WO2019124260A1

WO2019124260A1 - 秘密計算システム及び方法

Info

Publication number: WO2019124260A1
Application number: PCT/JP2018/046130
Authority: WO
Inventors: 哲士田中; 亮菊池; 千田　浩司
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2017-12-18
Filing date: 2018-12-14
Publication date: 2019-06-27
Anticipated expiration: 2020-06-18
Also published as: JP6988918B2; JPWO2019124260A1; AU2018387969A1; US11537726B2; AU2018387969B2; US20200387616A1

Abstract

秘密計算システムは、データを秘匿化したまま計算を行う秘密計算システムであって、データを暗号化することにより暗号文を生成する暗号文生成装置と、暗号文を秘匿化したまま暗号文を用いて所定の基礎統計量を秘密計算することにより暗号化された基礎統計量を生成する秘密計算装置と、暗号化された基礎統計量を復号することにより復号された基礎統計量を生成し、復号された基礎統計量を用いて所定の計算を行う計算装置と、を備えている。

Description

秘密計算システム及び方法

　本発明は、データを秘匿しつつデータ処理を行う秘密計算の技術分野に関する。例えば、秘密多変量解析の技術に関する。

　データを秘匿しつつデータ処理を行う秘密計算の従来技術として、特許文献１に記載された技術が知られている。秘密計算の従来技術では、以下の３個のフェーズが行われる。

　１．暗号化フェーズ：データを暗号化し秘匿する。
　２．秘密計算フェーズ：暗号化したデータ、すなわち暗号文のまま、元のデータに対して目的の計算ができるアルゴリズム又はプロトコルを利用し、暗号文を処理する。
　３．復号フェーズ：秘密計算フェーズの処理の結果として得られる暗号文を復号し、目的の計算結果を取得する。

特開２０１７－０２８６１７号公報

　上記の従来技術は、目的の計算処理を全て２．の秘密計算フェーズで行っている。

　一般に、秘密計算のアルゴリズムは、データを暗号化せずに計算するアルゴリズムよりも処理が複雑である。このため、秘密計算のアルゴリズムの計算の処理に要する時間は、平文の計算のアルゴリズムの計算の処理に要する時間よりも長い。このため、線型方程式の解決を必要とする線形回帰、行列の固有値及び固有ベクトルの計算を必要とする主成分分析といった複雑な計算を用いるアルゴリズムを秘密計算で全て処理してしまうと、処理に要する時間が膨大になってしまう可能性がある。

　この発明の目的は、データを秘匿化したまま従来よりも速い速度で秘密計算を行うことができる秘密計算システム及び方法を提供することである。

　この発明の一態様による秘密計算システムは、データを秘匿化したまま計算を行う秘密計算システムであって、データを暗号化することにより暗号文を生成する暗号文生成装置と、暗号文を秘匿化したまま暗号文を用いて所定の基礎統計量を秘密計算することにより暗号化された基礎統計量を生成する秘密計算装置と、暗号化された基礎統計量を復号することにより復号された基礎統計量を生成し、復号された基礎統計量を用いて所定の計算を行う計算装置と、を備えている。

　データを秘匿化したまま従来よりも速い速度で秘密計算を行うことができる。

秘密計算システムの例を示すブロック図。秘密計算方法の例を説明するための流れ図。第一実施形態を説明するための図。

　以下、図面を参照して、この発明の一実施形態について説明する。

　［記法］
　m,Lをそれぞれ１以上の自然数とする。単一のデータをaのように記述する。また、m次のベクトルをa=(a₁,…,a_m)のように記述する。また、m行L列の行列をA=(a_j,k)_{1≦j≦m,1≦k≦L}、または、A=(a₁ ^T,…,a_L ^T)のように記述する。a_i(i=1,…,L)はm次元ベクトルである。Tは、ベクトル又は行列の転置を意味する。

　nを１以上の自然数とする。aの暗号文を[a]=([a]₁,…,[a]_n)のように記述する。[a]_iを[a]のi番目のシェアと呼ぶ。ただし、n=1のとき、[a]=[a]₁である。また、[a]=([a]₁,…,[a]_m)をm次のベクトルaの暗号文とする。同様に、[A]=([a_j,k])_{1≦j≦m,1≦k≦L}をm行L列の行列Aの暗号文とする。

　ベクトルa内の要素の総和s_aを次式のように記述する。

　s_a=Σ_j=1 ^ma_j
　また、ベクトルaとベクトルbの要素同士の積abを次式の様に記述する。

　ab=(a₁b₁,…,a_mb_m)
　更に、a²=aaとする。

　［統計量］
　a又はAの性質を示す量を統計量と呼ぶ。図３に、本発明で用いる統計量の例を示す。図３では、各統計量の記号・記法、定義及び定義と等価な式が示されている。

　なお、図３の統計量の中の、レコード数、属性数、総和、二乗和及び積和の５つの統計量の少なくとも１つを基礎統計量と呼ぶことにする。
　なお、図３では、レコード数、属性数、総和、二乗和及び積和は以下のように定義されている。
　レコード数m:aの要素数、または、Aの行数
　属性数L:Aの列数
　総和s_a:Σ_j=1 ^ma_j
　二乗和s_(a^2):Σ_j=1 ^ma_j ²
　積和s_ab:Σ_j=1 ^ma_jb_j

　［技術の概要］
　後述する実施形態は、基礎統計量（すなわち、例えば、レコード数、属性数、総和、二乗和及び積和の少なくとも１つ）を秘密計算によって安全に計算し、基礎統計量を平文に復号して高速に分析等の計算を行う。後述する実施形態は、以下の３つのフェーズに分かれた処理を行う。

　１．暗号化フェーズ：データを暗号化し、秘匿する。
　２．秘密計算フェーズ：暗号文のままで、個々のデータから基礎統計量の計算を処理する。
　３．計算フェーズ：計算された基礎統計量の暗号文を復号し、復号された基礎統計量を用いて目的とする計算を平文で処理する。

　後述する実施形態は、基礎統計量の計算処理にのみ秘密計算を適用している点で、従来手法と異なる。この手法を適用することで、線形回帰、主成分分析等の処理に比較的時間がかかる計算を従来よりも高速に処理可能である。

　なお、線形回帰で用いる線型方程式は、例えば以下の式（１）に示す通り、基礎統計量によって構成される。

　したがって、基礎統計量を秘密計算で安全に計算した後に、例えば線型方程式を平文で解決することによって効率的にパラメータを推定することが可能である。

　また、主成分分析は、例えば、Aの分散共分散行列V=(σ_as,a_t)1≦s,t≦L又は相関係数行列C=(ρ_as,a_t)1≦s,t≦Lに対して、固有値及び固有ベクトル計算を行うことにより実施することができる。

　図３から、分散共分散行列は、基礎統計量から計算できることがわかる。さらに、相関係数行列も分散及び共分散から計算可能である。したがって、何れかの行列を用いる場合においても、基礎統計量さえ安全に計算することができれば、以降はその計算された基礎統計量を用いる事で主成分分析を実現できる。

　［暗号方式］
　本発明では、暗号文を復号することなく、例えば以下の演算を実現できる暗号方式を用いる。このような暗号方式を実現する手段として、参考文献１，２が知られている。

　１．加算: [a],[b]を入力として、加算a+bの暗号文[a+b]を生成する。
　２．乗算: [a],[b] を入力として、乗算abの暗号文[ab]を生成する。
　３．総和: [a]を入力として、総和s_aの暗号文[s_a]を生成する。
　４．積和:[a],[b]を入力として、積和s_abの暗号文[s_ab]を生成する。

　〔参考文献１〕SHAMIR, Adi. "How to share a secret", Communications of the ACM, 1979, 22.11: p.612-613.
　〔参考文献２〕GENTRY, Craig, et al. "Fully homomorphic encryption using ideal lattices", In: STOC. 2009. p.169-178.

　［実施形態］
　秘密計算システムの実施形態は、図１に示すように、暗号文生成装置１、管理サーバ２、秘密計算装置３及び計算装置４を例えば備えている。この例では、暗号文生成装置１は、複数の登録端末T_Hである。また、秘密計算装置３は、n台の秘密計算サーバM₁,…,M_nである。nは２以上の所定の整数である。さらに、計算装置４は、分析端末T_Aである。

　暗号文生成装置１、管理サーバ２、秘密計算装置３及び計算装置４は、互いにネットワークを通じて通信可能であり、互いにデータの送受信が可能である。

　秘密計算システムは、［暗号方式］で述べた演算を処理できる秘密計算サーバM₁,…,M_nを用いる。各秘密計算サーバM_i(i=1,…,n)はネットワークを通じて、別の秘密計算サーバM_jにアクセス可能であり、互いにデータの送受信が可能である。

　秘密計算方法は、秘密計算システムを構成する装置が、図２及び以下に説明するステップＳ１からＳ１１の処理を行うことにより例えば実現される。

　暗号文生成装置１は、データを暗号化することにより暗号文を生成する（ステップＳ１）。生成された暗号文は、管理サーバ２に送信される（ステップＳ２）。

　暗号文生成装置１は、例えば複数の登録端末T_Hである。この場合、複数の登録端末T_Hのそれぞれは、自身が持つデータを例えば参考文献１，２に記載された手法で秘密分散することにより、データのシェアを生成する。この生成されたシェアが暗号文の一例である。

　管理サーバ２は、受信した暗号文を、秘密計算装置３に送信する（ステップＳ３）。

　秘密計算装置３は、受信した暗号文を記憶部に記憶させる（ステップＳ４）。例えば、受信した暗号文は、秘密計算装置３の秘密計算サーバM_i(i=1,…,n)の図示していない記憶部に記憶される。

　計算装置４は、管理サーバ２に計算依頼を送信する（ステップＳ５）。計算装置４は、例えば分析端末T_Aである。この場合、分析端末T_Aは、計算依頼としての分析依頼を管理サーバ２に送信する。

　管理サーバ２は、受信した計算依頼に対応する計算を行うために必要な基礎統計量の計算依頼である基礎統計量計算依頼を秘密計算装置３に送信する（ステップＳ６）。

　秘密計算装置３は、記憶部から読み込んだ暗号文を用いて、この暗号文を秘匿化したまま、所定の基礎統計量を秘密計算することにより暗号化された基礎統計量を生成する（ステップＳ７）。

　秘密計算装置３は、例えば秘密計算サーバM₁,…,M_nである。この場合、秘密計算サーバM₁,…,M_nが、共同して、例えば参考文献１，２に記載された手法を用いて、記憶部から読み込んだ暗号文を用いて、この暗号文を秘匿化したまま、所定の基礎統計量を秘密計算する。

　生成された暗号化された基礎統計量は、管理サーバ２に送信される（ステップＳ８）。
所定の基礎統計量は、受信した基礎統計量計算依頼に対応する基礎統計量である。

　管理サーバ２は、受信した暗号化された基礎統計量を計算装置４に送信する（ステップＳ９）。

　計算装置４は、受信した暗号化された基礎統計量を復号することにより復号された基礎統計量を生成する（ステップＳ１０）。

　計算装置４は、復号された基礎統計量を用いて所定の計算を行う（ステップＳ１１）。所定の計算の例は、上記の実施形態のポイントの１つは、統計量のみで計算できる分析の特徴と秘密計算の性質を組み合わせた部分にある。

　レコード数、総和、平均及び分散といった統計量は、個々のデータではなくデータ集合の特徴を示す数値である。そのため、これらの統計量のみを用いて計算する分析においては、データ集合について解ればよく、個々のデータそのものは必要としない。しかし、分析のアルゴリズム上、統計量を計算することは不可避であり、その統計量を計算するために個々のデータに触れなければならない。

　一方で、秘密計算は、暗号文によりデータを秘匿したまま安全に計算可能だが、一般に平文による計算よりも遅い。特に、除算等の複雑な計算処理に対しては速度差が顕著に現れるため、複雑な計算を要する分析を秘密計算で全て実装することはコストが高い。反対に、［暗号方式］の欄で示した加算や乗算は秘密計算でも十分高速であり、これらの演算に基づく基礎統計量は秘密計算で高速に処理できる。

　したがって、基礎統計量に基づく統計量から計算できる分析では、基礎統計量を計算する部分のみを秘密計算で処理することで個々のデータの中身は秘匿し、計算した基礎統計量を平文に復号することで、分析の計算を高速に処理することができる。これにより、安全性と高速性を両立させた分析が実現される。

　なお、上記の実施形態では、管理サーバ２と計算装置４とが別装置として記述されているが、管理サーバ２と計算装置４は同一の装置に実現されていてもよい。

　［実施例］
　[[実施例１]]
　実施例１は、線形単回帰分析を行う実施例である。より具体的には、実施例１は、計算装置４である分析端末T_Aが、秘密計算装置３であるn台の秘密計算サーバM₁,…,M_nを用いて、暗号文生成装置１である登録端末T_Hが持つm世帯の収入データaと支出データb間の以下の線形モデル
b=w₀+w₁a
について、パラメータw₀,w₁の推定を行う実施例である。

　<暗号化フェーズ>
　暗号化フェーズとして、ステップＳ１からＳ３において、以下の処理が行われる。

　登録端末T_Hは、例えば参考文献１，２の暗号方式を用いて、a,b,mを暗号化する。

　登録端末T_Hは、暗号文であるシェア[a]_i, [b]_i, [m]_i と平文mを秘密計算サーバM₁,…,M_nに対して送信する。

　<秘密計算フェーズ>
　秘密計算フェーズとして、ステップＳ７からＳ９において、以下の処理が行われる。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した総和の秘密計算により、[a]_i, [b]_iを用いて、[s_a]_i, [s_b]_iを求める。ここで、a=(a₁,…,a_m)としてs_a=Σ_j=1 ^ma_jであり、b=(b₁,…,b_m)としてs_b=Σ_j=1 ^mb_jである。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した積和の秘密計算により、[a]_i, [b]_iを用いて、[s_a^2]_iと[s_ab]_iを求める。ここで、a=(a₁,…,a_m),b=(b₁,…,b_m)としてs_a^2=Σ_j=1 ^ma_j ²,s_ab=Σ_j=1 ^ma_jb_jである。

　各秘密計算サーバM_iは、求めた[s_a]_i,[s_b]_i,[s_a^2]_i,[s_ab]_iと[m]_iを分析端末T_Aに送信する。

　<計算フェーズ>
　計算フェーズとして、ステップＳ１０及びＳ１１において、以下の処理が行われる。

　分析端末T_Aは、受け取ったシェアを用いて、s_a, s_b, s_a^2, s_ab, mを復号する。

　分析端末T_Aは、s_a, s_b, mを用いて、μ_a=(1/m)s_a, μ_b=(1/m)s_bを計算する。

　分析端末T_Aは、s_a, s_b, s_a^2, s_ab, mを用いて、σ_a ²=(1/m)s_a^2-(1/m²)s_a ², σ_a,b=(1/m)s_ab-(1/m²)s_as_bを計算する。

　分析端末T_Aは、w₁=(σ_a,b)/(σ_a ²)を計算する。

　分析端末T_Aは、w₀=μ_b-w₁μ_aを計算する。

　[[実施例２]]
　実施例２は、線形回帰分析を行う実施例である。より具体的には、実施例２は、計算装置４である分析端末T_Aが、秘密計算装置３であるn台の秘密計算サーバM₁,…,M_nを用いて、暗号文生成装置１である登録端末T_Hが持つレコード数m、属性数Lの行列Aとレコード数mのベクトルb間の以下の線形モデル
b=w₀+w₁a₁+…+w_La_L
について、パラメータw=(w₀,w₁,…,w_L)の推定を行う実施例である。

　登録端末T_Hは、例えば参考文献１，２の暗号方式を用いて、A,b,m,Lを暗号化する。

　登録端末T_Hは、暗号文であるシェア[A]_i, [b]_i, [m]_i, [L]_iと平文m,Lを秘密計算サーバM₁,…,M_nに対して送信する。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した総和の秘密計算により、[A]_i, [b]_iを用いて、[s_A]_i=([s_a1]_i,…, [s_aL]_i), [s_b]_iを求める。ここで、q=1,…,Lとしてs_aq=Σ_j=1 ^ma_j,qであり、b=(b₁,…,b_m)としてs_b=Σ_j=1 ^mb_jである。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した積和により、[A]_i, [b]_iを用いて、[S_A]_i=([s_ajak]_i)_1≦j,k≦L=と[s_Ab]_i= ([s_a1b]_i,…, [s_aLb]_i)を計算する。ここで、s_ajak=Σ_r=1 ^ma_r,ja_r,kであり、q=1,…,Lとしてs_aqb=Σ_r=1 ^ma_r,qb_rである。

　各秘密計算サーバM_iは、求めた[s_A]_i, [s_b]_i, [S_A]_i, [s_Ab]_iと[m]_i, [L]_iを分析端末T_Aに送信する。

　分析端末T_Aは、受け取ったシェアを用いて、s_A, s_b, S_A, s_Ab, m, Lを復号する。

　分析端末T_Aは、s_A, s_b, S_A, s_Ab, m, Lを用いて、式（１）の線形方程式を構成する。

　分析端末T_Aは、例えばGauss の消去法を用いて式（１）を解き、w=(w₀,…,w_L)を求める。

　[[実施例３]]
　実施例３は、主成分分析を行う実施例である。より具体的には、実施例２は、計算装置４である分析端末T_Aが、秘密計算装置３であるn台の秘密計算サーバM₁,…,M_nを用いて、暗号文生成装置１である登録端末T_Hが持つレコード数m、属性数Lの行列であるデータAに対して主成分分析を行い、各主成分p=(p₁,…,p_L)を求める実施例である。

　登録端末T_Hは、例えば参考文献１，２の暗号方式を用いて、A,m,Lを暗号化する。

　登録端末T_Hは、暗号文であるシェア[A]_i, [m]_i, [L]_iと平文m,Lを秘密計算サーバM₁,…,M_nに対して送信する。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した総和により、[A]_iを用いて、[s]_i=([s_a1]_i,…,[s_aL]_i)を求める。ここで、q=1,…,Lとしてs_ai=Σ_j=1 ^ma_q,jである。

　各秘密計算サーバM_iは、［暗号方式］の欄で示した積和により、[A]_iを用いて、[S]_i=([s_ajak]_i)_1≦j,k≦Lを計算する。ここで、s_ajak=Σ_r=1 ^ma_r,ja_r,kである。

　各秘密計算サーバM_iは、求めた[s]_i, [S]_iと[m]_i, [L]_iを分析端末T_Aに送信する。

　分析端末T_Aは、受け取ったシェアを用いて、s, S, m, Lを復号する。

　分析端末T_Aは、s, S, m, Lを用いて、V=(σ_aj,ak)_1≦j,k≦L=((1/m)s_ajak-(1/m²)s_ajs_ak)_1≦j,k≦Lを求める。

　分析端末T_Aは、Vを用いて、C=((σ_aj,ak)/(σ_aj ²σ_ak ²)^1/2)_1≦j,k≦Lを求める。ここで、σ_aj ²=(1/m)s_aj^2-(1/m²)s_aj ²であり、σ_ak ²=(1/m)s_ak^2-(1/m²)s_ak ²である。

　分析端末T_Aは、Cに対して固有値及び固有ベクトルの計算を行い、p=(p₁,…,p_L)を求める。

　［プログラム及び記録媒体］
　例えば、各装置における処理をコンピュータによって実現する場合、各装置の各部が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各装置の処理がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、各部の処理は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理の少なくとも一部をハードウェア的に実現することとしてもよい。

　その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

Claims

　データを秘匿化したまま計算を行う秘密計算システムであって、
　上記データを暗号化することにより暗号文を生成する暗号文生成装置と、
　上記暗号文を秘匿化したまま上記暗号文を用いて所定の基礎統計量を秘密計算することにより暗号化された基礎統計量を生成する秘密計算装置と、
　上記暗号化された基礎統計量を復号することにより復号された基礎統計量を生成し、上記復号された基礎統計量を用いて所定の計算を行う計算装置と、
　を含む秘密計算システム。
　請求項１の秘密計算システムにおいて、
　上記所定の基礎統計量は、上記データのレコード数、属性数、総和、二乗和、積和の少なくとも１つである、
　秘密計算システム。
　データを秘匿化したまま計算を行う秘密計算方法であって、
　暗号文生成装置が、上記データを暗号化することにより暗号文を生成する暗号文生成装置と、
　秘密計算装置が、上記暗号文を秘匿化したまま上記暗号文を用いて所定の基礎統計量を秘密計算することにより暗号化された基礎統計量を生成する秘密計算ステップと、
　計算装置が、上記暗号化された基礎統計量を復号することにより復号された基礎統計量を生成し、上記復号された基礎統計量を用いて所定の計算を行う計算ステップと、
　を含む秘密計算方法。