秘匿計算方法及び装置
【課題】暗号文を復号することなく、平文を秘匿したままデータ検索を行うことを可能にする。
【解決手段】変換装置100は、検索したい文字列B=(bs・・・b1)、及び、検索対象のメッセージM=(mL・・・m1)を1ビットずつ暗号化した暗号文E(mi)(j=1,・・・,L)を入力し、j=1,・・・,L−s+1について、0以下の乱数rjを生成し、
を計算し、Xj(j=1,・・・,L−s+1)を復号装置に送る。復号装置は、Xjを復号し、復号結果が0であれば、対応するjを出力する。このjがメッシセージM内の文字列Bの含まれている箇所(ポインタ)を示す。
【解決手段】変換装置100は、検索したい文字列B=(bs・・・b1)、及び、検索対象のメッセージM=(mL・・・m1)を1ビットずつ暗号化した暗号文E(mi)(j=1,・・・,L)を入力し、j=1,・・・,L−s+1について、0以下の乱数rjを生成し、
を計算し、Xj(j=1,・・・,L−s+1)を復号装置に送る。復号装置は、Xjを復号し、復号結果が0であれば、対応するjを出力する。このjがメッシセージM内の文字列Bの含まれている箇所(ポインタ)を示す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は暗号応用技術に関し、特にメッセージやファイルデータを秘匿したままデータ検索する技術に関する。
【背景技術】
【0002】
従来より秘密鍵/公開鍵暗号方式は数多く提案されているが、安全性の観点から、一般に同一の平文であっても暗号化する度に暗号文が異なる方式であることが望ましいとされている。これには、例えば、Goldwasser−Micali暗号のような確率暗号が知れているが(例えば、非特許文献1参照)、従来の確率暗号は、一般に暗号文だけから、それに対応する平文を対象としたデータ検索を行うことはできない。
【0003】
【非特許文献1】岡本龍明,山本博資共著「現代暗号」§7.8 確率暗号,産業図書,1997年6月30日
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明は、平文を秘匿したままでデータ検索できるようにする秘匿計算方法及び装置を提供することにある。
【課題を解決するための手段】
【0005】
メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とする。検索したい文字列(ビット列)をB=(bs・・・b1)2とする。この時、j=1,・・・,L−s+1について以下を実施する。
(i)B及びE(mi)(i=1,・・・,L)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
【0006】
【数1】
を計算する。
(ii)0以外の適当な範囲の乱数rjを生成し、Xj及びrjからEの準同型性を利用して
【0007】
【数2】
を計算する。
(iii)Yjを復号し、復号結果が0であれば一致、そうでなければ不一致とする。
【0008】
ここで、上記(iii)について、(mj+s−1・・・mj)2=(bs・・・b1)2であればYjの復号結果は0、そうでなければ0以外の乱数となる。これにより、mi(i=1,・・・,L)の情報を漏らすことなくメッセージM=(mL・・・m1)2に文字列B=(bs・・・b1)2が含まれているかどうか、また含まれている場合どの箇所に含まれているか分かる。すなわち、その時のjの位置(ポインタ)で分かる。また、含まれていない場合、復号結果は0以外の乱数(rj)となるため、メッセージの解読は不可能である。なお、上記(i)と(ii)は同時に実施してもよい。
【0009】
これが本発明の基本原理であるが、これより簡易なやり方から複雑なやり方までの種々の方法が考えられる。以下にそれらを列記する。
(1) メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数として、以下の処理を実施する。
1.B及びE(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
2.Xjを復号する。
3.Xjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断する。
【0010】
(2) メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数として、以下の処理を実施する。
1.B及びE(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
2.0以外の適当な範囲の乱数rjを生成し、前記Xj及びrjからEの準同型性を利用して、
Yj=E(rj(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
3.Yjを復号する。
4.Yj復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断する。
【0011】
(3) 上記(1)または(2)において、m及びbをaとして、
【0012】
【数3】
とする(tは正整数)、
【0013】
(4) 上記(1)から(3)において、基本原理で説明したように、jを1からL−s+1の範囲で逐次行うことで、メッセージMが文字列Bを含むか、また含む場合はどの箇所かを特定する。
【0014】
(5) 上記(1)から(3)において、j=1,・・・,L−s+1について、XjないしYjの計算を行い、該XjないしYj(j=1,・・・,L−s+1)の順序を撹乱し、その後、XjないしYjを復号することで、メッセージMが文字列Bを含む場合、該含む箇所を秘匿する。順序の撹乱方法としては、例えば、MIX−net技術を用いる。
【0015】
(6) 上記(1)から(5)において、Eは閾値暗号とし、一定数以上の鍵を用いた場合に限りXjないしYjを復号できるようにする。
【0016】
(7) 上記(2)から(6)において、乱数rjは複数の乱数の積とする。さらに、ゼロ知識証明技術を用いて処理の正当性を証明、検証する。
【0017】
(8) 上記(1)から(7)において、メッセージMの暗号文E′(M)に対し、該暗号文を復号することなくE(mi)(i=1,・・・,L)を求める。さらには、miまたはbiの少なくとも一方を複数ビットとする。
【発明の効果】
【0018】
本発明によれば、暗号文を復号することなくデータ検索を行うことが可能であり、復号時に生じる漏洩リスクをなくすことができる。またメッセージを秘匿したまま検閲することができ、ユーザのプライバシ保護にも役立つ。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態について、図面を用いて説明する。
【0020】
[実施の形態1]
本実施の形態は、平文を秘匿したまま、メッセージ中に検索したい文字列が含まれている箇所を特定するものである。
【0021】
図1は、本実施の形態のシステム構成を示したもので、変換装置100と復号装置110で構成される。変換装置100は、検索対象のメッセージの暗号文と検索したい文字列を入力として暗号文を出力する。復号装置110は、変換装置100の出力である暗号文を入力として、最終的に文字列が含まれている箇所(ポインタ)を出力する。変換装置100は乱数発生手段101、暗号計算手段102及び入力された暗号文と文字列、計算の途中結果などを記憶する記憶手段103などから構成される。復号装置110は復号手段111、判定手段112及び変換装置100からの暗号文などを記憶する記憶手段113などから構成される。変換装置100と復号装置110は、利用目的等により、一体的あるいはネットワークを介して構成されることになる。
【0022】
以下、変換装置100及び復号装置110の動作を詳細する。いま、メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、EをPaillier暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とする。図2と図3は、このときの変換装置100及び復号装置110の処理フローチャートを示したもので、これに基づいて説明する。
【0023】
変換装置100、検索すべき文字列であるB=(bs・・・b1)2、及び、検索対象の暗号文である、メッセージMを1ビットずつ暗号化した値E(mi)(i=1,・・・,L)を入力する(ステップ201)。入力された文字列B=(bs・・・b1)2、暗号文E(mi)(i=1,・・・,L)は、例えば記憶手段103に記憶される。
【0024】
変換装置100は、まず、ポインタをj=1として(ステップ202)、乱数発生手段101で0以外の乱数rjを生成し(ステップ203)、暗号計算手段102で、暗号文Xj
【0025】
【数4】
を計算し(ステップ204)、該Xjとjの対(Xj,j)を記憶手段103に記憶する(ステップ205)。
【0026】
次に、変換装置100は、ポインタjを更新し(ステップ206)、同様にステップ203から205を実行する。以下、変換装置100は、順次、ポインタjを更新し、j=L−s+1になるまで(ステップ207でNo)、ステップ203〜206の処理を繰り返す。
【0027】
すなわち、変換装置100は、検索対象のメッセージMの暗号文(mi)(i=1,・・・,L)を最下位ビットから1ビットずつ順次ずらして、検索したい文字列B=(bs・・・b1)2に対応するsビット個ずつ、順番にXjを計算する。
【0028】
変換装置100は、j>L−s+1になると(ステップ207でYes)、すなわち、(mi)(i=1,・・・,L)の最上位ビットまで処理が終了すると、記憶手段103内の(Xj,j)(j=1,・・・,(L−s+1))を復号装置110に送信する。
【0029】
復号装置110は、変換装置100からXjとjの組(Xj,j)(j=1,・・・,(L−s+1))を受信し(ステップ211)、例えば、記憶手段113に記憶する。
【0030】
次に、復号装置110は、まず、ポインタをj=1として(ステップ212)、対応するXjを復号手段111で復号し(ステップ213)、判定手段112で、復号結果が0か否か判定する(ステップ214)。そして、復号結果が0でない場合、ポインタjを更新し(ステップ216)、同様にステップ213,214を実行する。以下、復号結果が0でない間、順次、ポインタjを更新し、ステップ213,214を繰り返す。
【0031】
こうして、復号装置110は、あるXjを復号し、復号結果として0が検出されたなら、その対応するポインタjを出力し(ステップ215)、この時点で処理を終了とする。また、j=L−s+1になるまで、ステップ213,214を繰り返しても、復号結果として0が検出されない場合(ステップ217でYes)、処理は終了となる。
【0032】
ここで、XjはPaillier暗号が有する準同型性より、
【0033】
【数5】
となることから、(mj+2−1・・・mj)=(bs・・・b1)2であれば、Xjの復号結果は0、そうでなけば0以外の乱数(rj)となる。これにより、復号装置110は、メッセージMの中に文字列Bを含む最下位ビットのアドレスを示すポインタj(j=1,・・・,L−s+1)を正しく出力することが分かる。
【0034】
なお、以上の説明では、変換装置100はXjをj=L−s+1まですべて計算した後、(Xj,j)(j=1,・・・,L-s+1)を一括して復号装置110に送信するとしたが、変換装置100はXjとjの対を順次復号装置110に送信するようにしてもよい。この場合、復号装置110は、受信したXjを順次復号し、復号結果として0が検出されたなら、その旨を変換装置100に返信する。変換装置100は、復号装置110から0検出が返信されたなら、その時点で処理を終了とする。
【0035】
[実施の形態2]
本実施の形態は、複数の変換装置により、ゼロ知識証明技術、順序の撹乱技術(MIX−net技術)、分散復号技術等を適用して、暗号化されたメッセージを復号することなく、ある文字列が含まれているかどうかだけを特定するものである。
【0036】
図4は本実施の形態のシステム構成例を示したもので、変換装置300が複数(1〜Nとする)、ネットワーク等により互いに接続されている。各変換装置300は、同一の検索対象メッセージの暗号文と検索したい文字列を初期入力とし、暗号文、部分復号情報、ゼロ知識証明文などを出力し、また、別の変換装置の出力である暗号文、部分復号知識証明文などを入力する。そして、最終的に、各変換装置300は、検索したい文字列がメッセージに含まれているか否か示す結果(Yes/No)を出力する。管理装置400は各変換装置300の動作を制御するものであるが、各変換装置あるいは特定の変換装置が受け持てば、管理装置400は省略しても良い。
【0037】
各変換装置300は、図5に示すように、管理装置400や他の変換装置などから所定の情報を受信する受信インタフェース部(受信I/F部)310、各種の処理を実行する処理部320、管理装置400や他の変換装置などへ所定の情報を送信する送信インタフェース部(送信I/F部)330、及び、入力された情報や処理結果の情報などを記憶する記憶部340で構成される。また、処理部320は乱数生成手段321、暗号計算手段322、暗号順序撹乱手段323、復号手段324、ゼロ知識証明情報生成手段325及びゼロ知識証明手段326などの処理機能を有している。
【0038】
以下、本実施の形態の動作を詳述する。図6はu番目の変換装置300の処理フローチャートを示したものであるが、他の変換装置300も同様である。
【0039】
いま、メッセージをM=(mL・・・m1)dとし(()dはd進数表記を意味する)、Eを文献1「G.Yamamoto,et al.,“Efficient,non−optimistic secure circuit evaluation based on the ElGamal encryption,”Proc.of WISA 2005,2005.」で定義されている変形閾値ElGamal暗号の暗号化関数とし、検索したい文字列をB=(bs・・・b1)dとする。閾値ElGamal暗号とは、一定数以上の鍵を用いない限り復号できないElGamal暗号である。これにより、単一の管理者による特権濫用(不正に復号する行為)を防ぐことができる。
【0040】
また、ゼロ知識証明は、例えば文献2「R.Cramer,I.Damgard and B.Schoenmakers,“Proofs of partialknowledge and Simplified design of withss hiding protocols,”Acvances in Cryptology−CRYPTO ′94」LNCS 839,pp.174−187,Springer−Verlag,1994.」および文献3「D.L.Chaum and T.P.Pedersen“Wallet databases with observers,”Acvances in Cryptology−CRYPTO ’92,LNCS 740,pp.80−105,Springer−Verlag,1993」の方法を組み合わせて行うことができる。なお、ゼロ知識証明自体は周知であるので、ここではその詳細は省略する。
【0041】
各変換装置300は、検索したい文字列B=(bs・・・b1)d、及び、検索対象のメッセージMをdビットずつ暗号化した値の暗号文E(mi)(i=1,・・・,L)を入力する(ステップ501)。入力された文字列B=(bs・・・b1)d、暗号文E(mi)(i=1,・・・,L)は、例えば、記憶部340に記憶される。
【0042】
各変換装置300は、暗号計算手段322にて、i=1,・・・,L−s+1について、
【0043】
【数6】
を計算する(ステップ502)。これは、先の実施の形態1において、変換装置100がXjを計算する場合と同様である。計算された暗号文Xj(j=1,・・・,L−s+1)は、例えば、記憶部340に記憶される。
【0044】
ここで、ある変換装置300で計算されたXj(j=1,・・・,L−s+1)をXj,0とする。どの変換装置のものをXj,0するかは、例えば、あらかじめ定めておくか、管理装置400が決定する。u=1,・・・,Nとして、変換装置uは、受信I/F部310を通してXj,u−1(j=1,・・・,L−s+1)を入力し、乱数生成手段321にて0以外の乱数rj,uを生成し、暗号計算手段322にて、Xj,u=rj,uXj,u−1を計算し、ゼロ知識証明情報生成手段325にてゼロ知識証明情報を生成し、該Xj,u及び該ゼロ知識証明情報を送信I/F部330を通して出力する(ステップ503)。このステップ503の処理イメージを図7に示す。
【0045】
各変換装置300は、他の変換装置が出力したXj,u(u=1,・・・,N)及び該ゼロ知識証明情報を、受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通して出力する(ステップ504)。ここでは、各変換装置300が検証合格を出力したとする。
【0046】
N番目の変換装置300が出力したXj,N(j=1,・・・,L−s+1)をYj,0とする。u=1,・・・,Nとして、変換装置uは、受信I/F部310を通してYj,u−1(j=1,・・・,L−s+1)を入力し、暗号順序撹乱手段323にて、例えば、検証可能MIX−net技術を用いてjの順序を撹乱した暗号文の組Yj,u(j=1,・・・,L−s+1)を計算し、ゼロ知識証明情報生成手段325にてYj,uの正当性を示すゼロ知識証明情報を生成し、該Yj,u及び該ゼロ知識証明情報を送信I/F部330を通して出力する(ステップ505)。このステップ505の処理イメージを図8に示す。
【0047】
各変換装置300は、他の変換装置が出力したYj,u及び該ゼロ知識証明情報を、受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通して出力する(ステップ506)。ここでは、各変換装置300が検証合格を出力したとする。
【0048】
N番目の変換装置300が出力したYj,N(j=1,・・・,L−s+1)をZjとする。u=1,・・・,Nとして、各変換装置uは、受信I/F部310を通してZj(j=1,・・・,L−s+1)を入力し、復号手段324にてZjを部分復号し(分散復号)、その部分復号結果Zj,u及び該ゼロ知識証明情報を、送信I/F部330を通して出力する(ステップ507)。各変換装置における分散復号の分担は、例えば、あらかじめ決めておくか、管理装置400で決定する。
【0049】
各変換装置300は、他の変換装置が出力した部分復号結果Zj,u及び該ゼロ知識証明情報を受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通してを出力する(ステップ508)。ここでは、各変換装置300が検証合格を出力したとする。
【0050】
各変換装置300は、復号手段324にて、部分復号結果Zj,u(j=1,・・・,L−s+1;u=1,・・・,N)からZj(j=1,・・・,L−s+1)の復号結果を計算し、該結果に0を含まれていれば“Yes”を出力し、含まれていなければ“No”を出力する(ステップ509)。例えば、1〜Nのすべての変換装置300が“Yes”を出力した場合、メッセージMの中に文字列Bが含まれているとする。
【0051】
ここで、Zjは変形閾値ElGamal暗号が有する準同型性及び検証可能MIX−net技術を用いて
【0052】
【数7】
となることから、(mj+s−1・・・mj)2=(bs・・・b1)2であれば、Xjの復号結果は0、そうでなければ0以外の乱数となる。これにより、各変換装置300は出力Yes/NoによりメッセージMの中に文字列Bが含まれているかどうか分かる。また、文字列Bが含まれる箇所は全ての変換装置300が協力しないと得られない置換πによって秘匿される。更に(mj+s−1・・・mj)2≠(bs・・・b1)2でない場合は全ての変換装置300が協力しないと得られない乱数Πurj,uによって復号結果がランダム化されるため、メッセージMの情報は露呈しない。
【0053】
なお、ステップ504、506、508において検証不合格を示す情報が出力された場合の対処は、一般には事前に決めた規則に従えば問題なく、例えば一定数以上の変換装置から、あるゼロ知識証明情報に対して検証不合格を示す情報が出力された場合は、該ゼロ知識証明情報を出力した変換装置を除外し、残りの変換装置で処理を継続するといった方法が考えられる。
【0054】
[実施の形態3]
本実施の形態は、先の実施の形態1や2の前処理として、任意の暗号化関数εを用いて暗号化されたメッセージε(M)を準同型暗号の暗号化関数Eを用いて1ビットずつ暗号化されたメッセージE(mi)(i=1,・・・,L)に変換するものである。これにより、実施の形態1や2の入力である暗号化メッセージE(mi)(i=1,・・・,L)について、任意の暗号関数に対して適用できることから利用範囲が広がることが期待できる。
【0055】
図4に示した実施の形態2のシステム構成を例にすると、1〜Nの各変換装置300は、任意の暗号化関数εを用いて暗号化されたメッセージε(M)(M=(mL・・・m1)2)、変形閾値ElGamal暗号を用いて1ビット毎に暗号化されたεの秘密鍵E(Ki)(i=1,・・・,v)、検索したい文字列(ビット列)B=(bs・・・b1)2、及び復号関数ε−1のロジック回路記述LCを入力する。すると、Bの分散秘密鍵su(u=1,・・・,N)を変換装置uが格納し、各変換装置はsu,ε(M),E(Mi)(u=1,・・・,N),LCを入力し、例えば、先の文献1のマルチパーティプロトコルを実行することで、M,Ki(i=1,・・・,v)の情報を露呈することなくE(mi)(i=1,・・・,L)を得ることができる。なお、その取得方法は先の文献1から明らかであるため、ここではその説明を省略する。
【0056】
以上より、E(mi)を取得すれば、後は各変換装置300が図6、図7で示した手順を実行することで、各変換装置300は出力Yes/NoによりメッセージMの中に文字列Bが含まれているかどうか分かる。
【0057】
なお、図1や図5で示した装置における各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図2や図3、図6で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【図面の簡単な説明】
【0058】
【図1】本発明の第1の実施の形態の構成例を示す図である。
【図2】第1の実施の形態の変換装置の処理フローチャート例である。
【図3】第1の実施の形態の復号装置の処理フローチャート例である。
【図4】本発明の第2の実施の形態のシステム構成例を示す図である。
【図5】第2の実施の形態の変換装置の構成例を示す図である。
【図6】第2の実施の形態の変換装置uの処理フローチャート例である。
【図7】第2の実施の形態の処理の一部を説明する図である。
【図8】第2の実施の形態の処理の他の一部を説明する図である。
【符号の説明】
【0059】
100 暗号装置
101 乱数発生手段
102 暗号計算手段
103 記憶手段
110 変換装置
111 復号手段
112 判定手段
113 記憶手段
300 変換装置
310 受信I/F部
320 処理部
321 乱数発生手段
322 暗号計算手段
323 暗号順序撹乱手段
324 復号手段
325 ゼロ知識証明情報生成手段
326 ゼロ知識証明手段
330 送信I/F部
340 記憶部
【技術分野】
【0001】
本発明は暗号応用技術に関し、特にメッセージやファイルデータを秘匿したままデータ検索する技術に関する。
【背景技術】
【0002】
従来より秘密鍵/公開鍵暗号方式は数多く提案されているが、安全性の観点から、一般に同一の平文であっても暗号化する度に暗号文が異なる方式であることが望ましいとされている。これには、例えば、Goldwasser−Micali暗号のような確率暗号が知れているが(例えば、非特許文献1参照)、従来の確率暗号は、一般に暗号文だけから、それに対応する平文を対象としたデータ検索を行うことはできない。
【0003】
【非特許文献1】岡本龍明,山本博資共著「現代暗号」§7.8 確率暗号,産業図書,1997年6月30日
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明は、平文を秘匿したままでデータ検索できるようにする秘匿計算方法及び装置を提供することにある。
【課題を解決するための手段】
【0005】
メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とする。検索したい文字列(ビット列)をB=(bs・・・b1)2とする。この時、j=1,・・・,L−s+1について以下を実施する。
(i)B及びE(mi)(i=1,・・・,L)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
【0006】
【数1】
を計算する。
(ii)0以外の適当な範囲の乱数rjを生成し、Xj及びrjからEの準同型性を利用して
【0007】
【数2】
を計算する。
(iii)Yjを復号し、復号結果が0であれば一致、そうでなければ不一致とする。
【0008】
ここで、上記(iii)について、(mj+s−1・・・mj)2=(bs・・・b1)2であればYjの復号結果は0、そうでなければ0以外の乱数となる。これにより、mi(i=1,・・・,L)の情報を漏らすことなくメッセージM=(mL・・・m1)2に文字列B=(bs・・・b1)2が含まれているかどうか、また含まれている場合どの箇所に含まれているか分かる。すなわち、その時のjの位置(ポインタ)で分かる。また、含まれていない場合、復号結果は0以外の乱数(rj)となるため、メッセージの解読は不可能である。なお、上記(i)と(ii)は同時に実施してもよい。
【0009】
これが本発明の基本原理であるが、これより簡易なやり方から複雑なやり方までの種々の方法が考えられる。以下にそれらを列記する。
(1) メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数として、以下の処理を実施する。
1.B及びE(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
2.Xjを復号する。
3.Xjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断する。
【0010】
(2) メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数として、以下の処理を実施する。
1.B及びE(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
2.0以外の適当な範囲の乱数rjを生成し、前記Xj及びrjからEの準同型性を利用して、
Yj=E(rj(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算する。
3.Yjを復号する。
4.Yj復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断する。
【0011】
(3) 上記(1)または(2)において、m及びbをaとして、
【0012】
【数3】
とする(tは正整数)、
【0013】
(4) 上記(1)から(3)において、基本原理で説明したように、jを1からL−s+1の範囲で逐次行うことで、メッセージMが文字列Bを含むか、また含む場合はどの箇所かを特定する。
【0014】
(5) 上記(1)から(3)において、j=1,・・・,L−s+1について、XjないしYjの計算を行い、該XjないしYj(j=1,・・・,L−s+1)の順序を撹乱し、その後、XjないしYjを復号することで、メッセージMが文字列Bを含む場合、該含む箇所を秘匿する。順序の撹乱方法としては、例えば、MIX−net技術を用いる。
【0015】
(6) 上記(1)から(5)において、Eは閾値暗号とし、一定数以上の鍵を用いた場合に限りXjないしYjを復号できるようにする。
【0016】
(7) 上記(2)から(6)において、乱数rjは複数の乱数の積とする。さらに、ゼロ知識証明技術を用いて処理の正当性を証明、検証する。
【0017】
(8) 上記(1)から(7)において、メッセージMの暗号文E′(M)に対し、該暗号文を復号することなくE(mi)(i=1,・・・,L)を求める。さらには、miまたはbiの少なくとも一方を複数ビットとする。
【発明の効果】
【0018】
本発明によれば、暗号文を復号することなくデータ検索を行うことが可能であり、復号時に生じる漏洩リスクをなくすことができる。またメッセージを秘匿したまま検閲することができ、ユーザのプライバシ保護にも役立つ。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態について、図面を用いて説明する。
【0020】
[実施の形態1]
本実施の形態は、平文を秘匿したまま、メッセージ中に検索したい文字列が含まれている箇所を特定するものである。
【0021】
図1は、本実施の形態のシステム構成を示したもので、変換装置100と復号装置110で構成される。変換装置100は、検索対象のメッセージの暗号文と検索したい文字列を入力として暗号文を出力する。復号装置110は、変換装置100の出力である暗号文を入力として、最終的に文字列が含まれている箇所(ポインタ)を出力する。変換装置100は乱数発生手段101、暗号計算手段102及び入力された暗号文と文字列、計算の途中結果などを記憶する記憶手段103などから構成される。復号装置110は復号手段111、判定手段112及び変換装置100からの暗号文などを記憶する記憶手段113などから構成される。変換装置100と復号装置110は、利用目的等により、一体的あるいはネットワークを介して構成されることになる。
【0022】
以下、変換装置100及び復号装置110の動作を詳細する。いま、メッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、EをPaillier暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とする。図2と図3は、このときの変換装置100及び復号装置110の処理フローチャートを示したもので、これに基づいて説明する。
【0023】
変換装置100、検索すべき文字列であるB=(bs・・・b1)2、及び、検索対象の暗号文である、メッセージMを1ビットずつ暗号化した値E(mi)(i=1,・・・,L)を入力する(ステップ201)。入力された文字列B=(bs・・・b1)2、暗号文E(mi)(i=1,・・・,L)は、例えば記憶手段103に記憶される。
【0024】
変換装置100は、まず、ポインタをj=1として(ステップ202)、乱数発生手段101で0以外の乱数rjを生成し(ステップ203)、暗号計算手段102で、暗号文Xj
【0025】
【数4】
を計算し(ステップ204)、該Xjとjの対(Xj,j)を記憶手段103に記憶する(ステップ205)。
【0026】
次に、変換装置100は、ポインタjを更新し(ステップ206)、同様にステップ203から205を実行する。以下、変換装置100は、順次、ポインタjを更新し、j=L−s+1になるまで(ステップ207でNo)、ステップ203〜206の処理を繰り返す。
【0027】
すなわち、変換装置100は、検索対象のメッセージMの暗号文(mi)(i=1,・・・,L)を最下位ビットから1ビットずつ順次ずらして、検索したい文字列B=(bs・・・b1)2に対応するsビット個ずつ、順番にXjを計算する。
【0028】
変換装置100は、j>L−s+1になると(ステップ207でYes)、すなわち、(mi)(i=1,・・・,L)の最上位ビットまで処理が終了すると、記憶手段103内の(Xj,j)(j=1,・・・,(L−s+1))を復号装置110に送信する。
【0029】
復号装置110は、変換装置100からXjとjの組(Xj,j)(j=1,・・・,(L−s+1))を受信し(ステップ211)、例えば、記憶手段113に記憶する。
【0030】
次に、復号装置110は、まず、ポインタをj=1として(ステップ212)、対応するXjを復号手段111で復号し(ステップ213)、判定手段112で、復号結果が0か否か判定する(ステップ214)。そして、復号結果が0でない場合、ポインタjを更新し(ステップ216)、同様にステップ213,214を実行する。以下、復号結果が0でない間、順次、ポインタjを更新し、ステップ213,214を繰り返す。
【0031】
こうして、復号装置110は、あるXjを復号し、復号結果として0が検出されたなら、その対応するポインタjを出力し(ステップ215)、この時点で処理を終了とする。また、j=L−s+1になるまで、ステップ213,214を繰り返しても、復号結果として0が検出されない場合(ステップ217でYes)、処理は終了となる。
【0032】
ここで、XjはPaillier暗号が有する準同型性より、
【0033】
【数5】
となることから、(mj+2−1・・・mj)=(bs・・・b1)2であれば、Xjの復号結果は0、そうでなけば0以外の乱数(rj)となる。これにより、復号装置110は、メッセージMの中に文字列Bを含む最下位ビットのアドレスを示すポインタj(j=1,・・・,L−s+1)を正しく出力することが分かる。
【0034】
なお、以上の説明では、変換装置100はXjをj=L−s+1まですべて計算した後、(Xj,j)(j=1,・・・,L-s+1)を一括して復号装置110に送信するとしたが、変換装置100はXjとjの対を順次復号装置110に送信するようにしてもよい。この場合、復号装置110は、受信したXjを順次復号し、復号結果として0が検出されたなら、その旨を変換装置100に返信する。変換装置100は、復号装置110から0検出が返信されたなら、その時点で処理を終了とする。
【0035】
[実施の形態2]
本実施の形態は、複数の変換装置により、ゼロ知識証明技術、順序の撹乱技術(MIX−net技術)、分散復号技術等を適用して、暗号化されたメッセージを復号することなく、ある文字列が含まれているかどうかだけを特定するものである。
【0036】
図4は本実施の形態のシステム構成例を示したもので、変換装置300が複数(1〜Nとする)、ネットワーク等により互いに接続されている。各変換装置300は、同一の検索対象メッセージの暗号文と検索したい文字列を初期入力とし、暗号文、部分復号情報、ゼロ知識証明文などを出力し、また、別の変換装置の出力である暗号文、部分復号知識証明文などを入力する。そして、最終的に、各変換装置300は、検索したい文字列がメッセージに含まれているか否か示す結果(Yes/No)を出力する。管理装置400は各変換装置300の動作を制御するものであるが、各変換装置あるいは特定の変換装置が受け持てば、管理装置400は省略しても良い。
【0037】
各変換装置300は、図5に示すように、管理装置400や他の変換装置などから所定の情報を受信する受信インタフェース部(受信I/F部)310、各種の処理を実行する処理部320、管理装置400や他の変換装置などへ所定の情報を送信する送信インタフェース部(送信I/F部)330、及び、入力された情報や処理結果の情報などを記憶する記憶部340で構成される。また、処理部320は乱数生成手段321、暗号計算手段322、暗号順序撹乱手段323、復号手段324、ゼロ知識証明情報生成手段325及びゼロ知識証明手段326などの処理機能を有している。
【0038】
以下、本実施の形態の動作を詳述する。図6はu番目の変換装置300の処理フローチャートを示したものであるが、他の変換装置300も同様である。
【0039】
いま、メッセージをM=(mL・・・m1)dとし(()dはd進数表記を意味する)、Eを文献1「G.Yamamoto,et al.,“Efficient,non−optimistic secure circuit evaluation based on the ElGamal encryption,”Proc.of WISA 2005,2005.」で定義されている変形閾値ElGamal暗号の暗号化関数とし、検索したい文字列をB=(bs・・・b1)dとする。閾値ElGamal暗号とは、一定数以上の鍵を用いない限り復号できないElGamal暗号である。これにより、単一の管理者による特権濫用(不正に復号する行為)を防ぐことができる。
【0040】
また、ゼロ知識証明は、例えば文献2「R.Cramer,I.Damgard and B.Schoenmakers,“Proofs of partialknowledge and Simplified design of withss hiding protocols,”Acvances in Cryptology−CRYPTO ′94」LNCS 839,pp.174−187,Springer−Verlag,1994.」および文献3「D.L.Chaum and T.P.Pedersen“Wallet databases with observers,”Acvances in Cryptology−CRYPTO ’92,LNCS 740,pp.80−105,Springer−Verlag,1993」の方法を組み合わせて行うことができる。なお、ゼロ知識証明自体は周知であるので、ここではその詳細は省略する。
【0041】
各変換装置300は、検索したい文字列B=(bs・・・b1)d、及び、検索対象のメッセージMをdビットずつ暗号化した値の暗号文E(mi)(i=1,・・・,L)を入力する(ステップ501)。入力された文字列B=(bs・・・b1)d、暗号文E(mi)(i=1,・・・,L)は、例えば、記憶部340に記憶される。
【0042】
各変換装置300は、暗号計算手段322にて、i=1,・・・,L−s+1について、
【0043】
【数6】
を計算する(ステップ502)。これは、先の実施の形態1において、変換装置100がXjを計算する場合と同様である。計算された暗号文Xj(j=1,・・・,L−s+1)は、例えば、記憶部340に記憶される。
【0044】
ここで、ある変換装置300で計算されたXj(j=1,・・・,L−s+1)をXj,0とする。どの変換装置のものをXj,0するかは、例えば、あらかじめ定めておくか、管理装置400が決定する。u=1,・・・,Nとして、変換装置uは、受信I/F部310を通してXj,u−1(j=1,・・・,L−s+1)を入力し、乱数生成手段321にて0以外の乱数rj,uを生成し、暗号計算手段322にて、Xj,u=rj,uXj,u−1を計算し、ゼロ知識証明情報生成手段325にてゼロ知識証明情報を生成し、該Xj,u及び該ゼロ知識証明情報を送信I/F部330を通して出力する(ステップ503)。このステップ503の処理イメージを図7に示す。
【0045】
各変換装置300は、他の変換装置が出力したXj,u(u=1,・・・,N)及び該ゼロ知識証明情報を、受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通して出力する(ステップ504)。ここでは、各変換装置300が検証合格を出力したとする。
【0046】
N番目の変換装置300が出力したXj,N(j=1,・・・,L−s+1)をYj,0とする。u=1,・・・,Nとして、変換装置uは、受信I/F部310を通してYj,u−1(j=1,・・・,L−s+1)を入力し、暗号順序撹乱手段323にて、例えば、検証可能MIX−net技術を用いてjの順序を撹乱した暗号文の組Yj,u(j=1,・・・,L−s+1)を計算し、ゼロ知識証明情報生成手段325にてYj,uの正当性を示すゼロ知識証明情報を生成し、該Yj,u及び該ゼロ知識証明情報を送信I/F部330を通して出力する(ステップ505)。このステップ505の処理イメージを図8に示す。
【0047】
各変換装置300は、他の変換装置が出力したYj,u及び該ゼロ知識証明情報を、受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通して出力する(ステップ506)。ここでは、各変換装置300が検証合格を出力したとする。
【0048】
N番目の変換装置300が出力したYj,N(j=1,・・・,L−s+1)をZjとする。u=1,・・・,Nとして、各変換装置uは、受信I/F部310を通してZj(j=1,・・・,L−s+1)を入力し、復号手段324にてZjを部分復号し(分散復号)、その部分復号結果Zj,u及び該ゼロ知識証明情報を、送信I/F部330を通して出力する(ステップ507)。各変換装置における分散復号の分担は、例えば、あらかじめ決めておくか、管理装置400で決定する。
【0049】
各変換装置300は、他の変換装置が出力した部分復号結果Zj,u及び該ゼロ知識証明情報を受信I/F部310を通して入力し、ゼロ知識証明手段326にて、その正当性を検証し、検証合格/不合格を表す情報を、送信I/F部330を通してを出力する(ステップ508)。ここでは、各変換装置300が検証合格を出力したとする。
【0050】
各変換装置300は、復号手段324にて、部分復号結果Zj,u(j=1,・・・,L−s+1;u=1,・・・,N)からZj(j=1,・・・,L−s+1)の復号結果を計算し、該結果に0を含まれていれば“Yes”を出力し、含まれていなければ“No”を出力する(ステップ509)。例えば、1〜Nのすべての変換装置300が“Yes”を出力した場合、メッセージMの中に文字列Bが含まれているとする。
【0051】
ここで、Zjは変形閾値ElGamal暗号が有する準同型性及び検証可能MIX−net技術を用いて
【0052】
【数7】
となることから、(mj+s−1・・・mj)2=(bs・・・b1)2であれば、Xjの復号結果は0、そうでなければ0以外の乱数となる。これにより、各変換装置300は出力Yes/NoによりメッセージMの中に文字列Bが含まれているかどうか分かる。また、文字列Bが含まれる箇所は全ての変換装置300が協力しないと得られない置換πによって秘匿される。更に(mj+s−1・・・mj)2≠(bs・・・b1)2でない場合は全ての変換装置300が協力しないと得られない乱数Πurj,uによって復号結果がランダム化されるため、メッセージMの情報は露呈しない。
【0053】
なお、ステップ504、506、508において検証不合格を示す情報が出力された場合の対処は、一般には事前に決めた規則に従えば問題なく、例えば一定数以上の変換装置から、あるゼロ知識証明情報に対して検証不合格を示す情報が出力された場合は、該ゼロ知識証明情報を出力した変換装置を除外し、残りの変換装置で処理を継続するといった方法が考えられる。
【0054】
[実施の形態3]
本実施の形態は、先の実施の形態1や2の前処理として、任意の暗号化関数εを用いて暗号化されたメッセージε(M)を準同型暗号の暗号化関数Eを用いて1ビットずつ暗号化されたメッセージE(mi)(i=1,・・・,L)に変換するものである。これにより、実施の形態1や2の入力である暗号化メッセージE(mi)(i=1,・・・,L)について、任意の暗号関数に対して適用できることから利用範囲が広がることが期待できる。
【0055】
図4に示した実施の形態2のシステム構成を例にすると、1〜Nの各変換装置300は、任意の暗号化関数εを用いて暗号化されたメッセージε(M)(M=(mL・・・m1)2)、変形閾値ElGamal暗号を用いて1ビット毎に暗号化されたεの秘密鍵E(Ki)(i=1,・・・,v)、検索したい文字列(ビット列)B=(bs・・・b1)2、及び復号関数ε−1のロジック回路記述LCを入力する。すると、Bの分散秘密鍵su(u=1,・・・,N)を変換装置uが格納し、各変換装置はsu,ε(M),E(Mi)(u=1,・・・,N),LCを入力し、例えば、先の文献1のマルチパーティプロトコルを実行することで、M,Ki(i=1,・・・,v)の情報を露呈することなくE(mi)(i=1,・・・,L)を得ることができる。なお、その取得方法は先の文献1から明らかであるため、ここではその説明を省略する。
【0056】
以上より、E(mi)を取得すれば、後は各変換装置300が図6、図7で示した手順を実行することで、各変換装置300は出力Yes/NoによりメッセージMの中に文字列Bが含まれているかどうか分かる。
【0057】
なお、図1や図5で示した装置における各部の一部もしくは全部の処理機能をコンピュータのプログラムで構成し、そのプログラムをコンピュータを用いて実行して本発明を実現することができること、あるいは、図2や図3、図6で示した処理手順をコンピュータのプログラムで構成し、そのプログラムをコンピュータに実行させることができることは言うまでもない。また、コンピュータでその処理機能を実現するためのプログラム、あるいは、コンピュータにその処理手順を実行させるためのプログラムを、そのコンピュータが読み取り可能な記録媒体、例えば、FD、MO、ROM、メモリカード、CD、DVD、リムーバブルディスクなどに記録して、保存したり、提供したりすることができるとともに、インターネット等のネットワークを通してそのプログラムを配布したりすることが可能である。
【図面の簡単な説明】
【0058】
【図1】本発明の第1の実施の形態の構成例を示す図である。
【図2】第1の実施の形態の変換装置の処理フローチャート例である。
【図3】第1の実施の形態の復号装置の処理フローチャート例である。
【図4】本発明の第2の実施の形態のシステム構成例を示す図である。
【図5】第2の実施の形態の変換装置の構成例を示す図である。
【図6】第2の実施の形態の変換装置uの処理フローチャート例である。
【図7】第2の実施の形態の処理の一部を説明する図である。
【図8】第2の実施の形態の処理の他の一部を説明する図である。
【符号の説明】
【0059】
100 暗号装置
101 乱数発生手段
102 暗号計算手段
103 記憶手段
110 変換装置
111 復号手段
112 判定手段
113 記憶手段
300 変換装置
310 受信I/F部
320 処理部
321 乱数発生手段
322 暗号計算手段
323 暗号順序撹乱手段
324 復号手段
325 ゼロ知識証明情報生成手段
326 ゼロ知識証明手段
330 送信I/F部
340 記憶部
【特許請求の範囲】
【請求項1】
暗号文を復号することなくデータ検索を可能にする秘匿計算方法であって、
検索対象のメッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数とし、
文字列B及び暗号文E(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
前記Xjを復号するステップ、
前記Xjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断するステップ、
からなることを特徴とする秘匿計算方法。
【請求項2】
暗号文を復号することなくデータ検索を可能にする秘匿計算方法であって、
検索対象のメッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数とし、
文字列B及び暗号文E(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
0以外の適当な範囲の乱数rjを生成し、前記Xj及びrjからEの準同型性を利用して、
Yj=E(rj(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
前記Yjを復号するステップ、
前記Yjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断するステップ、
からなることを特徴とする秘匿計算方法。
【請求項3】
請求項1または2に記載の秘匿計算方法において、m及びbをaとして、
【数1】
とする(tは正整数)、
ことを特徴とする秘匿計算方法。
【請求項4】
請求項1から3のいずれか1項に記載の秘匿計算方法において、jを1からL−s+1の範囲で逐次行うことで、メッセージMが文字列Bを含むか、また含む場合はどの箇所かを特定する、
ことを特徴とする秘匿計算方法。
【請求項5】
請求項1から3のいずれか1項に記載の秘匿計算方法において、j=1,・・・,L−s+1についてXjないしYjの計算を行い、該XjないしYj(j=1,・・・,L−s+1)の順序を撹乱し、その後、XjないしYjを復号することで、メッセージMが文字列Bを含む場合、該含む箇所を秘匿する、
ことを特徴とする秘匿計算方法。
【請求項6】
請求項1から5のいずれか1項に記載の秘匿計算方法において、Eは閾値暗号とし、一定数以上の鍵を用いた場合に限りXjないしYjを復号できるようにする、
ことを特徴とする秘匿計算方法。
【請求項7】
請求項2から6のいずれか1項に記載の秘匿計算方法において、乱数rjは複数の乱数の積とする、
ことを特徴とする秘匿計算方法。
【請求項8】
請求項1から7のいずれか1項に記載の秘匿計算方法において、ゼロ知識証明技術を用いて処理の正当性を証明、検証する、
ことを特徴とする秘匿計算方法。
【請求項9】
請求項1から8のいずれか1項に記載の秘匿計算方法において、メッセージMの暗号文E′(M)に対し、該暗号文を復号することなくE(mi)(i=1,・・・,L)を求める、
ことを特徴とする秘匿計算方法。
【請求項10】
請求項1から9のいずれか1項に記載の秘匿計算方法において、miまたはbiの少なくとも一方を複数ビットとする、
ことを特徴とする秘匿計算方法。
【請求項11】
請求項1から10のいずれか1項に記載の秘匿計算方法を実施することを特徴とする秘匿計算装置。
【請求項1】
暗号文を復号することなくデータ検索を可能にする秘匿計算方法であって、
検索対象のメッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数とし、
文字列B及び暗号文E(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
前記Xjを復号するステップ、
前記Xjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断するステップ、
からなることを特徴とする秘匿計算方法。
【請求項2】
暗号文を復号することなくデータ検索を可能にする秘匿計算方法であって、
検索対象のメッセージをM=(mL・・・m1)2とし(()2は2進数表記を意味する)、Eを準同型暗号の暗号化関数とし、検索したい文字列(ビット列)をB=(bs・・・b1)2とし、fを適当なs個の入力関数とし、
文字列B及び暗号文E(mi)(i=j,・・・,j+s−1)を入力とし、Eの準同型性を利用してE(mi)を復号することなく
Xj=E(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
0以外の適当な範囲の乱数rjを生成し、前記Xj及びrjからEの準同型性を利用して、
Yj=E(rj(f(mj,mj+1,・・・,mj+s−1)−f(b1,b2,・・・,bs))
を計算するステップ、
前記Yjを復号するステップ、
前記Yjの復号結果が0であるときに限り(mj+s−1・・・mj)2=(bs・・・b1)2であると判断するステップ、
からなることを特徴とする秘匿計算方法。
【請求項3】
請求項1または2に記載の秘匿計算方法において、m及びbをaとして、
【数1】
とする(tは正整数)、
ことを特徴とする秘匿計算方法。
【請求項4】
請求項1から3のいずれか1項に記載の秘匿計算方法において、jを1からL−s+1の範囲で逐次行うことで、メッセージMが文字列Bを含むか、また含む場合はどの箇所かを特定する、
ことを特徴とする秘匿計算方法。
【請求項5】
請求項1から3のいずれか1項に記載の秘匿計算方法において、j=1,・・・,L−s+1についてXjないしYjの計算を行い、該XjないしYj(j=1,・・・,L−s+1)の順序を撹乱し、その後、XjないしYjを復号することで、メッセージMが文字列Bを含む場合、該含む箇所を秘匿する、
ことを特徴とする秘匿計算方法。
【請求項6】
請求項1から5のいずれか1項に記載の秘匿計算方法において、Eは閾値暗号とし、一定数以上の鍵を用いた場合に限りXjないしYjを復号できるようにする、
ことを特徴とする秘匿計算方法。
【請求項7】
請求項2から6のいずれか1項に記載の秘匿計算方法において、乱数rjは複数の乱数の積とする、
ことを特徴とする秘匿計算方法。
【請求項8】
請求項1から7のいずれか1項に記載の秘匿計算方法において、ゼロ知識証明技術を用いて処理の正当性を証明、検証する、
ことを特徴とする秘匿計算方法。
【請求項9】
請求項1から8のいずれか1項に記載の秘匿計算方法において、メッセージMの暗号文E′(M)に対し、該暗号文を復号することなくE(mi)(i=1,・・・,L)を求める、
ことを特徴とする秘匿計算方法。
【請求項10】
請求項1から9のいずれか1項に記載の秘匿計算方法において、miまたはbiの少なくとも一方を複数ビットとする、
ことを特徴とする秘匿計算方法。
【請求項11】
請求項1から10のいずれか1項に記載の秘匿計算方法を実施することを特徴とする秘匿計算装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2007−114494(P2007−114494A)
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願番号】特願2005−305965(P2005−305965)
【出願日】平成17年10月20日(2005.10.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願日】平成17年10月20日(2005.10.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]