小特集 1. 完全準同形暗号の概要

電子情報通信学会 - IEICE会誌 試し読みサイト
Vol.99 No.12 (2016/12) 目次へ

前の記事へ次の記事へ


小特集 1.

完全準同形暗号の概要

Fully Homomorphic Encryption

草川恵太

草川恵太 正員 日本電信電話株式会社NTTセキュアプラットフォーム研究所

Keita XAGAWA, Member (NTT Secure Platform Laboratories, NIPPON TELEGRAPH AND TELEPHONE CORPORATION, Musashino-shi, 180-8585 Japan).

電子情報通信学会誌 Vol.99 No.12 pp.1151-1158 2016年12月

©電子情報通信学会2016

abstract

 1970年代後半,数論に基づく公開鍵暗号の発祥当時から,暗号の準同形性が考察されていた.その中で,多様な計算を許す「完全準同形性」という概念が提案されたが,構成できるかどうか長らく未解決問題であった.2009年に具体的な方式が提案され,研究が一気に進展した.

 本稿では,完全準同形暗号の性質とそれを支える数学的問題についての概要を解説する.

キーワード:暗号,準同形性,完全準同形性,格子問題

1.背     景

 1978年,Rivest,Adleman,Dertouzosは秘匿準同形性という概念を提唱した(1).後に暗号の準同形性と呼ばれる概念である.この章では,この秘匿準同形性を振り返り,委託計算への応用を述べる.

 (1) 委託計算

 1970年代後半,計算機は非常に高価であり,大規模な計算を行うために大形計算機を時間借りすることが多くあった.タイムシェアリングシステム(TSS: Time Sharing System)と呼ばれ,商用サービスになっていた.

 あるクライアントがデータを大量に持っているとしよう.このデータには営業上の秘密や個人情報,機微情報などが含まれている.例えば,店舗のPOSデータや顧客情報,病院の診療情報などである.このクライアントはデータについて統計的な処理をしたい.しかし,クライアントが所有する計算機は貧弱であり,統計的な処理に時間が掛かってしまう.そこで,大形計算機を時間借りして統計的処理を行おうとした.

 クライアントが保有するデータには漏えいしてはならない情報が含まれているため,大形計算機にそのままデータを送ることはできない.したがって,データを暗号化して大形計算機に送る必要がある.暗号化方式として安全な共通鍵暗号(例えばAES)を採用したとしよう.クライアントは秘密鍵を生成し,その秘密鍵でデータmathを暗号化し,暗号文mathを大形計算機に送る.

 秘密鍵を大形計算機に渡さないとしよう.大形計算機は暗号文mathしか持っていないため,データに対して演算を行うことができない.したがって,クライアントの目的は達成されない.

 次に秘密鍵を大形計算機に渡したとしよう.大形計算機は暗号文mathを復号し,データmathに対して演算を行い演算結果mathを得る.演算結果mathを秘密鍵で暗号化した暗号文mathをクライアントに送る.クライアントはmathを復号し,演算結果mathを得る.

 この状況では,大形計算機のメモリ上にデータmathが載っている.そのため,大形計算機の管理者には機微情報が漏えいしていることになる.現実的な状況では,大形計算機の管理者と秘密保持契約を結び,管理者を信頼できることにすればよい.しかし,暗号学者は杞人のように心配性である.大形計算機の管理者は,正直に計算を行うであろうが悪意を持っていると考える.よって,管理者に秘密鍵を渡すことは許せない.

 以上の状況を解決するには,暗号化したまま演算を行えるような暗号方式があればよい.Rivestらは「暗号化したまま演算を行える」という性質を「秘匿準同形性(Privacy Homomorphism)」として定式化した.


続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。


続きを読む(PDF)   バックナンバーを購入する    入会登録


  

「電信情報通信学会 - IEICE会誌」アプリをダウンロード

  Google Play で手に入れよう

本サイトでは会誌記事の一部を試し読み用として提供しています。