JP5458116B2 - データ分散装置、分散データ変換装置、データ復元装置 - Google Patents
データ分散装置、分散データ変換装置、データ復元装置 Download PDFInfo
- Publication number
- JP5458116B2 JP5458116B2 JP2012001078A JP2012001078A JP5458116B2 JP 5458116 B2 JP5458116 B2 JP 5458116B2 JP 2012001078 A JP2012001078 A JP 2012001078A JP 2012001078 A JP2012001078 A JP 2012001078A JP 5458116 B2 JP5458116 B2 JP 5458116B2
- Authority
- JP
- Japan
- Prior art keywords
- value
- data
- values
- unit
- variance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明はこのような点に鑑みてなされたものであり、秘密分散方式の分散値のデータ量を抑えることを目的とする。
〔第1実施形態〕
まず、第1実施形態の概要を説明する。
第1実施形態では、N, Kが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を集合Gの要素に移す写像である。集合Gは演算が定義された集合であり、集合Gは下記の処理が実行可能であれば任意で良く、例えば非特許文献1のように有限体GF(p)である。写像P(x)は、入力された「xに対応する値」に対して集合Gの要素を出力するものである。同一の「xに対応する値」には同一の「P(x)」が対応する。すなわち、写像P(x)は入力が等しければ出力も等しくなる、確定的な写像である。「xに対応する値」と「P(x)」とは一対一で対応してもよいし、しなくてもよい。「xに対応する値」は、値xそのものであってもよいし、xとその他の値との組み合わせ値であってもよい。写像P(x)の例はxをシードとして集合Gの要素を返す擬似乱数生成関数である。また例えば、xを秘密鍵として固定の平文に対して集合Gに属する暗号文を出力する共通鍵暗号関数をP(x)として用いることができる。「写像」は関数であってもよいし、アルゴリズムであってもよい。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、K-1個の値a(k)=P(v(k))∈G (k=1,...,K-1)を得、N個の分散値Tk(α)=v(k) (k=1,...,K-1), Tθ(α)=f(n(θ)) (θ=K,...,N)を得る。ただし、n(0), n(1),...,n(N)が互いに異なる値であり、値n(1),...,n(K-1)と集合Gの要素である値α∈Gとについてf(n(k))=a(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式がf(x)である。データ分散装置で得られたN個の分散値Ti(α) (i=1,...,N)は、例えばN個のデータ記憶部装置のそれぞれに提供され、格納される。
図1に例示するように、第1実施形態の秘密分散システム1は、データ分散装置110、N個のデータ記憶装置120−i(i=1,...,N)、K-1個の分散データ変換装置140−k(k=1,...,K-1)、及びデータ復元装置130を有する。データ分散装置110は、ネットワークや可搬型記録媒体などを経由して、N個のデータ記憶装置120−i(i=1,...,N)に対して情報の提供が可能である。N個のデータ記憶装置120−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、K-1個の分散データ変換装置140−k(k=1,...,K-1)と情報のやり取りが可能である。さらに、N個のデータ記憶装置120−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、データ復元装置130に対して情報の提供が可能である。
図4Aに例示するように、データ分散装置110(図2A)の入力部111に秘密分散される値α∈Gが入力される(ステップS111)。値αの例は、動画ファイル、音声ファイル、テキストファイル、表ファイルなどである。値αのデータ量、すなわち集合Gの要素のデータ量は、例えば1メガバイト以上である。
図4Bを用い、分散データ変換装置140−κ (κ∈{1,...,K-1})が実行する分散データ変換処理を説明する。
データ記憶装置120−κ (κ∈{1,...,K-1})の記憶部123b−κに格納された分散値Tκ(α)=v(κ)は出力部122−κに送られ、出力部122−κは分散値Tκ(α)=v(κ)を出力する。出力された分散値Tκ(α)=v(κ)は、ネットワーク等を経由して、対応する分散データ変換装置140−κ(図3B)に送信される。分散データ変換装置140−κに提供された分散値Tκ(α)は入力部141−κに入力され、記憶部143b−κに格納される(ステップS141−κ)。
K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置120−λ(図2B)は、記憶部123b−λに格納された分散値Tλ(α)を出力するか、又は、秘密計算を行ってその結果を表す分散値Eλを出力する。
図4Cに例示するように、データ復元装置130(図3A)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応するK個の分散値Tλ(α)又はK個の分散値Eλが入力される(ステップS131)。制御部134は、K個の分散値Tλ(α)が入力されたか、K個の分散値Eλが入力されたかを判定する(ステップS132)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。すなわち、本形態のN個の分散値Ti(α) (i=1,...,N)のうち、K-1個の分散値Tk(α) (k=1,...,K-1)は分散値Tk(α)=v(k) (k=1,...,K-1)である。これに対して、値α∈GをShamir秘密分散方式に従って秘密分散して得られる分散値のデータ量は集合Gの要素(1個の要素)のデータ量以上である。従って、分散値Tk(α)=v(k)のそれぞれのデータ量は、値α∈GをShamir秘密分散方式に従って秘密分散して得られる分散値よりもデータ量が小さい。分散値のデータ量をどの程度削減できるかは、v(k)のデータ量と集合Gの要素のデータ量との違いに依存する。例えば、値v(k) (k=1,...,K-1)の合計データ量が、集合GのK-1個の要素の合計データ量よりも小さいのであれば、本形態の分散値の総データ量は、従来の秘密分散方式の分散値の総データ量よりも小さくなる。値v(k) (k=1,...,K-1)の合計データ量が集合GのK-1個の要素の合計データ量よりも小さくなるのは、例えば、値v(k)の何れかのデータ量が集合Gの要素のデータ量よりも小さい場合や、値v(k)それぞれのデータ量が集合Gの要素のデータ量よりも小さい場合などである。さらに、値v(k)それぞれのデータ量が集合Gの要素のデータ量に対して無視できる程度に小さいのであれば、N個の分散値Ti(α) (i=1,...,N)のうちK-1個の分散値Tk(α)=v(k) (k=1,...,K-1)のデータ量は無視でき、N個の分散値Ti(α) (i=1,...,N)の合計データ量は、集合Gの(N-K+1)個の要素の合計データ量と同程度となる。
次に、本発明の第2実施形態を説明する。本形態は第1実施形態の変形例であり、同一の値v(k)を複数の秘密分散に流用することで分散値のデータ量をさらに削減する。以下では第1実施形態との相違点を中心に説明する。第1実施形態と共通する処理部やステップには第1実施形態と同じ参照符号を用い、説明を簡略化する。
第2実施形態では、N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を集合Gの要素に移す写像である。本形態の集合G、写像P(x)の具体例は、第1実施形態で説明した集合G、写像P(x)の具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、rと値v(k)とに対応する値をz(r, v(k))とし、rのそれぞれに対してK-1個の値ar(k)=P(z(r, v(k))) (r=1,...,R, k=1,...,K-1)を得、k(k=1,...,K-1)のそれぞれについてR個のTk(α1),...,Tk(αR)の少なくとも1個をv(k)とし、Tθ(αr)=fr(nr(θ)) (θ=K,...,N)とし、rのそれぞれについてN個の分散値Ti(αr) (i=1,...,N, r=1,...,R)を得る。ただし、fr(x)は、値nr(1),...,nr(K-1)と集合Gの要素である値αr∈Gとについてfr(nr(k))=ar(k) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式である。同一のrに対応する値nr(0), nr(1),...,nr(N)が互いに異なる。同一の「rとv(k)との組み合わせ」には同一の「z(r, v(k))」が対応する。z(r, v(k))と「rとv(k)との組み合わせ(r, v(k))」とは一対一で対応してもよいし、しなくてもよい。
図1に例示するように、第2実施形態の秘密分散システム2は、データ分散装置210、N個のデータ記憶装置220−i(i=1,...,N)、K-1個の分散データ変換装置240−k(k=1,...,K-1)、及びデータ復元装置230を有する。データ分散装置210は、ネットワークや可搬型記録媒体などを経由して、N個のデータ記憶装置220−i(i=1,...,N)に対して情報の提供が可能である。N個のデータ記憶装置220−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、K-1個の分散データ変換装置240−k(k=1,...,K-1)と情報のやり取りが可能である。さらに、N個のデータ記憶装置220−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、データ復元装置230に対して情報の提供が可能である。
図5Aに例示するように、データ分散装置210(図2A)の入力部111に秘密分散される値αが入力される(ステップS111)。値αは分割部211に入力される。分割部211は、値αを集合Gの要素であるR個の値αr ∈G (r=1,...,R)に分割し、R個の値αr (r=1,...,R)を出力する(ステップS211)。例えば、分割部211は、R個の値αr(r=1,...,R)のビット結合値が値αとなるように分割を行う。
図5Bを用い、分散データ変換装置240−κ(κ∈{1,...,K-1})が実行する分散データ変換処理を説明する。
データ記憶装置220−κ(κ∈{1,...,K-1})の記憶部123b−κに格納された分散値Tκ(αr) (r=1,...,R)は出力部122−κに送られ、出力部122−κは分散値Tκ(αr) (r=1,...,R)を出力する。出力された分散値Tκ(αr) (r=1,...,R)は、ネットワーク等を経由して、対応する分散データ変換装置240−κ (κ∈{1,...,K-1})(図3B)に送信される。分散データ変換装置240−κに提供された分散値Tκ(αr) (r=1,...,R)は入力部141−κに入力され、記憶部143b−κに格納される(ステップS241−κ)。
K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置220−λ(図2B)は、記憶部123b−λに格納された分散値Tλ(αr) (r=1,...,R)を出力するか、又は、秘密計算を行ってその結果を表す分散値Eλ,r (r=1,...,R)を出力する。
図5Cに例示するように、データ復元装置230(図3A)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr) (r=1,...,R)又は分散値Eλ,r (r=1,...,R)が入力される(ステップS231)。制御部234は、分散値Tλ(α)が入力されたか、分散値Eλが入力されたかを判定する(ステップS232)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。すなわち、本形態の分散値Ti(αr) (i=1,...,N)のうち、分散値Tk(αr) (k=1,...,K-1)はv(k) (k=1,...,K-1)である。これに対して、値αr∈GをShamir秘密分散方式に従って秘密分散して得られる分散値のデータ量は集合Gの要素(1個の要素)のデータ量以上である。従って、分散値Tk(α)=v(k)のそれぞれのデータ量は、値α∈GをShamir秘密分散方式に従って秘密分散して得られる分散値よりもデータ量が小さい。分散値のデータ量をどの程度削減できるかは、v(k)のデータ量と集合Gの要素のデータ量との違いに依存する。例えば、値v(k) (k=1,...,K-1)の合計データ量が、集合GのK-1個の要素の合計データ量よりも小さいのであれば、本形態の分散値の総データ量は、従来の秘密分散方式の分散値の総データ量よりも小さくなる。値v(k) (k=1,...,K-1)の合計データ量が集合GのK-1個の要素の合計データ量よりも小さくなるのは、例えば、値v(k)の何れかのデータ量が集合Gの要素のデータ量よりも小さい場合や、値v(k)それぞれのデータ量が集合Gの要素のデータ量よりも小さい場合などである。さらに、値v(k)それぞれのデータ量が集合Gの要素のデータ量に対して無視できる程度に小さいのであれば、N個の分散値Ti(αr) (i=1,...,N)のうち分散値Tk(αr)=v(k) (k=1,...,K-1)のデータ量は無視でき、分散値Ti(αr) (i=1,...,N, r=1,...,R)の合計データ量は、集合GのR×(N-K+1)個の要素の合計データ量と同程度となる。一方で値αr (r=1,...,R)をShamir秘密分散方式に従って秘密分散して得られる分散値の合計データ量は、集合GのR×N個の要素の合計データ量と同程度となる。従って、この場合の本形態の分散値Ti(αr) (i=1,...,N, r=1,...,R)の合計データ量は、Shamir秘密分散方式での分散値の合計データ量の(N-K+1)/N倍となる。N≧Kであるため、この場合の本形態の分散値Ti(αr) (i=1,...,N, r=1,...,R)の合計データ量は、Shamir秘密分散方式での分散値の合計データ量よりも小さい。
次に、本発明の第3実施形態を説明する。本形態は第1実施形態の変形例であり、第1実施形態の分散値が含んでいた要素をさらに秘密分散し、データ量をさらに削減するものである。以下では上述の実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第3実施形態では、N, Kが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を集合Gの要素に移す写像である。本形態の集合G、写像P(x)の具体例は、第1実施形態で説明した集合G、写像P(x)の具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、K-1個の値a(k)=P(v(k))∈G (k=1,...,K-1)を得、値f(n(K))を得る。ただし、f(x)は、値n(1),...,n(K-1)と集合Gの要素である値α∈Gとについてf(n(k))=a(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式がf(x)である。n(0), n(1),...,n(K)は互いに異なる。データ分散装置は、(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得、(K, N)閾値秘密分散法Uに従って、値f(n(K))を秘密分散してN個の分散値Ui(f(n(K))) (i=1,...,N)を得、N個の分散値Ti(α)=(V1,i(v(1)),...,VK-1,i(v(K-1)), Ui(f(n(K)))) (i=1,...,N)を得る。どのような方式が(K, N)閾値秘密分散法Vkや(K, N)閾値秘密分散法Uとして用いられてもよい。(K, N)閾値秘密分散法Uには、1個のUi(f(n(K)))のデータ量が集合Gの1個の要素のデータ量よりも小さい方式が用いられることの望ましい。例えば、参考文献1「H.Krawczyk, “Secret sharing made short,” CRYPTO’93, pp.136-146, 1993.」に記載された方式を(K, N)閾値秘密分散法Uとして用いることが望ましい(詳細は後述)。分散値Vk,i(v(k)) (k=1,...,K-1)それぞれのデータ量が集合Gの要素のデータ量よりも小さいことが望ましい。(K, N)閾値秘密分散法V1,...,VKは、互いに同一の方式であってもよいし、そうでなくてもよい。(K, N)閾値秘密分散法Vkの例は、参考文献1に記載された方式や参考文献1に記載された方式である。
図6に例示するように、第3実施形態の秘密分散システム3は、データ分散装置310、N個のデータ記憶装置320−i(i=1,...,N)、N個の分散データ変換装置340−i(i=1,...,N)、及びデータ復元装置330を有する。データ分散装置310は、ネットワークや可搬型記録媒体などを経由して、N個のデータ記憶装置320−i(i=1,...,N)に対して情報の提供が可能である。N個のデータ記憶装置320−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、N個の分散データ変換装置340−i(i=1,...,N)と情報のやり取りが可能である。N個の分散データ変換装置340−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、互いに情報の提供が可能である。さらに、N個のデータ記憶装置320−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、データ復元装置330に対して情報の提供が可能である。
本形態の分散データ変換装置340−λは、制御部340−λの制御のもとで各処理を実行する。入力部340−λに入力されたデータや各処理で得られたデータはメモリ143a−λや記憶部143b−λに格納され、メモリ143a−λや記憶部143b−λに格納されたデータは必要に応じて読み出されて他の処理に利用される。
図11Aに例示するように、データ分散装置310(図7A)の入力部111に秘密分散される値α∈Gが入力される(ステップS111)。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。値v(k) (k=1,...,K-1)は変換部116に入力される。変換部116は、入力された値v(k) (k=1,...,K-1)からK-1個の値a(k)=P(v(k))∈G (k=1,...,K-1)を計算し、当該K-1個の値a(k)=P(v(k)) (k=1,...,K-1)を出力する(ステップS113)。
内部分散部318は、共通鍵暗号方式の共通鍵d(例えば128ビットのデータ)を選択し、共通鍵dを用いて値τを暗号化し、共通鍵暗号方式の暗号文C(d, τ)を生成する。内部分散部318は、暗号文C(d, τ)をC(d, τ)=C(0)|C(1)|...|C(K-1)を満たすC(0),C(1),...,C(K-1)に分割する。ただし、C(0)|C(1)|...|C(K-1)は、C(0),C(1),...,C(K-1)のビット結合を表す。内部分散部318は、C(k)(k=0,...,K-1)をk次の係数としたK次多項式γ(x)=Συ=0 K-1 C(k)・xυを定め、K次多項式γ(x)のN個の関数値γ(i) mod q (i=0,...,N-1)を求める。ここでqは、C(0),C(1),...,C(K-1)よりも大きな素数である。内部分散部318は、Shamir秘密分散方式等の(K, N)閾値秘密分散法に従って共通鍵dを秘密分散してN個の分散値SH(1,d),...,SH(N,d)を生成し、分散値Ui(τ)=(γ(i) mod q, SH(i,d))(i=0,...,N-1)を生成する。
[(K, N)閾値秘密分散法Uの例示2]
内部分散部318は、ξビット(例えば128ビット)のランダムな値d,d(0),...,d(N-2)∈{0,1}ξを選択し、dを共通鍵暗号方式の共通鍵とし、d(N-1)=d-d(0)-...-d(N-2) mod 2ξとする。内部分散部318は、共通鍵dを用いて値τを暗号化し、共通鍵暗号方式の暗号文C(d, τ)を生成する。内部分散部318は、暗号文C(d, τ)をC(d, τ)=C(0)|C(1)|...|C(K-1)を満たすC(0),C(1),...,C(K-1)に分割する。内部分散部318は、C(k)(k=0,...,K-1)をk次の係数としたK次多項式γ(x)=Συ=0 K-1 C(k)・xυを定め、K次多項式γ(x)のN個の関数値γ(i) mod q (i=0,...,N-1)を求める。内部分散部318は、分散値Ui(τ)=(d(i mod N),...,d(i+N-2 (mod N)), γ(i) mod q)(i=0,...,N-1)を生成する([(K, N)閾値秘密分散法Uの例示]終わり)。
図12A〜12Cを用い、分散データ変換装置340−λ(λ∈{1,...,N})が実行する分散データ変換処理を説明する。
[分散データ変換装置340−κ(κ∈{1,...,K-1})の処理(図12A)]
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置320−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(α)が含むVκ,λ(v(κ))が出力される。K個の互いに異なるλ∈{1,...,N}に対応するK個のVκ,λ(v(κ))は、ネットワーク等を経由して、分散データ変換装置340−κ(κ∈{1,...,K-1})(図9A)の入力部141−κに入力され、記憶部143b−κに格納される(ステップS341−κ)。
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置320−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(α)が含むUλ(f(n(K)))が出力される。K個の互いに異なるλ∈{1,...,N}に対応するK個のUλ(f(n(K)))は、ネットワーク等を経由して、分散データ変換装置340−K(図9B)の入力部141−Kに入力され、記憶部143b−Kに格納される(ステップS341−K)。
前述の[(K, N)閾値秘密分散法Uの例示1]に従ってUλ(f(n(K)))が生成されている場合、変換分散値生成部346−Kは、K個のUλ(f(n(K)))=(γ(λ), SH(λ,d))が含むK個のγ(λ)から、qを法としたK次多項式γ(x)=Συ=0 K-1 C(υ)・xυの係数C(0) mod q,C(1) mod q,...,C(K-1) mod qを求め、暗号文C(d, f(n(K)))=C(0) mod q |C(1) mod q |...|C(K-1) mod qを生成する。なお、係数C(0) mod q,C(1) mod q,...,C(K-1) mod qは(x, γ(x))=(k, γ(k))をK次多項式γ(x)に代入して得られる方程式を解くことで得られる。変換分散値生成部346−Kは、K個のUλ(f(n(K)))=(γ(λ), SH(λ,d))が含むK個のSH(λ,d)から共通鍵dを復元し、共通鍵dを用いて暗号文C(d, f(n(K)))を復号することで値f(n(K))を復元する。
前述の[(K, N)閾値秘密分散法Uの例示2]に従ってUλ(f(n(K)))が生成されている場合、変換分散値生成部346−Kは、K個の分散値Uλ(f(n(K)))=(d(λ mod N),...,d(λ+N-2 (mod N)), γ(λ))が含むK個のγ(λ)から、qを法としたK次多項式γ(x)の係数C(0) mod q,C(1) mod q,...,C(K-1) mod qを求め、暗号文C(d, f(n(K)))=C(0) mod q |C(1) mod q |...|C(K-1) mod qを生成する。変換分散値生成部346−Kは、K個の分散値Uλ(f(n(K)))=(d(λ mod N),...,d(λ+N-2 (mod N)), γ(λ))が含むd(λ mod N),...,d(λ+N-2 (mod N))から共通鍵d=d(0)+...+d(N-1) mod 2ζを計算し、共通鍵dを用いて暗号文C(d, f(n(K)))を復号することで値f(n(K))を復元する([f(n(K))の復元方法の例示]終わり)。
分散データ変換装置340−η (η∈{K+1,...,N})(図10)の変換分散値生成部346−ηは、n(1),...,n(K)と異なるn(η)に対応するF(n(η))を生成し、F(n(η))を変換分散値Sη(α)=F(n(η))として出力する。ただし、F(x)は、K個の互いに異なるλ∈{1,...,N}に対応するK個のVk,λ(v(k))から復元されるv(k)から得られるf(n(k))=P(v(k)) (k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応するK個のUλ(f(n(K)))から復元されるf(n(K))とからなる、f(n(μ)) (μ=1,...,K)に対してF(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式である。
<分散値提供・秘密計算>
第1実施形態と同様、K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置320−λ(図7B)は、記憶部123b−λに格納された分散値Tλ(α)を出力するか、又は、秘密計算部327−λで秘密計算を行ってその結果を表す分散値Eλを出力する。これらはネットワーク等を経由してデータ復元装置330に送られる。
図13に例示するように、データ復元装置330(図8)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応するK個の分散値Tλ(α)又はK個の分散値Eλが入力される(ステップS331)。制御部134は、K個の分散値Tλ(α)が入力されたか、K個の分散値Eλが入力されたかを判定する(ステップS332)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。例えば、値v(k) (k=1,...,K-1)それぞれのデータ量が集合Gの要素のデータ量に対して十分小さい場合(例えば、(v(m)それぞれのデータ量)/(集合Gの要素のデータ量)≦80/106)、本形態の分散値Ti(α)=(V1,i(v(1)),...,VK-1,i(v(K-1)), Ui(f(n(K))))のデータ量はUi(f(n(K)))のデータ量とみなすことができる。分散値Ui(f(n(K)))のデータ量が集合Gの要素のデータ量よりも小さいとすると、本形態の分散値Ti(α)のデータ量は従来のShamir秘密分散の分散値のデータ量よりも小さくなる。例えば、参考文献1の方式で分散値Ui(f(n(K)))が生成される場合、共通鍵dの分散値のデータ量を無視すれば、分散値Ui(f(n(K)))のデータ量は、集合Gの要素のデータ量のおよそ1/K倍とみなすことができる。そのため、分散値の総データ量は元データαのおよそN/K倍、復元に必要な分散値の総データ量は元データαのデータ量とほぼ等しくなり、何れもShamir秘密分散と比べてデータ量をおよそ1/K倍に削減できる。
〔第4実施形態〕
次に、本発明の第4実施形態を説明する。本形態は第3実施形態の変形例であり、同一の値v(k)を複数の秘密分散に流用することで分散値のデータ量をさらに削減する。以下では上述の実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第4実施形態では、N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を集合Gの要素に移す写像である。本形態の集合G、写像P(x)の具体例は、第1実施形態で説明した集合G、写像P(x)の具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、rと値v(k)とに対応する値をz(r, v(k))とし、rのそれぞれに対してK-1個の値ar(k)=P(z(r, v(k))) (r=1,...,R, k=1,...,K-1)を得、値fr(nr(K))を得る。ただし、同一のrに対応する値nr(0), nr(1),...,nr(K)が互いに異なり、値nr(1),...,nr(K-1)と集合Gの要素である値αr∈Gとについてfr(nr(k))=ar(k) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式がfr(x)である。データ分散装置は、(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得、rのそれぞれについて、(K, N)閾値秘密分散法Urに従って、値fr(nr(K))を秘密分散してN個の分散値Ur,i(fr(nr(K))) (i=1,...,N)を得、r (r=1,...,R)のそれぞれについてN個の分散値Ti(αr)=(Vr,1,i(v(1)),...,Vr,K-1,i(v(K-1)), Ur,i(fr(nr(K)))) (r=1,...,R, i=1,...,N)を得る。ただし、V1,k,i(v(k)),...,VR,k,i(v(k))の少なくとも何れかが分散値Vk,i(v(k))である。どのような方式が(K, N)閾値秘密分散法Urとして用いられてもよい。(K, N)閾値秘密分散法Urには、1個のUr,i(fr(nr(K)))のデータ量が集合Gの1個の要素のデータ量よりも小さい方式が用いられることの望ましい。例えば、参考文献1に記載された方式を(K, N)閾値秘密分散法Urとして用いることが望ましい。(K, N)閾値秘密分散法U1,...,URは、互いに同一の方式であってもよいし、そうでなくてもよい。
図6に例示するように、第4実施形態の秘密分散システム4は、データ分散装置410、N個のデータ記憶装置420−i(i=1,...,N)、N個の分散データ変換装置440−i(i=1,...,N)、及びデータ復元装置430を有する。データ分散装置410は、ネットワークや可搬型記録媒体などを経由して、N個のデータ記憶装置420−i(i=1,...,N)に対して情報の提供が可能である。N個のデータ記憶装置420−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、N個の分散データ変換装置440−i(i=1,...,N)と情報のやり取りが可能である。N個の分散データ変換装置440−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、互いに情報の提供が可能である。さらに、N個のデータ記憶装置420−i(i=1,...,N)のそれぞれは、ネットワークや可搬型記録媒体などを経由して、データ復元装置430に対して情報の提供が可能である。
本形態の分散データ変換装置440−λは、制御部440−λの制御のもとで各処理を実行する。入力部440−λに入力されたデータや各処理で得られたデータはメモリ143a−λや記憶部143b−λに格納され、メモリ143a−λや記憶部143b−λに格納されたデータは必要に応じて読み出されて他の処理に利用される。
図14に例示するように、データ分散装置310(図7A)の入力部111に秘密分散される値αが入力される(ステップS111)。値αは分割部211に入力される。分割部211は、値αを集合Gの要素であるR個の値αr ∈G (r=1,...,R)に分割し、R個の値αr (r=1,...,R)を出力する(ステップS211)。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。値v(k) (k=1,...,K-1)は変換部216に入力される。変換部216は、rと値v(k)とに対応する値をz(r, v(k))とし、rのそれぞれに対してK-1個の値ar(k)=P(z(r, v(k))) (r=1,...,R, k=1,...,K-1)を生成し、当該(K-1)×R個の値ar(k)=P(z(r, v(k))) (r=1,...,R, k=1,...,K-1)を出力する(ステップS213)。
図15A〜15Cを用い、分散データ変換装置440−λ(λ∈{1,...,N})が実行する分散データ変換処理を説明する。
[分散データ変換装置440−κ(κ∈{1,...,K-1})の処理(図15A)]
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置420−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(αr) (r=1,...,R)が含むVr,κ,λ(v(κ)) (r=1,...,R)が出力される。K個の互いに異なるλ∈{1,...,N}に対応するVr,κ,λ(v(κ)) (r=1,...,R)は、ネットワーク等を経由して、分散データ変換装置440−κ(κ∈{1,...,K-1})(図9A)の入力部141−κに入力され、記憶部143b−κに格納される(ステップS441−κ)。
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置420−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(αr)が含むUr,λ(fr(nr(K))) (r=1,...,R)が出力される。K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr)が含むUr,λ(fr(nr(K))) (r=1,...,R)は、ネットワーク等を経由して、分散データ変換装置440−K(図9B)の入力部141−Kに入力され、記憶部143b−Kに格納される(ステップS441−K)。
分散データ変換装置440−η (η∈{K+1,...,N})(図10)の変換分散値生成部446−ηは、nr(μ) (μ=1,...,K)と異なるnr(η)に対応するFr(nr(η)) (η∈{K+1,...,N}, r=1,...,R)を生成し、当該Fr(nr(η)) (η∈{K+1,...,N}, r=1,...,R)を変換分散値Sη(αr)=Fr(nr(η)) (r=1,...,R)として出力する。ただし、Fr(x)は、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr) (λ∈{1,...,N})が含むVk,λ(v(k))から復元されるv(k)から得られるfr(nr(k))=P(z(r,v(k))) (r=1,...,R, k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から復元される変換分散値fr(nr(K)) (r=1,...,R)とからなる、fr(nr(μ)) (μ=1,...,K)に対してFr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式である。
第2実施形態と同様、K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置420−λ(図7B)は、記憶部123b−λに格納された分散値Tλ(αr) (r=1,...,R)を出力するか、又は、秘密計算部427−λで秘密計算を行ってその結果を表す分散値Eλ,r(r=1,...,R)を出力する。これらはネットワーク等を経由してデータ復元装置430に送られる。
<データ復元処理>
図16に例示するように、データ復元装置430(図8)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr)又は分散値Eλ,rが入力される(ステップS431)。制御部134は、K個の分散値Tλ(αr)が入力されたか、K個の分散値Eλ,rが入力されたかを判定する(ステップS432)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。さらに同一の値v(k)を複数の値αr (r=0,...,R-1)の秘密分散に流用することで分散値のデータ量をさらに削減できる。さらに、分散データ変換装置での分散データ変換処理により、データ分散装置で得られた分散値からもとの値αrを復元することなく、秘密計算の入力とすることが可能な変換分散値を生成し、秘密計算を実行することもできる。
本形態は第1実施形態の変形例である。以下では第1実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第5実施形態では、N, Kが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を集合Gの要素に移す写像である。本形態の集合G、写像P(x)の具体例は、第1実施形態で説明した集合G、写像P(x)の具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、N個の分散値Tk(α)=v(k) (k=1,...,K-1), Tθ(α)=f(n(θ)) (θ=K,...,N)を得る。ただし、f(x)は集合Gの要素である値α∈Gついてf(n(k))=v(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式である。n(0), n(1),...,n(N)が互いに異なる。データ分散装置で得られたN個の分散値Ti(α) (i=1,...,N)は、例えばN個のデータ記憶部装置のそれぞれに提供され、格納される。
図17に例示するように、第5実施形態の秘密分散システム5は、データ分散装置510、N個のデータ記憶装置520−i(i=1,...,N)、及びデータ復元装置530を有する。データ分散装置510は、ネットワークや可搬型記録媒体などを経由して、N個のデータ記憶装置520−i(i=1,...,N)との情報のやり取りが可能である。
図19Aに例示するように、データ分散装置510(図18A)の入力部111に秘密分散される値α∈Gが入力される(ステップS111)。値αのデータ量、すなわち集合Gの要素のデータ量は、例えば1メガバイト以上である。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。値v(k)は、ある関数値FNC(v(k))から全数探索等の攻撃によってv(k)が特定されない程度のサイズであることが望ましい。例えば、値v(k)は80ビット程度かそれ以上の乱数であることが望ましい。
図19Bに例示するように、データ復元装置530(図18C)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応するK個の分散値Tλ(α)が入力される(ステップS531)。これらの分散値Tλ(α)は復元部536に入力され、復元部536は、これらの分散値Tλ(α)から得られるK個の値f(n(λ))に対してF(n(λ))=f(n(λ)) (λ∈{1,...,N})を満たすK-1次式F(x)の関数値F(n(0))=αを生成し、それによって得られた値αを出力する(ステップS532)。なお、前述のように、f(n(k))=Tk(α)=v(k) (k=1,...,K-1)であり、Tθ(α)=f(n(θ)) (θ=K,...,N)である。関数値F(n(0))=αの計算方法の一例は、第1実施形態で説明したラグランジュ補間法を用いる方法である(式(1))。値αは出力部132に入力され、そこから出力される(ステップS533)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。すなわち、本形態のN個の分散値Ti(α) (i=1,...,N)のうち、K-1個の分散値Tk(α) (k=1,...,K-1)は分散値Tk(α)=v(k) (k=1,...,K-1)である。これに対して、値α∈GをShamir秘密分散方式に従って秘密分散して得られる分散値のデータ量は集合Gの要素(1個の要素)のデータ量以上である。従って、分散値Tk(α)=v(k)のそれぞれのデータ量は、値α∈GをShamir秘密分散方式に従って秘密分散して得られる分散値よりもデータ量が小さい。分散値のデータ量をどの程度削減できるかは、v(k)のデータ量と集合Gの要素のデータ量との違いに依存する。例えば、値v(k) (k=1,...,K-1)の合計データ量が、集合GのK-1個の要素の合計データ量よりも小さいのであれば、本形態の分散値の総データ量は、従来の秘密分散方式の分散値の総データ量よりも小さくなる。値v(k) (k=1,...,K-1)の合計データ量が集合GのK-1個の要素の合計データ量よりも小さくなるのは、例えば、値v(k)の何れかのデータ量が集合Gの要素のデータ量よりも小さい場合や、値v(k)それぞれのデータ量が集合Gの要素のデータ量よりも小さい場合などである。
次に、本発明の第6実施形態を説明する。本形態は第2,5実施形態の変形例であり、同一の値v(k)を複数の秘密分散に流用することで分散値のデータ量をさらに削減する。以下では上述の実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第6実施形態では、N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合である。本形態の集合Gの具体例は、第1実施形態で説明した集合Gの具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、rと値v(k)とに対応する値をz(r, v(k))とし、rのそれぞれに対してK-1個の値ar(k)=z(r, v(k)) (r=1,...,R, k=1,...,K-1)を得、k(k=1,...,K-1)のそれぞれについてR個のTk(α1),...,Tk(αR)の少なくとも1個をv(k)とし、Tθ(αr)=fr(nr(θ)) (θ=K,...,N)とし、rのそれぞれについてN個の分散値Ti(αr) (i=1,...,N, r=1,...,R)を得る。ただし、fr(x)は、値nr(1),...,nr(K-1)と集合Gの要素である値αr∈Gとについてfr(nr(k))=ar(k) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式である。同一のrに対応する値nr(0), nr(1),...,nr(N)が互いに異なる。
図1に例示するように、第6実施形態の秘密分散システム6は、第2実施形態の秘密分散システム2が有するデータ分散装置210、K-1個の分散データ変換装置240−k(k=1,...,K-1)及びデータ復元装置230が、データ分散装置610、K-1個の分散データ変換装置640−k(k=1,...,K-1)及びデータ復元装置630にそれぞれ置換されたものである。
図21Aに例示するように、データ分散装置610(図18A)の入力部111に秘密分散される値αが入力される(ステップS111)。値αは分割部211に入力される。分割部211は、値αを集合Gの要素であるR個の値αr ∈G (r=1,...,R)に分割し、R個の値αr (r=1,...,R)を出力する(ステップS211)。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。
図21Bを用い、分散データ変換装置640−κ(κ∈{1,...,K-1})が実行する分散データ変換処理を説明する。
データ記憶装置640−κ(κ∈{1,...,K-1})の記憶部123b−κに格納された分散値Tκ(αr) (r=1,...,R)は出力部122−κに送られ、出力部122−κは分散値Tκ(αr) (r=1,...,R)を出力する。出力された分散値Tκ(αr) (r=1,...,R)は、ネットワーク等を経由して、対応する分散データ変換装置640−κ (κ∈{1,...,K-1})(図20)に送信される。分散データ変換装置640−κに提供された分散値Tκ(αr) (r=1,...,R)は入力部141−κに入力され、記憶部143b−κに格納される(ステップS641−κ)。
図21Cに例示するように、データ復元装置630(図18A)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr) (r=1,...,R)又は分散値Eλ,r (r=1,...,R)が入力される(ステップS631)。制御部634は、分散値Tλ(α)が入力されたか、分散値Eλが入力されたかを判定する(ステップS632)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。分散データ変換装置での分散データ変換処理により、データ分散装置で得られた分散値からもとの値αrを復元することなく、秘密計算の入力とすることが可能な変換分散値を生成し、秘密計算を実行することもできる。第2実施形態と同様、分散値生成部がTi(α)に加え、nr(i),i,rその他の付加情報を分散値として出力してもよい。
〔第7実施形態〕
次に、本発明の第7実施形態を説明する。本形態は第3,5実施形態の変形例であり、第5実施形態の分散値が含んでいた要素をさらに秘密分散し、データ量をさらに削減するものである。以下では上述の実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第7実施形態では、N, Kが2以上の整数であり、K≦Nであり、Gが或る集合である。本形態の集合Gの具体例は、第1実施形態で説明した具体例と同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、値f(n(K))を得る。ただし、f(x)は、値n(1),...,n(K-1)と集合Gの要素である値α∈Gとについてf(n(k))=v(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式がf(x)である。n(0), n(1),...,n(K)は互いに異なる。データ分散装置は、(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得、(K, N)閾値秘密分散法Uに従って、値f(n(K))を秘密分散してN個の分散値Ui(f(n(K))) (i=1,...,N)を得、N個の分散値Ti(α)=(V1,i(v(1)),...,VK-1,i(v(K-1)), Ui(f(n(K)))) (i=1,...,N)を得る。(K, N)閾値秘密分散法Vkや(K, N)閾値秘密分散法Uの具体例は、第3実施形態で説明した通りである。
図6に例示するように、第7実施形態の秘密分散システム7は、第3実施形態の秘密分散システム3のデータ分散装置310、N個の分散データ変換装置340−i(i=1,...,N)及びデータ復元装置330が、データ分散装置710、N個の分散データ変換装置740−i(i=1,...,N)及びデータ復元装置730にそれぞれ置換されたものである。
図23に例示するように、データ分散装置710(図22)の入力部111に秘密分散される値α∈Gが入力される(ステップS111)。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。
図24A,12B,12Cを用い、分散データ変換装置740−λ(λ∈{1,...,N})が実行する分散データ変換処理を説明する。
[分散データ変換装置340−κ(κ∈{1,...,K-1})の処理(図24A)]
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置320−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(α)が含むVκ,λ(v(κ))が出力される。K個の互いに異なるλ∈{1,...,N}に対応するK個のVκ,λ(v(κ))は、ネットワーク等を経由して、分散データ変換装置340−κ(κ∈{1,...,K-1})(図9A)の入力部141−κに入力され、記憶部143b−κに格納される(ステップS741−κ)。
図12Bに示すように、分散データ変換装置740−Kは、変換分散値生成部346−Kを変換分散値生成部746−KとしたステップS341−K,S342−K,S343−Kの処理を実行する。
分散データ変換装置340−η (η∈{K+1,...,N})(図10)の変換分散値生成部746−ηは、n(1),...,n(K)と異なるn(η)に対応するF(n(η))を生成し、F(n(η))を変換分散値Sη(α)=F(n(η))として出力する。ただし、F(x)は、K個の互いに異なるλ∈{1,...,N}に対応するK個のVk,λ(v(k))から復元されるv(k)から得られるf(n(k))=v(k) (k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応するK個のUλ(f(n(K)))から復元されるf(n(K))とからなる、f(n(μ)) (μ=1,...,K)に対してF(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式である。例えば、前述のステップS341−η〜S344−ηでの「f(n(κ))=P(v(κ))」を「f(n(κ))=v(κ)」に置換した処理(ステップS741−η〜S744−η)によって分散値Sη(α)=F(n(η))が生成される。
K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置320−λ(図7B)は、記憶部123b−λに格納された分散値Tλ(α)を出力するか、又は、秘密計算部327−λで秘密計算を行ってその結果を表す分散値Eλを出力する。これらはネットワーク等を経由してデータ復元装置730に送られる。
図13に例示するように、データ復元装置730(図8)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応するK個の分散値Tλ(α)又はK個の分散値Eλが入力される(ステップS731)。制御部134は、K個の分散値Tλ(α)が入力されたか、K個の分散値Eλが入力されたかを判定する(ステップS732)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。さらに、分散データ変換装置での分散データ変換処理により、データ分散装置で得られた分散値からもとの値αを復元することなく、秘密計算の入力とすることが可能な変換分散値を生成し、秘密計算を実行することもできる。第3実施形態と同様、本形態でも分散値生成部がTi(α)に加え、n(i),iその他の付加情報を分散値として出力してもよい。
次に、本発明の第8実施形態を説明する。本形態は第4,7実施形態の変形例であり、同一の値v(k)を複数の秘密分散に流用することで分散値のデータ量をさらに削減する。以下では上述の実施形態との相違点を中心に説明する。上述の実施形態と共通する処理部やステップには上述の実施形態と同じ参照符号を用い、説明を簡略化する。
第7実施形態では、N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合である。本形態の集合Gの具体例は、第1実施形態で説明した集合Gと同じである。K=Nであってもよいし、K<Nであってもよい。
本形態のデータ分散装置は、K-1個の値v(k) (k=1,...,K-1)を選択し、rと値v(k)とに対応する値をz(r, v(k))とし、値fr(nr(K))を得る。ただし、同一のrに対応する値nr(0), nr(1),...,nr(K)が互いに異なり、値nr(1),...,nr(K-1)と集合Gの要素である値αr∈Gとについてfr(nr(k))=z(r, v(k)) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式がfr(x)である。データ分散装置は、(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得、rのそれぞれについて、(K, N)閾値秘密分散法Urに従って、値fr(nr(K))を秘密分散してN個の分散値Ur,i(fr(nr(K))) (i=1,...,N)を得、r (r=1,...,R)のそれぞれについてN個の分散値Ti(αr)=(Vr,1,i(v(1)),...,Vr,K-1,i(v(K-1)), Ur,i(fr(nr(K)))) (r=1,...,R, i=1,...,N)を得る。ただし、V1,k,i(v(k)),...,VR,k,i(v(k))の少なくとも何れかが分散値Vk,i(v(k))である。(K, N)閾値秘密分散法Urの例は、第4実施形態で説明した通りである。
図6に例示するように、第8実施形態の秘密分散システム8は、第4実施形態の秘密分散システム4のデータ分散装置410、N個の分散データ変換装置440−i(i=1,...,N)及びデータ復元装置430が、データ分散装置810、N個の分散データ変換装置840−i(i=1,...,N)及びデータ復元装置830にそれぞれ置換されたものである。
図25に例示するように、データ分散装置810(図22)の入力部111に秘密分散される値αが入力される(ステップS111)。値αは分割部211に入力される。分割部211は、値αを集合Gの要素であるR個の値αr ∈G (r=1,...,R)に分割し、R個の値αr (r=1,...,R)を出力する(ステップS211)。選択部115は、K-1個の値v(k) (k=1,...,K-1)を選択し、値v(k) (k=1,...,K-1)を出力する(ステップS112)。
図24B,図15B,15Cを用い、分散データ変換装置840−λ(λ∈{1,...,N})が実行する分散データ変換処理を説明する。
[分散データ変換装置840−κ(κ∈{1,...,K-1})の処理(図24B)]
K個の互いに異なるλ∈{1,...,N}に対応するK個のデータ記憶装置420−λ(図7B)の出力部122−λから、記憶部123b−λに格納された分散値Tλ(αr) (r=1,...,R)が含むVr,κ,λ(v(κ)) (r=1,...,R)が出力される。K個の互いに異なるλ∈{1,...,N}に対応するVr,κ,λ(v(κ)) (r=1,...,R)は、ネットワーク等を経由して、分散データ変換装置840−κ(κ∈{1,...,K-1})(図9A)の入力部141−κに入力され、記憶部143b−κに格納される(ステップS841−κ)。
図15Bに示すように、分散データ変換装置840−Kは、変換分散値生成部446−Kを変換分散値生成部846−KとしたステップS441−K,S442−K,S443−Kの処理を実行する。
分散データ変換装置840−η (η∈{K+1,...,N})(図10)の変換分散値生成部846−ηは、nr(μ) (μ=1,...,K)と異なるnr(η)に対応するFr(nr(η)) (η∈{K+1,...,N}, r=1,...,R)を生成し、当該Fr(nr(η)) (η∈{K+1,...,N}, r=1,...,R)を変換分散値Sη(αr)=Fr(nr(η)) (r=1,...,R)として出力する。ただし、Fr(x)は、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr) (λ∈{1,...,N})が含むVk,λ(v(k))から復元されるv(k)から得られるfr(nr(k))=z(r,v(k)) (r=1,...,R, k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から復元される変換分散値fr(nr(K)) (r=1,...,R)とからなる、fr(nr(μ)) (μ=1,...,K)に対してFr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式である。例えば、前述のステップS441−η〜S444−ηでの「fr(nr(κ))=P(z(r,v(κ)))」を「fr(nr(κ))=z(r,v(κ))」に置換した処理(ステップS841−η〜S844−η)によって分散値Sη(αr)=Fr(nr(η))が生成される
K個の互いに異なるλ∈{1,...,N}に対応するデータ記憶装置420−λ(図7B)は、記憶部123b−λに格納された分散値Tλ(αr) (r=1,...,R)を出力するか、又は、秘密計算部427−λで秘密計算を行ってその結果を表す分散値Eλ,r(r=1,...,R)を出力する。これらはネットワーク等を経由してデータ復元装置830に送られる。
<データ復元処理>
図16に例示するように、データ復元装置830(図8)の入力部131には、K個の互いに異なるλ∈{1,...,N}に対応する分散値Tλ(αr)又は分散値Eλ,rが入力される(ステップS831)。制御部134は、K個の分散値Tλ(αr)が入力されたか、K個の分散値Eλ,rが入力されたかを判定する(ステップS832)。
本形態では従来の秘密分散方式に比べ、分散値のデータ量を大幅に削減することができる。さらに同一の値v(k)を複数の値αr (r=0,...,R-1)の秘密分散に流用することで分散値のデータ量をさらに削減できる。さらに、分散データ変換装置での分散データ変換処理により、データ分散装置で得られた分散値からもとの値αrを復元することなく、秘密計算の入力とすることが可能な変換分散値を生成し、秘密計算を実行することもできる。第4実施形態と同様、本形態でも分散値生成部がTi(αr)に加え、n(i),i,rその他の付加情報を分散値として出力してもよい。
本発明は上述の実施の形態に限定されるものではない。例えば、第2,4,6,8実施形態では、値αを分割してR個の値αr(r=0,...,R-1)が生成されたが、値αがR個の値αrからなるデータであってもよい。例えば、値αが表データであり、αrが当該表データを構成する要素であってもよい。その他、R個の値αrが値αから分割されたものではなく、互いに独立したデータであってもよい。
110〜810 データ分散装置
120〜820 データ記憶装置
130〜830 データ復元装置
140〜840 分散データ変換装置
Claims (25)
- N, Kが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を前記集合Gの要素に移す写像であり
K-1個の値v(k) (k=1,...,K-1)を選択する選択部と、
K-1個の値a(k)=P(v(k))∈G (k=1,...,K-1)を得る第1変換部と、
n(0), n(1),...,n(K)が互いに異なる値であり、値n(1),...,n(K-1)と前記集合Gの要素である秘密分散対象の値α∈Gとについてf(n(k))=a(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式がf(x)であり、値f(n(K))を得る計算部と、
(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得る第1内部分散部と、
(K, N)閾値秘密分散法Uに従って、前記値f(n(K))を秘密分散してN個の分散値Ui(f(n(K))) (i=1,...,N)を得る第2内部分散部と、
N個の分散値Ti(α)=(V1,i(v(1)),...,VK-1,i(v(K-1)), Ui(f(n(K)))) (i=1,...,N)を得る分散値生成部と、
を有し、
前記分散値T i (α)のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項1のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の分散値Tλ(α)から、K個の互いに異なるn(μ) (μ=1,...,K)に対応するK個の値f(n(μ)) (μ=1,...,K)を得る第2変換部と、
F(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式F(x)の関数値F(n(0))=αを得る復元部と、
を有するデータ復元装置。 - 請求項1のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(α) (λ∈{1,...,N})が含むVκ,λ(v(κ))から、v(κ) (κ∈{1,...,K-1})を復元する第2内部復元部と、
v(κ)から変換分散値P(v(κ)) (κ∈{1,...,K-1})を得る第1変換分散値生成部と、
を有する分散データ変換装置。 - 請求項1のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(α)が含むK個のUλ(f(n(K)))から、変換分散値f(n(K))を得る第2変換分散値生成部を有する分散データ変換装置をさらに有する、分散データ変換装置。
- 請求項1のデータ分散装置で得られた、K個の互いに異なるλ∈{1,...,N}に対応するK個のVk,λ(v(k))から復元されるv(k)から得られるf(n(k))=P(v(k)) (k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応するK個のUλ(f(n(K)))から復元されるf(n(K))とからなる、f(n(μ)) (μ=1,...,K)に対してF(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式がF(x)であり、n(μ) (μ=1,...,K)と異なるn(η)に対応するF(n(η)) (η∈{K+1,...,N})を得る第3変換分散値生成部を有する分散データ変換装置。
- N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合であり、P(x)がxに対応する値を前記集合Gの要素に移す写像であり
K-1個の値v(k) (k=1,...,K-1)を選択する選択部と、
rと値v(k)とに対応する値をz(r, v(k))とし、rのそれぞれに対してK-1個の値ar(k)=P(z(r, v(k))) (r=1,...,R, k=1,...,K-1)を得る第1変換部と、
同一のrに対応する値nr(0), nr(1),...,nr(K)が互いに異なり、値nr(1),...,nr(K-1)と前記集合Gの要素である秘密分散対象の値αr∈Gとについてfr(nr(k))=ar(k) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式がfr(x)であり、値fr(nr(K))を得る計算部と、
(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得る第1内部分散部と、
rのそれぞれについて、(K, N)閾値秘密分散法Urに従って、前記値fr(nr(K))を秘密分散してN個の分散値Ur,i(fr(nr(K))) (i=1,...,N)を得る第2内部分散部と、
V1,k,i(v(k)),...,VR,k,i(v(k))の少なくとも何れかが前記分散値Vk,i(v(k))であり、r (r=1,...,R)のそれぞれについてN個の分散値Ti(αr)=(Vr,1,i(v(1)),...,Vr,K-1,i(v(K-1)), Ur,i(fr(nr(K)))) (r=1,...,R, i=1,...,N)を得る分散値生成部と、
を有し、
前記分散値T i (α r )のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - r (r=1,...,R)のそれぞれについて、請求項6のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(αr)から、K個の互いに異なるnr(μ) (μ=1,...,K)に対応する値fr(nr(μ)) (μ=1,...,K)を得る第2変換部と、
r (r=1,...,R)のそれぞれについて、Fr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式Fr(x)の関数値Fr(nr(0))=αrを得る復元部と、
を有するデータ復元装置。 - 請求項6のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr) (λ∈{1,...,N})が含むVκ,λ(v(κ))から、v(κ) (κ∈{1,...,K-1})を復元する第2内部復元部と、
r (r=1,...,R)のそれぞれについて、v(κ)から変換分散値P(z(r, v(κ)) (κ∈{1,...,K-1})を得る第1変換分散値生成部と、
を有する分散データ変換装置。 - 請求項6のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から、変換分散値fr(nr(K)) (r=1,...,R)を得る第2変換分散値生成部を有する分散データ変換装置。
- 請求項6のデータ分散装置で得られた、K個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr) (λ∈{1,...,N})が含むVk,λ(v(k))から復元されるv(k)から得られるfr(nr(k))=P(z(r,v(k))) (r=1,...,R, k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から復元される変換分散値fr(nr(K)) (r=1,...,R)とからなる、fr(nr(μ)) (μ=1,...,K)に対してFr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式がFr(x)であり、nr(μ) (μ=1,...,K)と異なるnr(η)に対応するFr(nr(η)) (η∈{K+1,...,N})を得る第3変換分散値生成部を有する分散データ変換装置。
- N, Kが2以上の整数であり、K≦Nであり、Gが或る集合であり、
K-1個の値v(k) (k=1,...,K-1)を選択する選択部と、
n(0), n(1),...,n(K)が互いに異なる値であり、値n(1),...,n(K-1)と前記集合Gの要素である秘密分散対象の値αとについてf(n(k))=v(k) (k=1,...,K-1)及びf(n(0))=αを満たすK-1次式がf(x)であり、値f(n(K))を得る計算部と、
(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得る第1内部分散部と、
(K, N)閾値秘密分散法Uに従って、前記値f(n(K))を秘密分散してN個の分散値Ui(f(n(K))) (i=1,...,N)を得る第2内部分散部と、
N個の分散値Ti(α)=(V1,i(v(1)),...,VK-1,i(v(K-1)), Ui(f(n(K)))) (i=1,...,N)を得る分散値生成部と、
を有し、
前記分散値T i (α)のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項11のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(α)から、K個の互いに異なるn(μ) (μ=1,...,K)に対応するK個の値f(n(μ)) (μ=1,...,K)を得る変換部と、
F(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式F(x)の関数値F(n(0))=αを得る復元部と、
を有するデータ復元装置。 - 請求項11のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(α) (λ∈{1,...,N})が含むVκ,λ(v(κ))から、変換分散値f(n(κ))=v(κ) (κ∈{1,...,K-1})を生成する第1変換分散値生成部を有する分散データ変換装置。
- 請求項11のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(α)が含むK個のUλ(f(n(K)))から、変換分散値f(n(K))を得る第2変換分散値生成部を有する分散データ変換装置。
- 請求項11のデータ分散装置で得られた、K個の互いに異なるλ∈{1,...,N}に対応するK個のVk,λ(v(k))から復元されるv(k)から得られるf(n(k))=v(k) (k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応するK個のUλ(f(n(K)))から復元されるf(n(K))とからなる、f(n(μ)) (μ=1,...,K)に対してF(n(μ))=f(n(μ)) (μ=1,...,K)を満たすK-1次式がF(x)であり、n(μ) (μ=1,...,K)と異なるn(η)に対応するF(n(η)) (η∈{K+1,...,N})を得る第3変換分散値生成部を有する分散データ変換装置。
- N, K, Rが2以上の整数であり、K≦Nであり、Gが或る集合であり、
K-1個の値v(k) (k=1,...,K-1)を選択する選択部と、
同一のrに対応する値nr(0), nr(1),...,nr(K)が互いに異なり、rと値v(k)とに対応する値がz(r, v(k))であり、値nr(1),...,nr(K-1)と前記集合Gの要素である秘密分散対象の値αr∈Gとについてfr(nr(k))=z(r, v(k)) (k=1,...,K-1)及びfr(nr(0))=αrを満たすK-1次式がfr(x)であり、値fr(nr(K))を得る計算部と、
(K, N)閾値秘密分散法Vkに従って、v(k) (k=1,...,K-1)を秘密分散してkのそれぞれについてN個の分散値Vk,i(v(k)) (i=1,...,N)を得る第1内部分散部と、
rのそれぞれについて、(K, N)閾値秘密分散法Urに従って、前記値fr(nr(K))を秘密分散してN個の分散値Ur,i(fr(nr(K))) (i=1,...,N)を得る第2内部分散部と、
V1,k,i(v(k)),...,VR,k,i(v(k))の少なくとも何れかが前記分散値Vk,i(v(k))であり、r (r=1,...,R)のそれぞれについてN個の分散値Ti(αr)=(Vr,1,i(v(1)),...,Vr,K-1,i(v(K-1)), Ur,i(fr(nr(K)))) (r=1,...,R, i=1,...,N)を得る分散値生成部と、
を有し、
前記分散値T i (α r )のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - r (r=1,...,R)のそれぞれについて、請求項16のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応するK個の前記分散値Tλ(αr)から、K個の互いに異なるnr(μ) (μ=1,...,K)に対応する値fr(nr(μ)) (μ=1,...,K)を得る変換部と、
r (r=1,...,R)のそれぞれについて、Fr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式Fr(x)の関数値Fr(nr(0))=αrを得る復元部と、
を有するデータ復元装置。 - 請求項16のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr) (λ∈{1,...,N})が含むVκ,λ(v(κ))から、v(κ) (κ∈{1,...,K-1})を復元する第2内部復元部と、
r (r=1,...,R)のそれぞれについて、v(κ)から変換分散値z(r, v(κ)) (κ∈{1,...,K-1})を得る第1変換分散値生成部と、
を有する分散データ変換装置。 - 請求項16のデータ分散装置で得られたK個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から、変換分散値fr(nr(K)) (r=1,...,R)を得る第2変換分散値生成部を有する分散データ変換装置。
- 請求項16のデータ分散装置で得られた、K個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr) (λ∈{1,...,N})が含むVk,λ(v(k))から復元されるv(k)から得られるfr(nr(k))=z(r,v(k)) (r=1,...,R, k=1,...,K-1)と、K個の互いに異なるλ∈{1,...,N}に対応する前記分散値Tλ(αr)が含むUr,λ(fr(nr(K)))から復元される変換分散値fr(nr(K)) (r=1,...,R)とからなる、fr(nr(μ)) (μ=1,...,K)に対してFr(nr(μ))=fr(nr(μ)) (μ=1,...,K)を満たすK-1次式がFr(x)であり、nr(μ) (μ=1,...,K)と異なるnr(η)に対応するFr(nr(η)) (η∈{K+1,...,N})を得る第3変換分散値生成部を有する分散データ変換装置。
- 請求項1又は11のデータ分散装置であって、
前記分散値Ui(f(n(K)))のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項1又は11のデータ分散装置であって、
前記分散値Vk,i(v(k)) (k=1,...,K-1)それぞれのデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項6又は16のデータ分散装置であって、
前記分散値Ur,i(fr(nr(K)))のデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項6又は16のデータ分散装置であって、
前記分散値Vr,k,i(v(k))それぞれのデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。 - 請求項1,6,11,16の何れかのデータ分散装置であって、
前記値v(k)の何れかのデータ量は、前記集合Gの要素のデータ量よりも小さい、データ分散装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012001078A JP5458116B2 (ja) | 2012-01-06 | 2012-01-06 | データ分散装置、分散データ変換装置、データ復元装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012001078A JP5458116B2 (ja) | 2012-01-06 | 2012-01-06 | データ分散装置、分散データ変換装置、データ復元装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013140310A JP2013140310A (ja) | 2013-07-18 |
JP5458116B2 true JP5458116B2 (ja) | 2014-04-02 |
Family
ID=49037775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012001078A Active JP5458116B2 (ja) | 2012-01-06 | 2012-01-06 | データ分散装置、分散データ変換装置、データ復元装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5458116B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6059159B2 (ja) * | 2014-01-16 | 2017-01-11 | 日本電信電話株式会社 | シェア変換システム、シェア変換方法、プログラム |
JP6059160B2 (ja) * | 2014-01-16 | 2017-01-11 | 日本電信電話株式会社 | シェア変換システム、シェア変換方法、プログラム |
JP6059161B2 (ja) * | 2014-01-16 | 2017-01-11 | 日本電信電話株式会社 | シェア変換システム、シェア変換方法、プログラム |
JP7027060B2 (ja) * | 2017-08-03 | 2022-03-01 | 株式会社日立製作所 | 秘密分散システム及びその方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4292835B2 (ja) * | 2003-03-13 | 2009-07-08 | 沖電気工業株式会社 | 秘密再構成方法、分散秘密再構成装置、及び秘密再構成システム |
JP2007124610A (ja) * | 2005-09-20 | 2007-05-17 | Nippon Telegr & Teleph Corp <Ntt> | 秘密情報分散装置及び秘密情報復元装置及び方法及びプログラム |
-
2012
- 2012-01-06 JP JP2012001078A patent/JP5458116B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013140310A (ja) | 2013-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5885840B2 (ja) | 秘密分散システム、データ分散装置、分散データ変換装置、秘密分散方法、およびプログラム | |
JP6009698B2 (ja) | 秘密計算方法、秘密計算システム、ランダム置換装置及びプログラム | |
US9438423B2 (en) | Encryption device, encryption method, and information processing device | |
JP5826934B2 (ja) | 秘密分散システム、データ分散装置、分散データ変換装置、秘密分散方法、およびプログラム | |
JP4786531B2 (ja) | 暗号システム、暗号装置、復号装置、プログラムおよび集積回路 | |
EP2423904A1 (en) | Secret distribution system, distribution device, distribution management device, acquisition device, processing methods for said devices, secret distribution method, program, and recording medium | |
KR101608515B1 (ko) | 동형 암호화 알고리즘과 공개키 암호화 알고리즘을 이용하여, 암호화 데이터를 연산하는 방법 및 이를 이용한 서버 | |
JP5860557B1 (ja) | 秘密公開方法、秘密公開システム、秘密公開装置、およびプログラム | |
JP5458116B2 (ja) | データ分散装置、分散データ変換装置、データ復元装置 | |
JP2015184594A (ja) | 暗号文処理装置、暗号文処理方法、暗号文処理プログラムおよび情報処理装置 | |
JP5944841B2 (ja) | 秘密分散システム、データ分散装置、分散データ保有装置、秘密分散方法、およびプログラム | |
JP5732429B2 (ja) | 秘密分散システム、データ分散装置、データ復元装置、秘密分散方法、およびプログラム | |
JP2018093363A (ja) | 検証システム、検証方法及び検証プログラム | |
Mansouri et al. | Learning from failures: Secure and fault-tolerant aggregation for federated learning | |
US11533176B2 (en) | Decryption device, encryption device, and cryptographic system | |
CN117254897A (zh) | 基于容错学习的身份基矩阵同态加密方法 | |
JP5596616B2 (ja) | 情報提供システム、仲介装置、仲介方法、情報提供方法、及びプログラム | |
US10116439B2 (en) | Encrypted data computation system, device, and program | |
US11888977B2 (en) | Share generating device, share converting device, secure computation system, share generation method, share conversion method, program, and recording medium | |
JP5683503B2 (ja) | データ分散装置、分散データ変換装置及びデータ復元装置 | |
JP6059159B2 (ja) | シェア変換システム、シェア変換方法、プログラム | |
JP2020056960A (ja) | 復号装置、暗号システム、復号方法及び復号プログラム | |
CN116601691A (zh) | 隐匿信息处理***以及隐匿信息处理方法 | |
CN114095157B (zh) | 密钥管理方法、装置、计算机设备及可读存储介质 | |
JP2019040047A (ja) | 計算システム、計算方法及び計算プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131015 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131213 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5458116 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |