発明の詳細な説明【技術分野】 【0001】 本発明は、LWE(Learning with Errors)問題に基づく高機能暗号(しきい値暗号等)における安全性設計のための技術に関する。 続きを表示(約 3,000 文字)【背景技術】 【0002】 非特許文献1において、格子理論に関する計算困難問題としてLWE問題が提案され、その後、このLWE問題に基づいた暗号方式が多数提案されている。 また、非特許文献2において、LWE問題の変種であるReused-A-LWE問題が提案され、エラー分布χ 1 ,χ 2 が連続ガウシアン分布の場合に、LWE≦Reused-A-LWE(LWE問題からReused-A-LWE問題への帰着)、つまり、Reused-A-LWE問題はLWE問題以上に計算困難であることが示された。そして、この帰着に基づいて安全性設計がなされたしきい値公開鍵暗号が提案されている。 【先行技術文献】 【非特許文献】 【0003】 O. Regev. "On Lattices, Learning with Errors, Random Linear Codes, and Cryptography". J. ACM 56.6 (2009). Preliminary version appeared in STOC '05. D. Micciancio and A. Suhl. "Simulation-Secure Threshold PKE from LWE with Polynomial Modulus". ePrint 2023/1728. 2023. D. Micciancio and C. Peikert. "Hardness of SIS and LWE with Small Parameters". CRYPTO 2013. 2013, pp. 21-39. L. Ducas, S. Galbraith, T. Prest, and Y. Yu. "Integral Matrix Gram Root and Lattice Gaussian Sampling without Floats". EUROCRYPT 2020. 2020, pp. 608-637. M. R. Albrecht, B. R. Curtis, A. Deo, A. Davidson, R. Player, E. W. Postlethwaite, F. Virdia, and T. Wunderer. "Estimate All the {LWE, NTRU} Schemes!" SCN 2018. 2018, pp. 351-367. V. Lyubashevsky, C. Peikert, and O. Regev. "On Ideal Lattices and Learning with Errors over Rings". EUROCRYPT 2010. 2010, pp. 1-23. 【発明の概要】 【発明が解決しようとする課題】 【0004】 しかしながら、非特許文献2で示された帰着LWE≦Reused-A-LWEは、エラー分布χ 1 ,χ 2 が連続ガウシアン分布の場合に限られていた。一方、計算機上の実装においては、エラー分布は離散的な値である必要がある。また、連続ガウシアン分布における実数を浮動小数点型で代用した場合には、その丸め誤差の影響を別途議論する必要があった。 【0005】 本発明は、離散ガウシアン分布をエラー分布とするReused-A-LWE問題に基づく暗号設計において、安全性が保証されたセキュリティパラメータを導出できる安全性設計装置、安全性設計方法及び安全性設計プログラムを提供することを目的とする。 【課題を解決するための手段】 【0006】 本発明に係る安全性設計装置は、離散ガウシアン分布をエラー分布としたReused-A-LWE問題Reused-A-LWE S (n,m,q,D Z,s1 ,D Z,s2 )のパラメータn,m,q,s 1 ,s 2 (ただし、定数C∈N(自然数)に対してs 2 =Cs 1 )の入力を受け付ける入力部と、パラメータs 1 及び定数Cから、離散ガウシアン分布をエラー分布としたLWE問題d-LWE S (n,m,q,D Z,sb )のパラメータs b を、 TIFF 2025176467000002.tif 16 134 と算出する算出部と、前記LWE問題d-LWE S (n,m,q,D Z,sb )のセキュリティパラメータλを、所定の安全性を担保する計算式により取得する取得部と、前記取得部により取得されたセキュリティパラメータλを、前記Reused-A-LWE問題のセキュリティパラメータとして出力する出力部と、を備える。 【0007】 前記Reused-A-LWE問題は、Reused-A-Ring-LWE問題であり、前記LWE問題は、Ring-LWE問題であってもよい。 【0008】 本発明に係る安全性設計方法は、コンピュータが、入力部により、離散ガウシアン分布をエラー分布としたReused-A-LWE問題Reused-A-LWE S (n,m,q,D Z,s1 ,D Z,s2 )のパラメータn,m,q,s 1 ,s 2 (ただし、定数C∈N(自然数)に対してs 2 =Cs 1 )の入力を受け付け、算出部により、パラメータs 1 及び定数Cから、離散ガウシアン分布をエラー分布としたLWE問題d-LWE S (n,m,q,D Z,sb )のパラメータs b を、 TIFF 2025176467000003.tif 16 134 と算出し、取得部により、前記LWE問題d-LWE S (n,m,q,D Z,sb )のセキュリティパラメータλを、所定の安全性を担保する計算式により取得し、出力部により、前記取得部により取得されたセキュリティパラメータλを、前記Reused-A-LWE問題のセキュリティパラメータとして出力する。 【0009】 本発明に係る安全性設計プログラムは、前記安全性設計装置としてコンピュータを機能させるためのものである。 【発明の効果】 【0010】 本発明によれば、離散ガウシアン分布をエラー分布とするReused-A-LWE問題に基づく暗号設計において、安全性が保証されたセキュリティパラメータを導出できる。 【図面の簡単な説明】 (【0011】以降は省略されています) この特許をJ-PlatPat(特許庁公式サイト)で参照する
特許ウォッチ
