不经由逐次的通信而生成基于二项分布的秘密随机数。秘密计算装置(1
Secret random number generation system, secret computing device, secret random number generation method and program
【技术实现步骤摘要】
【国外来华专利技术】秘密随机数生成系统、秘密计算装置、秘密随机数生成方法以及程序
[0001]本专利技术涉及秘密计算技术以及隐私(privacy)保护技术。
技术介绍
[0002]近来,在以个人信息为代表的隐私数据的应用需求提高的过程中,能够在保持将信息设为秘密的状态下进行各种计算的秘密计算技术正在受到关注。秘密计算是富有各种应用例的有用的技术(例如,参照非专利文献1)。但是,秘密计算保证了计算结果的正确性(合法性),所以不能覆盖被称为“输出隐私”的计算结果的隐私。为了保护输出隐私,例如需要基于随机噪声的计算结果的搅拌等,在秘密计算中,这样的搅拌、进而随机噪声的生成也成为一个技术课题。
[0003]针对这样的课题,在非专利文献2中,公开了使用秘密计算,生成遵循二项分布的秘密的随机噪声的方法。由于遵循二项分布的噪声用于满足被称为差分隐私的输出隐私保护基准,所以非专利文献2可以说是在秘密计算中实现输出隐私保护的有用的技术。
[0004]现有技术文献
[0005]非专利文献
[0006]非专利文献1:桐淵直人,五十嵐大,濱田浩気,菊池亮,
“プログラマブルな
秘密計算
ライブラリ
MEVAL3”,暗号
と
情報
セキュリティシンポジウム
(SCIS),2018年(桐渊直人,五十岚大,滨田浩气,菊池亮,“可编程的秘密计算程序库MEVAL3”,密码和信息安全研讨会(SCIS),2018年)
[0007]非专利文献2:C.Dwork,K,Kenthapadi,F.McSherry,I.Mironov,M.Naor,"Our data,ourselves:privacy via distributed noise generation",Advances in Cryptology,EUROCRYPT,LNCS 4004,pp.486
‑
503,2006.
技术实现思路
[0008]专利技术要解决的课题
[0009]但是,在非专利文献2中,存在在生成噪声时,需要与噪声的值域对应的通信量的课题。噪声的值域依赖于作为保护对象的计算结果的值域和保护强度而变得极大,因此为了对任意的计算实现充分的保护强度,需要相应多的通信量。从秘密计算的高速化的观点出发,削减该通信量成为大的课题。
[0010]本专利技术的目的在于,鉴于上述的技术课题,不经由逐次的通信而生成遵照二项分布的秘密随机数。
[0011]用于解决课题的手段
[0012]为了解决上述课题,本专利技术的一方式的秘密随机数生成系统,是包括多个秘密计算装置、生成遵循二项分布的随机数的隐匿值的秘密随机数生成系统,其中,秘密计算装置包括:存储部,用于存储伪随机函数、和至少一组密钥以及多项式;伪随机数生成部,使用各
密钥计算伪随机函数,获得与各密钥对应的伪随机数;比特计数部,对各伪随机数中包含的1的个数进行计数;以及随机数份额生成部,获得1的个数与该1的个数对应的多项式的输出的积和,作为随机数的份额。
[0013]专利技术的效果
[0014]根据本专利技术,能够不经由逐次的通信而生成遵照二项分布的秘密随机数。通过使用该秘密随机数进行计算结果的搅拌,能够有效地保护秘密计算中的输出隐私。
附图说明
[0015]图1是例示秘密随机数生成系统的功能结构的图。
[0016]图2是例示秘密计算装置的功能结构的图。
[0017]图3是例示秘密随机数生成方法的处理过程的图。
[0018]图4是例示计算机的功能结构的图。
具体实施方式
[0019]在本说明书中,下标中的“_”(下划线)表示右侧的字符以下标方式附加给左侧的字符。即,“a
b_c”表示b
c
以下标方式附加给a。
[0020]首先,对本专利技术中作为前提的现有技术进行说明。
[0021]<沙米尔(Shamir)的秘密分散法>
[0022]沙米尔秘密分散法是通过随机的多项式f将秘密的值s分散为n个片断,并且从任意的t个片断复原秘密的值s的方法(例如,参照参考文献1)。以下,将某个值分散后得到的一个片断称为“份额”,将所有的份额的集合称为“隐匿值”。某个值
·
的隐匿值表示为[
·
],隐匿值[
·
]的第i个份额表示为[
·
]i
。其中,n为3以上的整数,t为满足n≥2t
‑
1的整数。
[0023]〔参考文献1〕A.Shamir,"How to share a secret,"Communications of the ACM,Vol.22,No.11,pp.612
‑
613,1979.
[0024]在沙米尔的秘密分散法中,首先,对于位数p的有限域Z
p
上的秘密s,选择有限域Z
p
上的t
‑
1次多项式f(x)=r
t
‑1x
t
‑1+
…
+r1x1+s。其中,各r
i
是有限域Z
p
上的随机值。此时,能够获得秘密s的份额[s]1,
…
,[s]n
的每一个,作为例如作为[s]i
=f(i)。在复原秘密s的情况下,使用不重复的任意的t个以上的份额进行多项式插值,求出多项式f(x)的常数项s。
[0025]<伪随机秘密分散>
[0026]伪随机秘密分散是使用伪随机函数,不经由通信而生成均匀随机数的份额的方法(例如,参照参考文献2)。
[0027]〔参考文献2〕R.Cramer,I.Damgard,and Y.Ishai,"Share conversion,pseudorandom secret
‑
sharing and applications to secure computation,"Theory of Cryptography,LNCS 3378,pp.342
‑
362,2005.
[0028]伪随机函数PRF:K
×
{0,1}
α
→
Z
p
是将秘密密钥和长度α的比特串作为输入,输出(大致)均匀的有限域Z
p
上的随机数的函数。这里,K表示密钥空间。另外,考虑将沙米尔的秘密分散法中的份额在n台的各方(party)P1,
…
,P
n
中分别分散地持有的情况。此时,如下这样,由n方共享随机数r的份额[r]1,
…
,[r]n
。
[0029]1.首先,事先在一部分的各方之间共享伪随机函数的密钥。具体而言,将A设为从n
方中选择了n
‑
t+1方的集合,由集合A本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种秘密随机数生成系统,是包括多个秘密计算装置、生成遵循二项分布的随机数的隐匿值的秘密随机数生成系统,其中,所述秘密计算装置包括:存储部,用于存储伪随机函数、和至少一组密钥以及多项式;伪随机数生成部,使用各所述密钥计算所述伪随机函数,获得与各所述密钥对应的伪随机数;比特计数部,对各所述伪随机数中包含的1的个数进行计数;以及随机数份额生成部,获得所述1的个数与该1的个数对应的所述多项式的输出的积和,作为所述随机数的份额。2.一种秘密计算装置,是在生成遵循二项分布的随机数的隐匿值的秘密随机数生成系统中使用的秘密计算装置,包括:存储部,用于存储伪随机函数、和至少一组密钥以及多项式;伪随机数生成部,使用各所述密钥计算所述伪随机函数,获得与各所述密...
【专利技术属性】
技术研发人员:市川敦谦,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。