実施形態によれば非常に高い安全性を実現できる。

　ただし、ＴＴＰは、ＣＡ（Ｃｅｒｔｉｆｉｃａｔｅ　Ａｕｔｈｏｒｉｔｙ）に似た位置づけとなるが、ＣＡは計算量的安全性をもつ公開鍵暗号に関するものであり、情報理論的安全性を実現する秘密分散法を用いた秘匿計算をサポートすることはできない。また、ＣＡはユーザに公開鍵証明書を与えればよく、ユーザがその公開鍵を使うたびに作業は発生しない。それに対して、本実施形態に係るＴＴＰは、ユーザが秘匿計算を行うたびに変換用乱数を生成して配布する必要があり、処理が全く異なる。

　また、不正があったとする場合、ＰＣの構成や安全性を再調査する必要があり、その再調査を第３段階と呼ぶ。よって、ＴＴＰは第１～第３段階の作業で利益を得ることができる。この３つの作業は同じＴＴＰが担当することもできるが、別々のＴＴＰが担当してもよい。

　一方、例として示したＴＵＳ４方式はｓｅｍｉ－ｈｏｎｅｓｔな攻撃者を想定した秘匿計算法であるが、ｍａｌｉｃｉｏｕｓな攻撃者を想定したＴＵＳ５方式も提案されている（非特許文献４参照）。また、演算を繰り返す場合を想定したＴＵＳ４’方式（非特許文献５参照）も提案されており、その組み合わせによって任意の四則演算が秘匿計算できる。また、ＴＵＳ５方式もＴＵＳ４’方式も変換用乱数組を用いて実現される。よって、ＴＴＰ処理１はＴＵＳ４’方式及びＴＵＳ５方式に対しても有効である。また、ＳＰＤＺに対して、ＴＴＰは、［変換用乱数組生成］におけるε_０、ε_１をａ、ｂとして秘密分散してｃの分散値に相当する［ε］_ｊとともにサーバＳ_ｊに送ればよい。よって、ＳＰＤＺの事前処理も上記ＴＴＰ処理で対応可能である。

　また、上記説明ではユーザのＰＣを使うとしたが、代表者がサーバ群でビジネスを行う業者と契約して、ＴＵＳ４方式を用いて秘匿計算させてもよい。この場合、参加者のＰＣは用いないため第０段階における参加者のＰＣ情報は不要である。また、サーバ間で暗号通信を行って秘匿計算するため、参加者は関与することはできず、参加者の一部とＴＴＰが結託しても秘密情報は漏洩しない。ただし、ＴＴＰのビジネスとサーバ群のビジネスは独立している必要がある。また、ｎ＝ｋで秘匿計算しても全サーバが攻撃されれば秘密情報は漏洩するので、全サーバが攻撃されても安全な秘匿計算法が求められるが、それは第３実施形態以降で説明する。

　また、参加者や復元者は第０段階で十分な安全性をもつパスワード等を登録して、システムへのアクセスはパスワード認証等によって本人確認を行うようにしてもよい。また、ＴＴＰも同様であるが、交換した乱数によっても認証できる。

（非特許文献４）Shogo Ochiai and Keiichi Iwamura New Approach to Dishonest-Majority Secure Multiparty Computation for Malicious Adversaries when n < 2k - 1 , CANDAR2020(The Eighth International Symposium on Computing and Networking, WICS1, 50

（非特許文献５）岩村惠市、ムハンマド　カマル　アフマド　アクマル　アミヌディン、山根将司：“乱数で秘匿された秘密情報を入力とする秘密分散法を用いた高速な秘匿計算法”，ＳＣＩＳ２０２０，２Ｃ４－４

　＜第２実施形態＞

　第１実施形態では、正当なＴＴＰであれば、アクセスの遮断などを行うことができ、非常に高い安全性を実現することができる。しかし、後を顧みず秘密情報の漏洩のみを目的として悪意あるＴＴＰと参加者の一部、またはサーバ群の一部が結託した場合、秘密情報が漏洩する。その危険性を低減することができる第２実施形態について説明する。

　第２実施形態では、第三者装置ＴＴＰが複数存在する場合について説明する。

　ただし、ＴＴＰは他のＴＴＰや参加者から結託の打診があった場合、発信元を調査して、それを告発するという規則をコンプライアンスの一環として定めるとする。また、打診に乗ると見せかけて発信元のＴＴＰをつきとめて告発するなども考えられる。打診したＴＴＰは、それを明らかな不正の証拠として公開される。できればＴＴＰによる委員会や業界団体のようなものがあり、そこでこの問題を議論するなどが望ましい。そこで、不正と認定されたＴＴＰは不正ＴＴＰとして公開される。不正ＴＴＰは不正の公開以外に刑事罰や情報漏洩が発見された企業などへの弁償金支払い等のペナルティを負うことも考えられる。

　また、第２実施形態で利用する、多項式の次数を変更できる方法の一例としてＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを用いる方法（非特許文献６参照）について以下に説明する。このような方法はＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒ以外でも非特許文献７、８等に記載された方法もあり、上記機能を実現できるものであれば種々公知の方法を適用してもよい。

　次数ｋ－１の２つの多項式ｆ（ｘ）、ｇ（ｘ）の乗算結果ｈ（ｘ）＝ｆ（ｘ）×ｇ（ｘ）は、以下のような次数２ｋ－２の多項式となる。ただし、ａｂは、ｆ（ｘ），ｇ（ｘ）の定数項、すなわち秘密情報の積である。

　よって、以下の関係が成り立つ。ただし、Ａは、次式を成立させるｘの値のべき乗から構成される（２ｋ－２）×（２ｋ－２）の行列である。

　以上より、次式が成り立つ。

Ａ^－１の最上位行の係数をａ_１，・・・，ａ_２ｋ－１とすると、秘密情報の積ａｂは次式で表される。

　このａ_１，・・・，ａ_２ｋ－１をＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒと呼ぶ。

　以下に、第三者装置ＴＴＰが行う処理を示す。代表者は３つの第三者装置ＴＴＰ（以下ＴＴＰ１～３と呼ぶ）を選択し、各々のＴＴＰに対して第１実施形態に示す第０段階の契約を行う。第三者装置ＴＴＰ１～３間は鍵共有済みとする。

＜ＴＴＰ処理２＞

　以下、ＴＴＰ１～３が実行するＴＴＰ処理２について図５のフローチャートを参照して説明する。以下では簡単のため、ＴＴＰが物理乱数を生成する場合を示す。物理乱数が外部から送られる場合は、以下における物理乱数生成部２０１での処理は省略される。

（Ｓ２１）ＴＴＰ１は、物理乱数生成部２０１で乱数ε_１を生成し、生成したε_１を計算部２０２で（ｋ，２ｋ－１）Ｓｈａｍｉｒで分散して［ε_１］_ｉ（ｉ＝１，・・・，２ｋ－１）を生成し、ｉ＝ｋ，・・・，２ｋ－２個の分散値をＴＴＰ２に送り、ｉ＝２ｋ－１に相当する１個の分散値をＴＴＰ３に送る。また、

となるε_ｊをサーバＳ_ｊに送る。

（Ｓ２２）ＴＴＰ２は、物理乱数生成部２０１で乱数ε_２を生成し、ε_２を計算部２０２で（ｋ，２ｋ－１）Ｓｈａｍｉｒで分散して［ε_２］_ｉ（ｉ＝１，・・・，２ｋ－１）を生成し、ｉ＝１，・・・，ｋ－１個の分散値をＴＴＰ１に送り、ｉ＝２ｋ－１に相当する１個の分散値をＴＴＰ３に送る。また、

となるε_２，ｊをサーバＳ_ｊに送る。

（Ｓ２３）ＴＴＰ_ｉ（ｉ＝１，２，３）は、計算部２０２で［ε_１］_ｉ・［ε_２］_ｉの乗算を行って、ｋ＝ｎで秘密分散したものにＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒをかけた値を秘密分散する。さらに、秘匿部２０３でそれを暗号化し、処理履歴を履歴記録部２０４に記録して、消去部２０５で上記（Ｓ２１）～（Ｓ２３）で生成した情報を全消去する。

（Ｓ２４）ＴＴＰ_ｉは、サーバＳ_ｊに対応する暗号化した値をサーバＳ_ｊに送り、その転送履歴も保存する。

　以降、サーバＳ_ｊは、送られた値を復号して加算して［ε］_ｊとし、ε_ｊ＝ε_１，ｊ×ε_２，ｊを計算して（［ε］_ｊ，ε_ｊ）を変換用乱数組として保持する。ただし、ε＝ε_１×ε_２である。また、ＴＴＰを除く各装置は、ＴＵＳ４方式によって秘匿計算を行う。

　上記（Ｓ２３）、（Ｓ２４）の具体例を示すと以下のようになる。ただし、簡単のためｎ＝ｋ＝２とする。

　上記（Ｓ２１）、（Ｓ２２）によってＴＴＰ１，２，３は以下を持つ。
ＴＴＰ１：［ε_１］_１，［ε_２］_１
ＴＴＰ２：［ε_１］_２，［ε_２］_２
ＴＴＰ３：［ε_１］_３，［ε_２］_３

　また、Ｒｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒはｋ＝２よりａ_１，・・・，ａ_３となり、サーバはＳ_１，Ｓ_２となる。

　また、例えば、［ε_１］_１，［ε_２］_１の積をｎ＝ｋ＝２で秘密分散したものを［［ε_１］_１，［ε_２］_１］_１，［［ε_１］_１，［ε_２］_１］_２と表すと、各ＴＴＰは、上記（Ｓ２４）で以下を計算して各サーバに送る。
　ＴＴＰ１：ａ_１［［ε_１］_１，［ε_２］_１］_１→Ｓ_０，ａ_１［［ε_１］_１，［ε_２］_１］_２→Ｓ_１
　ＴＴＰ２：ａ_２［［ε_１］_２，［ε_２］_１］_１→Ｓ_０，ａ_１［［ε_１］_２，［ε_２］_２］_２→Ｓ_１
　ＴＴＰ３：ａ_３［［ε_１］_２，［ε_２］_３］_１→Ｓ_０，ａ_１［［ε_１］_２，［ε_２］_３］_２→Ｓ_１

　サーバＳ_０，Ｓ_１は、下記の値を計算して、［ε］_ｊを得る。ただし、ＴＴＰ_ｉは、ａをａ＋ｒ_ｉｘで秘密分散するとする。また、前記Ｒｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒの説明において、例えばｆ（ｘ）を秘密情報ε_１に対する分散式、ｇ（ｘ）を秘密情報ε_２に対する分散式とすると、［ε_１］_１［ε_２］_１はｈ（１）に相当する。この場合、［［ε_１］_１，［ε_２］_１］_１＝ｈ（１）＋ｒ_ｉとなる。ただし、ｒ＝ａ_１ｒ_１＋２ａ_２ｒ_２＋３ａ_３ｒ_３である。

＜第２実施形態の安全性＞

　第２実施形態は第１実施形態と異なり、１つのＴＴＰと参加者の一部の結託では秘密情報は全く漏洩しない。秘密情報を漏洩させるためには２つのＴＴＰが結託する必要がある。しかしながら、前述したように、あるＴＴＰが代表者の選択した他のＴＴＰに結託を打診した場合のリスクは大きい。よって、代表者が少なくとも２つの正当なＴＴＰを選ぶことができれば、残りのＴＴＰが不正を持ちかけても不正は必ず発覚する。

　また、ＴＴＰ処理２は定型の処理であるので、処理履歴によって不正アクセスがないことを示すこともできる。例えばＴＴＰ１は、上記（Ｓ２１）の処理の前にアクセスを遮断し、上記（Ｓ２１）における［ε_１］_ｉ（ｉ＝１，・・・，ｋ－１）をＴＴＰ１のみが知る鍵で暗号化し、［ε_１］_ｉ（ｉ＝ｋ，・・・，２ｋ－２）をＴＴＰ２と共有する鍵で暗号化し、［ε_１］_ｉ（ｉ＝１，・・・，２ｋ－１）をＴＴＰ３と共有する鍵で暗号化し、ε_１を消去してアクセスを回復して、ＴＴＰ１は各暗号化分散値をＴＴＰ２，ＴＴＰ３に送る。送受信後、再びアクセスを遮断し、上記（Ｓ２３）の処理を行い、再びアクセスを回復して上記（４）の処理を行えば、ＴＴＰ１は情報漏洩がないことを証明できる。

　上記をｔ個のＴＴＰに拡張した場合のＴＴＰ処理２’について図６のフローチャートを参照して説明する。

＜ＴＴＰ処理２’＞

（Ｓ２１’）ＴＴＰ_ｊ（ｊ＝１，…，ｔ）は、物理乱数生成部２０１で乱数ε_ｊを生成し、計算部２０２で（ｋ，２ｋ－１）Ｓｈａｍｉｒで分散して、［ε_ｊ］_ｉ（ｉ＝１，・・・，２ｋ－１）を生成し、［ε_ｊ］_ｉをｔ個のＴＴＰにｋ個を超えない数ずつ分割して送る。また、

となるε_ｊ，ｉをサーバＳ_ｊに送る。

（Ｓ２２’）ＴＴＰ_ｊは、計算部２０２で与えられた分散値を順に２つずつ乗算して、ｋ＝ｎ＝ｔで秘密分散したものにＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けた値をｔ個のＴＴＰにｋ個を超えない数ずつ送る。

（Ｓ２３’）ＴＴＰ_ｊは、上記（Ｓ２２’）の処理を繰り返して全てのε_ｊが乗算されたεの分散値に、ｋ＝ｎで秘密分散したものにＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けた値をＳ_ｊに送る。

　以降、サーバＳ_ｉは、

を計算し、上記（Ｓ２３’）の処理で送られた分散値を加算して［ε］_ｉを得て、（［ε］_ｉ，ε_ｉ）を変換用乱数として保存する。また、ＴＴＰを除く各装置はＴＵＳ４方式によって秘匿計算を行う。

　上記（Ｓ２２’）の処理の具体例は以下となる。これはＴＴＰ処理２の具体例における上記（Ｓ２３）の処理を以下のように変形したものとなる。

　各ＴＴＰは、以下の値を計算して［ε］_ｊを得る。

　上記（Ｓ２３’）の処理の具体例は以下となる。

　ＴＴＰ１，２，３は、異なる乱数μ_１、μ_２に対して上記（Ｓ２１’）、（Ｓ２２’）の処理を行い、以下も記憶する。

　ＴＴＰ１，２，３は、εをε_１、μをε_２として上記（Ｓ２２’）の処理を繰り返し、最後はＴＴＰ処理２の上記（Ｓ２４）の処理を行い、合成した分散値をｋ個のサーバに送る。

＜ＴＴＰ処理２’の安全性＞

　ＴＴＰ処理２’は、３個の第三者装置ＴＴＰで行われるＴＴＰ処理２をｔ個のＴＴＰに拡張し、結託するｍ個のＴＴＰがもつ分散値の数がｋを超えない場合に安全とするものである。簡単のためｔ＝２ｋ－１とすれば各ＴＴＰは１個ずつの分散値をもつため、ｋ個のＴＴＰが同時に悪意を持って結託しない限り不正は成功しない。その中に正当なＴＴＰが１個でも含まれれば、事前に告発される。よって、ｋを大きく設定すればＴＴＰ間の結託のリスクは非常に大きくなるため、情報漏洩を防ぐ安全性が向上する。また、ＴＴＰ処理２と同様にすれば処理履歴によって不正アクセスがないことも示せることは明らかである。

　ＴＴＰ処理２及びＴＴＰ処理２’では、第三者装置ＴＴＰはＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けて各サーバＳに送ったが、第三者装置ＴＴＰが分散値の積を秘密分散して各サーバＳに送り、サーバＳがＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けてもよい。

　また、第２実施形態は、悪意のある攻撃者を想定したＴＵＳ５方式やＴＵＳ４’方式の組み合わせ等に対しても有効であり、ＳＰＤＺにも有効であることは明らかである。

　また、第１段階の処理は１つの第三者装置ＴＴＰで行われれば、乱数の交換以外の処理は他の第三者装置ＴＴＰで行わなくてもよい。また、同じサーバ組で秘匿計算を行う場合も同様である。

（非特許文献６）Cramer R., Damgard I., Nielsen J., 2015. Secure multiparty computation and secret sharing. Cambridge University Press, 1st edition.

（非特許文献７）Ben-Or M., Goldwasser S., Wigderson A.: “Completeness theorems for non-cryptographic fault-tolerant distributed computation.” In Proceedings of the 20th Annual ACM Symposium on Theory of Computing (STOC1988). pp. 1-10. ACM, New York, NY, USA (1988)

（非特許文献８）R. Gennaro, M. O. Rabin, and T. Rabin : “Simplified VSS and fast-track multiparty computations with applications to threshold cryptography”, In Brian A. Coen and Yehuda Afek, editors, PODC, pp.101-111, ACM (1998)

＜第３実施形態＞

　第３実施形態では、全ての参加者が結託または攻撃されても安全な秘匿計算が可能な形態について説明する。第３実施形態では、代表者はＴＴＰと秘匿計算を代行するサーバ群を選択する。ただし、ＴＵＳ４方式の代わりに後述のＴＵＳ６方式を用い、第三者装置ＴＴＰは、以下の変換用乱数等を生成する。ただし、以下では、第三者装置ＴＴＰが、復元者から第２の乱数としての乱数τ_ｊ（ｊ＝０，・・・，ｋ－１），ｄを取得しているものとするが、τ_ｊ，ｄを第三者装置ＴＴＰが生成して復元者に送るとしてもよい。また、τ_ｊは、説明を簡単にするためにサーバＳ毎にｋ個あるとするが、ｋ－１個の乱数が同じでも解くことはできないので、ｋ－１台のサーバＳ毎に１つ定めてもよい。以下に、τ_ｊ［ε］_ｊを変換用乱数として第三者装置ＴＴＰが行う処理について図７のフローチャートを参照して説明する。

［ＴＴＰ処理３］
　以下では簡単のため、ＴＴＰが物理乱数を生成する場合を示す。物理乱数が外部から送られる場合は、以下における物理乱数生成部２０１での処理は省略される。

（Ｓ３１）第三者装置ＴＴＰは、物理乱数生成部２０１でｋ個の乱数ε_０，・・・，ε_ｋ－１を得る。

（Ｓ３２）第三者装置ＴＴＰは、計算部２０２で

を計算して秘密分散して、

を暗号化する。

（Ｓ３３）第三者装置ＴＴＰは、物理乱数生成部２０１で乱数ｂ_１，ｉ，ｂ_２，ｉ，ｂ_３，ｉを生成し、計算部２０２で以下の補助乱数群を計算し、秘匿部２０３でｂ_ｇ，ｉを暗号化する。

（Ｓ３４）第三者装置ＴＴＰは、下記（Ｓ３５）で送信する情報を残して、上記（Ｓ３１）～（Ｓ３３）に関連する全処理履歴を履歴記録部２０４に記録し、消去部２０５で後述の履歴情報及び送信情報を除いて全消去する。

（Ｓ３５）第三者装置ＴＴＰは、暗号化したτ_ｊ［ε］_ｊをサーバＳ_ｊに、補助乱数群を全サーバに、暗号化したｂ_ｇ，ｉをユーザＵ_ｇ，ｉ（ｉ＝１，２，３）に送る。

（Ｓ３６）第三者装置ＴＴＰは、上記（Ｓ３１）～（Ｓ３５）の処理履歴、その処理を行ったサーバＳへの処理中の内部及び外部からのアクセス履歴、及び上記（Ｓ３１）～（Ｓ３５）の情報の転送履歴等を保存する。また、第１実施形態と同様に第三者装置ＴＴＰで物理乱数を生成する場合、物理乱数生成部２０１を他と隔離して、変換用乱数とε_iの暗号化した結果が得られた後で内外部に接続するようにしてもよい。

　上記において、サーバＳ_ｊも［事前計算］の（２）と同様に補助乱数群を計算して全サーバＳに送り、ｂ_ｇ，ｉをユーザＵ_ｇ，ｉに送ってもよい。その場合、各サーバＳは、送られた補助乱数群を各々掛け合わせて新たな補助乱数群とし、ユーザＵ_ｇ，ｉも、送られたｂ_ｇ，ｉを掛け合わせて新たなｂ_ｇ，ｉとしてもよい。また、ユーザＵ_ｇ，ｉが乱数ｂ_ｇ，ｉ決めて第三者装置ＴＴＰや各サーバＳに送ってもよい。また送信後、上記（Ｓ３５）の情報を消去してもよい。

　以下に上記処理の後で秘匿計算を行うＴＵＳ６方式を示す。サーバＳ_ｊは、必要個数の変換用乱数

をもつとする。以下では、また、ＴＵＳ４方式と同様にｍ_ｉ＝３のときのアルゴリズムを示すが、任意のｍ_ｉに拡張できることは明らかである。また、処理の構成要素は第１実施形態と同様である。

［ＴＵＳ６方式］
［事前計算］
（１）ＴＴＰは、［ＴＴＰ処理３］の処理を行い、必要個数の変換用乱数組の

をサーバＳ_ｊに送る。
（２）ＴＴＰは、乱数ｂ_１，ｉｂ_２，ｉｂ_３，ｉを生成し、以下を計算して全サーバに送り、ｂ_ｇ，ｉをユーザＵ_ｇ，ｉ（ｉ＝１，２，３）に送る。

（３）ＴＴＰは、送信後、（２）で生成した乱数も消去する。また、サーバＳ_ｊも（２）と同様の処理を行い、全サーバは、（２）で生成された値を各々掛け合わせて（２）に示す新たな値を計算し、ユーザＵ_ｇ，ｉも各サーバから送られたｂ_ｇ，ｉを掛け合わせて新たなｂ_ｇ，ｉとしてもよい。また、乱数ｂ_ｇ，ｉはユーザＵ_ｇ，ｉが決めてＴＴＰや各サーバに送ってもよい。
［秘密情報の秘匿］
（１）ユーザＵ_ｇ，ｉは、自らがもつ秘密情報ａ_ｇ，ｉに対してｂ_ｇ，ｉ（ａ_ｇ，ｉ＋１）＝ｂ_ｇ，ｉ×（ａ_ｇ，ｉ＋１）を計算して全サーバに送る（ｇ＝１，２，３）。

［秘匿計算］　　

　全サーバＳ_ｊは、以下の計算を行う。

［復元処理］

　復元者は、ｋ台のサーバＳ_ｊから

を集めて各々τ_ｊとｄで除算し、

を復元し、演算結果

を得る。

＜第３実施形態の安全性＞

　第３実施形態は、第１実施形態と同様に１台の第三者装置ＴＴＰでの処理であるため、第三者装置ＴＴＰが乱数を生成する場合、上記（Ｓ３１）の前から上記（Ｓ３４）の全消去まで処理部への内外からのアクセスを遮断し、それを処理履歴として残すことによってＴＴＰ処理の安全性を示すことができる。また、ＴＵＳ６方式で用いられる秘匿計算は１つの秘密情報に対する分散値に別々の乱数が掛けられるため、全分散値が集まっても秘密情報を求めることはできない。よって、秘匿計算を行うサーバ群が全て結託しても、復元者が乱数τ_ｉ，ｄを安全に管理し、第三者装置ＴＴＰが前述のように安全であれば秘密情報の漏洩はない。復元者は最も高い安全性を実現するために、乱数τ_ｉ，ｄを全第三者装置ＴＴＰと全参加者が結託しなければ合成できないようにパスワード付き秘密分散（非特許文献９参照）で分散し、パスワードを安全に管理する。また、第三者装置ＴＴＰが乱数τ_ｉ，ｄを生成する場合も同様に、全ての第三者装置ＴＴＰと参加者に乱数τ_ｉ，ｊ，ｄをパスワード付き秘密分散し、復元者にだけパスワードを教えれば復元者のみが乱数τ_ｉ，ｄを得ることができるようになる。また、復元者は１つのパスワードで複数のτ_ｉ，ｊ，ｄを安全に管理できる。

　この場合、サーバ群によるビジネスも有効にすることができる。すなわち、第３実施形態では、秘匿計算を行うサーバ群が全て結託しても情報漏洩しないため、あるユーザが秘匿計算を行ったサーバ群から情報が漏洩したと主張しても否定でき、サーバ群は情報漏洩の責任を免れる。すなわち、ＴＴＰとサーバ群の独立性が保たれればＴＴＰによるビジネスとサーバ群によるビジネスを両立できる。この場合、代表者はＴＴＰに加えて、サーバ群でビジネスを行う業者を選択し、ユーザのＰＣは用いない。よって、参加者は秘密情報を秘匿してサーバ群に入力した後は、ＴＴＰと結託していたとしても自分のＰＣが用いられないので、サーバ群間で暗号化されてやり取りされる情報を知ることはできない。よって、参加者はＴＴＰと結託しても他の参加者の情報を得ることができない。復元者が代表者の場合、代表者は秘匿計算に責任を持つものであるので情報が漏洩した場合、大きな責任を負い。今後代表者として秘匿計算を依頼することは困難になる。よって、復元者が乱数τ_ｉを復元するためのパスワードを安全に管理し、ＴＴＰとサーバ群の独立性が保たれれば堅牢な安全性をもつ秘匿計算システムを構築できる。

　前記ＴＵＳ６方式は、ｓｅｍｉ－ｈｏｎｅｓｔな攻撃者に有効であるが、Ｍａｌｉｃｉｏｕｓな攻撃者に対しても安全な秘匿計算法ＴＵＳ７方式を以下に示す。また、ＴＵＳ６方式及びＴＵＳ７方式は演算を繰り返す場合に用いるＴＵＳ４’方式に相当する拡張も実現できる。よって、ＴＵＳ７方式及びＴＵＳ７’方式を組み合わせればＭａｌｉｃｉｏｕｓな攻撃者にも安全なシステムを構築できる。以下にｎ＝ｋとして積和演算に対する例を示すが、ＴＵＳ４方式と同様に

の拡張積和演算に拡張できることは明らかである。また、以下では、特別に記載がない限りｊ＝０，・・・，ｋ－１とする。また、以下におけるコミットは、具体的にはコミットフェーズ及び検証フェーズから構成される。例えば、ある値をコミットフェーズでハッシュ関数などによって一方向化して公開し、検証フェーズで秘匿計算によって得られた値を再びハッシュ関数に入力して一致検証するなどで実行される。コミットを実行するコミットメントスキームはハッシュ関数以外にも多数あり、どのスキームを用いてもよい。また以下において、全サーバがもつ値は知られるとするが、全入力者は結託しないとする。なぜならば、全入力者が結託していれば秘匿計算をする意味がないからである。

［ＴＵＳ７方式］

［事前計算］

（１）第三者装置ＴＴＰは、上記［ＴＴＰ処理３］を行い、必要個数の変換用乱数τ_ｑ，ｊ［ε］_ｊをサーバＳ_ｊに送る。

（２）第三者装置ＴＴＰは、乱数δ_ｉ、α_ｉ、β_ｉ、γ_ｉを生成し、以下を計算して全サーバに送る。

（３）第三者装置ＴＴＰは、入力者Ａに対して乱数Ａ_１，Ａ_２を生成して送る。また、［α_２］_ｊ，［α_５］_ｊ，［α_２Ａ_１］_ｊ，［α_５Ａ_２］_ｊを計算して各入力者にＡ（ｊ＝１），Ｂ（ｊ＝２），Ｃ（ｊ＝３）として送る。また、入力者Ｂ，Ｃに対しても同様の処理を行う。ただし、ここでの秘密分散は入力者の数に応じて（３，３）Ｓｈａｍｉｒで行われる。

（４）第三者装置ＴＴＰは、β_２β_１、β_５β_４、γ_２γ_１、γ_５γ_４を全入力者に送り、τ_１，ｊ、τ_２，ｊ、τ_３，ｊ、τ_４，ｊ、δ_０、δ_２、δ_３、δ_５，ｊを復元者に送る。

（５）第三者装置ＴＴＰは、α_１、α_４、β_１、β_４、γ_１、γ_４をコミットする。

［秘密情報の秘匿］

（１）入力者Ａは、ａ＋Ａ_１、ａ＋Ａ_２を計算し、入力者Ｂ，Ｃに送る。

（２）全入力者は以下を計算し、入力者Ａへ返す。

（３）入力者Ａは、ａ_２（ａ＋ａ_１），ａ_５（ａ＋ａ_４）を復元し、全サーバに送る。

（４）各サーバＳ_ｊは、秘密情報ａに対する分散値として、ａ_０ａ_１、ａ_２（ａ＋ａ_１）、ａ_３ａ_４、ａ_５（ａ＋ａ_４）を保持する。

（５）入力者Ｂ，Ｃは、入力者Ａと同様に上記（１）～（４）の処理を行う。

［秘匿積和計算］

（６）サーバＳ_ｊは、以下を計算し、［δ_０ｄ_１］、「δ_３ｄ_４」をｎ台のサーバに送信する。ただし、ｄ_ｘ＝γ_ｘ－α_ｘβ_ｘ，ｘ＝１，４である。

（７）復元者は、τ_１，ｊ、τ_２，ｊを用いて、δ_０ｄ_１、δ_３ｄ_４を復元する．

（８）サーバＳ_ｊは、以下を計算し、［δ_２（ｄ＋ｄ_１）］_ｊ，［δ_５（ｄ＋ｄ_４）］_ｊをｎ台のサーバに送信する。

（９）復元者はτ_３，ｊ、τ_４，ｊを用いて、δ_２（ｄ＋ｄ_１），δ_５（ｄ＋ｄ_４）を復元する．

［復元処理］

（１）復元者は、δ_０ｄ_１、δ_３ｄ_４、δ_２（ｄ＋ｄ_１），δ_５（ｄ＋ｄ_４）を保持する。また、計算結果を復元する場合は、計算に用いた秘密情報に対応するコミットされた乱数を全て復元者に送信する。

（２）復元者は、全てのコミットメントをオープンする。オープンした値を組み合わせてｄ_１，ｄ_４を計算し、δ_０ｄ_１、δ_３ｄ_４から得られるｄ_１，ｄ_４と一致するか検証する。

（３）復元者は、以下を計算する．そして、ここで計算した値と、上記（２）で得たｄ_１，ｄ_４から計算される（ｄ_１－ｄ_４）を比較して一致するか否かを検証する。

（４）復元者は、全ての検証が問題なければ、以下の計算で復元結果を得る。

（非特許文献９）岩村惠市，辻下健太郎，山根将司：“サーバ資源を削減可能なパスワード付秘密分散法”，電子情報通信学会論文誌，D，Vol.J102-D，No.11，pp.740-749，2019.

＜第４実施形態＞

　第３実施形態は、１台の第三者装置ＴＴＰで十分な安全性を実現するが、第４実施形態では、第三者装置ＴＴＰとサーバ群の独立性が疑われる場合等に、複数の第三者装置ＴＴＰを用いることによって以下のように安全性を向上させる場合について説明する。

　以下では、第三者装置ＴＴＰがτ_ｉを生成する場合について説明するが、復元者によってτ_ｉが与えられているとしてもよい。以下に、変換用乱数τ_ｉ［ε］_ｊの生成法に関するＴＴＰ処理４を示す。ただし、この処理はｋ－１台までのサーバの乱数τ_ｉが同じになる。また、代表者は３つのＴＴＰ（ＴＴＰ１～３と呼ぶ）を選択し、各々に対して第１実施形態で説明した第０段階の契約を行う。なお、ＴＴＰ間は鍵共有済みとする。

＜ＴＴＰ処理４＞

　ＴＴＰ１～３が行う処理について図８のフローチャートを参照して説明する。

（Ｓ４１）ＴＴＰ１は、物理乱数生成部２０１で乱数ε_１，τ_０，１，τ_１，１を生成し、計算部２０２で乱数ε_１を（ｋ，２ｋ－１）Ｓｈａｍｉｒで分散して乱数と掛けて、τ_０，１［ε_１］_ｉ，τ_１，１［ε_１］_ｉ（ｉ＝１，・・・，２ｋ－１）を生成し、τ_０，１［ε_１］_ｉのｉ＝ｋ，・・・，２ｋ－２の分散値とτ_１，１［ε_１］_ｉのｉ＝１，・・・，ｋ－１の分散値をＴＴＰ２に送り、τ_０，１［ε_１］_ｉのｉ＝２ｋ－１の分散値とτ_１，１［ε_１］_ｉのｉ＝ｋの分散値をＴＴＰ３に送る。また、τ_０，１，τ_１，１を復元者に送る。

（Ｓ４２）ＴＴＰ２は、物理乱数生成部２０１で乱数ε_２，τ_０，２，τ_１，２を生成し、計算部２０２で乱数ε_２を（ｋ，２ｋ－１）Ｓｈａｍｉｒで分散して乱数と掛けて、τ_０，２［ε_２］_ｉ，τ_１，２［ε_２］_ｉ（ｉ＝１，・・・，２ｋ－１）を生成し、τ_０，２［ε_２］_ｉのｉ＝１，・・・，ｋ－１個の分散値とτ_１，２［ε_２］_ｉのｉ＝ｋ＋１，・・・，２ｋ－１の分散値をＴＴＰ１に送り、τ_０，２［ε_２］_ｉのｉ＝２ｋ－１の分散値とτ_１，２［ε_２］_ｉのｉ＝ｋの分散値をＴＴＰ３に送る。また、τ_０，２，τ_１，２を復元者に送る。

（Ｓ４３）ＴＴＰ_ｉ（ｉ＝１，２，３）は、計算部２０２でτ_０，１［ε_１］_ｉ，τ_０，２［ε_２］_ｉの乗算とτ_１，１［ε_１］_ｉ，τ_１，２［ε_２］_ｉの乗算を行って、秘密分散しＲｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けて加算した分散値を計算し、ｋ－１台までのサーバｓ_ｊにτ_０［ε_１］_ｉ［ε_２］_ｉの加算値を、残りのサーバＳ_ｎ－ｊにτ_１［ε_１］_ｉ［ε_２］_ｉの加算値を送る。ただし、τ_０＝τ_０，１×τ_０，２，τ_１＝τ_１，１×τ_１，２である。

（Ｓ４４）ＴＴＰ_ｉは、［ＴＴＰ処理３］の（Ｓ３３）以降の処理を行い、各サーバは、送られた補助乱数群を掛け合わせ、ユーザＵ_ｇ，ｉも送られたｂ_ｇ，ｉを掛け合わせる。

　以降、Ｒｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けて加算したτ_１［ε_１］_ｉ［ε_２］_ｉを送られたサーバＳ_ｊは、それを加算してτ_１［ε］_ｎ－ｊとして保持する。また、Ｒｅｃｏｍｂｉｎａｔｉｏｎ　Ｖｅｃｔｏｒを掛けて加算したτ_１［ε_１］_ｉ［ε_２］_ｉを送られたサーバＳ_ｎ－ｊは、それを加算してτ_１［ε］_ｎ－ｊとして保持する。また、ＴＴＰを除く各装置は、ＴＵＳ６方式によって秘匿計算を行う。

　説明の簡単のため、ｎ＝ｋ＝２として上記（Ｓ４３）以降の具体例を示す。各ＴＴＰは上記（Ｓ４１）、（Ｓ４２）の処理により以下の値を記憶する。

　各ＴＴＰは、上記（Ｓ４３）の処理において以下を計算し、各サーバに送る。

　サーバＳ_０，Ｓ_１は、下記を計算して、上記（Ｓ４４）、（Ｓ４５）のτ_０［ε］_０、τ_１［ε］_１を得る。

＜第４実施形態の安全性＞

　ＴＴＰ処理４では、１つの第三者装置ＴＴＰから秘密情報が漏洩しないように、τ_０、τ_１に対して同じ分散値の演算結果をその第三者装置ＴＴＰに与えない。例えば、ＴＴＰ１がτ_０、τ_１に対してＴＴＰ２に同じ分散値［ε_１］_１の演算結果τ_０、１［ε_１］_１、τ_１、１［ε_１］_１を与えると、ＴＴＰ２はその比からτ_０、１／τ_１、１を得る。τ_１、１［ε_１］_１にτ_０、１／τ_１、１を掛けると２ｋ－２個のτ_０、１［ε_１］_１が揃うため、τ_０、１ε_１が漏洩する。ＴＴＰ２は、τ_０、２ε_２を得るため変換用乱数τ_０εを得る。また、τ_１、１／τ_０、１も得られるので、τ_１εも得ることができる。よって、１つの第三者装置ＴＴＰに同じ分散値の演算結果が配布されないようにすることによって安全性を実現する。これによって、第２実施形態と同様に２つのＴＴＰが結託しない限り秘密情報が漏洩しないようにできる。よって、サーバ群の一部または全部がＴＴＰと結託しても１個の第三者装置ＴＴＰだけでは情報漏洩せず、複数のＴＴＰに結託を申し込むリスクを発生させることができる。また、処理履歴による不正アクセスの有無も第２実施形態と同様にすれば証明できることは明らかである。

　３個のＴＴＰをｔ個に拡張する場合も、同じ分散値の演算結果を変えながら他のＴＴＰに渡す。ただし、４個以上のＴＴＰを用いる場合、ｋも大きくする必要がある。例えば、ｎ＝ｋ＝３としてｔ＝５とすると、２ｋ－１＝５個の分散値を第三者装置ＴＴＰに１つずつその組み合わせを変えて渡せばよい（下記例参照）。この場合、ｋ台の第三者装置ＴＴＰが結託しない限り変換用乱数は漏洩しない。

　また、τ_ｊの数を増やす場合、ＴＴＰ１，ＴＴＰ２が増加した分のτ_ｊの分散値も生成し、同じ分散値の演算結果を同一のＴＴＰに渡さないようにする。例えば前記ｎ＝ｋ＝３してｔ＝５の場合、以下となる。

　その後、第４実施形態と同様にサーバＳ_０，Ｓ_１にはτ_０［ε］_１，τ_１［ε］_２を待たせ、サーバＳ_２にはτ_２［ε］_３を持たせる。ただし、τ_ｊの数は、分散値の組み合わせを変えて送ることができる第三者装置ＴＴＰの数によって制限される。よって、５つの第三者装置ＴＴＰを用いる下記例では、τ_０～τ_４まで可能である。以上より、第４実施形態はＴＵＳ６方式、ＴＵＳ７方式及びその拡張方式を利用することができる。

＜第５実施形態＞

　１台の演算支援装置と１台のサーバによる秘匿計算が特許文献１（特開２０１９－１４４４０５号公報）の第４の実施の形態及び第５の実施の形態に示されている。ただし、特許文献１に記載された演算支援装置は、参加者の秘密情報を直接受け取って演算を行い、秘匿計算を行うサーバと同期して秘匿計算に参加するため、システムとしては本開示と全く異なる。なぜならば、第三者装置ＴＴＰが演算支援装置のように秘密情報を直接受け取ると秘密情報漏洩の責任を免れることができず、かつ秘匿計算に同期して処理を行う場合、ＴＴＰのビジネスとして効率的でないためである。また、上記特許文献１に記載された技術は、１台の演算支援装置と１台のサーバに限定されており、前述した複数台のサーバ及び複数台のＴＴＰを用いる第３実施形態及び第４実施形態とも異なる。

　そこで、種々の組み合わせで秘密分散を用いた秘匿計算を実現する場合を以下に示す。

（１）１台の第三者装置ＴＴＰと１台のサーバの組み合わせ（ただし、第三者装置ＴＴＰは秘密情報や秘匿計算に関係しない）

　これは第３実施形態においてｎ＝ｋ＝２として、１台のサーバＳ_０がＴＵＳ６方式の２台分のサーバの処理を行うものである。よって、代表者は１つの第三者装置ＴＴＰを選択し、第０段階の契約を行う。また、第三者装置ＴＴＰは変換用乱数をＴＴＰ処理３と同様に生成してτ_０［ε］_０をサーバＳ_０に送り、τ_１［ε］_１もサーバＳ_０に送る。これによって、１台のサーバＳ_０にτ_０［ε］_０、τ_１［ε］_１が集まるが、異なるτ_０、τ_１が掛けられているためεは漏洩せず、サーバＳ_０は２台分のサーバの処理を実行できる。

（２）ｔ（ｔ＞１）台の第三者装置ＴＴＰと１台のサーバの組み合わせ

　上記特許文献１の第４実施形態では、第三者装置ＴＴＰとサーバは１台に限定されていたが、ｔ台のＴＴＰと１台のサーバにする場合を以下に示す。ただし、ｋはサーバＳ_０での処理を最小とするためｋ＝２とする。変換用乱数は、ｔ台の第三者装置ＴＴＰでＴＴＰ処理４と同様に生成して、サーバＳ_０にτ_０［ε］_０、τ_１［ε］_１を持たせる。［事前計算］において、ＴＴＰ_ｊ（ｊ＝２，…，ｔ）は、ＴＵＳ６方式の［事前処理］の後書きにあるサーバＳ_ｊと同様の処理を行ってサーバＳ_０に送り、サーバＳ_０はそれらを掛け合わせればよい。入力者が行う処理もＴＵＳ６方式の［事前処理］の後書きと同様である。これによって、サーバＳ_０は１台でサーバ２台分の処理を行うことができる。

（３）ｔ（ｔ＞０）台の第三者装置ＴＴＰとｎ（ｎ＜ｋ）台のサーバの組み合わせ

　まず、各サーバが各々何台分のサーバの役割を持つか予め定める。第三者装置ＴＴＰは、ＴＴＰ処理３またはＴＴＰ処理４と同様に変換用乱数τ_ｊ［ε］_ｊを生成して、各サーバに担当分のサーバに対応する数だけ分散値を送る。また、第三者装置ＴＴＰは前記実施形態と同様に［事前計算］に関する部分を計算して、全サーバに送り、全サーバは担当分のサーバが行う［秘匿計算］を実行する。これによって、ｋより小さい任意のサーバ台数で秘匿計算を行えるようになる。

　上記はＭａｌｉｃｉｏｕｓな攻撃者を想定するＴＵＳ７方式等に対しても適用できることは明らかである。また、第三者装置ＴＴＰの代わりに近年開発が盛んであるＴＥＥ（Ｔｒｕｓｔｅｄ　Ｅｘｅｃｕｔｉｏｎ　Ｅｎｖｉｒｏｎｍｅｎｔ）を用いることもできる。ＴＥＥとはプロセッサー上に隔離された実行環境を用意する事でセキュリティを高める技術であり、その代表としてＩｎｔｅｌ社のＳｏｆｔｗａｒｅ　Ｇｕａｒｄ　Ｅｘｔｅｎｓｉｏｎｓ　（Ｉｎｔｅｌ　ＳＧＸ）などがある。ただし、一般にＴＥＥは通信などにおいて情報理論的に安全な暗号の鍵の設定が難しいため、全体としては計算量的安全性になる場合が多い。

　なお、日本国特許出願第２０２１－１０８５７７号の開示は、その全体が参照により本明細書に取り込まれる。また、本明細書に記載された全ての文献、特許出願、及び技術規格は、個々の文献、特許出願、及び技術規格が参照により取り込まれることが具体的かつ個々に記された場合と同程度に、本明細書中に参照により取り込まれる。

Claims

　ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するための秘匿計算システムにおける第三者装置であって、
　秘密情報を用いず、ｎ＝ｋにおける秘匿計算に用いるｋ個の第１の乱数の積からなる変換用乱数を計算する計算部と、
　変換用乱数をｎ個の計算装置に対して、秘密分散して送信する送信部と、
　を備えた第三者装置。
　前記変換用乱数の分散値を秘匿する秘匿部と、
　前記変換用乱数の分散値を秘匿した後に、変換用乱数生成に関わる情報を消去する消去部と、
　を備えた請求項１記載の第三者装置。
　ｎを分散値を保存するサーバ台数、ｋを秘密情報復元のための閾値として、秘密情報をｋ個以上の分散値に分散して秘匿計算するための秘匿計算システムにおける第三者装置であって、
　秘密情報を用いず、ｎ＜ｋにおける秘匿計算を実現するために必要な情報を計算する計算部と、
　計算された情報のうち変換用乱数を含む乱数をｎ個の計算装置に対して送信する送信部と、
　を備えた第三者装置。
　ｎ＜ｋにおける秘匿計算を実現するために、前記計算部は、１つの秘密情報に対する分散値を計算し、計算した分散値に異なる乱数を乗算する
　請求項３記載の第三者装置。
　前記異なる乱数を乗算した分散値に関係する情報を消去する消去部
　を備えた請求項４記載の第三者装置。
　前記計算部で行われる処理の前に内外部からのアクセスを遮断する通信遮断部と、
　前記消去部により前記情報の全消去が行われた後、アクセスを回復する通信回復部と、
　前記アクセスの遮断及び回復に関する履歴を記録する記録部と、
　を備えた請求項２又は請求項５記載の第三者装置。
　２つ以上の第三者装置を備えた秘匿計算システムを構成する第三者装置であって、
　少なくとも２つの第三者装置が秘密に生成した乱数を組み合わせて、前記少なくとも２つの第三者装置が知らない乱数を生成する計算部を有する請求項１又は請求項３記載の第三者装置　。
　前記２つ以上の第三者装置のうち第１の第三者装置は、秘密に乱数を生成して秘密分散した分散値に第２の乱数を乗じて第２の第三者装置に送信し、
　前記第２の第三者装置は、秘密に乱数を生成して送られた分散値を用いて新たな乱数の分散値を生成する
　請求項７記載の第三者装置。
　コンピュータを、請求項１～６の何れか１項に記載の第三者装置の各部として機能させるためのプログラム。