秘密情報分散装置及び秘密情報復元装置及び方法及びプログラム
【課題】安全かつ効率的な秘密情報の分散を可能にする。
【解決手段】本発明は、秘密情報分散装置側で秘密情報を分散条件に基づいて複数個に分割し、分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、複数個の係数情報を係数とする多項式関数によって任意の個数の元の秘密情報より小さい分散情報を算出し、出力する。また、秘密情報復元装置側で、秘密情報の復元に必要な個数の分散情報群を取得し、復元条件に基づいて、複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する。
【解決手段】本発明は、秘密情報分散装置側で秘密情報を分散条件に基づいて複数個に分割し、分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、複数個の係数情報を係数とする多項式関数によって任意の個数の元の秘密情報より小さい分散情報を算出し、出力する。また、秘密情報復元装置側で、秘密情報の復元に必要な個数の分散情報群を取得し、復元条件に基づいて、複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムに係り、特に、特に、パスワードや個人情報などの秘密情報を複数の情報群に分散符号化し、これらのうち、幾つか以上の分散された情報により元の秘密情報を復元可能とする秘密分散法を用いたセキュリティ技術における、秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムに関する。
【背景技術】
【0002】
ネットワーク上でパスワードや個人情報、暗号鍵情報といった各種情報のセキュリティ(安全性)を保つために、暗号技術が用いられる。この際、ユーザ(利用者)の認証に用いられるパスワードや個人情報、共通鍵暗号に用いられる共通鍵や公開鍵暗号に用いる秘密鍵といった秘密情報の保管に関して、秘密情報の紛失や破壊、漏洩や盗難といった恐れがあり、特に、単一の箇所に保管する場合などは、秘密情報の紛失や破壊、複数の箇所に保管する場合などは秘密情報の漏洩や盗難の可能性が高くなってしまうという問題がある。
【0003】
これらの問題を解決し、各秘密情報を安全に保管する方法のひとつとして、秘密分散法がある。
【0004】
秘密分散法は、元の秘密情報を複数の情報に分散して複数の箇所に保管し、この分散された情報(以下、分散情報)を全て、あるいは幾つか合わせることにより、元の秘密情報を復元可能とする方法である。
【0005】
秘密分散法の実現方法のひとつとして(k,n)閾値秘密分散法がある。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの復元に必要な分散情報の最低数である2以上n以下の整数の閾値kから、秘密情報Sを定数項とする(k−1)次の多項式f(x)を、
f(x)=S+R1x+…Rk−1xk−1(mod P)
(R1,…,Rk−1:乱数、P:素数)
として作成し、元の秘密情報Sを所有あるいは、預託により分配する秘密情報分配者は、分配情報を保管する各分散情報保持者i(i=1,2,…,n)に対して、分散情報Wi=f(i)を分配するものである。
【0006】
この(k,n)閾値秘密分散法は、n個の分散情報の内、任意のk個の分散情報がそろえば、f(x)に関する連立方程式を解くことにより元の秘密情報Sを復元できるが、任意の(k−1)個までの分散情報が揃ってもf(x)に関する連立方程式を解くことはできないため、元の秘密情報Sを復元できないという特徴を持つ。従って、(n−k)個までの分散情報が紛失や破壊により損なわれても元の秘密情報Sが復元可能であり、(k−1)個までの分散情報が漏洩や盗難により得られても元の秘密情報Sは復元できないという、秘密情報を安全に保管する方法が実現できる。但し、個々に生成される分散情報Wiの大きさは秘密情報Sの大きさに等しく、分散効率が悪いことが知られている(例えば、非特許文献1参照)。
【0007】
さらに、(k,n)閾値秘密分散法の拡張として、(d,k,n)閾値秘密分散法、別名ランプ型秘密分散法がある。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの完全な復元に必要な分散情報の最低数である2位以上n以下の整数の閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する2以上k以下の整数の分散数dから、秘密情報Sを、S1,S2,…,Sdに分割し、これらの分割した秘密情報(以下、分割情報)を定数項とする(k−1)次の多項式f(x)を、
f(x)=S1+S2x+…+Sdxd−1+R1xd+…+Rk−dxk−1(mod P)
(R1,…,Rk−d:乱数、P:素数)
として作成し、元の秘密情報Sを所有あるいは預託による分配する秘密情報分配者は、分散情報を保管する各分散情報保持者i(i=1,2,…,n)に対して、分散情報Wi=f(i)を算出して分配するものである。
【0008】
この(d,k,n)閾値秘密分散法は、(k,n)閾値秘密分散法と同様に、n個の分散情報の内、任意のk個の分散情報が揃えば、f(x)に関する連立方程式を解くことにより元の秘密情報Sを復元できるが、任意の(k−d)個までの分散情報が揃ってもf(x)に関する連立方程式を解くことはできないため、元の秘密情報Sは復元できないという特徴をもつ。また、d個に分割した秘密情報S1,S2,…,Sdを用いるため、算出した分散情報Wiの大きさが、元の秘密情報Sに対してd分の1で済むため、(k,n)閾値秘密分散法に比べて、分散効率がよいことが知られている。但し、任意の(k−d+1)個から(k−1)個までの分散情報が揃った場合には、f(x)に関する連立方程式から分割情報S1,S2,…,Sdに関する関係式が求められるため、分割情報S1,S2,…,Sdとして可能な値を得ることができ、元の秘密情報Sを部分的に復元することができる(例えば、非特許文献2参照)。
【非特許文献1】A. Shamir, “How to Share a Secret”, Commun. of ACM Vol.22, No.11, PP.612-613, 1979
【非特許文献2】G. R. Blakley, C. Meadows, “Security of ramp schemes”, Proc. of Crypto’84, Lecure Notes on comput. Sci., 106, pp.242-268, 1984
【発明の開示】
【発明が解決しようとする課題】
【0009】
従来の(d,k,n)閾値秘密分散法には、秘密情報をSをd個の分割情報S1,S2,…,Sdに分割することで、生成される分散情報Wiの大きさをd分の1に抑え、分散効率を上げることができる一方で、任意の(k−d+1)個から(k−1)個までの分散情報を揃えた場合には分割情報S1,S2,…,Sdに関する関係式が簡単に求められるため、分割情報S1,S2,…,Sdとして可能な値が容易に推測できてしまい、秘匿した情報の安全性に問題があった。
【0010】
例えば、k=3、d=2、とした場合に、分散関数f(x)は、
f(x)=S1+S2・x+R1・x2 (mod P)
で表現され、この分散関数により生成される任意の2個の分散情報WaとWb(0<a,b<P,a≠b)は、以下の連立方程式で表される。
【0011】
Wa=S1+S2a+R1a2
Wb=S1+S2b+R1b2
従って、この2個の分散情報の連立方程式を解くことで、S1とS2の関係式が次のような一次式の形で得られる。
【0012】
【数1】
このような関係式があれば、S1として可能な値に対し、S2として可能な値を容易に計算できるため、結果として秘密情報Sが推測できてしまう恐れがある。
【0013】
本発明は、このような中間的な復元状態における情報漏洩の問題に鑑みなされたもので、(d,k,n)閾値秘密分散法において、k個の分散情報が揃わない限り、分散情報S1,S2,…,Sdを求めることも推測することもできないようにし、効率的かつ安全な秘密情報Sの分散を可能とする秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
図1は、本発明の原理を説明するための図である。
【0015】
本発明(請求項1)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散方法であって、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップ(ステップ1)と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップ(ステップ2)と、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップ(ステップ3)と、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップ(ステップ4)と、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップ(ステップ5)と、を行う。
【0016】
本発明(請求項2)は、係数情報計算ステップ(ステップ3)において、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する。
【0017】
本発明(請求項3)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元方法であって、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップ(ステップ10)と、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップ(ステップ11)と、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップ(ステップ12)と、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップ(ステップ13)と、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップ(ステップ14)と、を行う。
【0018】
図2は、本発明の原理構成図である。
【0019】
本発明(請求項4)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散装置であって、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力手段120と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力手段130と、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算手段140と、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算手段150と、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力手段160と、を有する。
【0020】
また、本発明(請求項5)は、係数情報計算手段140が、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する手段を含む。
【0021】
本発明(請求項6)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元装置であって、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力手段220と、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力手段230と、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元手段240と、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元手段250と、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力手段260と、を有する。
【0022】
本発明(請求項7)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散プログラムであって、
コンピュータに、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、を実行させるプログラムである。
【0023】
また、本発明(請求項8)は、係数情報計算ステップにおいて、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と、乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する。
【0024】
本発明(請求項9)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元プログラムであって、
コンピュータに、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、を実行させるプログラムである。
【発明の効果】
【0025】
上記のように本発明によれば、秘密情報Sを分散符号化する際に、d(d=分割数)分の1の大きさの分散情報Wiを任意の個数生成し、生成した分散情報の内、任意のk個が揃わない限り、分割情報S1,S2,…,Sdが一切求められず、従って、秘密情報Sが復元できないように、秘密情報Sを分散符号化することができる。これにより、効率的かつ、安全な秘密情報の分散符号化を実現することができる。
【発明を実施するための最良の形態】
【0026】
以下、図面と共に本発明の実施の形態を説明する。
【0027】
図3は、本発明の概要を説明するための図である。
【0028】
本発明は、秘密情報Sを分散符号化して、任意の個数のd(dは分割数)分の1の大きさの分散情報Wiを生成し、生成した分散情報の内、任意のk個が揃わない限り、分割情報S1,S2,…,Sdが一切求められないように、秘密情報Sの分散を可能にするものである。
【0029】
[第1の実施の形態]
本実施の形態では、秘密情報の分散について説明する。
【0030】
秘密情報の分散に必要な条件と秘密情報Sとを入力して、秘密情報Sをd個に分割した分割情報S1,S2,…,Sdを、最大の分割情報St(1≦t≦d)よりも大きな素数Pと、素数Pよりも小さく0でない(k−d)個の乱数Ri(1≦i≦k−d)からなる分散関数f(x)として、
f(x)=S1+S2x+…+Sdxd−1+R1xd+…+Rk−dxk−1 (mod P)
の形で表現される(k−1)次の多項式を用いてk個の係数情報Fi(1≦i≦k)を生成し、生成したk個の係数情報Fiと素数Pからなる分散関数g(x)として、
g(x)=F1+F2x+…+Fkxk−1 (mod P)
の形で表現される式を用いて任意の個数の分散情報Wi=g(i)を生成する。
【0031】
以下に詳細に説明する。
【0032】
図4は、本発明の第1の実施の形態における秘密情報分散装置の構成図である。
【0033】
本装置100は、秘密情報の分散処理の各過程の制御を行う分散制御部110、分散条件の入力を受け付ける分散条件入力部120、分散の対象とする秘密情報Sの入力を受け付ける秘密情報入力部130、係数情報Fiを算出する係数情報計算部140、分散情報Wiを算出する分散情報計算部150、生成された分散情報を情報番号と組にして出力する分散情報出力部160、入力された分散条件、秘密情報、分散情報等を記憶する情報記憶部170から構成される。
【0034】
以下の例では、秘密情報Sを2個の分散情報S1とS2に分割し、4個の分散情報を分散するものとして、4個の内任意の3個の分散情報を持ち寄れば秘密情報Sを復元でき、2個ないし1個の分散情報からは秘密情報Sを一切推測できないように、秘密情報Sの分散情報を生成する。
【0035】
図5は、本発明の第1の実施の形態における秘密情報分散装置の動作を示す。
【0036】
ステップ101) 分散条件入力部120は、分散条件の入力を受け付ける。入力を受け付ける分散条件は、例えば、生成する分散情報の個数として分散数n、秘密情報Sの復元を可能とする分散情報の個数として閾値k、秘密情報を分割する個数として分割数dとする。例えば、本実施の形態では、4個の分散情報を生成することから分散数n=4、3個の分散情報で完全な復元を許すことから閾値k=3、また秘密情報Sを2個の分割情報に分割することから分割数d=2が入力されたものとする。入力された分散条件は、情報記憶部170や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような分散条件は入力を受け付けるのではなく、所定の分散条件として情報記憶部170などに予め記憶しておいてもよい。
【0037】
ステップ102) 次に、秘密情報入力部130は、分散の対象とする秘密情報Sの入力を受け付ける。本実施の形態では、秘密情報Sとして4桁の16進文字列S=3CABが入力されたものとする。
【0038】
ステップ103) 秘密情報入力部130は、既に入力された分散条件の分散数d=2に従って、秘密情報Sを2個の分割情報に分割して、情報記憶部170や内部メモリ(図示せず)などに一時的に記憶する。本実施の形態における分散情報をS1=3C,S2=ABとする。
【0039】
なお、本実施の形態では、分散条件入力部120において分散条件として閾値kと分散数dの入力を受け付け、秘密情報入力部130において秘密情報Sの入力を受け付けてd個の分割情報に分割するものとしたが、予めd個に分割した分割情報S1,S2,…,Sdの入力を受け付けて分割数dを求めるようにしても構わない。また、本実施の形態では、秘密情報Sに対する分割情報を秘密情報Sの上位2桁と下位2桁で分割しているが、本発明は秘密情報Sの分割方法を規定するものではなく、例えば、奇数ビットと偶数ビットのようにビット単位で分割しても構わないし、分割情報S0とS1の積が秘密情報Sとなるように分割するなどの方法も考えられる。
【0040】
さらに、本実施の形態では、分散の対象とする秘密情報Sを16進文字列に限定するものではなく、また単なる文字列に限定するものでもない。数値情報、文字列などの分散関数による演算が可能であればどのような情報でもよく、また文書や画像データなどのマルチメディアなどを対象としてもよい。
【0041】
また、本実施の形態は、分散条件及び秘密情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。
【0042】
ステップ104) 次に、係数情報計算部140において、閾値kと分割数d及び分割情報に基づいて、係数情報Fiを算出するための分散関数を生成し、k個の係数情報Fiを算出する。まず、各分割情報Sdよりも大きな素数Pを決定し、素数Pよりも小さく0でない乱数Rjを(k−d)個生成し、k−1次の多項式である分散関数f(x)を生成する。本実施の形態では、閾値k=3,分割数d=2より、以下のような多項式が分散関数f(x)となる。
【0043】
f(x)=S1+S2・x+R1・x2(mod P)
本実施の形態では、分割情報S1=3C,S2ABより素数P=FB(251)を得たものとする。また、乱数R1=1Fを生成したものとする。なお、本実施の形態では、係数情報計算部140において、素数Pや乱数Rjの値などを決定しているが、これらの値について分散条件入力部120において入力するようにしても構わない。また、特に素数Pについては秘密情報Sあるいは分割情報Sdの長さなどに応じて、予め情報記憶部170に記憶した素数Pを選択して用いるようにしてもよい。
【0044】
次に、係数情報計算部140は、上記の分散関数f(x)を用いてk個の係数情報を生成する。ここでは分散関数f(x)、に対し、x=1,2,3を順次代入して計算し、係数情報F1,F2,F3を算出して情報記憶部170または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、閾値k=3、分割情報S1=3C,S2=AB及びR1=1Fと素数P=FBより、係数情報はそれぞれF1=0B,F2=18、F3=63を得る。図6に、係数情報計算部140における係数情報の計算例を示す。
【0045】
なお、本実施の形態は係数情報F1,F2,F3を分散関数f(x)に順次情報番号x=1,2,3を代入することで算出したが、異なる情報番号としてx=1,3,5を用いて算出した結果を係数情報F1,F2,F3としてもよい。但し、このような係数情報群を算出するための情報番号群については外部から参照できないように秘密情報分散装置100内に予め格納されているものとする。また、このような情報番号群を毎回無作為に生成した上で、情報番号xと算出結果とを結合して、実際の係数情報F1として用いるようにすることも考えられる。
【0046】
ステップ105) 次に、分散情報計算部150は、閾値kと分散数n及び係数情報に基づいて、分散情報Wiを算出するための分散関数を生成し、n個の分散情報Wiを算出する。係数情報計算部140において求めた素数P及び係数情報Fiより、k−1次の多項式である分散関数g(x)を生成する。本実施の形態では、閾値k=3より、以下のような多項式が分散関数g(x)となる。
【0047】
g(x)=F1+F2・x+F3・x2 (mod P)
分散情報計算部150は、上記の分散関数g(x)を使ってn個の分散情報Wiを生成する。ここでは、分散関数g(x)に対し、x=1,2,3,4を順次代入して計算し、分散情報W1,W2,W3,W4を算出して情報記憶部170または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、分散数n=4、係数情報F1=0B,F2=18,F3=63より、分散情報はそれぞれW1=86,W2=CC,W3=DD,W4=B9を得る。図7に、分散情報計算部150における分散情報の計算例を示す。
【0048】
なお、本実施の形態において、分散関数g(x)、から分散情報を算出する際のxの値を10進の数字により記述しているが、可能なxの値を10進数の数字に規定するものではない。分散関数f(x)に則って分散情報を算出できればよく、例えば、16進数であったり文字列であったりしても構わない。また、係数情報計算部140における分散関数f(x)と、分散情報計算部150における分散関数g(x)とで、同じ素数Pの値を使用するものとして記述しているが、分散関数g(x)における素数Pを分散関数f(x)における素数Pよりも大きな値としてもよい。
【0049】
ステップ106) 分散情報出力部160は、分散情報計算部150において生成した分散情報を、分散情報を算出したxの値(以下、情報番号)と組にして情報記憶部170に出力する。本実施の形態における出力は、(1,86),(2,CC),(3,DD),(4,B9)となる。
【0050】
なお、本実施の形態は、分散情報出力部160における分散情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。但し、個々の分散情報を別個に出力することが望ましい。また、分散情報は直線各分散情報保持者または各分散保持装置に出力するようにし、出力の際に個々の保持者ないしは装置に合わせて暗号化するなどの手段も考えることもできる。
【0051】
また、本実施の形態では、情報番号iと分散情報Wiの組を出力するものとしたが、個々の分散情報が分散関数g(x)に何を代入して算出したものかがわかればよく、例えば、iとWiを連結して186,2CC,3DD,4B9のように出力しても良いし、また、例えば、出力先によって情報番号iが予め指定されている場合は分散情報Wiのみを出力するようにしてもよい。
【0052】
[第2の実施の形態]
以下、上記の第1の実施の形態により生成した分散情報から、分散情報S1及びS2,更に、秘密情報Sを復元する場合について説明する。
【0053】
図8は、本発明の第2の実施の形態における秘密情報復元装置の構成図である。
【0054】
秘密情報復元装置200は、秘密情報復元装置200における秘密情報の復元処理の各過程の制御を行う復元制御部210、復元条件の入力を受け付ける復元条件入力部220、復元に必要な個数の分散情報と情報番号の入力を受け付ける分散情報入力部230、係数情報を算出する係数情報復元部240、分割情報を算出する秘密情報復元部250、分割情報群を結合し秘密情報を出力する秘密情報出力部260、復元条件、分散情報と情報番号、秘密情報等を格納する情報記憶部270から構成される。
【0055】
図9は、本発明の第2の実施の形態における秘密情報復元装置の動作を示す。
【0056】
ステップ201) 復元条件入力部220は、復元条件の入力を受け付ける。入力を受け付ける復元条件は、例えば、秘密情報Sの復元に必要な分散情報の個数として閾値k、秘密情報の分割数d、素数Pなどとする。例えば、本実施の形態では、3個の分散情報で完全な復元を許すことから閾値k=3、または、秘密情報Sを2個の分割情報に分割したことから分割数d=2、素数PとしてP=FBが入力されたものとする。入力された復元条件は、情報記憶部270や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような復元条件は入力を受け付けるのではなく、所定の復元条件として情報記憶部270などに予め記憶しておいてもよい。
【0057】
ステップ202) 次に、分散情報入力部230は、復元に必要な個数の分散情報Wiと情報番号iの入力を受け付ける。本実施の形態では、分散情報として(2,CC),(3,DD),(4,B9)が入力されたものとする。入力された分散情報は、情報記憶部270や内部メモリ(図示せず)などに一時的に記憶する。
【0058】
なお、本実施の形態では、分散情報Wiと情報番号iの入力を受け付けるものとしたが、予め情報番号iが分かっている場合、例えば、入力元毎に決まっている場合には、分散情報Wiのみを受け付けるようにしてもよい。また、入力元の情報に合わせて情報記憶部270より入力元に対応する情報番号を取得するようにしてもよい。なお、本実施の形態は復元条件及び分散情報の入力及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して複数の他の装置から入力しても構わない。
【0059】
ステップ203) 次に、係数情報復元部240において、閾値kと素数P、入力された情報番号及び分散情報群から係数情報Fiを算出するための復元関数を生成し、k個の係数情報Fiを算出する。本実施の形態では、入力された閾値k=3、素数P=FB、分散情報群(2,CC),(3,DD),(4,B9)から、係数情報復元部240は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0060】
W2=F1+2F2+4F3=CC (mod FB)
W3=F1+3F2+9F3=DD (mod FB
W4=F1+4F2+16F3=B9 (mod FB)
次に、係数情報復元部240は、この連立方程式から計算により係数情報F1,F2,F3を求める。連立方程式を掃き出し法により展開すると、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0061】
F1=6W2−8w3+3W4=0B (mod FB)
F2=(−7W2+12W3−5W4)/2=18 (mod FB)
F3=(W2−2W3+W4)/2=63 (mod FB)
このように算出した係数情報F1,F2,F3を情報記憶部270または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれ、F1=0B,F2=18,F3=63であり、正しい係数情報が得られていることが分かる。図10に、係数情報復元部240における係数情報の計算例を示す。
【0062】
なお、異なる分散情報の集合として(1,86),(3,DD),(4,B9)が入力された場合でも、同様に連立方程式を生成して掃き出し法により展開することで、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0063】
W1=F1+F2+F3=86 (mod FB)
W3=F1+3F2+9F3=DD (mod FB)
W4=F1+4F3+16F3=B9 (mod FB)
この連立方程式に対する展開結果及び計算情報の算出結果は以下のようになる。
【0064】
F1=2W1−2W3+W4=0B (mod FB)
F2=(−7W1+15W3−8W4)/6=18 (mod FB)
F3=(W1−3W3+2W4)/6=63 (mod FB)
このように、分散情報入力部230においてどのような組み合わせで分散情報W1が入力されても、閾値k個の分散情報があれば、係数情報復元部240は係数情報を全て正しく復元することができる。
【0065】
なお、本実施例では、係数情報復元部240において分散情報群を表す連立方程式を生成し、掃き出し法により展開することで、各係数情報についての方程式群を生成して、各係数情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の分散情報群から同じく閾値k個の係数情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部270から取得し、各係数情報を算出する方法などが考えられる。以下は、閾値k=3の場合に入力された分散情報群を(a,Wa),(b,Wb),(c,Wc)とした場合の自明な方程式群の例である。
【0066】
F1={−bc(b−c)Wa−ca(c−a)Wb−ab(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F2={(b+c)(b−c)Wa+(c+a)(c−a)Wb+(a+b)(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F3={−(b−c)Wa−(c−a)Wb−(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
上記の方程式群に、(2,CC),(3,DD)(4,B9)を代入すると、正しく各係数情報を算出でき、連立方程式を解くよりも高速に処理できる。
【0067】
F1=6Wa−8Wb+3Wc=0B (mod FB)
F2=(−7Wa+12Wb−5Wc)/2=18 (mod FB)
F3=(Wa−2Wb+Wc)/2=63 (mod FB)
ステップ205) 次に、秘密情報復元部250は、閾値k、分割数d、素数Pと係数情報復元部240において算出した各係数情報Fiから、分割情報St(1≦t≦d)を算出するための復元関数を生成し、d個の分割情報Stを算出する。本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=18,F3=63から、秘密情報復元部250は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0068】
F1=S1+S2+R1=0B (mod FB)
F2=S1+2S2+4R1=18 (mod FB)
F3=S1+3S2+9R1=63 (mod FB)
次に、秘密情報復元部250は、この連立方程式から計算により分割情報S1,S2を求める。連立方程式を掃き出し法により展開すると、各分割情報についての方程式群が生成でき、各分割情報が算出できる。
【0069】
S1=3F1−3F2+F3=3C
S2=(−5F1+8F2−3F3)/2=AB (mod FB)
このように算出した分割情報S1,S2を情報記憶部270または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれS1=3C,S2=ABであり、正しい分割情報が得られていることが分かる。図11に、秘密情報復元部250における秘密情報の計算例を示す。
【0070】
なお、本実施の形態では、秘密情報復元部250において、係数情報群を表す連立方程式を生成し、掃き出し法により展開することで、各分割情報についての方程式群を生成して、各分割情報を算出しているが、このような数学的な処理の手順を実施の形態では特に規定するものではない。閾値k個の係数情報群から分割数d個の分割情報群を算出できればよく、例えば、上記のような自明な方程式群を予め情報記憶部270から取得し、各分割情報を算出するなどの方法などが考えられる。
【0071】
また、本実施の形態は、係数情報F1,F2,F3を分散関数f(x)に順次情報番号x=1,2,3を代入した連立方程式を生成した上で、分割情報S1,S2を算出したが、係数情報F1,F2,F3が異なる情報番号としてx=1,3,5を代入して計算されている場合には、同様に分散関数f(x)にx=1,3,5を代入した連立方程式を生成して算出するものとする。このような係数情報群を算出するための情報番号群については外部から参照できないように秘密情報復元装置200内に予め格納されているものとする。また、無作為に生成した情報番号群が実際の係数情報Fiに含まれている場合には、これを分割して用いるようにすることも考えられる。
【0072】
ステップ206) 秘密情報出力部260は、秘密情報復元部250において算出したd個の分割情報群を結合し、秘密情報Sとして出力する。本実施の形態では、S1=3C,S2=ABから、結合すればS=3CABであり、正しい秘密情報が得られていることが分かる。
【0073】
なお、本実施の形態は、秘密情報出力部260における秘密情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。また、分類情報群を結合して秘密情報Sとして出力するのではなく、個々の分割情報群をそれぞれ出力しても構わない。
【0074】
本実施の形態では、分散情報入力部230において閾値k個の分散情報の入力を受け付けるものとしたが、仮に分割情報入力部230が復元に必要な個数よりも少ない数の分散情報Wiと情報番号iの入力を受け付けたとしても、係数情報復元部240において生成する連立方程式の数は不足しており、各係数情報Fiの関係式を得ることはできるが、計算により各係数情報群を求めることはできない。
【0075】
例えば、閾値k=3の時に、2個の分散情報を仮にWa=f(a)、Wb(b)とした場合、その分散情報群を表す連立方程式は次のようになる。
【0076】
Wa=f(a)=F1+aF2+a2F3 (mod P)
Wa=f(a)=F1+aF2+a2F3 (mod P)
連立方程式の数が閾値k=3よりも少ないため、これらの連立方程式からは係数情報F1とF2,F1とF3、F2とF3についての次のような関係式しか得ることができない。
【0077】
(b+a)F1+baF2=(b2Wa−a2Wb)/(b−a) (mod P)
F1−baF3=(bWa−aWb)/(b−a) (mod P)
F2+(a+b)F3=(Wa−Wb)/(a−b) (mod P)
このように、入力された分散情報の数が閾値kよりも少ない場合には、係数情報復元部240において係数情報F1,F2,F3を求めることができず、よって秘密情報復元部240において、分割情報群S1,S2を求めることもできない。従って、秘密情報Sが復元されることはない。
【0078】
以上のように、第1の実施の形態における秘密情報分散装置100により秘密情報Sから生成した分散情報については、第2の実施の形態における秘密情報復元装置200において、個々の分散情報Wiの大きさは秘密情報Sのd分の1であって、n個の分散情報のうち、閾値k個の任意の分散情報を持ち寄れば、k個の係数情報Fiを復元でき、よって全ての分割情報Stを復元して、秘密情報Sを完全に復元することができる。
【0079】
一方、k個未満の分散情報からは係数情報F1を復元できないため、分割情報S1,S2,…,Sdが一切求められず、秘密情報Sを復元することはできない。
【0080】
[第3の実施の形態]
《秘密情報分散装置》
図12は、本発明の第3の実施の形態における秘密情報分散装置の構成を示す。
【0081】
同図に示す秘密情報分散装置1000は、当該秘密情報分散装置1000における秘密情報分散処理の処理を制御する分散制御部1100、秘密情報を分散するための条件の入力を受け付ける分散条件入力部1200、分散符号化の対象とする秘密情報の入力を受け付ける秘密情報入力部1300、複数個に分割した秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、算出した係数情報と複数個に分割した秘密情報と乱数を係数とする多項式関数によって、繰り返し複数個の係数情報を算出する係数情報計算部1400、係数情報計算部1400で算出した複数個の係数情報を係数とする多項式関数によって任意の個数の分散情報を算出する分散情報計算部1500、算出した分散情報群を出力する分散情報出力部1600、入力された条件、秘密情報、計算結果等を記憶する情報記憶部1700から構成される。
【0082】
以下では、秘密情報Sを2個の分割情報S1,S2に分割した上で、4個の分散情報に分散するものとして、4個の内、任意の3個の分散情報を持ち寄れば秘密情報Sを完全に復元でき、2個乃至1個の分散情報からは秘密情報Sを一切推測できないように、秘密情報Sの分散情報を生成する秘密情報分散処理について説明する。
【0083】
図13は、本発明の第3の実施の形態における秘密情報分散装置の動作説明図である。
【0084】
ステップ1101) 分散条件入力部1200において、分散条件の入力を受け付ける。入力された分散条件は、例えば、生成する分散情報の個数として分散数n、秘密情報Sの復元を可能とする分散情報の個数として閾値k、秘密情報を分割する個数としての分割数dとする。例えば、本実施の形態では、4個の分散情報を生成することから分散数n=4、3個の分散情報で完全な復元を許すことから閾値k=3、また、秘密情報Sを2個の分割情報に分割することから分割数d=2が入力されたものとする。入力された分散条件は、情報記憶部1700や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような分散条件は入力を受け付けるのではなく、所定の分散条件として情報記憶部1700などに予め記憶しておいてもよい。
【0085】
ステップ1102) 次に、秘密情報入力部1300は、分散の対象とする秘密情報Sの入力を受け付ける。本実施の形態では、秘密情報Sとして4桁の16進文字列S=3CABが入力されたものとする。秘密情報入力部1300は、既に入力された分散条件の分割数d=2に従って、秘密情報Sを2個の分割情報に分割して、情報記憶部1700や内部メモリ(図示せず)などに一時的に記憶する。本実施の形態における分割情報をS1=3C,S2=ABとする。
【0086】
なお、本実施の形態では、分散条件入力部1200において分散条件として閾値kと分割数dの入力を受け付け、秘密情報入力部1300において秘密情報Sの入力を受け付けてd個の分割情報に分割するものとしたが、予めd個に分割した分割情報S1,S2,…,Sdの入力を受け付けて分散数dを求めるようにしても構わない。また、本実施の形態では秘密情報Sに対する分割情報を秘密情報Sの上位2桁と下位2桁で分割しているが、本発明は、秘密情報Sの分割方法を規定するものではなく、例えば、奇数ビットと偶数ビットのようにビット単位で分割しても構わないし、分割情報S0とS1の積が秘密情報Sとなるように分割するなどの方法も考えられる。
【0087】
さらに、本実施の形態は、分散の対象とする秘密情報Sを16進文字列に限定するものではなく、また、単なる文字列に限定するものでもない。数値情報、文字列などの分散関数による演算が可能であれば、どのような情報でもよく、また、文書や画像データなどのマルチメディアなども対象としてもよい。
【0088】
また、本実施の形態は、分散条件及び秘密情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。
【0089】
ステップ1103) 次に、係数情報計算部1400において、閾値kと分割数d及び分割情報に基づいて、係数情報Fiを算出するための分散関数を生成し、k個の係数情報Fiを算出する。
【0090】
まず、各分割情報Sdよりも大きな素数Pを決定し、素数Pよりも小さく0でない乱数Rjを(k−d)個生成し、k−1次の多項式である分散関数f(x)を生成する。本実施の形態における分散関数f(x)を以下のように定義する。
【0091】
【数2】
また、本分散関数f(x)による係数情報Fiの算出式を以下のようにする。
【0092】
Fi=f(Fi−1)
従って、本実施の形態では、閾値k=3、分割数d=2より、S3=R1として、以下のような分散関数f(x)により係数情報Fiが算出される。
【0093】
Fi=f(x)=S1+Fi−1S2・x+Fi−12・R1 (mod P)
本実施の形態では、係数情報計算部1400において、素数Pや乱数Rjの値などを決定しているが、これらの値について分散条件入力部1200において入力するようにしても構わない。また、特に、素数Pについては秘密情報Sあるいは分割情報Sdの長さなどに応じて予め情報記憶部1700に記憶した素数Pを選択して用いるようにしてもよい。
【0094】
ステップ1104) 次に、係数情報計算部1400は、上記の分散関数f(x)を使ってk個の係数情報を生成する。本実施の形態では、初期係数情報F0=1とおくものとして、閾値k=3、分割情報S1=3C、S2=AB及びR1=1Fと素数P=FBより、まず、係数情報F1を算出する。算出の結果、F1=0Bとなる。
【0095】
次いで、順次係数情報の算出結果を用いて、繰り返し演算し、係数情報F2=AA,F3=5Fを得る。算出した係数情報F1,F2,F3は、情報記憶部1700または、内部メモリ(図示せず)などに一時的に記憶する。図14に係数情報計算部1400における係数情報の計算例を示す。
【0096】
なお、係数情報計算部1400において生成するk個の係数情報については、値の重複がないようにしなければならない。例えば、本実施の形態においては、初期係数情報F0=1からF1≠1でなければならず、同様にF2≠1,0Bで、F3≠1,0B,AAでなければならない。係数情報計算部1400はこのような値の重複をチェックし、重複があった場合には再度乱数R1の再生成と、係数情報の再生成を行う。
【0097】
ステップ1105) 次に、分散情報計算部1500は、閾値kと分散数n及び係数情報に基づいて、分散情報Wiを算出するための分散関数を生成し、n個の分散情報Wiを算出する。係数情報計算部1400において求めた素数P及び係数情報Fiより、k−1次の多項式である分散関数g(x)を生成する。本実施の形態では、閾値k=3より、以下のような多項式が分散関数g(x)となる。
【0098】
g(x)=F1+F2・x+F3・x2 (mod P)
分散情報計算部1500は、上記の分散関数g(x)を使って、n個の分散情報Wiを生成する。ここでは、分散数n=4より、分散関数g(x)に対し、x=1,2,3,4を順次代入してWx=g(x)を計算し、分散情報W1,W2,W3,W4を算出して情報記憶部1700または、内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、係数情報F1=0B,F2=AA,F3=5Fより、分散情報はそれぞれW1=19,W2=E5,W3=79,W4=CBを得る。図15に分散情報計算部1500における分散情報の計算例を示す。
【0099】
なお、本実施の形態において、分散関数g(x)から分散情報を算出する際のxの値を10進数の数字により記述しているが、可能なxの値を10進数の数字に規定するものではない。分散関数f(x)に則って分散情報を算出できればよく、例えば、16進数であったり、文字列であったりしても構わない。また、係数情報計算部1400における分散関数f(x)と、分散情報計算部1500における分散関数g(x)とで、同じ素数Pの値を使用するものとして記述しているが、分散関数g(x)における素数Pを分散関数f(x)における素数Pよりも大きな値としてもよい。
【0100】
ステップ1106) 分散情報出力部1600は、分散情報計算部1500において生成した分散情報を、分散情報を算出したxの値(以下、情報番号)とを組にして出力する。本実施の形態における出力は、(1,19),(2,E5),(3,79),(4,CB)となる。
【0101】
なお、本実施の形態は、分散情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。但し、個々の分散情報を別個に出力することが望ましい。また、分散情報は直接各分散情報保持者または、各分散情報保持装置に出力するようにし、出力の際に個々の保持者乃至は装置に合わせて暗号化するなどの手段も考えることもできる。
【0102】
また、本実施の形態では、情報番号iと分散情報Wiの組を出力するものとしたが、個々の分散情報が分散関数g(x)に何を代入して算出したものかが分かればよく、例えば、iとWiを連結して119,2E5,379,4CBのように出力してもよいし、また例えば、出力先によって情報番号iが予め指定されている場合は分散情報Wiのみを出力するようにしてもよい。
【0103】
分散情報の出力をもって、秘密情報分散装置1000の動作は終了する。
【0104】
なお、本実施の形態は秘密分散法による分散処理を2回使用して秘密情報から係数情報の算出と分散情報の算出をそれぞれ行ったが、本発明は、複数回の秘密分散法による分散処理を連結して繰り返すことで秘密情報の推測ができないように分散情報を算出できればよく、本実施の形態の構成に制限されない。
【0105】
《秘密情報復元装置》
次に、秘密情報の復元について説明する。
【0106】
以下、本実施の形態により生成した分散情報から、分割情報S1及びS2、更に秘密情報Sを復元する場合について説明する。
【0107】
図16は、本発明の第1の実施の形態における秘密情報復元装置の構成を示す。
【0108】
同図に示す秘密情報復元装置2000は、秘密情報復元装置2000における秘密情報の復元処理の各過程の制御を行う復元制御部2100、復元条件の入力を受け付ける復元条件入力部2200、復元に必要な個数の分散情報と秘密情報の分割数、素数などの入力を受け付ける分散情報入力部2300、入力された複数個の分散情報群に対応する連立方程式を解くことにより複数個の係数情報を算出する係数情報復元部2400、係数情報復元部2400で算出された複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元部2500、算出した秘密情報を出力する秘密情報出力部2600、復元条件、分散情報と情報番号、秘密情報等を格納する情報記憶部2700から構成される。
【0109】
図17は、本発明の第1の実施の形態における秘密情報復元装置の動作説明図である。
【0110】
ステップ2101) 復元条件入力部2100は、復元条件の入力を受け付ける。受け付ける復元条件は、例えば、秘密情報Sの復元に必要な分散情報の個数として閾値k、秘密情報の分割数d、素数Pなどとする。例えば、本実施の形態では、3個の分散情報で完全な復元を許すことから閾値k=3、また、秘密情報Sを2個の分割情報に分割したことから分割数d=2、素数PとしてP=FBが入力されたものとする。入力された復元条件は、情報記憶部2700や内部メモリ(図示せず)などに一時的に記憶するものとする。
【0111】
また、このような復元条件は、入力を受け付けるものではなく、所定の復元条件として情報記憶部2700などに予め記憶しておいてもよい。
【0112】
ステップ2102) 次に、分散情報入力部2300は、復元に必要な個数の分散情報Wiと情報番号iの入力を受け付ける。本実施の形態では、3個の分散情報として(2,E5),(3,79),(4,CB)が入力されたものとする。入力された分散情報は、情報記憶部2700や内部メモリ(図示せず)などに一時的に記憶する。
【0113】
なお、本実施の形態では、分散情報Wiと情報番号iの入力を受け付けるものとしたが、予め情報番号iが分かっている場合、例えば、入力元毎に決まっている場合は、分散情報Wiのみを受け付けるようにしてもよい。
【0114】
また、入力元の情報に合わせて情報記憶部2700より入力元に対応する情報番号を取得するようにしてもよい。
【0115】
なお、本実施の形態は、復元条件及び分散情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して複数の他の装置から入力するようにしても構わない。
【0116】
ステップ2103) 次に、情報係数復元部2400において、閾値kと素数P、入力された情報番号及び分散情報群から、係数情報Fiを算出するための復元関数を生成し、k個の係数情報Fiを算出する。本実施の形態では、入力された閾値k=3、素数P=FB、分散情報群(2,E5),(3,79),(4,CB)から、係数情報復元部2400は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0117】
W2=F1+2F2+4F3=E5(mod FB)
W3=F1+3F2+9F3=79 (mod FB)
W4=F1+4F2+16F3=CB (mod FB)
次に、係数情報復元部2400は、この連立方程式から計算により係数情報F1,F2,F3を求める。連立方程式を掃き出し法により展開すると、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0118】
F1=6W2−8W3+3W4=0B (mod FB)
F2=(−7W2+12W3−5W4)/2=AA (mod FB)
F3=(W2−2W3+W4)/2=5F (mod FB)
このように算出した係数情報F1,F2,F3をそれぞれ情報記憶部2700または、内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれ、F1=0B,F2=AA,F3=5Fであり、正しい係数情報が得られていることが分かる。図18に、係数情報復元部2400における係数情報の計算例を示す。
【0119】
なお、異なる分散情報の集合として(1,19),(3,79),(4,CB)が入力された場合でも、同様に連立方程式を生成して掃き出し法により展開することで、各係数情報についての方程式が生成でき、各係数情報が算出できる。
【0120】
W1=F1+F2+F3=19 (mod FB)
W3=F1+3F2+9F3=79 (mod FB)
W4=F1+4F2+16F3=CB (mod FB)
この連立方程式に対する展開結果及び計算情報の算出結果は以下のようになる。
【0121】
F1=2W1−2W3+W4=0B (mod FB)
F2=(−7W1+15W3−8W4)/6=AA (mod FB)
F3=(W1−3W3+2W4)/6=5F (mod FB)
このように、分散情報入力部2300においてどのような組み合わせで分散情報Wiが入力されても、閾値k個の分散情報があれば、係数情報復元部2400は、係数情報を全て正しく復元することができる。
【0122】
なお、本実施の形態では、係数情報復元部2400において分散情報群を表す連立方程式を生成し、掃き出し法により展開することで、各係数情報についての方程式群を生成して、各係数情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の分散情報群から同じく閾値k個の係数情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部2700から取得し、各係数情報を算出する方法などが考えられる。
【0123】
以下は、閾値k=3の場合に入力された分散情報群を(a,Wa),(b,Wb),(c,Wc)とした場合の自明な方程式群の例である。
【0124】
F1={−bc(b−c)Wa−ca(c−a)Wb−ab(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F2={(b+c)(b−c)Wa+(c+a)(c−a)Wb+(a+b)(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F3={−(b−c)Wa−(c−a)Wb−(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
上記の方程式群に(2,E5),(3,79),(4,CB)を代入すると、正しく各係数情報を算出でき、連立方程式を解くよりも高速に処理できる。
【0125】
F1=6Wa−8Wb+3Wc=0B (mod FB)
F2=(−7Wa+12Wb−5Wc)/2=AA (mod FB)
F3=(Wa+2Wb+Wc)/2=5F (mod FB)
ステップ2104) 次に、秘密情報復元部2500は、閾値k、分割数d、素数Pと前述の係数情報復元部2400において算出した各係数情報Fiから、分割情報St(1≦t≦d)を算出するための復元関数を生成し、d個の分割情報Stを算出する。本実施の形態では、閾値k=3、分割数d=2、素数P=Fより分散関数の形は、
f(x)=S1+Fi−1S2・x+Fi−12・R1 (mod P)
であり、これと係数情報群F1=0B,F2=AA,F3=5Fから、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0126】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+(0B)2・R1=AA (mod FB)
F3=S1+AA・S2+(AA)2・R1=5F (mod FB)
ステップ2105) 次に、秘密情報復元部2500は、この連立方程式から計算により分割情報S1,S2を求める。連立方程式を掃き出し法により展開すると、各分割情報が算出できる。
【0127】
【数3】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。算出した分割情報S1,S2は情報記憶部2700または、内部メモリ(図示せず)などに一時的に記憶する。
【0128】
なお、本実施の形態では、秘密情報復元部2500において、係数情報群を表す連立方程式を生成し、掃き出し法により展開することで、各分割情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の係数情報群から分割数d個の分割情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部2700から取得し、各分割情報を算出する方法などが考えられる。以下は、閾値k=3の場合に係数情報群を(1,F1),(F1,F2),(F2,F3)としたときの自明な方程式群の例である。
【0129】
【数4】
この方程式に、係数情報群F1=0B,F2=AA,F3=5Fと素数P=FBを代入すれば、同様に算出結果としてS1=3C,S2=ABが得られる。秘密情報分散装置1000において、秘密情報を2個に分割した分割情報はそれぞれS1=3C,S2=ABであり、計算により正しい分割情報が得られていることが分かる。図19に、後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0130】
ステップ2106) 秘密情報出力部2600は、秘密情報復元部2500において算出したd個の分割情報群を結合し、秘密情報Sとして出力する。本実施の形態では、S1=3C、S2=ABから、結合すればS=3CABであり、正しい秘密情報が得られていることが分かる。
【0131】
なお、本実施の形態では、秘密情報出力部2600における秘密情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。また、分割情報群を結合して秘密情報Sとして出力するのではなく、個々の分割情報群をそれぞれ出力しても構わない。
【0132】
本実施の形態では、分散情報入力部2300において、閾値k個の分散情報Wiと情報番号iの入力を受け付けるものとしたが、仮に、分散情報入力部2300が復元に必要な個数よりも少ない数の分散情報Wiと情報番号iの入力を受け付けたとしても、係数情報復元部2400において生成する連立方程式の数が不足しており、各係数情報Fiの関係式を得ることができるが、計算により各係数情報群を求めることはできない。
【0133】
また、仮に、各係数情報Fiの関係式を得たとしても、係数情報群はd個の分割情報群Sdと乱数Rj、及び係数情報Fi−1からなるため、分割情報群Sdを求める、あるいは、推測することはできない。
【0134】
例えば、閾値k=3の時に、2個の分散情報を仮にWa=f(z),Wb=f(b)とした場合、その分散情報群を表す連立方程式は次のようになる。
【0135】
Wa=f(a)=F1+aF2+a2F3 (mod P)
Wb=f(b)=F1+bF2+b2F3 (mod P)
連立方程式の数が閾値k=3よりも少ないため、これらの連立方程式からは係数情報F1とF2、F1とF3、F2とF3についての次のような関係式しか得ることができない。
【0136】
(b+a)F1+baF2=(b2Wa−a2Wb)/(b−a) (mod P)
F1−baF3=(bWa−aWb)/(b−a) (mod P)
F2+(a+b)F3=(Wa−Wb)/(a−b) (mod P)
このように、入力された分散情報の数が閾値kよりも少ない場合には、係数情報復元部2400において係数情報F1,F2,F3を求めることができず、よって秘密情報復元部2500において、分割情報群S1,S2を求めることもできない。従って、秘密情報Sが復元されることはない。
【0137】
なお、本実施の形態は秘密分散法による復元処理を2回使用して分散情報から係数情報の算出と秘密情報の算出をそれぞれ行ったが、本発明は複数回の秘密分散法による復元処理を連結して繰り返すことで閾値数の任意の分散情報の集合から秘密情報を算出できればよく、本実施の形態の構成に制限されない。
【0138】
以上のように、本実施の形態における秘密情報分散装置1000による秘密情報Sから生成した分散情報については、個々の分散情報Wiの大きさは秘密情報Sのd分の1であって、n個の分散情報の内、閾値k個の任意の分散情報を持ち寄れば、k個の係数情報Fiを復元でき、よって全ての分散情報Stを復元して、秘密情報Sを完全に復元することができる。一方、k個未満の分散情報からは係数情報Fiを復元できないため、分散情報S1,S2,…,Sdが求められず、秘密情報Sを復元することはできない。
【0139】
[第4の実施の形態]
本実施の形態では、第3の実施の形態における係数情報計算部1400における係数情報Fiの算出方法を変えることで、計算を簡略化する例を説明する。本実施の形態の秘密情報分散装置1000、秘密情報復元装置2000の構成は、前述の第3の実施の形態と同様である。また、動作については、以下の説明以外については、第3の実施の形態と同様である。
【0140】
例えば秘密情報分散装置1000において、係数情報計算部1400における係数情報Fiの算出式を以下ようにする。
【0141】
Fi=S1+Fi−1S2+iR1 (mod P)
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。本実施の形態では、初期係数情報F0=1とおくものとすると、係数情報F1=0Bとなる。次いで、順次係数情報算出結果を用いて、繰り返し演算し、係数情報F2=F6,F3=33を得る。図20に本実施の形態での係数情報計算部1400における係数情報の計算例を示す。
【0142】
これに伴って、秘密情報復元装置2000において、秘密情報復元部2500における計算も簡略化することができる。
【0143】
例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=F6,F3=33から、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0144】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+2・R1=F6 (mod FB)
F3=S1+F6・S2+3・R1=33 (mod FB)
秘密情報復元部2500は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0145】
【数5】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。
【0146】
なお、閾値kから自明に求まる方程式群を使って各分割情報を算出する場合、式は以下のようになり、計算が簡略化される。
【0147】
【数6】
この方程式に、係数情報群F1=0B、F2=F6,F3=33と素数P=FBを代入すれば、同様に算出結果として正しい分割情報S1=3C,S2=ABが得られる。図21に、後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0148】
[第5の実施の形態]
本実施の形態では、前述の第3の実施の形態における係数情報計算部1400における係数情報Fiの算出方法を変えることで、計算を簡略化することができる例を説明する。本実施の形態の秘密情報分散装置1000、秘密情報復元装置2000の構成は、前述の第3の実施の形態と同様である。また、動作については、以下の説明以外については、第3の実施の形態と同様である。
【0149】
例えば秘密情報分散装置1000において、係数情報計算部1400における係数情報Fiの算出式を閾値kに対して以下のように定義する。
【0150】
【数7】
従って、本実施の形態の場合、閾値k=3に対し、S3=R1として、以下の算出式を用いる。
【0151】
【数8】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。本実施の形態では、係数情報F1=0Bとなり、次いで係数情報F1を用いて繰り返し演算し、係数情報F2=D7,F3=46を得る。図22に本実施の形態における係数情報計算部1400の係数情報の計算例を示す。
【0152】
これに伴って、秘密情報復元装置2000において、秘密情報復元部2500における計算も簡略化することができる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=D7,F3=46から、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0153】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+R1=D7 (mod FB)
F3=S1+S2+0B・R1=46 (mod FB)
秘密情報復元部2500は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0154】
【数9】
以上のように、S1=3C,S2=AB,R3=1Fがそれぞれ算出結果となる。
【0155】
なお、閾値kから自明に求まる方程式群を使って各分割情報を算出する場合は、式は以下のようになり、更に計算が簡略化される。
【0156】
【数10】
この方程式は、係数情報群F1=0B,F2=F6,F3=33と素数P=FBを代入すれば、同様に算出結果として正しい分割情報S1=3C,S2=ABが得られる。図23に後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0157】
[第6の実施の形態]
本実施の形態は、第1の実施の形態の係数情報計算部140または、第3の実施の形態の係数情報計算部1400における係数情報Fiの算出方法を変えることで、分割情報群Sdの推測を更に困難にすることができる。以下では、第1の実施の形態の秘密情報分散装置100及び秘密情報復元装置200を用いて説明する。
【0158】
例えば、秘密情報分散装置100の係数情報計算部140における係数情報Fiの算出式を以下のようにする。
【0159】
F1=S1+S2+R1 (mod P)
Fi=f(Fi−2 xor Fi−1)
=S1+(Fi−2 xor Fi−1)S2+(Fi−2 xor Fi−1)2・R1 (mod P)
(i≧2)
ここで、式中のxorは排他的論理和を表す二項演算子とし、前後の値を2進数すなわちビット値で表現した上で、各ビットの位置ごとにビット値が同じ、すなわち、0と0、1と1であれば0を、ビット値が違う、すなわち、0と1,1と0であれば1を、演算結果のビット値とする演算方法を示すものとする。例えば、
8(1000)xor 3(0011)=11(1011)、
9(1001)xor 3(0011)=10(1010)
となる。
【0160】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。算出したFiが0または1または既に算出したFj(j<i)と一致する場合には、乱数R1を再度求めて、計算をやり直す。本実施の形態では、係数情報F1=0Bとなる。初期係数情報F0=1とおくものとして、順次係数情報の算出結果を用いて繰り返し演算すると、係数情報F2=f(1xorF1)=65,F3=f(F1xorF2)=97を得る。
【0161】
なお、本実施の形態における係数情報の計算時に、分散関数f(x)にFi−2xorFi−1を代入するものとしたが、本実施の形態は代入する値をこれに限定するものではない。既に生成した全ての係数情報の排他的論理和を計算して代入してもよいし、直前に生成した係数情報Fi−1と何らかの秘密の定数との排他的論理和を計算して代入しても良い。また、排他的論理和に限る必要もなく、論理和や論理積などの演算子を用いてもよい。
【0162】
これに伴って、秘密情報復元装置200において、秘密情報復元部250における計算も排他的論理和を用いる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=65,F3=97から、秘密情報復元部250は、1xorF1=0A,F1xorF2=6Eをそれぞれ計算し、次のような連立方程式を内部メモリ上に生成する。
【0163】
F1=S1+S2+R1=0B(mod FB)
F2=S1+0A・S2+(0A)2・R1=65(mod FB)
F3=S1+6E・S2+(6E)2・R1=97(mod FB)
秘密情報復元部250は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0164】
【数11】
以上のように、S1=3C、S2=AB,R1=1Fがそれぞれ算出結果となる。
【0165】
[第7の実施の形態]
本実施の形態では、第1の実施の形態の係数情報計算部140、第3の実施の形態の係数情報計算部1400における係数情報Fiの算出方法を変えることで、分割情報群Sdの推測を更に困難する例を説明する。以下では、第1の実施の形態における秘密情報分散装置100、秘密情報復元装置200を対象として説明する。
【0166】
係数情報計算部140における係数情報Fiの算出式を以下のようにする。
【0167】
【数12】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。算出したFiが0または1または既に算出したFj(j<i)と一致する場合には、乱数R1を再度求めて、計算をやり直す。本実施の形態では、係数情報F1=0Bとなる。順次係数情報の算出結果を用いて繰り返し演算すると、係数情報F2=f(2F1)=19,F3=f(2F2)=ABを得る。
【0168】
なお、本実施の形態における係数情報の計算時に、分散関数f(x)に
【0169】
【数13】
を代入するものとしたが、本実施の形態は代入する値をこれに限定するものではない。既に生成した全ての係数情報を指数として演算した値を代入してもよいし、直前に生成した係数情報Fi−1と何らかの秘密の定数との和あるいは積を指数として演算して代入してもよい。
【0170】
これに伴って、秘密情報復元装置200において、秘密情報復元部250における計算も指数演算を用いる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=19,F3=ABから、秘密情報復元部250は、20B≡28,219≡FA(mod P)をそれぞれ計算し、次のような連立方程式を内部メモリ上に生成する。
【0171】
F1=S1+S2+R1=0B (mod FB)
F2=S1+28・S2+(28)2・R1=19 (mod FB)
F3=S1+FA・S2+(FA)2・R1=AB (mod FB)
秘密情報復元部250は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0172】
【数14】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。
【0173】
また、上記の各実施の形態における秘密情報分散装置及び秘密情報復元装置の各構成要素の動作をプログラムとして構築し、秘密情報分散装置及び秘密情報復元装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることも可能である。
【0174】
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。
【産業上の利用可能性】
【0175】
本発明は、ネットワーク上で取り扱われる各種情報のセキュリティ技術に適用可能である。
【図面の簡単な説明】
【0176】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の概要を説明するための図である。
【図4】本発明の第1の実施の形態における秘密情報分散装置の構成図である。
【図5】本発明の第1の実施の形態における秘密情報分散装置の動作説明図である。
【図6】本発明の第1の実施の形態における係数情報計算部の係数情報の計算例である。
【図7】本発明の第1の実施の形態における分散情報計算部の分散情報の計算例である。
【図8】本発明の第2の実施の形態における秘密情報復元装置の構成図である。
【図9】本発明の第2の実施の形態における秘密情報復元装置の動作説明図である。
【図10】本発明の第2の実施の形態における係数情報復元部の係数情報の計算例である。
【図11】本発明の第2の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図12】本発明の第3の実施の形態における秘密情報分散装置の構成図である。
【図13】本発明の第3の実施の形態における秘密情報分散装置の動作説明図である。
【図14】本発明の第3の実施の形態における係数情報計算部の係数情報の計算例である。
【図15】本発明の第3の実施の形態における分散情報計算部の分散情報の計算例である。
【図16】本発明の第3の実施の形態における秘密情報復元装置の構成図である。
【図17】本発明の第3の実施の形態における秘密情報復元装置の動作説明図である。
【図18】本発明の第3の実施の形態における係数情報復元部の係数情報の計算例である。
【図19】本発明の第3の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図20】本発明の第4の実施の形態における係数情報計算部の係数情報の計算例である。
【図21】本発明の第4の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図22】本発明の第5の実施の形態における係数情報計算部の係数情報の計算例である。
【図23】本発明の第5の実施の形態における秘密情報復元部の秘密情報の計算例である。
【符号の説明】
【0177】
100,1000 秘密情報分散装置
110,1100 分散制御部
120,1200 分散条件入力手段、分散条件入力部
130,1300 秘密情報入力手段、秘密情報入力部
140,1400 係数情報計算手段、係数情報計算部
150,1500 分散情報計算手段、分散情報計算部
160,1600 出力手段、分散情報出力部
170,1700 情報記憶部
200,2000 秘密情報復元装置
210,2100 復元制御部
220,2200 復元条件入力手段、復元条件入力部
230,2300 分散情報入力手段、分散情報入力部
240,2400 係数情報復元手段、係数情報復元部
250,2500 秘密情報復元手段、秘密情報復元部
260,2600 出力手段、秘密情報出力部
270,2700 情報記憶部
【技術分野】
【0001】
本発明は、秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムに係り、特に、特に、パスワードや個人情報などの秘密情報を複数の情報群に分散符号化し、これらのうち、幾つか以上の分散された情報により元の秘密情報を復元可能とする秘密分散法を用いたセキュリティ技術における、秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムに関する。
【背景技術】
【0002】
ネットワーク上でパスワードや個人情報、暗号鍵情報といった各種情報のセキュリティ(安全性)を保つために、暗号技術が用いられる。この際、ユーザ(利用者)の認証に用いられるパスワードや個人情報、共通鍵暗号に用いられる共通鍵や公開鍵暗号に用いる秘密鍵といった秘密情報の保管に関して、秘密情報の紛失や破壊、漏洩や盗難といった恐れがあり、特に、単一の箇所に保管する場合などは、秘密情報の紛失や破壊、複数の箇所に保管する場合などは秘密情報の漏洩や盗難の可能性が高くなってしまうという問題がある。
【0003】
これらの問題を解決し、各秘密情報を安全に保管する方法のひとつとして、秘密分散法がある。
【0004】
秘密分散法は、元の秘密情報を複数の情報に分散して複数の箇所に保管し、この分散された情報(以下、分散情報)を全て、あるいは幾つか合わせることにより、元の秘密情報を復元可能とする方法である。
【0005】
秘密分散法の実現方法のひとつとして(k,n)閾値秘密分散法がある。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの復元に必要な分散情報の最低数である2以上n以下の整数の閾値kから、秘密情報Sを定数項とする(k−1)次の多項式f(x)を、
f(x)=S+R1x+…Rk−1xk−1(mod P)
(R1,…,Rk−1:乱数、P:素数)
として作成し、元の秘密情報Sを所有あるいは、預託により分配する秘密情報分配者は、分配情報を保管する各分散情報保持者i(i=1,2,…,n)に対して、分散情報Wi=f(i)を分配するものである。
【0006】
この(k,n)閾値秘密分散法は、n個の分散情報の内、任意のk個の分散情報がそろえば、f(x)に関する連立方程式を解くことにより元の秘密情報Sを復元できるが、任意の(k−1)個までの分散情報が揃ってもf(x)に関する連立方程式を解くことはできないため、元の秘密情報Sを復元できないという特徴を持つ。従って、(n−k)個までの分散情報が紛失や破壊により損なわれても元の秘密情報Sが復元可能であり、(k−1)個までの分散情報が漏洩や盗難により得られても元の秘密情報Sは復元できないという、秘密情報を安全に保管する方法が実現できる。但し、個々に生成される分散情報Wiの大きさは秘密情報Sの大きさに等しく、分散効率が悪いことが知られている(例えば、非特許文献1参照)。
【0007】
さらに、(k,n)閾値秘密分散法の拡張として、(d,k,n)閾値秘密分散法、別名ランプ型秘密分散法がある。これは、分散情報を配布する数である2以上の整数の分散数nと、秘密情報Sの完全な復元に必要な分散情報の最低数である2位以上n以下の整数の閾値kと、閾値kに対して秘密情報Sの部分的な復元を許容する分散情報の不足数を決定する2以上k以下の整数の分散数dから、秘密情報Sを、S1,S2,…,Sdに分割し、これらの分割した秘密情報(以下、分割情報)を定数項とする(k−1)次の多項式f(x)を、
f(x)=S1+S2x+…+Sdxd−1+R1xd+…+Rk−dxk−1(mod P)
(R1,…,Rk−d:乱数、P:素数)
として作成し、元の秘密情報Sを所有あるいは預託による分配する秘密情報分配者は、分散情報を保管する各分散情報保持者i(i=1,2,…,n)に対して、分散情報Wi=f(i)を算出して分配するものである。
【0008】
この(d,k,n)閾値秘密分散法は、(k,n)閾値秘密分散法と同様に、n個の分散情報の内、任意のk個の分散情報が揃えば、f(x)に関する連立方程式を解くことにより元の秘密情報Sを復元できるが、任意の(k−d)個までの分散情報が揃ってもf(x)に関する連立方程式を解くことはできないため、元の秘密情報Sは復元できないという特徴をもつ。また、d個に分割した秘密情報S1,S2,…,Sdを用いるため、算出した分散情報Wiの大きさが、元の秘密情報Sに対してd分の1で済むため、(k,n)閾値秘密分散法に比べて、分散効率がよいことが知られている。但し、任意の(k−d+1)個から(k−1)個までの分散情報が揃った場合には、f(x)に関する連立方程式から分割情報S1,S2,…,Sdに関する関係式が求められるため、分割情報S1,S2,…,Sdとして可能な値を得ることができ、元の秘密情報Sを部分的に復元することができる(例えば、非特許文献2参照)。
【非特許文献1】A. Shamir, “How to Share a Secret”, Commun. of ACM Vol.22, No.11, PP.612-613, 1979
【非特許文献2】G. R. Blakley, C. Meadows, “Security of ramp schemes”, Proc. of Crypto’84, Lecure Notes on comput. Sci., 106, pp.242-268, 1984
【発明の開示】
【発明が解決しようとする課題】
【0009】
従来の(d,k,n)閾値秘密分散法には、秘密情報をSをd個の分割情報S1,S2,…,Sdに分割することで、生成される分散情報Wiの大きさをd分の1に抑え、分散効率を上げることができる一方で、任意の(k−d+1)個から(k−1)個までの分散情報を揃えた場合には分割情報S1,S2,…,Sdに関する関係式が簡単に求められるため、分割情報S1,S2,…,Sdとして可能な値が容易に推測できてしまい、秘匿した情報の安全性に問題があった。
【0010】
例えば、k=3、d=2、とした場合に、分散関数f(x)は、
f(x)=S1+S2・x+R1・x2 (mod P)
で表現され、この分散関数により生成される任意の2個の分散情報WaとWb(0<a,b<P,a≠b)は、以下の連立方程式で表される。
【0011】
Wa=S1+S2a+R1a2
Wb=S1+S2b+R1b2
従って、この2個の分散情報の連立方程式を解くことで、S1とS2の関係式が次のような一次式の形で得られる。
【0012】
【数1】
このような関係式があれば、S1として可能な値に対し、S2として可能な値を容易に計算できるため、結果として秘密情報Sが推測できてしまう恐れがある。
【0013】
本発明は、このような中間的な復元状態における情報漏洩の問題に鑑みなされたもので、(d,k,n)閾値秘密分散法において、k個の分散情報が揃わない限り、分散情報S1,S2,…,Sdを求めることも推測することもできないようにし、効率的かつ安全な秘密情報Sの分散を可能とする秘密情報分散装置及び秘密情報復元装置及び方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
図1は、本発明の原理を説明するための図である。
【0015】
本発明(請求項1)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散方法であって、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップ(ステップ1)と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップ(ステップ2)と、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップ(ステップ3)と、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップ(ステップ4)と、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップ(ステップ5)と、を行う。
【0016】
本発明(請求項2)は、係数情報計算ステップ(ステップ3)において、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する。
【0017】
本発明(請求項3)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元方法であって、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップ(ステップ10)と、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップ(ステップ11)と、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップ(ステップ12)と、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップ(ステップ13)と、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップ(ステップ14)と、を行う。
【0018】
図2は、本発明の原理構成図である。
【0019】
本発明(請求項4)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散装置であって、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力手段120と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力手段130と、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算手段140と、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算手段150と、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力手段160と、を有する。
【0020】
また、本発明(請求項5)は、係数情報計算手段140が、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する手段を含む。
【0021】
本発明(請求項6)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元装置であって、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力手段220と、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力手段230と、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元手段240と、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元手段250と、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力手段260と、を有する。
【0022】
本発明(請求項7)は、秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散プログラムであって、
コンピュータに、
入力された秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、を実行させるプログラムである。
【0023】
また、本発明(請求項8)は、係数情報計算ステップにおいて、
入力された秘密情報を分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と、乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する。
【0024】
本発明(請求項9)は、元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元プログラムであって、
コンピュータに、
入力された元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
復元条件に基づいて複数個の分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、を実行させるプログラムである。
【発明の効果】
【0025】
上記のように本発明によれば、秘密情報Sを分散符号化する際に、d(d=分割数)分の1の大きさの分散情報Wiを任意の個数生成し、生成した分散情報の内、任意のk個が揃わない限り、分割情報S1,S2,…,Sdが一切求められず、従って、秘密情報Sが復元できないように、秘密情報Sを分散符号化することができる。これにより、効率的かつ、安全な秘密情報の分散符号化を実現することができる。
【発明を実施するための最良の形態】
【0026】
以下、図面と共に本発明の実施の形態を説明する。
【0027】
図3は、本発明の概要を説明するための図である。
【0028】
本発明は、秘密情報Sを分散符号化して、任意の個数のd(dは分割数)分の1の大きさの分散情報Wiを生成し、生成した分散情報の内、任意のk個が揃わない限り、分割情報S1,S2,…,Sdが一切求められないように、秘密情報Sの分散を可能にするものである。
【0029】
[第1の実施の形態]
本実施の形態では、秘密情報の分散について説明する。
【0030】
秘密情報の分散に必要な条件と秘密情報Sとを入力して、秘密情報Sをd個に分割した分割情報S1,S2,…,Sdを、最大の分割情報St(1≦t≦d)よりも大きな素数Pと、素数Pよりも小さく0でない(k−d)個の乱数Ri(1≦i≦k−d)からなる分散関数f(x)として、
f(x)=S1+S2x+…+Sdxd−1+R1xd+…+Rk−dxk−1 (mod P)
の形で表現される(k−1)次の多項式を用いてk個の係数情報Fi(1≦i≦k)を生成し、生成したk個の係数情報Fiと素数Pからなる分散関数g(x)として、
g(x)=F1+F2x+…+Fkxk−1 (mod P)
の形で表現される式を用いて任意の個数の分散情報Wi=g(i)を生成する。
【0031】
以下に詳細に説明する。
【0032】
図4は、本発明の第1の実施の形態における秘密情報分散装置の構成図である。
【0033】
本装置100は、秘密情報の分散処理の各過程の制御を行う分散制御部110、分散条件の入力を受け付ける分散条件入力部120、分散の対象とする秘密情報Sの入力を受け付ける秘密情報入力部130、係数情報Fiを算出する係数情報計算部140、分散情報Wiを算出する分散情報計算部150、生成された分散情報を情報番号と組にして出力する分散情報出力部160、入力された分散条件、秘密情報、分散情報等を記憶する情報記憶部170から構成される。
【0034】
以下の例では、秘密情報Sを2個の分散情報S1とS2に分割し、4個の分散情報を分散するものとして、4個の内任意の3個の分散情報を持ち寄れば秘密情報Sを復元でき、2個ないし1個の分散情報からは秘密情報Sを一切推測できないように、秘密情報Sの分散情報を生成する。
【0035】
図5は、本発明の第1の実施の形態における秘密情報分散装置の動作を示す。
【0036】
ステップ101) 分散条件入力部120は、分散条件の入力を受け付ける。入力を受け付ける分散条件は、例えば、生成する分散情報の個数として分散数n、秘密情報Sの復元を可能とする分散情報の個数として閾値k、秘密情報を分割する個数として分割数dとする。例えば、本実施の形態では、4個の分散情報を生成することから分散数n=4、3個の分散情報で完全な復元を許すことから閾値k=3、また秘密情報Sを2個の分割情報に分割することから分割数d=2が入力されたものとする。入力された分散条件は、情報記憶部170や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような分散条件は入力を受け付けるのではなく、所定の分散条件として情報記憶部170などに予め記憶しておいてもよい。
【0037】
ステップ102) 次に、秘密情報入力部130は、分散の対象とする秘密情報Sの入力を受け付ける。本実施の形態では、秘密情報Sとして4桁の16進文字列S=3CABが入力されたものとする。
【0038】
ステップ103) 秘密情報入力部130は、既に入力された分散条件の分散数d=2に従って、秘密情報Sを2個の分割情報に分割して、情報記憶部170や内部メモリ(図示せず)などに一時的に記憶する。本実施の形態における分散情報をS1=3C,S2=ABとする。
【0039】
なお、本実施の形態では、分散条件入力部120において分散条件として閾値kと分散数dの入力を受け付け、秘密情報入力部130において秘密情報Sの入力を受け付けてd個の分割情報に分割するものとしたが、予めd個に分割した分割情報S1,S2,…,Sdの入力を受け付けて分割数dを求めるようにしても構わない。また、本実施の形態では、秘密情報Sに対する分割情報を秘密情報Sの上位2桁と下位2桁で分割しているが、本発明は秘密情報Sの分割方法を規定するものではなく、例えば、奇数ビットと偶数ビットのようにビット単位で分割しても構わないし、分割情報S0とS1の積が秘密情報Sとなるように分割するなどの方法も考えられる。
【0040】
さらに、本実施の形態では、分散の対象とする秘密情報Sを16進文字列に限定するものではなく、また単なる文字列に限定するものでもない。数値情報、文字列などの分散関数による演算が可能であればどのような情報でもよく、また文書や画像データなどのマルチメディアなどを対象としてもよい。
【0041】
また、本実施の形態は、分散条件及び秘密情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。
【0042】
ステップ104) 次に、係数情報計算部140において、閾値kと分割数d及び分割情報に基づいて、係数情報Fiを算出するための分散関数を生成し、k個の係数情報Fiを算出する。まず、各分割情報Sdよりも大きな素数Pを決定し、素数Pよりも小さく0でない乱数Rjを(k−d)個生成し、k−1次の多項式である分散関数f(x)を生成する。本実施の形態では、閾値k=3,分割数d=2より、以下のような多項式が分散関数f(x)となる。
【0043】
f(x)=S1+S2・x+R1・x2(mod P)
本実施の形態では、分割情報S1=3C,S2ABより素数P=FB(251)を得たものとする。また、乱数R1=1Fを生成したものとする。なお、本実施の形態では、係数情報計算部140において、素数Pや乱数Rjの値などを決定しているが、これらの値について分散条件入力部120において入力するようにしても構わない。また、特に素数Pについては秘密情報Sあるいは分割情報Sdの長さなどに応じて、予め情報記憶部170に記憶した素数Pを選択して用いるようにしてもよい。
【0044】
次に、係数情報計算部140は、上記の分散関数f(x)を用いてk個の係数情報を生成する。ここでは分散関数f(x)、に対し、x=1,2,3を順次代入して計算し、係数情報F1,F2,F3を算出して情報記憶部170または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、閾値k=3、分割情報S1=3C,S2=AB及びR1=1Fと素数P=FBより、係数情報はそれぞれF1=0B,F2=18、F3=63を得る。図6に、係数情報計算部140における係数情報の計算例を示す。
【0045】
なお、本実施の形態は係数情報F1,F2,F3を分散関数f(x)に順次情報番号x=1,2,3を代入することで算出したが、異なる情報番号としてx=1,3,5を用いて算出した結果を係数情報F1,F2,F3としてもよい。但し、このような係数情報群を算出するための情報番号群については外部から参照できないように秘密情報分散装置100内に予め格納されているものとする。また、このような情報番号群を毎回無作為に生成した上で、情報番号xと算出結果とを結合して、実際の係数情報F1として用いるようにすることも考えられる。
【0046】
ステップ105) 次に、分散情報計算部150は、閾値kと分散数n及び係数情報に基づいて、分散情報Wiを算出するための分散関数を生成し、n個の分散情報Wiを算出する。係数情報計算部140において求めた素数P及び係数情報Fiより、k−1次の多項式である分散関数g(x)を生成する。本実施の形態では、閾値k=3より、以下のような多項式が分散関数g(x)となる。
【0047】
g(x)=F1+F2・x+F3・x2 (mod P)
分散情報計算部150は、上記の分散関数g(x)を使ってn個の分散情報Wiを生成する。ここでは、分散関数g(x)に対し、x=1,2,3,4を順次代入して計算し、分散情報W1,W2,W3,W4を算出して情報記憶部170または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、分散数n=4、係数情報F1=0B,F2=18,F3=63より、分散情報はそれぞれW1=86,W2=CC,W3=DD,W4=B9を得る。図7に、分散情報計算部150における分散情報の計算例を示す。
【0048】
なお、本実施の形態において、分散関数g(x)、から分散情報を算出する際のxの値を10進の数字により記述しているが、可能なxの値を10進数の数字に規定するものではない。分散関数f(x)に則って分散情報を算出できればよく、例えば、16進数であったり文字列であったりしても構わない。また、係数情報計算部140における分散関数f(x)と、分散情報計算部150における分散関数g(x)とで、同じ素数Pの値を使用するものとして記述しているが、分散関数g(x)における素数Pを分散関数f(x)における素数Pよりも大きな値としてもよい。
【0049】
ステップ106) 分散情報出力部160は、分散情報計算部150において生成した分散情報を、分散情報を算出したxの値(以下、情報番号)と組にして情報記憶部170に出力する。本実施の形態における出力は、(1,86),(2,CC),(3,DD),(4,B9)となる。
【0050】
なお、本実施の形態は、分散情報出力部160における分散情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。但し、個々の分散情報を別個に出力することが望ましい。また、分散情報は直線各分散情報保持者または各分散保持装置に出力するようにし、出力の際に個々の保持者ないしは装置に合わせて暗号化するなどの手段も考えることもできる。
【0051】
また、本実施の形態では、情報番号iと分散情報Wiの組を出力するものとしたが、個々の分散情報が分散関数g(x)に何を代入して算出したものかがわかればよく、例えば、iとWiを連結して186,2CC,3DD,4B9のように出力しても良いし、また、例えば、出力先によって情報番号iが予め指定されている場合は分散情報Wiのみを出力するようにしてもよい。
【0052】
[第2の実施の形態]
以下、上記の第1の実施の形態により生成した分散情報から、分散情報S1及びS2,更に、秘密情報Sを復元する場合について説明する。
【0053】
図8は、本発明の第2の実施の形態における秘密情報復元装置の構成図である。
【0054】
秘密情報復元装置200は、秘密情報復元装置200における秘密情報の復元処理の各過程の制御を行う復元制御部210、復元条件の入力を受け付ける復元条件入力部220、復元に必要な個数の分散情報と情報番号の入力を受け付ける分散情報入力部230、係数情報を算出する係数情報復元部240、分割情報を算出する秘密情報復元部250、分割情報群を結合し秘密情報を出力する秘密情報出力部260、復元条件、分散情報と情報番号、秘密情報等を格納する情報記憶部270から構成される。
【0055】
図9は、本発明の第2の実施の形態における秘密情報復元装置の動作を示す。
【0056】
ステップ201) 復元条件入力部220は、復元条件の入力を受け付ける。入力を受け付ける復元条件は、例えば、秘密情報Sの復元に必要な分散情報の個数として閾値k、秘密情報の分割数d、素数Pなどとする。例えば、本実施の形態では、3個の分散情報で完全な復元を許すことから閾値k=3、または、秘密情報Sを2個の分割情報に分割したことから分割数d=2、素数PとしてP=FBが入力されたものとする。入力された復元条件は、情報記憶部270や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような復元条件は入力を受け付けるのではなく、所定の復元条件として情報記憶部270などに予め記憶しておいてもよい。
【0057】
ステップ202) 次に、分散情報入力部230は、復元に必要な個数の分散情報Wiと情報番号iの入力を受け付ける。本実施の形態では、分散情報として(2,CC),(3,DD),(4,B9)が入力されたものとする。入力された分散情報は、情報記憶部270や内部メモリ(図示せず)などに一時的に記憶する。
【0058】
なお、本実施の形態では、分散情報Wiと情報番号iの入力を受け付けるものとしたが、予め情報番号iが分かっている場合、例えば、入力元毎に決まっている場合には、分散情報Wiのみを受け付けるようにしてもよい。また、入力元の情報に合わせて情報記憶部270より入力元に対応する情報番号を取得するようにしてもよい。なお、本実施の形態は復元条件及び分散情報の入力及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して複数の他の装置から入力しても構わない。
【0059】
ステップ203) 次に、係数情報復元部240において、閾値kと素数P、入力された情報番号及び分散情報群から係数情報Fiを算出するための復元関数を生成し、k個の係数情報Fiを算出する。本実施の形態では、入力された閾値k=3、素数P=FB、分散情報群(2,CC),(3,DD),(4,B9)から、係数情報復元部240は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0060】
W2=F1+2F2+4F3=CC (mod FB)
W3=F1+3F2+9F3=DD (mod FB
W4=F1+4F2+16F3=B9 (mod FB)
次に、係数情報復元部240は、この連立方程式から計算により係数情報F1,F2,F3を求める。連立方程式を掃き出し法により展開すると、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0061】
F1=6W2−8w3+3W4=0B (mod FB)
F2=(−7W2+12W3−5W4)/2=18 (mod FB)
F3=(W2−2W3+W4)/2=63 (mod FB)
このように算出した係数情報F1,F2,F3を情報記憶部270または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれ、F1=0B,F2=18,F3=63であり、正しい係数情報が得られていることが分かる。図10に、係数情報復元部240における係数情報の計算例を示す。
【0062】
なお、異なる分散情報の集合として(1,86),(3,DD),(4,B9)が入力された場合でも、同様に連立方程式を生成して掃き出し法により展開することで、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0063】
W1=F1+F2+F3=86 (mod FB)
W3=F1+3F2+9F3=DD (mod FB)
W4=F1+4F3+16F3=B9 (mod FB)
この連立方程式に対する展開結果及び計算情報の算出結果は以下のようになる。
【0064】
F1=2W1−2W3+W4=0B (mod FB)
F2=(−7W1+15W3−8W4)/6=18 (mod FB)
F3=(W1−3W3+2W4)/6=63 (mod FB)
このように、分散情報入力部230においてどのような組み合わせで分散情報W1が入力されても、閾値k個の分散情報があれば、係数情報復元部240は係数情報を全て正しく復元することができる。
【0065】
なお、本実施例では、係数情報復元部240において分散情報群を表す連立方程式を生成し、掃き出し法により展開することで、各係数情報についての方程式群を生成して、各係数情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の分散情報群から同じく閾値k個の係数情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部270から取得し、各係数情報を算出する方法などが考えられる。以下は、閾値k=3の場合に入力された分散情報群を(a,Wa),(b,Wb),(c,Wc)とした場合の自明な方程式群の例である。
【0066】
F1={−bc(b−c)Wa−ca(c−a)Wb−ab(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F2={(b+c)(b−c)Wa+(c+a)(c−a)Wb+(a+b)(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F3={−(b−c)Wa−(c−a)Wb−(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
上記の方程式群に、(2,CC),(3,DD)(4,B9)を代入すると、正しく各係数情報を算出でき、連立方程式を解くよりも高速に処理できる。
【0067】
F1=6Wa−8Wb+3Wc=0B (mod FB)
F2=(−7Wa+12Wb−5Wc)/2=18 (mod FB)
F3=(Wa−2Wb+Wc)/2=63 (mod FB)
ステップ205) 次に、秘密情報復元部250は、閾値k、分割数d、素数Pと係数情報復元部240において算出した各係数情報Fiから、分割情報St(1≦t≦d)を算出するための復元関数を生成し、d個の分割情報Stを算出する。本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=18,F3=63から、秘密情報復元部250は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0068】
F1=S1+S2+R1=0B (mod FB)
F2=S1+2S2+4R1=18 (mod FB)
F3=S1+3S2+9R1=63 (mod FB)
次に、秘密情報復元部250は、この連立方程式から計算により分割情報S1,S2を求める。連立方程式を掃き出し法により展開すると、各分割情報についての方程式群が生成でき、各分割情報が算出できる。
【0069】
S1=3F1−3F2+F3=3C
S2=(−5F1+8F2−3F3)/2=AB (mod FB)
このように算出した分割情報S1,S2を情報記憶部270または内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれS1=3C,S2=ABであり、正しい分割情報が得られていることが分かる。図11に、秘密情報復元部250における秘密情報の計算例を示す。
【0070】
なお、本実施の形態では、秘密情報復元部250において、係数情報群を表す連立方程式を生成し、掃き出し法により展開することで、各分割情報についての方程式群を生成して、各分割情報を算出しているが、このような数学的な処理の手順を実施の形態では特に規定するものではない。閾値k個の係数情報群から分割数d個の分割情報群を算出できればよく、例えば、上記のような自明な方程式群を予め情報記憶部270から取得し、各分割情報を算出するなどの方法などが考えられる。
【0071】
また、本実施の形態は、係数情報F1,F2,F3を分散関数f(x)に順次情報番号x=1,2,3を代入した連立方程式を生成した上で、分割情報S1,S2を算出したが、係数情報F1,F2,F3が異なる情報番号としてx=1,3,5を代入して計算されている場合には、同様に分散関数f(x)にx=1,3,5を代入した連立方程式を生成して算出するものとする。このような係数情報群を算出するための情報番号群については外部から参照できないように秘密情報復元装置200内に予め格納されているものとする。また、無作為に生成した情報番号群が実際の係数情報Fiに含まれている場合には、これを分割して用いるようにすることも考えられる。
【0072】
ステップ206) 秘密情報出力部260は、秘密情報復元部250において算出したd個の分割情報群を結合し、秘密情報Sとして出力する。本実施の形態では、S1=3C,S2=ABから、結合すればS=3CABであり、正しい秘密情報が得られていることが分かる。
【0073】
なお、本実施の形態は、秘密情報出力部260における秘密情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。また、分類情報群を結合して秘密情報Sとして出力するのではなく、個々の分割情報群をそれぞれ出力しても構わない。
【0074】
本実施の形態では、分散情報入力部230において閾値k個の分散情報の入力を受け付けるものとしたが、仮に分割情報入力部230が復元に必要な個数よりも少ない数の分散情報Wiと情報番号iの入力を受け付けたとしても、係数情報復元部240において生成する連立方程式の数は不足しており、各係数情報Fiの関係式を得ることはできるが、計算により各係数情報群を求めることはできない。
【0075】
例えば、閾値k=3の時に、2個の分散情報を仮にWa=f(a)、Wb(b)とした場合、その分散情報群を表す連立方程式は次のようになる。
【0076】
Wa=f(a)=F1+aF2+a2F3 (mod P)
Wa=f(a)=F1+aF2+a2F3 (mod P)
連立方程式の数が閾値k=3よりも少ないため、これらの連立方程式からは係数情報F1とF2,F1とF3、F2とF3についての次のような関係式しか得ることができない。
【0077】
(b+a)F1+baF2=(b2Wa−a2Wb)/(b−a) (mod P)
F1−baF3=(bWa−aWb)/(b−a) (mod P)
F2+(a+b)F3=(Wa−Wb)/(a−b) (mod P)
このように、入力された分散情報の数が閾値kよりも少ない場合には、係数情報復元部240において係数情報F1,F2,F3を求めることができず、よって秘密情報復元部240において、分割情報群S1,S2を求めることもできない。従って、秘密情報Sが復元されることはない。
【0078】
以上のように、第1の実施の形態における秘密情報分散装置100により秘密情報Sから生成した分散情報については、第2の実施の形態における秘密情報復元装置200において、個々の分散情報Wiの大きさは秘密情報Sのd分の1であって、n個の分散情報のうち、閾値k個の任意の分散情報を持ち寄れば、k個の係数情報Fiを復元でき、よって全ての分割情報Stを復元して、秘密情報Sを完全に復元することができる。
【0079】
一方、k個未満の分散情報からは係数情報F1を復元できないため、分割情報S1,S2,…,Sdが一切求められず、秘密情報Sを復元することはできない。
【0080】
[第3の実施の形態]
《秘密情報分散装置》
図12は、本発明の第3の実施の形態における秘密情報分散装置の構成を示す。
【0081】
同図に示す秘密情報分散装置1000は、当該秘密情報分散装置1000における秘密情報分散処理の処理を制御する分散制御部1100、秘密情報を分散するための条件の入力を受け付ける分散条件入力部1200、分散符号化の対象とする秘密情報の入力を受け付ける秘密情報入力部1300、複数個に分割した秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、算出した係数情報と複数個に分割した秘密情報と乱数を係数とする多項式関数によって、繰り返し複数個の係数情報を算出する係数情報計算部1400、係数情報計算部1400で算出した複数個の係数情報を係数とする多項式関数によって任意の個数の分散情報を算出する分散情報計算部1500、算出した分散情報群を出力する分散情報出力部1600、入力された条件、秘密情報、計算結果等を記憶する情報記憶部1700から構成される。
【0082】
以下では、秘密情報Sを2個の分割情報S1,S2に分割した上で、4個の分散情報に分散するものとして、4個の内、任意の3個の分散情報を持ち寄れば秘密情報Sを完全に復元でき、2個乃至1個の分散情報からは秘密情報Sを一切推測できないように、秘密情報Sの分散情報を生成する秘密情報分散処理について説明する。
【0083】
図13は、本発明の第3の実施の形態における秘密情報分散装置の動作説明図である。
【0084】
ステップ1101) 分散条件入力部1200において、分散条件の入力を受け付ける。入力された分散条件は、例えば、生成する分散情報の個数として分散数n、秘密情報Sの復元を可能とする分散情報の個数として閾値k、秘密情報を分割する個数としての分割数dとする。例えば、本実施の形態では、4個の分散情報を生成することから分散数n=4、3個の分散情報で完全な復元を許すことから閾値k=3、また、秘密情報Sを2個の分割情報に分割することから分割数d=2が入力されたものとする。入力された分散条件は、情報記憶部1700や内部メモリ(図示せず)などに一時的に記憶するものとする。また、このような分散条件は入力を受け付けるのではなく、所定の分散条件として情報記憶部1700などに予め記憶しておいてもよい。
【0085】
ステップ1102) 次に、秘密情報入力部1300は、分散の対象とする秘密情報Sの入力を受け付ける。本実施の形態では、秘密情報Sとして4桁の16進文字列S=3CABが入力されたものとする。秘密情報入力部1300は、既に入力された分散条件の分割数d=2に従って、秘密情報Sを2個の分割情報に分割して、情報記憶部1700や内部メモリ(図示せず)などに一時的に記憶する。本実施の形態における分割情報をS1=3C,S2=ABとする。
【0086】
なお、本実施の形態では、分散条件入力部1200において分散条件として閾値kと分割数dの入力を受け付け、秘密情報入力部1300において秘密情報Sの入力を受け付けてd個の分割情報に分割するものとしたが、予めd個に分割した分割情報S1,S2,…,Sdの入力を受け付けて分散数dを求めるようにしても構わない。また、本実施の形態では秘密情報Sに対する分割情報を秘密情報Sの上位2桁と下位2桁で分割しているが、本発明は、秘密情報Sの分割方法を規定するものではなく、例えば、奇数ビットと偶数ビットのようにビット単位で分割しても構わないし、分割情報S0とS1の積が秘密情報Sとなるように分割するなどの方法も考えられる。
【0087】
さらに、本実施の形態は、分散の対象とする秘密情報Sを16進文字列に限定するものではなく、また、単なる文字列に限定するものでもない。数値情報、文字列などの分散関数による演算が可能であれば、どのような情報でもよく、また、文書や画像データなどのマルチメディアなども対象としてもよい。
【0088】
また、本実施の形態は、分散条件及び秘密情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して他の装置から入力するようにしても構わない。
【0089】
ステップ1103) 次に、係数情報計算部1400において、閾値kと分割数d及び分割情報に基づいて、係数情報Fiを算出するための分散関数を生成し、k個の係数情報Fiを算出する。
【0090】
まず、各分割情報Sdよりも大きな素数Pを決定し、素数Pよりも小さく0でない乱数Rjを(k−d)個生成し、k−1次の多項式である分散関数f(x)を生成する。本実施の形態における分散関数f(x)を以下のように定義する。
【0091】
【数2】
また、本分散関数f(x)による係数情報Fiの算出式を以下のようにする。
【0092】
Fi=f(Fi−1)
従って、本実施の形態では、閾値k=3、分割数d=2より、S3=R1として、以下のような分散関数f(x)により係数情報Fiが算出される。
【0093】
Fi=f(x)=S1+Fi−1S2・x+Fi−12・R1 (mod P)
本実施の形態では、係数情報計算部1400において、素数Pや乱数Rjの値などを決定しているが、これらの値について分散条件入力部1200において入力するようにしても構わない。また、特に、素数Pについては秘密情報Sあるいは分割情報Sdの長さなどに応じて予め情報記憶部1700に記憶した素数Pを選択して用いるようにしてもよい。
【0094】
ステップ1104) 次に、係数情報計算部1400は、上記の分散関数f(x)を使ってk個の係数情報を生成する。本実施の形態では、初期係数情報F0=1とおくものとして、閾値k=3、分割情報S1=3C、S2=AB及びR1=1Fと素数P=FBより、まず、係数情報F1を算出する。算出の結果、F1=0Bとなる。
【0095】
次いで、順次係数情報の算出結果を用いて、繰り返し演算し、係数情報F2=AA,F3=5Fを得る。算出した係数情報F1,F2,F3は、情報記憶部1700または、内部メモリ(図示せず)などに一時的に記憶する。図14に係数情報計算部1400における係数情報の計算例を示す。
【0096】
なお、係数情報計算部1400において生成するk個の係数情報については、値の重複がないようにしなければならない。例えば、本実施の形態においては、初期係数情報F0=1からF1≠1でなければならず、同様にF2≠1,0Bで、F3≠1,0B,AAでなければならない。係数情報計算部1400はこのような値の重複をチェックし、重複があった場合には再度乱数R1の再生成と、係数情報の再生成を行う。
【0097】
ステップ1105) 次に、分散情報計算部1500は、閾値kと分散数n及び係数情報に基づいて、分散情報Wiを算出するための分散関数を生成し、n個の分散情報Wiを算出する。係数情報計算部1400において求めた素数P及び係数情報Fiより、k−1次の多項式である分散関数g(x)を生成する。本実施の形態では、閾値k=3より、以下のような多項式が分散関数g(x)となる。
【0098】
g(x)=F1+F2・x+F3・x2 (mod P)
分散情報計算部1500は、上記の分散関数g(x)を使って、n個の分散情報Wiを生成する。ここでは、分散数n=4より、分散関数g(x)に対し、x=1,2,3,4を順次代入してWx=g(x)を計算し、分散情報W1,W2,W3,W4を算出して情報記憶部1700または、内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、係数情報F1=0B,F2=AA,F3=5Fより、分散情報はそれぞれW1=19,W2=E5,W3=79,W4=CBを得る。図15に分散情報計算部1500における分散情報の計算例を示す。
【0099】
なお、本実施の形態において、分散関数g(x)から分散情報を算出する際のxの値を10進数の数字により記述しているが、可能なxの値を10進数の数字に規定するものではない。分散関数f(x)に則って分散情報を算出できればよく、例えば、16進数であったり、文字列であったりしても構わない。また、係数情報計算部1400における分散関数f(x)と、分散情報計算部1500における分散関数g(x)とで、同じ素数Pの値を使用するものとして記述しているが、分散関数g(x)における素数Pを分散関数f(x)における素数Pよりも大きな値としてもよい。
【0100】
ステップ1106) 分散情報出力部1600は、分散情報計算部1500において生成した分散情報を、分散情報を算出したxの値(以下、情報番号)とを組にして出力する。本実施の形態における出力は、(1,19),(2,E5),(3,79),(4,CB)となる。
【0101】
なお、本実施の形態は、分散情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。但し、個々の分散情報を別個に出力することが望ましい。また、分散情報は直接各分散情報保持者または、各分散情報保持装置に出力するようにし、出力の際に個々の保持者乃至は装置に合わせて暗号化するなどの手段も考えることもできる。
【0102】
また、本実施の形態では、情報番号iと分散情報Wiの組を出力するものとしたが、個々の分散情報が分散関数g(x)に何を代入して算出したものかが分かればよく、例えば、iとWiを連結して119,2E5,379,4CBのように出力してもよいし、また例えば、出力先によって情報番号iが予め指定されている場合は分散情報Wiのみを出力するようにしてもよい。
【0103】
分散情報の出力をもって、秘密情報分散装置1000の動作は終了する。
【0104】
なお、本実施の形態は秘密分散法による分散処理を2回使用して秘密情報から係数情報の算出と分散情報の算出をそれぞれ行ったが、本発明は、複数回の秘密分散法による分散処理を連結して繰り返すことで秘密情報の推測ができないように分散情報を算出できればよく、本実施の形態の構成に制限されない。
【0105】
《秘密情報復元装置》
次に、秘密情報の復元について説明する。
【0106】
以下、本実施の形態により生成した分散情報から、分割情報S1及びS2、更に秘密情報Sを復元する場合について説明する。
【0107】
図16は、本発明の第1の実施の形態における秘密情報復元装置の構成を示す。
【0108】
同図に示す秘密情報復元装置2000は、秘密情報復元装置2000における秘密情報の復元処理の各過程の制御を行う復元制御部2100、復元条件の入力を受け付ける復元条件入力部2200、復元に必要な個数の分散情報と秘密情報の分割数、素数などの入力を受け付ける分散情報入力部2300、入力された複数個の分散情報群に対応する連立方程式を解くことにより複数個の係数情報を算出する係数情報復元部2400、係数情報復元部2400で算出された複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元部2500、算出した秘密情報を出力する秘密情報出力部2600、復元条件、分散情報と情報番号、秘密情報等を格納する情報記憶部2700から構成される。
【0109】
図17は、本発明の第1の実施の形態における秘密情報復元装置の動作説明図である。
【0110】
ステップ2101) 復元条件入力部2100は、復元条件の入力を受け付ける。受け付ける復元条件は、例えば、秘密情報Sの復元に必要な分散情報の個数として閾値k、秘密情報の分割数d、素数Pなどとする。例えば、本実施の形態では、3個の分散情報で完全な復元を許すことから閾値k=3、また、秘密情報Sを2個の分割情報に分割したことから分割数d=2、素数PとしてP=FBが入力されたものとする。入力された復元条件は、情報記憶部2700や内部メモリ(図示せず)などに一時的に記憶するものとする。
【0111】
また、このような復元条件は、入力を受け付けるものではなく、所定の復元条件として情報記憶部2700などに予め記憶しておいてもよい。
【0112】
ステップ2102) 次に、分散情報入力部2300は、復元に必要な個数の分散情報Wiと情報番号iの入力を受け付ける。本実施の形態では、3個の分散情報として(2,E5),(3,79),(4,CB)が入力されたものとする。入力された分散情報は、情報記憶部2700や内部メモリ(図示せず)などに一時的に記憶する。
【0113】
なお、本実施の形態では、分散情報Wiと情報番号iの入力を受け付けるものとしたが、予め情報番号iが分かっている場合、例えば、入力元毎に決まっている場合は、分散情報Wiのみを受け付けるようにしてもよい。
【0114】
また、入力元の情報に合わせて情報記憶部2700より入力元に対応する情報番号を取得するようにしてもよい。
【0115】
なお、本実施の形態は、復元条件及び分散情報の入力の方法及び形式を規定するものではない。キーボード入力やファイル入力の他に、インターネットなどの接続回線を介して複数の他の装置から入力するようにしても構わない。
【0116】
ステップ2103) 次に、情報係数復元部2400において、閾値kと素数P、入力された情報番号及び分散情報群から、係数情報Fiを算出するための復元関数を生成し、k個の係数情報Fiを算出する。本実施の形態では、入力された閾値k=3、素数P=FB、分散情報群(2,E5),(3,79),(4,CB)から、係数情報復元部2400は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0117】
W2=F1+2F2+4F3=E5(mod FB)
W3=F1+3F2+9F3=79 (mod FB)
W4=F1+4F2+16F3=CB (mod FB)
次に、係数情報復元部2400は、この連立方程式から計算により係数情報F1,F2,F3を求める。連立方程式を掃き出し法により展開すると、各係数情報についての方程式群が生成でき、各係数情報が算出できる。
【0118】
F1=6W2−8W3+3W4=0B (mod FB)
F2=(−7W2+12W3−5W4)/2=AA (mod FB)
F3=(W2−2W3+W4)/2=5F (mod FB)
このように算出した係数情報F1,F2,F3をそれぞれ情報記憶部2700または、内部メモリ(図示せず)などに一時的に記憶する。本実施の形態では、計算結果はそれぞれ、F1=0B,F2=AA,F3=5Fであり、正しい係数情報が得られていることが分かる。図18に、係数情報復元部2400における係数情報の計算例を示す。
【0119】
なお、異なる分散情報の集合として(1,19),(3,79),(4,CB)が入力された場合でも、同様に連立方程式を生成して掃き出し法により展開することで、各係数情報についての方程式が生成でき、各係数情報が算出できる。
【0120】
W1=F1+F2+F3=19 (mod FB)
W3=F1+3F2+9F3=79 (mod FB)
W4=F1+4F2+16F3=CB (mod FB)
この連立方程式に対する展開結果及び計算情報の算出結果は以下のようになる。
【0121】
F1=2W1−2W3+W4=0B (mod FB)
F2=(−7W1+15W3−8W4)/6=AA (mod FB)
F3=(W1−3W3+2W4)/6=5F (mod FB)
このように、分散情報入力部2300においてどのような組み合わせで分散情報Wiが入力されても、閾値k個の分散情報があれば、係数情報復元部2400は、係数情報を全て正しく復元することができる。
【0122】
なお、本実施の形態では、係数情報復元部2400において分散情報群を表す連立方程式を生成し、掃き出し法により展開することで、各係数情報についての方程式群を生成して、各係数情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の分散情報群から同じく閾値k個の係数情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部2700から取得し、各係数情報を算出する方法などが考えられる。
【0123】
以下は、閾値k=3の場合に入力された分散情報群を(a,Wa),(b,Wb),(c,Wc)とした場合の自明な方程式群の例である。
【0124】
F1={−bc(b−c)Wa−ca(c−a)Wb−ab(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F2={(b+c)(b−c)Wa+(c+a)(c−a)Wb+(a+b)(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
F3={−(b−c)Wa−(c−a)Wb−(a−b)Wc}
/(a−b)(b−c)(c−a) (mod FB)
上記の方程式群に(2,E5),(3,79),(4,CB)を代入すると、正しく各係数情報を算出でき、連立方程式を解くよりも高速に処理できる。
【0125】
F1=6Wa−8Wb+3Wc=0B (mod FB)
F2=(−7Wa+12Wb−5Wc)/2=AA (mod FB)
F3=(Wa+2Wb+Wc)/2=5F (mod FB)
ステップ2104) 次に、秘密情報復元部2500は、閾値k、分割数d、素数Pと前述の係数情報復元部2400において算出した各係数情報Fiから、分割情報St(1≦t≦d)を算出するための復元関数を生成し、d個の分割情報Stを算出する。本実施の形態では、閾値k=3、分割数d=2、素数P=Fより分散関数の形は、
f(x)=S1+Fi−1S2・x+Fi−12・R1 (mod P)
であり、これと係数情報群F1=0B,F2=AA,F3=5Fから、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0126】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+(0B)2・R1=AA (mod FB)
F3=S1+AA・S2+(AA)2・R1=5F (mod FB)
ステップ2105) 次に、秘密情報復元部2500は、この連立方程式から計算により分割情報S1,S2を求める。連立方程式を掃き出し法により展開すると、各分割情報が算出できる。
【0127】
【数3】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。算出した分割情報S1,S2は情報記憶部2700または、内部メモリ(図示せず)などに一時的に記憶する。
【0128】
なお、本実施の形態では、秘密情報復元部2500において、係数情報群を表す連立方程式を生成し、掃き出し法により展開することで、各分割情報を算出しているが、このような数学的な処理の手順を本実施の形態では特に規定するものではない。閾値k個の係数情報群から分割数d個の分割情報群を算出できればよく、例えば、閾値kから自明に求まる方程式群を予め情報記憶部2700から取得し、各分割情報を算出する方法などが考えられる。以下は、閾値k=3の場合に係数情報群を(1,F1),(F1,F2),(F2,F3)としたときの自明な方程式群の例である。
【0129】
【数4】
この方程式に、係数情報群F1=0B,F2=AA,F3=5Fと素数P=FBを代入すれば、同様に算出結果としてS1=3C,S2=ABが得られる。秘密情報分散装置1000において、秘密情報を2個に分割した分割情報はそれぞれS1=3C,S2=ABであり、計算により正しい分割情報が得られていることが分かる。図19に、後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0130】
ステップ2106) 秘密情報出力部2600は、秘密情報復元部2500において算出したd個の分割情報群を結合し、秘密情報Sとして出力する。本実施の形態では、S1=3C、S2=ABから、結合すればS=3CABであり、正しい秘密情報が得られていることが分かる。
【0131】
なお、本実施の形態では、秘密情報出力部2600における秘密情報の出力の方法及び形式を規定するものではない。画面出力やファイル出力の他に、インターネットなどの接続回線を介して他の装置に出力するようにしてもよい。また、分割情報群を結合して秘密情報Sとして出力するのではなく、個々の分割情報群をそれぞれ出力しても構わない。
【0132】
本実施の形態では、分散情報入力部2300において、閾値k個の分散情報Wiと情報番号iの入力を受け付けるものとしたが、仮に、分散情報入力部2300が復元に必要な個数よりも少ない数の分散情報Wiと情報番号iの入力を受け付けたとしても、係数情報復元部2400において生成する連立方程式の数が不足しており、各係数情報Fiの関係式を得ることができるが、計算により各係数情報群を求めることはできない。
【0133】
また、仮に、各係数情報Fiの関係式を得たとしても、係数情報群はd個の分割情報群Sdと乱数Rj、及び係数情報Fi−1からなるため、分割情報群Sdを求める、あるいは、推測することはできない。
【0134】
例えば、閾値k=3の時に、2個の分散情報を仮にWa=f(z),Wb=f(b)とした場合、その分散情報群を表す連立方程式は次のようになる。
【0135】
Wa=f(a)=F1+aF2+a2F3 (mod P)
Wb=f(b)=F1+bF2+b2F3 (mod P)
連立方程式の数が閾値k=3よりも少ないため、これらの連立方程式からは係数情報F1とF2、F1とF3、F2とF3についての次のような関係式しか得ることができない。
【0136】
(b+a)F1+baF2=(b2Wa−a2Wb)/(b−a) (mod P)
F1−baF3=(bWa−aWb)/(b−a) (mod P)
F2+(a+b)F3=(Wa−Wb)/(a−b) (mod P)
このように、入力された分散情報の数が閾値kよりも少ない場合には、係数情報復元部2400において係数情報F1,F2,F3を求めることができず、よって秘密情報復元部2500において、分割情報群S1,S2を求めることもできない。従って、秘密情報Sが復元されることはない。
【0137】
なお、本実施の形態は秘密分散法による復元処理を2回使用して分散情報から係数情報の算出と秘密情報の算出をそれぞれ行ったが、本発明は複数回の秘密分散法による復元処理を連結して繰り返すことで閾値数の任意の分散情報の集合から秘密情報を算出できればよく、本実施の形態の構成に制限されない。
【0138】
以上のように、本実施の形態における秘密情報分散装置1000による秘密情報Sから生成した分散情報については、個々の分散情報Wiの大きさは秘密情報Sのd分の1であって、n個の分散情報の内、閾値k個の任意の分散情報を持ち寄れば、k個の係数情報Fiを復元でき、よって全ての分散情報Stを復元して、秘密情報Sを完全に復元することができる。一方、k個未満の分散情報からは係数情報Fiを復元できないため、分散情報S1,S2,…,Sdが求められず、秘密情報Sを復元することはできない。
【0139】
[第4の実施の形態]
本実施の形態では、第3の実施の形態における係数情報計算部1400における係数情報Fiの算出方法を変えることで、計算を簡略化する例を説明する。本実施の形態の秘密情報分散装置1000、秘密情報復元装置2000の構成は、前述の第3の実施の形態と同様である。また、動作については、以下の説明以外については、第3の実施の形態と同様である。
【0140】
例えば秘密情報分散装置1000において、係数情報計算部1400における係数情報Fiの算出式を以下ようにする。
【0141】
Fi=S1+Fi−1S2+iR1 (mod P)
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。本実施の形態では、初期係数情報F0=1とおくものとすると、係数情報F1=0Bとなる。次いで、順次係数情報算出結果を用いて、繰り返し演算し、係数情報F2=F6,F3=33を得る。図20に本実施の形態での係数情報計算部1400における係数情報の計算例を示す。
【0142】
これに伴って、秘密情報復元装置2000において、秘密情報復元部2500における計算も簡略化することができる。
【0143】
例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=F6,F3=33から、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0144】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+2・R1=F6 (mod FB)
F3=S1+F6・S2+3・R1=33 (mod FB)
秘密情報復元部2500は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0145】
【数5】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。
【0146】
なお、閾値kから自明に求まる方程式群を使って各分割情報を算出する場合、式は以下のようになり、計算が簡略化される。
【0147】
【数6】
この方程式に、係数情報群F1=0B、F2=F6,F3=33と素数P=FBを代入すれば、同様に算出結果として正しい分割情報S1=3C,S2=ABが得られる。図21に、後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0148】
[第5の実施の形態]
本実施の形態では、前述の第3の実施の形態における係数情報計算部1400における係数情報Fiの算出方法を変えることで、計算を簡略化することができる例を説明する。本実施の形態の秘密情報分散装置1000、秘密情報復元装置2000の構成は、前述の第3の実施の形態と同様である。また、動作については、以下の説明以外については、第3の実施の形態と同様である。
【0149】
例えば秘密情報分散装置1000において、係数情報計算部1400における係数情報Fiの算出式を閾値kに対して以下のように定義する。
【0150】
【数7】
従って、本実施の形態の場合、閾値k=3に対し、S3=R1として、以下の算出式を用いる。
【0151】
【数8】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。本実施の形態では、係数情報F1=0Bとなり、次いで係数情報F1を用いて繰り返し演算し、係数情報F2=D7,F3=46を得る。図22に本実施の形態における係数情報計算部1400の係数情報の計算例を示す。
【0152】
これに伴って、秘密情報復元装置2000において、秘密情報復元部2500における計算も簡略化することができる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=D7,F3=46から、秘密情報復元部2500は、次のような連立方程式を内部メモリ(図示せず)上に生成する。
【0153】
F1=S1+S2+R1=0B (mod FB)
F2=S1+0B・S2+R1=D7 (mod FB)
F3=S1+S2+0B・R1=46 (mod FB)
秘密情報復元部2500は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0154】
【数9】
以上のように、S1=3C,S2=AB,R3=1Fがそれぞれ算出結果となる。
【0155】
なお、閾値kから自明に求まる方程式群を使って各分割情報を算出する場合は、式は以下のようになり、更に計算が簡略化される。
【0156】
【数10】
この方程式は、係数情報群F1=0B,F2=F6,F3=33と素数P=FBを代入すれば、同様に算出結果として正しい分割情報S1=3C,S2=ABが得られる。図23に後者の例による秘密情報復元部2500における秘密情報の計算例を示す。
【0157】
[第6の実施の形態]
本実施の形態は、第1の実施の形態の係数情報計算部140または、第3の実施の形態の係数情報計算部1400における係数情報Fiの算出方法を変えることで、分割情報群Sdの推測を更に困難にすることができる。以下では、第1の実施の形態の秘密情報分散装置100及び秘密情報復元装置200を用いて説明する。
【0158】
例えば、秘密情報分散装置100の係数情報計算部140における係数情報Fiの算出式を以下のようにする。
【0159】
F1=S1+S2+R1 (mod P)
Fi=f(Fi−2 xor Fi−1)
=S1+(Fi−2 xor Fi−1)S2+(Fi−2 xor Fi−1)2・R1 (mod P)
(i≧2)
ここで、式中のxorは排他的論理和を表す二項演算子とし、前後の値を2進数すなわちビット値で表現した上で、各ビットの位置ごとにビット値が同じ、すなわち、0と0、1と1であれば0を、ビット値が違う、すなわち、0と1,1と0であれば1を、演算結果のビット値とする演算方法を示すものとする。例えば、
8(1000)xor 3(0011)=11(1011)、
9(1001)xor 3(0011)=10(1010)
となる。
【0160】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。算出したFiが0または1または既に算出したFj(j<i)と一致する場合には、乱数R1を再度求めて、計算をやり直す。本実施の形態では、係数情報F1=0Bとなる。初期係数情報F0=1とおくものとして、順次係数情報の算出結果を用いて繰り返し演算すると、係数情報F2=f(1xorF1)=65,F3=f(F1xorF2)=97を得る。
【0161】
なお、本実施の形態における係数情報の計算時に、分散関数f(x)にFi−2xorFi−1を代入するものとしたが、本実施の形態は代入する値をこれに限定するものではない。既に生成した全ての係数情報の排他的論理和を計算して代入してもよいし、直前に生成した係数情報Fi−1と何らかの秘密の定数との排他的論理和を計算して代入しても良い。また、排他的論理和に限る必要もなく、論理和や論理積などの演算子を用いてもよい。
【0162】
これに伴って、秘密情報復元装置200において、秘密情報復元部250における計算も排他的論理和を用いる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=65,F3=97から、秘密情報復元部250は、1xorF1=0A,F1xorF2=6Eをそれぞれ計算し、次のような連立方程式を内部メモリ上に生成する。
【0163】
F1=S1+S2+R1=0B(mod FB)
F2=S1+0A・S2+(0A)2・R1=65(mod FB)
F3=S1+6E・S2+(6E)2・R1=97(mod FB)
秘密情報復元部250は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0164】
【数11】
以上のように、S1=3C、S2=AB,R1=1Fがそれぞれ算出結果となる。
【0165】
[第7の実施の形態]
本実施の形態では、第1の実施の形態の係数情報計算部140、第3の実施の形態の係数情報計算部1400における係数情報Fiの算出方法を変えることで、分割情報群Sdの推測を更に困難する例を説明する。以下では、第1の実施の形態における秘密情報分散装置100、秘密情報復元装置200を対象として説明する。
【0166】
係数情報計算部140における係数情報Fiの算出式を以下のようにする。
【0167】
【数12】
上記の算出式に、分割情報S1=3C,S2=AB,乱数R1=1F及び素数P=FB(251)を代入して、係数情報F1,F2,F3を順次算出する。算出したFiが0または1または既に算出したFj(j<i)と一致する場合には、乱数R1を再度求めて、計算をやり直す。本実施の形態では、係数情報F1=0Bとなる。順次係数情報の算出結果を用いて繰り返し演算すると、係数情報F2=f(2F1)=19,F3=f(2F2)=ABを得る。
【0168】
なお、本実施の形態における係数情報の計算時に、分散関数f(x)に
【0169】
【数13】
を代入するものとしたが、本実施の形態は代入する値をこれに限定するものではない。既に生成した全ての係数情報を指数として演算した値を代入してもよいし、直前に生成した係数情報Fi−1と何らかの秘密の定数との和あるいは積を指数として演算して代入してもよい。
【0170】
これに伴って、秘密情報復元装置200において、秘密情報復元部250における計算も指数演算を用いる。例えば、本実施の形態では、閾値k=3、分割数d=2、素数P=FBと、係数情報群F1=0B,F2=19,F3=ABから、秘密情報復元部250は、20B≡28,219≡FA(mod P)をそれぞれ計算し、次のような連立方程式を内部メモリ上に生成する。
【0171】
F1=S1+S2+R1=0B (mod FB)
F2=S1+28・S2+(28)2・R1=19 (mod FB)
F3=S1+FA・S2+(FA)2・R1=AB (mod FB)
秘密情報復元部250は、この連立方程式を掃き出し法により展開し、分割情報S1,S2を求める。
【0172】
【数14】
以上のように、S1=3C,S2=AB,R1=1Fがそれぞれ算出結果となる。
【0173】
また、上記の各実施の形態における秘密情報分散装置及び秘密情報復元装置の各構成要素の動作をプログラムとして構築し、秘密情報分散装置及び秘密情報復元装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることも可能である。
【0174】
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。
【産業上の利用可能性】
【0175】
本発明は、ネットワーク上で取り扱われる各種情報のセキュリティ技術に適用可能である。
【図面の簡単な説明】
【0176】
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の概要を説明するための図である。
【図4】本発明の第1の実施の形態における秘密情報分散装置の構成図である。
【図5】本発明の第1の実施の形態における秘密情報分散装置の動作説明図である。
【図6】本発明の第1の実施の形態における係数情報計算部の係数情報の計算例である。
【図7】本発明の第1の実施の形態における分散情報計算部の分散情報の計算例である。
【図8】本発明の第2の実施の形態における秘密情報復元装置の構成図である。
【図9】本発明の第2の実施の形態における秘密情報復元装置の動作説明図である。
【図10】本発明の第2の実施の形態における係数情報復元部の係数情報の計算例である。
【図11】本発明の第2の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図12】本発明の第3の実施の形態における秘密情報分散装置の構成図である。
【図13】本発明の第3の実施の形態における秘密情報分散装置の動作説明図である。
【図14】本発明の第3の実施の形態における係数情報計算部の係数情報の計算例である。
【図15】本発明の第3の実施の形態における分散情報計算部の分散情報の計算例である。
【図16】本発明の第3の実施の形態における秘密情報復元装置の構成図である。
【図17】本発明の第3の実施の形態における秘密情報復元装置の動作説明図である。
【図18】本発明の第3の実施の形態における係数情報復元部の係数情報の計算例である。
【図19】本発明の第3の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図20】本発明の第4の実施の形態における係数情報計算部の係数情報の計算例である。
【図21】本発明の第4の実施の形態における秘密情報復元部の秘密情報の計算例である。
【図22】本発明の第5の実施の形態における係数情報計算部の係数情報の計算例である。
【図23】本発明の第5の実施の形態における秘密情報復元部の秘密情報の計算例である。
【符号の説明】
【0177】
100,1000 秘密情報分散装置
110,1100 分散制御部
120,1200 分散条件入力手段、分散条件入力部
130,1300 秘密情報入力手段、秘密情報入力部
140,1400 係数情報計算手段、係数情報計算部
150,1500 分散情報計算手段、分散情報計算部
160,1600 出力手段、分散情報出力部
170,1700 情報記憶部
200,2000 秘密情報復元装置
210,2100 復元制御部
220,2200 復元条件入力手段、復元条件入力部
230,2300 分散情報入力手段、分散情報入力部
240,2400 係数情報復元手段、係数情報復元部
250,2500 秘密情報復元手段、秘密情報復元部
260,2600 出力手段、秘密情報出力部
270,2700 情報記憶部
【特許請求の範囲】
【請求項1】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散方法であって、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、
を行うことを特徴とする秘密情報分散方法。
【請求項2】
前記係数情報計算ステップにおいて、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する
請求項1記載の秘密情報分散方法。
【請求項3】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元方法であって、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
前記復元条件に基づいて、複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、
を行うことを特徴とする秘密情報復元方法。
【請求項4】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散装置であって、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力手段と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力手段と、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算手段と、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算手段と、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力手段と、
を有することを特徴とする秘密情報分散装置。
【請求項5】
前記係数情報計算手段は、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する手段を含む請求項4記載の秘密情報分散装置。
【請求項6】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元装置であって、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力手段と、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力手段と、
前記復元条件に基づいて、複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元手段と、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元手段と、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力手段と、
を有することを特徴とする秘密情報復元装置。
【請求項7】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散プログラムであって、
コンピュータに、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、
を実行させることを特徴とする秘密情報分散プログラム。
【請求項8】
前記係数情報計算ステップにおいて、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する
請求項4記載の秘密情報分散プログラム。
【請求項9】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元プログラムであって、
コンピュータに、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
前記復元条件に基づいて複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、
を実行させることを特徴とする秘密情報復元プログラム。
【請求項1】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散方法であって、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって、複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、
を行うことを特徴とする秘密情報分散方法。
【請求項2】
前記係数情報計算ステップにおいて、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する
請求項1記載の秘密情報分散方法。
【請求項3】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元方法であって、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
前記復元条件に基づいて、複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、
を行うことを特徴とする秘密情報復元方法。
【請求項4】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散装置であって、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力手段と、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力手段と、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算手段と、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算手段と、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力手段と、
を有することを特徴とする秘密情報分散装置。
【請求項5】
前記係数情報計算手段は、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する手段を含む請求項4記載の秘密情報分散装置。
【請求項6】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元装置であって、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力手段と、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力手段と、
前記復元条件に基づいて、複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元手段と、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元手段と、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力手段と、
を有することを特徴とする秘密情報復元装置。
【請求項7】
秘密情報を、元の秘密情報より小さい複数個の分散情報に分散符号化する秘密情報分散プログラムであって、
コンピュータに、
入力された前記秘密情報を分散するための分散条件を取得し、記憶手段に一時的に格納する分散条件入力ステップと、
入力された分散符号化の対象とする秘密情報を取得し、記憶手段に一時的に格納する秘密情報入力ステップと、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と生成された乱数を係数とする多項式関数によって複数個の係数情報を算出し、記憶手段に格納する係数情報計算ステップと、
前記複数個の係数情報を係数とする多項式関数によって任意の個数の、元の秘密情報より小さい分散情報を算出する分散情報計算ステップと、
算出された前記分散情報を記憶手段、出力装置、または、ネットワークに出力する出力ステップと、
を実行させることを特徴とする秘密情報分散プログラム。
【請求項8】
前記係数情報計算ステップにおいて、
入力された前記秘密情報を前記分散条件に基づいて複数個に分割し、記憶手段に一時的に格納し、該記憶手段から読み出された分割された秘密情報と乱数を係数とする多項式関数によって係数情報を算出し、該係数情報と該分割された秘密情報と、乱数を係数とする多項式関数によって繰り返し複数個の係数情報を算出し、記憶手段に格納する
請求項4記載の秘密情報分散プログラム。
【請求項9】
元の秘密情報より小さい複数の分散情報から元の秘密情報を復元する秘密情報復元プログラムであって、
コンピュータに、
入力された前記元の秘密情報を復元するための復元条件を取得し、記憶手段に一時的に格納する復元条件入力ステップと、
入力された前記秘密情報の復元に必要な個数の分散情報群を取得し、記憶手段に一時的に格納する分散情報入力ステップと、
前記復元条件に基づいて複数個の前記分散情報群に対応する連立方程式群を解くことによって複数個の係数情報を算出し、記憶手段に格納する係数情報復元ステップと、
前記複数個の係数情報群に対応する連立方程式を解くことによって複数個の分割した秘密情報を算出して、秘密情報を復元する秘密情報復元ステップと、
前記算出した秘密情報を記憶手段、出力装置または、ネットワークに出力する出力ステップと、
を実行させることを特徴とする秘密情報復元プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2007−124610(P2007−124610A)
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願番号】特願2006−126679(P2006−126679)
【出願日】平成18年4月28日(2006.4.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年5月17日(2007.5.17)
【国際特許分類】
【出願日】平成18年4月28日(2006.4.28)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]