秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法以及程序的制作方法
【专利摘要】秘密分散系统将计算量型秘密分散的分散值变换为具有同态的秘密分散的分散值。数据分散装置由密钥选择部选择K'-1个密钥sj。伪随机数生成部根据密钥sj生成伪随机数rj。加密部根据信息a利用伪随机数rj生成密文c。密钥分散部将密钥sj通过任意的秘密分散方式S1分别分散为N个分散值fsj(n)。密文分散部将密文c通过任意的分散方式S0分散为N个分散值fc(n)。分散数据变换装置中,恢复部若被输入K个分散值fsj(i),则将分散值fsj(i)通过秘密分散方式S1恢复,并生成恢复值Uj,若被输入K个分散值fc(i),则将分散值fc(i)通过分散方式S0恢复,从而生成恢复值Uj(j=K')。再分散部通过具有同态的秘密分散方式S2,将恢复值Uj分散为N个分散值fUj(n)。变换部根据K'个分散值fUj生成信息a的分散值ga(i)。
【专利说明】秘密分散系统、数据分散装置、分散数据变换装置、秘密分 散方法以及程序
【技术领域】
[0001] 本发明涉及计算量型秘密分散技术以及多方(multiparty)计算技术。
【背景技术】
[0002] 秘密分散(secret sharing)是将数据变换为多个分散值,若利用一定个数以上的 分散值则能够恢复原来的数据,根据少于一定个数的分散值完全无法恢复原来的数据的技 术。将分散值的总数设为N,将进行恢复所需的分散值的最少数目设为K(<N)时,存在对 N、K的值没有限制的方式和有限制的方式。
[0003] 作为秘密分散的代表性方式,有Shamir秘密分散方式(例如,参照非专利文献1)。 在该方式的例子中,将P设为质数,将GF(p)设为位数p的有限体,根据针对a e GF(p)成为 f (〇) = a的、以x作为变量的K-1次式f (x),获得a的分散值Si (a) = f (i) (i = 1,? ? ?,N)。 将化、……、nK设为1以上且N以下的相互不同的整数,以下的关系成立,因此能够根据任 意的不同的K个分散值恢复a。
[0004] 【数1】
【权利要求】
1. 一种包含数据分散装置和N台分散数据变换装置的秘密分散系统,其中, N、K是2以上的整数,且N彡K,n = 1,. . .,N,X是互异的1以上且N以下的K个整 数,i是i e X的整数,fx (n)是x的N个分散值,R是环,S是密钥空间,P (x)是将x e S 映射到环R上的映射, 所述数据分散装置包括: 密钥选择部,选择K-1个密钥Sl、……、sK_i G S ; 伪随机数生成部,根据所述密钥Sp ......、sK_i计算rj = P(Sj) (j = 1,. . .,K-1),从而 生成伪随机数A、......、:tv:; 加密部,根据信息a e R利用所述伪随机数ri、……、^^生成密文c; 密钥分散部,将所述密钥Sl、……、SlH通过任意的秘密分散方式S1分别分散为N个分 散值fsl(n)、……、&_? ;以及 密文分散部,将所述密文c通过任意的秘密分散方式SO分散为N个分散值f;(n), 所述分散数据变换装置包括: 恢复部,若被输入K个分散值& (i),则根据将所述分散值(i)通过所述秘密分散方 式S1恢复后的值+,计算% = P (up,若被输入K个分散值f。(i),则将所述分散值f。(i)通 过所述秘密分散方式SO进行恢复,从而生成恢复值U^j = K); 再分散部,将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散 值;以及 变换部,根据K个分散值fm⑴、......、fUK(i)生成所述信息a的分散值ga(i)。
2. -种包含数据分散装置和N台分散数据变换装置的秘密分散系统,其中, N、K、K'是2以上的整数,且N彡K,n= 1,...,N,X是互异的1以上且N以下的K个 整数,i是i e X的整数,fx(n)是x的N个分散值,R是环,S是密钥空间,P(x)是将x e S 映射到环R上的映射, 所述数据分散装置包括: 密钥选择部,选择K' -1个密钥Sl、……、%,< G S ; 伪随机数生成部,根据所述密钥Sp ......、sK,_i计算rj = P(Sj) (j = 1,. . .,K' -1),从 而生成伪随机数A、……、rK,_1; 加密部,根据信息a e R利用所述伪随机数ri、……、^^生成密文。; 密钥分散部,将所述密钥Sl、……、skm通过任意的秘密分散方式S1分别分散为N个 分散值fsl(n)、…… 密文分散部,将所述密文c通过任意的分散方式SO分散为N个分散值f。(n), 所述分散数据变换装置包括: 恢复部,若被输入K个分散值& (i),则根据将所述分散值(i)通过所述秘密分散方 式S1恢复后的值+,计算% = P (up,若被输入K个分散值f。(i),则将所述分散值f。(i)通 过所述分散方式SO进行恢复,从而生成恢复值% (j = K'); 再分散部,将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散 值;以及 变换部,根据K'个分散值fm (i)、......、fUK,(i)生成所述信息a的分散值ga(i)。
3. 如权利要求1所述的秘密分散系统,其中, 所述加密部从所述信息a减去所述伪随机数ri、……、iVi的总和而生成所述密文c, 所述变换部将所述分散值fm(i)、……、fUK(i)的总和设为所述分散值^(1)。
4. 如权利要求2所述的秘密分散系统,其中, 所述加密部从所述信息a减去所述伪随机数ri、……的总和而生成所述密文c, 所述变换部将所述分散值fm(i)、……、fUK,(i)的总和设为所述分散值&(1)。
5. 如权利要求1至4的任一项所述的秘密分散系统,其中, 所述秘密分散方式S2是Shamir秘密分散方式。
6. -种数据分散装置,其中, N、K是2以上的整数,且N彡K,n = l,...,N,fx(n)是x的N个分散值,R是环,S是密 钥空间,P(x)是将x G S映射到环R的映射, 所述数据分散装置包括: 密钥选择部,选择K-1个密钥Sl、……、sK_i G S ; 伪随机数生成部,根据所述密钥Sp ......、sK_i计算rj = P(Sj) (j = 1,. . .,K-1),从而 生成伪随机数A、......、:tv:; 加密部,根据信息a e R利用所述伪随机数ri、……、^^生成密文c; 密钥分散部,将所述密钥Sl、……、SlH通过任意的秘密分散方式S1分别分散为N个分 散值fsl(n)、……、&_? ;以及 密文分散部,将所述密文c通过任意的秘密分散方式SO分散为N个分散值f;(n)。
7. -种数据分散装置,其中, N、K、K'是2以上的整数,且N彡K,n = 1,. . .,N,fx(n)是x的N个分散值,R是环,S 是密钥空间,P(x)是将x G S映射到环R的映射, 所述数据分散装置包括: 密钥选择部,选择K' -1个密钥Sl、……、%,< G S ; 伪随机数生成部,根据所述密钥Sp ......、sK,_i计算rj = P(Sj) (j = 1,. . .,K' -1),从 而生成伪随机数A、……、rK,_1; 加密部,根据信息a e R利用所述伪随机数ri、……、^^生成密文。; 密钥分散部,将所述密钥Sl、……、skm通过任意的秘密分散方式S1分别分散为N个 分散值fsl(n)、…… 密文分散部,将所述密文c通过任意的分散方式SO分散为N个分散值f。(n)。
8. -种分散数据变换装置,其中, N、K是2以上的整数,且N彡K,n = 1,. . .,N,X是互异的1以上且N以下的K个整 数,i是i e X的整数,fx (n)是x的N个分散值,R是环,S是密钥空间,P (x)是将x e S 映射到环R的映射, 所述分散数据变换装置包括: 恢复部,若被输入K个分散值& (i),则根据将所述分散值(i)通过规定的秘密分散 方式S1恢复后的值+计算% = P (?),若被输入K个分散值f。(i),则将所述分散值f。(i) 通过规定的秘密分散方式SO恢复,从而生成恢复值Uj ; 再分散部,将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散 值;以及 变换部,根据K个分散值fm⑴、......、fUK(i)生成所述信息a的分散值ga(i), 所述分散值(i)包含在将K个密钥Sl、……、SlH e S通过所述秘密分散方式S1分 别分散为N个后的分散值fsl (n)、......、fn(n)中, 所述分散值fji)包含在将密文c通过所述秘密分散方式SO分散为N个的分散值fjn) 中,该密文c是利用根据所述密钥Sp ......、sK_i计算rj = P(Sj) (j = 1,. . .,K-1)而生成 的伪随机数A、......、rK_i从信息a G R生成的密文c。
9. 一种分散数据变换装置,其中, N、K、K'是2以上的整数,且N彡K,n= 1,...,N,X是互异的1以上且N以下的K个 整数,i是i e X的整数,fx(n)是x的N个分散值,R是环,S是密钥空间,P(x)是将x e S 映射到环R的映射, 所述分散数据变换装置包括: 恢复部,若被输入K个分散值& (i),则根据将所述分散值(i)通过规定的秘密分散 方式S1恢复后的值+计算% = P (?),若被输入K个分散值f。(i),则将所述分散值f。(i) 通过规定的分散方式SO恢复,从而生成恢复值% (j = K'); 再分散部,将所述恢复值Uj通过任意的具有同态的秘密分散方式S2分散为N个分散 值;以及 变换部,根据K'个分散值fm (i)、......、:fUK,⑴生成所述信息a的分散值ga(i), 所述分散值fd(i)包含在将K'个密钥Sl、……、%,< e S通过所述密钥分散方式S1 分别分散为N个后的分散值fsl (n)、......、fSK,-i(n)中, 所述分散值f。(i)包含在将密文c通过所述密钥分散方式SO分散为N个的分散值f。(n) 中,该密文c是利用根据所述密钥Sl、……、计算r」=P(Sj) (j = 1,. . .,K' -1)而生 成的伪随机数A、......、rK,从信息a G R生成的密文c。
10. -种秘密分散方法,其中, N、K是2以上的整数,且N彡K,n = 1,. . .,N,X是互异的1以上且N以下的K个整 数,i是i e X的整数,fx (n)是x的N个分散值,R是环,S是密钥空间,P (x)是将x e S 映射到环R的映射, 所述秘密分散方法包括: 密钥选择步骤,数据分散装置选择K-1个密钥Sl、……、SlH e S ; 伪随机数生成步骤,所述数据分散装置根据所述密钥Sl、……、sK_i计算& = P(Sj) (j =1,. . .,K-1),从而生成伪随机数1^、......、:tv:; 加密步骤,所述数据分散装置根据信息a e R利用所述伪随机数ri、……生成密 文c ; 密钥分散步骤,所述数据分散装置将所述密钥Sl、……、SlH通过任意的秘密分散方式 S1分别分散为N个分散值fsl(n)、……、&_? ; 密文分散步骤,所述数据分散装置将所述密文c通过任意的秘密分散方式S0分散为N 个分散值f>); 恢复步骤,分散数据变换装置若被输入K个分散值& (i),则根据将所述分散值(i) 通过所述秘密分散方式S1恢复后的值+计算% = P (up,若被输入K个分散值f。(i),则将 所述分散值f。(i)通过所述分散方式SO恢复,从而生成恢复值% ; 再分散步骤,所述分散数据变换装置将所述恢复值%通过任意的具有同态的秘密分散 方式S2分散为N个分散值(n);以及 变换步骤,所述分散数据变换装置根据K个分散值fm(i)、……、&⑴生成所述信息 a的分散值ga(i)。
11. 一种秘密分散方法,其中, N、K、K'是2以上的整数,且N彡K,n = 1,...,N,X是互异的1以上且N以下的K个 整数,i是i e X的整数,fx(n)是x的N个分散值,R是环,S是密钥空间,P(x)是将x e S 映射到环R的映射, 所述秘密分散方法包括: 密钥选择步骤,数据分散装置选择K' -1个密钥Sl、……、e S ; 伪随机数生成步骤,所述数据分散装置根据所述密钥Sl、……、sK,_i计算& = P(Sj) (j =1,. . .,K' -1),从而生成伪随机数a、......、:rK, ; 加密步骤,所述数据分散装置根据信息a e R利用所述伪随机数ri、……生成密 文c ; 密钥分散步骤,所述数据分散装置将所述密钥Sl、……、SK,_i通过任意的秘密分散方式 S1分别分散为N个分散值fsl(n)、……、&,_?; 密文分散步骤,所述数据分散装置将所述密文c通过任意的分散方式SO分散为N个分 散值f;(n); 恢复步骤,分散数据变换装置若被输入K个分散值& (i),则根据将所述分散值(i) 通过所述秘密分散方式S1恢复后的值+计算% = P (up,若被输入K个分散值f。(i),则将 所述分散值f。(i)通过所述秘密分散方式SO恢复,从而生成恢复值%(j = K'); 再分散步骤,所述分散数据变换装置将所述恢复值%通过任意的具有同态的秘密分散 方式S2分散为N个分散值(n);以及 变换步骤,所述分散数据变换装置根据K'个分散值fm(i)、……、(i)生成所述信 息a的分散值ga(i)。
12. -种程序,使计算机起到权利要求6或7所述的数据分散装置或权利要求8或9所 述的分散数据变换装置的作用。
【文档编号】H04L9/08GK104429019SQ201380035818
【公开日】2015年3月18日 申请日期:2013年7月4日 优先权日:2012年7月5日
【发明者】千田浩司, 五十岚大, 滨田浩气, 菊池亮 申请人:日本电信电话株式会社