WO2024013814A1

WO2024013814A1 - 秘匿ノイズ生成システム、秘匿ノイズ生成方法及びプログラム

Info

Publication number: WO2024013814A1
Application number: PCT/JP2022/027289
Authority: WO
Inventors: 真昇紀伊
Original assignee: 日本電信電話株式会社
Priority date: 2022-07-11
Filing date: 2022-07-11
Publication date: 2024-01-18

Abstract

本開示の一態様による秘匿ノイズ生成システムは、第１の端末と１以上の第２の端末とが含まれる秘匿ノイズ生成システムであって、前記第１の端末は、秘匿値を要素として持つ第１のテーブルを前記第２の端末に送信するように構成されている送信部、を有し、前記第２の端末は、秘匿値同士の加算が可能な秘密計算技術により、前記第１のテーブルから選択したｎ（ただし、ｎは２以上の整数）個の秘匿値の和を秘匿ノイズとして計算するように構成されているノイズ計算部、を有する。

Description

秘匿ノイズ生成システム、秘匿ノイズ生成方法及びプログラム

　本開示は、秘匿ノイズ生成システム、秘匿ノイズ生成方法及びプログラムに関する。

　秘密計算をはじめとするプライバシ保護のためのプロトコルでは、しばしばデータにノイズ（乱数）を加えることで情報を保護することがある。このときに利用されるノイズはほとんど完全に秘密でなくては、情報を保護することができない。そのノイズについて唯一知られてよいのは、プロトコル参加者の間で予め共有される、ノイズが従う確率分布だけである。ノイズの正確な値はもちろん、そのノイズが或る値以下である等といった部分的な情報も秘密でなくてはならない。

　特に、差分プライバシという安全性基準を達成する目的で、秘密計算の下で一様でない分布に従うノイズを生成する試みがある。この目的でもやはりノイズはほとんど完全に秘密でなくてはならない。この目的を達成する従来技術として、秘密計算で一様乱数を生成し、これをテーブルルックアップにより変換して目的の確率分布に従うノイズを生成する技術がある（例えば、非特許文献１及び２）。

David Froelicher et al. "UnLynx: A Decentralized System for Privacy-Conscious Data Sharing". In:Proceedings on Privacy Enhancing Technologies 2017.4 (Oct. 1, 2017), pp. 232-250. issn: 2299-0984. 岩花一輝, 矢内直人, and 藤原融. "差分プライバシと秘密計算の融合による秘匿性がデータ提供者の数に依存しない秘匿協調学習". In: CSS 2020 予稿集. Computer Security Symposium 2020. Oct. 2020.

　しかしながら、上記の従来技術では、十分な精度で所望の確率分布を近似するにはしばしば巨大なテーブルを使用する必要があり、通信量・メモリ使用量が大きくなるという問題点がある。

　本開示は、上記の点に鑑みてなされたもので、少ない通信量及びメモリ使用量で秘匿ノイズを生成できる技術を提供することを目的とする。

　少ない通信量及びメモリ使用量で秘匿ノイズを生成できる技術が提供される。

本実施形態に係る秘匿ノイズ生成システムの全体構成の一例を示す図である。本実施形態に係る参加者端末のハードウェア構成の一例を示す図である。本実施形態に係る参加者端末の機能構成の一例を示す図である。本実施形態に係る秘匿ノイズ生成処理の一例を示すシーケンス図である。

　以下、本発明の一実施形態について説明する。以下の実施形態では、少ない通信量及びメモリ使用量で秘匿ノイズを生成できる秘匿ノイズ生成システム１について説明する。

　ここで、本実施形態に係る秘匿ノイズ生成システム１では、秘匿ノイズ（例えば、ノイズの暗号文）を生成する際に、秘匿値同士の加算が可能な秘密計算技術を利用する。そのような秘密計算技術としては、具体的には、例えば、加法準同型暗号、加法秘密分散ベースの秘密計算等が存在する。本発明は、秘匿値同士の加算が可能なものであれば任意の秘密計算技術を利用することができる。以下の実施形態では、主に、秘匿ノイズを生成する際に加法準同型暗号を利用することを想定して説明する。また、本実施形態の変形例として、加法秘密分散ベースの秘密計算技術を用いる場合を後に述べる。

　＜秘匿ノイズ生成システム１の全体構成例＞
　本実施形態に係る秘匿ノイズ生成システム１の全体構成例を図１に示す。図１に示すように、本実施形態に係る秘匿ノイズ生成システム１には、複数の参加者端末１０が含まれる。これら各参加者端末１０は、インターネット等を含む通信ネットワーク２０を介して通信可能に接続される。なお、図１に示す例では、参加者端末１０_１，・・・，参加者端末１０_ｍのｍ台の参加者端末１０が含まれている。ｍは、秘匿ノイズを生成するためのプロトコルの参加者数である。

　参加者端末１０は、参加者が利用する各種端末、機器又は装置（例えば、ＰＣ（パーソナルコンピュータ）、スマートフォン、タブレット端末、ウェアラブルデバイス、汎用サーバ等）である。

　ここで、各参加者は、秘匿ノイズの生成に用いられるテーブルＴを作成する参加者と、このテーブルＴから秘匿ノイズを生成する参加者とに大別される。以下では、秘匿ノイズの生成に用いられるテーブルＴを作成する参加者を「テーブル作成者」、テーブルＴから秘匿ノイズを生成する参加者を「ノイズ生成者」とも呼ぶことにする。また、以下では、一例として、テーブル作成者が利用する参加者端末１０を「参加者端末１０_１」、各ノイズ生成者が利用する参加者端末１０を「参加者端末１０_ｉ（ｉ∈｛２，・・・，ｍ｝）」とする。

　なお、図１に示す秘匿ノイズ生成システム１は一例であって、これに限られるものではない。例えば、参加者端末１０以外にも、秘匿ノイズの生成に必要な何等かの処理を実行する端末、機器又は装置が秘匿ノイズ生成システム１に含まれていてもよい。

　＜参加者端末１０のハードウェア構成例＞
　本実施形態に係る参加者端末１０のハードウェア構成例を図２に示す。図２に示すように、本実施形態に係る参加者端末１０は、入力装置１０１と、表示装置１０２と、外部Ｉ／Ｆ１０３と、通信Ｉ／Ｆ１０４と、ＲＡＭ（Random Access Memory）１０５と、ＲＯＭ（Read Only Memory）１０６と、補助記憶装置１０７と、プロセッサ１０８とを有する。これらの各ハードウェアは、それぞれがバス１０９を介して通信可能に接続されている。

　入力装置１０１は、例えば、キーボード、マウス、タッチパネル、物理ボタン等である。表示装置１０２は、例えば、ディスプレイ、表示パネル等である。なお、参加者端末１０は、例えば、入力装置１０１及び表示装置１０２の少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ１０３は、記録媒体１０３ａ等の外部装置とのインタフェースである。参加者端末１０は、外部Ｉ／Ｆ１０３を介して、記録媒体１０３ａの読み取りや書き込み等を行うことができる。記録媒体１０３ａとしては、例えば、フレキシブルディスク、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ１０４は、参加者端末１０を通信ネットワーク２０に接続するためのインタフェースである。ＲＡＭ１０５は、プログラムやデータを一時保持する揮発性の半導体メモリ（記憶装置）である。ＲＯＭ１０６は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ（記憶装置）である。補助記憶装置１０７は、例えば、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）、フラッシュメモリ等のストレージ装置（記憶装置）である。プロセッサ１０８は、例えば、ＣＰＵ（Central Processing Unit）等の演算装置である。

　本実施形態に係る参加者端末１０は、図２に示すハードウェア構成を有することにより、後述する秘匿ノイズ生成処理を実現することができる。なお、図２に示すハードウェア構成は一例であって、参加者端末１０のハードウェア構成はこれに限られるものではない。例えば、参加者端末１０は、複数の補助記憶装置１０７や複数のプロセッサ１０８を有していてもよいし、図示したハードウェアの一部を有していなくてもよいし、図示したハードウェア以外の様々なハードウェアを有していてもよい。

　＜参加者端末１０の機能構成例＞
　本実施形態に係る参加者端末１０の機能構成例を図３に示す。図３に示すように、本実施形態に係る参加者端末１０は、秘匿ノイズ生成処理部２０１と、記憶部２０２とを有する。なお、秘匿ノイズ生成処理部２０１は、例えば、参加者端末１０にインストールされた１以上のプログラムが、プロセッサ１０８に実行させる処理により実現される。また、記憶部２０２は、例えば、補助記憶装置１０７やＲＡＭ１０５等の記憶装置（メモリ）により実現される。

　秘匿ノイズ生成処理部２０１は、テーブル作成者の参加者端末１０_１である場合、或る確率分布に従う整数又は実数を要素とするテーブルＴの作成と、テーブルＴの要素のシャッフル及び暗号化とを実行する。なお、テーブルＴの要素を暗号化する際には、加法準同型暗号の暗号化鍵が用いられる。以下、要素のシャッフル及び暗号化が行われたテーブルＴを「テーブルＴ_Ｅｎｃ」と表記する。

　一方で、秘匿ノイズ生成処理部２０１は、ノイズ生成者の参加者端末１０_ｉ（ｉ∈｛２，・・・，ｍ｝）である場合、テーブルＴ_Ｅｎｃからｎ個の要素を選択し、それらの要素の和を秘匿ノイズとして計算する。ここで、ｎはテーブルＴ_Ｅｎｃから何個の要素を選択するかを表す１以上の整数値を取るパラメータであり、参加者間で共有される。ただし、ｎは２以上であることが好ましい。

　記憶部２０２は、テーブル作成者の参加者端末１０_１である場合、テーブルＴを作成する際に用いられる確率分布のパラメータ（母数）、パラメータｎ、テーブル作成者の加法準同型暗号の暗号化鍵、テーブルＴ、テーブルＴ_Ｅｎｃ等を記憶する。

　一方で、記憶部２０２は、ノイズ生成者の参加者端末１０_ｉ（ｉ∈｛２，・・・，ｍ｝）である場合、パラメータｎ、テーブルＴ、テーブルＴ_Ｅｎｃ、秘匿ノイズ等を記憶する。

　＜秘匿ノイズ生成処理＞
　以下、本実施形態に係る秘匿ノイズ生成処理について、図４を参照しながら説明する。なお、各参加者端末１０にはパラメータｎが予め与えられており、その参加者端末１０の記憶部２０２に格納されているものとする。

　参加者端末１０_１の秘匿ノイズ生成処理部２０１は、或る確率分布に従う整数又は実数を要素とするテーブルＴの作成する（ステップＳ１０１）。ここで、当該確率分布のパラメータ（母数）は、参加者端末１０_１自身が決定してもよいし、参加者端末１０_１に与えられてもよい。また、テーブルＴの要素数は特に限定されるものではなく、例えば、参加者端末１０_１自身が適宜決定（例えば、テーブルＴの要素数をランダムに決定する等）してもよいし、テーブルＴの要素数が参加者端末１０_１に与えられてもよい。

　なお、例えば、テーブルＴのｊ番目の要素をＴ［ｊ］、要素数をＪとすれば、テーブルＴは、Ｔ＝｛Ｔ［ｊ］｜ｊ＝１，・・・，Ｊ｝と表すことができる。つまり、テーブルＴは、Ｔ［ｊ］をｊ番目の要素とする配列で実現することができる。

　次に、参加者端末１０_１の秘匿ノイズ生成処理部２０１は、上記のステップＳ１０１で作成したテーブルＴを自身の記憶部２０２に格納する（ステップＳ１０２）。

　次に、参加者端末１０_１の秘匿ノイズ生成処理部２０１は、上記のステップＳ１０１で作成したテーブルＴを各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）に送信する（ステップＳ１０３）。

　参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）の秘匿ノイズ生成処理部２０１は、参加者端末１０_１から受信したテーブルＴを自身の記憶部２０２に格納する（ステップＳ１０４）。これにより、各参加者の参加者端末１０でテーブルＴが共有される。

　参加者端末１０_１の秘匿ノイズ生成処理部２０１は、テーブルＴの要素をシャッフルし、シャッフル後のテーブルＴの全要素を加法準同型暗号の暗号化鍵により暗号化したテーブルＴ_Ｅｎｃを作成する（ステップＳ１０５）。

　なお、例えば、シャッフルは｛１，・・・，Ｊ｝上の或る置換σにより表すことができるため、シャッフル後の要素をＴ［σ（ｊ）］、加法準同型暗号の暗号化鍵により或るデータｘを暗号化したものをＥｎｃ（ｘ）とすれば、テーブルＴ_Ｅｎｃは、Ｔ_Ｅｎｃ＝｛Ｅｎｃ（Ｔ［σ（ｊ）］）｜ｊ＝１，・・・，Ｊ｝と表すことができる。

　次に、参加者端末１０_１の秘匿ノイズ生成処理部２０１は、テーブルＴ_Ｅｎｃを自身の記憶部２０２に格納する（ステップＳ１０６）。

　次に、参加者端末１０_１の秘匿ノイズ生成処理部２０１は、上記のステップＳ１０５で作成したテーブルＴ_Ｅｎｃを各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）に送信する（ステップＳ１０７）。

　参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）の秘匿ノイズ生成処理部２０１は、参加者端末１０_１から受信したテーブルＴ_Ｅｎｃを自身の記憶部２０２に格納する（ステップＳ１０８）。これにより、各参加者の参加者端末１０でテーブルＴ_Ｅｎｃが共有される。

　次に、参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）の秘匿ノイズ生成処理部２０１は、テーブルＴ_Ｅｎｃからｎ個の要素を一様ランダムに選択する（ステップＳ１０９）。

　そして、参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）の秘匿ノイズ生成処理部２０１は、上記のステップＳ１０９で選択したｎ個の要素の和の暗号文を秘匿ノイズとする（ステップＳ１１０）。すなわち、例えば、上記のステップＳ１０９でｎ個の要素Ｅｎｃ（Ｔ［ｊ_１］），・・・，Ｅｎｃ（Ｔ［ｊ_ｎ］）∈Ｔ_Ｅｎｃが選択された場合、秘匿ノイズ生成処理部２０１は、Ｅｎｃ（ｚ）＝Ｅｎｃ（Ｔ［ｊ_１］）＋・・・＋Ｅｎｃ（Ｔ［ｊ_ｎ］）により、ノイズｚの暗号文である秘匿ノイズＥｎｃ（ｚ）を計算する。なお、ｊ_１，・・・，ｊ_ｎ∈｛１，・・・，Ｊ｝である。これにより、各ノイズ生成者は秘匿ノイズ（つまり、ノイズｚの暗号文Ｅｎｃ（ｚ））を得ることができる。

　なお、例えば、或るノイズ生成者が複数の秘匿ノイズを得たい場合、そのノイズ生成者の参加者端末１０_ｉは、上記のステップＳ１０９～ステップＳ１１０を必要な回数だけ繰り返せばよい。

　＜変形例＞
　以下、本実施形態の変形例について説明する。

　・変形例１
　上記のステップＳ１０３で参加者端末１０_１はテーブルＴ自体を各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）に送信したが、これと同値な操作として、参加者端末１０_１は、テーブルＴの作成アルゴリズム（又は、そのアルゴリズムを識別する情報）と、そのアルゴリズムの入力（例えば、テーブルＴの要素とする整数又は実数が従う確率分布のパラメータ（母数）等）とを各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）に送信してもよい。又は、テーブルＴの作成アルゴリズムが参加者間で予め共有されている場合には、参加者端末１０_１は、そのアルゴリズムの入力のみを各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）に送信してもよい。

　これにより、各参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）でも同様にテーブルＴが作成され、その結果、参加者間でテーブルＴを共有することができる。

　・変形例２
　加法準同型暗号以外の秘密計算技術が利用される場合、上記のステップＳ１１０で秘匿ノイズを計算する際に、複数の参加者端末１０で計算を行うことがあり得る。例えば、加法秘密分散ベースの秘密計算を利用した場合、秘匿ノイズを計算する際に、複数の参加者端末１０で計算を行う必要がある。

　この場合、Ｔ_Ｅｎｃの要素がどんな値を秘匿したものであるのかをテーブル作成者も知り得ないようにする必要がある。このため、上記のステップＳ１１０で複数の参加者端末１０により秘匿ノイズを計算する場合、例えば、参加者端末１０_１以外の参加者端末１０_ｉ（ｉ＝｛２，・・・，ｍ｝）のみで秘匿ノイズを計算するか、又は、上記のステップＳ１０９でテーブルＴ_Ｅｎｃが作成された後に参考文献１に記載されている手法等によりテーブルＴ_Ｅｎｃの要素をシャッフルする必要がある。

　＜まとめ＞
　以上のように、本実施形態に係る秘匿ノイズ生成システム１は、或る確率分布に従う値を要素として持つテーブルＴの要素をシャッフル及び暗号化した上で、秘匿値同士の加算が可能な秘密計算技術により、シャッフル及び暗号化後のテーブルＴ_Ｅｎｃの１個以上の要素（ただし、２個以上の要素であることが好ましい。）の和を秘匿ノイズとして生成する。これにより、本実施形態に係る秘匿ノイズ生成システム１では、従来技術よりも少ない通信量及びメモリ使用量で、すべての参加者がその値を知り得ないノイズ（乱数）を生成することが可能となる。

　このため、例えば、差分プライバシ等といった秘匿ノイズが必要なプロトコルに対して本実施形態に係る秘匿ノイズ生成システム１を適用することで、より効率的にそのプロトコルを実行することが可能となる。

　＜効果＞
　本実施形態に係る秘匿ノイズ生成システム１は、主に、以下の（１）～（４）に示す効果がある。

　（１）すべての参加者は、平文のノイズｚに関して、Ｅｎｃ（ｚ）を復号するまではノイズｚが従う確率分布以上のことは知り得ない。テーブル作成者はテーブルＴのどの要素が選ばれてノイズｚが作られたか知り得ず、またテーブルＴ_Ｅｎｃの要素は暗号化されているため各ノイズ生成者は自らが選んだ要素がどんな値であるか知り得ないためである。なお、各参加者は、テーブルＴとパラメータｎからノイズｚが従う確率分布を計算することができる。

　（２）秘匿ノイズを生成する際の計算は加算のみであるため、ノイズ一個あたりの生成時間が短い。

　（３）例えば、一様乱数に対して数学的変換やビット配列操作等を行って乱数を生成する場合と比べて、容易に実装が可能である。

　（４）ｎ≧２である場合、極めて大きい又は極めて小さい値を取り得る確率分布を、小さい通信量・メモリ使用量で近似することができる。これは、テーブルＴにある値の最大値がＳ、最小値がｓであれば、ノイズｚが取り得る値の最大値はｎＳ、最小値はｎｓとなるためである。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。

　［参考文献１］
　参考文献１：Melissa Chase, Esha Ghosh, and Oxana Poburinnaya. Secret Shared Shuffle. 1340. 2019.

　１　　　　秘匿ノイズ生成システム
　１０　　　参加者端末
　２０　　　通信ネットワーク
　１０１　　入力装置
　１０２　　表示装置
　１０３　　外部Ｉ／Ｆ
　１０３ａ　記録媒体
　１０４　　通信Ｉ／Ｆ
　１０５　　ＲＡＭ
　１０６　　ＲＯＭ
　１０７　　補助記憶装置
　１０８　　プロセッサ
　１０９　　バス
　２０１　　秘匿ノイズ生成処理部
　２０２　　記憶部

Claims

　第１の端末と１以上の第２の端末とが含まれる秘匿ノイズ生成システムであって、
　前記第１の端末は、
　秘匿値を要素として持つ第１のテーブルを前記第２の端末に送信するように構成されている送信部、を有し、
　前記第２の端末は、
　秘匿値同士の加算が可能な秘密計算技術により、前記第１のテーブルから選択したｎ（ただし、ｎは２以上の整数）個の秘匿値の和を秘匿ノイズとして計算するように構成されているノイズ計算部、を有する秘匿ノイズ生成システム。
　前記第１の端末は、
　所定の分布に従う値を要素として持つ第２のテーブルを作成するように構成されている第１の作成部と、
　前記第２のテーブルの要素をシャッフルした後、前記シャッフル後の前記第２のテーブルの要素を暗号化することで前記第１のテーブルを作成するように構成されている第２の作成部と、を有する、請求項１に記載の秘匿ノイズ生成システム。
　前記ノイズ計算部は、
　前記秘密計算技術により、前記第１のテーブルから一様ランダムに選択したｎ個の秘匿値の和を秘匿ノイズとして計算するように構成されている、請求項１に記載の秘匿ノイズ生成システム。
　前記秘密計算技術は、加法準同型暗号、又は、加法秘密分散ベースの秘密計算である、請求項１乃至３の何れか一項に記載の秘匿ノイズ生成システム。
　第１の端末と１以上の第２の端末とが含まれる秘匿ノイズ生成システムに用いられる秘匿ノイズ生成方法であって、
　前記第１の端末が、
　秘匿値を要素として持つ第１のテーブルを前記第２の端末に送信する送信手順、を実行し、
　前記第２の端末が、
　秘匿値同士の加算が可能な秘密計算技術により、前記第１のテーブルから選択したｎ（ただし、ｎは２以上の整数）個の秘匿値の和を秘匿ノイズとして計算するノイズ計算手順、を実行する秘匿ノイズ生成方法。
　コンピュータを、請求項１に記載の秘匿ノイズ生成システムに含まれる第１の端末又は第２の端末として機能させるプログラム。