代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法、程序和记录介质的制作方法

专利名称：代理计算系统、计算装置、能力提供装置、代理计算方法、能力提供方法、程序和记录介质的制作方法
技术领域：
本发明涉及使用在其他的装置中进行的计算结果来进行计算的技术。
背景技术：
为了对通过公开密钥密码方式和共同密钥密码方式等密码方式加密的密码文进行解码，需要特定的解码密钥(例如，参照非专利文献I)。用于由没有保持解码密钥的第一装置获得密码文的解码结果的以往方法的一种是如下方法:由保持解码密钥的第二装置对第一装置提供解码密钥，第一装置使用该解码密钥来进行密码文的解码。用于由第一装置获得密码文的解码结果的其他的以往方法是如下方法:第一装置对第二装置提供密码文，第二装置对密码文进行解码并将该解码结果提供给第一装置。现有技术文献非专利文献非专利文献1:Taher Elgamal, A Public-Key Cryptosystem and a SignatureScheme Based on Discrete Logarithms, IEEE Transactions on Information Theory, v.1T-31, n.4，1985，pp.469-472 or CRYPTO 84，pp.10-18，Springer-Verlag.

发明内容
发明要解决的课题但是，在第二装置对第一装置提供解码密钥的方法中，需要将解码密钥取出到第二装置的外部，存在安全上的问题。另一方面，在第一装置对第二装置提供密码文，第二装置解码密码文的方法中，第一装置无法验证第二装置的解码处理的正当性。这样的课题在解码处理之外能够一般化。即，没有存在如下的技术:第二装置不泄露秘密信息地仅将计算能力提供给第一装置，第一装置使用该计算能力来准确地进行计算。用于解决课题的手段在本发明中，将G、H设为群，将f ( χ )设为用于将作为群H的元的密码文χ通过特定解码密钥解码而得到群G的元的解码函数，将X ρ X2设为在群G中取值的概率变量，将χ !设为概率变量X !的实现值，将χ 2设为概率变量X 2的实现值，将a、b设为互质的自然数，计算装置输出与密码文χ对应的作为群H的元的第一输入信息τ i和第二输入信息τ2，能力提供装置使用第一输入信息T1以大于某一概率的概率准确计算f ( T1),将计算结果设为第一输出信息ζ i，使用第二输入信息T2以大于某一概率的概率准确计算f(τ2)，将计算结果设为第二输出信息ζ 2，计算装置根据第一输出信息ζ i生成计算结果u=f ( X )b X i，根据第二输出信息Z 2生成V = f ( X )a X 2,在计算结果U和V满足U a =
Vb的情况下，输出关于满足a’ a + b’ b = I的整数a’、b’的u b’ v a’。发明的效果 在本发明中，能力提供装置不泄露秘密信息地仅将计算能力提供给计算装置，计算装置使用该计算能力来准确地进行计算。


图1是用于说明实施方式的代理计算系统的结构的方框图。图2是用于说明实施方式的计算装置的结构的方框图。图3是用于说明实施方式的能力提供装置的结构的方框图。图4是用于说明实施方式的输入信息提供部的结构的方框图。图5是用于说明实施方式的输入信息提供部的结构的方框图。图6是用于说明实施方式的计算装置的处理的流程图。图7是用于说明实施方式的能力提供装置的处理的流程图。图8是用于说明步骤S2103 (S3103)的处理的流程图。图9是用于说明步骤S4103的处理的流程图。图10是用于说明实施方式的计算装置的结构的方框图。图11是用于说明实施方式的计算装置的处理的流程图。图12是用于说明实施方式的计算装置的结构的方框图。图13是用于说明实施方式的能力提供装置的结构的方框图。图14是用于说明实施方式的输入信息提供部的结构的方框图。图15是用于说明实施方式的计算装置的处理的流程图。图16是用于例示步骤S6103的处理的流程图。图17是用于说明实施方式的能力提供装置的处理的流程图。图18是用于说明实施方式的代理计算系统的结构的方框图。图19是用于说明实施方式的计算装置的结构的方框图。图20是用于说明实施方式的能力提供装置的结构的方框图。图21是用于说明实施方式的解码控制装置的结构的方框图。图22是用于说明实施方式的输入信息提供部的结构的方框图。图23是用于说明实施方式的输入信息提供部的结构的方框图。图24是用于说明实施方式的加密处理的流程图。图25是用于说明实施方式的解码处理的流程图。图26是用于说明实施方式的解码能力提供处理的流程图。图27是用于说明步骤S12103 (S13103)的处理的流程图。图28是用于说明步骤S14103的处理的流程图。图29是用于说明实施方式的计算装置的结构的方框图。图30是用于说明实施方式的解码处理的流程图。图31是用于说明实施方式的代理计算系统的结构的方框图。图32是用于说明实施方式的计算装置的结构的方框图。图33是用于说明实施方式的能力提供装置的结构的方框图。图34是用于说明实施方式的输入信息提供部的结构的方框图。图35是用于说明实施方式的输入信息提供部的结构的方框图。图36是用于说明实施方式的输入信息提供部的结构的方框图。
图37是用于说明实施方式的计算装置的处理的流程图。图38是用于说明实施方式的能力提供装置的处理的流程图。图39是用于说明步骤S22103 (S23103)的处理的流程图。图40是用于说明步骤S24103的处理的流程图。图41是用于说明步骤S25103的处理的流程图。图42是用于说明实施方式的输入信息提供部的结构的方框图。图43是用于说明步骤S27103的处理的流程图。图44是用于说明实施方式的计算装置的结构的方框图。图45是用于说明实施方式的计算装置的处理的流程图。
具体实施例方式
以下，参照附图来说明本发明的实施方式。第一实施方式说明本发明的第一实施方式。< 结构 >如图1所例示，第一实施方式的代理计算系统I例如具有没有保持解码密钥的计算装置11和保持解码密钥的能力提供装置12，计算装置11对能力提供装置12委托密码文的解码能力的提供，使用从能力提供装置12提供的解码能力来对密码文进行解码。计算装置11与能力提供装置12构成为能够进行信息的交换。例如，计算装置11与能力提供装置能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。如图2所例示，第一实施方式的计算装置11例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部1104、第一计算部1105、第一幂乘计算部1106、第一列表存储部1107、第二计算部1108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112和控制部1113。计算装置11的例子是，卡读写装置、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU(中央处理单元)和RAM (随机存取存储器)的公知或专用的计算机等。如图3所例示，第一实施方式的能力提供装置12例如具有第一输出信息计算部1201、第二输出信息计算部1202、密钥存储部1204和控制部1205。能力提供装置12的例子是，IC卡或IC芯片等耐篡改性模块、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。< 处理 >下面，说明本方式的处理。作为处理的前提，将G、H设为群(例如为可交换群)，将f ( X )设为用于将作为群H的元的密码文χ通过特定的解码密钥s解码而得到群G的元的解码函数，将群G、H的生成元分别设为μ8、UhJfX 1、X 2设为在群G中取值的概率变量，将概率变量X !的实现值设为X i，将概率变量X 2的实现值设为X 2。计算装置11的自然数存储部1101中存储有多个种类的互质的2个自然数a、b的组(a、b)。“自然数”意味着O以上的整数。如果将I设为在群G的位数未满的2个自然数的组中互质的组的集合，则能够认为在自然数存储部1101中存储有与I的部分集合对应的自然数a、b的组(a、b)。在能力提供装置12的密钥存储部2104中安全地存储有特定的解码密钥S。计算装置11的各处理在控制部1113的控制下执行，能力提供装置12的各处理在控制部1205的控制下执行。如图6所例示，首先，计算装置11 (图2)的自然数选择部1102随机地从在自然数存储部1101中存储的多个自然数的组(a、b)读入I个自然数的组(a、b)。所读入的自然数的组(a、b)的至少一部分信息被发送到整数计算部1103、输入信息提供部1104、第一幂乘计算部1106和第二幂乘计算部1109 (步骤SI 100)。整数计算部1103使用所发送的自然数的组(a、b)，计算满足a’ a + b’ b= I的关系的整数a’、b’。由于自然数a、b互质，因此必然存在满足a’ a + b’ b= I的关系的整数a’、b’。自然数的组U’、b’)的信息被发送到最终输出部1112 (步骤S1101)。控制部1113设为t=l (步骤S1102)。输入信息提供部1104生成并输出与所输入的密码文χ分别对应的作为群H的元的第一输入信息^和第二输入信息τ 2。优选为，第一输入信息！^和第二输入信息τ 2为分别将与密码文X的关系搅乱的信息。由此，计算装置11能够对能力提供装置12隐蔽密码文X。优选为，本方式的第一输入信息T1进而对应于在自然数选择部1102中选择的自然数b，第二输入信息τ2进而对应于在自然数选择部1102中选择的自然数a。由此，计算装置11能够以高精度评价从能力提供装置12提供的解码能力(步骤S1103)。如图7所例示，第一输入信息τ i输入到能力提供装置12 (图3)的第一输出信息计算部1201，第二输入信息τ2输入到第二输出信息计算部1202 (步骤S1200)。第一输出信息计算部1201使用第一输入信息τ:和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( τ P，将得到的计算结果设为第一输出信息z i (步骤S1201)。第二输出信息计算部1202使用第二输入信息12和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( τ 2)，将得到的计算结果设为第二输出信息ζ 2 (步骤S1202)。另外，“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率，“无法忽略的概率”的例子是，将作为安全参数k的广义单调增加函数的多项式设为多项式Ψ (k)时的I / ψ (k)以上的概率。即，第一输出信息计算部1201和第二输出信息计算部1202输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部1201的计算结果既有是f ( τ P的情况也有不是f ( τ P的情况，第二输出信息计算部1202的计算结果既有是f ( τ 2)的情况也有不是f ( τ 2)的情况。第一输出信息计算部1201输出第一输出信息Z1,第二输出信息计算部1202输出第二输出信息Z2 (步骤S1203)。返回到图6，第一输出信息Z1输入到计算装置11 (图2)的第一计算部1105，第二输出信息Z2输入到第二计算部1108。这些第一输出信息ζ !和第二输出信息ζ 2相当于从能力提供装置12对计算装置11提供的解码能力(步骤S1104)。 第一计算部1105根据第一输出信息ζ ι生成计算结果U= f (x)b χ I。这里,生成(计算)f (x)b χ i的处理是计算定义为f (x)b χ i的式的值的处理。如果最终能够计算式f (x)b χ:的值，则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。在第一实施方式中，将在群中定义的运算以乘法表现。即，对于a eG的「a bJ意味着对α作用b次在群G中定义的运算,对于α ρ a 2 e G的「a i α 2」意味着将\和％作为被运算子进行在群G中定义的运算(后述的第二至第五实施方式也同样)。计算结果u发送到第一幂乘计算部1106 (步骤S1105)。
第一幂乘计算部1106计算u ’ = u 3O计算结果u和基于该计算结果计算出的u，的组(u，u’)被存储到第一列表存储部1107 (步骤S1106)。判定部1111在存储于第一列表存储部1107的组(u，u ’)和存储于第二列表存储部1110的组(ν，ν ’)中，判定是否有成为u ’ = ν ’的组(步骤SI 107)。如果在第二列表存储部1110中没有存储组(ν，ν ’)的情况下，不进行该步骤S1107的处理，进行下一个步骤SI 108的处理。在有成为u’ =v’的组的情况下,进至步骤SI 114。在没有成为u ’ =v’的组的情况下，进至步骤S1108。在步骤S1108中,第二计算部1108根据第二输出信息ζ 2生成计算结果ν = f (X)a X 2°计算结果V发送到第二幂乘计算部1109 (步骤S1108)。第二幂乘计算部1109计算V’ = vb。计算结果ν和基于该计算结果计算出的V’的组(V，V’)被存储到第二列表存储部1110 (步骤S1109)。
判定部1111在存储于第一列表存储部1107的组(u，u ’)和存储于第二列表存储部1110的组(ν , ν ’)中，判定是否有成为u ’ = ν ’的组(步骤S1110)。在有成为u ’ =ν ’的组的情况下，进至步骤S1114。在没有成为u ’ = ν ’的组的情况下，进至步骤S1111。在步骤Sllll中，控制部1113判定是否为t=Tmax(步骤Sllll)。T max是预先决定的自然数。如果是t = T _，则控制部1113输出无法进行计算的意旨的信息例如为符号“丄”(步骤S1113)，并结束处理。如果不是t = T _，则控制部1113将t增加1，即设为t=t + I (步骤S1112)，返回到步骤S1103。无法进行计算的意旨的信息(在该例子中为符号“丄”)意味着能力提供装置12准确地进行计算的可靠度小于由Tmax决定的基准。换言之，意味着在Tmax次的重复中无法进行准确的运算。在步骤S1114中，最终输出部1112使用与判定为u ’ = V ’的u ’和V ’对应的u和V来计算u b’ ν a’，并进行输出(步骤S1114)。如此计算出的u b’ ν a’以高的概率成为通过特定的解码密钥s对密码文χ进行了解码后的解码结果f ( χ )(在后面叙述以高的概率成为ub’ ν a’ = f (χ)的理由)。因此，将上述的处理重复多次，将在步骤S1114中得到的值中频度最高的值设为解码结果即可。如后所述，根据设定，以绝对的概率成为u b’ ν a’=f (X)。在该情况下，可以将在步骤S1114中得到的值直接设为解码结果。《关于以高的概率成为ub’ V a’ = f ( χ )的理由》将X设为在群G中取值的概率变量。将关于we G在每次接受请求时返回与按照概率变量X的样本X ’对应的W X ’的装置,称为关于W具有误差X的样本器(sampler)。将关于W e G在每次提供自然数a时返回与按照概率变量X的样本χ ’对应的w aX ’的装置，称为关于W具有误差X的可随机化样本器(randomizable sampler)。可随机化样本器如果设为a=l而使用，则作为样本器发挥作用。本实施方式的输入信息提供部1104和第一输出信息计算部1201和第一计算部1105的组合是关于f (χ)具有误差X1的可随机化样本器(称为“第一可随机化样本器”)，输入信息提供部1104和第二输出信息计算部1202和第二计算部1108的组合是关于f(x)具有误差X2的可随机化样本器(称为“第二可随机化样本器”)。发明人发现了如下情况:如果成立U ’ = V ’即成立ua = vb，则第一可随机化样本器准确地计算了 U = f ( X ) b并且第二可随机化样本器准确地计算了 V = f ( X ) a ( X i和X 2是群G的单位元e g)的可能性高。从简化说明的观点出发，通过五个实施方式进行该证明。在第一可随机化样本器准确地计算了 u = f ( χ ) b并且第二可随机化样本器准确地计算了 v = f (1)3时(义jPx 2为群G的单位元e g时),成为u b’ ν a’ = ( f ( X )b XJ b，( f ( χ ) a χ 2) a，= ( f ( χ ) b e g) b，( f ( χ ) a e g) a，= f ( χ ) bb，e gb，f ( x ) aa，e ga，= f (χ) (bb，+aa，)= f (x)。关于(q 1； q 2) e I，将对于i = 1、2的各个的函数n i定义为^ Cq^q2) =q it)设为L =m i n (# Ji i (S), # π 2 (S))。# 是集合 的位数。在群G为巡回群或者难以计算位数的群时，计算装置11输出“丄”以外时的输出不是f (X )的概率能够期待为在能够忽略的程度的误差的范围内至多T max2 L / #S左右。如果L / #S为能够忽略的量且T max为多项式量级程度的量，则计算装置11以绝对的概率输出准确的f (X)。在L / #S成为能够忽略的量的S的例子中，例如有S = {(1，d) I d e [2，I G I — I]}。第二实施方式第二实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下，以与第一实施方式不同的部分为中心进行说明，对于共同的部分省略重复说明。在以下的说明中，设为附加了相同的参考标号的部分具有相同的功能，附加了相同的参考标号的步骤表示相同的处理。< 结构 >如图1所例示，在第二实施方式的代理计算系统2中，计算装置11被置换为计算装置21，能力提供装置12被置换为能力提供装置22。如图2所例示，第二实施方式的计算装置21例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部2104、第一计算部2105、第一幂乘计算部1106、第一列表存储部1107、第二计算部2108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112和控制部1113。如图4所例示，本方式的输入信息提供部2104例如具有第一随机数生成部2104a、第一输入信息计算部2104b、第二随机数生成部2104c和第二输入信息计算部2104d。如图3所例示，第二实施方式的能力提供装置22例如具有第一输出信息计算部2201、第二输出信息计算部2202、密钥存储部1204和控制部1205。< 处理 >下面，说明本方式的处理。在第二实施方式中，将解码函数f (X)设为准同型函数，将群H设为巡回群，将群H的生成元设为μ h，将群H的位数设为Kh并且设为ν = f(μ h)。其他的前提，除了计算装置11被置换为计算装置21、能力提供装置12被置换为能力提供装置22以外,与第一实施方式相同。如图6和图7所例示，在第二实施方式的处理中，第一实施方式的步骤S1103 S1105、S1108、S1200 S1203 分别被置换为步骤 S2103 S2105、S2108、S2200 S2203。在以下，仅说明步骤S2 103 S2105, S2108, S2200 S2203的处理。《步骤S2103的处理》计算装置21 (图2)的输入信息提供部2104生成并输出与所输入的密码文χ分别对应的作为群H的兀的第一输入信息τ i和第二输入信息τ2 (图6/步骤S2103)。以下，使用图8来说明本方式的步骤S2103的处理。第一随机数生成部2104a (图4)生成O以上且小于Kh的自然数的普通随机数
所生成的随机数A被发送到第一输入信息计算部2104b和第一计算部2105(步骤S2103a)。第一输入信息计算部2104b使用所输入的随机数r i和密码文χ和自然数b，计算第一输入信息T1= μ hrl xb(步骤S2103 b )。这里，Uh的上标的r I表示r 10如此,在本申请中，将α设为第一字符，将β设为第二字符，将Y设为数字，在表述为α 0Υ的情况下，该β Y意味着β γ即β的下标Y。
第二随机数生成部2104c生成O以上且小于Kh的自然数的普通随机数r2。所生成的随机数r2被发送到第二输入信息计算部2104d和第二计算部2108(步骤S2103c)。第二输入信息计算部2104d使用所输入的随机数r 2和密码文χ和自然数a，计算第二输入信息 τ2= uhr2 χ a (步骤 S2103d)。第一输入信息计算部2104b和第二输入信息计算部2104d输出如上所述生成的第一输入信息τ i和第二输入信息τ2 (步骤S2103e)。另外,本方式的第一输入信息！^和第二输入信息τ2为分别通过随机数r ρ r 2将与密码文χ的关系搅乱的信息。由此，计算装置22能够对能力提供装置22隐蔽密码文X。本方式的第一输入信息^进而对应于在自然数选择部1102中选择的自然数b，第二输入信息τ2进而对应于在自然数选择部1102中选择的自然数a。由此，计算装置21能够以高精度评价从能力提供装置22提供的解码能力。《步骤S2200 S2203的处理》如图7所例示，首先，第一输入信息T1= yhrl χ b输入到能力提供装置22(图3)的第一输出信息计算部2201，第二输入信息τ2=μι；2 χ a输入到第二输出信息计算部2202(步骤 S2200)。第一输出信息计算部2201使用第一输入信息τ 1=μ hri X b和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( U1;1 X b)，将得到的计算结果设为第一输出信息Z 10该计算结果既存在准确的情况也存在不准确的情况。即，第一输出信息计算部2201中的计算结果既存在成为f ( Uh"1 X b)的情况，也存在没有成为f ( μ hrlχ b)的情况(步骤S2201)。第二输出信息计算部2202使用第二输入信息τ 2=μ J2 χ a和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( U1;2 X a)，将得到的计算结果设为第一输出信息Z 2。该计算结果既存在准确的情况也存在不准确的情况。即，第二输出信息计算部2202中的计算结果既存在成为f (μ^2 X a)的情况，也存在没有成为f (yfX a)的情况(步骤S2202)。第一输出信息计算部2201输出第一输出信息Z1，第二输出信息计算部2202输出第二输出信息Z2 (步骤S2203)。《步骤S2104和S2105的处理》返回到图6，第一输出信息Z1输入到计算装置21 (图2)的第一计算部2105，第二输出信息Z2输入到第二计算部2108。这些第一输出信息ζ !和第二输出信息ζ 2相当于从能力提供装置22对计算装置21提供的解码能力(步骤S2104)。第一计算部2105使用所输入的随机数r 1和第一输出信息z i，计算z i v 并将该计算结果设为U。计算结果u发送到第一幂乘计算部1106。这里，成为u =Z lV_ri =f (x)b X 10即，Z i 成为关于f (X)具有误差X !的可随机化样本器的输出。在后面叙述其理由(步骤S2105)。《步骤S2108的处理》第二计算部2108使用所输入的随机数r 2和第二输出信息ζ 2，计算ζ 2 v 并将该计算结果设为V。计算结果ν发送到第二幂乘计算部1109。这里，成为ν = ζ 2v-2 =f (x)a χ 2o即，ζ 2 ν —成为关于f (χ)具有误差X 2的可随机化样本器的输出。在后面叙述其理由(步骤S2108)。《zlV'z 2 ν —成为关于f(x)分别具有误差可随机化样本器的输出的理由》将c设为自然数，将R和R’设为随机数，将能力提供装置22使用yhK x e进行的计算的计算结果设为B ( yhK χ 3。即，将第一输出信息计算部2201和第二输出信息计算部2202返回给计算装置21的计算结果设为ζ = B ( μ hK χ 3。进而，将在群G中取值的概率变量X定义为X = B ( yhK’)f这时，成为ζ y-R = B ( yhE χ c) f ( μ h) = X f ( μ hE χ c) f ( μ h) _κ = X f(yh)E f (x)c f (yh)-R= f (x)c X0 BP, ζ v _K 成为关于 f ( x )具有误差 X 的可随机化样本器的输出。在上述式展开中，使用X= B (yhK，)f ( μ hE> ) = B ( μ hE Xc) f ( μ hE X
B ( μ hE X c) = X f ( μ hE X D的性质。该性质基于函数f (X)为准同型函数，R和R’为随机数。因此，如果考虑a、b为自然数，r ^ r 2为随机数，则同样地，z lV'z 2 v ^成为关于f ( X )分别具有误差X 1> X 2的可随机化样本器的输出。第三实施方式第三实施方式是第二实施方式的变形例，在a=l或b=l时，通过上述的样本器计算u或V的值。一般，样本器的计算量比可随机化样本器小。在a=l或b=l时，代替可随机化样本器而由样本器进行计算，从而能够减小代理计算系统的计算量。以下，以与第一实施方式和第二实施方式不同的部分为中心进行说明，对于共同的部分省略重复说明。< 结构 >如图1所例示，在第三实施方式的代理计算系统3中，计算装置21被置换为计算装置31，能力提供装置22被置换为能力提供装置32。如图2所例示，第三实施方式的计算装置31例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部2104、第一计算部2105、第一幂乘计算部1106、第一列表存储部1107、第二计算部2108、第二幂乘计算部1109、第二列表存储部1110、判定部1111、最终输出部1112、控制部1113和第三计算部3109。如图3所例示，第三实施方式的能力提供装置32例如具有第一输出信息计算部2201、第二输出信息计算部2202、密钥存储部1204、控制部1205和第三输出信息计算部3203。< 处理 >下面，说明本方式的处理。说明与第二实施方式的不同点。 如图6和图7所例示，在第三实施方式的处理中，第二实施方式的步骤S2103 S2105、S2108、S2200 S2203 分别被置换为步骤 S3103 S3105、S3108、S2200 S2203 和S3205 S3209。在以下，以步骤 S3103 S3105, S3108, S2200 S2203 和 S3205 S3209的处理为中心进行说明。《步骤S3103的处理》计算装置31 (图2)的输入信息提供部3104生成并输出与所输入的密码文x分别对应的作为群H的兀的第一输入信息τ i和第二输入信息τ2 (图6/步骤S3103)。以下，使用图8来说明本方式的步骤S3103的处理。控制部1113 (图2)根据在自然数选择部1102中选择的自然数(a、b)来控制输入信息提供部3104。在控制部1113中判定b是否为I (步骤S3103a)，在判定为b古I的情况下，执行上述的步骤S2103a和S2103b的处理，进至步骤S3103g。另一方面，在步骤S3103a中判定为b=l的情况下，第三随机数生成部3104e生成O以上且小于Kh的自然数的随机数r3。所生成的随机数r3被发送到第三输入信息计算部3104f和第三计算部3109 (步骤S3103b)。第三输入信息计算部3104f使用所输入的随机数巧和密码文X来计算产，将其设为第一输入信息T1 (步骤S3103C)。之后，进至步骤S3103g。在步骤S3103g中，在控制部1113中判定a是否为1(步骤S3103g)，在判定为a古I的情况下，执行上述的步骤S2103c和步骤S2103d的处理。另一方面，在 步骤S3103g中判定为a=l的情况下，第三随机数生成部3104e生成O以上且小于Kh的自然数的随机数r3。所生成的随机数r3被发送到第三输入信息计算部3104f (步骤S3103h)。第三输入信息计算部3104f使用所输入的随机数1*3和密码文X来计算X'将其设为第二输入信息τ2 (步骤S3103i)。第一输入信息计算部2104b、第二输入信息计算部2104d和第三输入信息计算部3104f将如上所述生成的第一输入信息”和第二输入信息12与所对应的自然数(&、13)的信息一起输出(步骤S3103e)。另外,本方式的第一输入信息τ i和第二输入信息τ 2为分别通过随机数r 1、r 2、r3将与密码文X的关系搅乱的信息。由此，计算装置31能够对能力提供装置32隐蔽密码文X。《S2200 S2203 和 S3205 S3209 的处理》以下，使用图7来说明本方式的S2200 S2203和S3205 S3209的处理。控制部1205 (图3)根据所输入的自然数(a、b)，控制第一输出信息计算部2201、第二输出信息计算部2202、和第三输出信息计算部3203。基于控制部1205的控制，b Φ I时的第一输入信息τ i = μ X b被输入到能力提供装置32 (图3)的第一输出信息计算部2201，a幸I时的第二输入信息τ 2 = μ hr2 x a被输入到第二输出信息计算部2202。b = I时的第一输入信息τ i = X Λ或a = I时的第二输入信息τ 2 = X 1:3被输入到第三输出信息计算部3203 (步骤S3200)。在控制部1113中判定b是否为I (步骤S3205)，在判定为b I的情况下，执行上述的步骤S2201的处理。之后，在控制部1113中判定a是否为I (步骤S3208)，在判定为a古I的情况下，执行上述的步骤S2202的处理，进至步骤S3203。另一方面，在步骤S3208中判定为a = I的情况下，第三输出信息计算部3203使用第二输入信息T2 = X'以大于某一概率的概率准确计算f (X Λ)，将得到的计算结果设为第三输出信息Z 30该计算结果既存在准确的情况也存在不准确的情况。即，第三输出信息计算部3203中的计算结果既存在成为f (X 的情况，也存在没有成为f (X 的情况(步骤S3209)。之后，进至步骤S3203。在步骤S3205中判定为b = I的情况下，第三输出信息计算部3203使用第二输入信息T1=X^以大于某一概率的概率准确计算f (X Λ)，将得到的计算结果设为第三输出信息Z 3。该计算结果既存在准确的情况也存在不准确的情况。即，第三输出信息计算部3203中的计算结果既存在成为f (X，的情况，也存在没有成为f (X，的情况(步骤S3206)。
之后，在控制部1113中判定a是否为I (步骤S3207)，在判定为a=l的情况下进至步骤S3203，在判定为a Φ I的情况下进至步骤S2202。在步骤S3203中，生成了第一输出信息Z1的第一输出信息计算部2201输出第一输出信息Z1，生成了第二输出信息Z2的第二输出信息计算部2202输出第二输出信息z2，生成了第三输出信息Z3的第三输出信息计算部3202输出第三输出信息Z3 (步骤S3203)。《步骤S3104和S3105的处理》返回到图6，在控制部1113的控制下，第一输出信息z ι输入到计算装置31(图2)的第一计算部2105，第二输出信息z 2输入到第二计算部2108，第三输出信息z 3输入到第三计算部3109 (步骤S3104)。如果b古I,则第一计算部2105通过上述的步骤S2105的处理生成u,如果b=l,则第三计算部3109计算Z3ia^并将其计算结果设为U。计算结果u发送到第一幂乘计算部1106。这里,在b = I的情况下,成为u = z 31/r3 = f ( X ) X 3。S卩，z 31/r3成为关于f ( X )具有误差X 3的样本器。在后面叙述其理由(步骤S3105)。《步骤S3108的处理》如果a古I,则第二计算部2108通过上述的步骤S2108的处理生成V,如果a=l,则第三计算部3109计算Z3ia^并将其计算结果设为V。计算结果V发送到第二幂乘计算部
1109。这里,在a = I的情况下,成为v = z 31/r3 = f ( X ) X 3。BP, z 31/r3成为关于f ( x )具有误差X 3的样本器。在后面叙述其理由(步骤S3108)。另外，在z 3&3的计算即z 3的幂乘根的计算困难的情况下，也可以如下计算u和/或V。第三计算部3109将随机数r 3和基于该随机数r 3计算出的z 3的组依次设为(Q1,
…，(am，f3m)，…并存储到未图示的存储部。m是自然数。第三计算部3109也可以是,如果a i，a 2,…，a m的最小公倍数为1，则将γ π y 2,…，YmS为整数
并计算成为 Yia i + Y2a 2 H-----^ Y111Ctni = I 的 Y1, Y2,…，Yni,并使用该 Y1, Y2,…，
Ym来计算= β/1 β /2…β mYm，将该计算结果设为u和/或V。《ζ31/Λ成为关于f (X)具有误差X 3的样本器的理由》将R设为随机数，将能力提供装置32使用X κ进行的计算的计算结果设为B(X κ)。即，将第一输出信息计算部2201、第二输出信息计算部2202和第三输出信息计算部3203返回给计算装置31的计算结果设为ζ = B (χκ)。进而，将在群G中取值的概率变量X定义为X = B (χκ) 1/K f (X)—1。这时,成为ζ 1/E = B ( X E) 1/E = X f ( X ) = f ( X ) X。SP, ζ 1/Ε 成为关于 f ( χ )具有误差X的样本器。在上述式展开中，使用X= B (χ E)1/E f (χ Κ)'Β (χ E)1/E =X f (χ κ)的性质。该性质基于R为随机数。因此，如果考虑r 3为随机数，则同样地ζ ^成为关于^幻具有误差乂“勺样本器。第四实施方式第四实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地，对如下的例子进行了具体化:H = G X G、解码函数f(χ)为E I Gama I密码的解码函数，即对于解码密钥s和密码文X=(C^C2)Sf(c 1； c 2) = c ! c 2_s时的第一可随机化样本器和第二可随机化样本器的例子。以下，以与第一实施方式不同的部分为中心进行说明，对于共同的部分省略重复说明。如图1所例示，在第四实施方式的代理计算系统4中，计算装置11被置换为计算装置41，能力提供装置12被置换为能力提供装置42。如图2所例示，第四实施方式的计算装置41例如具有:自然数存储部1101、自然数选择部1102、整数计算部1103、输入信息提供部4104、第一计算部4105、第一幂乘计算部1106、第一列表存储部1107、第二计算部4108、第二幂乘计算部1109、第二列表存储部
1110、判定部1111、最终输出部1112和控制部1113。如图5所例示，本方式的输入信息提供部4104例如具有第四随机数生 成部4104a、第五随机数生成部4104b、第一输入信息计算部4104c、第六随机数生成部4104d、第七随机数生成部4104e和第二输入信息计算部4104f。第一输入信息计算部4104c例如具有第四输入信息计算部4104ca和第五输入信息计算部4104cb，第二输入信息计算部4104f具有第六输入信息计算部4104fa和第七输入信息计算部 4104fb。如图3所例示，第四实施方式的能力提供装置42例如具有第一输出信息计算部4201、第二输出信息计算部4202、密钥存储部1204和控制部1205。< 处理 >下面，说明本方式的处理。在第四实施方式中，群H为群G的直积群G X G，群G为巡回群，密码文x = (c 1； c 2)eH, f (c 1； c 2)为准同型函数，将群G的生成元设为μ g，将群G的位数设为K G,事先对计算装置41和能力提供装置42设定对于相同的解码密钥s的密码文(V，W) e H和对该密码文解码后的解码文f (V，W) = Y e G的组，计算装置41和能力提供装置41能够利用该组。如图6和图7所例示，在第四实施方式的处理中，第一实施方式的步骤S1103 S1105、S1108、S1200 S1203 分别被置换为步骤 S4103 S4105、S4108、S4200 S4203。在以下，仅说明步骤S4103 S4105，S4108, S4200 S4203的处理。《步骤S4103的处理》计算装置41 (图2)的输入信息提供部4104生成并输出与所输入的密码文x= ( c c 2)对应的作为群H的元的第一输入信息T1和与密码文χ= (c 1； c 2)对应的作为群H
的元的第二输入信息τ2 (图6/步骤S4103)。以下，使用图9来说明本方式的步骤S4103的处理。第四随机数生成部4104a (图5)生成O以上且小于Ke的自然数的普通随机数r4。所生成的随机数r4被发送到第四输入信息计算部4104ca、第五输入信息计算部4104cb和第一计算部4105(步骤S4103a)。第五随机数生成部4104b生成O以上且小于Ke的自然数的普通随机数r5。所生成的随机数r5被发送到第五输入信息计算部4104cb和第一计算部4105 (步骤 S4103b)。第四输入信息计算部4104ca使用在自然数选择部1102中选择的自然数b、密码文X所包含的C2和随机数1"4，计算第四输入信息c 2b Wrt(步骤S4103C)。第五输入信息计算部4104cb使用在自然数选择部1102中选择的自然数b、密码文χ所包含的C1和随机数r4、r5，计算第五输入信息c !b V r4ygr5 (步骤S4103d)。第六随机数生成部4104d生成O以上且小于Ke的自然数的普通随机数r6。所生成的随机数r6被发送到第六输入信息计算部4104fa、第七输入信息计算部4104fb和第二计算部4108(步骤S4103e)。第七随机数生成部125生成O以上且小于Ke的自然数的普通随机数r7。所生成的随机数r7被发送到第六输入信息计算部4104fa和第二计算部4108 (步骤 S4103f)o第六输入信息计算部4104fa使用在自然数选择部1102中选择的自然数a、密码文χ所包含的C2和随机数r6，计算第六输入信息c 2a W 1:6 (步骤S4103g)。第七输入信息计算部4104fb使用在自然数选择部1102中选择的自然数a、密码文χ所包含的C1和随机数r7，计算第七输入信息c !a V r6 μ /7 (步骤S4103h)。第一输入信息计算部4104c将如上所述生成的第四输入信息c 2b Wrt和第五输入信息C V Γ4μ/5作为第一输入信息τ i = ( c 2b W rt，c V Γ4μ/5)而输出。第二输入信息计算部4104f将如上所述生成的第六输入信息C和第七输入信息C J V 1^6 μ /7作为第二输入信息τ 2 = ( c 2a W rf，c J V rV/7)而输出(步骤S4103 i )。《步骤S4200 S4203的处理》如图7所例示，首先，第一输入信息Tl=(c 2b Wrt，c广νΜμ/5)输入到能力提供装置42 (图3)的第一输出信息计算部4201，第二输入信息τ2 =(c / W' c J
Vr6ygr7)输入到第二输出信息计算部4202 (步骤S4200)。第一输出信息计算部4201使用第一输入信息τ i = ( c 2b W rt，c V Γ4μ/5)和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( c ,Vr4Ugr5, C 2b W rt)，将计算结果设为第一输出信息ζ 10该计算结果既存在准确的情况也存在不准确的情况。即，第一输出信息计算部4201的计算结果既有成为f ( c V Γ4μ/5,c 2b W r4)的情况，也有不成为f ( c卢V r4ygr5, c 2b W r4)的情况(步骤S4201)。第二输出信息计算部4202能够使用第二输入信息τ 2 = ( c 2a W ' c J V 1:6 μ /7)和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( c JVr6 μ/7, C /Wrfi),将获得的计算结果设为第二输出信息ζ 2。该计算结果既存在准确的情况也存在不准确的情况。即，第一输出信息计算部4202的计算结果既有成为f(c J
VrV/7, c 2a W r6)的情况，也有不成为 f ( c !a V r6ygr7, c 2a W r6)的情况(步骤 S4202)。第一输出信息计算部4201输出第一输出信息Z1,第二输出信息计算部4202输出第二输出信息Z2 (步骤S4203)。《步骤S4104和S4105的处理》 返回到图6，第一输出信息Z1输入到计算装置41 (图2)的第一计算部4105，第二输出信息Z2输入到第二计算部4108 (步骤S4104)。第一计算部4105使用所输入的第一输出信息ζ 1和随机数r 4、r 5，计算ζ !
Y"4μ；Γ5并将该计算结果设为u (步骤S4105)。计算结果u发送到第一幂乘计算部1106。这里，成为 U = Z ! Y ^r4 μ /5 = f ( c 1； c 2)b χ !O 即，z μ /5 成为关于 f (C1, C2)具有误差X1的可随机化样本器的输出。在后面叙述其理由。《步骤S4108的处理》第二计算部4108使用所输入的第二输出信息ζ 2和随机数r 6、r 7，计算ζ 2
Yμ/7并将该计算结果设为V。计算结果V发送到第二幂乘计算部1109。这里，成为V= Z2Y ^r6 μ ；r7 = f (c 1； c 2)a X 2。gp, Z 2Y_rVg-r7 成为关于 f (C1，C2)具有误差 X 2 的可随机化样本器的输出。在后面叙述其理由。《zi Y ,μ/5、ζ 2 Y IVJ7分别成为关于f (c 1； C 2)具有误差X ^X2的可随机化样本器的输出的理由》将c设为自然数，将R 1、R 2、R /和R 2’设为随机数，将能力提供装置42使用C !c V Ε1 μ gE2和C 2C W E1进行的计算的计算结果设为B ( c ^ V Ε1 μ gE2, C 2C W E1)o即，将第一输出信息计算部4201和第二输出信息计算部4202返回给计算装置41的计算结果设为Z=B ( c !c V E1ygE2, c 2c WE1)o进而，将在群G中取值的概率变量X定义为X = B(V E1> ygE2>, W E1,> f (V Ε1> μ/2，，Wm)'这时，成为z Y _K1 μ g_K2 = B ( c !c V E1 μ gE2, C 2C W E1) Y _K1 μ , = X f ( c 广
YE1ygE2, c 2C W E1) Y ^ μ, =X f (c 1； C 2)c f (V, W)E1 f ( Ug, e g)E2 Y _K1 μ ,=X f (c 1； c 2)c Y E1ygE2 Y ->g_K2 = f (c 1； c 2)c X0 即，Z Y ->g-R2 成为关于 f (X)具有误差X的可随机化样本器的输出。其中，e g是群G的单位元。在上述式展开中，使用X=B (V K1’ ygE2>, WE1>) f (V Ε1> μ/'Wm)-1 =B(C !c V Ε1μ8Ε2, C 2C W E1) f ( C !c V E1ygE2, C 2C W E1)> B ( c !c V E1ygE2, C 2C W E1) =Xf ( c !c V E1 μ gE2, c 2C W E1)的性质。该性质基于R p R 2、R /和R 2’是随机数。因此，如果考虑a、b为自然数，r 4、r 5、r6和r7为随机数，则同样地，ζ !
Yg_r1、ζ 2 Y -Γ6μ/7成为关于f Cc1, C2)分别具有误差X \ X 2的可随机化样本器的输出。第五实施方式在上述的各实施方式中，在计算装置的自然数存储部1101中存储多种互质的2个自然数a，b的组(a，b)，使用这些组(a，b)来执行各处理。但是，a、b的一方也可以是常数。例如，可以将a固定为1，也可以将b固定为I。换而言之，第一可随机化样本器或第二可随机化样本器的一方可以置换为样本器。在a、b的一方为常数的情况下，不需要进行对设为常数的a或b进行选择的处理，各处理部无需被输入设为常数的a或b，能够将其作为常数进行计算。设为常数的a或b为I的情况下，无需使用a ’和b ’，能够作为f ( χ ) = V或f ( χ ) = u 得到 f(x) = ub’ V”。第五实施方式是这样的变形的一例，是将b固定为1、第二可随机化样本器被置换为样本器的方式。以下，以与第一实施方式的不同点为中心进行说明。第一可随机化样本器和样本器的具体例与在第二实施方式至第四实施方式中说明的相同，因此省略说明。< 结构 >
如图1所例示，在第五实施方式的代理计算系统5中，第一实施方式的计算装置11被置换为计算装置51，能力提供装置12被置换为能力提供装置52。如图10所例示，第五实施方式的计算装置51例如具有:自然数存储部5101、自然数选择部5102、输入信息提供部5104、第一计算部5105、第一幂乘计算部1106、第一列表存储部1107、第二计算部5108、第二列表存储部5110、判定部5111、最终输出部1112和控制部 1113。如图3所例示，第五实施方式的能力提供装置52例如具有第一输出信息计算部5201、第二输出信息计算部5202、密钥存储部1204和控制部1205。< 处理 >下面，说明本方式的处理。作为处理的前提，将G、H设为群(例如为可交换群)，将f ( X )设为用于将作为群H的元的密码文χ通过特定的解码密钥s解码而得到群G的元的解码函数，将群G、H的生成元分别设为μ8、UhJfX 1、X 2设为在群G中取值的概率变量，将概率变量X !的实现值设为X i，将概率变量X 2的实现值设为X 2。计算装置51的自然数存储部5101中存储有多个种类的自然数a。如图11所例示，首先，计算装置51 (图10)的自然数选择部5102随机地从在自然数存储部5101中存储的多个自然数a读入I个自然数a。所读入的自然数a的信息被发送到输入信息提供部5104和第一幂乘计算部1106 (步骤S5100)。控制部1113设为t=l (步骤S1102)。

输入信息提供部5104生成并输出与所输入的密码文χ分别对应的作为群H的元的第一输入信息^和第二输入信息τ 2。优选为，第一输入信息！^和第二输入信息τ 2为分别将与密码文X的关系搅乱的信息。由此，计算装置51能够对能力提供装置52隐蔽密码文X。优选为，本方式的第二输入信息τ2进而对应于由自然数选择部5102选择的自然数a。由此，计算装置51能够以高精度评价从能力提供装置52提供的解码能力(步骤S5103)。第一输入信息^和第二输入信息τ 2的组合的具体例子是，第二实施方式至第四实施方式的任何一个的设为b=l的第一输入信息τ i和第二输入信息τ 2的组合。如图7所例示，第一输入信息τ i输入到能力提供装置52 (图3)的第一输出信息计算部5201，第二输入信息τ2输入到第二输出信息计算部5202 (步骤S5200)。第一输出信息计算部5201使用第一输入信息τ:和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( τ P，将得到的计算结果设为第一输出信息z i (步骤S5201)。第二输出信息计算部5202使用第二输入信息τ 2和在密钥存储部1204中存储的解码密钥S，以大于某一概率的概率准确地计算f ( τ 2)，将得到的计算结果设为第二输出信息ζ 2 (步骤S5202)。即，第一输出信息计算部5201和第二输出信息计算部5202输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部5201的计算结果既有是f ( τ P的情况也有不是f ( τ P的情况，第二输出信息计算部5202的计算结果既有是f ( τ 2)的情况也有不是f ( τ 2)的情况。第一输出信息Z1和第二输出信息Z2的组的具体例子是，第二实施方式至第四实施方式的任何一个的设为b=l的第一输出信息Z1和第二输出信息Z2的组。第一输出信息计算部5201输出第一输出信息Z1,第二输出信息计算部5202输出第二输出信息Z2 (步骤S5203)。
返回到图11，第一输出信息Z1输入到计算装置51 (图10)的第一计算部5105，第二输出信息Z2输入到第二计算部5108。这些第一输出信息ζ !和第二输出信息ζ 2相当于从能力提供装置52对计算装置51提供的解码能力(步骤S5104)。第一计算部5105根据第一输出信息ζ ι生成计算结果U= f (x)x 10计算结果u的具体例是，第二实施方式至第四实施方式的任何一个的设为b=l的计算结果U。计算结果u发送到第一幂乘计算部1106 (步骤S5105)。第一幂乘计算部1106计算u ’ = u 3O计算结果u和基于该计算结果计算出的u ’的组(u，u’)被存储到第一列表存储部1107 (步骤S1106)。第二计算部5108根据第二输出信息ζ 2生成计算结果u = f ( χ ) a χ 2。计算结果V的具体例是，第二实施方式至第四实施 方式的任何一个的计算结果V。计算结果V被存储到第二列表存储部5110 (步骤S5108)。判定部5111在存储于第一列表存储部1107的组(u，u ’)和存储于第二列表存储部5110的V中，判定是否有成为u ’ = V的组(步骤S5110)。在有成为u ’ = V的组的情况下，进至步骤S5114。在没有成为u ’ = V的组的情况下，进至步骤S1111。在步骤S5111中，控制部1113判定是否为t=Tmax(步骤Sllll)。T max是预先决定的自然数。如果是t = T _，则控制部1113输出无法进行计算的意旨的信息例如为符号“丄”(步骤S1113)，并结束处理。如果不是t = T _，则控制部1113将t增加1，即设为t=t + I (步骤S1112)，返回到步骤S5103。在步骤S1114中，最终输出部1112输出与判定为U，= V的U，对应的u (步骤S5114)。如此得到的u相当于在第一实施方式至第四实施方式中设为b = I时的u b’ V a’。即，如此得到的u成为以高的概率对密码文χ通过特定的解码密钥s进行了解码后的解码结果f (χ)。因此，将上述的处理重复多次，将在步骤S5114中得到的值中频度最高的值设为解码结果即可。如后所述，根据设定，以绝对的概率成为U = f (X)。在该情况下，可以将在步骤S5114中得到的值直接设为解码结果。《关于得到解码结果f(x)的理由》下面，说明在本方式的计算装置51中得到解码结果f(x)的理由。首先，定义在说明中所需的事项。黑盒子(black-box):f ( τ )的黑盒子F ( τ )意味着，将τ e H作为输入而输出z e G的处理部。在本方式中，第一输出信息计算部5201和第二输出信息计算部5202分别相当于解码函数f(τ )的黑盒子F ( τ )。将对于从群H中任意选择的元τ e υ H和z = F ( τ )满足ζ = f(τ )的概率大于 δ (O < δ ^ I)时、即满足 P r [ ζ = f ( τ ) | τ GuH7Z=FCt)]> δ…⑴的f ( τ )的黑盒子F ( τ )称为，可靠度δ ( δ-reliable)的f ( τ )的黑盒子F(τ )。其中，S是正的值，相当于上述的“某一概率”。自身改正器(self-corrector):自身改正器C F (X)意味着，将X eH设为输入，使用f ( τ )的黑盒子F ( τ )进行计算而输出j eGU丄的处理部。在本方式中，计算装置51相当于自身改正器C F(x)。殆自身改正器(almostself-corrector):
假定自身改正器CF (X)将xe H作为输入使用可靠度δ的f (τ)的黑盒子F(τ )来输出准确的值j = f (X)的概率充分大于输出错误的值j幸f (X)的概率的情况。即，假定满足式(2)的情况。P r [ j = f (χ) I j =C F (X)，j 关丄]
>P r [ j ^ f (χ) I J=Cf (x), j 关丄]+ Λ …(2)另外，Λ是某一正的值(O < Λ < I)。在如此的情况下，自身改正器Cf(X)称为殆自身改正器。例如，对于某一正的值Λ’ (O < Δ’ < 1)，满足P r [ j = f (x) |j=CF (χ)] Xl / 3) +pr[j=丄 |j=CF(x)]<l/3Pr[j 关 f(x)且 j 关丄 I j=CF(x)]<l/3的情况下，自身改正器C F (X)是殆自身改正器。Λ’的例子是Λ’ = I / 12或
I/ 3ο强自身改正器(robustself-corrector):假定自身改正器CF (X)将X GH作为输入使用可靠度δ的f( O的黑盒子F(τ )来输出准确的值j = f ( X )或j=丄的概率为绝对的情况。即，对于能够忽略的误差ξ (O ^ ξ < 1)，满足P r [ j = f ( χ )或者 j =丄 I j = c F ( χ )] > ι — ξ …⑶的情况。在如此的情况下，自身改正器Cf(X)称为强自身改正器。另外，能够忽略的误差ξ的例子是，安全参数k的函数值ξ (k)。函数值ξ (k)的例子是，对于任意的多项式P (k)关于充分大的k，{ ξ (k) p (k)}收敛于O的函数值。函数值ξ (k)的具体例是，ξ (k) = 2_k*€ (10 = 2-4 等。能够从殆自身改正器构成强自身改正器。即，对于相同的χ执行多次殆自身改正器，将除了丄之外频度最高的输出值设为j，从而能够构成强自身改正器。例如，对于相同的χ执行O ( I ο g (I / ξ ))次殆自身改正器，将频度最高的输出值设为j，从而能够构成强自身改正器。另外，O (.)表示O记法。伪自由(pseudo-free)的作用:关于群G、自然数的集合Ω ={0，...，M} (Μ为I以上的自然数)、在群G中取值的概率变量X X 2的各实现值a e X α关e g)，β e X 2和a e Ω，对于成为a a =β的概率Pr[aa=3 且 α 关eg I a e yQ , a e X 17 β eX2]—(4)将对于所有可能的X 1； X 2的上限值称为组(G，Ω )的伪自由指标，将其表示为P(G，Ω)。在存在某一能够忽略的函数ζ (k)，且P (G, Ω ) < ζ (k)…(5)的情况下，通过组(G，Ω)定义的运算是伪自由的作用。另外，以乘法表现在第五实施方式中在群中定义的运算。即，对于a eG的「aa」意味着，对α作用a次在群G中定义的运算。能够忽略的函数ξ (k)的例子是，对于任意的多项式P (k)关于充分大的k，{ ξ ( k ) ρ ( k )}收敛于O的函数。函数ξ (k)的具体例是，ξ (k) = 2_k*€ ( k )=2_〃等。例如，对于安全参数k，式(4)的概率小于O (2_k)的情况下，通过组(G，Ω)定义的运算是伪自由的作用。例如，关于任意的a eG且a g，集合Ω.α ={a (α) |a e Ω}的元素数I Ω.α I超过2 k的情况下，通过组(G，Ω )定义的运算能够称为伪自由的作用。这样的具体例存在很多。例如，群G为将质数ρ作为法的剩余群Z / ρ Z，质数P为2k的量级,集合Ω ={0,...,p — 2}, a(a)为a 3 e Z / pZ且a g的情况下，成为 Ω.α = { a 3 I a = 0,...,p — 2} = {e g, a1,..., a ^2},并且是 | Ω.a |= P-10由于质数P是2k的量级，因此存在某一常数C，如果k充分大则满足I Ω.α I>C2k。这里，式(4)的概率小于通过这样的组(G，Ω)定义的运算是伪自由的作用。可靠度δ γ ( δ Y-reliable)的可随机化样本器:是在每次提供自然数a时使用可靠度δ的f ( τ )的黑盒子F ( τ )，对于w e G返回与按照概率变量X的样本X ’对应的W a X’的可随机化样本器，将W a X’ =W a的概率大于δ Y ( γ为正常数)即满足P r [ w a χ，= w a] > δ γ...(6)的可随机化样本器称为可靠度δ、的可随机化样本器。本方式的输入信息提供部5104和第二输出信息计算部5202和第二计算部5108的组是关于w=f(x)可靠度为δ、的可随机化样本器。下面，使用这些定义，说明在本方式的计算装置51中得到解码结果f (X)的理由。在本方式的步骤S5110中，判定是否为u’= V即11 a = V。由于本方式的输入信息提供部5104和第二输出信息计算部5202和第二计算部5108的组是可靠度δ、的可随机化样本器(式(6))，如果将T _设为大于根据k、δ、y决定的固定值的值，则产生渐进地以大的概率成立u a = V (在步骤S5110中成为“是”)的情况。例如，如果设为T max ^ 4 /δ Υ，则根据M a r k ο V的不等式可知，成立u a = V (在步骤S5110中成为“是”)的概率大于1/2。 在本方式中，u = f (χ)χ ι且v = f (x)ax2,因此在成立Ua = V时成立x ^=X 2°在成立X ia = X 2的情况下，存在是X I = X 2 = e g的情况和是Xi^eg的情况。在X I = X 2 = e g的情况下,成为u = f ( X ),因此在步骤S5114中输出的u成为准确的解码结果f ( χ )。另一方面，在χ ^eg的情况下,成为u古f ( χ ),因此在步骤S5114中输出的u不是准确的解码结果f (X)。通过群G和自然数a所属的集合Ω的组(G，Ω )定义的运算为伪自由的作用、或者关于伪自由指标P (G , Ω )，T max2 P (G , Ω )渐近小的情况下,在u a = V时X ! ^ e g的概率(式(4))渐近小。因此,在u a = V时χ ι = e g的概率渐近大。因此,通过组(G,Ω )定义的运算为伪自由的作用、或者T _2 P (G，Ω )渐近小的情况下，在u a = V时输出错误的解码结果f(x)的概率比u a = V时输出准确的解码结果f(x)的概率充分小。这时的计算装置51也可以称为殆自身改正器(参考式(2))。因此，如上所述，从计算装置51能够构成强自身改正器，能够以绝对的概率得到准确的解码结果f(x)。在(G，Ω)中定义的运算是伪自由的作用的情况下，也能够忽略在Ua = V时输出错误的解码结果f ( χ )的概率。这时的计算装置51以绝对的概率输出准确的解码结果f(x)或者丄。另外，对任意的常数P决定k 0,对该k ^关于满足k ^ < k ’的任意的k ’的函数值η (k’)小于P的情况下，称为「η (k’)渐近小」。k’的例子是安全参数k。对任意的常数P决定k 0,对该k ^关于满足k ^ < k ’的任意的k ’的函数值1- n(k ’)小于P的情况下，称为「η ( k ’)渐近大」。《关于可靠度δγ的可随机化样本器和安全性》假定如下的攻击。 黑盒子F ( τ )或者该部分有意地输出不准确的ζ，或者从黑盒子F ( τ )输出的值被改变为不准确的ζ。.从可随机化样本器输出与不准确的ζ对应的wax’。 与在自身改正器Cf (χ)中成立u a = V (在步骤S5110中“是”)无关地，与不准确的Z对应的w a χ ’使自身改正器C F (χ )输出错误的值的概率增加。在对于所提供的自然数a从可随机化样本器输出的w a χ ’的误差的概率分布D a=w a χ ’ w _a依赖于自然数a的情况下，这样的攻击成为可能。例如，在进行了从第二计算部5108输出的V成为f (x)a χ J的不准确的情况下，与χ !的值无关地，必然成立u a=V。因此，在可随机化样本器中，期望在对于所提供的自然数a从可随机化样本器输出的W a X ’的误差的概率分布D a = W a X ’ w I不依赖于该自然数a。或者， 期望是如下的可随机化样本器:对于集合Ω的任何元a Ξ ' ，存在无法与w a χ ’的误差的概率分布D a = w a χ ’ w _a区分的在群G中取值的概率分布D (概率分布D a与概率分布D统计近似(statistically-close))。其中，概率分布D不依赖于自然数a。无法区分概率分布D a与概率分布D意味着，无法通过多项式时间算法来区分概率分布0 a与概率分布D，例如对于可忽视的ζ (O ^ ζ < I)满足Σ geG I P r [ g e D] — P r [ g e D J | < ζ …(7)，则无法通过多项式时间算法来区分概率分布Da与概率分布D。能够忽略的ζ的例子是，安全参数k的函数值ζ (k)。函数值ζ (k)的例子是，对于任意的多项式ρ(k)关于充分大的k，{ ζ (k) p (k)}收敛于O的函数值。函数值ζ (k)的具体例是，ζ (k) = 2_k*4 (10 = 21*5等。这些点对于使用自然数a和b的第一实施方式至第四实施方式也相同。第六实施方式在本方式中，将本发明应用到格子密码的一种即GHV加密方式(参照参考文献I「C.Genrty, S.Halevi and V.Vaikuntanathan, “A Simple BGNType Cryptosystemfrom LWE, ” Advances in Cryptology - EUR0CRYPT 2010, LNCS 6110，pp.506-522，Springer-Verlag, 2010.」等)的解码处理。以下，以与上述的各实施方式的不同点为中心进行说明。< 结构 >如图1所例示，在第六实施方式的代理计算系统6中，第一实施方式的计算装置11被置换为计算装置61，能力提供装置12被置换为能力提供装置62。如图12所例示，第六实施方式的计算装置61例如具有:矩阵存储部6101、矩阵选择部6102、输入信息提供部6104、第一计算部6105、矩阵积计算部6106、第一列表存储部6107、第二计算部6108、第二列表存储部6110、判定部6111、最终输出部6112和控制部1113。如图14所例示，本方式的输入信息提供部6104例如具有第一随机矩阵选择部6104a、第二随机矩阵选择部6104b、第一加密部6104c、第二加密部6104d、第一输入信息计算部6104e、第三随机矩阵选择部6104f、第四随机矩阵选择部6104g、第三加密部6104h、第四加密部61041、第二输入信息计算部6104j。如图13所例示，第六实施方式的能力提供装置62例如具有第一输出信息计算部6201、第二输出信息计算部6202、密钥存储部6204和控制部1205。< 处理 >下面，说明本方式的处理。在本方式中，将G μ设为ι X ι矩阵的集合，将H μ设为I X I矩阵的集合，将M X X 2设为在集合G M中取值的概率变量，将M X !设为概率变量M X i的实现值，将M χ 2设为概率变量M X 2的实现值，将a μ设为集合H μ的元。在本方式中，将P K设为作为加密密钥(公开密钥)的t X K矩阵，将S K设为作为满足P K -SK = O的I X I矩阵的解码密钥(秘密密钥)，将C M设为K X I矩阵，将N M设为t X ι矩阵，将UM设为t X ι单位矩阵，将P T设为作为集合G μ的元的平文PTeG M，将χ μ设为作为集合Hm的元的密码文χ M eH M，将EN C μ设为用于将作为集合G μ的元的平文P T进行加密而得到密码文XmEHm的加密函数，将f M (χ M)设为用于将密码文X eH M通过特定的解码密钥S K进行解码而得到作为集合G M的元的平文P T的解码函数。解码函数f (χ M)是准同型函数。例如，将G μ设为ι X ι矩阵(Z / 2 Ζ)ιχι的集合，将H μ设为ι X ι矩阵(Z/ qZ)lXl的集合，将加密密钥P K设为t Xk矩阵(Z/ qΖ)ιχκ，将解码密钥S K设为t X ι矩阵(Z / q Ζ)ιχι，将CM设为随机选择的κΧ ι矩阵(Ζ / q Ζ) κχι，将NM设为按照高斯分布的t X ι矩阵(Z / q Z) 1 xiJfUMS为ι X ι单位矩阵(Z / 2 Z) lXl，将加密函数ENC μ (P T )设为P K.CM+2.NM+ P T Cm ο d q ),将解码函数 f M ( x μ)设为 SK-1{SK.xM*SKT(mod q )}(S K τ)—1 (mod 2)。其中，κ、ι、q是正整数，κ、ι、q是正整数，.τ是.的转置矩阵，(Ζ / q Ζ) κΧι是以将q作为法的剩余环Z / q Z作为元素的κ行ι列矩阵。在第六实施方式中，将矩阵α ρ α 2之间的积表示为α^α 2，将和表现为a ι + a 2。将对矩阵a的各元素进行了自然数β倍后的矩阵表示为β.α。作为本方式的处理的前提，假设在计算装置61 (图12)的矩阵存储部6101中存储有多个种类的矩阵a μ e H M。在能力提供装置62 (图13)的密钥存储部6204中安全地存储有解码密钥SK。如图15所例示，首先，计算装置61 (图12)的矩阵选择部6102同样随机地从在矩阵存储部6101中存储的多个矩阵中选择并读入I个矩阵aM。所读入的矩阵aM的信息被发送到输入信息提供部6104和矩阵积计算部6106 (步骤S6100)。控制部1113设为t=l (步骤S1102)。输入信息提供部6104生成并输出与所输入的密码文xM分别对应的作为所对应的集合Hm的兀的第一输入信息μ τ ι和第二输入信息Μ τ 2。优选为,第一输入信息μ τ j和第二输入信息M τ 2为分别将与密码文xM的关系搅乱的信息。由此，计算装置61能够对能力提供装置62隐蔽密码文χΜ。第二输入信息Μ τ2进而对应于元a M。由此，计算装置61能够以高精度评价从能力提供装置62提供的解码能力(步骤S6103)。以下，使用图16来说明步骤S6103的具体例。步骤S6103的具体例
输入信息提供部6104 (图14)的第一随机矩阵选择部6104a同样随机地选择集合G μ的元M E1 (步骤S6103 a )。所选择的M E1被发送到第一加密部6104c和第一计算部6105(步骤S6103a)。第二随机矩阵选择部6104b选择κ X ι的同样随机的矩阵C M η和CM 12 e (Ζ / qZ)KXl。所选择的C M η和C M 12被发送到第一输入信息计算部6104e(步骤S6103b)。第一加密部6104 c使用公开密钥P K，生成作为M K1的密码文E N C μ(Mki)的第一密码文 C E1 = P K -CM+ 2.ΝΜ + ΜΕ1 (mod q)。第一密码文 C K1 被发送到第一输入信息计算部6104e (步骤S6103c)。第二加密部6104d使用公开密钥P K，生成作为单位矩阵UM的密码文N C μ (UM)的第二密码文C UM = P K.CM+ 2.NM +UM (m ο d q )。第二密码文C m被发送到第一输入信息计算部6104e (步骤S6103d)。对第一输入信息计算部6104e进而输入密码文χ Mo第一输入信息计算部6104 e作为第一输入信息 ，得到并输出(χ μ.C 丽+ C K1)+P K.CM η + 2.NM+CM 12τ.P K τ。另外，在矩阵的积的顺序中没有特别的必然性。即，第一输入信息计算部6104e可以计算设*Cx=xM*ClIM + CKd3Re(Cx)=Cx + PK*CM11 + 2*NM+CM12T*PKT而生成第一输入信息M T1，也可以计算设为C x = Cm*xM + CKd^Re (Cx)而生成第一输入信息 τ ι (步骤S6103 e )。第三随机矩阵选择部6104f同样随机地选择集合Gm的元MK2。所选择的M E2被发送到第三加密部6104h和第二计算部6108 (步骤S6103f )。第四随机矩阵选择部6104g选择κ X t的随机的矩阵C M 21和C M 22 e (Z / q Z ) κ χ 1。所选择的C M 21和C M 22被发送到第二输入信息计算部6104j (步骤S6103g)。第三加密部6104h使用公开密钥P K，生成作为Mk2的密码文E N C μ (Mk2)的第三密码文C E2 = P K.CM+ 2.NM + ME2(mod q)。第三密码文C ! 被发送到第二输入信息计算部6104j (步骤S6103h)。对第四加密部6104i输入矩阵aM。第四加密部6104i使用公开密钥P K，生成作为矩阵aM的密码文EN C μ (aM)的第四密码文C a = P K.CM+2.NM + aM (mod q)。第四密码文C 3被发送到第二输入信息计算部6104j (步骤S6103i)。对第二输入信息计算部6104J进而输入密码文χ M。第二输入信息计算部6104j作为第二输入信息Μ τ 2，得到并输出(χ Μ.C a + C K2) + P K.CM 21 + 2.NM+CM 22Τ.P K Τ。第二输入信息计算部6104 j可以计算设为C x = xM*Ca + CKJ9Re(C x)而生成第二输入信息Μ τ 2，也可以计算设为Cx = xM*Ca + CKd3Re(C x)而生成第二输入信息Μ τ 2 ((步骤S6103 j ) /[步骤S6103的具体例] 的说明结束)。如图17所例示，第一输入信息Μ τ ,输入到能力提供装置62 (图13)的第一输出信息计算部6201，第二输入信息μ τ 2输入到第二输出信息计算部6202 (步骤S6200)。第一输出信息计算部6201使用第一输入信息Μ τ i和在密钥存储部6204中存储的解码密钥S K，以大于某一概率的概率准确计算f μ (Μ τ J= S K ―1 {S K.Μ τ i *S K T (mod q)}(S K Tr(mo d 2)，将得到的计算结果设为第一输出信息M z i (步骤S6201)。第二输出信息计算部6202使用第二输入信息Μ τ 2和在密钥存储部6204中存储的解码密钥S K，以大于某一概率的概率准确计算f Μ (Μ τ 2) = S K ―1 {S K.Μτ2.S K T (modq)} (S K ΤΓ (mod 2)，将得到的计算结果设为第二输出信息μ ζ 2 (步骤S6202)。即，第一输出信息计算部6201和第二输出信息计算部6202输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部6201的计算结果既有是f M (Mh)的情况也有不是f ( 、)的情况，第二输出信息计算部6202的计算结果既有是f μ (Μτ2)的情况也有不是f M (Μ τ 2)的情况。
第一输出信息计算部6201输出第一输出信息MZ1，第二输出信息计算部6202输出第二输出信息Mz2 (步骤S6203)。返回到图15，第一输出信息mZi输入到计算装置61 (图12)的第一计算部6105，第二输出信息MZ2输入到第二计算部6108。这些第一输出信息M Z I和第二输出信息M Z 2相当于从能力提供装置62对计算装置61提供的解码能力(步骤S6104)。第一计算部5105使用第一输出信息μ z i计算M z i 一 M K1，并将该计算结果设为U MO计算结果Um发送到矩阵积计算部6106。这里,成为U M = M Z I —Mki = f M(X M) + X 10即，U 成为关于f M (X M)具有误差M X !的样本器。在后面叙述其理由(步骤S6105)。矩阵积计算部6106得到u M’ = u μ.a M。其中，矩阵积计算部6106可以通过u M.a μ的计算得到u Μ’,也可以通过a M.u μ的计算得到u M’。计算结果u M和基于该计算结果计算出的u M’的组(u M，u M’)被存储到第一列表存储部6107 (步骤S6106)。第二计算部6108使用第二输出信息Μ ζ 2计算M ζ 2 — M K2，并将该计算结果设为V Μ。计算结果Vm被存储到第二列表存储部6110。这里,成为V M = M Z 2 -M E2 = f Μ(X Μ).a M + M Χ 2° S卩，V μ成为关于f j, ( X M)具有误差μ X 2的可随机化样本器的输出。在后面叙述其理由(步骤S6108)。判定部6111在存储于第一列表存储部6107的组(u M，u M’)和存储于第二列表存储部6110的组V μ中，判定是否有成为u M’ = V μ的组(步骤S6110)。在有成为u M’ = v M的组的情况下，进至步骤S6114。在没有成为u /=V M的组的情况下，进至步骤S1111。在步骤Sllll中，控制部1113判定是否为t=Tmax(步骤Sllll)。T max是预先决定的自然数。如果是t = T _，则控制部1113输出无法进行计算的意旨的信息例如为符号“丄”(步骤S1113) ，并结束处理。如果不是t = T _，则控制部1113将t增加1，即设为t=t + I (步骤S1112)，返回到步骤S6103。在步骤S6114中，最终输出部6112输出与判定为u M’= V M的u M’对应的uM (步骤S6114)。如此得到的u μ以高的概率成为将密码文χ M通过解码密钥S K解码后的解码结果fM(xM)(在后面叙述其理由)。因此，将上述的处理重复多次，将在步骤S6114中得到的值中频度最高的值设为解码结果即可。根据设定以绝对的概率成为u M = f (χ )。在该情况下，可以将在步骤S6114中得到的值直接设为解码结果。《MZ ! —M Ε1> Μ Z 2 — M E2成为关于f M ( X M)分别具有误差MXr1X2的样本器、可随机化样本器的输出的理由》根据f Μ (χ M)的准同型性,满足 f Μ (χ Μ.C a + C E2) = f M (x M).f M (Ca)
+ f M (C R2) — f M ( X M).aM ( X M).a M — f M (X M * ^ a + C R2)—
Mr2 — f μ (MT2) — Mr2, 两足 M r2 — f μ (MT2) — f M (X m).& M。因此，如果设为 M Z
2— F M (Μτ2)，则 两足 M Ζ 2 — Mr2 — F J1 (Mt2) — f M (μΤ2)十 f M (Χ Μ).a M — f M
(X Μ).a M + {F Μ (Μτ2)- f Μ (Μτ2)}。根据与^2对应的01^21、01^22、1^2的同样随机性，Μ Z 2 — M Ε2统计近似于 Μ(ΧΜ).&Μ + ΜΧ； 。其中，Μχ2是概率变量Μ X 2 =Fm (ENCm ( U2))-Mu2 (M U2在0 M上同样随机地分布)的实现值。因此，Μ Z 2 —Mk2成为关于f M ( X M)分别具有误差M X 2的可随机化样本器的输出。同样地，满足f I (χ .C UM + C E1) = f (x i)*fM (C UM) + f (C E1) = f M(X M)*UM + MR1,i两足 f M (X M) — f M (X M.C UM + C R1 ) — Mr1 — f M (J1T1) — M E1,
且满足 M K1 = f M (M τ j)— f M (X M)。因此，如果设为 M Z1=Fm (J1T1)，则满足 μ ζ I —
Mr1 — F J1 (J1T1) — f M (J1T1)^f M (χ M) 一 f M (X m)+{Fm (J1T1) — f M (ι τ ι)}ο
根据与^1对应的0 1^11、0 1^12、1^1；1的同样随机性， Z i—Mm统计近似于f M(x M) + X !O 其中，MX i 是概率变量MX1 =F M (ENCm (M U i))—MU1 (1111在0 上同样随机地分布)的实现值。因此，输出M Z I 一M K1的上述的结构成为关于f M ( X M)分别具有误差M X i的样本器。《关于能够得到解码结果fM(Xm)的理由》根据与在第五实施方式的《关于能够得到解码结果f(x)的理由》中说明的理由相同的理由，在本方式中，也能够得到准确的解码结果f M(X M)。但是，由于在本方式中对矩阵进行处理的关系，第五实施方式的《关于能够得到解码结果f (X)的理由》的G、H被置换为G M、H M，f (X)被置换为f M ( χ Μ)，τ被置换为Μ τ，F ( τ )被置换为F (Μτ )，ζ被置换为Μ ζ，χ被置换为XpXpX2被置换为MX1IXyXpX2被置换为M X 1、M X2，e g被置换为ι X ι的单位矩阵μ e g，乘法的表现被置换为加法的表现(例如，α 0 Y被置换为α.β + Y )。进而，在本方式中，如下定义“伪自由(pseudo-free)的作用”。伪自由(pseudo-free)的作用:关于G M、矩阵的集合=μ上的概率变量μ X ^ M X 2的各实现值 UmEmX1 (aM^M e g), β e M X 2、和 a M e ΩΜ，对于成为 αΜ.a M = β M 的概
率P Γ [ Ct Μ.a M 且 aM^M e g I a M ^ U ^ Μ α μ E μ X I,旦11[11乂2]，将关于所有可能的MX 1； X 2的上限值称为组(G Μ，Ωμ)的伪自由指标，将其表示为P(Gm，Ωμ)。在存在某一能够忽略的函数ζ (k)，且P (G Μ, Ωμ) < ζ (k)的情况下，通过组(Gm，Ωμ)定义的运算是伪自由的作用。第一实施方式至第六实施方式的变形例如上所述，在上述的各实施方式中，能力提供装置无需提供解码密钥，对计算装置提供第一输出信息Z1和第二输出信息Z2，计算装置输出U b’ V a’。U b’ V a’以高的概率成为密码文X的解码值。如此，能力提供装置能够对计算装置提供解码能力，而无需提供解码密钥。另外，本发明不限定于上述的实施方式。例如，概率变量X pX 2和乂 3可以相同也可以不同。同样，概率变量M X ι和M X 2可以相同也可以不同。 通过第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部分别生成同样随机数，从而代理计算系统的安全性变得最高。但是，在所要求的安全性的等级没有那么高的情况下，第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部的至少一个部也可以生成不是同样随机数的随机数。同样地，也可以在第六实施方式中，代替同样随机地选择矩阵，选择不是同样的随机的矩阵。从运算效率的观点出发，期望如上述的各实施方式那样选择作为O以上且小于1^ H的自然数的随机数或作为O以上且小于K G的自然数的随机数，但也可以取而代之选择K H以上或K G以上的自然数的随机数。
在计算装置对能力提供装置每次提供与相同的a、b对应的作为群H的元的第一输入信息^和第二输入信息12时，能力提供装置的处理也可以执行多次。由此，在计算装置对能力提供装置每提供一次第一输入信息^和第二输入信息12时，计算装置能够得到多个第一输出信息z 1和第二输出信息z 2和第三输出信息z 3。由此，能够减少计算装置与能力提供装置之间的交换次数和通信量。对于第六实施方式的第一输入信息Μ τ !和第二输入信息Μ τ 2也是相同的。
也可以是，计算装置对能力提供装置汇总提供多种第一输入信息τ i和第二输入信息τ 2，汇总得到多个所对应的第一输出信息z I和第二输出信息ζ 2和第三输出信息ζ3。由此，能够减少计算装置与能力提供装置之间的交换次数。对于第六实施方式的第一输Afs息M τ I和第二输入彳目息M τ 2也是相同的。
也可以是，确认在第一实施方式至第五实施方式的第一计算部和第二计算部中得到的u和V是否为群G的元，在是群G的元的情况下，继续执行上述的处理，在u或V不是群G的元的情况下，输出无法进行计算的意旨的信息例如为符号“丄”。同样地，也可以是，确认在第六实施方式的第一计算部和第二计算部中得到的u μ和V 是否为群G μ的元，在是群Gm的元的情况下，继续执行上述的处理，在u μ或V μ不是群G μ的元的情况下，输出无法进行计算的意旨的信息例如为符号“丄”。
计算装置的各部之 间的数据的交换可以直接进行，也可以经由未图示的存储部进行。同样地，能力提供装置的各部之间的数据的交换可以直接进行，也可以经由未图示的存储部进行。
此外，例如，上述的各种处理不仅可以按照记载以时间序列执行，也可以根据执行处理的装置的处理能力或者根据需要并行地或单独地执行。此外，在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。
第七实施方式
说明本发明的第七实施方式。
< 结构 >
如图18所例示，第七实施方式的代理计算系统101例如具有:没有保持解码密钥的计算装置111、分别保持解码密钥s 1;...，s r的能力提供装置112 — 1，...，112 — Γ ( Γ是2以上的整数)、控制计算装置111的解码能力的解码控制装置113。解码控制装置113控制从能力提供装置112 — 1，...，112 — Γ提供给计算装置111的解码能力，计算装置111使用从能力提供装置112 — 1，...,112- Γ提供的解码能力对密码文进行解码。计算装置111和能力提供装置112 — 1，...，112 — Γ和解码控制装置113构成为能够进行信息的交换。例如，计算装置111和能力提供装置112 — 1，..112- Γ和解码控制装置113能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。
如图19所例示，第七实施方式的计算装置111例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部11104、第一计算部11105、第一幂乘计算部11106、第一列表存储部11107、第二计算部11108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112、复元部11100和控制部11113。计算装置ill的例子是，卡读写装置、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU (中央处理单元)和RAM (随机存取存储器)的公知或专用的计算机等。
如图20所例示，第七实施方式的能力提供装置112—1 ( ι = I,..., ω> ω是2以上Γ以下的整数)例如具有第一输出信息计算部11201 - ι、第二输出信息计算部11202 - ι、密钥存储部11204 — ι和控制部11205 — ι。能力提供装置112 — ι的例子是，IC卡或IC芯片等耐篡改性模块、移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。如后所述，从能力提供装置112 — 1，...,112 - Γ选择能力提供装置112 — 1，...，112 — ω。在存在能力提供装置112 —( t + 1)，...,112- Γ的情况下，这些结构与能力提供装置112 — ι相同。
如图21所例示，第七实施方式的解码控制装置113例如具有密码文存储部11301、控制命令部11302、输出部11303、控制部11304、密钥存储部11305、加密部11306。解码控制装置113的例子是，移动电话等的具备计算功能和存储功能的设备、读入了特别的程序的具备CPU和RAM的公知或专用的计算机等。
< 处理 >
下面，说明本方式的处理。作为处理的前提，将G t,H t设为群(例如为可交换群)，将ω设为2以上的整数，设为t = 1，...，cojff , (λ J设为用于通过特定的解码密钥s t对作为群H t的元的密码文λ t进行解码而得到群G t的元的解码函数，将群0 pH ,的生成元分别设为μ l；g, μ，将X 1；1>X 设为在群G t中取值的概率变量，将概率变量X u的实现值设为X ιΛ，将概率变量X ,，2的实现值设为X、2。其中，本方式的ω是常数。计算装置111的自然数存储部11101中存储有多个种类的互质的2个自然数a ( ι ),b ( ι )的组(a ( ι ),b ( ι ))0 “自然数”意味着0以上的整数。如果将I ,设为在群G t的位数未满的2个自然数的组中互质的组的集合，则能够认为在自然数存储部11101中存储有与I ,的部分集合S1对应的自然数a ( I )、b ( I )的组(a ( I )，b ( ι ))。在能力提供装置112 - ι的密钥存储部12104中分别安全地存储有特定的解码密钥S1。在解码控制装置113的密钥存储部11305中存储有分别与解码密钥s 1;...，s r对应的密码密钥Pk1,*.., P k Γο解码密钥s ,和密码密钥P k t的一例是公开密钥密码方式的秘密密钥和公开密钥。另外，在控制部11113的控制下执行计算装置111的各处理，在控制部11205 — ι的控制下执行能力提供装置112-ι的各处理，在控制部11304的控制下执行解码控制装置113的各处理。
<加密处理>
如图24所例示，首先，对解码控制装置113 (图21)的加密部11306输入消息me s。加密部11306从密码密钥P k i，..., p k Γ中随机地选择ω个密码密钥p k!,..., P k ω (步骤S11301)。加密部11306根据消息m e s生成ω个分散信息s h a1;..., s h a ω (步骤S11302)。以下,例示分散信息Sha1,*.., s h a ω的生成方法。
《分散信息的例I》
以ω个分散信息Sha1,*.., s h a ω的比特结合值s h a ι I...I sh a ω成为消息m e s的方式,生成分散信息Sha1,...,sha。。
《分散信息的例2》
以ω个分散信息sha1;..., s h a ω的逻辑异或值成为消息m e s的方式，生成分散信息sha1;...,sha。。
《分散信息的例3》
通过如Shamir的秘密分散的秘密分散方式对消息m e s进行秘密分散，从而生成分散信息sha1;..., s h a ω (分散信息的生成方法的例示结束)。
接着，加密部11306关于各t = 1，...，ω，使用密码密钥p k ι对分散信息Shal进行加密而生成密码文λ t。所生成的密码文λ P...，λ ω被存储到密码文存储部11301 (步骤S11303)。
之后，在密码文存储部11301中存储的密码文λ i，...，λ ω从输出部11301输出，并输入到计算装置111 (图19)(步骤S11304)。密码文λ ^...，λ ω可以同时发送，也可以不同时发送。
<解码处理>
使用图25来说明本方式的密码文λ t的解码处理。对各t = 1，...，ω，分别执行以下说明的处理。
首先，计算装置111(图19)的自然数选择部11102随机地从在自然数存储部11101中存储的多个自然数的组(a ( ι )>b ( ι ))读入I个自然数的组(a ( ι ),b ( ι ))。所读入的自然数的组(a ( ι ),b ( ι ))的至少一部分信息被发送到整数计算部11103、输入信息提供部11104、第一幂乘计算部11106和第二幂乘计算部11109 (步骤S11100)。
整数计算部11103使用所发送的自然数的组(a ( ι ),b ( ι ))，计算满足a’ ( ι )a(t)+b’ ( ι ) b ( ι )= I 的关系的整数 a’( t )、b’ ( ι )0 自然数 a ( ι ), b ( ι )互质，因此必然存在满足a’+ ( ι ) b ( ι )= I的关系的整数a ’ ( ι ),b’ ( ι )，其计算方法也已知。例如，通过扩展互除法等已知的算法计算整数a’、b’，自然数的组U，( t )，b’ ( ι ))的信息被发送到最终输出部11112 (步骤S11101)。
控制部11113 设为 t,=l (步骤 SI 1102)。
计算装置111的输入信息提供部11104生成并输出与所输入的密码文λ t分别对应的作为群H1的兀的第一输入信息τ ιΛ和第二输入信息τ , 20优选为,第一输入信息τ ιΛ和第二输入信息τ 为分别将与密码文λ t的关系搅乱的信息。由此，计算装置111能够对能力提供装置112 — ι隐蔽密码文λ ι0优选为，本方式的第一输入信息τ t l进而对应于在自然数选择部11102中选择的自然数b ( ι )，第二输入信息τ 1;2进而对应于在自然数选择部11102中选择的自然数a ( ι )。由此，计算装置111能够以高精度评价从能力提供装置112 — ι提供的解码能力(步骤S11103)。
如图26所例示，第一输入信息τ 1；1输入到能力提供装置112 — ι (图20)的第一输出信息计算部11201 — ι，第二输入信息τ ,，2输入到第二输出信息计算部11202 —ι (步骤 S11200)。
第一输出信息计算部11201使用第一输入信息τ 1;1和在密钥存储部11204中存储的解码密钥S1，以大于某一概率的概率准确地计算f , ( τ㈡)，将得到的计算结果设为第一输出信息ζ 1；1 (步骤S11201)。第二输出信息计算部11202 — ι使用第二输入信息τ 1；2和在密钥存储部11204 - ι中存储的解码密钥S1，以大于某一概率的概率准确地计算f t ( τ、2)，将得到的运算结果设为第二输出信息ζ(步骤S11202)。另外，“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率，“无法忽略的概率”的例子是，将作为安全参数k的广义单调增加函数的多项式设为多项式V (k)时的I / ψ (k)以上的概率。S卩，第一输出信息计算部11201 — ι和第二输出信息计算部11202 — ι可能输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部11201 — ι的计算结果既有是f , ( τ 1:1)的情况也有不是f t ( τ t 的情况，第二输出信息计算部11202 - ι的计算结果既有是f , ( τ 12)的情况也有不是f ( (τι 2)的情况。第一输出信息计算部11201-ι输出第一输出信息ζιΛ，第二输出信息计算部11202-ι输出第二输出信息Z1，2 (步骤S11203)。
返回到图25，第一输出信息ζι;1输入到计算装置111(图19)的第一计算部11105，第二输出信息ζ 1;2输入到第二计算部11108。这些第一输出信息ζ ιΛ和第二输出信息ζ t,2相当于从能力提供装置112-t对计算装置111提供的解码能力(步骤S11104)。
第一计算部11105根据第一输出信息ζ 1:1生成计算结果u t = f t (λ t)b(l)X t,10这里，生成(计算)f , (λ t)b(l) X ιΛ的处理是，计算定义为f t (λ t)b(l)X q的式的值的处理。如果最终能够计算式f , (λ t)b(l) X ιΛ的值，则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。运算结果U1发送到第一幂乘计算部11106 (步骤S11105)。
第一幂乘计算部11106计算u / = U /(1)。计算结果u ,和基于该计算结果计算出的u /的组(u t, u /)被存储到第一列表存储部11107 (步骤S11106)。
判定部11111在存储于第一列表存储部11107的组(u t，u /)和存储于第二列表存储部11110的组(V 1； V /)中，判定是否有成为u Z=V /的组(步骤S11107)。如果在第二列表存储部11110中没有存储(V 1； V ,’)的情况下，不进行该步骤S11107的处理，进行下一个步骤S11108的处理。在有成为u /=V /的组的情况下，进至步骤SlllH0在没有成为u /=V /的组的情况下，进至步骤S11108。
在步骤SI 1 108中，第二计算部11108根据第二输出信息ζ生成计算结果V ,=f , (λ t ) a(l} X , ；2o运算结果V ,发送到第二幂乘计算部11109 (步骤S11108)。
第二幂乘计算部11109计算V /=V严1)。计算结果V t和基于该计算结果计算出的V /的组(V 1； V /)被存储到第二列表存储部11110 (步骤S11109)。
判定部11111在存储于第一列表存储部11107的组(u t，u /)和存储于第二列表存储部11110的组(V 1； V /)中，判定是否有成为u Z=V /的组(步骤S11110)。在有成为u /=V , ’的组的情况下,进至步骤SI 1114。在没有成为u / = V , ’的组的情况下，进至步骤Slllll。
在步骤Slllll中，控制部11113判定是否为K1 (步骤Slllll)。T ,是预先决定的自然数。如果是t t =T ,，则最终输出部11112输出无法进行计算的意旨的信息例如为符号“丄”(步骤S11113)，并结束处理。如果不是t t =T ,，则控制部11113将扒增加1，即设为t丨=t t + 1(将扒+1设为新的扒)(步骤S11112)，返回到步骤S11103。
无法进行计算的意旨的信息(在该例子中为符号“丄”)意味着能力提供装置112-1准确地进行计算的可靠度小于由T1决定的基准。换言之，意味着在T1次的重复中无法进行准确的运算。
在步骤S11114中，最终输出部11112使用与判定为u / = V /的u /和V /对应的U t和V ,，计算u广’ (1) V广’ (1)并进行输出(步骤S11114)。如此计算出的u广’ (1) V广’ (1)以高的概率成为通过特定的解码密钥s t对密码文λ t进行了解码后的解码结果f ,(A1)(在后面叙述以高的概率成为u广’ (1) V广(ι) = f t (λ J的理由)。因此，将上述的处理重复多次，将在步骤S11114中得到的值中频度最高的值设为解码结果f , (λ J即可。如后所述，根据设定以绝对的概率成为u广’(1) V /’(i) = f t(λ J0在该情况下，可以将在步骤S11114中得到的值直接设为解码结果f t (λ J0
通过对各t = 1，...，ω分别执行以上的处理从而得到的各解码结果f t(A1)被输入到复元部11100。复元部11100使用关于各t = 1，...，ω的f t (A1)=U /’(1) V (1)，进行仅在全部得到通过解码密钥s ,对关于各t =1，...，ω的密码文λ t进行解码而得到的解码值的情况下可复元的复元值的复元处理。例如，如果通过上述的《分散信息的例I》生成了分散信息，则复元部11100作为复元值m e s ’生成比特结合值f ! (A1) I * * * I f ω (λω)0例如，如果通过上述的《分散信息的例2》生成了分散信息，则复元部11100作为复元值me s ’生成各解码结果f i (A1),...，f ω(入u)的逻辑异或值。例如，如果通过上述的《分散信息的例3》生成了分散信息，则复元部11100使用与秘密分散方式对应的复元方法，根据各解码结果f i ( λ i)，...，f ω ( λ ω)生成复元值m e s ’。
在解码结果f ! (A1), * * * , f ω ( λ ω)全部准确的情况下，在复元部11100中得到的复元值m e s ’与消息m e s相等。另一方面，在解码结果f i ( X1),..., f ω(λ ω)全部错误的情况下，在复元部11100中得到的复元值m e s ’与消息m e s相等的概率小到能够忽略。
《以高的概率成为U广，(1)V广(D = f t U1)的理由》
在这里，为了表述的简略，省略t而进行说明。
将X设为在群G中取值的概率变量。将关于we G在每次接受请求时返回与按照概率变量X的样本X ’对应的W X ’的装置,称为关于W具有误差X的样本器(sampler)。
将关于W e G在每次提供自然数a时返回与按照概率变量X的样本x ’对应的w aX ’的装置，称为 关于W具有误差X的可随机化样本器(randomizable sampler)。可随机化样本器如果设为a=l而使用，则作为样本器发挥作用。
本实施方式的输入信息提供部11104和第一输出信息计算部11201和第一计算部11105的组合是关于f ( λ )具有误差X1的可随机化样本器(称为“第一可随机化样本器”)，输入信息提供部11104和第二输出信息计算部11202和第二计算部11108的组合是关于f ( λ )具有误差X2的可随机化样本器(称为“第二可随机化样本器”)。
发明人发现了如下情况:如果成立U ’ = V ’即成立ua = vb，则第一可随机化样本器准确地计算了 U = f ( λ )b并且第二可随机化样本器准确地计算了 V = f ( λ )a (X i和X 2是群G的单位元e g)的可能性高。从简化说明的观点出发，通过第十一实施方式进行该证明。
在第一可随机化样本器准确地计算了 u = f ( λ )b并且第二可随机化样本器准确地计算了 v = f (入广时(乂 jPx 2为群G的单位元e g时),成为U b’ V a’ = ( f ( λ ) bX i)b，(f ( λ )a X 2)a，=(f ( λ )b e g)b，(f ( λ )a e g)a，= f ( λ )bb，e gb，f ( λ )aa， e g3，= f (入)(bb，+aa, ) = f (入)。
关于(q 1； q 2) e I，将对于i = 1、2的各个的函数n i定义为^ Cq^q2) =q i。进而，设为L =m i η (# Ji i (S), # π 2 (S))。#.是集合.的位数。在群G为巡回群或者难以计算位数的群时，计算装置111输出“丄”以外时的输出不是f ( λ )的概率能够期待为在能够忽略的程度的误差的范围内至多T 2 L / #S左右。如果L / #S为能够忽略的量且T为多项式量级程度的量，则计算装置111以绝对的概率输出准确的f , ( λ )。L /#s成为能够忽略的量的S的例子中，例如具有S = {(1，d) I d e [2，I G I — I]}。
<解码控制处理>
下面，说明本方式的解码控制处理。
在解码控制装置113控制计算装置111的解码处理的情况下，解码控制装置113对所有的能力提供装置112- ι输出用于控制计算装置111的解码处理的解码控制命令。输入了解码控制命令的能力提供装置112 — ι按照所输入的解码控制命令，控制第一输出信息Z 1;1和第二输出信息Z 1>2的两方的输出的有无。如果没有提供第一输出信息Z 1;1和第二输出信息Z，则计算装置111无法对密码文λ ,进行解码。因此，通过控制第一输出信息ζ ιΛ和第二输出信息ζ的两方的输出的有无，从而能够控制计算装置111的解码能力。以下，例示解码处理的控制方法。
《解码处理的控制方法的例I》
在解码处理的控制方法的例I中，解码控制命令包括用于限制计算装置111的解码能力的解码限制命令c O mI— I。在解码限制命令c Om1- ι被输入到能力提供装置112 — ι的控制部11205 — ι的情况下，控制部11205 — ι禁止第一输出信息ζ 1；1和第二输出信息ζ 1>2的两方的输出。
在限制计算装置111的解码能力的情况下，解码控制装置113 (图21)的控制命令部11302关于所有的ι输出解码限制命令c Om1- ι。解码限制命令c Om1- ι从输出部11303输出到能力提供装置112 — ι。
能力提供装置112 - ι (图20)的控制部11205 — ι判断是否输入了解码限制命令c omi — ι ,在解码限制命令c Om1-1没有输入到控制部11205 — ι的情况下，不进行解码控制处理 。另一方面，在解码限制命令c Om1-1被输入到控制部11205 —ι的情况下，控制部11205 — ι进行禁止第一输出信息ζ ιΛ和第二输出信息ζ 1;2的两方的输出的控制(解码限制模式)。
在解码限制模式中，控制部11205 — ι禁止第一输出信息计算部11201 — ι的第一输出信息ζ t Λ的输出和第二输出信息计算部11201 — ι的第二输出信息ζ 1>2的输出的两方。用于禁止第一输出信息ζ , 和/或第二输出信息ζ的输出的控制的一例是，虽然不禁止第一输出信息ζ ιΛ和/或第二输出信息ζ 1;2的生成但禁止这些的输出的控制。用于禁止第一输出信息ζ ιΛ和/或第二输出信息ζ的输出的控制的其他的例子是，代替第一输出信息Z , Λ和/或第二输出信息Z 1>2而输出模型(du_y)信息的控制。其中，模型信息的例子是，随机数即不依赖于其他的密码文λ t的信息。用于禁止第一输出信息ζ ιΛ和/或第二输出信息ζ 1;2的输出的控制的其他的例子是，禁止第一输出信息ζ 1;1和/或第二输出信息ζ的生成本身的控制。在进行禁止第一输出信息ζ 1;1和/或第二输出信息ζ 1;2的生成本身的控制的情况下，可以对第一输出信息ζ ιΛ和/或第二输出信息Z的生成所需的信息进行无效或者删除，也可以不进行。例如，可以对在密钥存储部11204 — I中存储的解码密钥s ,进行无效或删除，也可以不进行。
在禁止第一输出信息ζ 1;1和第二输出信息ζ 1>2的两方的输出的情况下,能力提供装置112 — ι在步骤S11203中不输出第一输出信息ζ 1;1和第二输出信息ζ的两方。因此，计算装置111无法在步骤S11104中取得第一输出信息ζ ιΛ和第二输出信息Z的两方，无法计算运算结果U ,和￥ ,，因此无法得到准确的解码结果f t (A)0在关于所有的I没有得到准确的解码结果f , (λ)的情况下，在复元部11100中得到的复元值me s’与消息me s相等的概率小到能够忽略。由此，能够限制计算装置111的解码能力。
《解码处理的控制方法的例2》
在解码处理的控制方法的例2中，解码控制命令包括用于开放计算装置111的解码能力的限制的解码开放命令c Om2-1 ,在解码开放命令c Om2-1输入到能力提供装置112 — ι的控制部11205 — ι的情况下，控制部11205 — ι许可第一输出信息ζ 1;1和第二输出信息ζ 1;2的至少一方的输出。例如，在通过解码处理的控制方法的例I禁止了第一输出信息Z 1;1和第二输出信息Z ,，2的两方的输出之后,再次许可第一输出信息ζ ιΛ和第二输出信息Z 1;2的输出的情况下，进行解码处理的控制方法的例2。这时，在无效或删除了第一输出信息ζ u和/或第二输出信息ζ t，2的生成所需的信息的情况下，也可以在解码开放命令c Om2 — ι中包含该信息，将该信息重新设定到能力提供装置112 — t。此外，例如也可以在在初始状态下禁止了第一输出信息ζ ιΛ和第二输出信息ζ 1;2的两方的情况下，许可第一输出信息ζ ιΛ和第二输出信息ζ 1;2的输出时，进行解码处理的控制方法的例2。
在开放计算装置111的解码能力的限制的情况下，解码控制装置113 (图21)的控制命令部11302关于所有的ι输出解码开放命令c O m 2 — ι。解码限制命令c O m 2 —ι从输出部11303输出到能力提供装置112 — ι。
能力提供装置112 — ι (图20)的控制部11205 — ι判断是否输入了解码开放命令c O m 2 — I，在解码开放命令c O m 2 — ι没有输入到控制部11205 — ι的情况下，不进行解码控制处理。另一方面，在解码开放命令c Om2- ι被输入到控制部11205 —ι的情况下，控制部11205 — ι进行许可第一输出信息ζ ιΛ和第二输出信息ζ 1;2的两方的输出的控制(解码许可模式)。
在许可第一输出信息ζ 1;1和第二输出信息ζ 1;2的两方的输出的情况下，能力提供装置112 — ι在步骤S11203中输出第一输出信息ζ 1;1或第二输出信息ζ的两方。因此，计算装置111能够在步骤S11104中取得第一输出信息ζ 1;1或第二输出信息ζ 1;2的两方，能够计算运算结果u ,或￥ ,，因此能够以高的概率得到解码结果。由此，能够开放计算装置111的解码能力的限制。
《解码处理的控制方法的例3》
在解码处理的控制方法的例1，2中，各解码控制命令对应于其中一个t (对应于解码函数f J，能力提供装置112 — ι的控制部11205 — ι控制与解码控制命令对应的(对应于与解码控制命令对应的解码函数f J第一输出信息ζ ιΛ和第二输出信息ζ 1；2的全部的输出的有无。但是，也可以是，解码控制命令对应于多个ι，能力提供装置112 —I的控制部11205 — I控制与解码控制命令对应的第一输出信息Z 1;1和第二输出信息ζ的输出的有无。
第八实施方式
第八实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下，以与第七实施方式不同的部分为中心进行说明，对于解码控制处理等共同的部分省略重复说明。在以下的说明中，设为附加了相同的参考标号的部分具有相同的功能，附加了相同的参考标号的步骤表示相同的处理。
< 结构 >
如图18所例示，在第八实施方式的代理计算系统102中，计算装置111被置换为计算装置121，能力提供装置112 — 1，...,112- Γ被置换为能力提供装置122 —1，...，122 — Γ 。
如图19所例示，第八实施方式的计算装置121例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部12104、第一计算部12105、第一幂乘计算部11106、第一列表存储部11107、第二计算部12108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112和控制部11113。如图22所例示，本方式的输入信息提供部12104例如具有第一随机数生成部12104a、第一输入信息计算部12104b、第二随机数生成部12104c和第二输入信息计算部12104d。
如图20所例示，第八实施方式的能力提供装置122—1 ( ι = I,..., ω> ω是2以上Γ以下的整数)例如具有第一输出信息计算部12201 - ι、第二输出信息计算部12202 - ι、密钥存储部11204 — ι和控制部11205 — I。在存在能力提供装置122 —(ι + 1)，..* ,122- Γ的情况下，这些结构与能力提供装置122 - ι相同。
<解码处理>
下面，说明本方式的解码处理。在第八实施方式中，将解码函数f t设为准同型函数，将群H设为巡回群，将群H的生成元设为μ、h，将群H的位数设为K u，并且设为V1=f ,(μ^)。解码函数f ,为准同型函数的例子是R S A密码等。其他的前提，除了计算装置111被置换为计算装置121、能力提供装置112 — 1，...，112 — Γ被置换为能力提供装置122 — I,..., 122 — Γ以外,与第七实施方式相同。
如图25和图26所例示，在第八实施方式的处理中，第七实施方式的步骤S11103 S11105、S11108、S11200 S11203 分别被置换为步骤 S12103 S12105、S12108、S12200 S12203。在以下，仅说明步骤 S12103 S12105, S12108, S12200 S12203 的处理。
《步骤Sl2IO3的处理》
计算装置121(图19)的输入信息提供部12104生成并输出与所输入的密码文入，分别对应的第一输入信息τ ιΛ和第二输入信息τ 12(图25/步骤S12103)。以下，使用图27来说明本方式的步骤S12103的处理。
第一随机数生成部12104a (图22)生成O以上且小于Kt，H的自然数的普通随机数r ( ι，1)。所生成的随机数r ( ι，I)被发送到第一输入信息计算部12104b和第一计算部12105 (步骤S12103a)。第一输入信息计算部12104b使用所输入的随机数r ( ι，1)和密码文λ t和自然数b ( ι )，计算第一输入信息τ u = μ J(U)A /(1)(步骤S12103 b )。
第二随机数生成部12104c生成O以上且小于&的自然数的普通随机数K ι，2)。所生成的随机数r ( ι，2)被发送到第二输入信息计算部12104d和第二计算部12108 (步骤S12103C)。第二输入信息计算部12104d使用所输入的随机数r ( ι，2)和密码文λ (和自然数 a ( ι )，计算第二输入信息 τ 1 2= μ t,hr(l'2)A ta(l)(步骤 S12103d)。
第一输入信息计算部12104b和第二输入信息计算部12104d输出如上所述生成的第一输入信息τ 1;1和第二输入信息τ , ,2 (步骤S12103e)。另外,本方式的第一输入信息τ ιΛ和第二输入信息τ 1;2为分别通过随机数r ( ι，1)，r ( ι ,2)将与密码文λ t的关系搅乱的信息。由此，计算装置122 — ι能够对能力提供装置122 — ι隐蔽密码文λ本方式的第一输入信息τ 1;1进而对应于在自然数选择部11102中选择的自然数b ( ι )，第二输入信息τ 1;2进而对应于在自然数选择部11102中选择的自然数a ( ι )。由此，计算装置121能够以高精度评价从能力提供装置122 — ι提供的解码能力。
《步骤S12200 S12203的处理》
如图26所例示，首先，第一输入信息τ ι1= μ t1 ’ λ t b(1)输入到能力提供装置122 — ι (图20)的第一输出信息计算部12201 — ι ,第二输入信息τ ι;2 = μ , ；hr(l ,2)入广(1)输入到第二输出信息计算部12202 - ι (步骤S12200)。
第一输出信息计算部12201 — ι使用第一输入信息τι;1= μ l；hr(l,1)A tb(l)和在密钥存储部11204 — ι中存储的解码密钥s ,，以大于某一概率的概率准确计算f ,(μ 严1))，将得到的计算结果设为第一输出信息ζ ιΛ。该计算结果既存在准确的情况也存在不准确的情况。即，第一输出信息计算部12201 — ι中的计算结果既存在成Sf , (μ ,/(1'1) λ严1))的情况，也存在没有成为f t (μλ/⑴)的情况(步骤512201)。
第二输出信息计算部12202 — ι使用第二输入信息τι2= μ l；hr(l,2) λ ta(l)和在密钥存储部11204 — ι中存储的解码密钥s ,，以大于某一概率的概率准确计算f ,(μ ,/(M) λ/1))，将得到的计算结果设为第二输出信息Z、2。该计算结果既存在准确的情况也存在不准确的情况。即，第二输出信息计算部12202 — I中的计算结果既存在成Sf , (μ 'f1’2) λ/1))的情况，也存在没有成为f t (μ'f1’2) λ /1))的情况(步骤512202)。
第一输出信息计算部12201-ι输出第一输出信息z、i，第二输出信息计算部12202- ι输出第二输出信息Z1，2 (步骤S12203)。
《步骤S12104和S12105的处理》
返回到图25，第一输出信息zl;1输入到计算装置121(图19)的第一计算部12105，第二输出信息ζ 1;2输入到第二计算部12108。这些第一输出信息ζ ιΛ和第二输出信息ζ t,2相当于从能力提供装置122-t对计算装置121提供的解码能力(步骤S12104)。
第一计算部12105使用所输入的随机数r ( ι，I)和第一输出信息ζ 1;1来计算ζ ιΛ V厂…’1)，并且将该计算结果设为u 10计算结果U1发送到第一幂乘计算部11106。这里，成为 U t =Z 1;1 V 厂1^1’1) = f , ( λ t )b(l) X 1;1。BP, Z l;1 V 厂1^1’1)成为关于 f t(入J具有误差X u的可随机化样本器的输出。在后面叙述其理由(步骤S12105)。
《步骤S12108的处 理》
第二计算部12108使用所输入的随机数r ( ι，2)和第二输出信息ζ , ,2，计算Z UV1K1'2)并将该计算结果设为V 10计算结果V1发送到第二幂乘计算部11109。这里，成为 V , = ζ , ,2 V ^1’2) = f t ( λ t ) a(l) X l;2。BP, Z l;2 V 厂1^1’2)成为关于 f t(λ J具有误差X的可随机化样本器的输出。在后面叙述其理由(步骤S12108)。
《ζ、广,1’1)。t,2v J(1’2)成为关于f t (λ J分别具有误差X tl、X 12的可随机化样本器的输出的理由》
将c设为自然数，将R设为随机数，将能力提供装置122使用μ 进行的计算的计算结果设为B (yhK λ 3。S卩，将第一输出信息计算部12201 — ι和第二输出信息计算部12202 — ι返回给计算装置121的计算结果设为Z=B (yhK λ 3。进而，将在群G中取值的概率变量X定义为X = B ( μ hK’)f ( μ hK’)'
这时，成为ζ V -R = B ( μ hK λ c) f ( μ h)_K = Xf(yhKAc)f(y h)_K = X f ( μ h)K f (λ)ε f Uh)_K=f (λ)εΧ。g卩，ζ V _K成为关于f (λ)具有误差X的可随机化样本器的输出。
在上述式展开中，使用X= B ( yhK’)f ( μ hE> ) =B ( yhKAc) f ( μ^λ。)—1，B(yhEAc) =X f (yhEAc)的性质。该性质基于函数f\为准同型函数，R为随机数。
因此,如果考虑a ( ι )、b ( ι )为自然数，r ( ι , I)、r ( ι ,2)为随机数,则同样地，Z qVjd'z li2v Jd’2)成为关于f ( (λ J分别具有误差X tl、x 12的可随机化样本器的输出。
第九实施方式
第九实施方式是第八实施方式的变形例，在a ( ι )=1或b ( ι )=1时，通过上述的样本器计算u t ,的值。一般，样本器的计算量比可随机化样本器小。在a( t )=1或b ( ι )=1时，代替可随机化样本器而由样本器进行计算，从而能够减小代理计算系统的计算量。以下，以与第七实施方式和第八实施方式不同的部分为中心进行说明，对于解码控制处理等共同的部分省略重复说明。
< 结构 >
如图18所例示，在第九实施方式的代理计算系统103中，计算装置121被置换为计算装置131，能力提供装置122 — 1，...,122- Γ被置换为能力提供装置132 —1，...，132 — Γ 。
如图19所例示，第九实施方式的计算装置131例如具有:自然数存储部11101、自然数选择部11102、 整数计算部11103、输入信息提供部12104、第一计算部12105、第一幂乘计算部11106、第一列表存储部11107、第二计算部12108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112、控制部11113和第三计算部13109。
如图20所例示，第九实施方式的能力提供装置132 — ι例如具有第一输出信息计算部12201 - ι、第二输出信息计算部12202 — ι、密钥存储部11204 — ι、控制部11205 — ι和第二输出信息计算部13203 — ι。
<解码处理>
下面，说明本方式的解码处理。说明与第八实施方式的不同点。
如图25和图26所例示，在第九实施方式的处理中，第八实施方式的步骤S12103 S12105、S12108、S12200 S12203 分别被置换为步骤 S13103 S13105、S13108、S12200 S12203 和 S13205 S13209。在以下，以步骤 S13103 S13105, S13108, S12200 S12203和S13205 S13209的处理为中心进行说明。
《步骤S13103的处理》
计算装置131(图19)的输入信息提供部13104生成并输出与所输入的密码文入，分别对应的第一输入信息τ ιΛ和第二输入信息τ 1；2 (图25/步骤S13103)。
以下，使用图27来说明本方式的步骤S13103的处理。
控制部11113 (图19)根据在自然数选择部11102中选择的自然数(a ( ι )，b(ι ))来控制输入信息提供部13104。
在控制部11113中判定b是否为I (步骤S13103a)，在判定为b古I的情况下，执行上述的步骤S12103a和S12103b的处理，进至步骤S13103g。
另一方面，在步骤S13103a中判定为b( ι )=1的情况下，第三随机数生成部13104e生成O以上且小于K1，H的自然数的随机数r ( I，3)。所生成的随机数r ( ι，3)被发送到第三输入信息计算部13104f和第三计算部13109 (步骤S13103b)。第三输入信息计算部13104f使用所输入的随机数r ( ι，3)和密码文λ t来计算λ t (1’3)，将其设为第一输入信息τ 1；1 (步骤S13103c)。之后，进至步骤S13103g。
在步骤S13103g中，在控制部11113中判定a ( ι )是否为I (步骤S13103g)，在判定为a ( ι )关I的情况下，执行上述的步骤S12103c和S12103d的处理。
另一方面，在步骤S13103g中判定为a( ι )=1的情况下，第三随机数生成部13104e生成O以上且小于Kt，H的自然数的随机数r ( I，3)。所生成的随机数r ( ι，3)被发送到第三输入信息计算部13104f (步骤S13103h)。第三输入信息计算部13104f使用所输入的随机数r ( ι，3)和密码文λ t来计算λ /1，3)，将其设为第二输入信息τ 12 (步骤S13103i)o
第一输入信息计算部12104b、第二输入信息计算部12104d和第三输入信息计算部13104f将如上所述生成的第一输入信息τ 1;1和第二输入信息τ 1;2与所对应的自然数(a ( ι )、b ( ι ))的信息一起输出(步骤S13103e)。另外，本方式的第一输入信息τ 1;1和第二输入信息τ 1;2为分别通过随机数r ( ι ,1)> r ( ι，2)、r ( ι，3)将与密码文λ t的关系搅乱的信息。由此，计算装置131能够对能力提供装置132 — ι隐蔽密码文λ
((S12200 S12203 和 S13205 S13209 的处理》
以下，使用图26来说明本方式的S12200 S12203和S13205 S13209的处理。
控制部11205 - ι (图20)根据所输入的自然数(a ( ι ), b ( ι ))，控制第一输出信息计算部12201 — ι、第二输出信息计算部12202 — ι、和第三输出信息计算部13203 —I O
基于控制部11205 — ι的控制，b ( ι )关I时的第一输入信息τ ι ;1= μ l；hr(l'1)λ广(1)输入到能力提供装置132 - ι (图20)的第一输出信息计算部12201 — ι , a ( ι )关I时的第二输入信息τ 1;2= μ l；hr(l,2) λ ι)输入到第二输出信息计算部12202 — ι。在b ( t ) = I时的第一输入信息T11= λ 或a ( t ) = I时的第二输入信息τ 12=λ ^1’3)被输入到第三输出信息计算部13203 — ι (步骤S13200)。
在控制部11113中判定b ( ι )是否为I (步骤S13205)，在判定为b ( ι )关I的情况下，执行上述的步骤S12201的处理。之后，在控制部11113中判定a是否为I (步骤S13208)，在判定为a I的情况下，执行上述的步骤S12202的处理，进至步骤S13203。
另一方面，在步骤S13208中判定为a ( ! ) = I的情况下，第三输出信息计算部13203 - ι使用第二输入信息τι2= λ以大于某一概率的概率准确地计算f t(λ J(1，3))，将得到的计算结果设为第三输出信息ζ 13。该计算结果既存在准确的情况也存在不准确的情况。即，第三输出信息计算部13203 — ι中的计算结果既存在成为f ,(λ 的情况，也存在没有成为f t (λ 的情况(步骤S13209)。之后，进至步骤 S13203。
在步骤S13205中判定为b ( ι ) = I的情况下，第三输出信息计算部13203 — ι使用第二输入信息τι;1= λ以大于某一概率的概率准确地计算f t (λ (Γ(ι.3)),将得到的计算结果设为第三输出信息ζ、3。该计算结果既存在准确的情况也存在不准确的情况。即，第三输出信息计算部13203 — ι中的计算结果既存在成为f , (λ的情况，也存在没有成为f , ( λ 的情况(步骤S13206)。
之后，在控制部11113中判定a ( ι )是否为I (步骤S13207)，在判定为a ( ι )=1的情况下进至步骤S13203，在判定为a ( ι ) ^ I的情况下进至步骤S12202。
在步骤S13203中，生成了第一输出信息ζιΛ的第一输出信息计算部12201-ι输出第一输出信息ζ、”生成了第二输出信息ζ , ；2的第二输出信息计算部12202- ι输出第二输出信息ζ ,，2,生成了第三输出信息ζ ,，3的第三输出信息计算部12202- ι输出第三输出信息 ζι;3 (步骤 S13203)。
《步骤S13104和S13105的处理》
返回到图25，在控制部11113的控制下，第一输出信息ζ、i输入到计算装置131(图19)的第一计算部12105，第二输出信息ζ 1;2输入到第二计算部12108，第三输出信息ζ 1;3输入到第三计算部13109 (步骤S13104)。
如果b ( ι )古I,则第一计算部12105通过上述的步骤S12105的处理生成u ,,如果b ( t )= 1，则第三计算部13109计算z y/+’3)并将其计算结果设为u 10计算结果U1发送到第一幂乘计算部11106。这里,在b ( ι ) = I的情况下,成为u , =z , ；3/r(l ,3)=f , (λ t)x S卩，z y/+’3)成为关于f t (λ J具有误差X t,3的样本器。在后面叙述其理由(步骤S13105)。
《步骤S13108的处理》
如果a ( ιI，则第二计算部12108通过上述的步骤S12108的处理生成V1,如果a ( t ) = 1，则第三计算部13109计算ζ ,，3产(1’3)并将其计算结果设为v,。计算结果V1发送到第二幂乘计算部11109。这里,在a ( ι ) = I的情况下,成为V1 = z , ；3/r(l ,3)=f , (λ t)x S卩，z y/+’3)成为关于f t (λ J具有误差X t,3的样本器。在后面叙述其理由(步骤S13108)。
另外，在ζ y/+’3)的计算即ζ的幂乘根的计算困难的情况下，也可以如下计算u ,和/或V ,O第三计算部13109将随机数r ( ι，3)和基于该随机数r ( ι，3)计算出的ζ 1;3的组依次设为(a i，β J，( α 2，β 2)，…，(a m(l )，β m(l ))，…并存储到未图示的存储部。m( ι )是I以上的自然数。第三计算部13109也可以是,如果a ^ α2，…，a m(l)的最小公倍数为I,则将Y1, Y2,..., Yniil)设为整数并计算成为Y1Ct1+ Y2Q2H-----hYmO) aWl) = I 的 Y1, Y2,…，Ym(l)，并使用该 YpY2,…，Ym(l)来计算 IIi=/1) β Ji=将该计算结果设为u ,和/或V 10其中，在本申请中，将a设为第一字符，将β设为第二字符，将Y设为数字，在表述为a h的情况下，该β y意味着β γ即β的下标Y。
《zy/+’3)成为关于f t (λ J具有误差X t,3的样本器的理由》
将R和R’设为随机数，将能力提供装置132 — ι使用λκ进行的计算的计算结果设为Β(λκ)。即,将第一输出信息计算部12201 — ι、第二输出信息计算部12202 — ι和第三输出信息计算部13203 - ι返回给计算装置131的计算结果设为ζ = B ( λ κ)。进而，将在群G中取值的概率变量X定义为X = B ( λκ)1/κ f ( λ )'
这时，成为ζ 1/Ε = B ( λ Ε)1/Ε = X f ( λ )= f ( λ )X。gp，ζ ^成为关于 f ( λ )具有误差X的样本器。
在上述式展开中，使用X= B ( λκ)ιΛ f ( λΕ)-\Β ( λΕ)1/Ε = X f ( λ κ)的性质。该性质基于R和R’是随机数。
因此，如果考虑r ( t，3)为随机数，则同样地，ζ 1;31/1:(1’3)成为关于f ,(入，)具备误差X y的样本器。
第十实施方式
第十实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的其他例子。具体地，对如下的例子进行了具体化:H ,=G1XG ,、解码函数f t为E I G a m a I密码的解码函数，即对于解码密钥s ,和密码文λ t = ( c l ；1,C t，2)为f t (c l；1, C l；2)= C l；1.C l;2_sl时的第一可随机化样本器和第二可随机化样本器的例子。以下，以与第七实施方式不同的部分为中心进行说明，对于解码控制处理等共同的部分省略重复说明。
如图18所例示，在第十实施方式的代理计算系统104中，计算装置111被置换为计算装置141，能力提供装置112 — 1，...,112- Γ被置换为能力提供装置142 —1，...，142 — Γ 。
如图19所例示，第十实施方式的计算装置141例如具有:自然数存储部11101、自然数选择部11102、整数计算部11103、输入信息提供部14104、第一计算部14105、第一幂乘计算部11106、第一列表存储部11107、第二计算部14108、第二幂乘计算部11109、第二列表存储部11110、判定部11111、最终输出部11112和控制部11113。如图23所例示，本方式的输入信息提供部1410 4例如具有第四随机数生成部14104a、第五随机数生成部14104b、第一输入信息计算部14104c、第六随机数生成部14104d、第七随机数生成部14104e和第二输入信息计算部14104f。第一输入信息计算部14104c例如具有第四输入信息计算部14104ca和第五输入信息计算部14104cb，第二输入信息计算部14104f具有第六输入信息计算部14104fa和第七输入信息计算部14104fb。
如图20所例示，第十实施方式的能力提供装置142 — ι例如具有第一输出信息计算部14201 - ι、第二输出信息计算部14202 — ι、密钥存储部11204 — ι和控制部11205 - ι。在存在能力提供装置142 —( ι + 1)，...，42 — Γ的情况下，这些结构与能力提供装置142 — t相同。
<解码处理>
下面，说明本方式的解码处理。在第十实施方式中，群H t为群G t的直积群G t X G ,，群G ,为巡回群，密码文 λ t = (c l；1, c l；2) eH t, f t (c l；1, c l;2)为准同型函数，将群G t的生成元设为μ，将群G t的位数设为K Ci，对计算装置141和能力提供装置142 — ι事先设定对于相同的解码密钥s t的密码文(V t，W JeH ,和对该密码文进行了解码后的解码文f t (V1 ,WJ=Y1EG1的组，计算装置141和能力提供装置142 — ι能够利用该组。。
如图25和图26所例示，在第十实施方式的处理中，第七实施方式的步骤S11103 S11105、S11108、S11200 S11203 分别被置换为步骤 S14103 S14105、S14108、S14200 S14203。在以下，仅说明步骤 S14103 S14105, S14108, S14200 S14203 的处理。
《步骤S14103的处理》
计算装置141(图19)的输入信息提供部14104生成并输出与所输入的密码文入，=(c l；1, c、2)对应的第一输入信息τ 1;1和与密码文Xl=Cc l；1, c、2)对应的第二输入信息(图25 /步骤S14103)。以下，使用图28来说明本方式的步骤S14103的处理。
第四随机数生成部14104a (图23)生成O以上且小于Kt的自然数的普通随机数r ( ι，4)。所生成的随机数r ( ι，4)被发送到第四输入信息计算部14104ca、第五输入信息计算部14104cb和第一计算部14105 (步骤S14103a)。第五随机数生成部14104b生成O以上且小于K1,^的自然数的普通随机数r ( I，5)。所生成的随机数r ( ι，5)被发送到第五输入信息计算部14104cb和第一计算部14105 (步骤S14103b)。
第四输入信息计算部14104 c a使用在自然数选择部11102中选择的自然数b(ι )、密码文λ ,所包含的c t,2、和随机数r ( t，4)，计算第四输入信息c t,2b(l) W tr(l'4)(步骤S14103 C)。第五输入信息计算部14104 c b使用在自然数选择部11102中选择的自然数b ( ι )、密码文λ t所包含的c 1:1、和随机数r ( ι，4)、r ( ι，5)，计算第五输入信息 c l；1b(l) V /(ι’4)μ l；gr(l'5)(步骤 S14103d)。
第六随机数生成部14104d生成O以上且小于K1-的自然数的普通随机数r( ι，6)。所生成的随机数r ( ι，6)被发送到第六输入信息计算部14104fa、第七输入信息计算部14104fb和第二计算部14108 (步骤S14103e)。第七随机数生成部14104e生成O以上且小于Ke的自然数的普通随机数r ( ι ,7)0所生成的随机数r ( ι，7)被发送到第七输入信息计算部14104fb和第二计算部14108 (步骤S14103f)。
第六输入信息计算部14104f a使用在自然数选择部11102中选择的自然数a(ι )、密码文λ t所包含的c t,2、和随机数r ( ι，6)，计算第六输入信息c t,2a(l) W tr(l'6)(步骤S14103g)。第七输入信息计算部14104fb使用在自然数选择部11102中选择的自然数a ( ι )、密码文λ t所包含的c 1;1、和随机数r ( ι，6)、r ( ι，7)，计算第七输入信息c l；1a(l) V /(ι’6)μ l gr(l’7)(步骤 S14103h)。
第一输入信息计算部14104 c将如上生成的第四输入信息c l；2b(l) W /(1，4)和第五输入信息 c ιΛΜι) V匕，1’5)，作为第一输入信息 T11=U t,2b(l) W J(1’4)，c V /(ι’4)μ匕,1’5))而进行输出。第二输入信息计算部14104 f将如上生成的第六输入信息C ,/(1) W 和第七输入信息c l；1a(l) V (Γ(ι.6)μ '/(M)作为第二输入信息 τ l；2 =(c l；2a(l) W ^1’6)，c l；1a(l) V tr(l,6)y 1，/(1’7))进行输出(步骤314103 i )。
《步骤S14200 S14203的处理》
如图26所例示，首先，第一输入信息T11=U ,/1) W /(ι’4)，c ,,广)V,ι’4)μ '/(1'5))输入到能力提供装置142— I (图20)的第一输出信息计算部14201 —ι，第二输入信息 τ l;2 =(c l；2a(° W 丨小’6)，c l；1a(° V (Γ(ι.6)μ ,,/(1,7))输入到第二输出信息计算部14202 - ι (步骤S14200)。
第一输出信息计算部14201 — ι使用第一输入信息Tll = U l；2b(l) W tr(l'4),c Ubil) V /(ι’4) μ、^1’5))和在密钥存储部11204 — ι中存储的解码密钥s ,，以大于某一概率的概率准确地计算 f t (c l；1b(° V (Γ(ι.4)μ l；gr(l'5), C l；2b(° W ,i’4))，并将计算结果设为第一输出信息z q。该计算结果既存在准确的情况也存在不准确的情况。即，在第一输出信息计算部14201 — ι中的计算结果既存在成为f t (cV tr(l'4)μ t,gr(l'5), c t,^1) W 丨小’4))的情况，也存在没有成为 f t (c V tr(l'4)U t,gr(l'5),c l；2b(l) W /(l’4))的情况(步骤 S14201)。
第二输出信息计算部14202 — ι使用第二输入信息τ l；2 = (c l；2a(° W tr(l'6),c l；1a(l) V t κ1’6) μ '/(M))和在密钥存储部11204中存储的解码密钥s ,，以大于某一概率的概率准确地计算f t (c l；1a(° V /('.6)μ l；gr(l'7), C ,/(1) W ^1’6))，并将得到的计算结果设为第二输出信息ζ、2。该计算结果既存在准确的情况也存在不准确的情况。即，在第二输出信息计算部14202 — ι中的计算结果既存在成为f t (cV tr(l'6)μ t,gr(l'7), C丨/⑴W丨小’6))的情况，也存在没有成为f t (c丨/⑴V /(ι’6)μ、/(丨’7)，c l；2a(l) W Z1’6))的情况(步骤 S14202)。
第一输出信息计算部14201-ι输出第一输出信息z、i，第二输出信息计算部14202- ι输出第二输出信息Z1，2 (步骤S14203)。
《步骤S14104和S14105的处理》
返回到图25，第一输出信息zl;1输入到计算装置141(图19)的第一计算部14105，第二输出信息zl;2输入到第二计算部14108 (步骤S14104)。
第一计算部14105使用所输入的第一输出信息ζ 1;1和随机数r ( t，4)、r ( ι，5)，计算ζ u Y Γ (ι’4)μ并将该计算结果设为u t (步骤S14105)。计算结果!!，发送到第一幂乘计算部 11106。这里，成为u t = ζ 1；1 Y (-Γ(ι'4)μ l;g"(l'5) = f t(c l；1,c t,2)b(l) X t,10 即，Z γ ΓΓ(ι'4)μ 1,/(1』)成为关于『,(c C 丨，2)具有误差X u的可随机化样本器的输出。在后面叙述其理由。
《步骤S141 08的处理》
第二计算部14108使用所输入的第二输出信息ζ 1;2和随机数r ( t，6)、r ( t，7)，计算Z (,2 Y ,-(,>6)μ ,，厂(‘，7)并将该计算结果设为V 10计算结果V1发送到第二幂乘计算部 11109。这里，成为 V , =Z 1；2 Y ^r(l,6) μ l；g_r(l,7) = f , ( c l；1, c , 2) a(l)X t,2o 即，z Y Γ+’6、，,/(1'7)成为关于 f t (c、2)具有误差X t,2 的可随机化样本器的输出。在后面叙述其理由。
《ζ ιΛ Y ΓΓ( '4)μ ,,8"(1'5)> Z t,2 Y 厂小’6 ，:(1,7)成为关于 f t (c Uc、2)分别具有误差X ιΛ、Χ的可随机化样本器的输出的理由》
将c设为自然数，将R 1、R 2、R /和R 2’设为随机数，将能力提供装置142 — ι使用c !c V Ε1 μ gE2和c 2e W E1进行的计算的计算结果设为B ( c !c V Ε1 μ gE2, c 2C W E1)oSP，将第一输出信息计算部14201 — ι和第二输出信息计算部14202 — ι返回给计算装置141的计算结果设为ζ = B ( c ^Vei μ/2, c 2c WE1)0进而，将在群G中取值的概率变量 X 定义为X = B (V K1’ ygE2,,WE1,> f (V Ε1> μ/'Wku)'
这时，成为z Y _K1 μ g_K2 = B ( c !c V E1 μ gE2, C 2C W E1) Y _K1 μ , = X f ( c 广VE1ygE2, c 2C W E1) Y ^ μ, =X f (c 1； C 2)c f (V, W)E1 f ( Ug, e g)E2 Y _K1 μ ,=X f (c 1； c 2)c Y E1ygE2 Y _K1 μ ；E2 = f (c 1； c 2)c X0 即，Z Y -> ；E2 成为关于 f (x)具有误差X的可随机化样本器的输出。其中，e g是群G的单位元。
在上述式展开中，使用X=B (V K1’ ygE2>, WE1>) f (V Ε1> μ gK2’，W K1 ’)―1 = B(C !c V Ε1μ8Ε2, C 2C W E1) f ( C !c V Ε1μ8Ε2, C 2C W E1)> B ( c !c V Ε1μ8Ε2, C 2C W E1) =Xf ( c !c V E1 μ gE2, c 2C W E1)的性质。该性质基于R p R 2、R /和R 2’是随机数。
因此，如果考虑a( ι )、b( ι )为自然数，r( ι ,4)、r ( ι ,5)、r ( ι ,6)和 r(ι，7)为随机数，则同样地，ζ ιΛ Y ΓΓ(ι'4)μ t,；r(l'5), z t,2 Y rr(l'6)u t,；r(l'7)成为关于f , ( c l ；1, c 1>2)分别具有误差X , X ,的可随机化样本器的输出。
第^^一实施方式
在上述的第七至第十实施方式中，在计算装置的自然数存储部11101中存储多种互质的2个自然数a ( ι )、b ( ι )的组(a ( ι ), b ( ι )),使用这些组(a ( ι ), b ( ι ))来执行各处理。但是，a ( ι ),b ( ι )的一方也可以是常数。例如，可以将a ( ι )固定为1，也可以将b ( ι )固定为I。也可以是，按每个^，自然数a ( ι ),b ( ι )的不同的一方为常数。换而言之，第一可随机化样本器或第二可随机化样本器的一方可以置换为样本器。在a ( t )、b ( t )的一方为常数的情况下，不需要进行对设为常数的a ( t )或b ( t )进行选择的处理，各处理部无需被输入设为常数的a ( t )或b ( t )，能够将其作为常数进行计算。在设为常数的a ( ι )或b ( ι )为I的情况下,不使用a ’( ι )或b ’( ι ),能够将f , (A1) = U 广，(1) V 广⑴作为 f t (A1) = V ,或『t (A1) = U t 而得到。
第十一实施方式是这样的变形的一例，是将b ( ι )固定为1、第二可随机化样本器被置换为样本器的方式。以下，以与第七实施方式不同的部分为中心进行说明，对于解码控制处理等与第七实施方式共同的事项省略说明。第一可随机化样本器和样本器的具体例也与在第八实施方式至第十实施方式中说明的相同，因此省略说明。
< 结构 >
如图18所例示，在第i^一实施方式的代理计算系统105中，第七实施方式的计算装置111被置换为 计 算装置151，能力提供装置112 — 1，...，112— Γ被置换为能力提供装置 152 — 1，...，152 — Γ。
如图29所例示，第i^一实施方式的计算装置151例如具有:自然数存储部15101、自然数选择部15102、输入信息提供部15104、第一计算部15105、第一幂乘计算部11106、第一列表存储部11107、第二计算部15108、第二列表存储部15110、判定部15111、最终输出部15112和控制部11113。
如图20所例示，第十一实施方式的能力提供装置152 — ι例如具有第一输出信息计算部15201 — ι、第二输出信息计算部15202 — ι、密钥存储部11204 — ι和控制部11205 - ι。在存在能力提供装置152 —( ι + 1)，...，52 — Γ的情况下，这些结构与能力提供装置152 — t相同。
<解码处理>
下面，说明本方式的解码处理。作为解码处理的前提，将G t,H t设为群(例如为可交换群)，将f , (λ J设为用于通过特定的解码密钥S ,对作为群H t的元的密码文入，进行解码而得到群G t的元的解码函数，将群G t,H t的生成元分别设为μ t，g、μ t,h,将X l;1、X 1;2设为在群G t中取值的概率变量，将概率变量X 1;1的实现值设为X 1;1，将概率变量X 1;2的实现值设为X l;2o计算装置151的自然数存储部15101中存储有多个种类的自然数a ( ι )。
如图30所例示，首先，计算装置151 (图29)的自然数选择部15102随机地从在自然数存储部15101中存储的多个自然数a ( ι )读入I个自然数a ( ι )。所读入的自然数a ( ι )的信息被发送到输入信息提供部15104和第一幂乘计算部11106 (步骤S15100)。
控制部 11113 设为 t,=l (步骤 SI 1102)。
输入信息提供部15104生成并输出与所输入的密码文λ t分别对应的第一输入信息τ ιΛ和第二输入信息τ 20优选为,第一输入信息τ 1;1和第二输入信息τ为分别将与密码文λ t的关系搅乱的信息。由此，计算装置151能够对能力提供装置152 — ι隐蔽密码文λ ι0优选为，本方式的第二输入信息τ 1;2进而对应于由自然数选择部15102选择的自然数a(t)。由此，计算装置151能够以高精度评价从能力提供装置152 — ι提供的解码能力(步骤S15103)。第一输入信息τ u和第二输入信息τ的组合的具体例子是，第八实施方式至第十实施方式的任何一个的设为b ( ι )=1的第一输入信息τ ι Λ和第二输入信息τ , ,2的组合。
如图26所例示，第一输入信息τ 1；1输入到能力提供装置152 — ι (图20)的第一输出信息计算部15201 — ι，第二输入信息τ ,，2输入到第二输出信息计算部15202 —ι (步骤 S15200)。
第一输出信息计算部15201 — ι使用第一输入信息τι;1和在密钥存储部11204 - ι中存储的解码密钥S1，以大于某一概率的概率准确地计算f , ( τ 1;1)，将得到的计算结果设为第一输出信息ζ 1；1 (步骤S15201)。第二输出信息计算部15202 — ι使用第二输入信息τ 1;2和在密钥存储部11204 — ι中存储的解码密钥S1，以大于某一概率的概率准确地计算f ,( τ 12)，将得到的运算结果设为第二输出信息ζ(步骤S15202)。SP，第一输出信息计算部15201 — ι和第二输出信息计算部15202 — ι输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部15201 — ι的计算结果既有是f ,(τ ιΛ)的情况也有不是f t ( τ t 的情况，第二输出信息计算部15202 — ι的计算结果既有是f , ( τ、2)的情况也有不是f t (τι 2)的情况。第一输出信息ζιΛ和第二输出信息Ζι，2的组的具体例子是，第八实施方式至第十实施方式的任何一个的设为b( ι )=1的第一输出信息Z1J和第二输出信息ζ ,，2的组。
第一输出信息计算部15201-ι输出第一输出信息z、i，第二输出信息计算部15202- ι输出第二输出信息Z1，2 (步骤S15203)。
返回到图30，第一输出信息zl;1输入到计算装置151(图29)的第一计算部15105，第二输出信息ζ 1;2输入到第二计算部15108。这些第一输出信息ζ ιΛ和第二输出信息ζ t,2相当于从能力提供装置152-t对计算装置151提供的解码能力(步骤S15104)。
第一计算部15105根据第一输出信息ζ 1;1生成运算结果u , = f , ( λ t ) x l lo运算结果U1的具体例是，第八实施方式至第十实施方式的任何一个的设Sbl=I的运算结果U,。运算结果U1发送到第一幂乘计算部11106 (步骤S15105)。
第一幂乘计算部11106计算u / = U /1)。计算结果u t和基于该计算结果计算出的U /的组(u t, u /)被存储到第一列表存储部11107 (步骤S11106)。
第二计算部15108根据第二输出信息z t,2生成运算结果V t = f t (λ t)a(l)X t,20运算结果V t的具体例是，第八实施方式至第十实施方式的任何一个的运算结果V运算结果V t被存储到第二列表存储部15110 (步骤S15108)。
判定部15111在存储于第一列表存储部11107的组(u t，u /)和存储于第二列表存储部15110的组V t中，判定是否有成为u /=V1的组(步骤S15110)。在有成为u /=V ,的组的情况下,进至步骤S15114。在没有成为u /=V1的组的情况下,进至步骤S11111。
在步骤Slllll中，控制部11113判定是否为K1 (步骤Slllll)。T ,是预先决定的自然数。如果是t t =T ,，则最终输出部15112输出无法进行计算的意旨的信息例如为符号“丄”(步骤S11113)，并结束处理。如果不是t t =T ,，则控制部11113将扒增加1，即设为t丨=t t + I (步骤S11112)，返回到步骤S15103。
在步骤S15114中，最终输出部15112输出与判定为u /=V ,的11 , ’对应的u ,(步骤S15114)。如此得到的u t相当于在第七实施方式至第十实施方式中设为b ( ι )=1时的u tb,(l) V广’(1)。S卩，如此得到的u ,成为以高的概率对密码文λ ,通过特定的解码密钥s ,进行了解码后的解码结果f t (λ J0因此，将上述的处理重复多次，将在步骤S15114中得到的值中频度最高的值设为解码结果f t (λ J即可。如后所述，根据设定以绝对的概率成为u t = f t (λ J0在该情况下，可以将在步骤S15114中得到的值直接设为解码结果f , (λ J0之后的处理，如在第七实施方式中说明的那样。
《关于得到解码结果f, ( λ ,)的理由》
下面，说明在本方式的计算装置151中得到解码结果f , ( λ ,)的理由。这里，为了表述的简略，省略ι而进行说明。首先，定义在说明中所需的事项。
黑盒子(black-box):
f ( τ )的黑盒子F ( τ )意味着，将τ e H作为输入而输出z e G的处理部。在本方式中，第一输出信息计算部15201和第二输出信息计算部15202分别相当于解码函数f ( τ )的黑盒子F ( τ )。将对于从群H中任意选择的元τ e υ H和Z=F(T)满足ζ=f ( τ )的概率大于 δ (O < δ 刍 I)时、即满足 P r [ ζ = f ( τ ) | τ GuH7Z=F(τ )]> δ...(8)的 f ( τ )的黑盒子 F ( τ )称为，可靠度 δ ( δ-reliable)的 f ( τ )的黑盒子F(t)。其中，δ是正的值，相当于上述的“某一概率”。
自身改正器(self-corrector):
自身改正器C F ( λ )意味着，将λ GH设为输入，使用f ( τ )的黑盒子F ( τ )进行计算而输出j e G U丄的处理部。在本方式中，计算装置151相当于自身改正器C F(入)。
殆自身改正器(almostself-corrector):
假定自身改正器C F ( λ )将λ e H作为输入且使用可靠度δ的f ( τ )的黑盒子F ( τ )来输出准确的值j = f ( λ )的概率充分大于输出错误的j Φ f ( λ )的概率的情况。即，假定满足式(9)的情况。
P r [ j = f ( λ ) I j =C F ( λ )，j 关丄]
> P r [ j 关 f ( λ ) I j = C F ( λ )，j 关丄]+ Λ …(2)另外，Λ 是某一正的值(0< Δ <1)。在如此的情况下，自身改正器CfU)称为殆自身改正器。例如，对于某一正的值Λ’(O < Λ’ < 1)，满足
pr[j=f(A) |j=CFU )]>(! / 3)+ Λ，
Pr[j=丄 |j=CFU)]<l/3
P r [ j 关 f ( λ )且 j 关丄 I j = C F ( λ )] < I / 3
的情况下，自身改正器C F ( λ )是殆自身改正器。Λ ’的例子是Λ ’ = I / 12或I / 3ο
强自身改正器(robustself-corrector):
假定自身改正器C F ( λ )将λ e H作为输入且使用可靠度δ的f ( τ )的黑盒子F ( τ )来输出准确的值j = f ( λ )或j=丄的概率为绝对的情况。即，对于能够忽略的误差ξ (O ^ ξ < 1)，满足
Pr[j=f(A)或者 j =丄 | j = Cf ( λ )] > I — ξ...(10)
的情况。在如此的情况下，自身改正器Cf(X)称为强自身改正器。另外，能够忽略的误差ξ的例子是，安全参数k的函数值ξ (k)。函数值ξ (k)的例子是，对于任意的多项式P (k)关于充分大的k，{ ξ (k) p (k)}收敛于O的函数值。函数值ξ (k)的具体例是，ξ (k) = 2_k*€ (10 = 2-4 等。
能够从殆自身改正器构成强自身改正器。即，对于相同的λ执行多次殆自身改正器，将除了丄之外频度最高的输出值设为j，从而能够构成强自身改正器。即，对于相同的λ执行O ( I ο g (I / ξ ))次殆自身改正器，将频度最高的输出值设为j，从而能够构成强自身改正器。另外，0(.)表示O记法。
伪自由的(pseudo-free)的作用:
关于群G、自然数的集合Ω ={0，...，Μ} (Μ为I以上的自然数)、在群G中取值的概率变量X X 2的各实现值a e X α关e g)，β e X 2和a e Ω，对于成为a a =β的概率
Pr[aa=3 且 α 关eg I a ^ νΩ , a e X 17 β e X 2]...(11)
将对于所有可能的X ρ X 2的上限值称为组(G，Ω )的伪自由指标，将其表示为P(G，Ω)。在存在某一能够忽略 的函数ζ (k)，且
P (G, Ω ) < ζ (k)...(12)
的情况下，通过组(G，Ω)定义的运算是伪自由的作用。其中，「aa」意味着，对α作用a次在群G中定义的运算。能够忽略的函数ξ (k)的例子是，对于任意的多项式P ( k )关于充分大的k , { ξ ( k ) P ( k )}收敛于O的函数。函数ξ (k)的具体例是，ξ(k ) = 2^k ^ ξ (k) = 2Wk等。例如，对于安全参数k，式(11)的概率小于0 (2_k)的情况下，通过组(G，Ω)定义的运算是伪自由的作用。例如，关于任意的VaEG且α古e g，集合Q.a={a(a) I a e Ω }的元素数I Ω.α I超过2 k的情况下，通过组(G，Ω)定义的运算能够称为伪自由的作用。其中，a (α)表示对a和α作用规定的运算的结果。这样的具体例存在很多。例如，群G为将质数P作为法的剩余群Z / P Ζ，质数P为2k的量级，集合Ω = {0,...,p — 2}, a(a)为aaeZ / pZ且a g的情况下,成为Ω.α = { a a I a = 0,...,p — 2} = {e g, a1，...，a "}，并且是 I Ω.a | = p —I。由于质数P是2k的量级，因此存在某一常数C，如果k充分大则满足I Ω.α I >C2k。这里，式(11)的概率小于C _i2_k，通过这样的组(G，Ω)定义的运算是伪自由的作用。
可靠度δ γ ( δ Y-reliable)的可随机化样本器:
是在每次提供自然数a时使用可靠度δ的f (τ)的黑盒子F(t)，对于weG返回与按照概率变量X的样本X ’对应的W a X’的可随机化样本器，将W a X’ =W a的概率大于δ Y ( γ为正常数)即满足
P r [ w a X，= w a] > δ γ...(13)
的可随机化样本器称为可靠度δ、的可随机化样本器。本方式的输入信息提供部15104和第二输出信息计算部15202和第二计算部15108的组是关于w=f ( λ )可靠度为δγ的可随机化样本器。
下面，使用这些定义，说明在本方式的计算装置151中得到解码结果f (λ)的理由。
在本方式的步骤S15110中，判定是否为u ’ = V即u a = V。本方式的输入信息提供部15104和第二输出信息计算部15202和第二计算部15108的组是可靠度δ γ的可随机化样本器(式(13))，如果将T设为大于根据k、δ、y决定的固定值的值，则产生渐进地以大的概率成立u a = v(在步骤S15110中成为“是”)的情况。例如，如果设为T3 4 /δ Υ，则根据M a r k ο V的不等式可知，成立u a = V (在步骤S15110中成为“是”)的概率大于1/2。
在本方式中，u = f ( λ ) X ι且v = f ( λ )a X 2,因此在成立ua = v时成立X=X 2°在成立X ia = X 2的情况下，存在是X I = X 2 = e g的情况和是Xi^eg的情况。在X I = X 2 = e g的情况下,成为u = f ( λ )，因此在步骤S15114中输出的u成为准确的解码结果f ( λ )。另一方面,在X ^eg的情况下,成为u关f ( λ )，因此在步骤S15114中输出的u不是准确的解码结果f ( λ )。
通过群G和自然数a所属的集合Ω的组(G，Ω )定义的运算为伪自由的作用、或者关于伪自由指标P (G , Ω )，T 2 P (G , Ω )渐近小的情况下,在u a = V时X ! ^ e g的概率(式(11))渐近小。因此，在u a = V时X ι = e g的概率渐近大。因此,通过组(G,Q)定义的运算为伪自由的作用、或者T 2 P(G，Ω)渐近小的情况下，在u a = V时输出错误的解码结果f (入) 的概率比ua = v时输出准确的解码结果f ( λ )的概率充分小。这时的计算装置151也可以称为殆自身改正器(参考式(9))。因此，如上所述，从计算装置151能够构成强自身改正器，能够以绝对的概率得到准确的解码结果f (λ)。在(G，Ω)中定义的运算是伪自由的作用的情况下，能够忽略在Ua = V时输出错误的解码结果f ( λ )的概率。这时的计算装置151以绝对的概率输出准确的解码结果f (λ)或者丄。
另外，对任意的常数P决定k ^，对该k ^关于满足k ^ < k ’的任意的k ’的函数值η (k’)小于P的情况下，称为「η (k’)渐近小」。k’的例子是安全参数k。
对任意的常数P决定。，对该k。关于满足k Q < k ’的任意的k ’的函数值1- n(k ’)小于P的情况下，称为「η ( k ’)渐近大」。
其中，若将a置换为a / b则可知，上述的证明也成为在第七实施方式中叙述的「U ’ = V ’成立，则第一可随机化样本器准确地计算U = f ( λ ) b，且第二可随机化样本器准确地计算v = f(λ)a(Xl和X2为群G的单位元e g)的可能性高」的证明。
《关于可靠度δγ的可随机化样本器和安全性》
假定如下的攻击。
黑盒子F ( τ )或者该部分有意地输出不准确的ζ，或者从黑盒子F ( τ )输出的值被改变为不准确的ζ。
.从可随机化样本器输出与不准确的ζ对应的wax’。
与在自身改正器Cf (λ)中成立u a = v (在步骤S15110中“是”)无关地，与不准确的Z对应的W a X ’使自身改正器C F ( λ )输出错误的值的概率增加。
在对于所提供的自然数a从可随机化样本器输出的w a X ’的误差的概率分布D a=w a X ’ w _a依赖于自然数a的情况下，这样的攻击成为可能。例如，在进行了从第二计算部15108输出的V成为f (A)a X J的不准确的情况下，与X i的值无关地，必然成立u a=V。因此，期望在对于所提供的自然数a从可随机化样本器输出的w a X’的误差的概率分布D a = w a X ’ w ι不依赖于该自然数a。
或者，期望是如下的可随机化样本器:对于集合Ω的任何元a E Ω,存在无法与w a X ’的误差的概率分布D a = w a X ’ w _a区分的在群G中取值的概率分布D (概率分布D a与概率分布D统计近似(statistically-close))。其中，概率分布D不依赖于自然数a。无法区分概率分布D a与概率分布D意味着，无法通过多项式时间算法来区分概率分布0 a与概率分布D，例如对于可忽视的ζ (O ^ ζ < I)满足
Σ geG I Pr[geD]-Pr[geDa] |<ζ...(14)
，则无法通过多项式时间算法来区分概率分布Da与概率分布D。能够忽略的误差4的例子是，安全参数k的函数值ζ (k)。函数值ζ (k)的例子是，对于任意的多项式P (k)关于充分大的k，{ ζ (k) p (k)}收敛于O的函数值。函数值ζ (k)的具体例是，ζ (k) = 2_k*4 (k)=2Wk等。这些点对于使用自然数a和b的第七实施方式至第十实施方式也相同。
第七实施方式至第i^一实施方式的变形例
在第七实施方式至第i^一实施方式中，对计算装置提供第一输出信息z 1;1和第二输出信息Z q的情况下，计算装置能够以某一概率输出U /’(1) V广’(1)。U /’(1)Vta,(l)以高的概率成为密码文λ t的解码值。另一方面，在没有对解码装置提供第一输出信息Z U和第二输出信息Z q的两方的情况下，计算装置无法得到密码文λ t的解码值。
在第七实施方式至第十一实施方式中，通过控制由能力提供装置的第一输出信息Z U和第二输出信息Z的双方的输出的有无，从而能够控制计算装置的密码文的解码能力，而不对计算装置提供解码密钥。
本发明不限定于上述的实施方式。例如，在上述的各实施方式中，设为ω是2以上的整数，但是ω也可以是I。S卩，也可以是仅存在一个能力提供装置的结构。这时的计算装置也可以不包括复元部，可以直接输出来自最终输出部的输出值。例如，也可以是，上述的第一实施方式至第五实施方式的任何一个的系统还具有解码控制装置，解码控制装置对能力提供装置输出用于控制计算装置的解码处理的解码控制命令，能力提供装置按照解码控制命令，控制是否从第一输出信息计算部和所述第二输出信息计算部输出第一输出信息Z1和第二输出信息Z2的两方。例如，也可以是，上述的第六实施方式的系统还具有解码控制装置，解码控制装置对能力提供装置输出用于控制计算装置的解码处理的解码控制命令，能力提供装置按照解码控制命令，控制是否从第一输出信息计算部和第二输出信息计算部输出第一输出信息MZ1和第二输出信息MZ2的两方。
概率变量X 1；1>X 1;2和X 1;3可以相同也可以不同。
通过第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部分别生成同样随机数，从而能够提高代理计算系统的安全性。但是，在所要求的安全性的等级没有那么高的情况下，第一随机数生成部、第二随机数生成部、第三随机数生成部、第四随机数生成部、第五随机数生成部、第六随机数生成部和第七随机数生成部的至少一个部也可以生成不是同样随机数的随机数。从运算效率的观点出发，期望如上述的各实施方式那样选择作为O以上且小于K H的自然数的随机数或作为O以上且小于K l；G的自然数的随机数，但也可以取而代之选择K 以上或K V以上的自然数的随机数。
在计算装置对能力提供装置每次提供与相同的a ( t )、b ( t )对应的第一输入信息τ q和第二输入信息τ时，能力提供装置的处理也可以执行多次。由此，在计算装置对能力提供装置每提供一次第一输入信息τ ιΛ和第二输入信息τ时，计算装置能够得到多个第一输出信息ζ ιΛ和第二输出信息ζ 1;2和第三输出信息ζ ι；3ο由此，能够减少计算装置与能力提供装置之间的交换次数和通信量。
也可以是，计算装置对能力提供装置汇总提供多种第一输入信息τ q和第二输入信息τ q，汇总得到多个所对应的第一输出信息ζ和第二输出信息ζ 1>2和第三输出信息ζ、3。由此，能够减少计算 装置与能力提供装置之间的交换次数。
在各实施方式中，设为ω是常数，但是如果能够在代理计算系统中共享ω的值，则ω也可以是变量。
计算装置的各部之间的数据的交换可以直接进行，也可以经由未图示的存储部进行。同样地，能力提供装置的各部之间的数据的交换可以直接进行，也可以经由未图示的存储部进行。
确认在各实施方式的第一计算部和第二计算部中得到的u ,和￥ ,是否为群G t的元，在是群G1的元的情况下,继续执行上述的处理,在u ,或卩，不是群G t的元的情况下，输出无法进行计算的意旨的信息例如为符号“丄”。
此外，例如，上述的各种处理不仅可以按照记载以时间序列执行，也可以根据执行处理的装置的处理能力或者根据需要并行地或单独地执行。也可以在一个装置内构成多个能力提供装置。此外，在不脱离本发明的宗旨的范围内能够进行适当变更是不言而喻的。
第十二实施方式
说明本发明的第十二实施方式。在本方式中，说明如下的例子:Φ个(Φ为2以上的整数)计算装置共享一个能力提供装置而进行计算，能力提供装置从计算装置接受其代价。但是，这并非用于限定本发明，也可以由Φ个计算装置共享多个能力提供装置而进行计算。
< 结构 >
如图31所例示，第十二实施方式的代理计算系统201例如具有Φ个计算装置211-cp(cp=i，…，Φ)和一个能力提供装置212。各装置构成为能够进行信息的交换。例如，各装置能够进行经由了传输线或网络或可移动型记录介质等的信息的交换。
在本方式中，能力提供装置212对各计算装置211 - φ提供计算将群Ηφ的元映射到群Gtp的元的函数 φ的能力(计算能力)。各计算装置211 -φ将对应于该能力的代价支付给能力提供装置212。各计算装1211 _φ使用所提供的能力，计算对于群Hcp'的元Χφ的群Gfp的元f Φ ( Χφ)。
如图32所例示，第十二实施方式的计算装置211 - φ例如具有:自然数存储部21101 - φ、自然数选择部21102-φ、整数计算部21103-φ输入信息提供部21104-φ、第一计算部21105 - φ、第一幂乘计算部21106 - φ、第一列表存储部21107-φ、第二计算部21108-φ、第二幂乘计算部21109-φ、第二列表存储部21110-φ、判定部21111 - φ、最终输出部21112-φ和控制部21113-φ。计算装置211-φ在控制部21113-φ的控制下执行各种处理。计算装置211 - φ的例子是，读入了特别的程序的具备C P U (中央处理单元)和RAM (随机存取存储器)的公知或专用的计算机、服务器装置或网关装置或卡读写装置或移动电话等的具备了计算功能和存储功能的设备等。
如图33所例示，第十二实施方式的能力提供装置212例如分别具有第一输出信息计算部21201、第二输出信息计算部21202和控制部21205。能力提供装置212在控制部21205的控制下执行各种处理。能力提供装置212的例子是，读入了特别的程序的具备C PU和R AM的公知或专用的计算机、移动电话等的具备了计算功能和存储功能的设备、IC卡或IC芯片等耐篡改性模块等。
<处理的前提>
设为Gip Ηφ是群(例如为可交换群)，Χψ>1、Χφ.2是在群Gip中取值的概率变量，X φ，1是概率变量Χφ,Ι的实现值，X φ.2是概率变量X φ,2的实现值，f φ是将群Htp的元映射到群Gcp的元的函数，a (φ)、b (φ)是互质的自然数。f Φ的具体例是，加密函数、解码函数、再加密函数、图像处理用的函数、语音处理用的函数等。既可以是Gcp= Htp也可以是所有的群G^ip= 1，...，Φ)可以互相相同，也可以是，对于至少一部分φ￥φ的群Gf与其他的群Gtp不同。所有的群Hcp ( φ = I，... Φ)可以互相相同，也可以是，对于至少一部分φ￥φ的群IV与其他的群Htp不同。以下，以乘法表现群0 、Hqp上的运算。a (φ)、b (φ)是互质的自然数，“自然数”表示O以上的整数。以对于群Hp的元Mfp的群Gip 的元:Γψ (Mfp) 8(< 1!51( )作为元素的集合，被称为「对于元舰卩的类C Lfp (Μφ)』。这里，C Lf (Μφ)与C Lfp- (ΜφΟ ( φ’#φ )是互相不同的类。在函数 φ ( Mfp)为对于元Msp的单映射函数的情况下，关于a (φ)、b (φ)的组，对于相同的元Μφ的类C Lfp ( Μφ)仅包括一个元素。在每个a (φ)、b (φ)的组中，对于相同的元Μφ的类C Lcp ( Mtp)仅包括一个元素的情况下，两个值属于对于相同的元Mtp的类C Ltp(Mcp)与该两个值相等是等价的。即，在函数f9 (Mtp)为对于元￥(])的单映射函数的情况下，能够通过判定两个值是否相等，从而进行两个值是否属于对于相同的元Mip的类C L9 (Mip)的判定。另一方面，在函数f φ (Mfp)不是对于元Mtp的单映射函数的情况下(例如，函数f<P为如E IGama I密码方式的概率密码方式的加密函数的情况)，对于平文和加密密钥的组对应有多个密码文，因此关于a (φ)、b (φ)的组，对于相同的元Μφ的类C Ltp ( Mtp)包括多个元素。
在各计算装置211- φ (图32)的自然数存储部21101 - φ中存储有多个种类的互质的2个自然数a (φ)、b (φ)的组(a (φ), b ( φ ))。如果将I φ设为在群Gfp的位数未满的2个自然数的组中互质的组的集合，则能够认为在自然数存储部21101-φ中存储有与I φ的部分集合Sfp对应的自然数a (φ)、b (φ)的组(a ( φ ), b (φ))。
< 处理 >
说明计算装置2li _φ利用能力提供装置212进行的处理。这些处理，可以由进行处理的任何一个计算装置211 - φ在占有能力提供装置212某一时间的状态下执行，也可以由进行处理的多个计算装置211 - φ接入到能力提供装置212而并行执行。
-Ηφ的元X φ输入到计算装置211 - φ (图32)的输入信息提供部21104 - φ。在元X φ已经输入到输入信息提供部21104 - φ的情况下，也可以省略该处理。
如图37所例示，元X φ输入到输入信息提供部21104 - φ的计算装置211 -φ的自然数选择部21102 - φ随机地从在自然数存储部21101 - φ中存储的多个自然数的组(a (φ)，b (φ))读取一个自然数的组(a (φ)，b ( φ))。所读入的自然数的组(a (φ), b (φ))的至少一部分信息被发送到整数计算部21103-φ、输入信息提供部21104 φ第一幂乘计算部21106-φ和第二幂乘计算部21109-φ (步骤S21100)。
整数计算部21103-φ使用所发送的自然数的组(a (φ), b (φ))，计算满足 a’(tp) a (φ) + b 5 (φ) b (φ) =1 的关系的整数 a’(φ)、b’(φ)。自然数a (φ)、b (φ)互质，因此必然存在满足a’(φ) a (φ) +b ’(φ) b (φ) = I的关系的整数a ’(φ)、b ( φ )，其计算方法也已知。例如，通 过扩展互除法等已知的算法计算整数a’、b’，自然数的组(a^(φ),b^ (φ))的信息被发送到最终输出部21112-φ (步骤S21101)。
控制部21I ]3-φ设为 t=l (步骤 S21102)。
输入信息提供部2] 104 - φ生成并输出与所输入的元X φ分别对应的第一输入信息τφ，I和第二输入信息τφ，2。优选为,第一输入信息τφ，I和第二输入信息τφ,2为分别将与兀Χφ的关系搅乱的信息。由此，计算装置211-φ能够对能力提供装置212隐蔽元Χφ。优选为，本方式的第一输入信息Τφ I进而对应于在自然数选择部21102-φ中选择的自然数b (φ),第二输入信肩τ卜进而对应于在自然数选择部21102-φ中选择的自然数a (φ)。由此，计算装置211 φ能够以高精度评价从能力提供装置212提供的计算能力(步骤S21103)。
如图38所例不,第一输入信息1^ I输入到能力提供装置212 (图33)的第一输出信息计算部21201，第二输入信息τφ.2输入到第二输出信息计算部21202 (步骤S21200)。
第一输出信息计算部21201使用第一输入信息％.I,以大于某一概率的概率准确地计算 .φ(τφ, j，将得到的计算结果设为第一输出信息Zfp, !(步骤S21201)。第二输出信息计算部21202使用第二输入信息2 ,以大于某一概率的概率准确地计算f φ ( Tip 2 )，将得到的计算结果设为第二输出信息2 Φ- 2 (步骤S21202)。另外，“某一概率”是小于100%的概率。“某一概率”的例子是无法忽略的概率，“无法忽略的概率”的例子是，将作为安全参数k的广义单调增加函数的多项式设为多项式Ψ (k)时的I / ψ (k)以上的概率。SP，第一输出信息计算部21201和第二输出信息计算部21202能够输出包含有意的或无意的误差的计算结果。换言之，第一输出信息计算部21201的计算结果既有是f φ ( τφ,ι )的情况也有不是f φ (τφ；1)的情况，第二输出信息计算部21202 - φ的计算结果既有是f φ (τφ,2 )的情况也有不是f φ ( %2 )的情况。第一输出信息计算部21201输出第一输出信息Ζφ, !,第二输出信 息计算部21202输出第二输出信息z<p，2 (步骤S21203)。
返回到图37，第一输出信I Ζ,,输入到计算装置211-φ (图32)的第一计算部21105-φ,第二输出信息2衫输入到第二计算部21108-9。这些第一输出信息Zcp,夏和第二输出信息ζ φ, 2相当于从能力提供装置212对计算装置211-φ提供的计算能力(步骤S21104)。被提供计算能力的计算装置211 - φ的利用者对能力提供装置212支付其代价。代价的支付方法例如通过公知的电子结算处理等进行即可。
第一计算部2ΓΙ05-φ根据第一输出信息Ztp4生成运算结果ι φ= f φ ( xφ) bwXip^这里，生成(计算)( Χφ) Κφ)Χφα的处理是，计算定义为fφ ( Xtp) bwXtpj的式的值的处理。如果最终能够计算式f<p ( Χφ) W的值，则与中间的计算方法无关。这对于在本申请中出现的其他式的计算也是相同的。运算结果Ucp发送到第一幂乘计算部21106-φ (步骤S21105)。
第一幂乘计算部21106-φ计算u P = u/ 。计算结果ιι φ和基于该计算结果计算出的U1/的组(Hf )被存储到第一列表存储部21107-φ (步骤S21106)。
判定部21111-φ在第一列表存储部21107-φ中存储的组(Utp5Uqj5)和在第二列表存储部21110-φ中存储的组(νφ，￥9’)中，判定是否存在11( ’和乂< ’属于对于互相相同的元ΜΦ的类C Ltp(Mcp)的组。也可以无法判定至是Mtp= Xqj的情况(以下相同)。换而言之，判定部21111 _φ判定是否存在属于对于相同的元M1的类CLtp ( 的组。例如，在函数f φ ( Mtp)为对于元Mip的单映射函数的情况下，判定部21111 -φ判定是否为U φ’ = Υφ’(步骤S21107)。如果在第二列表存储部21110-φ中没有存储组(VfV^)的情况下，不进行该步骤S21107的处理，进行下一个步骤S21108的处理。在存在属于对于相同的元Mip的类C Lcp ( M9)的u ^’和νφ'的组的情况下，进至步骤S21114。在不存在属于对于相同的元Mp的类C Lcp (Mcp)的u ^’和V‘的组的情况下，进至步骤S21108。
在步骤S21108中，第二计算部21108 - φ根据第二输出信息ζ φ，2生成运算结果νφ= Ftp ( χφ) a0rtXq^2。运算结果νφ发送到第二幂乘计算部21109-φ (步骤S21108)。
第二幂乘计算部2110 9 - φ计算V p = Vfp1^。计算结果ν ρ和基于该计算结果计算出的V cp’的组(νφ，Vcp’)被存储到第二列表存储部21110-φ (步骤S21109)。
判定部21111-φ在第一列表存储部21107-φ中存储的组(UfUq/)和在第二列表存储部21110-φ中存储的组(Vcp5 νφ’)中，判定是否存在u φ’和属于对于互相相同的元Mcp的类C Lcp (Mfp)的组。例如，在函数f cp ( Mtp)为对于元单映射函数的情况下，判定部211Π _φ判定是否为u /= νψ’(步骤S21110)。在存在属于对于相同的元Mip的类C Lv (Mtp)的u V和V;的组的情况下，进至步骤S21114。在不存在属于对于相同的元Mv的类C Ltp ( Mcp)的U $和V ‘的组的情况下，进至步骤S21111。
在步骤S21111中，控制部21113-φ判定是否为t=T (步骤S21111)。T是预先决定的自然数。T可 以是对于所有的φ相同的值，也可以存在对于φ的自身改正处理中的τ的值与对于Φ’(σ’古σ, σ5 = I,…，Φ)的自身改正处理中的T的值不同的情况。如果是t = T，则最终输出部21112-φ输出无法进行计算的意旨的信息例如为符号“丄”(步骤S21113)，并结束处理。如果不是t =τ，则控制部2Π13-φ将t增加1，即设为t = t + I(将t+Ι设为新的t)(步骤S21112)，返回到步骤S21103。
无法进行计算的意旨的信息(在该例子中为符号“丄”)意味着能力提供装置212准确地进行计算的可靠度小于由T决定的基准。换言之，意味着在T次的重复中无法进行准确的运算。
在步骤S21114中，最终输出部21112 - φ使用与判定为属于对于相同的元类C L φ ( M9 )的11,和V V的组对应的U φ和V <ρ来计算U ψΚ{φ) V /{φ),并进行输出而结束处理(步骤S21114)。
如以上那样计算出的高的概率成为f ψ ( Χφ) EGcp (在后面叙述以高的概率成为f φ( χφ)的理由)。因此，至少重复多次关于(P的上述处理，并选择在步骤S21114中得到的值中频度最高的u/(<p) V(pa>w,则UcpbWv/(<P)= f φ ( X φ)的可靠度(概率等)成为规定值以上。如后所述，根据设定以绝对的概率成为U/wV/(φ)= f φ( X φ)。在不限定于能力提供装置212必然进行准确的返回的情况下，上述情况也成立，因此计算装置211 - φ无需进行用于确认能力提供装置212的正当性的认证处理。即使其他的计算装置21 - φ’ ( φ^φ )和能力提供装置212的处理内容对计算装12 11 - φ和能力提供装置212之间的处理内容产生了影响，只要能力提供装置212以大于某一概率的概率进行准确的返回，则计算装置211 - φ能够得到准确的计算结果f φ ( Χφ)。
《关于以高的概率成为UV φ'{ψ) = f φ ( X φ )的理由》
将X ,设为在群G P中取值的概率变量。将关于WcpE G在(每次接受请求时返回与按照概率变量Χφ的样本X φ’对应的Wtp X φ’的装置，称为关于Wfp具有误差Χφ的样本器(sampler)。
将关于WqjE Gqj在每次被提供自然数a (φ)时返回与按照概率变量Χφ的样本X φ'对应的Wq^cp) Xq/的装置，称为关于Wcp具有误差Χφ的可随机化样本器(randomizable sampler)。可随机化样本器如果设为a (φ) =1而使用，则作为样本器发挥作用。
本实施方式的输入能力提供部21104-φ和第一输出信息计算部21201和第一计算部21105-φ的组合是关于f φ (叉^^具有误差乂^) ι的可随机化样本器(称为“第一可随机化样本器”)，输入能力提供部21104-φ和第二输出信息计算部21202和第二计算部 21108-φ的组合是关于￡φ(Χφ)具有误差Χφ,2的可随机化样本器(称为“第二可随机化样本器”)。
发明人发现了如下情况:如果U ,和V φ属于对于互相相同的元,的类C Lijl ( Μφ)，则第一可随机化样本器准确地计算U φ= f φ ( Χφ) b(CP),且第二可随机化样本器准确地计算Vip= f φ ( Χφ) a(<p) ( Xqa和X&2是群Gtp的单位元^丨)的可能性高。从简化说明的观点出发，通过第十八实施方式进行该证明。
在第一可随机化样本器准确地计算Uip= f φ( X φ ) ￥φ),且第二可随机化样本器准确地计算Vtp= f φ(1(^1和1(()，2'为群0( 的单位元6(^时)，成为 U(pb加=( .φ( Χφ)_Χ(Μ ”刚=(f p( X(p)_e(p,g)_= fv( Xcp)b(9)bX )，并且成为v/_= ( fv ( χφ) α(φ) X φ,) = ( f φ ( χφ)咖 e<p’g) a，⑷= φ( ΧΦ) a(<pK(cp)。因此，在函数(Mip)为对于元Mtp的单映射函数的情况下，成为 u /(φ) V /(φ) = φ( Χφ) W+aWa.= fq)( Χφ)ο 另一方面，如果函数Fcp(Mtp)不是对于元Mcp的单映射函数而是准同型函数，则成为UtpbwVtp=f ( Y (Μφ)1>’(φ)+α(φ)3’(φ)) \ = c / \ 1 φ V Λ φ/ΑφΚΑφ 夕。
关于(q 1; q 2) e I，将对于i = 1、2的各个的函数n i定义为π i ( q ^ q2) = q ι 进而，设为L=mi η (# π λ (S), # Ji2(S)X #.是集合.的位数。在群Gtp为巡回群或者难以计算位数的群时，计算装置211-φ输出“丄”以外时的输出不是f φ (Χφ)的概率能够期待为在能够忽略的程度的误差的范围内至多τ 2 L / # S左右。如果L / # S为能够忽略的量且T为多项式量级程度的量，则计算装i 2i I φ以绝对的概率输出准确的fcp (Χφ)。L / # S成为能够忽略的量的S的例子中，例如具有S= {(I, d ) I d e [2, I Gip 1-1 ]}。
第十三实施方式
第十三实施方式的代理计算系统是将上述的第一可随机化样本器和第二可随机化样本器具体化的例子。以下，以与第十二实施方式不同的部分为中心进行说明，对于共同的部分省略重复说明。在以下的说明中，设为附加了相同的参考标号的部分具有相同的功能，附加了相同的参考标号的步骤表示相同的处理。
< 结构 >
如图31所例示，在第十三实施方式的代理计算系统202中，计算装置21 1-φ被置换为计算装置221-φ,能力提供装置212被置换为能力提供装置222。
如图32所例示，第十 三实施方式的计算装置221-φ例如具有:自然数存储部21101-φ、自然数选择部21102-φ、整数计算部21103-φ、输入信息提供部2104-φ、第一计算部2105-φ、第一幂乘计算部2Π06-φ、第一列表存储部21107-φ、第二计算部2108-φ、第二幂乘计算部21109-φ、第二列表存储部21110 - φ、判定部21111 - φ、最终输出部21112-φ、最终输出部21112 - φ和控制部21113-φ。如图34所例示，本方式的输入信息提供部22104-φ例如具有第一随机数生成部22104Η-φ、第一输入信息计算部22104b-(p、第二随机数生成部22104ο-φ和第二输入信息计算部22104d-(p。
如图33所例示，第十三实施方式的能力提供装置222例如分别具有第一输出信息计算部22201、第二输出信息计算部22202和控制部21205。
<处理的前提>
在第十三实施方式中，将函数f(B设为准同型函数，将群Htp设为巡回群，将群Htp的生成元设为μφ, h，将群_Ηφ的位数设力Kv H，设为Vip= f φ(μφ.h)。其他的前提，除了计算装置211-φ被置换为计算装置221-φ、能力提供装置212被置换为能力提供装置222以外，与第十二实施方式相同。
< 处理 >
如图37和图38所例示，在 第十三实施方式的处理中，第十二实施方式的步骤S21103 S21105、S21108、S21200 S21203 分别被置换为步骤 S22103 S22105、S22108、S22200 S22203。在以下，仅说明步骤 S22103 S22105, S22108, S22200 S22203 的处理。
《步骤S22103的处理》
计算装置221-φ (图32)的输入信息提供部22104-φ生成并输出与所输入的元Xcp分别对应的第一输入信息τψ， 和第二输入信息Τφ,Α图37/步骤S22103)。以下，使用图39来说明本方式的步骤S22103的处理。
第一随机数生成部22104a-(p (图34)生成O以上且小于Ktpli的自然数的普通随机数Γ(φ，I)。所生成的随机数r (φ，I)被发送到第一输入信息计算部221041>φ和第一计算部22105-φ (步骤S22103a)。第一输入信息计算部22104b-(p使用所输入的随机数J (φ, I)和元化和自然数b (φ)，计算第一输入信肩=(步骤S22103 b )。
第二随机数生成部22104c-(p生成O以上且小于Kp H的自然数的普通随机数r( φ，2 )。所生成的随机数r( φ, 2 )被发送到第二输入信息计算部22104d-(p和第二计算部22108-φ (步骤S22103C)。第二输入信息计算部22104d-q)使用所输入的随机数r ( φ, 2 )和元Xf和自然数a ( φ )5计算第二输入信息τφ，2 = μφ, ι (φ,2)χφ3(φ)(步骤S22103d)。
第一输入信息计算部22104b-(p和第二输入信息计算部22104d-(p输出如上所述生成的第一输入信息τ<Μ和第二输入信息τφ，2 (步骤S22103e)。另外,本方式的第一输入信皂Tipi和第二输入信息τφ，2为分别通过随机数r ( φ, l)、r ( φ, 2)将与元χφ的关系搅乱的信息。由此，计算装置222能够对能力提供装置222隐蔽元Χφ。本方式的第一输入信息τφ;1进而对应于在自然数选择部21102-φ中选择的自然数b (φ)，第二输入信肩τμ7进
而对应于在自然数选择部21102-φ中选择的自然数a ( φ )。由此，计算装置221-φ能够以
高精度评价从能力提供装置222提供的计算能力。《步骤S22200 S22203的处理》

如图38所例示，首先，第一输入信肩τφ1= μψ/φΛ) x 输入到能力提供装置
222 (图33)的第一输出信息计算部22201，第二输入信息τφ，2 = μφ/φ,2) X 输入到第二输出信息计算部22202 (步骤S22200)。第一输出信息计算部22201使用第一输入信息τφ i =χ 以大于某一
概率的概率准确地计算将得到的计算结果设为第一输出信息2 91。该计算结果即存在准确的情况也存在不准确的情况。即，第一输出信息计算部22201中的计算结果既存在成为f φ ( μφαιΓ(φα) X φΗψ))的情况，也存在没有成为fχ φ￥φ))
的情况(步骤S22201)。第二输出信息计算部22202使用第二输入信息Tt^2 = 产2) X φα(φ),以大于某一
概率的概率准确地计算f φ ( μ##'2) χ φ3(φ)),将得到的计算结果设为第二输出信息ζ φ2。该计算结果即存在准确的情况也存在不准确的情况。即，第二输出信息计算部22202中的计算结果既存在成为f φ ( μφ/φ>2) X φ3(φ))的情况，也存在没有成为f φ ( μφ/(φ-} X φ3(φ))的情况(步骤S22202)。第一输出信息计算部22201输出第一输出信息ΖΨ.1，第二输出信息计算部22202输出第二输出信息zP 2 (步骤S22203)。《步骤S22104和S22105的处理》返回到图37，第一输出信息Ztftl输入到计算装置221-φ (图32)的第一计算部
22105-φ，第二输出信息Zcft2输入到第二计算部22108-φ。这些第一输出信息ζ _ ^和第
二输出信息ζ φ, 24目当于从能力提供装置222对计算装置221-φ提供的计算能力(步骤S22104)。第一计算部22105-φ使用所输入的随机数r(φ, I)和第一输出信息ζ…来计算ζ 并将该计算结果设为Utp。计算结果Utp发送到第一幂乘计算部21106 φ。这里，成为 u <p = Z φ< νφ'Γ(φ,1) = f φ( JC φ )Κφ) Χφ, ο 即，Z成为关于 f φ ( Χφ)具有误差X#的可随机化样本器的输出。在后面叙述其理由(步骤S22105)。
《步骤S22108的处理》第二计算部22108-φ使用所输入的随机数r ( φ, 2 )和第二输出信息ζ % 2，计算(φ ^并将该计算结果设为νφ。计算结果V(p发送到第二幂乘计算部21109-φ。这里，成为
权利要求
1.一种代理计算系统，具有计算装置和能力提供装置，其中， G、H为群，f (X)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数， 所述计算装置包括: 输入信息提供部，输出与所述密码文X对应的作为所述群H的元的第一输入信息T1和第二输入信息τ2， 所述能力提供装置包括: 第一输出信息计算部，使用所述第一输入信息τ 17以大于某一概率的概率准确地计算f ( τ P，将得到的计算结果设为第一输出信息z i ;以及 第二输出信息计算部，使用所述第二输入信息τ 2，以大于某一概率的概率准确地计算f ( τ2)，将得到的计算结果设为第二输出信息z 2， 所述计算装置还包括: 第一计算部，根据所述第一输出信息Z I来生成计算结果U= f ( X ) b X !； 第二计算部，根据所述第二输出信息Z 2来生成计算结果V= f (X)a X 2;以及最终输出部，在所述计算结果U和V满足U a = V b的情况下，输出关于满足a ’ a +b’ b = I 的整数 a’、b’ 的 u b’ V a’。
2.如权利要求1所述的代理计算系统，其中， 所述计算装置包括用于选择所述自然数a、b的至少一方的自然数选择部， 所述第一输入信息^进而对应于所述自然数b，所述第二输入信息τ2进而对应于所述自然数a。
3.如权利要求2所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文X的关系的信息设为所述第一输入信息T1和所述第二输入信息τ2。
4.如权利要求1所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文X的关系的信息设为所述第一输入信息T1和所述第二输入信息τ2。
5.如权利要求1至4的任一项所述的代理计算系统， 所述解码函数f (X)为准同型函数，所述群H为巡回群，所述巡回群H的生成元为μh，所述巡回群H的位数Skh，且V = f (Uh), 所述输入信息提供部包括: 第一随机数生成部,生成O以上的自然数的随机数r ； 第一输入信息计算部，作为所述第一输入信息T1计算μ f X b; 第二随机数生成部，生成O以上的自然数的随机数r 2;以及 第二输入信息计算部，作为所述第二输入信息τ2计算μ, X % 所述第一输出信息计算部使用所述第一输入信息μ: X b，以大于某一概率的概率准确地计算f ( μ: X b)，将得到的计算结果设为所述第一输出信息z 1； 所述第二输出信息计算部使用所述第二输入信息μ: X a，以大于某一概率的概率准确地计算f ( μ: X a)，将得到的计算结果设为第二输出信息z 2，所述第一计算部计算Z1V-M而得到所述计算结果U， 所述第二计算部计算Z2V-W而得到所述计算结果V。
6.如权利要求5所述的代理计算系统，其中， 所述第一随机数生成部在b古I时生成所述随机数r 1； 所述第一输入信息计算部在b幸I时作为所述第一输入信息τ i计算所述μ hrl X b，所述第一输出信息计算部将在b Φ I时使用所述第一输入信息μ hrl X b而得到的所述计算结果设为所述第一输出信息Z 1； 所述第一计算部在b Φ I时计算Z1V-H而得到所述计算结果u， 所述第二随机数生成部在a Φ I时生成所述随机数r 2， 所述第二输入信息计算部在a Φ I时作为所述第二输入信息τ 2计算μ hr2 x % 所述第二输出信息计算部将在a古I时使用所述第二输入信息μ: X a而得到的所述计算结果设为第二输出信息z 2， 所述第二计算部在a Φ I时计算z 2 V w而得到所述计算结果V， 所述输入信息提供部包括: 第三随机数生成部,生成O以上的自然数的随机数r 3 ; 第三输入信息计算部，在b = I时将X Λ设为所述第一输入信息τ i，在a = i时将X设为所述第二输入信息τ2， 所述能力提供装置包括: 第三输出信息计算部，使用所述X r3,以大于某一概率的概率准确地计算f (X Λ)，并将得到的计算结果设为第三输出信息Z 3， 所述能力提供装置包括: 第三计算部，在b = I时将Z 31/r3设为所述计算结果u，在a = I时将Z 31/r3设为所述计算结果V。
7.如权利要求1至4的任一项所述的代理计算系统，其中， 所述群H为所述群G的直积群G X G，所述解码函数f (X)为准同型函数，所述群G为巡回群，所述巡回群G的生成元为yg，所述巡回群G的位数为Ke，x = (c i，c 2)，(V，W)为所述群H的元，且f (V, W) =Y, 所述输入信息提供部包括: 第四随机数生成部，生成O以上的自然数的随机数r 4； 第五随机数生成部，生成O以上的自然数的随机数r 5； 第一输入信息计算部，作为所述第一输入信息τ i，计算c 2b W 和c广V μ /5 ； 第六随机数生成部，生成O以上的自然数的随机数r 6； 第七随机数生成部，生成O以上的自然数的随机数r 7;以及第二输入信息计算部，作为所述第二输入信息τ 2计算c 2a W r6和c J V μ /7，所述第一输出信息计算部使用所述第一输入信息c V Γ4μ/5和c 2b W r4，以大于某一概率的概率准确地计算f ( c V r4ygr5, c 2b W rt)，将得到的计算结果设为所述第一输出信息z 1 所述第二输出信息计算部使用所述第二输入信息C ^ V rV/7和C 2a W r6,以大于某一概率的概率准确地计算f ( c J V rV/7, c 2a W rfiX将得到的计算结果设为所述第二输出信息Z 2， 所述第一计算部计算Z i Y -Γ4μ/5而得到所述计算结果U， 所述第二计算部计算ζ 2 Y -rV/7而得到所述计算结果V。
8.如权利要求1至4的任一项所述的代理计算系统，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f (X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
9.如权利要求5所述的代理计算系统，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f (X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
10.如权利要求7所述的代理计算系统，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f (X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
11.如权利要求1至4的任一项所述的代理计算系统，其中， 所述自然数a或所述自然数b是常数。
12.如权利要求5所述的代理计算系统，其中， 所述自然数a或所述自然数b是常数。
13.如权利要求7所述的代理计算系统，其中， 所述自然数a或所述自然数b是常数。
14.如权利要求1至4的任一项所述的代理计算系统，还具有: 解码控制装置， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令， 所述能力提供装置包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z I和所述第二输出信息Z 2的两方。
15.如权利要求5所述的代理计算系统，还具有: 解码控制装置， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令， 所述能力提供装置包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z I和所述第二输出信息Z 2的两方。
16.如权利要求7所述的代理计算系统，还具有: 解码控制装置， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令， 所述能力提供装置包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z I和所述第二输出信息Z 2的两方。
17.如权利要求1所述的代理计算系统，还具有: 解码控制装置， G^H1为群，ω为2以上的整数，I = I,..., ω，f t (A1)为用于将作为所述群H t的元的密码文λ t通过特定的解码密钥s t进行解码而得到所述群G t的元的解码函数，Xt，2为在所述群G t中取值的概率变量，X u为概率变量X u的实现值，X为概率变量X的实现值，a ( I ),b ( I )为互质的自然数，所述群G为群G i，所述群H为群H i，所述密码文X为密码文X1，所述解码函数f (X)为解码函数f i (A1),所述概率变量X !为概率变量X u，所述概率变量X 2为概率变量X 1;2，所述实现值X !为实现值Xlil,所述实现值X 2为实现值X 2，所述自然数a为自然数a (I )，所述自然数b为自然数b (I), 所述计算装置包括: 输入信息提供部，输出与所述密码文λ t对应的作为所述群H t的元的第一输入信息τ 1;1和第二输入信息τ ι；2, 所述能力提供装置包括: 第一输出信息计算部，使用所述第一输入信息τ q，以大于某一概率的概率准确地计算f , ( τ ιΛ)，将得到的计算结果作为第一输出信息z ιΛ而输出；以及 第二输出信息计算部，使用所述第二输入信息τ，以大于某一概率的概率准确地计算f , ( τ、2)，将得到的计算结果作为第二输出信息z而输出， 所述第一计算部根据所述第一输出信息ζ ιΛ来生成运算结果U t = f t (λX I，I, 所述第二计算部根据所述第二输出信息Z来生成运算结果V t = f t (λ t)a(l)X I，2, 所述最终输出部在所述运算结果U l和v ,满足U ta(l) = V广(1)的情况下，输出关于满足 a’ ( I ) a ( I ) + b , ( I ) b ( I ) = I 的整数 a ’( t )、b ’( t )的u 广，(1)V,，(1)， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令， 所述能力提供装置还包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z 1;1和所述第二输出信息z的两方。
18.如权利要求17所述的代理计算系统，其中， 所述解码控制命令对应于其中一个所述解码函数f ,， 所述控制部控制与对应于所述解码控制命令的所述解码函数f ,对应的所述第一输出信息z , 和所述第二输出信息z 1>2的两方的输出的有无。
19.如权利要求17所述的代理计算系统，其中， 所述计算装置还包括: 复元部，使用从所述最终输出部输出的关于各I = 1，...，ω的u广’(1) V广’(1)，进行用于生成仅在全部得到将关于各t = 1，...，ω的所述密码文λ t通过所述解码密钥s t进行解码而得到的解码值的情况下能够复元的复元值。
20.如权利要求18所述的代理计算系统，其中， 所述计算装置还包括: 复元部，使用从所述最终输出部输出的关于各I = 1，...，ω的u广’(1) V广’(1)，进行用于生成仅在全部得到将关于各t = 1，...，ω的所述密码文λ t通过所述解码密钥s t进行解码而得到的解码值的情况下能够复元的复元值。
21.如权利要求17至20的任一项所述的代理计算系统，其中， 所述计算装置包括用于选择所述自然数a ( I ),b ( I )的至少一部分的自然数选择部， 所述第一输入信息τ 1;1进而对应于所述自然数b ( I )，所述第二输入信息τ 12进而对应于所述自然数a ( I )。
22.如权利要求21所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文λ (的关系的信息设为所述第一输入信息τ 1;1和所述第二输入信息τ 12。
23.如权利要求17至20的任一项所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文λ (的关系的信息设为所述第一输入信息τ 1;1和所述第二输入信息τ 12。
24.如权利要求17至20的任一项所述的代理计算系统，其中， 所述解码函数f ,为准同型函数，所述群H t为巡回群，所述巡回群H t的生成元为μ t，h，所述巡回群H ,的位数为K l;H,且V t = f t ( μ lh)， 所述输入信息提供部包括: 第一随机数生成部，生成O以上的自然数的随机数r ( I ,1)； 第一输入信息计算部，作为所述第一输入信息τ ,」计算μ ,/‘’《λ，1)； 第二随机数生成部，生成O以上的自然数的随机数r ( t，2);以及第二输入信息计算部，作为所述第二输入信息τ 计算μ t,hr(l'2)A所述第一输出信息计算部使用所述第一输入信息U ,，:1'1、广(1)，以大于某一概率的概率准确地计算f t (P U(U)X，1))，将得到的计算结果设为所述第一输出信息Ζ 1,1， 所述第二输出信息计算部使用所述第二输入信息U ,，:1'2、广(1)，以大于某一概率的概率准确地计算f t (P ,/(1'2) λ /1))，将得到的计算结果设为第二输出信息ζ、2，所述第一计算部计算ζ UV1I(U)而得到所述计算结果u所述第二计算部计算Z S2V1I(M)而得到所述计算结果V 10
25.如权利要求24所述的代理计算系统，其中， 所述第一随机数生成部在b ( t )古I时生成所述随机数F(^l), 所述第一输入信息计算部在b ( 1)^1时作为所述第一输入信息τ U计算所述., r( I , I) \ b( I )μ I，hΛ I, 所述第一输出信息计算部将在b ( I I时使用所述第一输入信息μ严1)而得到的所述计算结果设为所述第一输出信息ζ ιΛ， 所述第一计算部在b ( t )古I时计算ζ ιΛ V ,(1'1)而得到所述计算结果u 所述第二随机数生成部在a ( t )古I时生成所述随机数r ( t，2)， 所述第二输入信息计算部在a (ι)^1时作为所述第二输入信息τ 1;2计算所述., r( I , 2) λ a( ι )μ I，hΛ I, 所述第二输出信息计算部将在a ( I I时使用所述第二输入信息μ t,hr(l'2)A ta(l)而得到的所述计算结果设为所述第二输出信息z t,2, 所述第二计算部在a ( t )古I时计算z t，2v厂(1’2)而得到所述计算结果V 所述输入信息提供部包括: 第三随机数生成部，生成O以上的自然数的随机数r ( ι ,3)； 第三输入信息计算部，在b ( t )= I时将λ ,ι， 设为所述第一输入信息τ t l，在a(t ) = I时将λ J(1’3)设为所述第二输入信息τ 12， 所述能力提供装置包括第三输出信息计算部，该第三输出信息计算部使用所述X Η ，3)，以大于某一概率的概率准确地计算f ,(λ ,、3))，将得到的计算结果设为第三输出信息Z、3， 所述计算装置包括第三计算部，该第三计算部在 bd) = l时将Z y/K1’3)设为所述计算结果U ,,在“0 = 1时将Z ,，3/Γ(Ι，3>设为所述计算结果V t。
26.如权利要求21所述的代理计算系统，其中， 所述解码函数f ,为准同型函数，所述群H t为巡回群，所述巡回群H t的生成元为μ t，h，所述巡回群H ,的位数为K l;H,且V t = f t ( μ lh)， 所述输入信息提供部包括: 第一随机数生成部，生成O以上的自然数的随机数r ( I ,1)； 第一输入信息计算部，作为所述第一输入信息τ ,」计算μ ,/‘’《λ，1)； 第二随机数生成部，生成O以上的自然数的随机数r ( t，2);以及第二输入信息计算部，作为所述第二输入信息τ 计算μ t,hr(l'2)A所述第一输出信息计算部使用所述第一输入信息U ,，:1'1、广(1)，以大于某一概率的概率准确地计算f t (P U(U)X，1))，将得到的计算结果设为所述第一输出信息Ζ 1,1， 所述第二输出信息计算部使用所述第二输入信息U ,，:1'2、广(1)，以大于某一概率的概率准确地计算f t (P ,/(1'2) λ /1))，将得到的计算结果设为第二输出信息ζ、2，所述第一计算部计算ζ UV1I(U)而得到所述计算结果u所述第二计算部计算ζ yvZh2)而得到所述计算结果V 10
27.如权利要求26所述的代理计算系统，其中， 所述第一随机数生成部在b ( t )古I时生成所述随机数F(^l), 所述第一输入信息计算部在b ( 1)^1时作为所述第一输入信息τ u计算所述., r( ι , I) \ b( ι )μ I，hΛ I, 所述第一输出信息计算部将在b ( I I时使用所述第一输入信息μ严1)而得到的所述计算结果设为所述第一输出信息ζ ιΛ， 所述第一计算部在b ( t )古I时计算ζ ιΛ V ,(1'1)而得到所述计算结果u 所述第二随机数生成部在a ( t )古I时生成所述随机数r ( t，2)， 所述第二输入信息计算部在a( ιI时作为所述第二输入信息τ 12计算μ t,hr(l'2)λ)， 所述第二输出信息计算部将在a ( ι I时使用所述第二输入信息μ t,hr(l'2)A ta(l)而得到的所述计算结果设为第二输出信息z t,2, 所述第二计算部在a ( t )古I时计算z t，2v厂(1’2)而得到所述计算结果V 所述输入信息提供部包括: 第三随机数生成部，生成O以上的自然数的随机数r ( ι ,3)； 第三输入信息计算部，在b ( t )= I时将λ ,ι， 设为所述第一输入信息τ t l，在a(t ) = I时将λ J(1’3)设为所述第二输入信息τ 12， 所述能力提供装置包括第三输出信息计算部，该第三输出信息计算部使用所述X Η ，3)，以大于某一概率的概率准确地计算f ,(λ ,、3))，将得到的计算结果设为第三输出信息Z、3， 所述计算装置包括第三计算部，该第三计算部在 bd) = l时将Z y/K1’3)设为所述计算结果U ,,在“0 = 1时将Z ,，3/Γ(Ι，3>设为所述计算结果V t。
28.如权利要求17至20的任一项所述的代理计算系统，其中， 所述群H t为直积群G tX G ,，所述解码函数f t为准同型函数，所述群G t为巡回群，所述巡回群G t的生成元为μ t，g，所述巡回群G t的位数为K ,』，Al=Ccc l;2)，(V t,W J 为所述群 H t 的元，且 f t (V t,W J=Y1, 所述输入信息提供部包括: 第四随机数生成部，生成O以上的自然数的随机数r ( ι ,4)； 第五随机数生成部，生成O以上的自然数的随机数r ( ι ,5)； 第一输入信息计算部，作为所述第一输入信息τ 1:1，计算c t,2b(l) W 和 b ( ι ) ', r ( ι , 4)r ( ι , 5)L ι，I Viμ ι，g; 第六随机数生成部，生成0以上的自然数的随机数r ( I ,6)； 第七随机数生成部，生成O以上的自然数的随机数r ( t，7);以及 第二输入信息计算部，作为所述第二输入信息τ t，2计算c ,/(1) W ,1，6)和cYr( ι，6) & r( ι , 7) 所述第一输出信息计算部使用所述第一输入信息CV ,ι，4)μ ,，/(叭 和C l；2b(l) W /(1，4)，以大于某一概率的概率准确地计算 f t (c l；1b(l) V (Γ(ι.4)μ ι；/(ι.5),c 'f1) W /4)，将得到的计算结果设为所述第一输出信息z所述第二输出信息计算部使用所述第二输入信息CV ,ι，6)μ和C l；2a(l) W /(1，6)，以大于某一概率的概率准确地计算 f t (c l；1a(l) V (Γ(ι.6)μ ι；/(ι.7),c ,/(1) W /(1，6))，将得到的计算结果设为所述第二输出信息z t,2, 所述第一计算部计算zΓ+ μ、/…5)而得到所述计算结果U 1； 所述第二计算部计算ζ (,2 Y Γ+Αμ、/…7)而得到所述计算结果V 10
29.如权利要求21所述的代理计算系统，其中， 所述群H t为直积群G tX G ,，所述解码函数f t为准同型函数，所述群G t为巡回群，所述巡回群G t的生成元为μ t，g，所述巡回群G t的位数为K ,』，Al=Ccc l;2)，(V t,W J 为所述群 H t 的元，且 f t (V t,W J=Y1, 所述输入信息提供部包括: 第四随机数生成部，生成O以上的自然数的随机数r ( ι ,4)； 第五随机数生成部，生成O以上的自然数的随机数r ( ι ,5)； 第一输入信息计算部，作为所述第一输入信息τ 1:1，计算c t,2b(l) W 和 b ( ι ) ', r ( ι , 4)r ( ι , 5)L ι，I Viμ ι，g; 第六随机数生成部，生成O以上的自然数的随机数r ( I ,6)； 第七随机数生成部，生成O以上的自然数的随机数r ( t，7);以及 第二输入信息计算部，作为所述第二输入信息τ t，2计算c ,/(1) W ,1，6)和cY r( ι，6) & r( ι , 7) 所述第一输出信息计算部使用所述第一输入信息CV ,ι，4)μ ,，/(叭 和C l；2b(l) W /(1，4)，以大于某一概率的概率准确地计算 f t (c l；1b(l) V (Γ(ι.4)μ ι；/(ι.5),c 'f1) W /4)，将得到的计算结果设为所述第一输出信息z 所述第二输出信息计算部使用所述第二输入信息CV ,ι，6)μ和C l；2a(l) W /(1，6)，以大于某一概率的概率准确地计算 f t (c l；1a(l) V (Γ(ι.6)μ ι；/(ι.7),c ,/(1) W /(1，6))，将得到的计算结果设为所述第二输出信息z t,2, 所述第一计算部计算zΓ+ μ、/…5)而得到所述计算结果U 1； 所述第二计算部计算ζ (,2 Y Γ+Αμ、/…7)而得到所述计算结果V 10
30.如权利要求17至20的任一项所述的代理计算系统，其中， 所述运算结果u ,对于f , (λ t )b(l)的误差的概率分布不依赖于所述自然数b ( ι )和/或所述运算结果V ,对于f , (λ Jail)的误差的概率分布不依赖于所述自然数a(I )，或者，存在无法与所述运算结果U ,对于f , (λ t)b(l)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果V ,对于f , (λ t)a(l)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
31.如权利要求24所述的代理计算系统，其中， 所述运算结果u ,对于f , (λ t )b(l)的误差的概率分布不依赖于所述自然数b ( ι )和/或所述运算结果V ,对于f , (λ Jail)的误差的概率分布不依赖于所述自然数a(I )，或者，存在无法与所述运算结果U ,对于f , (λ t)b(l)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果V ,对于f , (λ t)a(l)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
32.如权利要求26所述的代理计算系统，其中，所述运算结果U ,对于f , (λ t )b(l)的误差的概率分布不依赖于所述自然数b ( I )和/或所述运算结果V ,对于f , (λ Jail)的误差的概率分布不依赖于所述自然数a(I )，或者，存在无法与所述运算结果U ,对于f , (λ t)b(l)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果V ,对于f , (λ t)a(l)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
33.如权利要求28所述的代理计算系统，其中， 所述运算结果u ,对于f , (λ t )b(l)的误差的概率分布不依赖于所述自然数b ( ι )和/或所述运算结果V ,对于f , (λ Jail)的误差的概率分布不依赖于所述自然数a(I )，或者，存在无法与所述运算结果U ,对于f , (λ t)b(l)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果V ,对于f , (λ t)a(l)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
34.如权利要求29所述的代理计算系统，其中， 所述运算结果u ,对于f , (λ t )b(l)的误差的概率分布不依赖于所述自然数b ( ι )和/或所述运算结果V ,对于f , (λ Jail)的误差的概率分布不依赖于所述自然数a(I )，或者，存在无法与所述运算结果U ,对于f , (λ t)b(l)的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述运算结果V ,对于f , (λ t)a(l)的误差的概率分布区分的不依赖于所述自然数a的概率分布。
35.如权利要求17至20的任一项所述的代理计算系统，其中， 所述自然数a ( ι )或所述自然数b ( ι )是常数。
36.如权利要求 24所述的代理计算系统，其中， 所述自然数a ( ι )或所述自然数b ( ι )是常数。
37.如权利要求26所述的代理计算系统，其中， 所述自然数a ( ι )或所述自然数b ( ι )是常数。
38.如权利要求28所述的代理计算系统，其中， 所述自然数a ( ι )或所述自然数b ( ι )是常数。
39.如权利要求29所述的代理计算系统，其中， 所述自然数a ( ι )或所述自然数b ( ι )是常数。
40.一种代理计算系统，具有计算装置和能力提供装置，其中， G M、H M为矩阵的集合，f M (X M)为用于将作为集合H M的元的密码文X 1!通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量，M X !为概率变量M X !的实现值，M X 2为概率变量M X 2的实现值，a M为集合H 的元， 所述计算装置包括: 输入信息提供部，输出与所述密码文X M对应的作为集合H M的兀的第一输入信息Μ τ I和第二输入信息Μ τ2， 所述能力提供装置包括: 第一输出信息计算部，使用所述第一输入信息M T 1;以大于某一概率的概率准确地计算f (Mb)，将得到的计算结果设为第一输出信息μ Z 1;以及 第二输出信息计算部，使用所述第二输入信息M τ 2，以大于某一概率的概率准确地计算f I (Μ τ 2)，将得到的计算结果设为第二输出彳目息M Z 2， 所述计算装置还包括: 第一计算部，根据所述第一输出信息M Z I来生成计算结果UM=f I ( X l) + I X I ；第二计算部，根据所述第二输出信息M Z 2来生成计算结果vM=f M(xM)aM + Mx.2 ；以及 最终输出部，在所述计算结果U 1!和V M满足U M.a M = V M的情况下输出U MO
41.如权利要求40所述的代理计算系统，其中， 所述计算装置包括用于选择所述集合H M的元a M的矩阵选择部， 所述第二输入信息M τ 2进而对应于所述元a M。
42.如权利要求41所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文X 的关系的信息设为所述第一输入信息M τ I和所述第二输入信息Μ τ 2。
43.如权利要求40所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述密码文X 的关系的信息设为所述第一输入信息μ τ ι和所述第二输入信息Μ τ 2。
44.如权利要求40至43的任一项所述的代理计算系统，其中， K、ι、q为正整数，.T为.的转置矩阵，G μ为ι X ι矩阵的集合，H μ为ι X ι矩阵的集合，P K为作为加密密钥的t X K矩阵，S K为作为满足P K.S K = O的t X t矩阵的所述解码密钥，C M为K X ι矩阵，NM为ι X ι矩阵，UM为ι X ι单位矩阵，所述解码函数 fM 为 SK—USK.X M.S K T (m ο d q )} (S K T) (mod 2), 所述输入信息提供部包括: 第一随机矩阵选择部，随机地选择所述集合G μ的元M E1 ； 第二随机矩阵选择部，选择K X ι的随机的矩阵CM 11和0 1^ 12 ； 第一加密部，生成第一密码文C κ1=ΡΚ.CM+2.NM + M E1 (mod q)； 第二加密部，生成第二密码文C m = PK* CM+2*NM + UM(mod q)； 第一输入信息计算部，作为所述第一输入信息Μ τ i得到(X M.C UM + C K1) + P K.CM η + 2.NM + C M 12Τ.ΡΚΤ； 第三随机矩阵选择部，随机地选择所述集合G μ的元M Ε2 ； 第四随机矩阵选择部，选择K X ι的随机的矩阵01^21和01^22; 第三加密部，生成第三密码文C Ε2 = ΡΚ * CM+2* NM + M E2 (mod q)； 第四加密部，生成第四密码文C a = P K.CM+2.NM+ a M (m o d q);以及第二输入信息计算部，作为所述第二输入信息Μ τ 2得到(X M.C a + C K2) + P K.CM 21 + 2.N M + C M 22Τ.ΡΚΤ, 所述第一计算部作为所述计算结果u μ生成Μ ζ i —M E1, 所述第二计算部作为所述计算结果V M生成M Z 2—MK2。
45.如权利要求40至43的任一项所述的代理计算系统，还具有: 解码控制装置， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令，所述能力提供装置包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M Z ι和所述第二输出信息M Z 2的两方。
46.如权利要求44所述的代理计算系统，还具有: 解码控制装置， 所述解码控制装置包括输出部，该输出部对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令， 所述能力提供装置包括控制部，该控制部按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M Z ι和所述第二输出信息M Z 2的两方。
47.一种计算装置，具有第一计算部、第二计算部和最终输出部，其中， G、H为群，f (X)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数， 所述第一计算部生成计算结果U = f (x)b X 1； 所述第二计算部生成计算结果V = f ( X ) a X 2， 所述最终输出部在所述计算结果u和V满足u a = V b的情况下，输出关于满足a ’a + b’ b = I 的整数 a’，b’ 的u b’ V a’。
48.如权利要求47所述的计算装置，还具有: 输入信息提供部，输出与所述密码文X对应的作为所述群H的元的第一输入信息T1和第二输入信息τ2， 所述第一计算部根据以大于某一概率的概率准确地计算f ( τ P而得到的计算结果即第一输出信息Z i,生成所述计算结果U = f ( X ) b X P 所述第二计算部根据以大于某一概率的概率准确地计算f ( τ 2)而得到的计算结果即第二输出信息Z 2,生成所述计算结果V = f ( X ) a X 2。
49.如权利要求48所述的计算装置，还具有 自然数选择部，选择所述自然数a、b的至少一方， 所述第一输入信息^进而对应于所述自然数b，所述第二输入信息τ2进而对应于所述自然数a。
50.如权利要求49所述的计算装置，其中， 所述输入信息提供部将搅乱了与所述密码文X的关系的信息设为所述第一输入信息T1和所述第二输入信息τ2。
51.如权利要求48所述的计算装置，其中， 所述输入信息提供部将搅乱了与所述密码文X的关系的信息设为所述第一输入信息T1和所述第二输入信息τ2。
52.如权利要求48至51的任一项所述的计算装置，其中， 所述解码函数f (X)为准同型函数，所述群H为巡回群，所述巡回群H的生成元为μh，所述巡回群H的位数Skh，且V = f (Uh), 所述输入信息提供部包括:第一随机数生成部,生成O以上的自然数的随机数r I ； 第一输入信息计算部，作为所述第一输入信息T1计算μ f X b; 第二随机数生成部，生成O以上的自然数的随机数r 2;以及 第二输入信息计算部，作为所述第二输入信息τ2计算μ, X % 所述第一输出信息ζ i是以大于某一概率的概率准确地计算f ( μ: X b)而得到的计晳奸里异芩口米， 所述第二输出信息ζ 2是以大于某一概率的概率准确地计算f ( μ f X a)而得到的计晳奸里异芩口米， 所述计算结果U是Z lV-rl, 所述计算结果V是ζ 2( 2。
53 .如权利要求48至51的任一项所述的计算装置，其中， 所述群H为直积群G X G，所述解码函数f (X)为准同型函数，所述群G为巡回群，所述巡回群G的生成元为yg，所述巡回群G的位数为Ke，x = (c i，c 2)，(V，W)为所述群H 的元，且 f (V, W) =Y, 所述输入信息提供部包括: 第四随机数生成部，生成O以上的自然数的随机数r 4； 第五随机数生成部，生成O以上的自然数的随机数r 5； 第一输入信息计算部，作为所述第一输入信息τ i，计算c 2b W 和c广V μ /5 ； 第六随机数生成部，生成O以上的自然数的随机数r 6； 第七随机数生成部，生成O以上的自然数的随机数r 7;以及 第二输入信息计算部，作为所述第二输入信息τ 2计算c 2a W r6和c J V μ /7， 所述第一输出信息ζ 1是以大于某一概率的概率准确地计算f(c !b V Γ4μ/5, c 2bWrt)而得到的计算结果， 所述第二输出信息ζ 2是以大于某一概率的概率准确地计算f (c !a V rV/7, c 2aWrf)而得到的计算结果， 所述计算结果u是z !Y-r4U/5, 所述计算结果V是z 2 Y_rfy/7。
54.如权利要求48至51的任一项所述的计算装置，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f ( X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
55.如权利要求52所述的计算装置，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f (X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
56.如权利要求53所述的计算装置，其中， 所述计算结果u对于f (X ) b的误差的概率分布不依赖于所述自然数b和/或所述计算结果V对于f ( X ) a的误差的概率分布不依赖于所述自然数a，或者，存在无法与所述计算结果u对于f ( X ) b的误差的概率分布区分的不依赖于所述自然数b的概率分布和/或存在无法与所述计算结果V对于f (X ) a的误差的概率分布区分的不依赖于所述自然数a的概率分布。
57.如权利要求48至51的任一项所述的计算装置，其中， 所述自然数a或所述自然数b是常数。
58.如权利要求52所述的计算装置，其中， 所述自然数a或所述自然数b是常数。
59.如权利要求53所述的计算装置，其中， 所述自然数a或所述自然数b是常数。
60.一种计算装置，具有第一计算部、第二计算部和最终输出部，其中， G M、H M为矩阵的集合，f M (X M)为用于将作为集合H M的元的密码文X 1!通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量，M X !为概率变量M X !的实现值，M X 2为概率变量M X 2的实现值，a M为集合H 的元， 所述第一计算部生成计算结果uM=f I ( X ι) + I X I 所述第二计算部生成计算结果VM=fM(xM)aM + Mx；i， 所述最终输出部在所述计算结果U M和V M满足U M.a M = V M时输出U MO
61.如权利要求60所述的计算装置，还包括: 输入信息提供部，输出与所述密码文X M对应的作为集合H M的兀的第一输入信息Μ τ I和第二输入信息Μ τ2， 所述第一计算部根据以大于某一概率的概率准确地计算f (MT1)而得到的计算结果即第一输出信息M Z i,生成所述计算结果UM=f M ( X M) + Μ X 所述第二计算部根据以大于某一概率的概率准确地计算f (Μτ2)而得到的计算结果即第二输出信息M Z 2，生成所述计算结果vM=f I (x M> a μ + μ X 2ο
62.如权利要求61所述的计算装置，还具有， 矩阵选择部，选择所述集合H M的元a M， 所述第二输入信息M τ 2进而对应于所述元a M。
63.如权利要求62所述的计算装置，其中， 所述输入信息提供部将搅乱了与所述密码文X 的关系的信息设为所述第一输入信息μ τ ι和所述第二输入信息Μ τ 2。
64.如权利要求61所述的计算装置，其中， 所述输入信息提供部将搅乱了与所述密码文X 的关系的信息设为所述第一输入信息μ τ ι和所述第二输入信息Μ τ 2。
65.如权利要求61至64的任一项所述的计算装置,其中， K、ι、q为正整数，.T为.的转置矩阵，G μ为ι X ι矩阵的集合，H μ为ι X ι矩阵的集合，P K为作为加密密钥的t X K矩阵，S K为作为满足P K.S K = O的t X t矩阵的所述解码密钥，C M为K X I矩阵，NM为I X I矩阵，UM为ι X ι单位矩阵，所述解码函数 fM 为 SK—USK.X M.S K T (m ο d q )} (S K T) (mod 2), 所述输入信息提供部包括: 第一随机矩阵选择部，随机地选择所述集合G μ的元M E1 ； 第二随机矩阵选择部，选择K X ι的随机的矩阵CM 11和0 1^ 12 ； 第一加密部，生成第一密码文C κ1=ΡΚ.CM+2.NM + M E1 (mod q)； 第二加密部，生成第二密码文C ra = PK*CM+2*NM + UM(mod q)； 第一输入信息计算部，作为所述第一输入信息Μ τ i得到(X M.C UM + C K1) + P K.CM η + 2.NM + C M 12Τ.ΡΚΤ； 第三随机矩阵选择部，随机地选择所述集合G μ的元M Ε2 ； 第四随机矩阵选择部，选择K X ι的随机的矩阵01^21和01^22; 第三加密部，生成第三密码文C Ε2 = ΡΚ * CM+2* NM + M E2 (mod q)； 第四加密部，生成第四密码文C a = P K.CM+2.NM+ a M (m o d q);以及第二输入信息计算部，作为所述第二输入信息Μ τ 2得到(X M.C a + C K2) + P K.CM 21 + 2.N M + C M 22Τ.ΡΚΤ, 所述第一计算部作为所述计算 结果U M生成Μ Z i —Μ E1, 所述第二计算部作为所述计算结果V M生成M Z 2—MK2。
66.一种能力提供装置，具有第一输出信息计算部和第二输出信息计算部，其中， G、H为群，f (X)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数， 所述第一输出信息计算部使用与所述密码文X对应的作为所述群H的元的第一输入信息τ i，以大于某一概率的概率准确地计算f ( τ P，将得到的计算结果设为第一输出信^窗、ζ ι， 所述第二输出信息计算部使用与所述密码文X对应的作为所述群H的元的第二输入信息τ2，以大于某一概率的概率准确地计算f ( τ2)，将得到的计算结果设为第二输出信;窗、Z 2。
67.如权利要求66所述的能力提供装置，其中， 所述解码函数f (X)为准同型函数，所述群H为巡回群，所述巡回群H的生成元为μh，所述巡回群H的位数为K H,且V = f ( μ h)，r ι和r 2为O以上的自然数的随机数，所述第一输出信息计算部使用所述第一输入信息μ: X b，以大于某一概率的概率准确地计算f ( μ: X b)，将得到的计算结果设为所述第一输出信息ζ 1； 所述第二输出信息计算部使用所述第二输入信息μ:X a，以大于某一概率的概率准确地计算f ( μ: X a)，将得到的计算结果设为第二输出信息ζ 2。
68.如权利要求66所述的能力提供装置，其中， 所述群H为直积群G X G，所述解码函数f (X)为准同型函数，所述群G为巡回群，所述巡回群G的生成元为yg，所述巡回群G的位数为Ke，x = (c i，c 2)，(V，W)为所述群H的元,且f (V，W) = Y, r 4、r 5、r 6和r 7为O以上的自然数的随机数， 所述第一输出信息计算部使用所述第一输入信息c V r4ygr5和c 2b W r4，以大于某一概率的概率准确地计算f ( C V r4ygr5, C 2b W rt)，将得到的计算结果设为所述第一输出信息ζ 1 所述第二输出信息计算部使用所述第二输入信息C !a V Γ6μ/7和C 2a W r6,以大于某一概率的概率准确地计算f ( C J V rV/7, C 2a W Λ)，将得到的计算结果设为所述第二输出信息ζ 2。
69.如权利要求66至68的任一项所述的能力提供装置，还具有: 控制部，按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z I和所述第二输出信息Z 2的两方。
70.如权利要求66所述的能力提供装置，其中， G^H1为群，ω为2以上的整数，ι = I,..., ω，f t (A1)为用于将作为所述群H t的元的密码文λ t通过特定的解码密钥s t进行解码而得到所述群G t的元的解码函数，Xt，2为在所述群G t中取值的概率变量，X u为概率变量X u的实现值，X为概率变量X的实现值，a ( ι ),b ( ι )为互质的自然数，所述群G为群G i，所述群H为群H i，所述密码文X为密码文X1，所述解码函数f (X)为解码函数f i (A1),所述概率变量X !为概率变量X u，所述概率变量X 2为概率变量X 1;2，所述实现值X !为实现值Xlil,所述实现值X 2为实现值X 2，所述自然数a为自然数a (I )，所述自然数b为自然数b (I), 所述第一输出信息计算部使用所述第一输入信息τ , 以大于某一概率的概率准确地计算f , ( τ 1:1)，将得到的计算结果作为第一输出信息ζ ιΛ而输出， 所述第二输出信息计算部使用所述第二输入信息τ，以大于某一概率的概率准确地计算f , ( τ、2)，将得到的计算结果作为第二输出信息ζ而输出， 该能力提供装置还具有控制部，该控制部按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息ζ 1;1和所述第二输出信息Z 的两方。
71.如权利要求70所述的能力提供装置，其中， 所述解码控制命令对应于其中一个所述解码函数f ,， 所述控制部控制是否输出与对应于所述解码控制命令的所述解码函数f,对应的所述第一输出信息Z , 和所述第二输出信息Z 1>2的两方。
72.一种能力提供装置，具有第一输出信息计算部和第二输出信息计算部，其中， G M、H M为矩阵的集合，f M (X M)为用于将作为集合H M的元的密码文X 1!通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量，M X !为概率 变量M X !的实现值，M X 2为概率变量M X 2的实现值，a M为集合H 的元， 所述第一输出信息计算部使用与所述密码文X M对应的第一输入信息M τ 1；以大于某一概率的概率准确地计算f Μ (MT1),将得到的计算结果设为第一输出信息M Z ” 所述第二输出信息计算部使用与所述密码文X 对应的第二输入信息Μ τ 2，以大于某一概率的概率准确地计算f Μ (Μτ2)，将得到的计算结果设为第二输出信息M Z 2。
73.如权利要求72所述的能力提供装置，其中， K、1、q为正整数，.T为.的转置矩阵，G M为I X I矩阵的集合，H M为I X I矩阵的集合，P K为作为加密密钥的t X K矩阵，S K为作为满足P K.S K = O的t X t矩阵的所述解码密钥，C M为K X I矩阵，NM为I X I矩阵，UM为ι X ι单位矩阵，所述解码函数 fM 为 SK—USK.X M.S K T (m ο d q )} (S K T) (mod 2)0
74.如权利要求72或73所述的能力提供装置，包括: 控制部，按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M Z ι和所述第二输出信息μ Z 2的两方。
75.—种代理计算方法，具有: 在计算装置中，输出与密码文X对应的作为所述群H的元的第一输入信息T1和第二输入信息τ 2的步骤； 在能力提供装置中，使用所述第一输入信息τ i，以大于某一概率的概率准确地计算f(τ P，将得到的计算结果设为第一输出信息ζ !的步骤； 在所述能力提供装置中，使用所述第二输入信息τ2，以大于某一概率的概率准确地计算f ( τ 2)，将得到的计算结果设为第二输出信息ζ 2的步骤； 在所述计算装置中，根据所述第一输出信息ζ 1来生成计算结果U= f (x)b X i的步骤； 在所述计算装置中，根据所述第二输出信息ζ 2来生成计算结果V = f (x)a X 2的步骤；以及 在所述计算装置中，在所述计算结果u和V满足u a = V b的情况下， 输出关于满足a ’a + b ’ b = I的整数a ’，b ’的u b’ V a’的步骤， 其中，G为群，f (X)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数。
76.如权利要求75所述的代理计算方法，还具有: 解码控制装置对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令的步骤；以及 所述能力提供装置按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息z i和所述第二输出信息ζ 2的两方的步骤。
77.如权利要求75所述的代理计算方法，其中， G^H1为群，ω为2以上的整数，ι = I,..., ω，f t (A1)为用于将作为所述群H t的元的密码文λ t通过特定的解码密钥s t进行解码而得到所述群G t的元的解码函数，Xt，2为在所述群G t中取值的概率变量，X u为概率变量X u的实现值，X为概率变量X的实现值，a ( ι ),b ( ι )为互质的自然数，所述群G为群G i，所述群H为群H i，所述密码文X为密码文X1，所述解码函数f (X)为解码函数f i (A1),所述概率变量X !为概率变量X u，所述概率变量X 2为概率变量X 1;2，所述实现值X !为实现值Xlil,所述实现值X 2为实现值X 2，所述自然数a为自然数a (I )，所述自然数b为自然数b (I), 该代理计算方法具有: (A)在所述计算装置中，输出与所述密码文λ t对应的作为所述群H t的元的第一输入信息τ 1;1和第二输入信息τ 1；2的步骤；(B)在所述能力提供装置中，使用所述第一输入信息τq，以大于某一概率的概率准确地计算f , ( τ 1:1)，将得到的运算结果作为第一输出信息ζ ιΛ而输出的步骤； (C)在所述能力提供装置中，使用所述第二输入信息τ，以大于某一概率的概率准确地计算f , ( τ、2)，将得到的计算结果作为第二输出信息ζ而输出的步骤； (D)在所述计算装置中，根据所述第一输出信息ζιΛ来生成运算结果u ^fl(Al)b(l) X ιΛ的步骤； (E)在所述计算装置中，根据所述第二输出信息ζ来生成运算结果V^fl(Al)a(l) X的步骤；以及 (F)在所述计算装置中，在所述运算结果ul和V t满足u ta(l) = V严1)的情况下，输出关于满足a ’ ( ι ) a ( ι ) + b ( ι ) b ( ι ) = I的整数a ’( t )、b ’( t )的u广’ (1) V广(1)的步骤， 所述步骤(B)和所述步骤(C)是， 按照从解码控制装置输出的用于控制所述计算装置的解码处理的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z11和所述第二输出信息ζ的两方的步骤。
78.—种代理计算方法，具有: 在计算装置中，输出与密码文X M对应的作为集合H M的元的第一输入信息M T1和第二输入信息Μ τ 2的步骤； 在能力提供装置中，使用所述第一输入信息Μ τ 1;以大于某一概率的概率准确地计算f (Μτ P，将得到的计算结果设为第一输出信息μ ζ ,的步骤； 在所述能力提供装置中，使用所述第二输入信息M τ 2，以大于某一概率的概率准确地计算f (Μτ2)，将得到的计算结果设为第二输出信息μ ζ 2的步骤； 在所述计算装置中，根据所述第一输出信息Μ Z 1来生成计算结果U M = f M (X M) +I X I的步骤； 在所述计算装置中，根据所述第二输出信息M Z 2来生成计算结果V M= f M(xM)aM +IX 2的步骤；以及 在所述计算装置中，在所述计算结果U M和V M满足U M.a M = V M的情况下输出U I的步骤， 其中，G M、H M为矩阵的集合，f Μ (X M)为用于将作为集合H M的元的密码文X M通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量， X !为概率变量M X !的实现值， X 2为概率变量M X 2的实现值，a M为集合H M的元。
79.如权利要求78所述的代理计算方法，还具有: 解码控制装置对所述能力提供装置输出用于控制所述计算装置的解码处理的解码控制命令的步骤；以及 所述能力提供装置按照所述解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息M Z I和所述第二输出信息M Z 2的两方的步骤。
80.一种计算方法，具有:在第一计算部中生成计算结果U = f (x)b X I的步骤； 在第二计算部中生成计算结果V = f (X ) a X 2的步骤；以及在最终输出部中，在所述计算结果U和V满足U a = V b的情况下，输出关于满足a ’a + b ’ b = I的整数a ’、b ’的u b’ V a’的步骤， 其中，G、H为群，f(x)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数。
81.一种计算方法，具有: 在第一计算部中生成计算结果U I = f M(xM) + MX1的步骤；在第二计算部中生成计算结果VM=fM(xM)aM + MX2的步骤；以及在最终输出部中，在所述计算结果U M和V M满足U M.a M = V M时输出U M的步骤，其中，G M、H M为矩阵的集合，f M (X M)为用于将作为集合H M的元的密码文X M通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量， X !为概率变量M X !的实现值， X 2为概率变量M X 2的实现值，a M为集合H M的元。
82.一种能力提供方法，具有: 在第一输出信息计算部中，使用与密码文X对应的作为群H的元的第一输入信息τ i，以大于某一概率的概率准确地计算f ( τ i)，将得到的计算结果设为第一输出信息ζ !的步骤；以及 在第二输出信息计算部中，使用与所述密码文X对应的作为所述群H的元的第二输入信息τ2，以大于某一概率的概率准确地计算f ( τ2)，将得到的计算结果设为第二输出信息Z 2的步骤， 其中，G为群，f (X)为用于将作为所述群H的元的密码文X通过特定的解码密钥进行解码而得到所述群G的元的解码函数，XpX2为在所述群G中取值的概率变量，X i为概率变量X !的实现值，X 2为概率变量X 2的实现值，a、b为互质的自然数。
83.如权利要求82所述的能力提供方法，包括: 按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息Z !和所述第二输出信息Z 2的两方的步骤。
84.如权利要求82所述的能力提供方法，其中， G^H1为群，ω为2以上的整数，ι = I,..., ω，f t (A1)为用于将作为所述群H t的元的密码文λ t通过特定的解码密钥s t进行解码而得到所述群G t的元的解码函数，Xt，2为在所述群G t中取值的概率变量，X u为概率变量X u的实现值，X为概率变量X的实现值，a ( ι ),b ( ι )为互质的自然数，所述群G为群G i，所述群H为群H i，所述密码文X为密码文X1，所述解码函数f (X)为解码函数f i (A1),所述概率变量X !为概率变量X u，所述概率变量X 2为概率变量X 1;2，所述实现值X !为实现值Xlil,所述实现值X 2为实现值X 2，所述自然数a为自然数a (I )，所述自然数b为自然数b (I), 该能力提供方法具有: (A)在第一输出信息计算部中，使用与所述密码文λ t对应的第一输入信息τ t l，以大于某一概率的概率准确地计算f , ( τ㈡)，将得到的运算结果设为第一输出信息ζ ιΛ的步骤；以及 (B)在第二输出信息计算部中，使用与所述密码文λ t对应的第二输入信息τ t,2，以大于某一概率的概率准确地计算f , ( τ、2)，将得到的计算结果设为第二输出信息ζ的步骤， 所述步骤(A)和所述步骤(B)包括: 按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一输出信息ζ ιΛ和所述第二输出信息ζ的两方的步骤。
85.一种能力提供方法，具有: 在第一输出信息计算部中，使用与密码文X M对应的第一输入信息Mt1,以大于某一概率的概率准确地计算f 将得到的计算结果设为第一输出信息μ Z i的步骤；以及 在第二输出信息计算部中，使用与所述密码文X 对应的第二输入信息M τ 2，以大于某一概率的概率准确地计算f (Μτ2)，将得到的计算结果设为第二输出信息M ζ 2的步骤， 其中，G Μ、H M为矩阵的集合，f Μ (X M)为用于将作为集合H M的元的密码文X M通过特定的解码密钥进行解码而得到集合G M的元的解码函数，M X1^mX2为在集合G M中取值的概率变量， X !为概率变量M X !的实现值， X 2为概率变量M X 2的实现值，a M为集合H M的元。
86.如权利要求85所述的能力提供方法，包括: 按照所输入的解码控制命令，控制是否从所述第一输出信息计算部和所述第二输出信息计算部输出所述第一 输出信息M Z ι和所述第二输出信息μ Z 2的两方的步骤。
87.一种代理计算系统，具有能力提供装置和Φ个计算装置Φ，其中， CP= I，..., Φ, Φ为2以上的整数，G9、Hcp为群，f φ为将所述群Hfp的元映射到所述群Gcp的元的函数，a (φ)、b ( φ )为互质的自然数，对于所述群Ηφ的元Mtp的类C Ltp (Mtp)为以所述群Gtp的元f P ( Μφ) 作为元素的集合，Xw、X<p，2为在所述群Gq)中取值的概率变量，X φ，1为概率变量的实现值，X φ,2为概率变量Χφ,2的实现值， 所述计算装置φ的各个包括输入信息提供部，该输入信息提供部输出与所述群H 0勺兀χ φ对应的作为所述群Ηφ的兀的第一输入信息Τφ,ι和第二输入信息τφ，2， 所述能力提供装置包括: 第一输出信息计算部，使用所述第一输入信息％，1，以大于某一概率的概率准确地计算f φ (τφ, )，将得到的运算结果设为第一输出信息Z & ;以及 第二输出信息计算部，使用所述第二输入信息化，2，以大于某一概率的概率准确地计算f φ ( τφ，2 ),将得到的计算结果设为第二输出信息Z φ>2, 所述计算装置Φ的各个还包括: 第一计算部，根据所述第一输出信息Z pj来生成运算结果U φ = f φ ( X φ )Μφ) X φ;1 ; 第二计算部，根据所述第二输出信息Ztp2来生成运算结果Vcp= f φ( X φ )3(Ψ) X φ；2 ；以及 最终输出部，输出关于对于所述运算结果11φ的值U 和对于所述运算结果Vtp的值V,-属于对于互相相同的元Mp的类C Lq5 ( Mq5)的情况下的所述运算结果u φ和所述运算结果 V φ、和满足a ’( φ ) a (φ) + blip) b (φ)=的整数 a’( φ )、b’(φ)的值 U<p_v/W。
88.如权利要求87所述的代理计算系统，其中， 所有的所述群Gtp (φ= 1，..., Φ)相同，所有的所述群Hfp (φ= 1，...，φ)相同，所有的所述函数f φ (φ= I，…，Φ)相同， 所述第一输出信息计算部对每个φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ' )， 所述第二输出信息计算部对每个φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ 2 ) ο
89.如权利要求88所述的代理计算系统，其中， 所述计算装置φ的各个包括用于选择所述自然数a (φ)、b (φ)的至少一方的自然数选择部， 所述第一输入信肩Tipi进而对应于所述自然数b (φ)，所述第二输入信息τ<ρ，2进而对应于所述自然数a ( ο ):
90.如权利要求87所述的代理计算系统，其中， 所述计算装置φ的各个包括用于选择所述自然数a (φ), b (φ)的至少一方的自然数选择部， 所述第一输入信息τφ,ι进而对应于所述自然数b ( φ )，所述第二输入信息τφ，2进而对应于所述自然数a (φ)。
91.如权利要求87所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述元χφ的关系的信息设为所述第一输入信息τφ,I和所述第二输入信息τΦ -。
92.如权利要求88所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述元Χφ的关系的信息设为所述第一输入信息和所述第二输入信息τΦ，2。
93.如权利要求89所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述元Χ P的关系的信息设为所述第一输入信息τφ>1和所述第二输入信息τ*Ρ'2。
94.如权利要求90所述的代理计算系统，其中， 所述输入信息提供部将搅乱了与所述元X φ的关系的信息设为所述第一输入信息τφ，ι和所述第二输入信息τφ，2。
95.如权利要求87至94的任一项所述的代理计算系统，其中，所述函数f<p是准同型函数。
96.如权利要求95所述的代理计算系统，其中， 所述函数f<p为准同型函数，所述群Hcp为巡回群，μ*^为所述巡回群Ηφ的生成元，Ktp,H为所述巡回群Ηφ的位数，且
97.如权利要求96所述的代理计算系统，其中， 所述第一随机数生成部在.b (φ) 时生成所述随机数r ( φ，I )， 所述第一输入信息计算部在b (φ) 时作为所述第一输入信息!计算所述
98.如权利要求87至94的任一项所述的代理计算系统，其中， 所述群Ηφ为直积群GcpXGf所述函数为准同型函数，所述群Gcp为巡回群，所述巡回群Gtp的生成元为μ_，所述巡回群Gtp的位数为κ#，χφ=(C φα, C φ；2 ), ( νφ, W9)为所述群 Ηφ 的元，且f φ ( Vf, ψφ) = Υφ, 所述输入信息提供部包括: 第四随机数生成部，生成O以上的自然数的随机数γ (C) 4) 第五随机数生成部,生成O以上的自然数的随机数Γ ( φ, 5) 第一输入信息计算部，作为所述第一输入信息，计算c φ,2Κφ%φΓ(φΛ及σ'P b(9)v _p，4),,电5).<P，1ψ 第六随机数生成部，生成O以上的自然数的随机数r (φ 6) 第七随机数生成部，生成O以上的自然数的随机数γ (φ 7);以及 第二输入信息计算部，作为所述第二输入信息τν，2计算c ^aWWq}r(<P'6)及σ α(φ) ν Γ(φ56) Γ(φ,7)L φ，1 ν φ Μ.φ，Ε ， 所述第一输出信息计算部使用所述第一输入信息C V φΓ(φ-4)μφ/φ'5)和C φ,2^φ^Λ，以大于某一概率的概率准确地计算f Φ ( c φ,V φΓ(φ'4)μφ/^5)，c <p.2bW胃)，将得到的计算结果设为所述第一输出信息ζ φ>1, 所述第二输出信息计算部使用所述第二输入信息c φ>13(φ) V φτ(%6)μφ/ψ'71和ccp/wW，6),以大于某一概率的概率准确地计算f φ ( c ν/_μψι产7)，ccp.l^W^-^ )，将得到的计算结果设为所述第二输出信息Z φ> 2, 所述第一计算部计算Z W Y而得到所述运算结果U， 所述第二计算部计算Z 0 Υν.’6)μφ /(φ’7)而得到所述运算结果V。
99.如权利要求87至94的任一项所述的代理计算系统，其中，所述函数 φ( Χφ)为用于将作为所述群Ηφ的元的所述元Χφ= Οφ；1 ( Y(φ I) mp)变换为所述群Gfp 的元f φ ( Χφ) = Cip ( y ( φ 2)，Hifp)的准同型函数，φ=1，...Φ C(pJ ( y < φ 1)，ηιφ )为按照第一加密方式E N Ctftl将平文η φ通过第一加密密钥y (φ I )加密后的密码文，Cc^2 ( y ( φ 2 ), ηιφ)为按照第二加密方式Eν Ctp 2将所述平文°^通过第二加密密钥y (Φ，2)加密后的密码文， 所述输入信息提供部: 第一随机数生成部，生成所述群Ηφ的任意的元h Γ φ, !； 第一输入信息计算部，作为所述第一输入信息^』计算Xcpb^Cyi Y (φ,I )， h r φ，1 )； 第二随机数生成部，生成所述群Hq5的任意的元以及第二输入信息计算部，作为所述第二输入信息τφ，2计算y (φ,I ), h r φ,2 )， 所述第一输出信息计算部使用所述第一输入信息XtpbwCqa ( y (φ, I),h Γ φ>1),以大于某一概率的概率准确地计算f φ ( X φΝφ) C φ4 ( y (φ, I )，h Γ φ>ι)) 将得到的计算结果设为所述第一输出信息ζ φ I 所述第二输出信息计算部使用所述第二输入信息XfpawCcpj ( y (φ, I),h r φ，2 )，以大于某一概率的概率准确地计算f φ ( X φ3(φ) C φΛ ( y ( φ I )，h γ φ，2 )),将得到的计算结果设为第二输出信息Ζ φ，2，所述第一计算部计算Zqu ( Ccm ( y (φ, 2) h r…))―1而得到所述运算结果U φ 所述第二计算部计算Z P，( Cm ( y (φ, 2) h γ φ_,2 )) 4而得到所述运算结果、
100.如权利要求99所述的代理计算系统，其中， 所述群GpS巡回群Gqpj.G#的直积群G^1XGtp,, μφ,β1为所述巡回群Gcpi的生成元，P*p,g2为所述巡回群Gcp,2的生成元，s (φ, 2)为与所述第二加密密钥y (φ，2)对应的解码密钥，所述第二加密密钥y (φ, 2 )为μφ, g2S(< ,2) γ (φ)为整数的随机数，所述元(^，2 ( y (φ, 2), ^tp)为(μ<Μ _，ηιφγ (φ, 2)Γ(φ)),所述值 u φ咖为(c φ=1υ, c.) E G^1X G^2,所述值 ν φ￥φ)为(C φ， ν，C φ’2ν ) E G(p，ix Gφ，2， φ ( Ct^ β )为对(Cl，β ) E Gφ，ιχ Gφ，2 提供巡回群Gcpj的元的双线型映像， 所述最终输出部输出在满足关系δφ( μφ,8ι，C φ，2ιι ) / e φ ( C <pju， y (φ，2)) = e φ ( μφ>8 , εφ,2ν) / e φ ( Cspjv, y (φ, 2 ))时的所述值 u </(Φ) ν 中咖)。
101.如权利要求100所述的代理计算系统，其中， Ntp为质数ωφ与质数Ifp的合成数，所述巡回群Gfpj.Gqa分别为由在以所述合成数Νφ作为法的剩余环上定义的第一椭圆曲线Eφ, !上的点构成的部分群，Gipjco, Gfpj2t0为由在以所述质数作为法的剩余体上定义的第二椭圆曲线Eqa上的点构成的部分群，Gcp,h、G%2l为由在以所述质数作为法的剩余体上定义的第三椭圆曲线Ecp3上的点构成的部分群，6 φ，ω (CX0), βω)为对(α<Β，βω) EG(^0)提供巡回群的兀的第二双线型映像，e料(如氏)为对U1,队)EGylXGc^2l提供巡回群Gfp,元的第三双线型映像，HMfp S将所述第一椭圆曲线Etpa上的点映射到所述第二椭圆曲线E%2上的点和所述第三椭圆曲线E#上的点的同型映像，HMt/1为所述同型映像HMtp的逆像， 所述计算装置φ的各个还包括: 判定部，使用所 述同型映像H Μφ,将所述第一椭圆曲线Ecm上的点α映射到所述第二椭圆曲线Etp,2上的点θω(α)和所述第三椭圆曲线Εφ,3上的点θ, (α)，使用所述同型映像ΗΜφ，将所述第一椭圆曲线Ecpl上的点β映射到所述第二椭圆曲线Ec上的点θ ω ( β )和所述第三椭圆曲线E #上的点θ t ( β )，并求出e φ ( θω (α), θω ( β ))和e φ>ι ( 0t ( α), G1 ( β )),并作为 e φ ( α, β )而求出对于 e φ，ω ( θω ( α), θω ( β ))和e %l (汰(α), θ, ( β ))的所述逆像η Μ/，并判定是否满足上述关系。
102.如权利要求87至94的任一项所述的代理计算系统，其中， 所述群Ηφ为巡回群Hb、H2itp的直积群所述巡回群H1,^的生成元为ηι P所述巡回群H2 P的生成元为η2，φ，f φ为将所述巡回群Η1#的元和所述巡回群Η2>(ρ的元的组映射到所述群Gcp的元的双准同型映象，所述群Η φ的元X φ为所述巡回群H 1ι(ρ的元人i Ρ和所述巡回群Η2,φ的元人φ的组，且Ωφ= f φ ( η ,φ, η2,φ ).所述输入信息提供部包括: 第一随机数生成部，生成O以上的自然数的随机数r ( φ, 11)、r ( φ,12)、 γ ιψ Π ) r 、ιρ 14), r (φ ] 5) r ι ψ 16); 第一输入信息计算部，作为所述第一输入信息τφ>1，计算(λ1>ψη_1(<Μ1Μ<Μ2)，I Μφ) Γ(φ,13).τ(φ,14) \ / Γ(φ,11) λ Φ(φ).τ(φ,12) Γ(φ,15) \ in ( r1-rCcP=1 ^rl Γ(φ，16)人2，φ η2,φ)、V η ,φ ，人2，φη2,φ> 和、人Ι,φ ,φ， 电13) νη2,φ Λ 第二随机数生成部，生成O以上的自然数的随机数(φ，21)、γ (φ, 22)、τ ( φ 23 )、r (φ, 24)、r (φ, 25 )、r (φ, 26);以及 第二输入信息计算部，作为所述第二输入信息％2，计算(λ^η^^21).1#22)，I a(9) Γ(φ,23).Γ(φ,24) \ ( Γ(φ,21) λ -a(cp).Γ(φ,22) Γ(φ,25)、壬π f ) -γ(Φ,24) r(cp，26)人2,φ ]2,φ八 V η Ι,φ,人2，φ^2,ψf 和 V 人1,φΤ| ,φ， Γ(φ，23) χ 所述第一输出信息计算部使用所述第一输入信息b，1，以大于某一概率的概率准确地计算 f丨).咖，f φ( η /φ'Π), λ2；φ bWΤ(φ,12)η2 φ (φ,15))和 f * ( λι ^14)η φΓ(φ.16) %，^(<p，13))，将得到的运算结果ζ φ } 1、Ζ φ^2和Ζ φ,1，3设为所述第一输出信息Ζ φ，1， 所述第二输出信息计算部使用所述第二输入信息Τφ，2，以大于某一概率的概率准确地计算Mk旅产21).22),λ2/(φ)η2/φ'23).*，24)Χ (卟/训八切咖 琳 22Vc^25))和f Φ (％/φ’23))，将得到的运算结果 Z 似、Z φΛ2和Ζ φ.2,3'设为所述第二输出信息Z φ2 所述第一计算部计算ζ Φ,u ζ叫ζ社為■-刷.偶..r(<M5K(<M3).r((Mf>)而得到所述运算结果Uf
103.如权利要求87至94的任一项所述的代理计算系统，其中， 所述运算结果Uip对于( Χφ) b(<P)的误差的概率分布不依赖于所述自然数b ( φ)和/或所述运算结果ν ψ对于Ftp ( χψ) aW的误差的概率分布不依赖于所述自然数a (φ)，或者，存在无法与所述运算结果Utp对于|^ ( Χφ) bw的误差的概率分布区分的不依赖于所述自然数b ( φ)的概率分布和/或存在无法与所述运算结果ν φ对于f φ ( Xcp) 的误差的概率分布区分的不依赖于所述自然数a (φ)的概率分布。
104.如权利要求87至94的任一项所述的代理计算系统，其中， 所述自然数a (φ)或所述自然数b (φ)是常数。
105.一种能力提供装置，具有第一输出信息计算部和第二输出信息计算部，其中， φ=1，…，Φ, Φ为2以上的整数，G1 Π,为群， φ为将所述群Ηφ的元映射到所述群Gtp的元的函数，a (φ)、b (φ)为互质的自然数，对于所述群的元Mq5的类C L为以所述群Gtp的元Itp(Mt p) a—作为元素的集合Xpl、X-为在所述群‘Gcp中取值的概率变量，X μ i为概率变量Xtp ^的实现值，X φ，2为概率变量X φ，2的实现值， 所述第一输出信息计算部使用与所述巡回群Hqj的元χ φ对应的作为所述群Hcp的元的第一输入信息τ^α，以大于某一概率的概率准确地计算f φ ( τφ>1 )，将得到的运算结果设为第一输出信息2 Μ， 所述第二输出信息计算部使用与所述群H9的元X φ对应的作为所述群Hcp的元的第二输入信息以大于某一概率的概率准确地计算f φ ( τφ；2 )，将得到的运算结果设为第二输出信息ζ Ψ，2。
106.如权利要求105所述的能力提供装置，其中， 所有的所述群Gtp (φ= 1，…，Φ)相同，所有的所述群Hcp (φ= I,..φ)同，所有的所述函数 *φ (φ=1,…，Φ)相同，所述第一输出信息计算部对每个9独立地，以大于某一概率的概率准确地计算f φ ( Τφ: ), 所述第二输出信息计算部对每个Φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ，2 )。
107.如权利要求105或106所述的能力提供装置，其中， 所述函数fcp为准同型函数，所述群Ηφ为巡回群，μφ, !为所述巡回群Htp的生成元，Κ<ρ，Η为所述巡回群Ηφ的位数，且Vtp= f ρ μφ> ι), 所述第一输出信息计算部使用所述第一输入信肩μΨ^ψΛ) X ΨΗψ\以大于某一概率的概率准确地计算f φ ( μφ,ι^^ X cpb(<p))，将得到的计算结果设为所述第一输出信肩Zp i 所述第二输出信息计算部使用所述第二输入信息X φ3(φ),以大于某一概率的概率准确地计算f φ ( m,hr(2) X φα(φ))，将得到的计算结果设为第二输出信息ζ衫。
108.如权利要求105或106所述的能力提供装置，其中， 所述群Hfp为直积群-Gq5XGf所述函数f<p为准同型函数，所述群Gfj力巡回群，所述巡回群Gfp的生成元为p^g，所述巡回群Gcp的位数为Xcp=(0φ=1, Cc^), ( νφ, W9)为所述群Hp 的元，且 ( Vcp, Wcp) = Υφ,r ( φ 4)、r ( φ, 5)、τ ( φ, 6)和1 ( φ 7 )为O以上的自然数的随机数，所述第一输出信息计算部使用所述第一输入信息c φ/(φ) V φτ(ψΑ)μψ/φ'5)和c <p,2bwWV_，以大于某一概率的概率准确地计算
109.如权利要求105或106所述的能力提供装置，其中， 所述函数f p( Χφ)为用于将作为所述群Hip的元的所述元Xcp =y(φ, I ), ηιψ)变换为所述群Gcp 的元f φ ( Xtp) = C^2 ( y (φ, 2), Intp)的准同型函数φ=1，…，Φ，Cipjl ( y (φ, 1)，Intp)为按照第一加密方式E N Cipj将平又Iiitp通过第一加密密钥y (φ, I )加密后的密码文，C # ( y ( φ, 2)，ηιφ)为按照第二加密方式E N Cip'2将所述平文η φ通过第二加密密钥y (φ, 2)加密后的密码文，h r w和h r %2为所述群Hcp的任意的元， 所述第一输出信息计算部使用所述第一输入信息Xcp15wCcm ( y (φ, 1)，h Γ φ,ι )，以大于某一概率的概率准确地计算f φ ( X 9bf<p) CqjJ ( y (φ, I )，h Γ φ>1)),将得到的计算结果设为所述第一输出信息ζ W， 所述第二输出信息计算部使用所述第二输入信息Xcpa(tp)C%1 ( y (φ, \ )^ ψα),以大于某一概率的概率准确地计算fcp ( χ φ3(φ) C φ>1 ( y (φ, I ) hr<p,2))，将得到的计算结果设为第二输出信息Ζ φ，2。
110.如权利要求105或106所述的能力提供装置，其中， 所述群Hip为巡回群H ^ 、Η2，φ的直积群H Hicp，所述巡回群Hmj的生成元为ηι,φ，所述巡回群H切的生成元为ηΖ(ρ，f Φ为将所述巡回群Hi(p的元和所述巡回群Η2#的元的组映射到所述群Gtp的元的双准同型映象，所述群Η φ的元χ φ为所述巡回群H ,.φ的元、,^和所述巡回群!^#的元 φ的组，且Dtp=f φ (ηι.φ, η2,φ )，γ (φ, 11)、 γ (φ，12)、 γ (φ, 13 ) r (φ, 14)、 r(φ 15 )、r (φ 16 )、γ (φ 21)、 γ (φ 22) γ (φ 23)、 r (φ,24)、γ (φ, 25)、γ (φ, 26 )为O以上的自然数的随机数，所述第一输入.( I π Γ{φ,Π).ι(φ,12) ^ Μφ) Γ(φ,13).Γ(φ,14) \ ( r((p，ll) λ -b(<p).1η 息 τφ1 为 I 人1，<ρΠ ，φ5 人2,φ η2,φ)、、η ，φ ，人2'φΓ(φ, 2)η2φΓ(φ. 5))和(电Μ)η^(φα6), η2/<Μ3)),所述第二输入信息 τφ2 为(I Γ(φ,21).Γ(φ,22) λ β(φ) Γ(φ,23).τ(φ,24) \ ( ι.(φ,21) -λ α(φ).Γ(φ,22) Γ(φ,25) \V人Ι,φ ,φ，人2,φ Τ]2,φV Τ] ，φ，人7.φΤ]2,φ) η( 1-Γ(Ψ.24) Γ(φ,26)Γ(φ,23) ν 和 V 人 1，φ η ,φ ，η2,φ 所述第一输出信息计算部使用所述第一输入信息τ< Μ，以大于某一概率的概率准确地计算f φ( ηι/φα ), λ2；φ bW 12)η2/_)和 f φ (‘琳14、，16), η2/φ'13))，将得到的运算结果、u、ζ 社2和2 φ,U设为所述第一输出信息2 φ,Ι，所述第二输出信息计算部使用所述第二输入信息％2，以大于某一概率的概率准确地计算 f Α Φ φΓ(φ，21).琳 22),^/(<%/满吻，24))、fVTli/9，21),、*) Γ(φ,22)η2φ (φ,25))和 f φ ( λι；φ^=24)ηι/^26),),将得到的运算结果 Z φΑ1、Z φ,2,2和Z φ,2，3设为所述第二输出信息Z cp,2。
111.一种代理计算方法，具有: 输入信息提供步骤，在Φ个计算装置φ的各个中，输出与群H ρ的元X φ对应的作为所述群Ηφ的兀的第一输入信息 φ，1和第二输入信息Τφ,2; 第一输出信息生成步骤，在能力提供装置中，使用所述第一输入信息Τφ I，以大于某一概率的概率准确地计算f φ ( %1 )，将得到的运算结果设为第一输出信息Z φ>1 ; 第二输出信息生成步骤，在所述能力提供装置中，使用所述第二输入信息Τφ，2，以大于某一概率的概率准确地计算f φ (τφ,2 )，将得到的计算结果设为第二输出信息ζ φ2, 第一计算步骤，在所述计算装置φ的各个中，根据所述第一输出信息Ζ Φ,Ι来生成运算结果 U9= μ ( Χφ) ^Χφ,Ι； 第二计算步骤，在所述计算装置Φ的各个中，根据所述第二输出信息Ζ φ，2来生成运算结果V φ = f φ ( Χφ)咖X φ,2；以及 最终输出步骤，在所述计算装置Φ的各个中，输出关于对于所述运算结果πφ的值UfPaw和对于所述运算结果Vtp的值ViPbw属于对于互相相同的元皿 P的类c Lcp ( Mcp)的情况下的所述运算结果Utp和所述运算结果V <ρ和满足a’(cp) a (φ) + b 5 (φ ) b (φ) =1的整数1’(屮)、 )_(φ)的值 ιαφΜφ)ν aW ν φ 5 其中，φ=1，..., Φ, Φ为2以上的整数，G<p、Hfp为群，f φ为将所述群Hqs的元映射到所述群Gtp的元的函数，a (φ)、b ( φ )为互质的自然数，对于所述群Ηφ的元Μφ的类C Ltp (Mcp)为以所述群Gfp的元(Mtp) awbw作为元素的集合，Χφ,Ι、Χφ，2为在所述群Gtp中取值的概率变量，Xcpl为概率变量Xcpj的实现值，Xcp，2为概率变量Χφ的实现值。
112.如权利要求111所述的代理计算方法，其中， 所有的所述群Gtp (φ= I,…，Φ)相同，所有的所述群Ηφ (φ=1，...Φ)相同，所有的所述函数fcp (Φ= I，…，Φ)相同， 所述第一输出 信息计算部对每个9独立地，以大于某一概率的概率准确地计算f φ ( Τφ，1 )，所述第二输出信息计算部对每个φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ，2 )。
113.一种能力提供方法，具有: 第一输出信息计算部使用与群Ηφ的元X φ对应的作为所述群Ηφ的元的第一输入信息%15以大于某一概率的概率准确地计算f φ ( τφ>1 )，将得到的运算结果设为第一输出信息的步骤；以及 第二输出信息计算部使用与所述群H ρ的元X φ对应的作为群Ηφ的元的第二输入信息Tcpp以大于某一概率的概率准确地计算〖φ (1^2)，将得到的运算结果设为第二输出信息ζ φ,2的步骤， 其中，φ=1,..., Φ, Φ为2以上的整数，G Ηφ为群，f φ为将所述群.Ηφ的元映射到所述群Gtp的元的函数，a (φ)、b (φ)为互质的自然数，对于所述群Ηφ的元Μφ的类C Lip (Mip)为以所述群Gtp的元！％ (Mcp) awbw作为元素的集合，Xtpl.Xcpi2为在所述群Gtp中取值的概率变量，Xtpi为概率变量Χφ，1的实现值，Χφ，2为概率变量X φ,2的实现值。
114.如权利要求113所述的能力提供方法，其中， 所有的所述群Gip (φ= I,…，Φ)相同，所有的所述群Ηφ (φ= 1，...，0)相同，所有的所述函数％ 4)-1，…，Φ)相同， 所述第一输出信息计算部对每个Φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ,Ι )， 所述第二输出信息计算部对每个Φ独立地，以大于某一概率的概率准确地计算f φ ( Τφ'2 ) ο
115.一种程序，用于使计算机作为权利要求47或60的计算装置发挥作用。
116.一种程序，用于使计算机作为权利要求66、72和105中的任意一个能力提供装置发挥作用。
117.—种存储介质，计算机可读取地存储有用于使计算机作为权利要求47或60的计算装置发挥作用的程序。
118.—种存储介质，计算机可读取地存储有用于使计算机作为权利要求66、72和105中的任意一个能力提供装置发挥作用的程序。
全文摘要
将Ｇ、Ｈ设为群，将ｆ(ｘ)设为对于ｘ∈Ｈ得到群Ｇ的元的函数，将Ｘ1、Ｘ2设为在群Ｇ中取值的概率变量，将ｘ1设为概率变量Ｘ1的实现值，将ｘ2设为概率变量Ｘ2的实现值，计算装置输出与密码文ｘ对应的τ1和τ2，能力提供装置使用τ1以大于某一概率的概率准确地计算ｆ(τ1)，将计算结果设为ｚ1，使用τ2以大于某一概率的概率准确地计算ｆ(τ2)，将计算结果设为ｚ2，计算装置根据ｚ1生成计算结果ｕ＝ｆ(ｘ)bｘ1，并根据ｚ2生成计算结果ｖ＝ｆ(ｘ)aｘ2，在计算结果ｕ和ｖ满足特定的关系的情况下输出ｕb’ｖa’。
文档编号G09C1/00GK103221988SQ20118005087
公开日2013年7月24日 申请日期2011年10月25日 优先权日2010年10月26日
发明者山本刚, 小林铁太郎 申请人:日本电信电话株式会社