專利名稱:秘密分散系統(tǒng)、分散裝置、分散管理裝置、取得裝置、秘密分散方法、程序及記錄介質的制作方法
技術領域:
本發(fā)明涉及秘密分散技術。
背景技術:
在保管秘密信息的情況下,有秘密信息的丟失或破壞的危險和被盜的危險。丟失或破壞的危險可通過事先保管多個秘密信息來降低。但是,在該情況下,被盜的危險增加。作為同時解決這些危險的方法之一,具有秘密分散法(SSS :Secret Sharing Scheme)(例如,參照非專利文獻1、2)。秘密分散法是如下方式,S卩,利用秘密信息MSK生成多個共享信息SH (I),…,SH(N),并使這些信息分散到多個分散管理裝置PA (I),…,PA (N)中而進行管理,并且,僅在 能夠得到這些共享信息SH (I),…,SH (N)中規(guī)定數以上的共享信息的情況下,可恢復秘密信息MSK。下面,表不秘密分散法代表性的方式。(N, N)閾值秘密分散方式在(N,N)閾值秘密分散方式(有時也稱為“N-out-of-N分散方式”或“N-out_of-N閾值分散方式”))中,只要提供所有的共享信息SH (I),…,SH (N),就可恢復秘密信息MSK,但即使提供任意N-1個共享信息SH (φιSH ( ((Jn.!),也不能完全得到秘密信息MSK的信息。下面,表不(N, N)閾值秘密分散方式的一個例子?!るS機選擇 SH1,…,SH1^1?!みM行 SHn=MSK- (SH1+…+SHim)的計算?!な垢鞴蚕硇畔H1,…,SHn分散到多個管理裝置PA (I),…,PA (N)中而進行管理。·只要提供所有的共享信息SH1,…,SHn,就可通過+SHn的恢復處理,恢復秘密信息MSK。另外,用于從共享信息SH1,…,SHdii密信息MSK的運算MSK=SH1+…+SHn是線性的。因此,在以各共享信息SH (I),…,SH (N)和值σ為被運算符,且將每個共享信息進行相同線性運算CALC的結果作為各共享信息SH’ (I),…,SH’(N),進行恢復處理的情況下,得到以秘密信息MSK和值σ為被運算符進行該線性運算CALC的結果。例如,在以SH’
(1)= σ -SH (I),.. ,SH' (Ν) = σ *SH (N)為各共享信息 SH’ (I),…,SH’(N)執(zhí)行恢復處理的情況下,得到下面的值。O · SH (1)+... + 0 · SH (N)=σ · (SH (I) +...+SH (N))=σ . MSK... (I)另一方面,在以各共享信息SH (I),…,SH (N)和相互獨立的值σ (1),…,σ(N)為被運算符,且將每個共享信息進行相同線性運算CALC的結果作為各共享信息SH’Cl),…,SH’(N),執(zhí)行恢復處理的情況下,通常,不能得到以秘密信息MSK為被運算符的運算結果。例如,在以 SH’ (1) = σ (I) · SH (1),· ·,SH’ (Ν) = σ (N) · SH (N)為各共享信息SH’ (I),…,SH’(N),執(zhí)行恢復處理的情況下,得到下面的值。σ (I) · SH (1)+— + σ (N) · SH (N)…(2)(Kt, N)閾值秘密分散方式在(Kt,N)閾值秘密分散方式(有時也稱為“Kt-out_of-N分散方式”或“Kt-0Ut-0f-N閾值分散方式”)中,只要提供任意不同的Kt個共享信息SH (φι),…,SH ((pKt),就可恢復秘密信息MSK ,但即使提供任意Kt-1個共享信息SH (φι), SH ( φΚΜ ),也不能完全得到秘密信息MSK的信息。下標的Kt表示Kt。下面,表不(Kt, N)閾值秘密分散方式的一個例子?!るS機挑選滿足 f (O)=MSK 的 Kt-1 次的多項式 f (χ) = ξ0+ξ1 * χ+ξ2 * χ2+···+ ξΚΗ · χΚΗ。即,設為Ici=MSK,隨機挑選ξ1;…,ξΚΗ。將共享信息設為SHp= ( P , f(P )) ( P =1,…,N)。 在得到任意不同的Kt個共享信息SHitp1),…,SH(<pKt) ((Cp1, ···, <pKt)C ( I, N))的情況下,例如,使用拉格朗日(Lagrange)內插公式,通過下面那樣的恢復處理,可恢復秘密信息MSK。
MSK=f ( O ) =λι· ( φι) +.·.+λο' ((ptct)... ( 3 )[數I]
P
(χ-^,)···ν···(χ-^κ ),.、
1 Ρ1 ^Fq …(4)
ΚΦ -病)··.▽··’(#,,-么丨)另外,意思是不存在從開頭到第P個被運算符〔分母的要素(φρ-φρ),分子
的要素(χ-φΡ)〕。即,式(4)的分母如下。
((Pp-(P1) .··.· ( φρ-φρ-1) · ( φΡ-φΡ+ι) ··.·· ( φΡ-φΚι)式(4)的分子如下。
(X-(Pl) ·.·■· ( X-Cpp-1 ) · ( X-ψρ+ι ) ·...· ( X-CpKt )它們的關系即使在域上也成立。式(3)的運算是線性的。因此,以各共享信息SH ((pi ),…,SH ((pKt)和值σ為被運算符,且將每個共享信息進行相同線性運算CALC的結果作為各共享信息SFT(Cp1), SH' (φΚ )恢復的值與以秘密信息MSK和值。為被運算符進行線性運算CALC的結果相等。另一方面,在以各共享信息SH( Φ!),…,SH (φκι)和相互獨立的值σ ( φι), ..., σ (cpKt)為被運算符,且將每個共享信息進行相同線性運算CALC的結果作為各共享信息φι ),…,SH' (φκι),執(zhí)行恢復處理的情況下,通常,不能得到以秘密信息MSK為被運算符的運算結果。
現有技術文獻非專利文獻非專利文獻1:黑澤馨、尾形t力、(S、“現代暗號O基礎數理(電子情報通信 > 夕千弋 V 'J 一文'),,、;!口 f 社、2004 年 3 月、p. 116-119非專利文獻2 :A. Shamir, 〃How to Share a Secret", Communications of theACM,Novemberl979, Volume22,NumberlI, pp. 612-613.
發(fā)明內容
發(fā)明要解決的課題假定滿足下面的條件的方式。(條件I)分散裝置對秘密信息MSK進行秘密分散,生成多個共享信息SH(I),…,SH (N),并將這些共享信息分散到多個分散管理裝置PA (I),…,PA (N)中而進行管理。(條件2)各分散管理裝置PA(1),…,PA (N)分別執(zhí)行一些運算。(條件3)取得裝置雖然不能得到秘密信息MSK,但在提供由規(guī)定數以上的分散管理裝置生成的運算結果的情況下,能夠得到與被運算符中包含秘密信息MSK和任意值σ的運算結果對應的生成信息。但是,實現這種方式是不容易的。即,若各分散管理裝置PA (I),…,PA (N)分別使用相互獨立的值σ (1),…,σ (N)執(zhí)行運算的話,取得裝置不能正確地執(zhí)行以各分散管理裝置的運算結果為共享信息的恢復處理,得不到希望的生成信息。另一方面,值σ可以成為用于推測生成信息的信息,因此所有的分散管理裝置PA (I),…,PA (N)共享值σ其本身,從安全性的觀點來看,不優(yōu)選。本發(fā)明就是鑒于這種點而提出的,其目的在于,安全地實現滿足上述條件I 3的方式。用于解決課題的手段在本發(fā)明中,通過分散裝置、Σα=> (α)個分散管理裝置PA ( a , h ( α ))(α=1,…,L,L芎2,h ( α )=1,…,H ( α ),Η ( α )芎2)和取得裝置,執(zhí)行秘密分散處理。分散裝置將Ψ設為I以上的整數、將Ψ設為O以上Ψ以下的整數Ψ=0,···,Ψ4^η(Ψ)設為I以上的整數、將ζ ( Ψ)設為O以上的整數、將巡回群G2的生成元設為g2、將以相對于 Θ ( ψ , i, β ) (i=l, ···, η ( ψ ) + ζ ( ψ ), β =1, ···, η ( ψ ) + ζ (ψ),η(ψ)芎 I,ζ ( ψ )蘭I)的巡回群G2的η ( ψ ) + ζ ( Ψ )個元為要素的η ( ψ ) + ζ (Ψ)維的基底向量設為 ν(ψ)=(θ ( ψ , i, I) · g2, ···, θ ( ψ , , η ( ψ ) + ζ ( Ψ )) · g2) e 62η(ψ)+ζ (ψ)的情況下的基底向量Vi ( Ψ)的各要素θ ( ψ,i,β ) · &相應的值,通過規(guī)定的秘密分散方式,分別獨立地秘密分散到 每個由H ( α )個分散管理裝置PA ( α,1),…,PA ( α,H(α ))構成的子集合SUB ( α )中,生成各要素θ ( ψ,i,β ) · g2相應的值的共享信息SH(ψ , i, β , α , h ( α )) (h ( α ) =1,...,H ( α ))。分散管理裝置 PA ( α , h ( α ))相對于每個子集合SUB ( α )所共享的共同信息和共享信息SH ( Ψ,i,β,α , h ( α )) (h ( α )=1,…,H (α)),在每個子集合SUB (α)進行共同的共同運算,生成分散秘密值DSH (ψ,a,h ( α ))。取得裝置使用與相同子集合SUB ( α )對應的多個分散秘密值DSH ( Ψ,a,h(α )),通過每個根據所述秘密分散方式的子集合SUB ( α )的恢復處理,生成每個該子集合SUB ( α )的秘密恢復值SUBSK ( Ψ,α ),使用秘密恢復值SUBSK ( Ψ,α ),生成生成信息D*(Ψ )。在本發(fā)明中,在每個子集合SUB ( α )中獨立地對秘密信息即基底向量( Ψ)進行秘密分散,使用每個子集合SUB ( α )所共享的共同信息,生成分散秘密值DSH ( Ψ,a,h(α ))。在該情況下,以子集合SUB ( α )為單位,能夠正確地執(zhí)行以分散秘密值DSH ( Ψ,α,h ( α ))為共享信息的恢復處理。共同信息在每個子集合SUB ( α )中共享,未在所有的分散管理裝置PA ( a,h ( α ))中共享,因此,安全性高。發(fā)明效果如上,本發(fā)明能夠安全地實現滿足上述條件I 3的方式。
圖1是用于說明第一實施方式的秘密分散系統(tǒng)的整體構成的方框圖。圖2是用于說明圖1的分散裝置的構成的方框圖。圖3A是用于說明第一實施方式的分散管理裝置的構成的方框圖,圖3B是用于說明第一實施方式的共享值生成裝置的構成的方框圖。圖4是用于說明第一實施方式的取得裝置的構成的方框圖。圖5A是用于說明圖2的秘密分散部的詳情的方框圖,圖5B是用于說明圖3A的分散秘密值生成部的詳情的方框圖。圖6是用于說明圖4的恢復部的詳情的方框圖。圖7是用于說明第一實施方式的秘密分散處理的整體的圖。圖8A是用于示例第一實施方式的分散裝置的處理的圖,圖SB是用于示例步驟S112的處理詳情的圖。圖9A是用于示例第一實施方式的分散管理裝置的處理的圖,圖9B是用于示例步驟S124的處理詳情的圖。圖1OA是用于示例第一實施方式的取得裝置的處理的圖,圖1OB是是用于示例步驟S134的處理的圖。圖1lA是用于說明第一實施方式的變形例I的秘密分散部的構成的圖,圖1lB是用于說明第一實施方式的變形例I的分散秘密值生成部的構成的圖。圖12A是用于說明第一實施方式的變形例2的分散秘密值生成部的構成的圖,圖12B是用于說明第一實施方式的變形例2的恢復部的構成的圖。圖13A是用于說明第一實施方式的變形例3的秘密分散部的構成的圖,圖13B是用于說明第一實施方式的變形例3的分散秘密值生成部的構成的圖,圖13C是用于說明第一實施方式的變形例3的恢復部的構成的圖。圖14A是用于說明第一實施方式的變形例4的秘密分散部的構成的圖,圖14B是用于說明第一實施方式的變形例4的分散秘密值生成部的構成的圖,圖14C是用于說明第一實施方式的變形例4的恢復部的構成的圖。圖15是示例表示標準型邏輯式的樹結構數據的圖。圖16是示例表示標準型邏輯式的樹結構數據的圖。圖17是用于說明第二實施方式的秘密分散系統(tǒng)的整體構成的方框圖。
圖18是用于說明第二實施方式的分散裝置的構成的方框圖。圖19A是用于說明第二實施方式的共享值生成裝置的構成的方框圖,圖19B是用于說明第二實施方式的共享值生成裝置的構成的方框圖。圖20是是用于說明第二實施方式的分散管理裝置的構成的方框圖。圖21是用于說明第二實施方式的取得裝置的構成的方框圖。圖22是用于說明第二實施方式的秘密分散處理的整體的圖。圖23是用于說明第二實施方式的秘密分散處理的整體的圖。
圖24是用于示例第二實施方式的分散裝置的處理的圖。圖25是用于示例第二實施方式的分散管理裝置的處理的圖。圖26是用于示例第二實施方式的取得裝置的處理的圖。圖27是用于示例第二實施方式的變形例I的分散管理裝置的處理的圖。圖28是用于示例第二實施方式的變形例I的分散管理裝置的處理的圖。
具體實施例方式下面,參照附圖對本發(fā)明的實施方式進行說明?!驳谝粚嵤┓绞健呈紫龋f明本發(fā)明的第一實施方式。〔定義〕定義本方式中使用的用語及記號。Fq=Fq表示位數q的有限域。位數q為I以上的整數,例如,將質數或質數的冪乘值設為位數q。即,有限域Fq的例子是質數域或將其作為基礎域的擴展域。有限域Fq為質數域時的運算可通過例如以位數q為除數的余數運算容易地構成。有限域Fq為擴展域時的運算可通過例如以不可約多項式為除數的余數運算容易地構成。有限域Fq的具體的構成方法,例如公開于參考文獻 I “IS0/IEC18033-2 information technoIogy-Securitytechniques-Encryption algorithms-Part2 Asymmetric ciphers,,。0F 0f表示有限域Fq的加法單位元。If 1f表示有限域Fq的乘法單位元。 E E表示在有限域Fq上定義的橢圓曲線。橢圓曲線E是包含由滿足下面表示的仿射(affine)坐標上的Weierstrass方程式的χ, y e Fq構成的點(x,y)的集合和稱為無限遠點的特別的點O的集合。J2+Sl1 · χ · y+a3 · y=x3+a2 · x2+a4 · x+a6其中,滿足a1; a2, a3, a4, a6 e Fq。對橢圓曲線E上的任意兩點定義稱為橢圓加算的二項運算+,對橢圓曲線E上的任意I點定義稱為逆元運算的單項運算一。由橢圓曲線E上的有理點構成的有限集合關于橢圓加算而組成群、使用橢圓加算可定義稱為橢圓標量倍算的運算及計算機上的橢圓加算等橢圓運算的具體的運算方法被眾所周知(例如,參照參考文獻1、參考文獻2 “RFC5091 :1dentity-Based Cryptography Standard (IBCS) #1 Supersingular CurveImplementations of the BF and BBl Cryptosystems,,、參考文獻 3 “ 彳了 · F · 7' 7m'入工卟 七口 7 ->,于4夕二卟· ρ · ζ —卜=著,“楕円曲線暗號”,出版=匕。Ty 'y ·工〒'工夕一夕 3 'y,ISBN4-89471-431-0” 等)。由橢圓曲線E上的有理點構成的有限集合具有位數ρ (ρ ^ I)的子群。例如,在將由橢圓曲線E上的有理點構成的有限集合的主要質數設為# E、將ρ設為除盡#E的大的質數的情況下,由橢圓曲線E的ρ等分點構成的有限集合E [ρ]構成由橢圓曲線E上的有理點構成的有限集合的子群。橢圓曲線E的ρ等分點意思是橢圓曲線E上的點A中,橢圓曲線E上的橢圓標量倍算值ρ · A滿足ρ · A = O的點。G G表示巡回群。巡回群G的具體例是,由橢圓曲線E的ρ等分點構成的有限集·合E[p]、其子群、余數群等。在本方式中,用加法表示在巡回群G上定義的運算。S卩,對于
意思是對Ω e G1實施X次在巡回群G定義的運算,對Ω2 e G的e G意思是以Q1 e G和Ω2 e G為被運算符,進行在巡回群G定義的運算。g :g表示巡回群G的生成元。<整體構成>圖1是用于說明第一實施方式的秘密分散系統(tǒng)的整體構成的方框圖。如圖1所不例,本方式的秘密分散系統(tǒng)I具有分散裝置110、Σ α = ^h ( α )個分散管理裝置〔PA(a,h(a))(a=l,···, L, L ^ 2,h ( a ) =1, ...,H(a),H(a)芎 2)〕120 - a - h ( a )、取得裝置130、共享值生成裝置140 — I L,它們可以通過網絡150進行通信。為了簡化說明,在本方式中,示例各存在一個分散裝置110及取得裝置130的構成,但也可以存在兩個以上的分散裝置110及/或取得裝置130。根據同樣的理由,在本方式中,示例只存在一個由Σ a jh ( a )個分散管理裝置〔PA ( a,h ( a ))〕120 — a — h(a )構成的集合的構成,但也可以存在多個這種集合。如圖1所示例,由Sa=^h ( a )個分散管理裝置〔PA ( a,h ( a ))) 120 — a —h ( a )構成的集合區(qū)分為由H ( a )個分散管理裝置PA ( a,1),…,PA ( a,H ( a ))構成的多個子集合SUB ( a )各個。生成各子集合SUB ( a )所共享的共享值σ ( a )的共享值生成裝置140 - α分別與各子集合SUB ( a )對應。<分散裝置110>圖2是用于說明圖1的分散裝置110的構成的方框圖。圖5A是用于說明圖2的秘密分散部114 一 α的詳情的方框圖。如圖2所示例,本方式的分散裝置110具有臨時存儲部111、存儲部112、控制部113、秘密分散部114 一 a ( a =1,…,L)、發(fā)送部115。如圖5A所不例,本方式的秘密分散部114 一 α具有函數選擇部114a — α、索引生成部114b — α、分散處理部114c 一 α。本方式的分散裝置110是,例如包含具備CPU (Central Processing Unit)、RAM(Random Access Memory)>ROM (Read-Only Memory)等的公知或專用的計算機和特別的程序的特別的裝置。具體地講,臨時存儲部111及存儲部112是,例如由RAM、寄存器、高速緩沖存儲器、集成電路內的元件或硬盤等輔助存儲裝置或它們的至少一部分的結合構成的存儲區(qū)域??刂撇?13及秘密分散部114 一 α ( α=1,…,L)是,例如通過CPU執(zhí)行規(guī)定的程序而構成的處理部??刂撇?13及秘密分散部114 一 α ( α =1,…,L)的至少一部分也可以是特別的集成電路。發(fā)送部115是例如調制解調器、LAN (Local Area Network)卡等通信裝置。
分散裝置110在控制部113的控制下執(zhí)行各處理。下面,雖然簡化說明,但從各處理部輸出的數據逐一存儲于臨時存儲部111或存儲部112。存儲于臨時存儲部111或存儲部112的數據根據需要取出,并輸入于各處理部,而利用于該處理中。<分散管理裝置〔PA ( α,h ( α ))〕120 — α — h ( α ) >圖3Α是用于說明第一實施方式的分散管理裝置〔PA ( α,h ( α ))〕120 — α -h ( α )的構成的方框圖。圖5B是用于說明圖3A的分散秘密值生成部124 — α — h ( α )的詳情的方框圖。 如圖3Α所示例,本方式的分散管理裝置〔PA ( α,h ( α ))〕120 — α — h ( α )具有臨時存儲部121 — α - h ( α )、存儲部122 — α — h ( α )、控制部123 — α — h(α )、分散秘密值生成部124 — α — h ( α )、發(fā)送部125 — α — h ( α )、接收部126 —α - h ( α )0如圖5Β所示例,分散秘密值生成部124 — a -h ( α )具有線性運算部124a — α — h ( α )和分散秘密值合成部124b — α — h ( α )。分散管理裝置〔PA ( a,h ( α ))〕120 — α — h ( α )是,例如包含具備CPU、RAM、ROM等的公知或專用的計算機和特別的程序的特別的裝置。具體地講,臨時存儲部121 -a -h ( α )及存儲部122 — α — h ( α )是,例如由RAM、寄存器、高速緩沖存儲器、集成電路內的元件或硬盤等輔助存儲裝置或它們的至少一部分的結合構成的存儲區(qū)域??刂撇?23 - α 一 h ( α )及分散秘密值生成部124 — α 一 h ( α )是例如通過CPU執(zhí)行規(guī)定的程序而構成的處理部。另外,控制部123 — α — h ( α )及分散秘密值生成部124 — α — h(α )的至少一部分也可以是特別的集成電路。發(fā)送部125 — α — h ( α )及接收部126 —a -h (α)是例如調制解調器、LAN卡等通信裝置。分散管理裝置〔PA( α,h ( α ))〕120 — α — h ( α )在控制部 123 — α — h(α )的控制下執(zhí)行各處理。下面,雖然簡化說明,但從各處理部輸出的數據逐一存儲于臨時存儲部121 — α — h ( α )或存儲部122 — α — h ( α )。存儲于臨時存儲部121 — α —h ( α )或存儲部122 — α — h ( α )的數據根據需要取出,并輸入于各處理部,而利用于該處理中。<共享值生成裝置140 — α >圖3Β是用于說明第一實施方式的共享值生成裝置140 - α的構成的方框圖。如圖3Β所示例,本方式的共享值生成裝置140-α具有隨機數生成部141-α及發(fā)送部142-α。本方式的共享值生成裝置140-α是,例如包含具備CPU、RAM、ROM等的公知或專用的計算機和特別的程序的特別的裝置,但隨機數生成部141 一 α也可以是特別的集成電路。<取得裝置130 >圖4是用于說明第一實施方式的取得裝置130的構成的方框圖。圖6是用于說明圖4的恢復部134 - α的詳情的方框圖。如圖4所示例,本方式的取得裝置13具有臨時存儲部131 ;存儲部132 ;控制部133 ;恢復部134 — α ( α =1,…,L);合成部137 ;發(fā)送部135 ;接收部136。如圖6所示例,恢復部134 - α具有系數算出部134a — α和多項式運算部134b — α。本方式的取得裝置130是,例如包含具備CPU、RAM、ROM等的公知或專用的計算機和特別的程序的特別的裝置。具體地講,臨時存儲部131及存儲部132是,例如由RAM、寄存器、高速緩沖存儲器、集成電路內的元件或硬盤等輔助存儲裝置或它們的至少一部分的結合構成的存儲區(qū)域。控制部133、恢復部134 — α ( α =1,…,L)及合成部137是例如通過CPU執(zhí)行規(guī)定的程序而構成的處理部??刂撇?33、恢復部134 — α ( α =1,…,L)及合成部137的至少一部分也可以是特別的集成電路。發(fā)送部135和接收部136是例如調制解調器、LAN卡等通信裝置。取得裝置130在控制部133的控制下執(zhí)行各處理。下面,雖然簡化說明,但從各處理部輸出的數據逐一存儲于臨時存儲部131或存儲部132。存儲于臨時存儲部131或存儲部132的數據根據需要讀出,并輸入于各處理部,而利用于該處理中。
<秘密分散處理>對本方式的秘密分散處理進行說明。[事前處理]作為本方式的秘密分散處理的事前處理,在分散裝置110的存儲部112中存儲用于確定秘密信息Θ · g e G的信息Θ e F,。[秘密分散處理的整體]圖7是用于說明第一實施方式的秘密分散處理的整體的圖。下面,使用圖7,對本方式的秘密分散處理的整體進行說明。在本方式中,首先,分散裝置110 (圖1)按各子集合SUB (α)獨立地對秘密信息Θ · g e G進行秘密分散,生成共享信息SH ( α,h ( a )) (h ( a )=1,…,H ( α )),輸出該共享信息SH ( a,h ( α ))(步驟S11)。各共享信息SH ( a,h ( α ))分別經由網絡150,分散發(fā)送到各分散管理裝置〔PA ( a , h (α))〕120 — α — h ( α )。發(fā)送各共享信息SH ( α,h ( α ))的各分散管理裝置〔PA ( α,h ( α ))〕120 —α - h ( α )分別使用該共享信息SH ( a,h ( α ))和包含子集合SUB ( α )所共享的共享值σ ( α )的共同信息,進行規(guī)定的共同運算,從而生成分散秘密值DSH (a, h (α )),輸出該分散秘密值DSH ( α,h ( α ))(步驟S12)。在本方式的情況下,在相互不同的子集合SUB ( α )中分別共享的共享值σ ( α )是相互獨立的。屬于相同子集合SUB ( α )的分散管理裝置〔PA (a,h (a )))120- a -h (α)分別使用的“共同信息”相互相同。特別是,本方式中示例的“共同信息”包含共享值σ ( a )和由取得裝置130提供的在所有的分散管理裝置PA ( a,h ( a ))120 — a — h(a )中共同的提供信息V。屬于相同子集合SUB ( a )的分散管理裝置〔PA ( a,h ( a ))〕120 - a - h (a)分別進行的“共同運算”相互相同。在本方式中,設為所有的“共同運算”相同。本方式的“共同運算”是具有線性性的運算。從各分散管理裝置〔PA ( a , h (a ))) 120 — a — h ( a )輸出的各分散秘密值DSH (a,h (a ))分別經由網絡150,發(fā)送到取得裝置130。取得裝置130使用與相同子集合SUB ( a )對應的多個分散秘密值DSH ( a,h ( a )),通過每個子集合SUB ( a )的恢復處理,生成秘密恢復值SUBSK ( a )(步驟S13)。接著,取得裝置130使用對各子集合SUB( a )分別生成的秘密恢復值SUBSK( a ),生成生成信息SK,并輸出該生成信息SK(步驟S14)。另外,在本方式中,取得裝置130對秘密恢復值SUBSK ( a )進行線性結合,生成信息SK。[分散裝置的處理(步驟Sll)]
圖8A是用于示例第一實施方式的分散裝置的處理的圖,圖SB是用于示例步驟S112的處理的詳情的圖。下面,使用這些圖,對分散裝置110的處理的詳情進行說明。首先,分散裝置110 (圖2)的控制部113設定α =1,并將該設定內容存儲于臨時存儲部111 (步驟S111)。接著,從存儲部112讀出用于確定秘密信息Θ *geG的信息θ e Fq,并輸入到秘密分散部114-α。秘密分散部114-α根據規(guī)定的秘密分散方式,使用信息Θ e Fq,對秘密信息Θ · g或信息Θ進行秘密分散,生成輸出對于子集合SUB (α)的 H ( α )個共享信息 SH ( α,1),…,SH ( α,H ( α ))(步驟 S112)?!恫襟ESI12的詳情》本方式的秘密分散部114 一 α對各子集合SUB ( α ),使用(R ( α ),H ( α ))閾值秘密分散方式(其中,R (α)是滿足2 = R (α)<Η ( α )的常數),生成對秘密信息進行秘密分散而得到的共享信息SH ( α,h ( a )) (h ( α ) =1,…,H ( α ))。
如圖SB所示例,首先,秘密分散部114 一 α (圖5Α)的函數選擇部114a — α隨機選擇f ( α,X) e Fq來輸出對于預先確定的有限域Fq的元ω e Fq滿足f ( α,ω) = θ的R ( α )-1次的多項式(步驟S112a)。另外,χ是由有限域Fq的元構成的變量,元ω e Fq的一個例子為Of。接著,索引生成部114b — α生成輸出與各h ( α )=1,…,H ( α )對應的索引φ ( h (a)) EFq(步驟sil2b)。另外,在設為索引φ ( H ( a )) =h (a)EFq的情況下及在已經得到索引φ (h (a)) eFq的情況下,也可以省略步驟S112的處理。接著,分散處理部114c 一 α使用多項式f ( a,χ) e Fq和索引φ ( h ( a ) )£ F,p
生成下面的共享信息SH ( a,h ( a )) (h ( a ) =1,…,H ( a ))。
SH ( a, h ( a )) = ((p ( h ( a )), f ( α, φ ( h ( a ))) -g£G ) ... ( 5 )分散處理部114c — a輸出共享信息SH ( a,h ( a ))(步驟S112c /《步驟S112的詳情》的說明結束)。接著,控制部113判定存儲于臨時存儲部111的α是否為L (步驟S113)。在此,在判定為不是a =L的情況下,控制部113將a +1設為新的α,將其設定內容存儲在臨時存儲部111 (步驟S114),并通過新的α執(zhí)行步驟S112的處理。另一方面,在步驟S113中判定為a =L的情況下,從各秘密分散部114— α輸出的各共享信息SH ( a , h ( a ))(a=l,…,L)發(fā)送到發(fā)送部115。發(fā)送部115分別經由網絡150將各共享信息SH ( a,h(a )) ( a =1,…,L),發(fā)送到分散管理裝置〔PA ( a,h ( α ))〕120 — a — h ( a ) ( a =1, ···,L)(步驟S115)。即,共享信息SH (1,I)發(fā)送到分散管理裝置〔PA (1,1)) 120 — I — 1,共享信息SH (1,2)發(fā)送到分散管理裝置〔PA (1,2)) 120 -1 - 2,…共享信息SH (L,H(L))發(fā)送到分散管理裝置〔PA (L, H (L))) 120-L-H (L)0[共享值生成裝置的處理]各共享值生成裝置140 — α (圖3B)生成在構成與自身對應的子集合SUB ( a )的各分散管理裝置〔PA ( a,h ( a ))) 120 — a — h ( a )中共享的共享值σ ( α )。在本方式中,將隨機數生成部141 - α生成的隨機數設為共享值σ ( a ),發(fā)送部142 — α將共享值σ ( a )發(fā)送到構成子集合SUB ( a )的各分散管理裝置〔PA ( a,h ( a ))) 120 -α — h ( α )。[分散管理裝置的處理(步驟S12)]圖9Α是用于示例第一實施方式的分散管理裝置〔PA ( a,h ( α ))) 120 — α — h(α )的處理的圖,圖9Β是用于示例步驟S124的處理的詳情的圖。下面,使用這些圖,對本方式的分散管理裝置〔PA ( α,h ( α ))〕120 — α — h ( α )的處理進行說明。首先,分散管理裝置〔PA( a,h( α ))〕120 — α — h ( α )(圖3Α)的接收部126 —α - h ( α )接收發(fā)送的共享信息SH ( α,h ( α )),并將其存儲在存儲部122 — α — h(α )(步驟S121)。另外,如果過去執(zhí)行步驟S121的處理,共享信息SH ( α,h ( α ))已經存儲于分散管理裝置〔PA ( a ,h ( a )))120 - α - h ( α )的存儲部122 — α — h ( α ),則也可以省略步驟S121的處理。分散管理裝置〔PA( α,h ( α ))〕120 — α — h ( α )的接收部 126 — α — h(α )接收從共享值生成裝置140 - α發(fā)送的共享值σ ( α ),并將其存儲于存儲部122 —α — h ( α )(步驟 S122)。在本方式中,從取得裝置130(圖4)的存儲部132讀出的提供信息V經由網絡150,從發(fā)送部135發(fā)送到各分散管理裝置〔PA ( α,h ( α ))〕120 — α — h ( α )。該提供信息V在所有的分散管理裝置PA ( α,h ( α )) 120 — α — h ( α )中是共同的。提供信息V由分散管理裝置〔PA ( a,h ( α ))〕120 — α — h ( α )(圖3Α)的接收部126 — α — h(α )接收,并存儲在存儲部122 — α — h ( α )(步驟S123)。接著,分散秘密值生成部124 — α — h ( α )從存儲部122 — α — h ( α )讀入共享信息SH ( a,h ( α ))、共享值σ ( α )和提供信息V。分散秘密值生成部124 — α 一 h(α )使用包含共享值σ ( α )和提供信息V的共同信息、共享信息SH ( α,h ( α )),進行共同運算FNCl,生成分散秘密值DSH ( a,h ( α )),并輸出該分散秘密值DSH ( a,h ( α ))(步驟 S124)。《步驟S124的詳情》屬于相同子集合SUB ( α )的分散管理裝置PA ( a,h ( α )) 120-a -h ( α )的分散秘密值生成部124 — α 一 h U )分別使用的共同信息是相互相同的,屬于相同子集合SUB ( α )的分散管理裝置PA ( a,h ( a ))120 — α — h ( α )的分散秘密值生成部124 —α 一 h (α)分別進行的共同運算是相互相同的。本方式的共享信息如式(5)所示。如圖9Β所示例,首先,對本方式的分散秘密值生成部124 — α - h ( α )的線性運算部124a — α 一 h (α),輸入共享值σ ( α )、提供信息ν和共享信息SH ( a, h ( α )) = ( φ ( h ( α ) ),f α; φ ( h ( α ))) -g )的 f ( α,φ ( h ( α ))) -g,
線性運算部124a— α — h( α )進行下面的運算,并輸出其運算結果dsh ( α, φ( h (α)))(步驟 S124a)。
dsh ( α, φ ( H ( α ))) =σ U/; ·ν· ( α, ο (H ( α ))) -g... ι 6 ;輸出的運算結果 dsh (α,φ (h ( α)))輸入于分散秘密值合成部124b —a - h (α)0對分散秘密值合成部124b — a -h ( α ),進一步輸入共享信息SH ( CUh ( α)) = ( φ ( h (a)), f ( α, φ ( h ( α))) -g )的索引 φ ( h (α)),分散秘密值合成部124b - a -h ( α )通過下面的運算,生成分散秘密值DSH ( α,h ( α ))。
DSH ( a, h ( α)) = ( φ (h ( α )), dsh ( α, φ ( h ( α)))) ... (J )分散秘密值合成部124b — α — h ( α )輸出分散秘密值DSH ( a,h ( α ))(步驟S124b /《步驟S124的詳情》的說明結束)。生成的分散秘密值DSH (a,h (α))發(fā)送到發(fā)送部125 — α — h ( α )。發(fā)送部125 — a — h ( a )將分散秘密 值DSH ( a,h ( a ))經由網絡150,發(fā)送到取得裝置130 (步驟 S125)。[取得裝置的處理(步驟S13、S14)]圖1OA是用于示例第一實施方式的取得裝置的處理的圖,圖1OB是用于示例步驟S134的處理的圖。從各分散管理裝置PA ( a , h ( a )) 120 — a — h ( a )發(fā)送的分散秘密值DSH(a,h (α))由取得裝置130 (圖4)的接收部136接收,并存儲于存儲部132 (步驟S131)。接著,控制部133判定在存儲部132中是否存儲有需要數以上的分散秘密值DSH(a,h ( a ))(步驟S132)。在本方式的情況下,對各a =1,…,L,分別判定在存儲部132中是否存儲有不同的R ( a ) (2 ^ R ( a X H ( a ))個以上的分散秘密值DSH ( a,h ( α ))。在此,在判定為在存儲部132中未存儲有需要數以上的分散秘密值DSH ( a , h ( a ))的情況下,返回步驟S131的處理。另一方面,在判定為在存儲部132中存儲有需要數以上的分散秘密值DSH ( a,h ( a ))的情況下,控制部133設定為a =1,并將其設定內容存儲于臨時存儲部131 (步驟S133)。接著,從存儲部132讀出與子集合SUB( a )對應的需要數量的分散秘密值DSH( a,h ( a )),并輸入到恢復部134 — α中。恢復部134 — α使用輸入的分散秘密值DSH ( a,h ( a )),通過根據在上述步驟S112中使用的秘密分散方式的每個子集合SUB ( a )的恢復處理,生成秘密恢復值SUBSK ( a ),并輸出該每個子集合SUB ( a )的秘密恢復值SUBSK(a )(步驟 S134)。《步驟S134的詳情》本方式的分散秘密值DSH ( a,h ( a ))如式(7)所示。對恢復部134 — α (圖6)對于每個α各輸入R ( a )個不同的分散秘密值DSH ( a,h ( α ))。下面中,如下表示與輸入于恢復部134 — α的各α對應的分散秘密值DSH ( a,h ( α ))。
DSH ( α,φι ( a )) = ( φι ( a ), dshι ( a)))
… ...(8 )
DSH ( a.,Oi )( )) = ( (pR i u ι ( a .),dsliR ;■ u) ( a))其中,滿足下面。
(φι ( a), ..., 9r(α) ( a)) □ ( φ ( I ), ···, φ (H ( a))) ... ( 9 )( dsh ι ( a), dshR:u) ( a )) □ ( dsh ( α, φ ( I ) ),} dsh ( a·,
權利要求
1.一種秘密分散系統(tǒng),其中,具有 分散裝置;Σ α = A ( α )個分散管理裝置PA ( a,h ( a )) ( α =1,…,L, L蘭2, h(α ) =1,…,H ( α ),H ( α )芎 2);取得裝置, 所述分散裝置包含如下秘密分散部,即, 將Ψ設為I以上的整數、將Ψ設為O以上Ψ以下的整數Ψ=0,…,Ψ、將η ( Ψ)設為I以上的整數、將ζ ( Ψ)設為O以上的整數、將巡回群G2的生成元設為g2、將以相對于Θ ( ψ , i, β ) (i=l, ...,η(ψ) + ζ (ψ),β=1, ···, η ( ψ ) + ζ ( ψ ), η ( ψ ) ^ I, ζ(ψ)蘭I)的所述巡回群G2的11 ( Ψ) + ζ ( Ψ)個元為要素的η ( Ψ)+ ζ (Ψ)維的基底向量設為 ( ψ ) = ( θ ( ψ , i, I) · g2, ···, θ ( ψ , , η ( ψ ) + ζ ( Ψ )) · g2) e 62η(ψ)+ζ(Ψ)的情況下,將與所述基底向量b# ( Ψ)的各要素Θ ( ψ,i,β ) · g2相應的值通過規(guī)定的秘密分散方式,分別獨立地秘密分散到每個由H (α)個分散管理裝置PA (α,Ι),…,PA ( α ,H ( α ))構成的子集合SUB ( α )中,生成與各要素θ ( ψ, , β ) · g2相應的值的共享信息 SH ( V,i,β,a,h ( a )) (h ( α )=1,...,Η ( α )), 所述分散管理裝置PA ( α,h ( α ))包含如下分散秘密值生成部,即, 對按每個所述子集合SUB ( α )所共享的共同信息和所述共享信息SH ( Ψ,i,β,α,h ( α (h ( α )=1,…,H ( α )),按每個所述子集合SUB ( α )進行共同的共同運算,生成分散秘密值DSH ( Ψ , α,h ( α )), 所述取得裝置包含 使用與相同的所述子集合SUB ( α )對應的多個所述分散秘密值DSH ( ψ,a,h ( α )),通過根據所述秘密分散方式的每個子集合SUB ( α )的恢復處理,生成每個該子集合SUB(α )的秘密恢復值SUBSK ( Ψ,α )的恢復部;以及 使用所述秘密恢復值SUBSK ( Ψ,α ),生成生成信息D* ( Ψ )的合成部。
2.如權利要求1的秘密分散系統(tǒng),其中, 在相互不同的所述子集合SUB ( α )分別共享的所述共同信息是相互獨立的。
3.如權利要求1的秘密分散系統(tǒng),其中, 所述共同運算是具有線性性的運算。
4.如權利要求2的秘密分散系統(tǒng),其中, 所述共同運算是具有線性性的運算。
5.如權利要求1的秘密分散系統(tǒng),其中, 所述合成部對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D*(Ψ )。
6.如權利要求2的秘密分散系統(tǒng),其中, 所述合成部對所述秘密恢復值SUBSK (Ψ, α )進行線性結合,生成所述生成信息D*(Ψ )。
7.如權利要求3的秘密分散系統(tǒng),其中, 所述合成部對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D*(Ψ )。
8.如權利要求4的秘密分散系統(tǒng),其中, 所述合成部對所述秘密恢復值SUBSK (Ψ, α )進行線性結合,生成所述生成信息D*(Ψ )。
9.如權利要求1 8中任一項所述的秘密分散系統(tǒng),其中, 與所述基底向量匕* ( Ψ)的各要素θ ( Ψ,i,β ) · g2相應的值為Θ ( ψ, i, β ),所述共同信息包含將λ設為I以上Ψ下面的整數λ=1,…,Ψ的情況下的coef I(O, a ), coef ( λ , α ), coef ι ( λ , α ), SE ( α ), share ( λ , α ), 作為與ν=ο對應的所述分散秘密值,所述分散秘密值生成部生成設為 SHbi* (O, α,h ( a )) = (SH (0,i,1,α,h ( α )),…,SH (0,i,I,α,h ( α )))的情況下的 DSH (0,α,h ( α ))=-SE ( α ) · SHb1* (O, α,h ( α )) · g2+Z t = ^coefl (O, α ) · SHbl* (O, α,h(α )) · g2, 另外,作為與各λ對應的所述分散秘密值,生成設為SHbi* ( λ,a,h ( a ))= (SH ( λ,i,l,a,h ( α )),…,SH ( λ,i,n ( λ ) + ζ ( λ ),α,h ( α ))),并將V ( λ ) —(V1 ( λ ),-, νη(λ) ( λ ))設為η ( λ )維向量的情況下的DSH ( λ,α,h ( α )) =(share ( λ,α ) +coef (λ,(λ))· SHb1* (λ,a,h ( α )) · g2 + Σ =2η ( λ ) coef ( λ , α ) · V, (λ)· SHb , * (λ, a , h ( α )) · g2 + Σ ι=η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α )) · g2 或, DSH ( λ,a,h ( a ))=Share ( λ,α ) · Σ l=1nU)vt ( λ ) · SHb1* ( λ,α,h ( α )) · g2+Z ι=η ⑴+1η ⑴+ ζu) Coefl (λ,α)· SHb , * (λ, a,h (a))*g2。
10.如權利要求1 8中任一項所述的秘密分散系統(tǒng),其中, 與所述基底向量匕* (Ψ)的各要素Θ (V,i,β)·&相應的值為θ (ψ, , β)·δ2,所述共同信息包含將λ設為I以上Ψ下面的整數λ=1,…,Ψ的情況下的coef I(O, a ), coef ( λ , a ), coef ι ( λ , a ), SE ( a ), share ( λ , α ), 作為與ν=ο對應的所述分散秘密值,所述分散秘密值生成部生成設為 SHbi* (O, α,h ( a )) = (SH (0,i,1,α,h ( α )),…,SH (0,i,I,α,h ( α )))的情況下的 DSH (0,α,h ( α ))=-SE ( α ) · SHb1* (O, α,h ( α )) +Σ ^21Coefl (O, α ) · SHb , * (O, α,h ( α )),另外,作為與各λ對應的所述分散秘密值,生成設為SHbi* ( λ,a,h ( a ))= (SH ( λ,i,l,a,h ( α )),…,SH ( λ,i,n ( λ ) + ζ ( λ ),α,h ( α ))), 并將V (λ)-= (Vl (λ(λ))設為η (λ)維向量的情況下的 DSH ( λ,α,h ( α )) =(share (λ,α) +coef (λ,(λ))· SHb1* (λ,a,h ( α )) + Σ , = 2η ( λ ) coef (λ,α)”,(λ)· SHb , * (λ, a,h ( α ))+ Σ ι=η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α ))或,DSH ( λ,α,h ( α ))=Share ( λ,α ) · Σ , =1η (λ)ν, ( λ ) · SHb1* ( λ,α,h ( α ))+Σ , =η (λ)+1η (λ) + ζ (λ)coef, (λ,α)· SHb , * (λ, a,h (α))。
11.如權利要求9的秘密分散系統(tǒng),其中, 作為與Ψ=0對應的所述秘密恢復值,所述恢復部生成SUBSK (O, a ) =-SE ( a ) · b# (0) +Σ ^21Coefl (0,a ) · bt* (0), 作為與各λ對應的所述秘密恢復值,生成 SUBSK ( λ,a ) = (share ( λ,α ) +coef (λ,(λ))· Id1* ( λ ) + Σ , =2η ( λ ) coef (λ,α)”,(A)^bl* (λ) + St.nU)+1nU) + 5 uWfl (λ, a).bt* (λ) 或, SUBSK (λ,α) =share (λ, Ο.Σκη"、,(λ)· Id1* ( λ ) + St.nU)+1nU) + 5 uWfl (λ, a).bt* (A)0
12.如權利要求10的秘密分散系統(tǒng),其中, 作為與Ψ=0對應的所述秘密恢復值,所述恢復部生成SUBSK (O, a ) =-SE ( a ) · b# (0) +Σ ^21Coefl (0,a ) · bt* (0), 作為與各λ對應的所述秘密恢復值,生成SUBSK (入,a ) = (share (λ,α) +coef (入,α ) · V1 (入))· Id1* (入)+ Σ t =2n ( λ ) coef ( λ , α ) · V t ( λ ) · h ^ (λ)+ Σ, .nU)+1n(A) + 5(A)coefl (λ, α)+* (λ) 或, SUBSK (λ,α) =share (λ, Ο.Σκη"、,(λ)· Id1* ( λ )+ Σ, .η(λ)+1η(λ) + ζ U)coeft (λ, a).b丨* (A)0
13.一種分散裝置,將Ψ設為I以上的整數、將Ψ設為O以上Ψ以下的整數Ψ=0,…,Ψ、將η (HO設為I以上的整數、將ζ (Ψ)設為O以上的整數、將巡回群G2的生成元設為g2、將以相對于 θ ( Ψ , i, β ) (i=l, ···, η ( ψ ) + ζ ( ψ ), β =1,…,η(ψ) + ζ ( ψ ), η(Ψ )= I, ζ ( ψ )芎I)的所述巡回群G2的η ( ψ )+ζ ( Ψ )個元為要素的η ( ψ )+ζ (ψ)維的基底向量設為 bi* ( ψ ) = ( θ ( ψ , i, I) · g2, ..., θ ( ψ , , η ( ψ ) + ζ ( Ψ )) · g2)eG2n(v)〃(ν)的情況下,將與所述基底向量(HO的各要素θ (ψ, , β)·&相應的值通過規(guī)定的秘密分散方式分別獨立地秘密分散到每個由H( a )( a=l,...,L, L = 2,h(a)=1,···,Η(α),Η(α) ^ 2)個分散管理裝置PA ( α,Ι),…,PA ( a ,H ( a ))構成的子集合SUB ( a )中,生成與各要素Θ ( ψ, , β ) · g2相應的值的共享信息SH ( Ψ,i,β,a,h ( a )) (h ( a ) =1,…,H ( a ))。
14.一種分散管理裝置,其對按H ( a ) ( a=l,…,L,L蘭2,h ( a ) =1,...,H(a),H ( a ) ^ 2)個分散管理裝置PA (α,Ι),…,PA ( a,H ( a ))構成的每個子集合SUB(a )所共享的共同信息、以及將Ψ設為I以上的整數、將V設為O以上Ψ以下的整數Ψ=0,…,Ψ、將η (Ψ)設為I以上的整數、將ζ (HO設為O以上的整數、將所述巡回群G2 的生成元設為 g2、將以相對于 Θ ( Ψ,i,β ) (i=l,…,η ( ψ ) + ζ ( Ψ ), β =1, ···, η(ψ) + ζ ( ψ ), η ( ψ ) ^ I, ζ ( ψ )芎I)的所述巡回群G2的η ( ψ ) + ζ ( Ψ )個元為要素的 η ( ψ ) + ζ ( ψ )維的基底向量設為 bi* ( ψ ) = ( θ ( ψ , i, I) · g2, ..., θ ( ψ , , η(Ψ) + ζ (¥))*g2) e 62η(ψ)+ζ 的情況下的、將與所述基底向量(Ψ)的各要素Θ(Ψ, , β )*g2相應的值分別獨立地秘密分散到每個所述子集合SUB ( α )中而得到的與各要素Θ ( Ψ,i,β ) · g2相應的值的共享信息SH ( Ψ , i, β , α,h ( α )) (h ( α ) =1,…,H ( α )),按每個所述子集合SUB ( α )進行共同的共同運算,生成分散秘密值DSH (ψ,α,h ( α ))。
15.一種取得裝置,其具有 恢復部,其使用將Ψ設為I以上的整數,將Ψ設為O以上Ψ下面的整數Ψ=0,…,Ψ,將由 H ( α ) ( α=1, ...,L,L 芎 2,h ( a )=1, -,H ( α ),H ( α )芎 2)個分散管理裝置PA ( α,1),…,PA ( α ,H ( α ))構成的子集合設為SUB ( α )的情況下的與相同的所述子集合SUB ( α )對應的多個所述分散秘密值DSH ( Ψ,α,h ( α )),通過根據規(guī)定的秘密分散方式的每個子集合SUB ( α )的恢復處理,生成每個該子集合SUB ( α )的秘密恢復值SUBSK ( Ψ,α );以及 合成部,其使用所述秘密恢復值SUBSK (Ψ,α),生成生成信息D* (Ψ)。
16.一種秘密分散方法,通過分散裝置、Σ ( α )個分散管理裝置PA ( a,h ( α ))(α=1,…,L,L芎2,h ( α )=1,…,H ( α ),H ( α )芎2)和取得裝置進行,其具有 (A)所述分散裝置將Ψ設為I以上的整數、將Ψ設為O以上Ψ以下的整數Ψ=0,···,Ψ、將η (HO設為I以上的整數、將ζ (Ψ)設為O以上的整數、將巡回群G2的生成元設為g2、將以相對于 θ ( Ψ , i, β ) (i=l, ···, η ( ψ ) + ζ ( ψ ), β =1,…,η(ψ) + ζ ( ψ ), η(Ψ )= I, ζ ( ψ )芎I)的所述巡回群G2的η ( ψ )+ζ ( Ψ )個元為要素的η ( ψ )+ζ (ψ)維的基底向量設為 bi* ( ψ ) = ( θ ( ψ , i, I) · g2, ..., θ ( ψ , , η ( ψ ) + ζ ( Ψ )) · g2)eG2n(v)+“v)的情況下,將與所述基底向量(HO的各要素Θ (V,i,3)*&相應的值按照規(guī)定的秘密分散方式分別獨立地秘密分散到每個由H ( α )個分散管理裝置PA ( α,1),-,PA ( α , H ( α ))構成的子集合SUB (α)中,生成與各要素Θ (v,i,@)*&相應的值的共享信息SH ( V,i,β,a,h ( a )) (h ( α )=1,…,H ( α ))的步驟; (B)所述分散管理裝置PA( a,h ( α ))對按每個所述子集合SUB ( α )所共享的共同信息和所述共享信息SH ( Ψ , , β , a , h ( α )) (h ( α ) =1,…,H ( α )),按每個所述子集合SUB ( α )進行共同的共同運算,生成分散秘密值DSH ( Ψ,α,h ( α ))的步驟; (C)所述取得裝置使用相同的所述子集合SUB( α )所對應的多個所述分散秘密值DSH(Ψ, a,h (α )),通過按照所述秘密分散方式的每個子集合SUB ( a )的恢復處理,生成每個該子集合SUB ( a )的秘密恢復值SUBSK ( Ψ,a )的步驟;以及 (D)所述取得裝置使用所述秘密恢復值SUBSK( Ψ,a ),生成生成信息D* ( Ψ )的步驟。
17.如權利要求16的秘密分散方法,其中, 在相互不同的所述子集合SUB ( a )中分別共享的所述共同信息是相互獨立的。
18.如權利要求16的秘密分散方法,其中, 所述共同運算是具有線性性的運算。
19.如權利要求17的秘密分散方法,其中,所述共同運算是具有線性性的運算。
20.如權利要求16的秘密分散方法,其中, 所述步驟(D)包含對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D* ( Ψ )的步驟。
21.如權利要求17的秘密分散方法,其中, 所述步驟(D)包含對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D* ( Ψ )的步驟。
22.如權利要求18的秘密分散方法,其中, 所述步驟(D)包含對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D* ( Ψ )的步驟。
23.如權利要求19的秘密分散方法,其中, 所述步驟(D)包含對所述秘密恢復值SUBSK (Ψ, α)進行線性結合,生成所述生成信息D* ( Ψ )的步驟。
24.如權利要求16 23中任一項所述的秘密分散方法,其中, 與所述基底向量\* ( Ψ)的各要素θ ( Ψ,i,β ) · g2相應的值為Θ ( ψ, i, β ),所述共同信息包含將λ設為I以上Ψ下面的整數入=1,…,Ψ的情況下的coef ι(O, a ), coef ( λ , α ), coef ι ( λ , α ), SE ( α ), share ( λ , α ), 所述步驟(B)包含 (B-1)作為與Ψ=0對應的所述分散秘密值,生成設為SHbi* (O, a,h ( a ))= (SH (O,i,l,a,h ( α )),…,SH (0,i,I,α,h ( α )))的情況下的DSH (0,α,h ( α ))=-SE ( α VSHb1* (0,α,h ( α )).g2+Z ^21Coefl (0,α ).SHbt * (0,α,h ( α )).g2的步驟;以及 (B-2)作為與各λ對應的所述分散秘密值,生成設為SHbi* ( λ,a,h ( a ))= (SH ( λ,i,l,a,h ( α )),…,SH ( λ,i,n ( λ ) + ζ ( λ ),α ,h (α))),并將V (λ)—= (Vl (λ),…,νη(;0(λ))設為η (λ)維向量的情況下的DSH ( λ,α,h ( α )) =(share (λ,α) +coef (λ,(λ))· SHb1* (λ,a,h ( α )) · g2 + Σ =2η ( λ ) coef ( λ , α ) · V, (λ)· SHb , * (λ, a , h ( α )) · g2 + Σ , =η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α )) · g2 或, DSH ( λ,a,h ( a )) =share(λ)· SHb1* (λ, a,h ( α )) · g2+ Σ ι=η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α )) · g2 的步驟。
25.如權利要求16 23中任一項所述的秘密分散方法,其中, 與所述基底向量匕* (Ψ)的各要素Θ (V,i,β)·&相應的值為θ (ψ, , β)·δ2,所述共同信息包含將λ設為I以上Ψ下面的整數入=1,…,Ψ的情況下的coef ι(O, a ), coef ( λ , a ), coef ι ( λ , a ), SE ( a ), share ( λ , α ), 所述步驟(B)包含(B-1)作為與Ψ =O對應的所述分散秘密值,生成設為SHbi* (O, a,h ( a ))= (SH (O,i,l,a,h ( α )),…,SH (0,i,I,α,h ( α )))的情況下的DSH (0,α,h ( α ))=-SE ( α ) · SHb1* (O, α,h ( α )) +Σ ^21Coefl (O, α ) · SHb , * (O, α,h ( α ))的步驟;以及 (Β-2)作為與各λ對應的所述分散秘密值,生成設為SHbi* ( λ,α,h ( a )) = (SH(λ , ,Ι, α , h ( α )), ···, SH ( λ , , η (λ) + ζ (λ), α , h ( α ))),并將 ν ( λ ) — (Vi(λ),…,νη(λ)(λ))設為η (λ)維向量的情況下的, DSH ( λ,α,h ( α )) =(share (λ,α) +coef (λ,(λ))· SHb1* (λ,a,h ( α )) + Σ , = 2η ( λ ) coef (λ,α)”,(λ)· SHb , * (λ, a,h ( α ))+ Σ , =η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α )) 或, DSH ( λ,a,h ( α )) =share(λ)· SHb1* (λ, a,h ( α ))+ Σ , =η(λ)+1η(λ) + ζ c^coefl ( λ,α ) · SHbl* ( λ,a,h ( α ))的步驟。
26.如權利要求24的秘密分散方法,其中, 所述步驟(C)包含 (C-1)作為與Ψ=0對應的所述秘密恢復值,生成SUBSK (O, a ) =-SE ( a ) · (O)+ Σ ^21Coefl (0,a ) · b,(O)的步驟;以及 (C-2)作為與各λ對應的所述秘密恢復值,生成SUBSK ( λ,a )= (share (λ,α)+coef (入,α ) · V1 (入))· Id1* (入)+ Σ ι=2η (入)coef ( λ , α ) · V t ( λ ) · h ^ (λ) + St.nU)+1nU) + 5 uWfl (λ, a).bt* (λ) 或, SUBSK (λ,α) =share (λ, Ο.Σκη"、,(λ)· Id1* ( λ ) + st.nU)+1nU)+5 uWfl (λ,O.b丨* (λ)的步驟。
27.如權利要求25的秘密分散方法,其中, 所述步驟(C)包含 (C-1)作為與Ψ=0對應的所述秘密恢復值,生成SUBSK (O, a ) =-SE ( α ) · (O)+ Σ ^21Coefl (0,α ) · b,(O)的步驟;以及 (C-2)作為與各λ對應的所述秘密恢復值,生成SUBSK ( λ,a )= (share (λ,α)+coef (入,α ) · V1 (入))· Id1* (入)+ Σ ι=2η (入)coef ( λ , α ) · V t ( λ ) · h ^ (λ) + St.nU)+1nU) + 5 uWfl (λ, a).bt* (λ) 或, SUBSK (λ,α) =share (λ, Ο.Σκη"、,(λ)· Id1* ( λ ) + st.nU)+1nU)+5 uWfl (λ,O.b丨* (λ)的步驟。
28.—種程序,用于使計算機作為權利要求13的分散裝置而發(fā)揮作用。
29.—種程序,用于使計算機作為權利要求14的分散管理裝置而發(fā)揮作用。
30.一種程序,用于使計算機作為權利要求15的取得裝置而發(fā)揮作用。
31.一種計算機可讀取的記錄介質,其存儲了用于使計算機作為權利要求13的分散裝置而發(fā)揮作用的的程序。
32.—種計算機可讀取的記錄介質,其存儲了用于使計算機作為權利要求14的分散管理裝置而發(fā)揮作用的的程序。
33.一種計算機可讀取的記錄介質,其存儲了用于使計算機作為權利要求15的取得裝置而發(fā)揮作用的的程序。
全文摘要
分散裝置將與基底向量bi*(ψ)的各要素θ(ψ,i,β)·g2相應的值分別獨立地秘密分散到由H(α)個分散管理裝置PA(α,1),…,PA(α,H(α))構成的每個子集合SUB(α)中,生成與各要素θ(ψ,i,β)·g2相應的值的共享信息SH(ψ,i,β,α,h(α))。分散管理裝置PA(α,h(α))對按每個子集合SUB(α)所共享的共同信息和共享信息SH(ψ,i,β,α,h(α)),進行按每個子集合SUB(α)的共同運算,生成分散秘密值DSH(ψ,α,h(α))。取得裝置通過每個子集合SUB(α)的恢復處理,生成秘密恢復值SUBSK(ψ,α),使用秘密恢復值SUBSK(ψ,α),生成生成信息D*(ψ)。
文檔編號G09C1/00GK103003857SQ20118003531
公開日2013年3月27日 申請日期2011年7月22日 優(yōu)先權日2010年7月23日
發(fā)明者西卷陵, 鈴木幸太郎 申請人:日本電信電話株式會社