[发明专利]保密计算系统、运算装置、以及保密计算方法

说明书

技术领域

本发明涉及保密计算技术，尤其涉及既保密数据又进行计算并确保计算结果的正当性的技术。

背景技术

以往，作为在保密了数据的状态下，既保证计算结果的正当性又进行包括乘法运算和加法运算的计算的技术，有非专利文献1的三方保密函数计算。这是对被分散的输入值不进行恢复，而是通过三方(三个计算主体)的协调计算导出算术/逻辑运算的结果的协议。在三方保密函数计算协议中，将数据作为小于某决定的质数p的自然数来进行处理。在保密数据时，若将该数据设为a，则将a分散为三个数据，并使其满足以下的条件。

a＝a₀+a₁+a₂mod p

实际中，生成随机数a₁、a₂，并设为a₀＝a-a₁-a₂。然后对三方X、Y、Z，对X发送(a₀,a₁)，对Y发送(a₁,a₂)，对Z发送(a₂,a₀)。则，由于a₁、a₂是随机数，因此X、Y、Z任一方都不具有a的信息，但只要集合任意的两方就能够恢复a。

由于保密是加法性的分散，因此根据其可置换性，无论将分散值进行加法运算后进行恢复，还是恢复后进行加法运算，其结果都相同。即，可以在维持分散的状态下不进行通信而直接进行加法运算和整数倍计算。此外，乘法运算也可以需要通信以及随机数生成。因此，能够构成逻辑电路，可以执行所有计算。以下，表示三方保密函数计算的具体例。另外，在三方保密函数计算协议中，计算结果是用p相除后的余数，但为了简化记载，以下省略“mod p”的记载。

(1)分散到X、Y、Z的保密数据a的恢复

X向Y发送a₀，向Z发送a₁。Y向Z发送a₁，向X发送a₂。Z向X发送a₂，向Y发送a₀

若从Y接收到的a₂和从X接收到的a₂一致，则X计算a₀+a₁+a₂而恢复a。若从X接收到的a₀与从Z接收到的a₀一致，则Y计算a₀+a₁+a₂而恢复a。若从X接收到的a₁和从Y接收到的a₁一致，则Z计算a₀+a₁+a₂而恢复a。

(2)c＝a+b的秘密计算

假设数据b也通过与数据a相同的方法，分别向X分散(b₀,b₁)，向Y分散(b₁,b₂)，向Z分散(b₂,b₀)而被保密。

此时，X计算(c₀,c₁)＝(a₀+b₀,a₁+b₁)而记录，Y计算(c₁,c₂)＝(a₁+b₁,a₂+b₂)而记录，Z计算(c₂,c₀)＝(a₂+b₂,a₀+b₀)而记录。

(3)c＝a+α的秘密计算(α是已知的常数)

X计算(c₀,c₁)＝(a₀+α,a₁)而记录，Z计算(c₂,c₀)＝(a₂,a₀+α)而记录。没有Y的处理。

(4)c＝a*α的秘密计算