WO2012121152A1 - 代理計算システム、方法、依頼装置及びプログラム - Google Patents

Abstract

　G,Hを巡回群、Mを2以上の整数、i=1,…,M、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数として、乱数生成部１１が、乱数a₁,a₂,…,a_Mを生成する。標本器２１が、f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であり、それらの計算結果をそれぞれz₁,z₂,…,z_Mとする。べき乗計算部１２が、(z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算する。拡張乱数化可能標本器２２が、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能であり、その計算結果をz₀とする。判定部１６が、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する。

Description

代理計算システム、方法、依頼装置及びプログラム

　この発明は、コンピュータによる計算技術に関する。特に、他の計算機に行わせた計算結果を用いて計算を行う技術に関する。

　以下に説明する乱数化可能標本器及び標本器を用いて、ある入力ｘに対するf(x)を計算する技術が発明者により提案されている（例えば、非特許文献１参照。）。

　Rを群Gに値を持つ確率変数とする。w∈Gについて、0以上の整数aが与えられるたびに確率変数Rに従った標本r’に対応するw^ar’を返すものを、wについて誤差Rを持つ乱数化可能標本器(randomizable sampler)と呼ぶ。なお、乱数化可能標本器において、確率変数Rの分布と整数aとは無関係である。

　また、w∈Gについて、要求を受けるたびに確率変数Rに従った標本r’に対応するwr’を返すものを、wについて誤差Rを持つ標本器(sampler)と呼ぶ。

　乱数化可能標本器及び標本器は、ブラックボックスと呼ばれる関数を用いて、それぞれw^ar’及びwr’を計算する。

　r₁及びr₂を確率変数Rの実現値として、f(x)について誤差Rを持つ乱数化可能標本器の出力f(x)^ar₁と、f(x)について誤差Rを持つ標本器の出力f(x)r₂のa乗(f(x)r₂)^aとが等しい場合には、高い確率でr₁及びr₂が群Gの単位元e_gである。したがって、この場合、f(x)r₂=f(x)e_g=f(x)であるため、標本器の出力f(x)r₂が求めようとしていたf(x)となる。

Go Yamamoto, Tetsutaro Kobayashi, "Self-Correctors for Cryptographic Modules", The 2011 Symposium on Cryptography and Information Security, 2F1-1, 2001.

　背景技術に記載した技術では、あるxに対するf(x)の値を計算するためには、乱数化可能標本器及び標本器にブラックボックス関数を用いて少なくとも2回計算させる必要がある。このため、Mを2以上の整数として、M個の入力x₁,x₂,…,x_Mに対するf(x₁),f(x₂),…,f(x_M)をそれぞれ計算するためには、乱数化可能標本器及び標本器にブラックボックスを用いて少なくとも2M回計算させる必要がある。M個の入力x₁,x₂,…,x_Mのそれぞれに対して乱数化可能標本器及び標本器にブラックボックスを用いて少なくとも2回計算させる必要があるためである。

　この発明は、ブラックボックスを用いて計算する回数を2M回よりも少なくしつつ、M個の入力x₁,x₂,…,x_Mに対するf(x₁),f(x₂),…,f(x_M)をそれぞれ計算する技術を提供することを目的とする。

　この発明の一態様によれば、G,Hを巡回群、Mを2以上の整数、i=1,…,M、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数として、乱数a₁,a₂,…,a_Mを生成する。f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であり、それらの計算結果をそれぞれz₁,z₂,…,z_Mとする。(z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算する。f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能であり、その計算結果をz₀とする。(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する。

　ブラックボックスを用いて計算する回数を最小でM+1回にすることができる。

実施形態の代理計算システムの構成を説明するためのブロック図。 実施形態の依頼装置及び計算装置の構成を説明するためのブロック図。 実施形態の代理計算システムの処理を説明するためのフローチャート。

　以下、図面を参照してこの発明の一実施形態を説明する。

　G,Hを巡回群、Mを2以上の整数、i=1,…,M、として、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数とする。

　依頼装置１の乱数生成部１１は、0以上の整数の乱数a₁,a₂,…,a_Mを生成する（ステップＳ１）。生成された乱数a₁,a₂,…,a_Mについての情報は、べき乗計算部１２及び計算装置２に送られる。

　制御部１３は、tに1を代入する（ステップＳ２）。

　依頼装置１の第一依頼部１４は、f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mの計算の依頼をする旨の依頼情報を計算装置２に送信する（ステップＳ３）。例えば、依頼情報は、群Hの元であるx₁,x₂,…,x_Mを含む。 計算装置２がf(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であれば、必ずしもx₁,x₂,…,x_Mが依頼情報に含まれなくてもよい。

　計算装置２の標本器２１は、f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であり、それらの計算結果をそれぞれz₁,z₂,…,z_Mとする（ステップＳ４）。計算結果z₁,z₂,…,z_Mは、依頼装置１に送信される。すなわち、f(x₁)r₁についての計算結果がz₁となり、f(x₂)r₂についての計算結果がz₂となり、…、f(x_M)r_Mについての計算結果がz_Mとなる。

　この出願において、計算可能とは、無視することができない確率以上の確率で計算することができることを意味する。無視することができない確率とは、セキュリティパラメータkについての広義単調増加関数である多項式を多項式Φ(k)として、1/Φ(k)以上の確率である。

 ここで、f(x)rを計算するとは、f(x)rと定義される式の値を計算することである。式f(x)rの値を最終的に計算することができれば、途中の計算方法は問わない。これは、この出願で登場する他の式の計算についても同様である。

　依頼装置１のべき乗計算部１２は、計算結果z₁,z₂,…,z_Mをそれぞれa₁,a₂,…,a_M乗する（ステップＳ５）。すなわち、(z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算する。(z₁)^a1,(z₂)^a2,…,(z_M)^aMは、第一記憶部１７に記憶される。

　ここで、i=1,2,…,Mとして、(z_i)の右肩のaiは、a_iのことである。このように、この出願において、αを第一の文字、βを第二の文字、γを数字として、α^βγと表記した場合には、そのβγはβ_γ、すなわちβの下付きγを意味する。

　依頼装置１の第二依頼部１５は、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀の計算の依頼をする旨の依頼情報を計算装置２に送信する（ステップＳ６）。例えば、依頼情報は、群Hの元であるx₁,x₂,…,x_Mを含む。依頼情報は、計算装置２がｆ(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であれば、必ずしもx₁,x₂,…,x_Mを含まなくてもよい。

　計算装置２の拡張乱数化可能標本器２２は、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能であり、その計算結果をz₀とする（ステップＳ７）。計算結果z₀は、依頼装置１に送信され、依頼装置１の第二記憶部１８に記憶される。

　拡張乱数化可能標本器２２は、乱数a₁,a₂,…,a_Mを用いて、f(x₁×x₂×…×x_M)を乱数化しつつ、乱数a₁,a₂,…,a_Mに依存しない分布を有する確率変数R₀に基づいて誤差を与えるものである。

　拡張乱数化可能標本器２２は、例えば、x₁ ^a1×x₂ ^a2×…×x_M ^aMh^sを引数とするブラックボックスである確率的関数Fを用いてf(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀の値を計算する。すなわち、拡張乱数化可能標本器２２は、例えばF(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-sの値を計算して、z₀とする。ここで、hは群Hの生成元であり、sは0以上の整数の乱数である。ここで、確率的関数Fは所定の確率以上の確率で関数fと同じ値を出力する確率的関数である。すなわち、任意の入力x_c∈Hに対して所定の確率以上の確率でF(x_c)=f(x_c)となる。

　Uを群Hの一様分布として、確率変数R₀=F(U)f(U)^-1とすると、F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-sの分布は、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)R₀の分布と等しくなる。F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-s=f(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)R₀f(h)^-s=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)f(h)^sR₀f(h)^-s=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)R₀であるからである。上記式展開において、fの準同型関数であるという性質、及び、R₀=F(U)f(U)^-1=F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)^-1のため、F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)=f(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)R₀という性質を用いている。

　依頼装置１の判定部１６は、第一記憶部１７から読み込んだ(z₁)^a1,(z₂)^a2,…,(z_M)^aM及び第二記憶部１８から読み込んだz₀を用いて、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する（ステップＳ８）。

　(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀である場合には、後述するように、その場合のz₁,z₂,…,z_Mがそれぞれf(x₁),f(x₂),…,f(x_M)となる。このため、出力部１９は、その場合のz₁,z₂,…,z_Mをそれぞれf(x₁),f(x₂),…,f(x_M)として出力する（ステップＳ９）。

　(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀である場合には、(f(x₁)r₁)^a1×(f(x₂)r₂)^a2×…×(f(x_M)r_M)^aM=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀であり、関数fが準同型関数であることを考慮すると、r₁ ^a1×r₂ ^a2×…×r_M ^aM=r₀である。この場合、r₁,r₂,…,r_Mが群Gの単位元e_gである可能性が非常に高いことを発明者は見出した。

　なぜなら、第一に、非特許文献１に示された代理計算の原理によって、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であることを判定することで、z₀=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)であることを非常に高い確率で判定することができる。第二に、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)=f(x₁)^a1×f(x₂)^a2×…×f(x_M)^aMであるから、z₀=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)が成立するということは、z₀=f(x₁)^a1×f(x₂)^a2×…×f(x_M)^aMが成立する。第三に、a_iを0以上の整数の乱数としてz₀=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)を計算する任意の方法について、それを繰り返し実行すれば、参考文献１及び参考文献２で示された方法を用いて、z₀=f(x₁)^a1×f(x₂)^a2×…×f(x_M)^aMから各iについてf(x_i)を導出することができる。第四に、第三で用いた方法と全く同じ方法で、第三で用いた整数a_iと全く同じ値を用いることで、(z₁)^a1×(z₂)^a2×…×(z_M)^aMから各iについてz_iを導出することもできる。以上によって、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀=f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)=f(x₁)^a1×f(x₂)^a2×…×f(x_M)^aMであるならば、各iについてz_i=f(x_i)である可能性が非常に高い。したがって、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるならば、r₁,r₂,…,r_Mが群Gの単位元e_gである可能性が非常に高い。

　〔参考文献１〕M. Bellare, J. Garay, and T. Rabin, “Fast Batch Verification for Modular Exponentiation and Digital Signatures,” Advances in Cryptology-EUROCRYPT '98, LNCS 1403, pp. 236-250, Springer-Verlag, 1998.
　〔参考文献２〕K. Chida and G. Yamamoto, “Batch Processing of Interactive Proofs,” Topics in Cryptology-CT-RSA2007, LNCS 4377, pp. 196-207, Springer, 2007.

　このため、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀である場合、z₁=f(x₁)r₁=f(x₁)e_g=f(x₁),z₂=f(x₂)r₂=f(x₂)e_g=f(x₂),…,z_M=f(x_M)r_M=f(x₁)e_g=f(x_M)となるのである。

　制御部１３は、t=Tであるか判定する（ステップＳ１０）。Tは予め定められた1以上の整数である。t=Tであれば、出力部１９は、計算をすることができなかった旨の情報、例えば記号「⊥」を出力して（ステップＳ１１）、処理を終える。t=Tでない場合には、制御部１３は、tを1だけインクリメント、すなわちtにt+1を代入して（ステップＳ１２）、ステップＳ３に戻る。

　計算をすることができなかった旨の情報（この例では記号「⊥」）は、計算装置２が正しく計算を行う信頼性がTで定められる基準を下回るということを意味する。言い換えれば、T回の繰り返しで正しい演算を行うことができなかったということを意味する。

　ステップＳ１２の後に、上記と同様にして、依頼装置１は計算装置２に、z₁,z₂,…,z_Mの全部又は一部の計算をさせる（ステップＳ３、ステップＳ４）。べき乗計算部１２は、計算された全部又は一部のz₁,z₂,…,z_Mのそれぞれついて、対応する乱数a₁,a₂,…,a_Mを用いてべき乗を行う（ステップＳ５）。べき乗された(z₁)^a1,(z₂)^a2,…,(z_M)^aMは、第一記憶部１７に記憶される。

　ステップＳ８の処理において、第一記憶部１７及び第二記憶部１８にz₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMの少なくとも１つが複数記憶されている場合には、第一記憶部１７及び第二記憶部１８に記憶されたｚ₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMのそれぞれから1つずつ選択することにより構成されるz₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMの全ての組(z₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aM)のそれぞれについて、判定部１６は(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀の関係を満たすか判定する（ステップＳ８）。

　例えば、k₀,k₁,…,k_Mを１以上の整数として、第一記憶部１７及び第二記憶部１８にｚ₀がk₀個、z₁がk₁個、…、z_Mがk_M個記憶されているとする。この場合、第一記憶部１７及び第二記憶部１８に記憶されたz₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMのそれぞれから1つずつ選択することにより構成されるz₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMの組(z₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aM)は、k₀×k₁×k₂×…×k_M個存在する。したがって、判定部１６は、k₀×k₁×k₂×…×k_M個の組(z₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aM)のそれぞれについて、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀の関係を満たすか判定する。

　第一回目のステップＳ８の処理で(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀の関係を満たす場合には、標本器２１はブラックボックスをM回用いてz₁,z₂,…,z_Mの計算を行い、拡張乱数化可能標本器２２はブラックボックスFを1回用いてz₀の計算を行っており、ブラックボックスを参照する回数は合計でM+1回である。このように、ブラックボックスを用いて計算する回数を最小でM+1回にすることができる。

　［変形例等］
　確率変数R₀,R₁,…,R_Mは、同じでも異なっていてもよい。

　乱数生成部１１は、一様乱数を生成することにより、代理計算システムの安全性が最も高くなる。しかし、求める安全性のレベルがそれほど高くない場合には、乱数生成部１１は、一様乱数ではない乱数を生成してもよい。

　また、依頼装置１が複数の依頼情報を計算装置２にまとめて提供し、対応するz₀,z₁,z₂,…,z_Mを複数個まとめて取得してもよい。これにより、依頼装置１と計算装置２との間のやり取り回数を減らすことができる。

　依頼装置１及び計算装置２の各部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　その他、この発明は上述の実施形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　例えば、第一記憶部１７及び第二記憶部１８にz₀,(z₁)^a1,(z₂)^a2,…,(z_M)^aMの少なくとも１つが複数記憶されている場合には、図３に破線で示すように、判定部１６はステップＳ５とステップＳ６の間にステップＳ８の処理を行ってもよい。

　また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

Claims (8)

1. 　G,Hを巡回群、Mを2以上の整数、i=1,…,M、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数として、
    乱数a₁,a₂,…,a_Mを生成する乱数生成部と、
    f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であり、それらの計算結果をそれぞれz₁,z₂,…,z_Mとする標本器と、
    (z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算するべき乗計算部と、
    f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能であり、その計算結果をz₀とする拡張乱数化可能標本器と、
    (z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する判定部と、
    を含む代理計算システム。
2. 　請求項１の代理計算システムにおいて、
   　所定の確率以上の確率で関数fと同じ値を出力する確率的関数をFとし、群Hの生成元をhとし、0以上の整数の乱数をsとして、
   　上記拡張乱数化可能標本器は、F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-sの値を計算して、その計算結果をz₀とする、
   　代理計算システム。
3.  G,Hを巡回群、Mを2以上の整数、i=1,…,M、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数として、
   　乱数生成部が、乱数a₁,a₂,…,a_Mを生成する乱数生成ステップと、
   　標本器が、f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能であり、それらの計算結果をそれぞれz₁,z₂,…,z_Mとする標本抽出ステップと、
    べき乗計算部が、(z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算するべき乗計算ステップと、
    拡張乱数化可能標本器が、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能であり、その計算結果をz₀とする拡張乱数化可能標本抽出ステップと、
    判定部が、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する判定ステップと、
   　を含む代理計算方法。
4. 　請求項３の代理計算方法において、
   　所定の確率以上の確率で関数fと同じ値を出力する確率的関数をFとし、群Hの生成元をhとし、0以上の整数の乱数をsとして、
    上記拡張乱数化可能標本ステップは、F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-sの値を計算して、その計算結果をz₀とする、
   　代理計算方法。
5. 　G,Hを巡回群、Mを2以上の整数、i=1,…,M、fを群Hの元x_iを群Gへ写す準同型関数、R_i及びR₀を群Gに値を持つ確率変数、r_iを確率変数R_iの実現値、r₀を確率変数R₀の実現値、a_iを0以上の整数の乱数として、
   　乱数a₁,a₂,…,a_Mを生成する乱数生成部と、
   　f(x₁)r₁,f(x₂)r₂,…,f(x_M)r_Mを計算可能な標本器による計算結果z₁,z₂,…,z_Mを用いて、(z₁)^a1,(z₂)^a2,…,(z_M)^aMを計算するべき乗計算部と、
    上記べき乗計算部の計算結果、及び、f(x₁ ^a1×x₂ ^a2×…×x_M ^aM)r₀を計算可能な拡張乱数化可能標本器による計算結果z₀を用いて、(z₁)^a1×(z₂)^a2×…×(z_M)^aM=z₀であるか判定する判定部と、
    を含む依頼装置。
6. 　請求項５の依頼装置において、
   　所定の確率以上の確率で関数ｆと同じ値を出力する確率的関数をFとし、群Hの生成元をhとし、0以上の整数の乱数をsとして、
     上記拡張乱数化可能標本器は、F(x₁ ^a1×x₂ ^a2×…×x_M ^aMh^s)f(h)^-sの値を計算して、その計算結果をz₀とする、
   　依頼装置。
7. 　請求項５又は６の依頼装置の各部としてコンピュータを機能させるためのプログラム。
8. 　請求項５又は６の依頼装置の各部としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。

Images