知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023064757
(43)【公開日】2023-05-11
(54)【発明の名称】暗号処理装置、暗号処理方法、及び暗号処理プログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20230501BHJP
【FI】
G09C1/00 620Z
【審査請求】有
【請求項の数】3
【出願形態】OL
(21)【出願番号】P 2022184718
(22)【出願日】2022-11-18
(62)【分割の表示】P 2021174746の分割
【原出願日】2021-10-26
(71)【出願人】
【識別番号】398034168
【氏名又は名称】株式会社アクセル
(74)【代理人】
【識別番号】100085660
【弁理士】
【氏名又は名称】鈴木 均
(74)【代理人】
【識別番号】100149892
【弁理士】
【氏名又は名称】小川 弥生
(74)【代理人】
【識別番号】100185672
【弁理士】
【氏名又は名称】池田 雅人
(72)【発明者】
【氏名】星月 優佑
(72)【発明者】
【氏名】松岡 航太郎
(57)【要約】
【課題】暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで多倍長整数の演算を実現する。
【解決手段】暗号文を処理する暗号処理装置であって、暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える。
【選択図】図2
【解決手段】暗号文を処理する暗号処理装置であって、暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
暗号文を処理する暗号処理装置であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える、
ことを特徴とする暗号処理装置。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える、
ことを特徴とする暗号処理装置。
【請求項2】
プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
【請求項3】
暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する。
ことを特徴とする暗号処理プログラム。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する。
ことを特徴とする暗号処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号文を処理する暗号処理装置、暗号処理方法、及び暗号処理プログラムに関する。
【背景技術】
【0002】
準同型暗号(Homomorphic Encryption)は、暗号化したデータを復号せず、暗号化したままデータ処理を行うことが出来る暗号方式である。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
平文同士での加算に対応する暗号文同士の演算が存在する暗号が加法準同型暗号であり、平文同士での乗算に対応する暗号文同士の演算が存在する暗号が乗法準同型暗号である。
有限巡回群を整数に見立てて、加法演算(加算、減算)のみを行う加法準同型暗号と、乗法演算(乗算)のみを行う乗法準同型暗号とが以前から知られていた。
有限巡回群は、加算を繰り返せば整数倍が出来るので、平文の整数倍ができ、乗算を繰り返せば平文のべき乗計算をすることも出来る。
また、加法演算と乗法演算の両方を暗号化したまま処理する完全準同型暗号(Fully Homomorphic Encryption,FHE)がある。
完全準同型暗号の一つとして、暗号化時に復号には問題のない程度の小さな誤差を平文に加えることで構成される、LWE(Learning with Errors)問題に基づく完全準同型暗号が知られている。
【0003】
LWE問題に基づく完全準同型暗号では、演算を行うとともに誤差が蓄積していくので、誤差が大きくなりすぎて復号ができなくなる前に、暗号化したまま誤差成分を縮小するbootstrappingが実行される。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として二値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり、非特許文献1に示されるTFHEはBit-wise型である。
なおTFHEの平文は円周群に対応づけられた0~1の実数である。よって、円周群の値域0~1を区切った区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2参照)。
bootstrappingの計算時間は、完全準同型暗号に含まれる計算時間の大部分を占める。また、bootstrappingでは膨大なデータを扱うため、その計算量は膨大である。したがって、完全準同型暗号の演算においては、実用的な時間内で演算結果を得ることができないことがある。
この問題を劇的に改善した手法が、非特許文献1(以下の説明において、上記論文として参照される)に示されるTFHE(Fast Fully Homomorphic Encryption over the Torus)である。
準同型暗号には、平文として二値を有し論理演算をベースとするBit-wise型の準同型暗号と、平文として整数を丸ごと1暗号文とするInteger-wise型の準同型暗号と、があり、非特許文献1に示されるTFHEはBit-wise型である。
なおTFHEの平文は円周群に対応づけられた0~1の実数である。よって、円周群の値域0~1を区切った区間を順番に整数と対応付けることにより、整数を平文として有するInteger-wise型の準同型暗号として応用することが出来る(非特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【非特許文献1】TFHE:Fast Fully Homomorphic Encryption over the Torus. Journal of Cryptology, 33:34-91, 2020, I.Chillotti, N.Gama, M.Georgieva, and M.Izabachene
【非特許文献2】Integerwise Functional Bootstrapping on TFHE, 2020, Hiroki Okada, Shinsaku Kiyomoto, and Carlos Cid
【発明の概要】
【発明が解決しようとする課題】
【0005】
TFHEをBit-wiseではなくInteger-wiseでの四則演算が可能な準同型暗号として利用することができれば、1ビットずつ計算するよりも効率的に処理を行うことができる。
しかしながら、従来はInteger-wise型のTFHEで大きな数の演算を行うには、円周群の分割数を大きくして一つの暗号文で大きな数を表現する必要があった。円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。
本発明は、一側面として暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで大きな数を扱うために、多倍長整数の演算を実現することを目的とする。
しかしながら、従来はInteger-wise型のTFHEで大きな数の演算を行うには、円周群の分割数を大きくして一つの暗号文で大きな数を表現する必要があった。円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。
本発明は、一側面として暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで大きな数を扱うために、多倍長整数の演算を実現することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、暗号文を処理する暗号処理装置であって、前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える、暗号処理装置を特徴とする。
【発明の効果】
【0007】
本発明によれば、一側面として、暗号文のセキュリティを損なうことなく、Integer-wise型TFHEで多倍長整数の演算を実現することが出来る。
【図面の簡単な説明】
【0008】
【図1】本実施形態の暗号処理装置の機能構成を説明する図である。
【図3】TLWE暗号が平文として有する円周群を説明するイメージ図である。
【図4】2値Gate Bootstrappingの動作イメージ図である。
【図5】Integer-wise型に適用したTFHEを説明する図である。
【図6】多倍長乗算をひっ算で実現する仕組みを説明する図である。
【図7】暗号処理装置が実行するスカラ除算処理の流れを示すフローチャートである。
【図8】暗号処理装置が実行するスカラ剰余算処理の流れを示すフローチャートである。
【図9】暗号処理装置が実行する多倍長演算処理の流れを示すフローチャートである。
【図10】本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
【図11】コンピュータ装置の一実施例を示すブロック図である。
【発明を実施するための形態】
【0009】
以下に、図面を参照して本発明の実施の形態を詳細に説明する。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
なお、以下の説明において、[]で囲まれた英数字はそれがベクトルであることを示す。{}で囲まれた英数字はそれが集合であることを示す。
また、本明細書において、「論理演算」と記す場合は2値もしくは多値の論理演算のことを指すものとする。
【0010】
図1は、本実施形態の暗号処理装置の機能構成を説明する図である。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)15と、第2Bootstrapping部(第2算出部)16と、出力部18と、を備えている。
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部11は、暗号処理装置1が実行する他のプロセスから暗号文の入力を受け付ける。
第1演算部12は、入力暗号に対して第1準同型演算を行う。
第2演算部13は、入力暗号に対して第2準同型演算を行う。
第1Bootstrapping部15は、第1演算部12の演算結果、又は第2演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第2Bootstrapping部16は、第1演算部12の演算結果、又は第2演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13は、下記に説明する準同型演算をソフトウェアで実現する演算処理部である。第1演算部12、第2演算部13、第1Bootstrapping部15、第2Bootstrapping部16の少なくとも一つはハードウェアで実現されてもよい。
暗号処理装置1は、制御部10と、記憶部20と、通信部25と、入力部26と、を備える。
制御部10は、受付部11と、第1演算部12と、第2演算部13と、第1Bootstrapping部(第1算出部)15と、第2Bootstrapping部(第2算出部)16と、出力部18と、を備えている。
受付部11は、通信部25や入力部26を介した、演算の対象となる暗号文の入力を受け付ける。あるいは、受付部11は、暗号処理装置1が実行する他のプロセスから暗号文の入力を受け付ける。
第1演算部12は、入力暗号に対して第1準同型演算を行う。
第2演算部13は、入力暗号に対して第2準同型演算を行う。
第1Bootstrapping部15は、第1演算部12の演算結果、又は第2演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第2Bootstrapping部16は、第1演算部12の演算結果、又は第2演算部12の演算結果に対して下記に説明するGate Bootstrapping処理を行って、新たな暗号文を出力する。
第1演算部12、第2演算部13は、下記に説明する準同型演算をソフトウェアで実現する演算処理部である。第1演算部12、第2演算部13、第1Bootstrapping部15、第2Bootstrapping部16の少なくとも一つはハードウェアで実現されてもよい。
【0011】
出力部18は、最終的な演算結果を暗号処理装置1の外部、あるいは、暗号処理装置1で実行される別の処理プロセスに対して出力する。
記憶部20は、入力暗号文や、暗号文に対する演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
記憶部20は、入力暗号文や、暗号文に対する演算で用いられる一時ファイルや一時データ、出力暗号文を格納することが出来る。
また、記憶部20には、暗号化された暗号化データベース60を格納することが出来る。
通信部25は、暗号処理装置1をネットワークに接続し、外部装置との通信を可能にする。
記憶部20に暗号化された暗号化データベース60を格納し、通信部25を備えることにより、暗号処理装置1は、データベースサーバとして機能することが出来る。
この場合、暗号処理装置1は、外部装置としての端末装置から、暗号化されたクエリを受け付け、暗号化された暗号化データベース60に対する検索を行い、暗号化された検索結果を端末装置に応答することが出来る。
入力部26は、暗号処理装置1に対して、演算処理対象の暗号文や、暗号化データベース60に対するクエリを入力する。
【0012】
図2は、図1の機能構成に基づく演算プロセスを詳しく説明する図である。図2に示す構成では、上記論文で提示されたGate Bootstrappingを使用する。上記論文で提示されているTFHEのGate Bootstrappingについては下記に詳述する。
図2(a)は、スカラ演算(スカラ除算、スカラ剰余算)を行うための機能構成、図2(b)は、スカラ演算(スカラ除算、スカラ剰余算)を含み多倍長演算(加算)を行うための機能構成を示している。
図2(a)において、第1演算部12、第1Bootstrapping部15は図2(b)のスカラ除算部を構成し、第2準同型演算の演算結果に対してスカラ除算を実行する。例えば、整数xを平文として有する暗号文cxが入力されると、第1演算部12は暗号文cxの2n倍する第1準同型演算を行い、新たな暗号文cx’を得る。
暗号文cxの2n倍は暗号文の整数倍であり、上記に説明したように暗号文の整数倍は円周群上に定義されている。従って、暗号文cx’は従来知られる方法から得られる。
暗号文cx’を入力された第1Bootstrapping部15は下記に説明するGate Bootstrappingを行うと同時に、暗号文cx’を所定の平文で割るスカラ除算を行う。
また暗号文cx’を入力された第2Bootstrapping部16は下記に説明するGate Bootstrappingを行うと同時に、暗号文cx’を所定の平文で割った余りを求めるスカラ剰余算を行う。
図2(a)は、スカラ演算(スカラ除算、スカラ剰余算)を行うための機能構成、図2(b)は、スカラ演算(スカラ除算、スカラ剰余算)を含み多倍長演算(加算)を行うための機能構成を示している。
図2(a)において、第1演算部12、第1Bootstrapping部15は図2(b)のスカラ除算部を構成し、第2準同型演算の演算結果に対してスカラ除算を実行する。例えば、整数xを平文として有する暗号文cxが入力されると、第1演算部12は暗号文cxの2n倍する第1準同型演算を行い、新たな暗号文cx’を得る。
暗号文cxの2n倍は暗号文の整数倍であり、上記に説明したように暗号文の整数倍は円周群上に定義されている。従って、暗号文cx’は従来知られる方法から得られる。
暗号文cx’を入力された第1Bootstrapping部15は下記に説明するGate Bootstrappingを行うと同時に、暗号文cx’を所定の平文で割るスカラ除算を行う。
また暗号文cx’を入力された第2Bootstrapping部16は下記に説明するGate Bootstrappingを行うと同時に、暗号文cx’を所定の平文で割った余りを求めるスカラ剰余算を行う。
【0013】
図2(a)において、第1演算部12、第2Bootstrapping部15は図2(b)のスカラ除算部を構成し、第2準同型演算の演算結果に対してスカラ除算を実行する。
また図2(a)において、第1演算部12、第2Bootstrapping部16は図2(b)のスカラ剰余算部を構成し、第2準同型演算の演算結果に対してスカラ剰余算を実行する。
図2(b)は、図2(a)のスカラ除算部、スカラ剰余算部を用いて暗号文同士の多倍長演算(加算)を行う場合の構成を示している。
図2(b)において、第2演算部13は、演算対象の入力暗号文ca、cbを夫々分割したi番目の部分と、i-1番目にスカラ除算部から出力された商の暗号文cdi-1(後に詳述する繰り上がり)とに対して第2準同型演算(cai+cbi+cdi-1)を行う。ただし初回(i=1)の第2準同型演算を行う場合は、下記に説明するようにcdi-1は0を平文とする暗号文であり、単にcai+cbi(i=1)を行うのみである。
第2準同型演算の出力である暗号文ccは、スカラ除算部、スカラ剰余算部に入力されて、暗号文ccを平文で割ったときの除算結果である商の暗号文cd、剰余算結果である剰余の暗号文cmiが出力される。
商の暗号文cdは第2演算部13に戻され、第2演算部13は、入力暗号文ca、cbのi+1番目の部分と商の暗号文cdの第2準同型演算を行う。次のスカラ除算、スカラ剰余算を行われる。
第2準同型演算、スカラ除算、スカラ剰余算を繰り返し行い、全体で所定回数繰り返したときのスカラ剰余算の結果である暗号文cmの列が、多倍長演算(加算)の演算結果となる。
また図2(a)において、第1演算部12、第2Bootstrapping部16は図2(b)のスカラ剰余算部を構成し、第2準同型演算の演算結果に対してスカラ剰余算を実行する。
図2(b)は、図2(a)のスカラ除算部、スカラ剰余算部を用いて暗号文同士の多倍長演算(加算)を行う場合の構成を示している。
図2(b)において、第2演算部13は、演算対象の入力暗号文ca、cbを夫々分割したi番目の部分と、i-1番目にスカラ除算部から出力された商の暗号文cdi-1(後に詳述する繰り上がり)とに対して第2準同型演算(cai+cbi+cdi-1)を行う。ただし初回(i=1)の第2準同型演算を行う場合は、下記に説明するようにcdi-1は0を平文とする暗号文であり、単にcai+cbi(i=1)を行うのみである。
第2準同型演算の出力である暗号文ccは、スカラ除算部、スカラ剰余算部に入力されて、暗号文ccを平文で割ったときの除算結果である商の暗号文cd、剰余算結果である剰余の暗号文cmiが出力される。
商の暗号文cdは第2演算部13に戻され、第2演算部13は、入力暗号文ca、cbのi+1番目の部分と商の暗号文cdの第2準同型演算を行う。次のスカラ除算、スカラ剰余算を行われる。
第2準同型演算、スカラ除算、スカラ剰余算を繰り返し行い、全体で所定回数繰り返したときのスカラ剰余算の結果である暗号文cmの列が、多倍長演算(加算)の演算結果となる。
【0014】
TFHEで説明されるGate Bootstrappingについて詳述する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
Gate Bootstrappingは、膨大なデータ量や演算時間のために実用的とは言えなかった完全準同型暗号を実用的にするための手法である。
上記論文のTFHEでは、LWE(Learning with Errors)暗号を円周群上で構成したTLWE暗号と呼ばれる暗号を用い、演算時の誤差を小さくしながら高速かつ小さなデータサイズでTLWE暗号文同士の各種準同型論理演算(ひいては加算・乗算などの任意の演算)を実現する。
【0015】
TFHEにおけるGate Bootstrappingの入力は、秘密鍵で暗号化されたTLWE暗号文である。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
TFHEでは、TLWE暗号文を基本として完全準同型暗号(FHE)を実現する。
TLWE暗号は、格子暗号の一種であるLWE暗号の特殊な場合(LWE暗号を円周群上で定義したもの)である。
TLWE暗号は加法準同型であり、TLWE暗号化された平文同士の加法演算を、暗号文を復号することなく行うことができることが知られている。
【0016】
図3は、TLWE暗号が平文として有する円周群を説明するイメージ図である。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
TLWE暗号は、0から実数の精度で進み1になると0に戻る、図5に示す円周群{T}の任意の点を平文とし、0近辺(誤差含む)とμ近辺(誤差含む)を平文として使用する。
円周群{T}上の点は、本明細書において「要素」ともいう。
TFHEを扱う暗号処理装置は、このようなTLWE暗号文同士の演算として加法演算など一般的な準同型演算を実行し、その演算結果の誤差をGate Bootstrappingによって適切な範囲内に収めることによって、再度(後段での)論理演算が可能な完全準同型暗号(FHE)を実現する。
【0017】
[TLWE暗号]
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
TLWE暗号を説明する。
円周群{T}上の要素として、一様分布な乱数をN個集めたベクトル[a]を用意する。また、0,1の2値をN個集めた秘密鍵[s]を用意する。
平均値が平文μであり、分散が事前に定めたαとなるようなガウス分布(正規分布)の乱数をeとしたときに、([a],[s]・[a]+e)の組がTLWE暗号文の一例となる。
同一の平文μに対して無限個のTLWE暗号文を生成した時のeの平均値が平文μであり、μは誤差なしの平文、eは誤差付きの平文である。
なお、「・」は、ベクトルの内積を表す。以降についても同様である。
上記[s]・[a]+eをbとおくと、TLWE暗号文は([a],b)と表すことができる。
φs(([a],b))=b-[s]・[a]=eは、TLWE暗号文を復号する関数である。TLWE暗号は平文に秘密鍵ベクトルと乱数ベクトルの内積と誤差を付加して暗号化するため、秘密鍵ベクトルと乱数ベクトルの内積を算出することで、TLWE暗号を誤差付きで復号することができる。この時、秘密鍵ベクトルが未知の場合は、内積となる成分が算出できないため、復号することができない。
【0018】
このTLWE暗号は加法準同型であり、TLWE暗号文の平文同士の加法演算を、暗号文を復号することなく行うことができる。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
2つのTLWE暗号文([a],b)、([a’],b’)をそのまま足して、([a]+[a’],b+b’)としたものを、上記の復号関数φsに入力すると、
φs(([a]+[a’],b+b’))=(b+b’)-[s]・([a]+[a’])=(b-[s]・[a])+(b’-[s]・[a’])=φs([a],b)+φs([a’],b’)
となり、2つの平文の和が得られる。これにより、TLWE暗号文が「加法準同型暗号」であることがわかる。
上記論文のTFHEでは「平文に誤差を付加したTLWE暗号文に対して加法演算を行い、Gate Bootstrappingで誤差を削減する」ことを繰り返していくことで、様々な演算を実現する。
【0019】
なお、下記において、([0],μ)などの「自明な暗号文(trivial)」は、あらゆる秘密鍵で復号が可能なTLWE暗号文であり、すなわち、どのような秘密鍵を用いても同じ平文を復号できる暗号文である。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
([0],μ)において、[0]は、ゼロベクトルを表す。
「自明な暗号文」は、TLWE暗号文として扱えるが、実質的に平文がそのまま入っている状態と言える。
TLWE暗号文([0],μ)は、復号関数φsにかけると、φs(([0],μ))=μ-[s]・0=μとなり、秘密鍵[s]がゼロベクトル[0]と掛け合わされて消えるため、容易に平文μが得られる。このような暗号文は、平文μに対して自明な暗号文に他ならない。
【0020】
TFHEのGate Bootstrappingで用いる有限巡回群を説明する。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
Gate Bootstrappingでは、多項式環の剰余環を、有限巡回群として用いる。
多項式環の剰余環が有限巡回群であることを説明する。
n次の多項式は、一般にanxn+an-1xn-1+…+a0と表される。
これらの全ての集合は、多項式同士の和f(x)+g(x)に対して可換群をなす。
また、多項式同士の積f(x)g(x)は、逆元が存在するとは限らないことを除き、可換群と同様の性質を持つ。そのようなものをモノイドと呼ぶ。
多項式同士の和と積に対しては、下記のように分配法則が成り立つ
f(x){g(x)+g’(x)}=f(x)g(x)+f(x)g’(x)
従って、多項式を要素として多項式同士の和・積を定義すると「環」をなし、これを多項式環と呼ぶ。
【0021】
TFHEでは、円周群{T}を係数とする多項式環を用い、このような多項式環をT[X]と表記する。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
多項式環である多項式T(X)をT[X](Xn+1)+T[X]のかたちに分解し、剰余部分だけを取り出して集めると、これもまた「環」であるため多項式環の剰余環が得られる。
TFHEでは、多項式環の剰余環をT[X]/(Xn+1)と表す。
【0022】
多項式環の剰余環T[X]/(Xn+1)の要素(元)として、任意の係数μ(μ∈T)を用いて、多項式F(X)=μXn-1+μXn-2+・・・+μX+μ
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
を取り出す。
多項式環の剰余環の要素F(X)にXを掛けると、μXn-1+μXn-2+・・・+μX-μとなって、一番上の項の係数がプラスからマイナスに反転して定数項として現れる。
さらにXを掛けると、μXn-1+μXn-2+・・・+μX2-μX-μのように、もう一度同じことが起きる(一番上の項の係数がプラスからマイナスに反転して定数項として現れる)。
これを全部でn回繰り返すと、
-μXn-1-μXn-2・・・-μX-μとなって全ての項の係数がマイナスとなる。
【0023】
さらにXを掛け続けると、
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
-μXn-1-μXn-2・・・-μX+μ
-μXn-1-μXn-2・・・+μX+μ
と一番上の項の係数がマイナスからプラスに反転して定数項として現れていき、全部で2n回繰り返すと、元の多項式環の剰余環の要素F(X)=μXn-1+μXn-2+・・・+μX+μに戻る。このように、最上位の係数(μ)が最下位の定数項に符号反転して(-μ)現れて、全体的に項が1つ、ずれている。
すなわち、多項式F(X)=μXn-1+μXn-2+・・・+μX+μは、多項式環の剰余環T[X]/(Xn+1)という環のなかで位数2nの有限巡回群になっている。
TFHEにおいて、暗号処理装置は、このような多項式環の剰余環に基づく多項式F(X)が有する性質を利用して完全準同型暗号を実現する。
【0024】
[TRLWE暗号]
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
Gate Bootstrappingでは、TLWE暗号の他にTRLWE暗号と呼ばれる暗号を利用する。
TRLWE暗号について説明する。
TRLWE暗号のRは環を意味し、TRLWE暗号は環で構成したLWE暗号である。TLWE暗号がそうであるように、TRLWEもまた加法準同型暗号である。
TRLWE暗号における環は、上記した多項式環の剰余環T[X]/(Xn+1)である。
TRLWE暗号を得るに当たり、多項式環の剰余環T[X]/(Xn+1)の要素(元)をランダムに選択する。
実際には、n-1次多項式の係数n個を、円周群{T}から一様分布な乱数で選出する。
多項式の次数がn-1であれば、Xn+1で割れることがなく、剰余を考える必要がないため、次数がn-1の多項式を多項式a(X)とする。
【0025】
0,1の2値からランダムにn個を集めて、下記の秘密鍵となる多項式s(X)を組み立てる。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
s(X)=sn-1Xn-1+sn-2Xn-2+・・・s1X+s0
n個の乱数eiを、平均値が平文μiになり分散がαとなるガウス分布(正規分布)の乱数とし、これらから下記の多項式e(X)を組み立てる。
e(X)=en-1Xn-1+en-2Xn-2+・・・e1X+e0
s(X)・a(X)+e(X)を、f(X)(Xn+1)+b(X)と分解して、b(X)を得る。
その結果、TRLWE暗号文として、(a(X),b(X))が得られる。
TRLWE暗号は、TLWE暗号と同様に乱数を用いて暗号化を行うため、同一の秘密鍵、平文に対して、無数の暗号文が対応しうる。
また、TRLWE暗号は、TLWE暗号と同様に、φs((a(X),b(X))=b(X)-s(X)・a(X)+g(X)(Xn+1)として、φsがT[X]/(Xn+1)の元となるようにg(X)を定めたものが、復号関数として機能する。
【0026】
[Gadget Decomposition]
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
Gadget Decompositionについて説明する。
TRLWE暗号文で用いている多項式の係数は、図5の円周群{T}の要素である0以上1未満の実数であり小数部分のみを有する。
これを二進数表記で何ビットずつかに分解する操作を、上記論文のTFHEではGadget Decomposition(Dec)と定義している。
例えば、TRLWE暗号文の多項式F(X)の次数nがn=2として、分割の1単位をBg=22で、l=3要素に分解する。このとき、各要素は-Bg/2からBg/2の間に入るようにする。
TRLWE暗号文は、上記の(a(X),b(X))のように、2つの多項式の組み合わせである。従って、TRLWE暗号文dを、多項式環の剰余環の元となる多項式を要素とする2次元のベクトルと見なして、例えば、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
と書くことができる。そのため、以下では各要素をBg-1=0.25のべき乗の和の形に分解する。
【0027】
円周群{T}上では、0.75=-0.25であるので、
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
d=[0.75X2+0.125X+0.5,0.25X2+0.5X+0.375]
=[-0.25X2+0.125X+0.5,0.25X2+0.5X+0.25+0.125]
=[0.25×(-X2+2)+0.252×2X+0.253×0,0.25×(X2+2X+1)9+0.25X2×2+0.253×0]
と分解できる。
従って、Gadget Decompositionを行うと、
Dec(d)=[-X2+2,2X,0,X2+2X+1,2,0]
というベクトルになる。
【0028】
ベクトルから暗号文に逆変換する作用素Hも定義する。
上記の例に基づいて説明すると、
という行列が、逆変換の作用素Hとなる。Dec(d)・Hを演算することで、TRLWE暗号文d’が得られる。下位ビットは四捨五入をしてまるめられている。
上記の例に基づいて説明すると、
【0029】
TRLWE暗号文dに対して、||d-[v]・H||が最小値となる[v]を得る操作が、Gadget Decompositionであるとも言える。ここで||はベクトルのノルム(長さ)である。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
この暗号文kをTRGSW暗号文BKとして定義する。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
e(X)の係数全てが平均値0となり、分散はαとなる多項式でできた暗号文Zi=(a(X),b(X))を2l(エル)個生成する。
そして、平文μを以下のように暗号化し、以下の暗号文kを得る。
TRGSW暗号文BKは、下記に用いるBootstrapping Keyを構成する。
【0030】
Bootstrapping Keyを説明する。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
とする。
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
Bootstrapping Keyは、Gate Bootstrappingに用いるために、秘密鍵を暗号化しておくために利用する。
TLWE暗号文に用いる秘密鍵[s](N次)とは別に、Gate Bootstrappingに使うために、秘密鍵[s]を暗号化するための秘密鍵[s’]の各要素を0か1の2値で選択する。
秘密鍵[s’]の次数は、TRLWE暗号で使用する多項式の次数nとそろえる必要がある。
秘密鍵[s]の要素ごとにTRGSW暗号文BKを作成する。
秘密鍵[s’]で復号するとφs’(Zj)=0となるTRLWE暗号文Zjを2l(エル)個作成する。
そして、上記したTRGSW暗号文の構成どおり、
このTRGSW暗号文を、秘密鍵[s]の次数と同じN個用意したセットを、Bootstrapping Keyと呼ぶ。
【0031】
TRGSW暗号文BKiとTRLWE暗号文dの外積を、
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
となる。
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
となり、下記の3つの暗号文c1、c2、c3の和の計算と同じとなる。
TRLWE暗号は加法準同型暗号であるため、暗号文同士の和をとると平文同士の和をとったことと同じである。
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
BKi×d=Dec(d)・BKi
と定義する。
Gadget Decompositionは、TRLWE暗号文dに対して||d-[v]・H||が最小値となる[v]を得る操作であった。
従って、[v]=Dec(d)と誤差(εa(X),εb(X))を用いて、
[v]・H=d+(εa(X),εb(X))と書ける。
その結果、BKi×d=Dec(d)・BKi
左半分は内積を計算し、右半分には[v]・H=d+(εa(X),εb(X))を代入すると、
C1は、Zjを何倍かして足したものなので、平文φs’(c1)の期待値は0となる。
また復号したφs’(c3)は、平文の絶対値の大きさをシステムパラメータで制約することができるので、この後の演算も含めて十分小さくなるように設定する。
【0032】
そうするとφs’(BKi×d)=φs’(si×d)となるが、siが0であっても1であっても計算結果は上記3つの暗号文c1、c2、c3の和になる。単純な比較でsiが0と1の何れであるかを判別することができない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
2つの平文μ0、μ1に対応するTRLWE暗号文d0、d1があるとして、d=d1-d0と代入して、最後にd0を加算すると、下記のようなCMux関数が完成する。
CMux(BKi,d0,d1)=BKi×(d1-d0)+d0=Dec(d1-d0)・BKi+d0
CMux関数は、siが0であると平文μ0の暗号文を復号することなく出力し、siが1であると平文μ1の暗号文を復号することなく出力する。
CMux関数は、平文μ0もしくは平文μ1の暗号文を計算することができるが、どちらを選択したかは分からない。
【0033】
TFHEの2値Gate Bootstrappingは、上記に説明した様々な情報を用いて行われる。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
2値Gate Bootstrappingは、以下に説明する3つのステップ、(1)BlindRotate、(2)SampleExtract、(3)キースイッチングから構成される。
【0034】
図4は、2値Gate Bootstrappingの動作イメージ図である。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図3の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
2値Gate Bootstrappingは、下記に説明する3つのステップによってTLWE暗号文同士の準同型演算結果が有する平文に対する誤差の削減を行う。
以下の説明で、特に説明をしない場合、平文とは、TLWE暗号文同士で演算した結果の平文同士の演算結果を意味するものとする。
図3の円周群{T}における0~0.25(1/4)、0.75(3/4)~1の区間の平文を0のTLWE暗号文に変換し、0.25(1/4)~0.75(3/4)の区間の平文を0.25(1/4)の暗号文に変換する。
この変換の際、平文に付加される誤差は±1/16の範囲のいずれかである。
【0035】
(1)BlindRotate
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
Gate Bootstrappingの最初のステップとしてBlindRotateが行われる。
BlindRotateは、TRLWE暗号文を作成する工程である。
BlindRotateでは、多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))から、X-φs(c’)を乗算したTRLWE暗号文を復号することなく得る。0は、0次の多項式0を示す。
ここでφs(c’)は、下記のLWE暗号文c’を復号関数にかけた平文である。
BlindRotateでは、上記した有限巡回群をなす、テストベクタとしての下記の多項式F(X)
F(X)=μXn-1+μXn-2+…μX+μ
ただし、μ=1/8
にXn/2を掛けて得た下記の多項式T(X)
T(X)=F(X)・Xn/2
を用意する。
【0036】
平文μ1を秘密鍵[s]で暗号化したTLWE暗号文cがあるとする。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
このTLWE暗号文c=([a],b)の各要素を2n倍して四捨五入したLWE暗号文c’=([a’],b’)を得る。
LWE暗号文c’=([a’],b’)を復号すると、μ1’=φs(c’)≒2n×φs(c)=2nμ1となる。nが大きくなるほど相対的に誤差は小さくなる。
多項式T(X)を平文とする自明なTRLWE暗号文(0,T(X))を用意して、
A0=X-b’×(0,T(X))=(0,X-b’×T(X))とする。0は、0次の多項式0を示す。この時、b’は整数であるため、累乗が自然に定義できる。
以降、上記に説明したBootstrapping KeyであるBKiを用いて、順番にAi=CMux(BKi,Ai-1,Xa’iAi-1)を計算する。ここでも、a’iが整数になっているため、Xの累乗が自然に定義できる。
【0037】
そうすると、siが0の時は、平文はそのまま変わらず、siが1の時は、Xa’iが順番に乗算されていく。
従って、
と繰り返すと、
となる。
ここで、
は、復号関数φs(c’)の符号を反転したものに等しいので、
となる。ここでφs’(An)は、多項式T(X)にX-1をμ1’回乗算した多項式の暗号文である。
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
従って、
ここで、
BlindRotateに係るTLWE暗号文cの平文μ1に対応して、多項式T(X)にXをかける回数μ1’(=2nμ1)に応じたユニークな値(n個の係数とその符号反転で最大2n個)が得られるので、一種のルックアップテーブル(Look UP Table)とみなすことが出来る。
【0038】
(2)SampleExtract
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
(1)のBlindRotateで得たTRLWE暗号文Anを復号して得られる平文多項式φs’(An)を見ると、下位の項から数えてn/2-φs(c’)個分の項は係数が-μとなり、負になった場合、逆に上の項から順に係数が-μとなる。
TRLWE暗号文Anを復号して得られる平文多項式φs’(An)の定数項だけを見ると、φs(c’)がn/2以上3n/2未満、すなわちφs(c)が1/2±1/4の場合、定数項はμとなる。それ以外、すなわちφs(c)が±1/4の場合、定数項は-μとなる。
SampleExtractは、(1)のBlindRotateで得たTRLWE暗号文Anから、これを復号することなく平文多項式φs’(An)の定数項の係数だけを取り出して、その結果、TLWE暗号文csを得るための処理である。
【0039】
TLWE暗号文csを得るための処理を説明する。
全てのTRLWE暗号文は、次数をnとして、
と多項式をおいて、(A(X),B(X))と表現することができる。
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
とおいて、
と展開することができる。
全てのTRLWE暗号文は、次数をnとして、
これを秘密鍵[s’]で復号したとき、秘密鍵の多項式を
【0040】
これに対して下記の演算を行い、
を得る。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
が得られる。
「多項式環の剰余環」であるので(Xn+1)で割った余りを求めると、
【0041】
さらに、
とおくと、
となり、
から、平文多項式の各項の係数が求まる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
が得られる。
とおくと、
のように、TLWE暗号の復号関数に変形することができる。
そのうち必要なのは定数項の係数であるので、j=0の場合の係数を取り出すと、
【0042】
つまり、(1)のBlindRotateで得たTRLWE暗号文An=(A(X),B(X))から、係数を
として取り出すと、元のTRLWE暗号文Anに対応する平文多項式の定数項と同じ値を平文とする、新しいTLWE暗号文([a”],b1)が得られた。この新しいTLWE暗号文がSampleExtractの出力であり、平文として-μ又はμの2種類を有する。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
得られたTLWE暗号文に対して、平文がμとなる自明な暗号文([0],μ)を加えたTLWE暗号文cs=([a”],b1)+([0],μ)を得る。
具体的には、テストベクタとしての多項式F(X)ではμ=1/8であるので、この段階では、-1/8、1/8の暗号文が得られている。
これに、平文がμ=1/8となる自明なTLWE暗号文([0],1/8)を加えると、
-1/8+1/8=0
1/8+1/8=1/4
から、0、1/4の2値のうちいずれかの値を平文として持つ新たなTLWE暗号文csが得られた。
【0043】
(3)キースイッチング
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
と、円周群{T}の要素、0から1の実数を二進数で表現したときの各桁にずらした値として暗号化する。秘密鍵は[s]である。「桁数」tはシステムパラメータである。
秘密鍵[s]で復号すると、
となる。これが「キースイッチングキー」である。
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
の形式で書くことができる。
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
([0],b)の項は自明な暗号文なので、復号するとbであり、TLWE暗号文cxを復号した結果を計算すると、
である。
s’iは、jに対して定数なのでくくりだして
とし、上記で固定小数に分解したときの式を代入する。
その結果、
となって鍵の切り替えが成功したことになる。
(2)のSampleExtractで得られたTLWE暗号文csは、秘密鍵[s]ではなく、秘密鍵[s']で暗号化されている
従って、TLWE暗号文csを復号することなく、TLWE暗号文csの鍵を秘密鍵[s]に差し替え、秘密鍵[s]で暗号化された状態に戻す必要がある。
そのためキースイッチングの手法を説明する。
TFHEで用いるTLWE暗号文の秘密鍵[s]はN次のベクトルであった。
これを用い、Bootstrapping Keyを作成したときのn次のベクトルの秘密鍵[s’]を暗号化する。
すなわち、
秘密鍵[s]で復号すると、
上記したように(2)で得られたTLWE暗号文cs=([a],b)は秘密鍵[s’]で暗号化された0又は1/4の値である。[a]の要素数は、秘密鍵[s’]と同じくn個である。
これを一つずつ、夫々tビットの固定小数に変換すると、
この段階で誤差が増えるが、システムパラメータで絶対値の最大値を制約することができる。
キースイッチング本体の処理として、以下のTLWE暗号文cxを計算する。
s’iは、jに対して定数なのでくくりだして
【0044】
ここで得られたTLWE暗号文cxは、Gate Bootstrappingの入力としたTLWE暗号文cと同じ秘密鍵[s]で暗号化されている。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
キースイッチングの処理を行うことにより、秘密鍵[s]で暗号化されたTLWE暗号文に戻っており、φs(c)が±1/4の範囲なら平文φs(cx)は0に、φs(c)が1/2±1/4の範囲なら、平文φs(cx)は1/4になっている。
以上の処理により、Gate Bootstrappingの結果として、0、1/4の2値のうちのいずれかであって誤差が±1/16以内のいずれかになるTLWE暗号文が得られた。
誤差の最大値は、入力となるTLWE暗号文cに依存せず、システムパラメータによって固定された値となる。
従って、誤差の最大値が入力となるTLWE暗号文と同じ±1/16以内のいずれかの値となるように、システムパラメータを設定する。
これにより、何度でもNAND演算ができるようになり、加算、乗算をはじめとしてあらゆる演算が可能となる。
【0045】
Gate Bootstrappingから出力されるTLWE暗号の「平文」に乗っている誤差は、TLWE暗号文の整数化で加わる誤差、CMuxで加わる誤差、キースイッチングで固定小数化した時の誤差等である。これらの誤差は全てシステムパラメータで制約でき、全てを考慮した誤差が±1/16となるようにシステムパラメータを調整することができる。
以上が、TFHEのGate Bootstrappingの処理である。
以上が、TFHEのGate Bootstrappingの処理である。
【0046】
上記したように、TFHEは0もしくは非0を平文として持ち、論理演算を行うBit-wise型の準同型暗号である。ただし図4で説明したように平文は円周群{T}に対応づけられた0~1の実数である。従って、円周群{T}を区切った区間を順番に整数と対応付けることにより、整数を平文として持つInteger-wise型の準同型暗号として応用することが出来る。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法で、スカラ除算又はスカラ剰余算が可能である。スカラ除算、スカラ剰余算は、Integer-wise型の暗号文を暗号文ではない実数で割ったときの商、剰余を求める演算である。スカラ除算又はスカラ剰余算が可能となることで、TFHEをInteger-wise型での四則演算が可能な準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
さらにスカラ除算又はスカラ剰余算の結果を用いて、準同型暗号の多倍長演算を実現することができる。
TFHEで用いるTLWE暗号文は円周群の平文に対して加法準同型であることが上記論文によって示されており、加算(減算)の演算ができることは自明である。
以下に説明する方法で、スカラ除算又はスカラ剰余算が可能である。スカラ除算、スカラ剰余算は、Integer-wise型の暗号文を暗号文ではない実数で割ったときの商、剰余を求める演算である。スカラ除算又はスカラ剰余算が可能となることで、TFHEをInteger-wise型での四則演算が可能な準同型暗号として利用することができる。Bit-wise型のTFHEによって1ビットずつ計算するよりも効率的に処理を行うことができる。
さらにスカラ除算又はスカラ剰余算の結果を用いて、準同型暗号の多倍長演算を実現することができる。
【0047】
図5は、Integer-wise型に適用したTFHEを説明する図である。
図5に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図5に例示するように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点については後に説明する。
図5に示すように、円周群{T}に対応づけた0~1の値域をt個に分割する。TLWE暗号文において、平文が取り得る値は、値域0~1を分割したt個の値-(t/2)から(t/2)-1であり、(t/2)-1が1つのTLWE暗号文に記録できる整数の最大値である。
図5に例示するように、t=10として0~1の値域を10個に分割する場合に、暗号文は-5、-4、-3、-2、-1、0、1、2、3、4の整数を表現することが出来る。
この場合、これらの整数値は、円周群{T}の0~1の値域をt=10個に区切った-4/t、-3/t、-2/t、-1/t、-0/t、4/t、3/t、2/t、1/t、0/tの区間に割り当てられている。
tの値を大きくして円周群{T}を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできるが、細かく分割しすぎると平文に付加する誤差範囲が小さくなりすぎ、暗号の強度が低下するという問題がある。この点については後に説明する。
【0048】
上記したように本実施形態では、準同型暗号に対するスカラ除算・剰余算を実現し、さらに、スカラ除算・スカラ剰余算の結果を用いて準同型暗号の多倍長演算を実現する。多倍長演算は、1つの数を1つ以上の演算単位に分割して計算を行う。多倍長演算によって、暗号の強度を損なうことなく大きな数値を扱うことができるようになる。
スカラ除算・スカラ剰余算を実現するために、暗号処理装置1は、上記論文で提示されるGate Bootstrappingに改良を行う。
暗号処理装置1は、BlindRotateに入力するTRLWE暗号文(テストベクタとしての多項式F(X))を、夫々階段関数、ノコギリ波関数の結果を係数とする多項式とする。
暗号処理装置1は、このようなTRLWE暗号文を除数から算出し、このようなTRLWE暗号文を用いてBlindRotateを行うことで、スカラ除算・スカラ剰余算を実現する。
多倍長演算の中身や、それを用いて行う暗号などの処理は一般的に知られているものがそのまま使える。
スカラ除算・スカラ剰余算を実現するために、暗号処理装置1は、上記論文で提示されるGate Bootstrappingに改良を行う。
暗号処理装置1は、BlindRotateに入力するTRLWE暗号文(テストベクタとしての多項式F(X))を、夫々階段関数、ノコギリ波関数の結果を係数とする多項式とする。
暗号処理装置1は、このようなTRLWE暗号文を除数から算出し、このようなTRLWE暗号文を用いてBlindRotateを行うことで、スカラ除算・スカラ剰余算を実現する。
多倍長演算の中身や、それを用いて行う暗号などの処理は一般的に知られているものがそのまま使える。
【0049】
図2を用いて、本実施形態を詳細に説明する。
[スカラ除算・スカラ剰余算]
まず、図2(a)に対応して、多倍長演算に用いるスカラ除算、スカラ剰余算の方法を説明する。
図5で説明したように、暗号処理装置1は円周群{T}の値域0~1を分割する個数tを設定する。(t/2)-1が、1つのTLWE暗号文に記録できる整数の最大値となる。
暗号処理装置1は、TFHE暗号のシステムパラメータを設定する。手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nはtの倍数が好ましい。またGate Bootstrapping後に得られる暗号文において、平文に付加される誤差の範囲が±1/(2t)未満となるように、システムパラメータを設定する。
[スカラ除算・スカラ剰余算]
まず、図2(a)に対応して、多倍長演算に用いるスカラ除算、スカラ剰余算の方法を説明する。
図5で説明したように、暗号処理装置1は円周群{T}の値域0~1を分割する個数tを設定する。(t/2)-1が、1つのTLWE暗号文に記録できる整数の最大値となる。
暗号処理装置1は、TFHE暗号のシステムパラメータを設定する。手順は上記論文と変わらないが、TRLWE暗号の多項式(テストベクタとしての多項式F(X))の次数nはtの倍数が好ましい。またGate Bootstrapping後に得られる暗号文において、平文に付加される誤差の範囲が±1/(2t)未満となるように、システムパラメータを設定する。
【0050】
被除数(割られる数)のTLWE暗号文cxがあるとする。
TLWE暗号文cxは、秘密鍵がなければ知ることができない、整数x(被除数)に対応する実数
を平文として有する。1/(2t)は、図5の円周群{T}を分割したスライスの中心に平文を位置させるためのオフセットである。
本実施形態では、TLWE暗号文cxを実数yで除算あるいは剰余算する。
TLWE暗号文cxは、秘密鍵がなければ知ることができない、整数x(被除数)に対応する実数
を平文として有する。1/(2t)は、図5の円周群{T}を分割したスライスの中心に平文を位置させるためのオフセットである。
本実施形態では、TLWE暗号文cxを実数yで除算あるいは剰余算する。
【0051】
暗号化された平文の値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micciancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。同論文では、テストベクタ多項式として、
を用いることを提案している。
を用いることを提案している。
【0052】
暗号処理装置1は、以下のテストベクタ多項T1(X)、T2(X)を用いる。
テストベクタ多項式T1は、除算用のテストベクタ多項式である。
テストベクタ多項式T2は、剰余算用のテストベクタ多項式である。
2つのテストベクタ多項式に共通する
は、円周群をtで分割した1区間に対応する。
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、割られる数(被除数)の暗号文を平文y(除数)で割った除算を得る関数(t/y)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、平文yを夫々Gate Bootstrappingの入力とし、テストベクタ多項式T1を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、除算結果(商)に対応するx/yを平文とするTLWE暗号文を得ることが出来る。
テストベクタ多項式T2(X)は、上記で説明した一変数関数を演算する方法を適用し、割られる数(被除数)の暗号文を平文y(除数)で割った余り(剰余)を得る関数(t mod y)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、平文yを夫々Gate Bootstrappingの入力とし、テストベクタ多項式T2を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、剰余算の結果(剰余)に対応するt mod yを平文とするTLWE暗号文を得ることが出来る。
テストベクタ多項式T1は、除算用のテストベクタ多項式である。
テストベクタ多項式T2は、剰余算用のテストベクタ多項式である。
2つのテストベクタ多項式に共通する
は、円周群をtで分割した1区間に対応する。
テストベクタ多項式T1(X)は、上記で説明した一変数関数を演算する方法を適用し、割られる数(被除数)の暗号文を平文y(除数)で割った除算を得る関数(t/y)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、平文yを夫々Gate Bootstrappingの入力とし、テストベクタ多項式T1を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、除算結果(商)に対応するx/yを平文とするTLWE暗号文を得ることが出来る。
テストベクタ多項式T2(X)は、上記で説明した一変数関数を演算する方法を適用し、割られる数(被除数)の暗号文を平文y(除数)で割った余り(剰余)を得る関数(t mod y)の結果を係数として設定している。
暗号処理装置1は、TLWE暗号文cx、平文yを夫々Gate Bootstrappingの入力とし、テストベクタ多項式T2を用いてBlindRotateを行い、さらにSampleExtract、キースイッチングを行うことで、剰余算の結果(剰余)に対応するt mod yを平文とするTLWE暗号文を得ることが出来る。
【0053】
まず、暗号処理装置1は、上記テストベクタ多項式T1(X)、T2(X)を夫々平文として有する自明な暗号文(0,T1(X))及び(0,T2(X))を作成する。
暗号処理装置1(第1演算部12)は、TLWE暗号文cxの各係数を2n倍して四捨五入し、TLWE暗号文cx’を得る。TLWE暗号文cx’は、平文として、
を有する。
暗号処理装置1(第1Gate Bootstrapping部15)は、TLWE暗号文cx’を入力として、テストベクタ多項式T1(X)を用いたBlindRotateを行う。BlindRotateの結果得られる平文多項式の定数項の係数は
である。εは、BlindRotateによって発生する誤差である。
また暗号処理装置1(第2Gate Bootstrapping部16)は、TLWE暗号文cx’を入力として、テストベクタ多項式T2(X)を用いたBlindRotateを行う。
BlindRotateの結果得られる平文多項式の定数項の係数は、
である。ここでεは、BlindRotateによって発生する誤差である。
暗号処理装置1(第1演算部12)は、TLWE暗号文cxの各係数を2n倍して四捨五入し、TLWE暗号文cx’を得る。TLWE暗号文cx’は、平文として、
を有する。
暗号処理装置1(第1Gate Bootstrapping部15)は、TLWE暗号文cx’を入力として、テストベクタ多項式T1(X)を用いたBlindRotateを行う。BlindRotateの結果得られる平文多項式の定数項の係数は
である。εは、BlindRotateによって発生する誤差である。
また暗号処理装置1(第2Gate Bootstrapping部16)は、TLWE暗号文cx’を入力として、テストベクタ多項式T2(X)を用いたBlindRotateを行う。
BlindRotateの結果得られる平文多項式の定数項の係数は、
である。ここでεは、BlindRotateによって発生する誤差である。
【0054】
暗号処理装置1は、夫々のBlindRotateの結果得られるTRLWE暗号文に対して、通常のGate Bootstrappingと同様に、SampleExtractとキースイッチングを行う。その結果、暗号処理装置1は、除算の演算結果(商)に対応するTLWE暗号文cqと、剰余算の演算結果(剰余)に対応するTLWE暗号文crを得る。
TLWE暗号文cqは、平文として、テストベクタ多項式T1(X)を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する
を有する。
TLWE暗号文crは、平文として、テストベクタ多項式T2(X)を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する
を有する。
以上説明した処理が、暗号処理装置1が行うことが出来るスカラ除算、スカラ剰余算の処理である。
TLWE暗号文cqは、平文として、テストベクタ多項式T1(X)を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する
を有する。
TLWE暗号文crは、平文として、テストベクタ多項式T2(X)を用いたBlindRotateの結果得られた平文多項式の定数項の係数に対応する
を有する。
以上説明した処理が、暗号処理装置1が行うことが出来るスカラ除算、スカラ剰余算の処理である。
【0055】
[多倍長演算]
暗号処理装置1は、上記に説明したスカラ除算、スカラ剰余算を用いて大きな平文の数(多倍長整数BIG INTEGER)について多倍長演算を行う。
図2(b)に対応して、暗号処理装置1が行う多倍長演算を説明する。
暗号処理装置1は、暗号としての強度を十分に維持できる程度に小さいt(図5で説明した円周群の分割数)を、適当な自然数t’を用いてt≧t’2とする。
t’は、2のべき乗であると平文との換算をコンピュータで計算しやすいが他の数でも構わない。
また暗号処理装置1は、多倍長のフィールド数(多倍長整数を分割するビット単位、区間)として適当な自然数uを定める。uは1つの平文(多倍長整数)を分割するTLWE暗号文の数である。
u個のフィールド又はフィールドt’0、t’1、t’2、・・・t’u-1毎に多倍長整数を分割する。
暗号処理装置1は、上記に説明したスカラ除算、スカラ剰余算を用いて大きな平文の数(多倍長整数BIG INTEGER)について多倍長演算を行う。
図2(b)に対応して、暗号処理装置1が行う多倍長演算を説明する。
暗号処理装置1は、暗号としての強度を十分に維持できる程度に小さいt(図5で説明した円周群の分割数)を、適当な自然数t’を用いてt≧t’2とする。
t’は、2のべき乗であると平文との換算をコンピュータで計算しやすいが他の数でも構わない。
また暗号処理装置1は、多倍長のフィールド数(多倍長整数を分割するビット単位、区間)として適当な自然数uを定める。uは1つの平文(多倍長整数)を分割するTLWE暗号文の数である。
u個のフィールド又はフィールドt’0、t’1、t’2、・・・t’u-1毎に多倍長整数を分割する。
【0056】
暗号処理装置1は、加法、乗法で共通して、平文Xを、
の形でu個のXiに分割する。
暗号処理装置1は、Xiを夫々暗号化し、u個のTLWE暗号文cai(0≦i≦u-1)を作成する。
暗号文ca0が多倍長整数を分割したフィールドt’0の暗号文であり、暗号文ca1が多倍長整数を分割したフィールドt’1の暗号文であり、暗号文ca2が多倍長整数を分割したフィールドt’2の暗号文であり、暗号文cau-1が多倍長整数を分割したフィールドt’u-1の暗号文である。
なお、caiを復号して得たXiを上記の式で計算すれば、元の平文Xを得ることが出来る。
暗号処理装置1は、もう1つの平文Yを、平文Xと同様に、
の形でu個のYiに分割する。暗号処理装置1は、Yiを夫々暗号化し、u個のTLWE暗号文cbi(0≦i≦u-1)を作成する。
上記と同様に、暗号文cb0が多倍長整数を分割したフィールドt’0の暗号文であり、暗号文cb1が多倍長整数を分割したフィールドt’1の暗号文であり、暗号文cb2が多倍長整数を分割したフィールドt’2の暗号文であり、暗号文cbu-1が多倍長整数を分割したフィールドt’u-1の暗号文である。
多倍長整数X、Yを分割して暗号化することで、TLWE暗号文cai、TLWE暗号文cbiがとる平文の値を小さくし、円周群の分割数を小さくすることが出来る。これにより、暗号処理装置1は、暗号文のセキュリティを保ったまま多倍長の四則演算を行うことが出来る。
の形でu個のXiに分割する。
暗号処理装置1は、Xiを夫々暗号化し、u個のTLWE暗号文cai(0≦i≦u-1)を作成する。
暗号文ca0が多倍長整数を分割したフィールドt’0の暗号文であり、暗号文ca1が多倍長整数を分割したフィールドt’1の暗号文であり、暗号文ca2が多倍長整数を分割したフィールドt’2の暗号文であり、暗号文cau-1が多倍長整数を分割したフィールドt’u-1の暗号文である。
なお、caiを復号して得たXiを上記の式で計算すれば、元の平文Xを得ることが出来る。
暗号処理装置1は、もう1つの平文Yを、平文Xと同様に、
の形でu個のYiに分割する。暗号処理装置1は、Yiを夫々暗号化し、u個のTLWE暗号文cbi(0≦i≦u-1)を作成する。
上記と同様に、暗号文cb0が多倍長整数を分割したフィールドt’0の暗号文であり、暗号文cb1が多倍長整数を分割したフィールドt’1の暗号文であり、暗号文cb2が多倍長整数を分割したフィールドt’2の暗号文であり、暗号文cbu-1が多倍長整数を分割したフィールドt’u-1の暗号文である。
多倍長整数X、Yを分割して暗号化することで、TLWE暗号文cai、TLWE暗号文cbiがとる平文の値を小さくし、円周群の分割数を小さくすることが出来る。これにより、暗号処理装置1は、暗号文のセキュリティを保ったまま多倍長の四則演算を行うことが出来る。
【0057】
以下に説明するのは、多倍長整数X、Yの和の演算(X+Y)に対応する暗号文同士の多倍長演算(加算)である。
暗号処理装置1は、平文X+平文Yに対応する暗号文同士の多倍長演算は、以下の手順で実行する。
初期化として、i=0とする。
(1)cdi-1を、0を平文とするTLWE暗号文とする。
(2)caiとcbiとcdi-1を暗号化したまま加算(準同型加算)して、cciを得る(第2演算部13)。図2(a)でいえば、暗号文cciが暗号文cxに相当する。
(3)cciを、スカラ除算・スカラ剰余算によりt’で割った商の暗号文cdi及び剰余の暗号文cmiを得る(スカラ除算部、スカラ剰余算部)。図2(a)でいえば、暗号文cdiが暗号文cq、暗号文cmiが暗号文crに夫々相当する。
t’iにおける準同型加算に対してスカラ除算して得られた商の暗号文cdiは、t’iの演算によるt’i+1に対する繰り上がりである。t’i+1のためのcai+1とcbi+1の準同型演算において暗号文cdiも加算されている。
暗号処理装置1は、iを1増やし、(1)~(3)の処理をu回繰り返す。u回繰り返したあとのcmiの列が、平文X+平文Yに対応する多倍長暗号文cmとなる。
暗号処理装置1は、平文X+平文Yに対応する暗号文同士の多倍長演算は、以下の手順で実行する。
初期化として、i=0とする。
(1)cdi-1を、0を平文とするTLWE暗号文とする。
(2)caiとcbiとcdi-1を暗号化したまま加算(準同型加算)して、cciを得る(第2演算部13)。図2(a)でいえば、暗号文cciが暗号文cxに相当する。
(3)cciを、スカラ除算・スカラ剰余算によりt’で割った商の暗号文cdi及び剰余の暗号文cmiを得る(スカラ除算部、スカラ剰余算部)。図2(a)でいえば、暗号文cdiが暗号文cq、暗号文cmiが暗号文crに夫々相当する。
t’iにおける準同型加算に対してスカラ除算して得られた商の暗号文cdiは、t’iの演算によるt’i+1に対する繰り上がりである。t’i+1のためのcai+1とcbi+1の準同型演算において暗号文cdiも加算されている。
暗号処理装置1は、iを1増やし、(1)~(3)の処理をu回繰り返す。u回繰り返したあとのcmiの列が、平文X+平文Yに対応する多倍長暗号文cmとなる。
【0058】
これをふまえ、平文Xと平文Yの暗号文同士の加算を具体的に説明する。
平文Xをフィールドt’i毎にu個のXiに分割して暗号化しu個のTLWE暗号文caiを作成すること、平文Yをフィールドt’i毎にu個のYiに分割して暗号化しu個のTLWE暗号文cbiを作成することは上記と同じである。
説明の簡単化のため、平文Xを分割したフィールドt’0の暗号文をa、フィールドt’1の暗号文をbとし、平文Yを分割したフィールドt’0の暗号文をc、フィールドt’1の暗号文をdとする。
平文Xをフィールドt’i毎にu個のXiに分割して暗号化しu個のTLWE暗号文caiを作成すること、平文Yをフィールドt’i毎にu個のYiに分割して暗号化しu個のTLWE暗号文cbiを作成することは上記と同じである。
説明の簡単化のため、平文Xを分割したフィールドt’0の暗号文をa、フィールドt’1の暗号文をbとし、平文Yを分割したフィールドt’0の暗号文をc、フィールドt’1の暗号文をdとする。
【0059】
暗号処理装置1は、平文Xと平文Yのフィールドt’0の暗号文同士でb+dの演算を行う。
暗号処理装置1は、まず、b+dの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、加算結果である暗号文の、区間(あるいはケタ)t’0の値である。
一方、スカラ除算の結果得られる商はt’1に繰り上げられる。
暗号処理装置1は、a+c+繰り上げの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、加算結果である暗号文の区間(あるいはケタ)t’1の値である。
一方、スカラ除算の結果得られる商はt’2に繰り上げられる。
t’iがより多い場合には、さらにフィールドt’2の暗号文の和に繰り上げを加算した結果に対してスカラ除算とスカラ剰余算を行うことを繰り返していく。
繰り上げを含めて、t’0、t’1・・・に夫々該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置1は多倍長演算を行うことが出来る。
暗号処理装置1は、まず、b+dの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、加算結果である暗号文の、区間(あるいはケタ)t’0の値である。
一方、スカラ除算の結果得られる商はt’1に繰り上げられる。
暗号処理装置1は、a+c+繰り上げの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、加算結果である暗号文の区間(あるいはケタ)t’1の値である。
一方、スカラ除算の結果得られる商はt’2に繰り上げられる。
t’iがより多い場合には、さらにフィールドt’2の暗号文の和に繰り上げを加算した結果に対してスカラ除算とスカラ剰余算を行うことを繰り返していく。
繰り上げを含めて、t’0、t’1・・・に夫々該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置1は多倍長演算を行うことが出来る。
【0060】
平文X-Yに対応する暗号文同士の多倍長演算も、(2)の準同型加算に代えて準同型減算(cai-cbi-cdi-1)を行うことで計算できる。
この場合、t’iにおける準同型減算に対してスカラ除算して得られた商の暗号文cdiは、t’iの演算によるt’i+1からの繰り下がりである。t’i+1のためのcai+1とcbi+1の準同型演算において暗号文cdiも減算されている。
平文X×平文Yに対応する暗号文同士の多倍長演算も、一般的な多倍長乗算と同様に、ひっ算や、カラツバ法、FFTを用いた方法などで計算できる。平文X÷平文Yに対応する暗号文同士の多倍長演算も公知のアルゴリズムが利用できる。
平文X+平文Yの最大公約数GCD(X,Y)もユークリッドの互除法など、公知のアルゴリズムが利用できる。
適当な素数pに対するaの逆元も、拡張ユークリッドの互除法や、フェルマーの小定理など、公知のアルゴリズムで計算できる。
以上説明をしたように、準同型暗号の多倍長整数は通常の整数と同様の扱いが可能である。またTLWE暗号文の個数uを増やすことで、一つのTLWE暗号文が有する平文の数値を小さくして円周群の分割数tを小さくしつつ、演算全体としては扱える平文の数値を小さくせずともよい。従って、本実施形態は、暗号の強度を犠牲することもなく大きな数を扱うことが出来る。
この場合、t’iにおける準同型減算に対してスカラ除算して得られた商の暗号文cdiは、t’iの演算によるt’i+1からの繰り下がりである。t’i+1のためのcai+1とcbi+1の準同型演算において暗号文cdiも減算されている。
平文X×平文Yに対応する暗号文同士の多倍長演算も、一般的な多倍長乗算と同様に、ひっ算や、カラツバ法、FFTを用いた方法などで計算できる。平文X÷平文Yに対応する暗号文同士の多倍長演算も公知のアルゴリズムが利用できる。
平文X+平文Yの最大公約数GCD(X,Y)もユークリッドの互除法など、公知のアルゴリズムが利用できる。
適当な素数pに対するaの逆元も、拡張ユークリッドの互除法や、フェルマーの小定理など、公知のアルゴリズムで計算できる。
以上説明をしたように、準同型暗号の多倍長整数は通常の整数と同様の扱いが可能である。またTLWE暗号文の個数uを増やすことで、一つのTLWE暗号文が有する平文の数値を小さくして円周群の分割数tを小さくしつつ、演算全体としては扱える平文の数値を小さくせずともよい。従って、本実施形態は、暗号の強度を犠牲することもなく大きな数を扱うことが出来る。
【0061】
図6は、暗号文同士の多倍長乗算をひっ算で実現する仕組みを説明する図である。
上記と同様に、平文Xを分割したフィールドt’0の暗号文をa、フィールドt’1の暗号文をbとし、平文Yを分割したフィールドt’0の暗号文をc、フィールドt’1の暗号文をdとして説明する。
暗号処理装置1は、平文Xと平文Yのフィールドt’0の暗号文同士でd×bの演算を行う。
暗号処理装置1は、まず、d×bの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’0の値である。
スカラ除算の結果得られる商はt’1に繰り上げられる。
暗号処理装置1は、d×aの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’1の値である。
スカラ除算の結果得られる商は、t’2に繰り上げられる。
暗号処理装置1は、c×bの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’1の値である。
スカラ除算の結果得られる商は、t’2に繰り上げられる。
暗号処理装置1は、c×aの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’2の値である。
スカラ除算の結果得られる商は、t’3に繰り上げられる。
繰り上げを含めて、t’0、t’1、t’2、t’3・・・に該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置1は多倍長演算(乗算)を行うことが出来る。
上記と同様に、平文Xを分割したフィールドt’0の暗号文をa、フィールドt’1の暗号文をbとし、平文Yを分割したフィールドt’0の暗号文をc、フィールドt’1の暗号文をdとして説明する。
暗号処理装置1は、平文Xと平文Yのフィールドt’0の暗号文同士でd×bの演算を行う。
暗号処理装置1は、まず、d×bの演算結果に対してスカラ除算部によるスカラ除算とスカラ剰余算部によるスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’0の値である。
スカラ除算の結果得られる商はt’1に繰り上げられる。
暗号処理装置1は、d×aの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’1の値である。
スカラ除算の結果得られる商は、t’2に繰り上げられる。
暗号処理装置1は、c×bの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’1の値である。
スカラ除算の結果得られる商は、t’2に繰り上げられる。
暗号処理装置1は、c×aの演算結果に対してスカラ除算とスカラ剰余算を行う。
スカラ剰余算の結果得られる剰余は、乗算結果である暗号文のフィールドt’2の値である。
スカラ除算の結果得られる商は、t’3に繰り上げられる。
繰り上げを含めて、t’0、t’1、t’2、t’3・・・に該当する値を全て加算することにより各区間の値を得ることができ、暗号処理装置1は多倍長演算(乗算)を行うことが出来る。
【0062】
ところで、Integer-wise型のTFHEを開示している非特許文献2は、本実施形態で用いているスカラ除算を行うためのテストベクタと同様のテストベクタを記載している。
しかしながら、非特許文献2には、スカラ剰余算を行うためのテストベクタは開示されていないため、非特許文献2に開示の方法で、上記に説明したスカラ剰余算を用いた多倍長演算を行うことは出来ない。
非特許文献2では4ビット整数で実験を行っているが、非特許文献2に開示されている構成を用いてスカラ剰余算を用いずに大きな数(128ビットなど)の演算をするには、円周群の分割数を増やすほかない。
非特許文献2では、円周群の分割数を大きくして一つの暗号文で表現し、これらの暗号文同士で演算を行うことになる。
しかしながら、下記にも説明しているが、円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。TFHEで用いるTLWE暗号文を含むLWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
それに対して、暗号処理装置1は、加法(加算、減算)と、乗算の多倍長演算を、夫々剰余演算を用いた一桁ずつの足し算と引き算と、一桁ずつの掛け算と、にすることが出来る。すなわち、本実施形態の暗号処理装置1は、多倍長整数を分割して暗号化した暗号文に対し、剰余演算を利用して多倍長演算を行う。
従って、暗号処理装置1は、円周群の分割数を増やさずに暗号文のセキュリティ強度を維持しながら、TFHEで大きな数の演算を行うことが出来る。
本実施形態のように剰余演算を用いて、円周群の分割数を増やさずにセキュリティ強度を維持した多倍長演算を構成することは、非特許文献2には記載されていない。
しかしながら、非特許文献2には、スカラ剰余算を行うためのテストベクタは開示されていないため、非特許文献2に開示の方法で、上記に説明したスカラ剰余算を用いた多倍長演算を行うことは出来ない。
非特許文献2では4ビット整数で実験を行っているが、非特許文献2に開示されている構成を用いてスカラ剰余算を用いずに大きな数(128ビットなど)の演算をするには、円周群の分割数を増やすほかない。
非特許文献2では、円周群の分割数を大きくして一つの暗号文で表現し、これらの暗号文同士で演算を行うことになる。
しかしながら、下記にも説明しているが、円周群の分割数を増やすと平文に付加する許容誤差が小さくなり、暗号文のセキュリティが犠牲になる。TFHEで用いるTLWE暗号文を含むLWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
それに対して、暗号処理装置1は、加法(加算、減算)と、乗算の多倍長演算を、夫々剰余演算を用いた一桁ずつの足し算と引き算と、一桁ずつの掛け算と、にすることが出来る。すなわち、本実施形態の暗号処理装置1は、多倍長整数を分割して暗号化した暗号文に対し、剰余演算を利用して多倍長演算を行う。
従って、暗号処理装置1は、円周群の分割数を増やさずに暗号文のセキュリティ強度を維持しながら、TFHEで大きな数の演算を行うことが出来る。
本実施形態のように剰余演算を用いて、円周群の分割数を増やさずにセキュリティ強度を維持した多倍長演算を構成することは、非特許文献2には記載されていない。
【0063】
図7は、暗号処理装置が実行するスカラ除算処理の流れを示すフローチャートである。
暗号処理装置1(第1演算部12)は、ステップS101において、割られる数xの暗号文cxの各係数を2n倍して、暗号文cx’を得る。
暗号処理装置1(第1Bootstrapping部15)は、暗号文cx’を入力とするGate Bootstrappingを行うことによって除算を行う。
暗号処理装置1は、ステップS102において、暗号文cx’とテストベクタ多項式T1(X)を用いてBlindRotateを行う。
暗号処理装置1は、ステップS103において、SampleExtractを行う。
暗号処理装置1は、ステップS104において、キースイッチングを行い、得られた暗号文を除算結果として出力する。
暗号処理装置1(第1演算部12)は、ステップS101において、割られる数xの暗号文cxの各係数を2n倍して、暗号文cx’を得る。
暗号処理装置1(第1Bootstrapping部15)は、暗号文cx’を入力とするGate Bootstrappingを行うことによって除算を行う。
暗号処理装置1は、ステップS102において、暗号文cx’とテストベクタ多項式T1(X)を用いてBlindRotateを行う。
暗号処理装置1は、ステップS103において、SampleExtractを行う。
暗号処理装置1は、ステップS104において、キースイッチングを行い、得られた暗号文を除算結果として出力する。
【0064】
図8は、暗号処理装置が実行するスカラ剰余算処理の流れを示すフローチャートである。
暗号処理装置1(第1演算部12)は、ステップS111において、割られる数xの暗号文cxの各係数を2n倍して、暗号文cx’を得る。
暗号処理装置1(第2Bootstrapping部16)は、暗号文cx’を入力とするGate Bootstrappingを行うことによって剰余算を行う。
暗号処理装置1は、ステップS112において、暗号文cx’とテストベクタ多項式T(X)を用いてBlindRotateを行う。
暗号処理装置1は、ステップS113において、SampleExtractを行う。
暗号処理装置1は、ステップS114において、キースイッチングを行い、得られた暗号文を剰余算結果として出力する。
暗号処理装置1(第1演算部12)は、ステップS111において、割られる数xの暗号文cxの各係数を2n倍して、暗号文cx’を得る。
暗号処理装置1(第2Bootstrapping部16)は、暗号文cx’を入力とするGate Bootstrappingを行うことによって剰余算を行う。
暗号処理装置1は、ステップS112において、暗号文cx’とテストベクタ多項式T(X)を用いてBlindRotateを行う。
暗号処理装置1は、ステップS113において、SampleExtractを行う。
暗号処理装置1は、ステップS114において、キースイッチングを行い、得られた暗号文を剰余算結果として出力する。
【0065】
図9は、暗号処理装置が実行する多倍長演算処理の流れを示すフローチャートである。
暗号処理装置1(第2演算部13)は、ステップS201において、初期化として、変数iに0を代入する。
暗号処理装置1(第2演算部13)は、ステップS202において、caiとcbiとcdi-1を準同型加算して、cciを得る。
暗号処理装置1(第1演算部12、第1Bootstrapping部15)は、ステップS203において、図7で説明した方法を用いてcciを入力としたスカラ除算を行い、暗号文cdiを得る。
暗号処理装置1(第1演算部12、第2Bootstrapping部16)は、ステップS204において、図8で説明した方法を用いてcciを入力としたスカラ剰余算を行い、暗号文cmiを得る。
暗号処理装置1は、ステップS205において、iがuに達したか否かを判定する。
iがuに達していないと判定した場合(ステップS205でNo)、暗号処理装置1は、ステップS206において、iの値を1増やし、ステップS202~ステップS204の処理を繰り返す。
iがuに達したと判定した場合(ステップS205でYes)、暗号処理装置1は、このときまで得られたcmの列を多倍長演算結果として出力する。以上の処理によって、Integer-wise型のTLWE暗号文同士の多倍長演算(加算)を実行することが出来た。
暗号処理装置1(第2演算部13)は、ステップS201において、初期化として、変数iに0を代入する。
暗号処理装置1(第2演算部13)は、ステップS202において、caiとcbiとcdi-1を準同型加算して、cciを得る。
暗号処理装置1(第1演算部12、第1Bootstrapping部15)は、ステップS203において、図7で説明した方法を用いてcciを入力としたスカラ除算を行い、暗号文cdiを得る。
暗号処理装置1(第1演算部12、第2Bootstrapping部16)は、ステップS204において、図8で説明した方法を用いてcciを入力としたスカラ剰余算を行い、暗号文cmiを得る。
暗号処理装置1は、ステップS205において、iがuに達したか否かを判定する。
iがuに達していないと判定した場合(ステップS205でNo)、暗号処理装置1は、ステップS206において、iの値を1増やし、ステップS202~ステップS204の処理を繰り返す。
iがuに達したと判定した場合(ステップS205でYes)、暗号処理装置1は、このときまで得られたcmの列を多倍長演算結果として出力する。以上の処理によって、Integer-wise型のTLWE暗号文同士の多倍長演算(加算)を実行することが出来た。
【0066】
[暗号文同士の準同型乗算について]
下記に説明するように、暗号処理装置1は(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを用いて、整数の暗号文同士の準同型乗算を行う。
(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを説明する。
(1)バイナリ乗算部による整数の暗号文cyと二進数の暗号文czとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
暗号文czは、平文が0のときに二進数のシンボル1となり、平文が1/2のときに二進数のシンボル0となる。
下記では、平文として整数0又は整数t/2を有する暗号文に暗号文czを対応付けて説明する。tは偶数である。
暗号文czの平文0を整数0に対応づけ、暗号文czの平文1/2を下記の整数t/2に対応づける。
平文が整数0のときシンボル1であり、平文が整数t/2のときシンボル0である暗号文czとして暗号文czを説明する。
整数の暗号文cyと二進数の暗号文czの乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micziancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
を設定する。
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
を設定する。
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文czと、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文czがt/2(暗号文czの平文0に対応、シンボル0)の暗号文である場合、cz+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文czが0(暗号文czの平文1/tに対応、シンボル1)の暗号文である場合、cz+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyの平文と同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文czが0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文czがt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文czが0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文czがt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文czとの乗算を行うことが出来る。
なお、上記したように暗号文czで利用する円周群上の値が異なるため、Gate Bootstrappingで得られた値を2t倍することにより調整を行う必要がある。ここで2tは整数であるため、円周群上で乗算が定義されている。
下記に説明するように、暗号処理装置1は(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを用いて、整数の暗号文同士の準同型乗算を行う。
(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストを説明する。
(1)バイナリ乗算部による整数の暗号文cyと二進数の暗号文czとの乗算は、例えば以下のように行うことが出来る。
図5に示したように本実施形態では、円周群{T}に対応づけた0~1の値域をt個に分割しており、暗号文cyは0~(t/2)-1の暗号文である。
暗号文czは、平文が0のときに二進数のシンボル1となり、平文が1/2のときに二進数のシンボル0となる。
下記では、平文として整数0又は整数t/2を有する暗号文に暗号文czを対応付けて説明する。tは偶数である。
暗号文czの平文0を整数0に対応づけ、暗号文czの平文1/2を下記の整数t/2に対応づける。
平文が整数0のときシンボル1であり、平文が整数t/2のときシンボル0である暗号文czとして暗号文czを説明する。
整数の暗号文cyと二進数の暗号文czの乗算を行うために、Gate Bootstrappingの要素として、2つの一変数関数FidとFhalfを用いる。
暗号化された整数値に対する一変数関数を演算するには、上記論文(非特許文献1)のGate Bootstrappingを拡張した手法を用いることが出来る。この手法は、論文「Bootstrapping in FHEW-like Cryptosystems, Daniele Micziancio and Yuriy Polyakov Duality Technologies February 23,2020」に記載されている。開示されている手法では、テストベクタの係数を一定の定数μにせず関数の結果を設定することで、TLWE暗号文の値によって異なる結果を得る。
一変数関数Fidは、整数0~(t/2)-1の暗号文cyの入力に対して、同じ整数0~(t/2)-1の暗号文を出力する。
BlindRotateと同時に一変数関数fidを実行するためのテストベクタTid(X)は、0次からn-1次の各次数の係数として、
一変数関数fhalfは、整数0~(t/2)-1の暗号文cyの入力に対して、平文整数の値が偶数であれば、cy/2を算出し、それ以外では-(cy+1)/2-((t/2)-1)/2を算出する関数である。
BlindRotateと同時に一変数関数fhalfを実行するためのテストベクタThalf(X)は、0次からn-1次の各次数の係数として、
まず暗号処理装置1は、二値の暗号文であるTLWE暗号文czと、整数の暗号文であるTLWE暗号文cyと、の準同型演算を行う。
暗号処理装置1は、準同型演算の結果を入力として、上記テストベクタ多項式Tid(X)を用いてGate Bootstrappingを行い、一時暗号文ctmpを得る。
TLWE暗号文czがt/2(暗号文czの平文0に対応、シンボル0)の暗号文である場合、cz+cyの結果はy/t+1/2の暗号文であり、TLWE暗号文cyの平文は、原点に対して対称な位置に回転する。テストベクタ多項式Tid(X)を用いたGate Bootstrappingのあとの暗号文ctmpの平文は、左右対称の位置に移動する。暗号文ctmpは暗号文cyの符号を反転させた暗号文である。
TLWE暗号文czが0(暗号文czの平文1/tに対応、シンボル1)の暗号文である場合、cz+cyの結果はy/tの暗号文であり、Bootstrappingのあとの暗号文ctmpは暗号文cyの平文と同じ平文のままである。
そこで暗号処理装置1は暗号文cy+暗号文ctmpの準同型演算を行う。
TLWE暗号文czが0(シンボル1)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、暗号文cy+暗号文cyである。
TLWE暗号文czがt/2(シンボル0)の暗号文である場合、暗号文cy+暗号文ctmpの準同型演算結果は、平文が0となる暗号文c0である。
暗号処理装置1は、準同型加算の結果を入力として、上記テストベクタ多項式Thalf(X)を用いてGate Bootstrappingを行う。Gate Bootstrappingの結果、暗号文cy+暗号文cyは暗号文cyに変換され、暗号文c0は暗号文c0のままである。
整数の暗号文cyに乗算するTLWE暗号文czが0の暗号文である場合に、Gate Bootstrappingにおいて暗号文cyが得られ、TLWE暗号文czがt/2の暗号文である場合に暗号文c0が得られる。
以上のようにすることで、暗号処理装置1は、整数の暗号文cyと二進数の暗号文czとの乗算を行うことが出来る。
なお、上記したように暗号文czで利用する円周群上の値が異なるため、Gate Bootstrappingで得られた値を2t倍することにより調整を行う必要がある。ここで2tは整数であるため、円周群上で乗算が定義されている。
【0067】
(2)暗号文と定数との準同型一致テスト
整数の暗号文と平文整数との一致テストを説明する。
例として、整数の暗号文cm1と平文整数m2の場合を説明する。
暗号文cm1は、平文m1として、0,1,~(t/2)-1の整数を有する。
平文整数m2は、0,1,~(t/2)-1の整数である。
まず暗号処理装置1は、平文m2を暗号化してvm2を得る。
暗号処理装置1は、暗号文cm1-(0,vm2)を準同型演算し、演算結果を入力として、
を係数とするテストベクタ多項式を用いたGate Bootstrappingを行う。(0,vm2)は、vm2を平文とする自明な暗号文である。
Gate Bootstrappingの結果得られる新たな暗号文cfは、暗号文と定数との一致不一致を示す2値(二進数)の暗号文であり、cm1=(0,vm2)の場合は平文としてt/2を有し、cm1≠(0,vm2)の場合、平文として0を有する。
整数の暗号文と平文整数との一致テストを説明する。
例として、整数の暗号文cm1と平文整数m2の場合を説明する。
暗号文cm1は、平文m1として、0,1,~(t/2)-1の整数を有する。
平文整数m2は、0,1,~(t/2)-1の整数である。
まず暗号処理装置1は、平文m2を暗号化してvm2を得る。
暗号処理装置1は、暗号文cm1-(0,vm2)を準同型演算し、演算結果を入力として、
Gate Bootstrappingの結果得られる新たな暗号文cfは、暗号文と定数との一致不一致を示す2値(二進数)の暗号文であり、cm1=(0,vm2)の場合は平文としてt/2を有し、cm1≠(0,vm2)の場合、平文として0を有する。
【0068】
以上に説明した、(1)整数と二進数の暗号文の準同型乗算、(2)暗号文と定数との準同型一致テストに基づいて、整数の暗号文同士の準同型乗算を行う方法を説明する。
整数同士の乗算は、乗数に応じた回数だけ被乗数を足し合わせることにより行うことが出来るが、暗号化された整数同士の乗算を暗号文のまま準同型で行うためには、暗号処理装置1は、以下に説明する処理を行う。
乗算結果を示す暗号文を、暗号文csumとする。
暗号処理装置1は、初期値として暗号文csumに0を代入し、また繰り返し数を示す変数iの初期値として0を代入する。
暗号処理装置1は、被乗数を入力として、上記論文の多項式F(X)をテストベクタとしたGate Bootstrappingを行い、暗号文ceを得る。
暗号処理装置1は、上記した暗号文と定数との準同型一致テストの方法を用いて、乗数と変数iの値が一致するかをテストする。
上記に従えば、乗数と変数iが一致するときに、平文としてt/2を有し、乗数と変数iが一致しないときには平文として0を有する暗号文cfが得られる。
暗号処理装置1は、上記した整数と二進数の暗号文の準同型乗算の方法を用いて、整数の暗号文ce(cyに対応)に、二進数の暗号文cf(czに対応)を乗算する。
乗数と変数iが一致するときには、被乗数にt/2を乗算し、乗数と変数iが一致しないときには、被乗数に0を乗算する。
暗号処理装置1は、この演算結果を乗算結果の暗号文csumに加算した結果を入力として、上記一変数関数Fidを実行するテストベクタ多項式を用いたGate Bootstrappingを行う。
これを、変数iをインクリメントしながらt/2回(暗号文が平文としてとりうる0以上の整数の個数)処理を繰り返した結果が、整数の暗号文同士を乗算した結果である。
上記の説明において、例えば被乗数を暗号文b、乗数を暗号文dとすることで、実施例で説明したd×bを算出することが出来る。
整数同士の乗算は、乗数に応じた回数だけ被乗数を足し合わせることにより行うことが出来るが、暗号化された整数同士の乗算を暗号文のまま準同型で行うためには、暗号処理装置1は、以下に説明する処理を行う。
乗算結果を示す暗号文を、暗号文csumとする。
暗号処理装置1は、初期値として暗号文csumに0を代入し、また繰り返し数を示す変数iの初期値として0を代入する。
暗号処理装置1は、被乗数を入力として、上記論文の多項式F(X)をテストベクタとしたGate Bootstrappingを行い、暗号文ceを得る。
暗号処理装置1は、上記した暗号文と定数との準同型一致テストの方法を用いて、乗数と変数iの値が一致するかをテストする。
上記に従えば、乗数と変数iが一致するときに、平文としてt/2を有し、乗数と変数iが一致しないときには平文として0を有する暗号文cfが得られる。
暗号処理装置1は、上記した整数と二進数の暗号文の準同型乗算の方法を用いて、整数の暗号文ce(cyに対応)に、二進数の暗号文cf(czに対応)を乗算する。
乗数と変数iが一致するときには、被乗数にt/2を乗算し、乗数と変数iが一致しないときには、被乗数に0を乗算する。
暗号処理装置1は、この演算結果を乗算結果の暗号文csumに加算した結果を入力として、上記一変数関数Fidを実行するテストベクタ多項式を用いたGate Bootstrappingを行う。
これを、変数iをインクリメントしながらt/2回(暗号文が平文としてとりうる0以上の整数の個数)処理を繰り返した結果が、整数の暗号文同士を乗算した結果である。
上記の説明において、例えば被乗数を暗号文b、乗数を暗号文dとすることで、実施例で説明したd×bを算出することが出来る。
【0069】
図10は、本実施形態のGate Bootstrappingに入出力される暗号文を示す図である。
上記の説明では、図10(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図10(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図10(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図10(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
上記の説明では、図10(a)に示すように、BlindRotate、SampleExtract、キースイッチングの順番でGate Bootstrappingを行うように説明をしていた。
それに限らず、図10(b)に示すように、Gate Bootstrappingにおいてキースイッチングを最初に実行し、その後で、BlindRotateとSampleExtractを行うことが出来る。
TLWE暗号文にはセキュリティ強度に応じたレベルの概念がある。
図10(a)のGate Bootstrappingでは入出力となるTLWE暗号文はLEVEL0である。LEVEL0のTLWE暗号文に対してBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractによって得られるTLWE暗号文はLEVEL1となるが、キースイッチングの結果、LEVEL0のTLWE暗号文が出力される。
それに対して図10(b)に示す方法では、Gate Bootstrappingの入出力となるTLWE暗号文をLEVEL1とし、最初にキースイッチングを行ってLEVEL0に下げた状態でBlindRotateを行い、その出力のTRLWE暗号文に対するSampleExtractを行うとLEVEL1のTLWE暗号文が出力される。
【0070】
LEVEL0の暗号文は、N次の秘密鍵[s]で暗号化された円周群{T}上の要素のN次のベクトル[a]よりなっている。一方、SampleExtractの結果得られるLEVEL1の暗号文は、n次の秘密鍵[s’]で暗号化された円周群{T}上の要素のn次のベクトル[a']よりなっている。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
LEVEL0の暗号文は、LWE問題の難易度となる係数の数(ベクトルの次数)がLEVEL1の暗号文よりも少ないので、LEVEL1と比較して準同型加算の計算量が少ない。
一方でLEVEL0の暗号文は、平文に付加する許容誤差を小さくすると、セキュリティ強度が下がりやすい問題がある。LWE系暗号は、平文に付加する誤差によって安全性が担保されるからである。
TLWE暗号は、平文に付加する誤差が大きいほど、係数の数(ベクトルの次数)が多いほど計算(解読)が難しい。
裏を返すと、TLWE暗号は、平文に付加する誤差が小さいほど、係数の数(ベクトルの次数)が少ないほど、計算(解読)が容易となるのである。
特に、Integer-wise型に適用したTFHEの場合、TLWE暗号文に格納する平文(整数)の値が大きくなるほど、円周群{T}における0~1の値域を細かく分割する必要があり、後述する復号時エラーの問題もあって誤差を小さくする必要がある。その場合、セキュリティ強度が下がりやすいのは上記の通りであるため、誤差を小さくする場合には暗号文の係数の数(ベクトルの次数)を上げてセキュリティを確保する必要がある。
【0071】
平文に付加する誤差を小さくすることで計算(解読)が容易となった暗号文のセキュリティを確保するために、キースイッチングをGate Bootstrappingの先頭に移動し、係数の数(ベクトルの次数)が多く誤差の範囲を小さくしやすいLEVEL1の暗号文をGate Bootstrappingの入出力とすることが望ましい。そして、Gate Bootstrappingの先頭でLEVEL0に変換してから、最後にLEVEL0に戻さないようにする。LEVEL0に戻さないことで、次段でも同様にTLWE暗号文の計算を安全に行うことが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
BlindRotateの所要時間は、CMuxの回数が次数と同じ回数であるため、入力となるTLWE暗号文の係数の数(ベクトルの次数)に比例する。よって、LEVEL1の暗号文を入力とした場合は、LEVEL0の暗号文を入力とした場合よりも、係数の数(ベクトルの次数)に比例してBlindRotateの所要時間が長くなる。
暗号文のセキュリティを確保するためにLEVEL1の暗号文をGate Bootstrappingの入力としても、キースイッチングで変換したLEVEL0のTLWE暗号文を入力としてBlindRotateを行うことで、所要時間の増加を避けることが出来る。
【0072】
また、平文に付加する誤差を小さくすることには、上記のセキュリティ強度の以外に復号時エラーの問題もある。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
上記したように、Integer-wise型に適用したTFHEでは、円周群{T}に対応づけた0~1の値域をt個に分割する。tの値を大きくして円周群を細かく分割するとTLWE暗号文に記録可能な整数値をより大きくできる。円周群を分割した個数tで格納できる値の最大値が決まるが、大きな値を格納しようとすると誤差範囲をより小さくとる必要があるため、セキュリティ強度が低下したり、復号エラー率が上がったりする問題もある。
TFHE含めLWE系の準同型暗号では平文に付加する誤差は正規分布で分布しており、厳密に「誤差の範囲」を設定することはできない。
0付近に集中することに変わりはないが、原理的には、誤差を指定範囲により多く集中させることが出来るのみである。
設定した範囲から誤差がはみ出した場合、その平文は別の平文として解釈されるため、予期せぬ計算結果が得られる可能性がある。
計算自体ができなくなるのではなく異なる結果が得られるのみである。異なる計算結果が得られる確率をどの程度許容できるかは、準同型暗号を応用するアプリケーション次第である。
【0073】
計算にエラーが発生する確率を抑える、BlindRotateの数を減らして計算を高速化する、セキュリティを高く保つ、という3つの目標をバランスが最もとれるよう、誤差範囲の重なりが一定値内に収まるようにシステムパラメータを設定することが必要である。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
本実施形態を適用するシステムや装置に応じて、特に重視する条件を満たすように誤差を設定してもよい。
【0074】
[応用例]
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
暗号処理装置1が行う処理は、以下のように応用することが出来る。
例えば、フィールドやレコードがTLWE暗号で暗号化されているデータベースから、特定のフィールドが一定の範囲内のものを集約したい場合(例えば、30~39歳の平均年収を求めたい場合など)を考える。
このとき、暗号処理装置1は暗号化されたデータベースを管理するデータベースサーバであり、ネットワーク等を介して接続された端末装置から、TLWE暗号で暗号化されたクエリを受け付け、クエリに対する応答を、TLWE暗号で暗号化した状態で端末装置に返却する。
暗号化されたデータベースではインデックスを作成することができないため、データベース全体に対する比較と集約が必要である。
【0075】
暗号処理装置1は、第1演算部12、第2演算部13、第1Bootstrapping部14、第1Bootstrapping部15の機能によって、暗号化されたデータベースの全てのレコードをクエリと比較する比較演算を行う。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
比較演算は、レコードとクエリの暗号文同士で減算を行うことであり、減算結果の正負が比較演算の等価となる。
暗号処理装置1はさらに、比較演算でクエリと一致したレコードに対する集約演算を行うことが出来る。
集約演算において、暗号処理装置1は、比較演算でクエリと一致したレコードを加算して合計を演算し、さらに除算を用いて平均値を求める。
このように、暗号化されたデータベースに対するクエリの処理には、暗号文を構成する整数同士の加算、減算、乗算、除算などの四則演算、や比較(比較は減算結果の正負と等価である)を行う必要がある。そして、Bit-wise型の暗号文を用いる場合、処理には全加算器演算が多用されることが考えられる。そして、扱う整数のビット長が大きくなれば必要となる全加算器の数も増加する。四則演算とは、入力された暗号文を用いた順列を二進数で表記した際の各ビットの暗号文とみなした暗号化された数値同士に対して準同型な四則演算である。
本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、クエリの実行時間を著しく低減することが可能となる。
【0076】
このようなデータベースの集約に限らず、整数同士の四則演算や比較は、暗号文を用いた様々なデータ処理で多用される。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
他の例として、ファジー認証やファジー検索が挙げられる。
ファジー認証は、例えば生体認証データを使った生体認証であり、生涯不変の生体認証データは暗号化して秘匿するのが絶対条件である。
ファジー認証は、認証要求として提示された生体認証データとデータベースに登録された生体認証データとの対応に基づいて認証をするものであるが、両者の完全な一致ではなく、閾値付きで一致するか否かを判定する。
ファジー検索は、クエリとレコードが完全に一致しなくても、クエリに近しいデータをデータベースから検索結果として提示する、曖昧な検索方法である。
ファジー認証やファジー検索では、上記の暗号化されたデータベースにおける比較演算・集約演算と同様に、暗号化されたデータベースとクエリとの比較を行い、その際には、準同型暗号により暗号化されたデータで比較演算を行う必要がある。
【0077】
またファジー認証やファジー検索において比較を行う際、ユークリッド距離が用いられることが多い。ユークリッド距離を演算する際には2乗の演算が必要となる。従って、Bit-wise型の準同型暗号では、乗算を行う際にデータのビット長に対して、O(N2)の全加算器を演算しなければならない。また単純な減算による比較演算でも、O(N)の全加算器を演算する必要がある。本実施形態の暗号処理装置1は、Bit-wise型の暗号文に対して全加算器を用いてビット単位で四則演算を行うのではなく、整数を平文として有するInteger-wise型の暗号文同士で四則演算や比較を行うことにより、ファジー認証やファジー検索に要する処理時間を大幅に低減することが出来る。
【0078】
また、本実施形態によっては、TFHEで暗号化されたデータに対して、属性ベース暗号などの高機能暗号を実装することができる。属性ベース暗号は、暗号化されたデータについての、ユーザやユーザが属するグループに対するアクセスコントロールなど、高度な付加価値を有する。
しかしながら、高機能暗号は楕円曲線やペアリング写像など、比較的計算量の多いものが多く、マイコンのような非力な環境では採用が難しい。
それに対して、上記に説明した多倍長演算によって、TFHEにおいて暗号強度を落とすことなく大きな値が扱えるようになることで、高機能暗号の秘密鍵などをTFHEで暗号化することが出来る。
それにより、高機能暗号の処理をより高機能、高性能な外部サーバやクラウドサービスに委譲することが出来るため、高機能暗号をより実用的なものとすることが出来る。また、TFHEで暗号化されたデータの中身を暗号化・復号することで、二重暗号化の内側を処理することが出来る。
しかしながら、高機能暗号は楕円曲線やペアリング写像など、比較的計算量の多いものが多く、マイコンのような非力な環境では採用が難しい。
それに対して、上記に説明した多倍長演算によって、TFHEにおいて暗号強度を落とすことなく大きな値が扱えるようになることで、高機能暗号の秘密鍵などをTFHEで暗号化することが出来る。
それにより、高機能暗号の処理をより高機能、高性能な外部サーバやクラウドサービスに委譲することが出来るため、高機能暗号をより実用的なものとすることが出来る。また、TFHEで暗号化されたデータの中身を暗号化・復号することで、二重暗号化の内側を処理することが出来る。
【0079】
図11は、コンピュータ装置の一実施例を示すブロック図である。
図11を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
図11を参照して、コンピュータ装置100の構成について説明する。
コンピュータ装置100は、例えば、各種情報を処理する暗号処理装置である。そして、コンピュータ装置100は、制御回路101と、記憶装置102と、読書装置103と、記録媒体104と、通信インターフェイス105と、入出力インターフェイス106と、入力装置107と、表示装置108とを含む。また、通信インターフェイス105は、ネットワーク200と接続される。そして、各構成要素は、バス110により接続される。
暗号処理装置1は、コンピュータ装置100に記載の構成要素の一部又は全てを適宜選択して構成することができる。
【0080】
制御回路101は、コンピュータ装置100全体の制御をする。制御回路101は、例えば、Central Processing Unit(CPU)、Field Programmable Gate Array(FPGA)、Application Specific Integrated Circuit(ASIC)及びProgrammable Logic Device(PLD)などのプロセッサである。制御回路101は、例えば、図1における制御部10として機能する。
【0081】
記憶装置102は、各種データを記憶する。そして、記憶装置102は、例えば、Read Only Memory(ROM)及びRandom Access Memory(RAM)などのメモリや、Hard Disk(HD)、Solid State Drive(SSD)などである。記憶装置102は、制御回路101を、図1における制御部10として機能させる情報処理プログラムを記憶してもよい。記憶装置102は、例えば、図1における記憶部20として機能する。
【0082】
暗号処理装置1は、情報処理を行うとき、記憶装置102に記憶されたプログラムをRAMに読み出す。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
暗号処理装置1は、RAMに読み出されたプログラムを制御回路101で実行することにより、受付処理、第1演算処理、第2演算処理、第1Bootstrapping処理、第2Bootstrapping処理、出力処理のいずれか1以上を含む処理を実行する。
なお、プログラムは、制御回路101が通信インターフェイス105を介してアクセス可能であれば、ネットワーク200上のサーバが有する記憶装置に記憶されていても良い。
【0083】
読書装置103は、制御回路101に制御され、着脱可能な記録媒体104のデータのリード/ライトを行なう。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
記録媒体104は、各種データを保存する。記録媒体104は、例えば、情報処理プログラムを記憶する。記録媒体104は、例えば、Secure Digital(SD)メモリーカード、Floppy Disk(FD)、Compact Disc(CD)、Digital Versatile Disk(DVD)、Blu-ray(登録商標) Disk(BD)、及びフラッシュメモリなどの不揮発性メモリ(非一時的記録媒体)である。
【0084】
通信インターフェイス105は、ネットワーク200を介してコンピュータ装置100と他の装置とを通信可能に接続する。通信インターフェイス105は、例えば、図1において、通信部25として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図1において、入力部26として機能する。
入出力インターフェイス106は、例えば、各種入力装置と着脱可能に接続するインターフェイスである。入出力インターフェイス106と接続される入力装置107には、例えば、キーボード、及びマウスなどがある。入出力インターフェイス106は、接続された各種入力装置とコンピュータ装置100とを通信可能に接続する。そして、入出力インターフェイス106は、接続された各種入力装置から入力された信号を、バス110を介して制御回路101に出力する。また、入出力インターフェイス106は、制御回路101から出力された信号を、バス110を介して入出力装置に出力する。入出力インターフェイス106は、例えば、図1において、入力部26として機能する。
【0085】
表示装置108は、各種情報を表示する。表示装置108は、例えば、例えばCRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)、PDP(Plasma Display Panel)、およびOELD(Organic Electroluminescence Display)などである。ネットワーク200は、例えば、LAN、無線通信、P2Pネットワーク、又はインターネットなどであり、コンピュータ装置100と他の装置を通信接続する。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
なお、本実施形態は、以上に述べた実施形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成又は実施形態を取ることができる。
【符号の説明】
【0086】
1 暗号処理装置、10 制御部、11 受付部、12 第1演算部、13 第2演算部、15 第1Bootstrapping部(算出部)、16 第2Bootstrapping部(算出部)、18 出力部、20 記憶部、25 通信部、26 入力部、100 コンピュータ装置、101 制御回路、102 記憶装置、103 読書装置、104 記録媒体、105 通信インターフェイス、106 入出力インターフェイス、107 入力装置、108 表示装置、110 バス、200 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【手続補正書】
【提出日】2022-11-21
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
暗号文を処理する暗号処理装置であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える、
ことを特徴とする暗号処理装置。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する算出部を備える、
ことを特徴とする暗号処理装置。
【請求項2】
プロセッサによって実行される、暗号文を処理する暗号処理方法であって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理方法。
【請求項3】
暗号文を処理する暗号処理方法をプロセッサに実行させる暗号処理プログラムであって、
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理プログラム。
前記暗号文は、所定の値に所定の分散を持つ誤差を与えた値を、整数に対応付けた平文として有し、復号することなく整数同士の所定の演算が可能な完全準同型暗号文であり、
割られる数の暗号文に対して、割る数の平文から得られる多項式に基づいてスカラ除算を行い、商に対応する新たな暗号文を算出する、
ことを特徴とする暗号処理プログラム。
【手続補正2】
【補正対象書類名】図面
【補正対象項目名】図2
【補正方法】変更
【補正の内容】
【図2】
【手続補正3】
【補正対象書類名】図面
【補正対象項目名】図8
【補正方法】変更
【補正の内容】
【図8】
【手続補正4】
【補正対象書類名】図面
【補正対象項目名】図10
【補正方法】変更
【補正の内容】
【図10】