秘密计算装置、秘密计算方法、程序以及记录介质与流程
本发明涉及块加密的秘密计算技术。
背景技术:
在共同密钥加密方式之一中,有aes(advancedencryptionstandard,高级加密标准)(例如,参照非专利文献1等)。在aes中,通过将元素的置换、行的循环移位、列的线性和以及循环密钥的相加反复进行的循环处理而进行加密。而且,在对明文按规定长度的每个块进行加密的加密利用模式之一中,有ctr模式。当aes以ctr模式实现时,在各块中执行循环处理,由此得到的每一块的密钥的密文被相加在各块的明文中。
现有技术文献
非专利文献
非专利文献1:danielj.bernstein,peterschwabe,“newaessoftwarespeedrecords,”indocrypt2008,progressincryptology-indocrypt2008pp.322-336.
技术实现要素:
发明要解决的课题
本发明的目的在于,通过秘密计算而有效地执行将元素的置换、行的循环移位、列的线性和以及循环密钥的相加反复进行的循环处理。
用于解决课题的方案
b为1以上的整数,r为3以上的整数,s为2以上的整数,u=s2,f为有限域。b=0,…,b-1,r=1,…,r,j=2,…,r,第1循环的循环处理包含处理p1,4,处理p1,4包含对由第1循环的循环密钥k1∈fu的元素构成的s×s矩阵的一个列的s个元素分别相加s个计数器值ib,0,…,ib,s-1,得到矩阵mb,1,4的处理。第j循环的循环处理包含处理pj,1、处理pj,2、处理pj,3和处理pj,4,处理pj,1包含对矩阵mb,j-1,4的各元素进行置换得到矩阵mb,j,1的处理,处理pj,2包含对每一行将矩阵mb,j,1的各元素进行循环移位得到矩阵mb,j,2的处理,处理pj,3包含得到将矩阵mb,j,2的各列的s个元素的线性和设为相应列的s个元素的矩阵mb,j,3的处理,处理pj,4が包含对矩阵mb,j,3的各元素相加第j循环的循环密钥kj的各元素,得到矩阵mb,j,4的处理。
秘密计算装置,进行前级处理,即,使用任意的循环密钥k1,…,k3的隐匿信息,通过秘密计算,得到在元素中具有对于变量i=i0,…,is-1的一变量函数值的表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)}。其中,对表m(i0,…,is-1)代入了计数器值ib,0,…,ib,s-1所得到的m(ib,0,…,ib,s-1)是作为mb,2,1,…,mb,3,2的任一个的矩阵mb,γ,μ。秘密计算装置进行后级处理,即,使用计数器值ib,0,…,ib,s-1的隐匿信息{ib,0},…,{ib,s-1}以及隐匿信息{m(i0,…,is-1)},通过秘密计算,得到关于b=0,…,b-1的矩阵mb,γ,μ的隐匿信息{mb,γ,μ},使用任意的循环密钥k2,…,kr+1的隐匿信息以及隐匿信息{mb,γ,μ},通过秘密计算,得到执行残留处理所得到的矩阵mb,γ,mu的隐匿信息{mb,γ,mu},所述残留处理包含在关于j=2,…,r的处理pj,1、处理pj,2、处理pj,3、以及处理pj,4之中的处理pγ,μ之后进行的各处理。
发明效果
在本发明中,能够通过秘密计算有效地执行将元素的置换、行的循环移位、列的线性和以及循环密钥的相加反复进行的循环处理。
附图说明
图1是例示了实施方式的秘密计算系统的方框图。
图2是例示了实施方式的秘密计算装置的功能结构的方框图。
图3a是例示了实施方式的表生成单元的功能结构的方框图。图3b是例示了实施方式的循环处理单元的功能结构的方框图。
图4是用于说明实施方式的处理整体的概念图。
图5是用于说明通常的块加密的概念图。
图6是用于说明实施方式的加密处理的流程图。
图7是用于说明实施方式的表生成处理的细节的流程图。
图8是用于说明实施方式的循环处理的细节的流程图。
图9是用于说明实施方式的循环处理的细节的流程图。
具体实施方式
以下,参照附图说明本发明的实施方式。
[第1实施方式]
首先,说明第1实施方式。
<结构>
如图1例示的,本方式的秘密计算系统1具有n个秘密计算装置10-0~10-(n-1)。n为1以上的整数。例如,在使用通过秘密分散所得到的份额进行秘密计算的情况下,n≧2,在使用准同态密文进行秘密计算的情况下,n≧1。在n≧2的情况下,秘密计算装置10-0~10-(n-1)构成为可通过网络进行通信。
如图2例示的,本方式的秘密计算装置10-n(其中,n=0,…,n-1)具有:初始存储单元1001-n、表存储单元1002-n、计数器更新单元1003-n、表生成单元1010-n、表计算单元1020-n、循环处理单元1030-n、加法运算单元1041-n、以及控制单元1051-n。秘密计算装置10-n在控制单元1051-n的控制下执行各处理。在各处理中得到的数据被存储在未图示的存储器中。存储器中所存储的数据根据需要被读出,用于各处理。
如图3a所例示的,表生成单元1010-n具有秘密计算单元1011-n以及控制单元1012-n。如图3b所例示的,循环处理单元1030-n具有秘密计算单元1031-n以及控制单元1032-n。
<处理的概要>
如图4以及图5所例示的,本方式的秘密计算装置10-n使用第1,…,r+1循环的循环密钥k1,…,kr+1∈fu的隐匿信息{k1},…,{kr+1}∈{fu},以及各块b=0,…,b-1的计数器值ib,0,…,ib,s-1∈f的隐匿信息{ib,0},…,{ib,s-1}∈{f},通过秘密计算,在各块b=0,…,b-1中进行块加密。接着,秘密计算装置10-n对在各块b=0,…,b-1的块加密中得到的隐匿信息、和将加密对象的明文p分割为b个块得到的明文块p0,…,pb-1∈fu的隐匿信息{p0},…,{pb-1}∈{fu},通过秘密计算进行加法运算(例如,“异或”)。其中,b为1以上的整数,r为3以上的整数,s为2以上的整数,u=s2,f为有限域。有限域f的例子是基于基域(basicfield)的扩展域。基域的例子,是由以素数为模的剩余构成的集合,在该基域中的运算结果作为以该素数为模的剩余而得到。例如,f将位数2的基域进行8次扩展后的扩展域gf(28)。例如,在基域的元是2字节的数据的情况下,扩展域gf(28)的元成为1字节(=8比特)的数据。在该情况下,能够通过扩展域gf(28)表现256种的值。fα是指将α个有限域f的元作为元素的集合。而且,α∈β是指α属于β。{β}是指α∈β的隐匿信息{α}所属的集合。
《块加密》
在本方式的块加密中,使用表,使通常的块加密处理高效。如图5所例示的,通常的块加密处理包含1~r+1循环的循环处理。例如,将aes在ctr模式下实现的块加密处理,分别在密钥长为128比特的情况下包含1~11循环的处理,在密钥长度为192比特的情况下包含1~13循环的处理,在密钥长度为256比特的情况下,包含1~15循环的处理。
第1循环的循环处理包含相加处理p1,4(处理p1,4)。相加处理p1,4包含分别将s个计数器值ib,0,…,ib,s-1与由第1循环的循环密钥k1∈fu的元素构成的s×s矩阵的一个列的s个元素进行相加,得到矩阵mb,1,4的处理。在aes的情况下,相加处理p1,4相当于第1循环的addroundkey。
第j循环(其中,j=2,…,r)的循环处理包含:进行元素的置换的置换处理pj,1(处理pj,1)、进行行的循环移位的移位处理pj,2(处理pj,2)、进行列的线性和的混合处理pj,3(处理pj,3)、以及进行循环密钥的加法运算的相加处理pj,4(处理pj,4)。在aes的情况下,置换处理pj,1相当于subbytes,移位处理pj,2相当于shiftrows,混合处理pj,3相当于mixcoumns,相加处理pj,4相当于addroundkey。置换处理pj,1,包含将矩阵mb,j-1,4的各元素进行置换,得到矩阵mb,j,1的处理。例如,置换处理pj,1是将矩阵mb,j-1,4的各元素按照预先确定的步骤(例如,s-box)进行置换,得到矩阵mb,j,1的处理。在aes的情况下,对矩阵mb,j-1,4的各元素,进行基于不可约多项式x8+x4+x3+x+1的扩展域gf(28)上的乘法逆元运算,进而通过进行仿射变换的结果对各元素进行置换,得到矩阵mb,j,1(参考文献1:情報セキュリティ対策基盤整備事業「電子政府推奨暗号の実装」,独立行政法人情報処理推進機構)。移位处理pj,2,包含将矩阵mb,j,1的各元素对每一行进行循环移位,得到矩阵mb,j,2的处理。例如,移位处理pj,2是将矩阵mb,j,1的第ι+1(其中,ι=0,…,p-1)行的行,在规定的方向(例如,左方向)循环移位相当ι元素量的处理。混合处理pj,3,包含得到将矩阵mb,j,2的各列的s个元素的线性和作为相应列的s个元素的矩阵mb,j,3的处理。这些线性和的各项的系数对每个行不同。相加处理pj,4,包含对矩阵mb,j,3的各元素相加第j循环的循环密钥kj的各元素,得到矩阵mb,j,4的处理。
第r+1循环的循环处理,包含:进行元素的置换的置换处理pr+1,1、进行行的循环移位的移位处理pr+1,2、以及进行循环密钥的加法运算的相加处理pr+1,4。
《本方式的块加密》
说明本方式的块加密的特征。如前述,在第1循环的相加处理p1,4中,对由循环密钥k1的元素构成的s×s矩阵的一个列的s个元素分别相加s个计数器值ib,0,…,ib,s-1,得到矩阵mb,1,4。在s=4,u=16,循环密钥k1=(k1,0,…,k1,15)的情况下,矩阵mb,1,4例如为以下这样。
【式1】
其中,n0,…,n11∈f为任意值。也可以是n0=…=n11=0。在aes中,n0,…,n11相当于nonce。
第2循环的置换处理p2,1,将矩阵mb,1,4的各元素按照预先确定的步骤进行置换,得到矩阵mb,j,1。该处理对于矩阵mb,1,4的每个元素进行。因此,能够将各元素的置换处理以函数fs:f→f表现。在s=4,u=16,循环密钥k1=(k1,0,…,k1,15)的情况下,矩阵mb,2,1如下。
【式2】
循环密钥k1以及任意值n0,…,n12在全部块b=0,…,b-1中是共同的,可视为常数。对于块b=0,…,b-1的每一个,不同的是计数器值ib,0,…,ib,3。若将计数器值ib,0,…,ib,3设为计数器值的变量i0,…,i3,则式(2)能如下这样变形。
【式3】
这里,f1,0,…,f1,11由于在全部块b=0,…,b-1中是共同的而可视为常数,f1,12(i3),…,f1,15(i0)是对于变量i=i0,…,i3的一变量函数值。即,各块b=0,…,b-1的矩阵mb,2,1可以概括为在元素中具有对于变量i=i0,…,i3的一变量函数值的表m(i0,…,i3)。这不仅是s=4的情况下,其它的s的情况也同样。即,各块b=0,…,b-1的矩阵mb,2,1可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表。
第2循环的移位处理p2,2是对每一行循环移位矩阵mb,2,1的各元素,得到矩阵mb,2,2的处理。若将式(3)的矩阵mb,2,1的第ι+1行的行向左方向循环移位相当ι元素量,则能够得到以下的矩阵mb,2,2。
【式4】
这样,各块b=0,…,b-1的矩阵mb,2,2,也可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表。
第2循环的混合处理p2,3,是得到将矩阵mb,2,2的各列的s个元素的线性和作为相应列的s个元素的矩阵mb,2,3的处理。若对于式(4)的矩阵mb,2,2进行混合处理p2,3,则例如如下这样。
【式5】
其中,
【式6】
。x0,…,x11在全部块b=0,…,b-1中是共同的,因此可视为常数,x12,…,x15是对于变量i=i0,…,is-1的一变量函数值。因此,式(5)可以如下这样变形。
【式7】
其中,f2,s(i)(其中,s=0,…,s-1,i=i0,…,is-1)是一变量函数值。即,矩阵mb,2,3,也可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表。
由于之后的第2循环的相加处理p2,4以及第3循环的置换处理p3,1是每个元素的处理,因此通过相加处理p2,4得到的矩阵mb,2,4以及通过置换处理p3,1得到的矩阵mb,3,1也可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表。进而,第3循环的移位处理p3,2仅对元素进行循环移位,因此,由此得到的矩阵mb,3,2也可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值。例如,矩阵mb,3,2为以下这样。
【式8】
即,矩阵mb,2,1,…,mb,3,2可以概括为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表。这里,在元素中具有对于变量i=i0,…,is-1的一变量函数值的表m(i0,…,is-1)中,若代入各块b的计数器值ib,0,…,ib,s-1,则可得到在各块b中的矩阵m(ib,0,…,ib,s-1)。表m(i0,…,is-1)的元素可视为一变量函数值或者常数。因此,表m(i0,…,is-1)的各元素可以用有限域f的元的数据量以下来表现,表m(i0,…,is-1)全体可以用其u倍的数据量以下表现。例如,在s=4,有限域f为gf(28),该元的可取的值的数为256种的情况下,表m(i0,…,is-1)的各元素的可取的值的数为256种以下,在整个表中为1字节×256种×16个=4096字节以下的数据量。另一方面,在第3循环的混合处理p3,3以后中,如果不能将所得到的矩阵表现为在元素中具有对于变量i=i0,…,is-1的一变量函数值的表(为在元素中具有多变量函数值的表),表的大小会变大。
利用以上的特征,秘密计算装置10-n首先使用任意的循环密钥k1,…,k3的隐匿信息,通过秘密计算,得到在元素中具有对于变量i=i0,…,is-1的一变量函数值的表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)}。其中,对表m(i0,…,is-1)中代入计数器值ib,0,…,ib,s-1所得到的m(ib,0,…,ib,s-1)为矩阵mb,γ,μ。矩阵mb,γ,μ为mb,2,1,…,mb,3,2中的任一个(γ=2,3,μ=1,…,4)。接着,秘密计算装置10-n使用计数器值ib,0,…,ib,s-1的隐匿信息{ib,0},…,{ib,s-1}以及隐匿信息{m(i0,…,is-1)},通过秘密计算,得到对于b=0,…,b-1的矩阵mb,γ,μ的隐匿信息{mb,γ,μ}。由此,能够以较少的运算量得到矩阵mb,γ,μ的隐匿信息{mb,γ,μ}。特别地,在秘密计算中进行置换处理的情况下,需要在秘密计算装置10-0~10-(n-1)间进行通信。如果使用隐匿信息{m(i0,…,is-)},则能够削减该通信。特别地,在mb,γ,μ为mb,3,1或者mb,3,2的情况下,能够削减2次的置换处理p2,1,p2,2所需要的通信。若将密钥长度设为128比特,则该削减成为20%的通信量的削减,能够实现25%的高速化。
之后,秘密计算装置10-n进行后级处理,即,使用任意的循环密钥k2,…,kr+1的隐匿信息以及隐匿信息{mb,γ,μ},通过秘密计算,得到执行残留处理所得到的矩阵mb,γ,mu的隐匿信息{mb,γ,mu}。后级处理,包含在关于j=2,…,r的置换处理pj,1、移位处理pj,2、混合处理pj,3、以及相加处理pj,4中的处理pγ,μ之后进行的各处理。例如,在γ=r+1,mu=4的情况下,秘密计算装置10-n通过后级处理得到隐匿信息{mb,r+1,4}并输出。
<处理的细节>
使用图6至图11,说明处理的细节。
《前提》
作为前提,假设在初始存储单元1001-n中存储了循环密钥k1,…,kr+1的隐匿信息{k1},…,{kr+1}、计数器值i0,0,…,i0,s-1的隐匿信息{i0,0},…,{i0,s-1}、明文块p0,…,pb-1的隐匿信息{p0},…,{pb-1}。隐匿信息可以是按照秘密分散方式的份额(秘密分散值),也可以是按照准同态加密方式的密文(rsa加密方式或elgamal加密方式等的密文)。再者,使用按照秘密分散方式的隐匿信息的秘密计算的方法,例如记载在千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3パーティ秘匿関数計算の再考”,css2010,2010年(参考文献2)、「michaelben-or,shafigoldwasser,aviwigderson:completenesstheoremsfornon-cryptographicfault-tolerantdistributedcomputation(extendedabstract).stoc1988:1-10」(参考文献3)等中。
《步骤s1010-n》
表生成单元1010-n进行前级处理,即,使用任意的循环密钥k1,…,k3的隐匿信息,通过秘密计算,得到在元素中具有对于变量i=i0,…,is-1的一变量函数值的表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)}。其中,在表m(i0,…,is-1)中代入了计数器值ib,0,…,ib,s-1得到的m(ib,0,…,ib,s-1)为任意的矩阵mb,γ,μ=mb,2,1,…,mb,3,2。即,表生成单元1010-n的秘密计算单元1011-n将计数器值ib,0,…,ib,s-1设为变量i0,…,is-1,在控制单元1012-n的控制下,使用成为需要的循环密钥k1,…,kr的隐匿信息,通过秘密计算执行从相加处理p1,4至任意的处理pγ,μ(其中,pγ,μ为p2,1,…,p3,2的任一个)(步骤s1011-n),得到隐匿信息{m(i0,…,is-1)}。例如,在mb,γ,μ=mb,2,1的情况下,表生成单元1010-n的秘密计算单元1011-n将计数器值ib,0,…,ib,s-1设为变量i0,…,is-1,使用隐匿信息{k1},{k2},通过秘密计算执行第1循环的相加处理p1,4和第2循环的置换处理p2,1,得到通过置换处理p2,1得到的矩阵的隐匿信息作为隐匿信息{m(i0,…,is-1)}并输出(例如,式(3)的隐匿信息)。例如,在mb,γ,μ=mb,3,1的情况下,表生成单元1010-n的秘密计算单元1011-n将计数器值ib,0,…,ib,s-1设为变量i0,…,is-1,使用隐匿信息{k1},{k2},{k3},通过秘密计算执行第1循环的相加处理p1,4、第2循环的置换处理p2,1、移位处理p2,2、混合处理p2,3、相加处理p2,4、第3循环的置换处理p3,1,得到通过置换处理p3,1得到的矩阵的隐匿信息作为隐匿信息{m(i0,…,is-1)}并输出。例如,在mb,γ,μ=mb,3,2的情况下,表生成单元1010-n的秘密计算单元1011-n,将计数器值ib,0,…,ib,s-1设为变量i0,…,is-1,使用隐匿信息{k1},{k2},{k3},通过秘密计算执行第1循环的相加处理p1,4、第2循环的置换处理p2,1、移位处理p2,2、混合处理p2,3、相加处理p2,4、第3循环的置换处理p3,1、移位处理p3,2,得到通过移位处理p3,2得到的矩阵的隐匿信息作为隐匿信息{m(i0,…,is-1)}并输出(例如,式(8)的隐匿信息)。隐匿信息{m(i0,…,is-1)}被存储在表存储单元1002-n中。
《步骤s1020-n》
计数器更新单元1003-n使用在初始存储单元1001-n中存储的计数器值i0,0,…,i0,s-1的隐匿信息{i0,0},…,{i0,s-1},通过秘密计算,得到块b’=2,…,b-1的计数器值ib’,0,…,ib’,s-1的隐匿信息{ib’,0},…,{ib’,s-1}并输出。计数器值ib’,0,…,ib’,s-1是通过对计数器值i0,0,…,i0,s-1应用预先确定的规则得到的值。例如,将表现使通过计数器值ib’-1,0,…,ib’-1,s-1所表现的值ib’-1,0…ib’-1,s-1增加了相当规定值(例如,1)所得到的值ib’-1,0…ib’-1,s-1+1的值,设为计数器值ib’,0,…,ib’,s-1。表计算单元1020-n,使用从初始存储单元1001-n读出、或者从计数器更新单元1003-n输出的隐匿信息{ib,0},…,{ib,s-1}、以及从表存储单元1002-n读出的隐匿信息{m(i0,…,is-1)},通过秘密计算,对于b=0,…,b-1,得到矩阵mb,γ,μ的隐匿信息{mb,γ,μ}={m(ib,0,…,ib,s-1)}并输出。
《步骤s1030-n》
循环处理单元1030-n进行后级处理,即,使用任意的循环密钥k2,…,kr+1的隐匿信息以及隐匿信息{mb,γ,μ},通过秘密计算(步骤s1031b-n),得到执行残留处理所得到的矩阵mb,γ,mu的隐匿信息{mb,γ,mu}。残留处理,是包含在对于j=2,…,r的置换处理pj,1、移位处理pj,2、混合处理pj,3、以及相加处理pj,4中的处理pγ,μ之后进行的各处理的处理。处理pγ,μ,与在表计算单元1020-n中得到的隐匿信息{mb,γ,μ}={m(ib,0,…,ib,s-1)}对应。例如,在mb,γ,μ=mb,3,2且γ=r+1,mu=4的情况下,循环处理单元1030-n使用隐匿信息{k3},…{kr+1}以及隐匿信息{mb,3,2},通过秘密计算,执行从第3循环的混合处理p3,3至第r循环的相加处理pr,4,进而得到执行第r+1循环的置换处理pr+1,1、移位处理pr+1,2、相加处理pr+1,4所得到的矩阵mb,r+1,4的隐匿信息{mb,r+1,4}并输出。
《步骤s1041-n》
加法运算单元1041-n对于各块b=0,…,b-1,将隐匿信息{mb,r+1,4}以及隐匿信息{pb}作为输入,通过秘密计算得到cb=mb,r+1,4+pb∈fu的隐匿信息{cb}并输出。
<本方式的特征>
如以上,在本方式中,生成表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)},使用隐匿信息{m(i0,…,is-1)},通过秘密计算,得到各块b=0,…,b-1的隐匿信息{mb,γ,μ}。表m(i0,…,is-1)的大小可以用f的u倍以下的数据量来表现,通过使用隐匿信息{m(i0,…,is-1)}进行各块b=0,…,b-1的处理,可以削减运算量。进而,在mb,γ,μ为mb,3,1或者mb,3,2的情况下,可以削减2次的置换处理p2,1,p2,2的秘密计算所需要的通信。这样,在本方式中,能够通过秘密计算有效地执行将元素的置换、行的循环移位、列的线性和以及循环密钥的相加反复进行的循环处理。
[第2实施方式]
第2实施方式是第1实施方式的变形例,生成用于进行篡改探测的校验和,进行篡改探测。其中,如前述,在至得到表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)}为止的前级处理中所处理的数据量小。另一方面,在前级处理之后进行的后级处理中所处理的数据量格外地大。在本方式中,根据这些差异,以不同的方式生成校验和。由此,能够进行安全有效的加密。以下,以与第1实施方式的不同点为中心进行说明,对于已经说明过的事项,使用相同的参照号码,简化说明。
<结构>
如图1所例示的,本方式的秘密计算系统2具有n个秘密计算装置20-0~20-(n-1)。n为1以上的整数。在n≧2的情况下,秘密计算装置20-0~20-(n-1)被构成为可通过网络进行通信。
如图2所例示的,本方式的秘密计算装置20-n(其中,n=0,…,n-1),具有:初始存储单元1001-n、表存储单元1002-n、计数器更新单元1003-n、表生成单元2010-n、表计算单元1020-n、循环处理单元2030-n、加法运算单元1041-n、同步单元2042-n、合法性验证单元2043-n、2044-n、以及控制单元1051-n。秘密计算装置20-n在控制单元1051-n的控制下执行各处理。在各处理中所得到的数据被存储在未图示的存储器中。存储器中所存储的数据根据需要被读出,用于各处理。
如图3a所例示的,表生成单元2010-n具有秘密计算单元1011-n、控制单元1012-n、随机数生成单元2015-n、以及校验和更新单元2016-n。如图3b所例示的,循环处理单元2030-n,具有秘密计算单元1031-n、控制单元1032-n、虚拟块生成单元2035a-n、隐匿化单元2035b-n、结合单元2035c-n、随机置换单元2036-n、以及校验和更新单元2037、2038。
<处理的概要>
在本方式中,在处理数据量小的前级处理和处理数据量格外大的后级处理中,通过互不相同的方式生成校验和。即,表生成单元2010,按照第1方式生成用于探测在前级处理中的篡改的第1校验和,循环处理单元2030按照第2方式,生成用于探测在后级处理中的篡改的第2校验和。这里,第1方式是安全性的高低不依赖于作为篡改探测对象的隐匿信息的还原值的数据量的方式。作为第1方式的例子,能够例示在「daiikarashi,ryokikuchi,kokihamada,andkojichida,“activelyprivateandcorrectmpcschemeint<n/2frompassivelysecureschemeswithsmalloverhead,”cryptologyeprintarchive,report2014/304,2014.(参考文献4)」以及国际公开第wo/2016/104476号(参考文献5)中记载的方式。另一方面,第2方式,是安全性的高低依赖于作为篡改探测对象的隐匿信息的还原值的数据量的方式。即,第2方式是,作为篡改探测对象的隐匿信息的还原值的数据量为α1时的安全性,高于作为篡改探测对象的隐匿信息的还原值的数据量为α2时的安全性的方式。其中,α1大于α2。例如,第2方式是,作为篡改探测对象的隐匿信息的还原值的数据量越多,安全性越高的方式。作为第2方式的例子,可以例示在‘五十嵐大,菊池亮,濱田浩気,千田浩司,“少パーティ数の秘密分散ベース秘密計算における効率的なmaliciousモデル上simd計算の構成法,”コンピュータセキュリティシンポジウム2013論文集2013(4),793-800,2013-10-14(参考文献6)’以及国际公开第wo/2015/053184号(参考文献7)中记载的方式。其中,在参考文献6、7中虽未注明,但是为了进一步的高速化,作为随机置换,优选使用随机循环移位(随机旋转)。同样,在参考文献6、7中虽未注明,但是为了进一步的高速化,优选是所生成的虚拟块的个数y和块数b的合计大于块数b的素数p。即,优选y=p-b。更优选的是,p是大于块数b的最小的素数。而且,参考文献6、7的方式,以虚拟块不被隐匿化而可计算作为前提。但是,在本方式中,虚拟块也作为隐匿信息被处理。因此,在本方式中,将虚拟块的任一个作为待处理虚拟块,按照第3方式生成对于待处理虚拟块的校验和。由此,确保更高的安全性。而且,第3方式是,安全性的高低不依赖于作为篡改探测对象的隐匿信息的还原值的数据量的方式。例如,第3方式是与第1方式相同的方式。
<处理的细节>
使用图6至图11,说明处理的细节。
《前提》
与第1实施方式相同。
《步骤s2010-n》
与第1实施方式同样,表生成单元2010-n进行前级处理,即,使用任意的循环密钥k1,…,k3的隐匿信息,通过秘密计算,得到在元素中具有对于变量i=i0,…,is-1的一变量函数值的表m(i0,…,is-1)的隐匿信息{m(i0,…,is-1)}。进而,在本方式中,表生成单元2010-n按照第1方式生成用于探测在该前级处理中的篡改的第1校验和。以下,表示采用了参考文献4、5的方式作为第1方式的例子。
步骤s2010-n的细节:
使用图7,例示步骤s2010-n的细节。该例子的隐匿信息是按照秘密分散方式的份额。前级处理包含采用了按照t种类的秘密分散方式meth0,…,metht-1的隐匿信息的秘密计算。该秘密计算是在前述的步骤s1010-n的过程中所执行的各秘密计算。
表生成单元2010-n的随机数生成单元2015-n(图2a)得到将对于t=0,…,t-1的随机数rt∈f进行秘密分散的隐匿信息{rt}并输出。其中,t为1以上的整数,t=0,…,t-1。隐匿信息{rt}的生成方法的具体例子公开于参考文献5。例如,首先,秘密计算装置20-n的随机数生成单元2015-n分别生成随机数r’n∈f。接着,各随机数生成单元2015-n通过在上述的参考文献2中记载的隐匿方法,生成随机数r’n的份额{r’n},发送到其他的随机数生成单元2015-n’(其中,n’=0,…,n-1)。然后,随机数生成单元2015-n分别计算{rt}=σn<n{r’n},得到随机数rt的隐匿信息{rt}。由此,哪一个秘密计算装置20-1~20-(n-1)都不知道随机数rt,而随机数生成单元2015-n能够得到随机数rt的隐匿信息{rt}(步骤s2015-n)。
接着,校验和更新单元2016-n将在第1校验和中包含的c1,t初始化为空(空集合)。第1校验和可以仅由c1,t构成,也可以由c1,t和其它的信息构成(步骤s2016-n)。
在前述的前级处理中,假设为了得到隐匿信息{m(i0,…,is-1)},进行ψ个秘密计算com0,…,comψ-1。其中,ψ为1以上的整数。在进行使用按照秘密分散方式metht得到的隐匿信息{aλ}∈{f}的秘密计算comψ(其中,ψ=0,…,ψ-1)时,校验和更新单元2016-n,通过使用了隐匿信息{aλ}和隐匿信息{rt}的秘密计算,生成隐匿信息{aλrt}。其中,λ为1以上的整数,λ=0,…,λ-1。进而,校验和更新单元2016-n得到作为隐匿信息{aλ}和隐匿信息{aλrt}的组的随机分布值<aλ>=<{aλ},{aλrt}>,通过追加随机分布值<aλ>,更新c1,t。在秘密计算comψ中使用多个的隐匿信息的情况下,校验和更新单元2016-n生成对于各个隐匿信息的随机分布值,通过追加它们,更新c1,t(步骤s2016a-n)。
秘密计算单元1011-n执行秘密计算comψ(步骤s1011-n)。
通过执行秘密计算comψ,能够得到作为按照秘密分散方式metht的秘密计算结果的隐匿信息{hw}。这时,校验和更新单元2016-n通过使用隐匿信息{hw}和隐匿信息{rt}的秘密计算,得到隐匿信息{hwrt}。其中,w是1以上的整数,w=0,…,w-1。进而,校验和更新单元2016-n得到作为隐匿信息{hw}和隐匿信息{hwrt}的组的随机分布值<hw>=<{hw},{hwrt}>,通过追加随机分布值<hw>,更新c1,t。在秘密计算结果包含多个隐匿信息的情况下,校验和更新单元2016-n生成对于各个隐匿信息的随机分布值,通过追加它们,更新c1,t(步骤s2016b-n)。
步骤s2016a-n~s2016b-n的处理被反复进行,直到执行ψ个秘密计算com0,…,comψ-1,得到隐匿信息{m(i0,…,is-1)}为止。若得到隐匿信息{m(i0,…,is-1)},则校验和更新单元2016-n输出包含
《步骤s1020-n》
除了由秘密计算装置20-n取代秘密计算装置10-n执行以外,与第1实施方式相同。
《步骤s2030-n》
与第1实施方式同样,循环处理单元2030-n进行后级处理,即,使用任意的循环密钥k2,…,kr+1的隐匿信息以及隐匿信息{mb,γ,μ},通过秘密计算,得到执行残留处理所得到的矩阵mb,γ,mu的隐匿信息{mb,γ,mu}。进而,在本方式中,循环处理单元2030-n按照第2方式生成用于探测在该后级处理中的篡改的第2校验和。以下,表示采用了参考文献6、7的方式的变更方式作为第2方式的例子。
步骤s2030-n的具体例子:
使用图8以及图9,说明步骤s2030-n的具体例子。该例子的隐匿信息是按照秘密分散方式的份额。
首先,虚拟块生成单元2035a-n生成y个虚拟块d0,…,dy-1∈fu的隐匿信息{d0},…,{dy-1}并输出。其中,y是1以上的整数,y=0,…,y-1。如前述,优选y=p-b。其中,p是大于b的素数。虚拟块d0,…,dy-1中的任一个被设为待处理虚拟块dp。待处理虚拟块dp可以是1个,也可以是2个以上。待处理虚拟块dp以外的虚拟块dy’是公开值。虚拟块生成单元2035a-n将作为公开值的虚拟块dy’以具有合法性的方法进行隐匿,得到隐匿信息{dy’}。待处理虚拟块dp是公开值,也可以不是公开值。在前者的情况下,虚拟块生成单元2035a-n对作为公开值的虚拟块dp进行隐匿,得到隐匿信息{dp}。在后者的情况下,虚拟块生成单元2035a-n例如使用前述的隐匿信息{m(i0,…,is-1)}和任意的计数器值idp,0,…,idp,s-1的隐匿信息{idp,0},…,{idp,s-1},通过秘密计算得到隐匿信息{m(idp,0,…,idp,s-1)},得到隐匿信息{dp}={m(idp,0,…,idp,s-1)}(步骤s2035-n)。
接着,循环处理单元2030-n进行虚拟后级处理,即,使用需要的任意的循环密钥k2,…,kr+1的隐匿信息以及待处理虚拟块dp的隐匿信息{dp},得到矩阵mdp,γ,mu的隐匿信息{mdp,γ,mu}。其中,矩阵mdp,γ,mu是在待处理虚拟块dp中进行前述的残留处理得到的处理结果。这里说明γ=r+1且mu=4的例子。这时,按照第3方式生成用于探测虚拟后级处理中的篡改的第3校验和。第3方式是,安全性不依赖于成为虚拟后级处理的对象的隐匿信息的还原值的数据量的方式。第3方式也可以与第1方式相同或不同。这里,示出第3方式和第1方式彼此相同的例子。
首先,校验和更新单元2038-n将在第3校验和中所包含的c3,t初始化为空(空集合)。第3校验和可以仅由c3,t构成,也可以由c3,t和其它的信息构成(步骤s2038-n)。
假设在前述的残留处理中进行ψ’个秘密计算com30,…,com3ψ’-1。其中,ψ’为1以上的整数。在进行使用按照秘密分散方式metht的隐匿信息{dλ}∈{f}的秘密计算com3ψ’(其中,ψ’=0,…,ψ’-1)时,校验和更新单元2038-n通过使用了隐匿信息{dλ}和隐匿信息{rt}的秘密计算,生成隐匿信息{dλrt}。其中,λ为1以上的整数,λ=0,…,λ-1。进而,校验和更新单元2038-n得到作为隐匿信息{dλ}和隐匿信息{dλrt}的组的随机分布值<dλ>=<{dλ},{dλrt}>,通过追加随机分布值<dλ>,更新c3,t(步骤s2038a-n)。
秘密计算单元1031-n执行秘密计算com3ψ’(步骤s2031a-n)。
通过执行秘密计算com3ψ’,能够得到作为按照秘密分散方式metht的秘密计算结果的隐匿信息{h’w}。这时,校验和更新单元2038-n通过使用了隐匿信息{h’w}和隐匿信息{rt}的秘密计算,得到隐匿信息{h’wrt}。其中,w为1以上的整数,w=0,…,w-1。进而,校验和更新单元2038-n得到作为隐匿信息{h’w}和隐匿信息{h’wrt}的组的随机分布值<h’w>=<{h’w},{h’wrt}>,通过追加随机分布值<h’w>,更新c3,t。在秘密计算结果包含多个隐匿信息的情况下,校验和更新单元2038-n生成对于各个隐匿信息的随机分布值,通过追加它们,更新c3,t(步骤s2038b-n)。
步骤s2038a-n~s2038b-n的处理被反复进行,直到执行ψ’个秘密计算com30,…,com3ψ’-1,得到隐匿信息{mdp,γ,mu}为止。在γ=r+1且mu=4的情况下,反复步骤s2038a-n~s2038b-n的处理,直至r+1循环结束。若得到隐匿信息{mdp,γ,mu},则校验和更新单元2038-n输出包含
接着,校验和更新单元2037-n将在第2校验和中包含的c2,a,c2,π_q,c2,d初始化为空(空集合)。第2校验和可以仅由c2,a,c2,π_q,c2,d构成,也可以由c2,a,c2,π_q,c2,d和其它的信息构成(步骤s2037-n)。
随机置换单元2036-n,生成表示随机置换的内容的随机置换信息πq的隐匿信息{πq}。其中,q为1以上的整数,q=0,…,q-1。优选随机置换信息πq是表示随机循环移位的信息(步骤s2036-n)。
在结合单元2035c-n中,被输入在步骤s1020-n中得到的对于b=0,…,b-1的隐匿信息{mb,γ,μ}、以及在步骤s2035-n中得到的隐匿信息{d0},…,{dy-1}。结合单元2035c-n使用这些隐匿信息,通过秘密计算,得到将由矩阵m0,γ,μ,…,mb-1,γ,μ的元素构成的非随机序列a∈fub的隐匿信息{a}和y个虚拟块d0,…,dy-1∈fu的隐匿信息{d0},…,{dy-1}结合后的隐匿信息{a|d}={a|d0|…|dy-1}。其中,α|β表示α和β的结合(连结)(步骤s2035c-n)。
随机置换单元2036-n使用隐匿信息{πq}以及隐匿信息{a|d},通过秘密计算得到对a|d进行随机置换所得到的随机序列πq=πq(a|d)∈fu(b+y)的隐匿信息{πq}={πq(a|d)}并输出。对于各q=0,…,q-1执行该处理(步骤s2036b-n)。
假设在前述的残留处理中进行θ个子处理sub0,…,subθ-1的秘密计算。其中,θ为1以上的整数,θ=0,…,θ-1。秘密计算单元1031-n使用隐匿信息{a},对于构成非随机序列a的矩阵mb,γ,μ的u个元素对应的隐匿信息{mb,γ,μ}的每一个,执行各子处理subθ的秘密计算。即,秘密计算单元1031-n对各隐匿信息{mb,γ,μ}执行各子处理subθ的秘密计算。由此,秘密计算单元1031-n,得到对构成非随机序列a的各矩阵mb,γ,μ应用残留处理得到的矩阵mb,γ,mu的隐匿信息{mb,γ,mu}。另外,秘密计算单元1031-n对于q=0,…,q-1,使用隐匿信息{πq},对于构成随机序列πq∈fu(b+y)的u个元素πq,b”,γ,μ∈fu对应的隐匿信息{πq,b”,γ,μ}∈{fu}的每一个,执行各子处理subθ的秘密计算。即,秘密计算单元1031-n对各隐匿信息{πq,b”,γ,μ},执行各子处理subθ的秘密计算。其中,b”=0,…,b-1,…,b+y-1,πq=πq,0,γ,μ|…|πq,b+y-1,γ,μ。由此,秘密计算单元1031-n得到作为各子处理subθ的秘密计算结果的秘密信息{πq,b”,γ,mu}∈{fu}。进而秘密计算单元1031-n通过对于至少一部分的虚拟块dy(例如,除去待处理虚拟块dp的虚拟块dy)执行各子处理subθ,得到各子处理subθ的运算结果dy,γ,mu∈fu(步骤s2031b-n)。
隐匿化单元2035b-n以具有合法性的方法对运算结果dy,γ,mu进行隐匿,得到隐匿信息{dy,γ,mu}并输出(步骤s2035b-n)。
校验和更新单元2037-n以在直至得到隐匿信息{mb,γ,mu}的过程中得到的各子处理subθ的秘密计算结果、即隐匿信息{mb,θ,γ,mu}∈{fu},更新c2,a。例如,在c2,a=(c0,2,a,…,cb-1,2,a)的情况下,校验和更新单元2037-n将(c0,2,a|{m0,θ,γ,mu},…,cb-1,2,a|{mb-1,θ,γ,mu})设为新的c2,a(步骤s2037b-n)。
而且,校验和更新单元2037-n对于q=0,…,q-1,以各子处理subθ的秘密计算结果、即秘密信息{πq,b”,θ,γ,mu}∈{fu},更新c2,π_q。例如,在c2,π_q=(c0,2,π_q,…,cb+y-1,2,π_q)的情况下,校验和更新单元2037-n将(c0,2,π_q|{πq,0,θ,γ,mu},…,cb+y-1,2,π_q|{πq,b+y-1,θ,γ,mu})设为新的c2,π_q(步骤s2037c-n)。
进而,校验和更新单元2037-n以各子处理subθ的运算结果的隐匿信息{dy,θ,γ,mu}∈{fu},更新c2,d。例如,在c2,d=(c0,2,d,…,cy-1,2,d)的情况下,校验和更新单元2037-n将(c0,2,d|{d0,θ,γ,mu},…,cy-1,2,d|{dy-1,θ,γ,mu})设为新的c2,d(步骤s2037d-n)。
对于全部θ个子处理sub0,…,subθ-1,执行步骤s2031b-n~s2037d-n的处理。之后,校验和更新单元2037-n输出包含c2,a,c2,π_q,c2,d的第2校验和。
《步骤s1041-n》
除了由秘密计算装置20-n取代秘密计算装置10-n执行以外,与第1实施方式相同。
《步骤s2042-n》
同步单元2042-n执行等待至全部的秘密计算装置20-1~20-(n-1)中的全部的秘密计算结束为止的同步处理。在n=1的情况下,不执行同步处理。
《步骤s2043-n》
在合法性验证单元2043-n中,被输入包含
在对c1,t的合法性进行验证的情况下,合法性验证单元2043-n使用
在对c3,t的合法性进行验证的情况下,合法性验证单元2043-n使用
《步骤s2044-n》
在合法性验证单元2044-n中,被输入包含c2,a,c2,π_q,c2,d的第2校验和以及隐匿信息{πq}。如参考文献5,6中所记载那样,合法性验证单元2044-n对c2,a,c2,π_q,c2,d的合法性进行验证。即,合法性验证单元2044-n公开隐匿信息{πq},得到随机置换信息πq,使用πq,c2,a,c2,π_q,c2,d,通过秘密计算,得到从c2,π_q的还原值中减去根据πq对c2,a|c2,d进行随机置换得到的列的还原值所得到的列的隐匿信息{ζq}={ζ0,q},…,{ζb+y-1,q}。合法性验证单元2044-n对{fu}的每个元素分割隐匿信息{ζq}={ζ0,q},…,{ζb+y-1,q}的各元素{ζb”,q}(其中,b”=0,…,b+y-1),得到{ζ’b”,q,0},…,{ζ’b”,q,m”-1}∈{fu}的列。其中,m”是正的整数。对于不满足{fu}的元素填充{0}。合法性验证单元2044-n通过秘密计算,进行随机数ran的隐匿信息{ran}和{ζ’b”,q,0},…,{ζ’b”,q,m”-1}的积和运算,公开其结果{ζ},得到ζ。如果ζ为0,则合法性验证单元2044-n判定为在后级处理中没有篡改,否则判定为在后级处理中有篡改。
<本方式的特征>
与第1实施方式同样,在本方式中也能够通过秘密计算高效地执行将元素的置换、行的循环移位、列的线性和以及循环密钥的相加反复的循环处理。特别地,在本方式中,按照第1方式生成用于探测在前级处理中的篡改的第1校验和,按照第2方式生成用于探测在后级处理中的篡改的第2校验和。与前级处理相比,在后级处理中,处理数据量格外多。第2方式是,处理数据量越多,安全性越高的方式,适合探测后级处理中的篡改。另一方面,在前级处理中,由于处理数据量少,因此即使使用第2方式,效率也差。在本方式中,通过在前级处理和后级处理中变更校验和的生成方式,能够高效地实现安全性高的通信。而且,在前级处理中探测到篡改的情况下,丢弃全部的处理。另一方面,在后级处理中探测到篡改的情况下,可以丢弃全部的处理,也可以仅丢弃后级处理。
[第2实施方式的变形例]
在第2实施方式中,说明了对于ψ个秘密计算com0,…,comψ-1的全部,生成随机分布值,更新c1,t的例子(图7)。但是,也可以仅对于ψ个秘密计算com0,…,comψ-1的一部分生成随机分布值,更新c1,t。例如,对于在ψ个秘密计算com0,…,comψ-1之中、直至需要通信的最后的秘密计算,生成随机分布值,更新c1,t。例如,在隐匿信息{m(i0,…,is-1)}为隐匿信息{mb,3,1}或者{mb,3,2}的情况下,也可以对于直至需要置换处理p3,1的通信的秘密计算(例如,subbytes的乘法逆元运算的秘密计算),生成随机分布值,更新c1,t。
而且,也可以在步骤s1020-n中进行的各秘密计算的前后中,生成随机分布值,更新c1,t。即,也可以在步骤s1020-n中,在进行使用了按照秘密分散方式metht的隐匿信息{aλ}的秘密计算时,通过使用了隐匿信息{aλ}和隐匿信息{rt}的秘密计算,得到隐匿信息{aλrt},得到作为隐匿信息{aλ}和隐匿信息{aλrt}的组的随机分布值<aλ>=<{aλ},{aλrt}>,通过追加随机分布值<aλ>,更新c1,t。进而,也可以在步骤s1020-n中,在得到了作为按照秘密分散方式metht的秘密计算结果的隐匿信息{hw}时,通过使用了隐匿信息{hw}和隐匿信息{rt}的秘密计算,得到隐匿信息{hwrt},得到作为隐匿信息{hw}和隐匿信息{hwrt}的组的随机分布值<hw>=<{hw},{hwrt}>,通过追加随机分布值<hw>,更新c1,t,从而更新包含c1,t的第1校验和。
而且,也可以生成用于探测在步骤s1041-n中的篡改的校验和,进行验证。该校验和优选按照第2方式生成。
[其它的变形例等]
而且,本发明并不限于上述的实施方式。上述的各种的处理,不仅可以按照记载以时间序列执行,也可以根据执行处理的装置的处理能力或者需要,并列地或者单独地执行。此外,当然不用说,在不脱离本发明的宗旨的范围内可适当进行变更。
上述的各装置,例如通过具有cpu(centralprocessingunit,中央处理单元)等的处理器(硬件处理器)以及ram(random-accessmemory,随机存取存储器)/rom(read-onlymemory,只读存储器)等的存储器等的通用或者专用的计算机执行规定的程序构成。该计算机可以具有1个处理器或存储器,也可以具有多个处理器或存储器。该程序既可以安装在计算机中,也可以预先记录在rom等中。而且,不是采用如cpu那样通过读入程序,实现功能结构的电子电路(circuitry),而是采用不使用程序,实现处理功能的电子电路,构成一部分或者全部的处理单元也可以。构成1个装置的电子电路也可以包含多个cpu。
在通过计算机实现上述的结构的情况下,各装置应具有的功能的处理内容通过程序记述。通过由计算机执行该程序,上述处理功能在计算机上实现。记述了该处理内容的程序,能够预先记录在由计算机可读取的记录介质中。由计算机可读取的记录介质的例子,是非临时性的(non-transitory)记录介质。这样的记录介质的例子,为磁记录装置、光盘、光磁记录介质、半导体存储器等。
该程序的流通,例如通过销售、转让、出租记录了该程序的dvd、cd-rom等的便携式记录介质等进行。进而,也可以设为通过将该程序预先存储在服务器计算机的存储装置中,经由网络,从服务器计算机对其他的计算机转发该程序,使该程序流通的结构。
执行这样的程序的计算机,例如,首先将在便携式记录介质中记录的程序或者从服务器计算机转发的程序临时存储在自己的存储装置中。在处理的执行时,该计算机读取在自己的存储装置中存储的程序,执行按照读取的程序的处理。作为该程序的其它的执行方式,可以设为计算机从便携式记录介质直接读取程序,执行按照该程序的处理,进而,也可以设为在每次从服务器计算机对该计算机转发程序时,逐次执行按照接受到的程序的处理。也可以设为从服务器计算机,不进行对该计算机的程序的转发,由仅通过该执行指示和结果获取,实现处理功能的、所谓的asp(applicationserviceprovider,应用服务提供商)型的服务,执行上述的处理的结构。
不是在计算机上执行规定的程序实现本装置的处理功能,而是这些处理功能的至少一部分由硬件实现也可以。
标号说明
1,2秘密计算系统
10-n,20-n秘密计算装置
- 还没有人留言评论。精彩留言会获得点赞!