知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023061599
(43)【公開日】2023-05-02
(54)【発明の名称】暗号処理装置、暗号処理方法、及び暗号処理プログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20230425BHJP
【FI】
G09C1/00 620Z
【審査請求】有
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2021171613
(22)【出願日】2021-10-20
(11)【特許番号】
(45)【特許公報発行日】2023-02-24
(71)【出願人】
【識別番号】398034168
【氏名又は名称】株式会社アクセル
(74)【代理人】
【識別番号】100085660
【弁理士】
【氏名又は名称】鈴木 均
(74)【代理人】
【識別番号】100149892
【弁理士】
【氏名又は名称】小川 弥生
(74)【代理人】
【識別番号】100185672
【弁理士】
【氏名又は名称】池田 雅人
(72)【発明者】
【氏名】星月 優佑
(72)【発明者】
【氏名】松岡 航太郎
(57)【要約】
【課題】Integer-wise型TFHEの四則演算を実現する。
【解決手段】暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行う演算部と、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、算出部は、所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、第1処理の結果得られた暗号文から、新たな暗号文を抽出する第2処理と、を実行し、第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる暗号文を高速に計算する。
【選択図】図2
【解決手段】暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して所定の演算に係る準同型演算を行う演算部と、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、算出部は、所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、第1処理の結果得られた暗号文から、新たな暗号文を抽出する第2処理と、を実行し、第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる暗号文を高速に計算する。
【選択図】図2
【特許請求の範囲】
【請求項1】
暗号文を処理する暗号処理装置であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部を備え、
前記算出部は、前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理の結果得られた暗号文に対して前記第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理装置。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部を備え、
前記算出部は、前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理の結果得られた暗号文に対して前記第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理装置。
【請求項2】
請求項1に記載の暗号処理装置において、
前記算出部は、入力される暗号文に対して前記所定の多項式を用いて新たな暗号文を算出するまえに、暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。
前記算出部は、入力される暗号文に対して前記所定の多項式を用いて新たな暗号文を算出するまえに、暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。
【請求項3】
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記算出部は、
前記点の偏角θに対応する第1暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して第1位置で前記第2処理を行ってcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して第2位置で前記第2処理を行ってsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出する第1演算部と、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する第2演算部と、をさらに備える
ことを特徴とする請求項1又は2に記載の暗号処理装置。
前記算出部は、
前記点の偏角θに対応する第1暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して第1位置で前記第2処理を行ってcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して第2位置で前記第2処理を行ってsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出する第1演算部と、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する第2演算部と、をさらに備える
ことを特徴とする請求項1又は2に記載の暗号処理装置。
【請求項4】
前記所定の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
ことを特徴とする請求項3に記載の暗号処理装置。
ことを特徴とする請求項3に記載の暗号処理装置。
【請求項5】
前記所定の演算を行うことによって、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
ことを特徴とする請求項3に記載の暗号処理装置。
ことを特徴とする請求項3に記載の暗号処理装置。
【請求項6】
プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して前記所定の演算に係る準同型演算を行い、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
を備え、
前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理方法。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して前記所定の演算に係る準同型演算を行い、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
を備え、
前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理方法。
【請求項7】
暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して前記所定の演算に係る準同型演算を行い、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
を備え、
前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理プログラム。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
暗号文に対して前記所定の演算に係る準同型演算を行い、
暗号文に対して所定の多項式を用いて新たな暗号文を算出し、
を備え、
前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、
ことを特徴とする暗号処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。
【背景技術】
【0002】
準同型暗号(Homomorphic Encryption)は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
【0003】
LWE問題に基づく完全準同型暗号では、演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingが実行される。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として2値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり非特許文献1に示されるTFHEはBit-wise型である。
しかし、TFHEの平文は円周群に対応づけられた0~1の実数である。従って、円周群の値域0~1を適当な区間で区切り、区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2)。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として2値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり非特許文献1に示されるTFHEはBit-wise型である。
しかし、TFHEの平文は円周群に対応づけられた0~1の実数である。従って、円周群の値域0~1を適当な区間で区切り、区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2)。
【先行技術文献】
【特許文献】
【0004】
【非特許文献1】TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene
【非特許文献2】Integerwise Functional Bootstrapping on TFHE, 2020, Hiroki Okada, Shinsaku Kiyomoto, and Carlos Cid
【発明の概要】
【発明が解決しようとする課題】
【0005】
TFHEをBit-wiseではなくInteger-wiseでの四則演算が可能な準同型暗号として利用することができれば、1ビットずつ計算するよりも効率的に処理を行うことができる。
なお、TFHEで用いるTLWE暗号文は、円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
一方、乗算に関しては、円周群に乗法演算が定義されていないため自明とは言えない。暗号文同士の乗算を可能としてより複雑な関数を高速に評価・演算可能とすることが求められている。
本発明は、一側面としてInteger-wise型TFHEの複雑な関数を高速に評価することを目的とする。
なお、TFHEで用いるTLWE暗号文は、円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
一方、乗算に関しては、円周群に乗法演算が定義されていないため自明とは言えない。暗号文同士の乗算を可能としてより複雑な関数を高速に評価・演算可能とすることが求められている。
本発明は、一側面としてInteger-wise型TFHEの複雑な関数を高速に評価することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、暗号文に対して前記所定の演算に係る準同型演算を行う演算部と、暗号文に対して所定の多項式を用いて新たな暗号文を算出する算出部と、を備え、前記算出部は、前記所定の多項式を用いて、入力された暗号文の誤差を削減する第1処理と、前記第1処理の結果得られた暗号文から、前記新たな暗号文を抽出する第2処理と、を実行し、前記第1処理を実行したあと得られた暗号文に対して第2処理を複数回実行することにより、入力値が異なる前記新たな暗号文を高速に計算する、暗号処理装置を特徴とする。
【発明の効果】
【0007】
本発明によれば、一側面として、Integer-wise型TFHEの複雑な関数を高速に評価することが出来る。
【図面の簡単な説明】
【0008】
【図1】本実施形態の暗号処理装置の機能構成を説明する図である。
【図3】TLWE暗号が平文として有する円周群を説明するイメージ図である。
【図4】2値Gate Bootstrappingの動作イメージ図である。
【図5】Integer-wise型に適用したTFHEを説明する図である。
【図6】平面上の点の位置を説明する図である。
【図7】本実施形態の極座標逆変換処理を説明するフローチャートである。
【図8】本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
【図9】コンピュータ装置の一実施例を示すブロック図である。
【発明を実施するための形態】
【0009】
以下に、図面を参照して本発明の実施の形態を詳細に説明する。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
【0010】
図1は、本実施形態の暗号処理装置の機能構成を説明する図である。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13とBootstrapping部(算出部)15と、を備えている。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13とBootstrapping部(算出部)15と、を備えている。
【0011】
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部11は、暗号処理装置1が実行する他のプロセスから暗号文の入力を受け付ける。
第1演算部12は、受付部11が受け付けた入力暗号に対して、第1準同型演算を行う。
第2演算部13は、Bootstrapping部15から出力される暗号文に対して、第2準同型演算を行う。
第1演算部12、第2演算部13は、下記に説明する極座標逆変換のための準同型演算(準同型乗算)をソフトウェアで実現する演算処理部である。
Bootstrapping部15は、第1演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13、Bootstrapping部15の少なくとも一つが、ハードウェアで実現されてもよい。
第1演算部12は、受付部11が受け付けた入力暗号に対して、第1準同型演算を行う。
第2演算部13は、Bootstrapping部15から出力される暗号文に対して、第2準同型演算を行う。
第1演算部12、第2演算部13は、下記に説明する極座標逆変換のための準同型演算(準同型乗算)をソフトウェアで実現する演算処理部である。
Bootstrapping部15は、第1演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13、Bootstrapping部15の少なくとも一つが、ハードウェアで実現されてもよい。
【0012】
出力部18は、最終的な演算結果を暗号処理装置1の外部、あるいは、暗号処理装置1で実行される別の処理プロセスに対して出力する。
記憶部20は、入力暗号文や、暗号文に対するの演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
記憶部20は、入力暗号文や、暗号文に対するの演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
【0013】
図2は、図1の機能構成に基づく暗号処理装置の演算プロセスを詳しく説明する図である。
図2は、点Pの偏角θの暗号文と原点からの距離rの暗号文から、x座標値、y座標値の暗号文cx、cy演算する演算プロセスを示している。
図2の説明において、暗号処理装置1に入力される暗号文cθは、上記論文に示されるTLWE暗号文である。
図2に示す構成では、非特許文献1の論文(上記論文)で提示された(2値)Gate Bootstrappingを使用する。上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
図2において、暗号処理装置1は、暗号文cθをBootstrapping部15に入力してGate Bootstrappingを行う。
暗号処理装置1は、Gate Bootstrappingにおいて、BlindRotateを行い、得られるTRLWE暗号文に対して0の位置、n/2の位置で夫々SampleExtractを行う。
夫々のSampleExtractの結果は、cosθ÷2のTLWE暗号文ccs、sinθ÷2のTLWE暗号文csnである。
暗号処理装置1は、TLWE暗号文ccs、TLWE暗号文crに対して準同型乗算r×ccs×2を行い、x座標値の暗号文cxを得る。
また暗号処理装置1は、TLWE暗号文csn、TLWE暗号文crに対して準同型乗算r×csn×2を行い、x座標値の暗号文cyを得る。
ここで暗号処理装置1が行う準同型乗算は、非特許文献2に開示されている2変数関数を用いて実行することが出来る。
図2は、点Pの偏角θの暗号文と原点からの距離rの暗号文から、x座標値、y座標値の暗号文cx、cy演算する演算プロセスを示している。
図2の説明において、暗号処理装置1に入力される暗号文cθは、上記論文に示されるTLWE暗号文である。
図2に示す構成では、非特許文献1の論文(上記論文)で提示された(2値)Gate Bootstrappingを使用する。上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
図2において、暗号処理装置1は、暗号文cθをBootstrapping部15に入力してGate Bootstrappingを行う。
暗号処理装置1は、Gate Bootstrappingにおいて、BlindRotateを行い、得られるTRLWE暗号文に対して0の位置、n/2の位置で夫々SampleExtractを行う。
夫々のSampleExtractの結果は、cosθ÷2のTLWE暗号文ccs、sinθ÷2のTLWE暗号文csnである。
暗号処理装置1は、TLWE暗号文ccs、TLWE暗号文crに対して準同型乗算r×ccs×2を行い、x座標値の暗号文cxを得る。
また暗号処理装置1は、TLWE暗号文csn、TLWE暗号文crに対して準同型乗算r×csn×2を行い、x座標値の暗号文cyを得る。
ここで暗号処理装置1が行う準同型乗算は、非特許文献2に開示されている2変数関数を用いて実行することが出来る。
【0014】
TFHEで説明されるGate Bootstrappingについて詳述する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
【0015】
TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
【0016】
図3は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
【0017】
[TLWE暗号]
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
【0018】
このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
【0019】
なお、下記において、([0],μ)などの「自明な暗号文(trivial)」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
【0020】
TFHEのGate Bootstrappingで用いる有限巡回群を説明する。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
【0021】
TFHEでは、円周群{T}を係数とする多項式環を用い、このような多項式環をT[X]と表記する。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
【0022】
多項式環の剰余環T[X]/(Xn+1)の要素(元)として、任意の係数μ(μ∈T)を用いて、多項式F(X)=μXn-1+μXn-2+・・・+μX+μ
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
【0023】
さらにXを掛け続けると、
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
【0024】
[TRLWE暗号]
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
【0025】
0,1の2値からランダムにn個を集めて、下記の秘密鍵となる多項式s(X)を組み立てる。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
【0026】
[Gadget Decomposition]
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
【0027】
円周群{T}上では、0.75=-0.25であるので、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
【0028】
ベクトルから暗号文に逆変換する作用素Hも定義する。
上記の例に基づいて説明すると、
という行列が、逆変換の作用素Hとなる。Dec(d)・Hを演算することで、TRLWE暗号文d’が得られる。下位ビットは四捨五入をしてまるめられている。
上記の例に基づいて説明すると、
【0029】
TRLWE暗号文dに対して、||d-[v]・H||が最小値となる[v]を得る操作が、Gadget Decompositionであるとも言える。ここで||はベクトルのノルム(長さ)である。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
この暗号文kをTRGSW暗号文BKとして定義する。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
【0030】
Bootstrapping Keyを説明する。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
とする。
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
【0031】
TRGSW暗号文BKiとTRLWE暗号文dの外積を、
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
となる。
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
となり、下記の3つの暗号文c1、c2、c3の和の計算と同じとなる。
TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
【0032】
そうするとφs’(BKi×d)=φs’(si×d)となるが、siが0であっても1であっても計算結果は上記3つの暗号文c1、c2、c3の和になる。単純な比較でsiが0と1の何れであるかを判別することができない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
【0033】
TFHEの2値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
【0034】
図4は、2値Gate Bootstrappingの動作イメージ図である。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図3の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図3の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
【0035】
(1)BlindRotate
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
【0036】
平文μ1を秘密鍵[s]で暗号化したTLWE暗号文cがあるとする。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
【0037】
そうすると、siが0の時は、平文はそのまま変わらず、siが1の時は、Xa’iが順番に乗算されていく。
従って、
と繰り返すと、
となる。
ここで、
は、復号関数φs(c’)の符号を反転したものに等しいので、
となる。ここでφs’(An)は、多項式T(X)にX-1をμ1’回乗算した多項式の暗号文である。
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
従って、
ここで、
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
【0038】
(2)SampleExtract
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
【0039】
TLWE暗号文csを得るための処理を説明する。
全てのTRLWE暗号文は、次数をnとして、
と多項式をおいて、(A(X),B(X))と表現することができる。
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
とおいて、
と展開することができる。
全てのTRLWE暗号文は、次数をnとして、
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
【0040】
これに対して下記の演算を行い、
を得る。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
が得られる。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
【0041】
さらに、
とおくと、
となり、
から、平文多項式の各項の係数が求まる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
が得られる。
とおくと、
のように、TLWE暗号の復号関数に変形することができる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
【0042】
つまり、(1)のBlindRotateで得たTRLWE暗号文An=(A(X),B(X))から、係数を
として取り出すと、元のTRLWE暗号文Anに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号([a”],b1)が得られた。この新しいTLWE暗号文がSampleExtractの出力であり、平文として-μ又はμの2種類を有する。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
【0043】
(3)キースイッチング
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
と、円周群{T}の要素、0から1の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[s]である。「桁数」tはシステムパラメータである。
秘密鍵[s]で復号すると、
となる。これが「キースイッチングキー」である。
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
の形式で書くことができる。
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
([0],b)の項は自明な暗号文なので、復号するとbであり、TLWE暗号文cxを復号した結果を計算すると、
である。
s’iは、jに対して定数なのでくくりだして
とし、上記で固定小数に分解したときの式を代入する。
その結果、
となって鍵の切り替えが成功したことになる。
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
秘密鍵[s]で復号すると、
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
s’iは、jに対して定数なのでくくりだして
【0044】
ここで得られたTLWE暗号文cxは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[s]で暗号化されている。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
【0045】
Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、CMuxで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±1/16となるようにシステムパラメータを調整することができる。
以上が、TFHEのGate Bootstrappingの処理である。
以上が、TFHEのGate Bootstrappingの処理である。
【0046】
上記したように、TFHEは0もしくは非0を平文として持ち、論理演算を行うBit-wise型の準同型暗号である。ただし図3で説明したように平文は円周群{T}に対応づけられた0~1の実数である。従って、円周群{T}を区切った区間を順番に整数と対応付けることにより、整数を平文として持つInteger-wise型の準同型暗号として応用することが出来る。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法でさらに乗算が可能となる。乗算が可能となることで、TFHEをInteger-wise型での四則演算をより完全に行うことが出来る準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法でさらに乗算が可能となる。乗算が可能となることで、TFHEをInteger-wise型での四則演算をより完全に行うことが出来る準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
【0047】
図5は、Integer-wise型に適用したTFHEを説明する図である。
図5に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図5に示すように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
図5に示すように、円周群{T}上の0(1)は、-1/2t~1/2tの領域の範囲内にある。円周群{T}上における暗号文の平文は、必要に応じて例えば1/2tに基づいたオフセットを加算あるいは減算して領域内の位置(円周群{T}上の位置)を調整することが出来る。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点については後に説明する。
図5に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図5に示すように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
図5に示すように、円周群{T}上の0(1)は、-1/2t~1/2tの領域の範囲内にある。円周群{T}上における暗号文の平文は、必要に応じて例えば1/2tに基づいたオフセットを加算あるいは減算して領域内の位置(円周群{T}上の位置)を調整することが出来る。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点については後に説明する。
【0048】
以下では、Integer-wise型TFHEを用いた演算処理の例を説明する。
本実施形態の暗号処理装置1は、Integer-wise型TFHE(TLWE暗号文)による極座標(原点からの距離、偏角)で表されている任意の点の座標を、2変数(x座標値、y座標値)を用いた直交座標(座標平面)に変換する。なお、以下では極座標を直交座標に変換することを単に「極座標逆変換」と記載する場合がある。
暗号化された極座標値を、復号せずに暗号化された直交座標値に変換するためには、下記に説明するようにInteger-wise型TFHEによる三角関数の演算が必要である。
以下では、極座標逆変換の演算方法を説明するとともに、Integer-wise型TFHEを用いた複雑な関数の高速な評価の例として、三角関数の演算を高速化する方法を説明する。
本実施形態の暗号処理装置1は、Integer-wise型TFHE(TLWE暗号文)による極座標(原点からの距離、偏角)で表されている任意の点の座標を、2変数(x座標値、y座標値)を用いた直交座標(座標平面)に変換する。なお、以下では極座標を直交座標に変換することを単に「極座標逆変換」と記載する場合がある。
暗号化された極座標値を、復号せずに暗号化された直交座標値に変換するためには、下記に説明するようにInteger-wise型TFHEによる三角関数の演算が必要である。
以下では、極座標逆変換の演算方法を説明するとともに、Integer-wise型TFHEを用いた複雑な関数の高速な評価の例として、三角関数の演算を高速化する方法を説明する。
【0049】
図6は、平面上の点の位置を説明する図である。
点Pの位置は図6に示すように直交座標又は極座標で表すことが出来る。
直交座標は平面上の点Pの位置を、x座標値、y座標値で表す方法であり、(x,y)の形で表す。極座標は平面上の点Pの位置を、原点Oからの距離rと偏角θを用いて表す方法であり、(r,θ)の形で表す。偏角θは、原点Oを通る基準となる半直線(例えばx軸の正の向き)から反時計周りに測った回転角の角度である。
暗号処理装置1は、Integer-wise型TFHEによる四則演算を用いて極座標から直交座標への変換を行う。特に、Integer-wise型TFHEで暗号化されている点Pの極座標が暗号化されているとき、これを暗号化したまま直交座標(x座標値、y座標値)に変換する。
平面上の点Pの位置に類似して、図6(b)に示すように、複素数は、複素平面(ガウス平面)上の実部+虚部(x,y)の形式又は極座標(r,θ)で表すことが出来る。本実施形態の極座標変換の方法は、複素数を複素平面に変換することに適用することが出来る。
複素数の計算では、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算を高速化することが出来ることは周知のとおりである。
本実施形態の方法によって極座標で表した複素数を暗号化したままに実部+虚部形式に変換できることは非常に有用である。
点Pの位置は図6に示すように直交座標又は極座標で表すことが出来る。
直交座標は平面上の点Pの位置を、x座標値、y座標値で表す方法であり、(x,y)の形で表す。極座標は平面上の点Pの位置を、原点Oからの距離rと偏角θを用いて表す方法であり、(r,θ)の形で表す。偏角θは、原点Oを通る基準となる半直線(例えばx軸の正の向き)から反時計周りに測った回転角の角度である。
暗号処理装置1は、Integer-wise型TFHEによる四則演算を用いて極座標から直交座標への変換を行う。特に、Integer-wise型TFHEで暗号化されている点Pの極座標が暗号化されているとき、これを暗号化したまま直交座標(x座標値、y座標値)に変換する。
平面上の点Pの位置に類似して、図6(b)に示すように、複素数は、複素平面(ガウス平面)上の実部+虚部(x,y)の形式又は極座標(r,θ)で表すことが出来る。本実施形態の極座標変換の方法は、複素数を複素平面に変換することに適用することが出来る。
複素数の計算では、複素数をガウス平面上の点とみなし、複素数同士の乗算をガウス平面上での回転及び拡縮に帰着させることにより、演算を高速化することが出来ることは周知のとおりである。
本実施形態の方法によって極座標で表した複素数を暗号化したままに実部+虚部形式に変換できることは非常に有用である。
【0050】
極座標を直交座標に変換するためには、以下の2演算を行うのが通常である
(演算1)点Pの偏角θからsinθとcosθを計算する
(演算2)sinθとcosθの夫々に原点Oからの距離rを乗ずる。r・cosθから点Pのx座標値が算出でき、r・sinθからy座標値が算出できる。
(演算1)点Pの偏角θからsinθとcosθを計算する
(演算2)sinθとcosθの夫々に原点Oからの距離rを乗ずる。r・cosθから点Pのx座標値が算出でき、r・sinθからy座標値が算出できる。
【0051】
以下では、極座標を暗号化したまま直交座標変換するために、上記(演算1)、(演算2)を暗号文に対して行う方法を詳細に説明する。
図5に示すように、暗号処理装置1は、円周群{T}の値域0~1を分割する個数tを設定する。二乗の計算をする関係で、図5に説明した(t/2)-1と異なり、√(t-1)が、1つのTLWE暗号文にx座標値又はy座標値として記録できる整数の最大値となる。t-1はxとyの比の解像度となり、極座標変換時の演算精度ともなる。π/(2t)が偏角θの解像度となる。
また暗号処理装置1は、TFHEのシステムパラメータを設定する。
手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nは2tの倍数が好ましい。また、Gate Bootstrapping後に得られる暗号文において平文に付加される誤差の範囲が±1/(16t)未満となるようにシステムパラメータを設定する。
また、テストベクタ多項式を、
とした場合、f(i)はiが0~n-1の時にf(i)=-f(i-2n)であると好適である。
例えばcos関数がこれに該当し、具体的には
とおくと、上記の性質を満たす。
図5に示すように、暗号処理装置1は、円周群{T}の値域0~1を分割する個数tを設定する。二乗の計算をする関係で、図5に説明した(t/2)-1と異なり、√(t-1)が、1つのTLWE暗号文にx座標値又はy座標値として記録できる整数の最大値となる。t-1はxとyの比の解像度となり、極座標変換時の演算精度ともなる。π/(2t)が偏角θの解像度となる。
また暗号処理装置1は、TFHEのシステムパラメータを設定する。
手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nは2tの倍数が好ましい。また、Gate Bootstrapping後に得られる暗号文において平文に付加される誤差の範囲が±1/(16t)未満となるようにシステムパラメータを設定する。
また、テストベクタ多項式を、
例えばcos関数がこれに該当し、具体的には
【0052】
図2を用いて、極座標逆変換の手順を説明する。
偏角θのTLWE暗号文cθと、距離rのTLWE暗号文crとがあるとする。
TLWE暗号文cθ、TLWE暗号文crは、秘密鍵がなければ知ることのできない点Pの偏角θ、点Pの原点から距離rに夫々対応する。
図5の場合よりも誤差範囲を小さくして細かく円周群{T}を分割し、1/(8t)を1区間(スライス)とする。図5の1/tのスライスをさらに分割しているとも言える。そして、平文θ(0°~360°)を、円周群{T}の値域0~1にマッピングする。
TLWE暗号文cθは、平文として、
を有する。
(演算1)に関連して、暗号処理装置1(算出部15)は、Gate Bootstrappingとして、テストベクタ多項式T1(X)
を用いて、TLWE暗号文cθに対するBlindRotateを行う。
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、偏角θからcosθを得る関数
の結果を、係数として設定している。
BlindRotateの結果、暗号処理装置1は、平文として、
を有するTRLWE暗号文を得る。
このTRLWE暗号文に対して、暗号処理装置1(算出部15)は0の位置でSampleExtractを行い、その結果のTLWE暗号文に対してキースイッチングを行い、cosθに対応するTLWE暗号文ccsを得る。
また暗号処理装置1(算出部15)は、同じTRLWE暗号文に対してn/2の位置でSampleExtractを行い、その結果のTLWE暗号文に対してキースイッチングを行い、sinθに対応するTLWE暗号文csnを得る。
TLWE暗号文csnは、平文として、
を有する。
上記したように、偏角θのTLWE暗号文cθは、平文θ(0°~360°)を、円周群{T}の値域0~1にマッピングしている。従ってcosθから90°(π/2)位相をずらした位置は、円周群上のn/2に対応する。n/2の位置でSampleExtractを行うことで、sinθのTLWE暗号文csnを得ることが出来る。
上記した位相のズレに関連する三角関数の性質として、
が成り立つ。従って、上記したTLWE暗号文csnの平文
を、
と近似することができる。
上記の結果、点Pのcosθとsinθに対応するTLWE暗号文ccsとTLWE暗号文csnを1回のBlindRotateによって求めることが出来た。
本実施形態は、1回のBlindRotateに対してSampleExtractを複数回(2回)行うことによってsinθとcosθを同時に求めることで演算を高速化する。入力値が異なるのみである関数を高速に評価することが出来る。
sinθを得るためのテストベクタ多項式と、cosθを得るためのテストベクタ多項式に対して夫々BlindRotateを行うことなく、BlindRotate1回で、両方の計算結果を得ることが出来る。
暗号処理装置1は、テストベクタ多項式T1(X)を用いたGate Bootstrappingと同時に、θからcosθ、sinθを夫々平文とするTLWE暗号文を得る一変数関数の演算を行う。
Gate Bootstrappingの処理時間の大半はBlindRotateで占められているため、実質的にGate Bootstrapping2回を1回の時間で行っていることと同等となる。
夫々の位置でのSampleExtractの結果に対して、上記論文のGate Bootstrappingと同様にキースイッチングを行う。SampleExtract、キースイッチングは、Gate Bootstrappingの処理時間のうちごくわずかしか消費しないため、計算時間への影響は軽微である。
上記のように構成したので、論理素子の演算でほとんど全ての計算時間を消費しているBlindRotateの回数を1回に減らすことができる。
TFHEのGate Bootstrappingにおいては、BlindRotateが処理時間の大半を占めるため、cosθとsinθを1回のBlindRotateによって求められることで、処理時間をほぼ半分にすることが出来る。
偏角θのTLWE暗号文cθと、距離rのTLWE暗号文crとがあるとする。
TLWE暗号文cθ、TLWE暗号文crは、秘密鍵がなければ知ることのできない点Pの偏角θ、点Pの原点から距離rに夫々対応する。
図5の場合よりも誤差範囲を小さくして細かく円周群{T}を分割し、1/(8t)を1区間(スライス)とする。図5の1/tのスライスをさらに分割しているとも言える。そして、平文θ(0°~360°)を、円周群{T}の値域0~1にマッピングする。
TLWE暗号文cθは、平文として、
(演算1)に関連して、暗号処理装置1(算出部15)は、Gate Bootstrappingとして、テストベクタ多項式T1(X)
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、偏角θからcosθを得る関数
BlindRotateの結果、暗号処理装置1は、平文として、
このTRLWE暗号文に対して、暗号処理装置1(算出部15)は0の位置でSampleExtractを行い、その結果のTLWE暗号文に対してキースイッチングを行い、cosθに対応するTLWE暗号文ccsを得る。
また暗号処理装置1(算出部15)は、同じTRLWE暗号文に対してn/2の位置でSampleExtractを行い、その結果のTLWE暗号文に対してキースイッチングを行い、sinθに対応するTLWE暗号文csnを得る。
TLWE暗号文csnは、平文として、
上記したように、偏角θのTLWE暗号文cθは、平文θ(0°~360°)を、円周群{T}の値域0~1にマッピングしている。従ってcosθから90°(π/2)位相をずらした位置は、円周群上のn/2に対応する。n/2の位置でSampleExtractを行うことで、sinθのTLWE暗号文csnを得ることが出来る。
上記した位相のズレに関連する三角関数の性質として、
上記の結果、点Pのcosθとsinθに対応するTLWE暗号文ccsとTLWE暗号文csnを1回のBlindRotateによって求めることが出来た。
本実施形態は、1回のBlindRotateに対してSampleExtractを複数回(2回)行うことによってsinθとcosθを同時に求めることで演算を高速化する。入力値が異なるのみである関数を高速に評価することが出来る。
sinθを得るためのテストベクタ多項式と、cosθを得るためのテストベクタ多項式に対して夫々BlindRotateを行うことなく、BlindRotate1回で、両方の計算結果を得ることが出来る。
暗号処理装置1は、テストベクタ多項式T1(X)を用いたGate Bootstrappingと同時に、θからcosθ、sinθを夫々平文とするTLWE暗号文を得る一変数関数の演算を行う。
Gate Bootstrappingの処理時間の大半はBlindRotateで占められているため、実質的にGate Bootstrapping2回を1回の時間で行っていることと同等となる。
夫々の位置でのSampleExtractの結果に対して、上記論文のGate Bootstrappingと同様にキースイッチングを行う。SampleExtract、キースイッチングは、Gate Bootstrappingの処理時間のうちごくわずかしか消費しないため、計算時間への影響は軽微である。
上記のように構成したので、論理素子の演算でほとんど全ての計算時間を消費しているBlindRotateの回数を1回に減らすことができる。
TFHEのGate Bootstrappingにおいては、BlindRotateが処理時間の大半を占めるため、cosθとsinθを1回のBlindRotateによって求められることで、処理時間をほぼ半分にすることが出来る。
【0053】
(演算2)に対応して、暗号処理装置1(第1演算部12)は、距離rのTLWE暗号文crにTLWE暗号文ccsを準同型乗算し、さらに2倍する。これによって、点Pのx座標値を求めることが出来た。
また暗号処理装置1(第2演算部13)は、距離rのTLWE暗号文crにTLWE暗号文csn×(-1)を準同型乗算し、さらに2倍する。これによって、点Pのy座標値を求めることが出来た。
暗号処理装置1が行う準同型乗算(cr×ccs、cr×csn)は、非特許文献2に開示されている方法を用いて実行することが出来る。
これにより、暗号処理装置1は、極座標逆変換は完了である。
以上では、極座標を、x座標値、y座標値によって表される直交座標に変換する方法を説明したが、複素平面上で極座標表示になっている複素数を実部+虚部の形式に変換することが出来る。
本実施形態によれば、TFHEをBit-wise型ではなくInteger-wise型での四則演算が可能な準同型暗号として利用することができ、1ビットずつ計算するよりも効率的に処理を行うことができる。
また暗号処理装置1(第2演算部13)は、距離rのTLWE暗号文crにTLWE暗号文csn×(-1)を準同型乗算し、さらに2倍する。これによって、点Pのy座標値を求めることが出来た。
暗号処理装置1が行う準同型乗算(cr×ccs、cr×csn)は、非特許文献2に開示されている方法を用いて実行することが出来る。
これにより、暗号処理装置1は、極座標逆変換は完了である。
以上では、極座標を、x座標値、y座標値によって表される直交座標に変換する方法を説明したが、複素平面上で極座標表示になっている複素数を実部+虚部の形式に変換することが出来る。
本実施形態によれば、TFHEをBit-wise型ではなくInteger-wise型での四則演算が可能な準同型暗号として利用することができ、1ビットずつ計算するよりも効率的に処理を行うことができる。
【0054】
[暗号文同士の準同型乗算について]
下記に説明するように、暗号処理装置1は(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを用いた2変数関数の評価によって、整数の暗号文同士の準同型乗算を行う。
(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを説明する。
(1)バイナリ乗算部による整数の暗号文cyと二進数の暗号文ccとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
暗号文ccはシンボル0の時平文が1/2となり整数ではt/2に対応している。また暗号文ccはシンボル1の時平文が0となり整数では0に対応している。
整数の暗号文cyと二進数の暗号文ccの乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
を設定する。
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
を設定する。
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文ccと、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文ccがt/2(シンボル0)の暗号文である場合、cc+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文ccが0(シンボル1)の暗号文である場合、cc+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyと同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文ccが0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文ccがt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文ccが0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文ccがt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文ccとの乗算を行うことが出来る。
下記に説明するように、暗号処理装置1は(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを用いた2変数関数の評価によって、整数の暗号文同士の準同型乗算を行う。
(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを説明する。
(1)バイナリ乗算部による整数の暗号文cyと二進数の暗号文ccとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
暗号文ccはシンボル0の時平文が1/2となり整数ではt/2に対応している。また暗号文ccはシンボル1の時平文が0となり整数では0に対応している。
整数の暗号文cyと二進数の暗号文ccの乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文ccと、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文ccがt/2(シンボル0)の暗号文である場合、cc+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文ccが0(シンボル1)の暗号文である場合、cc+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyと同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文ccが0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文ccがt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文ccが0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文ccがt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文ccとの乗算を行うことが出来る。
【0055】
(2)暗号文と定数との準同型一致テスト
整数の暗号文と平文整数との一致テストを説明する。
例として、整数の暗号文cm1と平文整数m2の場合を説明する。
暗号文cm1は、平文m1として、0,1,~(t/2)-1の整数を有する。
平文整数m2は、0,1,~(t/2)-1の整数である。
暗号処理装置1は、暗号文cm1-(0,m2/t)を準同型演算し、演算結果を入力として、
を係数とするテストベクタ多項式を用いたGate Bootstrappingを行う。(0,m2/t)は、m2/tを平文とする自明な暗号文である。
Gate Bootstrappingの結果得られる新たな暗号文cdは、暗号文と定数との一致不一致を示す2値(二進数)の暗号文であり、φ(cm1)=m2±ε(εは誤差)の場合は平文としてt/2(円周群上の値として1/2)を有し、φ(cm1)≠m2±εの場合、平文として0を有する。
整数の暗号文と平文整数との一致テストを説明する。
例として、整数の暗号文cm1と平文整数m2の場合を説明する。
暗号文cm1は、平文m1として、0,1,~(t/2)-1の整数を有する。
平文整数m2は、0,1,~(t/2)-1の整数である。
暗号処理装置1は、暗号文cm1-(0,m2/t)を準同型演算し、演算結果を入力として、
Gate Bootstrappingの結果得られる新たな暗号文cdは、暗号文と定数との一致不一致を示す2値(二進数)の暗号文であり、φ(cm1)=m2±ε(εは誤差)の場合は平文としてt/2(円周群上の値として1/2)を有し、φ(cm1)≠m2±εの場合、平文として0を有する。
【0056】
(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを用いた2変数関数の評価によって、暗号処理装置1は、整数の暗号文同士の準同型乗算を行う。ここで、暗号処理装置1は、f(x,y)=x×yとおいた2変数関数を処理する。
以下では整数の暗号文cm1と整数の暗号文cm2の場合を説明する。
暗号文cm1は、平文m1として、0、1,~(t/2)-1の整数を有する。
暗号文cm2は、平文m2として、0,1,~(t/2)-1の整数を有する。
m1、m2は0~(t/2)-1までの整数であり、2変数関数は、整数0~(t/2)-1の暗号文cm1と整数0~(t/2)-1の暗号文cm2の入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
整数同士の乗算は、乗数に応じた回数だけ被乗数を足し合わせることにより行うことが出来るが、暗号化された整数同士の乗算を暗号文のまま準同型で行うために、暗号処理装置1は、以下に説明する処理を行う。
乗算結果を示す暗号文を、暗号文csumとする。
暗号処理装置1は、初期値として暗号文csumに0を代入し、また繰り返し数を示す変数iの初期値として0を代入する。
暗号処理装置1は、F(x,y)=x×yの一方をiに固定した時の関数Fi(y)=i×yを生成し、その場合のテストベクタ多項式Ti(X)を生成する。Ti(X)の各項の係数μは、次数によって対応する区間yを用いたi×yの値である。この多項式Ti(X)を用いて、被除数をBootstrappingすることにより、暗号文ceを得る。暗号文ceは、被除数×iの乗算結果を平文として持つ。
暗号処理装置1は、上記した暗号文と定数との準同型一致テストの方法を用いて、乗数と変数iの値が一致するかをテストする。
上記に従えば、乗数と変数iが一致するときに、平文としてt/2を有し、乗数と変数iが一致しないときには平文として0を有する暗号文cdが得られる。
暗号処理装置1は、上記した整数と二進数の暗号文の準同型乗算の方法を用いて、整数の暗号文ceに、二進数の暗号文cdに乗算する。
乗数と変数iが一致するときには、被乗数にt/2を乗算し、乗数と変数iが一致しないときには、被乗数に0を乗算する。
暗号処理装置1は、この演算結果を乗算結果の暗号文csumに加算した結果を入力として、上記一変数関数Fidを実行するテストベクタ多項式を用いたGate Bootstrappingを行う。
これを、変数iをインクリメントしながら(yすなわち乗数の平文の値を増やしながら)t/2回(暗号文が平文としてとりうる0以上の整数の個数)処理を繰り返した結果が、整数の暗号文同士を乗算した結果である。
上記の説明において、例えば被乗数をTLWE暗号文cr、乗数をTLWE暗号文ccs(csn)とすることで、実施例で説明したx座標値、y座標値を算出することが出来る。乗算の場合は交換法則が成り立つので、TLWE暗号文ccs(csn)を被乗数、TLWE暗号文crを乗数としても同じである。
以下では整数の暗号文cm1と整数の暗号文cm2の場合を説明する。
暗号文cm1は、平文m1として、0、1,~(t/2)-1の整数を有する。
暗号文cm2は、平文m2として、0,1,~(t/2)-1の整数を有する。
m1、m2は0~(t/2)-1までの整数であり、2変数関数は、整数0~(t/2)-1の暗号文cm1と整数0~(t/2)-1の暗号文cm2の入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
整数同士の乗算は、乗数に応じた回数だけ被乗数を足し合わせることにより行うことが出来るが、暗号化された整数同士の乗算を暗号文のまま準同型で行うために、暗号処理装置1は、以下に説明する処理を行う。
乗算結果を示す暗号文を、暗号文csumとする。
暗号処理装置1は、初期値として暗号文csumに0を代入し、また繰り返し数を示す変数iの初期値として0を代入する。
暗号処理装置1は、F(x,y)=x×yの一方をiに固定した時の関数Fi(y)=i×yを生成し、その場合のテストベクタ多項式Ti(X)を生成する。Ti(X)の各項の係数μは、次数によって対応する区間yを用いたi×yの値である。この多項式Ti(X)を用いて、被除数をBootstrappingすることにより、暗号文ceを得る。暗号文ceは、被除数×iの乗算結果を平文として持つ。
暗号処理装置1は、上記した暗号文と定数との準同型一致テストの方法を用いて、乗数と変数iの値が一致するかをテストする。
上記に従えば、乗数と変数iが一致するときに、平文としてt/2を有し、乗数と変数iが一致しないときには平文として0を有する暗号文cdが得られる。
暗号処理装置1は、上記した整数と二進数の暗号文の準同型乗算の方法を用いて、整数の暗号文ceに、二進数の暗号文cdに乗算する。
乗数と変数iが一致するときには、被乗数にt/2を乗算し、乗数と変数iが一致しないときには、被乗数に0を乗算する。
暗号処理装置1は、この演算結果を乗算結果の暗号文csumに加算した結果を入力として、上記一変数関数Fidを実行するテストベクタ多項式を用いたGate Bootstrappingを行う。
これを、変数iをインクリメントしながら(yすなわち乗数の平文の値を増やしながら)t/2回(暗号文が平文としてとりうる0以上の整数の個数)処理を繰り返した結果が、整数の暗号文同士を乗算した結果である。
上記の説明において、例えば被乗数をTLWE暗号文cr、乗数をTLWE暗号文ccs(csn)とすることで、実施例で説明したx座標値、y座標値を算出することが出来る。乗算の場合は交換法則が成り立つので、TLWE暗号文ccs(csn)を被乗数、TLWE暗号文crを乗数としても同じである。
【0057】
図7は、本実施形態の極座標逆変換処理を説明するフローチャートである。
暗号処理装置1(算出部15)は、ステップS101において、TLWE暗号文cθを入力としたBlindRotateを行う。
暗号処理装置1(算出部15)は、ステップS102において、BlindRotateの結果得られたTRLWE暗号文に対して、0位置でSampleExtractを行う。
暗号処理装置1(算出部15)は、ステップS103において、キースイッチングを行い、cosθのTLWE暗号文ccsを得る。
暗号処理装置1(算出部15)は、ステップS104において、BlindRotateの結果得られたTRLWE暗号文に対して、n/2位置でSampleExtractを行う。
暗号処理装置1(算出部15)は、ステップS105において、キースイッチングを行い、sinθのTLWE暗号文csnを得る。
暗号処理装置1(第1演算部12)は、ステップS106において、TLWE暗号文crとTLWE暗号文ccsを準同型乗算し、さらに2倍し、x座標値の暗号文cxを得る。
暗号処理装置1(第2演算部12)は、ステップS107において、TLWE暗号文crとTLWE暗号文csnを準同型乗算し、さらに2倍し、y座標値の暗号文cyを得る。
以上の処理によって、点Pの偏角θからcosθ、sinθが得られ、点Pの極座標(r、θ)を直交座標(x,y)に変換することが出来た。
暗号処理装置1(算出部15)は、ステップS101において、TLWE暗号文cθを入力としたBlindRotateを行う。
暗号処理装置1(算出部15)は、ステップS102において、BlindRotateの結果得られたTRLWE暗号文に対して、0位置でSampleExtractを行う。
暗号処理装置1(算出部15)は、ステップS103において、キースイッチングを行い、cosθのTLWE暗号文ccsを得る。
暗号処理装置1(算出部15)は、ステップS104において、BlindRotateの結果得られたTRLWE暗号文に対して、n/2位置でSampleExtractを行う。
暗号処理装置1(算出部15)は、ステップS105において、キースイッチングを行い、sinθのTLWE暗号文csnを得る。
暗号処理装置1(第1演算部12)は、ステップS106において、TLWE暗号文crとTLWE暗号文ccsを準同型乗算し、さらに2倍し、x座標値の暗号文cxを得る。
暗号処理装置1(第2演算部12)は、ステップS107において、TLWE暗号文crとTLWE暗号文csnを準同型乗算し、さらに2倍し、y座標値の暗号文cyを得る。
以上の処理によって、点Pの偏角θからcosθ、sinθが得られ、点Pの極座標(r、θ)を直交座標(x,y)に変換することが出来た。
【0058】
図8は、本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
上記の説明では、図8(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図8(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図8(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図8(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
図8では、入力となるTLWE暗号文に準同型演算を行った結果に対してGate Bootstrappingを行っている。ただし、本実施形態の場合、図2で説明したように、入力となるTLWE暗号文に直接Gate Bootstrappingを行う場合もある。その場合、Gate Bootstrapping前の準同型演算は必ずしも必要ではない。
上記の説明では、図8(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図8(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図8(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図8(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
図8では、入力となるTLWE暗号文に準同型演算を行った結果に対してGate Bootstrappingを行っている。ただし、本実施形態の場合、図2で説明したように、入力となるTLWE暗号文に直接Gate Bootstrappingを行う場合もある。その場合、Gate Bootstrapping前の準同型演算は必ずしも必要ではない。
【0059】
LEVEL0の暗号文は、N次の秘密鍵[s]で暗号化された円周群{T}上の要素のN次のベクトル[a]よりなっている。一方、SampleExtractの結果得られるLEVEL1の暗号文は、n次の秘密鍵[s’]で暗号化された円周群{T}上の要素のn次のベクトル[a']よりなっている。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
【0060】
平文に付加する誤差を小さくすることで計算(解読)が容易となった暗号文のセキュリティを確保するために、キースイッチングをGate Bootstrappingの先頭に移動し、係数の数(ベクトルの次数)が多く誤差の範囲を小さくしやすいLEVEL1の暗号文をGate Bootstrappingの入出力とすることが望ましい。そして、Gate Bootstrappingの先頭でLEVEL0に変換してから、最後にLEVEL0に戻さないようにする。LEVEL0に戻さないことで、次段でも同様にTLWE暗号文の計算を安全に行うことが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
【0061】
また、平文に付加する誤差を小さくすることには、上記のセキュリティ強度の以外に復号時エラーの問題もある。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
【0062】
計算にエラーが発生する確率を抑える、BlindRotateの数を減らして計算を高速化する、セキュリティを高く保つ、という3つの目標をバランスが最もとれるよう、誤差範囲の重なりが一定値内に収まるようにシステムパラメータを設定することが必要である。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
【0063】
[応用例]
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
【0064】
暗号処理装置10は、第1演算部12、第2演算部13、Bootstrapping部15の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算するなどする。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算などの演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。
四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
全加算器を用いることなく、整数を平文として有するInteger-wise型の暗号文同士で演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算するなどする。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算などの演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。
四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
全加算器を用いることなく、整数を平文として有するInteger-wise型の暗号文同士で演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
【0065】
このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
【0066】
またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には2乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、O(N2)の全加算器を演算しなければならない。また単純な減算による比較演算でも、O(N)の全加算器を演算する必要がある。
全加算器を用いることなく、整数を平文として有するInteger-wise型の暗号文同士で演算を行うことにより、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。
全加算器を用いることなく、整数を平文として有するInteger-wise型の暗号文同士で演算を行うことにより、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。
【0067】
図9は、コンピュータ装置の一実施例を示すブロック図である。
図9を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
図9を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
【0068】
制御回路101は、コンピュータ装置100全体の制御をする。制御回路101は、例えば、Central Processing Unit(CPU)、Field Programmable Gate Array(FPGA)、Application Specific Integrated Circuit(ASIC)及びProgrammable Logic Device(PLD)などのプロセッサである。制御回路101は、例えば、図2における制御部10として機能する。
【0069】
記憶装置102は、各種データを記憶する。そして、記憶装置102は、例えば、Read Only Memory(ROM)及びRandom Access Memory(RAM)などのメモリや、Hard Disk(HD)、Solid State Drive(SSD)などである。記憶装置102は、制御回路101を、図2における制御部10として機能させる情報処理プログラムを記憶してもよい。記憶装置102は、例えば、図2における記憶部20として機能する。
【0070】
暗号処理装置1は、情報処理を行うとき、記憶装置102に記憶されたプログラムをRAMに読み出す。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
【0071】
読書装置103は、制御回路101に制御され、着脱可能な記録媒体104のデータのリード/ライトを行なう。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
【0072】
通信インターフェイス105は、ネットワーク200を介してコンピュータ装置100と他の装置とを通信可能に接続する。通信インターフェイス105は、例えば、図2において、通信部25として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図2において、入力部26として機能する。
【0073】
表示装置108は、各種情報を表示する。表示装置108は、例えば、例えばCRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)、PDP(Plasma Display Panel)、およびOELD(Organic Electroluminescence Display)などである。ネットワーク200は、例えば、LAN、無線通信、P2Pネットワーク、又はインターネットなどであり、コンピュータ装置100と他の装置を通信接続する。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
【符号の説明】
【0074】
1 暗号処理装置、10 制御部、11 受付部、12 第1演算部、13 第2演算部、15 Bootstrapping部(算出部)、18 出力部、20 記憶部、25 通信部、26 入力部、100 コンピュータ装置、101 制御回路、102 記憶装置、103 読書装置、104 記録媒体、105 通信インターフェイス、106 入出力インターフェイス、107 入力装置、108 表示装置、110 バス、200 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【手続補正書】
【提出日】2023-01-19
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
暗号文を処理する暗号処理装置であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行する算出部を備え、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記算出部は、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出する第1演算部と、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する第2演算部と、をさらに備える
ことを特徴とする暗号処理装置。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行する算出部を備え、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記算出部は、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出する第1演算部と、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する第2演算部と、をさらに備える
ことを特徴とする暗号処理装置。
【請求項2】
請求項1に記載の暗号処理装置において、
前記算出部は、入力される暗号文に対して前記所定の多項式を用いて新たな暗号文を算出するまえに、暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。
前記算出部は、入力される暗号文に対して前記所定の多項式を用いて新たな暗号文を算出するまえに、暗号文の係数の数を削減する処理を行う、
ことを特徴とする暗号処理装置。
【請求項3】
前記所定の演算を行うことにより、入力された前記暗号文を用いたファジー認証又はファジー検索に係る処理を行う、
ことを特徴とする請求項1又は2に記載の暗号処理装置。
ことを特徴とする請求項1又は2に記載の暗号処理装置。
【請求項4】
前記所定の演算を行うことによって、入力された前記暗号文に基づく暗号化データベースに対するクエリを処理する、
ことを特徴とする請求項1又は2に記載の暗号処理装置。
ことを特徴とする請求項1又は2に記載の暗号処理装置。
【請求項5】
前記第2の係数は、前記cosθからπ/2位相をずらした暗号文に対応する係数である、
ことを特徴とする請求項1乃至4の何れか一項に記載の暗号処理装置。
ことを特徴とする請求項1乃至4の何れか一項に記載の暗号処理装置。
【請求項6】
プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行し、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出し、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行し、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出し、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
【請求項7】
前記第2の係数は、前記cosθからπ/2位相をずらした暗号文に対応する係数である、
ことを特徴とする請求項6に記載の暗号処理方法。
ことを特徴とする請求項6に記載の暗号処理方法。
【請求項8】
暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行し、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出し、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理プログラム。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行し、
前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、
前記点の偏角θに対応する暗号文に対して前記第1処理を行い、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、
前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、
前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出し、
前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理プログラム。
【請求項9】
前記第2の係数は、前記cosθからπ/2位相をずらした暗号文に対応する係数である、
ことを特徴とする請求項8に記載の暗号処理プログラム。
ことを特徴とする請求項8に記載の暗号処理プログラム。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0006
【補正方法】変更
【補正の内容】
【0006】
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、入力された暗号文に対して所定の多項式を用いて、多項式を平文として有する暗号文を算出する第1処理と、前記第1処理の結果得られた暗号文の平文多項式の係数を新たな暗号文として抽出する第2処理と、を実行する算出部を備え、前記所定の演算は、平面上の点の座標を極座標から直交座標に変換する演算であり、前記算出部は、前記点の偏角θに対応する暗号文に対して前記第1処理を行い、前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第1の係数を抽出することによりcosθに対応する第1暗号文を算出し、前記第1処理の結果得られた暗号文に対して前記第2処理を行って前記平文多項式の第2の係数を抽出することによりsinθに対応する第2暗号文を算出し、前記第1暗号文と原点からの距離に対応する第3暗号文を準同型乗算してx座標値に対応する新たな暗号文を算出する第1演算部と、前記第2暗号文と前記第3暗号文を準同型乗算してy座標値に対応する新たな暗号文を算出する第2演算部と、をさらに備えることを特徴とする。