1．背　　　　　景

　1978年，Rivest，Adleman，Dertouzosは秘匿準同形性という概念を提唱した(1)．後に暗号の準同形性と呼ばれる概念である．この章では，この秘匿準同形性を振り返り，委託計算への応用を述べる．

 （１） 委託計算

　1970年代後半，計算機は非常に高価であり，大規模な計算を行うために大形計算機を時間借りすることが多くあった．タイムシェアリングシステム（TSS: Time Sharing System）と呼ばれ，商用サービスになっていた．

　あるクライアントがデータを大量に持っているとしよう．このデータには営業上の秘密や個人情報，機微情報などが含まれている．例えば，店舗のPOSデータや顧客情報，病院の診療情報などである．このクライアントはデータについて統計的な処理をしたい．しかし，クライアントが所有する計算機は貧弱であり，統計的な処理に時間が掛かってしまう．そこで，大形計算機を時間借りして統計的処理を行おうとした．

　クライアントが保有するデータには漏えいしてはならない情報が含まれているため，大形計算機にそのままデータを送ることはできない．したがって，データを暗号化して大形計算機に送る必要がある．暗号化方式として安全な共通鍵暗号（例えばAES）を採用したとしよう．クライアントは秘密鍵を生成し，その秘密鍵でデータを暗号化し，暗号文を大形計算機に送る．

　秘密鍵を大形計算機に渡さないとしよう．大形計算機は暗号文しか持っていないため，データに対して演算を行うことができない．したがって，クライアントの目的は達成されない．

　次に秘密鍵を大形計算機に渡したとしよう．大形計算機は暗号文を復号し，データに対して演算を行い演算結果を得る．演算結果を秘密鍵で暗号化した暗号文をクライアントに送る．クライアントはを復号し，演算結果を得る．

　この状況では，大形計算機のメモリ上にデータが載っている．そのため，大形計算機の管理者には機微情報が漏えいしていることになる．現実的な状況では，大形計算機の管理者と秘密保持契約を結び，管理者を信頼できることにすればよい．しかし，暗号学者は杞人のように心配性である．大形計算機の管理者は，正直に計算を行うであろうが悪意を持っていると考える．よって，管理者に秘密鍵を渡すことは許せない．

　以上の状況を解決するには，暗号化したまま演算を行えるような暗号方式があればよい．Rivestらは「暗号化したまま演算を行える」という性質を「秘匿準同形性（Privacy Homomorphism）」として定式化した．