WO2009093603A1

WO2009093603A1 - 秘密計算システム

Info

Publication number: WO2009093603A1
Application number: PCT/JP2009/050857
Authority: WO
Inventors: Koji Chida
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2008-01-21
Filing date: 2009-01-21
Publication date: 2009-07-30
Anticipated expiration: 2010-07-21
Also published as: US20110040963A1; EP2242032A1; EP2242032A4; CN101911153A; CN101911153B; EP2242032B1; US9300469B2

Abstract

　第３の秘密計算装置は、第１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｔの各ビットｂに対応した各データＷｂと、各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成し、データＷｂを第１の秘密計算装置に送信し、データＷｂ及びデータＷ（１－ｂ）を含むデータＷを第２の秘密計算装置に送信する。第２の秘密計算装置は、ｍＡ＝ｓ*ｔを満たす断片ｓと論理回路関数ｆとデータＷとを用い、論理回路関数ｆに断片ｓが埋め込まれた論理回路関数ｆ（ｓ*Ｘ）が秘匿されたデータＴであって、当該データＴとデータＷｂとから演算結果ｆ（ｍＡ）を求めることができるものを生成し、データＴを第１の秘密計算装置に送信する。第１の秘密計算装置は、データＴとデータＷｂとを用いて演算結果ｆ（ｍＡ）を算出する。

Description

[規則37.2に基づきISAが決定した発明の名称]　秘密計算システム

　本発明は暗号応用技術に関し、特に、入力値を秘匿したまま、その入力値に対する演算の結果を得る技術に関する。

　非特許文献１には、入力値を秘匿したままで演算結果を得る技術が開示されている。図１は、非特許文献１に開示された技術を用いた秘密計算システムの構成を示すブロック図である。図１を参照すると、秘密計算システムは、秘密計算装置８１Ａと秘密計算装置８１Ｂを有している。

　秘密計算装置８１Ａは、論理回路関数ｆ（ｘ，ｙ）と、ｘへの入力となるビット列ｍ_Aとを保有している。秘密計算装置８１Ｂは、同じく論理回路関数ｆ（ｘ，ｙ）と、ｙへの入力となるビット列ｍ_Bとを保有している。

　秘密計算装置８１Ａと秘密計算装置８１Ｂが互いに通信することにより、秘密計算装置８１Ａがｍ_Bを容易に復元できるデータを得ることなく、秘密計算装置８１Ｂがｍ_Aを容易に復元できるデータを得ることなく、秘密計算装置８１Ａ，Ｂのいずれか一方または両方が論理回路関数ｆ（ｘ，ｙ）の演算結果ｆ（ｍ_A，ｍ_B）を得る。

　なお、論理回路関数ｆ（ｘ，ｙ）は、１又は複数の論理ゲートｇの組み合わせで実現できる。論理ゲートｇは、入力された１つ又は２つのビットに対して所定の論理演算を行い、その結果を示す１つのビットを出力する。論理ゲートの例は、ＡＮＤゲート、ＯＲゲートなどである。また、各論理ゲートｇの入出力系列をワイヤーと呼び、入力側のワイヤーを入力ワイヤーと呼び、出力側のワイヤーを出力ワイヤーと呼ぶ。

　非特許文献１に開示された方法について概説する。以下に、一例として、秘密計算装置８１Ａがｆ（ｍ_A，ｍ_B）を得るための処理手順を挙げる。

　[ステップＣ１－１]
　論理回路関数ｆ（ｘ，ｙ）と、ｙへの入力となるビット列ｍ_Bとを保有する秘密計算装置Ｂは、論理回路関数ｆ（ｘ，ｙ）を構成する各論理ゲートの真理値表を秘匿することで論理回路関数ｆ（ｘ，ｙ）を秘匿する。

　論理ゲートの真理値表は以下のようになる。なお、ＡＮＤゲートの例では、ｇ（０，０）＝ｇ（０，１）＝ｇ（１，０）＝０，ｇ（１，１）＝１である。
　入力ワイヤー　　　出力ワイヤー
　　０，０　　　　　ｇ（０，０）
　　０，１　　　　　ｇ（０，１）
　　１，０　　　　　ｇ（１，０）
　　１，１　　　　　ｇ（１，１）

　論理ゲートを秘匿する場合、秘密計算装置Ｂは、各入力ワイヤーと出力ワイヤーとに、それぞれ、各ワイヤーの値に対応する固定長の乱数と、各ワイヤーの値に対応するランダムビットとの組を対応付ける。そして、対応付けられた（固定長の乱数，ランダムビット）を用いて真理値表を再構成することで真理値表を秘匿する。ただし、これだけでは、各ワイヤーの値と（固定長の乱数，ランダムビット）との対応を知らない者であっても、出力ワイヤーに対応する（固定長の乱数，ランダムビット）の組み合わせから、論理ゲートの内容が推測できてしまう。そのため、擬似ランダム関数を用い、更なる秘匿を行う。これにより、論理ゲートを秘匿できる。そして、論理回路関数ｆ（ｘ，ｍ_B）を構成する各論理ゲートについて同様な秘匿化を実行することで、論理回路関数ｆ（ｘ，ｍ_B）を秘匿できる。

　具体的には、秘密計算装置Ｂは、以下の（ａ）～（ｄ）を実行することにより、論理回路関数ｆ（ｘ，ｍ_B）を秘匿する。
（ａ）　秘密計算装置８１Ｂは、論理回路関数ｆ（ｘ，ｍ_B）の各ワイヤーｉに対して、固定長の乱数

を生成し、それぞれ０，１に対応させる。
（ｂ）　次に、秘密計算装置８１Ｂはランダムビットｃ_i∈｛０，１｝を生成する。ｃ_iはランダム化されたラベルとして用いる。
（ｃ）　更に、秘密計算装置８１Ｂは、

をワイヤーｉに対応させる。ここで

とする。なお、<α,β>はαがβに対応することを意味する。
（ｄ）次に、秘密計算装置８１Ｂは、ｉ，ｊを入力ワイヤー、ｋを出力ワイヤーとする論理ゲートｇに対して、４つのラベル付きデータ

を生成し、それらをランダムな順番に並べたデータＴ_gを生成する。ここでコロンの左側をラベル、右側をデータとし、Ｆ_W（ｘ）はｘ，Ｗを入力として、ｘ，Ｗに対して一義的に定まる固定長の乱数を出力する関数（擬似ランダム関数）である。また、

はαとβとの排他的論理和を示す。また、

は、αとβとのビット連結値α｜βとγとの排他的論理和を意味する。

　また、論理回路関数ｆの最終段のゲートｇに対応するＴ_ｇのｃ_kは０に設定しておく。
　上記のようなＴ_gは、論理回路関数ｆ（ｘ，ｍ_B）を構成する各ゲートについて生成され、生成されたＴ_gの集合Ｔは、論理回路関数ｆ（ｘ，ｍ_B）の秘匿化データとして秘密計算装置８１Ａに送信される。

　[ステップＣ１－２]
　ｘへの入力となるビット列ｍ_Aを保有する秘密計算装置８１Ａは、秘密計算装置８１Ｂと１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する。これにより、秘密計算装置８１Ａは、ｍ_Aのビットｂ∈｛０，１｝を入力とするワイヤーに対応するデータ

を得る。

　[ステップＣ１－３]
　続いて、秘密計算装置８１Ａは、秘密計算装置８１Ｂから受信したデータＴ_gと、

とを用いて、論理回路関数ｆの最終段の論理ゲートｇのワイヤーの出力

を算出する。

　[ステップＣ１－4]
　更に、秘密計算装置８１Ａは、

から、演算結果ｆ（ｍ_A，ｍ_B）のビット

を得る。

　[ステップＣ１－３の詳細]
　上記処理手順におけるステップＣ１－３では、秘密計算装置８１Ａは、入力ワイヤーｉ，ｊ、出力ワイヤーｋのゲートに対応するデータＴ_gと、

とが与えられたとき、先ずデータＴ_gからラベル

に対応するデータ

を取り出す。また、秘密計算装置８１Ａは、

を計算する。秘密計算装置８１Ａは、式(2)と式(3)との排他的論理和を行い、出力ワイヤーに対応するデータ

を得る。そして、秘密計算装置８１Ａは、例えば、出力ワイヤーに対応するデータを他の論理ゲートの入力ワイヤーの1つのデータとし、他の論理ゲートについても同様の処理を行い、最終的にｆの最終段の論理ゲートｇのワイヤーの出力を得る。

　[ステップＣ１－４の詳細]
　論理回路関数ｆの最終段のゲートｇに対応するＴ_ｇのｃ_kを０に設定しておくことで、

となるため、秘密計算装置８１Ａは、ステップＣ１－４において、

を得ることができる。

　以上説明したように、非特許文献１の方法では、第２のステップにおいて秘密計算装置８１Ａと秘密計算装置８１Ｂが１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要がある。１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルは、秘密計算装置８１Ｂがデータｄ₀，ｄ₁を保有し、秘密計算装置８１Ａがビットｂを保有するとき、秘密計算装置８１Ａはｄ_bを得ることができるが、

を得ることはできず、かつ秘密計算装置８１Ｂはｂを得ることができないような特徴をもつプロトコルである。このプロトコルを用いることで、秘密計算装置８１Ａから秘密計算装置８１Ｂへ、ｍ_Aのビットｂが漏洩することを防止できるとともに、Ｔ_gに秘匿化されている論理回路関数ｆ(x,m_B)の情報が秘密計算装置８１Ａに漏洩することを防止できる。なお、このプロトコルの詳細は、非特許文献２に説明がある。

　非特許文献３には、入力値を秘匿したままで演算結果を得る他の技術が開示されている。図２は、非特許文献３に開示された技術を用いた秘密計算システムの構成を示すブロック図である。図２を参照すると、秘密計算システムは、複数の変換装置９０₁～９０_Nと秘密計算装置９１Ａ，９１Ｂとを有している。２つの秘密計算装置９１Ａ，９１Ｂによって秘密計算装置群９１をなしている。

　秘密計算装置９１Ａ，９１Ｂからなる秘密計算装置群９１は、各変換装置９０₁～９０_Nが保有するデータｍ_ｎ（１≦ｎ≦Ｎ）を用いて、入力値ｍ_ｎを容易に復元できるデータを得ることなく、論理回路関数ｆ（ｘ₁，・・・，ｘ_N）の演算結果ｆ（ｍ₁，・・・，ｍ_N）を求める。

　以下にその処理手順について概説する。
　[ステップＣ２－１]
　まず、秘密計算装置９１Ｂは、以下の（ａ）～（ｄ）を実行することにより、論理回路関数ｆを秘匿する。そして、秘密計算装置９１Ｂは、論理回路関数ｆに対応するデータＴ_gを、論理回路関数ｆ（ｘ₁，・・・，ｘ_N）の秘匿化データとして秘密計算装置９１Ａに送信する。
（ａ）　秘密計算装置９１Ｂは論理回路関数ｆ（ｘ₁，・・・，ｘ_N）の各ワイヤーｉに対して、固定長の乱数

を生成し、それぞれ０，１に対応させる。
（ｂ）　次に、秘密計算装置９１Ｂは、ランダムビットｃ_i∈｛０，１｝を生成する。
（ｃ）　更に、秘密計算装置９１Ｂは、

をワイヤーｉに対応させる。ここで

とする。
（ｄ）　更に、秘密計算装置９１Ｂは、ｉ，ｊを入力ワイヤー、ｋを出力ワイヤーとする論理ゲートｇに対して、４つのラベル付きデータ

を生成し、それらをランダムな順番に並べたデータＴ_gを生成する。データＴ_gの集合Ｔが、論理回路関数ｆ（ｘ₁，・・・，ｘ_N）の秘匿化データとして秘密計算装置９１Ａに送信される。

　[ステップＣ２－２]
　各変換装置９０₁～９０_Nが、秘密計算装置９１Ａ，９１Ｂとともに、ｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行することにより、秘密計算装置９１Ａはｍの各ビットｂの入力ワイヤーｉに対応するデータ

を得る。

　[ステップＣ２－３]
　更に、秘密計算装置９１Ａは、データＴ_gと、

を得る。

　（ステップＣ２－４）
　更に、秘密計算装置９１Ａは、

から、演算結果ｆ（ｍ₁，・・・，ｍ_N）のビット

を得る。

　上記処理手順のステップＣ２－２では、ｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルが用いられている。このプロトコルは、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを拡張したプロトコルである。このプロトコルによれば、変換装置９０₁～９０_Nが保有しているデータに関する情報であるビットｂを秘密計算装置９１Ａに知られることなく、変換装置９０₁～９０_Nの代わりに秘密計算装置９１Ａが

を算出することができる。
Ａ．Ｃ．Ｙａｏ，　Ｈｏｗ　ｔｏ　ｇｅｎｅｒａｔｅ　ａｎｄ　ｅｘｃｈａｎｇｅ　ｓｅｃｒｅｔｓ，Ｐｒｏｃ．　ｏｆ　ＦＯＣＳ　’８６，　ｐｐ．１６２－１６７，ＩＥＥＥ　Ｐｒｅｓｓ，１９８６．Ｓ．Ｅｖｅｎ，　Ｏ．Ｇｏｌｄｒｅｉｃｈ　ａｎｄ　Ａ．Ｌｅｍｐｅｌ，Ａ　ｒａｎｄｏｍｉｚｅｄ　ｐｒｏｔｏｃｏｌ　ｆｏｒ　ｓｉｇｎｉｎｇ　ｃｏｎｔｒａｃｔｓ，　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　ｏｆ　ｔｈｅ　ＡＣＭ，Ｖｏｌ．２８，Ｎｏ．６，ｐｐ．６３７－６４７，１９８５．Ｍ．Ｎａｏｒ，　Ｂ．Ｐｉｎｋａｓ，　ａｎｄ　Ｒ．Ｓｕｍｎｅｒ，Ｐｒｉｖａｃｙ　ｐｒｅｓｅｒｖｉｎｇ　ａｕｃｔｉｏｎｓ　ａｎｄ　ｍｅｃｈａｎｉｓｍ　ｄｅｓｉｇｎ，Ｐｒｏｃ．　ｏｆ　ＡＣＭ　ＥＣ　’９９，ｐｐ．１２９－１３９，ＡＣＭ　Ｐｒｅｓｓ，１９９９．

　上述したように、非特許文献１に開示された方法では、秘密計算装置８１Ａ，８１Ｂが１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要がある。また、特許文献３に開示された方法では、変換装置９０_１～９０_Ｎ及び秘密計算装置９１Ａ，９１Ｂが、ｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要がある。

　Ｄ．Ｍａｌｋｈｉ，　Ｎ．Ｎｉｓａｎ，　Ｂ．Ｐｉｎｋａｓ，　ａｎｄ　Ｙ．Ｓｅｌｌａ，Ｆａｉｒｐｌａｙ　－　ａ　ｓｅｃｕｒｅ　ｔｗｏ－ｐａｒｔｙ　ｃｏｍｐｕｔａｔｉｏｎ　ｓｙｓｔｅｍ，Ｐｒｏｃ．　ｏｆ　ＵＳＥＮＩＸ　Ｓｅｃｕｒｉｔｙ　Ｓｙｍｐｏｓｉｕｍ，ｐｐ．２８７－３０２，ＵＳＥＮＩＸ，２００４．という文献によれば、実装上、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行するための計算量が秘密計算システム全体の計算量の大部分を占めると報告されている。

　また、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを拡張したｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する際に必要となる計算量は、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルと同程度である。

　したがって、実装上、これらのプロトコルに関連する処理量を削減することができれば、秘密計算システムの負荷を低減することができる。

　本発明の第１態様は、第１の秘密計算装置と、論理回路関数ｆを格納した第２の秘密計算装置と、第３の秘密計算装置とによって実行される。

　第３の秘密計算装置は、第１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｔの各ビットｂに対応した各データＷｂと、各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成する。第３の秘密計算装置は、データＷｂを第１の秘密計算装置に送信し、ビットｂ及び反転ビット（１－ｂ）とデータＷｂ及びデータＷ（１－ｂ）との対応を特定せずに、データＷｂ及びデータＷ（１－ｂ）を含むデータＷを第２の秘密計算装置に送信する。

　第２の秘密計算装置は、ｍＡ＝ｓ*ｔを満たす断片ｓと論理回路関数ｆとデータＷとを用い、論理回路関数ｆに断片ｓが埋め込まれた論理回路関数ｆ（ｓ*Ｘ）が秘匿されたデータＴであって、当該データＴとデータＷｂとから演算結果ｆ（ｍＡ）を求めることができるものを生成する。第２の秘密計算装置は、データＴを第１の秘密計算装置に送信する。

　第１の秘密計算装置には、データＴとデータＷｂとが入力され、データＴとデータＷｂとを用いて演算結果ｆ（ｍＡ）を算出する。
　本発明の第２態様は、論理回路関数ｆ（ｘ）を格納した第１の秘密計算装置と、第２の秘密計算装置とによって実行される。

　第１の秘密計算装置には、入力値ｍから分割された断片Ａと断片Ｂとのうち断片Ｂが入力される。第１の秘密計算装置は、論理回路関数ｆ（ｘ）と断片Ｂとを用い、論理回路関数ｆ（ｘ）が秘匿されたデータＴであって、当該データＴと断片Ａとから演算結果ｆ（ｍ）を求めることのできるものを生成する。
　第２の秘密計算装置には、断片ＡとデータＴとが入力され、断片ＡとデータＴとを用いて演算結果ｆ（ｍ）を算出する。

　本発明によれば、論理回路関数ｆの入力値の情報が２つの断片に分割され、分割された２つの断片がそれぞれ異なる秘密計算装置に入力されて処理される。その結果、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルやｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルに関する処理負荷を軽減でき、秘密計算装置の負荷を大幅に低減できる。

図１は、非特許文献１に開示された技術を用いた秘密計算システムの構成を示すブロック図である。図２は、非特許文献３に開示された技術を用いた秘密計算システムの構成を示すブロック図である。図３は、第１の実施形態の秘密計算システムの構成を示すブロック図である。図４（Ａ）（Ｂ）（Ｃ）は、第１の実施形態の秘密計算システムが含む秘密計算装置１１Ａの構成を示すブロック図である。図５は、第1の実施形態の秘密計算システムの動作の具体例を示すシーケンス図である。第２の実施形態の秘密計算システムの構成を示すブロック図である。図７（Ａ）（Ｂ）（Ｃ）は、第２の実施形態の秘密計算システムが含む秘密計算装置の構成を示すブロック図である。図８は、秘密計算システムが含む変換装置の構成を示すブロック図である。図９は、第２の実施形態の秘密計算システムの動作の具体例を示すシーケンス図である。図１０は、第３の実施形態の秘密計算システムの構成を示すブロック図である。図１１（Ａ）（Ｂ）は、第３の実施形態の秘密計算システムが含む秘密計算装置の構成を示すブロック図である。図１２は、第３の実施形態の秘密計算システムの動作の具体例を示すシーケンス図である。図１３は、第４の実施形態の秘密計算システムの構成を示すブロック図である。図１４（Ａ）（Ｂ）は、秘密計算システムが含む秘密計算装置の構成を示すブロック図である。図１５は、秘密計算システムが含む変換装置の構成を示すブロック図である。図１６は、第４の実施形態の秘密計算システムの動作の具体例を示すシーケンス図である。

符号の説明

　１～４　秘密計算システム

　本発明の実施形態を、図面を参照して詳細に説明する。
　〔第１の実施形態〕
　本実施形態の秘密計算システムは３つの秘密計算装置からなる。この秘密計算システムを構成する２つの秘密計算装置は、それぞれ、互いに独立な入力値を保持している。本実施形態の秘密計算システムは、秘密計算装置によって保有された入力値が他の秘密計算装置に知られることなく、当該入力値に対する論理回路関数ｆの演算結果を算出する。

　＜構成＞
　図３は、第１の実施形態の秘密計算システム１の構成を示すブロック図である。また、図４（Ａ）（Ｂ）（Ｃ）は、秘密計算システム１が含む秘密計算装置１１Ａ，１１Ｂ，１１Ｃの構成を示すブロック図である。
　図３に示すように、秘密計算システム１は、秘密計算装置１１Ａ，１１Ｂ，１１Ｃ（第１、２、３の秘密計算装置）を有する。

　図４（Ａ）に示すように、秘密計算装置１１Ａは、記憶部１１ＡＡ、入力部１１ＡＢ、出力部１１ＡＣ、分割部１１ＡＤ、ビット秘匿部１１ＡＥ及び秘密計算部１１ＡＦを有する。また、図４（Ｂ）に示すように、秘密計算装置１１Ｂは、記憶部１１ＢＡ、入力部１１ＢＢ、出力部１１ＢＣ、ビット秘匿部１１ＢＤ、及び関数秘匿部１１ＢＦを有する。また、図４（Ｃ）に示すように、秘密計算装置１１Ｃは、記憶部１１ＣＡ、入力部１１ＣＢ、出力部１１ＣＣ、ビット秘匿部１１ＣＤ及び選択部１１ＣＥを有する。

　なお、秘密計算装置１１Ａ，１１Ｂ，１１Ｃの例は、ＣＰＵ（central processing unit）、ＲＡＭ（random-access memory）、ＲＯＭ（read-only memory）、通信装置、入力インタフェース、出力インタフェースなどからなる公知のコンピュータに所定のプログラムが読み込まれて構成された装置である。また、秘密計算装置１１Ａ，１１Ｂ，１１Ｃが集積回路を含んでもよい。

　＜処理＞
　本実施形態の処理は、前述した本発明の第１態様の一例である。本実施形態では、前処理によって、秘密計算装置１１Ａの記憶部１１ＡＡに入力値ｍ_Aが格納され、秘密計算装置１１Ｂの記憶部１１ＢＡに入力値ｍ_Bと論理回路関数ｆ（ｘ，ｙ）とが格納されている。本実施形態の秘密計算システム１は、秘密計算装置１１Ａによって保有された入力値ｍ_Ａが秘密計算装置に知られることなく、かつ、秘密計算装置１１Ｂによって保有された入力値ｍ_Ｂが秘密計算装置に知られることなく、論理回路関数ｆ（ｘ，ｙ）の演算結果ｆ（ｍ_A，ｍ_B）を算出する。

　まず、秘密計算装置１１Ａは、入力値ｍ_Aを、演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｓと断片ｔの２つに分割し、断片ｓを秘密計算装置１１Ｂに送信し、断片ｔを秘密計算装置１１Ｃに送信する（ステップＥ１－１）。

　秘密計算装置１１Ｃは、入力された断片ｔの各ビットｂに対応した各データＷｂと、各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成する。そして、秘密計算装置１１Ｃは、ビットｂ及び反転ビット（１－ｂ）とデータＷｂ及びデータＷ（１－ｂ）との対応を特定せずに、データＷｂ及びデータＷ（１－ｂ）を含むデータＷを秘密計算装置１１Ｂに送信し、データＷｂを秘密計算装置１１Ａに送信する（ステップＥ１－２）。

　秘密計算装置１１Ｂは、断片ｓと論理回路関数ｆ（ｘ，ｙ）とデータＷと入力値ｍ_Ｂを用い、論理回路関数ｆ（ｘ，ｙ）に断片ｓと入力値ｍ_Ｂとが埋め込まれた論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）が秘匿されたデータＴであって、当該データＴとデータＷｂとから入力値ｍ_Ａ及び入力値ｍ_Ｂに対する論理回路関数ｆ（ｘ，ｙ）の演算結果ｆ（ｍ_Ａ，ｍ_Ｂ）を求めることができるものを生成する。秘密計算装置１１Ｂは、データＴを秘密計算装置１１Ａに送信する（ステップＥ１－３）。

　秘密計算装置１１Ａには、データＴとデータＷｂとが入力される。秘密計算装置１１Ａは、データＴとデータＷｂとを用いて演算結果ｆ（ｍ_Ａ，ｍ_Ｂ）を算出する（ステップＥ１－４，５）。

　以下に、本実施形態の秘密計算システム１の動作の具体例を示す。
　図５は、第1の実施形態の秘密計算システム１の動作の具体例を示すシーケンス図である。
　[ステップＥ１－１]
　この例では、演算子*としてＸＯＲ（排他的論理和演算子）を用いる。秘密計算装置１１Ａの分割部１１ＡＤが、記憶部１１ＡＡに格納された入力値ｍ_Aを

となるランダムな断片ｓ，ｔに分割する（ステップＳ１０１）。そして、秘密計算装置１１Ａの出力部１１ＡＣが、断片ｓを秘密計算装置１１Ｂに送信し（ステップＳ１０２）、断片ｔを秘密計算装置１１Ｃにそれぞれ送信する（ステップＳ１０３）。

　[ステップＥ１－２]
　秘密計算装置１１Ｃのビット秘匿部１１ＣＤは、論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）のｍ_Ａ＝ｓ*ＸのＸに対応する入力ワイヤーｉごとに、固定長の乱数であるデータＷ_i ^０とランダムビットｃ_iとの組、及び、固定長の乱数であるＷ_i ¹とランダムビットｃ_iの反転ビットとの組からなる

を生成する（「データＷ」の具体例）。

　また、選択部１１ＣＥは、上記のように生成されたＷ_ｉから、実際のｔの各ビットｂ’に対応する組

をそれぞれ選択する（ステップＳ１０４）。なお、ｂ’は、入力ワイヤーｉへの入力が断片ｔの下位ｗ番目のビットである場合における、断片ｔの下位ｗ番目のビットを意味する。また、

は「データＷｂ」の具体例である。
　そして、秘密計算装置１１Ｃの出力部１１ＣＣは、Ｗ_iを秘密計算装置１１Ｂに送信し（ステップＳ１０５）、

を秘密計算装置１１Ａに送信する（ステップＳ１０６）。

　[ステップＥ１－３]
　秘密計算装置１１Ｂが、以下の（ａ）～（ｄ）を実行することにより、論理回路関数ｆ（ｘ，ｙ）に断片ｓと入力値ｍ_Ｂとが埋め込まれた論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）を秘匿する。なお、この例の論理回路関数ｆ（ｘ，ｙ）に断片ｓと入力値ｍ_Ｂとが埋め込まれた論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）は、断片Ｘ＝ｔを入力としてｍ_A＝ｓ*Ｘを復元する関数ｍ_A＝ｓ*Ｘと、論理回路関数ｆ（ｘ，ｙ）に入力値ｍ_Ｂが埋め込まれた論理回路関数ｆ（ｘ，ｍ_Ｂ）とを含み、論理回路関数ｆ（ｘ，ｍ_Ｂ）に関数ｍ_A＝ｓ*Ｘの出力値ｍ_Aを入力してｆ（ｍ_A，ｍ_Ｂ）を出力する関数である。以下では、このような論理回路関数ｆ（ｘ，ｍ_Ｂ）を構成する各論理ゲートを秘匿する。
（ａ）　秘密計算装置１１Ｂのビット秘匿部１１ＢＤが、ｆ（ｓ*Ｘ，ｍ_B）の各ワイヤーｉに対して、固定長の乱数

を生成し、それぞれ０，１に対応させる。ただし、関数ｍ_A＝ｓ*Ｘを構成する論理ゲートのうち、Ｘ＝ｔのビットが入力される入力ワイヤーに対しては、秘密計算装置１１Ｃから受け取った

を対応させる。
（ｂ）　次に、秘密計算装置１１Ｂのビット秘匿部１１ＢＤは、ランダムビットｃ_iを生成する。ただし、関数ｍ_A＝ｓ*Ｘを構成する論理ゲートのうち、Ｘ＝ｔのビットが入力される入力ワイヤーに対しては、秘密計算装置１１Ｃから受け取ったｃ_iを用いるため、Ｘ＝ｔのビットが入力される入力ワイヤーに対しては新たなランダムビットｃ_iを生成しない。
（ｃ）　更に、秘密計算装置１１Ｂのビット秘匿部１１ＢＤは、

をワイヤーｉに対応させる。ただし、断片ｓの下位ｗ番目のビットに対応するワイヤーｉには、

を対応させる。ここで、ｂは断片ｓの下位ｗ番目のビットである。
（ｄ）　次に、秘密計算装置１１Ｂの関数秘匿部１１ＢＦが、ｉ，ｊを入力ワイヤー、ｋを出力ワイヤーとする各論理ゲートｇに対して、４つのラベル付きデータ

を生成し、それらをランダムな順番に並べたデータＴ_gを生成する。このＴ_gの集合Ｔが論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）を秘匿したデータとなる（ステップＳ１０７）。なお、論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）の最終段のゲートｇに対応するＴ_ｇのｃ_kは０に設定しておく。

　秘密計算装置１１Ｂの出力部１１ＢＣは、Ｔ_gの集合Ｔを論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）の秘匿化データとして秘密計算装置１１Ａに送信する（ステップＳ１０８）。
　[ステップＥ１－４]
　秘密計算装置１１Ａの入力部１１ＡＢには、データＴ_gの集合Ｔと

が入力される。秘密計算装置１１Ａの秘密計算部１１ＡＦは、データＴ_gと

を用いて、論理回路関数ｆの最終段の論理ゲートｇのワイヤーの出力

を得る。
　[ステップＥ１－５]
　秘密計算装置１１Ａの秘密計算部１１ＡＦは、

から、演算結果ｆ（ｍ_A，ｍ_B）のビット

を得る（ステップＳ１０９）。
　[ステップＥ１－４の詳細]
　上記処理手順のステップＥ１－４では、秘密計算装置１１Ａの秘密計算部１１ＡＦに、入力ワイヤーｉ，ｊ、出力ワイヤーｋのゲートｇに対応するＴ_gと、

とが与えられたとき、秘密計算部１１ＡＦは、先ずＴ_gからラベル

をラベルに対応するデータ

を取り出す。また、秘密計算部１１ＡＦは、

を計算する。秘密計算部１１ＡＦは、式(6)と式(7)との排他的論理和を行い、出力ワイヤーに対応するデータ

を得る。そして、秘密計算部１１ＡＦは、例えば、出力ワイヤーに対応するデータを他のゲートの入力ワイヤーの1つのデータとし、他のゲートについても同様の処理を行い、最終的に論理回路関数ｆの最終段の論理ゲートｇのワイヤーの出力を得る。

　[ステップＥ１－５の詳細]
　論理回路関数ｆ（ｓ*Ｘ，ｍ_Ｂ）の最終段のゲートｇに対応するＴ_ｇのｃ_kを０に設定しておくことで、

となるため、秘密計算装置１１Ａの秘密計算部１１ＡＦは、

を得ることができる。

　以上、説明したように、本実施形態によれば、非特許文献１の技術を用いた秘密計算システムでは全体の計算量の大部分を占めていた１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを秘密計算装置１１Ａ，１１Ｂ，１１Ｃのいずれも実行する必要がないので、秘密計算装置１１Ａ，１１Ｂ，１１Ｃの負荷を大幅に低減することができる。

　なお、本実施形態で追加された秘密計算装置１１Ｃには入力値ｍ_Aの断片ｔが与えられるだけなので、秘密計算装置１１Ｃによって入力値ｍ_A，ｍ_Bの秘匿性が損なわれることはない。
　また、本実施形態では、ＸＯＲを演算子*として用いる例を示したが、本発明はこれに限定されるものではない。例えば、加減算、乗算、その他どのような演算子を演算子*としてもよい。

　〔第２の実施形態〕
　第２の実施形態は第１の実施形態の変形例である。第２の実施形態の第１の実施形態との主な相違点は以下である。
　・第１の実施形態では、３つの秘密計算装置から秘密計算システムが構成されていた。第２の実施形態では、Ｎ個（Ｎは正の整数）の変換装置と３つの秘密計算装置とから秘密計算システムが構成される。
　・第１の実施形態では、２つの秘密計算装置がそれぞれ入力値を保持し、１つの秘密計算装置が入力値を２つの断片に分割していた。第２の実施形態では、各変換装置がそれぞれ互いに独立な入力値を保持し、各変換装置が入力値を２つの断片に分割する。

　＜構成＞
　図６は、第２の実施形態の秘密計算システム２の構成を示すブロック図である。また、図７（Ａ）（Ｂ）（Ｃ）は、秘密計算システム２が含む秘密計算装置２１Ａ，２１Ｂ，２１Ｃの構成を示すブロック図である。また、図８は、秘密計算システム２が含む変換装置２０の構成を示すブロック図である。なお、変換装置２０_１～２０_Ｎを総称して変換装置２０と呼ぶ。

　図６に示すように、秘密計算システム２は、秘密計算装置２１Ａ，２１Ｂ，２１Ｃ（第１、２、３の秘密計算装置）を有する。

　図７（Ａ）に示すように、秘密計算装置２１Ａは、記憶部２１ＡＡ、入力部２１ＡＢ、出力部２１ＡＣ、ビット秘匿部２１ＡＥ及び秘密計算部２１ＡＦを有する。また、図７（Ｂ）に示すように、秘密計算装置２１Ｂは、記憶部２１ＢＡ、入力部２１ＢＢ、出力部２１ＢＣ、ビット秘匿部２１ＢＤ、選択部２１ＢＥ及び関数秘匿部２１ＢＦを有する。また、図７（Ｃ）に示すように、秘密計算装置２１Ｃは、記憶部２１ＣＡ、入力部２１ＣＢ、出力部２１ＣＣ、ビット秘匿部２１ＣＤ及び選択部２１ＣＥを有する。また、図８に示すように、変換装置２０は、それぞれ、記憶部２０Ａ、入力部２０Ｂ、出力部２０Ｃ及び分割部２０Ｄを有する。

　なお、秘密計算装置１１Ａ，１１Ｂ，１１Ｃ、変換装置２０の例は、ＣＰＵ、ＲＡＭ、ＲＯＭ、通信装置、入力インタフェース、出力インタフェースなどからなる公知のコンピュータに所定のプログラムが読み込まれて構成された装置である。また、秘密計算装置２１Ａ，２１Ｂ，２１Ｃ、変換装置２０が集積回路を含んでもよい。

　＜処理＞
　本実施形態の処理は、前述した本発明の第１態様の一例である。
　本実施形態では、前処理によって、各変換装置２０₁～２０_Nの記憶部２０Ａに、それぞれ入力値ｍ_１～ｍ_Ｎが格納され、秘密計算装置２１Ｂの記憶部２１ＢＡに論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）が格納されている。本実施形態の秘密計算システム２は、各変換装置２０₁～２０_Nによって保有された入力値ｍ_１～ｍ_Ｎが他の装置に知られることなく、入力値ｍ_ｎ（１≦ｎ≦Ｎ）を入力とした論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）の演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を算出する。その際、各秘密計算装置２１Ａ，２１Ｂ，２１Ｃは、入力値ｍ_ｎを復元することなく、また入力値ｍ_ｎを容易に復元できるデータを得ることなく、演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を求める。

　まず、変換装置２０₁は、入力値ｍ_１を、演算子*に対してｍ_１＝ｓ_１*ｔ_１を満たす断片ｓ_１と断片ｔ_１の２つに分割し、断片ｓ_１を秘密計算装置２１Ｂに送信し、断片ｔ_１を秘密計算装置２１Ｃに送信する。他の変換装置２０₂～２０_Nの動作も変換装置２０₁と同様である（ステップＥ２－１）。

　秘密計算装置２１Ｃは、変換装置２０₁～２０_Nから送信された断片ｔ_ｎの各ビットｂに対応した各データＷｂと、各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成する。そして、秘密計算装置２１Ｃの出力部２１ＣＣは、ビットｂ及び反転ビット（１－ｂ）とデータＷｂ及びデータＷ（１－ｂ）との対応を特定せずに、データＷｂ及びデータＷ（１－ｂ）を含むデータＷを秘密計算装置２１Ｂに送信し、データＷｂを秘密計算装置２１Ａに送信する（ステップＥ２－２）。

　秘密計算装置２１Ｂは、変換装置２０₁～２０_Nから送信された断片ｓ_ｎと論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）とデータＷを用い、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に断片ｓ_ｎが埋め込まれた論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）が秘匿されたデータＴであって、当該データＴとデータＷｂとから、入力値ｍ₁～ｍ_Nに対する論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）の演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を求めることができるものを生成する。秘密計算装置２１Ｂは、データＴを秘密計算装置２１Ａに送信する（ステップＥ２－３）。

　秘密計算装置２１Ａには、データＴとデータＷｂとが入力される。秘密計算装置２１Ａは、データＴとデータＷｂとを用いて演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を算出する（ステップＥ２－４，５）。

　以下に、本実施形態の秘密計算システム２の動作の具体例を示す。
　図９は、第２の実施形態の秘密計算システム２の動作の具体例を示すシーケンス図である。
　[ステップＥ２－１]
　この例では、演算子*としてＸＯＲを用いる。各変換装置２０₁～２０_Nの分割部２０Ｄが、それぞれの記憶部２１Ａに格納された入力値ｍ_ｎを

となるランダムな断片ｓ_ｎ，ｔ_ｎに分割する（ステップＳ２０１）。そして、各変換装置２０₁～２０_Nの出力部２０Ｃが、断片ｓ_ｎを秘密計算装置２１Ｂに送信し（ステップＳ２０２）、断片ｔ_ｎを秘密計算装置２１Ｃにそれぞれ送信する（ステップＳ２０３）。

　[ステップＥ２－２]
　秘密計算装置２１Ｃのビット秘匿部２１ＣＤは、論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）のｍ_ｎ＝ｓ_ｎ*Ｘ_ｎのＸ_ｎに対応する入力ワイヤーｉごとに、固定長の乱数であるデータＷ_i ^０とランダムビットｃ_iとの組、及び、固定長の乱数であるＷ_i ¹とランダムビットｃ_iの反転ビットとの組からなる

を生成する（「データＷ」の具体例）。

　また、選択部２１ＣＥは、上記のように生成されたＷ_ｉから、実際のｔ_ｎの各ビットｂ’に対応する組

をそれぞれ選択する（ステップＳ２０４）。なお、ｂ’は、入力ワイヤーｉへの入力が断片ｔ_ｎの下位ｗ番目のビットである場合における、断片ｔ_ｎの下位ｗ番目のビットを意味する。また、

は「データＷｂ」の具体例である。

　そして、秘密計算装置２１Ｃの出力部２１ＣＣは、Ｗ_iを秘密計算装置２１Ｂに送信し（ステップＳ２０５）、

を秘密計算装置２１Ａに送信する（ステップＳ２０６）。

　[ステップＥ２－３]
　秘密計算装置２１Ｂが、以下の（ａ）～（ｄ）を実行することにより、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に断片ｓ_ｎが埋め込まれた論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）を秘匿する。なお、この例の論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に断片ｓ_ｎが埋め込まれた論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）は、断片Ｘ＝ｔ_ｎを入力としてｍ_ｎ＝ｓ_ｎ*Ｘ_ｎを復元する関数ｍ_ｎ＝ｓ_ｎ*Ｘ_ｎと、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）とを含み、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に各関数ｍ_ｎ＝ｓ_ｎ*Ｘ_ｎの出力値ｍ_ｎを入力してｆ（ｍ_１，・・・，ｍ_Ｎ）を出力する関数である。以下では、このような論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）を構成する各論理ゲートを秘匿する。

（ａ）　秘密計算装置２１Ｂのビット秘匿部２１ＢＤが、論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）の各ワイヤーｉに対して、固定長の乱数

を生成し、それぞれ０，１に対応させる。ただし、関数ｍ_ｎ＝ｓ_ｎ*Ｘ_ｎを構成する論理ゲートのうち、Ｘ_ｎ＝ｔ_ｎのビットが入力される入力ワイヤーに対しては、秘密計算装置２１Ｃから受け取った

を対応させる。

（ｂ）　次に、秘密計算装置２１Ｂのビット秘匿部１１ＢＤは、ランダムビットｃ_iを生成する。ただし、関数ｍ_ｎ＝ｓ_ｎ*Ｘ_ｎを構成する論理ゲートのうち、Ｘ_ｎ＝ｔ_ｎのビットが入力される入力ワイヤーに対しては、秘密計算装置１１Ｃから受け取ったｃ_iを用いるため、Ｘ_ｎ＝ｔ_ｎのビットが入力される入力ワイヤーに対しては新たなランダムビットｃ_iを生成しない。
（ｃ）　更に、秘密計算装置２１Ｂのビット秘匿部２１ＢＤは、

をワイヤーｉに対応させる。ただし、ｓ_ｎの下位ｗ番目のビットに対応するワイヤーｉには、

を対応させる。ここでｂはｓ_ｎの下位ｗ番目のビットである。
（ｄ）　更に、秘密計算装置２１Ｂの関数秘匿部２１ＢＦが、ｉ，ｊを入力ワイヤー、ｋを出力ワイヤーとする論理ゲートｇに対して、４つのラベル付きデータ

を生成し、それらをランダムな順番に並べたデータＴ_gを生成する。Ｔ_gの集合Ｔが論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）を秘匿化したデータとなる（ステップＳ２０７）。

　秘密計算装置Ｂ２１の出力部２１ＢＣは、Ｔ_gの集合Ｔをｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）の秘匿化データとして秘密計算装置２１Ａに送信する（ステップＳ２０８）。
　[ステップＥ２－４]
　秘密計算装置２１Ａの入力部２１ＡＢには、データＴ_gの集合Ｔと

が入力される。秘密計算装置２１Ａの秘密計算部２１ＡＦは、データＴ_gと

を得る。

　[ステップＥ２－５]
　秘密計算装置２１Ａの秘密計算部２１ＡＦは、

から、演算結果ｆ（ｍ₁，・・・，ｍ_N）のビット

を得る（ステップＳ２０９）。

　以上、説明したように、本実施形態によれば、非特許文献３の技術を用いた秘密計算システムでは全体の計算量の大部分を占めていた、ｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを秘密計算装置２１Ａ，２１Ｂ，２１Ｃのいずれも実行する必要がないので、秘密計算装置２１Ａ，２１Ｂ，２１Ｃの負荷を大幅に低減することができる。

　なお、本実施形態で追加された秘密計算装置２１Ｃには入力値ｍ_ｎの断片ｔ_ｎが与えられるだけなので、秘密計算装置２１Ｃによって入力値ｍ_ｎの秘匿性が損なわれることはない。
　また、本実施形態では、ＸＯＲを演算子*として用いる例を示したが、本発明はこれに限定されるものではない。例えば、加減算、乗算、その他どのような演算子を演算子*としてもよい。

　また、本実施形態では、各変換装置２０_１～２０_Ｎによって分割された各断片ｔ_ｎが秘密計算装置２１Ｃに送信される構成であった（ステップＳ２０３）。しかし、各変換装置２０_１～２０_Ｎによって分割された各断片ｔ_ｎが、まず、秘密計算装置２１Ａに送信され、そこから秘密計算装置２１Ｃに転送される構成であってもよい。また、各変換装置２０_１～２０_Ｎによって分割された各断片ｔ_ｎが、秘密計算装置２１Ａに送信され、本実施形態のステップＳ２０４，Ｓ２０５の処理を秘密計算装置２１Ａが実行する構成であってもよい。これらの場合であっても、断片ｔ_ｎと断片ｓ_ｎとが秘匿されることなく同一の秘密計算装置に入力されることはないため、入力値ｍ_ｎの秘匿性が損なわれることはない。

　また、本実施形態では、断片ｔ_ｎが入力された秘密計算装置２１ＣがデータＷ_ｉを生成し、生成したデータＷ_ｉを秘密計算装置２１Ｂに送信する構成とした。しかし、秘密計算装置２１ＢがデータＷ_ｉを生成し、生成したデータＷ_ｉを秘密計算装置２１Ｃに送信する構成であってもよい。

　〔第３の実施形態〕
　本実施形態の秘密計算システムは、Ｎ個（Ｎは正の整数）の変換装置と２つの秘密計算装置とからなる。各変換装置はそれぞれ互いに独立な入力値を保持している。本実施形態の秘密計算システムは、各変換装置によって保有された入力値が他の装置に知られることなく、それらの入力値に対する論理回路関数ｆの演算結果を算出する。

　＜構成＞
　図１０は、第３の実施形態の秘密計算システム３の構成を示すブロック図である。また、図１１（Ａ）（Ｂ）は、秘密計算システム３が含む秘密計算装置３１Ａ，３１Ｂの構成を示すブロック図である。

　図１０に示すように、秘密計算システム３は、変換装置２０_１～２０_Ｎ及び秘密計算装置３１Ａ，３１Ｂ（第１、２の秘密計算装置）を有する。図１１（Ａ）に示すように、秘密計算装置３１Ａは、記憶部３１ＡＡ、入力部３１ＡＢ、出力部３１ＡＣ、ビット秘匿部３１ＡＤ、選択部３１ＡＥ、関数秘匿部３１ＡＦ及び１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＡＧを有する。また、図１１（Ｂ）に示すように、秘密計算装置３１Ｂは、記憶部３１ＢＡ、入力部３１ＢＢ、出力部３１ＢＣ及び秘密計算部３１ＢＦを有する。秘密計算部３１ＢＦは１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＦＡを含む。なお、変換装置２０_１～２０_Ｎの構成は、第２の実施形態で説明したものと同様である（図８）。

　なお、秘密計算装置３１Ａ，３１Ｂの例は、ＣＰＵ、ＲＡＭ、ＲＯＭ、通信装置、入力インタフェース、出力インタフェースなどからなる公知のコンピュータに所定のプログラムが読み込まれて構成された装置である。また、秘密計算装置３１Ａ，３１Ｂが集積回路を含んでもよい。

　＜処理＞
　本実施形態の処理は、前述した本発明の第２態様の一例である。本実施形態では、前処理によって、各変換装置２０₁～２０_Nの記憶部２０Ａに、それぞれ入力値ｍ_１～ｍ_Ｎが格納され、秘密計算装置３１Ａの記憶部３１ＡＡに論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）が格納されている。本実施形態の秘密計算システム３は、各変換装置２０₁～２０_Nによって保有された入力値ｍ_１～ｍ_Ｎが他の装置に知られることなく、入力値ｍ_ｎ（１≦ｎ≦Ｎ）を入力とした論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）の演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を算出する。その際、各秘密計算装置３１Ａ，３１Ｂは、入力値ｍ_ｎを復元することなく、また入力値ｍ_ｎを容易に復元できるデータを得ることなく、演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を求める。

　まず、変換装置２０₁は、入力値ｍ_１を、演算子*に対してｍ_１＝ｓ_１*ｔ_１を満たす断片ｓ_１と断片ｔ_１の２つに分割し、断片ｔ_１を秘密計算装置３１Ａに送信し、断片ｓ_１を秘密計算装置３１Ｂに送信する。他の変換装置２０₂～２０_Nの動作も変換装置２０₁と同様である（ステップＥ３－１）。

　秘密計算装置３１Ａは、論理回路関数ｆ（ｘ）と変換装置２０₁～２０_Nから送信された断片ｔ_ｎとを用い、論理回路関数ｆ（ｘ）に断片ｔ_ｎが埋め込まれた論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）が秘匿されたデータＴであって、当該データＴと断片ｓ_ｎとから演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を求めることのできるものを生成する。秘密計算装置３１Ａは、データＴを秘密計算装置３１Ｂに送信する（ステップＥ３－２）。

　秘密計算装置３１Ｂには、断片ｓ_ｎとデータＴとが入力される。秘密計算装置３１Ｂは、断片ｓ_ｎとデータＴとを用いて演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を算出する。秘密計算装置１１Ｂは、断片ｓ_ｎを入力として、入力値ｍ_ｎを実際に復元することなく、データＴ_gから演算結果ｆ（ｍ₁，・・・，ｍ_N）を算出する（ステップＥ３－３、４、５）。

　以下に、本実施形態の秘密計算システム３の動作の具体例を示す。
　図１２は、第３の実施形態の秘密計算システム３の動作の具体例を示すシーケンス図である。
　[ステップＥ３－１]
　各変換装置２０₁～２０_Nの分割部２０Ｄが、それぞれの記憶部２１Ａに格納された入力値ｍ_ｎを

となるランダムな断片ｓ_ｎ，ｔ_ｎに分割する（ステップＳ３０１）。そして、各変換装置２０₁～２０_Nの出力部２０Ｃが、断片ｓ_ｎを秘密計算装置３１Ｂに送信し（ステップＳ３０２）、断片ｔ_ｎを秘密計算装置３１Ａにそれぞれ送信する（ステップＳ３０３）。

　[ステップＥ３－２]
　秘密計算装置３１Ａは、以下の（ａ）～（ｄ）を実行することにより、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に断片ｔ_ｎが埋め込まれた論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）を秘匿する。なお、この例の論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に断片ｔ_ｎが埋め込まれた論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）は、断片Ｘ＝ｓ_ｎを入力としてｍ_ｎ＝Ｘ_ｎ*ｔ_ｎを復元する関数ｍ_ｎ＝Ｘ_ｎ*ｔ_ｎと、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）とを含み、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）に各関数ｍ_ｎ＝Ｘ_ｎ*ｔ_ｎの出力値ｍ_ｎを入力してｆ（ｍ_１，・・・，ｍ_Ｎ）を出力する関数である。以下では、このような論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）を構成する各論理ゲートを秘匿する。

（ａ）秘密計算装置３１Ａのビット秘匿部３１ＡＤが、論理回路関数ｆ（ｓ_１*Ｘ_１，・・・，ｓ_Ｎ*Ｘ_Ｎ）を構成する各論理ゲートの各ワイヤーｉに対して、固定長の乱数

を生成し、それぞれ０，１に対応させる。

（ｂ）　秘密計算装置３１Ａのビット秘匿部３１ＡＤは、ランダムビットｃ_i∈｛０，１｝を生成する。
（ｃ）　秘密計算装置３１Ａのビット秘匿部３１ＡＤは、

をワイヤーｉに対応させる。ただし、断片ｔ_ｎの下位ｗ番目のビットに対応する入力ワイヤーｉには、

を対応させる。ここでｂ_wは、断片ｔ_ｎの下位ｗ番目のビットである。

（ｄ）　秘密計算装置３１Ａの関数秘匿部３１ＡＦが、ｉ，ｊを入力ワイヤー、ｋを出力ワイヤーとする論理ゲートｇに対して、４つのラベル付きデータ

を生成し、それらをランダムな順番に並べたデータＴ_gを生成する。Ｔ_gの集合Ｔが論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）を秘匿化したデータとなる（ステップＳ３０４）。

　秘密計算装置３１Ａの出力部３１ＡＣは、Ｔ_gの集合Ｔを論理回路関数ｆ（Ｘ_１*ｔ_１，・・・，Ｘ_Ｎ*ｔ_Ｎ）の秘匿化データとして秘密計算装置３１Ｂに送信する（ステップＳ３０５）。
　[ステップＥ３－３]
　秘密計算装置３１Ｂの入力部３１ＢＢには、各変換装置２０₁～２０_Nから送信された断片ｓ_ｎが入力されている。秘密計算装置３１Ｂの秘密計算部３１ＢＤは、これらの断片ｓ_ｎを用い、断片ｓ_ｎの各ビットｂに対応する

を求める。しかしながら、Ｗ_ｉ ^ｂやｃ_ｉは秘密計算装置３１Ａで設定されたものであり、秘密計算装置３１Ｂのみでは、断片ｓ_ｎの各ビットｂに対応するＷ_ｉ ^ｂやｃ_ｉを設定できない。一方、断片ｓ_ｎの各ビットｂに対応するＷ_ｉ ^ｂやｃ_ｉを秘密計算装置３１Ａから得るために、秘密計算装置３１Ａに断片ｓ_ｎの各ビットｂの情報を与えたのでは、秘密計算装置３１Ａに入力値ｍ_ｎが復元されてしまう。よって、秘密計算装置３１Ｂの秘密計算部３１ＢＤが具備する１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡは、秘密計算装置３１Ａの１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＡＧとの間で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行し、秘密計算装置３１Ａに断片ｓ_ｎの各ビットｂの情報を与えることなく、秘密計算装置３１Ａから断片ｓ_ｎの各ビットｂに対応するＷ_ｉ ^ｂやｃ_ｉを取得する。以下、この処理の一例を示す。

　[１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルの例]
　《パラメータ設定》
　１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡと１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＡＧとは、協力して素数ｐを生成し、ｈ^q≡１（ｍｏｄ　ｐ）を満たす２以上ｐ未満の整数ｈおよび最小の自然数ｑを求める。また、これらは、別に２以上ｐ未満の整数ｚを選ぶ。このように設定された素数ｐ，自然数ｑ，整数ｈ，整数ｚは、例えば、秘密計算装置３１Ａの記憶部３１ＡＡと秘密計算装置３１Ｂの記憶部３１ＢＡとに格納される。

　《秘密鍵設定》
　１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡが、ｑ未満の自然数ｕをランダムに選ぶ。この自然数ｕは秘密鍵である。

　《公開鍵設定》
　１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡが、ｑ未満の自然数ｕをランダムに選ぶ。この自然数ｕは秘密鍵である。ＰＫ_b＝ｈ^uｍｏｄ　ｐを計算する。このＰＫ_bは公開鍵であり、秘密鍵ｕで暗号化された暗号文はＰＫ_bによって正しく復号できる。

　《公開鍵の改変》
　１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡは、ｂ＝１であれば

を計算する。

　《公開鍵の送信》
　秘密計算装置３１Ｂの出力部３１ＢＣは、ＰＫ₀を秘密計算装置３１Ａに送信する。なお、ｂ＝０であればＰＫ₀は自然数ｕに対応する正しい公開鍵である。一方、ｂ＝１であればＰＫ₀は自然数ｕに対応する正しい公開鍵ではなく、かつ、ＰＫ₁＝ｚ／ＰＫ₀ｍｏｄ　ｐによって得られるＰＫ₁が自然数ｕに対応する正しい公開鍵となる。

　《暗号化》
　秘密計算装置３１Ａの１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＡＧは、送信されたＰＫ₀を用いてＰＫ₁＝ｚ／ＰＫ₀ｍｏｄ　ｐを計算した後、

を計算する。秘密計算装置３１Ａの出力部３１ＡＣは、得られた暗号文Ｚ₀，Ｚ₁を秘密計算装置３１Ｂに送信する。ここでＥ_PK（ｘ）は平文ｘの公開鍵ＰＫを用いた暗号化関数であるとし、その暗号文は復号鍵ｕにより復号できるものとする。またＣは平文が正しく復元できたか識別可能な関数である。なお、秘密計算装置３１Ａは、ＰＫ₀及びＰＫ₁の何れが自然数ｕに対応する正しい公開鍵であることを知ることはできない。そのため、秘密計算装置３１Ａは、秘密計算装置３１Ａがビットｂ＝0に対応するデータを取得しようとしているのか、ビットｂ＝１に対応するデータを取得しようとしているのかを知ることができない。

　《復号》
　秘密計算装置３１Ｂの１－ｏｕｔ－ｏｆ－２　ＯＴ実行部３１ＢＤＡは、復号鍵ｕを用いてＺ₀，Ｚ₁を復号し、正しく復元されているとＣにより識別される復号結果

を得る。すなわち、ｂ＝０であればＰＫ₀が自然数ｕに対応する正しい公開鍵であるためＺ₀のみが正しく復元され、ｂ＝１であればＰＫ₁が自然数ｕに対応する正しい公開鍵であるためＺ₁のみが正しく復元される（ステップＳ３０６）。

　[ステップＥ３－４]
　秘密計算装置３１Ｂの入力部３１ＢＢには、データＴ_gの集合Ｔと

が入力される。秘密計算装置３１Ｂの秘密計算部３１ＢＤは、Ｔ_gおよび

を得る。

　[ステップＥ３－５]
　秘密計算装置３１Ｂの秘密計算部３１ＢＤは、

から、演算結果ｆ（ｍ₁，・・・，ｍ_N）のビット

を得る（ステップＳ３０７）。

　本実施形態によれば、変換装置２０₁～２０_Nは、保有しているデータｍ_ｎをｓ_ｎとｔ_ｎに分割し、ｓ_ｎを秘密計算装置３１Ｂに送り、ｔ_ｎを秘密計算装置３１Ａに送るだけでよく、ｐｒｏｘｙ　１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要はない。よって、これが必要な非特許文献３に開示された方法に比べて、変換装置２０１～２０Ｎの負荷が低減される。

　なお、本実施形態では、秘密計算装置３１Ｂが、ステップＳ３０６で、断片ｓ_ｎの各ビットｂに対応するデータとして、各ビットｂの秘匿データ

を取得する例を示した。

　しかし、秘密計算装置３１Ｂが、断片ｓ_ｎの各ビットｂに対応するデータとして、入力値ｍ_ｎ＝ｓ_ｎ*ｔ_ｎの各ビットｒに対応する秘匿データを取得する構成であってもよい。このような構成は、例えば、演算子*がＸＯＲであるならば、上述のＺ_０，Ｚ_１の代わりに以下のＺ_０，Ｚ_１を用いることで実現できる。なお、ｖは断片ｔ_ｎのビットを示す。

　これは、断片ｓ_ｎのビットｂが０であれば、それと同じ桁の入力値ｍ_ｎ＝ｓ_ｎ*ｔ_ｎのビットｒは、それと同じ桁の断片ｔ_ｎのビットｖと等しくなるし、断片ｓ_ｎのビットｂが１であれば、それと同じ桁の入力値ｍ_ｎ＝ｓ_ｎ*ｔ_ｎのビットｒは、それと同じ桁の断片ｔ_ｎのビットｖの反転ビットとなることに基づく。この場合、秘密計算装置３１Ｂは、

の何れかを得る。これに応じたデータＴ_gの集合Ｔが設定してあれば、これらから演算結果ｆ（ｍ₁，・・・，ｍ_N）の演算結果を得ることができる。

　また、本実施形態では、ＸＯＲを演算子*として用いる例を示したが、本発明はこれに限定されるものではない。例えば、加減算、乗算、その他どのような演算子を演算子*としてもよい。

　〔第４の実施形態〕
　本実施形態の秘密計算システムは、Ｎ個（Ｎは正の整数）の変換装置と２つの秘密計算装置とからなる。各変換装置はそれぞれ互いに独立な入力値を保持している。本実施形態の秘密計算システムは、各変換装置によって保有された入力値が他の装置に知られることなく、それらの入力値に対する論理回路関数ｆの演算結果を算出する。ただし、本実施形態では、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを用いない。

　＜構成＞
　図１３は、第４の実施形態の秘密計算システム４の構成を示すブロック図である。また、図１４（Ａ）（Ｂ）は、秘密計算システム４が含む秘密計算装置４１Ａ，４１Ｂの構成を示すブロック図である。また、図１５は、秘密計算システム４が含む変換装置４０_１～４０_Ｎの構成を示すブロック図である。なお、変換装置４０_１～４０_Ｎを総称して変換装置４０と呼ぶ。

　図１３に示すように、秘密計算システム４は、変換装置４０_１～４０_Ｎ及び秘密計算装置４１Ａ，４１Ｂ（第１、２の秘密計算装置）を有する。図１４（Ａ）に示すように、秘密計算装置４１Ａは、記憶部４１ＡＡ、入力部４１ＡＢ、出力部４１ＡＣ、ビット秘匿部４１ＡＤ及び関数秘匿部４１ＡＦを有する。また、図１４（Ｂ）に示すように、秘密計算装置４１Ｂは、記憶部４１ＢＡ、入力部４１ＢＢ、出力部４１ＢＣ及び秘密計算部４１ＢＦを有する。また、図１５示すように、変換装置４０は、記憶部４０Ａ、入力部４０Ｂ、出力部４０Ｃ、ビット秘匿部４０Ｄ及び選択部４０Ｅを有する。

　なお、秘密計算装置４１Ａ，４１Ｂ及び変換装置４０の例は、ＣＰＵ、ＲＡＭ、ＲＯＭ、通信装置、入力インタフェース、出力インタフェースなどからなる公知のコンピュータに所定のプログラムが読み込まれて構成された装置である。また、秘密計算装置３１Ａ，３１Ｂ及び変換装置４０が集積回路を含んでもよい。

　＜処理＞
　本実施形態の処理は、前述した本発明の第２態様の一例である。本実施形態では、前処理によって、各変換装置４０₁～４０_Nの記憶部４０Ａに、それぞれ入力値ｍ_１～ｍ_Ｎが格納され、秘密計算装置４１Ａの記憶部４１ＡＡに論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）が格納されている。本実施形態の秘密計算システム４は、各変換装置４０₁～４０_Nに保有された入力値ｍ_１～ｍ_Ｎが他の装置に知られることなく、入力値ｍ_ｎ（１≦ｎ≦Ｎ）を入力とした論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）の演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を算出する。その際、各秘密計算装置４１Ａ，４１Ｂは、入力値ｍ_ｎを復元することなく、また入力値ｍ_ｎを容易に復元できるデータを得ることなく、演算結果ｆ（ｍ_１，・・・，ｍ_Ｎ）を求める。また、これらの処理の過程で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要はない。

　まず、変換装置４０_１～４０_Ｎが、各入力値ｍ_１～ｍ_Ｎの各ビットｂに対応したデータＷｂと、各ビットｂに対する反転ビット（１－ｂ）に対応したデータＷ（１－ｂ）とを生成する。そして、変換装置４０_１～４０_Ｎは、各入力値ｍ_１～ｍ_Ｎを分割した一方の断片としてデータＷｂを秘密計算装置４１Ｂに送信する。また、変換装置４０_１～４０_Ｎは、データＷｂと各ビットｂの反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを、データＷｂ及びデータＷ（１－ｂとｂ及び（１－ｂ）との対応を特定せずに含むデータＷを他方の断片として秘密計算装置４１Ａに送信する（ステップＥ４－１）。

　秘密計算装置４１Ａは、データＷを用い、論理回路関数ｆが秘匿されたデータＴであって当該データＴとデータＷｂとを用いて演算結果ｆ（ｍ）を求めることのできるものを生成する。秘密計算装置４１Ａは、生成したデータＴを秘密計算装置４１Ｂに送信する（ステップＥ４－２）。

　秘密計算装置１１Ａには、データＴとデータＷｂとが入力される。秘密計算装置１１Ａは、データＴとデータＷｂとを用いて演算結果ｆ（ｍ）を算出する（ステップＥ４－３，４，５）。

　以下に、本実施形態の秘密計算システム４の動作の具体例を示す。
　図１６は、第４の実施形態の秘密計算システム４の動作の具体例を示すシーケンス図である。
　[ステップＥ４－１]
　各変換装置４０_１～４０_Ｎのビット秘匿部４０Ｄが、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）を構成する各論理ゲートのうち、各入力値ｍ_１～ｍ_Ｎのビットｂが入力される各入力ワイヤーｉに対して、ランダムビットｃ_i及び固定長の乱数

を生成する。そして、各変換装置４０_ｎの秘匿部４０Ｄは、
　　Ｗ_ｎ＝（ｃ_ｉ，Ｗ_ｉ ^０，Ｗ_ｉ ^１）_ｎ
を生成し（データＷの例／ステップＳ４０１）、各変換装置４０_ｎの選択部４０Ｅは、各ビットｂに対応する

を生成する（データＷｂの例／ステップＳ４０２）。各変換装置４０_ｎの出力部４０ＣはＷ_ｎを秘密計算装置４１Ｂに送信し（ステップＳ４０３）、

を秘密計算装置４１Ａに送信する（ステップＳ４０４）。

　[ステップＥ４－２]
　秘密計算装置４１Ａの関数秘匿部４１ＡＦは、上述したステップＥ３－２と同様に、（ａ）～（ｄ）を実行することにより、論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）を構成する各論理ゲートが秘匿されたＴ_gの集合Ｔを生成する。ただし、入力値ｍ_１～ｍ_Ｎの各ビットの入力ワイヤーｉには、

を対応させる（ステップＳ４０５）。

　秘密計算装置４１Ａの出力部４１ＡＣは、Ｔ_gの集合Ｔを論理回路関数ｆ（ｘ_１，・・・，ｘ_Ｎ）の秘匿化データとして秘密計算装置４１Ｂに送信する（ステップＳ４０６）。
　[ステップＥ４－３]
　秘密計算装置４１Ｂの入力部４１ＢＦには、データＴ_gの集合Ｔと

が入力される。秘密計算装置４１Ｂの秘密計算部４１ＢＦは、Ｔ_gおよび

を得る。

　[ステップＥ４－５]
　秘密計算装置４１Ｂの秘密計算部４１ＢＤは、

から、演算結果ｆ（ｍ₁，・・・，ｍ_N）のビット

を得る（ステップＳ４０７）。

　この例によれば、１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行する必要が無いので、第３の実施形態と比べて、秘密計算装置４１Ａ，４１Ｂの処理が軽減される。
　また、各変換装置４０_ｎから秘密計算装置４１Ａに送信される
　　　Ｗ_ｎ＝（ｃ_ｉ，Ｗ_ｉ ^０，Ｗ_ｉ ^１）_ｎ
には、入力値ｍ_ｎに関する情報が含まれていない。また、各変換装置４０_ｎから秘密計算装置４１Ｂに送信される

は、入力値ｍ_ｎのビットｂがランダムビットｃ_iでマスクされているため、入力値ｍ_ｎに関する有意な情報とはならない。したがって、秘密計算装置４１Ａ，４１Ｂは自身の受信した情報からだけでは、入力値ｍ_ｎに関する有意な情報を得ることができず、入力値ｍ_ｎの秘匿性が確保される。

　〔変形例等〕
　なお、本発明は上述の実施の形態に限定されるものではない。例えば、入力値や断片が埋め込まれた論理回路関数の構成方法は上述のものには限定されない。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成である。また、各装置の構成が同一筐体内にあるとは限らない。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　本発明は、例えば、プライバシーを保護しつつ個人的な情報を活用する様々なシステムに適用できる。例えば、本発明は、オークションを含む任意の情報集計システムに利用できる。この場合、各ユーザーが保有するデータを漏洩させることなく、オークション結果や多数決による意思決定の結果などを演算結果として得ることができる。また、本発明の他の適用例は、例えば、各ユーザーが保有するデータを他者に知られること無く集計し、それらのデータを元にした各種統計処理やマイニング処理を行うシステムである。更に他の例として、本発明を生体認証システムに利用することも可能である。この場合には、各ユーザーの生体情報が秘匿されたままで、生体情報が正当なものであるかを否か判定できる。

Claims

　第１の入力値ｍＡが秘匿されたままで、当該第１の入力値ｍＡに対する論理回路関数ｆの演算結果ｆ（ｍＡ）を算出する秘密計算システムであって、
　第１の秘密計算装置と、前記論理回路関数ｆを格納した第２の秘密計算装置と、第３の秘密計算装置とを有し、
　前記第３の秘密計算装置は、
　前記第１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｔの各ビットｂに対応した各データＷｂと、前記各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成する手段と、
　前記データＷｂを前記第１の秘密計算装置に送信する手段と、
　前記ビットｂ及び反転ビット（１－ｂ）と前記データＷｂ及び前記データＷ（１－ｂ）との対応を特定せずに、前記データＷｂ及び前記データＷ（１－ｂ）を含むデータＷを前記第２の秘密計算装置に送信する手段と、を含み、
　前記第２の秘密計算装置は、
　ｍＡ＝ｓ*ｔを満たす断片ｓと前記論理回路関数ｆと前記データＷとを用い、前記論理回路関数ｆに前記断片ｓが埋め込まれた論理回路関数ｆ（ｓ*Ｘ）が秘匿されたデータＴであって、当該データＴと前記データＷｂとから前記演算結果ｆ（ｍＡ）を求めることができるものを生成する手段と、
　前記データＴを前記第１の秘密計算装置に送信する手段と、を含み、
　前記第１の秘密計算装置は、
　前記データＴと前記データＷｂとが入力される手段と、
　前記データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍＡ）を算出する手段と、を含む。
　請求項１の秘密計算システムであって、
　前記第１の秘密計算装置は、
　前記第１の入力値ｍＡを格納する手段と、
　前記第１の入力値ｍＡを、ｍＡ＝ｓ*ｔを満たす前記断片ｓ，ｔに分割する手段と、
　前記断片ｓを前記第２の秘密計算装置に送信する手段と、
　前記断片ｔを前記第３の秘密計算装置に送信する手段と、を含む。
　請求項１又は２の秘密計算システムであって、
　前記論理回路関数ｆは、２つの入力値を入力とする論理回路関数ｆ（ｘ，ｙ）であり、
　前記第２の秘密計算装置は、第２の入力値ｍＢを格納する手段を含み、
　前記データＴを生成する手段は、前記断片ｓと前記論理回路関数ｆ（ｘ，ｙ）と前記データＷと前記入力値ｍＢを用い、前記論理回路関数ｆ（ｘ，ｙ）に前記断片ｓと前記入力値ｍＢとが埋め込まれた論理回路関数ｆ（ｓ*Ｘ，ｍＢ）が秘匿されたデータＴであって、当該データＴと前記データＷｂとから前記第１の入力値ｍＡ及び前記第２の入力値ｍＢに対する前記論理回路関数ｆ（ｘ，ｙ）の演算結果ｆ（ｍＡ，ｍＢ）を求めることができるものを生成する手段を含み、
　前記演算結果ｆ（ｍＡ）を算出する手段は、
　前記データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍＡ，ｍＢ）を算出する手段を含む。
　請求項１の秘密計算システムであって、
　前記第１の入力値ｍＡを、ｍＡ＝ｓ*ｔを満たす前記断片ｓ，ｔに分割する手段と、
　前記断片ｓを前記第２の秘密計算装置に送信する手段と、
　前記断片ｔを前記第３の秘密計算装置に送信する手段と、を含む変換装置を更に有する。
　秘密計算装置であって、
　１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｔが入力される手段と、
　前記断片ｔの各ビットｂに対応した各データＷｂと、前記各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成する手段と、
　前記データＷｂを、前記第１の入力値ｍＡに対する論理回路関数ｆの演算結果ｆ（ｍＡ）を算出する他の秘密計算装置に送信する手段と、
　前記ビットｂ及び反転ビット（１－ｂ）と前記データＷｂ及び前記データＷ（１－ｂ）との対応を特定せずに、前記データＷｂ及び前記データＷ（１－ｂ）を含むデータＷを、ｍＡ＝ｓ*ｔを満たす断片ｓが入力された他の秘密計算装置に送信する手段と、を有する。
　秘密計算装置であって、
　１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｓが入力される手段と、
　前記断片ｓと論理回路関数ｆとデータＷとを用い、当該論理回路関数ｆに前記断片ｓが埋め込まれた論理回路関数ｆ（ｓ*Ｘ）が秘匿されたデータＴであって、当該データＴと前記データＷｂとから前記第１の入力値ｍＡに対する前記論理回路関数ｆの演算結果ｆ（ｍＡ）を求めることができるものを生成する手段と、
　前記データＴを、前記演算結果ｆ（ｍＡ）を算出する他の秘密計算装置に送信する手段と、を有する。
　第１、第２、及び第３の秘密計算装置により、第１の入力値ｍＡが秘匿されたままで、当該第１の入力値ｍＡに対する論理回路関数ｆの演算結果ｆ（ｍＡ）を算出する秘密計算方法であって、
　(A) 前記第３の秘密計算装置において、前記第１の入力値ｍＡ及び演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｔの各ビットｂに対応した各データＷｂと、前記各ビットｂの各反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを生成するステップと、
　(B) 前記第３の秘密計算装置において、前記データＷｂを前記第１の秘密計算装置に送信するステップと、
　(C) 前記第３の秘密計算装置において、前記ビットｂ及び反転ビット（１－ｂ）と前記データＷｂ及び前記データＷ（１－ｂ）との対応を特定せずに、前記データＷｂ及び前記データＷ（１－ｂ）を含むデータＷを前記第２の秘密計算装置に送信するステップと、
　(D) 前記第２の秘密計算装置において、ｍＡ＝ｓ*ｔを満たす断片ｓと当該第２の秘密計算装置に格納された前記論理回路関数ｆと前記データＷとを用い、前記論理回路関数ｆに前記断片ｓが埋め込まれた論理回路関数ｆ（ｓ*Ｘ）が秘匿されたデータＴであって、当該データＴと前記データＷｂとから前記演算結果ｆ（ｍＡ）を求めることができるものを生成すステップと、
　(E) 前記第２の秘密計算装置において、前記データＴを前記第１の秘密計算装置に送信するステップと、
　(F) 前記第１の秘密計算装置に前記データＴと前記データＷｂとが入力されるステップと、
　(G) 前記第１の秘密計算装置において、前記データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍＡ）を算出するステップと、を有する。
　請求項７の秘密計算方法であって、
　前記第１の秘密計算装置において、当該第１の秘密計算装置に格納された前記第１の入力値ｍＡを、ｍＡ＝ｓ*ｔを満たす前記断片ｓ，ｔに分割するステップと、
　前記断片ｓを前記第２の秘密計算装置に送信するステップと、
　前記断片ｔを前記第３の秘密計算装置に送信するステップと、を有する。
　請求項７又は８の秘密計算方法であって、
　前記論理回路関数ｆは、２つの入力値を入力とする論理回路関数ｆ（ｘ，ｙ）であり、
　前記第２の秘密計算装置には、第２の入力値ｍＢが格納されており、
　前記ステップ(D)は、前記断片ｓと前記論理回路関数ｆ（ｘ，ｙ）と前記データＷと前記入力値ｍＢとを用い、前記論理回路関数ｆに前記断片ｓと前記入力値ｍＢとが埋め込まれた論理回路関数ｆ（ｓ*Ｘ，ｍＢ）が秘匿されたデータＴであって、当該データＴと前記データＷｂとから前記第１の入力値ｍＡ及び前記第２の入力値ｍＢに対する前記論理回路関数ｆ（ｘ，ｙ）の演算結果ｆ（ｍＡ，ｍＢ）を求めることができるものを生成するステップを含み、
　前記ステップ(G)は、前記第１の秘密計算装置において、前記データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍＡ，ｍＢ）を算出するステップを含む。
　入力値ｍが秘匿にされたままで、当該入力値ｍに対する論理回路関数ｆ（ｘ）の演算結果ｆ（ｍ）を算出する秘密計算システムであって、
　前記論理回路関数ｆ（ｘ）を格納した第１の秘密計算装置と、第２の秘密計算装置とを有し、
　前記第１の秘密計算装置は、
　前記入力値ｍから分割された断片Ａと断片Ｂとのうち断片Ｂが入力される手段と、
　前記論理回路関数ｆ（ｘ）と前記断片Ｂとを用い、前記論理回路関数ｆ（ｘ）が秘匿されたデータＴであって、当該データＴと前記断片Ａとから前記演算結果ｆ（ｍ）を求めることのできるものを生成する手段と、を含み、
　前記第２の秘密計算装置は、
　前記断片Ａと前記データＴとが入力される手段と、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段と、を含む。
　請求項１０の秘密計算システムであって、
　前記断片Ａ、Ｂは、演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｓ，ｔであり、
　前記データＴを生成する手段は、前記論理回路関数ｆ（ｘ）と前記断片ｔとを用い、前記論理回路関数ｆ（ｘ）に前記断片ｔが埋め込まれた論理回路関数ｆ（Ｘ＊ｔ）が秘匿されたデータＴであって、当該データＴと前記断片ｓとから前記演算結果ｆ（ｍ）を求めることのできるものを生成する手段を含み、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段は、前記断片ｓと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段を含む。
　請求項１１の秘密計算システムであって、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段は、前記入力値ｍを復元することなく、前記断片ｓと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段を含む。
　請求項１２の秘密計算システムであって、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段は、
　前記第１の秘密計算装置との間で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行し、前記断片ｓを前記第１の秘密計算装置に知られることなく、前記断片ｓに対応する前記第１の秘密計算装置で設定された秘匿データを取得する手段と、
　前記秘匿データと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段と、を含む手段である。
　請求項１１の秘密計算システムであって、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段は、
　前記第１の秘密計算装置との間で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行し、前記断片ｓを前記第１の秘密計算装置に知られることなく、前記断片ｓに対応する前記第１の秘密計算装置で設定された秘匿データを取得する手段と、
　前記秘匿データと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段と、を含む手段である。
　請求項１１から１４の何れかの秘密計算システムであって、
　前記入力値ｍを、ｍ＝ｓ*ｔを満たす前記断片ｓ，ｔに分割する手段と、
　前記断片ｔを前記第１の秘密計算装置に送信する手段と、
　前記断片ｓを前記第２の秘密計算装置に送信する手段と、
　を含む変換装置を更に有する。
　請求項１０の秘密計算システムであって、
　前記断片Ａは、前記入力値ｍの各ビットｂに対応した各データＷｂであり、
　前記断片Ｂは、前記データＷｂと前記各ビットｂの反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを、前記データＷｂ及び前記データＷ（１－ｂ）とｂ及び（１－ｂ）との対応を特定せずに含むデータＷであり、
　前記データＴを生成する手段は、前記データＷを用い、論理回路関数ｆが秘匿されたデータＴであって当該データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍ）を求めることのできるものを生成する手段を含み、
　前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段は、前記データＷｂと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出する手段を含む。
　秘密計算装置であって、
　入力値ｍから分割された断片Ａと断片Ｂとのうち断片Ｂが入力される手段と、
　論理回路関数ｆ（ｘ）と前記断片Ｂとを用い、前記論理回路関数ｆ（ｘ）が秘匿されたデータＴであって、当該データＴと前記断片Ａとから前記演算結果ｆ（ｍ）を求めることのできるものを生成する手段と、
　前記断片Ａが入力された他の秘密計算装置に前記データＴを送信する手段と、を有する。
　入力値ｍが秘匿にされたままで、当該入力値ｍに対する論理回路関数ｆ（ｘ）の演算結果ｆ（ｍ）を算出する秘密計算方法であって、
　(A) 前記第１の秘密計算装置に、前記入力値ｍから分割された断片Ａと断片Ｂとのうち断片Ｂが入力されるステップと、
　(B) 前記第１の秘密計算装置において、当該第１の秘密計算装置が格納した前記論理回路関数ｆ（ｘ）と前記断片Ｂとを用い、前記論理回路関数ｆ（ｘ）が秘匿されたデータＴであって、当該データＴと前記断片Ａとから前記演算結果ｆ（ｍ）を求めることのできるものを生成するステップと、
　(C) 前記第２の秘密計算装置に、前記断片Ａと前記データＴとが入力されるステップと、
　(D) 前記第２の秘密計算装置において、前記断片Ａと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップと、を有する。
　請求項１８の秘密計算方法であって、
　前記断片Ａ、Ｂは、演算子*に対してｍＡ＝ｓ*ｔを満たす断片ｓ，ｔであり、
　前記ステップ(B)は、前記論理回路関数ｆ（ｘ）と前記断片ｔとを用い、前記論理回路関数ｆ（ｘ）に前記断片ｔが埋め込まれた論理回路関数ｆ（Ｘ＊ｔ）が秘匿されたデータＴであって、当該データＴと前記断片ｓとから前記演算結果ｆ（ｍ）を求めることのできるものを生成するステップを含み、
　前記ステップ(D)は、前記断片ｓと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップを含む。
　請求項１８の秘密計算方法であって、
　前記ステップ(D)は、前記入力値ｍを復元することなく、前記断片ｓと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップを含む。
　請求項２０の秘密計算方法であって、
　前記ステップ(D)は、
　(D-1) 前記第２の秘密計算装置が前記第１の秘密計算装置との間で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行し、前記断片ｓを前記第１の秘密計算装置に知られることなく、前記断片ｓに対応する前記第１の秘密計算装置で設定された秘匿データを取得するステップと、
　(D-2)前記秘匿データと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップと、を含む。
　請求項１９の秘密計算方法であって、
　前記ステップ(D)は、
　(D-1) 前記第２の秘密計算装置が前記第１の秘密計算装置との間で１－ｏｕｔ－ｏｆ－２　Ｏｂｌｉｖｉｏｕｓ　Ｔｒａｎｓｆｅｒプロトコルを実行し、前記断片ｓを前記第１の秘密計算装置に知られることなく、前記断片ｓに対応する前記第１の秘密計算装置で設定された秘匿データを取得するステップと、
　(D-2)前記秘匿データと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップと、を含む。
　請求項１９から２２の何れかの秘密計算方法であって、
　変換装置において、前記入力値ｍを、ｍ＝ｓ*ｔを満たす前記断片ｓ，ｔに分割するステップと、
　前記変換装置において、前記断片ｔを前記第１の秘密計算装置に送信するステップと、
　前記変換装置において、前記断片ｓを前記第２の秘密計算装置に送信するステップと、を更に有する。
　請求項１９の秘密計算方法であって、
　前記断片Ａは、前記入力値ｍの各ビットｂに対応した各データＷｂであり、
　前記断片Ｂは、前記データＷｂと前記各ビットｂの反転ビット（１－ｂ）に対応した各データＷ（１－ｂ）とを、前記データＷｂ及び前記データＷ（１－ｂ）とｂ及び（１－ｂ）との対応を特定せずに含むデータＷであり、
　前記ステップ(B)は、前記データＷを用い、論理回路関数ｆが秘匿されたデータＴであって当該データＴと前記データＷｂとを用いて前記演算結果ｆ（ｍ）を求めることのできるものを生成するステップを含み、
　前記ステップ(D)は、前記データＷｂと前記データＴとを用いて前記演算結果ｆ（ｍ）を算出するステップを含む。
　請求項５、６、１７の何れかの秘密計算装置としてコンピュータを機能させるためのプログラム。