知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6643756
(24)【登録日】2020年1月9日
(45)【発行日】2020年2月12日
(54)【発明の名称】サーバ、サービス方法
(51)【国際特許分類】
G09C 1/00 20060101AFI20200130BHJP
【FI】
G09C1/00 650Z
G09C1/00 620Z
【請求項の数】6
【全頁数】17
(21)【出願番号】特願2015-227711(P2015-227711)
(22)【出願日】2015年11月20日
(65)【公開番号】特開2017-97102(P2017-97102A)
(43)【公開日】2017年6月1日
【審査請求日】2018年10月17日
(73)【特許権者】
【識別番号】301022471
【氏名又は名称】国立研究開発法人情報通信研究機構
(74)【代理人】
【識別番号】110001092
【氏名又は名称】特許業務法人サクラ国際特許事務所
(72)【発明者】
【氏名】王 立華
(72)【発明者】
【氏名】青野 良範
(72)【発明者】
【氏名】林 卓也
(72)【発明者】
【氏名】レ チュウ フォン
【審査官】
行田 悦資
(56)【参考文献】
【文献】
特開2015−177506(JP,A)
【文献】
特開2015−031935(JP,A)
【文献】
国際公開第2014/112548(WO,A1)
【文献】
青野良範ほか,セキュリティアップデータブル準同型暗号を用いた秘匿データの線形回帰計算,2015年 暗号と情報セキュリティシンポジウム概要集,一般社団法人電子情報通信学会,2015年 1月20日,p.1-7
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
次式:
c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
(ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数、
nは正の整数、
sは正の実数、
lは正の整数、
pは正の整数でpとqは互いに素、
qは正の整数、
Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
PはP=pR−ASによる(ただし、R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数))
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持する手段と、
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付ける手段と、
前記情報に基づいて、
n行n列の正方行列W1=c1’Tc1、
n行l列の行列W2=c1’Tc2+c1Tc2’、および
スカラーξ=c2c2’Tを算出する手段と、
前記正方行列W1、前記行列W2、および前記スカラーξを前記クライアントに提供する手段と
を具備するサーバ。
c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
(ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数、
nは正の整数、
sは正の実数、
lは正の整数、
pは正の整数でpとqは互いに素、
qは正の整数、
Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
PはP=pR−ASによる(ただし、R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数))
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持する手段と、
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付ける手段と、
前記情報に基づいて、
n行n列の正方行列W1=c1’Tc1、
n行l列の行列W2=c1’Tc2+c1Tc2’、および
スカラーξ=c2c2’Tを算出する手段と、
前記正方行列W1、前記行列W2、および前記スカラーξを前記クライアントに提供する手段と
を具備するサーバ。
【請求項2】
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’についての内積である第1の内積と、複数の前記暗号データのうちの2つの暗号データc”、c”’に対応する2つの平文データm”、m”’についての内積である第2の内積との和を求めるべき情報である第2の情報がもたらされたときに該第2の情報を受け付ける手段と、
前記第2の情報に基づいて、
n行n列の第2の正方行列ΣW1=c1’Tc1+c1”’Tc1”、
n行l列の第2の行列ΣW2=c1’Tc2+c1Tc2’+c1”’Tc2”+c1”Tc2”’、および
第2のスカラーΣξ=c2c2’T+c2”c2”’Tを算出する手段と、
前記第2の正方行列ΣW1、前記第2の行列ΣW2、および前記第2のスカラーΣξを前記クライアントに提供する手段と
をさらに具備する請求項1記載のサーバ。
前記第2の情報に基づいて、
n行n列の第2の正方行列ΣW1=c1’Tc1+c1”’Tc1”、
n行l列の第2の行列ΣW2=c1’Tc2+c1Tc2’+c1”’Tc2”+c1”Tc2”’、および
第2のスカラーΣξ=c2c2’T+c2”c2”’Tを算出する手段と、
前記第2の正方行列ΣW1、前記第2の行列ΣW2、および前記第2のスカラーΣξを前記クライアントに提供する手段と
をさらに具備する請求項1記載のサーバ。
【請求項3】
前記暗号データに対してセキュリティ更新を行うための鍵である、前記公開鍵との関係性を有する更新鍵、および該セキュリティ更新がされたあとの前記クライアントの公開鍵である新公開鍵が前記クライアントから送付されたときに該更新鍵および該新公開鍵を受け取る手段と、
前記暗号データに行う前記セキュリティ更新として、前記更新鍵および前記新公開鍵を用いて、前記暗号データを、前記新公開鍵により暗号化された形式を有しかつ準同型性を有するデータである更新暗号データに変換する手段と、
前記暗号データが前記更新暗号データに変換されたあと、前記暗号データを破棄して該暗号データを前記更新暗号データで置き換える手段と
をさらに具備する請求項1記載のサーバ。
前記暗号データに行う前記セキュリティ更新として、前記更新鍵および前記新公開鍵を用いて、前記暗号データを、前記新公開鍵により暗号化された形式を有しかつ準同型性を有するデータである更新暗号データに変換する手段と、
前記暗号データが前記更新暗号データに変換されたあと、前記暗号データを破棄して該暗号データを前記更新暗号データで置き換える手段と
をさらに具備する請求項1記載のサーバ。
【請求項4】
前記更新鍵が、前記公開鍵、該公開鍵に対応する秘密鍵、前記新公開鍵、および該新公開鍵に対応する新秘密鍵を用いて、次式:
X: nκ行nnew列の行列で各要素は整数の集合(0,…,q−1)から無作為に
サンプリングした整数
Y=−XSnew+pE+Power2(S)
(ここで、κはκ=ceiling(log2q)による、
nnewは、nより大の正の整数、
Snewは、nnew行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数、
snewは正の実数、
Eは、nκ行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数、
Power2(S)はnκ行l列の行列で、Bits(c)・Power2(S)=c・SとなるようにSを変換する関数、
Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトル、
前記公開鍵が(A,P,n,s)、前記秘密鍵がS、前記新公開鍵が(Anew,Pnew,nnew,snew)、前記新秘密鍵がSnewであり、
Anewは、nnew行nnew列の正方行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
Pnewは、Pnew=pRnew−AnewSnewによる(ただし、Rnew、Snewは、それぞれ、n行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数である))
により生成された鍵(X,Y)であるとき、
前記更新暗号データが、次式:
F=[Bits(c1)X|Bits(c1)Y+c2]
E(0)=f1[Anew|Pnew]+p[f2|f3]
(ここで、Bits(c1)は、成分数がnで各成分がqを法として表された整数であるベクトルc1についてその各成分をビット化し、成分数がnκになったベクトル、
f1、f2は、それぞれ、成分数がnnewのベクトルで各成分は分散snew2の離散ガウス分布からサンプリングした整数、
f3は、成分数がlのベクトルで、各成分は分散snew2の離散ガウス分布からサンプリングした整数である)
により生成された暗号データF+E(0)である
請求項3記載のサーバ。
X: nκ行nnew列の行列で各要素は整数の集合(0,…,q−1)から無作為に
サンプリングした整数
Y=−XSnew+pE+Power2(S)
(ここで、κはκ=ceiling(log2q)による、
nnewは、nより大の正の整数、
Snewは、nnew行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数、
snewは正の実数、
Eは、nκ行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数、
Power2(S)はnκ行l列の行列で、Bits(c)・Power2(S)=c・SとなるようにSを変換する関数、
Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトル、
前記公開鍵が(A,P,n,s)、前記秘密鍵がS、前記新公開鍵が(Anew,Pnew,nnew,snew)、前記新秘密鍵がSnewであり、
Anewは、nnew行nnew列の正方行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
Pnewは、Pnew=pRnew−AnewSnewによる(ただし、Rnew、Snewは、それぞれ、n行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数である))
により生成された鍵(X,Y)であるとき、
前記更新暗号データが、次式:
F=[Bits(c1)X|Bits(c1)Y+c2]
E(0)=f1[Anew|Pnew]+p[f2|f3]
(ここで、Bits(c1)は、成分数がnで各成分がqを法として表された整数であるベクトルc1についてその各成分をビット化し、成分数がnκになったベクトル、
f1、f2は、それぞれ、成分数がnnewのベクトルで各成分は分散snew2の離散ガウス分布からサンプリングした整数、
f3は、成分数がlのベクトルで、各成分は分散snew2の離散ガウス分布からサンプリングした整数である)
により生成された暗号データF+E(0)である
請求項3記載のサーバ。
【請求項5】
次式:
c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
(ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数、
nは正の整数、
sは正の実数、
lは正の整数、
pは正の整数でpとqは互いに素、
qは正の整数、
Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
PはP=pR−ASによる(ただし、R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数))
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを記憶保持部が複数記憶保持し、
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに通信インターフェース部が該情報を受け付け、
前記情報に基づいて、
n行n列の正方行列W1=c1’Tc1、
n行l列の行列W2=c1’Tc2+c1Tc2’、および
スカラーξ=c2c2’Tを計算処理部が算出し、
前記正方行列W1、前記行列W2、および前記スカラーξを前記通信インターフェース部が前記クライアントに提供する
サーバを用いたサービス方法。
c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
(ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数、
mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数、
nは正の整数、
sは正の実数、
lは正の整数、
pは正の整数でpとqは互いに素、
qは正の整数、
Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数、
PはP=pR−ASによる(ただし、R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数))
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを記憶保持部が複数記憶保持し、
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに通信インターフェース部が該情報を受け付け、
前記情報に基づいて、
n行n列の正方行列W1=c1’Tc1、
n行l列の行列W2=c1’Tc2+c1Tc2’、および
スカラーξ=c2c2’Tを計算処理部が算出し、
前記正方行列W1、前記行列W2、および前記スカラーξを前記通信インターフェース部が前記クライアントに提供する
サーバを用いたサービス方法。
【請求項6】
前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’についての内積である第1の内積と、複数の前記暗号データのうちの2つの暗号データc”、c”’に対応する2つの平文データm”、m”’についての内積である第2の内積との和を求めるべき情報である第2の情報がもたらされたときに前記通信インターフェース部が該第2の情報を受け付け、
前記第2の情報に基づいて、
n行n列の第2の正方行列ΣW1=c1’Tc1+c1”’Tc1”、
n行l列の第2の行列ΣW2=c1’Tc2+c1Tc2’+c1”’Tc2”+c1”Tc2”’、および
第2のスカラーΣξ=c2c2’T+c2”c2”’Tを前記計算処理部が算出し、
前記第2の正方行列ΣW1、前記第2の行列ΣW2、および前記第2のスカラーΣξを前記通信インターフェース部が前記クライアントに提供する
請求項5記載のサービス方法。
前記第2の情報に基づいて、
n行n列の第2の正方行列ΣW1=c1’Tc1+c1”’Tc1”、
n行l列の第2の行列ΣW2=c1’Tc2+c1Tc2’+c1”’Tc2”+c1”Tc2”’、および
第2のスカラーΣξ=c2c2’T+c2”c2”’Tを前記計算処理部が算出し、
前記第2の正方行列ΣW1、前記第2の行列ΣW2、および前記第2のスカラーΣξを前記通信インターフェース部が前記クライアントに提供する
請求項5記載のサービス方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法に係り、特に、復号時のクライアントの処理負担軽減に資するサーバおよびサービス方法に関する。
【背景技術】
【0002】
クラウドサーバのように、クライアントに代わってデータを記憶保持するサービスが存在する。これを利用し、クライアントが開示している公開鍵で暗号化したデータを第三者がサーバにアップロードすると、クライアントはこのデータをクラウド管理者に内容秘匿のまま自身が解読(復号)可能な暗号データとしてサーバ上に置かれた状態で管理できる。例えばデータとして個人の医療検査結果など秘匿性の高いデータを扱う場合に都合がよい。
【0003】
また、クラウドサーバでは、クライアントのデータを記憶保持し、リソースが限られたクライアントからの要求に応じてこのデータを用いてクライアントに代わって計算処理を行いその結果をクライアントに提供するサービスが存在する(代理計算)。この場合、通常、データとして暗号データは扱えない。暗号データで計算処理を行うと当然、平文データでの処理結果と一般に一致しないためである。
【0004】
一方、暗号データでの計算処理が平文データでの処理結果と対応するような暗号データ(=準同型性のある暗号データ)は、現在いくつか知られている。かかる暗号データを用いれば、サーバで一定の計算処理を行っても結果を同じ形式の暗号データで得ることができ、これをクライアントに提供できる。クライアントは対応する秘密鍵でこれを復号できる。つまり、準同型性のある暗号データを利用すれば、サーバ上で行うデータの計算処理に関しても、これをクラウド管理者に内容秘匿でクライアントが管理できる。
【0005】
しかしながら、準同型性が制限なくいかなる計算においても成立するという性質を有する暗号データは現状知られていない。例えば、加算のみ、1回の乗算のみなど、限定的な範囲でのみ準同型性を有しているのが通例である。したがって、クライアントがサーバのサービスを受ける場合には、目的とする結果を得るために、準同型性を利用できる計算を一度経由してその後にクライアントで後処理を行うというような手順が必要になる場合がある。このような手順は、クライアントの処理負担が大きくなることを意味する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】US8,565,435特許明細書
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法において、復号時のクライアントの処理負担を軽減することが可能なサーバおよびサービス方法に提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の一態様であるサーバは、次式:c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数。e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
n、s、l、p、A、Pは以下による。
nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数。
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持する手段と、前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付ける手段と、前記情報に基づいて、n行n列の正方行列W1=c1’Tc1、n行l列の行列W2=c1’Tc2+c1Tc2’、およびスカラーξ=c2c2’ Tを算出する手段と、前記正方行列W1、前記行列W2、および前記スカラーξを前記クライアントに提供する手段とを具備する。
【0009】
このサーバが記憶保持する複数の暗号データc、c’、…は、それらの平文データm、m’、…との関係として、複数個(任意個)の加算、および1度のテンソル積mTm’において準同型性を有している。しかしながら、内積mm’Tに関しては直接的な準同型性がない。クライアントが内積mm’Tを得たい場合には、可能性として、テンソル積mTm’を利用する準同型演算の結果としてこれをクライアントに提供できる。このサーバでは、さらに、このようなテンソル積を利用せずに内積演算対応ができるように、クライアントから平文データm、m’について内積を求めるべき情報がもたらされたときに、これに基づいて、n行n列の正方行列W1=c1’Tc1、n行l列の行列W2=c1’Tc2+c1Tc2’、およびスカラーξ=c2c2’ Tを算出し、これらをクライアントに提供する。
【0010】
クライアントにおける復号処理では、W1に、内積算出対応秘密鍵S*(=SST=(γij)とする)を掛けてそのトレースを求め、W2に、秘密鍵Sの転置行列ST(=(σij)とする)を掛けてそのトレースを求め、これらの結果の和にξを加え、最後にpを法とする整数に直すと、目的の、m、m’の内積m m’Tが得られる。これらの復号処理で、掛け算は合計「n(n+l)」回、足し算は合計「n(n+l)+1」回の演算量となり、テンソル積を利用する場合より、クライアントの処理負担は劇的に軽減される。
【0011】
また、別の態様であるサービス方法は、次式:c1=e1A+pe2
c2=e1P+pe3+m
c=(c1,c2)
ここで、e1、e2は、それぞれ、成分数がnのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数。e3は、成分数がlのベクトルで各成分は分散s2の離散ガウス分布からサンプリングした整数。mはベクトル形式を有する平文データで、成分数がlで各成分はpを法として表された整数。
n、s、l、p、A、Pは以下による。
nは正の整数。sは正の実数。lは正の整数。pは正の整数でpとqは互いに素。qは正の整数。Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数。PはP=pR−ASによる。R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数。
に従うように、クライアントの公開鍵(A,P,n,s)で暗号化された、ベクトル形式を有する暗号データcを複数記憶保持し、前記クライアントから、複数の前記暗号データのうちの2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときに該情報を受け付け、前記情報に基づいて、n行n列の正方行列W1=c1’Tc1、n行l列の行列W2=c1’Tc2+c1Tc2’、およびスカラーξ=c2c2’ Tを算出し、前記正方行列W1、前記行列W2、および前記スカラーξを前記クライアントに提供する。
【0012】
このサービス方法は、上記のサーバに対応する方法である。
【発明の効果】
【0013】
本発明によれば、暗号化されたデータを記憶保持し、要求に応じて当該暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバおよびサービス方法において、復号時のクライアントの処理負担を軽減することが可能になる。
【発明を実施するための形態】
【0015】
以上を踏まえ、以下では本発明の実施形態を図面を参照しながら説明する。図1は、一実施形態であるサーバおよびこれを含むシステムを示している。同図において、サーバ10は例えばクラウドサーバであり、一方、クライアント30はサーバ10が提供するサービスを享受する機器である。ひとつのサーバ10にクライアント30は多数存在し得る(ほかのクライアントは不図示)。サーバ10とクライアント30とは管理主体が異なる前提で以下説明するが、データの暗号化により、第三者機器20からは、見掛け上サーバ10がクライアント30の一部であるかのようになっている。
【0016】
すなわち、クライアント30は、その管理するデータをサーバ10上では暗号化された状態で記憶保持させている。この暗号化に必要な公開鍵はクライアント30が開示している。したがって、クライアント30が開示している公開鍵で第三者機器20が暗号化したデータをサーバ10にアップロードすると、クライアント30はこのデータをクラウド管理者(サーバ10の管理者)に内容秘匿のまま自身が秘密鍵で解読(復号)可能な暗号データとしてサーバ10上に置かれた状態で管理できる。例えばデータとして個人の医療検査結果など秘匿性の高いデータを扱う場合に都合がよい。
【0017】
サーバ10は、通信インターフェース11、暗号データ記憶保持部12、計算処理部(算出部)13、セキュリティ更新処理部(変換部、置き換え部)14を有する。クライアント30は、パラメータ生成保持部31、鍵生成部32、鍵保持部33、通信インターフェース34、一般処理部35(要求内容生成、その結果の復号を行う)、更新鍵生成部36を有する。第三者機器20は、処理部(暗号化部)21、通信インターフェース22を有する。
【0018】
以下、サーバ10、クライアント30、および第三者機器20の各内部構成についてその機能を説明するが、理解の便宜のため一連の動作に沿って説明するので、必ずしも機器ごとにまとまった説明にならない点を断っておく。なお、図1中の一点鎖線で囲んだ部分は、暗号データのセキュリティをアップデートするためのオプション構成であり、セキュリティのアップデートが不要の場合は省略できる。以下、機能ブロック図として描いた図1を中心に参照して説明するが、適宜、説明図である図2ないし図10を参照する。
【0019】
(公開鍵および秘密鍵の生成)公開鍵および秘密鍵の生成のため、まず、クライアント30は、パラメータ生成保持部31によりパラメータ(q,l,p)を生成する。qは正の整数、lは正の整数、pは正の整数で、pとqは互いに素(つまり最小公倍数が1)である。lは、平文ベクトルの成分数として設定された数である。平文ベクトルは、成分数がlで各成分がpを法として表された整数とする。以上図2を参照することができる。生成されたパラメータはパラメータ生成保持部31に保持されるとともに、鍵生成部32に渡される。なお、「ベクトル」は断りのない限り横ベクトルを意味する(以下でも同様)。
【0020】
鍵生成部32は、パラメータ生成部31から渡されたパラメータ(q,l,p)に基づき公開鍵、秘密鍵、および内積算出対応秘密鍵を生成する。手順は以下であり図3を参照できる。まず、sを決めnを決める。sは正の実数で、離散ガウス分布の標準偏差として設定する。nは正の整数でセキュリティ(安全性)に関連する数であり、q、s、nで暗号としての安全性が定まる。ちなみに、本実施形態で例えばq=2114、s=8.0、n=2661とした場合には、80ビットセキュリティの暗号が得られる。一般にNビットセキュリティの暗号とは、2N回の解読計算で鍵(秘密鍵)が見つかる暗号である。
【0021】
次に、鍵生成部32は、正規ランダム行列R、Sを生成する。すなわち、R、Sは、それぞれ、n行l列の行列で各要素は分散s2の離散ガウス分布からサンプリングした整数である。加えて、鍵生成部32は、一様ランダム行列Aを生成する。すなわち、Aは、n行n列の正方行列で、各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数である。
【0022】
さらに、鍵生成部32はPを計算する。計算式はP=pR−ASである。Pは、n行l列の行列で、各要素はqを法として表された整数になる。以上の一連の手順により、公開鍵は(A,P,n,s)として、秘密鍵はSとして、内積算出対応秘密鍵はS*(=SST)として、それぞれ生成される。生成された各鍵は鍵保持部33に渡され、そこで記憶保持される。秘密鍵Sおよび内積算出対応秘密鍵はS*は、クライアント30の外に流出しないように管理される一方、公開鍵(A,P,n,s)は、第三者機器20のため開示される。第三者機器20は、例えば医療機関などの秘匿性のあるデータを取り扱う者が有する機器を想定することができる。
【0023】
(暗号化)図1に示すシステムでは、データの暗号化を公開鍵でクライアント30が行い、その結果である暗号データをサーバ10に送ってサーバ10上に記憶保持させることができる。同様に、第三者機器20がその有する、秘匿が必要な平文のデータをクライアント30の公開鍵で暗号化し、その結果である暗号データをサーバ10に送ってサーバ10上に記憶保持させることもできる。暗号化の処理自体は両者とも変わらないが、後者の動作として以下説明する。手順は以下であり図4を参照できる。
【0024】
まず、第三者機器20の処理部21はノイズe1、e2を生成する。e1、e2は、それぞれ、成分数がnのベクトルで、各成分は分散s2の離散ガウス分布からサンプリングした整数である。加えて、処理部21はノイズe3を生成する。e3は、成分数がlのベクトルで、各成分は分散s2の離散ガウス分布からサンプリングした整数である。
【0025】
次に、処理部21はc1を計算する。計算式はc1=e1A+pe2である。c1は、成分数がnのベクトルで、各成分はqを法として表された整数になる。加えて、処理部21はc2を計算する。計算式はc2=e1P+pe3+mである。mは第三者機器20において生成された平文ベクトルで、成分数がlで各成分はpを法として表された整数である。c2は、成分数がlのベクトルで各成分はqを法として表された整数になる。
【0026】
以上の一連の手順により、暗号データcはc=(c1,c2)として生成される。なお、第三者機器20は、以上の一連の手順で公開鍵(A,P,n,s)が必要であるが、これ以外に少なくともパラメータ(l,p)が必要である。パラメータ(l,p)は第三者機器20において前提として了解されているものとする。生成された暗号データは、処理部21から通信インターフェース22に渡され、通信インターフェース22は、渡された暗号データを通信路を介してサーバ10に向けて送る。
【0027】
サーバ10は、第三者機器20から送られてきた暗号データを通信インターフェース11で受け取る。通信インターフェース11で受け取られた暗号データは、通信インターフェース11から暗号データ記憶保持部12に渡される。暗号データ記憶保持部12は、通信インターフェース11から渡された暗号データを記憶保持する。この暗号データは、すなわち、サーバ10の管理者に内容秘匿のままクライアント30のみが復号可能な暗号データとしてサーバ10上に置かれたデータになっている。
【0028】
(復号)図1に示すシステムで復号はもっぱらクライアント30で行われる。これにより、サーバ10の管理者に対するデータの秘匿性が保たれる。単に復号する場合の動作を以下説明する。暗号データ記憶保持部12に記憶保持された暗号データをクライアント30が復号して平文データに戻す場合には、クライアント30は、その暗号データc=(c1,c2)を提出することの要求をサーバ10に対して行う。そのため、その旨の情報を一般処理部35で生成する。この要求の旨の情報は、一般処理部35から通信インターフェース34に渡される。
【0029】
通信インターフェース34に渡された要求の旨の情報は、通信インターフェース34から通信路を介してサーバ10に送られる。サーバ10は、クライアント30から送られてきた要求の旨の情報を通信インターフェース11で受け取る。通信インターフェース11で受け取られた要求の旨の情報は通信インターフェース11から計算処理部13に渡される。計算処理部13は、渡された要求の内容に従い、暗号データ記憶処理部12から該当の暗号データc=(c1,c2)を取り出す。そして、計算処理部13は、取り出した暗号データに対してこの場合特に処理を行わずに通信インターフェース11に渡す。なお、一般には計算処理部13が暗号データに対して一定の計算処理を行う場合もあるがその場合については後述する。
【0030】
通信インターフェース11に渡された暗号データは、通信インターフェース11から通信路を介してクライアント30に送られる。クライアント30は、サーバ10から送られてきた暗号データを通信インターフェース34で受け取る。通信インターフェース34で受け取られた暗号データc=(c1,c2)は通信インターフェース34から一般処理部35に渡される。
【0031】
一般処理部35は、暗号データc=(c1,c2)の復号動作として以下を行う。この点は図5を参照できる。まず、mバーを計算する。計算式は、mバー=m=c1S+c2である。Sは前述してあるように秘密鍵であり、鍵保持部33に保持されている。次に平文ベクトルmを計算する。計算式は、m=mバー mod pである。mは復号で得られた平文ベクトル(=復号結果)になる。当然ながら、この復号は秘密鍵Sを保持しているクライアント30以外では実行できない。秘密鍵はクライアント30の外に流出しないように管理されている。
【0032】
以上により、サーバ10が行うクライアント30のためのデータの記憶保持というサービスの点で、サーバ管理者に対するデータの秘匿性が保たれることを説明した。
【0033】
(暗号データの性質)次に、上記で説明したように生成された暗号データに特有な性質について説明する。図2、図3、図4に示された手順で生成された暗号データには、一定の準同型性がある。そのひとつは加算の準同型性であり、一般に、c+c’=Enc(pk,m+m’) が成り立っている。ここで「Enc」は、上記で説明した暗号化を平文データm+m’に対して公開鍵pkで行うことの関数を意味し、具体的に公開鍵pk(public key)=(A,P,n,s)である。
【0034】
つまり、暗号データc、c’とその対応する平文データm、m’とで、暗号データで行った加算c+c’の演算結果は、平文データで行った加算m+m’の演算結果を暗号化したものに等しくなっている。この点は、図2〜図4を参照して追ってみれば確かめることができる。
【0035】
かかる暗号データであることから、サーバ10で加算の演算処理を行うとその結果を、同じ形式で暗号化されたデータとしてクライアント30に提供できる。クライアント30は対応する秘密鍵Sでこれを復号できる。つまり、一定の準同型性のある暗号データを利用することにより、サーバ10上で行うデータの一定の演算処理に関しても、これをサーバ管理者に内容秘匿でクライアント30が管理できる。
【0036】
図2、図3、図4に示された手順で生成された暗号データには、もうひとつの準同型性が備わっている。すなわち、この暗号データは、一般にcTc’=Enc(pk,mTm’)が成り立っている。ここで、cT、mTはそれぞれ、横ベクトルc、mを縦ベクトルに直したものである。つまり、暗号データc、c’とその対応する平文データm、m’とで、暗号データで行ったテンソル積cTc’(=n+l行n+l列の正方行列)の演算結果は、平文データで行ったテンソル積mTm’の演算結果を暗号化したもの(=n+l行n+l列の正方行列)に、要素ごとに等しくなっている。この点は、図2〜図4を参照して追ってみれば確かめることができる。
【0037】
よって、このような乗算の準同型性のある暗号データを利用することにより、サーバ10上で行う積を求める演算処理に関しても、これをサーバ管理者に内容秘匿でクライアント30が管理できる。クライアント30はその演算結果を秘密鍵Sで復号できる。
【0038】
以上の点をまとめると、図2、図3、図4に示された手順で生成された暗号データは、2次形式の計算を行う処理についてサーバ10で扱うことができることを意味する。サーバ10でこのような処理を行うと、その結果はもとの公開鍵で暗号化された形式を有する、平文データで同様な処理を行った結果に対応したデータになる。したがって、クライアント30に代わって計算処理をサーバ10で行いその結果をクライアント30に提供しクライアント30はこれを秘密鍵で復号できる。すなわち、2次形式の計算処理に関して、これをサーバ管理者に内容秘匿でクライアント30が管理できることになる。
【0039】
以上説明した準同型性と2次形式の計算との関係をもう一度説明したものが図6である。図6は以上の点から容易に理解できると思われるが簡単におさらいする。まず、図2〜図4によれば、平文ベクトルm、m’とその暗号文ベクトルc、c’とに関して以下が成り立つ。c+c’=Enc(pk,m+m’) ・・・加算の準同型性
cTc’=Enc(pk,mTm’) ・・・テンソル積の乗算の準同型性
【0040】
次に、例えば、平文データxi、yiの各暗号データEnc(pk,xi)、Enc(pk,yi)を用いた2次形式の計算:N
Σ ai・Enc(pk,xi)・Enc(pk,yi) (iはデータ番号)
i=1
の結果は、次式、平文データを用いた2次形式の計算結果を暗号化したものに等しい。
N
Enc(pk,Σ ai・xiyi)
i=1
【0041】
したがって、サーバ管理者に対して平文データxi、yiを秘匿したままサーバ10で計算処理を行い、その後クライアント30は復号でその計算結果を得ることができる。
【0042】
(内積演算に関して)上記では、暗号データにおけるテンソル積の乗算の準同型性について述べたが、これは、もちろん、平文ベクトルm、m’の内積演算m m’Tの結果と、そのそれぞれの暗号文ベクトルc、c’の内積演算c c’T の結果との準同型性を意味するものではない。クライアント30が内積mm’Tを得たい場合には、可能性として、テンソル積mTm’を利用する準同型演算の結果としてならばこれをクライアント30に提供できる。この場合、端的には、平文ベクトルの各成分をそれぞれ別の平文として暗号化しそして復号する処理を行うことに相当し、クライアント30での復号処理の効率は高くならない。
【0043】
そこで、このサーバ10は、内積を得たい場合のクライアント30の復号処理を効率化する内積演算対応機能を有している。この説明として図7を参照する。平文ベクトルm、m’の内積m m’Tに関しては、qを法とする数(m m’T)バーとして、図7の中央のブロック内に示されている式の変形(主に行列のトレースに関する性質を利用)により、Tr(c1’Tc1SST)+Tr((c1’Tc2+c1Tc2’)ST)+c2c2’ T
と表すことができる。
【0044】
つまり、クライアント30がm、m’の内積m m’Tを得るには、c1’Tc1(n行n列の行列;=W1=(αij)とする)、c1’Tc2+c1Tc2’(n行l列の行列;=W2=(βij)とする)、およびc2c2’ T(スカラー;=ξとする)を計算させることの要求をサーバ10に送ればよい。その後のクライアント30では、W1に、内積算出対応秘密鍵S*(=SST=(γij)とする)を掛けてそのトレースを求め、W2に、秘密鍵Sの転置行列ST(=(σij)とする)を掛けてそのトレースを求め、上記の結果の和にξを加え、最後にpを法とする整数に直すと、目的の、m、m’の内積m m’Tが得られる。
【0045】
すなわち、サーバ10は、クライアント30から、2つの暗号データc、c’に対応する2つの平文データm、m’について内積を求めるべき情報がもたらされたときにこの情報を受け付け(通信インターフェース11)、この情報に基づいて、n行n列の正方行列W1=c1’Tc1、n行l列の行列W2=c1’Tc2+c1Tc2’、およびスカラーξ=c2c2’ Tを算出する(計算処理部13)。そしてサーバ10は、正方行列W1、行列W2、およびスカラーξをクライアント30に提供する(計算処理部13から通信インターフェース11を介してクライアント30へ)。その後のクライアント30での動作は上記のとおりである。
【0046】
クライアント30における計算量に関しては、Tr(c1’Tc1SST)+Tr((c1’Tc2+c1Tc2’)ST)+c2c2’ T
n n l
= Σ ( Σ αikγki + Σ βijσji)+ξ
i=1 k=1 j=1
と表されるので、総計算量として、掛け算が合計「n(n+l)」回、足し算が合計「n(n+l)+1」回で済むことが示されている。この総計算量によれば、テンソル積を利用する内積の計算の場合より、例えば、80ビットセキュリティの場合、128ビットセキュリティの場合で、それぞれ30倍以上復号処理の高速化が可能である。
【0047】
(内積の和の演算に関して)次に、内積の和の演算に関して図8を参照して説明する。図7に示した点によれば、平文ベクトルm1、m1’の内積m1 m1’Tから、平文ベクトルmu、mu’の内積mu mu’Tまでの和(1〜u)をクライアント30が必要とする場合には、それぞれの内積についてのW1、W2、ξをu組得てこれらをサーバ10からクライアント30に送らせるには及ばないことがわかる。換言すると、それぞれの内積についてのW1、W2、ξをサーバ10が求め、そして、ΣW1、ΣW2、Σξ がクライアント30に送られればよく(Σは1〜uまでの和をとる)、復号は、次式で達成される。すなわち、
(Tr(ΣW1SST)+Tr(ΣW2ST)+Σξ)mod p
である。
【0048】
この式は、1つの内積を求めるため復号する場合の式と形式が同じであり、したがって、やはり、クライアント30では、総計算量として、掛け算が合計「n(n+l)」回、足し算が合計「n(n+l)+1」回で済むことが分かる。クライアント30がベクトルデータの内積の和を必要とするアプリケーションは数多く考えられ、実施形態のサーバ10によれば、このような場合にも非常に効率的な復号がクライアント30において可能である。
【0049】
以上により、準同型性のある暗号データを利用し、サーバ10上で行うデータの計算処理に関して、これをサーバ管理者に内容秘匿でクライアント30が管理できる点を説明した。
【0050】
(更新鍵の生成)次に、暗号データ記憶保持部12に記憶保持された暗号データについてそのセキュリティを更新する手順を説明する(これは図1中の一点鎖線で囲われた構成によってなされるオプションである)。セキュリティ更新が必要になる一般的理由は、暗号データは長期的視点で危殆化する可能性を有しているためである。暗号データのセキュリティを更新するには、一般に、一旦平文データに復号してから再度アップデートに対応した暗号化を行うか、平文データに復号せず直接に暗号データに対してセキュリティ更新の処理を行うかのいずれかになる。いずれも処理負担が軽いとは限られず、クライアント30ではなくサーバ10の側で処理を行う方が好ましいと考えられる。
【0051】
サーバ10の側で暗号データのセキュリティ更新の処理を行うと、前者の場合では、その処理時にサーバ管理者に対するデータ内容の秘匿性がくずれる。よって、データの記憶保持、計算処理、セキュリティ更新という一連のサービスで一貫した秘匿性を保てず、サービスとして不備が含まれたものになってしまう。そこで、このサーバ10は、準同型性を有する暗号データを扱ってなおかつ直接に暗号データにセキュリティ更新の処理ができるように構成されている。そして、セキュリティ更新の処理を行っても暗号データの準同型性が保たれる。
【0052】
セキュリティ更新のための動作はクライアント30での更新鍵の生成から始まる。以下の手順は図9を参照することができる。まず、クライアント30の鍵生成部32は、公開鍵(A,P,n,s)と同様に生成させた新公開鍵(Anew,Pnew,nnew,snew)、および秘密鍵Sと同様に生成させた新秘密鍵Snewを用意する。この動作は図3を参照できる。nnewは正の整数でnより大(=セキュリティの向上ため)である。新公開鍵および新秘密鍵は、鍵生成部32から鍵保持部33に渡されて保持され、さらに鍵保持部33から更新鍵生成部36に渡される。なお、公開鍵(A,P,n,s)および秘密鍵Sも鍵保持部33から更新鍵生成部36に渡される。
【0053】
更新鍵生成部36は、まず、κ=ceiling(log2q)を計算する。ceiling( )は天井関数であり、括弧内の数をそれ以上の最小の整数に変換する関数である。次に、更新鍵生成部36は、ランダム行列X、Eを生成する。すなわち、Xは、nκ行nnew列の行列で各要素は整数の集合(0,…,q−1)から無作為にサンプリングした整数である。Eは、nκ行l列の行列で各要素は分散snew2の離散ガウス分布からサンプリングした整数である。
【0054】
さらに、更新鍵生成部36はYを計算する。計算式はY=−XSnew+pE+Power2(S)である。ここで、Power2(S)はnκ行l列の行列で、Bits(c)・Power2(S)=c・SとなるようにSを変換する関数である。さらにここで、Bits(c)は、成分数がnで各成分がqを法として表された整数であるベクトルcについてその各成分をビット化し、成分数がnκになったベクトルである。Yは、nκ行l列の行列で各要素はqを法として表された整数になる。
【0055】
以上の一連の手順により、更新鍵生成部36で更新鍵は(X,Y)として生成される。この更新鍵は、公開鍵と一定の関係性を有するように生成されている。そして、この更新鍵、および鍵保持部33に保持された新公開鍵は、それぞれ、更新鍵生成部36、鍵保持部33から通信インターフェース34に渡される。通信インターフェース34に渡された更新鍵および新公開鍵は、通信インターフェース34から通信路を介してサーバ10に送付される。
【0056】
サーバ10は、クライアント30から送付されてきた更新鍵および新公開鍵を通信インターフェース11で受け取る。通信インターフェース11で受け取られた更新鍵および新公開鍵は、通信インターフェース11からセキュリティ更新処理部14に渡される。セキュリティ更新処理部14は、渡された更新鍵および新公開鍵を用いて、暗号データ記憶処理部12に記憶保持された暗号データに対してセキュリティを更新する処理を行う(以下で説明する)。
【0057】
(セキュリティ更新)サーバ10は、クライアント30から送付されてきた更新鍵(X,Y)および新公開鍵(Anew,Pnew,nnew,snew)を用いて暗号データ記憶処理部12に記憶保持された暗号データに対してセキュリティを更新する処理を行う。この動作はセキュリティ更新処理部14による。セキュリティ更新処理部14は、暗号データに行うセキュリティ更新として、更新鍵および新公開鍵を用いて、暗号データを、新公開鍵により暗号化された形式を有しかつもとの準同型性と同様の準同型性を有するデータである更新暗号データに変換する。手順は以下であり図10を参照できる。
【0058】
まず、セキュリティ更新処理部14は、ノイズf1、f2を生成する。f1、f2は、それぞれ、成分数がnnewのベクトルで、各成分は分散snew2の離散ガウス分布からサンプリングした整数である。加えて、セキュリティ更新処理部14は、ノイズf3を生成する。f3は、成分数がlのベクトルで、各成分は分散snew2の離散ガウス分布からサンプリングした整数である。
【0059】
次に、セキュリティ更新処理部14は、Fを計算する。計算式はF=[Bits(c1)X | Bits(c1)Y+c2]である。ここで記号「|」は、行列の連結を意味する。Fは、成分数がnnew+lのベクトルで、各成分はqを法として表された整数になる。c1、c2については、暗号データ(c1,c2)を暗号データ記憶処理部12から取り出して用いる。さらに、セキュリティ更新処理部14は、ゼロの暗号データE(0)を計算する。計算式は、E(0)=f1[Anew|Pnew]+p[f2|f3](図4参照)である。
【0060】
以上の一連の手順により、セキュリティ更新後の暗号データである更新暗号データcnew=(cnew1,cnew2)は、F+E(0)として算出される。もとの暗号データc=(c1,c2)から変換され算出された更新暗号データcnew=(cnew1,cnew2)は、セキュリティ更新処理部14から暗号データ記憶保持部12に渡される。セキュリティ更新処理部14は、もとの暗号データを破棄して更新暗号データで置き換える。
【0061】
以上説明した、暗号データから更新暗号データへの変換は、暗号データとしてもとの準同型性が保たれたものになる。この点は、図9、図10、および図2〜図4を参照して追ってみれば確かめることができる。よって、要求に応じて暗号データを用いて一定の計算処理を行い暗号で結果を提供するサーバ10において、暗号データに対するセキュリティのアップデートが可能である。
【0062】
そして、このセキュリティ更新は、暗号データに対してサーバ10の動作として行われるので、リソースが限られているクライアント30の処理負担ならない。また、このセキュリティ更新は、暗号解読技術が進展して安全性が低下しても何度も繰り返すことができる。もとよりサーバ10として、データの記憶保持、計算処理、セキュリティ更新という一連のサービスで、一貫して秘匿性が保たれているという大きな効果を有している。なお、セキュリティ更新がされたあとは、当然ながらクライアント30は、これまでの公開鍵に代わり新公開鍵を開示し、その結果、その後第三者機器20は、新公開鍵を用いて暗号化が必要な平文データを暗号化しこれをサーバ10に送る(アップロードする)ことになる。
【0063】
以上、本発明の実施形態を説明したが、実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。この実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0064】
10…サーバ、11…通信インターフェース、12…暗号データ記憶保持部、13…計算処理部(算出部)、14…セキュリティ更新処理部(変換部、置き換え部)、20…第三者機器、21…処理部(暗号化部)、22…通信インターフェース、30…クライアント、31…パラメータ生成保持部、32…鍵生成部、33…鍵保持部、34…通信インターフェース。35…一般処理部(要求内容生成部、結果の復号部)、36…更新鍵生成部。