閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラム
【課題】XORを用いることで高速演算が可能であり、然も、一般的な(k,n)閾値秘密分散法を構成できる閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラムを提供する。
【解決手段】秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー秘密情報K0を生成し、互いに独立な乱数Rを発生し、ダミー秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成して、(k,n)閾値秘密分散法を構成する。
【解決手段】秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー秘密情報K0を生成し、互いに独立な乱数Rを発生し、ダミー秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成して、(k,n)閾値秘密分散法を構成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機密情報を保護するための閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラムに関する。
【背景技術】
【0002】
近年、情報セキュリティの重要性が高まるにつれ、情報の盗難対策と紛失対策が重要な課題となっている。このようなことから、非特許文献1に示されるような(k,n)閾値秘密分散法は、情報の秘匿と紛失によるリスクの回避を同時に実現する手法として、注目を浴びている。ここで、(k,n)閾値秘密分散は、機密情報をn個の分散情報に分散し、そのうち任意のk個の分散情報が集まれば、復元できることを意味する。
【0003】
しかしながら、非特許文献1に示されている(k,n)閾値秘密分散法は、情報の分散、復元時に、(k−1)次の多項式を処理する必要があり、その計算量が膨大になる。そこで、非特許文献2に示されるように、排他的論理和(XOR)を用いて高速に分散、復元可能な(2,n)閾値秘密分散法が提案されている。
【0004】
一方、閾値2以外のXORを用いた閾値秘密分散法として、非特許文献3において、(3,n)閾値秘密分散法が提案されている。しかしながら、閾値4以上のXORを用いた閾値秘密分散法については、未だに提案されていない。また、非特許文献4でもXORあるいは加法演算を用いて高速に分散、復元可能な(k,n)閾値秘密分散法が提案されているが、秘密情報のデータ長に比べて、分散情報のデータ長が数倍大きくなり、効率が悪い。更に、特許文献1では、(k,n)閾値秘密分散法が提案されているが、kより少ない個数の分散情報が手に入ったときでも、秘密情報が復元されてしまうことがあり、閾値秘密分散法としての一般性を満たしていない。
【非特許文献1】A.Shamir,“How to Share a Secret,”Commun.ACM, vol.22 no.11 pp.612−613, 1979.
【非特許文献2】藤井吉弘,多田美奈子,保坂範和,栃窪孝也,加藤岳久,“高速な(2,n)閾値法の構成法とシステムへの応用,”CSS2005予稿集,2005.
【非特許文献3】栗原淳,清本晋作,福島和英,田中俊昭,“XORを用いた(3,n)閾値秘密分散法,SCIS2007予稿集,2007.
【非特許文献4】椎名信行,岡本健,岡本栄司,“1−out−of−n証明からk−out−of−n証明への引き上げ方法”SCIS2004予稿集,2004.
【特許文献1】特開2006−18850号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述のように、非特許文献1に示されている(k,n)閾値秘密分散法は、演算量が膨大になるという問題がある。また、非特許文献4に示されている方式は、分散情報のデータ長が秘密情報の数倍大きくなるという問題がある。そこで、XORを用いて高速演算が可能であり、しかも、分散情報のデータ長が秘密情報のデータ長と等しくなるような、効率の良い閾値秘密分散法が要望されるが、XORを用いた一般的な(k,n)閾値秘密分散法については、未だに提案されていないのが現状である。
【0006】
そこで、本発明は、上述の課題を鑑みてなされたものであり、XORを用いることで高速演算が可能であり、秘密情報と分散情報のデータ長が等しく、しかも、一般的な(k,n)閾値秘密分散法を構成できる閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述の課題を解決するために、本発明は、以下の事項を提案している。
(1)本発明は、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する分割器(例えば、図1の分割器11に相当)と、ダミー部分秘密情報K0を生成するダミー情報生成器(例えば、図1のダミー情報生成器12に相当)と、互いに独立な乱数Rを発生するk−1個の乱数発生器(例えば、図1の乱数発生器14に相当)と、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する部分分散情報生成器(例えば、図1の部分分散情報生成器13に相当)と、前記部分分散情報を連結してn個の分散情報Siを生成する連結器(例えば、図1の連結器16に相当)と、を備えたことを特徴とする閾値秘密分散装置を提案している。
【0008】
この発明によれば、分割器が秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー情報生成器がダミー部分秘密情報K0を生成し、k−1個の乱数発生器が互いに独立な乱数Rを発生する。そして、部分分散情報生成器がダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成するとともに、連結器が部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)を用いて、一般的な(k,n)閾値秘密分散装置を構成できる。
【0009】
(2)本発明は、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、ダミー部分秘密情報K0を生成する第2のステップと、互いに独立な乱数Rを発生する第3のステップと、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、を備えることを特徴とする閾値秘密分散方法を提案している。
【0010】
この発明によれば、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー部分秘密情報K0を生成し、互いに独立な乱数Rを発生するとともに、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)演算を用いて、一般的な(k,n)閾値秘密分散法を構成できる。
【0011】
(3)本発明は、コンピュータに、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、ダミー部分秘密情報K0を生成する第2のステップと、互いに独立な乱数Rを発生する第3のステップと、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、を実行させるためのプログラムを提案している。
【0012】
この発明によれば、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー部分秘密情報K0を生成し、互いに独立な乱数Rを発生するとともに、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)演算を用いて、一般的な(k,n)閾値秘密分散法を実現できるプログラムを提供することができる。
【0013】
(4)本発明は、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、を備えることを特徴とする秘密情報復元方法を提案している。
【0014】
本発明によれば、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割すし、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去することにより秘密情報を復元する。したがって、k個の分散情報を得ることにより、秘密情報を確実に復元することができる。
【0015】
(5)本発明は、コンピュータに、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、を実行させるためのプログラムを提案している。
【0016】
本発明によれば、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割すし、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去することにより秘密情報を復元する。したがって、k個の分散情報を得ることにより、秘密情報を確実に復元することができる。
【発明の効果】
【0017】
本発明によれば、排他的論理和(XOR)を用いて、一般的な(k,n)閾値秘密分散法を構成できる。このため、分散、復元がXOR演算で行えることから、高速処理が可能になるという効果がある。
【発明を実施するための最良の形態】
【0018】
以下、本発明の実施の形態について図面を参照しながら説明する。
本実施形態は、秘密情報を(k,n)閾値法で分散、復元するものである。図1は、本実施形態の分散情報の生成、配布装置の概要を示す機能ブロック図である。
【0019】
図1において、秘密情報Kは分割器11に送られ、(np−1)個の部分秘密情報Kqに分割される。また、ダミー情報生成器12でダミー部分秘密情報K0が生成される。ダミー部分秘密情報K0及び部分秘密情報Kqは、部分分散情報生成器13に送られる。
【0020】
また、乱数発生器14は、互いに独立な乱数Rを発生している。そして、同様な乱数発生器14をk−1個備えている。乱数発生器14からの乱数Rは、部分分散情報生成器13に送られる。
【0021】
部分分散情報生成器13では、ダミー部分秘密情報K0及び(np−1)個の部分秘密情報Kqと、乱数発生器14からの乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報が生成される。この部分分散情報が連結器16により連結されて、n個の分散情報Siが生成される。この分散情報Siは、送信装置17により、管理者Piにセキュアに送信される。
【0022】
本実施形態では、一般的な分散数nの(k,n)閾値秘密分散法により、秘密情報Kを分散数nの分散情報Siに分散できる。また、分散に必要な演算は、排他的論理和(XOR)であるため、高速な演算が行える。
【0023】
なお、本発明では、秘密情報を(np−1)個に等分割する必要がある。但し、npは分散数nについてnp≧nを満たす素数である。そのため、希望する分散数nが合成数である場合には、np>nを満たす素数npを用いた(k、np)閾値法の分散情報を、n個用いることで、(k,n)閾値法を実現する。
【0024】
本実施形態の閾値秘密分散法について、更に、詳述する。先ず、本実施形態の閾値秘密分散法を説明するに先立ち、本明細書中で使用する演算子及び記号について、以下のように、定義する。
【0025】
【数1】
【0026】
先ず、分散処理方法について説明する。本実施形態の閾値秘密分散法では、以下の手順に従って分散処理を行って、(k,n)閾値秘密分散法が実現される。
【0027】
なお、前述したように、本発明では、秘密情報Kを(np−1)個に等分割する必要があり、npは分散数nについてnp≧nを満たす素数である。そのため、希望する分散数nが合成数である場合には、np>nを満たす素数npを用いた(k、np)閾値秘密分散法の分散情報を、n個用いることで、(k,n)閾値法を実現する。
【0028】
(ステップ1)
秘密情報Kを(np−1)個の部分秘密情報Kqに分割する。
【0029】
【数2】
【0030】
(ステップ2)
ダミーの部分秘密情報K0を生成する。
【0031】
(ステップ3)
np個ずつの乱数Rl0、・・・、Rlk−2の計(k−1)np個の乱数を全て独立に生成する。
【0032】
(ステップ4)
XOR演算により、以下のように部分分散情報S(i,m)を生成する。
【0033】
【数3】
【0034】
(ステップ5)
部分分散情報S(i、0)、・・・、S(i,np−2)を連結して分散情報Siを生成し、管理者Piへセキュアに配付する。
【0035】
【数4】
【0036】
以上のステップにより構成される部分分散情報の構成表は、表1のようになる。また、1人の管理者に配布されるビット数は、Kのビット数と等しくなる。
【0037】
【表1】
【0038】
次に、復元法について説明する。復元は、図2に示す復元器21を使って行われる。これは、k入力1出力の装置であり、k+1人以上の管理者が集まったときは、そのうちの任意のk人の管理者から分散情報を得て、その装置に入力することになる。つまり、表1に示す部分分散情報の構成により、収集した部分分散情報から部分秘密情報の復元を行う。これによって、k個の分散情報のいかなる組み合わせであっても、すべての部分秘密情報を復元することができる。
【0039】
以下では、この復元処理の手順について説明する。前提として、k人の相異なる管理者Pi0,・・・Pik−1が集まっているとし、k個の分散情報Si0、・・・、Sik−1(0≦i0、・・・、ik−1≦n−1、i0、・・・、ik−1は全て互いに相違)が秘密情報復元器21に入力される。
【0040】
(ステップ1)
それぞれの分散情報Si0、・・・、Sik−1を部分分散情報に分割する。すなわち、以下のk(np−1)個の部分分散情報が得られる。
【0041】
【数5】
【0042】
(ステップ2)
部分分散情報の構成により、全ての部分秘密情報K1、K2、・・・、Knp−1を復元する。
【0043】
(ステップ3)
全ての部分秘密情報を連結し、元の秘密情報Kを復元する。
【0044】
【数6】
【0045】
以上の処理ステップにより、k個の分散情報から元の秘密情報が復元できることが分かる。
【0046】
<実施例1>
具体例として、(4,5)閾値秘密分散法を構成したときの復元例について説明する。(4,5)閾値秘密分散法における秘密情報復元器は、表2に示す部分分散情報の構成表を参照することにより、部分分散情報K1、K2、K3、K4の復元を行う。
【0047】
【表2】
【0048】
この復元例では、管理者P1、P2、P3、P4の4人の管理者が集まった場合を考える。
【0049】
(ステップ1)
それぞれの分散情報を分割し、以下、数7に示す16個の部分秘密情報を得る。
【0050】
【数7】
【0051】
(ステップ2)
次に、部分秘密情報は表2の構成表を参照することにより、以下、数8のように復元される。
【0052】
【数8】
【0053】
(ステップ3)
次に、復元された部分秘密情報を連結して、元の秘密情報Kを数9のように復元する。
【0054】
【数9】
【0055】
<実施例2>
次に、他の具体例として、(5,7)閾値秘密分散法を構成したときの復元例について説明する。(5,7)閾値秘密分散法における部分分散情報の構成表を表3に示す。
【0056】
【表3】
【0057】
この復元例では、管理者P1、P2、P3、P4、P5の5人の管理者が集まった場合を考える。
【0058】
(ステップ1)
それぞれの分散情報を分割し、以下、数10に示す30個の部分秘密情報を得る。
【0059】
【数10】
【0060】
(ステップ2)
次に、部分秘密情報は表3の構成表を参照することにより、以下、数11のように復元される。
【0061】
【数11】
【0062】
(ステップ3)
次に、復元された部分秘密情報を連結して、元の秘密情報Kを数12のように復元する。
【0063】
【数12】
【0064】
以上説明したように、本実施形態では、高速に分散情報の生成、秘密情報の復元が可能なXORを用いた(k,n)閾値秘密分散法を基本とする秘密分散システムが実現できる。
【0065】
なお、上述の秘密分散及び復元処理は、コンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを記録装置に読み込ませ、実行することによって本発明の制御を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0066】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0067】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0068】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0069】
なお、本発明は、企業内等で扱われる機密データをセキュアに処理するのに用いることができる。
【図面の簡単な説明】
【0070】
【図1】本発明の実施形態の分散情報の生成、配布装置の説明に用いる機能ブロック図である。
【図2】本発明の実施形態の分散情報の復元の説明に用いる機能ブロック図である。
【符号の説明】
【0071】
11・・・分割器
12・・・ダミー秘密情報生成器
13・・・部分分散情報生成器
14、15・・・乱数発生器
16・・・連結器
17・・・送信装置
【技術分野】
【0001】
本発明は、機密情報を保護するための閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラムに関する。
【背景技術】
【0002】
近年、情報セキュリティの重要性が高まるにつれ、情報の盗難対策と紛失対策が重要な課題となっている。このようなことから、非特許文献1に示されるような(k,n)閾値秘密分散法は、情報の秘匿と紛失によるリスクの回避を同時に実現する手法として、注目を浴びている。ここで、(k,n)閾値秘密分散は、機密情報をn個の分散情報に分散し、そのうち任意のk個の分散情報が集まれば、復元できることを意味する。
【0003】
しかしながら、非特許文献1に示されている(k,n)閾値秘密分散法は、情報の分散、復元時に、(k−1)次の多項式を処理する必要があり、その計算量が膨大になる。そこで、非特許文献2に示されるように、排他的論理和(XOR)を用いて高速に分散、復元可能な(2,n)閾値秘密分散法が提案されている。
【0004】
一方、閾値2以外のXORを用いた閾値秘密分散法として、非特許文献3において、(3,n)閾値秘密分散法が提案されている。しかしながら、閾値4以上のXORを用いた閾値秘密分散法については、未だに提案されていない。また、非特許文献4でもXORあるいは加法演算を用いて高速に分散、復元可能な(k,n)閾値秘密分散法が提案されているが、秘密情報のデータ長に比べて、分散情報のデータ長が数倍大きくなり、効率が悪い。更に、特許文献1では、(k,n)閾値秘密分散法が提案されているが、kより少ない個数の分散情報が手に入ったときでも、秘密情報が復元されてしまうことがあり、閾値秘密分散法としての一般性を満たしていない。
【非特許文献1】A.Shamir,“How to Share a Secret,”Commun.ACM, vol.22 no.11 pp.612−613, 1979.
【非特許文献2】藤井吉弘,多田美奈子,保坂範和,栃窪孝也,加藤岳久,“高速な(2,n)閾値法の構成法とシステムへの応用,”CSS2005予稿集,2005.
【非特許文献3】栗原淳,清本晋作,福島和英,田中俊昭,“XORを用いた(3,n)閾値秘密分散法,SCIS2007予稿集,2007.
【非特許文献4】椎名信行,岡本健,岡本栄司,“1−out−of−n証明からk−out−of−n証明への引き上げ方法”SCIS2004予稿集,2004.
【特許文献1】特開2006−18850号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
上述のように、非特許文献1に示されている(k,n)閾値秘密分散法は、演算量が膨大になるという問題がある。また、非特許文献4に示されている方式は、分散情報のデータ長が秘密情報の数倍大きくなるという問題がある。そこで、XORを用いて高速演算が可能であり、しかも、分散情報のデータ長が秘密情報のデータ長と等しくなるような、効率の良い閾値秘密分散法が要望されるが、XORを用いた一般的な(k,n)閾値秘密分散法については、未だに提案されていないのが現状である。
【0006】
そこで、本発明は、上述の課題を鑑みてなされたものであり、XORを用いることで高速演算が可能であり、秘密情報と分散情報のデータ長が等しく、しかも、一般的な(k,n)閾値秘密分散法を構成できる閾値秘密分散装置、閾値秘密分散方法、秘密情報復元方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述の課題を解決するために、本発明は、以下の事項を提案している。
(1)本発明は、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する分割器(例えば、図1の分割器11に相当)と、ダミー部分秘密情報K0を生成するダミー情報生成器(例えば、図1のダミー情報生成器12に相当)と、互いに独立な乱数Rを発生するk−1個の乱数発生器(例えば、図1の乱数発生器14に相当)と、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する部分分散情報生成器(例えば、図1の部分分散情報生成器13に相当)と、前記部分分散情報を連結してn個の分散情報Siを生成する連結器(例えば、図1の連結器16に相当)と、を備えたことを特徴とする閾値秘密分散装置を提案している。
【0008】
この発明によれば、分割器が秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー情報生成器がダミー部分秘密情報K0を生成し、k−1個の乱数発生器が互いに独立な乱数Rを発生する。そして、部分分散情報生成器がダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成するとともに、連結器が部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)を用いて、一般的な(k,n)閾値秘密分散装置を構成できる。
【0009】
(2)本発明は、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、ダミー部分秘密情報K0を生成する第2のステップと、互いに独立な乱数Rを発生する第3のステップと、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、を備えることを特徴とする閾値秘密分散方法を提案している。
【0010】
この発明によれば、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー部分秘密情報K0を生成し、互いに独立な乱数Rを発生するとともに、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)演算を用いて、一般的な(k,n)閾値秘密分散法を構成できる。
【0011】
(3)本発明は、コンピュータに、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、ダミー部分秘密情報K0を生成する第2のステップと、互いに独立な乱数Rを発生する第3のステップと、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、を実行させるためのプログラムを提案している。
【0012】
この発明によれば、秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割し、ダミー部分秘密情報K0を生成し、互いに独立な乱数Rを発生するとともに、ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成し、部分分散情報を連結してn個の分散情報Siを生成する。したがって、排他的論理和(XOR)演算を用いて、一般的な(k,n)閾値秘密分散法を実現できるプログラムを提供することができる。
【0013】
(4)本発明は、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、を備えることを特徴とする秘密情報復元方法を提案している。
【0014】
本発明によれば、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割すし、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去することにより秘密情報を復元する。したがって、k個の分散情報を得ることにより、秘密情報を確実に復元することができる。
【0015】
(5)本発明は、コンピュータに、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、を実行させるためのプログラムを提案している。
【0016】
本発明によれば、収集したk個の分散情報をnp(k−1)個の部分分散情報に分割すし、乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去することにより秘密情報を復元する。したがって、k個の分散情報を得ることにより、秘密情報を確実に復元することができる。
【発明の効果】
【0017】
本発明によれば、排他的論理和(XOR)を用いて、一般的な(k,n)閾値秘密分散法を構成できる。このため、分散、復元がXOR演算で行えることから、高速処理が可能になるという効果がある。
【発明を実施するための最良の形態】
【0018】
以下、本発明の実施の形態について図面を参照しながら説明する。
本実施形態は、秘密情報を(k,n)閾値法で分散、復元するものである。図1は、本実施形態の分散情報の生成、配布装置の概要を示す機能ブロック図である。
【0019】
図1において、秘密情報Kは分割器11に送られ、(np−1)個の部分秘密情報Kqに分割される。また、ダミー情報生成器12でダミー部分秘密情報K0が生成される。ダミー部分秘密情報K0及び部分秘密情報Kqは、部分分散情報生成器13に送られる。
【0020】
また、乱数発生器14は、互いに独立な乱数Rを発生している。そして、同様な乱数発生器14をk−1個備えている。乱数発生器14からの乱数Rは、部分分散情報生成器13に送られる。
【0021】
部分分散情報生成器13では、ダミー部分秘密情報K0及び(np−1)個の部分秘密情報Kqと、乱数発生器14からの乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報が生成される。この部分分散情報が連結器16により連結されて、n個の分散情報Siが生成される。この分散情報Siは、送信装置17により、管理者Piにセキュアに送信される。
【0022】
本実施形態では、一般的な分散数nの(k,n)閾値秘密分散法により、秘密情報Kを分散数nの分散情報Siに分散できる。また、分散に必要な演算は、排他的論理和(XOR)であるため、高速な演算が行える。
【0023】
なお、本発明では、秘密情報を(np−1)個に等分割する必要がある。但し、npは分散数nについてnp≧nを満たす素数である。そのため、希望する分散数nが合成数である場合には、np>nを満たす素数npを用いた(k、np)閾値法の分散情報を、n個用いることで、(k,n)閾値法を実現する。
【0024】
本実施形態の閾値秘密分散法について、更に、詳述する。先ず、本実施形態の閾値秘密分散法を説明するに先立ち、本明細書中で使用する演算子及び記号について、以下のように、定義する。
【0025】
【数1】
【0026】
先ず、分散処理方法について説明する。本実施形態の閾値秘密分散法では、以下の手順に従って分散処理を行って、(k,n)閾値秘密分散法が実現される。
【0027】
なお、前述したように、本発明では、秘密情報Kを(np−1)個に等分割する必要があり、npは分散数nについてnp≧nを満たす素数である。そのため、希望する分散数nが合成数である場合には、np>nを満たす素数npを用いた(k、np)閾値秘密分散法の分散情報を、n個用いることで、(k,n)閾値法を実現する。
【0028】
(ステップ1)
秘密情報Kを(np−1)個の部分秘密情報Kqに分割する。
【0029】
【数2】
【0030】
(ステップ2)
ダミーの部分秘密情報K0を生成する。
【0031】
(ステップ3)
np個ずつの乱数Rl0、・・・、Rlk−2の計(k−1)np個の乱数を全て独立に生成する。
【0032】
(ステップ4)
XOR演算により、以下のように部分分散情報S(i,m)を生成する。
【0033】
【数3】
【0034】
(ステップ5)
部分分散情報S(i、0)、・・・、S(i,np−2)を連結して分散情報Siを生成し、管理者Piへセキュアに配付する。
【0035】
【数4】
【0036】
以上のステップにより構成される部分分散情報の構成表は、表1のようになる。また、1人の管理者に配布されるビット数は、Kのビット数と等しくなる。
【0037】
【表1】
【0038】
次に、復元法について説明する。復元は、図2に示す復元器21を使って行われる。これは、k入力1出力の装置であり、k+1人以上の管理者が集まったときは、そのうちの任意のk人の管理者から分散情報を得て、その装置に入力することになる。つまり、表1に示す部分分散情報の構成により、収集した部分分散情報から部分秘密情報の復元を行う。これによって、k個の分散情報のいかなる組み合わせであっても、すべての部分秘密情報を復元することができる。
【0039】
以下では、この復元処理の手順について説明する。前提として、k人の相異なる管理者Pi0,・・・Pik−1が集まっているとし、k個の分散情報Si0、・・・、Sik−1(0≦i0、・・・、ik−1≦n−1、i0、・・・、ik−1は全て互いに相違)が秘密情報復元器21に入力される。
【0040】
(ステップ1)
それぞれの分散情報Si0、・・・、Sik−1を部分分散情報に分割する。すなわち、以下のk(np−1)個の部分分散情報が得られる。
【0041】
【数5】
【0042】
(ステップ2)
部分分散情報の構成により、全ての部分秘密情報K1、K2、・・・、Knp−1を復元する。
【0043】
(ステップ3)
全ての部分秘密情報を連結し、元の秘密情報Kを復元する。
【0044】
【数6】
【0045】
以上の処理ステップにより、k個の分散情報から元の秘密情報が復元できることが分かる。
【0046】
<実施例1>
具体例として、(4,5)閾値秘密分散法を構成したときの復元例について説明する。(4,5)閾値秘密分散法における秘密情報復元器は、表2に示す部分分散情報の構成表を参照することにより、部分分散情報K1、K2、K3、K4の復元を行う。
【0047】
【表2】
【0048】
この復元例では、管理者P1、P2、P3、P4の4人の管理者が集まった場合を考える。
【0049】
(ステップ1)
それぞれの分散情報を分割し、以下、数7に示す16個の部分秘密情報を得る。
【0050】
【数7】
【0051】
(ステップ2)
次に、部分秘密情報は表2の構成表を参照することにより、以下、数8のように復元される。
【0052】
【数8】
【0053】
(ステップ3)
次に、復元された部分秘密情報を連結して、元の秘密情報Kを数9のように復元する。
【0054】
【数9】
【0055】
<実施例2>
次に、他の具体例として、(5,7)閾値秘密分散法を構成したときの復元例について説明する。(5,7)閾値秘密分散法における部分分散情報の構成表を表3に示す。
【0056】
【表3】
【0057】
この復元例では、管理者P1、P2、P3、P4、P5の5人の管理者が集まった場合を考える。
【0058】
(ステップ1)
それぞれの分散情報を分割し、以下、数10に示す30個の部分秘密情報を得る。
【0059】
【数10】
【0060】
(ステップ2)
次に、部分秘密情報は表3の構成表を参照することにより、以下、数11のように復元される。
【0061】
【数11】
【0062】
(ステップ3)
次に、復元された部分秘密情報を連結して、元の秘密情報Kを数12のように復元する。
【0063】
【数12】
【0064】
以上説明したように、本実施形態では、高速に分散情報の生成、秘密情報の復元が可能なXORを用いた(k,n)閾値秘密分散法を基本とする秘密分散システムが実現できる。
【0065】
なお、上述の秘密分散及び復元処理は、コンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムを記録装置に読み込ませ、実行することによって本発明の制御を実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。
【0066】
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0067】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0068】
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0069】
なお、本発明は、企業内等で扱われる機密データをセキュアに処理するのに用いることができる。
【図面の簡単な説明】
【0070】
【図1】本発明の実施形態の分散情報の生成、配布装置の説明に用いる機能ブロック図である。
【図2】本発明の実施形態の分散情報の復元の説明に用いる機能ブロック図である。
【符号の説明】
【0071】
11・・・分割器
12・・・ダミー秘密情報生成器
13・・・部分分散情報生成器
14、15・・・乱数発生器
16・・・連結器
17・・・送信装置
【特許請求の範囲】
【請求項1】
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する分割器と、
ダミー部分秘密情報K0を生成するダミー情報生成器と、
互いに独立な乱数Rを発生するk−1個の乱数発生器と、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する部分分散情報生成器と、
前記部分分散情報を連結してn個の分散情報Siを生成する連結器と、
を備えたことを特徴とする閾値秘密分散装置。
【請求項2】
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、
ダミー部分秘密情報K0を生成する第2のステップと、
互いに独立な乱数Rを発生する第3のステップと、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、
前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、
を備えることを特徴とする閾値秘密分散方法。
【請求項3】
コンピュータに、
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、
ダミー部分秘密情報K0を生成する第2のステップと、
互いに独立な乱数Rを発生する第3のステップと、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、
前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、
を実行させるためのプログラム。
【請求項4】
収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、
乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、
を備えることを特徴とする秘密情報復元方法。
【請求項5】
コンピュータに、
収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、
乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、
を実行させるためのプログラム。
【請求項1】
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する分割器と、
ダミー部分秘密情報K0を生成するダミー情報生成器と、
互いに独立な乱数Rを発生するk−1個の乱数発生器と、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する部分分散情報生成器と、
前記部分分散情報を連結してn個の分散情報Siを生成する連結器と、
を備えたことを特徴とする閾値秘密分散装置。
【請求項2】
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、
ダミー部分秘密情報K0を生成する第2のステップと、
互いに独立な乱数Rを発生する第3のステップと、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、
前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、
を備えることを特徴とする閾値秘密分散方法。
【請求項3】
コンピュータに、
秘密情報Kを、(np−1)個(npは分散数nについてnp≧nを満たす素数)の部分秘密情報Kqに分割する第1のステップと、
ダミー部分秘密情報K0を生成する第2のステップと、
互いに独立な乱数Rを発生する第3のステップと、
ダミー部分秘密情報K0及び部分秘密情報Kqと、乱数Rとを用いて、排他的論理和(XOR)演算により、部分分散情報を生成する第4のステップと、
前記部分分散情報を連結してn個の分散情報Siを生成する第5のステップと、
を実行させるためのプログラム。
【請求項4】
収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、
乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、
を備えることを特徴とする秘密情報復元方法。
【請求項5】
コンピュータに、
収集したk個の分散情報をnp(k−1)個の部分分散情報に分割する第1のステップと、
乱数を1種類につきnp個ずつのk−1種類とし、各部分分散情報より前記乱数を1種類ずつ消去する第2のステップと、
を実行させるためのプログラム。
【図1】
【図2】
【図2】
【公開番号】特開2008−203720(P2008−203720A)
【公開日】平成20年9月4日(2008.9.4)
【国際特許分類】
【出願番号】特願2007−41954(P2007−41954)
【出願日】平成19年2月22日(2007.2.22)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成20年9月4日(2008.9.4)
【国際特許分類】
【出願日】平成19年2月22日(2007.2.22)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]