秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法以及程序.pdf

秘密分散系统将计算量型秘密分散的分散值变换为具有同态的秘密分散的分散值。数据分散装置由密钥选择部选择K'-1个密钥sj。伪随机数生成部根据密钥sj生成伪随机数rj。加密部根据信息a利用伪随机数rj生成密文c。密钥分散部将密钥sj通过任意的秘密分散方式S1分别分散为N个分散值fsj(n)。密文分散部将密文c通过任意的分散方式S0分散为N个分散值fc(n)。分散数据变换装置中，恢复部若被输入K个分散值fsj(i)，则将分散值fsj(i)通过秘密分散方式S1恢复，并生成恢复值Uj，若被输入K个分散值fc(i)，则将分散值fc(i)通过分散方式S0恢复，从而生成恢复值Uj(j＝K')。再分散部通过具有同态的秘密分散方式S2，将恢复值Uj分散为N个分散值fUj(n)。变换部根据K'个分散值fUj生成信息a的分散值ga(i)。

权利要求书
1.  一种包含数据分散装置和N台分散数据变换装置的秘密分散系统，其中，
N、K是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R上的映射，
所述数据分散装置包括：
密钥选择部，选择K-1个密钥s1、……、sK-1∈S；
伪随机数生成部，根据所述密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)，从而生成伪随机数r1、……、rK-1；
加密部，根据信息a∈R利用所述伪随机数r1、……、rK-1生成密文c；
密钥分散部，将所述密钥s1、……、sK-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK-1(n)；以及
密文分散部，将所述密文c通过任意的秘密分散方式S0分散为N个分散值fc(n)，
所述分散数据变换装置包括：
恢复部，若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过所述秘密分散方式S1恢复后的值uj，计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过所述秘密分散方式S0进行恢复，从而生成恢复值Uj(j＝K)；
再分散部，将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换部，根据K个分散值fU1(i)、……、fUK(i)生成所述信息a的分散值ga(i)。

2.  一种包含数据分散装置和N台分散数据变换装置的秘密分散系统，其中，
N、K、K’是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R上的映射，
所述数据分散装置包括：
密钥选择部，选择K’-1个密钥s1、……、sK’-1∈S；
伪随机数生成部，根据所述密钥s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)，从而生成伪随机数r1、……、rK’-1；
加密部，根据信息a∈R利用所述伪随机数r1、……、rK’-1生成密文c；
密钥分散部，将所述密钥s1、……、sK’-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK’-1(n)；以及
密文分散部，将所述密文c通过任意的分散方式S0分散为N个分散值fc(n)，
所述分散数据变换装置包括：
恢复部，若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过所述秘密分散方式S1恢复后的值uj，计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过所述分散方式S0进行恢复，从而生成恢复值Uj(j＝K’)；
再分散部，将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换部，根据K’个分散值fU1(i)、……、fUK’(i)生成所述信息a的分散值ga(i)。

3.  如权利要求1所述的秘密分散系统，其中，
所述加密部从所述信息a减去所述伪随机数r1、……、rK-1的总和而生成所述密文c，
所述变换部将所述分散值fU1(i)、……、fUK(i)的总和设为所述分散值ga(i)。

4.  如权利要求2所述的秘密分散系统，其中，
所述加密部从所述信息a减去所述伪随机数r1、……、rK’-1的总和而生成所述密文c，
所述变换部将所述分散值fU1(i)、……、fUK’(i)的总和设为所述分散值ga(i)。

5.  如权利要求1至4的任一项所述的秘密分散系统，其中，
所述秘密分散方式S2是Shamir秘密分散方式。

6.  一种数据分散装置，其中，
N、K是2以上的整数，且N≥K，n＝1,...,N，fx(n)是x的N个分散值， R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述数据分散装置包括：
密钥选择部，选择K-1个密钥s1、……、sK-1∈S；
伪随机数生成部，根据所述密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)，从而生成伪随机数r1、……、rK-1；
加密部，根据信息a∈R利用所述伪随机数r1、……、rK-1生成密文c；
密钥分散部，将所述密钥s1、……、sK-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK-1(n)；以及
密文分散部，将所述密文c通过任意的秘密分散方式S0分散为N个分散值fc(n)。

7.  一种数据分散装置，其中，
N、K、K’是2以上的整数，且N≥K，n＝1,...,N，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述数据分散装置包括：
密钥选择部，选择K’-1个密钥s1、……、sK’-1∈S；
伪随机数生成部，根据所述密钥s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)，从而生成伪随机数r1、……、rK’-1；
加密部，根据信息a∈R利用所述伪随机数r1、……、rK’-1生成密文c；
密钥分散部，将所述密钥s1、……、sK’-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK’-1(n)；以及
密文分散部，将所述密文c通过任意的分散方式S0分散为N个分散值fc(n)。

8.  一种分散数据变换装置，其中，
N、K是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述分散数据变换装置包括：
恢复部，若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过规定的秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过规定的秘密分散方式S0恢复，从而生成恢复值Uj；
再分散部，将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换部，根据K个分散值fU1(i)、……、fUK(i)生成所述信息a的分散值ga(i)，
所述分散值fsj(i)包含在将K个密钥s1、……、sK-1∈S通过所述秘密分散方式S1分别分散为N个后的分散值fs1(n)、……、fsK-1(n)中，
所述分散值fc(i)包含在将密文c通过所述秘密分散方式S0分散为N个的分散值fc(n)中，该密文c是利用根据所述密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)而生成的伪随机数r1、……、rK-1从信息a∈R生成的密文c。

9.  一种分散数据变换装置，其中，
N、K、K’是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述分散数据变换装置包括：
恢复部，若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过规定的秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过规定的分散方式S0恢复，从而生成恢复值Uj(j＝K’)；
再分散部，将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换部，根据K’个分散值fU1(i)、……、fUK’(i)生成所述信息a的分散值ga(i)，
所述分散值fsj(i)包含在将K’个密钥s1、……、sK’-1∈S通过所述密钥分散方式S1分别分散为N个后的分散值fs1(n)、……、fsK’-1(n)中，
所述分散值fc(i)包含在将密文c通过所述密钥分散方式S0分散为N个的分散值fc(n)中，该密文c是利用根据所述密钥s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)而生成的伪随机数r1、……、rK’-1从信息a∈R生成的密文c。

10.  一种秘密分散方法，其中，
N、K是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下 的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述秘密分散方法包括：
密钥选择步骤，数据分散装置选择K-1个密钥s1、……、sK-1∈S；
伪随机数生成步骤，所述数据分散装置根据所述密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)，从而生成伪随机数r1、……、rK-1；
加密步骤，所述数据分散装置根据信息a∈R利用所述伪随机数r1、……、rK-1生成密文c；
密钥分散步骤，所述数据分散装置将所述密钥s1、……、sK-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK-1(n)；
密文分散步骤，所述数据分散装置将所述密文c通过任意的秘密分散方式S0分散为N个分散值fc(n)；
恢复步骤，分散数据变换装置若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过所述秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过所述分散方式S0恢复，从而生成恢复值Uj；
再分散步骤，所述分散数据变换装置将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换步骤，所述分散数据变换装置根据K个分散值fU1(i)、……、fUK(i)生成所述信息a的分散值ga(i)。

11.  一种秘密分散方法，其中，
N、K、K’是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射，
所述秘密分散方法包括：
密钥选择步骤，数据分散装置选择K’-1个密钥s1、……、sK’-1∈S；
伪随机数生成步骤，所述数据分散装置根据所述密钥s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)，从而生成伪随机数r1、……、rK’-1；
加密步骤，所述数据分散装置根据信息a∈R利用所述伪随机数r1、……、rK’-1生成密文c；
密钥分散步骤，所述数据分散装置将所述密钥s1、……、sK’-1通过任意 的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK’-1(n)；
密文分散步骤，所述数据分散装置将所述密文c通过任意的分散方式S0分散为N个分散值fc(n)；
恢复步骤，分散数据变换装置若被输入K个分散值fsj(i)，则根据将所述分散值fsj(i)通过所述秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将所述分散值fc(i)通过所述秘密分散方式S0恢复，从而生成恢复值Uj(j＝K’)；
再分散步骤，所述分散数据变换装置将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)；以及
变换步骤，所述分散数据变换装置根据K’个分散值fU1(i)、……、fUK’(i)生成所述信息a的分散值ga(i)。

12.  一种程序，使计算机起到权利要求6或7所述的数据分散装置或权利要求8或9所述的分散数据变换装置的作用。

说明书秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法以及程序
技术领域
本发明涉及计算量型秘密分散技术以及多方(multiparty)计算技术。
背景技术
秘密分散(secret sharing)是将数据变换为多个分散值，若利用一定个数以上的分散值则能够恢复原来的数据，根据少于一定个数的分散值完全无法恢复原来的数据的技术。将分散值的总数设为N，将进行恢复所需的分散值的最少数目设为K(≤N)时，存在对N、K的值没有限制的方式和有限制的方式。
作为秘密分散的代表性方式，有Shamir秘密分散方式(例如，参照非专利文献1)。在该方式的例子中，将p设为质数，将GF(p)设为位数p的有限体，根据针对a∈GF(p)成为f(0)＝a的、以x作为变量的K-1次式f(x)，获得a的分散值Si(a)＝f(i)(i＝1,...,N)。将n1、……、nK设为1以上且N以下的相互不同的整数，以下的关系成立，因此能够根据任意的不同的K个分散值恢复a。
【数1】
a=f(0)=Σi=1Kf(ni)·Li(0)]]>
Li(x)=Πj≠i,j=1Kx-njni-nj]]>
此外，作为秘密分散的一种，有基于计算量的安全性，根据少于一定个数的分散值完全无法恢复原来的数据的、计算量型秘密分散方式(例如，参照非专利文献2)。在该方式的例子中，利用公共密钥加密对信息a＝(a0,a1,...,aK-1)(a0、a1、……、aK-1∈GF(p))进行加密，根据由该密文c＝ (c0,c1,...,cK-1)(其中，c0、c1、……、cK-1∈GF(p))决定的、以x作为变量的K-1次式f(x)＝c0+c1x+…+cK-1xK-1获得c的分散值Ti(c)＝f(i)(i＝1,...,N)。此外，公共密钥另外通过Shamir秘密分散方式等分散。则，将n1、……、nK设为1以上且N以下的互相不同的整数，能够根据式f(x)的K个点(ni,f(ni))(i＝1,...,K)唯一地求出式f(x)的系数c0、c1、……、cK-1。这只要针对以c0、c1、……、cK-1作为变量的以下的矩阵求出c0、c1、……、cK-1的解即可。
【数2】

然后，恢复公共密钥，对c进行解密就能够获得a。
另一方面，提出了以秘密分散作为主要技术的多方计算方式。多方计算是各计算主体i(i＝1,...,N)分别以信息ai作为输入，对其他的计算主体不透漏信息ai，获取特定的函数值Fi(a1,...,aN)的技术。在上述的Shamir秘密分散方式中，根据信息a,b∈GF(p)的分散值Si(a)、Si(b)，不透漏各计算主体的输入，能够获得a+b的分散值Si(a+b)以及ab的分散值Si(ab)(参照非专利文献3)。即，只要是Shamir秘密分散方式，就能够进行加法以及乘法的多方计算。另外，将满足Si(a)+Si(b)＝Si(a+b)的关系的秘密分散称为具有加法同态(additive homomorphic)的秘密分散。
此外，作为秘密分散的一种，有线性秘密分散方式。线性秘密分散方式被定义为针对原来的数据a∈GF(p)，所有的分散值均能够通过a∈GF(p)以及GF(p)上的随机数的线性结合来表现的秘密分散。已知能够将任意的线性秘密分散方式扩展到多方计算上(参照非专利文献4)。
现有技术文献
非专利文献
非专利文献1：A.Shamir,“How to share a secret.”,Commun.ACM 22(11),pp.612-613,1979.
非专利文献2：H.Krawczyk,“Secret sharing made short.”,CRYPTO 1993, pp.136-146,1993.
非专利文献3：M.Ben-Or,S.Goldwasser,and A.Wigderson,“Completeness theorems for non-cryptographic fault-tolerant distributed computation(extended abstract),”STOC 1988,pp.1-10,1988.
非专利文献4：R.Cramer,I.Damgard,and U.Maurer,“General Secure Multi-Party Computation from any Linear Secret-Sharing Scheme”,Eurocrypto2000,pp.316-334,2000.
发明内容
发明要解决的课题
在Shamir秘密分散方式中，如果将信息a及其各分散值的数据量设为一定，则分散值的总数据量成为各信息a的数据量的大致N倍。恢复所需的分散值的总数据量成为各信息a的数据量的大致K倍。分散值的数据量随着通信时间和保存数据的增大而增大，因此期望尽量抑制分散值的数据量。
计算量型秘密分散方式一般来说成为Ti(a)+Ti(b)≠Ti(a+b)。从而，在计算量型秘密分散方式中，不同于Shamir秘密分散方式，进行各输入的加法的多方计算的方法并非显而易见。但是，计算量型秘密分散方式存在可使分散值的总数据量和恢复所需的分散值的总数据量少于Shamir秘密分散方式的优点。
本发明鉴于这一点而完成，其目的在于，提供能够利用计算量型秘密分散方式的分散值进行多方计算的秘密分散技术。
用于解决课题的手段
为了解决上述的课题，本发明的一个方式的秘密分散系统包括数据分散装置和N台分散数据变换装置。在本发明中，设N、K是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射。
本方式的数据分散装置具有密钥选择部、伪随机数生成部、加密部、密钥分散部、以及密文分散部。密钥选择部选择K-1个密钥s1、……、sK-1∈S。伪随机数生成部根据密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)，从而生成伪随机数r1、……、rK-1。加密部根据信息a∈R利用伪随机数r1、……、rK-1 生成密文c。密钥分散部将密钥s1、……、sK-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK-1(n)。密文分散部将密文c通过任意的秘密分散方式S0分散为N个分散值fc(n)。
本方式的分散数据变换装置包括恢复部、再分散部以及变换部。恢复部若被输入K个分散值fsj(i)，则根据将分散值fsj(i)通过规定的秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将分散值fc(i)通过规定的秘密分散方式S0恢复，从而生成恢复值Uj(j＝K)。再分散部将恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)。变换部根据K个分散值fU1(i)、……、fUK(i)生成信息a的分散值ga(i)。
本发明的其他方式的秘密分散系统包括数据分散装置和N台分散数据变换装置。在本发明中，设N、K、K’是2以上的整数，且N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R的映射。
本方式的数据分散装置包括密钥选择部、伪随机数生成部、加密部、密钥分散部、密文分散部。密钥选择部选择K’-1个密钥s1、……、sK’-1∈S。伪随机数生成部根据密钥s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)，从而生成伪随机数r1、……、rK’-1。加密部根据信息a∈R利用伪随机数r1、……、rK’-1生成密文c。密钥分散部将密钥s1、……、sK’-1通过任意的秘密分散方式S1分别分散为N个分散值fs1(n)、……、fsK’-1(n)。密文分散部将密文c通过任意的分散方式S0分散为N个分散值fc(n)。
本方式的分散数据变换装置包括恢复部、再分散部、变换部。恢复部若被输入K个分散值fsj(i)，则根据将分散值fsj(i)通过规定的秘密分散方式S1恢复后的值uj计算Uj＝P(uj)，若被输入K个分散值fc(i)，则将分散值fc(i)通过规定的分散方式S0恢复，从而生成恢复值Uj(j＝K’)。再分散部将恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散值fUj(n)。变换部根据K’个分散值fU1(i)、……、fUK’(i)生成信息a的分散值ga(i)。
发明效果
根据本发明的秘密分散技术，能够将基于计算量型秘密分散方式的分散值变换为基于任意的具有同态的秘密分散方式的分散值。例如，Shamir秘密 分散方式等现有的多数线性秘密分散方式是具有同态的秘密分散方式，利用基于Shamir秘密分散方式等现有的线性秘密分散方式的分散值进行多方计算的方法是已知的。因此，通过作为具有同态的秘密分散方式而选择Shamir秘密分散方式等现有的线性秘密分散方式，能够利用基于计算量型秘密分散方式的分散值进行多方计算。此外，如果作为分散密文c的秘密分散方式S0而应用编码效率良好的计算量型秘密分散方式，则分散值的尺寸变小，因此能够减少要保存的分散值的总数据容量以及恢复所需的分散值的总数据容量。
附图说明
图1是例示第一实施方式的秘密分散系统的功能结构的图。
图2是例示第一实施方式的数据分散装置的功能结构的图。
图3是例示第一实施方式的分散数据变换装置的功能结构的图。
图4是例示第一实施方式的数据分散装置的处理流程的图。
图5是例示第一实施方式的分散数据变换装置的处理流程的图。
图6是例示第二实施方式的秘密分散系统的功能结构的图。
图7是例示第二实施方式的数据分散装置的功能结构的图。
图8是例示第二实施方式的分散数据变换装置的功能结构的图。
图9是例示第二实施方式的数据分散装置的处理流程的图。
图10是例示第二实施方式的分散数据变换装置的处理流程的图。
具体实施方式
以下，详细说明本发明的实施方式。另外，对附图中具有相同功能的结构部赋予相同标号，并省略重复说明。
[第一实施方式]
本发明的第一实施方式的秘密分散系统将基于计算量型秘密分散方式的分散值变换为基于具有同态的任意的秘密分散方式的分散值。
＜结构＞
参照图1，说明第一实施方式有关的秘密分散系统1的结构例。秘密分散系统1包括数据分散装置10和至少N台分散数据变换装置201～20N以及网络90。数据分散装置10和分散数据变换装置201～20N连接到网络90。网络90只要构成为数据分散装置10和分散数据变换装置201～20N可分别相互 进行通信即可，例如能够由互联网、LAN、WAN等构成。此外，数据分散装置10和各分散数据变换装置201～20N无需一定要经由网络可在线进行通信。例如，也可以构成为将数据分散装置10输出的信息存储在USB存储器等可移动记录介质上，从该可移动记录介质向分散数据变换装置201～20N以离线方式输入。
参照图2，说明包含在秘密分散系统1中的数据分散装置10的结构例。数据分散装置10包括输入部110、密钥选择部120、伪随机数生成部130、加密部140、密钥分散部150、密文分散部160、输出部170。
参照图3，说明秘密分散系统1中包含的分散数据变换装置20的结构例。分散数据变换装置20包括输入部210、恢复部220、再分散部230、变换部240、输出部250、存储部290。存储部290能够由例如RAM(随机存取存储器)等主存储装置、硬盘或光盘或者闪存(Flash Memory)等由半导体存储元件构成的辅助存储装置、或者关系数据库(relational database)或关键值存储(key value store)等中间件构成。
＜数据分散处理＞
参照图4，按照实际进行的步骤的顺序说明数据分散装置10的动作例。在以下的说明中，设N、K是2以上的整数，且N≥K，n＝1,…,N，λ是互不相同的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R上的映射。映射P(x)针对被输入的x∈S输出环R的元素。对相同的输入x对应相同的P(x)。即，映射P(x)是只要输入相等则输出也相等的、确定性的映射。输入x与P(x)可以一对一对应，也可以不一对一对应。例如，映射P(x)是以x作为种(seed)而返回环R的元素的伪随机数生成函数。此外，例如映射P(x)是以x作为加密密钥，针对固定的明文输出属于环R的加密文的公共密钥加密函数。映射P(x)可以是函数，也可以是算法。
在步骤S110中，对输入部110输入信息a。信息a是包含于环R的值。从而，能够表示为a∈R。信息a例如是动画文件、语音文件、文本文件、表格文件等。信息a的数据量例如是1兆字节以上。
在步骤S120中，密钥选择部120选择K-1个密钥s1、……、sK-1∈S。密钥选择部120可以逐一随机地选择K-1个密钥s1、……、sK-1，也可以从事先生成并存储在存储器中的多个值中按照规定的规则选择K-1个密钥s1、……、 sK-1。密钥s1、……、sK-1的密钥长度设定为能够确保必要的安全性与可允许的处理性能的长度。例如，一般设为128～256比特，但并不限定于此。
密钥s1、……、sK-1被输入到伪随机数生成部130。在步骤S130中，伪随机数生成部130根据密钥s1、……、sK-1计算rj＝P(sj)(j＝1,...,K-1)，从而生成伪随机数r1、……、rK-1。
信息a和伪随机数r1、……、rK-1被输入到加密部140。在步骤S140中，加密部140根据信息a利用伪随机数r1、……、rK-1生成密文c。更具体来说，如以下的式所示那样，将从信息a减去伪随机数r1、……、rK-1的总和的结果设为密文c。
【数3】
c=a-Σk=1K-1rk]]>
密钥s1、……、sK-1还被输入到密钥分散部150。在步骤S150中，密钥分散部150将密钥s1、……、sK-1分别通过任意的秘密分散方式S1分散为N个分散值fs1(n)、……、fsK-1(n)(n＝1,...,N)。秘密分散方式S1可以是任意的秘密分散方式，但为了分散用于信息a的解密的密钥，期望应用安全性较高的秘密分散方式。例如，能够利用Shamir秘密分散方式。Shamir秘密分散方式是将N、K设为2以上的整数，且设N≥K，在将原来的数据分散为N个的分散值中，根据K个以上的分散值能够恢复原来的数据，但根据少于K个分散值完全无法恢复原来的数据的信息，因此安全性高的秘密分散方式。
密文c被输入到密文分散部160。在步骤S160中，密文分散部160根据任意的秘密分散方式S0将密文c分散为N个分散值fc(n)(n＝1,...,N)。秘密分散方式S0可以是任意的秘密分散方式，但例如能够应用在非专利文献2中记载的方法。但在应用非专利文献2中记载的方法时，需要将环R上的值c变换为GF(p)上的K阶向量。例如，若将质数p的比特长度设为L+1，将环R的元素的比特长度设为K×L以下，则为了使环R的元素成为K×L比特，利用0填充上位比特，对值c每L比特进行分割，将各L比特分割值设为0以上且小于2L的整数而作为GF(p)的元即可。
在步骤S170中，输出部170输出分散值fs1(n)、……、fsK-1(n)、fc(n)(n＝1,...,N)。被输出的各分散值fs1(n)、……、fsK-1(n)、fc(n)(n＝1,...,N)经由网络90或者USB存储器等可移动型记录介质分别输入到分散数据变换 装置201～20N。
＜分散数据变换处理＞
参照图5，按照实际进行的步骤的顺序说明分散数据变换装置20i的动作例。
在步骤S211中，输入部210被输入由数据分散装置10输出的K个分散值fsj(i)(i∈λ)或者K个分散值fc(i)。可以构成为分散值fsj(i)或者fc(i)预先存储在存储部290中，且在任意的定时执行后续的处理。也可以构成为没有存储在存储部290中，在分散值fsj(i)或fc(i)被输入时接着执行后续的处理。
K个分散值fsj(i)或K个分散值fc(i)被输入到恢复部220。在步骤S220中，恢复部220根据被输入的分散值fsj(i)或分散值fc(i)生成恢复值Uj。若被输入分散值fsj(i)，则对分散值fsj(i)通过任意的秘密分散方式S1进行恢复而生成值uj。接着，通过计算Uj＝P(uj)，设为恢复值Uj。映射P(x)是与数据分散装置10具有的伪随机数生成部130相同的映射。如上述那样，通过数据分散装置10具有的密钥分散部150，对fsj(i)(j＝1,...,K-1)设定密钥sj的分散值，因此由相同映射P(x)将密钥sj进行映射后的恢复值Uj与伪随机数rj相等。秘密分散方式S1可以是任意的秘密分散方式，但必须是与数据分散装置10所具有的密钥分散部150利用的秘密分散方式S1相同的方式。
若分散值fc(i)被输入，则通过任意的秘密分散方式S0恢复分散值fc(i)，生成恢复值Uj(j＝K)。如上述那样，由于通过数据分散装置10所具有的密文分散部160对fc(i)设定有密文c的分散值，因此恢复值Uj与密文c相等。秘密分散方式S0可以是任意的秘密分散方式，但必须是与数据分散装置10具有的密文分散部160利用的秘密分散方式S0相同的方式。
恢复值Uj被输入到再分散部230。在步骤S230中，再分散部230通过任意的具有同态的秘密分散方式S2将恢复值Uj分散为N个分散值fUj(n)(n＝1,...,N)。同态是指针对两个信息a、b的分散值fa(i)、fb(i)以及a+b的分散值fa+b(i)，fa(i)+fb(i)＝fa+b(i)成立的性质。秘密分散方式S2只要是具有同态的秘密分散方式，可以是任意的秘密分散方式。例如，能够应用Shamir秘密分散方式等现有的线性秘密分散方式。
另外，图5所示的步骤S211至步骤S230的处理无需N台分散数据变换 装置201～20N全部进行，只要任意地被选择的至少K台进行即可。
在步骤S212中，输入部210被输入K台分散数据变换装置20i(i∈λ)具有的再分散部230所生成的K个分散值fU1(i)、……、fUK(i)。分散值fU1(i)、……、fUK(i)可以预先存储在存储部290中，在任意的定时执行后续的处理。也可以不存储在存储部290中，在分散值fU1(i)、……、fUK(i)被输入时，继续执行后续的处理。
分散值fU1(i)、……、fUK(i)被输入到变换部240。在步骤S240中，变换部240根据K个分散值fU1(i)、……、fUK(i)生成信息a的分散值ga(i)。更具体来说，如以下的式所示那样，能够将分散值fU1(i)、……、fUK(i)的总和设为分散值ga(i)。
【数4】
ga(i)=Σk=1KfUk(i)]]>
如上述那样，fUK(i)是通过具有同态的秘密分散方式S2将密文c进行分散后的分散值，fU1(i)、……、fUK-1(i)是通过具有同态的秘密分散方式S2将伪随机数r1、……、rK-1分别分散后的分散值。从而，通过同态的性质，fU1(i)、……、fUK(i)的总和成为将密文c与伪随机数r1、……、rK-1的总和相加后的值通过秘密分散方式S2进行分散后的分散值。密文c是从信息a减去了伪随机数r1、……、rK-1的总和的值，因此该分散值ga(i)与将信息a通过秘密分散方式S2分散后的分散值相同。
在步骤S250中，输出部250输出分散值ga(i)。可以将分散值ga(i)预先存储在存储部290，根据来自外部的请求从存储部290读取并输出分散值ga(i)。
另外，图5所示的步骤S212至步骤S250的处理在N台分散数据变换装置201～20N的所有装置中进行。
＜保密性＞
分散数据变换装置201～20N获得的信息a所涉及的信息是基于具有同态的秘密分散方式S2的分散值，如果用于生成各分散值的随机数互相独立，则本实施方式的保密性归结为所利用的具有同态的秘密分散方式S2的保密性。此外，K台分散数据变换装置20i分别获得作为信息a的分散值的恢复值Uj的其中一个，但只要不获得所有的K个恢复值U1、……、UK就无法获得信 息a。因此，本实施方式的保密性归根结底归结到所利用的秘密分散方式S2的保密性。
＜效果＞
本实施方式的秘密分散系统能够将基于计算量型秘密分散方式的信息a的分散值fa(1)、……、fa(N)变换为基于任意的具有同态的秘密分散方式S2的分散值ga(1)、……、ga(N)。
作为具有同态的秘密分散方式，可举出例如Shamir秘密分散方式等现有的线性秘密分散方式。利用Shamir秘密分散方式等现有的线性秘密分散方式进行多方计算的方法是已知的，因此通过作为秘密分散方式S2而选择Shamir秘密分散方式等现有的任意的线性秘密分散方式，能够利用基于计算量型秘密分散方式的分散值进行多方计算。
例如，由于非专利文献2中记载的计算量型秘密分散方式中分散值的尺寸的下限成为原来的数据的1/K，因此如果作为分散密文c的秘密分散方式S0而应用非专利文献2中记载的计算量型秘密分散方式，则与分散值的尺寸和原来的数据相同程度的Shamir秘密分散方式相比，能够削减用于保存分散值所需的存储容量。
[第二实施方式]
本发明的第二实施方式的秘密分散系统将基于计算量型秘密分散方式的分散值变换为基于具有同态的任意的秘密分散方式的分散值。在第一实施方式中，要生成的密钥的数目与秘密分散方式的恢复的阈值是相同的数，但不一定非要相同。在第二实施方式中，示出将密钥的数目与恢复的阈值设为不同的值的情况下的例子。
＜结构＞
参照图6，说明第二实施方式的秘密分散系统2结构例。秘密分散系统2包含数据分散装置12、至少N台分散数据变换装置221～22N以及网络90。数据分散装置12与分散数据变换装置221～22N连接到网络90。网络90可以构成为数据分散装置12与分散数据变换装置221～22N的各个分散数据变换装置相互能够进行通信，能够由例如互联网、LAN、WAN等构成。此外，数据分散装置12与分散数据变换装置221～22N的各个分散数据变换装置无需一定要经由网络在线进行通信。例如，也可以构成为将数据分散装置12输出的信息存储在USB存储器等可移动型记录介质中，并从该可移动型记录介质 向分散数据变换装置221～22N通过离线方式输入。
参照图7，说明秘密分散系统2中包含的数据分散装置12的结构例。数据分散装置12包含输入部110、密钥选择部122、伪随机数生成部132、加密部142、密钥分散部152、密文分散部160以及输出部172。
参照图8，说明秘密分散系统2中包含的分散数据变换装置22的结构例。分散数据变换装置22包含输入部212、恢复部220、再分散部230、变换部242、输出部250、以及存储部290。存储部290能够由例如RAM(随机存取存储器)等主存储装置、由硬盘或光盘或闪速存储器(Flash Memory)等半导体存储器元件构成的辅助存储装置、或者关系数据库或关键值存储等中间件构成。
＜数据分散处理＞
参照图9，按照实际进行的步骤的顺序说明数据分散装置12的动作例。在以下的说明中，设N、K、K’是2以上的整数，N≥K，n＝1,...,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，S是密钥空间，P(x)是将x∈S映射到环R上的映射。映射P(x)针对被输入的x∈S输出环R的元素。对相同的输入x对应相同的P(x)。即，映射P(x)是只要输入相等则输出也相等的、确定性的映射。输入x与P(x)可以一对一地对应，也可以不一对一地对应。例如，映射P(x)是以x作为种而返回环R的元素的伪随机数生成函数。此外，例如映射P(x)是以x作为加密密钥，针对固定的明文输出属于环R的加密文的公共密钥加密函数。映射P(x)可以是函数，也可以是算法。
在步骤S110中，对输入部110输入信息a。信息a是包含于环R的值。从而，能够表示为a∈R。信息a例如是动画文件、语音文件、文本文件、表格文件等。信息a的数据量例如是1兆字节以上。
在步骤S122中，密钥选择部122选择K’-1个密钥s1、……、sK’-1∈S。密钥选择部122可以逐一随机地选择K’-1个密钥s1、……、sK’-1，也可以从事先生成并存储在存储器中的多个值中按照规定的规则选择K’-1个密钥s1、……、sK’-1。密钥s1、……、sK’-1的密钥长度设定为能够确保必要的安全性与可允许的处理性能的长度。例如，一般设为128～256比特，但并不限定于此。
密钥s1、……、sK’-1被输入到伪随机数生成部132。在步骤S132中，伪 随机数生成部132根据s1、……、sK’-1计算rj＝P(sj)(j＝1,...,K’-1)，从而生成伪随机数r1、……、rK’-1。
信息a和伪随机数r1、……、rK’-1被输入到加密部142。在步骤S142中，加密部142根据信息a利用伪随机数r1、……、rK’-1生成密文c。更具体来说，如以下的式所示那样，将从信息a减去伪随机数r1、……、rK’-1的总和的结果设为密文c。
【数5】
c=a-Σk=1K′-1rk]]>
密钥s1、……、sK’-1还被输入到密钥分散部152。在步骤S152中，密钥分散部152将密钥s1、……、sK’-1分别通过任意的秘密分散方式S1分散为N个分散值fs1(n)、……、fsK’-1(n)(n＝1,...,N)。秘密分散方式S1可以是任意的秘密分散方式，但为了分散用于信息a的解密的密钥，期望应用安全性较高的秘密分散方式。例如，能够利用Shamir秘密分散方式。Shamir秘密分散方式是将N、K设为2以上的整数，且设N≥K，在将原来的数据分散为N个的分散值中，根据K个以上的分散值能够恢复原来的数据，但根据少于K个分散值完全无法恢复原来的数据的信息，因此安全性高的秘密分散方式。
密文c被输入到密文分散部160。在步骤S160中，密文分散部160根据任意的分散方式S0将密文c分散为N个分散值fc(n)(n＝1,...,N)。分散方式S0可以是任意的分散方式，也可以是被称为信息传播算法(Information Dispersal Algorithm、IDA)的不考虑保密性(secrecy)的分散方式。分散方式S0例如能够应用非专利文献2中记载的方法。但在应用非专利文献2中记载的方法时，需要将环R上的值c变换为GF(p)上的K阶向量。例如，若将质数p的比特长度设为L+1，将环R的元素的比特长度设为K×L以下，则为了使环R的元素成为K×L比特，利用0填充上位比特，对值c每L比特进行分割，将各L比特分割值设为0以上且小于2L的整数而作为GF(p)的元即可。
在步骤S172中，输出部172输出分散值fs1(n)、……、fsK’-1(n)、fc(n)(n＝1,...,N)。被输出的各分散值fs1(n)、……、fsK’-1(n)、fc(n)(n＝1,...,N)经由网络90或者USB存储器等可移动型记录介质分别输入到分散数据变换装置221～22N。
＜分散数据变换处理＞
参照图10，按照实际进行的步骤的顺序说明分散数据变换装置22i的动作例。
在步骤S211中，输入部212被输入由数据分散装置12输出的K个分散值fsj(i)(i∈λ)或者K个分散值fc(i)。可以构成为分散值fsj(i)或者fc(i)预先存储在存储部290中，且在任意的定时执行后续的处理。也可以构成为没有存储在存储部290中，在分散值fsj(i)或fc(i)被输入时继续执行后续的处理。
K个分散值fsj(i)或K个分散值fc(i)被输入到恢复部220。在步骤S220中，恢复部220根据被输入的分散值fsj(i)或分散值fc(i)生成恢复值Uj。若被输入分散值fsj(i)，则对分散值fsj(i)通过任意的秘密分散方式S1进行恢复而生成值uj。接着，通过计算Uj＝P(uj)，设为恢复值Uj。映射P(x)是与数据分散装置12具有的伪随机数生成部130相同的映射。如上述那样，通过数据分散装置10具有的密钥分散部150，对fsj(i)(j＝1,...,K’-1)设定密钥sj的分散值，因此由相同映射P(x)将密钥sj进行映射后的恢复值Uj与伪随机数rj相等。秘密分散方式S1可以是任意的秘密分散方式，但必须是与数据分散装置12所具有的密钥分散部150利用的秘密分散方式S1相同的方式。
若分散值fc(i)被输入，则通过任意的分散方式S0恢复分散值fc(i)，生成恢复值Uj(j＝K’)。如上述那样，由于通过数据分散装置12所具有的密文分散部160对fc(i)设定有密文c的分散值，因此恢复值Uj(j＝K’)与密文c相等。分散方式S0可以是任意的分散方式，但必须是与数据分散装置12具有的密文分散部160利用的分散方式S0相同的方式。
恢复值Uj被输入到再分散部230。在步骤S230中，再分散部230通过任意的具有同态的秘密分散方式S2将恢复值Uj分散为N个分散值fUj(n)(n＝1,...,N)。同态是指针对两个信息a、b的分散值fa(i)、fb(i)以及a+b的分散值fa+b(i)，fa(i)+fb(i)＝fa+b(i)成立的性质。秘密分散方式S2只要是具有同态的秘密分散方式，可以是任意的秘密分散方式。例如，能够应用Shamir秘密分散方式等现有的线性秘密分散方式。
另外，图10所示的步骤S211至步骤S230的处理无需所有的N台分散数据变换装置221～22N都进行，只要被任意选择的至少K台进行即可。
在步骤S213中，输入部212被输入K’台分散数据变换装置22i(i∈λ)具有的再分散部230所生成的K’个分散值fU1(i)、……、fUK’(i)。分散值fU1(i)、……、fUK’(i)可以预先存储在存储部290中，在任意的定时执行后续的处理。也可以不存储在存储部290中，在分散值fU1(i)、……、fUK’(i)被输入时，继续执行后续的处理。
分散值fU1(i)、……、fUK’(i)被输入到变换部242。在步骤S242中，变换部242根据K’个分散值fU1(i)、……、fUK’(i)生成信息a的分散值ga(i)。更具体来说，如以下的式所示那样，能够将分散值fU1(i)、……、fUK’(i)的总和设为分散值ga(i)。
【数6】
ga(i)=Σk=1K′fUk(i)]]>
如上述那样，fUK’(i)是通过具有同态的秘密分散方式S2将密文c进行分散后的分散值，fU1(i)、……、fUK’-1(i)是通过具有同态的秘密分散方式S2将伪随机数r1、……、rK’-1分别分散后的分散值。从而，通过同态的性质，fU1(i)、……、fUK’(i)的总和成为将密文c与伪随机数r1、……、rK’-1的总和相加后的值通过秘密分散方式S2进行分散后的分散值。密文c是从信息a减去了伪随机数r1、……、rK’-1的总和的值，因此该分散值ga(i)与将信息a通过秘密分散方式S2分散后的分散值相同。
在步骤S250中，输出部250输出分散值ga(i)。可以将分散值ga(i)预先存储在存储部290中，根据来自外部的请求从存储部290读取并输出分散值ga(i)。
另外，图10所示的步骤S213至步骤S250的处理在所有N台分散数据变换装置221～22N中进行。
＜保密性＞
分散数据变换装置221～22N获得的信息a所涉及的信息是基于具有同态的秘密分散方式S2的分散值，如果用于生成各分散值的随机数互相独立，则本实施方式的保密性归结为所利用的具有同态的秘密分散方式S2的保密性。此外，K’台分散数据变换装置22i分别获得作为信息a的分散值的恢复值Uj中的其中一个，但只要不获得所有的K’个恢复值U1、……、UK’就无法获得信息a。其中，针对UK’，由于通过任意的分散方式进行分散，因此无法保证 匿名性。因此，只要设为K’>K，则本实施方式的保密性归根结底归结到所利用的秘密分散方式S2的保密性。
＜效果＞
本实施方式的秘密分散系统能够将基于计算量型秘密分散方式的信息a的分散值fa(1)、……、fa(N)变换为基于任意的具有同态的秘密分散方式S2的分散值ga(1)、……、ga(N)。
作为具有同态的秘密分散方式，可举出例如Shamir秘密分散方式等现有的线性秘密分散方式。利用Shamir秘密分散方式等现有的线性秘密分散方式进行多方计算的方法是已知的，因此通过作为秘密分散方式S2而选择Shamir秘密分散方式等现有的任意的线性秘密分散方式，能够利用基于计算量型秘密分散方式的分散值进行多方计算。
例如，由于非专利文献2中记载的计算量型秘密分散方式中分散值的尺寸的下限成为原来的数据的1/K，因此如果作为分散密文c的秘密分散方式S0而应用非专利文献2中记载的计算量型秘密分散方式，则与分散值的尺寸和原来的数据相同程度的Shamir秘密分散方式相比，能够削减用于保存分散值所需的存储容量。
[程序、记录介质]
本发明并不限定于上述的实施方式，在不脱离本发明的宗旨的范围内，当然可以适当进行变更。在上述实施例中说明的各种处理并不只是按照记载的顺序时序地被执行，也可以根据执行处理的装置的处理能力或者需要而并列地或者单独执行。
此外，当通过计算机来实现在上述实施方式中说明过的各装置中的各种处理功能的情况下，通过程序来记述各装置应具有的功能的处理内容。然后，通过由计算机来执行该程序，在计算机上实现上述各装置中的各种处理功能。
记述了该处理内容的程序可以预先记录在计算机可读取的记录介质上。作为计算机可读取的记录介质，例如可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的记录介质。
此外，该程序的流通例如通过销售、转让、出租记录了该程序的DVD、CD-ROM等可移动型记录介质而进行。进而，也可以将该程序预先存储在服务器计算机的存储装置中，经由网络从服务器计算机向其他计算机转发该程序，从而使该程序流通。
执行这样的程序的计算机例如首先将记录在可移动型记录介质上的程序或从服务器计算机转发的程序临时存储在自己的存储装置中。然后，在执行处理时，该计算机读取在自己的记录介质上存储了的程序，执行基于读取到的程序的处理。此外，作为该程序的其他执行方式，也可以由计算机从可移动型记录介质直接读取程序，执行基于该程序的处理，并在每次从服务器计算机向该计算机转发程序时，逐一执行基于接受到的程序的处理。此外，也可以通过所谓的ASP(应用服务供应商(Application Service Provider))型的服务，执行上述的处理，该ASP型服务中，不从服务器计算机向该计算机转发程序，而是仅根据其执行指示与结果取得而实现处理功能。另外，设本方式中的程序中包含用于电子计算机进行的处理信息，且该信息是基于程序的信息(不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。
此外，在本方式中，通过在计算机上执行规定的程序，构成本装置，但这些处理内容的至少一部分也可以通过硬件方式来实现。