[发明专利]份额生成装置、份额变换装置、秘密计算系统、它们的方法及记录介质

说明书

份额生成装置获得N个种子ssubgt;0/subgt;，…，ssubgt;N－1/subgt;，获得明文x∈Fsupgt;m/supgt;以及函数值e的函数值y＝g(x，e)∈Fsupgt;m/supgt;，得到并输出包含元素ysubgt;i/subgt;和对于d∈{0，…，N－1}且d≠i的N－1个种子ssubgt;d/subgt;的信息，作为秘密分散中的明文x的份额SSsubgt;i/subgt;。其中，通过满足m＝m(0)+…+m(N－1)的元素ysubgt;0/subgt;∈Fsupgt;m(0)/supgt;，…，ysubgt;N－1/subgt;∈Fsupgt;m(N－1)/supgt;表现函数值y。

技术领域

本发明涉及加密技术，特别涉及秘密计算技术。

背景技术

秘密分散方式之一有沙米尔(Shamir)秘密分散法(例如，参照非专利文献1等)。

现有技术文献

非专利文献

非专利文献1：A.Shamir,How to Share a Secret,Communications of theACM,November 1979,Volume 22,Number 11,pp.612-613.

发明内容

发明要解决的课题

秘密计算装置可以直接使用依照沙米尔秘密分散法得到的份额进行秘密计算。但是，在该份额被分散到N个秘密计算装置的情况下，份额的总数据量成为明文的数据量的N倍的数量级(order)。因此，在将该份额直接发送到N个秘密计算装置时，总通信数据量也成为明文的数据量的N倍的数量级。

本发明的目的是，提供生成与依照沙米尔秘密分散法的份额相比总通信数据量小、且可变换为依照沙米尔秘密分散法的份额的份额的技术，或者将总通信数据量比依照沙米尔秘密分散法的份额小的份额变换为依照沙米尔秘密分散法的份额的技术。

用于解决课题的方案

份额生成装置获得N个种子s₀，…，s_N－1，获得明文x∈F^m以及函数值e的函数值y＝g(x，e)∈F^m，得到并输出包含元素y_i∈F^m(i)和对于d∈{0，…，N－1}且d≠i的N－1个种子s_d的信息，作为秘密分散中的明文x的份额SS_i。其中，N为2以上的整数，m为1以上的整数，m(i)为0以上的整数，i＝0，…，N－1，P为函数，函数P的值域属于将m个域F的原始列设为元素的集合F^m，P(s₀)，…，P(s_N－1)∈F^m为种子s₀，…，s_N－1的函数值，e＝f(P(s₀)，…，P(s_N－1))∈F^m为函数值P(s₀)，…，P(s_N－1)∈F^m的函数值，函数值y通过满足m＝m(0)+…+m(N－1)的元素y₀∈F^m(0)，…，y_N－1∈F^m(N－1)来表现。