WO2014030706A1

WO2014030706A1 - 暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラム

Info

Publication number: WO2014030706A1
Application number: PCT/JP2013/072433
Authority: WO
Inventors: 勇寺西
Original assignee: 日本電気株式会社
Priority date: 2012-08-23
Filing date: 2013-08-22
Publication date: 2014-02-27

Abstract

【課題】暗号化されたデータを復号化する事なく加算処理を行い、その加算結果を少ない計算量で検証することを可能とする暗号化データベースシステム等を提供する。【解決手段】クライアント装置２０と暗号化データベースサーバ１０とからなる暗号化データベースシステムで、クライアント装置２０は、事前に暗号鍵と乱数列を生成して記憶させるセットアップ部２０１と、入力された平文に対応するタグを乱数列の多項式によって算出し、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加してこれを暗号化データベースサーバに送信して記憶させるデータ登録部２０２と、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信する加算部２０３とを有する。

Description

暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラム

　本発明は暗号化データベースシステム、クライアント装置およびサーバ、暗号化データ加算方法およびプログラムに関し、特に暗号化されたデータを復号化する事なく加算し、その加算結果を少ない計算量で検証することを可能とする暗号化データベースシステム等に関する。

　近年のいわゆるクラウドコンピューティング技術の発展により、ユーザが自身のデータをネットワークを介して接続されたデータベースサーバ（以後単にサーバという）に送信して管理させるという機会が、今後ますます増えるであろうと予想されている。そして、そのサーバに預けたデータを、当該サーバ側で何らかの処理をさせて、その結果をユーザ側のクライアント装置（以後単にクライアントという）で受け取るという機会も、当然多くなると考えられている。

　特にデータベースにおいては、データの四則演算、中でも加算は極めて重要である。膨大な数のデータから合計値や平均値といった統計値を算出する処理を、１台のみのクライアント装置とは比較にならないほど強大な計算能力を持ったサーバ側で行い、そしてその計算結果をどこからでも取り出して利用できるということに、サーバによってユーザのデータを管理することの意義がある。

　ところが、クラウドコンピューティングにおいては、同時にデータのセキュリティの問題も叫ばれている。「ユーザが暗号化してサーバに送信したデータを、サーバ側で加算して、その結果をユーザに返す」という処理においては、ユーザにとってはサーバが１００％信頼できるものであるとは限らないので、「データがサーバ側に知られるかもしれない」ことと、「サーバが正しく加算処理を行わず、不正に改変された加算結果を返すかもしれない」ことの２点が、セキュリティにおけるリスクとなりうる。

　そのために、ユーザは自らのクライアントにおいて保有している暗号鍵によって、自身のデータを暗号化してから、サーバに送信する。サーバ側では「暗号化された当該データを復号化する事なく加算処理を行う」ことが可能である必要があり、クライアント側では「返送されてきた加算結果が、正しいか否かを検証する」ことが可能である必要がある。

　これに関連する技術として、以下の各々がある。非特許文献１には「トラップドア置換（trapdoor permutation）」を利用して暗号化されたデータを復号化せずに加算処理を行える技術が記載されている。非特許文献２には、電子投票などにも利用できるという暗号化方式が記載されている。非特許文献３には、選択暗号文攻撃に対して強いという暗号化方式が記載されている。非特許文献４には、後述のべき乗剰余を計算する手法が記載されている。

　また、特許文献１には、秘密情報に対して大小比較を含む演算を行うことができるという分散情報処理システムが記載されている。特許文献２には、ブロック暗号の認証を効率的に行うことができるというメッセージ認証装置が記載されている。特許文献３には、暗号文を含むデータベースを検索することができるという検索可能暗号システムが記載されている。特許文献４には、第三者への秘匿とセンターへの匿名性を確保しつつ、各需要家装置のデータを収集および分析することができるというデータ収集システムが記載されている。

特開２００８－０２０８７１号公報国際公開ＷＯ２００７／０５２４４７７号特開２０１２－０７９１９２号公報特開２００９－２９０７７４号公報

PascalPaillier, Public-Key Cryptosystems Based on Composite Degree ResiduosityClasses, EUROCRYPT 1999, pp223-238. Ivan Damgaard, Mads Jurik: A Generalisation, a Simplification and SomeApplications of Paillier's Probabilistic Public-Key System. Public KeyCryptography 2001: 119-136 RonaldCramer and Victor Shoup. "A practical public key cryptosystem provablysecure against adaptive chosen ciphertext attack." in proceedings ofCrypto 1998, LNCS 1462, p. 13 AlfredJ. Menezes, Paul C. van Oorschot and Scott A. Vanstone. Handbook of AppliedCryptography. CRC Press. ISBN: 0-8493-8523-7. October 1996. pp.614.

　ところが、サーバ側で「暗号化された当該データを復号化する事なく加算処理を行う」ことが可能であり、クライアント側で「返送されてきた加算結果が、正しいか否かを検証する」ことが可能であるという性質を両方とも満たす暗号化方式は、今のところ知られていない。たとえば広く使われているＡＥＳ（Advanced Encryption Standard）暗号やＤＥＳ（Data Encryption Standard）暗号などのような方式では、暗号化されたデータを復号化することなく加算処理を行うことはできない。

　また、非特許文献１～２や特許文献１には、暗号化されたままのデータを加算することが可能であるという技術が記載されているが、加算結果を検証することは記載されていない。非特許文献３には、暗号化の正当性を検証するという技術が記載されているが、これは暗号文そのものの正当性の検証であって、加算結果の正当性を検証するものではない。残る非特許文献４、および特許文献２～４にも、上記の性質を両方とも満たす技術は記載されていない。

　そして、クライアント側での加算結果の検証に必要な計算量は「加算処理にかかる計算量よりも大幅に少なく済む」ものであることも必要である。もし加算結果の検証に加算処理と同等もしくはそれ以上の計算量が必要なものであるなら、クライアント内部で加算処理すればそれで済むこととなり、加算処理をわざわざサーバに依頼すること自体が（もちろん暗号化も検証も）全く無意味なことになってしまうからである。この点を解決しうる技術も、上記の非特許文献１～４、および特許文献１～４のいずれにも記載されていない。

　本発明の目的は、暗号化されたデータを復号化する事なく加算処理を行うこと、およびその加算結果が正しいか否かを加算処理よりも大幅に少ない計算量で検証することを可能とする暗号化データベースシステム、クライアントおよびサーバ、暗号化データ加算方法およびプログラムを提供することにある。

　上記目的を達成するため、本発明に係る暗号化データベースシステムは、加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムであって、クライアント装置が、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、入力された平文に対応するタグを乱数列の多項式によって算出し、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加してこれを暗号化データベースサーバに送信して記憶させるデータ登録部と、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信する加算部とを有することを特徴とする。

　上記目的を達成するため、本発明に係るクライアント装置は、送信された加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を送信する暗号化データベースサーバと接続されているクライアント装置であって、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、入力された平文に対応するタグを乱数列の多項式によって算出し、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加してこれを暗号化データベースサーバに送信して記憶させるデータ登録部と、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信する加算部とを有することを特徴とする。

　上記目的を達成するため、本発明に係る暗号化データベースサーバは、クライアント装置から受信した加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバであって、事前にクライアント装置で生成された整数を受信して予め備えられた記憶手段に記憶させるセットアップ部と、クライアント装置で暗号化された平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部と、クライアント装置から受信したデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信する加算部とを有することを特徴とする。

　上記目的を達成するため、本発明に係る暗号化データ加算方法は、加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、クライアント装置のセットアップ部が、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を暗号化データベースサーバに送信し、暗号化データベースサーバのセットアップ部が、クライアント装置から受信した整数を予め備えられた記憶手段に記憶させ、クライアント装置のデータ登録部が、入力された平文に対応するタグを乱数列の多項式によって算出し、クライアント装置のデータ登録部が、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加して暗号化データベースサーバに送信し、暗号化データベースサーバのデータ登録部が、クライアント装置から受信した平文およびタグの組を予め備えられた記憶手段に記憶させ、クライアント装置の加算部が、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信し、暗号化データベースサーバの加算部が、クライアント装置から受信したデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信することを特徴とする。

　上記目的を達成するため、本発明に係る暗号化データ加算プログラムは、加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、クライアント装置が備えるプロセッサに、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を暗号化データベースサーバに送信する手順、入力された平文に対応するタグを乱数列の多項式によって算出する手順、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加して暗号化データベースサーバに送信する手順、および平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信する手順を実行させることを特徴とする。

　上記目的を達成するため、本発明に係る他の暗号化データ加算プログラムは、加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、暗号化データベースサーバが備えるプロセッサに、クライアント装置から受信した整数を予め備えられた記憶手段に記憶させる手順、クライアント装置から受信した平文およびタグの組を予め備えられた記憶手段に記憶させる手順、およびクライアント装置から受信した平文の和を算出する対象となるデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信する手順を実行させることを特徴とする。

　本発明は、上記したように、クライアント装置では平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加して暗号化データベースサーバに記憶させ、暗号化データベースサーバでは算出する対象となるデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信するように構成したので、暗号化データベースサーバではデータを復号することなく和を算出することができ、クライアント装置では容易にこの和が正しいか否かを検証する事ができる。

　これによって、暗号化されたデータを復号化する事なく加算処理を行うこと、およびその加算結果が正しいか否かを加算処理よりも大幅に少ない計算量で検証することが可能であるという、優れた特徴を持つ順暗号化データベースシステム、クライアントおよびサーバ、暗号化データ加算方法およびプログラムを提供することができる。

本発明の実施形態に係る暗号化データベースシステム１の構成について示す説明図である。図１に示したセットアップ部の動作について示すフローチャートである。図１に示したデータ登録部の動作について示すフローチャートである。図１に示した加算部の動作について示すフローチャートである。図１に示した加算部および高速加算部の動作について示すフローチャートである。

（実施形態）
　以下、本発明の実施形態の構成について添付図１に基づいて説明する。
　最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
　本実施形態に係る暗号化データベースシステム１は、加算命令を送信するクライアント装置２０と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバ１０とからなる暗号化データベースシステムである。クライアント装置２０は、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段２２に記憶させるセットアップ部２０１と、入力された平文に対応するタグを乱数列の多項式によって算出し、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加してこれを暗号化データベースサーバに送信して記憶させるデータ登録部２０２と、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信する加算部２０３とを有する。

　一方の暗号化データベースサーバ１０は、事前にクライアント装置２０で生成された整数を受信して予め備えられた記憶手段１２に記憶させるセットアップ部１０１と、クライアント装置で暗号化された平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部１０２と、クライアント装置から受信したデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信する加算部１０３とを有する。

　そしてクライアント装置２０の加算部２０３は、受信した加算結果を暗号鍵を利用して復号化し、この復号化によって得られた平文から再び乱数列の多項式によってタグを算出し、この平文とタグとを再び暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する機能を有する。

　以上の構成を備える事により、暗号化データベースシステム１は、暗号化されたデータを復号化する事なく加算処理を行うこと、およびその加算結果が正しいか否かを加算処理よりも大幅に少ない計算量で検証することが可能なものとなる。
　以下、これをより詳細に説明する。

（本実施形態の原理）
　まず、本実施形態の原理から説明する。暗号文Ｅｎｃ（Ｋ，ａ，τ）を以下の数１に示すように定義する。ここで、Ｋは共通鍵、ａは平文（加算対象の数値）、τはタグと呼ばれるデータであり、ａの保管場所を管理するものである。Ａは任意の定数、ＮはＲＳＡモジュラス、ｇは（Ｚ／Ｎ＾ｓＺ）の元、ｓは２以上の自然数である。なお、タグ付き暗号方式について詳しくは後述する。

　（ａ，τ）および（ａ’，τ’）という平文とこれに対応するタグの組が２セットある場合、数１で定義されたＥｎｃ（Ｋ，ａ，τ）には数２で示す性質がある。ここで「・」は乗算を示す。

　この性質を利用すれば、ａの暗号文とａ’の暗号文とからａ＋ａ’の暗号文を算出することができ、これによってａおよびａ’を暗号化したままの状態で加算することができる。

　この数１に示した暗号方式では「（１＋ＡＮ）＾ａ」「ｇ＾ａ」の２要素に平文ａが使用されている。この部分を利用して暗号文の正当性を検証することができる（本明細書の数式以外の行では「ＡのＢ乗」を「Ａ＾Ｂ」と表記するものとする）。もしこの暗号文が不正である場合、たとえば「（１＋ＡＮ）＾ａ」「ｇ＾ｂ」などのように、この２要素の部分が異なる値となる。従って、この２要素の部分の一致性を判定すれば、不正な方法で暗号文が作られていない事を検証することができる。

　より具体的には、サーバから受信した暗号文Ｃを、ユーザが持つ正当な暗号鍵Ｋによって一度復号化して平文ａを得た後、改めて数１で示した暗号化処理をして以下の数３に示す関係が成立すればこの暗号文Ｃは正当、成立しなければ不正であると判定できる。

　さて、ｎ（ｎ≧２）個の平文とこれに対応するタグの組（ａ［１］，τ［１］），…，（ａ［ｎ］，τ［ｎ］）の各々を数１に定義した方式で暗号化した数４に示すｎ個の暗号文がある。そしてこれらのｎ個の暗号文から、サーバが数５に示す加算結果の暗号文Ｃを算出した。

　もしサーバが加算結果の暗号文Ｃを不正に算出していれば、このＣが上述の検証を通過しない可能性が高い。従ってユーザは、自らが持つ正当な暗号鍵Ｋによって暗号文Ｃを一度復号化して平文ａを得た後、数６に示す関係が成立すればこの暗号文Ｃは正当、成立しなければ不正であると判定できる。

　ただし、この検証を行うには、ユーザ側でτ［１］…τ［ｎ］を計算する必要がある。この計算は、データ数ｎに依存した計算量を必要とするので、効率的ではない。そこで、λをｇの位数とし、ｈを（Ｚ／Ｎ＾ｓＺ）からランダムに選び、さらにｘを（Ｚ／λＺ）集合からランダムに選んで、以下の数７に示すようにｙ［ｉ］およびτ［ｉ］を定義する。

　そして和の公式に従ってｚを以下の数８に示すように定義すれば、以下の数９が成立するので、数１０が成立する。従って、τ［１］…τ［ｎ］の計算を、ｚおよびｈの計算に置き換えることができる。前述の非特許文献４に記載されているleft-to-right binary exponentiationアルゴリズムを利用すれば、べき乗剰余ｘ＾（ｎ＋１）をｌｏｇ（ｎ）オーダーの計算量で計算できるので、τ［１］…τ［ｎ］を直接計算するよりも効率的である。

　以上ここまで、配列τが１種類のみの変数ｉでパラメトライズされる場合、即ちτ［ｉ］と表記される場合について説明したが、これは配列τがｄ個の変数ｉ［１］，…，ｉ［ｄ］でパラメトライズされる場合にも容易に拡張できる。即ち、この場合においては配列τは数１１に示すように表記できる。そして、ｅ個のベクトルｊ［１］，…，ｊ［ｅ］を、数１２に示すように定義する。さらにｉ＝（ｉ［１］，…，ｉ［ｄ］）とする。集合Ｘは、数１３に示すように定義される。ここで［Ａ..Ｂ］は「Ａ以上Ｂ以下の整数の集合」である。

　数１４に示す暗号文Ｃから、数１５に示す積Πを計算することで数１６に示す和の暗号文を得る事ができたものとする。

　この、数１６で示した暗号文を前述の方法で検証するためには、数１７に示す積を計算する必要がある。この計算は、データ数に依存した計算量を必要とするので、効率的ではない。

　そこで、ｘ［１］，…，ｘ［ｄ］を（Ｚ／λＺ）からランダムに選び、以下の数１８に示すようにｙ［ｉ［１］，…，ｉ［ｄ］］およびτ［ｉ［１］，…，ｉ［ｄ］］を定義する。

　そしてｗ［ｌ］およびｚを以下の数１９のように定義すれば、数２０の関係が成立する。従って、数２１の関係が成立するので、数１７に示す積を計算するかわりにｈ＾ｚを算出するのみで済むので、加算結果の検証に係る演算を能率化できる。

（実施形態の機器構成）
　図１は、本発明の実施形態に係る暗号化データベースシステム１の構成について示す説明図である。暗号化データベースシステム１は、暗号化データベースサーバ１０と、クライアント装置２０とが相互に接続されて構成される。本願発明の概念を平易に説明するため、図１には暗号化データベースサーバ１０およびクライアント装置２０を各１台ずつ示したが、基本的には１台の暗号化データベースサーバ１０に対して多数台のクライアント装置２０が接続されるものである。

　暗号化データベースサーバ１０は、一般的なコンピュータ装置としての構成を備える。即ち、暗号化データベースサーバ１０は、コンピュータプログラムを実行する主体となるプロセッサ１１と、データを記憶する記憶手段１２と、他のコンピュータとの間でデータ通信を行う通信手段１３とを備える。

　クライアント装置２０も、一般的なコンピュータ装置としての構成を備える。即ち、クライアント装置２０は、暗号化データベースサーバ１０と各々同様の、プロセッサ２１と、記憶手段２２と、通信手段２３とに加えて、ユーザからの入力を受け付け、また演算結果をユーザに提示する入出力手段２４を備える。

　暗号化データベースサーバ１０のプロセッサ１１は、暗号化データ管理プログラムが動作する事により、セットアップ部１０１、データ登録部１０２、加算部１０３、および高速加算部１０４の各々として機能する。また、暗号化データベースサーバ１０の記憶手段１２には、暗号化データ１１１、および暗号パラメータ１１２といった各データが記憶される。

　クライアント装置２０のプロセッサ２１も、暗号化データ管理プログラムが動作する事により、セットアップ部２０１、データ登録部２０２、加算部２０３、および高速加算部２０４の各々として機能する。また、クライアント装置２０の記憶手段２２には、暗号パラメータ２１１が記憶される。

　暗号化データベースサーバ１０およびクライアント装置２０で、セットアップ部１０１および２０１、データ登録部１０２および２０２、加算部１０３および２０３は相互に連動して、後述の処理を行う。またクライアント装置２０の高速加算部２０４は、暗号化データベースサーバ１０の加算部１０３と連動する。

　セットアップ部１０１および２０１は、本実施形態の動作の前提となる、暗号化データベースサーバ１０およびクライアント装置２０の間で共有されているべき情報を生成して、暗号パラメータ１１２および２１１として記憶させる。データ登録部１０２および２０２は、クライアント装置２０ではデータの暗号化を行って暗号化データベースサーバ１０に送信し、暗号化データベースサーバ１０ではその暗号化されたデータを暗号化データ１１１として記憶する。

　加算部１０３および２０３は、クライアント装置２０では暗号化データ１１１の中で特定の範囲のデータを加算する命令文を生成して暗号化データベースサーバ１０に送信し、暗号化データベースサーバ１０ではそれに従って加算処理を行う。高速加算部２０４は、これと同様の加算処理を、加算部１０３および２０３より高速に実行するが、計算できる和の種類が制限されている（詳細は後述）。

（一般的なタグ付き暗号方式）
　一般的なタグ付き暗号方式では、「鍵生成アルゴリズムＫｇ」「暗号化アルゴリズムＥｎｃ」「復号アルゴリズムＤｅｃ」という３種類のアルゴリズムを使用する。鍵生成アルゴリズムＫｇは、整数Ｕ，Ｖ，λと共通鍵Ｋを出力する。ここで整数の集合をＺと表記し、位数Ｎの巡回群をＺ／ＮＺと表記する。ｇは（Ｚ／Ｎｓ）の元、λはｇの位数である。タグτ∈（Ｚ／λＺ）は、前述の通り、平文ｍ（加算対象の数値）の保管場所を管理するデータである。

　暗号化アルゴリズムＥｎｃは、共通鍵Ｋと平文ｍ∈（Ｚ／ＵＺ）とタグτ∈（Ｚ／λＺ）を入力として受け取り、暗号文Ｃ∈（Ｚ／ＶＺ）を出力する。復号アルゴリズムＤｅｃは、共通鍵Ｋと暗号文Ｃとタグτを入力として受け取り、平文ｍもしくはＣが不正であることを示すエラーメッセージを出力する。

（本実施形態のタグ付き暗号方式）
　これに対して、本実施形態で利用されるタグ付き暗号方式は、ｓを２以上の自然数、Ａを任意の定数と各々定義すると、以下のように示される。

　まず鍵生成アルゴリズムＫｇは、整数Ｎ、Ｚ／（Ｎ＾２）Ｚの元ｇおよびｈで位数が同一の値λであるものを選び、以下の数２２で定義されるＵ、Ｖ、λ、Ｋを出力する。

　暗号化アルゴリズムＥｎｃは、Ｋ＝（Ｎ，Ｕ，Ｖ，λ，ｇ）、（Ｚ／ＵＺ）の元ｍ、および整数τを入力として受け取り、以下の数２３に示す暗号文Ｃを出力する。

　復号アルゴリズムＤｅｃは、Ｋ＝（Ｎ，Ｕ，Ｖ，λ，ｇ）とＺ／（Ｎ＾２）Ｚの元Ｃと整数τを入力として受け取り、以下の数２４に示す演算を行う。

　Ｃ＝Ｅｎｃ（Ｋ，ｍ，τ）が成立すれば、この暗号文は正当なものであるので、平文ｍを出力する。そうでなければ暗号文が不正であることを示すエラーメッセージを出力する。

　以上で示した本実施形態のタグ付き暗号方式で、κおよびκ’をセキュリティパラメータとした場合、安全性の観点から言えば、κを１０２４以上、κ’を１６０以上で各々定義し、かつＮをκ／２ビットのランダムに選ばれた素数ｐおよびｑの積とし、λをＮ＾ｓのカーマイケル数の約数であり、かつκ’ビット以上であるものとすることが望ましい。

（本実施形態の前提）
　まず、ｄは整数であり、かつｄ≧２である。Ｓ［１］，…，Ｓ［ｄ］およびＴ［１］，…，Ｔ［ｄ］はいずれも整数であり、かつＳ［１］≦Ｔ［１］，…，Ｓ［ｄ］≦Ｔ［ｄ］を満たす。

　暗号化データベースサーバ１０およびクライアント装置２０は、事前にｄおよびＳ［１］，…，Ｓ［ｄ］の値を共有しており、各々の記憶手段１２および２２に暗号パラメータ１１２および２１１として予め記憶されている。この共有は、インターネットを介さないで「秘密裏に」行うことが望ましい。具体的には、たとえば記憶媒体に保存して郵送もしくは持参する、あるいはインターネットとは別の管理専用回線で送信するなどのような方法がある。

　暗号化データベースサーバ１０は、Ｓ［１］≦ｉ［１］≦Ｔ［１］，…，Ｓ［ｄ］≦ｉ［ｄ］≦Ｔ［ｄ］を満たすｉ［１］，…，ｉ［ｄ］に対して、暗号化データ１１１としてｄ次元配列Ｃｉｐｈｅｒ［ｉ［１］，…，ｉ［ｄ］］を管理している。初期状態ではＣｉｐｈｅｒ［ｉ［１］，…，ｉ［ｄ］］の各要素はいずれも０もしくはｎｕｌｌ値である。

（フローチャート）
　図２は、図１に示したセットアップ部１０１および２０１の動作について示すフローチャートである。まずクライアント装置２０で、セットアップ部２０１が、前述の鍵生成アルゴリズムＫｇによって、数２２で示したＵ、Ｖ、λ、Ｋを出力する（ステップＳ３０１）。

　セットアップ部２０１は次に、暗号パラメータ２１１として予め記憶されているｄを読み込み、ｘ［１］，…，ｘ［ｄ］∈（Ｚ／λＺ）およびｈ∈（Ｚ／ＶＺ）をランダムに選んで（ステップＳ３０２）、Ｋ、ｘ［１］，…，ｘ［ｄ］、およびｈを暗号パラメータ２１１の中に記憶させ（ステップＳ３０３）、Ｖを暗号化データベースサーバ１０に送信する（ステップＳ３０４）。暗号化データベースサーバ１０では、このＶをセットアップ部１０１が受信して、暗号パラメータ１１２の中に記憶させる（ステップＳ３０５）。

　図３は、図１に示したデータ登録部１０２および２０２の動作について示すフローチャートである。クライアント装置２０から入出力手段２４を介して入力された、暗号化データベースサーバ１０に送信されて登録対象となるデータが入力される（ステップＳ４０１）。このデータをａ［ｉ［１］..ｉ［ｄ］］とする。ここで前述のように、［Ａ..Ｂ］は「Ａ以上Ｂ以下の整数の集合」である。またｉ［１］，…，ｉ［ｄ］は、Ｓ［１］≦ｉ［１］≦Ｔ［１］，…，Ｓ［ｄ］≦ｉ［ｄ］≦Ｔ［ｄ］を満たす。

　この時、クライアント装置２０でデータ登録部２０２が、暗号パラメータ２１１から前述のステップＳ３０３で記憶されたＫ、ｘ［１］，…，ｘ［ｄ］、およびｈを読み込む（ステップＳ４０２）。そして、以下の数２５で示されるｙを計算し（ステップＳ４０３）、これを暗号化アルゴリズムＥｎｃに適用して以下の数２６で示される暗号文Ｃを計算し（ステップＳ４０４）、これとｉ［１］，…，ｉ［ｄ］とを組み合わせた以下の数２７で示されるデータを暗号化データベースサーバ１０に送信する（ステップＳ４０５）。

　暗号化データベースサーバ１０では、数２６で示したデータをデータ登録部１０２が受信して、暗号化データ１１１、即ちｄ次元配列Ｃｉｐｈｅｒ［ｉ［１］，…，ｉ［ｄ］］として記憶させる（ステップＳ４０６）。

　図４は、図１に示した加算部１０３および２０３の動作について示すフローチャートである。今、数２８に示す集合Ｘに属するｉ［１］，…，ｉ［ｄ］に対して、クライアント装置２０が暗号化データベースサーバ１０にａ［ｉ［１］，…，ｉ［ｄ］］の合計値を求める加算処理を実行させようとしている。その場合、加算部２０３はその集合Ｘについて暗号化データベースサーバ１０に送信し、加算処理を行わせるコマンドを送付する（ステップＳ５０１）。

　これを受けた暗号化データベースサーバ１０では、加算部１０３がこれを受信して、以下の数２９に示される加算結果の暗号文Ｃを計算し（ステップＳ５０２）、これをクライアント装置２０に送付する（ステップＳ５０３）。

　これを受けたクライアント装置２０では、加算部２０３がこれを受信して、まず暗号パラメータ２１１から前述のステップＳ３０３で記憶されたＫおよびｈを読み込み（ステップＳ５０４）、以下の数３０に示すｚの値を計算する（ステップＳ５０５）。

　そして、このｚを前述の復号アルゴリズムＤｅｃ（Ｋ，Ｃ，ｈ＾ｚ）に適用し、加算結果の暗号文Ｃが正当であるか否かを判断する（ステップＳ５０６）。Ｃが正当なものであれば、ａ＝Ｄｅｃ（Ｋ，Ｃ，ｈ＾ｚ）として得られるａが、求める加算結果であるので、これを入出力手段２４を介してユーザに提示して（ステップＳ５０７）処理を終了する。Ｃが正当なものでなければ、エラーメッセージを入出力手段２４を介してユーザに提示して（ステップＳ５０８）処理を終了する。

　図５は、図１に示した加算部１０３および高速加算部２０４の動作について示すフローチャートである。数３１に示すｅ個のベクトルをｊ［１］，…，ｊ［ｅ］と定義し、集合Ｘを数３２のように定義する。

　この時、集合Ｘが数３３に示す関係を満たしている場合に、クライアント装置２０では高速加算部２０４を利用して上記のステップＳ５０５の演算を行うことができる。具体的には、高速加算部２０４は数３４に示す関係を利用して、ｚの値を計算する（ステップＳ６０１）。この点以外は、図４に示した演算の動作と同一であるので、これ以外のステップについては同一の参照番号を付けて説明を省略する。

（実施形態の全体的な動作）
　次に、上記の実施形態の全体的な動作について説明する。
　本実施形態に係る暗号化データ加算方法は、加算命令を送信するクライアント装置２０と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバ１０とからなる暗号化データベースシステム１にあって、クライアント装置のセットアップ部が、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を暗号化データベースサーバに送信し、暗号化データベースサーバのセットアップ部が、クライアント装置から受信した整数を予め備えられた記憶手段に記憶させ（図２・ステップＳ３０１～３０４）、クライアント装置のデータ登録部が、入力された平文に対応するタグを乱数列の多項式によって算出し（図３・ステップＳ４０２～４０３）、クライアント装置のデータ登録部が、平文を暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文にタグを付加して暗号化データベースサーバに送信し（図３・ステップＳ４０４～４０５）、暗号化データベースサーバのデータ登録部が、クライアント装置から受信した平文およびタグの組を予め備えられた記憶手段に記憶させ（図３・ステップＳ４０６）、クライアント装置の加算部が、平文の和を算出させる対象となるデータ集合を加算命令として暗号化データベースサーバに送信し（図４・ステップＳ５０１）、暗号化データベースサーバの加算部が、クライアント装置から受信したデータ集合に属する暗号文の積と各暗号文に対応するタグの和とを算出してこれを加算結果としてクライアント装置に返信する（図４・ステップＳ５０２～５０３）。

　そしてクライアント装置の加算部が、受信した加算結果を暗号鍵を利用して復号化し（図４・ステップＳ５０４～５０５）、この復号化によって得られた平文から再び乱数列の多項式によってタグを算出し、この平文とタグとを再び暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する（図４・ステップＳ５０５～５０７）。

　ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行する暗号化データベースサーバのプロセッサ１１、およびクライアント装置のプロセッサ２１に実行させるようにしてもよい。本プログラムは、非一時的な記録媒体、例えば、ＤＶＤ、ＣＤ、フラッシュメモリ等に記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行される。
　この動作により、本実施形態は以下のような効果を奏する。

　本実施形態によれば、ユーザがクライアント装置の側で暗号化したデータの和を、復号することなく暗号化データベースサーバの側で算出することが可能となる。かつ、算出されて返送されてきた和が、正当なものであるか否かをユーザがクライアント装置の側で検証する事ができる。その検証に必要な計算量は、クライアント装置の側で暗号化する前のデータの和を算出するために必要な計算量よりも少なくすることができる。

　これによって、ユーザはデータのセキュリティを確保しつつ、クラウドコンピューティングによるデータ管理を利用し、強大な計算能力とデータをどこからでも利用できるというメリットを享受する事ができる。

　これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。

　上述した実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。

（付記１）　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムであって、
　前記クライアント装置が、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、
　入力された平文に対応するタグを前記乱数列の多項式によって算出し、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加してこれを前記暗号化データベースサーバに送信して記憶させるデータ登録部と、
　前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する加算部と
を有することを特徴とする暗号化データベースシステム。

（付記２）　前記暗号化データベースサーバが、
　事前に前記クライアント装置で生成された整数を受信して予め備えられた記憶手段に記憶させるセットアップ部と、
　前記クライアント装置で暗号化された前記平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部と、
　前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する加算部と
を有することを特徴とする、付記１に記載の暗号化データベースシステム。

（付記３）　前記クライアント装置の前記加算部が、
　受信した前記加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する機能を有することを特徴とする、付記２に記載の暗号化データベースシステム。

（付記４）
　前記クライアント装置のセットアップ部が、事前に生成した複数の整数を前記記憶手段に予め記憶させ、
　前記クライアント装置のデータ登録部が、前記整数を底として前記平文を冪とする冪乗剰余と、他の前記整数を底として前記タグを冪とする冪乗剰余とから前記暗号文を算出することを特徴とする、付記１に記載の暗号化データベースシステム。

（付記５）
　前記クライアント装置が、
　入力された前記データ集合が複数のベクトルの線形和からなる集合である場合に、前記複数のベクトルの各々に対して前記乱数列の多項式によって前記タグを算出してこれを前記加算命令に含めて前記暗号化データベースサーバに送信する高速加算部を有することを特徴とする、付記１に記載の暗号化データベースシステム。

（付記６）
　送信された加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を送信する暗号化データベースサーバと接続されているクライアント装置であって、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、
　入力された平文に対応するタグを前記乱数列の多項式によって算出し、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加してこれを前記暗号化データベースサーバに送信して記憶させるデータ登録部と、
　前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する加算部と
を有することを特徴とするクライアント装置。

（付記７）
　前記加算部が、
　前記暗号化データベースサーバから受信した加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する機能を有することを特徴とする、付記６に記載のクライアント装置。

（付記８）
　クライアント装置から受信した加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバであって、
　事前に前記クライアント装置で生成された整数を受信して予め備えられた記憶手段に記憶させるセットアップ部と、
　前記クライアント装置で暗号化された前記平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部と、
　前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する加算部と
を有することを特徴とする暗号化データベースサーバ。

（付記９）
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記クライアント装置のセットアップ部が、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバのセットアップ部が、前記クライアント装置から受信した前記整数を予め備えられた記憶手段に記憶させ、
　前記クライアント装置のデータ登録部が、入力された平文に対応するタグを前記乱数列の多項式によって算出し、
　前記クライアント装置の前記データ登録部が、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加して前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバのデータ登録部が、前記クライアント装置から受信した前記平文およびタグの組を予め備えられた記憶手段に記憶させ、
　前記クライアント装置の加算部が、前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバの加算部が、前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する
ことを特徴とする暗号化データ加算方法。

（付記１０）
　前記クライアント装置の前記加算部が、受信した前記加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する
ことを特徴とする、付記９に記載の暗号化データ加算方法。

（付記１１）
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記クライアント装置が備えるプロセッサに、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を前記暗号化データベースサーバに送信する手順、
　入力された平文に対応するタグを前記乱数列の多項式によって算出する手順、
　前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加して前記暗号化データベースサーバに送信する手順、
　および前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する手順
を実行させることを特徴とする暗号化データ加算プログラム。

（付記１２）
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記暗号化データベースサーバが備えるプロセッサに、
　前記クライアント装置から受信した前記整数を予め備えられた記憶手段に記憶させる手順、
　前記クライアント装置から受信した前記平文およびタグの組を予め備えられた記憶手段に記憶させる手順、
　および前記クライアント装置から受信した前記平文の和を算出する対象となるデータ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する手順
を実行させることを特徴とする暗号化データ加算プログラム。

　この出願は２０１２年８月２３日に出願された日本出願特願２０１２－１８４５７８を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　本発明は、収容されるデータが暗号化されているデータベースにおいて、幅広く利用する事ができる。特にクラウドコンピューティングにおいて利用されるデータベースで、セキュリティを確保しつつ処理を行うという用途に適している。

　　１　暗号化データベースシステム
　　１０　暗号化データベースサーバ
　　１１、２１　プロセッサ
　　１２、２２　記憶手段
　　１３、２３　通信手段
　　２４　入出力手段
　　２０　クライアント装置
　　１０１、２０１　セットアップ部
　　１０２、２０２　データ登録部
　　１０３、２０３　加算部
　　１１１　暗号化データ
　　１１２、２２１　暗号パラメータ
　　２０４　高速加算部

Claims

　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムであって、
　前記クライアント装置が、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、
　入力された平文に対応するタグを前記乱数列の多項式によって算出し、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加してこれを前記暗号化データベースサーバに送信して記憶させるデータ登録部と、
　前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する加算部と
を有することを特徴とする暗号化データベースシステム。
　前記暗号化データベースサーバが、
　事前に前記クライアント装置で生成された整数を受信して予め備えられた記憶手段に記憶させるセットアップ部と、
　前記クライアント装置で暗号化された前記平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部と、
　前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する加算部と
を有することを特徴とする、請求項１に記載の暗号化データベースシステム。
　前記クライアント装置の前記加算部が、
　受信した前記加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する機能を有することを特徴とする、請求項２に記載の暗号化データベースシステム。
　送信された加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を送信する暗号化データベースサーバと接続されているクライアント装置であって、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させるセットアップ部と、
　入力された平文に対応するタグを前記乱数列の多項式によって算出し、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加してこれを前記暗号化データベースサーバに送信して記憶させるデータ登録部と、
　前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する加算部と
を有することを特徴とするクライアント装置。
　前記加算部が、
　前記暗号化データベースサーバから受信した加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する機能を有することを特徴とする、請求項４に記載のクライアント装置。
　クライアント装置から受信した加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバであって、
　事前に前記クライアント装置で生成された整数を受信して予め備えられた記憶手段に記憶させるセットアップ部と、
　前記クライアント装置で暗号化された前記平文およびタグの組を予め備えられた記憶手段に記憶させるデータ登録部と、
　前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する加算部と
を有することを特徴とする暗号化データベースサーバ。
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記クライアント装置のセットアップ部が、事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバのセットアップ部が、前記クライアント装置から受信した前記整数を予め備えられた記憶手段に記憶させ、
　前記クライアント装置のデータ登録部が、入力された平文に対応するタグを前記乱数列の多項式によって算出し、
　前記クライアント装置の前記データ登録部が、前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加して前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバのデータ登録部が、前記クライアント装置から受信した前記平文およびタグの組を予め備えられた記憶手段に記憶させ、
　前記クライアント装置の加算部が、前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信し、
　前記暗号化データベースサーバの加算部が、前記クライアント装置から受信した前記データ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する
ことを特徴とする暗号化データ加算方法。
　前記クライアント装置の前記加算部が、受信した前記加算結果を前記暗号鍵を利用して復号化し、この復号化によって得られた平文から再び前記乱数列の多項式によって前記タグを算出し、この平文とタグとを再び前記暗号鍵を利用してタグ付き暗号方式によって暗号化した結果が前記加算結果と一致するか否かによって当該加算結果が正当であるか否かを検証する
ことを特徴とする、請求項７に記載の暗号化データ加算方法。
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記クライアント装置が備えるプロセッサに、
　事前にタグ付き暗号方式に使用される暗号鍵と乱数列を生成して予め備えられた記憶手段に記憶させると共に、同時に生成された整数を前記暗号化データベースサーバに送信する手順、
　入力された平文に対応するタグを前記乱数列の多項式によって算出する手順、
　前記平文を前記暗号鍵を利用してタグ付き暗号方式によって暗号化した暗号文に前記タグを付加して前記暗号化データベースサーバに送信する手順、
　および前記平文の和を算出させる対象となるデータ集合を前記加算命令として前記暗号化データベースサーバに送信する手順
を実行させることを特徴とする暗号化データ加算プログラム。
　加算命令を送信するクライアント装置と、当該加算命令に応じて予め記憶されている暗号化済みデータを復号化することなく加算してその結果を当該クライアント装置に対して送信する暗号化データベースサーバとからなる暗号化データベースシステムにあって、
　前記暗号化データベースサーバが備えるプロセッサに、
　前記クライアント装置から受信した前記整数を予め備えられた記憶手段に記憶させる手順、
　前記クライアント装置から受信した前記平文およびタグの組を予め備えられた記憶手段に記憶させる手順、
　および前記クライアント装置から受信した前記平文の和を算出する対象となるデータ集合に属する暗号文の積と前記各暗号文に対応するタグの和とを算出してこれを加算結果として前記クライアント装置に返信する手順
を実行させることを特徴とする暗号化データ加算プログラム。