[发明专利]秘密分散系统、数据分散装置、分散数据变换装置以及秘密分散方法

说明书

技术领域

本发明涉及计算量型秘密分散技术以及多方(multiparty)计算技术。

背景技术

秘密分散(secret sharing)是将数据变换为多个分散值，若利用一定个数以上的分散值则能够恢复原来的数据，根据少于一定个数的分散值完全无法恢复原来的数据的技术。将分散值的总数设为N，将进行恢复所需的分散值的最少数目设为K(≤N)时，存在对N、K的值没有限制的方式和有限制的方式。

作为秘密分散的代表性方式，有Shamir秘密分散方式(例如，参照非专利文献1)。在该方式的例子中，将p设为质数，将GF(p)设为位数p的有限体，根据针对a∈GF(p)成为f(0)＝a的、以x作为变量的K-1次式f(x)，获得a的分散值S_i(a)＝f(i)(i＝1,...,N)。将n₁、……、n_K设为1以上且N以下的相互不同的整数，以下的关系成立，因此能够根据任意的不同的K个分散值恢复a。

【数1】

此外，作为秘密分散的一种，有基于计算量的安全性，根据少于一定个数的分散值完全无法恢复原来的数据的、计算量型秘密分散方式(例如，参照非专利文献2)。在该方式的例子中，利用公共密钥加密对信息a＝(a₀,a₁,...,a_K-1)(a₀、a₁、……、a_K-1∈GF(p))进行加密，根据由该密文c＝ (c₀,c₁,...,c_K-1)(其中，c₀、c₁、……、c_K-1∈GF(p))决定的、以x作为变量的K-1次式f(x)＝c₀+c₁x+…+c_K-1x^K-1获得c的分散值T_i(c)＝f(i)(i＝1,...,N)。此外，公共密钥另外通过Shamir秘密分散方式等分散。则，将n₁、……、n_K设为1以上且N以下的互相不同的整数，能够根据式f(x)的K个点(n_i,f(n_i))(i＝1,...,K)唯一地求出式f(x)的系数c₀、c₁、……、c_K-1。这只要针对以c₀、c₁、……、c_K-1作为变量的以下的矩阵求出c₀、c₁、……、c_K-1的解即可。

【数2】

然后，恢复公共密钥，对c进行解密就能够获得a。

另一方面，提出了以秘密分散作为主要技术的多方计算方式。多方计算是各计算主体i(i＝1,...,N)分别以信息a_i作为输入，对其他的计算主体不透漏信息a_i，获取特定的函数值F_i(a₁,...,a_N)的技术。在上述的Shamir秘密分散方式中，根据信息a,b∈GF(p)的分散值S_i(a)、S_i(b)，不透漏各计算主体的输入，能够获得a+b的分散值S_i(a+b)以及ab的分散值S_i(ab)(参照非专利文献3)。即，只要是Shamir秘密分散方式，就能够进行加法以及乘法的多方计算。另外，将满足S_i(a)+S_i(b)＝S_i(a+b)的关系的秘密分散称为具有加法同态(additive homomorphic)的秘密分散。

此外，作为秘密分散的一种，有线性秘密分散方式。线性秘密分散方式被定义为针对原来的数据a∈GF(p)，所有的分散值均能够通过a∈GF(p)以及GF(p)上的随机数的线性结合来表现的秘密分散。已知能够将任意的线性秘密分散方式扩展到多方计算上(参照非专利文献4)。

现有技术文献

非专利文献

非专利文献1：A.Shamir,“How to share a secret.”,Commun.ACM 22(11),pp.612-613,1979.