知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-30
(45)【発行日】2024-08-07
(54)【発明の名称】設計装置、設計方法及び設計プログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20240731BHJP
【FI】
G09C1/00 620Z
【請求項の数】
4
(21)【出願番号】P 2021106863
(22)【出願日】2021-06-28
(65)【公開番号】P2023005134
(43)【公開日】2023-01-18
【審査請求日】2023-07-20
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】岡田 大樹
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2019-113698(JP,A)
【文献】特開2009-194602(JP,A)
【文献】韓国公開特許第10-2015-0032928(KR,A)
【文献】Nico Doettling et al.,Lossy Codes and a New Variant of the Learning-With-Errors Problem,LNSC, Advances in Cryptology - EUROCRYPT 2013,2013年,Volume 7881,pp. 18-34
【文献】Katharina Boudgoust et al.,Towards Classical Hardness of Module-LWE: The Linear Rank Case,LNSC, Advances in Cryptology - ASIACRYPT 2020,2020年,volume 12492,pp. 289-317
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
THE ACM DIGITAL LIBRARY
(57)【特許請求の範囲】
【請求項1】
第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力部と、前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に依存して設計された前記第1暗号方式の効率性に関わるパラメータの計算式を記憶部から取得する取得部と、
前記計算式に含まれている前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出部と、
前記パラメータを出力する出力部と、を備える設計装置。
【請求項2】
前記第1暗号方式は、法qに対して、一様ノイズ[-ρq,ρq]を用いたLWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたLWE型暗号方式であり、
前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及び任意定数ζ∈(0,1)に基づく前記計算式ρ=α・m・nζに対して、m=3nを代入してρを算出する請求項1に記載の設計装置。
【請求項3】
前記第1暗号方式は、法qに対して、エラーレートα’、標準偏差σ’=α’qのbinary secret Module-LWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたModule-LWE型暗号方式であり、
前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及びランクdに基づく前記計算式α’=α・√m・n2・dに対して、m=dを代入してα’を算出する請求項1に記載の設計装置。
【請求項4】
請求項1から請求項3のいずれかに記載の設計装置としてコンピュータを機能させるための設計プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号方式のパラメータを設計するための装置、方法及びプログラムに関する。
【背景技術】
【0002】
例えば、非特許文献1において、一様ノイズを用いたLWE問題:LWE(Uρq)(Uρqは、[-ρq,ρq]上の一様乱数)が、ガウスノイズを用いたLWE問題:LWE(n,m,q,Φα)以上に難しいことが示されている。
【0003】
具体的には、セキュリティパラメータであるLWEの次元をn、法をqとしたとき、
・ζ∈(0,1):任意定数
・m=poly(n):m≧3nを満たす整数(サンプル数)
・ρ=ρ(n)∈(0,1/10), r:=ρq≧2mn0.5+ζ
・α=α(n)=ρ/mnζ
・αq=ρq/mnζ=r/mnζ≧2√n
と設定すると、LWE(n,m,q,U([-ρq,ρq]))を、ある無視できない確率で解ける多項式時間のアルゴリズムが存在するならば、LWE(n,m,q,Φα)を、ある無視できない確率で解ける多項式時間のアルゴリズムも存在する。
・ζ∈(0,1):任意定数
・m=poly(n):m≧3nを満たす整数(サンプル数)
・ρ=ρ(n)∈(0,1/10), r:=ρq≧2mn0.5+ζ
・α=α(n)=ρ/mnζ
・αq=ρq/mnζ=r/mnζ≧2√n
と設定すると、LWE(n,m,q,U([-ρq,ρq]))を、ある無視できない確率で解ける多項式時間のアルゴリズムが存在するならば、LWE(n,m,q,Φα)を、ある無視できない確率で解ける多項式時間のアルゴリズムも存在する。
【0004】
したがって、達成したいセキュリティレベルとして、ガウスノイズLWEのエラーレートα(n)と、攻撃者に与えることを許すサンプル数m≧3nを入力とし、任意定数ζ∈(0,1)を設定すると(例えば、ζ=1/2)、同等以上の安全性を有するLWE(Uρq)のパラメータρ(n)=α・m・nζを決定することができる。
【0005】
このように、従来は、安全性評価の帰着元である(安全性の根拠とする)暗号方式において達成したいセキュリティレベルα(n)、及び攻撃者に許容するサンプル数m=poly(n)を入力として、新たに構成する暗号方式の効率性に関わるパラメータρ(n)=f(α,m,n)を出力していた。
【先行技術文献】
【非特許文献】
【0006】
【文献】Nico Dottling and Jorn Muller-Quade. Lossy codes and a new variant of the learning-with-errors problem. In EUROCRYPT 2013, pp. 18-34, 2013.
【文献】Oded Goldreich. Foundations of Cryptography, volume I: Basic Tools. Cambridge University Press, 2001.
【文献】O. Goldreich and M. Sudan. Computational indistinguishability: A sample hierarchy. In 2012 IEEE 27th Conference on Computational Complexity, p. 24, Los Alamitos, CA, USA, jun 1998. IEEE Computer Society.
【文献】Oded Goldreich and Bernd Meyer. Computational indistinguishability: Algorithms vs. circuits. Theoretical Computer Science, 191(1):215-218, 1998.
【文献】Katharina Boudgoust, Corentin Jeudy, Adeline Roux-Langlois, and Weiqiang Wen. Towards classical hardness of Module-LWE: The linear rank case. In ASIACRYPT 2020, pp. 289-317, 2020.
【文献】Abhishek Banerjee, Chris Peikert, and Alon Rosen. Pseudorandom functions and lattices. In EUROCRYPT 2012, pp. 719-737, 2012.
【文献】Daniele Micciancio and Chris Peikert. Hardness of SIS and LWE with small parameters. In CRYPTO 2013, pp. 21-39, 2013.
【文献】Joel Alwen, Stephan Krenn, Krzysztof Pietrzak, and Daniel Wichs. Learning with rounding, revisited. In CRYPTO 2013, pp. 57-74, 2013.
【文献】Andrej Bogdanov, Siyao Guo, Daniel Masny, Silas Richelson, and Alon Rosen. On the hardness of learning with rounding over small modulus. In TCC, pp. 209-224, 2016.
【文献】Shi Bai, Adeline Langlois, Tancrede Lepoint, Damien Stehle, and Ron Steinfeld. Improved security proofs in lattice-based cryptography: Using the renyi divergence rather than the statistical distance. In ASIACRYPT 2015, pp. 3-24, 2015.
【文献】Feng-Hao Liu and Zhedong Wang. Rounding in the rings. In CRYPTO 2020, pp. 296-326, 2020.
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、従来の手法の場合、達成したいセキュリティレベルとしてエラーレートαを固定したとき、多くのサンプル数mを得られる攻撃者に耐性を持つように設計するためには、mに依存したより大きなρ(n)=α・m・nζが出力される。このとき、攻撃者に許すサンプル数mが大き過ぎると、大きなρ(n)>1が出力されるが、このような値の場合、一様ランダムな大き過ぎるノイズのLWEとなるため、実用可能な暗号を構成するパラメータとはならなかった。
つまり、パラメータρ(n)を出力する関数f(α,m,n)がmに関して単調増加のとき、許容するサンプル数の増大に伴って、新たに構成する暗号方式の効率性が低下し、実用可能な暗号を構成できなかった。
つまり、パラメータρ(n)を出力する関数f(α,m,n)がmに関して単調増加のとき、許容するサンプル数の増大に伴って、新たに構成する暗号方式の効率性が低下し、実用可能な暗号を構成できなかった。
【0008】
本発明は、許容するサンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる設計装置、設計方法及び設計プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る設計装置は、第1暗号方式の効率性に関わるパラメータを出力する設計装置であって、前記第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力部と、前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に対する前記パラメータの計算式を取得する取得部と、前記計算式における前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出部と、を備える。
【0010】
前記第1暗号方式は、法qに対して、一様ノイズ[-ρq,ρq]を用いたLWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたLWE型暗号方式であり、前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及び任意定数ζ∈(0,1)に基づく前記計算式ρ=α・m・nζに対して、m=3nを代入してρを算出してもよい。
【0011】
前記第1暗号方式は、法qに対して、エラーレートα’、標準偏差σ’=α’qのbinary secret Module-LWE型暗号方式であり、前記第2暗号方式は、エラーレートα、標準偏差σ=αqのガウスノイズを用いたModule-LWE型暗号方式であり、前記算出部は、前記達成したいセキュリティレベルとしてのα、前記許容するサンプル数m、次数n、及びランクdに基づく前記計算式α’=α・√m・n2・dに対して、m=dを代入してα’を算出してもよい。
【0012】
本発明に係る設計方法は、第1暗号方式の効率性に関わるパラメータを出力する設計方法であって、前記第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付ける入力ステップと、前記安全性の帰着に基づき、前記セキュリティレベル及び攻撃者に許容するサンプル数に対する前記パラメータの計算式を取得する取得ステップと、前記計算式における前記攻撃者に許容するサンプル数を、前記安全性の帰着を証明可能な最小値として、前記パラメータを算出する算出ステップと、をコンピュータが実行する。
【0013】
本発明に係る設計プログラムは、前記設計装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0014】
本発明によれば、許容するサンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる。
【図面の簡単な説明】
【0015】
【発明を実施するための形態】
【0016】
以下、本発明の実施形態の一例について説明する。
まず、従来のサンプル数mに依存するパラメータ設計では、達成したいセキュリティレベル値α(n)と、攻撃者に許容するサンプル数m=poly(n)≧mminとを入力として、暗号方式設計用のパラメータρ(n)=f(α,m,n)を出力する。
なお、ρ(n)は小さいほど暗号方式が効率化され望ましく、f(α,m,n)はmに関して単調増加するものとする。
まず、従来のサンプル数mに依存するパラメータ設計では、達成したいセキュリティレベル値α(n)と、攻撃者に許容するサンプル数m=poly(n)≧mminとを入力として、暗号方式設計用のパラメータρ(n)=f(α,m,n)を出力する。
なお、ρ(n)は小さいほど暗号方式が効率化され望ましく、f(α,m,n)はmに関して単調増加するものとする。
【0017】
これに対して、本実施形態の設計装置は、同様の入力に対して、サンプル数mの大きさによらず、パラメータρ(n)=f(α,mmin,n)を出力する。
【0018】
図1は、本実施形態における設計装置1の機能構成を示す図である。
設計装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
設計装置1は、制御部10及び記憶部20の他、各種の入出力インタフェース等を備えた情報処理装置(コンピュータ)である。
【0019】
制御部10は、設計装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
【0020】
記憶部20は、ハードウェア群を設計装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(設計プログラム)の他、暗号方式に応じたパラメータの計算式等を記憶する。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(設計プログラム)の他、暗号方式に応じたパラメータの計算式等を記憶する。
【0021】
制御部10は、入力部11と、取得部12と、算出部13とを備え、これらの機能部により、設計対象である暗号方式において、達成したいセキュリティレベルに応じた効率性に関わるパラメータを出力する。
【0022】
入力部11は、設計対象である第1暗号方式の安全性の帰着元である、すなわち安全性の根拠とする第2暗号方式において達成したいセキュリティレベルの入力を受け付ける。
【0023】
取得部12は、安全性の帰着に基づいて設定された、セキュリティレベル及び攻撃者に許容するサンプル数に対するパラメータの計算式を取得する。この計算式は、従来のサンプル数に依存したものである。
【0024】
算出部13は、計算式における攻撃者に許容するサンプル数を、安全性の帰着を証明可能な最小値として、パラメータを算出する。
【0025】
ここで、非特許文献2には、単一サンプルが計算量的識別不可ならば、そのm個の複数サンプルも、高々mのadvantageのlossで、計算量的識別不可であるといいう、次の定理(1)が示されている。
定理(1):
定理(1):
【数1】
【0026】
この定理に反する例、つまりk個のサンプルでは計算量的識別不可であるのにk+1個のサンプルでは識別可能であるような、多項式時間で生成可能なサンプルは存在しないことが知られている(例えば、非特許文献3,4)。
【0027】
本実施形態では、この定理を次の系(定理2)に拡張して用いる。
定理(2):
ある数m=poly(n)で固定したサンプルが、真に一様ランダムなサンプルと計算量的に識別不可であるならば、その任意のl=poly(n)倍の数l・mの独立同分布のサンプルも、高々l倍のadvantageのlossで、真に一様ランダムなサンプルと計算量的に識別不可である。
定理(2):
ある数m=poly(n)で固定したサンプルが、真に一様ランダムなサンプルと計算量的に識別不可であるならば、その任意のl=poly(n)倍の数l・mの独立同分布のサンプルも、高々l倍のadvantageのlossで、真に一様ランダムなサンプルと計算量的に識別不可である。
【0028】
仮に、この定理(2)に反する多項式時間で生成可能なサンプルがあるとすると、PPT攻撃者に対して、m個のサンプルまでは計算量的に識別不可だが、m+1個のサンプルでは識別可能な多項式時間で生成可能なサンプルが存在することになり、非特許文献3,4の証明に矛盾する。
【0029】
したがって、算出部13により算出されるパラメータρ(n)=f(α,mmin,n)により構成された暗号方式は、許容するサンプル数m=l・mminに対しても、セキュリティレベルα(n)を満たす。
次に、具体的な暗号方式におけるパラメータの算出手順を例示する。
次に、具体的な暗号方式におけるパラメータの算出手順を例示する。
【0030】
[LWE(Uρq)暗号方式のパラメータ設計]
一様ノイズを用いるLWE(Uρq)においては、前述のように、効率性に関するパラメータρ(n)=α・m・nζとすることで、ガウスノイズを用いるLWE(n,m,q,Φα)でのエラーレートα(n)と同等以上の安全性を、サンプル数m≧3nで達成することができる。
一様ノイズを用いるLWE(Uρq)においては、前述のように、効率性に関するパラメータρ(n)=α・m・nζとすることで、ガウスノイズを用いるLWE(n,m,q,Φα)でのエラーレートα(n)と同等以上の安全性を、サンプル数m≧3nで達成することができる。
【0031】
このとき、算出部13は、定理(2)に基づいて、安全性の帰着を証明可能なサンプル数mの最小値mmin=3nを用いて、ρ(n)=α・mmin・nζ=3α・n1+ζを算出する。
【0032】
図2は、本実施形態における安全性の帰着の一例を示す図である。
この例では、ガウスノイズDαを用いるLWE(m,Dα)問題から一様ノイズUρqを用いるLWE(m,Uρq)問題への帰着があることを示している。
この例では、ガウスノイズDαを用いるLWE(m,Dα)問題から一様ノイズUρqを用いるLWE(m,Uρq)問題への帰着があることを示している。
【0033】
すなわち、許容するサンプル数mの場合に、LWE(m,Uρq)問題は、エラーレートα=ρ/(mnζ)のLWE(m,Dα)問題と同等以上の困難性が保証される。
同様に、許容するサンプル数l・mの場合に、LWE(l・m,Uρq)問題は、エラーレートα=ρ/(l・mnζ)のLWE(l・m,Dα)問題と同等以上の困難性が保証される。
同様に、許容するサンプル数l・mの場合に、LWE(l・m,Uρq)問題は、エラーレートα=ρ/(l・mnζ)のLWE(l・m,Dα)問題と同等以上の困難性が保証される。
【0034】
ここで、エラーレートは、許容するサンプル数がmの場合よりl・mの場合の方が小さくなるため、許容するサンプル数が増大することで保証されるセキュリティレベルが低下するように見える。しかし、前述のように、LWE(l・m,Uρq)問題は、高々1/l倍のadvantage lossの代償でLWE(m,Uρq)問題と同等の困難性が保証される。したがって、LWE(l・m,Uρq)暗号方式は、LWE(m,Dα)の場合と同等以上の安全性を有する。
【0035】
[binary secret Module-LWE暗号方式のパラメータ設計]
非特許文献5において、ガウスノイズのModule-LWE問題の困難性を根拠に、binary secret Module-LWE暗号方式が設計されている。
具体的には、許容するサンプル数m=poly(n)の場合に、達成したいセキュリティレベルとして、ガウスノイズのModule-LWEにおけるエラーレートαを入力として、binary secret Module-LWE暗号方式のエラーレートα’(n)=α・√m・n2・dが出力される。
非特許文献5において、ガウスノイズのModule-LWE問題の困難性を根拠に、binary secret Module-LWE暗号方式が設計されている。
具体的には、許容するサンプル数m=poly(n)の場合に、達成したいセキュリティレベルとして、ガウスノイズのModule-LWEにおけるエラーレートαを入力として、binary secret Module-LWE暗号方式のエラーレートα’(n)=α・√m・n2・dが出力される。
【0036】
これに対して、算出部13は、定理(2)に基づいて、安全性の帰着を証明可能なサンプル数mの最小値mmin=dを用いて、α’(n)=α・√mmin・n2・d=α・n2・d1.5を算出する。
これにより、binary secret Module-LWE暗号方式は、許容するサンプル数mによらず、エラーレートαのガウスノイズのModule-LWEの場合と同等以上の安全性を有する。
これにより、binary secret Module-LWE暗号方式は、許容するサンプル数mによらず、エラーレートαのガウスノイズのModule-LWEの場合と同等以上の安全性を有する。
【0037】
さらに、設計装置1は、サンプル数に依存する既存の様々な安全性評価手法(困難性の帰着)に基づいて、前述の例と同様に、サンプル数に依存しないパラメータ設計を可能とする。
【0038】
例えば、非特許文献1、6~10に示されたLWE≦uLWE,LWRの困難性の帰着に基づいて、uLWE(一様ノイズのLWE)型及びLWR型暗号方式のパラメータ設計が可能となる。
また、非特許文献11に示されたRLWE≦RLWR≦MLWRの困難性の帰着に基づいて、RLWR(Ring-LWR)型及びMLWR(Module-LWR)型暗号方式のパラメータ設計が可能となる。
また、非特許文献11に示されたRLWE≦RLWR≦MLWRの困難性の帰着に基づいて、RLWR(Ring-LWR)型及びMLWR(Module-LWR)型暗号方式のパラメータ設計が可能となる。
【0039】
ここで、ノイズ分布が一般のLWE問題は、qを整数とし、一様ランダムに選ばれた秘密ベクトルa,s←U(Zn
q)と、あるZq上の確率分布χから標本抽出するノイズe←χから計算されたサンプル
(a←U(Zn q),b:=<a,s>+e)∈Zn q×Zq
と、ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題である。
(a←U(Zn q),b:=<a,s>+e)∈Zn q×Zq
と、ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題である。
【0040】
なお、LWEのノイズ分布χには、エラーレートα:=σ/qの、つまり標準偏差σ=qαの離散ガウス分布Φα:=N(0,σ2)が用いられることが標準的であり、この場合の計算困難性が良く知られている。
【0041】
また、LWR問題は、q,pを整数とし、一様ランダムに選ばれた秘密ベクトルa,s←U(Zn
q)から計算されたサンプル
(a←U(Zn q),b:=「p/q<a,s>」)∈Zn q×Zq
と、ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題である。
(a←U(Zn q),b:=「p/q<a,s>」)∈Zn q×Zq
と、ランダムに生成されたサンプル
(a←U(Zn q),b←U(Zq))∈Zn q×Zq
とを識別する問題である。
【0042】
このLWRサンプルの丸め誤差を、
ξ:=「(p/q)<a,s>」-(p/q)<a,s>
と定義すると、丸め誤差ξは、[-1/2,1/2)の一様分布に従う。よって、
(q/p)「(p/q)<a,s>」
=(q/p)((p/q)<a,s>+ξ)=<a,s>+(q/p)ξ
と式変形できることから、LWR問題は、ノイズが(q/p)ξのLWE問題に変形可能であり、(q/p)ξは、[-q/(2p),q/(2p))の一様乱数となる。
ξ:=「(p/q)<a,s>」-(p/q)<a,s>
と定義すると、丸め誤差ξは、[-1/2,1/2)の一様分布に従う。よって、
(q/p)「(p/q)<a,s>」
=(q/p)((p/q)<a,s>+ξ)=<a,s>+(q/p)ξ
と式変形できることから、LWR問題は、ノイズが(q/p)ξのLWE問題に変形可能であり、(q/p)ξは、[-q/(2p),q/(2p))の一様乱数となる。
【0043】
このことから、設計装置1は、例えば、ガウスノイズのLWE問題から帰着したuLWE問題を安全性の根拠として、さらにLWR型暗号方式を設計することも可能である。
【0044】
本実施形態によれば、設計装置1は、第1暗号方式の安全性の帰着元である第2暗号方式において達成したいセキュリティレベルの入力を受け付け、この安全性の帰着に基づいて、攻撃者に許容するサンプル数に依存して設計された第1暗号方式のパラメータの計算式のうち、攻撃者に許容するサンプル数を、安全性の帰着を証明可能な最小値として、パラメータを算出する。
【0045】
これにより、設計装置1は、攻撃者に許容するサンプル数に依存して設計された従来のパラメータ計算式を用いて、サンプル数によらず安全性が保証され、かつ、効率的な暗号方式を構成可能なパラメータを出力できる。したがって、サンプル数に依存してセキュリティパラメータ値が変動する任意のパラメータ設計装置を、サンプル数に依存しないパラメータ設計装置へ改良することが可能である。
【0046】
なお、前述の実施形態により、例えば、安全な暗号方式の設計が容易にできることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0047】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0048】
設計装置1による設計方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0049】
1 設計装置
10 制御部
11 入力部
12 取得部
13 算出部
20 記憶部
10 制御部
11 入力部
12 取得部
13 算出部
20 記憶部
【図1】
【図2】