[发明专利]秘密右移位运算系统及方法、秘密除法运算系统及方法、秘密计算装置以及记录介质

说明书

在秘密计算中实现高速的右移位运算以及除法运算。公开值倍部(11)从值a的分散值[a]计算[a']＝[2^ua]。第一变换部(12)将[a']变换为加法的秘密分散。右移位运算部(13)计算s_i＝a'_i＞＞b+u。第二变换部(14)将s变换为线性秘密分散。第一比特变换部(15)将a'_i的低位u比特变换为{a'_i mod 2^u}。商转移部(16)得到‑Σ_im{a'_i mod 2^u}的低位u比特作为{q}。第二比特变换部(17)将a'_i的低位b+u比特变换为{a'_iR}＝{a'_i mod 2^b+u}。加法运算部(18)计算{z}＝Σ_im{a'_iR}+{q}，得到{z}的第b+u比特以后的比特串{z_Q}。第三变换部(19)将{q}、{z_Q}变换为线性秘密分散。输出计算部(20)输出[s]‑[2^l‑(b+u)q]+[z_Q]作为[a＞＞b]。

技术领域

本发明涉及在秘密计算中进行右移位运算以及除法运算的技术。

背景技术

所谓秘密计算，是指保持将数据隐匿的状态来计算任意的函数的加密技术。利用该特征，无论系统运用者还是数据利用者，都被期待不遗漏数据的灵活利用数据的方式。已知，在秘密计算中存在几种方式，其中将秘密分散设为结构要素，数据的处理单位小，能够进行高速的处理。

所谓秘密分散，是指将秘密信息变换为被称为份额的几个片断的方法。例如，有从秘密信息生成n个份额，从k个以上的份额可以复原秘密，但是从不足k个的份额不泄漏秘密信息的被称为(k,n)阈值法的秘密分散。关于秘密分散的具体的构成方法，已知Shamir秘密分散、复制秘密分散等。在本说明书中，将通过秘密分散被分散的值的1个片断称为“份额”。另外，将全部份额的集合全体称为“被分散的值”或者“分散值”。

右移位运算是计算机等中的基本的运算之一，在各种情形下被利用。例如，右移位运算可以利用为降低数值精度的运算。另外，除数为2的幂的情况下的除法运算可以通过右移位运算来实现。在非专利文献1中，公开了在秘密计算中在位数2的幂的整数环上进行移位运算的方法。

现有技术文献

非专利文献

非专利文献1：D.Bogdanov,M.Niitsoo,T.Toft,and J.Willemson,High-performance secure multi-party computation for data mining applications,International Journal of Information Security,Volume 11,Issue 6,Pages 403-418,November 2012.

发明内容

发明要解决的课题

可是，在非专利文献1中公开的方法，只能在位数2的幂的整数环上利用，所以存在如下课题，即如果在域上重复乘法运算等使数值精度增大的运算则引起溢出(overflow)，从而无法进行计算。

本发明的目的是，鉴于上述那样的技术的课题，提供实现高速的右移位运算以及除法运算的秘密计算技术。

用于解决课题的方案