技術領域

本發明涉及保密計算技術，尤其涉及既保密數據又進行計算并確保計算結果的正當性的技術。

背景技術

以往，作為在保密了數據的狀態下，既保證計算結果的正當性又進行包括乘法運算和加法運算的計算的技術，有非專利文獻1的三方保密函數計算。這是對被分散的輸入值不進行恢復，而是通過三方(三個計算主體)的協調計算導出算術/邏輯運算的結果的協議。在三方保密函數計算協議中，將數據作為小于某決定的質數p的自然數來進行處理。在保密數據時，若將該數據設為a，則將a分散為三個數據，并使其滿足以下的條件。

a＝a₀+a₁+a₂mod?p

實際中，生成隨機數a₁、a₂，并設為a₀＝a-a₁-a₂。然后對三方X、Y、Z，對X發送(a₀,a₁)，對Y發送(a₁,a₂)，對Z發送(a₂,a₀)。則，由于a₁、a₂是隨機數，因此X、Y、Z任一方都不具有a的信息，但只要集合任意的兩方就能夠恢復a。

由于保密是加法性的分散，因此根據其可置換性，無論將分散值進行加法運算后進行恢復，還是恢復后進行加法運算，其結果都相同。即，可以在維持分散的狀態下不進行通信而直接進行加法運算和整數倍計算。此外，乘法運算也可以需要通信以及隨機數生成。因此，能夠構成邏輯電路，可以執行所有計算。以下，表示三方保密函數計算的具體例。另外，在三方保密函數計算協議中，計算結果是用p相除后的余數，但為了簡化記載，以下省略“mod?p”的記載。

(1)分散到X、Y、Z的保密數據a的恢復

X向Y發送a₀，向Z發送a₁。Y向Z發送a₁，向X發送a₂。Z向X發送a₂，向Y發送a₀

若從Y接收到的a₂和從X接收到的a₂一致，則X計算a₀+a₁+a₂而恢復a。若從X接收到的a₀與從Z接收到的a₀一致，則Y計算a₀+a₁+a₂而恢復a。若從X接收到的a₁和從Y接收到的a₁一致，則Z計算a₀+a₁+a₂而恢復a。

(2)c＝a+b的秘密計算

假設數據b也通過與數據a相同的方法，分別向X分散(b₀,b₁)，向Y分散(b₁,b₂)，向Z分散(b₂,b₀)而被保密。

此時，X計算(c₀,c₁)＝(a₀+b₀,a₁+b₁)而記錄，Y計算(c₁,c₂)＝(a₁+b₁,a₂+b₂)而記錄，Z計算(c₂,c₀)＝(a₂+b₂,a₀+b₀)而記錄。

(3)c＝a+α的秘密計算(α是已知的常數)

X計算(c₀,c₁)＝(a₀+α,a₁)而記錄，Z計算(c₂,c₀)＝(a₂,a₀+α)而記錄。沒有Y的處理。

(4)c＝a*α的秘密計算