IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ クリプト ラボ インクの特許一覧

<>
  • 特開-端末装置における暗号化方法及び端末 図1
  • 特開-端末装置における暗号化方法及び端末 図2
  • 特開-端末装置における暗号化方法及び端末 図3
  • 特開-端末装置における暗号化方法及び端末 図4
  • 特開-端末装置における暗号化方法及び端末 図5
  • 特開-端末装置における暗号化方法及び端末 図6
  • 特開-端末装置における暗号化方法及び端末 図7
  • 特開-端末装置における暗号化方法及び端末 図8
  • 特開-端末装置における暗号化方法及び端末 図9
  • 特開-端末装置における暗号化方法及び端末 図10
  • 特開-端末装置における暗号化方法及び端末 図11
  • 特開-端末装置における暗号化方法及び端末 図12
  • 特開-端末装置における暗号化方法及び端末 図13
  • 特開-端末装置における暗号化方法及び端末 図14
  • 特開-端末装置における暗号化方法及び端末 図15
  • 特開-端末装置における暗号化方法及び端末 図16
  • 特開-端末装置における暗号化方法及び端末 図17
  • 特開-端末装置における暗号化方法及び端末 図18
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022059027
(43)【公開日】2022-04-12
(54)【発明の名称】端末装置における暗号化方法及び端末
(51)【国際特許分類】
   G09C 1/00 20060101AFI20220405BHJP
【FI】
G09C1/00 620Z
【審査請求】有
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2022021844
(22)【出願日】2022-02-16
(62)【分割の表示】P 2019572731の分割
【原出願日】2018-12-17
(31)【優先権主張番号】10-2017-0173608
(32)【優先日】2017-12-15
(33)【優先権主張国・地域又は機関】KR
(31)【優先権主張番号】10-2018-0129749
(32)【優先日】2018-10-29
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】519389328
【氏名又は名称】クリプト ラボ インク
【氏名又は名称原語表記】CRYPTO LAB INC.
【住所又は居所原語表記】27-404, 1, Gwanak-ro, Gwanak-gu, Seoul, 08826, Republic of Korea
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(74)【代理人】
【識別番号】100132067
【弁理士】
【氏名又は名称】岡田 喜雅
(74)【代理人】
【識別番号】100137903
【弁理士】
【氏名又は名称】菅野 亨
(72)【発明者】
【氏名】チョン ジャン ヒー
(72)【発明者】
【氏名】キム デュヒョン
(72)【発明者】
【氏名】ソン ヨンス
(72)【発明者】
【氏名】ハン キュヒョン
(57)【要約】
【課題】環の平文空間を実数の空間に調整し、演算速度の向上した同型暗号文を生成する。
【解決手段】端末装置における暗号化方法が開示される。本方法によると、要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合である環を設定することができる。環に属する元素のうち、予め設定された分布内の秘密鍵を選択し、選択された秘密鍵に対応して公開鍵を算出し、メッセージに公開鍵を適用して復号化していない状態で、各種演算を行うことができる同型暗号文を生成することができる。
【選択図】図9
【特許請求の範囲】
【請求項1】
端末装置における暗号化方法において、
要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合である環を設定するステップと、
前記環に属する元素のうち、予め設定された分布内の秘密鍵を選択するステップと、
前記選択された秘密鍵に対応して公開鍵を算出するステップと、
メッセージに前記公開鍵を適用して復号化していない状態で、各種演算を行うことができる同型暗号文を生成するステップと
を含む暗号化方法。
【請求項2】
前記環は、以下の数式を満たし、
a(X)は、前記環に属する多項式、Rは、平文空間が複素数である環であることを特徴とする請求項1に記載の暗号化方法。
【請求項3】
前記環から第1ランダム多項式を算出するステップと、
エラーを抽出するステップと、
エラーを前記秘密鍵を用いてモジュラ演算し、モデュラス演算結果と前記第1ランダム多項式とを用いて、第2ランダム多項式を算出するステップと
を更に含み、
前記公開鍵を算出するステップは、
前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出することを特徴とする請求項1に記載の暗号化方法。
【請求項4】
前記同型暗号文を生成するステップは、
前記メッセージを前記環に属する多項式に変換し、多項式に変換されたメッセージに前記公開鍵を適用して同型暗号文を生成することを特徴とする請求項1に記載の暗号化方法。
【請求項5】
前記生成された同型暗号文及び予め生成された同型暗号文に対し、加算及び乗算のうち少なくとも一つの演算を行うステップを更に含み、
前記演算を行うステップは、
前記生成された同型暗号文及び前記予め生成された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理することを特徴とする請求項1に記載の暗号化方法。
【請求項6】
前記同型暗号文は、復号化した際、前記メッセージにエラー値を加算した結果値を有することを特徴とする請求項1に記載の暗号化方法。
【請求項7】
端末装置において、
メッセージが保存されたメモリと、
前記メッセージを用いて、同型暗号文を生成するプロセッサと
を含み、
前記プロセッサは、
要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合である環を設定し、
前記環に属する元素のうち、予め設定された分布内の秘密鍵を選択し、
前記選択された秘密鍵に対応して公開鍵を算出し、
前記メッセージに前記公開鍵を適用して復号化していない状態で、各種演算を行うことができる同型暗号文を生成する端末。
【請求項8】
前記環は、以下の数式を満たし、
a(X)は、前記環に属する多項式、Rは、平文空間が複素数である環であることを特徴とする請求項7に記載の端末。
【請求項9】
前記プロセッサは、
前記環から第1ランダム多項式を算出し、
エラーを抽出し、
エラーを前記秘密鍵を用いてモジュラ演算し、モデュラス演算結果と前記第1ランダム多項式とを用いて、第2ランダム多項式を算出し、
前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出することを特徴とする請求項7に記載の端末。
【請求項10】
前記プロセッサは、
前記メッセージを前記環に属する多項式に変換し、多項式に変換されたメッセージに前記公開鍵を適用して同型暗号文を生成することを特徴とする請求項7に記載の端末。
【請求項11】
前記プロセッサは、
前記生成された同型暗号文及び予め生成された同型暗号文に対し、加算及び乗算のうち少なくとも一つの演算を行い、
前記演算過程において、前記生成された同型暗号文及び前記予め生成された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理することを特徴とする請求項7に記載の端末。
【請求項12】
前記同型暗号文は、復号化した際、前記メッセージにエラー値を加算した結果値を有することを特徴とする請求項7に記載の端末。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、同型暗号化を行う端末装置と、その暗号文を処理するサーバ装置及びその方法に関し、より詳細には、リングの平文空間を実数の空間に調整し、演算速度の向上した同型暗号文を生成する実数の平文に対する同型暗号化方法に関する。
【背景技術】
【0002】
電子及び通信技術の発展により、多様な装置の間でデータを送受信して活用する多様なサービスがサポートされている。そのうち、一例として、ユーザが自分の個人情報などをサーバに保存しておき、自分の端末装置を用いてサーバの情報を用いるクラウドコンピューティングサービスも盛んに使われている。
【0003】
このような環境では、データの流出を防止するためのセキュリティ技術の使用が必須である。よって、サーバは、暗号化されたデータを保存するようになる。この場合、サーバは、保存されたデータを検索したり、そのデータに基づいた一連の作業を行う度に、暗号化されたデータを復号化しなければならないため、リソース及び時間の無駄が生じるようになる。
【0004】
なお、サーバで演算のために一時的に復号化した状態で第三者によってハッキングされる場合、個人情報が第三者に容易に流出されるおそれがあるという問題点もあった。
【0005】
このような問題を解決するために、同型暗号化方法が研究されている。同型暗号化によると、暗号化された情報を復号化せずに暗号文そのもので演算を行うとしても、平文に対して演算した後で暗号化した値と同一の結果を得ることができる。よって、暗号文を復号化していない状態で各種演算を行うことができる。
【0006】
しかし、従来の同型暗号化方法によって整数演算を行うと、平文のビット数が幾何級数的に増加し、演算にかかる時間が大幅に増加するという問題があった。
【0007】
一方、従来の同型暗号化方式は、演算過程で平文の虚数部が大きくなるという短所があった。具体的に、従来の同型暗号化方式の複素数空間でメッセージを同型暗号化しているという点において、実数の空間のメッセージを同型暗号化する場合にも、虚数部にエラーが追加された。もし、同型暗号文に対する演算が繰り返される場合、虚数部のエラーが次第に大きくなるようになり、虚数部のエラーが大きくなりすぎると、以後の同型乗算演算過程で実際のメッセージに該当する実数部のメッセージが損なわれるおそれがある。
【0008】
よって、暗号文の状態でも、演算速度を向上させることができ、演算過程で平文の虚数部が大きくなることを防ぐことができる方法が求められている。
【発明の概要】
【発明が解決しようとする課題】
【0009】
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、メッセージにスケーリングファクタを反映した後で暗号化して同型暗号文を生成する端末装置と、その暗号文を演算するサーバ装置及びその方法を提供し、リングの平文空間を実数の空間に調整し、演算速度の向上した同型暗号文を生成する実数の平文に対する同型暗号化方法を提供することにある。
【課題を解決するための手段】
【0010】
以上のような目的を達成するために、本発明の一実施形態に係る端末装置の暗号化方法は、スケーリングファクタを設定するステップと、暗号化するメッセージに前記スケーリングファクタを反映した後、公開鍵を用いて暗号化して同型暗号文を生成するステップとを含む。ここで、前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を加算した結果値が復元される形態であってよい。
【0011】
そして、前記同型暗号文のモジュラスは、一つのスケーリングファクタのべき乗に設定されてよい。
【0012】
又は、前記同型暗号文のモジュラスは、複数の相互異なるスケーリングファクタを乗算した値に設定されてよい。ここで、前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されてよい。
【0013】
なお、前記同型暗号文を生成するステップは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出するステップと、前記メッセージに前記スケーリングファクタを乗算して前記エラーを加算した後、前記公開鍵を用いて暗号化して前記暗号文を生成するステップとを含んでよい。
【0014】
又は、前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換するステップを更に含んでよい。この場合、前記同型暗号文を生成するステップは、前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化してよい。
【0015】
一方、本発明の一実施形態に係るサーバ装置の暗号文処理方法は、個別的に暗号化された複数の同型暗号文を受信するステップと、前記複数の同型暗号文に対して予め設定された演算を行うステップと、前記演算によって算出された結果暗号文からノイズ領域を除去して有効領域のデータを抽出するステップとを含む。ここで、前記複数の同型暗号文のそれぞれは、メッセージにスケーリングファクタを乗算した後で暗号化した暗号文であり、前記ノイズ領域は、前記スケーリングファクタの大きさに対応するように決定されてよい。
【0016】
なお、前記複数の同型暗号文のそれぞれが、複数のメッセージベクトルをパッキングした暗号文であり、前記複数の暗号文のそれぞれに含まれたメッセージベクトルを並列的に演算処理するステップを更に含んでよい。
【0017】
この場合、前記複数の暗号文に含まれた各メッセージベクトルの間の順番をローテーションさせるステップを更に含んでよい。
【0018】
なお、前記メッセージが複素数である場合、前記複数の暗号文に対して共役(conjugation)演算を行うステップを更に含んでよい。
【0019】
本発明の一実施形態に係る端末装置は、スケーリングファクタ及び公開鍵が保存されたメモリと、暗号化するメッセージに前記スケーリングファクタを反映した後、前記公開鍵を用いて暗号化して同型暗号文を生成するプロセッサと、前記同型暗号文を外部装置に伝送する通信部とを含む。ここで、前記同型暗号文は、復号化した際、前記メッセージに前記スケーリングファクタを反映した値にエラー値を乗算した結果値が復元される形態であってよい。
【0020】
なお、前記メッセージ及び前記スケーリングファクタを入力されるための入力部を更に含んでよい。前記プロセッサは、前記入力部を介して入力された前記メッセージ及び前記スケーリングファクタを前記メモリに保存してよい。
【0021】
なお、前記プロセッサは、同型暗号文のモジュラスを前記スケーリングファクタのべき乗に設定し、前記メモリに保存してよい。
【0022】
又は、前記プロセッサは、前記同型暗号文のモジュラスを複数の相互異なるスケーリングファクタを乗算した値に設定し、前記メモリに保存してよい。この場合、前記複数の相互異なるスケーリングファクタは、類似範囲内で互いに素な値に設定されてよい。
【0023】
なお、前記プロセッサは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布からエラーを算出し、前記メッセージ及び前記スケーリングファクタを乗算した値に前記エラーを加算した後、前記公開鍵を用いて暗号化してよい。
【0024】
なお、前記プロセッサは、前記メッセージが複数のメッセージベクトルである場合、前記複数のメッセージベクトルを、並列的に暗号化することができる形態の多項式に変換し、前記多項式に前記スケーリングファクタを乗算した後、前記公開鍵を用いて同型暗号化してよい。
【0025】
一方、以上のような目的を達成するために、本発明の一実施形態に係る端末装置の暗号化方法は、要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合であるリング(Ring)を設定するステップと、前記リングから秘密鍵を算出するステップと、前記算出された秘密鍵に対応して公開鍵を算出するステップと、メッセージに前記公開鍵を適用して同型暗号文を生成するステップとを含んでよい。
【0026】
この場合、前記リングは、以下の数式を満たすことができる。
ここで、a(X)は、前記リングに属する多項式、Rは、平文空間が複素数であるリングであってよい。
【0027】
一方、前記同型暗号文は、加算又は乗算の演算に対してo(n log n)複雑度(complexity)を有してよい。
【0028】
一方、本暗号化方法は、前記リングから第1ランダム多項式を算出するステップと、エラーを抽出するステップと、前記第1ランダム多項式及び前記秘密鍵に前記エラーをモジュラ演算して第2ランダム多項式を算出するステップとを含み、前記公開鍵を算出するステップは、前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出してよい。
【0029】
一方、前記同型暗号文を生成するステップは、前記メッセージを前記リングに属する多項式で算出し、前記算出された多項式に前記公開鍵を適用して同型暗号文を生成してよい。
【0030】
一方、本暗号化方法は、前記生成された同型暗号文及び予め生成された同型暗号文に対し、加算及び乗算のうち少なくとも一つの演算を行うステップを更に含み、前記演算を行うステップは、前記生成された同型暗号文及び前記予め生成された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理してよい。
【0031】
この場合、前記第1関数は、NTT(Number Theoretic Transform)関数であってよい。
【0032】
一方、前記同型暗号文は、復号化した際、前記メッセージにエラー値を加算した結果値が復元される形態であってよい。
【0033】
一方、本発明の一実施形態に係る端末装置は、メッセージを保存するメモリと、要素の間で加算と乗算が定義されており、加算と乗算に対して閉じている集合のうち、平文空間が実数の集合であるリング(Ring)を設定し、前記リングから秘密鍵を算出し、前記算出された秘密鍵に対応して公開鍵を算出し、前記メモリに保存されたメッセージに前記公開鍵を適用して同型暗号文を生成するプロセッサとを含む。
【0034】
この場合、前記リングは、以下の数式を満たすことができる。
【0035】
ここで、a(X)は、前記リングに属する多項式、Rは、平文空間が複素数であるリング。
【0036】
一方、前記同型暗号文は、加算又は乗算の演算に対してo(n log)複雑度(complexity)を有してよい。
【0037】
一方、前記プロセッサは、前記リングから第1ランダム多項式を算出し、エラーを抽出し、前記第1ランダム多項式及び前記秘密鍵に前記エラーをモジュラ演算して第2ランダム多項式を算出し、前記第1ランダム多項式及び前記第2ランダム多項式を用いて前記公開鍵を算出してよい。
【0038】
一方、前記プロセッサは、前記メッセージを前記リングに属する多項式で算出し、前記算出された多項式に前記公開鍵を適用して同型暗号文を生成してよい。
【0039】
一方、本プロセッサは、前記生成された同型暗号文及び予め保存された同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で加算及び乗算のうち、少なくとも一つの演算を行い、前記演算の行われた同型暗号文を前記第1関数に逆関数である第2関数処理してよい。
【0040】
この場合、前記第1関数は、NTT(Number Theoretic Transform)関数であってよい。
【発明の効果】
【0041】
以上説明したように、本発明によれば、有効領域を含む同型暗号文を生成することができるようになるため、メッセージの損失を最小化しつつ、演算時間及び負担を軽減させることができるようになる。
【0042】
そして、リングの平文空間を実数の空間に調整して同型暗号文を生成するため、演算過程で平文の虚数部が大きくなることを根本から防ぐことができ、従来のHEAANのような安全性、連想速度、メモリ(暗号文、鍵サイズ)を有すると同時に、倍もある並列実数演算をサポートすることができるようになる。
【図面の簡単な説明】
【0043】
図1】本発明の一実施形態に係るネットワークシステムの構造を説明するための図である。
図2】本発明の一実施形態に係る端末装置及びサーバ装置の構成を示すブロック図である。
図3】本発明の一実施形態に係る端末装置の暗号化方法を説明するためのフローチャートである。
図4】本発明の一実施形態に係るサーバ装置の暗号文処理方法を説明するためのフローチャートである。
図5】サーバ装置の暗号文処理方法の多様な例を説明するための図である。
図6】サーバ装置の暗号文処理方法の多様な例を説明するための図である。
図7】サーバ装置の暗号文処理方法の多様な例を説明するための図である。
図8】本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。
図9】本発明の一実施形態に係るネットワークシステムの構成を説明するための図である。
図10】本発明の一実施形態に係る端末装置の概略的な構成を示すブロック図である。
図11】本発明の一実施形態に係る端末装置の具体的な構成を示すブロック図である。
図12】公開鍵及び秘密鍵の生成動作を説明するための図である。
図13】演算鍵の生成動作を説明するための図である。
図14】近似同型暗号文の生成及び復号動作を説明するための図である。
図15】同型暗号文の加算計算を説明するための図である。
図16】同型暗号文の乗算計算を説明するための図である。
図17】本発明の暗号化方法を説明するためのフローチャートである。
図18】本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。
【発明を実施するための形態】
【0044】
以下では、添付の図面を参照して、本発明について詳細に説明する。本明細書で行う情報(データ)伝送過程は、必要に応じて、暗号化/復号化が適用されてよく、本明細書及び特許請求範囲で情報(データ)伝送過程を説明する表現は、格別に言及しなくても、全て暗号化/復号化する場合も含むものとして解釈されるべきである。本明細書で「AからBに伝送(伝達)」又は「AがBから受信」というような形態の表現は、中間に別の媒介体が含まれて伝送(伝達)又は受信されることも含み、必ずしもAからBに直接伝送(伝達)又は受信されることのみを表現するものではない。
【0045】
本発明の説明において、各ステップの順番は、先行ステップが論理的及び時間的に必ずしも後行ステップの前に行われなければならない場合ではなければ、各ステップの順番は非制限的に理解されるべきである。即ち、上記のような例外的な場合を除いては、後行ステップとして説明された過程が先行ステップとして説明された過程より前に行われたとしても、発明の本質には影響がなく、権利範囲もステップの順番によらず定義されるべきである。そして、本明細書で「A又はB」と記載したのは、AとBのうちいずれかを選択的に指すだけでなく、AとBの両方を含むことも意味するものとして定義される。なお、本明細書で「含む」という用語は、含むものとして並び立てられた要素の他に、更に別の構成要素を更に含むことも包括する意味を有する。
【0046】
本明細書においては、本発明の説明に必要な構成要素のみを説明し、本発明の本質に関係のない構成要素については、言及しない。そして、言及される構成要素のみを含む排他的な意味として解釈されてはならず、他の構成要素も含むことができる非排他的な意味として解釈されるべきである。
【0047】
そして、本明細書において「値」とは、スカラー値だけでなく、ベクトルも含む概念として定義される。
【0048】
後述の本発明の各ステップの数学的な演算及び算出は、当該演算又は算出を行うために公知となっているコーディング方法及び/又は本発明に適するように考案されたコーディングによってコンピュータ演算で実現されてよい。
【0049】
以下で説明する具体的な数式は、可能ないくつかの代案のうち例示的に説明されるものであり、本発明の権利範囲が本明細書に言及された数式に制限されるものとして解釈されてはならない。
【0050】
説明の便宜のために、本明細書では、次のように表記を定めることとする。
【0051】
a←D:分布(D)に応じて要素(a)を選択する。
【0052】
s1、s2∈R:S1、S2のそれぞれはR集合に属する要素である。
【0053】
mod(q):q要素でモジュラ(modular)演算
【0054】
は、内部値を四捨五入する。
【0055】
以下では、添付の図を用いて、本発明の多様な実施形態について具体的に説明する。
【0056】
図1は、本発明の一実施形態に係るネットワークシステムの構成を示す図である。図1によると、複数の端末装置100-1~100n、第1サーバ装置200、第2サーバ装置300が、ネットワーク10を介して相互接続されてよい。ネットワーク10は、多様な有無線通信ネットワーク、放送通信ネットワーク、光通信ネットワーク、クラウドネットワークなどで実現されてよく、各装置は別途の媒介体のないWi-Fi、ブルートゥース(登録商標)、NFC(Near Field Communication)などのような方式で接続されてよい。
【0057】
図1においては、端末装置が複数100-1~100-nであるとして示しているが、必ずしも複数の端末装置が使用されるわけではなく、一つの装置が使われてよい。一例として、端末装置100-1~100-nは、携帯電話、タブレットパソコン、ゲームプレーヤ、パソコン、ラップトップパソコン、ホームサーバ、キオスク端末などのような多様な装置で実現されてよく、その他にIoT機能が適用された家電製品で実現されてよい。
【0058】
ユーザは、自分が使う端末装置100-1~100-nを介して多様な情報を入力することができる。入力された情報は、端末装置100-1~100-nそのものに保存されてよいが、保存容量及びセキュリティなどを理由に外部装置に伝送されて保存されてよい。図1においては、第1サーバ装置200は、このような情報を保存する役割を担い、第2サーバ装置300は、第1サーバ装置200に保存された情報の一部又は全部を用いる役割を担う。
【0059】
各端末装置100-1~100-nは、入力された情報を同型暗号化し、同型暗号文を第1サーバ装置200に伝送する。第1サーバ装置200は、伝送された同型暗号文を復号化せずに、暗号文の状態で保存することができる。
【0060】
第2サーバ装置300は、同型暗号文に対する特定の処理結果を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、特定の演算を行った後、その結果を第2サーバ装置300に伝送する。一例として、二つの端末装置100-1、100-2が伝送した暗号文ct1、ct2が第1サーバ装置200に保存された場合、第2サーバ装置300は両端末装置100-1、100-2から提供された情報を合算した値を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、両暗号文を合算する演算を行った後、その結果値(ct1+ct2)を第2サーバ装置300に伝送することができる。
【0061】
各端末装置は、同型暗号化を行う過程で算出される暗号化ノイズ、即ち、エラーを暗号文に含ませる。具体的には、各端末装置100-1~100-nで生成する同型暗号文は、その後に秘密鍵を用いて復号化した際に、メッセージ及びエラー値を含む結果値が復元される形態で生成されてよい。
【0062】
一例として、端末装置100-1~100-nで生成する同型暗号文は、秘密鍵を用いて復号化した際、次のような性質を満たす形態で生成される。
【0063】
(数式1)
Dec(ct,sk) = <ct,sk> = ΔM+e(mod q)
【0064】
ここで、<及び>は内積(usual inner product)、ctは暗号文、skは秘密鍵、Mは平文メッセージ、eは暗号化エラー値、Δはスケーリングファクタ(scaling factor)、そしてqは暗号文の除数(モジュラス(Modulus))を意味する。qは、スケーリングファクタがメッセージに乗算された結果値ΔMより大きく選択されなければならない。エラー値eの絶対値がΔMに比べて十分に小さいと、暗号文の復号化値ΔM+eは有効数字演算で元のメッセージを同一の精度に代替できる値である。復号化されたデータのうち、エラーは最下位のビット(LSB)側に配置され、ΔMは次下位のビット側に配置される。
【0065】
メッセージの大きさが小さすぎるか大きすぎる場合、スケーリングファクタを用いてその大きさを調節することもできる。スケーリングファクタを使うと、整数形態のメッセージだけでなく、実数のメッセージまで暗号化することができるようになるため、活用性が大きく増大することができる。なお、スケーリングファクタを用いてメッセージの大きさを調節することで、演算が行われた後の暗号文でメッセージが存在する領域、即ち、有効領域の大きさも調節されてよい。
【0066】
実施形態によって、暗号文のモジュラスqは、様々に設定されて使われてよい。一例として、暗号文のモジュラスは、スケーリングファクタΔのべき乗q=Δに設定されてよい。Δが2であると、q=210のような値に設定されてよい。
【0067】
別の例として、暗号文のモジュラスは、複数の相互異なるスケーリングファクタを乗算した値に設定されてよい。各ファクタは、類似する範囲内の値、即ち、相互に似た大きさの値に設定される。具体的には、q=q・・・qに設定され、q,q,q,…,qのそれぞれは、スケーリングファクタΔと似た大きさであり、互いに素な値に設定される。スケーリングファクタを、このような方式で設定されると、CRT(Chinese Remainder Theorem)によって全演算を複数のモジュラス演算に分離して進めることができるようになるため、演算の負担を軽減させることができる。なお、互いに似た大きさのファクタを使うことにより、後述のステップでラウンディング処理を行った際、上述の例における結果値と略同じ結果を得ることができる。
【0068】
以上のように、各端末装置100-1~100-nから生成した暗号文は、第1サーバ装置200によって処理された後、暗号文の状態で第2サーバ装置300に伝送される。第2サーバ装置300は、伝送された暗号文を秘密鍵を用いて復号化する。同型暗号化処理が行われたため、復号化されたデータは、メッセージそのものを復号化した後で演算処理した結果と同じ結果になってよい。結果的に、中間過程で第三者に流出される危険性を防止することができるようになる。
【0069】
図1の実施形態において、暗号化を行うのに使われる公開鍵は、各端末装置によって生成されてよく、復号化を行う第2サーバ装置300で生成した後で各端末装置に配布することもできる。
【0070】
鍵生成過程では、Ring-LWE技法が使われてよい。第2サーバ装置300が鍵を生成する場合に仮定すると、第2サーバ装置300は各種パラメータ及びリングを設定する。具体的には、平文メッセージビットの長さ、公開鍵及び秘密鍵の大きさなどのような多様なパラメータを設定することができる。
【0071】
リングは、次のような数式で表されてよい。
【0072】
(数式2)
【0073】
リング(Ring)とは、予め設定された係数を有する多項式の集合を意味する。一例として、リングは係数がZqであるn次多項式の集合を意味する。数式2において、f(x)はn次多項式を意味する。具体的には、nがΦ(N)である際、N次円分多項式(N-th cyclotomic polynomial)を意味する。(f(x))とは、f(x)で生成されるZq[x]のイデアル(ideal)を表す。Euler totient関数Φ(N)とは、Nと互いに素であり、Nより小さい自然数の数を意味する。Φ(x)をN次円分多項式に定義すると、リングは次のような数式でも表されてよい。
【0074】
(数式3)
【0075】
次に、第2サーバ装置300は、リングから秘密鍵(sk)を算出する。
【0076】
(数式4)
【0077】
s(x)は、小さい係数でランダムに生成した多項式を意味する。
【0078】
第2サーバ装置300は、リングから第1ランダム多項式(a(x))を算出する。第1ランダム多項式は、次のように表されてよい。
【0079】
(数式5)
a(x) ← R
【0080】
なお、第2サーバ装置300は、離散ガウシアン分布又はそれと統計的な距離が近い分布からエラーを算出する。エラーは、次のような数式で表されてよい。
【0081】
(数式6)
【0082】
エラーまで算出されると、第2サーバ装置300は、第1ランダム多項式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出することができる。第2ランダム多項式は、次のように表されてよい。
【0083】
(数式7)
b(x) = -a(x)s(x) + e(x) (mod q)
【0084】
最終的に、公開鍵(pk)は、第1ランダム多項式及び第2ランダム多項式を含む形態で次のように設定される。
【0085】
(数式8)
pk = (b(x),a(x))
【0086】
第2サーバ装置300は、生成された公開鍵を各端末装置100-1~100-nに伝送する。各端末装置100-1~100-nは、受信された公開鍵を保存した後、暗号化の際に使う。
【0087】
上述のような例においては、第2サーバ装置300が公開鍵及び秘密鍵を生成するものとして説明しているが、別の例では、各端末装置100-1~100-n又はその他の装置が公開鍵及び秘密鍵のうち少なくとも一つを生成した後、他装置と共有することも可能である。なお、上述の鍵生成方法は一例に過ぎないため、必ずしもそれに限定されるものではなく、その他に別の方法で公開鍵及び秘密鍵を生成することができる。
【0088】
図2は、本発明の一実施形態に係る端末装置100及びサーバ装置200の構成を示すブロック図である。
【0089】
図2によると、端末装置100は、メモリ110、プロセッサ120、通信部130を含む。
【0090】
メモリ110は、端末装置100を駆動するためのO/Sや各種ソフトウェア、データなどを保存するための構成要素である。メモリ110は、RAMやROM、フラッシュメモリ、HDD、外付けメモリ、メモリカードなどのような形態で実現されてよく、何れかに限定されるわけではない。
【0091】
メモリ110は、公開鍵、スケーリングファクタなどを保存することができる。
【0092】
プロセッサ120は、メモリ110に保存されたプログラムを実行させて各種演算作業を行うための構成要素である。
【0093】
通信部130は、外部装置と通信を行うための構成要素である。通信部130は、Wi-Fi、Zigbee(登録商標)、ブルートゥース(登録商標)、NFCなどのような無線通信だけでなく、各種有線通信インターフェースを介した有線通信をサポートする形態でも実現されてよい。
【0094】
プロセッサ120は、暗号化するメッセージにスケーリングファクタを反映した後、公開鍵を用いて暗号化して同型暗号文を生成する。プロセッサ120は、生成された同型暗号文を外部装置に伝送するように通信部130を制御することができる。
【0095】
同型暗号文は、上述のような数式1のような性質を満たすように生成される。具体的に、プロセッサ120は、暗号化するメッセージMにスケーリングファクタΔを乗算して整数又は整数係数の多項式であるΔMを計算する。
【0096】
その後、多項式vをランダムに決定する。プロセッサ120は、vを小さい分布(例えば、離散ガウシアン又はそれと類似する分布)から算出することができる。プロセッサ120は、エラーe0、e1も小さいエラー分布(例えば、離散ガウシアン又はそれと類似する分布)から選ぶことができる。
【0097】
プロセッサ120は、公開鍵pk = (b(x),a(x))と、次のような数式を用いて暗号文を生成する。
【0098】
(数式9)
【0099】
暗号化するメッセージは、外部ソースから受信することもでき、端末装置100に直接備えるか又は接続された入力装置から入力されてよい。なお、スケーリングファクタもユーザが直接入力するか、別の装置を介して提供されることもできる。例えば、端末装置100がタッチスクリーンやキーパッドを含む場合、プロセッサ120はユーザがタッチスクリーンやキーパッドを介して入力するデータをメモリ110に保存した後、暗号化することができる。生成された同型暗号文は、復号化した際にメッセージにスケーリングファクタを反映した値にエラーを加算した結果値に復元される形態であってよい。スケーリングファクタは、事前に入力されて設定された値をそのまま使うこともできる。
【0100】
上述の暗号文のモジュラスqは、実施形態によって異なるように設定されてよい。一例として、プロセッサ120は、暗号文モジュラスをスケーリングファクタΔのべき乗q=Δで設定することができる。別の例として、プロセッサ120は、暗号文モジュラスを複数の相互異なるスケーリングファクタを乗算した値に設定することもできる。プロセッサ120は、設定した暗号文モジュラスをメモリ110に保存することもできる。上述のように、各ファクタは類似範囲内で互いに素な関係を有することができる。
【0101】
プロセッサ120は、公開鍵の暗号化のために、エラーを使うこともできる。エラーは、離散ガウシアン分布又は前記離散ガウシアン分布と統計的な距離が近い分布から算出することができる。一例として、上述の数式6のような形態のエラーを算出することができる。プロセッサ120は、メッセージが入力されると、スケーリングファクタをそのメッセージに乗算した値にエラーを加算した後、公開鍵を用いて暗号化することができる。この場合、暗号文を復号化した際に算出されるエラー値は、暗号化の際に加算した初期エラーと異なるように導出される。
【0102】
又は、メッセージ及びスケーリングファクタを乗算した状態で直ちに公開鍵を用いて暗号化することもできる。この場合、暗号化過程で算出されるエラーがメッセージ及びスケーリングファクタを乗算した結果値に加算されてよい。
【0103】
プロセッサ120は、暗号文の長さをスケーリングファクタの大きさに対応するように生成することができる。
【0104】
一方、本発明の一実施形態によると、パッキング(packing)が行われてよい。同型暗号化でパッキングを用いるようになると、複数のメッセージを一つの暗号文で暗号化することが可能になる。この場合、第1サーバ装置200で各暗号文の間の演算を行うようになると、結果的に複数のメッセージに対する演算が並列的に処理されるため、演算の負担を大幅に軽減するようになる。
【0105】
具体的には、プロセッサ120は、メッセージが複数のメッセージベクトルで行われる場合、複数のメッセージベクトルを並列的に暗号化できる形態の多項式に変換した後、その多項式にスケーリングファクタを乗算して公開鍵を用いて同型暗号化することもできる。それにより、複数のメッセージベクトルをパッキングした暗号文を生成することができる。
【0106】
具体的には、プロセッサ120は、N次円分多項式
が複素数(
)内で相互異なる
個の根
(primitive N-th roots of unity)を有することを用いる。複素数概念を導入することで、後述のように、複数のメッセージを同時に同型暗号化することが可能である。
【0107】
次に、標準埋め込み関数(canonical embedding function)を変形してパッキング関数(σ)を計算する。標準埋め込み関数は、多項式

の根
の中で、複素数共役(complex conjugate)関係ではない(n/2)個の根
における値の対
で対応させる関数である。その関数が同型関数(homomorphism)であることは、この分野において通常の知識を有する者なら、容易に証明することができる。
【0108】
標準埋め込み関数を行列(C)で表現すると、次のようである。
【0109】
(数式10)
【0110】
多項式M(x)を係数の列ベクトルM=(M,…,Mn-1)で表現すると、この多項式のパッキング関数
とは
関係、即ち、次のような関係を有するようになる。
【0111】
(数式11)
【0112】
このように、標準埋め込み関数を算出している状態で、プロセッサ120は、複数(例えば、n/2個)のメッセージベクトル
が入力されると、上述の標準埋め込み関数を用いてメッセージベクトルを多項式に変換する。
【0113】
(数式12)
【0114】
数式12のような方式で変換された多項式M(x)は、
のような関係を満たす。
【0115】
プロセッサ120は、上述の方式で変換された多項式にスケーリングファクタを乗算した後、公開鍵を用いて同型暗号化することができる。一例として、同型暗号化方法の一つであるRing LWE(Learning with Errors)方式を用いて同型暗号化することができる。
【0116】
具体的な暗号文は、次のような形態で表されてよい。
【0117】
(数式13)
【0118】
上述のように、端末装置100が生成した同型暗号文は、第1サーバ装置200に提供されてよい。第1サーバ装置200は、端末装置100から受信される同型暗号文を保存し、その後で演算過程で使うことができる。第1サーバ装置200は、複数の相互異なる端末装置から伝送される複数の同型暗号文だけでなく、一つの端末装置100から伝送される複数の同型暗号文に対しても演算処理を行うことができる。
【0119】
第1サーバ200も、メモリ210、プロセッサ220、通信部230を含む形態で実現されてよい。
【0120】
通信部230は、端末装置100から各種同型暗号文を受信することができる。各同型暗号文は、相互異なる端末装置又は一つの端末装置で個別的に暗号化されたデータを意味する。
【0121】
プロセッサ220は、受信された同型暗号文をメモリ210に保存する。図2では、メモリ210のみを示しているが、第1サーバ装置200は大容量のデータを保存するための別途のストレージを更に含んでよく、それと別途に外部装置と接続され、その外部保存装置に各同型暗号文を保存することもできる。
【0122】
プロセッサ220は、複数の同型暗号文に対して予め設定された演算を行うことができる。行われる演算の種類は、第1サーバ装置200の管理者によって直接選択されてよく、第2サーた装置300から要求を受けることもできる。
【0123】
一例として、演算は乗算、除算、加算、減算などのような基本演算に設定されてよいが、必ずしもそれに限るものではない。具体的には、暗号化されたメッセージが複素数形態である場合、共役(conjugate)演算が行われてよく、その他に統計やソーティングなどの演算も行われてよい。
【0124】
複数の同型暗号文のそれぞれが、複数のメッセージベクトルをパッキングした暗号文である場合には、プロセッサ220は、複数の暗号文のそれぞれに含まれた多項式の暗号文を並列的に演算処理することもできる。この場合、複数の暗号文の演算の順番をローテーションさせるか、ランダムに混ぜて演算を行うこともできる。第2サーバ装置200の具体的な演算動作については、具体的に後述することとする。
【0125】
図2においては、端末装置100及び第1サーバ装置200がそれぞれ通信部、メモリ、プロセッサのみを含む形態で示しているが、必ずしもこのような構成に限定されるものではない。即ち、各装置の種類及び使用環境などに応じて、入力手段、ディスプレイ、バスなどのような多様な構成要素を更に含んでよい。一例として、端末装置100は、伝送するメッセージやスケーリングファクタなどを入力されるための入力部(図示せず)を更に含んでよい。プロセッサ120は、入力部を介して入力されたメッセージ又はスケーリングファクタなどをメモリ110に保存することができる。なお、プロセッサ120は、入力されたスケーリングファクタを用いて上述の多様な方法で暗号文のモジュラスを設定した後、メモリ110に保存することもできる。
【0126】
図3は、本発明の一実施形態に係る端末装置の暗号化方法を説明するためのフローチャートである。
【0127】
図3によると、端末装置100は、スケーリングファクタを設定する(S310)。スケーリングファクタの設定方法は、上述のように様々に実現されてよい。
【0128】
端末装置100は、設定されたスケーリングファクタを保存する。端末装置100は、暗号化するメッセージが発生すると、そのメッセージにスケーリングファクタを反映した後、公開鍵を用いて同型暗号化を行う(S320)。公開鍵は、端末装置100が直接生成することもでき、外部装置から提供されることもできる。
【0129】
図4は、本発明の一実施形態に係るサーバ装置の暗号文処理方法を説明するためのフローチャートである。図1に示すように、暗号文処理は、第1サーバ装置で行われるため、以下では第1サーバ装置200が行う方法で説明する。
【0130】
図4によると、第1サーバ装置200は、複数の同型暗号文を受信する(S410)。各同型暗号文は、スケーリングファクタの適用された状態で公開鍵を用いて同型暗号化したデータを意味する。
【0131】
第1サーバ装置200は、外部装置又は管理者から演算の要求が入力されると(S420)、複数の同型暗号文を対象に、要求された演算を行う(S430)。演算が完了すると、第1サーバ装置200は、演算結果データから有効領域のデータを検出する(S440)。第1サーバ装置200は、演算結果データをラウンディング処理を行って有効領域のデータを検出することができる。ラウンディング処理とは、暗号化された状態でメッセージの四捨五入(round-off)を行うことを意味し、リスケール(rescaling)と呼ぶこともできる。具体的には、第1サーバ装置300は、暗号文のそれぞれの成分にスケール因数の逆数であるΔ-1を乗算して四捨五入し、ノイズ領域を除去する。ノイズ領域は、スケーリングファクタの大きさに対応するように決定されてよい。結果的に、ノイズ領域の除去された有効領域のメッセージを検出することができる。暗号化状態で進められるため、更なるエラーが発生するが、大きさは十分に小さいため、無視することができる。
【0132】
図5は、図4の暗号文処理方法を具体的に説明するための模式図である。
【0133】
例えば、第1同型暗号文51と第2同型暗号文52とを対象に、乗算演算が要求された場合、第1サーバ装置200は暗号文状態で乗算S510を進めて演算暗号文53を生成する。算出された演算暗号文53は、スケーリングファクタが反映されたメッセージ部(Δ)とエラーデータ(emult)を含む。乗算過程でエラーデータの大きさが大きくなるが、後述のように、メッセージ部の大きさが縮小されるため、問題が発生しない。それは、加算に対しても、同様に作用する。
【0134】
次に、メッセージ部(Δ)を有効数字に該当する部分、即ち、有効領域に大きさが縮小させ、最終の演算暗号文54を生成する。上述のように、第2サーバ装置300は演算暗号文53に対してスケーリングファクタの逆数を乗算した後、ラウンディング処理する方式で、ノイズ領域を除去することができる。結果的に、有効領域に該当するデータ((ΔM)‘+e’)を含む最終の演算暗号文54を生成することができる。このような処理過程によって更なるエラーが発生し、エラーデータ(emult)がe’に変更されるが、大きさは十分に小さいため、無視することができる。
【0135】
図6は、上記で説明したパッキング方法を通じて複数のメッセージを一つの暗号文に暗号化した場合、演算を行う方法を説明するための方法である。説明の便宜のために、複数のメッセージベクトルを暗号化した暗号文をパッキング暗号文と称する。図6によると、第1パッキング暗号文(ct)は、複数のメッセージ61-1~61-kからなるベクトルを暗号化しており、第2パッキング暗号文(ct’)は、複数のメッセージ62-1~62-kからなるベクトルを暗号化した暗号文である。
【0136】
第1サーバ装置200は、第1パッキング暗号文(ct)と第2パッキング暗号文(ct’)に対する演算が要求されると、既に説明した実施形態などの方法で両暗号文の演算を行う。結果的に、一度の暗号文演算で複数のデータの並列処理が可能なSIMD(Single Instruction Multiple Data)演算が行われてよい。
【0137】
図6によると、第1パッキング暗号文(ct)の一番目のメッセージ成分61-1と第2パッキング暗号文ct’の一番目のメッセージ成分62-1が乗算されるようになる。それと同時に、二番目のメッセージ成分61-2、62-2の乗算も行われる。結果的に、最終のパッキング暗号文(ctmult)は、同じ位置にあるメッセージ成分の乗算値からなるベクトル63-1~63-kを暗号化した暗号文と理解することができる。
【0138】
図7は、SIMD演算を行ううえで、一部の同型暗号文の位置を変更して処理する方法を説明するための図である。図7によると、第1パッキング暗号文(ct)を用いて新たな第2パッキング暗号文(ct’)を生成することができる。このとき、第2パッキング暗号文の一番目の成分は、第1パッキング暗号文の二番目のメッセージ成分と同様になるように、第1パッキング暗号文(ct)をシフトさせる。それと同時に、第2パッキング暗号文の二番目の成分は、第1パッキング暗号文の三番目のメッセージ成分と同様になる。結果的に、第2パッキング暗号文は、第1パッキング暗号文の全メッセージ位置を移動させた新たなメッセージベクトルを暗号化したパッキング暗号文である。本明細書では、以上のように暗号文の位置を移動させる作業をローテーション処理とする。
【0139】
図8は、第1のネットワークシステムの動作を総合的に説明するためのシーケンス図である。図8では、二つの端末装置100-1、100-2から暗号文を伝送する場合を示している。
【0140】
まず、端末装置1(100-1)で第1メッセージが入力されると(S810)、端末装置1(100-1)は、上述の方式で第1同型暗号文を生成した後(S815)、第1サーバ装置200に伝送することができる(S820)。一例として、端末装置1(100-1)のユーザが写真を撮影した場合には、その写真及び撮影場所などが暗号化されてよく、ユーザが音楽コンテンツを再生するか、特定のURLに接続したなら、その再生履歴やURL接続履歴などが暗号化されてよい。
【0141】
端末装置2(100-2)も、類似する形態で暗号文を生成して第1サーバ装置200に伝送することができる(S825、S830、S835)。
【0142】
第1サーバ装置200は、伝送する暗号文を暗号化されたそのままの状態で保存する。このような状態で、第2サーバ装置300が特定の演算を要求するなら(S840)、第1サーバ装置200は暗号文状態で演算を行った後(S845)、第2サーバ装置300に伝送する(S850)。第2サーバ装置300は、伝送された暗号文を復号化してメッセージを検出する。
【0143】
例えば、数式9のような形態で暗号化された暗号文を第2サーバ装置300が秘密鍵sk=(1,s)に復号化する場合、その結果は次のような数式で表されてよい。
【0144】
(数式14)
<Ctxt,sk>
=(v・b(x)+△・M+e)+s(x)(v・a(x)+e1
=v(b(x)+a(x)s(x))+△・△+e+s(x)・e
=△・M+(v・e+e+s(x)・e
=△・M+esmall
【0145】
結果的に、復号化されたデータは、スケーリングファクタ及びメッセージを乗算した値に小さなエラーesmallを加算した値を含み、エラーは、LSB側に配置され、ΔMは、エラーに隣接する位置に配置されるようになる。
【0146】
具体的に例を挙げると、第1メッセージが1.23であり、第2メッセージが3.45であり、スケーリングファクタΔ=10であると仮定すると、ΔM+e≒1230、ΔM+e≒3450になる。第1サーバ装置200で乗算演算を行うと、データはΔ+etotal≒4243500になる。この結果値にΔ-1を乗算した後、ラウンディング処理すると4243になる。第2サーバ装置200は、復号化によってこのような結果値を得ることができる。
【0147】
第2サーバ装置300は、復号化されたメッセージを出力することができる(S860)。例えば、端末装置1、2(100-1、100-2)がそれぞれ写真を第1サーバ装置200に伝送した状態なら、第2サーバ装置300は、各装置100-1、100-2で撮影された写真をまとめて出力することができる。
【0148】
上述のような実施形態においては、第1サーバ装置200で暗号文の間の演算を行い、ノイズ領域を除去した後で第2サーバ装置300に伝送するものとして図示及び説明しているが、必ずしもそれに限定されるものではない。例えば、第2サーバ装置300がスケーリングファクタに対する情報を知っている場合、直接ノイズ領域を除去して有効領域を検出した後で復号化を行うこともできる。
【0149】
一方、以上のような暗号化方法及び暗号文処理方法は、実数平文に対して適用することができる。
【0150】
図9は、本発明の一実施形態に係るネットワークシステムの構成を示す図である。
【0151】
図9を参照すると、ネットワークシステムは、複数の端末装置100-1~100-n、第1サーバ装置200、第2サーバ装置300を含んでよく、各構成は、ネットワーク10を介して相互接続されてよい。
【0152】
ネットワーク10は、多様な有無線通信ネットワーク、放送通信ネットワーク、光通信ネットワーク、クラウドネットワークなどで実現されてよく、各装置は別途の媒介体のないWi-Fi、ブルートゥース(登録商標)、NFC(Near Field Communication)などのような方式で接続されてよい。
【0153】
図9においては、端末装置が複数100-1~100-nであるとして示しているが、必ずしも複数の端末装置が使用されるわけではなく、一つの装置が使われてよい。一例として、端末装置100-1~100-nは、携帯電話、タブレットパソコン、ゲームプレーヤ、パソコン、ラップトップパソコン、ホームサーバ、キオスク端末などのような多様な装置で実現されてよく、その他にIoT機能が適用された家電製品で実現されてよい。
【0154】
ユーザは、自分が使う端末装置100-1~100-nを介して多様な情報を入力することができる。入力された情報は、端末装置100-1~100-nそのものに保存されてよいが、保存容量及びセキュリティなどを理由に外部装置に伝送されて保存されてよい。図1においては、第1サーバ装置200は、このような情報を保存する役割を担い、第2サーバ装置300は、第1サーバ装置200に保存された情報の一部又は全部を用いる役割を担う。
【0155】
各端末装置100-1~100-nは、入力された情報を同型暗号化し、同型暗号文を第1サーバ装置200に伝送することができる。第1サーバ装置200は、伝送された同型暗号文を復号化せずに、暗号文の状態で保存することができる。
【0156】
第2サーバ装置300は、同型暗号文に対する特定の処理結果を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、特定の演算を行った後、その結果を第2サーバ装置300に伝送する。一例として、二つの端末装置100-1、100-2が伝送した暗号文ct1、ct2が第1サーバ装置200に保存された場合、第2サーバ装置300は両端末装置100-1、100-2から提供された情報を合算した値を第1サーバ装置200に要求することができる。第1サーバ装置200は、要求に応じて、両暗号文を合算する演算を行った後、その結果値(ct1+ct2)を第2サーバ装置300に伝送することができる。
【0157】
各端末装置100-1~100-nは、同型暗号化を行う過程で算出される暗号化ノイズ、即ち、エラーを暗号文に含ませることができる。具体的には、各端末装置100-1~100-nで生成する同型暗号文は、その後に秘密鍵を用いて復号化した際に、メッセージ及びエラー値を含む結果値が復元される形態で生成されてよい。
【0158】
一例として、端末装置100-1~100-nで生成する同型暗号文は、秘密鍵を用いて復号化した際、次のような性質を満たす形態で生成される。
【0159】
(数式1)
Dec(ct,sk) = <ct,sk> = ΔM+e(mod q)
【0160】
ここで、<及び>は内積(usual inner product)、ctは暗号文、skは秘密鍵、Mは平文メッセージ、eは暗号化エラー値、Δはスケーリングファクタ(scaling factor)、そしてqは暗号文のモジュラス(Modulus)を意味する。qは、スケーリングファクタがメッセージに乗算された結果値ΔMより大きく選択されなければならない。エラー値eの絶対値がΔMに比べて十分に小さいと、暗号文の復号化値ΔM+eは有効数字演算で元のメッセージを同一の精度に代替できる値である。復号化されたデータのうち、エラーは最下位のビット(LSB)側に配置され、ΔMは次下位のビット側に配置される。
【0161】
メッセージの大きさが小さすぎるか大きすぎる場合、スケーリングファクタを用いてその大きさを調節することもできる。スケーリングファクタを使うと、整数形態のメッセージだけでなく、実数のメッセージまで暗号化することができるようになるため、活用性が大きく増大することができる。なお、スケーリングファクタを用いてメッセージの大きさを調節することで、演算が行われた後の暗号文でメッセージが存在する領域、即ち、有効領域の大きさも調節されてよい。
【0162】
実施形態によって、暗号文のモジュラスqは、様々に設定されて使われてよい。一例として、暗号文のモジュラスは、スケーリングファクタΔのべき乗q=Δに設定されてよい。Δが2であると、q=210のような値に設定されてよい。
【0163】
別の例として、暗号文のモジュラスは、互いに素な複数の整数値に設定されてよい。具体的に、q=q・・・qに設定され、q,q,q,…,qのそれぞれは、スケーリングファクタΔと似た大きさであり、互いに素な値に設定される。スケーリングファクタを、このような方式で設定されると、CRT(Chinese Remainder Theorem)によって全演算を複数のモジュラス演算に分離して進めることができるようになるため、演算の負担を軽減させることができる。互いに素な複数の整数値をモジュラスとして用いる方式をRNS HEAAN方式と称し、RNS HEAAN方式については、図12ないし図16を参照してより詳細に説明する。
【0164】
以上のように、各端末装置100-1~100-nから生成した暗号文は、第1サーバ装置200によって処理された後、暗号文の状態で第2サーバ装置300に伝送される。第2サーバ装置300は、伝送された暗号文を秘密鍵を用いて復号化することができる。同型暗号化処理が行われたため、復号化されたデータは、メッセージそのものを復号化した後で演算処理した結果と同じ結果になってよい。結果的に、中間過程で第三者に流出される危険性を防止することができるようになる。
【0165】
図9の実施形態において、暗号化を行うのに使われる公開鍵は、各端末装置によって生成されてよく、復号化を行う第2サーバ装置300で生成した後で各端末装置に配布することもできる。以下では、説明を容易にするために、端末装置100側で各種鍵を生成するものとして説明する。
【0166】
鍵生成過程では、Ring-LWE技法が使われてよい。
【0167】
端末装置100は、鍵生成及びリング設定のための各種パラメータを入力されることができる。具体的に、平文メッセージビットの長さ、公開鍵及び秘密鍵の大きさなどのような多様なパラメータを設定することができる。そして、端末装置100は、入力されるパラメータに基づいて秘密鍵及び公開鍵などの生成に必要な設定パラメータを生成することができる。
【0168】
リングは、次のような数式で表されてよい。
【0169】
(数式2)
【0170】
ここで、Rはリング、Zは係数、f(x)はn次多項式である。
【0171】
リング(Ring)とは、予め設定された係数を有する多項式の集合として、要素の間の加算と乗算が定義されており、加算と乗算に対して閉じている集合を意味する。このようなリングは、環と称してよい。
【0172】
一方、上述の数式2において、nがΦ(N)である際、N次円分多項式(N-th cyclotomic polynomial)を意味する。(f(x))とは、f(x)で生成されるZ[x]のイデアル(ideal)を表す。Euler totient関数Φ(N)とは、Nと互いに素であり、Nより小さい自然数の数を意味する。Φ(x)をN次円分多項式に定義すると、リングは次のような数式でも表されてよい。そして、上述の多項式を相反方程式を用いる場合、リングは数式15のように表されてよい。
【0173】
(数式3)
【0174】
(数式15)
【0175】
一方、上述の数式3及び15のリングは、平文空間で複素数を有する。一方、本発明では、同型暗号文に対する演算速度を向上させるために、上述のリングの集合のうち平文空間が実数である集合のみを用いることができる。ここで、平文空間が実数であるリングを以下ではR’と称し、R’は次のような数式で表されてよい。R’を用いる方式をReal HEAAN方式と称する。
【0176】
(数式16)
【0177】
このように、リングが設定されると、端末装置100はリングから秘密鍵(sk)を算出することができる。
【0178】
(数式17)
【0179】
ここで、Sは小さな係数でランダムに生成された値を意味する。
【0180】
そして、端末装置100は、リングから第1ランダム多項式(a)を算出する。第1ランダム多項式は、次のように表されてよい。
【0181】
(数式18)
【0182】
なお、端末装置100はエラーを算出することができる。具体的に、端末装置100は、離散ガウシアン分布又はそれと統計的な距離が近い分布から抽出することができる。このようなエラーは、次のように表されてよい。
【0183】
(数式19)
【0184】
エラーまで算出されると、端末装置100は、第1ランダム多項式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出することができる。第2ランダム多項式は、次のように表されてよい。
【0185】
(数式20)
【0186】
最終的に、公開鍵(pk)は、第1ランダム多項式及び第2ランダム多項式を含む形態で次のように設定されてよい。
【0187】
(数式21)
【0188】
端末装置100は、生成された公開鍵を他の端末装置100-2~100-n及び/又はサーバ装置200に伝送することができる。
【0189】
上述のような例においては、端末装置100が公開鍵及び秘密鍵を生成するものとして説明しているが、別の例では、サーバ装置200又はその他の装置が公開鍵及び秘密鍵のうち少なくとも一つを生成した後、他装置と共有することも可能である。なお、上述の鍵生成方法は一例に過ぎないため、必ずしもそれに限定されるものではなく、その他に別の方法で公開鍵及び秘密鍵を生成することができる。
【0190】
より具体的な公開鍵及び秘密鍵生成動作については、図12を参照して後述する。
【0191】
図10は、本発明の一実施形態に係る端末装置の概略な構成を示すブロック図である。
【0192】
図10を参照すると、端末装置100は、メモリ110及びプロセッサ120で構成されてよい。
【0193】
メモリ110は、端末装置100を駆動するためのO/Sや各種ソフトウェア、データなどを保存するための構成要素である。メモリ110は、RAMやROM、フラッシュメモリ、HDD、外付けメモリ、メモリカードなどのような形態で実現されてよく、何れかに限定されるわけではない。
【0194】
メモリ110は、暗号化するメッセージを保存する。ここで、メッセージは、ユーザが各種引用した各種信用情報、個人情報などであってよく、端末装置100で使われる位置情報、インターネット使用時間情報など、使用履歴などに関連する情報であってよい。
【0195】
そして、メモリ110は、公開鍵を保存することができ、端末装置100が直接公開鍵を生成した装置である場合、秘密鍵だけでなく、公開鍵及び秘密鍵の生成に必要な各種パラメータを保存することができる。
【0196】
なお、メモリ100は、後述する過程で生成された同型暗号文を保存することができる。
【0197】
プロセッサ120は、端末装置100内の各構成を制御する。このようなプロセッサ120は、CPUのような単一装置で構成されてよく、クロック発生回路、CPU、グラフィックプロセッサなどの複数の装置で構成されてよい。
【0198】
そして、プロセッサ120は、メモリ110に保存されたプログラムを実行させて同型暗号文の生成に必要な秘密鍵及び公開鍵を生成することができる。そのために、優先的にプロセッサ120は予め設定された係数を有する多項式の集合であるリングを設定することができる。このとき、リングは、上述の数式15又は数式16を満たすことができる。
【0199】
そして、プロセッサ120は、リングから秘密鍵を算出することができる。具体的に、プロセッサ120は、以下のような数式に基づいてリングから秘密鍵(SK)を算出することができる。
【0200】
そして、プロセッサ120は、リングから第1ランダム多項式(a)を算出することができ、離散ガウシアン分布又はそれと統計的な距離が近い分布からエラーを抽出することができる。
【0201】
なお、プロセッサ120は、第1ランダム対向式及び秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出し、最終的に第1ランダム多項式及び第2ランダム多項式を含む形態で公開鍵(pk)を生成することができる。一方、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は互いに素な複数の整数のそれぞれに対応する複数の公開鍵を生成することができる。
【0202】
そして、プロセッサ120は、メッセージに対する同型暗号文を生成することができる。具体的に、プロセッサ120は、メッセージに対して既に生成された公開鍵を適用して同型暗号文を生成することができる。
【0203】
一方、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は、メッセージに互いに素な複数の整数のそれぞれに対応する複数の公開鍵を用いて複数の基底(basis)で表現される同型暗号文を生成することができる。
【0204】
なお、プロセッサ120は、暗号化するメッセージをリングに属する多項式で算出し、算出された多項式に公開鍵を適用して同型暗号文を生成することができる。暗号化するメッセージは、外部ソースから受信することもでき、端末装置100に直接備えるか又は接続された入力装置から入力されてよい。なお、スケーリングファクタもユーザが直接入力するか、別の装置を介して提供されることもできる。
【0205】
上述の暗号文のモジュラスqは、実施形態によって異なるように設定されてよい。一例として、プロセッサ120は、暗号文モジュラスをスケーリングファクタΔのべき乗q=Δで設定することができる。別の例として、プロセッサ120は、互いに素な複数の整数値に設定される値が用いられてよい。
【0206】
なお、プロセッサ120は、暗号文の長さをスケーリングファクタの大きさに対応するように生成されてよい。
【0207】
一方、本発明の一実施形態によると、パッキング(packing)が行われてよい。同型暗号化でパッキングを用いるようになると、複数のメッセージを一つの暗号文で暗号化することが可能になる。この場合、第1サーバ装置200で各暗号文の間の演算を行うようになると、結果的に複数のメッセージに対する演算が並列的に処理されるため、演算の負担を大幅に軽減するようになる。
【0208】
具体的には、プロセッサ120は、メッセージが複数のメッセージベクトルで行われる場合、複数のメッセージベクトルを並列的に暗号化できる形態の多項式に変換した後、その多項式にスケーリングファクタを乗算して公開鍵を用いて同型暗号化することもできる。それにより、複数のメッセージベクトルをパッキングした暗号文を生成することができる。
【0209】
プロセッサ120は、暗号文に対する演算を行うことができる。具体的に、プロセッサ120は、同型暗号文に対して暗号化された状態を維持した状態で加算又は乗算などの演算を行うことができる。具体的に、プロセッサ120は、演算に使われる同型暗号文のそれぞれを第1関数処理し、第1関数処理された同型暗号文の間で加算又は乗算などの演算を行い、演算が行われた同型暗号文を第1関数の逆関数である第2関数処理することができる。ここで、第1関数は、NTT関数であってよい。
【0210】
一方、同型暗号文を上述のRNS方式で生成した場合、プロセッサ120は生成された同型暗号文内の基底別に加算及び乗算を行うことができる。
【0211】
一方、端末装置100は、演算が完了すると、演算結果データから有効領域のデータを検出することができる。具体的に、端末装置100は、演算結果データをラウンディング処理を行って有効領域のデータを検出することができる。ラウンディング処理とは、暗号化された状態でメッセージの四捨五入(round-off)を行うことを意味し、リスケール(rescaling)と呼ぶこともできる。具体的には、端末装置100は、暗号文のそれぞれの成分にスケール因数の逆数であるΔ-1を乗算して四捨五入し、ノイズ領域を除去する。ノイズ領域は、スケーリングファクタの大きさに対応するように決定されてよい。結果的に、ノイズ領域の除去された有効領域のメッセージを検出することができる。暗号化状態で進められるため、更なるエラーが発生するが、大きさは十分に小さいため、無視することができる。
【0212】
もし、端末装置100がRNS HEAANをサポートする場合、プロセッサ120は、複数の基底のうちいずれかの割合が閾値を超過すると、生成された同型暗号文内の複数の基底のそれぞれに対するメッセージの四捨五入処理を行って同型暗号文をリスケールすることができる。
【0213】
なお、端末装置100は、演算結果暗号文内の近似メッセージの割合が閾値を超過すると、演算結果暗号文の平文空間を拡張することができる。具体的に、上述の数式1でqがMより小さいと、M+e(mod q)はM+eと異なる値を有するため、復号化ができなくなる。よって、q値は、常にMより大きく維持されなければならない。しかし、演算が進められるにつれ、q値は次第に減少するようになる。平文空間の拡張とは、暗号文ctをより大きいモジュラスを有する暗号文に変換させることを意味する。平文空間を拡張する動作は、リブート(rebooting)と称してよい。リブートを行うことで、暗号文は再び演算が可能な状態になる。
【0214】
一方、以上では、端末装置100を構成する概略な構成についてのみ図示して説明しているが、実現の際には、多様な構成が更に備えられてよい。それについては、図11を参照して以下で説明する。
【0215】
図11は、本発明の一実施形態に係る端末装置の具体的な構成を示すブロック図である。
【0216】
図11を参照すると、本発明の端末装置100は、メモリ110、プロセッサ120、通信部130、ディスプレイ140及び操作入力装置150で構成されてよい。
【0217】
メモリ110については、図10を参照して既に説明しているため、繰り返し説明は省略する。そして、プロセッサ120についても、図10を参照して説明しているため、図10で説明した内容は繰り返し記載せずに、図11に追加された構成に関連する内容のみを以下で説明する。
【0218】
通信部130は、端末装置100を外部装置(図示せず)と接続するために形成され、近距離通信網(LAN:Local Area Network)及びインターネット網を通じて外部装置に接続される形態だけでなく、USB(Universal Serial Bus)ポート又は無線通信(例えば、WiFi 802.11a/b/g/n、NFC、Bluetooth(登録商標))ポートを通じて接続される形態も可能である。このような通信部130は、送受信部(transceiver)と称されてよい。
【0219】
通信部130は、公開鍵を外部装置から受信することができ、端末装置100で生成された公開鍵を外部装置に伝送することができる。
【0220】
そして、通信部130は、外部装置からメッセージを受信することができ、生成した同型暗号文を外部装置に送信することができる。
【0221】
なお、通信部130は、暗号文の生成に必要な各種パラメータを外部装置から受信することができる。一方、実現時に、各種パラメータは後述する操作入力装置150を介してユーザから直接入力されることができる。
【0222】
ディスプレイ140は、端末装置100がサポートする機能を選択されるためのユーザインターフェースウィンドウを表示する。具体的に、ディスプレイ140は、端末装置100が提供する各種機能を選択されるためのユーザインターフェースウィンドウを表示することができる。このようなディスプレイ140は、LCD、CRT、OLEDなどのようなモニタであってよく、後述の項さ入力装置150の機能を同時の行うことができるタッチスクリーンで実現されてよい。
【0223】
ディスプレイ140は、秘密鍵及び公開鍵の生成に必要なパラメータの入力を要求するメッセージを表示することができる。そして、ディスプレイ140は、暗号化の対象がメッセージを選択するメッセージを表示することができる。一方、実現時に、暗号化の対象はユーザが直接選択することもでき、自動的に選択されることもできる。即ち、暗号化が必要な個人情報などは、ユーザが直接メッセージを選択しなくても自動的に設定されてよい。
【0224】
操作入力装置150は、ユーザから端末装置100の機能選択及び当該機能に対する制御命令を入力されることができる。具体的に、操作入力装置150は、ユーザから秘密鍵及び公開鍵の生成に必要なパラメータを入力されることができる。なお、操作入力装置150は、ユーザから暗号化されるメッセージを設定されることができる。
【0225】
プロセッサ120は、ユーザから秘密鍵及び公開鍵の生成に必要なパラメータを入力されると、入力されるパラメータに基づいて設定パラメータを生成し、生成された設定パラメータに基づいて秘密鍵及び公開鍵を生成することができる。
【0226】
そして、メッセージに対する暗号文の生成が必要になると、プロセッサ120はメッセージに公開鍵を適用して同型暗号文を生成することができる。具体的に、プロセッサ120は、メッセージを多項式に変換し、変換された多項式のメッセージに公開鍵を適用して同型暗号文を生成することができる。
【0227】
そして、プロセッサ120は、同型暗号文に対する復号が必要な場合、同型暗号文に秘密鍵を適用して多項式の復号文を生成し、多項式の復号文をデコードしてメッセージを生成することができる。このとき、生成したメッセージは、前記数式1で触れたようにエラーを含むことがある。
【0228】
なお、プロセッサ120は、同型暗号文に対する演算が必要になる場合、ユーザが要求した複数の同型暗号文に対して加算又は乗算演算を行うことができる。具体的な演算動作については、図15及び図16を参照して後述する。
【0229】
以上のように、本実施形態に係る端末装置100は、メッセージに同型暗号文を生成することができるため、演算が必要な場合にも、メッセージの安全性を向上させることができる。なお、生成される同型暗号文はエラーを含むため、高度のセキュリティ性が求められる生態情報などに対しても、安定したセキュリティを保持することができる。なお、本実施形態に係る端末装置100は、平文空間が実数であるリングを用いることから、演算速度を向上することができる。即ち、従来の平文空間が複素数であるリングを用いる場合より倍多い並列実数演算ができるようになる。
【0230】
以下では、REAL HEAAN方式にアルゴリズムを先に説明する。
【0231】
暗号文間の演算は、
要素の間の加算、乗算の演算であるため、
上における演算の効率性を増大させることが必要である。
上に乗算を最もナイーブ(naive)に行うと、0(n)の複雑度(complexity)有する。
【0232】
このような演算の複雑度を軽減させるために、本発明では、number Theoretic Transform(NTT)技法を用いる。NTTとは、
から
に進むフィールド同型(field isomorphism)であり、それの逆関数をINTTと称する。
【0233】
このようなNTT、INTTは、ファストプリエトランスフォーム(Fast Fourier Transform)アルゴリズムの適用の際、0(m log m)の複雑度を有する。
【0234】
即ち、
に対して
を計算したい場合、
で演算を行うと、0(m log)の複雑度を有する。
【0235】
以下では、上述の技法をリングを適用する方式を説明する。
【0236】
リングに属する要素のそれぞれは、
を満たし、
である際、要素は以下のような数式22のように表されてよい。
【0237】
(数式22)
【0238】
まず、R’に対してNTTm(NTT’n/2)に関連し、
を計算し、
は、次のような数式23のように表されてよい。
【0239】
(数式23)
【0240】
そして、R’に対するNTT(NTT’n/2)に関連し、
を計算し、数式24のような値を出力することができる。
【0241】
(数式24)
【0242】
ここで、
である。
【0243】
よって、上述の数式23及び24をまとめると、次の通りである。
【0244】
(数式25)
【0245】
即ち、
に対するNTTとInverse NTTいずれも、0(n log n)の複雑度を有する。よって、
を満たす場合に、
を計算したい場合に、
で演算を行う場合、0(n log n)の複雑度を有する。
【0246】
以下では、REAL HEAANが適用される場合の秘密鍵、公開鍵の生成アルゴリズム、同型暗号文生成方式及び演算方式について、図12ないし図16を参照して説明する。
【0247】
図12は、公開鍵及び秘密鍵の生成動作を説明するための図である。
【0248】
図12を参照すると、セットアップモジュール71は、ユーザからスケーリングファクタ(Δ)、セキュリティパラメータ(λ)、レベルパラメータ(L)を入力されることができる。ここで、スケーリングファクタ(Δ)は、メッセージの大きさを調節するパラメータとして1より大きい。そして、セキュリティパラメータ(λ)は、いくらスキームが安定しているかを示す指標として、計算の複雑度と称してよい。そして、レベルパラメータは、演算をサポートするデプスを示す指標である。
【0249】
上述のように、パラメータを入力されるセットアップモジュール71は、モジュライ(moduli)を設定し、整数(n)と正数(P)をランダムに選択し、
のような設定パラメータを出力することができる。
【0250】
鍵生成モジュール72は、既にセットアップモジュール71に生成された設定パラメータを入力され、入力される設定パラメータに基づいて秘密鍵と公開鍵を生成することができる。
【0251】
具体的に、鍵生成モジュール72は、

に基づいて、秘密鍵を生成し、
によってエラーを算出することができる。
【0252】
そして、鍵生成モジュール72は、
のように、第1ランダム多項式を生成し、
のように第2ランダム多項式を生成することができる。既に作られている第1タンダム多項式と第2ランダム多項式に基づいて既に説明した数式21のような公開鍵を生成することができる。
【0253】
図13は、演算鍵の生成動作を説明するための図である。
【0254】
図13を参照すると、演算モジュール73を満たす値と
、e’←Xerrを算出し、
を満たす
を算出することができる。それにより、演算モジュール73は、
のような演算鍵を出力することができる。
【0255】
図14は、近似同型暗号文の生成及び復号動作を説明するための図である。
【0256】
図14を参照すると、エンコードモジュール74は、メッセージとスケーリングファクタを入力され、メッセージにスケーリングファクタを反映して多項式に変換することができる。
【0257】
具体的に、エンコードモジュール74は、

1以上のスケーリングファクタを入力されると、メッセージを以下の数式26のような多項式を出力することができる。
【0258】
(数式26)
【0259】
ここで、m(x)は、多項式形態のメッセージである。
【0260】
そして、暗号化モジュール75は、多項式形態のメッセージを受信し、受信したメッセージに公開鍵を反映して同型暗号文を生成することができる。具体的に、以下のような数式27を用いて同型暗号文を生成することができる。
【0261】
(数式27)
【0262】
ここで、vはXencによって選択された要素であり、e、eもXerrによって選択されたエラー値である。
【0263】
復号化モジュール76は、暗号文と秘密鍵を入力され、暗号文を復号化してエラーを含むメッセージを出力することができる。具体的に、復号化モジュール76は、入力された暗号文が
である場合、
のようなメッセージを出力することができる。
【0264】
一方、復号化モジュール76から出力されるメッセージは、多項式形態のメッセージであることから、デコードモジュール77で、復号化モジュール76から出力されたメッセージとスケーリングファクタに基づいて、メッセージを最終的に出力することができる。具体的に、復号化モジュール76は、多項式メッセージが
を満たす場合、
のようなメッセージを出力することができる。
【0265】
図15は、同型暗号文の加算計算を説明するための図である。
【0266】
図15を参照すると、第1端末装置81-1から第1メッセージに対する第1同型暗号文(Ct1)を出力し、第2端末装置81-2から第2メッセージに対する第2同型暗号文(Ct2)を出力する。
【0267】
第1同型暗号文(Ct1)と第2同型暗号文(Ct2)とを受信したサーバ装置の演算モジュール83は、両同型暗号文に対する加算演算を行うことができる。具体的に、
を満たす場合、演算モジュール83は
のように両同型暗号文に対する加算演算を行うことができる。
【0268】
即ち、両同型暗号文に対して第1関数処理し、関数処理された同型暗号文に対する加算演算を行い、加算演算された同型暗号文を第1関数に逆関数である第2関数処理して、両同型暗号文に対する加算演算を行うことができる。
【0269】
その後、実際の値が必要になる場合、復号モジュール85は加算結果を復号及びデコードして第1メッセージ及び第2メッセージの合算値を出力することができる。
【0270】
図16は、同型暗号文の乗算計算を説明するための図である。
【0271】
図16を参照すると、第1端末装置81-1から第1メッセージに対する第1同型暗号文(Ct1)を出力し、第2端末装置81-2から第2メッセージに対する第2同型暗号文(Ct2)を出力することができる。第1同型暗号文(Ct1)と第2同型暗号文(Ct2)とを受信したサーバ装置の演算モジュール87は、両同型暗号文に対する乗算演算を行うことができる。具体的に、
を満たす場合、演算モジュール87は、
のように、両同型暗号文に対する加算演算を行うことができる。ここで、
である。
【0272】
即ち、両同型暗号文に対して第1関数処理し、関数処理された同型暗号文に対する乗算演算を行い、乗算演算された同型暗号文を第1関数に逆関数である第2関数処理して、両同型暗号文に対する乗算演算を行うことができる。
【0273】
演算によって獲得された演算結果暗号文内の近似メッセージ割合が閾値を超過すると、リスケールモジュール88は、演算結果暗号文の平文空間を拡張することができる。具体的に、リスケールモジュール88は、以下のような数式28のように暗号文をアップデートすることができる。
【0274】
(数式28)
【0275】
ここで、
である。
【0276】
その後、復号モジュール85は、加算結果を復号及びデコードして第1メッセージ及び第2メッセージの合算値を出力することができる。
【0277】
以上では、Real HEAAN方式について説明しているが、以下では、RNS HEAAN方式について説明する。
【0278】
RNS HEAANは、従来のHEAAN方式が中国人の残りの整理のような方法が適用できなかった問題を解決するために、従来の暗号文空間である

に代替して使う方式で、それによって、エラービットサイズが5~10くらい大きい近似計算結果を有するようになるが、演算速度で3~10倍の性能改善があった。
【0279】
動作方式は、既に説明したReal HEAAN方式と類似するため、相違する部分に対してのみ説明する。
【0280】
まず、RNS HEAANでモジュラスは、以下の数式29のように互いに素である複数の整数で定義されてよい。
【0281】
(数式29)
【0282】
それにより、生成される評価鍵は、次のような数式30のようであり、公開鍵も、数式31のように複数の互いに素に対応する複数の基底で表されてよい。
【0283】
(数式30)
【0284】
ここで、
であり、
である。そして、
である。
【0285】
(数式31)
【0286】
ここで、
であり、
である。
【0287】
よって、暗号文を生成する場合に、以下の数式32のように、複数の基底で表現される同型暗号文が生成される。
【0288】
(数式32)
【0289】
ここで、
であり、

である。
【0290】
一方、RNS HEAAN方式で生成された同型暗号文(

)に対する加算演算は、次のような数式33のように行われてよい。
【0291】
(数式33)
【0292】
ここで、
である。
【0293】
一方、RNS HEAAN方式で生成された同型暗号文(

)に対する演算は、次のようなステップで行われてよい。
【0294】
まず、数式34のような演算を一次的に行う。
【0295】
(数式34)
【0296】
その後、数式35のように、modup動作を行うことができる。
【0297】
(数式35)
【0298】
そして、数式36のような二次演算を行うことができる。
【0299】
(数式36)
【0300】
ここで、
であり、
である。
【0301】
そして、数式37のような演算を行い、最終的に数式38のような値を最終出力する。
【0302】
(数式37)
【0303】
(数式38)
【0304】
【0305】
一方、演算の後で暗号文(
)の少なくとも一つの基底に対する割合が閾値を超過すると、以下のような数式39のように、複数の基底のそれぞれに対するメッセージの四捨五入処理を行って同型暗号文をリスケールし、リスケールされた暗号文(
)を出力することができる。
【0306】
(数式39)
【0307】
図17は、本発明の暗号化方法を説明するためのフローチャートである。
【0308】
まず、予め設定された係数を有する多項式の集合であるリングを設定する(S910)。具体的に、要素の間で加算と乗算とが定義されており、加算と乗算に対して閉じており、平文空間が実数である数式16のようなリングを設定することもできる。
【0309】
そして、リングから秘密鍵を算出する(S920)。Xkeyに基づいてsを選択し、選択されたsに基づいて秘密鍵(SK)を算出することができる。
【0310】
そして、算出された秘密鍵に対応して公開鍵を算出する(S930)。具体的に、リングから第1ランダム多項式を算出し、エラーを抽出し、算出された第1ランダム多項式と秘密鍵にエラーをモジュラ演算して第2ランダム多項式を算出し、算出された第1ランダム多項式と第2ランダム多項式を用いて公開鍵を算出することができる。
【0311】
そして、メッセージに公開鍵を適用して同型暗号文を生成する(S940)。具体的に、メッセージをリングに属する多項式でエンコードを行い、エンコードされたメッセージに公開鍵を適用して同型暗号文を生成することができる。一方、RNS HEAANを用いる場合、生成された複数の公開鍵を用いて、複数の基底で表現される同型暗号文を生成することができる。
【0312】
以上のように、本実施形態に係る暗号化方法は、エラーを含む同型暗号文を生成するため、高度のセキュリティ性が求められる生態情報などに対しても、安定的なセキュリティを保持することができる。なお、本実施形態に係る暗号化方法は、平文空間が実数であるリングを用いて、演算過程で平文の虚数部が大きくなることを根本から防ぐことができ、従来のHEAANのような安定性、連想速度、メモリ(暗号文、鍵サイズ)を有すると同時に、倍大きい並列実数演算をサポートすることができる。
【0313】
図18は、本発明の一実施形態に係るネットワークシステムの暗号文処理方法を説明するための図である。具体的に、図18では、二つの端末装置100-1、100-2で暗号文を伝送する場合を示している。
【0314】
まず、端末装置1(100-1)で第1メッセージが入力されると(S1010)、端末装置1(100-1)は、上述の方式で第1同型暗号文を生成した後(S1015)、第1サーバ装置200に伝送することができる(S1020)。一例として、端末装置1(100-1)のユーザが写真を撮影した場合には、その写真及び撮影場所などが暗号化されてよく、ユーザが音楽コンテンツを再生したり特定のURLに接続したなら、その再生履歴やURL接続履歴などが暗号化されてよい。
【0315】
端末装置2(100-2)も、類似する形態で暗号文を生成して第1サーバ装置200に伝送することができる(S1025、S1030、S1035)。
【0316】
第1サーバ装置200は、伝送された暗号文を暗号化されたそのままの状態で保存することができる。このような状態で、第2サーバ装置300が特定の演算を要求する場合(S1040)、第1サーバ装置200は同型暗号文に対して第2サーバ装置300が要求した特定の演算を行った後(S1045)、第2サーバ装置300に伝送することができる(S1050)。第2サーバ装置300は、伝送された暗号文を復号化してメッセージを検出することができる。
【0317】
そして、第2サーバ装置300は、復号化されたメッセージを出力することができる(S1060)。例えば、端末装置1、2(100-1、100-2)がそれぞれ写真を第1サーバ装置200に伝送した状態なら、第2サーバ装置300は各装置100-1、100-2で撮影された写真をまとめて出力することができる。
【0318】
以上のような暗号化方法及び暗号文処理方法は、各種アプリケーションの実行結果だけでなく、ユーザが直接入力した各種信用情報や個人情報の収集にも使われることができる。第2サーバ装置300が銀行サーバである場合、銀行は顧客の信号情報のうち必要な項目だけを集めて確認することができる。
【0319】
一方、上述の多様な実施形態による暗号化方法及び暗号文処理方法などは、各段階を行うためのプログラムコードの形態で実現され、記録媒体に保存されて配布されてよい。この場合、記録媒体の登載された装置は、上述の暗号化又は暗号文処理などの動作を行うことができる。
【0320】
このような記録媒体は、ROM、RAM、メモリチップ、メモリカード、外付けハード、ハード、CD、DVD,磁気ディスクまたは磁気テープなのような多様なコンピュータ読み取り可能な媒体であってよい。
【0321】
以上のように、本発明の多様な実施形態によって、暗号化及び暗号文処理などを行うようになると、量子コンピュータ時代でも安全であり、暗号化/復号化速度を大幅に向上させることができ、暗号文のサイズも減らすことができる。特に、暗号化に使用されるメッセージを実数領域まで拡張させることができるため、活用性が大きく増大する。
【0322】
以上、添付図面を参照しながら本発明の好適な実施形態について詳細に説明したが、本発明は以上の実施形態に限定されない。本発明の属する技術の分野における通常の知識を有する者であれば、特許請求の範囲に記載された技術的趣旨の範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、これらについても、当然に本発明の技術的範囲に属するものと了解される。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18