秘密除法系统、秘密计算装置、秘密除法方法以及程序与流程

1.本发明涉及加密应用技术，特别涉及不公开输入或输出的值地高效进行除法的技术。


背景技术：

2.作为不复原被加密后的数值而得到特定的运算结果的方法，有称为秘密计算的方法(例如，参照非专利文献1)。在非专利文献1中记载的方法中，进行使数值的片断分散在三个秘密计算装置中的加密，通过三个秘密计算装置进行协同计算，可以不复原数值地、将加减运算、常数加法、乘法、常数倍、逻辑运算(“非”、“与”、“或”、“异或”)、数据形式变换(整数、二进数)的结果在被分散在三个秘密计算装置中的状态，即仍被加密的情况下进行保持。
3.有在不公开输入或输出的值而进行除法的情况下，在秘密计算中实现goldschmidt除法的方法(例如，参照非专利文献2)。
4.现有技术文献
5.非专利文献
6.非专利文献1:千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3
パーティ
秘匿関数計算
の
再考”、css、2010年
7.非专利文献2:dan bogdanov,margus niitsoo,tomas toft,and jan willemson,"high-performance secure multi-party computation for data mining applications,"international journal of information security,vol.11,no.6,pp.403-418,2012.


技术实现要素：

8.发明要解决的课题
9.可是，在秘密计算中实现goldschmidt除法的情况下，需要使用定点数的乘法。在秘密计算中定点数的乘法存在处理级数即通信次数多的问题。
10.本发明的目的是鉴于上述的技术课题，不使用定点数的乘法，而以较少的处理级数实现除法。
11.用于解决课题的方案
12.为了解决上述的课题，本发明的一个方式的秘密除法系统将r设为大于等于3的整数，将l0、l1设为非负的整数，将n设为大于等于0且小于r
l1
的实数，将d设为自然数，将n-l0
,
…
,n
l1-1
设为n的r进制下的从小数点以下第l0位至整数部第l1位的各位的值，将j设为从l
1-1至-l0的各整数，秘密除法系统是包含多个秘密计算装置，并使用n的隐匿值[n]和d的隐匿值[d]，得到表示n除以d的结果的隐匿值的秘密除法系统，秘密计算装置包括：将部分余数p
l1
的隐匿值[p
l1
]设定为0的初始化部；计算将部分除数n＝p
j 1
r nj的隐匿值[n]与对于大于等于1且小于r的各整数g的[d]
×
g并行地进行了比较后的比较结果e1,
…
,e
r-1
的隐匿
值[e1],
…
,[e
r-1
]的并行比较部；以及使用比较结果e1,
…
,e
r-1
的隐匿值[e1],
…
,[e
r-1
]，计算满足n＝dqj pj的商qj的隐匿值[qj]和部分余数pj的隐匿值[pj]的更新部。
[0013]
发明的效果
[0014]
按照本发明，由于不使用定点数的乘法而实现除法，所以可以以较少的处理级数实现除法。
附图说明
[0015]
图1是例示秘密除法系统的功能结构的图。
[0016]
图2是例示秘密计算装置的功能结构的图。
[0017]
图3是例示秘密除法方法的处理过程的图。
[0018]
图4是例示计算机的功能结构的图。
具体实施方式
[0019]
首先，说明本说明书中的记述方法以及用语的定义。
[0020]
＜记述方法＞
[0021]
将通过加密或秘密分散等将某个值a隐匿化后的值称为a的隐匿值，记述为[a]。在隐匿化为秘密分散的情况下，通过[a]参照各秘密计算装置持有的秘密分散的片断的集合。
[0022]
变量的定义域中的[a，b](方括弧)表示闭区间，(a，b)(圆括弧)表示开区间。例如，i∈[a，b]表示i取大于等于a且小于等于b的值。另外，i∈[a，b)表示i取大于等于a且小于b的值。
[0023]
《加法、减法、乘法＞
[0024]
对于隐匿文的加法、减法、乘法的各运算将两个值a、b的隐匿值[a]、[b]设为输入，分别计算a b、a-b、ab的计算结果c1、c2、c3的隐匿值[c1]、[c2]、[c3]。将这些运算的执行分别如下式那样记述。
[0025]
[数学式1]
[0026]
[c1]
←
add([a]，[b])，
[0027]
[c2]
←
sub([a]，[b])，
[0028]
[c3]
←
mul([a]，[b])
[0029]
在没有带来误解的顾虑的情况下，将add([a]，[b])、sub([a]，[b])、mul([a]，[b])分别略记为[a] [b]、[a]-[b]、[a]
×
[b]。
[0030]
《比较》
[0031]
比较的运算将两个值a、b的隐匿值[a]、[b]设为输入，计算a≤b的真假值c∈{0，1}的隐匿值[c]。在真假值为真时设为1，假时设为0。如下式那样记述该运算的执行。
[0032]
[数学式2]
[0033][0034]
以下，详细地说明本发明的实施方式。另外，在附图中对具有相同的功能的结构部附加相同的标号，省略重复说明。
[0035]
[实施方式]
[0036]
实施方式的秘密除法系统将被除数n的隐匿值[n]和除数d的隐匿值[d]设为输入，计算并输出n/d的r进制下的小数点以下的第l0位至整数部第l1位为止的各位的值q-l0
，...，q
l1-1
的隐匿值[q-l0
]，...，[q
l1-1
]。这里，设r为大于等于3的整数，l0、l1为非负的整数，n为大于等于0且小于r
l1l1
的实数，d为自然数。另外，在实施方式中使用的[n-l0
]，[n-l0 1
]，...，[n
l1-2
]，[n
l1-1
]是如下式那样表示n的r进制分解的n-l0
，n-l0 1
，...，n
l1-2
，n
l1-1
的隐匿值。
[0037]
[数学式3]
[0038][0039][0040]
参照图1，说明实施方式的秘密除法系统的结构例。秘密除法系统100例如如图1所示，包含k(≧2)台秘密计算装置11,
…
,1k。在本实施方式中，秘密计算装置11,
…
,1k分别被连接至通信网9。通信网9是被连接的各装置相互可通信地构成的线路交换方式或者分组交换方式的通信网，例如能够使用因特网或者lan(local area network，局域网)、wan(wide area network，广域网)等。另外，各装置不一定需要能够经由通信网9以在线方式进行通信。例如，也可以构成为将输入至秘密计算装置11,
…
,1k的信息存储在磁带或usb存储器等可拆装型记录介质中，从该可拆装型记录介质以离线方式输入至秘密计算装置11,
…
,1k。
[0041]
参照图2，说明实施方式的秘密除法系统100中包含的秘密计算装置1k(k＝1,
…
,k)的结构例。秘密计算装置1k例如如图2所示，包含：输入部11、初始化部12、并行比较部13、更新部14、反复控制部15、以及输出部16。该秘密计算装置1k(k＝1,
…
,k)通过一边与其它秘密计算装置1
k'
(k'＝1,
…
,k，其中k≠k')协同，一边进行在后叙述的各步骤的处理来实现本方式的秘密除法方法。
[0042]
秘密计算装置1k例如是在具有中央运算处理装置(cpu:central processing unit)、主存储装置(ram:random access memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密计算装置1k例如在中央运算处理装置的控制下执行各处理。输入到秘密计算装置1k的数据或在各处理中得到的数据例如被存储在主存储装置中，主存储装置中存储的数据根据需要被读出至中央运算处理装置而被利用于其它的处理。秘密计算装置1k的各处理部的至少一部分也可以通过集成电路等硬件构成。
[0043]
参照图3，说明实施方式的秘密除法系统100执行的秘密除法方法的处理过程。
[0044]
在步骤s11中，向各秘密计算装置1k的输入部11输入被除数n的隐匿值[n]和除数d的隐匿值[d]。也可以取代被除数n的隐匿值[n]，向输入部11输入表示被除数n的r进制分解的n-l0
,n-l0 1
,
…
,n
l1-2
,n
l1-1
的隐匿值[n-l0
],
…
,[n
l1-1
]。在向输入部11输入了被除数n的隐匿值[n]的情况下，输入部11从被除数n的隐匿值[n]生成表示被除数n的r进制分解的n-l0
,n-l0 1
,
…
,n
l1-2
,n
l1-1
的隐匿值[n-l0
],
…
,[n
l1-1
]。输入部11将表示被除数n的r进制分解的n-l0
，n-l0 1
，...，n
l1-2
，n
l1-1
的隐匿值[n-l0
]，...，[n
l1-1
]和除数d的隐匿值[d]输出到并行比较部13。
[0045]
在步骤s12中，各秘密计算装置1k的初始化部12将部分余数p
l1
的隐匿值[p
l1
]初始化为[p
l1
]＝0。另外，将反复处理的索引j初始化为j＝l
1-1。初始化部12将部分余数p
l1
的隐匿值[p
l1
]输出至并行比较部13。另外，将索引j输出至反复控制部15。
[0046]
在步骤s13中，各秘密计算装置1k的并行比较部13计算将作为n＝p
j 1
r nj的部分除
数n的隐匿值[n]与作为g∈[1，r)的各[d]
×
g分别并行地进行了比较后的结果eg的隐匿值[eg](g∈[1，r))。具体地说，并行比较部13通过下式，对大于等于1且小于r的各整数g计算比较结果eg的隐匿值[eg]。并行比较部13将比较结果e1，...，e
r-1
的隐匿值[e1]，...，[e
r-1
]输出至更新部14。
[0047]
[数学式4]
[0048][0049]
在步骤s14中，各秘密计算装置1k的更新部14使用比较结果e1，...，e
r-1的隐匿值[e1]，...，[e
r-1
]，计算商qj的隐匿值[qj]和部分余数pj的隐匿值[pj]。另外，qj和pj满足n＝dqj pj，qj∈[0，r)，pj∈[0，r)。具体地说，更新部14通过下式计算商qj的隐匿值[qj]和部分余数pj的隐匿值[pj]。更新部14将商qj的隐匿值[qj]和部分余数pj的隐匿值[pj]输出至输出部16。
[0050]
[数学式5]
[0051]
[qj]：＝[e1] ... [e
r-1
]，
[0052]
[pj]：＝[n]-[d]
×
[qj]
[0053]
在步骤s15-1中，各秘密计算装置1k的反复控制部15判定j是否为小于等于-l0，即判定j≤-l0的真假。若j≤-l0为假，即j＞-l0，则将处理进至步骤s15-2。若j≤-l0为真，则将处理进至步骤s16。在步骤s15-2中，各秘密计算装置1k的反复控制部15将j递减，即计算j＝j-1，将处理返回至步骤s13。换言之，反复控制部15对j＝l
1-1，...，-l0的各j，进行反复执行并行比较部13和更新部14的控制。
[0054]
在步骤s16中，各秘密计算装置1k的输出部16输出商q-l0
，...，q
l1-1
的隐匿值[q-l0
]，...，[q
l1-1
]。
[0055]
以下表示在上述的实施方式中执行的算法。
[0056]
[数学式6]
[0057]
1.
[0058]
2.for j＝l
1-1 to-l0do
[0059]
(a)[n]：＝[p
j 1
]
×
r [nj]
[0060]
(b)
[0061]
(c)[qj]：＝[e1] ... [e
r-1
]，[pj]：＝[n]-[d]
×
[qj]
[0062]
在上述实施方式的结构中，能够通过l0 l1级的比较实现除法。1次除法所需要的级数小，所以特别是在串行地反复执行除法时执行时间变短。
[0063]
在上述实施方式中设为r＝2的情况下，相当于以比特为单位计算除法。以比特为单位计算的除法比较的级数大。在上述实施方式中，虽然比较的次数与以比特为单位计算的除法比较增大为约(r-1)/(log2r)倍，但是可以将级数缩小为约1/(log2r)倍。
[0064]
以上，说明了发明的实施方式，但是具体的结构不限于这些实施方式，不言而喻，即使在不脱离发明的宗旨的范围内有适当设计的变更等，也包含在发明中。实施方式中说明的各种的处理不仅按照记载的顺序时间序列地被执行，也可以根据执行处理的装置的处理能力或者需要并行或者单独地被执行。
[0065]
[程序、记录介质]
[0066]
在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序记述各装置应有的功能的处理内容。然后，使该程序读入图4所示的计算机的存储部1020中，通过使控制部1010、输入部1030、输出部1040等动作，在计算机上实现上述各装置中的各种处理功能。
[0067]
记述了该处理内容的程序能够记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任何介质。
[0068]
而且，该程序的流通例如通过销售、转让、租借等记录了该程序的dvd、cd-rom等可拆装型记录介质来进行。进而，也可以设为将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通的结构。
[0069]
执行这样的程序的计算机例如首先将可拆装型记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从可拆装型记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指示和结果取得来实现处理功能的、所谓asp(application service provider，应用服务提供商)型的服务，执行上述的处理的结构。而且，本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。
[0070]
另外，在本方式中，设为通过在计算机上执行规定的程序来构成本装置，但是也可以硬件性地实现这些处理内容的至少一部分。