保密計(jì)算系統(tǒng)、運(yùn)算裝置、保密計(jì)算方法、以及程序的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及保密計(jì)算技術(shù)，尤其涉及既保密數(shù)據(jù)又進(jìn)行計(jì)算并確保計(jì)算結(jié)果的正 當(dāng)性的技術(shù)。
【背景技術(shù)】
[0002] 以往，作為在保密了數(shù)據(jù)的狀態(tài)下，既保證計(jì)算結(jié)果的正當(dāng)性又進(jìn)行包括乘法運(yùn) 算和加法運(yùn)算的計(jì)算的技術(shù)，有非專利文獻(xiàn)1的三方保密函數(shù)計(jì)算。這是對被分散的輸入 值不進(jìn)行恢復(fù)，而是通過三方（三個(gè)計(jì)算主體）的協(xié)調(diào)計(jì)算導(dǎo)出算術(shù)/邏輯運(yùn)算的結(jié)果的 協(xié)議。在三方保密函數(shù)計(jì)算協(xié)議中，將數(shù)據(jù)作為小于某決定的質(zhì)數(shù)p的自然數(shù)來進(jìn)行處理。 在保密數(shù)據(jù)時(shí)，若將該數(shù)據(jù)設(shè)為a，則將a分散為三個(gè)數(shù)據(jù)，并使其滿足以下的條件。
[0003] a=a〇+a1+a2modp
[0004] 實(shí)際中，生成隨機(jī)數(shù)％、a2，并設(shè)為aQ=a-aray然后對三方X、Y、Z，對X發(fā)送 (a0,aj，對Y發(fā)送（a^a2)，對Z發(fā)送（a2,a。）。貝1J，由于a2是隨機(jī)數(shù)，因此X、Y、Z任一方 都不具有a的信息，但只要集合任意的兩方就能夠恢復(fù)a。
[0005] 由于保密是加法性的分散，因此根據(jù)其可置換性，無論將分散值進(jìn)行加法運(yùn)算后 進(jìn)行恢復(fù)，還是恢復(fù)后進(jìn)行加法運(yùn)算，其結(jié)果都相同。即，可以在維持分散的狀態(tài)下不進(jìn)行 通信而直接進(jìn)行加法運(yùn)算和整數(shù)倍計(jì)算。此外，乘法運(yùn)算也可以需要通信以及隨機(jī)數(shù)生成。 因此，能夠構(gòu)成邏輯電路，可以執(zhí)行所有計(jì)算。以下，表示三方保密函數(shù)計(jì)算的具體例。另 外，在三方保密函數(shù)計(jì)算協(xié)議中，計(jì)算結(jié)果是用P相除后的余數(shù)，但為了簡化記載，以下省 略"modp"的記載。
[0006] (1)分散到X、Y、Z的保密數(shù)據(jù)a的恢復(fù)
[0007] X向Y發(fā)送a。，向Z發(fā)送a1DY向Z發(fā)送ai，向X發(fā)送a2。Z向X發(fā)送a2,向Y發(fā)送 a〇
[0008] 若從Y接收到的a2和從X接收到的a2-致，則X計(jì)算a(j+aja；；而恢復(fù)a。若從X 接收到的a。與從Z接收到的a。一致，則Y計(jì)算a(j+afa；；而恢復(fù)a。若從X接收到的ai和從 Y接收到的ai-致，則Z計(jì)算a(j+afa；；而恢復(fù)a。
[0009] (2)c=a+b的秘密計(jì)算
[0010] 假設(shè)數(shù)據(jù)b也通過與數(shù)據(jù)a相同的方法，分別向X分散（b。，!^)，向Y分散（bi，b2)， 向Z分散（b2,b。）而被保密。
[0011] 此時(shí)，X計(jì)算（c。,cD= (aQ+b。,ai+bi)而記錄，Y計(jì)算（Ci,c2) = (ai+bi,a2+b2)而記 錄，Z計(jì)算（c2,c。）= (a2+b2,aQ+b。）而記錄。
[0012] (3)c=a+a的秘密計(jì)算（a是已知的常數(shù)）
[0013] X計(jì)算（c0,cD=(a0+a，ai)而記錄，Z計(jì)算（c2,c0)=(a2,a0+a)而記錄。沒有 Y的處理。
[0014] (4)c=a*a的秘密計(jì)算
[0015] X計(jì)算（c。，c!)=(a。*a，a!*a)而記錄，Y計(jì)算（c!，c2)=(a!*a，a2*a)而記錄， Z計(jì)算（c2, c。）= (a2* a，a。* a )而記錄。
[0016] (5) c = a*b的秘密計(jì)算（無非法使用檢測的乘法運(yùn)算）
[0017] 首先，X生成隨機(jī)數(shù)n、r2、c。，計(jì)算Ci= (a o+a) (bo+bDu-c。，并向Y發(fā)送 0^，cD，向Z發(fā)送（r2, c。)。
[0018]接著，Y計(jì)算y = adbjj+bdajj+ri，并向Z發(fā)送y。此外，Z計(jì)算z = a2*bQ+bQ*a2+r2， 并向Y發(fā)送z。
[0019]接著，Y和Z分別計(jì)算c2= y+z+a 2*b2。
[0020]然后，X記錄（c。，cD，Y記錄（h，c2)，Z記錄（c2, c。）。
[0021] (6) c = a*b的秘密計(jì)算（附有非法使用檢測的乘法運(yùn)算）
[0022] 根據(jù)上述（5)的方法進(jìn)行了c = a*b的乘法運(yùn)算的基礎(chǔ)上，對X、Y、Z分別進(jìn)行以 下的處理。另外，在以下的處理中，P分別表示X、Y、Z，當(dāng)P為X時(shí)，P意味著Z，P+意味著 Y，當(dāng)P為Y時(shí)，P意味著X，P +意味著Z，當(dāng)P為Z時(shí)，P意味著Y，P +意味著X。
[0023] 首先，僅利用P、P+生成隨機(jī)數(shù)r而共享，P、P+將r*a。、r5!^、r*a2作為r*a的保 密值而分散給各方。接著，根據(jù)上述（5)的方法計(jì)算c' = (r*a)*b。然后，確認(rèn)r*c-c'是 否為0,通過不是0的情況檢測非法使用。
[0024] 現(xiàn)有技術(shù)文獻(xiàn)
[0025] 非專利文獻(xiàn)
[0026] 非專利文獻(xiàn)1 :千田浩司、濱田浩気、五十嵐大、高橋克己、"軽量検証可能3，一亍 4秘匿関數(shù)計(jì)算?再考（能夠輕便驗(yàn)證的三方保密函數(shù)計(jì)算的再思考）"，CSS2010、2010年

【發(fā)明內(nèi)容】

[0027] 發(fā)明要解決的課題
[0028] 在以往的保證計(jì)算結(jié)果的正當(dāng)性的保密計(jì)算技術(shù)中，存在不能選擇安全參數(shù)的問 題。在上述的現(xiàn)有技術(shù)中，將進(jìn)行計(jì)算的對象的單位數(shù)據(jù)設(shè)為環(huán)R，但通過環(huán)R，安全參數(shù)被 唯一地決定。例如，若為了計(jì)算邏輯電路而決定為R= 1〇，1}，則安全參數(shù)成為2。此時(shí)，表 示只能以1/2的概率保證計(jì)算結(jié)果的正當(dāng)性。
[0029] 本發(fā)明的目的在于，提供能夠任意地設(shè)定安全參數(shù)，能夠降低篡改成功概率的保 密計(jì)算技術(shù)。
[0030]用于解決課題的手段。
[0031]為了解決上述課題，本發(fā)明的保密計(jì)算系統(tǒng)至少包括三臺運(yùn)算裝置。在本發(fā)明 中，M、m、i是1以上的整數(shù)，且0蘭m〈M，y是校驗(yàn)和C中包含的隨機(jī)化分散值的數(shù)目，且 0芻i〈y〇
[0032] 運(yùn)算裝置包含：隨機(jī)數(shù)生成部，求出將隨機(jī)數(shù)r進(jìn)行秘密分散后的分散值[r];隨 機(jī)化部，利用將值a。、…、aM1進(jìn)行了秘密分散后的分散值[a。]、…、[aM1]和分散值[r]，計(jì) 算值a。、…、aM :與隨機(jī)數(shù)r的乘法運(yùn)算值a〇r、…、aM ^的分散值[a0r]、…、[aM f]，并生 成將分散值[a。]、…、[aM1]與分散值[aQr]、…、[aM1r]組合后的隨機(jī)化分散值<a。〉、…、 <aM1> ;以及保密計(jì)算部，根據(jù)保密運(yùn)算的內(nèi)容將運(yùn)算對象以及運(yùn)算結(jié)果的隨機(jī)化分散值 〈f，包含于校驗(yàn)和C: = <f?！?、…、〈fw，中，并執(zhí)行至少包含一個(gè)保密運(yùn)算的函數(shù)F而求 出被保密的函數(shù)值[F([a。]，…，[aM1])];以及正當(dāng)性證明部，基于對在校驗(yàn)和C中包含的分 散值[fj的總和乘以分散值[r]后的分散值[{()]、以及在校驗(yàn)和C中包含的分散值[fir]的 總和即分散值[力]，驗(yàn)證函數(shù)值[F([a]，…，[aM1])]的正當(dāng)性。
[0033]發(fā)明效果
[0034] 根據(jù)本發(fā)明的保密計(jì)算技術(shù)，能夠以比以往更低的篡改成功概率為基礎(chǔ)，進(jìn)行保 密計(jì)算。此外，正當(dāng)性證明比以往更有效，能夠快速地進(jìn)行篡改檢測。
【附圖說明】
[0035]圖1是例示了保密計(jì)算系統(tǒng)的功能結(jié)構(gòu)的圖。
[0036] 圖2是例示運(yùn)算裝置的功能結(jié)構(gòu)的圖。
[0037] 圖3是例示保密計(jì)算部的功能結(jié)構(gòu)的圖。
[0038] 圖4是例示保密計(jì)算方法的處理流程的圖。
【具體實(shí)施方式】
[0039] 在說明實(shí)施方式之前，對本說明書中的標(biāo)記方法以及本發(fā)明的基本的想法進(jìn)行說 明。
[0040]〈標(biāo)記方法〉
[0041] 在沒有特別提及的情況下，設(shè)在本發(fā)明中處理的值是R上的值。R是環(huán)。A是R上 結(jié)合代數(shù)。結(jié)合代數(shù)是結(jié)合性的環(huán)，且具有與其兼容的、某些域（field)上的線性空間的結(jié) 構(gòu)。結(jié)合代數(shù)可以說在向量空間中處理的值不是域而是環(huán)。
[0042] 將向量X的第i元素標(biāo)記為\ (下標(biāo)）。
[0043] [X]是值xGR的保密文。保密文是將值通過加密或秘密分散等方法進(jìn)行的保密 化的值。當(dāng)X為集合的情況下，[X]是將集合X的各元素進(jìn)行了保密化的集合。
[0044] |X|是集合X的元素?cái)?shù)目。
[0045] <x>是值xGR的隨機(jī)化分散值。隨機(jī)化分散值是分散值[x]、與值x和隨機(jī)數(shù) rGA的乘積值xr的分散值[xr]的組。因此，隨機(jī)化分散值能夠如以下的式⑴定義。
[0046][數(shù)1]
[0047] <x>: = ([x], [xr])G[R]X[A] (1)
[0048] 可以將隨機(jī)化分散值的第〇分量（式（1)中的[x])稱為R分量，將第1分量（式 (1)中的[xr])稱為A分量。
[0049] 將以隨機(jī)數(shù)rGA作為參數(shù)的隨機(jī)化分散值的空間設(shè)為<Rr>。
[0050]〈安全性〉
[0051] 在密碼理論的技術(shù)領(lǐng)域中，為了證明協(xié)議的安全性，將利用者/參加者或黑客進(jìn) 行模型化。作為這樣的模型，利用惡意（malicious)模型和半可信（semi-honest)模型。惡 意模型的黑客進(jìn)行任意的不正當(dāng)動(dòng)作。半可信模型的黑客進(jìn)行的處理是正確的，且在該范 疇內(nèi)想要盜看數(shù)據(jù)。因此，在惡意模型中證明了安全性的協(xié)議能夠被評價(jià)為其安全性更高。
[0052] 在非專利文獻(xiàn)1中記載的以往的保密計(jì)算技術(shù)在半可信模型中是安全的，但在惡 意模型中雖然保證計(jì)算結(jié)果的正當(dāng)性但其保密性并未被保證。本發(fā)明利用在半可信模型中 安全的保密計(jì)算，實(shí)現(xiàn)在具有更強(qiáng)有力的安全性的惡意模型中安全的保密計(jì)算。
[0053]〈發(fā)明點(diǎn)〉