秘密商轉(zhuǎn)移裝置、秘密比特分解裝置、秘密模數(shù)轉(zhuǎn)換裝置、秘密商轉(zhuǎn)移方法、秘密比特分解 ...的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通過(guò)秘密分散對(duì)數(shù)據(jù)進(jìn)行保密且進(jìn)行數(shù)據(jù)處理的秘密計(jì)算的技術(shù)領(lǐng) 域中的秘密商轉(zhuǎn)移裝置、秘密比特分解裝置、秘密模數(shù)轉(zhuǎn)換裝置、秘密商轉(zhuǎn)移方法、秘密比 特分解方法、秘密模數(shù)轉(zhuǎn)換方法、程序。
【背景技術(shù)】
[0002] 以往，在通過(guò)秘密分散對(duì)數(shù)據(jù)進(jìn)行保密且進(jìn)行數(shù)據(jù)處理的秘密計(jì)算的技術(shù)領(lǐng)域 中，已知求得將對(duì)被分散的小于任意的模P的數(shù)的串XQ，……，Xm-l相加后的值
[0005] 除以p所得的商q(即表現(xiàn)為az = a+cip的情況下的q，其中0 < a<p、0 < q<m)的技術(shù) (稱為"份額(share)的商計(jì)算"）。在實(shí)現(xiàn)份額的商計(jì)算的技術(shù)中，存在比特分解(非專利文 獻(xiàn)1)0
[0006] 現(xiàn)有技術(shù)文獻(xiàn)
[0007] 非專利文獻(xiàn)
[0008] 非專利文獻(xiàn)1 : I .Damgard，M.Fitzi，E .Kiltz，J.B.Nielsen，and T.Toft.Unconditionally secure constant-rounds multi-party computation for equality?comparison?bits and exponentiation. In S.Halevi and T.Rabin eds.，TCC， Vol.3876of Lecture Notes in Computer Science?pp.285{304.Springer?2006.

【發(fā)明內(nèi)容】

[0009] 發(fā)明要解決的課題
[0010] 在上述的現(xiàn)有技術(shù)中，在將| P |設(shè)為P的比特長(zhǎng)的情況下，存在通信量成為0( | P |2) 比特而通信成本大的課題。因此在本發(fā)明中，其目的在于，提供能夠削減通信成本的秘密商 轉(zhuǎn)移裝置。
[0011] 用于解決課題的手段
[0012] 本發(fā)明的秘密商轉(zhuǎn)移裝置中，將
[0013] 【數(shù)2】
[0014] X^z
[0015] 設(shè)為表示整數(shù)X和z以y為模(modulus)而同余(congruent)的記號(hào)，
[0016] 設(shè)為u為自然數(shù)且表示邊界值，將m設(shè)為滿足m<2u的整數(shù)，將i設(shè)為滿足i = 0， 1，……，m-l的整數(shù)，將明文a設(shè)為0以上且小于任意的模p且成為
[0017] 【數(shù)3】
[0019]的整數(shù)，設(shè)為a被表現(xiàn)為成為
[0022]的m個(gè)子份額xq，......，xm-i的和，將子份額的合計(jì)值az設(shè)為
[0025]而將q設(shè)為基于子份額的合計(jì)值az的p的商時(shí)，
[0026]將商q計(jì)算為
[0029]發(fā)明效果
[0030] 根據(jù)本發(fā)明的秘密商轉(zhuǎn)移裝置，能夠削減通信成本。
【附圖說(shuō)明】
[0031] 圖1是表示實(shí)施例1的秘密商轉(zhuǎn)移裝置的結(jié)構(gòu)的框圖。
[0032] 圖2是表示實(shí)施例1的秘密商轉(zhuǎn)移裝置的動(dòng)作的流程圖。
[0033]圖3是表示線性復(fù)制轉(zhuǎn)換裝置的結(jié)構(gòu)的框圖。
[0034]圖4是表示線性復(fù)制轉(zhuǎn)換裝置的動(dòng)作的流程圖。
[0035] 圖5是表示實(shí)施例2的秘密比特分解裝置的結(jié)構(gòu)的框圖。
[0036] 圖6是表示實(shí)施例2的秘密比特分解裝置的動(dòng)作的流程圖。
[0037] 圖7是表示變形例1的秘密比特分解裝置的結(jié)構(gòu)的框圖。
[0038]圖8是表示實(shí)施例3的秘密模數(shù)轉(zhuǎn)換裝置的結(jié)構(gòu)的框圖。
[0039]圖9是表示實(shí)施例3的秘密模數(shù)轉(zhuǎn)換裝置的動(dòng)作的流程圖。
[0040]圖10是表示變形例2的秘密模數(shù)轉(zhuǎn)換裝置的結(jié)構(gòu)的框圖。
【具體實(shí)施方式】
[0041]以下，詳細(xì)說(shuō)明本發(fā)明的實(shí)施方式。另外，對(duì)具有相同的功能的構(gòu)成部分賦予相同 的序號(hào)，省略重復(fù)說(shuō)明。
[0042]【實(shí)施例1】
[0043] <用語(yǔ)的說(shuō)明>
[0044]以下，說(shuō)明在本說(shuō)明書(shū)中使用的用語(yǔ)。
[0045] [semi-honest]
[0046] semi-honest是雖然攻擊者對(duì)數(shù)據(jù)進(jìn)行偷窺，但處理正確地進(jìn)行的前提。
[0047] [malicious]
[0048] malicious是攻擊者進(jìn)行任意的非法的動(dòng)作的前提。
[0049] < 記法 >
[0050] 以下，說(shuō)明在本說(shuō)明書(shū)中共同使用的記法。
[0053]表示整數(shù)X和z以y為模而同余。對(duì)于任意的命題P，〔P〕設(shè)為將P的真?zhèn)无D(zhuǎn)換為整數(shù) 的運(yùn)算符。典型地說(shuō)若P為真則為1，若為偽則為0。
[0054] <前提>
[0055] 在本發(fā)明中整體上設(shè)想為在小于p的數(shù)的數(shù)據(jù)型之中，實(shí)際上儲(chǔ)存有存在狀況依 賴的小于Μ的數(shù)。例如在通常的計(jì)算機(jī)中，也存在在32比特整數(shù)之中儲(chǔ)存"性別"這樣的1比 特(Μ = 2)的數(shù)據(jù)的情況。將Μ的比特?cái)?shù)記載為1。在本發(fā)明中設(shè)想這樣的情況，實(shí)現(xiàn)不依賴于 |ρI (關(guān)于|ρI為0(1))的比特通信量下的非常高速的份額的商計(jì)算。份額的商計(jì)算的高速化 導(dǎo)致比特分解、模數(shù)轉(zhuǎn)換等秘密計(jì)算的領(lǐng)域的大量處理的高速化。
[0056] <秘密商轉(zhuǎn)移裝置1>
[0057]以下，參照?qǐng)D1、圖2說(shuō)明實(shí)施例1的秘密商轉(zhuǎn)移裝置。圖1是表示本實(shí)施例的秘密商 轉(zhuǎn)移裝置1的結(jié)構(gòu)的框圖。圖2是表示本實(shí)施例的秘密商轉(zhuǎn)移裝置1的動(dòng)作的流程圖。
[0058]設(shè)為u為自然數(shù)且表示邊界值，將m設(shè)為滿足m^2u的整數(shù)，將i設(shè)為滿足i = 0， 1，……，m-l的整數(shù)，將明文a設(shè)為0以上且小于任意的模p(0< a<p)且成為 [0059]【數(shù)8】
[0061 ]的整數(shù)，設(shè)為a被表現(xiàn)為成為
[0064]的m個(gè)xq，......，Xm-i的和。設(shè)為整數(shù)i = 0,1，......，m_l，將各Xi稱為a的子份額。此時(shí) 將子份額的合計(jì)值az設(shè)為
[0067]而將q設(shè)為az的基于p的商。設(shè)為從多個(gè)裝置向本實(shí)施例的秘密商轉(zhuǎn)移裝置1發(fā)送 子份額。秘密商轉(zhuǎn)移裝置1將商q計(jì)算為
[0070]并輸出計(jì)算出的商q(Sl)。即，秘密商轉(zhuǎn)移裝置1在得到各^的比特表現(xiàn)時(shí)，能夠通 過(guò)其各下位u比特的加法電路或減法電路來(lái)計(jì)算商。根據(jù)本實(shí)施例的秘密商轉(zhuǎn)移裝置1，不 需要與第u比特相比更上位比特的計(jì)算的點(diǎn)成為要點(diǎn)。在本實(shí)施例中公開(kāi)的秘密商轉(zhuǎn)移裝 置1以及秘密商轉(zhuǎn)移方法在對(duì)秘密分散后的數(shù)據(jù)保有數(shù)據(jù)的保密性而進(jìn)行處理的秘密計(jì)算 中考慮大量的應(yīng)用。在以下的實(shí)施例2、實(shí)施例3中說(shuō)明這些應(yīng)用例。
[0071] 為了說(shuō)明以下的實(shí)施例，首先進(jìn)行秘密分散的說(shuō)明。
[0072] <仏，11)-線性秘密分散）>
[0073] (k，n)_秘密分散是將明文分散為η個(gè)份額，其中若收集k個(gè)份額則能夠復(fù)原明文， 且即使收集k-Ι個(gè)以下的份額也完全不能得到明文的信息的數(shù)據(jù)分散方式。
[0074]在此(k，n)_線性秘密分散如以下那樣定義。函數(shù)
[0077] 為(k，η)-線性秘密分散設(shè)為對(duì)于任意的單射σ: {0，……，k_ 1} - {0，……，n_ 1}存 在以下的復(fù)原用的系數(shù)串。σ表現(xiàn)從η個(gè)份額任意地選擇k個(gè)份額。其中R設(shè)為可換群，C設(shè)為 定義了與R的積的集合。
[0078] < 復(fù)原 >
[0079]存在某系數(shù)串
[0082] 對(duì)任意的輸入a
[0085] 將SHAREpr(a)稱為a的線性秘密方差值，記載為[a]。此外，對(duì)于各i E {〇，……，n- 1}，將SHAREpr(a)i記載為[a]i，稱為第i個(gè)或小組(party)i的份額。Siamir的秘密分散為代 表性的（k，n)_線性秘密分散。在Shamir的秘密分散中系數(shù)串為L(zhǎng)agrange補(bǔ)充法中的 Lagrange系數(shù)。此外，在本發(fā)明中在線性秘密分散之中也特別設(shè)想利用以下的復(fù)制秘密分 散。
[0086] <復(fù)制秘密分散>
[0087]復(fù)制秘密分散是如下的秘密分散。首先具有m = nCk-+可換群R的元ao,……，am-^ 將明文a設(shè)為
[0090]并且關(guān)于各k-i小組的組(將第i個(gè)k-i小組的組設(shè)為Pi)，不屬于Pi的小組都具有 ai。屬于Pi的小組都不具有&1。若以上那樣，對(duì)于任意的k-Ι小組組，對(duì)存在不具有的 &1至讓-1 小組為止的合伙是安全的。此外若收集k小組，則無(wú)論哪個(gè)al都一定由誰(shuí)來(lái)