JP5379869B2 - 代理計算システム、方法、依頼装置、プログラム及びその記録媒体 - Google Patents

代理計算システム、方法、依頼装置、プログラム及びその記録媒体 Download PDF

Info

Publication number
JP5379869B2
JP5379869B2 JP2011549975A JP2011549975A JP5379869B2 JP 5379869 B2 JP5379869 B2 JP 5379869B2 JP 2011549975 A JP2011549975 A JP 2011549975A JP 2011549975 A JP2011549975 A JP 2011549975A JP 5379869 B2 JP5379869 B2 JP 5379869B2
Authority
JP
Japan
Prior art keywords
calculation
random number
input information
unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011549975A
Other languages
English (en)
Other versions
JPWO2011086992A1 (ja
Inventor
剛 山本
鉄太郎 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011549975A priority Critical patent/JP5379869B2/ja
Publication of JPWO2011086992A1 publication Critical patent/JPWO2011086992A1/ja
Application granted granted Critical
Publication of JP5379869B2 publication Critical patent/JP5379869B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Complex Calculations (AREA)

Description

この発明は、コンピュータによる計算技術に関する。特に、他の計算機に行わせた計算結果を用いて計算を行う技術に関する。
正しい計算をするとは限らない計算装置に依頼した計算の結果を用いて依頼装置が関数fの計算を行う技術が、非特許文献1に記載されている。非特許文献1に記載された自己訂正器は、計算装置に計算を複数回依頼しその計算結果の多数決を採ることで関数fの計算を行う(例えば、非特許文献1参照。)。
M. Blum, M. Luby, and R. Rubinfeld, "Self-Testing/Correcting with Applications to Numerical Problems", STOC 1990, pp. 73-83.
しかしながら、非特許文献1の自己訂正器が正常に動作するためには、計算装置は一定以上の確率で正しい計算をする必要があり、正しい計算を行う確率が低い計算装置を用いて関数fの計算をする技術は知られていないという課題がある。
この発明の第一の態様である代理計算システムは、G,Hを巡回群、fを群Hの元xを群Gへ写す関数、X,Xを群Gに値を持つ確率変数、確率変数Xの実現値をx、確率変数Xの実現値をxとして、互いに素である2つの自然数a,bを用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する整数計算部と、f(x)を計算可能であり、その計算結果をuとする第一乱数化可能標本器と、u’=uを計算する第一べき乗計算部と、f(x)を計算可能であり、その計算結果をvとする第二乱数化可能標本器と、v’=vを計算する第二べき乗計算部と、u’=v’であるか判定する判定部と、u’=v’であると判定された場合には、ub’a’を計算する最終計算部とを含む。
この発明の第二の態様である代理計算システムは、G、H及びFを巡回群とし、写像θ:G×H→Fを双同型準同型写像とし、gを群Gの元とし、hを群Hの元とし、Kを群Gの位数とし、Kを群Hの位数とし、μを群Gの生成元とし、μを群Hの生成元とし、ν=θ(μ,μ)とし、kを自然数のセキュリティパラメータとし、K=2として、依頼装置は、0以上K未満の整数の乱数rを生成する第一乱数生成部と、0以上K未満の整数の乱数rを生成する第二乱数生成部と、第一入力情報g=μ r1gを計算する第一入力情報計算部と、第二入力情報h=μ r2を計算する第二入力情報計算部と、計算装置から受信したz∈Fを用いて、zν−r1r2を計算する第一リスト情報計算部と、乱数rと計算されたzν−r1r2とから構成される情報の組(r,zν−r1r2)が記憶される第一リスト記憶部と、0以上K未満の整数の一様乱数であるdを生成する第三乱数生成部と、0以上K未満の整数の一様乱数であるrを生成する第四乱数生成部と、0以上K未満の整数の一様乱数であるrを生成する第五乱数生成部と、第三入力情報g=μ r4d1を計算する第三入力情報計算部と、第四入力情報h=μ r5を計算する第四入力情報計算部と、計算装置から受信したz∈Fを用いて、zν−r4r5を計算する第二リスト情報計算部と、dとrと計算されたzν−r4r5とから構成される情報の組(d,r,zν−r4r5)が記憶される第二リスト記憶部と、第一リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、第二リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、sをσに代入し、wをν’に代入する第一判定部と、0以上K未満の整数の一様乱数であるrを生成する第六乱数生成部と、0以上K未満の整数の一様乱数であるrを生成する第七乱数生成部と、第五入力情報g=gr6を計算する第五入力情報計算部と、第六入力情報h=μ r7σhを計算する第六入力情報計算部と、計算装置から受信したz∈Fを用いて、zν’−r6r7を計算する第三リスト情報計算部と、rと計算されたzν’−r6r7とから構成される情報の組(r,zν’−r6r7)が記憶される第三リスト記憶部と、0以上K未満の整数の一様乱数であるdを生成する第八乱数生成部と、0以上K未満の整数の一様乱数であるrを生成する第九乱数生成部と、0以上K未満の整数の一様乱数であるr10を生成する第十乱数生成部と、第七入力情報g=μ r9を計算する第七入力情報計算部と、第八入力情報h=μ r10σd2を計算する第八入力情報計算部と、計算装置から受信したz∈Fを用いて、zν’−r9r10を計算する第四リスト情報計算部と、dとrと計算されたzν’−r9r10とから構成される情報の組(d,r,zν’−r9r10)が記憶される第四リスト記憶部と、第三リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、第四リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、(w)^(s −1)を出力する第二判定部と、を含む。計算装置は、依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果をzとして出力する第一出力情報計算部と、依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果をzとして出力する第二出力情報計算部と、依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果をzとして出力する第三出力情報計算部と、依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果をzとして出力する第四出力情報計算部とを含む。
正しい計算を行う確率が低い計算装置を用いて関数fの計算をすることができる。
第一実施形態から第三実施形態の代理計算システムの例の機能ブロック図。 第一実施形態から第三実施形態の依頼装置及び計算装置の例の機能ブロック図。 第一実施形態から第三実施形態の標本器の例の機能ブロック図。 第一実施形態から第三実施形態の第一乱数化可能標本器及び第二乱数化可能標本器の例の機能ブロック図。 第一実施形態から第三実施形態の第一乱数化可能標本器及び第二乱数化可能標本器の他の例の機能ブロック図。 第一実施形態から第三実施形態の代理計算方法の例の流れ図。 ステップS3の例を示す流れ図。 ステップS6の例を示す流れ図。 ステップS3の他の例を示す流れ図。 ステップS6の他の例を示す流れ図。 第四実施形態から第十実施形態の代理計算システムの例の機能ブロック図。 第四実施形態から第十実施形態の依頼装置の例の機能ブロック図。 第四実施形態から第十実施形態の依頼装置の例の機能ブロック図。 第四実施形態から第十実施形態の計算装置の例の機能ブロック図。 第四実施形態から第十実施形態の代理計算方法の例の流れ図。 第四実施形態から第十実施形態の代理計算方法の例の流れ図。 代理計算システムの変形例の機能ブロック図。
以下、この発明による代理計算システム、代理計算方法の実施形態を詳細に説明する。
第一実施形態から第二実施形態は、依頼装置1が計算装置2に依頼した計算の結果を用いてf(x)を計算するものである。
[第一実施形態]
第一実施形態の代理計算システムは、図1に例示するように依頼装置1及び計算装置2を含み、依頼装置1が計算装置2に依頼した計算の結果を用いてf(x)を計算する。
依頼装置1は、図2に示すように、自然数記憶部11、整数計算部12、第一べき乗計算部13、第一リスト記憶部14、判定部15、第二べき乗計算部16、第二リスト記憶部17、制御部18及び最終計算部19を例えば含む。計算装置2は、第一乱数化可能標本器21及び第二乱数化可能標本器22を例えば含む。第一実施形態においては、第一乱数化可能標本器21及び第二乱数化可能標本器22が計算装置2に対応する。
G,Hを巡回群、関数f:H→Gを群Hの元xを群Gへ写す関数、群G,Hの生成元をそれぞれμ,μ、X,Xを群Gに値を持つ確率変数、確率変数Xの実現値をx、確率変数Xの実現値をxとする。
自然数記憶部11には、互いに素である2つの自然数a,bの組(a,b)が複数記憶されているものとする。Iを群Gの位数未満の2つの自然数の組で互いに素なものの集合とすると、自然数記憶部11にはIの部分集合Sに対応する自然数a,bの組(a,b)が記憶されていると考えることができる。
整数計算部12は、自然数記憶部11に記憶された複数の自然数の組(a,b)から、1つの自然数の組(a,b)をランダムに読み込み、その読み込んだ自然数の組(a,b)を用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する(ステップS1)。自然数a,bは互いに素であるため、a’a+b’b=1の関係を満たす整数a’,b’は必ず存在する。自然数の組(a,b)についての情報は、第一べき乗計算部13、第二べき乗計算部16、第一乱数化可能標本器21及び第二乱数化可能標本器22に送られる。自然数の組(a’,b’)についての情報は、最終計算部19に送られる。
制御部18は、t=1とする(ステップS2)。
第一乱数化可能標本器21は、f(x)を計算可能であり、x及びbを用いて計算を行い、その計算結果をuとする(ステップS3)。計算結果uは、第一べき乗計算部13に送られる。
この出願において、計算可能とは、無視することができない確率以上の確率で計算することができることを意味する。無視することができない確率とは、セキュリティパラメータkについての広義単調関数である多項式を多項式F(k)として、1/F(k)以上の確率である。
ここで、f(x)を計算するとは、f(x)と定義される式の値を計算することである。式f(x)の値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。
第一べき乗計算部13は、u’=uを計算する(ステップS4)。計算結果uとその計算結果に基づいて計算されたu’との組(u,u’)は、第一リスト記憶部14に記憶される。
判定部15は、第一リスト記憶部14に記憶された組(u,u’)及び第二リスト記憶部17に記憶された組(v,v’)の中で、u’=v’となるものがあるか判定する(ステップS5)。もし、第二リスト記憶部17に組(v,v’)が記憶されていない場合には、このステップS5の処理を行わずに、次のステップS6の処理を行う。u’=v’となるものがあった場合には、ステップ12に進む。u’=v’となるものがなかった場合には、ステップS6に進む。
第二乱数化可能標本器22は、f(x)を計算可能であり、x及びaを用いて計算を行い、その計算結果をvとする(ステップS6)。計算結果vは、第二べき乗計算部16に送られる。
第二べき乗計算部16は、v’=vを計算する(ステップS7)。計算結果vとその計算結果に基づいて計算されたv’との組(v,v’)は、第二リスト記憶部17に記憶される。
判定部15は、第一リスト記憶部14に記憶された組(u,u’)及び第二リスト記憶部17に記憶された組(v,v’)の中で、u’=v’となるものがあるか判定する(ステップS8)。u’=v’となるものがあった場合には、ステップ12に進む。u’=v’となるものがなかった場合には、ステップS9に進む。
制御部18は、t=Tであるか判定する(ステップS9)。Tは予め定められた自然数である。t=Tであれば、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して(ステップS11)、処理を終える。t=Tでない場合には、制御部18は、tを1だけインクリメント、すなわちt=t+1として(ステップS10)、ステップS3に戻る。
計算をすることができなかった旨の情報(この例では記号「⊥」)は、計算装置2が正しく計算を行う信頼性がTで定められる基準を下回るということを意味する。言い換えれば、T回の繰り返しで正しい演算を行うことができなかったということを意味する。
最終計算部19は、u’=v’であると判定された場合には、そのu’及びv’に対応するu及びvを用いてub’a’を計算して、出力する(ステップS12)。計算されたub’a’=f(x)となる。ub’a’=f(x)となる理由については、後述する。
≪ub’a’=f(x)となる理由について≫
Xを群Gに値を持つ確率変数とする。w∈Gについて、ある計算装置で要求を受けるたびに確率変数Rに従って標本x’を抽出しwx’を返信するものを、wについて誤差Xを持つ標本器(sampler)と呼ぶ。
w∈Gについて、ある計算装置で自然数aの入力を受けるたびに確率変数Xに従って標本x’を抽出しwx’を返信するものを、wについて誤差Xを持つ乱数化可能標本器(randomizable sampler)と呼ぶ。乱数化可能標本器はa=1として用いられれば標本器として機能する。
上記実施形態の代理計算システムは、xを入力としてf(x)を出力する代理計算システムを構成するに当たり、f(x)について誤差Xを持つ第一乱数化可能標本器21、f(x)について誤差Xを持つ第二乱数化可能標本器22を用いている。
u’=v’が成立するのは、すなわちu=vが成立するのは、第一乱数化可能標本器21がu=f(x)を正しく計算しており、第二乱数化可能標本器22がv=f(x)を正しく計算しており、さらにx及びxが群Gの単位元eである可能性が非常に高いことを発明者は見出した。ここでは、その証明は省略する。
第一乱数化可能標本器21がu=f(x)を正しく計算しており、第二乱数化可能標本器22がv=f(x)を正しく計算しており、x及びxが群Gの単位元eであるとき、ub’a’=(f(x)b’(f(x)a’=(f(x)b’(f(x)a’=f(x)bb’ b’f(x)aa’ a’=f(x)(bb’+aa’)=f(x)となる。
(q,q)∈Iについて、i=1,2の各々について関数πをπ(q,q)=qで定義する。また、L=min(♯π(S),♯π(S))とする。♯・は、集合・の位数である。群Gが巡回群や位数の計算が困難な群であるときには、上記代理計算システムが「⊥」以外を出力するときの出力がf(x)ではない確率は、無視できる程度の誤差の範囲で高々TL/♯S程度と期待することができる。もしL/♯Sが無視できる量でTが多項式オーダー程度の量であれば、上記代理計算システムは圧倒的な確率でf(x)を出力する。
L/♯Sが無視できる量になるようなSの例には、例えばS={(1,d)|d∈[2,|G|−1]}がある。
なお、図2に破線で示すように、計算装置2に標本器23を設けてもよい。標本器23は、Xを群Gに値を持つ確率変数、確率変数Xの実現値をxとして、f(x)xを計算可能であり、a=1あれば第二乱数化可能標本器22に代わりその計算結果を上記vとし、b=1であれば第一乱数化可能標本器21に代わりその計算結果を上記uとする。
一般に乱数化可能標本器よりも標本器の計算量は小さい。a=1,b=1のときに第一乱数化可能標本器21、第二乱数化可能標本器22に代わり、標本器23が計算を行うことで、計算装置2の計算量を小さくすることができる。
[第二実施形態]
第二実施形態の代理計算システムは、第一乱数化可能標本器21及び第二乱数化可能標本器22の一例、言い換えればステップS3及びステップS6の一例を具体化したものである。以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。
第二実施形態の第一乱数化可能標本器21は、図3に示すように、第一乱数生成部110、第一入力情報計算部111、第一出力情報計算部24及び第一計算部112を例えば含む。また、第二実施形態の第二乱数化可能標本器22は、図3に示すように、第二乱数生成部113、第二入力情報計算部114、第二出力情報計算部25及び第二計算部115を例えば含む。
第二実施形態においては、第一乱数生成部110、第一入力情報計算部111、第一計算部112、第二乱数生成部113、第二入力情報計算部114及び第二計算部115は、依頼装置1に含まれる。また、第一出力情報計算部24及び第二出力情報計算部25は、計算装置2に含まれる。第二実施形態においては、第一出力情報計算部24及び第二出力情報計算部25が計算装置2に対応する。
第二実施形態の関数fは準同型写像であるとする。また、群Hの生成元をμ、群Hの位数をK、ν=f(μ)とする。
ステップS3は、図7に例示するステップS31からステップS34で構成される。
第一乱数生成部110は、0以上K未満の整数の一様乱数rを生成する(ステップS31)。生成された乱数rは、第一入力情報計算部111に送られる。
第一入力情報計算部111は、第一入力情報μ r1を計算する(ステップS32)。計算された第一入力情報μ r1は、第一出力情報計算部24に送られる。
第一出力情報計算部24は、第一入力情報μ r1を用いて計算を行い、その計算結果を第一出力情報zとする(ステップS33)。計算された第一出力情報zは、第一計算部112に送られる。
第一出力情報計算部24は、f(μ r1)を計算可能である。第一出力情報計算部24による計算の結果がf(μ r1)であることもあれば、f(μ r1)でないこともある。
ここで、μの右肩のr1は、rのことである。このように、この出願において、αを第一の文字、βを第二の文字、γを数字として、αβγと表記した場合には、そのβγはβγ、すなわちβの下付きγを意味する。
第一計算部112は、zν−r1を計算してその計算結果をuとする(ステップS34)。計算結果uは、第一べき乗計算部13に送られる。ここで、u=zν−r1=f(x)となる。すなわち、zν−r1は、f(x)について誤差Xを持つ乱数化可能標本器となる。その理由については後述する。
ステップS6は、図8に例示するステップS61からステップS64で構成される。
第二乱数生成部113は、0以上K未満の整数の一様乱数rを生成する(ステップS61)。生成された乱数rは、第二入力情報計算部114に送られる。
第二入力情報計算部114は、第二入力情報μ r2を計算する(ステップS62)。計算された第二入力情報μ r2は、第二出力情報計算部25に送られる。
第二出力情報計算部25は、第二入力情報μ r2を用いて計算を行い、その計算結果を第二出力情報zとする(ステップS63)。計算された第二出力情報zは、第二計算部115に送られる。
第二出力情報計算部25は、f(μ r2)を計算可能である。第二出力情報計算部25による計算の結果がf(μ r2)であることもあれば、f(μ r2)でないこともある。
第二計算部115は、zν−r2を計算してその計算結果をvとする(ステップS64)。計算結果vは、第二べき乗計算部16に送られる。ここで、v=zν−r2=f(x)となる。すなわち、zν−r2は、f(x)について誤差Xを持つ乱数化可能標本器となる。その理由については後述する。
第二実施形態においても、a=1,b=1のときは、第一乱数化可能標本器21又は第二乱数化可能標本器22に代わり、標本器23がu又はvの値を計算することにより、計算量を削減してもよい。
第二実施形態の標本器23は、図4に示すように、第三乱数生成部116、第三入力情報計算部117、第三出力情報計算部26、第三計算部118を例えば含む。第三乱数生成部116、第三入力情報計算部117及び第三計算部118は依頼装置1に含まれる。第三出力情報計算部26は計算装置2に含まれる。
a=1,b=1であれば、第一乱数化可能標本器21、第二乱数化可能標本器22に代わり標本器23の各部は以下の処理を行う。
第三乱数生成部116は、0以上K未満の整数の乱数rを生成する。生成された乱数rは第三入力情報計算部117に送られる。
第三入力情報計算部117は、第三入力情報xr3を計算する。計算された第三入力情報xr3は、第三出力情報計算部26に送られる。
第三出力情報計算部26は、第三入力情報xr3を用いて計算を行い、その計算結果を第三出力情報zとする。計算された第三出力情報zは、第三計算部118に送られる。
第三出力情報計算部26は、f(xr3)を計算可能である。第三出力情報計算部26による計算の結果がf(xr3)であることもあれば、f(xr3)でないこともある。
第三計算部118は、z 1/r3を計算してその計算結果を、a=1であればvとし、b=1であればuとする。計算結果vは第二べき乗計算部16に送られる。計算結果uは第一べき乗計算部13に送られる。ここで、u=v=z 1/r3=f(x)xとなる。すなわち、z 1/r3は、f(x)について誤差Xを持つ標本器となる。z 1/r3は、f(x)について誤差Xを持つ標本器となる。その理由については後述する。
1/r3の計算、すなわちzのべき乗根の計算が困難な場合には、次のようにしてu及び/又はvを計算してもよい。第三計算部118は、乱数rとその乱数rに基づいて計算されたzの組を順次(α,β),(α,β),…,(α,β),…として図示していない記憶部に記憶する。mは自然数である。第三計算部118は、α,α,…,αの最小公倍数が1になれば、γ,γ,…,γを整数としてγα+γα+…+γα=1となるγ,γ,…,γを計算して、そのγ,γ,…,γを用いてΠi=1 β γi=β γ1β γ2…β γmを計算して、その計算結果をu及び/又はvとしてもよい。
このように、乱数r,r,rを用いてxを撹乱した情報を計算装置2に送ることにより、関数fの値の計算の対象となるx∈Hを依頼装置1と計算装置2との間の通信を傍受する第三者、及び、計算装置2に対して秘匿化することができる。
≪zν−r1,zν−r2がf(x)についてそれぞれ誤差X,Xを持つ乱数化可能標本器となる理由について≫
cを自然数、R及びR’を乱数として、計算装置2がμ を用いて行う計算の計算結果をB(μ )(すなわち、計算装置2が依頼装置1に返す計算結果をzとすると、z=B(μ )である。)とし、群Gに値を持つ確率変数XをX=B(μ R’)f(μ R’−1と定義する。
このとき、zν−R=B(μ )f(μ−R=Xf(μ )f(μ−R=Xf(μf(x)f(μ−R=f(x)Xとなる。すなわち、zν−Rは、f(x)について誤差Xを持つ乱数化可能標本器となる。
上記式展開において、X=B(μ R’)f(μ R’−1=B(μ )f(μ −1であり、B(μ )=Xf(μ )であるという性質を用いている。この性質は、関数fが準同型写像であり、R及びR’が乱数であることに基づく。
したがって、a,bが自然数、r,rが乱数であることを考慮すると、同様に、zν−r1,zν−r2がf(x)についてそれぞれ誤差X,Xを持つ乱数化可能標本器となるのである。
≪z 1/r3がf(x)について誤差Xを持つ標本器となる理由について≫
R及びR’を乱数として、計算装置2がxを用いて行う計算の計算結果をB(x)(すなわち、計算装置2が依頼装置1に返す計算結果をzとすると、z=B(x)である。)とし、群Gに値を持つ確率変数XをX=B(x1/Rf(x)−1と定義する。
このとき、z1/R=B(x1/R=Xf(x)=f(x)Xとなる。すなわち、z1/Rは、f(x)について誤差Xを持つ標本器となる。
上記式展開において、X=B(x1/Rf(x−1であり、B(x1/R=Xf(x)であるという性質を用いている。この性質は、R及びR’が乱数であることに基づく。
したがって、rが乱数であることを考慮すると、z1/Rがf(x)について誤差Xを持つ乱数化可能標本器となるのである。
[第三実施形態]
第三実施形態の代理計算システムは、第一乱数化可能標本器21及び第二乱数化可能標本器22の他の例、言い換えればステップS3及びステップS6の他の例を具体化したものである。具体的には、H=G×Gで、関数fがElGamal暗号の復号関数、すなわち秘密鍵s及び暗号文(c,c)に対してf(c,c)=c −sである場合の第一乱数化可能標本器21及び第二乱数化可能標本器22の例を具体化したものである。以下、第一実施形態と異なる部分を中心に説明し、共通する部分については重複説明を省略する。
第三実施形態の第一乱数化可能標本器21は、図5に示すように、第四乱数生成部119、第五乱数生成部120、第四入力情報計算部121、第五入力情報計算部122、第四出力情報計算部27及び第四計算部123を例えば含む。第二乱数化可能標本器22は、図5に示すように、第六乱数生成部124、第七乱数生成部125、第六入力情報計算部126、第七入力情報計算部127、第五出力情報計算部28及び第五計算部128を例えば含む。
第四乱数生成部119、第五乱数生成部120、第四入力情報計算部121、第五入力情報計算部122、第四計算部123、第六乱数生成部124、第七乱数生成部125、第六入力情報計算部126、第七入力情報計算部127、第五出力情報計算部28及び第五計算部128は、依頼装置1に含まれる。第四出力情報計算部27及び第五出力情報計算部28は計算装置2に含まれる。第三実施形態では、第四出力情報計算部27及び第五出力情報計算部28が計算装置2に対応する。
第三実施形態では、x=(c,c)であり、f(c,c)は直積群G×GからGへの準同型写像であり、群Gの生成元をμとし、群Gの位数をKとし、同じ秘密鍵sに対する暗号文(V,W)∈Hとその暗号文を復号した復号文f(V,W)=Y∈Gとを依頼装置1と計算装置2は事前に知っているとする。
第三実施形態のステップS3は、図9に例示するステップS31’からステップS36’で構成される。
第四乱数生成部119は、0以上K未満の整数の一様乱数rを生成する(ステップS31’)。生成された乱数rは、第四入力情報計算部121、第五入力情報計算部122及び第四計算部123に送られる。
第五乱数生成部120は、0以上K未満の整数の一様乱数rを生成する(ステップS32’)。生成された乱数rは、第四入力情報計算部121及び第四計算部123に送られる。
第四入力情報計算部121は、第四入力情報c r4μ r5を計算する(ステップS33’)。計算された第四入力情報c r4μ r5は、第四出力情報計算部27に送られる。
第五入力情報計算部122は、第五入力情報c r4を計算する(ステップS34’)。計算された第五入力情報c r4は、第四出力情報計算部27に送られる。
第四出力情報計算部27は、第四入力情報c r4μ r5及び第五入力情報c r4を用いて計算を行い、その計算結果を第四出力情報zとする(ステップS35’)。
第四出力情報計算部27は、f(c r4μ r5,c r4)を計算可能である。第四出力情報計算部27による計算の結果がf(c r4μ r5,c r4)であることもあれば、f(c r4μ r5,c r4)でないこともある。
第四計算部123は、z−r4μ −r5を計算してその計算結果をuとする(ステップS36’)。計算結果uは、第一べき乗計算部13に送られる。ここで、u=z−r4μ −r5=f(c,cとなる。すなわち、z−r4μ −r5は、f(c,c)について誤差Xを持つ乱数化可能標本器となる。その理由については後述する。
第三実施形態のステップS6は、図10に例示するステップS61’からステップS66’で構成される。
第六乱数生成部124は、0以上K未満の整数の一様乱数rを生成する(ステップS61’)。生成された乱数rは、第六入力情報計算部126、第七入力情報計算部127及び第五計算部128に送られる。
第七乱数生成部125は、0以上K未満の整数の一様乱数rを生成する(ステップS62’)。生成された乱数rは、第六入力情報計算部126及び第五計算部128に送られる。
第六入力情報計算部126は、第六入力情報c r6μ r7を計算する(ステップS63’)。計算された第六入力情報c r6μ r7は、第五出力情報計算部28に送られる。
第七入力情報計算部127は、第七入力情報c r6を計算する(ステップS64’)。計算された第七入力情報c r6は、第五出力情報計算部28に送られる。
第五出力情報計算部28は、上記第六入力情報c r6μ r7及び上記第七入力情報c r6を用いて計算を行い、その計算結果を第五出力情報zとする(ステップS65’)。計算された第五出力情報zは、第五計算部128に送られる。
第五出力情報計算部28は、f(c r6μ r7,c r6)を計算可能である。第五出力情報計算部28による計算の結果がf(c r6μ r7,c r6)であることもあれば、f(c r6μ r7,c r6)でないこともある。
第五計算部128は、z−r6μ −r7を計算してその計算結果をvとする(ステップS66’)。計算結果vは、第二べき乗計算部16に送られる。ここで、v=z−r6μ −r7=f(c,cとなる。すなわち、z−r6μ −r7は、f(c,c)について誤差Xを持つ乱数化可能標本器となる。その理由については後述する。
≪z−r4μ −r5,z−r6μ −r7がf(c,c)についてそれぞれ誤差X,Xを持つ乱数化可能標本器となる理由について≫
cを自然数、R、R、R’及びR’を乱数として、計算装置2がc R1μ R2及びc R1を用いて行う計算の計算結果をB(c R1μ R2,c R1)(すなわち、計算装置2が依頼装置1に返す計算結果をzとすると、z=B(c R1μ R2,c R1)である。)とし、群Gに値を持つ確率変数XをX=B(VR1’μ R2’,WR1’)f(VR1’μ R2’,WR1’−1と定義する。
このとき、zY−R1μ −R2=B(c R1μ R2,c R1)Y−R1μ −R2=Xf(c R1μ R2,c R1)Y−R1μ −R2=Xf(c,cf(V,W)R1f(μ,eR2−R1μ −R2=Xf(c,cR1μ R2−R1μ −R2=f(c,cXとなる。すなわち、zY−R1μ −R2は、f(x)について誤差Xを持つ乱数化可能標本器となる。なお、eは、群Gの単位元である。
上記式展開において、X=B(VR1’μ R2’,WR1’)f(VR1’μ R2’,WR1’−1=B(c R1μ R2,c R1)f(c R1μ R2,c R1)であり、B(c R1μ R2,c R1)=Xf(c R1μ R2,c R1)であるという性質を用いている。この性質は、R、R、R’及びR’が乱数であることに基づく。
したがって、a,bが自然数、r,r,r及びrが乱数であることを考慮すると、同様に、z−r4μ −r5,z−r6μ −r7がf(c,c)についてそれぞれ誤差X,Xを持つ乱数化可能標本器となるのである。
[第一実施形態から第三実施形態の変形例等]
確率変数X、X及びXは、同じでも異なっていてもよい。
第一乱数生成部110、第二乱数生成部113、第三乱数生成部116、第四乱数生成部119、第五乱数生成部120、第六乱数生成部124及び第七乱数生成部125のそれぞれは、一様乱数を生成することにより、代理計算システムの安全性が最も高くなる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部110、第二乱数生成部113、第三乱数生成部116、第四乱数生成部119、第五乱数生成部120、第六乱数生成部124及び第七乱数生成部125のそれぞれは、一様乱数ではない乱数を生成してもよい。
上記の例では、第一乱数化可能標本器21、第二乱数化可能標本器22を一回づつ呼び出しているが、依頼装置1と計算装置2との間の通信回数を減らすために、同一のa,bに対して第一乱数化可能標本器21、第二乱数化可能標本器22を複数回呼び出して、依頼装置1が一回の通信で複数のu,vを取得できるようにしてもよい。
第一乱数化可能標本器21、第二乱数化可能標本器22及び標本器23の各部は、依頼装置1に配置してもよいし、計算装置2に配置してもよい。すなわち、第一実施形態のように各部のすべてを計算装置2に配置してもよいし、例えば第二実施形態及び第三実施形態のように依頼装置1及び計算装置2に分けて配置してもよい。
依頼装置1の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、計算装置2の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。
依頼装置1及び計算装置2のそれぞれはコンピュータによって実現することができる。この場合、この装置が有すべき各機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これ装置における各処理機能が、コンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、これらの装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
[第四実施形態]
第四実施形態から第十実施形態は、依頼装置1’が計算装置2’に依頼した計算の結果を用いてθ(g,h)を計算するものである。
第四実施形態の代理計算システムは、図11に例示するように依頼装置1’及び計算装置2’を含み、依頼装置1’が計算装置2’に依頼した計算の結果を用いて双準同型写像θ(g,h)を計算する。
ここで、G、H及びFを巡回群とし、写像θ:G×H→Fを双準同型写像とし、gを群Gの元とし、hを群Hの元とし、Kを群Gの位数とし、Kを群Hの位数とし、μを群Gの生成元とし、μを群Hの生成元とし、ν=θ(μ,μ)とし、kを1以上の整数のセキュリティパラメータとし、K=2とする。
双準同型写像とは、2つの入力のそれぞれに対して準同型である写像を意味する。この例では、写像θ(g,h)は、群Gの元gに対して準同型であり、かつ、群Hの元hに対して準同型である。
依頼装置1’と計算装置2’との間には通信路が確立されており、依頼装置1’及び計算装置2’は双方向に通信可能である。この通信路は秘密に保たれている必要はなく、第三者がこの通信路を流れる情報を傍受することができてもよい。
依頼装置1’は信頼できない計算装置2’に乱数によって撹乱した情報を送信し、計算装置2’はその撹乱された情報を用いて一定のアルゴリズムに従って計算を行い、その計算結果を依頼装置1’に返信する。この計算装置2’への情報の送受信を繰り返すことにより、依頼装置1’は最終的にθ(g,h)を計算する。
依頼装置1’は、まずステップS11’からステップS125’(図15)の処理によりθ(g,μ)と同等の情報(σ,ν’)を計算し、そのθ(g,μ)と同等の情報(σ,ν’)を用いてステップS21’からステップS225’の処理によりθ(g,μ)を計算する。
依頼装置1’は、図12及び図13に例示する、第一乱数生成部11’、第二乱数生成部12’、第一入力情報計算部13’、第二入力情報計算部14’、第一リスト情報計算部15’、第一リスト記憶部16’、受信部17’、送信部18’、第四乱数生成部21’、第五乱数生成部22’、第三入力情報計算部23’、第四入力情報計算部24’、第二リスト情報計算部25’、第二リスト記憶部26’、第三乱数生成部27’、第一判定部28’、第六乱数生成部31’、第七乱数生成部32’、第五入力情報計算部33’、第六入力情報計算部34’、第三リスト情報計算部35’、第三リスト記憶部36’、第九乱数生成部41’、第十乱数生成部42’、第七入力情報計算部43’、第八入力情報計算部44’、第四リスト情報計算部45’、第四リスト計算部46’、第八乱数生成部47’及び第二判定部48’を例えば含む。
計算装置2’は、図14に例示するように、受信部51’、送信部52’、第一出力情報計算部53’、第二出力情報計算部54’、第三出力情報計算部55’及び第四出力情報計算部56’を例えば含む。
<ステップS11’(図15)>
第一乱数生成部11’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS11’)。生成された乱数rは、第一入力情報計算部13’及び第一リスト情報計算部15’に送られる。
<ステップS12’>
第二乱数生成部12’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS12’)。生成された乱数rは、第二入力情報計算部14’、第一リスト情報計算部15’及び第一リスト記憶部16’に送られる。
<ステップS13’>
第一入力情報計算部13’は、第一入力情報g=μ r1gを計算する(ステップS13’)。計算されたgは送信部18’に送られる。
ここで、μの右肩のr1は、rのことである。このように、この出願において、αを第一の文字、βを第二の文字、γを数字として、αβγと表記した場合には、そのβγはβγ、すなわちβの下付きγを意味する。
また、g=μ r1gを計算するとは、μ r1gという式で定義されるgの値を計算することである。式μ r1gの値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。
<ステップS14’>
第二入力情報計算部14’は、第二入力情報h=μ r2を計算する(ステップS14’)。計算されたhは送信部18’に送られる。
<ステップS15’>
送信部18’は、第一入力情報g及び第二入力情報hを計算装置2’に送信する(ステップS15’)。
<ステップS16’>
計算装置2’の受信部51’(図14)は、第一入力情報g及び第二入力情報hを受信する(ステップS16’)。
<ステップS17’>
第一出力情報計算部53’は、第一入力情報g及び第二入力情報hを用いて計算を行い、その計算結果を第一出力情報zとする(ステップS17’)。zは、送信部52’に送られる。
第一出力情報計算部53’は、θ(g,h)を計算可能である。第一出力情報計算部53’による計算の結果がθ(g,h)であることもあれば、θ(g,h)でないこともある。
この出願において、計算可能とは、無視することができない確率で計算することができることを意味する。無視することができない確率とは、セキュリティパラメータkについての広義単調増加関数である多項式を多項式f(k)として、1/f(k)以上の確率である。
<ステップS18’>
送信部52’は、第一出力情報zを依頼装置1’に送信する(ステップS18’)。
<ステップS19’>
依頼装置1’の受信部17’(図12)は、第一出力情報zを受信する(ステップS19’)。受信した第一出力情報zは、第一リスト情報計算部15’に送られる。ここでは、第一出力情報zは群Fの元であるとする。
<ステップS110’>
第一リスト情報計算部15’は、乱数r、乱数r及び第一出力情報zを用いて、zν−r1r2を計算する(ステップS110’)。計算されたzν−r1r2は、第一リスト記憶部16’に送られる。
<ステップS111’>
乱数rと、zν−r1r2とから構成される情報の組(r,zν−r1r2)がリストLに追加される。この例では、第一リスト記憶部16’に、情報の組(r,zν−r1r2)が記憶される(ステップS111’)。
<ステップS112’>
第三乱数生成部27’は、0以上K未満の整数の一様乱数であるdを生成する(ステップS112’)。生成された乱数dは、第三入力情報計算部23’及び第二リスト記憶部26’に送られる。
<ステップS113’>
第四乱数生成部21’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS113’)。生成された乱数rは、第三入力情報計算部23’及び第二リスト情報計算部25’に送られる。
<ステップS114’>
第五乱数生成部22’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS114’)。生成された乱数rは、第四入力情報計算部24’、第二リスト情報計算部25’及び第二リスト記憶部26’に送られる。
<ステップS115’>
第三入力情報計算部23’は、第三入力情報g=μ r4d1を計算する(ステップS115’)。計算された第三入力情報gは、送信部18’に送られる。
<ステップS116’>
第四入力情報計算部24’は、第四入力情報h=μ r5を計算する(ステップS116’)。計算された第四入力情報hは、送信部18’に送られる。
<ステップS117’>
送信部18’は、第三入力情報g及び第四入力情報hを計算装置2’に送信する(ステップS117’)。
<ステップS118’>
計算装置2’の受信部51’(図14)は、第三入力情報g及び第四入力情報hを受信する(ステップS118’)。
<ステップS119’>
第二出力情報計算部54’は、第三入力情報g及び第三入力情報hを用いて計算を行い、その計算結果を第二出力情報zとする(ステップS119’)。zは、送信部52’に送られる。
第二出力情報計算部54’は、θ(g,h)を計算可能である。第二出力情報計算部54’による計算の結果がθ(g,h)であることもあれば、θ(g,h)でないこともある。
<ステップS120’>
送信部52’は、第二出力情報zを依頼装置1’に送信する(ステップS120’)。
<ステップS121’>
依頼装置1’の受信部17’(図12)は、第二出力情報zを受信する(ステップS121’)。受信した第二出力情報zは、第二リスト情報計算部25’に送られる。ここでは、第二出力情報zは群Fの元であるとする。
<ステップS122’>
第二リスト情報計算部25’は、乱数r、乱数r及び第二出力情報zを用いて、zν−r4r5を計算する(ステップS122’)。計算されたzν−r4r5は、第二リスト記憶部26’に送られる。
<ステップS123’>
乱数dと、乱数rと、zν−r4r5とから構成される情報の組(d,r,zν−r4r5)が、リストLに追加される。この例では、第二リスト記憶部26’には、情報の組(d,r,zν−r4r5)が記憶される(ステップS123’)。
<ステップS124’>
第一判定部28’は、第一リスト記憶部16’から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、第二リスト記憶部26’から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定する(ステップS124’)。
第一判定部28’は、第一リスト記憶部16’及び第二リスト記憶部26’に複数の情報の組が記憶されている場合には、第一リスト記憶部16’に記憶された情報の組(r,zν−r1r2)と、第二リスト記憶部26’に記憶された情報の組(d,r,zν−r4r5)とから構成されるすべての情報のペアについて、上記関係を満たすかどうかを判定する。もちろん、既に上記関係を満たすかどうかを判定した情報のペアについては、その判定処理を省いてもよい。
<ステップS125’>
第一判定部28’は、上記の関係を満たす場合には、sをσに代入し、wをν’に代入する(ステップS125’)。ここで、ν’1/σ=w 1/σ=θ(g,μ)となる。ν’1/σ=θ(g,μ)となる理由については後述する。
上記の関係を満たさない場合には、ステップS11’に戻る。
<ステップS21’(図16)>
第六乱数生成部31’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS21’)。生成された乱数rは、第五入力情報計算部33’、第三リスト情報計算部35’及び第三リスト記憶部36’に送られる。
<ステップS22’>
第七乱数生成部32’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS22’)。生成された乱数rは、第六入力情報計算部34’及び第三リスト情報計算部35’に送られる。
<ステップS23’>
第五入力情報計算部33’は、第五入力情報g=μ r6を計算する(ステップS23’)。計算されたgは送信部18’に送られる。
<ステップS24’>
第六入力情報計算部34’は、第六入力情報h=μ r7σhを計算する(ステップS24’)。計算されたhは送信部18’に送られる。
<ステップS25’>
送信部18’は、第五入力情報g及び第六入力情報hを計算装置2’に送信する(ステップS25’)。
<ステップS26’>
計算装置2’の受信部51’(図14)は、第五入力情報g及び第六入力情報hを受信する(ステップS26’)。
<ステップS27’>
第三出力情報計算部55’は、第五入力情報g及び第六入力情報hを用いて計算を行い、その計算結果を第三出力情報zとする(ステップS27’)。zは、送信部52’に送られる。
第三出力情報計算部55’は、θ(g,h)を計算可能である。第三出力情報計算部55’による計算の結果がθ(g,h)であることもあれば、θ(g,h)でないこともある。
<ステップS28’>
送信部52’は、第三出力情報zを依頼装置1’に送信する(ステップS28’)。
<ステップS29’>
依頼装置1’の受信部17’(図13)は、第三出力情報zを受信する(ステップS29’)。受信した第三出力情報zは、第三リスト情報計算部35’に送られる。ここでは、第3出力情報zは群Fの元であるとする。
<ステップS210’>
第三リスト情報計算部35’は、乱数r、乱数r及び第三出力情報zを用いて、zν’−r6r7を計算する(ステップS210’)。計算されたzν−r6r7は、第三リスト記憶部36’に送られる。
<ステップS211’>
乱数rと、zν’−r6r7とから構成される情報の組(r,zν’−r6r7)がリストLに追加される。この例では、第三リスト記憶部36’に、情報の組(r,zν’−r6r7)が記憶される(ステップS211’)。
<ステップS212’>
第八乱数生成部47’は、0以上K未満の整数の一様乱数であるdを生成する(ステップS212’)。生成された乱数dは、第八入力情報計算部44及び第四リスト記憶部46’に送られる。
<ステップS213’>
第九乱数生成部41’は、0以上K未満の整数の一様乱数であるrを生成する(ステップS213’)。生成された乱数rは、第七入力情報計算部43’、第四リスト情報計算部45’及び第四リスト記憶部46’に送られる。
<ステップS214’>
第十乱数生成部42’は、0以上K未満の整数の一様乱数であるr10を生成する(ステップS214’)。生成された乱数r10は、第八入力情報計算部44’、第四リスト情報計算部45’及び第四リスト記憶部46’に送られる。
<ステップS215’>
第七入力情報計算部43’は、第七入力情報g=gr9を計算する(ステップS215’)。計算された第七入力情報gは、送信部18’に送られる。
<ステップS216’>
第八入力情報計算部44’は、第八入力情報h=μ r10σd2を計算する(ステップS216’)。計算された第八入力情報hは、送信部18’に送られる。
<ステップS217’>
送信部18’は、第七入力情報g及び第八入力情報hを計算装置2’に送信する(ステップS217’)。
<ステップS218’>
計算装置2’の受信部51’(図14)は、第七入力情報g及び第八入力情報hを受信する(ステップS218’)。
<ステップS219’>
第四出力情報計算部56’は、第七入力情報g及び第八入力情報hを用いて計算を行い、その計算結果を第四出力情報zとする(ステップS219’)。zは、送信部52’に送られる。
第四出力情報計算部56’は、θ(g,h)を計算可能である。第四出力情報計算部56’による計算の結果がθ(g,h)であることもあれば、θ(g,h)でないこともある。
<ステップS220’>
送信部52’は、第四出力情報zを依頼装置1’に送信する(ステップS220’)。
<ステップS221’>
依頼装置1’の受信部17’(図12)は、第四出力情報zを受信する(ステップS221)。受信した第四出力情報zは、第四リスト情報計算部45’に送られる。ここでは、第四出力情報zは群Fの元であるとする。
<ステップS222’>
第四リスト情報計算部45’は、乱数r、乱数r10及び第四出力情報zを用いて、zν’−r9r10を計算する(ステップS222’)。計算されたzν’−r9r10は、第四リスト記憶部46’に送られる。
<ステップS223’>
乱数dと、乱数rと、zν−r9r10とから構成される情報の組(d,r,zν’−r9r10)が、リストLに追加される。この例では、第四リスト記憶部46’に、情報の組(d,r,zν−r9r10)が記憶される(ステップS223’)。
<ステップS224’>
第二判定部48’は、第三リスト記憶部36’から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、第四リスト記憶部46’から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定する(ステップS224’)。
第二判定部48’は、第三リスト記憶部36’及び第四リスト記憶部46’に複数の情報の組が記憶されている場合には、第三リスト記憶部36’に記憶された情報の組(r,zν’−r6r7)と、第四リスト記憶部46’に記憶された情報の組(d,r,zν’−r9r10)とから構成されるすべての情報のペアについて、上記関係を満たすかどうかを判定する。もちろん、既に上記関係を満たすかどうかを判定した情報のペアについては、その判定処理を省いてもよい。
<ステップS225’>
第二判定部48’は、上記の関係を満たす場合には、(w)^(s −1)を出力する(ステップS225’)。ここで、(w)^(s −1)=θ(g,h)となる。(w)^(s −1)=θ(g,h)となる理由については後述する。
上記の関係を満たさない場合には、ステップS21’に戻る。
(w)^(s −1)の計算、すなわちwのべき乗根の計算が困難な場合には、次のようにしてθ(g,h)を容易に計算することができる。第二判定部48’は、ステップS21’からステップS224’の処理を繰り返して(w)^(t −1)=wの関係を満たすwとsとの組(w,s)を順次(α,S),(α,S),…,(α,S),…として記憶部410’に記憶する。mは自然数である。第二判定部48’は、Sと互いに素となるSが見つかれば、LとLとを整数としてL+L=1となるL及びLを計算して、そのL及びLを用いてα L1α L2を計算する。α L1α L2=θ(g,h)(L1S1+L2S2)=θ(g,h)となる。また、第二判定部48’は、S,S,…,Sの最小公倍数が1になれば、L,L,…,Lを整数としてL+L+…+L=1となるL,L,…,Lを計算して、そのL,L,…,Lを用いてα L1α L2…α Lmを計算してもよい。α L1α L2…α Lm=θ(g,h)(L1S1+L2S2+…+LmSm)=θ(g,h)となる。
依頼装置1’と計算装置2’との間の通信を傍受することができる攻撃者Mがいるとしても、依頼装置1’及び計算装置2’との間で通信される情報を、依頼装置1’のみが知る乱数(例えば、r,r)で撹乱することにより、攻撃者Mから秘匿することができる。
また、依頼装置1’及び計算装置2’との間で通信される情報は依頼装置1’のみが知るr,r等の乱数で撹乱されているため、計算装置2’は、依頼装置1’が最終的に計算しようとするθ(g,h)はもちろんのこと、その入力であるg及びhをも知ることはできない。
したがって、計算装置2’は信頼することができる計算機である必要はなく、双準同型写像を計算するためのシステムの構成要件を緩和することができる。また、信頼することができる計算機は一般に高価であり運用に費用を要するが、計算装置2’が信頼することができる計算機である必要ないため、双準同型写像を計算するためのシステムの構築及び運用のコストを削減することができる。
≪ν’1/σ=θ(g,μ)となる理由について≫
まず、randomizable samplerと呼ばれる確率変数S(d)について説明する。w∈Fに関する誤差Xのrandomizable samplerである確率変数S(d)は、S(d)=wXである。dは自然数である。
ここで、R,R,R’及びR’を乱数として、計算装置がgμ R1及びμ R2を用いて行う計算の計算結果をB(gμ R1,μ R2)(計算装置が依頼装置に返す計算結果をzとすると、z=B(gμ R1,μ R2)である。)とし、群Fに値を持つ確率変数XをX=B(μ R’1,μ R’21/R’2θ(μ R’1,μ−1と定義すると、S(d)=z(1/R2)ν−R1は、θ(g,μ)に関する誤差Xのrandomizable samplerとなる。
(d)=z(1/R2)ν−R1=B(gμ R1,μ R21/R2θ(μ,μ−R1=Xθ(gμ R1,μ)θ(μ R1,μ−1=Xθ(g,μ)θ(μ R1,μ)θ(μ R1,μ−1=θ(g,μXであるためである。
上記式展開において、X=B(μ R’1,μ R’21/R’2θ(μ R’1,μ−1=B(gμ R1,μ R21/R2θ(gμ R1,μ−1であり、B(gμ R1,μ R21/R2=Xθ(gμ R1,μ)であるという性質を用いている。この性質は、R,R,R’及びR’が乱数であることに基づく。
ここで、S(1)の実現値をθ(g,μと表記し、S(d)の実現値をθ(g,μと表記するとして、S(1)の実現値のd乗=S(d)の実現値、すなわち(θ(g,μ=θ(g,μとなるのは、x及びxが群Fの単位元eのときである可能性が非常に高いことを発明者は見出した。ここでは、その証明は省略する。xが群Fの単位元eのとき、S(1)の実現値=θ(g,μ=θ(g,μ)となる。
上記実施形態の代理計算システムは、このrandomizable samplerの性質を用いている。
ステップS11’からステップS111’の処理がS(1)の実現値θ(g,μの計算に対応している。実際には、S(1)の実現値自体は計算していないが、同処理により得られる(r,zν−r1r2)を用いて、zν−r1r2を1/r乗すると、(zν−r1r21/r2=z 1/r2ν−r1となり、S(1)の実現値θ(g,μとなる。同様に、ステップS112’からステップS123’の処理がS(d)の実現値θ(g,μd1の計算に対応している。
また、ステップS124’の処理が、S(1)の実現値のd乗=S(d)、すなわち(θ(g,μd1=θ(g,μd1であるかどうかの判定に対応している。ステップS124で用いる判定条件(w)^(t −1)は、(w)^(t −1)=w⇔(w 1/s1t2=w 1/s2⇔(z 1/r2ν−r1d1=z 1/r5ν−r4⇔(θ(g,μd1=θ(g,μd1⇔S(1)の実現値のd乗=S(d)の実現値であるためである。ここで、定義よりs=r、w=zν−r1r2、t=d、s=r、w=zν−r4r5である。
さらに、ステップS125’におけるσ及びν’が、θ(g,μ)に対応している。上記したようにS(1)の実現値のd乗=S(d)の実現値のとき、ν’1/σ=w 1/s1=z 1/r2ν−r1=θ(g,μ=θ(g,μ)であるためである。
≪(w)^(s −1)=θ(g,h)となる理由について≫
,R,R’及びR’を乱数として、計算装置がgR1及びhμ R2を用いて行う計算の計算結果をB(gR1,hμ R2)(計算装置が依頼装置に返す計算結果をzとすると、z=B(gR1,hμ R2)である。)とし、群Fに値を持つ確率変数XをX=B(gR’1,μ R’21/R’1θ(g,μ R’2−1と定義すると、S(d)=z(1/R1)ν’−R2は、θ(g,h)に関する誤差Xのrandomizable samplerとなる。
(d)=z(1/R1)ν’−R2=B(gR1,hμ R21/R1θ(g,μ−R2=Xθ(g,hμ R2)θ(g,μ R2−1=Xθ(g,h)θ(g,μ R2)θ(g,μ R2−1=θ(g,h)Xであるためである。
上記式展開において、X=B(gR’1,μ R’21/R’1θ(g,μ R’2−1=B(gR1,μ R21/R1θ(g,hμ R2−1であり、B(gR1,hμ R21/R1=Xθ(g,hμ R2)であるという性質を用いている。この性質は、R,R,R’及びR’が乱数であることに基づく。
ここで、S(1)の実現値をS(1)=θ(g,h)と表記し、S(d)の実現値をS(d)=θ(g,h)と表記するとして、S(1)の実現値のd乗=S(d)、すなわち(θ(g,h)=θ(g,h)となるのは、x及びxが群Fの単位元eのときである可能性が非常に高いことを発明者は見出した。ここでは、その証明は省略する。xが群Fの単位元eのとき、S(1)の実現値=θ(g,h)=θ(g,h)となる。
上記実施形態の代理計算システムは、このrandomizable samplerの性質を用いている。
ステップS21’からステップS211’の処理がS(1)の実現値θ(g,h)の計算に対応している。実際には、S(1)の実現値自体は計算していないが、同処理により得られる(r,zν’−r6r7)を用いて、zν’−r6r7を1/r乗すると、(zν’−r6r71/r6=z 1/r6ν’−r7となり、S(1)の実現値θ(g,h)となる。同様に、ステップS212’からステップS223’の処理がS(d)の実現値θ(g,h)d2の計算に対応している。
また、ステップS224’の処理が、S(1)の実現値のd乗=S(d)の実現値、すなわち(θ(g,h)d2=θ(g,h)d2であるかどうかの判定に対応している。ステップS224’で用いる判定条件(w)^(t −1)=wは、(w)^(t −1)=w⇔(w 1/s3t4=w 1/s4⇔(z 1/r6ν’−r7d2=z 1/r9ν’−r10⇔(θ(g,h)d2=θ(g,h)d2⇔S(1)の実現値のd乗=S(d)の実現値であるためである。ここで、定義よりs=r、w=zν’−r6r7、t=d、s=r、w=zν’−r9r10である。
さらに、ステップS225’における(w)^(s −1)が、θ(g,h)に対応している。上記したようにS(1)の実現値のd乗=S(d)の実現値のとき、(w)^(s −1)=(zν’−r6r7)^(r −1)=z 1/r6ν’−r7=θ(g,h)=θ(g,h)であるためである。
[第五実施形態]
第五実施形態の代理計算システムは、ステップS13’、ステップS110’及びステップS111’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
第一入力情報計算部13’は、g=μ r1gではなく、g=gr1で定義される第一入力情報を計算する(ステップS13’)。
第一リスト情報計算部15’は、zν−r1r2ではなく、乱数r及び乱数rを用いてrを計算して、その計算結果を第一リスト記憶部16’に送る(ステップS110’)。
第一リスト記憶部16’には、情報の組(r,zν−r1r2)ではなく、計算されたrと計算装置2’から受信したz∈Fとから構成される情報の組(r,z)が記憶される(ステップS111’)。
第四実施形態のステップS110’では、zν−r1r2という群Fのべき演算を行う必要があったが、第五実施形態のステップS110’ではrの計算を行っておりべき演算の回数が1回減っている。このように、べき演算の回数を減らすことにより演算の効率性を増すことができる。また、群G、群Hにおいて非自明べき根の計算が困難であるならば、第四実施形態と比較して安全性は低下しない。
[第六実施形態]
第六実施形態の代理計算システムは、ステップS24’、ステップS210’及びステップS211’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
第六入力情報計算部34’は、h=μ r7σhではなく、h=hr7で定義される第六入力情報hを計算する(ステップS24’)。
第三リスト情報計算部35’は、zν’−r6r7ではなく、乱数r及び乱数rを用いてrを計算する(ステップS210’)。
第三リスト記憶部36’には、情報の組(r,zν’−r6r7)ではなく、計算されたrと計算装置2’から受信したz∈Fとから構成される情報の組(r,z)が記憶される(ステップS211’)。
第四実施形態のステップS210’では、zν’−r6r7という群Fのべき演算を行う必要があったが、第六実施形態のステップS210’ではrの計算を行っておりべき演算の回数が1回減っている。このように、べき演算の回数を減らすことにより演算の効率性を増すことができる。
群G、群Hにおいて非自明べき根の計算が困難であるならば、第四実施形態と比較して安全性は低下しない。
[第七実施形態]
第七実施形態の代理計算システムは、ステップS125’及びステップS214’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
第一判定部28’は、上記の関係を満たす場合には、tをσに代入し、wをν’に代入する(ステップS125’)。
第十乱数生成部42’は、乱数rを用いて−r −1を計算してr10とする(ステップS214’)。
このように、ν’の定義を変更して、σを計算装置2’にとって推測が困難な乱数とすることにより安全性が増す。また、乱数rを用いて乱数r10を計算することにより、乱数を生成する回数を減らすことができる。乱数r10が乱数rにより定まるため第八入力情報h=μ r10σd2の乱雑性が低下し安全性が損なわれるとも思われるが、第八入力情報h=μ r10σd2は乱数r10だけでなく更にσにより撹乱されているため安全性は損なわれない。
なお、第七実施形態においては更にステップS22’及びステップS211’を以下のように変更してもよい。
第七乱数生成部32’は、乱数rを用いて−r −1を計算してrとする(ステップS22’)。
第三リスト記憶部36’には、1と上記計算されたzν’−r6r7とから構成される情報の組(1,zν’−r6r7)が記憶される(ステップS211’)。
このように、乱数rを用いて乱数rを計算することにより乱数を生成する回数を減らすことができる。
群G、群Hにおいて非自明べき根の計算が困難であるならば、第四実施形態と比較して安全性は低下しない。
[第八実施形態]
第八実施形態の代理計算システムは、ステップS113’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
まず、ステップS113’に先立ち、第五乱数生成部22’は乱数rを生成する(ステップS114’)。
第四乱数生成部21’は、乱数rを用いて−r −1を計算してrとする(ステップS113’)。
このように、乱数rを用いて乱数rを計算することにより乱数を生成する回数を減らすことができる。
群Hの任意の元hについて、g∈Gでθ(g,h)=νとなるものを計算することが困難ならば、第四実施形態と比較して安全性は低下しない。
[第九実施形態]
第九実施形態の代理計算システムは、依頼装置1’が図12に破線で示された事前計算部29’を更に含み、ステップS115’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
事前計算部29’は、第三乱数生成部27’が生成したdを用いてgd1を計算する。この処理は、ステップS112’の後、ステップS115’の前に行う。
第三入力情報計算部23’は、事前計算されたgd1を用いて、g=μ r4d1の計算を行う(ステップS115’)。
ステップS114’で、判定条件を満たさない場合にはステップS11’からステップS123’の処理が繰り返されるが、この繰り返しの処理においては、事前計算されたgd1を再利用する。すなわち、第三乱数生成部27’は乱数dを生成せず、第三入力情報計算部23’は事前計算されたgd1を用いて、g=μ r4d1の計算を行う。これにより、乱数dを生成する回数を減らすことができ、g=μ r4d1の計算を速く行うことができる。
[第十実施形態]
第十実施形態の代理計算システムは、依頼装置1’が図13に破線で示された事前計算部49’を更に含み、ステップS216’が第四実施形態の代理計算システムとは異なり、他の部分については第四実施形態の代理計算システムと同様である。以下、第四実施形態と異なる部分を中心に説明する。
事前計算部49’は、第八乱数生成部47’が生成したdを用いてhd2を計算する。この処理は、ステップS212’の後、ステップS216’の前に行う。
第八入力情報計算部44’は、事前計算されたhd2を用いて、第八入力情報h=μ r10σd2の計算を行う(ステップS116’)。
ステップS214’で、判定条件を満たさない場合にはステップS21’からステップS223’の処理が繰り返されるが、この繰り返しの処理においては、事前計算されたhd2を再利用する。すなわち、第八乱数生成部47’は乱数dを生成せず、第八入力情報計算部44’は事前計算されたhd2を用いて、h=μ r10σd2の計算を行う。これにより、乱数dを生成する回数を減らすことができ、h=μ r10σd2の計算を速く行うことができる。
[第四実施形態から第十実施形態の変形例等]
第一乱数生成部11’、第二乱数生成部12’、第三乱数生成部27’、第四乱数生成部21’、第五乱数生成部22’、第六乱数生成部31’、第七乱数生成部32’、第八乱数生成部47’、第九乱数生成部41’及び第十乱数生成部42’のそれぞれは、一様乱数を生成することにより、代理計算システムの安全性が最も高くなる。しかし、求める安全性のレベルがそれほど高くない場合には、第一乱数生成部11’、第二乱数生成部12’、第三乱数生成部27’、第四乱数生成部21’、第五乱数生成部22’、第六乱数生成部31’、第七乱数生成部32’、第八乱数生成部47’、第九乱数生成部41’及び第十乱数生成部42’のそれぞれは、一様乱数ではない乱数を生成してもよい。
リストL、リストLに情報の組が追加される毎に、第一判定部28’の処理を行ってもよい。例えば、第二リスト記憶部26’に情報の組(d,r,zν−r4r5)が記憶されている場合には、ステップS111’の後に、ステップS124’の処理を行っても良い。同様に、リストL、リストLに情報の組が追加される毎に、第二判定部48’の処理を行ってもよい。
第四実施形態から第十実施形態は互いに組み合わせることができる。
依頼装置1’の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。同様に、計算装置2’の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。
依頼装置1’及び計算装置2’のそれぞれはコンピュータによって実現することができる。この場合、この装置が有すべき各機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これ装置における各処理機能が、コンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、これらの装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
なお、第一実施形態から第三実施形態と、第四実施形態から第十実施形態とを組み合わせてもよい。例えば、図17に例示するように、第一実施形態から第三実施形態の計算装置2が第四実施形態から第十実施形態の依頼装置1’を備えており、この依頼装置1’を含む計算装置2が、第四実施形態から第十実施形態で説明したのと同様にして計算装置2’を用いて、関数fの計算を行ってもよい。
具体的には、計算装置2は計算する必要がある関数f(x)を計算するために、対応する写像θ(g,h)の値を、計算装置2’を用いて計算する。関数f(x)に対応する写像θ(g,h)とは、与えられた関数f及びxに対して、関数f(x)と値が同じ値を出力する写像θ(g,h)である。ある元h∈Hに関して、f(x)=θ(x,h)という関係がある場合には、f(x)に対応する写像θがθ(x,h)となる。
例えば、参考文献1に記載されたBoneh−Franklin方式のIDベース暗号において、ある一定のIDに関する復号関数をfとする。この方式のIDベース暗号では、楕円曲線の点がなす有限群G,Hと、ペアリングτ:G×H→Fを用いて構成される。QをGの元とする。IDベース暗号の鍵発行センタの秘密鍵をsとして、公開鍵をP=sQとする。IDベース暗号のパブリックパラメータは、群G,Hの記述と、ペアリングτの記述、Q及びPである。
〔参考文献1〕Dan Boneh, Matt Franklin, “Identity-Based Encryption from the Weil Pairing”, CRYPTO 2001, LNCS 2139, pp.213-229, 2001.
鍵の発行は以下のようにして行われる。鍵発行センタは、IDに対応して定まるHの元QIDについて、PID=sQIDを計算してIDの保持者に対して通知する。PIDはIDの保持者の秘密鍵である。このとき、復号関数f:G→Fは、f(x)=τ(x,PID)で定義される。
暗号文の作成、暗号文の復号は以下のようにして行われる。平文mをあるIDについて暗号化するためには、乱数rを生成して(Q,m(+)H(τ(P,QID)))を計算し、これを暗号文(C,C)とする。復号するためには、暗号文(C,C)に対して、C(+)H(f(C))を計算することで平文が得られる。ただし、ここでHはハッシュ関数、(+)は排他的論理和である。
このようなBoneh−Franklin方式のIDベース暗号において、関数f(x)に対応する写像θは例えばペアリングτを用いて定義される。すなわち、f(x)=τ(x,PID)である。
計算装置2がICカードや携帯電話であり、秘密情報の抽出が困難であるが、計算能力が限定されている場合に、このように依頼装置及び計算装置を多重にして組み合わせることが有益である。
この発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

Claims (19)

  1. G,Hを巡回群、fを群Hの元xを群Gへ写す関数、X,Xを群Gに値を持つ確率変数、確率変数Xの実現値をx、確率変数Xの実現値をxとして、
    互いに素である2つの自然数a,bを用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する整数計算部と、
    f(x)を計算可能であり、その計算結果をuとする第一乱数化可能標本器と、
    u’=uを計算する第一べき乗計算部と、
    f(x)を計算可能であり、その計算結果をvとする第二乱数化可能標本器と、
    v’=vを計算する第二べき乗計算部と、
    u’=v’であるか判定する判定部と、
    u’=v’であると判定された場合には、ub’a’を計算する最終計算部と、
    を含む代理計算システム。
  2. 請求項1の代理計算システムにおいて、
    を群Gに値を持つ確率変数、確率変数Xの実現値をxとして、f(x)xを計算可能であり、a=1あれば上記第二乱数化可能標本器に代わりその計算結果を上記vとし、b=1であれば上記第一乱数化可能標本器に代わりその計算結果を上記uとする標本器を更に含む、
    代理計算システム。
  3. 請求項1の代理計算システムにおいて、
    上記fを準同型写像、群Hの生成元をμ、群Hの位数をK、ν=f(μ)として、
    上記第一乱数化可能標本器は、0以上K未満の整数の乱数rを生成する第一乱数生成部と、第一入力情報μ r1を計算する第一入力情報計算部と、上記第一入力情報μ r1を用いてf(μ r1)を計算可能でありその計算結果を第一出力情報zとする第一出力情報計算部と、zν−r1を計算してその計算結果を上記uとする第一計算部とを含み、
    上記第二乱数化可能標本器は、0以上K未満の整数の乱数rを生成する第二乱数生成部と、第二入力情報μ r2を計算する第二入力情報計算部と、上記第二入力情報μ r2を用いてf(μ r2)を計算可能でありその計算結果を第二出力情報zとする第二出力情報計算部と、zν−r2を計算してその計算結果を上記vとする第二計算部とを含む、
    代理計算システム。
  4. 請求項3の代理計算システムにおいて、
    0以上K未満の整数の乱数rを生成する第三乱数生成部と、第三入力情報xr3を計算する第三入力情報計算部と、上記第三入力情報xr3を用いてf(xr3)を計算可能でありその計算結果を第三出力情報zとする第三出力情報計算部と、z 1/r3を計算してa=1あれば上記第二乱数化可能標本器に代わりその計算結果を上記vとしb=1であれば上記第一乱数化可能標本器に代わりその計算結果を上記uとする第三計算部とを含む標本器を更に含む、
    代理計算システム。
  5. 請求項1の代理計算システムにおいて、
    群H=G×G、上記fを準同型写像、群Gの生成元をμ、群Gの位数をK、x=(c,c),(V,W)を群Hの元、f(V,W)=Yとして、
    上記第一乱数化可能標本器は、0以上K未満の整数の乱数rを生成する第四乱数生成部と、0以上K未満の整数の乱数rを生成する第五乱数生成部と、第四入力情報c r4μ r5を計算する第四入力情報計算部と、第五入力情報c r4を計算する第五入力情報計算部と、上記第四入力情報c r4μ r5及び上記第五入力情報c r4を用いてf(c r4μ r5,c r4)を計算可能でありその計算結果を第四出力情報zとする第四出力情報計算部と、z−r4μ −r5を計算してその計算結果を上記uとする第四計算部とを含み、
    上記第二乱数化可能標本器は、0以上K未満の整数の乱数rを生成する第六乱数生成部と、0以上K未満の整数の乱数rを生成する第七乱数生成部と、第六入力情報c r6μ r7を計算する第六入力情報計算部と、第七入力情報c r6を計算する第七入力情報計算部と、上記第六入力情報c r6μ r7及び上記第七入力情報c r6を用いてf(c r6μ r7,c r6)を計算可能でありその計算結果を第五出力情報zとする第五出力情報計算部と、z−r6μ −r7を計算してその計算結果を上記vとする第五計算部とを含む、
    代理計算システム。
  6. G,Hを巡回群、fを群Hの元xを群Gへ写す関数、X,Xを群Gに値を持つ確率変数、確率変数Xの実現値をx、確率変数Xの実現値をxとして、
    整数計算部が、互いに素である2つの自然数a,bを用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する整数計算ステップと、
    第一乱数化可能標本器が、f(x)を計算可能であり、その計算結果をuとする第一乱数化可能標本抽出ステップと、
    第一べき乗計算部が、u’=uを計算する第一べき乗計算ステップと、
    第二乱数化可能標本器が、f(x)を計算可能であり、その計算結果をvとする第二乱数化可能標本抽出ステップと、
    第二べき乗計算部が、v’=vを計算する第二べき乗計算ステップと、
    判定部が、u’=v’であるか判定する判定ステップと、
    最終計算部が、u’=v’であると判定された場合には、ub’a’を計算する最終計算ステップと、
    を含む代理計算方法。
  7. G,Hを巡回群、fを群Hの元xを群Gへ写す関数、X,Xを群Gに値を持つ確率変数、確率変数Xの実現値をx、確率変数Xの実現値をxとして、
    互いに素である2つの自然数a,bを用いて、a’a+b’b=1の関係を満たす整数a’,b’を計算する整数計算部と、
    f(x)を計算可能な第一乱数化可能標本器による計算結果uを用いてu’=uを計算する第一べき乗計算部と、
    f(x)を計算可能な第二乱数化可能標本器による計算結果vを用いてv’=vを計算する第二べき乗計算部と、
    u’=v’であるか判定する判定部と、
    u’=v’であると判定された場合には、ub’a’を計算する最終計算部と、
    を含む依頼装置。
  8. 依頼装置が計算装置に依頼した計算の結果を用いてθ(g,h)を計算する代理計算システムにおいて、
    G、H及びFを巡回群とし、写像θ:G×H→Fを双準同型写像とし、gを群Gの元とし、hを群Hの元とし、Kを群Gの位数とし、Kを群Hの位数とし、μを群Gの生成元とし、μを群Hの生成元とし、ν=θ(μ,μ)とし、kを自然数のセキュリティパラメータとし、K=2として、
    上記依頼装置は、
    0以上K未満の整数の乱数rを生成する第一乱数生成部と、
    0以上K未満の整数の乱数rを生成する第二乱数生成部と、
    第一入力情報g=μ r1gを計算する第一入力情報計算部と、
    第二入力情報h=μ r2を計算する第二入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν−r1r2を計算する第一リスト情報計算部と、
    上記乱数rと上記計算されたzν−r1r2とから構成される情報の組(r,zν−r1r2)が記憶される第一リスト記憶部と、
    0以上K未満の整数の一様乱数であるdを生成する第三乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第四乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第五乱数生成部と、
    第三入力情報g=μ r4d1を計算する第三入力情報計算部と、
    第四入力情報h=μ r5を計算する第四入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν−r4r5を計算する第二リスト情報計算部と、
    上記dと上記rと上記計算されたzν−r4r5とから構成される情報の組(d,r,zν−r4r5)が記憶される第二リスト記憶部と、
    上記第一リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第二リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、sをσに代入し、wをν’に代入する第一判定部と、
    0以上K未満の整数の一様乱数であるrを生成する第六乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第七乱数生成部と、
    第五入力情報g=gr6を計算する第五入力情報計算部と、
    第六入力情報h=μ r7σhを計算する第六入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν’−r6r7を計算する第三リスト情報計算部と、
    上記rと上記計算されたzν’−r6r7とから構成される情報の組(r,zν’−r6r7)が記憶される第三リスト記憶部と、
    0以上K未満の整数の一様乱数であるdを生成する第八乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第九乱数生成部と、
    0以上K未満の整数の一様乱数であるr10を生成する第十乱数生成部と、
    第七入力情報g=μ r9を計算する第七入力情報計算部と、
    第八入力情報h=μ r10σd2を計算する第八入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν’−r9r10を計算する第四リスト情報計算部と、
    上記dと上記rと上記計算されたzν’−r9r10とから構成される情報の組(d,r,zν’−r9r10)が記憶される第四リスト記憶部と、
    上記第三リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第四リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、(w)^(s −1)を出力する第二判定部と、
    を含み、
    上記計算装置は、
    上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第一出力情報計算部と、
    上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第二出力情報計算部と、
    上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第三出力情報計算部と、
    上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第四出力情報計算部と、
    を含む、
    代理計算システム。
  9. 請求項8の代理計算システムにおいて、
    上記第一入力情報計算部は、第一入力情報g=gr1を計算し、
    上記第一リスト情報計算部は、上記r及び上記rを用いてrを計算し、
    上記第一リスト記憶部には、上記計算されたrと上記計算装置から受信したz∈Fとから構成される情報の組(r,z)が記憶される、
    ことを特徴とする代理計算システム。
  10. 請求項8又は9に記載の代理計算システムにおいて、
    上記第六入力情報計算部は、第六入力情報h=hr7を計算し、
    上記第三リスト情報計算部は、上記r及び上記rを用いてrを計算し、
    上記第三リスト記憶部には、上記計算されたrと上記計算装置から受信したz∈Fとから構成される情報の組(r,z)が記憶される、
    ことを特徴とする代理計算システム。
  11. 請求項8から10の何れかに記載の代理計算システムにおいて、
    上記第一判定部は、上記の関係を満たす場合には、tをσに代入し、wをν’に代入し、
    上記第十乱数生成部は、上記rを用いて−r −1を計算してr10とする、
    ことを特徴とする代理計算システム。
  12. 請求項11に記載の代理計算システムにおいて、
    上記第七乱数生成部は、上記rを用いて−r −1を計算してrとし、
    上記第三リスト記憶部には、1と上記計算されたzν’−r6r7とから構成される情報の組(1,zν’−r6r7)が記憶される、
    ことを特徴とする代理計算システム。
  13. 請求項8から12の何れかに記載の代理計算システムにおいて、
    上記第四乱数生成部は、上記rを用いて−r −1を計算してrとする、
    ことを特徴とする代理計算システム。
  14. 請求項8から13の何れかに記載の代理計算システムにおいて、
    上記dを用いてgd1を計算する事前計算部を更に含み、
    上記第三入力情報計算部は、上記事前計算されたgd1を用いて、上記gの計算を行う、 ことを特徴とする代理計算システム。
  15. 請求項8から14の何れかに記載の代理計算システムにおいて、
    上記dを用いてhd2を計算する事前計算部を更に含み、
    上記第八入力情報計算部は、上記事前計算されたhd2を用いて、上記hの計算を行う、
    ことを特徴とする代理計算システム。
  16. 依頼装置が計算装置に依頼した計算の結果を用いてθ(g,h)を計算する代理計算方法において、
    G、H及びFを巡回群とし、写像θ:G×H→Fを双準同型写像とし、gを群Gの元とし、hを群Hの元とし、Kを群Gの位数とし、Kを群Hの位数とし、μを群Gの生成元とし、μを群Hの生成元とし、ν=θ(μ,μ)とし、kを整数のセキュリティパラメータとし、K=2として、
    上記依頼装置の第一乱数生成部が、0以上K未満の整数の乱数rを生成する第一乱数生成ステップと、
    上記依頼装置の第二乱数生成部が、0以上K未満の整数の乱数rを生成する第二乱数生成ステップと、
    上記依頼装置の第一入力情報計算部が、第一入力情報g=μ r1gを計算する第一入力情報計算ステップと、
    上記依頼装置の第二入力情報計算部が、第二入力情報h=μ r2を計算する第二入力情報計算ステップと、
    上記計算装置の第一出力情報計算部が、上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第一出力情報計算ステップと、
    上記依頼装置の第一リスト情報計算部が、上記計算装置から受信したz∈Fを用いて、zν−r1r2を計算する第一リスト情報計算ステップと、
    上記依頼装置の第一リスト記憶部に、上記乱数rと上記計算されたzν−r1r2とから構成される情報の組(r,zν−r1r2)が記憶されるステップと、
    上記依頼装置の第三乱数生成部が、0以上K未満の整数の一様乱数であるdを生成する第三乱数生成ステップと、
    上記依頼装置の第四乱数生成部が、0以上K未満の整数の一様乱数であるrを生成する第四乱数生成ステップと、
    上記依頼装置の第五乱数生成部が、0以上K未満の整数の一様乱数であるrを生成する第五乱数生成ステップと、
    上記依頼装置の第三入力情報計算部が、第三入力情報g=μ r4d1を計算する第三入力情報計算ステップと、
    上記依頼装置の第四入力情報計算部が、第四入力情報h=μ r5を計算する第四入力情報計算ステップと、
    上記計算装置の第二出力情報計算部が、上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第二出力情報計算ステップと、
    上記依頼装置の第二リスト情報計算部が、上記計算装置から受信したz∈Fを用いて、zν−r4r5を計算する第二リスト情報計算ステップと、
    上記依頼装置の第二リスト記憶部に、上記dと上記rと上記計算されたzν−r4r5とから構成される情報の組(d,r,zν−r4r5)が記憶されるステップと、
    上記依頼装置の第一判定部が、上記第一リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第二リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、sをσに代入し、wをν’に代入する第一判定ステップと、
    上記依頼装置の第六乱数生成部が、0以上K未満の整数の一様乱数であるrを生成する第六乱数生成ステップと、
    上記依頼装置の第七乱数生成部が、0以上K未満の整数の一様乱数であるrを生成する第七乱数生成ステップと、
    上記依頼装置の第五入力情報計算部が、第五入力情報g=gr6を計算する第五入力情報計算ステップと、
    上記依頼装置の第六入力情報計算部が、第六入力情報h=μ r7σhを計算する第六入力情報計算ステップと、
    上記計算装置の第三出力情報計算部が、上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第三出力情報計算ステップと、
    上記依頼装置の第三リスト情報計算部が、上記計算装置から受信したz∈Fを用いて、zν’−r6r7を計算する第三リスト情報計算ステップと、
    上記依頼装置の第三リスト記憶部に、上記rと上記計算されたzν’−r6r7とから構成される情報の組(r,zν’−r6r7)が記憶されるステップと、
    上記依頼装置の第八乱数生成部が、0以上K未満の整数の一様乱数であるdを生成する第八乱数生成ステップと、
    上記依頼装置の第九乱数生成部が、0以上K未満の整数の一様乱数であるrを生成する第九乱数生成ステップと、
    上記依頼装置の第十乱数生成部が、0以上K未満の整数の一様乱数であるr10を生成する第十乱数生成ステップと、
    上記依頼装置の第七入力情報計算部が、第七入力情報g=μ r9を計算する第七入力情報計算ステップと、
    上記依頼装置の第八入力情報計算部が、第八入力情報h=μ r10σd2を計算する第八入力情報計算ステップと、
    上記計算装置の第四出力情報計算部が、上記依頼装置から受信したg及びhを用いてθ(g,h)を計算可能であり、その計算結果を上記zとして出力する第四出力情報計算ステップと、
    上記依頼装置の第四リスト情報計算部が、上記計算装置から受信したz∈Fを用いて、zν’−r9r10を計算する第四リスト情報計算ステップと、
    上記依頼装置の第四リスト記憶部に、上記dと上記rと上記計算されたzν’−r9r10とから構成される情報の組(d,r,zν’−r9r10)が記憶されるステップと、
    上記依頼装置の第二判定部が、上記第三リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第四リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、(w)^(s −1)を出力する第二判定ステップと、
    を含む代理計算方法。
  17. 依頼装置が計算装置に依頼した計算の結果を用いてθ(g,h)を計算する代理計算システムの依頼装置において、
    G、H及びFを巡回群とし、写像θ:G×H→Fを双準同型写像とし、gを群Gの元とし、hを群Hの元とし、Kを群Gの位数とし、Kを群Hの位数とし、μを群Gの生成元とし、μを群Hの生成元とし、ν=θ(μ,μ)とし、kを自然数のセキュリティパラメータとし、K=2として、
    0以上K未満の整数の乱数rを生成する第一乱数生成部と、
    0以上K未満の整数の乱数rを生成する第二乱数生成部と、
    第一入力情報g=μ r1gを計算する第一入力情報計算部と、
    第二入力情報h=μ r2を計算する第二入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν−r1r2を計算する第一リスト情報計算部と、
    上記乱数rと上記計算されたzν−r1r2とから構成される情報の組(r,zν−r1r2)が記憶される第一リスト記憶部と、
    0以上K未満の整数の一様乱数であるdを生成する第三乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第四乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第五乱数生成部と、
    第三入力情報g=μ r4d1を計算する第三入力情報計算部と、
    第四入力情報h=μ r5を計算する第四入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν−r4r5を計算する第二リスト情報計算部と、
    上記dと上記rと上記計算されたzν−r4r5とから構成される情報の組(d,r,zν−r4r5)が記憶される第二リスト記憶部と、
    上記第一リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第二リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、sをσに代入し、wをν’に代入する第一判定部と、
    0以上K未満の整数の一様乱数であるrを生成する第六乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第七乱数生成部と、
    第五入力情報g=gr6を計算する第五入力情報計算部と、
    第六入力情報h=μ r7σhを計算する第六入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν’−r6r7を計算する第三リスト情報計算部と、
    上記rと上記計算されたzν’−r6r7とから構成される情報の組(r,zν’−r6r7)が記憶される第三リスト記憶部と、
    0以上K未満の整数の一様乱数であるdを生成する第八乱数生成部と、
    0以上K未満の整数の一様乱数であるrを生成する第九乱数生成部と、
    0以上K未満の整数の一様乱数であるr10を生成する第十乱数生成部と、
    第七入力情報g=μ r9を計算する第七入力情報計算部と、
    第八入力情報h=μ r10σd2を計算する第八入力情報計算部と、
    上記計算装置から受信したz∈Fを用いて、zν’−r9r10を計算する第四リスト情報計算部と、
    上記dと上記rと上記計算されたzν’−r9r10とから構成される情報の組(d,r,zν’−r9r10)が記憶される第四リスト記憶部と、
    上記第三リスト記憶部から読み込んだ情報の組の第一成分をsとし、第二成分をwとし、上記第四リスト記憶部から読み込んだ情報の組の第一成分をtとし、第二成分をsとし、第三成分をwとして、これらの情報の組が(w)^(t −1)=wの関係を満たすかを判定し、その関係を満たす場合には、(w)^(s −1)を出力する第二判定部と、
    を含む依頼装置。
  18. 請求項7又は請求項17の依頼装置の各部としてコンピュータを機能させるためのプログラム。
  19. 請求項18の依頼装置プログラムが記録されたコンピュータ読み取り可能な記録媒体。
JP2011549975A 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体 Active JP5379869B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011549975A JP5379869B2 (ja) 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP2010003924 2010-01-12
JP2010003924 2010-01-12
JP2010007835 2010-01-18
JP2010007835 2010-01-18
JP2011549975A JP5379869B2 (ja) 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体
PCT/JP2011/050278 WO2011086992A1 (ja) 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体

Publications (2)

Publication Number Publication Date
JPWO2011086992A1 JPWO2011086992A1 (ja) 2013-05-20
JP5379869B2 true JP5379869B2 (ja) 2013-12-25

Family

ID=44304266

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011549975A Active JP5379869B2 (ja) 2010-01-12 2011-01-11 代理計算システム、方法、依頼装置、プログラム及びその記録媒体

Country Status (6)

Country Link
US (1) US9037623B2 (ja)
EP (2) EP2808860A1 (ja)
JP (1) JP5379869B2 (ja)
KR (1) KR101344352B1 (ja)
CN (1) CN102687184B (ja)
WO (1) WO2011086992A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5496756B2 (ja) * 2010-04-16 2014-05-21 日本電信電話株式会社 環準同型を計算可能な公開鍵暗号方法、環準同型を計算可能な公開鍵暗号システム、送信装置、処理装置、受信装置、それらのプログラム及び記録媒体
EP2634760A4 (en) * 2010-10-26 2017-01-11 Nippon Telegraph And Telephone Corporation Substitution calculation system, calculation apparatus, capability providing apparatus, substitution calculation method, capability providing method, program, and recording medium
CN103392197B (zh) * 2011-03-04 2016-04-13 日本电信电话株式会社 代理计算***、方法、委托装置
JP5562284B2 (ja) * 2011-04-12 2014-07-30 日本電信電話株式会社 再暗号化システム、再暗号化装置、能力提供装置、再暗号化方法、能力提供方法、及びプログラム
JP5596616B2 (ja) * 2011-05-12 2014-09-24 日本電信電話株式会社 情報提供システム、仲介装置、仲介方法、情報提供方法、及びプログラム
WO2014088130A1 (en) * 2012-12-05 2014-06-12 Inha-Industry Partnership Institute Proxy signature scheme
WO2014112523A1 (ja) 2013-01-16 2014-07-24 日本電信電話株式会社 復号サービス提供装置、処理装置、安全性評価装置、プログラム、および記録媒体
WO2015008605A1 (ja) 2013-07-18 2015-01-22 日本電信電話株式会社 計算装置、計算方法、およびプログラム
CN105339995B (zh) 2013-07-18 2018-04-06 日本电信电话株式会社 解密装置、解密能力提供装置、其方法、以及记录介质
JP6055919B2 (ja) 2013-07-18 2016-12-27 日本電信電話株式会社 鍵クラウドシステムおよび復号方法
EP3059898B1 (en) 2013-10-16 2019-05-22 Nippon Telegraph and Telephone Corporation Key device, key cloud system, decryption method, and program
CN106462689B (zh) 2014-05-13 2019-06-14 日本电信电话株式会社 安全***、管理装置、许可装置、终端装置、安全方法以及记录介质
CN107113168B (zh) * 2015-01-16 2020-09-08 日本电信电话株式会社 密钥交换方法、密钥交换***、密钥装置、终端装置和记录介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002082609A (ja) * 2000-09-06 2002-03-22 Toyo Commun Equip Co Ltd 依頼計算を用いた演算装置、及び記録媒体

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0381523A3 (en) * 1989-02-02 1993-03-03 Kabushiki Kaisha Toshiba Server-aided computation method and distributed information processing unit
US6509728B1 (en) * 1998-05-28 2003-01-21 Anritsu Corporation Spectrum analyzer having function of displaying amplitude probability distribution effectively
FR2877453A1 (fr) 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002082609A (ja) * 2000-09-06 2002-03-22 Toyo Commun Equip Co Ltd 依頼計算を用いた演算装置、及び記録媒体

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
CSNG200400701001; 松本 勉,今井 秀樹: '"検算可能な依頼計算"' 電子情報通信学会技術研究報告 Vol.89,No.45, 19890519, p.21-28, 社団法人電子情報通信学会 *
CSNG200400703001; 松本 勉,今井 秀樹: '"検算可能な依頼計算(その3)"' 電子情報通信学会技術研究報告 Vol.89,No.215, 19890925, p.25-28, 社団法人電子情報通信学会 *
JPN6013045925; 松本 勉,今井 秀樹: '"検算可能な依頼計算"' 電子情報通信学会技術研究報告 Vol.89,No.45, 19890519, p.21-28, 社団法人電子情報通信学会 *
JPN6013045927; 松本 勉,今井 秀樹: '"検算可能な依頼計算(その2)"' 電子情報通信学会技術研究報告 Vol.89,No.145, 19890721, p.13-20, 社団法人電子情報通信学会 *
JPN6013045928; 松本 勉,今井 秀樹: '"検算可能な依頼計算(その3)"' 電子情報通信学会技術研究報告 Vol.89,No.215, 19890925, p.25-28, 社団法人電子情報通信学会 *
JPN6013045934; Manuel Blum, and Hal Wasserman: '"Reflections on the Pentium Division Bug"' IEEE Transactions on Computers VOL.45, NO.4, 199604, p.385-393 *
JPN7013003437; 山本 剛,小林 鉄太郎: '"準同型写像に対する自己訂正について"' 2010年 暗号と情報セキュリティシンポジウム 2D2-3, 20100119, p.1-6, 2010年 暗号と情報セキュリティシンポジウム実行 *

Also Published As

Publication number Publication date
EP2525341A1 (en) 2012-11-21
CN102687184A (zh) 2012-09-19
US20120323981A1 (en) 2012-12-20
US9037623B2 (en) 2015-05-19
EP2525341A4 (en) 2014-01-08
JPWO2011086992A1 (ja) 2013-05-20
EP2525341B1 (en) 2016-04-06
EP2808860A1 (en) 2014-12-03
CN102687184B (zh) 2015-11-25
WO2011086992A1 (ja) 2011-07-21
KR20120101506A (ko) 2012-09-13
KR101344352B1 (ko) 2013-12-24

Similar Documents

Publication Publication Date Title
JP5379869B2 (ja) 代理計算システム、方法、依頼装置、プログラム及びその記録媒体
US10116443B1 (en) Pairing verification in supersingular isogeny-based cryptographic protocols
US12028454B2 (en) Multi-party threshold authenticated encryption
Gentry et al. Using fully homomorphic hybrid encryption to minimize non-interative zero-knowledge proofs
US10218504B1 (en) Public key validation in supersingular isogeny-based cryptographic protocols
JP5736816B2 (ja) 認証装置、認証方法、プログラム、及び署名生成装置
JP6349841B2 (ja) 暗号文処理装置、暗号文処理方法、暗号文処理プログラムおよび情報処理装置
EP2334008A1 (en) A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure
JP2020508021A (ja) キー交換デバイス及び方法
US11438152B2 (en) Distributed symmetric encryption
Bishop et al. New circular security counterexamples from decision linear and learning with errors
US8484471B2 (en) Multi-party distributed multiplication device, multi-party distributed multiplication system and method
US20220385954A1 (en) Embedding information in elliptic curve base point
JP5314449B2 (ja) 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム
Yasuda et al. Constructions for the IND-CCA1 secure fully homomorphic encryption
Meshram et al. An UF-IBSS-CMA protected online/offline identity-based short signature technique using PDL
JP5227764B2 (ja) 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム
JP6267657B2 (ja) 安全性強化方法、安全性強化システム、安全性強化装置、検証装置、およびプログラム
Behnia Efficient post-quantum and compact cryptographic constructions for the Internet of Things
US20230125560A1 (en) Cryptographic Computer Machines with Novel Switching Devices
Syed et al. An Efficient Two-Party ECDSA Scheme for Cryptocurrencies
Schneider et al. Basics of Efficient Secure Function Evaluation
Thorncharoensri et al. Fair multi-signature
JP2003234733A (ja) 情報登録方法、端末装置、情報登録サーバ、情報登録システム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130917

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130927

R150 Certificate of patent or registration of utility model

Ref document number: 5379869

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350