SVパッキングによる完全準同型暗号を用いた安全な委託Aprioriの高速化

(1)

DEIM Forum 2016 F8-6

SV パッキングによる完全準同型暗号を用いた

安全な委託

Apriori 高速化

高橋卓巳

†1

_{石巻優}

†2

_{山名早人}

†3†4

†1 早稲田大学基幹理工学部〒169-8555 東京都新宿区大久保 3-4-1

†2 早稲田大学大学院基幹理工学研究科〒169-8555 東京都新宿区大久保 3-4-1

†3 早稲田大学理工学術院〒169-8555 東京都新宿区大久保 3-4-1

†4 国立情報学研究所〒101-8430 東京都千代田区一ツ橋 2-1-2

E-mail: †{kururu, yuishi, yamana}@yama.info.waseda.ac.jp

あらまし企業や国などの様々な組織にとって，保有するデータを利活用することがますます重要になってきている．さらに扱われるデータ量は爆発的に増加し，データ解析処理の際に計算をクラウドに委託するケースが増えてきている．一方でデータには顧客データなどの個人情報に結びつく情報が含まれ，クラウドへ委託計算する場合にデータの扱いを誤るとプライバシーやセキュリティの問題が発生する危険性がある．そこで注目されているが暗

号化したデータ同士を複合することなく計算することができる完全準同型暗号（以下 FHE: Fully Homomorphic

Encryption）である．しかし，現在の FHE を用いた委託計算方法では実用的な時間で処理を終えることができない．

そこで本研究では，Liu らによって提案された FHE を用いたアプリオリアルゴリズムの委託計算を BGV（Brakerski,

Gentry, Vaikuntanathan）スキームと言われる暗号スキームが実装されている HElib によって実装し，SV パッキングを用いて必要な演算回数を削減することにより高速化する手法を提案する．実験の結果，計算時間が##改善されてることを示した．キーワードプライバシー保護，セキュリティ，データマイニグ，完全準同型暗号，アプリオリ

1. はじめに

企業や国などの様々な組織にとって，自身が保有するデータを有効に活用することが，近年ますます重要になっている．またそこで扱われるデータの量は爆発的に増加しているのに加え，近年著しく研究が盛んになっているデータマイニグや機械学習のアルゴリズムも計算量が大きくなってきている．そこで最近では，計算資源としてクラウドを利用することが多くなってきている（委託計算または計算のアウトソーシング）．しかしその一方で，委託計算をする個人または組織がクラウドサービスを提供する第三者を完全に信頼することができない場合，データの扱い方を誤るとプライバシーやセキュリティの問題が発生する可能性がある [1]．プライバシー保護とデータマイニング活用をバランスする技術としてプライバシー保護データマイニグと呼ばれる研究が盛んに行われてきた．これらの研究はアプローチの面から次の 4 つに分類できる： 1)統計的に処理した集約情報や分割表などの個人情報のテーブルを対象に個人のプライバシーを保護するデータマイニング手法[2][3][4][5]． 2)マイニング結果から個人が推定されないようプライバシー保護する手法[6][7]． 3)個人データ集合からある同一属性を持つデータを k 個未満に絞り込めないというk 匿名性を利用したプライバシー保護データマイニグ手法[8][9][10]． 4)完全準同型暗号（FHE）を用いて入力データと出力結果の両方のプライバシーを保護する手法[11]．本稿では，上記で述べた 4)完全準同型暗号を用いた方法を対象とする．具体的には，ユーザがクラウドにデータマイニングを委託する場合に入力データとマイニング結果の情報を一切漏洩することなく委託計算を行うシナリオを対象とする．このようなシナリオを安全な委託データマイニング（Secure Outsourced Data Mining）と呼ぶ．1)~3)の手法では入力データとマイニング結果の両方をプライバシー保護することができないのに加え，アプローチとしてデータや結果へのノイズ（摂動）追加やランダム化を行っておりマイニング結果が正確でなくなってしまう． FHE は，暗号化した状態で平文に対する加算・乗算を実現できる機能（準同型演算）を備えた公開鍵暗号方式である．平文を暗号化する際，セキュリティパラメータに応じて一定のノイズを加える．しかし，ノイズは準同型演算ごとに増加し，増加しすぎると暗号文を正しい値に複合できなくなる．特に AND 演算の準同型評価を行うとノイズの桁数がおおよそ倍増することが知られている．そのため，準同型演算の乗算回数に制限を設けた Somewhat 準同型暗号（以下 SWHE: Somewhat Homomorphic Encryption）が限界とされてい

(2)

た．2009 年に IBM の Gentry が SWHE に対して暗号文ノイズを削減する手法（bootstrapping）を提案したことにより FHE の実装方法が完成した [12] ．しかし， bootstrapping を行うと計算量が大幅に増加してしまう．この問題に対して，FHE において複数の平文（整数）を一つの暗号文に暗号化する SV パッキング [13]や， bootstrapping を用いずに暗号文ノイズを削減することで計算量を削減する BGV スキーム [14]などの研究成果により FHE の理論研究が進んでいる．また，FHE の実用化に向けた研究も盛んになっている[11][15][16][17][18]．FHE の実用化に向けた研究は，それぞれ想定するシナリオと動機によって1)秘匿検索， 2)秘匿暗号化， 3)委託データマイニングの 3 つに分類できる．1)秘匿検索は，クラウド上に保存されている暗号化されたデータに対して検索を行う場合に，入力クエリと検索結果などの情報をクラウド側に漏らさずに実行する技術である[15][16]．2)秘匿暗号化は，暗号化されたデータを複合せずに異なる鍵を用いて準同型演算と複合が可能になる暗号文へ変換する技術である [17]． 3)秘匿計算は暗号化されたデータ同士を複合せずに計算する技術である[11][18]．安全な委託データマイニングは3)秘匿計算に分類され，同手法は 2015 年に Liu らが FHE を用いた安全な委託Apriori 手法として初めて提案されている [11]．その他，Chu らがリンク構造におけるノード間の類似度スコア SimRank を秘匿計算する手法を提案した [18]．しかしChu らの研究では実データではなく人工的に作られたトランザクション数 5,000 のデータに対して一回の Apriori を実行しており， HP Pavilion dm4 laptop （CPU: Core i5, クロック数 : 2.50GHz, メモリ : 8GB）を用いて 100 日以上かかったと報告されておりさらなる高速化が必要である．本稿では以上の問題を解決するため，Liu らの手法の高速化手法を提案する．提案手法では，トランザクションデータの暗号化の際に SV パッキングを用いて複数の整数をベクトルとして一つの暗号文に暗号化する．これにより扱う暗号文の数を削減することができる．またサポートをカウントする際の複数の整数に対する演算をベクトル演算に置き換えることで計算量を削減する．具体的には，1)Liu らの手法で用いられていた整数ベースのスキームの代わりに，BGV スキームが実装されている HElib1_{を用いて従来手法を実装し，2)} 提案手法として HElib に実装されている SV パッキングを用いて暗号文と計算量を削減するアルゴリズムを実装する．これにより，暗号文の数をトランザクション数N のデータに対して 1/N にすることができる．本稿では以下の構成をとる．まず，2 節では関連研 1 _{HElib, http://shaih.github.io/HElib/} 究について述べ，3 節では提案手法について説明する． 4 節では従来手法と提案手法の評価実験について述べる．最後に 5 節で本稿をまとめる．

2. 関連研究

本節では，FHE の関連研究，FHE 実用化に向けた研究，本稿で対象とする委託頻出パターンマイニングに関する関連研究について述べる．

2.1. FHE スキーム

完全準同型暗号（FHE: Fully Homomorphic Encryption） [12]は暗号化したまま加算を行える加法準同型性と乗算を行える乗法準同型性の両方を備える公開鍵暗号方式である．FHE では任意の論理回路（ 2 進数を前提にした時，全演算は AND と XOR で計算可能）で表される関数𝐶に対して t 個の入力（値は 0,1）を 𝑚#, 𝑚%, ⋯ , 𝑚' とした時の演算結果𝐶 𝑚#, 𝑚%, ⋯ , 𝑚' を，各入力 mi を各々個別に暗号化（ci）し同関数に入力した演算結果 𝐶 𝑐#, 𝑐%, ⋯ , 𝑐' を復号することで得ることができる．この場合の暗号化されていない 0,1 の入力𝑚を平文，平文を暗号化した𝑐 を暗号文と呼ぶ． FHE は， 𝐾𝑒𝑦𝐺𝑒𝑛， 𝐸𝑛𝑐𝑟𝑦𝑝𝑡， 𝐷𝑒𝑐𝑟𝑦𝑝𝑡， 𝐸𝑣𝑎𝑙𝑢𝑎𝑡𝑒の 4 関数から構成される． 1. 𝐾𝑒𝑦𝐺𝑒𝑛 λ : 与えられたセキュリティパラメータ λに対して秘密鍵 𝑠𝑘と公開鍵 𝑝𝑘のペア 𝑠𝑘, 𝑝𝑘 を生成する. 秘密鍵が破られる確率はセキュリティパラメータに対して，1/2=_{となる．} 2. 𝐸𝑛𝑐𝑟𝑦𝑝𝑡 𝑝𝑘, 𝑚 : 平文 (plaintext) 𝑚を公開鍵 𝑝𝑘 で暗号化して，暗号文を返す． 3. 𝐷𝑒𝑐𝑟𝑦𝑝𝑡 𝑠𝑘, 𝑐 : 暗号文 (ciphertext)𝑐を秘密鍵 𝑠𝑘で復号し，平文を返す． 4. 𝐸𝑣𝑎𝑙𝑢𝑎𝑡𝑒 𝑝𝑘, 𝐶, 𝑐#, 𝑐%, ⋯ , 𝑐' : 公開鍵𝑝𝑘， 𝑡個の入力を取る AND ゲートと XOR ゲートで構成された回路𝐶，t 個の暗号文 𝑐>とする．この下で全ての 𝑖 ∈ 1, ⋯ , 𝑡 に対して 𝑐>= 𝐸𝑛𝑐𝑟𝑦𝑝𝑡 𝑝𝑘, 𝑚> ならば， 𝐷𝑒𝑐𝑟𝑦𝑝𝑡 𝑠𝑘, 𝐸𝑣𝑎𝑙𝑢𝑎𝑡𝑒 𝑝𝑘, 𝐶, 𝑐#, 𝑐%, ⋯ , 𝑐' = 𝐶 𝑚#, 𝑚%, ⋯ , 𝑚' を満たす暗号文に対して任意の 𝐶を正確に評価できるというものである．これら4 関数で構成される公開鍵暗号方式が FHE と定義されている[12]． FHE の暗号スキームは 2009 年に Gentry[12]が初めて考案した．FHE スキームは，イデアル格子ベースのスキーム [12][13][20] ，整数ベースのスキーム [19][21][22][23]，LWE(Learning With Errors)問題に基づくスキーム[24]，Ring-LWE(Learning With Errors)問題に基づくスキーム[14][25][26]， NTRU ベースのスキーム [17][27]が提案されている．

Gentry の手法は， SWHE を構築した後，準同型評価によって増加したノイズを削減するbootstrapping を使

(3)

ってFHE を実現するというものである．Gentry の提案後に bootstrapping を用いた様々な FHE スキームが提案されたが，それらは直接的または間接的にイデアル格子に基づくものであり暗号文に含まれるノイズが多く，特に乗算を行うとノイズが爆発的に増加するという問題やbootstrapping を実行する計算量が大きくなってしまうという問題があった[13][19][20][21][26]．これに対して，Brakerski, Gentry, Vaikuntanathan らは Ring-LWE 問題に基づき暗号文と平文を多項式環の元によって表現し，bootstrapping を用いずに FHE を実現することで従来手法におけるノイズと計算量を削減する BGV スキームを提案した [14]．また従来の FHE が単一ユーザの利用を想定したものであったのに対し， López らは複合することなく異なる鍵で暗号化された暗号文同士の演算が可能な FHE スキームを提案した [17]．

Smart と Vecrauteren は 2012 年に polynomial-CRT(Chinese Remainder Theorem) に基づきベクトルの要素ごとの準同型和と準同型積の評価可能なパッキング手法を提案した（SV パッキング）[28]．Gentry, Halevi, Smart らは同じく 2012 年に， SV パッキンを FHE において使用する場合に，𝑇個のゲートで構成される算術演算回路を𝑇 ∙ 𝑝𝑜𝑙𝑦𝑙𝑜𝑔(𝜆)の時間計算量で評価する最適化手法を提案した（GHS 最適化）．さらに複合することなく暗号化されたベクトルの要素の位置を移動することを可能にした[25]．また， Brakerski は従来手法における暗号文のノイズが乗算の度に初期のノイズサイズの二乗に比例して増加していた問題に対して，初期のノイズサイズに対して線形的に増加するような手法を提案した[24]． FHE スキームの実装では， Ring-LWE 問題に基づく BGV スキームと NTRU に基づくスキーム [17][27]がノイズや計算量の面で最適と考えられているが．しかし NTRU ベースのスキームは部分的な実装にとどまっている[29]．一方， BGV スキームに加え SV パッキングと GHS 最適化をアセンブリと C++によって実装しているHElib が Halevi と Shoup によってオープンソースライブラリとして公開されているため，広く使われている[30][31]．よって本稿の実装においても HElib を使用することとした．

2.2. FHE の実用化に向けた研究

Gentry による FHE スキーム実現以降， FHE スキームを実装し実用的なアプリケーションへ応用する研究が盛んになっている[11][15][16][17][18]． FHE の実用化に向けた研究はシナリオによって 1) 秘匿検索（Private Information Retrieval），2)秘匿暗号化，3)安全

2 _{Amazon, http://www.amazon.com} 3 _{Google, https://www.google.com}

な委託データマイニング（Secure Outsourced Data Mining）に大きく分類できる．

1)秘匿検索への応用では，Hu らが信頼できないサーバに保存している暗号化されたデータに対して距離に基づく類似検索に関する問い合わせ手法を提案した [15]．また Dong と Chen は HElib を用いて暗号化されたビット列𝑋(𝑥#⋯ 𝑥L)に対して，クエリ 𝑞がビット列 𝑋の何番目𝑥>に存在するかを検索する手法を提案した[16]． 2)秘匿暗号化に関しては， López らが異なる鍵によって暗号化された暗号文同士の準同型演算を可能とし，複数の鍵で複合することのできる複数鍵（multikey） FHE を提案した [17]．これによって複数のユーザが保有するデータの情報を他のユーザとサーバに漏らすことなくお互いのデータを合わせてデータマイニングなどの処理を行うことができる． 3)安全な委託データマイニングへの応用では，Liu らが Apriori を用いて頻出パターンマイニングをクラウドに情報を漏らすこととなく委託計算する手法を提案している[11]．また Chu らはリンク構造のデータにおけるノード間の類似度のスコアとして知られる SimRank を FHE により秘匿計算する手法を提案した [18]． FHE の実用化に向けた研究ではユーザの入力データや出力結果の情報を漏らさずに両方のプライバシーを保証することと，FHE を用いることによって爆発的に増加する処理の計算量オーバヘッドを以下に小さくし高速化するかが問題となる．また，FHE ではセキュリティの問題から暗号化した状態で大小比較の結果を利用することができないため，Apriori などのアルゴリズムを実現する際にクライアントとサーバによって通信しながら最終的な結果を出力することになる[11]．そのため，いかに通信による計算時間増加を削減するかが鍵となる．本稿で扱う安全な委託データマイニングへの応用に関する研究では実用的な性能評価が十分に示されていないため，本稿では実用化に向けて Liu らの手法を高速化する手法を提案する．

2.3. 安全な委託頻出パターンマイニング

2.3.1. 概要

本稿で対象とする安全な委託頻出パターンマイニングについて説明する．データを保有するユーザがそのデータから有益な情報を獲得するためにデータマイニングを行う場合に，第三者が保有する計算機資源を利用することを委託計算と呼ぶ．この時，ユーザが Amazon2や Google3，Microsoft4といったクラウドを提供するプロバイダを完全に信用することのできない第

(4)

三者と判断した場合，データやマイニング結果をプロバイダに知られたくないというケースが考えられる．その場合，委託計算は図1 に示す以下の手順で行う． ① ユーザが自身のクライアントで生成した公開鍵を用いてデータを暗号化し，暗号化したデータと公開鍵をクラウド（サーバ）に送信する． ② クラウドにおいて暗号化されたデータに対して公開鍵を用いて復号することなくデータマイニングを行う． ③ ユーザが暗号化された結果を ① で使用した公開鍵とペアとなる秘密鍵によって復号しマイニング結果を得る．ここで，暗号化されたデータを対象に，データマイニングに関する委託計算をクラウド側で FHE を用いて行う技術を安全な委託データマイニング（Secure outsourced frequent pattern mining）と呼ぶ．

図 1 安全な委託データマイニング

2.3.2. 頻出パターンマイニング

本稿で扱うのは，データマイニングの中でも頻出パターンマイニングである．頻出パターンマイニングは，顧客の購買行動分析や店舗の商品棚の設計，商品販促などのアプリケーションへの応用が研究されている．アイテム集合を𝐼 = 𝑖#, 𝑖%, ⋯ , 𝑖O ，一回のトランザクションの識別子を𝑡𝑖𝑑Q，そのアイテム集合を𝑡Q⊆ 𝐼として与えられたトランザクションデータを 𝐷 = 𝑡𝑖𝑑#, 𝑡#, 𝑡𝑖𝑑%, 𝑡% , ⋯ , 𝑡𝑖𝑑L, 𝑡L ，トランザクション 𝑡𝑖𝑑L, 𝑡L に含まれるあるアイテム集合（アイテムセット）をパターン𝑝 ⊆ 𝐼とする．また，パターン 𝑝を含む 𝐷のトランザクション数をパターン𝑝のサポートとし，𝑝. 𝑠𝑢𝑝𝑝 とする．このとき，𝑝. 𝑠𝑢𝑝𝑝がユーザの定めた閾値であるミニマムサポート（𝑚𝑖𝑛𝑆𝑢𝑝）以上である場合，パターン𝑝を頻出パターンとして抽出する．頻出パターンマイニングでは，トランザクションデータ𝐷をスキャンして頻出パターンを全て挙げる．代表的なアルゴリズムとして，Apriori[34] や FP-Growth[35]が挙げられる．

2.3.3. Liu らの手法 :P3CC

著者が知る限り Liu らが 2015 年に初めて FHE を用いた安全な委託頻出パターンマイニング手法 P3CC （Privacy Preserving Protocol for Counting Candidates）を提案した[11]．Liu らの手法では頻出パターンマイニングアルゴリズムとして Apriori を対象とした．Apriori はアイテムセットに含まれるアイテム数をそのアイテムセットの長さとして，「長さ𝑘の非頻出アイテムセットを含む長さ𝑘 + 1のアイテムセットは必ず非頻出アイテムセットである」というコンセプトのもと候補を絞りながらボトムアップに頻出アイテムセットを数えあげるアルゴリズムである． Liu らの手法で用いられるトランザクションデータを表1 に示す．表 1トランザクションデータ D （Liuら論文Table 1[11]をトレース） Liu らの手法では，表 1（ a）のように与えられたトランザクションデータ D を表 1（ b）のように各行をト ランザクション，列をアイテムとしてトランザクションに含まれているかをビットによって表す行列に変換し Apriori を適用する𝐵𝑖𝑛𝑎𝑟𝑦𝐴𝑝𝑖𝑟𝑜𝑟𝑖(𝐷, 𝑚𝑖𝑛𝑆𝑢𝑝)アルゴリズム[35][36]を使用する．また，はじめに𝑀𝑎𝑠𝑘 𝐷 関数によってトランザクションデータ𝐷の行列の列と行を入れ替えることでトランザクション識別子やアイテム 𝐼の実質的な意味を隠している． 𝑘頻出アイテムセットの候補アイテムセット集合を𝐶Q，𝑘頻出アイテムセット集合を𝐿Qとして，𝐵𝑖𝑛𝑎𝑟𝑦𝐴𝑝𝑖𝑟𝑜𝑟𝑖アルゴリズム（以下）により，頻出アイテムセットを数え上げる． 1. 𝐷をスキャンして長さ 1のすべてのアイテムセット𝑐 （すべてのアイテム）のサポートを 𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡 𝑐, 𝐷 関数で数えあげて 𝐶#とする． 2. 𝐶#に含まれるすべてのアイテムセットついて，サポート𝑐. 𝑠𝑢𝑝𝑝が 𝑚𝑖𝑛𝑆𝑢𝑝以上であるものを 𝐿# に追加する． 3. 𝐿Qが空集合でない場合（初期値𝑘 = 1 ）， 𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡 𝐿> 関数によって長さ𝑘 + 1の候補アイテムセット𝐶QZ#を生成する． 4. {c|∀𝑐 ∈ 𝐶QZ#}に対して 𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡 𝑐, 𝐷 関数を用いサポートを算出する． 5. {c|∀𝑐 ∈ 𝐶QZ#}について，𝑐. 𝑠𝑢𝑝𝑝が 𝑚𝑖𝑛𝑆𝑢𝑝以上であるものを𝐿QZ#に追加する． 6. 𝑘 = 𝑘 + 1としてステップ 3 に進む． FHE では暗号化したまま大小比較ができない（仮に比較ができたとすると何らかの情報が漏れることに等しい）ため，Liu らの手法では，大小比較が必要な部分を一旦クライアントに返し判断する．つまり，サーバ・クライアント両者で通信しながら実行する．まず，クライアント側は，サーバ側でサポートをカ

(5)

ウントするために，公開鍵𝑝𝑘と暗号化されたトランザクションデータ𝐸(𝐷)をサーバに送る．トランザクションデータの行列において，トランザクション𝑛 ∈ {0,1, … , 𝑁}にアイテム 𝑚 ∈ {0,1, … , 𝑀}が含まれている場合を𝑛行 𝑚列目の要素 𝑥LOが 1 とする．P3CC では暗号化の際に表1（ c）のように行列で表されるトランザクションデータの一つの整数要素𝑥LOに対して一つの暗号文 𝑥′LOに暗号化したものが𝐸(𝐷)となる．次に，𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡関数により，以下のステップでアイテムセット𝑐 ∈ {0,1, … , 𝑀}のサポートをカウントする． 1. 𝑐に含まれるアイテム 𝑚 ∈ 𝑐の列ベクトル (𝑥#O… 𝑥dO)eのすべてに対して，要素同士 AND 演算を行う． 2. ステップ 1 によって得られたベクトル 𝑥#O O∈f ⋯ O∈f𝑥dO eの要素を全て足し合わせることで𝑐のサポート 𝑐. 𝑠𝑢𝑝𝑝を得る．ステップ 1,2 は論理演算により計算できるので，FHE を用いて演算することができる．図 2 に P3CC における𝐵𝑖𝑛𝑎𝑟𝑦𝐴𝑝𝑖𝑟𝑜𝑟𝑖の実現方法を示す．図2 のように，長さ𝑘の候補アイテムセット集合 𝐸𝐶 をクライアントで生成しサーバに送る．そして，サーバ側では，暗号化されたトランザクションデータ𝐸(𝐷) をスキャンし，候補アイテムセット集合に含まれる各々のアイテムセットのサポートを数える．しかし，候補アイテムセット集合𝐸𝐶は暗号化されていないため，攻撃者がP3CC のステップと𝐵𝑖𝑛𝑎𝑟𝑦𝐴𝑝𝑖𝑟𝑜𝑟𝑖 を実行していることが分かると，長さ𝑘の頻出アイテムセットを列挙するイテレーションの際にクライアントサイドから送られてくる長さ𝑘の候補アイテムセット集合𝐸𝐶から頻出アイテムセットの合計数を推定できてしまう可能性がある．例えば表 1 において，𝑎g_{, 𝑏}g_{, 𝑐}g は𝑀𝑎𝑠𝑘関数によって実際に何を表しているかサーバはわからないが，長さ 2 の候補アイテムセット集合 𝐸𝐶 = { 𝑎g_{, 𝑏}g _{, 𝑏}g_{, 𝑐}g _{, {𝑎}g_{, 𝑐}g_{}}から頻出アイテムセットが 3} つ存在することがわかる．そのため Liu らの手法では，アイテムセット集合に含まれるいかなるアイテムセットも頻出アイテムセットであるかどうかを α以下の確率でしか推定できないというα − 𝑝𝑎𝑡𝑡𝑒𝑟𝑛 𝑈𝑛𝑣𝑒𝑟𝑡𝑎𝑖𝑛𝑡𝑦と呼ぶ考え方を導入した．α − 𝑝𝑎𝑡𝑡𝑒𝑟𝑛 𝑈𝑛𝑣𝑒𝑟𝑡𝑎𝑖𝑛𝑡𝑦を実現するために，頻出アイテムセットから非頻出アイテムセットへの 1 𝛼 − 1 全単射を表す写像 𝑠ℎ𝑎𝑑𝑜𝑤 𝑚𝑎𝑝𝑝𝑖𝑛𝑔𝑠 を𝑠𝑀𝑎𝑝𝑠 から 𝑐 の 𝑠ℎ𝑎𝑑𝑜𝑤 𝑝𝑎𝑡𝑡𝑒𝑟𝑛𝑠 を生成する関数を 𝑠ℎ𝑎𝑑𝑜𝑤𝑠 𝑐, 𝑠𝑀𝑎𝑝𝑠 とする． 1 𝛼 − 1 全単射とは，頻出アイテムセット: 非頻出アイテムセット = 𝛼: 1 − 𝛼 の比で頻出アイテムセットから非頻出アイテムセットへの写像するような写像となる．つまり，𝛼 = 0.5のとき𝑠𝑀𝑎𝑝𝑠は全単射となり，𝛼 = 1のとき写像 𝑠𝑀𝑎𝑝𝑠は空集 5_{FIMI, http://fimi.ua.ac.be/data} 合を表す．関数𝑠ℎ𝑎𝑑𝑜𝑤𝑠 𝑐, 𝑠𝑀𝑎𝑝𝑠 は候補アイテムセット 𝑐 を 𝑠𝑀𝑎𝑝𝑠により写像し， 𝑐の要素数の (1 − 𝛼)/𝛼倍の要素数であるようなアイテムセット集合𝑠ℎ𝑎𝑑𝑜𝑤 𝑝𝑎𝑡𝑡𝑒𝑟𝑛𝑠を得る．ダミーデータであるアイテムセット集合 𝑠ℎ𝑎𝑑𝑜𝑤 𝑝𝑎𝑡𝑡𝑒𝑟𝑛𝑠と真の候補アイテムセット集合の和集合𝐸𝐶 = {𝑐 ∪ 𝑠ℎ𝑎𝑑𝑤 𝑝𝑎𝑡𝑡𝑒𝑟𝑛𝑠}に含まれる 𝑐の割合は 𝛼となり，α − 𝑝𝑎𝑡𝑡𝑒𝑟𝑛 𝑈𝑛𝑐𝑒𝑟𝑡𝑎𝑖𝑛𝑡𝑦を実現することができる．図 2 P3CCの概要図（[11]の Fig.2 をトレース）

P3CC では IBM Almaden Quest research group のジェネレータを用いて生成した人工データセット T10I6N50D5kL1k と FIMI5_{のデータセット}_{Chess におけ}

る実行時間の性の評価実験を行った．同ジェネレータではオプションを与えることで様々なデータセットを生成できる．表 2 にデータセットの表記と意味の対応表を示す．表 2 データセット表記の意味表記意味 T 1 トランザクションあたりのアイテム数 I パターンの平均長 N トランザクションデータ中のアイテム数 D トランザクション数(×1,000) L パターン数 P3CC の性能評価実験では， HP Pavilion dm4 laptop （CPU: Core i5, クロック数 : 2.50GHz, メモリ : 8GB）による実行時間が 100 日以上かかると報告されており実用的ではない．これは，ノイズが大きく準同型評価における計算量が大きい整数ベース DGHV スキー

(6)

ム[19]を採用しているのに加え，パッキングを利用せず一つの整数を一つの暗号文に暗号化しているため，扱う暗号文の数と𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡関数における演算数がトランザクション数𝑛，アイテム数 𝑚の入力トランザクションデータに対し𝑂(𝑛𝑚)のオーダーで増加しているためと考えられる．また，α − 𝑝𝑎𝑡𝑡𝑒𝑟𝑛 𝑈𝑛𝑣𝑒𝑟𝑡𝑎𝑖𝑛𝑡𝑦を導入するために，必要な演算数が1/𝛼倍に増加する．

3. 提案手法

従来手法である Liu らの手法 P3CC を高速化するために，提案手法では，1)FHE のスキームとして DGHV スキームの代わりに BGV スキームを用いることによる高速化，2)暗号化回数を削減するための SV パッキングの利用，という２つの戦略をとる。 DGHV スキームは，整数ベースの FHE スキームであり，整数ベースのFHE スキームは暗号文サイズが平文の約数千倍になることや，AND 演算の際に任意制度算術演算などの重い計算が準同型評価の大きなオーバヘッドになること，公開鍵サイズが大きくなってしまうことが問題である．このため，より計算量を少なくできるBGV スキームを採用する．次に，P3CC ではトランザクションデータの行列𝐷の要素𝑥LOを一つ一つ暗号化しているため，暗号文の数と𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡関数の演算数が大きくなる．この問題に対して，提案手法では，SV パッキングを用いてアイテムごとの列ベクトルを一つの暗号文に暗号化する．これにより，𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡における 𝑁個のベクトルの要素それぞれに対して𝑁回繰り返していた AND 演算を， 1 回の要素同士のベクトルAND 演算に削減する．実装には，BGV スキーム，SV パッキング，SV パッキングを BGV スキームで用いる GHS 最適化が実装されている HElib を用いる．

3.1. SV パッキングを用いた暗号化

SV パッキングは複数の整数をベクトルとして一つの暗号文に暗号化し，一度の暗号文同士の演算によって暗号化されたベクトルの要素同士の演算を実現するための手法である．SV パッキングは Smart と Vercauteren が提案した FHE スキームの平文空間を平文のスロット（plaintext slots）に分割し，それらを要素としてもつベクトルに対する要素同士の準同型評価を可能とする手法である．SV パッキングの平文空間の分割は中国剰余定理（Chinese Remainder Theorem ） [13][28]基づく． SV パッキングを用いて行う暗号文の要素数𝑙のベクトルの要素同士の加算と乗算をそれぞれ𝑙 − Add，𝑙 − Multとする．𝑝を素数， 𝑛を 2 の冪乘として，それぞれの平文スロットが有限体𝕂z= 𝔽|}に含まれる要素を持つと定義すると，二つの平文それぞれの𝑙個の平文スロット0, ⋯ , 𝑙 − 1は暗号化された要素 𝑚~⋯ 𝑚•€#∈ 𝕂L•，𝑚′~⋯ 𝑚′•€#∈ 𝕂L•を持つ２つの暗号文に暗号化される．この時，𝑙 − Addは 𝑚~+ 𝑚′~, ⋯ 𝑚•€#+ 𝑚′•€#を計算し， 𝑙 − Multは同様に 𝑚~∙ 𝑚′~, ⋯ 𝑚•€#∙ 𝑚′•€#を計算するような演算である． Ring-LWE ベースの FHE スキームを例に，平文スロットの代数的な構築方法について説明する．𝑋上の多項式や，その多項式の根を要素にもつ有限集合や整数の集合を𝐹 𝑋 で表す． 𝐹 𝑋 ∈ 𝔽%は 2 を法とする整数を係数に持つ N 次元の最高次項の係数が 1 であるような （モニック）多項式とする．このとき𝐹 𝑋 は，r 個の異 なる𝑑 = 𝑁/𝑟次元既約多項式に分解でき，以下のように表すことができる． 𝐹 𝑋 ≔ 𝐹> 𝑋 . ƒ >„# (1) 実際に𝐹 𝑋 は ℤ上の多項式の 2 を法に関する剰余をとった既約なモニック多項式とする．𝐹 𝑋 は集合 𝕂 = ℚ θ = ℚ X /(F)を定義する（ただし θを ℚの代数閉包の下で固定の根とする）．ここで，A ≔ 𝔽%[𝑋]/(𝐹)として中国剰余定理を用いることで次のような同型を得る． A ≅ 𝔽%𝑋 /𝐹#⊗ ⋯ ⊗ 𝔽%𝑋 /𝐹ƒ (2) ≅ 𝔽%Ž⊗ ⋯ ⊗ 𝔽_%Ž. (3) 例えば，Aは r 個の有限集合 𝔽_%Žに同型である．つまり，A上の計算は 𝑋に対して多項式 𝐹 𝑋 を法として剰余をとった多項式演算で定義することができる．ここでは，A上での計算を 𝔽%Žの要素それぞれに対する計算できることを明示する．ここで，𝜃>を𝔽%に関する代数閉包上で𝐹> 𝑋 の根とし，補助的な表記として𝕃>≔ 𝔽%[𝑋]/(𝐹>)とする．全ての 𝕃>は，以下の形で同型性が与えられ集合として同型である． Λ_>,‘∶ _𝛼(𝜃 𝕃>⟶ 𝕃‘ >) ⟼ 𝛼(𝜌>,‘(𝜃‘)), （ただし，𝜌>,‘(𝜃‘)は 𝕃‘上の𝐹>の根） (4) ここで，全ての𝑑の約数 𝑟に対して有限集合 𝕂_𝑛≔ 𝔽₂𝑛 は𝔽_%Žに含まれる．また，次元 n の既約多項式𝐾_L∈ 𝔽_%に対して𝕂Lを𝔽%𝑋 /𝐾L(𝑋)のように固定して表すことを想定するが，𝐾Lは通常アプリケーションによって決められる．さらに𝜓を 𝔽%の代数閉包の下で𝐾Lの根とする． 𝕂Lは先に定義した𝕃>に含まれているため，次のような準同型の単射を得る． 𝜓L,>∶ _{𝛼(𝜓) ⟼ 𝛼(𝜎}𝕂L⟶ 𝕃> L,>(𝜃>)), （ただし，𝜎L,>(𝜃>)は 𝕃>上の𝐾>(𝑋) の根） (5) ここで，この写像は𝛼(𝜓)の係数上で線形であることに注意する．この準同型単射を中国剰余定理と組み合わせることで，以下のような𝑙 ≤ 𝑟個の 𝕂Lから𝐴への準同型単射を得る．

(7)

𝜓L,>∶ 𝕂L• ⟶ A 𝜅#𝜓 , ⋯ , 𝜅• 𝜓 ⟼ 𝜅> • >„# 𝜎L,> 𝑋 ∙ 𝐻> 𝑋 ∙ 𝐺> 𝑋 . (6) 多項式𝐻>(𝑋)と 𝐺>(𝑋)は中国剰余定理によって与えられ，以下のように定義される． 𝐻> 𝑋 ← 𝐹(𝑋)/𝐹> 𝑋 , 𝐺>(𝑋) ← 1/𝐻> 𝑋 (𝑚𝑜𝑑 𝐹> 𝑋 ). (7) 𝕂L•の要素同士の加算と乗算を𝑙 − Add, 𝑙 − Multは， 𝑙 − Addは 𝕂L上でベクトルの𝑙個の要素同士の加算によって計算できる．一方𝑙 − Multは一度入力を 𝛤L,•によってA に写像し，A上で計算してから 𝛤L,•€#によって𝕂L•へと逆写像することで要素同士の乗算を計算する．𝕂L•の再構築の際に𝛤L,•(𝕂L•)が準同型単射であることから 𝛤L,•€#は常に存在し結果が正しく定義されることに注意されたい．以上のように平文を𝑙のスロットに分割し，暗号文同士の要素ごとの加算と乗算が可能になることを示した．さらに，GHS 最適化 [25]ではパッキングを平文のベクトルに戻す（Unpack）ことなくスロット間で要素を移動することを可能にした．

3.2. ベクトル演算によるサポートのカウント

提案手法においてもP3CC と同じく表 1（ b）のような行列で表されるトランザクションデータ𝐷に対して 𝐵𝑖𝑛𝑎𝑟𝑦𝐴𝑝𝑖𝑟𝑜𝑟𝑖アルゴリズムを用いる．しかし P3CC ではトランザクションデータ𝐷 の暗号化の際に表 1 (c) のように行列の要素𝑥LO毎に暗号化していた．提案手法では，図の各アイテム列ベクトル𝑣>(𝑖 ∈ 𝐼, 𝑣> = 𝑛)を SV パッキングを用いて暗号文𝑤>に暗号化する．これにより扱う暗号文の数が，P3CC ではアイテム集合の数が𝑚であり，トランザクション数が 𝑛の入力データに対して𝑚×𝑛個必要だったのが， 𝑚個に抑えることができる．また，𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡におけるステップを以下のようにベクトルの要素同士の演算に置き換える． 1. アイテムセット𝑐に含まれるアイテム 𝑚 ∈ 𝑐の要素数𝑛の列ベクトルを暗号化した 𝑤Oのすべてに対して，𝑛 − Multを行い要素同士の乗算を行う． 2. ステップ 1 で得られたベクトルの要素の総和を加算と回転を用いて計算する totalSums[30]演算をする．このようにサポートを数えることで，ステップ 1 で実行する計算量のオーダーを𝑂(𝑛𝑚)から 𝑂(𝑚)にし，ステップ2 では𝑂(𝑛)から 𝑂(𝑙𝑜𝑔𝑛)にすることができる [30]．

4. 評価実験

本節では，従来手法と提案手法の性能評価実験について述べる．

4.1. データセット

評価実験では Liu らの実験と同じく IBM Almaden

Quest research group のジェネレータにより生成された人工のデータセットT10I6N50D100L1k を用いる．

4.2. 実験結果

データセット T10I6N50D100L1k に対して，ミニマムサポート minSup (%) を 10%から 60%まで変化させながら，従来手法と提案手法の実行時間結果を計測する．実験結果を図 3 に示す．なお，今回の実験に用いたマ シンの CPU は Intel(R) Xeon(R) CPU E7-8857 v2 であり，メモリは 512GB である．図 3 P3CCと提案手法の実行時間比較結果上図図 3 を見てわかるように，最も計算量の大きい minSup が 10%の時にパッキングを用いる提案手法の方がパッキングを用いない P3CC に比べ 10 倍以上の高速化を示している．また，すべての minSup において提案手法が P3CC よりも高速化されている．これは，パッキングを用いない P3CC で生成される暗号文が 5000 個であるのに対し，提案手法では生成する暗号文を 50 個に削減しているため暗号化にかかる時間が削減されているためである．さらに，𝑐𝑜𝑢𝑛𝑡𝑆𝑢𝑝𝑝𝑜𝑟𝑡内部で P3CC が行う 100 個の暗号文同士の乗算が，提案手法では一回の乗算に削減されたことで計算量が小さくなっている．

5. おわりに

本稿では，FHE を用いた安全な委託 Apriori を SV パッキングを用いて高速化する手法を提案した．1)提案手法では，HElib を用いて従来手法を実装し，2)複数の整数をベクトルとして一括に暗号化できるパッキングを用いて暗号文の個数と暗号文同士の乗算を削減することにより高速化した．また，人工のデータセットを用いて性能を評価した結果，パッキングを用いない場合に比べ 10 倍以上の高速化を示した．本稿で対象にした Apriori に限らず，パッキングを用いた手法は秘匿検索や他のデータマイニングアルゴリズムに応用することができると考えられる．今後の課題としては， 1)MapReduce や Spark を用いた分散並列化による高速化と，2)FP-Growth や k-means など他のアルゴリズム 1 10 100 1000 10000 100000 10 20 30 40 50 60

実行時間（

s）

minSup(%) P3CC 提案手法

(8)

への応用を進めていきたい．

謝辞

本研究は，JST CREST の支援を受けたものである．

参考文献

[1] Gellman R., “Privacy in the clouds: risks to privacy and confidentiality from cloud computing.”, World privacy forum, 2012.

[2] Rizvi S.J. and Haritsa J.R., “Maintaining data privacy in association rule mining.”, 28th VLDB, pp.682-693, 2002. [3] Wang Y. and Wu X., “Approximate inverse frequent itemset

mining: Privacy, complexity, and approximation.”, 5th ICDM, pp.8-15, 2005.

[4] Evfimievski A., Gehrke J. and Srikant R., “Limiting privacy privacy breaches in privacy preserving data mining.”, 22nd PODS, pp.211-222, 2003.

[5] Qiu L., Li Y. and Wu X., “Protecting business intelligence and customer privacy while outsourcing data mining tasks.”, Knowledge and information systems 17(1), pp.99-120, 2008. [6] Atzori M., et al., “Anonymity preserving pattern

discovery.”, The VLDB Journal 17(4), pp.703-727, 2008. [7] Verykios V.S., et al., “Association rule hiding.”, IEEE Trans.

Knowledge and Data Engineering 16(4), pp.434-447, 2004. [8] Giannotti F., et al., “Privacy-preserving mining of association rules from outsourced transaction databases.”, Systems Journal 7(3), pp.385-395, IEE, 2013.

[9] Tai C.H., Yu P.S. and Chen M.S., “k-Support anonymity based on pseudo taxonomy for outsourcing of frequent itemset mining.”, 16th SIGKDD, pp.473-482, 2010. [10] Wong W.K., et al., “Security in outsourcing of association

rule mining.”, 33rd VLDB, pp.111-122, 2007.

[11] Liu J., et al., “Secure Outsourced Frequent Pattern Mining by Fully Homomorphic Encryption.”, Big Data Analytics and Knowledge Discovery, pp.70-81, Springer International Publishing, 2015.

[12] Gentry C., “A fully homomorphic encryption scheme.”, Doctoral dissertation, Stanford University, 2009.

[13] Smart N.P. and Vercauteren F., “Fully homomorphic encryption with relatively small key and ciphertext sizes.”, PKC, pp.420-443, Springer Berlin Heidelberg, 2010. [14] Brakerski Z., Gentry C. and Vaikuntanathan V., “Fully

homomorphic encryption without bootstrapping.”, 3rd ITCS, Cryptology ePrint Archive, Report 2011/277, https://eprint.iacr.org/2011/277.pdf, 2011 (accessed on 2016-1-7)

[15] Hu H., et al., “Processing private queries over untrusted data cloud through privacy homomorphism.”, 27th ICDE, pp.601-612, 2011.

[16] Dong C. and Chen L., “A Fast Single Server Private Information Retrieval Information Retrieval Protocol with Low Communication Cost.”, Computer Security-ESORICS 2014, pp.380-399, Springer International Publishing, 2014. [17] López-Alt A., Tromer E. and Vaikuntanathan V.,

“On-the-fly multiparty computation on the cloud via multikey fully homomorphic encryption.”, 44th STOC, pp.1219-1234, ACM, 2012.

[18] Chu Y.W., et al., “Privacy-preserving SimRank over Distributed Information Network.”, 12th ICDM, pp.840-845, 2012.

[19] Van Dijk M., et al., “Fully homomorphic encryption over the integers.”, Advances in cryptology-EUROCRYPTO 2010, pp.24-43, Springer Berlin Heidelberg, 2010. [20] Gentry C. and Halevi S., “Implementing Gentry’s

fully-homomorphic encryption scheme.”, Advances in Cryptology-EUROCRYPT 2011, pp.129-148, Springer Berlin Heidelberg, 2011.

[21] Coron J.S., et al., “Fully homomorphic encryption over the integers with shorter public keys.”, Advances in Cryptology-CRYPTO 2011, pp.487-504, Springer Berlin Heidelberg, 2011.

[22] Coron J.S., et al., “Public key compression and modulus switching for fully homomorphic encryption over the integers.”, Advances in Cryptology-EUROCRYPTO 2012, pp.446-464, Springer Berlin Heidelberg, 2012.

[23] Cheon J.H., et al., “Batch fully homomorphic encryption over the integers.”, pp.315-335, 2013.

[24] Brakerski Z., “Fully homomorphic encryption without modulus switching from classical GapSVP.”, Advances in Cryptology-CRYPTO 2012, pp.868-886, Springer Berlin Heidelberg, 2012.

[25] Gentry C., Halevi S. and Smart N.P., “Fully homomorphic encryption with polylog overhead.”, Advances in Cryptology-EUROCRYPT 2012, pp.465-482, Springer Berlin Heidelberg, 2012.

[26] Brakerski Z. and Vaikuntanathan V., “Fully homomorphic encryption from ring-LWE and security for key dependent messages.”, Advances in Cryptology-CRYPTO 2011, pp.505-524, Springer Berlin Heidelberg, 2011.

[27] Hoffstein J., Pipher J. and Silverman J.H., “NTRU: A ring-based public key cryptosystem.”, Algorithmic number theory, pp.267-288, Springer Berlin Heidelberg, 1998. [28] Smart N.P. and Vercauteren F., “Fully homomorphic SIMD

operations.”, Designs, codes and cryptography 71(1), pp.57-81, 2014.

[29] Bos J.W., et al., “Improved security for a ring-based fully homomorphic encryption scheme.”, Cryptography and Coding, pp.45-64, Springer Berlin Heidelberg, 2013. [30] Halevi S. and Shoup V., “Algorithms in helib.”, Advances

in Cryptology-CRYPTO 2014, pp.554-571, Springer Berlin Heidelberg, 2014.

[31] Shoup V. and Halevi S., HElib,

http://shaih.github.io/HElib/index.html. (accessed on 2016-1-9)

[32] Hu H., et al., “Processing private queries over untrusted data cloud through privacy homomorphism.”, 27th ICDE, pp.601-612, 2011.

[33] Dong C. and Chen L., “A Fast Single Server Private Information Retrieval Protocol with Low Communication Cost.”, Computer Security-ESORICS 2014, pp.380-399, Springer International Publishing, 2014.

[34] Agrawal R. and Srikant R., “Fast algorithms for mining association rules.”, 20th VLDB, pp487-499, 1994. [35] Han J., Pei J. and Yun Y., “Mining frequent patterns without

candidate generation.”, SGMOD Record 29(2), pp.1-12, ACM, 2000.

[36] Agarwal R., Aggarwal C.C. and Prasad V.V.V., “Depth first generation of long patterns.”, 6th SIGKDD, pp.108-118, ACM, 2000.

SVパッキングによる完全準同型暗号を用いた安全な委託Aprioriの高速化