秘密认证码附加装置、秘密认证码附加方法以及程序制造方法及图纸

本发明专利技术高效地创建带认证码的隐匿文。密钥生成单元(12)生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])。隐匿文生成单元(13)对于i＝1，...，N，生成随机的值ai的隐匿文[ai]。认证码生成单元(14)对于i＝1，...，N，向隐匿文[ai]乘以隐匿文[α]，生成认证码[γ(ai)]。验证值生成单元(15)使用隐匿文([x]，[α]，[β])、隐匿文[ai]和认证码[γ(ai)]，生成验证值w的隐匿文[w]。验证值判定单元(16)判定验证值w是否等于0。

【技术实现步骤摘要】
【国外来华专利技术】秘密认证码附加装置、秘密认证码附加方法以及程序
本专利技术涉及加密应用技术，特别涉及不透露输入数据而附加认证码的技术。
技术介绍
作为不将被加密的数值复原而得到确定的运算结果的方法，有被称为秘密计算的方法(例如，参照非专利文献1)。在非专利文献1的方法中，进行所谓使数值的片断分散在三个秘密计算装置中的加密，通过三个秘密计算装置进行协调计算，可以不复原数值，而使加减运算、常数加法、乘法、常数倍、逻辑运算(“否”、“与”、“或”，“异或”)、数据形式变换(整数、二进制数)的结果以被分散在三个秘密计算装置的状态、即在仍被加密的情况下保持。作为在进行秘密计算的情况下，通过附加认证码而具有抗篡改性的方法，有非专利文献2的方法。现有技术文献非专利文献非专利文献1：千田浩司、濱田浩気、五十嵐大、高橋克巳、“軽量検証可能3パ一ティ秘匿関数計算の再考”、CSS、2010年非专利文献2：IvanDamgard，MarcelKeller，EnriqueLarraia，ValerioPastro，PeterScholl，andNigelP.Smart，“PracticalcovertlysecureMPCfordishonestmajority-or：BreakingtheSPDZlimits”，ComputerSecurity-ESORICS2013，vol.8134ofLectureNotesinComputerScience，pp.1-18，2013.
技术实现思路
专利技术要解决的课题但是，在非专利文献2中记载的现有技术中，为了创建随机的带认证码的隐匿文而使用计算成本非常大的somewhat同态加密，效率变差。鉴于这样的问题点，本专利技术的目的是，提供高效地创建随机的带认证码的隐匿文的技术。用于解决课题的手段为了解决上述课题，本专利技术的秘密认证码附加装置包括：密钥生成单元，生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；隐匿文生成单元，对于i＝1，...，N，生成随机的值ai的隐匿文[ai]；认证码生成单元，对于i＝1，...，N，向隐匿文[ai]乘以隐匿文[α]，生成认证码[γ(ai)]；验证值生成单元，计算下式，生成验证值w的隐匿文[w]，Mul((∑i[ai])+[x]，[α])-((∑i[γ(ai)])+[β])；以及验证值判定单元，判定验证值w是否等于0，其中设N为1以上的整数。专利技术的效果按照本专利技术的秘密认证码附加技术，可以高效地创建随机的带认证码的隐匿文。附图说明图1是例示秘密认证码附加系统的功能结构的图。图2是例示第一实施方式的秘密认证码附加装置的功能结构的图。图3是例示第一实施方式的秘密认证码附加方法的处理流程的图。图4是例示第二实施方式的秘密认证码附加装置的功能结构的图。图5是例示第二实施方式的秘密认证码附加方法的处理流程的图。具体实施方式在说明实施方式之前，说明本说明书中的标记方法以及用语的定义。<标记方法>将某个值a因加密或秘密分散等而隐匿化了的值称为a的隐匿文，标记为[a]。而且，将a称为[a]的明文。隐匿化为秘密分散的情况下，通过[a]参照各方面(party)具有的秘密分散的片断的集合。以[a]i参照隐匿文[a]中的第i方面Pi具有的份额。而且，所谓份额是被秘密分散后的片断，所谓方面是协调进行秘密计算的各参加者。<复原>将从隐匿文[a]计算明文a的处理称为复原，如下式那样记述。a←Reveal([a])<加法、减法、乘法、常数倍>对于隐匿文的加法、减法、乘法的各运算以两个值a，b的隐匿文[a]，[b]作为输入，分别计算a+b，a-b，ab的计算结果d1，d2，d3的隐匿文[d1]，[d2]，[d3]。对于隐匿文的常数倍的运算以值a的隐匿文[a]和明文c作为输入，计算ca的计算结果d4的隐匿文[d4]。执行运算的执行分别如下式那样记述。[d1]←Add([a]，[b])，[d2]←Sub([a]，[b])，[d3]←Mul([a]，[b])，[d4]←CMul(c，[a])而且，在没有顾虑带来误解的情况下，将Add([a]，[b])、Sub([a]，[b])、Mul([a]，[b])、CMul(c，[a])分别略记为[a]+[b]、[a]-[b]、[a][b]、c[a]。<随机的隐匿文的生成>将生成谁也不知道的随机的值r的隐匿文[r]的处理如下式那样记述。[r]←Rand()<承诺(commitment)>承诺由保证(commit)和开放(open)两个处理构成。保证是作为发送者的方面将某值向其他方面秘密地提出的处理。开放是将保证的值向全部方面澄清的处理。发送者以外的方面在值被开放之前无法得知保证的值。而且，包括发送者，谁都不能篡改发送者保证的值。某方面Pi保证某值v的处理如下式那样记述。τv←Commit(v)τv是与保证的值v相关联的标签，被发送到全部的方面。将方面Pi开放与标签τv相关联的保证的值v的处理如下式那样记述。v←Open(τv)通过该处理，全部的方面得到与标签τv相关联的保证的值v。以下，详细地说明本专利技术的实施方式。而且，对附图中具有相同的功能的结构部分附加相同的标号，省略重复说明。[第一实施方式]如图1中例示的那样，第一实施方式的秘密认证码附加系统包含n(≥2)台秘密认证码附加装置11，...，1n。在本实施方式中，秘密认证码附加装置11，...，1n分别连接到通信网2。通信网2是以能够分别与秘密认证码附加装置11，...，1n进行通信的方式构成的线路交换方式或者分组交换方式的通信网，例如可以使用因特网或LAN(LocalAreaNetwork，局域网)，WAN(WideAreaNetwork，广域网)等。而且，各装置未必需要可通过通信网2以在线方式进行通信。例如，也可以将输入至秘密认证码附加装置1i(i∈{1，...，n})的信息存储在磁带或USB存储器等可移动型记录介质中，从该可移动型记录介质以在线方式输入那样构成。如图2所示，秘密认证码附加装置1例如包括：输入单元11；密钥生成单元12；隐匿文生成单元13；认证码生成单元14；验证值生成单元15；验证值判定单元16；以及输出单元17。验证值判定单元16例如包含复原单元161以及判定单元162。该秘密认证码附加装置1通过进行图3中例示的各步骤的处理，实现第一实施方式的秘密认证码附加方法。秘密认证码附加装置1例如是在具有中央运算处理装置(CPU：CentralProcessingUnit)、主存储装置(RAM：RandomAccessMemory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。秘密认证码附加装置1例如在中央运算处理装置的控制下执行各处理。输入到秘密认证码附加装置1的数据或在各处理中得到的数据，例如被存储在主存储装置中，主存储装置中存储的数据根据需要，读出至中央运算处理装置，被用于其它的处理。秘密认证码附加装置1的各处理单元的至少一部分也可以由集成电路等硬件构成。参照图3，说明第一实施方式的秘密认证码附加方法的处理过程。在步骤S11中，值N被输本文档来自技高网...

【技术保护点】
一种秘密认证码附加装置，包括：密钥生成单元，生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；隐匿文生成单元，对于i＝1，...，N，生成随机的值ai的隐匿文[ai]；认证码生成单元，对于i＝1，...，N，向所述隐匿文[ai]乘以所述隐匿文[α]，生成认证码[γ(ai)]；验证值生成单元，计算下式，生成验证值w的隐匿文[w]，Mul((∑i[ai])+[x]，[α])‑((∑i[γ(ai)])+[β])；以及验证值判定单元，判定所述验证值w是否等于0，其中，将N设为1以上的整数。

【技术特征摘要】
【国外来华专利技术】2015.10.13 JP 2015-2020571.一种秘密认证码附加装置，包括：密钥生成单元，生成满足xα＝β的值x、α、β的隐匿文([x]，[α]，[β])；隐匿文生成单元，对于i＝1，...，N，生成随机的值ai的隐匿文[ai]；认证码生成单元，对于i＝1，...，N，向所述隐匿文[ai]乘以所述隐匿文[α]，生成认证码[γ(ai)]；验证值生成单元，计算下式，生成验证值w的隐匿文[w]，Mul((∑i[ai])+[x]，[α])-((∑i[γ(ai)])+[β])；以及验证值判定单元，判定所述验证值w是否等于0，其中，将N设为1以上的整数。2.如权利要求1所述的秘密认证码附加装置，所述验证值生成单元通过对所述隐匿文[w]乘以了随机值的隐匿文，更新所述隐匿文[w]。3.如权利要求1或2所述的秘密认证码附加装置，所述验证值判定单元通过将所述隐匿文[w]复原而得到所述验证值w，判定所述验证值w是否等于0。4.如权利要求3所述的秘密认证码附加装置，n是2以上的整数，隐匿文[x]、[α]、[β]、[ai]是n方面的秘密分散的隐匿文，i是...

【专利技术属性】
技术研发人员：滨田浩气，菊池亮，
申请(专利权)人：日本电信电话株式会社，
类型：发明
国别省市：日本,JP