WO2024247040A1

WO2024247040A1 - 秘密計算装置、秘密分散システム、秘密分散復旧方法、及びプログラム

Info

Publication number: WO2024247040A1
Application number: PCT/JP2023/019913
Authority: WO
Inventors: 順子橋本; 寿春岸
Original assignee: 日本電信電話株式会社
Priority date: 2023-05-29
Filing date: 2023-05-29
Publication date: 2024-12-05

Abstract

開示技術の秘密計算装置は、記憶部と、テーブル共有手段と、コミットずれ検知部と、秘密分散値復旧部を備える。記憶部は平文のコミット履歴テーブルを記憶し、テーブル共有手段により、他の秘密計算装置とコミット履歴テーブルを共有する。コミットずれ検知部は、共有した前記コミット履歴テーブルに基づき、コミットが不整合である秘密分散テーブルを抽出する。秘密分散値復旧部は、コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置の秘密分散テーブルから未コミットの秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施し、コミット済の秘密計算装置の数がｋ台未満、かつ未コミットの秘密計算装置の数がｋ台以上の場合、未コミットの秘密計算装置の秘密分散テーブルからコミット済の秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施する。

Description

秘密計算装置、秘密分散システム、秘密分散復旧方法、及びプログラム

　開示技術は、秘密分散したデータを格納した秘密分散システムが、障害発生時に復旧する方法に関する。

　一般的な暗号方式では、秘匿したいデータを暗号化して秘密計算装置に格納していても、その値を用いて計算を行う際には、復号を行ってから計算を行う。
　これに対し、データを暗号化したまま計算を行うことができる技術として、参考文献１（千田浩司、他、「軽量検証可能３パーティ秘匿関数計算の再考」、CSS 2010）の秘密計算技術がある。参考文献１には、１つの数値を複数の暗号化されたシェアに変換し、N台の秘密計算装置が各々シェアを持ち、各自、自身のシェアの情報は漏らさずに、加算、乗算、論理演算などを行う、マルチパーティプロトコルが開示されている。

　(k,N)秘密分散システムでは、N個のシェアのうち、k個のシェアがあれば、元の値を復元することができる。そのため各秘密計算装置は、自身のシェアをほかの秘密計算装置に漏らさないことが安全性の前提となっている（情報理論的安全性）。
　したがって、k以上の秘密計算装置が攻撃されるケースについては、シェアを守ることはできないが、k未満の秘密計算装置が攻撃されるケースを想定し、安全性を保つよう設計することが可能である。

　攻撃者は、攻撃の内容により、パッシブな攻撃者とアクティブな攻撃者に分類できる。
　パッシブな攻撃者は、データの覗き見だけを行う。秘密計算においては、自身のデータに加え、秘密計算過程で入手するデータも覗き見対象となり、これらのデータから元の値に関する情報や元の値そのものを得ようとする。semi-honest 若しくは honest-but-curious とも呼ばれる。
　アクティブな攻撃者は、データの覗き見に加え、改ざんや、プロトコルに規定されない任意の動作(不要なデータの送信など)を行う。秘密計算においては、自身のデータ及び秘密計算過程で入手するデータを改ざんするため、他の秘密計算秘密計算装置が受信するデータが改ざん値となり、不正な計算結果を出力させる、もしくは、元の値に関する情報や元の値そのものを得ようとする。malicious とも呼ばれる。

　activeな攻撃者にk未満の秘密計算装置が攻撃され、シェアが改ざんされたケースを想定し、N台の秘密計算装置のシェアから、不整合検知を行う秘密計算プロトコルが提案されている（特許文献１）。このプロトコルでは、N>=2k-1の場合に、不整合検知を行うことができ、N>=2kの場合に、改ざんされたシェア（秘密計算装置）の特定を行うことができる。

公開特許公報　特開２０１６－１４５８８０

　一般的なDBシステムで、障害が発生した場合の選択肢は以下の通りである。
（１）復旧後、DBのロールバックもしくはロールフォワードを行い、仕掛中処理を実行する前もしくは後の状態に戻る
（２）アクティブ／スタンバイ構成でスタンバイ機に切り替え、DBの状態としては、仕掛中処理を実行する前もしくは後の状態に戻る
（３）バックアップデータからの復旧を行い、バックアップデータがある最新状態に戻る

　秘密分散システムのうち、x台の秘密計算装置に障害が発生した場合、障害時の秘密計算装置再起動、アクティブ／スタンバイ切替時などに、障害機自体のDB状態だけを復旧すればよいわけではなく、障害が発生していないほかのN-x台との整合性をとり、復旧後、N台の秘密計算装置間でDBの不整合が発生しないようにしなければならない。
　秘密分散システムでは、正常時にも、N台の秘密計算装置間でDBの整合性をとっておくために、DBアクセスの順番や、タイミングを合わせながら実行していると考えられる。しかし、N台のうちx台で障害が発生した場合には、障害発生のタイミングによりコミットずれが発生してしまう。

　なお、本明細書で使用する「コミット」とは、一般的な意味での１台のDBのコミット操作を言う。また「コミットずれ」とは、N台の秘密計算装置において、同一リクエストに対するDBのコミット操作が完了した秘密計算装置（コミット済の秘密計算装置）と、未完了の秘密計算装置（未コミットの秘密計算装置）が混在することを言う。

　コミットずれが生じているかどうかを検出する方法としては、前述した不整合検知秘密計算プロトコルを用いる方法がある。これを用いた場合、k+1台以上のDBがコミット済の場合は未コミットのシェアを特定することができるが、k台のDBがコミット済の場合には、破損したシェアを特定することができない。図１を用いてこの様子を説明する。

　まず、シャミア秘密分散について簡単に説明する。
＜秘密分散＞
　秘匿したい情報をsとする。定数項がsであるk-1次関数f(x)を作る。f(x)が通る点の座標(x_ｉ,f(x_ｉ))(i=1,2,...,N, N>k)をシェアとする。これをシャミアの(k,N)秘密分散と呼ぶ。
＜情報の復元＞
　N個のシェアから任意のk個の座標を取得する。座標を全て通るk-1次関数f(x)を求める。f(0)が秘匿情報である。

　図１(a)は、(k,N)=(2,4)の秘匿情報とシェアの関係を例示したものである。１０１が秘匿情報、１０２から１０５が各秘密計算装置に配布されるシェアである。
　図１(b)は、(k,N)=(2,3)の秘匿情報とシェアの関係を例示したものである。１０６が秘匿情報、１０７から１０９が各秘密計算装置に配布されるシェアである。
　どちらもk-1=1なので、シェアは直線（一次関数）に乗っている。

　図１(a-2)、(b-2)は、コミットずれにより、シェアの不整合が起きた様子を示す。
　(a-2)では、シェア１０２、１０３、１０５が同一の直線上にあるので、シェア１０４－１が不整合であることが分かり、(a-2)に示す通り、x_ｉの値からシェアを復元することができる。
　(b-2)の場合、シェア１０７、１０８－１、１０９が同一の直線上にないので、不整合が起きていることは分かる。しかし、シェアが２つあれば一次関数が定まるので、どのシェアが不整合であるかは分からない。

　他に、特許文献１による不整合検知では、対象となるデータサイズが大きい場合、処理に時間がかかることも想定される。

　上記課題を解決するため、開示技術に係る秘密計算装置は、記憶部と、テーブル共有手段と、コミットずれ検知部と、秘密分散値復旧部を備える。
　記憶部は平文のコミット履歴テーブルを記憶し、テーブル共有手段により、他の秘密計算装置とコミット履歴テーブルを共有する。
　コミットずれ検知部は、共有した前記コミット履歴テーブルに基づき、コミットが不整合である秘密分散テーブルを抽出する。
　秘密分散値復旧部は、コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置の秘密分散テーブルから未コミットの秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施し、コミット済の秘密計算装置の数がｋ台未満、かつ未コミットの秘密計算装置の数がｋ台以上の場合、未コミットの秘密計算装置の秘密分散テーブルからコミット済の秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施する。

　開示技術によれば、障害発生などにより、N台の秘密計算装置間にコミットずれが発生した場合、秘密分散値を平文に復元することなく、N台の秘密計算装置のDBの整合性を取ることができる。コミット履歴テーブル自体のサイズは小さいことが想定され、かつコミット履歴テーブルにより復旧対象テーブルを特定できるため、処理時間を短縮することができる。

従来技術の問題点と解決方法の概要を説明する図。第１実施形態に係る秘密分散システムの構成図。第１実施形態に係る秘密計算装置の機能ブロック図。第１実施形態の障害復旧手順を具体例により説明する図。第１実施形態の秘密計算装置の作用を説明するフローチャート図。第１実施形態の平文復旧部の作用を説明するフローチャート図。第１実施形態の秘密分散値復旧部の作用を説明するフローチャート図。第２実施形態に係る秘密計算装置の作用を説明するフローチャート図。コンピュータの機能構成例を示す図。

　以下、開示技術の実施形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

［開示技術のポイント］
　引き続き図１を用いて開示技術のポイントを説明する。
　特許文献１の技術では、k+1台以上のDBがコミット済の場合は未コミットのシェアを特定することができるが、k台のDBがコミット済の場合には、破損したシェアを特定することができなかった。これは、破損したシェアを秘密計算により特定しようとしたためである。

　開示技術では、平文の「コミット履歴テーブル」を新たに用意し、これにより秘密計算装置間のコミットずれを把握して復旧すべきシェアを特定する。
　図１(a-3)と(b-3)に示したように、復旧すべきシェア（１０４－１や１０８－１）が特定できれば、整合性が取れたシェアが従う直線上に、不整合なシェアを復元することができる。

［記法］
　開示技術における記法について説明する。
　N台（N≧2）の秘密計算装置S_０，S_１，．．．，S_Ｎ－１において、秘匿したい値a∈Z_ｎを暗号化した値(秘密分散値)を[a]_ｉ∈Z_ｎとする。Z_ｎは0からnまでの整数の集合（nは1以上の整数）からなる有限環である。しかし、各S_ｉにてアルゴリズムは共通となるため、アルゴリズムの記法としては、iを意識せず[a]_ｉを[a]と表記する。
（１）暗号化（秘密分散）したテーブルTを、[T]と表記する。
（２）秘密計算装置S_ｉが記憶する平文テーブルT_ｊをS_ｉ.T_ｊと表記する。
（３）秘密計算装置S_ｉが記憶する暗号化テーブル[T_ｊ]をS_ｉ.[T_ｊ]と表記する。
（４）ｊ≧ｋとして、S_０.[T_ｉ],S_１.[T_ｉ],..., S_ｊ.[T_ｉ]から任意のｋ個を選択し、そのｋ個の秘密分散値から、新たな秘密分散値を作成する処理を「秘匿再生処理」と呼ぶ。

［第１実施形態］
　図２は、開示技術の第１実施形態に係る秘密分散システムの構成例を示す図である。秘密分散システム２はN台（N≧3）の秘密計算装置S_０,..,S_ｉ,..,S_Ｎ－１がネットワーク２０２を介して接続されている。
　各秘密計算装置２０１は、秘匿したいテーブルT_０,T_１,..,T_ｘ－１を暗号化（秘密分散）した[T_０],[T_１],..,[T_ｘ－１]、および平文のテーブルを保管する記憶部を持ち、k個の秘密分散値により、元の値が復元できる秘密分散システムを構成するものとする。

　図３は、１台の秘密計算装置２０１の構成例を示す機能ブロック図である。秘密計算装置２０１は、コミットずれ検知部３０１、平文復旧部３０２、秘密分散値復旧部３０３、通信部３０４、データ記憶部３０５を備える。
　秘密計算装置２０１は、通信部３０４により他の秘密計算装置と連携して、乗算や論理演算などを行う。
　データ記憶部３０５は、テーブルT_０,T_１,..,T_ｘ－１を暗号化（秘密分散）した[T_０],[T_１],..,[T_ｘ－１]を保管する。
　データ記憶部は、また、秘密計算リクエストに対する、コミット済／未コミットの状態を管理する平文のコミット履歴テーブルを記憶する。図４に、秘密計算装置３台分のコミット履歴テーブルを例示する。コミット履歴テーブルは、秘密計算リクエスト識別子（リクエストID）、コミット対象テーブル、コミットの処理日時を管理する。

＜秘密分散復旧手順の具体例＞
　図４を用いて、(k, N)=(2, 3)の場合の秘密分散復旧手順を具体例により説明する。

＜コミット履歴テーブルの共有＞
　まず、秘密計算装置１、２、３でそれぞれ管理するコミット履歴テーブルを共有する。

＜不整合レコードの抽出＞
　次に、コミット状態が整合していないレコードを抽出する。
　リクエストIDが1000のレコードは、３台ともコミット済であり、整合している。
　リクエストIDが1001のレコードは、３台とも未コミットであり、整合している。
　リクエストIDが1002のレコードは、コミット済が２台、未コミットが１台であり、整合していない。従って、テーブルＣは復旧対象である。

＜復旧方法の決定＞
　第１実施形態では、次の考え方でテーブルを復旧する。
（１）テーブルがシェアを含む場合
（１－１）コミット済の秘密計算装置がk台以上の場合、コミット済の秘密計算装置のシェアから未コミットの秘密計算装置のシェアを復元し、未コミットの秘密計算装置のDBを上書きする（ロールフォワード）。
（１－２）コミット済の秘密計算装置がk台未満で、未コミットの秘密計算装置がk台以上の場合、未コミットの秘密計算装置のシェアからコミット済の秘密計算装置のシェアを復元し、コミット済の秘密計算装置のDBを上書きする（ロールバック）。

（２）テーブルがシェアを含まない場合
（２－１）コミット済の秘密計算装置がk台以上の場合、コミット済の秘密計算装置からデータをコピーし、未コミットの秘密計算装置のDBを上書きする（ロールフォワード）。
（２－２）コミット済の秘密計算装置がk台未満の場合、未コミットの秘密計算装置からデータをコピーし、コミット済の秘密計算装置のDBを上書きする（ロールバック）。

　すると、テーブルＣは上記（１－１）に該当するので、秘密計算装置１，２（コミット済）のシェアから秘密計算装置３（未コミット）のシェアを復元し、秘密計算装置３のDBを上書きする。
　なお、シェアの復旧には既存技術を利用すればよい。例えば、参考文献２（特許第５９６８４号公報）に記載の、シェア復旧方法が利用できる。

　次の、リクエストIDが1003のレコードも同様に処理する。
　テーブルＤは、コミット済が１台、未コミットが２台であり、整合していない。そしてデータは「シェア」なので、不整合状態は上記（１－２）に該当する。そこで、秘密計算装置２、３（未コミット）のシェアから秘密計算装置１（コミット済）のシェアを復元し、秘密計算装置１のDBを上書きする。

　次の、リクエストIDが1004のレコードも同様に処理する。
　テーブルＥは、コミット済が１台、未コミットが２台であり、整合していない。そしてデータは「平文」なので、不整合状態は上記（２－２）に該当する。そこで、密計算装置２、３（未コミット）からデータをコピーし、秘密計算装置１（コミット済）のDBを上書きする。

　以上を一般化した手順を説明する。
　図５は、秘密計算装置２０１の作用の一例を説明するフローチャートである。
　図６は、平文復旧部３０２の作用の一例を説明するフローチャートである。
　図７は、秘密分散値復旧部３０３の作用の一例を説明するフローチャートである。

　ある秘密計算リクエストR_ｉについて、コミット対象をT_ｉ、コミット済みの秘密計算装置数をｊ、コミット済みの秘密計算装置をS_ｃ０, S_ｃ１,..., S_ｃｊ、未コミットの秘密分散値をS_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}とする。また、コミット履歴テーブルをT_ｃｏｍとする。

＜コミット履歴テーブルの共有＞
　各秘密計算装置は、他の秘密計算装置に、自身のコミット履歴テーブルを送信して共有する（ステップＳ５０１）。つまり、各秘密計算装置は、S_ｃ０.T_ｃｏｍ,S_ｃ１.T_ｃｏｍ,..., S_ｃｊ.T_ｃｏｍ, S_ｕ０.T_ｃｏｍ,S_ｕ１.T_ｃｏｍ,..., S_{ｕ（Ｎ－ｊ）}.T_ｃｏｍを共有する。
　なお、コミット履歴テーブルは、所定の秘密計算装置S_ｘに集約した後、S_ｘから各秘密計算装置に送信することとしても良い。

＜不整合レコードの抽出＞
　コミットずれ検知部３０１は、コミットが整合していないレコードを１つ抽出する（ステップＳ５０２）。

＜コミット済の秘密計算装置のカウント＞
　コミットずれ検知部３０１は、コミット済の秘密計算装置の数をカウントする。カウント結果はｊである（ステップＳ５０３）。

＜データ種別の判定＞
　コミットずれ検知部３０１は、復旧対象テーブルが、シェアデータを含むテーブルか否かを判定し（ステップＳ５０４）、Ｙｅｓなら復旧対象テーブルを平文復旧部に、Ｎｏなら秘密分散値復旧部に出力する。

＜平文テーブル復旧処理＞
　平文復旧部３０２はｊがｋ以上か判定し（ステップＳ５０５）、Ｙｅｓの場合、第１平文復旧処理（後述）を、Ｎｏの場合、第２平文復旧処理（後述）を実施する。

＜シェアテーブル復旧処理＞
　秘密分散値復旧部３０３はｊがｋ以上か判定し（ステップＳ５０８）、Ｙｅｓの場合、第１シェア復旧処理（後述）を実施する。
　ステップＳ５０８がＮｏの場合、秘密分散値復旧部３０３は（Ｎ－ｊ）がｋ以上か判定し（ステップＳ５１０）、Ｙｅｓの場合、第２シェア復旧処理（後述）を実施する。
　ステップＳ５１０がＮｏの場合、シェア復旧処理はできないので、例えば、バックアップデータからの復旧を行う。

＜第１平文復旧処理＞
　図６（ａ）は、図５の「第１平文復旧処理」を説明するフローチャートである。第１平文復旧処理は、平文の復旧対象テーブルをコミット済にロールフォワードする処理である。
　平文復旧部３０２は、自秘密計算装置のコミット履歴テーブルで復旧対象テーブルがコミット済か否かを判定する（ステップＳ６０１）。Ｙｅｓの場合、復旧対象テーブルを、未コミットの秘密計算装置に送信し（ステップＳ６０２）、第１平文復旧処理を終了する。つまり、自秘密計算装置はS_ｃ０, S_ｃ１,..., S_ｃｊのいずれかであり、S_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}にS_ｃ０.T_ｉ,S_ｃ１.T_ｉ,..., S_ｃｊ.T_ｉのいずれかを送信する。
　Ｎｏの場合、復旧対象テーブルをコミット済の装置から受信し（ステップＳ６０３）、受信データの整合性をチェックする（ステップＳ６０４）。つまり、自秘密計算装置はS_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}のいずれかであり、S_ｃ０.T_ｉ,S_ｃ１.T_ｉ,..., S_ｃｊ.T_ｉを受信し、受信データが全て一致するか確認する。
　ステップＳ６０４でＹｅｓの場合、平文復旧部３０２は、受信したテーブルを復旧対象テーブルに反映（コピー）し（ステップＳ６０５）、コミット履歴テーブルの内容を「コミット済」に更新し（ステップＳ６０６）、第１平文復旧処理を終了する。

＜第２平文復旧処理＞
　図６（ｂ）は、図５の「第２平文復旧処理」を説明するフローチャートである。第２平文復旧処理は、平文の復旧対象テーブルを未コミットにロールバックする処理である。
　平文復旧部３０２は、自秘密計算装置のコミット履歴テーブルで復旧対象テーブルが未コミットか否かを判定する（ステップＳ６１１）。Ｙｅｓの場合、復旧対象テーブルを、コミット済の秘密計算装置に送信し（ステップＳ６１２）、第２平文復旧処理を終了する。つまり、自秘密計算装置はS_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}のいずれかであり、S_ｃ０.T_ｉ,S_ｃ１.T_ｉ,..., S_ｃｊ.T_ｉにS_ｕ０.T_ｉ,S_ｕ１.T_ｉ,..., S_{ｕ（Ｎ－ｊ）}.T_ｉのいずれかを送信する。
　Ｎｏの場合、復旧対象テーブルを未コミットの装置から受信し（ステップＳ６１３）、受信データの整合性をチェックする（ステップＳ６１４）。つまり、自秘密計算装置はS_ｃ０, S_ｃ１,..., S_ｃｊのいずれかであり、S_ｕ０.T_ｉ,S_ｕ１.T_ｉ,..., S_{ｕ（Ｎ－ｊ）}.T_ｉを受信し、受信データが全て一致するか確認する。
　ステップＳ６１４でＹｅｓの場合、平文復旧部３０２は、受信したテーブルを復旧対象テーブルに反映（コピー）し（ステップＳ６１５）、コミット履歴テーブルの内容を「未コミット」に更新し（ステップＳ６１６）、第２平文復旧処理を終了する。

＜第１シェア復旧処理＞
　図７（ａ）は、図５の「第１シェア復旧処理」を説明するフローチャートである。第１シェア復旧処理は、シェアを含む復旧対象テーブルをコミット済にロールフォワードする処理である。
　秘密分散値復旧部３０３は、自秘密計算装置のコミット履歴テーブルで復旧対象テーブルがコミット済か否かを判定する（ステップＳ７０１）。Ｙｅｓの場合、シェアデータを提供する立場で秘匿再生処理を実施し（ステップＳ７０２）、第１シェア復旧処理を終了する。つまり、自秘密計算装置はS_ｃ０, S_ｃ１,..., S_ｃｊのいずれかであり、S_ｃ０.[T_ｉ],S_ｃ１.[T_ｉ],..., S_ｃｊ.[T_ｉ]から選択されたｋ個の値を用いて秘匿再生プロトコルを実施する。
　Ｎｏの場合、シェア再生用データを受信する立場で秘匿再生成処理を実施し（ステップＳ７０３）、受信データの整合性をチェックする（ステップＳ７０４）。つまり、自秘密計算装置はS_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}のいずれかであり、S_ｃ０, S_ｃ１,..., S_ｃｊから再生用データを受信する立場で秘匿再生プロトコルを実施する。
　整合性チェックで問題なければ（ステップS７０４のＯＫ）、秘密分散値復旧部３０３は、再生成したデータを復旧対象テーブルに反映し（ステップＳ７０５）、コミット履歴テーブルの内容を「コミット済」に更新し（ステップ７６０６）、第１シェア復旧処理を終了する。

＜第２シェア復旧処理＞
　図７（ｂ）は、図５の「第２シェア復旧処理」を説明するフローチャートである。第２シェア復旧処理は、シェアを含む復旧対象テーブルを未コミットにロールバックする処理である。
　秘密分散値復旧部３０３は、自秘密計算装置のコミット履歴テーブルで復旧対象テーブルが未コミットか否かを判定する（ステップＳ７１１）。Ｙｅｓの場合、シェアデータを提供する立場で秘匿再生処理を実施し（ステップＳ７１２）、第２シェア復旧処理を終了する。つまり、自秘密計算装置はS_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}のいずれかであり、S_ｕ０.[T_ｉ],S_ｕ１.[T_ｉ],..., S_ｕｊ.[T_ｉ]から選択されたｋ個の値を用いて秘匿再生処理を実施する。
　Ｎｏの場合、シェア再生用データを受信する立場で秘匿再生成処理を実施し（ステップＳ７１３）、受信データの整合性をチェックする（ステップＳ７１４）。つまり、自秘密計算装置はS_ｃ０, S_ｃ１,..., S_ｃｊのいずれかであり、S_ｕ０, S_ｕ１,...,S_{ｕ(Ｎ－ｊ)}から再生用データを受信する立場で秘匿再生プロトコルを実施する。
　整合性チェックで問題なければ（ステップS７１４のＯＫ）、秘密分散値復旧部３０３は、再生成したデータを復旧対象テーブルに反映し（ステップＳ７１５）、コミット履歴テーブルの内容を「未コミット」に更新し（ステップ７１６）、第２シェア復旧処理を終了する。

　以上が、第１実施形態に係る秘密計算装置と秘密分散復旧方法の説明である。

［第２実施形態］
　平文テーブルの復旧に関し、第１実施形態では、コミット済の秘密計算装置の数がｋ以上か否かで平文テーブルをロールフォワードするかロールバックするか決定した。
　これに替えて、コミット済の秘密計算装置が１台でもあれば、ロールフォワードする構成としてもよい。なお、コミット済が１台もない状況は、テーブルが未コミットの状態として整合した状態である。

　第２実施形態に係る秘密計算装置の機能ブロック図は第１実施形態と同様である（図３）。
　図８は、第２実施形態に係る秘密計算装置２０１の作用の一例を説明するフローチャートである。ステップＳ５０１からステップＳ５０４は第１実施形態と同様である。

＜平文テーブル復旧処理＞
　ステップＳ５０４で、復旧対象テーブルが平文であると判定された場合、平文復旧部３０２は第１平文復旧処理を実施する（ステップＳ５０６）。
　第１平文復旧処理は、第１実施形態と同様である。

＜シェアテーブル復旧処理＞
　第２実施形態に係る秘密分散値復旧部３０３の処理は、第１実施形態と同様である。

　以上が、第２実施形態に係る秘密計算装置と秘密分散復旧方法の説明である。

［プログラム、記録媒体］
　上述の各種の処理は、図９に示すコンピュータ２０００の記録部２０２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部２０１０、入力部２０３０、出力部２０４０、表示部２０５０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

２０１　秘密計算装置
２０２　ネットワーク
３０１　コミットずれ検知部
３０２　平文復旧部
３０３　秘密分散値復旧部
３０４　通信部
３０５　データ記憶部
２０００　コンピュータ
２０１０　制御部
２０２０　記録部
２０３０　入力部
２０４０　出力部
２０５０　表示部

Claims

　ｋ個のシェアから元の値が復元できる秘密分散システムを構成する複数の秘密計算装置のうちの１台で実施される秘密分散復旧方法であって、
　平文のコミット履歴テーブルを他の秘密計算装置と共有するステップと、
　共有した前記コミット履歴テーブルに基づき、コミットが不整合である秘密分散テーブルを抽出するステップと、
　コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置の秘密分散テーブルから未コミットの秘密計算装置の秘密分散テーブルを再生成して上書きする処理を、他の秘密計算装置と連携して実施するステップと、
　コミット済の秘密計算装置の数がｋ台未満、かつ未コミットの秘密計算装置の数がｋ台以上の場合、未コミットの秘密計算装置の秘密分散テーブルからコミット済の秘密計算装置の秘密分散テーブルを再生成して上書きする処理を、他の秘密計算装置と連携して実施するステップと、
　を含む秘密分散復旧方法。
　ｋ個のシェアから元の値が復元できる秘密分散システムを構成する複数の秘密計算装置のうちの１台で実施される秘密分散復旧方法であって、
　平文のコミット履歴テーブルを他の秘密計算装置と共有するステップと、
　共有した前記コミット履歴テーブルに基づき、コミットが不整合である平文テーブルを抽出するステップと、
　コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置のテーブルで未コミットの秘密計算装置のテーブルを上書きする処理を、他の秘密計算装置と連携して実施するステップと、
　コミット済の秘密計算装置の数がｋ台未満の場合、未コミットの秘密計算装置のテーブルでコミット済の秘密計算装置のテーブルを上書きする処理を、他の秘密計算装置と連携して実施するステップと、
　を含む秘密分散復旧方法。
　請求項１または２に記載の秘密分散復旧方法であって、
　前記コミット履歴テーブルのレコードは、コミット対象テーブル名と、コミット処理の実施済／未実施を記録するフィールドを有し、
　前記上書き処理の後、前記コミット履歴テーブルを、コミット済から未コミットに、または未コミットからコミット済に更新するステップと
　を含む秘密分散復旧方法。
　ｋ個のシェアから元の値が復元できる秘密分散システムを構成する秘密計算装置であって、
　平文のコミット履歴テーブルを記憶する記憶部と、
　他の秘密計算装置とコミット履歴テーブルを共有する手段と、
　共有した前記コミット履歴テーブルに基づき、コミットが不整合である秘密分散テーブルを抽出するコミットずれ検知部と、
　コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置の秘密分散テーブルから未コミットの秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施し、コミット済の秘密計算装置の数がｋ台未満、かつ未コミットの秘密計算装置の数がｋ台以上の場合、未コミットの秘密計算装置の秘密分散テーブルからコミット済の秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施する秘密分散値復旧部と
　を備えた秘密計算装置。
　ｋ個のシェアから元の値が復元できる秘密分散システムを構成する秘密計算装置であって、
　平文のコミット履歴テーブルを記憶する記憶部と、
　他の秘密計算装置のコミット履歴テーブルを共有する手段と、
　共有した前記コミット履歴テーブルに基づき、コミットが不整合である平文テーブルを抽出するコミットずれ検知部と、
　コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置のテーブルで未コミットの秘密計算装置のテーブルを上書きする処理を他の秘密計算装置と連携して実施し、コミット済の秘密計算装置の数がｋ台未満の場合、未コミットの秘密計算装置のテーブルでコミット済の秘密計算装置のテーブルを上書きする処理を他の秘密計算装置と連携して実施する平文復旧部と
　を備えた秘密計算装置。
　請求項４または５に記載の秘密計算装置であって、
　前記コミット履歴テーブルのレコードは、コミット対象テーブル名と、コミット処理の実施済／未実施を記録するフィールドを有し、
　前記上書き処理の後、前記秘密分散値復旧部または前記平文復旧部は、前記コミット履歴テーブルを、コミット済から未コミットに、または未コミットからコミット済に更新する
　ことを特徴とする秘密計算装置。
　複数の秘密計算装置からなり、ｋ個のシェアから元の値が復元できる秘密分散システムであって、
　各秘密計算装置は
　平文のコミット履歴テーブルを記憶する記憶部と、
　他の秘密計算装置のコミット履歴テーブルを取得する手段と、
　共有した前記コミット履歴テーブルに基づき、コミットが不整合である秘密分散テーブルを抽出するコミットずれ検知部と、
　コミット済の秘密計算装置の数がｋ台以上の場合、コミット済の秘密計算装置の秘密分散テーブルから未コミットの秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施し、コミット済の秘密計算装置の数がｋ台未満、かつ未コミットの秘密計算装置の数がｋ台以上の場合、未コミットの秘密計算装置の秘密分散テーブルからコミット済の秘密計算装置の秘密分散テーブルを再生成して上書きする処理を他の秘密計算装置と連携して実施する秘密分散値復旧部と
　を備えることを特徴とする秘密分散システム。
　請求項１または２のいずれかに記載の秘密分散復旧方法の各ステップを、コンピュータに実行させるためのプログラム。