WO2019009180A1

WO2019009180A1 - 秘密計算システム、秘密計算装置、秘密計算方法、プログラム、および記録媒体

Info

Publication number: WO2019009180A1
Application number: PCT/JP2018/024588
Authority: WO
Inventors: 大五十嵐; 千田　浩司; 亮菊池
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2017-07-05
Filing date: 2018-06-28
Publication date: 2019-01-10
Anticipated expiration: 2020-01-05
Also published as: EP3651141A4; CN110800034A; JPWO2019009180A1; AU2018295722A1; EP3651141B1; US20200213097A1; AU2018295722B2; US11456862B2; EP3651141A1; CN110800034B; JP6713585B2

Abstract

ＰｉとＰ＋がａ＋∈｛ａ０，ａ１，ａ２｝およびｂ＋∈｛ｂ０，ｂ１，ｂ２｝を格納しており、ＰｉとＰ－がａ－∈Ａ－およびｂ－∈Ｂ－を格納している。ただし、Ｐ＋＝Ｐ（ｉ＋１）ｍｏｄ３、Ｐ－＝Ｐ（ｉ－１）ｍｏｄ３、ａ，ｂが任意値であり、ａ＝ａ０＋ａ１＋ａ２およびｂ＝ｂ０＋ｂ１＋ｂ２を満たし、Ａ－は｛ａ０，ａ１，ａ２｝におけるａ＋の補集合、Ｂ－は｛ｂ０，ｂ１，ｂ２｝におけるｂ＋の補集合である。ＰｉとＰ＋がｒ＋を共有し、ＰｉとＰ－がｒ－を共有し、Ｐｉがｃ＋＝（ａ＋＋ａ－）（ｂ＋＋ｂ－）－ａ－ｂ－＋ｒ＋－ｒ－を計算する。ＰｉはＰ＋にｃ＋を送る。

Description

秘密計算システム、秘密計算装置、秘密計算方法、プログラム、および記録媒体

　本発明は、暗号技術分野に関し、特に秘密計算技術分野に関する。

　複数の秘密計算装置間で値の受け渡しを行い、各秘密計算装置が他の秘密計算装置から受け取った値を用いて秘密乗算や秘密積和などの秘密計算を行う方式がある（例えば、特許文献１等参照）。

特許６００６８４２号公報

　しかし、特許文献１に記載された方式は加減乗算数回数およびメモリアクセス回数が多いという課題がある。

　本発明の目的は、従来よりも少ない加減乗算数回数およびメモリアクセス回数で秘密乗算または秘密積和を行う技術を提供することである。

　本発明の秘密乗算は次のように行われる。秘密計算装置Ｐ_ｉの記憶部と秘密計算装置Ｐ_＋の記憶部とがサブシェアａ_＋∈｛ａ_０，ａ_１，ａ_２｝およびｂ_＋∈｛ｂ_０，ｂ_１，ｂ_２｝を格納しており、秘密計算装置Ｐ_ｉの記憶部と秘密計算装置Ｐ_－の記憶部とがサブシェアａ_－∈Ａ_－およびｂ_－∈Ｂ_－を格納している。ただし、ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ，ｂが任意値であり、ａ_０，ａ_１，ａ_２がａ＝ａ_０＋ａ_１＋ａ_２を満たすサブシェアであり、ｂ_０，ｂ_１，ｂ_２がｂ＝ｂ_０＋ｂ_１＋ｂ_２を満たすサブシェアであり、Ａ_－は｛ａ_０，ａ_１，ａ_２｝におけるａ_＋の補集合であり、Ｂ_－は｛ｂ_０，ｂ_１，ｂ_２｝におけるｂ_＋の補集合である。秘密計算装置Ｐ_ｉの共有部と秘密計算装置Ｐ_＋の共有部とが任意値ｒ_＋を共有し、秘密計算装置Ｐ_ｉの共有部と秘密計算装置Ｐ_－の共有部とが任意値ｒ_－を共有し、秘密計算装置Ｐ_ｉの演算部がｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－を計算する。各秘密計算装置Ｐ_ｉの出力部は秘密計算装置Ｐ_＋に対してｃ_＋を出力し、秘密計算装置Ｐ_＋の入力部にｃ_＋が入力される。

　本発明の秘密積和は次のように行われる。秘密計算装置Ｐ_ｉの記憶部と秘密計算装置Ｐ_＋の記憶部とがサブシェアａ_＋（ｎ）∈｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝およびｂ_＋（ｎ）∈｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝を格納しており、秘密計算装置Ｐ_ｉの記憶部と秘密計算装置Ｐ_－の記憶部とがサブシェアａ_－（ｎ）∈Ａ_－（ｎ）およびｂ_－（ｎ）∈Ｂ_－（ｎ）を格納している。ただし、ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ（ｎ），ｂ（ｎ）が任意値であり、ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）がａ（ｎ）＝ａ_０（ｎ）＋ａ_１（ｎ）＋ａ_２（ｎ）を満たすサブシェアであり、ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）がｂ（ｎ）＝ｂ_０（ｎ）＋ｂ_１（ｎ）＋ｂ_２（ｎ）を満たすサブシェアであり、Ｎが正整数であり、ｎ＝０，…，Ｎ－１であり、Ａ_－（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝におけるａ_＋（ｎ）の補集合であり、Ｂ_－（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝におけるｂ_＋（ｎ）の補集合である。秘密計算装置Ｐ_ｉの共有部と秘密計算装置Ｐ_＋の共有部とが任意値ｒ_＋を共有し、秘密計算装置Ｐ_ｉの共有部と秘密計算装置Ｐ_－の共有部とが任意値ｒ_－を共有し、秘密計算装置Ｐ_ｉの演算部が

を計算する。各秘密計算装置Ｐ_ｉは秘密計算装置Ｐ_＋に対してｃ_＋を出力し、秘密計算装置Ｐ_＋の入力部にｃ_＋が入力される。

　これにより、従来よりも少ない加減乗算数回数およびメモリアクセス回数で秘密乗算または秘密積和を行うことができる。

図１は実施形態の秘密計算システムを例示したブロック図である。図２は実施形態の秘密計算装置を例示したブロック図である。図３は実施形態の秘密乗算を説明するための概念図である。図４は実施形態の秘密計算方法を説明するためのフロー図である。図５は実施形態の秘密積和を説明するための概念図である。図６は実施形態の秘密計算方法を説明するためのフロー図である。

　以下、図面を用いて本発明の実施形態を説明する。

　［第１実施形態］
　第１実施形態では、任意値ａ，ｂ∈Ｆの乗算ａｂ∈Ｆを秘密計算で行う（秘密乗算）。ただし、Ｆは有限体を表す。この秘密乗算では、任意値ａの秘密分散値（シェア）と任意値ｂの秘密分散値とから乗算結果ａｂの秘密分散値を得る。以下に詳細に説明する。

　＜構成＞
　図１に例示するように、本形態の秘密計算システム１は、３個の秘密計算装置１１－Ｐ_０，１１－Ｐ_１，１１－Ｐ_２（秘密計算装置Ｐ_０，Ｐ_１，Ｐ_２）を有する。秘密計算装置１１－Ｐ_０，１１－Ｐ_１，１１－Ｐ_２は、インターネットなどの通信網を通じた通信が可能なように構成されている。図２に例示するように、本形態の秘密計算装置１１－Ｐ（ただし、Ｐ∈｛Ｐ_０，Ｐ_１，Ｐ_２｝）は、記憶部１１１－Ｐ（ストレージおよびメモリ）、演算部１１２－Ｐ、制御部１１３－Ｐ、共有部１１４－Ｐ、および通信部１１５－Ｐを有する。秘密計算装置１１－Ｐは、制御部１１３－Ｐの制御のもとで各処理を実行し、各処理で得られたデータは、逐一、記憶部１１１－Ｐに格納され、必要に応じて読み出される。

　＜事前処理＞
　事前処理により、任意値ａがａ＝ａ_０＋ａ_１＋ａ_２∈Ｆを満たすサブシェアａ_０，ａ_１，ａ_２∈Ｆに秘密分散されており、任意値ｂがｂ＝ｂ_０＋ｂ_１＋ｂ_２∈Ｆを満たすサブシェアｂ_０，ｂ_１，ｂ_２∈Ｆに秘密分散されている。秘密計算装置１１－Ｐ_ｉの記憶部１１１－Ｐ_ｉはサブシェアａ_＋∈｛ａ_０，ａ_１，ａ_２｝およびｂ_＋∈｛ｂ_０，ｂ_１，ｂ_２｝を格納しており、秘密計算装置１１－Ｐ_＋の記憶部１１１－Ｐ_＋もサブシェアａ_＋およびｂ_＋を格納している。サブシェアａ_＋は｛ａ_０，ａ_１，ａ_２｝の何れか１つの要素であり、サブシェアｂ_＋は｛ｂ_０，ｂ_１，ｂ_２｝の何れか１つの要素である。秘密計算装置１１－Ｐ_ｉの記憶部１１１－Ｐ_ｉはサブシェアａ_－∈Ａ_－およびｂ_－∈Ｂ_－を格納しており、秘密計算装置１１－Ｐ_－の記憶部１１１－Ｐ_－もサブシェアａ_－およびｂ_－を格納している。サブシェアａ_－はＡ_－の何れか１つの要素であり、サブシェアｂ_－はＢ_－の何れか１つの要素である。ただし、Ａ_－は｛ａ_０，ａ_１，ａ_２｝におけるａ_＋の補集合であり（Ａ_－＝｛ａ_０，ａ_１，ａ_２｝－｛ａ_＋｝）、Ｂ_－は｛ｂ_０，ｂ_１，ｂ_２｝におけるｂ_＋の補集合である（Ｂ_－＝｛ｂ_０，ｂ_１，ｂ_２｝－｛ｂ_＋｝）。また、ｉ∈｛０，１，２｝であり、Ｐ_＋はＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－はＰ_{（ｉ－１）ｍｏｄ３}である。図３の例では、秘密計算装置１１－Ｐ_０の記憶部１１１－Ｐ_０にサブシェア（ａ_０，ａ_１）および（ｂ_０，ｂ_１）が格納されており、秘密計算装置１１－Ｐ_１の記憶部１１１－Ｐ_１にサブシェア（ａ_１，ａ_２）および（ｂ_１，ｂ_２）が格納されており、秘密計算装置１１－Ｐ_２の記憶部１１１－Ｐ_２にサブシェア（ａ_２，ａ_０）および（ｂ_２，ｂ_０）が格納されている。なお、（ａ_０，ａ_１）（ａ_１，ａ_２）（ａ_２，ａ_０）はａの秘密分散値であり、（ｂ_０，ｂ_１）（ｂ_１，ｂ_２）（ｂ_２，ｂ_０）はｂの秘密分散値である。

　＜秘密計算＞
　この事前処理が行われたことを前提に、各秘密計算装置１１－Ｐ_ｉ（ただし、ｉ∈｛０，１，２｝）は以下の秘密計算を行う（図３および図４）。

　各秘密計算装置１１－Ｐ_ｉの共有部１１４－Ｐ_ｉと秘密計算装置１１－Ｐ_＋の共有部１１４－Ｐ_＋とが任意値ｒ_＋∈Ｆを共有する。すなわち、共有部１１４－Ｐ_ｉおよび共有部１１４－Ｐ_＋は互いに同一の任意値ｒ_＋を得る。共有された任意値ｒ_＋は記憶部１１１－Ｐ_ｉおよび記憶部１１１－Ｐ_＋に格納される。任意値ｒ_＋の例は、擬似乱数、真正乱数、予め定められた複数の値から選択された値、入力値、別処理で得られた値などである。任意値ｒ_＋の共有は公知の方法によって実現できる。例えば、共有部１１４－Ｐ_ｉから共有部１１４－Ｐ_＋に任意値ｒ_＋または任意値ｒ_＋を特定するための情報を送ることで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_＋が共有されてもよい。逆に、共有部１１４－Ｐ_＋から共有部１１４－Ｐ_ｉに任意値ｒ_＋または任意値ｒ_＋を特定するための情報を送ることで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_＋が共有されてもよい。予め共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間でシード値を共有しておき、共有部１１４－Ｐ_ｉおよび共有部１１４－Ｐ_＋がこのシード値を用いて予め定められた処理を行うことで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_＋が共有されてもよい。公知の鍵交換アルゴリズムを用いて共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_＋が共有されてもよい（ステップＳ１１）。

　各秘密計算装置１１－Ｐ_ｉの共有部１１４－Ｐ_ｉと秘密計算装置１１－Ｐ_－の共有部１１４－Ｐ_－とが任意値ｒ_－∈Ｆを共有する。すなわち、共有部１１４－Ｐ_ｉおよび共有部１１４－Ｐ_－は互いに同一の任意値ｒ_－を得る。共有された任意値ｒ_－は記憶部１１１－Ｐ_ｉおよび記憶部１１１－Ｐ_－に格納される。任意値ｒ_－の例は、擬似乱数、真正乱数、予め定められた複数の値から選択された値、入力値、別処理で得られた値などである。任意値ｒ_－の共有は公知の方法によって実現できる。例えば、共有部１１４－Ｐ_ｉから共有部１１４－Ｐ_－に任意値ｒ_－または任意値ｒ_－を特定するための情報を送ることで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_－が共有されてもよい。逆に、共有部１１４－Ｐ_－から共有部１１４－Ｐ_ｉに任意値ｒ_－または任意値ｒ_－を特定するための情報を送ることで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_＋との間で任意値ｒ_－が共有されてもよい。あるいは、予め共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_－との間でシード値を共有しておき、共有部１１４－Ｐ_ｉおよび共有部１１４－Ｐ_－がこのシード値を用いて予め定められた処理を行うことで、共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_－との間で任意値ｒ_－が共有されてもよい。公知の鍵交換アルゴリズムを用いて共有部１１４－Ｐ_ｉと共有部１１４－Ｐ_－との間で任意値ｒ_－が共有されてもよい（ステップＳ１２）。

　図３の例では、ステップＳ１１およびＳ１２の処理により、共有部１１４－Ｐ_０と共有部１１４－Ｐ_１とが任意値ｒ_０１∈Ｆを共有し、共有部１１４－Ｐ_１と共有部１１４－Ｐ_２とが任意値ｒ_１２∈Ｆを共有し、共有部１１４－Ｐ_２と共有部１１４－Ｐ_０とが任意値ｒ_２０∈Ｆを共有する。

　各秘密計算装置１１－Ｐ_ｉの演算部１１２－Ｐ_ｉが、記憶部１１１－Ｐから読み込んだａ_＋，ａ_－，ｂ_＋，ｂ_－，ｒ_＋，ｒ_－を用い、ｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－∈Ｆを計算して出力する。図３の例では、秘密計算装置１１－Ｐ_０の演算部１１２－Ｐ_０がｃ_１＝（ａ_０＋ａ_１）（ｂ_０＋ｂ_１）－ａ_０ｂ_０＋ｒ_０１－ｒ_２０∈Ｆを計算して出力し、秘密計算装置１１－Ｐ_１の演算部１１２－Ｐ_１がｃ_２＝（ａ_１＋ａ_２）（ｂ_１＋ｂ_２）－ａ_１ｂ_１＋ｒ_１２－ｒ_０１∈Ｆを計算して出力し、秘密計算装置１１－Ｐ_２の演算部１１２－Ｐ_２がｃ_０＝（ａ_２＋ａ_０）（ｂ_２＋ｂ_０）－ａ_２ｂ_２＋ｒ_２０－ｒ_１２∈Ｆを計算して出力する（ステップＳ１３）。

　各秘密計算装置１１－Ｐ_ｉの通信部１１５－Ｐ_ｉは秘密計算装置１１－Ｐ_＋に対してｃ_＋を送信する（ｃ_＋を出力する）（ステップＳ１４）。ｃ_＋は秘密計算装置１１－Ｐ_＋の通信部１１５－Ｐ_＋で受信（入力）される。秘密計算装置１１－Ｐ_－の演算部１１２－Ｐ_－で計算されて通信部１１５－Ｐ_－から送信された値をｃ_－と表記すると、各秘密計算装置１１－Ｐ_ｉの通信部１１５－Ｐ_ｉはｃ_－を受信する（ステップＳ１５）。図３の例では、秘密計算装置１１－Ｐ_０の通信部１１５－Ｐ_０が秘密計算装置１１－Ｐ_１に対してｃ_１を送信し、ｃ_１が秘密計算装置１１－Ｐ_１の通信部１１５－Ｐ_１で受信される。秘密計算装置１１－Ｐ_１の通信部１１５－Ｐ_１が秘密計算装置１１－Ｐ_２に対してｃ_２を送信し、ｃ_２が秘密計算装置１１－Ｐ_２の通信部１１５－Ｐ_２で受信される。秘密計算装置１１－Ｐ_２の通信部１１５－Ｐ_２が秘密計算装置１１－Ｐ_０に対してｃ_０を送信し、ｃ_０が秘密計算装置１１－Ｐ_０の通信部１１５－Ｐ_０で受信される（ステップＳ１４，Ｓ１５）。

　ステップＳ１５で受信されたｃ_－、および、ステップＳ１３で得られたｃ_＋は、各秘密計算装置１１－Ｐ_ｉの記憶部１１１－Ｐ_ｉに格納される。図３の例では、（ｃ_０，ｃ_１）が秘密計算装置１１－Ｐ_０の記憶部１１１－Ｐ_０に格納され、（ｃ_１，ｃ_２）が秘密計算装置１１－Ｐ_１の記憶部１１１－Ｐ_１に格納され、（ｃ_２，ｃ_０）が秘密計算装置１１－Ｐ_２の記憶部１１１－Ｐ_２に格納される。

　本形態のｃ_０，ｃ_１，ｃ_２はａｂ＝ｃ_０＋ｃ_１＋ｃ_２∈Ｆを満たす乗算結果ａｂのサブシェアであり、（ｃ_０，ｃ_１）（ｃ_１，ｃ_２）（ｃ_２，ｃ_０）は乗算結果ａｂの秘密分散値である。これらの秘密分散値（ｃ_０，ｃ_１）（ｃ_１，ｃ_２）（ｃ_２，ｃ_０）の何れか２個が得られれば乗算結果ａｂを復元できる。すなわち、ｃ_０＋ｃ_１＋ｃ_２＝ａｂを満たす。図３の例では、
ｃ_０＋ｃ_１＋ｃ_２
＝（ａ_０＋ａ_１）（ｂ_０＋ｂ_１）－ａ_０ｂ_０＋ｒ_０１－ｒ_２０＋（ａ_１＋ａ_２）（ｂ_１＋ｂ_２）－ａ_１ｂ_１＋ｒ_１２－ｒ_０１＋（ａ_２＋ａ_０）（ｂ_２＋ｂ_０）－ａ_２ｂ_２＋ｒ_２０－ｒ_１２
＝ａ_０ｂ_１＋ａ_１ｂ_０＋ａ_１ｂ_１＋ａ_１ｂ_２＋ａ_２ｂ_１＋ａ_２ｂ_２＋ａ_２ｂ_０＋ａ_０ｂ_２＋ａ_０ｂ_０
＝（ａ_０＋ａ_１＋ａ_２）（ｂ_０＋ｂ_１＋ｂ_２）
＝ａｂ
となる。

　各秘密計算装置１１－Ｐ_ｉの記憶部１１１－Ｐ_ｉに格納された（ｃ_－，ｃ_＋）はさらに別の秘密計算装置（図示せず）の入力とされてもよいし、乗算結果ａｂの復元を行う復元装置（図示せず）の入力とされて乗算結果ａｂが復元されて出力されてもよい。

　＜本形態の特徴＞
　以上のように本形態では、特許文献１に記載された従来方式よりも少ない加減乗算数回数およびメモリアクセス回数で秘密乗算を行うことができる。すなわち、特許文献１に記載された従来方式では、各秘密計算装置は、メモリに格納された秘密分散値等を用いて自ら加減乗算を行って得た値をメモリに保存しておき、他の秘密計算装置で加減乗算を行って得られた値を受信してメモリに保存し、メモリに保存されたこれらの値を用いてさらに加減乗算を行う必要があった。そのため、特許文献１の方式は、加減乗算数回数およびメモリアクセス回数が多かった。これに対し、本形態では、メモリに格納された秘密分散値等を用いて自ら加減乗算を行って得た値、および、他の秘密計算装置で加減乗算を行って得られた値がそのまま演算結果のサブシェアとなるため、特許文献１の方式よりも加減乗算数回数およびメモリアクセス回数が少ない。特に、演算速度の速い秘密計算ではメモリへのアクセス時間が全体の演算速度を向上する上でのボトルネックとなるが、本形態の方式ではメモリアクセス回数を削減できるため、演算速度を大幅に向上できる。例えば、従来技術の秘密乗算では、ｃ_ＸＹ＝ａ_－ｂ_＋＋ａ_＋ｂ_－－ｒ_ＺＸを計算するときにａ_－，ｂ_＋，ａ_＋，ｂ_－を読み込み、得られたｃ_ＸＹを書き込む。これには乗算を２回、加減算を２回行う必要がある。さらに、従来技術の秘密乗算では、ｃ_－＝ａ_－ｂ_－＋ｃ_ＺＸ＋ｒ_ＺＸを計算するときにａ_－，ｂ_－，ｃ_ＺＸを読み込み、ｃ_－を書き込む。これには乗算を１回、加減算を３回行う必要がある。またさらに、従来技術の秘密乗算では、ｃ_＋＝ａ_＋ｂ_＋＋ｃ_ＸＹ＋ｒ_ＸＹを計算するときにａ_＋，ｂ_＋，ｃ_ＸＹを読み込み、得られたｃ_＋を書き込む。これには乗算を１回、加減算を３回行う必要がある。そのため、パーティあたりで合計、読込を１０回、書込を３回、乗算を４回、加減算を８回行う必要があった。これに対し、本形態の場合、秘密計算装置１０－Ｐ_ｉはｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－を計算するときにａ_－，ｂ_＋，ａ_＋，ｂ_－を読み込み、得られたｃ_＋を書き込む。そのため、パーティあたり、合計で読込４回、書込１回、乗算２回、加減算５回を行えばよい。従来技術と比較した場合、本形態では読込回数を４０％、書込回数を３３％、乗算回数を５０％、加減算回数を６３％にできる。

　［第２実施形態］
　第２実施形態では、任意値ａ（０），…，ａ（Ｎ－１）およびｂ（０），…，ｂ（Ｎ－１）に対する積和ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）∈Ｆを秘密計算で行う（秘密積和）。ただし、Ｆは有限体を表し、Ｎは正整数（例えば、２以上の整数）である。この秘密積和では、ｎ＝０，…，Ｎ－１についての任意値ａ（ｎ）の秘密分散値と任意値ｂ（ｎ）の秘密分散値とから積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）の秘密分散値を得る。以下に詳細に説明する。

　＜構成＞
　図１に例示するように、本形態の秘密計算システム２は、３個の秘密計算装置２１－Ｐ_０，２１－Ｐ_１，２１－Ｐ_２（秘密計算装置Ｐ_０，Ｐ_１，Ｐ_２）を有する。秘密計算装置２１－Ｐ_０，２１－Ｐ_１，２１－Ｐ_２は、インターネットなどの通信網を通じた通信が可能なように構成されている。図２に例示するように、本形態の秘密計算装置２１－Ｐ（ただし、Ｐ∈｛Ｐ_０，Ｐ_１，Ｐ_２｝）は、記憶部２１１－Ｐ（ストレージおよびメモリ）、演算部２１２－Ｐ、制御部２１３－Ｐ、共有部１１４－Ｐ、および通信部１１５－Ｐを有する。秘密計算装置２１－Ｐは、制御部２１３－Ｐの制御のもとで各処理を実行し、各処理で得られたデータは、逐一、記憶部２１１－Ｐに格納され、必要に応じて読み出される。

　＜事前処理＞
　事前処理により、ｎ＝０，…，Ｎ－１（ただし、Ｎは正整数、例えば、Ｎは２以上の整数）についての任意値ａ（ｎ）がａ（ｎ）＝ａ_０（ｎ）＋ａ_１（ｎ）＋ａ_２（ｎ）∈Ｆを満たすサブシェアａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）∈Ｆに秘密分散されており、任意値ｂ（ｎ）がｂ（ｎ）＝ｂ_０（ｎ）＋ｂ_１（ｎ）＋ｂ_２（ｎ）∈Ｆを満たすサブシェアｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）∈Ｆに秘密分散されている。秘密計算装置２１－Ｐ_ｉの記憶部２１１－Ｐ_ｉは、ｎ＝０，…，Ｎ－１についてのサブシェアａ_＋（ｎ）∈｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝およびｂ_＋（ｎ）∈｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝を格納しており、秘密計算装置２１－Ｐ_＋の記憶部２１１－Ｐ_＋も、ｎ＝０，…，Ｎ－１についてのサブシェアａ_＋（ｎ）およびｂ_＋（ｎ）を格納している。各サブシェアａ_＋（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝の何れか１つの要素であり、各サブシェアｂ_＋（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝の何れか１つの要素である。秘密計算装置２１－Ｐ_ｉの記憶部２１１－Ｐ_ｉは、ｎ＝０，…，Ｎ－１についてのサブシェアａ_－（ｎ）∈Ａ_－（ｎ）およびｂ_－（ｎ）∈Ｂ_－（ｎ）を格納しており、秘密計算装置２１－Ｐ_－の記憶部２１１－Ｐ_－も、ｎ＝０，…，Ｎ－１についてのサブシェアａ_－（ｎ）およびｂ_－（ｎ）を格納している。各サブシェアａ_－（ｎ）はＡ_－（ｎ）の何れか１つの要素であり、各サブシェアｂ_－（ｎ）はＢ_－（ｎ）の何れか１つの要素である。ただし、Ａ_－（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝におけるａ_＋（ｎ）の補集合であり（Ａ_－（ｎ）＝｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝－｛ａ_＋（ｎ）｝）、Ｂ_－（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝におけるｂ_＋（ｎ）の補集合である（Ｂ_－（ｎ）＝｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝－｛ｂ_＋（ｎ）｝）。また、ｉ∈｛０，１，２｝であり、Ｐ_＋はＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－はＰ_{（ｉ－１）ｍｏｄ３}である。図５の例では、秘密計算装置２１－Ｐ_０の記憶部２１１－Ｐ_０に、ｎ＝０，…，Ｎ－１についてのサブシェア（ａ_０（ｎ），ａ_１（ｎ））および（ｂ_０（ｎ），ｂ_１（ｎ））が格納されており、秘密計算装置２１－Ｐ_１の記憶部２１１－Ｐ_１に、ｎ＝０，…，Ｎ－１についてのサブシェア（ａ_１（ｎ），ａ_２（ｎ））および（ｂ_１（ｎ），ｂ_２（ｎ））が格納されており、秘密計算装置２１－Ｐ_２の記憶部２１１－Ｐ_２に、ｎ＝０，…，Ｎ－１についてのサブシェア（ａ_２（ｎ），ａ_０（ｎ））および（ｂ_２（ｎ），ｂ_０（ｎ））が格納されている。なお、（ａ_０（ｎ），ａ_１（ｎ））（ａ_１（ｎ），ａ_２（ｎ））（ａ_２（ｎ），ａ_０（ｎ））はａ（ｎ）の秘密分散値であり、（ｂ_０（ｎ），ｂ_１（ｎ））（ｂ_１（ｎ），ｂ_２（ｎ））（ｂ_２（ｎ），ｂ_０（ｎ））はｂ（ｎ）の秘密分散値である。

　＜秘密計算＞
　この事前処理が行われたことを前提に、各秘密計算装置２１－Ｐ_ｉ（ただし、ｉ∈｛０，１，２｝）は以下の秘密計算を行う（図５および図６）。

　各秘密計算装置２１－Ｐ_ｉの共有部１１４－Ｐ_ｉと秘密計算装置２１－Ｐ_＋の共有部１１４－Ｐ_＋とが任意値ｒ_＋∈Ｆを共有する。共有された任意値ｒ_＋は記憶部２１１－Ｐ_ｉおよび記憶部２１１－Ｐ_＋に格納される。任意値ｒ_＋およびその共有処理の具体例は第１実施形態で説明した通りである（ステップＳ２１）。

　各秘密計算装置２１－Ｐ_ｉの共有部１１４－Ｐ_ｉと秘密計算装置２１－Ｐ_－の共有部１１４－Ｐ_－とが任意値ｒ_－∈Ｆを共有する。共有された任意値ｒ_－は記憶部２１１－Ｐ_ｉおよび記憶部２１１－Ｐ_－に格納される。任意値ｒ_－およびその共有処理の具体例は第１実施形態で説明した通りである（ステップＳ２２）。

　図５の例では、ステップＳ２１およびＳ２２の処理により、共有部１１４－Ｐ_０と共有部１１４－Ｐ_１とが任意値ｒ_０１∈Ｆを共有し、共有部１１４－Ｐ_１と共有部１１４－Ｐ_２とが任意値ｒ_１２∈Ｆを共有し、共有部１１４－Ｐ_２と共有部１１４－Ｐ_０とが任意値ｒ_２０∈Ｆを共有する。

　各秘密計算装置２１－Ｐ_ｉの演算部２１２－Ｐ_ｉが、記憶部２１１－Ｐから読み込んだ、ｎ＝０，…，Ｎ－１についてのａ_＋（ｎ），ａ_－（ｎ），ｂ_＋（ｎ），ｂ_－（ｎ），ｒ_＋，ｒ_－を用い、

を計算して出力する。図５の例では、秘密計算装置２１－Ｐ_０の演算部２１２－Ｐ_０が

を計算して出力し、秘密計算装置２１－Ｐ_１の演算部２１２－Ｐ_１が

を計算して出力し、秘密計算装置２１－Ｐ_２の演算部２１２－Ｐ_２が

を計算して出力する（ステップＳ２３）。

　各秘密計算装置２１－Ｐ_ｉの通信部１１５－Ｐ_ｉは秘密計算装置２１－Ｐ_＋に対してｃ_＋を送信する（ｃ_＋を出力する）（ステップＳ２４）。ｃ_＋は秘密計算装置２１－Ｐ_＋の通信部１１５－Ｐ_＋で受信（入力）される。秘密計算装置２１－Ｐ_－の演算部２１２－Ｐ_－で計算されて通信部１１５－Ｐ_－から送信された値をｃ_－と表記すると、各秘密計算装置２１－Ｐ_ｉの通信部１１５－Ｐ_ｉはｃ_－を受信する（ステップＳ２５）。図５の例では、秘密計算装置２１－Ｐ_０の通信部１１５－Ｐ_０が秘密計算装置２１－Ｐ_１に対してｃ_１を送信し、ｃ_１が秘密計算装置２１－Ｐ_１の通信部１１５－Ｐ_１で受信される。秘密計算装置２１－Ｐ_１の通信部１１５－Ｐ_１が秘密計算装置２１－Ｐ_２に対してｃ_２を送信し、ｃ_２が秘密計算装置２１－Ｐ_２の通信部１１５－Ｐ_２で受信される。秘密計算装置２１－Ｐ_２の通信部１１５－Ｐ_２が秘密計算装置２１－Ｐ_０に対してｃ_０を送信し、ｃ_０が秘密計算装置２１－Ｐ_０の通信部１１５－Ｐ_０で受信される（ステップＳ２４，Ｓ２５）。

　ステップＳ２５で受信されたｃ_－、および、ステップＳ２３で得られたｃ_＋は、各秘密計算装置２１－Ｐ_ｉの記憶部２１１－Ｐ_ｉに格納される。図５の例では、（ｃ_０，ｃ_１）が秘密計算装置２１－Ｐ_０の記憶部２１１－Ｐ_０に格納され、（ｃ_１，ｃ_２）が秘密計算装置２１－Ｐ_１の記憶部２１１－Ｐ_１に格納され、（ｃ_２，ｃ_０）が秘密計算装置２１－Ｐ_２の記憶部２１１－Ｐ_２に格納される。

　本形態のｃ_０，ｃ_１，ｃ_２はａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）＝ｃ_０＋ｃ_１＋ｃ_２∈Ｆを満たす積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）のサブシェアである。（ｃ_０，ｃ_１）（ｃ_１，ｃ_２）（ｃ_２，ｃ_０）は積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）の秘密分散値である。これらの秘密分散値（ｃ_０，ｃ_１）（ｃ_１，ｃ_２）（ｃ_２，ｃ_０）の何れか２個が得られれば積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）を復元できる。すなわち、ｃ_０＋ｃ_１＋ｃ_２＝ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）を満たす。

　各秘密計算装置２１－Ｐ_ｉの記憶部２１１－Ｐ_ｉに格納された（ｃ_－，ｃ_＋）はさらに別の秘密計算装置（図示せず）の入力とされてもよいし、積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）の復元を行う復元装置（図示せず）の入力とされて積和結果ａ（０）ｂ（０）＋…＋ａ（Ｎ－１）ｂ（Ｎ－１）が復元されて出力されてもよい。

　＜本形態の特徴＞
　以上のように本形態では、特許文献１に記載された従来方式よりも少ない加減乗算数回数およびメモリアクセス回数で秘密積和を行うことができる。

　なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。また、第２実施形態の任意値ｒ_＋がｎ＝０，…，Ｎ－１のそれぞれに対応するｒ_＋（ｎ）であってもよいし、任意値ｒ_－がｎ＝０，…，Ｎ－１のそれぞれに対応するｒ_－（ｎ）であってもよい。例えば、図５の例において、任意値ｒ_０１がｎ＝０，…，Ｎ－１のそれぞれに対応するｒ_０１（ｎ）∈Ｆであってもよいし、任意値ｒ_２０がｎ＝０，…，Ｎ－１のそれぞれに対応するｒ_２０（ｎ）∈Ｆであってもよい。

　上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

１，２　秘密計算システム
１１－Ｐ　秘密計算装置

Claims

　秘密計算装置Ｐ_０と秘密計算装置Ｐ_１と秘密計算装置Ｐ_２とを有し、
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ，ｂが任意値であり、ａ_０，ａ_１，ａ_２がａ＝ａ_０＋ａ_１＋ａ_２を満たすサブシェアであり、ｂ_０，ｂ_１，ｂ_２がｂ＝ｂ_０＋ｂ_１＋ｂ_２を満たすサブシェアであり、
　前記秘密計算装置Ｐ_ｉの記憶部と前記秘密計算装置Ｐ_＋の記憶部とが前記サブシェアａ_＋∈｛ａ_０，ａ_１，ａ_２｝およびｂ_＋∈｛ｂ_０，ｂ_１，ｂ_２｝を格納しており、
　前記秘密計算装置Ｐ_ｉの記憶部と前記秘密計算装置Ｐ_－の記憶部とが前記サブシェアａ_－∈Ａ_－およびｂ_－∈Ｂ_－を格納しており、Ａ_－は｛ａ_０，ａ_１，ａ_２｝におけるａ_＋の補集合であり、Ｂ_－は｛ｂ_０，ｂ_１，ｂ_２｝におけるｂ_＋の補集合であり、
　前記秘密計算装置Ｐ_ｉの共有部と前記秘密計算装置Ｐ_＋の共有部とが任意値ｒ_＋を共有し、
　前記秘密計算装置Ｐ_ｉの共有部と前記秘密計算装置Ｐ_－の共有部とが任意値ｒ_－を共有し、
　前記秘密計算装置Ｐ_ｉの演算部がｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－を計算し、
　前記秘密計算装置Ｐ_ｉの出力部が前記秘密計算装置Ｐ_＋に対してｃ_＋を出力し、前記秘密計算装置Ｐ_＋の入力部にｃ_＋が入力される、秘密計算システム。
　秘密計算装置Ｐ_０と秘密計算装置Ｐ_１と秘密計算装置Ｐ_２とを有し、
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ（ｎ），ｂ（ｎ）が任意値であり、ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）がａ（ｎ）＝ａ_０（ｎ）＋ａ_１（ｎ）＋ａ_２（ｎ）を満たすサブシェアであり、ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）がｂ（ｎ）＝ｂ_０（ｎ）＋ｂ_１（ｎ）＋ｂ_２（ｎ）を満たすサブシェアであり、Ｎが正整数であり、ｎ＝０，…，Ｎ－１であり、
　前記秘密計算装置Ｐ_ｉの記憶部と前記秘密計算装置Ｐ_＋の記憶部とが前記サブシェアａ_＋（ｎ）∈｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝およびｂ_＋（ｎ）∈｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝を格納しており、
　前記秘密計算装置Ｐ_ｉの記憶部と前記秘密計算装置Ｐ_－の記憶部とが前記サブシェアａ_－（ｎ）∈Ａ_－（ｎ）およびｂ_－（ｎ）∈Ｂ_－（ｎ）を格納しており、Ａ_－（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝におけるａ_＋（ｎ）の補集合であり、Ｂ_－（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝におけるｂ_＋（ｎ）の補集合であり、
　前記秘密計算装置Ｐ_ｉの共有部と前記秘密計算装置Ｐ_＋の共有部とが任意値ｒ_＋を共有し、
　前記秘密計算装置Ｐ_ｉの共有部と前記秘密計算装置Ｐ_－の共有部とが任意値ｒ_－を共有し、
　前記秘密計算装置Ｐ_ｉの演算部が

を計算し、
　前記秘密計算装置Ｐ_ｉの出力部が前記秘密計算装置Ｐ_＋に対してｃ_＋を出力し、前記秘密計算装置Ｐ_＋の入力部にｃ_＋が入力される、秘密計算システム。
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ，ｂが任意値であり、ａ_０，ａ_１，ａ_２がａ＝ａ_０＋ａ_１＋ａ_２を満たすサブシェアであり、ｂ_０，ｂ_１，ｂ_２がｂ＝ｂ_０＋ｂ_１＋ｂ_２を満たすサブシェアであり、
　秘密計算装置Ｐ_＋に格納された前記サブシェアａ_＋∈｛ａ_０，ａ_１，ａ_２｝およびｂ_＋∈｛ｂ_０，ｂ_１，ｂ_２｝、ならびに、秘密計算装置Ｐ_－に格納された前記サブシェアａ_－∈Ａ_－およびｂ_－∈Ｂ_－を格納する記憶部と（ただし、Ａ_－は｛ａ_０，ａ_１，ａ_２｝におけるａ_＋の補集合であり、Ｂ_－は｛ｂ_０，ｂ_１，ｂ_２｝におけるｂ_＋の補集合である）、
　前記秘密計算装置Ｐ_＋との間で任意値ｒ_＋を共有し、前記秘密計算装置Ｐ_－との間で任意値ｒ_－を共有する共有部と、
　ｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－を計算する演算部と、
　ｃ_＋を前記秘密計算装置Ｐ_＋に対して出力する出力部と、
を有する秘密計算装置。
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ（ｎ），ｂ（ｎ）が任意値であり、ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）がａ（ｎ）＝ａ_０（ｎ）＋ａ_１（ｎ）＋ａ_２（ｎ）を満たすサブシェアであり、ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）がｂ（ｎ）＝ｂ_０（ｎ）＋ｂ_１（ｎ）＋ｂ_２（ｎ）を満たすサブシェアであり、
　秘密計算装置Ｐ_＋に格納された前記サブシェアａ_＋（ｎ）∈｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝およびｂ_＋（ｎ）∈｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝、ならびに、秘密計算装置Ｐ_－に格納された前記サブシェアａ_－（ｎ）∈Ａ_－（ｎ）およびｂ_－（ｎ）∈Ｂ_－（ｎ）を格納する記憶部と（ただし、Ａ_－（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝におけるａ_＋（ｎ）の補集合であり、Ｂ_－（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝におけるｂ_＋（ｎ）の補集合である）、
　前記秘密計算装置Ｐ_＋との間で任意値ｒ_＋を共有し、前記秘密計算装置Ｐ_－との間で任意値ｒ_－を共有する共有部と、

を計算する演算部と、
　ｃ_＋を前記秘密計算装置Ｐ_＋に対して出力する出力部と、
を有する秘密計算装置。
　請求項４の秘密計算装置であって、前記任意値ｒ_＋がｒ_＋（ｎ）であり、前記任意値ｒ_－がｒ_－（ｎ）である、秘密計算装置。
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ，ｂが任意値であり、ａ_０，ａ_１，ａ_２がａ＝ａ_０＋ａ_１＋ａ_２を満たすサブシェアであり、ｂ_０，ｂ_１，ｂ_２がｂ＝ｂ_０＋ｂ_１＋ｂ_２を満たすサブシェアであり、
　秘密計算装置Ｐ_＋に格納された前記サブシェアａ_＋∈｛ａ_０，ａ_１，ａ_２｝およびｂ_＋∈｛ｂ_０，ｂ_１，ｂ_２｝、ならびに、秘密計算装置Ｐ_－に格納された前記サブシェアａ_－∈Ａ_－およびｂ_－∈Ｂ_－が秘密計算装置Ｐ_ｉの記憶部に格納されており、Ａ_－は｛ａ_０，ａ_１，ａ_２｝におけるａ_＋の補集合であり、Ｂ_－は｛ｂ_０，ｂ_１，ｂ_２｝におけるｂ_＋の補集合であり、
　前記秘密計算装置Ｐ_ｉの共有部が、前記秘密計算装置Ｐ_＋との間で任意値ｒ_＋を共有し、前記秘密計算装置Ｐ_－との間で任意値ｒ_－を共有するステップと、
　前記秘密計算装置Ｐ_ｉの演算部が、ｃ_＋＝（ａ_＋＋ａ_－）（ｂ_＋＋ｂ_－）－ａ_－ｂ_－＋ｒ_＋－ｒ_－を計算するステップと、
　前記秘密計算装置Ｐ_ｉの出力部が前記秘密計算装置Ｐ_＋に対してｃ_＋を出力するステップと、
を有する秘密計算方法。
　ｉ∈｛０，１，２｝であり、Ｐ_＋がＰ_{（ｉ＋１）ｍｏｄ３}であり、Ｐ_－がＰ_{（ｉ－１）ｍｏｄ３}であり、ａ（ｎ），ｂ（ｎ）が任意値であり、ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）がａ（ｎ）＝ａ_０（ｎ）＋ａ_１（ｎ）＋ａ_２（ｎ）を満たすサブシェアであり、ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）がｂ（ｎ）＝ｂ_０（ｎ）＋ｂ_１（ｎ）＋ｂ_２（ｎ）を満たすサブシェアであり、
　秘密計算装置Ｐ_＋に格納された前記サブシェアａ_＋（ｎ）∈｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝およびｂ_＋（ｎ）∈｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝、ならびに、秘密計算装置Ｐ_－に格納された前記サブシェアａ_－（ｎ）∈Ａ_－（ｎ）およびｂ_－（ｎ）∈Ｂ_－（ｎ）が秘密計算装置Ｐ_ｉの記憶部に格納されており、Ａ_－（ｎ）は｛ａ_０（ｎ），ａ_１（ｎ），ａ_２（ｎ）｝におけるａ_＋（ｎ）の補集合であり、Ｂ_－（ｎ）は｛ｂ_０（ｎ），ｂ_１（ｎ），ｂ_２（ｎ）｝におけるｂ_＋（ｎ）の補集合であり、
　前記秘密計算装置Ｐ_ｉの共有部が、前記秘密計算装置Ｐ_＋との間で任意値ｒ_＋を共有し、前記秘密計算装置Ｐ_－との間で任意値ｒ_－を共有するステップと、
　前記秘密計算装置Ｐ_ｉの演算部が、

を計算するステップと、
　前記秘密計算装置Ｐ_ｉの出力部が前記秘密計算装置Ｐ_＋に対してｃ_＋を出力するステップと、
を有する秘密計算方法。
　請求項３または４の秘密計算装置としてコンピュータを機能させるためのプログラム。
　請求項３または４の秘密計算装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。