JP2002533787A - 楕円曲線上での暗号操作の速度を高める方法 - Google Patents

Abstract

(57)【要約】 本発明は、楕円曲線点Q(x, y)とスカラーｋとの乗算の速度を高める方法であって、ｑが、楕円曲線上のすべての点Q(x, y)についてψ(Q) = λ・Qである自己準同型写像ψが存在するような素数べき乗である、有限体Fqの上の楕円曲線を選択するステップと、スカラーｋのより小さな表現k_iと写像ψの組合せを使用して楕円曲線点Ｑのスカラー倍数を算出するステップとを含む方法を提供する。

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】

本発明は、楕円曲線を利用して暗号システムで計算を実行する方法に関する。

【０００２】

【従来の技術】

公開鍵データ通信システムを使用して一対の通信者の間で情報を転送すること
ができる。交換される情報の少なくとも一部は、送信側により所定の演算によっ
て暗号化され、受信側は、送信側の演算に対して相補的な演算を実行してこの情
報を復号することができる。

【０００３】 各通信者は、秘密鍵と、秘密鍵に数学的に関係づけられた公開鍵とを有する。
この関係は、公開鍵の知識から秘密鍵を特定することができないような関係であ
る。各鍵は、転送すべきデータを暗号化するために、あるいはデータが真正であ
ることを検証できるように署名を添付するために、データの転送時に使用される
。

【０００４】 暗号化の場合、一方の通信者は、受信側の公開鍵を使用してメッセージを暗号
化し、受信側に送信する。次いで、受信側は秘密鍵を使用してメッセージを復号
する。

【０００５】 一方の当事者の公開鍵を他方の当事者の秘密鍵と組み合わせることによって共
通鍵を生成することもできる。このような場合には通常、各当事者の長期鍵が破
られるのを回避するため、通信セッションごとに新しい秘密鍵およびこれに対応
する公開鍵が生成され、これらの鍵は通常、セッション鍵または短命鍵と呼ばれ
る。

【０００６】 したがって、メッセージの交換および公開鍵の生成では、暗号化システムZ*p
において整数mod p（pは素数）の有限体を利用する際に指数演算を伴い、あるい
はシステムが楕円曲線を利用する際に同様な点乗算演算を伴う相当量の計算が行
われる。楕円曲線システムでは、秘密整数ｋを生成し、シード点Ｑで点乗算を実
行して短命公開鍵kQを形成することによって、短命鍵対が得られる。同様に、共
通短命セッション鍵を生成する場合は、公開鍵k₃Q、すなわち、曲線上の点に他
方の通信者の秘密整数k_bを乗じる必要があり、したがって、この場合も点乗算が
必要になる。

【０００７】 メッセージに署名する場合にも、送信側が自分の秘密鍵をメッセージに適用す
ることを除いて、同様な手順が使用される。この場合、任意の受信側が、送信側
の公開鍵を使用してメッセージを復元し検証することができる。

【０００８】 このような方式を実施するための様々なプロトコルが存在しており、そのうち
のいくつかは広く使用されている。しかし、それぞれの場合に、送信側は転送す
べき情報に署名するために計算を実行する必要があり、受信側は、署名された情
報を検証するために計算を実行する必要がある。

【０００９】 典型的な実行形式において、署名成分は以下の形式を有する。 s = ae + k (mod n) 上式で、楕円曲線暗号化システムにおいて、 Ｐは、基本曲線上の、システムの定義済みパラメータである点であり、 ｋは、短期秘密鍵またはセッション鍵として選択されたランダム整数であり、 R = kPは、これに対応する短期公開鍵であり、 ａは、送信側の長期秘密鍵であり、 Q = aPは、これに対応する送信側の公開鍵であり、 ｅは、メッセージｍおよび短期公開鍵Ｒの、SHA-1ハッシュ関数などの安全ハッ
シュであり、および ｎは曲線の次数である。

【００１０】 送信側は、ｍ、ｓ、およびＲを含むメッセージを受信側に送信し、署名は、Ｒ
に対応すべき値R¹ = (sP‐eQ)を算出することによって検証される。算出された
値が対応する場合、署名は検証されたことになる。

【発明が解決しようとする課題】

【００１１】 検証を実行する場合、点乗算を計算し、それぞれ計算が複雑なsPおよびeQを得
る必要がある。この場合、受信側が適切な計算力を有する場合には、特に問題は
ないが、セキュアトークン・アプリケーションや「スマート・カード」アプリケ
ーションのように受信側の計算力が限られている場合、このような計算によって
検証プロセスに遅延が生じる。

【００１２】 したがって、キー生成プロトコルおよび署名プロトコルは、大量の計算を必要
とする場合がある。暗号化が普及するにつれて、より高速であり、スマート・カ
ードや無線装置に見られるように限られた計算力を活用する暗号化システムを実
現する要求が高まっている。

【００１３】 楕円曲線暗号化（ECC）は、この計算問題を解決する。ECCでは、鍵および証明
書のサイズを縮小することができ、それによって、必要なメモリが低減し、コス
トが著しく節約される。ECCは、コストを著しく削減することができるだけでな
く、次世代アプリケーションにおけるスマート・カードの普及を促進する。また
、ECCアルゴリズムによって鍵サイズを縮小することができるが、より大きな鍵
を用いる他のアルゴリズムと同じレベルのセキュリティが維持される。

【００１４】 しかし、暗号化装置の低い生産コストを維持しながら情報転送速度を高めるた
めに、依然として、鍵に対する計算をより高速に行う必要がある。

【００１５】 楕円曲線上の点の倍数を算出することは、楕円曲線暗号化で最も頻繁に実行さ
れる計算の１つである。このような計算の速度を高める１つの方法は、事前計算
された点の倍数のテーブルを使用することである。この技法は、点が事前にわか
っているときにさらに有用である。しかし、未知の点の倍数が必要になる場合が
ある（たとえば、ECDSA検証）。したがって、点乗算を容易にするシステムおよ
び方法が必要である。

【００１６】

【課題を解決するための手段】

一般に、本発明は、スカラーｋを、成分k_iと、基本曲線で自己準同形写像から
導かれる整数λとの組合わせとして表す。

【００１７】 この方法は、有限体の上に写像される複素乗算を有する楕円曲線（EC）が与え
られた場合、複素乗算写像と点Ｑにλを乗じることが等しくなる二次方程式の解
λが存在する、という考えに基づく方法である。λを整数とみなしてEC乗算を実
行するのと比べて、複素乗算写像を介してλQを算出する方がコストが低いこと
が多い。実際には、他のスカラー（λ以外）による点乗算が必要になる。乗算写
像を使用して点の他の倍数を算出できることも示す。

【００１８】 本発明によれば、楕円曲線点Q(x, y)にスカラーｋを乗じる速度を高める方法
であって、 楕円曲線上のすべての点Q(x, y)についてψ(Q) = λ・Qである自己準同形写像
ψが存在するように、有限体Ｆの上の楕円曲線を選択するステップと、 スカラーｋのより小さな表現k_iと写像ψとの組合わせを使用して楕円曲線点Ｑ
のスカラー倍数を算出するステップとを含む方法が提供される。

【００１９】 本発明の好ましい実施形態のこれらおよび他の特徴は、添付の図面が参照され
る以下の詳細な説明でより明らかになろう。

【００２０】

【発明の実施の形態】

以下の説明では、同じ符号は各図面中の同じ構造物を指す。図１を参照すると
、データ通信システム10は、通信チャネル16によって接続され、送信側12および
受信側14として指定された一対の通信者を含む。各通信者12、14は、デジタル情
報を処理し、この情報を後述のようにチャネル16を通して送信する準備をするこ
とのできる暗号化プロセッサ18、20をそれぞれ含む。プロセッサ18、20は、プロ
セッサに組み込まれた集積回路で実現するか、あるいは汎用プロセッサと共に所
定のプロトコルを実施するようにデータキャリア上に符号化された命令として実
現することができる。図をわかりやすくするために、通信者12は、比較的限られ
た計算力を持つ専用プロセッサ18を有するスマート・カードの形であると仮定す
る。好ましくは、プロセッサ20は、チャネル16によってカードと通信する中央サ
ーバであり、チャネル16は無線通信チャネルである。

【００２１】 暗号化プロセッサ18は、ECCの楕円曲線暗号化システムを実現し、また暗号化
プロセッサ18の機能の１つは、整数であるｋと、基本楕円曲線上の点であるＱと
を暗号化方式における鍵対k、kQとして使用できるように、k・Qの形の点乗算を
実行することである。上記で指摘したように、楕円曲線点とスカラー値の乗算な
どの暗号化計算はコストがかかる。

【００２２】 楕円曲線点Q(x, y)のスカラー乗算の速度を高める方法は、図２に示されてお
り、全体的に符号50によって示されている。本発明のアルゴリズムは、プロセッ
サ12がたとえば、特定の種類の楕円曲線に関してメッセージに署名しメッセージ
を検証する速度を高める。この方法は、F_q（qは素数べき乗）として例示された
有限体上の楕円曲線Ｅに関する以下の一般的な数式が与えられ、 y² + a₁xy + a₃y = x³ + a₂x² + a₄x + a₆ （１） 自己準同形写像ψが存在し、楕円曲線上のすべての点Q(x, y)点についてψ(Q) = λ・Qである場合、点Ｑと整数ｋとの乗算は、ｋのより小さな表現k_iと写像ψと
の組合わせを利用することによって速度を高めることができるという考えに基づ
く方法である。写像ψは、kQに関する後の計算で使用できる群要素およびそれら
の組合わせを事前に算出することも可能にする。

【００２３】 次に図２を参照すると、楕円曲線上の点乗算の速度を高める一般的な実施形態
のフローチャートが符号50で示されている。まずシステム・パラメータが選択さ
れる。最初のステップとして、ある特性を有する基本楕円曲線Ｅが選択される。
本発明の第１の実施形態では、一般化された楕円曲線（１）を以下の形式で表す
ことができる。 E: y² = x³ + b mod p（Ｐは素数） （２）

【００２４】 まず、γ∈F_p（Fpはすべての整数mod pから成るサイズｐの体である）であり
、かつγ³ ≡ 1 mod p（１の立方根）である数γが存在するように係数ｐを求め
ることができる。たとえば、p = 7である場合、2³ mod 7 = 1であるので、γ =
2である。このようなγはすべてのｐに対して存在するわけではなく、したがっ
て、ｐの値を選択する際にはこのことを考慮しなければならない。通常、適切な
暗号強度を得るには、選択されるｐの長さが少なくとも160ビットであるべきで
ある。

【００２５】 曲線Ｅが選択された後、写像関数ψが求められる。写像関数ψ: (x,y)→(γx,
y)は、曲線上の点のある組を曲線上の点の別の組に写像するに過ぎない。楕円曲
線Ｅ上の当該のすべての点Q(x, y)点についてψ(Q) = λ・Qになるような整数λ
が存在する。この整数λは、λ³ ≡ 1 mod nであることに留意することによって
求めることができる。この場合、ｎは、F_pの上にある楕円曲線Ｅ上の点の数、す
なわち、E(F_p)上の点の数である。λ³ ≡ 1のλに複数の解が存在する場合があ
るが、写像関数ψを満たす解は１つだけである。γ³ mod p = 1であるので、Ｑ
とψ(Q)の両方がＥに関する数式を満足する。したがって、長い計算を実行して
λによる乗算の結果を求める代わりに、λによる乗算を非常に効率的に実行でき
るように写像関数の結果を使用して非常に効率的にこれを行うことができる。

【００２６】 シード点Ｑが選択され、52に示すように、製造時に、システム・パラメータＥ
、ｐ、Ｑ、λ、ψ(Q)、およびγが、暗号化プロセッサ18によって使用できるよ
うにカード12に記憶される。暗号化、鍵一致、署名などの暗号化手順を実施する
には、短命秘密鍵ｋとして使用される整数ｋを選択し、対応する公開鍵kQを生成
する必要がある。

【００２７】 ｋの値は次式ように表すことができる。 k = (k₀ + k₁λ) mod n （３）

【００２８】 上式で、ｎはE(F_p)上の点の数であり、k₀およびk₁は整数である。この場合、
点k・Qは次式のようになる。 k・Q = (k₀Q + k₁λQ) mod n （４）

【００２９】 いくつかの暗号演算の場合、ｋの値をランダムに選択することができ、このよ
うな場合、ｋを選択するのではなく、符号ビットを含まない長さ[log₂(n)]/2の
、k₀およびk₁の値をランダムに選択し（すなわち、k₁の長さとして、長さｋの少
なくとも２分の１の長さが選択される）、次いで数式（３）を使用してｋの値を
算出することが可能である。図２に54で示すようにk₀、k₁の値を選択した後、Me
nezesらによって「Handbook of Applied Cryptography」（HAC）に記載された「
Simultaneous Multiple Exponentiation」（アルゴリズム14.88）に類似してお
り、56に示されているアルゴリズムを使用して数式（４）の右辺を高速に計算す
ることができる。都合上、このアルゴリズムを以下に再現する。加群において、
べき乗が加算に類似しており、したがって、このアルゴリズム内の乗算を加算で
置き換えると以下の手順が得られる。

【００３０】アルゴリズム１ 同時多重加算 入力：群要素g₀, g₁, … g_l-1および負でないｔビット整数e₀, e₁, … e_l-1。 出力：g₀e₀ + g₁e₁ + … + g_l-1e_l-1。 ステップ１。事前計算。ｉが０から(2^l‐1)に対して、

【数２】 上式で、i = (i_l-1 . . . i₀)₂である。 ステップ２。A←0 ステップ３。ｉが１からｔに達するまで、以下のことを実行する。 A←A+A、A←A+G_l ステップ４。（Ａ）を返す。この場合、A = g₀e₀ + g₁e₁ + … + g_l-1e_l-1

【００３１】 このアルゴリズムを数式（４）に適用すると、２つの群要素g₀、g₁、すなわち
ＱおよびλQがあり、したがって、２つの整数e₀、e₁、すなわちk₀、k₁があるこ
とがわかる。このアルゴリズムでは、いくつかの値を事前に算出することができ
、最初にG_iが算出される。l = 2によってG_iを事前に算出した結果をテーブル１
（表１）に示す。

【表１】

【００３２】 点加算：（Q + ψ(Q)）を実行して点を作成した後、算出済みの要素をテーブ
ル１に記入してテーブル２（表２）を作成することが可能である。図２のステッ
プ58に示すように、これらの要素を事前に算出しメモリに記憶することができる
。

【表２】 G_Iiを求め、したがって、60に示すようにI₁からI_tを求めないかぎり、アルゴリ
ズムのステップを実行することはできない。k_iの２進表現を使用して概念行列ま
たは組合わせテーブルを作成することができる。たとえば、k₀ = 30でありk₁ =
10である場合、k₀からk₁の２進表現内の最大ビット数が５であるのでｔは値５を
有する。k₀からk₁の２進表現で作成された概念行列をテーブル３に示す。I_iは、
第１の行が最下位ビットを含み、第２の行が次の下位ビットを含み、以下同様で
あるｉ番目の列に表された数によって決定される。したがって、テーブル３（表
３）から、I₁ = I₂ = (11) = 3、I₃ = (01) = 1、I₄ = 3、およびI₅ = 0である
ことがわかる。

【表３】

【００３３】 このアルゴリズムを完了するのに必要なすべての成分を得ることができ、62に
示すようにステップ３の反復が行われる。

【００３４】 最初はA←Oであり、ｉは１に設定される。I_i = I₁であり、これはテーブル３
から１に等しい。したがって、G_I1はG₁であり、これはテーブル２からＱである
。したがって、I = 1の場合の反復によるＡの値はO + Q = Qである。

【００３５】 i = 2である次の反復の場合、Ａの初期値はＱであり、したがって、A← Q+Q = 2Qであり、テーブル３からI_i = I₂ = 3である。したがって、G_I2はテーブル３
からG₃に等しく、すなわち、Q + ψ(Q)である。

【００３６】 したがって、A + G_Iiは2Q + Q +ψQ = 3Q +ψQと算出される。

【００３７】 反復は、５回目の反復まで、すなわち、koq = k,λQの値、すなわちkQが算出
されるまで、テーブル４（表４）に記載されたｉの値ごとに継続される。

【表４】

【００３８】 各反復では、点倍加（A+A）および点加算（A+G_Ii）が必要である。ただし、場
合によっては、G_Iiの値はＯであり、この場合、計算量が削減される。

【００３９】 したがって、この方法では、max{log₂(ki)}に等しい数の点倍加と、ほぼ同数
の点加算が必要であることがわかる。点加算の数は、ウィンドウ技法（アルゴリ
ズム14.85 HAC）および指数再符号化技法を使用して削減することができる。ｉ
およびG_iの値を事前に算出することができるので、事前に算出された適切な要素
G_iをテーブル２から検索することによって点加算を容易に実行することができる
。kPが算出された後、チャネル16を介した暗号化伝送または署名伝送において通
信者12の短命公開鍵としてこのkPを使用することができる。

【００４０】 簡単に言えば、暗号化やDH署名などの暗号化演算の場合、整数ｋが必要であり
、対応する公開鍵kQが算出される。それぞれ、長さｎの２分の１の長さを有する
、値k₀およびk₁がランダムに選択され、適切なアルゴリズムを使用して項k₀Q =
k₁λQが生成される。ｋをこのように選択すると、この方法は、ｋ自体をランダ
ムに生成するのと同程度に安全であると思われる。もちろん、効率を向上するた
めにより少ないビット数のk_iを選択することが可能である。

【００４１】 上記の技法において、k = k₀ + k₁λを書き込み、同時に組み合わせる方法に
よって、同時多重加算アルゴリズムの速度が高められる。k = k₀ + k₁λを書き
込む技法は、スカラー乗算技法、すなわち、ワインディング、組合わせなどと共
に使用することもでき有利である。

【００４２】 いくつかの写像ψでは、３つ以上の下位要素ｋ（sub k）を使用することも可
能である。いくつかの写像ψでは、k = k₀ + k₁λ + k₂λ²を書き込み、同時多
重加算アルゴリズムを適用することによってｋの値を算出することができる。

【００４３】 本発明の第２の実施形態では、一般化された楕円曲線式（１）の異なる形式、
すなわち、 y² = (x³ ‐ ax) mod p （５） が使用される。この場合も、ｐは少なくとも160ビットを有する素数である。こ
の種の曲線の場合、γに必要な特性が異なる。この場合、γ² = ‐1 mod pにな
るような値を求める必要がある。γの特性を変更するには、異なる写像関数ψ’
を使用する必要がある。この実施形態では、写像は形式ψ’：(x, y) → (‐x,
γy)をとる。(x, y)が曲線上にある場合はψ’(x, y)も曲線上にある。この場合
、λ⁴ ≡ 1 mod n（ｎはこの場合も、E(F_p)上の点である）、したがってλを算
出することができる。写像ψ’(Q) = λ・Qは前述のように実行され、この場合
も、この曲線に対してλによる乗算を非常に効率的に行うことができる。この実
施形態のｋに関する数式は、第１の実施形態と同じであり、次式によって表され
る。 k = (k₀ + k₁λ) mod n （６） この数式は、前の実施形態と同じであり、２つの群要素のみを有する。したがっ
て、アルゴリズム１の群要素ＱおよびQ+ψ’(Q)を使用して点k・Qを算出するこ
とができる。この計算では、max{log₂(k_i)}に等しい数の点倍加と、同様な数の
点加算が必要である。前述のように、ウィンドウ技法および指数再符号化技法を
使用して点加算の数を削減することができる。

【００４４】 この方法は、効率的に算出できる自己準同形写像ψが存在するかぎり、他の楕
円曲線にも適用することができる。

【００４５】 上記の実施形態は、ｋをランダムに選択することができ、したがって、k₀およ
びk₁を選択することができるものと仮定し、ｋを求めている。ｋを選択すること
が可能な暗号化プロトコルの場合、まず、k = (k₀ + k₁λ) mod nになるように
ｋの所与の値から所望の「短い」形式のk₀、k₁を求める必要がある。場合によっ
ては、３つ以上のｋを使用することができ有利である。

【００４６】 上述の実施形態でわかるように、事前に点がわかっているときは、テーブルを
作成して乗算の速度を高めることができる。しかし、未知の点の倍数が必要にな
る場合があり（たとえば、これはECDSA検証で起こる可能性がある）、その場合
、与えられたｋの値をとり、次いでk_iの適切な表現を決定する必要がある。

【００４７】 したがって、第３の実施形態では、システム・パラメータおよび値ｋが与えら
れ、点Ｑ、必要な倍数ｋ、および複素乗算倍数λが既知である。所定のｋの値か
ら「短い」k_iを求める必要がある。これを行う方法を以下に説明し、図３のフロ
ーチャートに示す。（ｋを必要としない）事前計算として、a_iおよびb_iがｎより
も小さな数になるような２つの関係を算出する。 a₀ + b₀λ = 0 mod n a₁ + b₁λ = 0 mod n a_iおよびb_iはできるだけ小さいことが好ましいが、本発明の方法は、a_iおよびb_i が最小限でないときでも有利である。a_iおよびb_iが共に小さな対a_iおよびb_iは、
小さなユークリッド長を有するベクトルu_iとみなすことができる。通常、後述の
方法では、最初のｋのサイズの２分の１の表現を有するk₀およびk₁が生成される
。

【００４８】 本実施形態では、事前に算出された短いベクトル表現を使用して以下の形式の
数式を得ることによって、kQを効率的に算出することができる。 k₀Q + λk₁Q

【００４９】 これは、事前に算出されたベクトルを使用して、ｋの知識を必要としない分数
f₀およびf₁を導くことによって行われる。ベクトルｚは、分数f₀およびf₁とｋを
組み合わせることによって生成される。ベクトルｚを使用して、v’ = (v₀’, v ₁ ’)である第２のベクトルv’が算出され、kQの値が、

【数３】 として算出される。この解を得る方法を以下に詳しく説明する。

【００５０】 小さなa_iおよびb_iを作成する場合、L₃、すなわち、短い基底ベクトルが直接得
られる格子基底削減アルゴリズム（HAC、118ページ）を利用することが可能であ
る。しかし、この好ましい実施形態では、簡単な拡張ユークリッド・アルゴリズ
ムが対（n, λ）に対して使用される。（n, λ）に対する拡張ユークリッド・ア
ルゴリズムにより、ｉに応じてr_iの表現（たとえば、ビット長）が小さくなり、
c_iおよびd_iの表現が大きくなる線形組合わせc_in + d_iλ = r_iが作成される。

【００５１】 拡張ユークリッド・アルゴリズムを使用した結果として得られた|(d_i, r_i)|の
２つの最小値が保存される。これらのベクトルのサイズが、平方ユークリッド基
準|(d_i, r_i)| = d_i ² + r_i ²を用いて測定される。これらの最小関係の項は、 および として示され、通常、アルゴリズムの中央で得られる。最小関係が保持されない
場合でも、この方法は、部分最適関係により、依然として点倍数の計算において
有利である。

【００５２】 a_iおよびb_iの値は、すべて事前に算出することのできる および を定義することによって作成することができる。

【００５３】 次のタスクは、倍数ｋの小さな表現を求めることである。

【００５４】 a₀、b₀およびa₁, b₁の計算が与えられた場合、u₀ = (a₀, b₀)でありu₁ = (a₁,
b₁)であるベクトルu₀, u₁を指定することが可能である。これらのベクトルはa_i + b_iλ = 0 (mod n)を満たす。群要素Ｑにベクトルv = (v₀, v₁)を乗じること
は(v₀ + v₁λ)Qとして定義される。a_i + b_iλ = 0 (mod n)であるので、任意の
群要素Ｒについてu₀R = u₁R = 0が成立する。したがって、任意の整数z₀およびz ₁ のの場合、任意の群要素Ｒについてv’R = (v ‐ z₀u₀ ‐ z₁u₁)Rが成立する。

【００５５】 整数z₀およびz₁としては、ベクトルv’ = v ‐ z₀u₀ ‐ z₁u₁ができるだけ小
さな成分を有するような整数が選択される。この場合も、この方法は、v’の成
分が小さい場合に利点を有し、該成分が必ずしも最小限でない場合でも利点を有
する。

【００５６】 適切なz₀およびz₁は、vの基底を正規直交基底{u₀, u₁}に変換することによっ
て算出される。基底間の変換では行列乗算が行われる。ベクトルv = (v0, v1)を
{u0, u1}基底から標準基底{(1, 0), (0, 1)}に変換する場合、次式が成立する。

【数４】 他方の方向、すなわち、正規直交基底{(1, 0), (0, 1)}から(u₀, u₁)基底に変換
する場合、乗算は単にＭの逆数によって行われる。

【数５】

【００５７】 ベクトルv = (k, 0)がゼロ成分を有するので、逆数（Ｍ）の下の行は必要とさ
れず、したがって、{u₀, u₁}に変換する場合に必要なのは次式の分数だけである
。

【数６】 および

【数７】

【００５８】 分数f₀およびf₁の演算を乗算のみで行うことができるように、これらの分数を
十分な精度に事前に算出しておくことができる。これらの分数をもたらす計算が
ｋに依存せず、したがって、楕円曲線がシステム・パラメータとして選択される
際にこれらの分数を１度算出することができ、各ｋごとに再計算する必要はない
。同様に、ベクトルv、u₀、およびu₁を事前に算出し記憶することができる。

【００５９】 ｋの値が選択されるか、あるいは求められた後、まず、ｚが(z₀, z₁) = (roun
d(kf₀), round(kf₁))として定義されるz = (z₀, z₁)を計算することによってkQ
の値を算出することができる。ｚの近傍の他のベクトルも有用であり、したがっ
て、丸めを床関数または天井関数、あるいは何らかの他の近似で置き換えること
ができる。

【００６０】 適切なｚが求められた後、v’ = (v₀’, v₁’) = v ‐ z₀u₀ ‐ z₁u₁によって
v(k, 0)の効率的な等価物が算出される。「効率的な等価物」の句は、v’P = vP
およびv’が小さな係数を有するようなベクトルv’を意味する。この場合、値kQ
はv₀’Q + v₁’λQとして算出される。この値は、上述のように同時点加算を使
用して算出することができ、上記で説明し、かつH.A.C.14.7の627ページに記載
されているように非隣接形式（NAF）再符号化を使用することによってより高い
効率を得ることができる。したがって、ｋが所定の値である場合でも、k₀および
k₁の値を算出し写像関数と共に使用してkQの値、したがって、鍵対k、kQを得る
ことができる。

【００６１】 ｋを３つの部分k = k₀ + k₁λ + k₂λ²に分離する場合、L³行削減によって
、次式のような小さなベクトルを得ることができる。

【数８】

【００６２】 二次元の場合と同様に小ベクトル等価物（三次元行）を得ることができる。

【００６３】 これらの方法を使用してk・Qの値を求めると、暗号化プロセッサ12によって必
要とされる処理能力が大幅に低減される。また、このような反復計算が行われる
速度が高められ、それによって、情報を転送するための時間が短縮される。

【００６４】 当然のことながら、スカラー倍数ｋが短縮成分k = k₀ + k₁λ + k₂λ² + . .
. k_m-1λ^m-1で表された後、同時多重加算アルゴリズムの代わりに、あるいはこ
のアルゴリズムと共に、効率的な楕円曲線スカラー乗算を行うための他の方法を
使用することができる。このような方法には、ウィンドウ技法（固定およびスラ
イド）、組合わせ技法、ビット再符号化技法、およびこれらの技法の組合わせが
含まれる。

【００６５】 特に有益なある技法では、乗算の一成分、たとえばk₀に関して作成されたテー
ブルを他の成分k₁などに再使用することができる。これは、必要に応じて写像γ
を適用することにより、算出されたテーブル要素を変換することによって行われ
る。

【００６６】 他の例として、ｋをk = k₀ + k₁λ + k₂λ²として再設定することができ、ｋ
がｍビットを有し、k_iが約m/3ビットを有する実施形態について以下に説明する
。

【００６７】 成分k_iは、求められた後、２進表現から、より少ない非ゼロ・ビットを有する
符号付き２進表現に再符号化することができる。この再符号化は、表現k_i内のあ
らゆる１ビットまたは‐1ビットが符号付き２進文字列内で他の非ゼロに隣接し
ないような非隣接形式（NAF）をとることができる。

【００６８】 各k_iが再符号化された後、k_iλⁱPの計算を助けるためにテーブルを作成するこ
とができる。

【００６９】 NAFウィンドウ・テーブルは、λⁱPのある短ビット長倍数を事前に算出するた
めのテーブルである。このウィンドウの幅によってテーブルのサイズが決定され
る。k_iが、隣接する非ゼロを有さないように再符号化されているので、奇数ウィ
ンドウ幅が適切である。３ビット幅NAFウィンドウは以下のものを含む。

【数９】

【００７０】 再符号化k_iは、このようなウィンドウを連結し、必要に応じてゼロを充填する
ことによって作成される（H.A.C.、616ページ）。

【００７１】 あらゆる非ゼロ・ビットではなく、発生するあらゆるウィンドウごとにのみEC
点を加算または減算するだけでよいので、このテーブルを使用することによって
必要な加算数を削減することができる。

【００７２】 したがって、まず、この技法はk₀Pの計算に適用される。

【００７３】 k₀Pの計算のために作成されたテーブルは、演算子γを使用してテーブル要素
にψ写像が写像される場合にk_iλP計算に適用することができる。同様に、k₀P用
に作成されたテーブルを使用するが、テーブル要素にγ²を写像することによっ
て、k₂λ²Pの速度を高めることができる。

【００７４】 スライド・ウィンドウ技法を該成分に適用する際に、実行する必要があるのは
１組の倍加だけである。

【００７５】 好ましい実施形態のこの例を示すために、以下の例を使用する。

【００７６】 k = [101101011101]₂ + [111010101101]₂λである場合、 以下の再符号化を行う。 k = [10-100-10-100-101] + [1000-10-10-10-101]λ = k’₀ + k’₁λ

【００７７】 1・P、[10-1]・P、[101]・Pを含む、Ｐに関する３ビット・ウィンドウ・テー
ブルが事前に算出される。この場合、２回のEC加算および２回のEC倍加が必要で
ある。

【００７８】 この後、テーブルの要素を加算／減算することによって、kPを以下のように算
出することができる。 kP = [10-100-10-100-101]P + [1000-10-10-10-101]・λP これは、累算器Ａを使用して以下のように行うことができる。 A←0 ；初期設定 A += ψ(1・P) ；k₀’の上位ビットを消費する。 A ← 2A ；Ａを倍加する。 A ← 2A A ← [10-1]P ；k₀’の上位３ビットを消費する。 A ← 2⁴A A‐= [101]ψP ；k₁’の３ビット・ウィンドウを消費する。 A ← 2A ；Ａを倍加する。 A‐= [101]P ；k₁’の３ビットを消費する。 A ← 2⁴A A‐= [101]ψP ；k₁’の３ビットを消費する。 A ← 2²A A‐= [10-1]P ；k₀’の最後のビットを消費する。 A + =ψP ；kPを生成する。

【００７９】 簡単に言えば、前述の技法は以下のとおりである。楕円曲線Ｅおよび自己準同
形写像ψが与えられた場合、すべての点Q∈EについてλQ = ψ(Q)になるような
対応する整数λが存在する。整数ｍを選択し、同等な数ｍの「短基底ベクトル」
b₁, b₂, . . . , b_mを算出する。このような基底ベクトルはそれぞれ整数に対応
し、そのような整数はそれぞれ、点の数n = #E(F_p ^m)（すなわち、点の数）で除
することができる。次に、整数ｋ（0 < k < n）が与えられた場合、k_iとして「
短い」ベクトルが選択されるk = Σk_i・λⁱと書くことができる。これは、b₁, b ₂ , …, b_mによって生成された格子内の（ｋを表す）あるベクトルと近傍のベク
トルとの差を求めることによって行われる。

【００８０】 以下の実施形態では、複合体の上に画定された楕円曲線に前述の技法（自己準
同形写像および基底変換および「Shamir’s trick」）を適用することについて
明白に説明する。特に、ｐが奇素数である曲線E(F_p ^m)への適用について説明する
。以下の実施形態ではこのような曲線に対する技法を例示する。

【００８１】 この技法について、写像ψがフロベニウス写像ψ(x, y) = (x^p, y^p)であり、A
, B∈F_pであるE’_A,B(F_p ^m)が使用される場合において説明する。

【００８２】 この場合、フロベニウス写像がψ² ‐ tψ + p = 0を満たし、t = p + 1‐#E(
F_p ^m)であることがわかっている。

【００８３】 したがって、λ² ‐ tλ + p = 0 mod nであり、またλ²⁺ⁱ ‐ tλ¹⁺ⁱ + pλⁱ = 0 mod nである。

【００８４】 以下のベクトルが、ベクトル空間Qn空間のｍ個の「短」基底ベクトルで構成さ
れている。

【数１０】 したがって、このような曲線に対するk・Qを計算する場合、ベクトルb₁, b₂, …
b_mおよび前述の技法を使用することができる。

【００８５】 上記の実施形態では、k, λQをψ(kQ)から得ることができ、写像が加算よりも
効率的であることが理解されよう。

【００８６】 本発明を特定の実施形態を参照して説明したが、当業者には、添付の請求の範
囲に記載された本発明の趣旨および範囲から逸脱しない本発明の様々な修正形態
が明らかになろう。

【図面の簡単な説明】

【図１】 通信システムの概略図である。

【図２】 本発明の第１の実施形態を実施する各ステップを示すフローチャ
ートである。

【図３】 図２の方法を実施するために必要なパラメータを与えるステップ
を示すフローチャートである。

【手続補正書】

【提出日】平成１３年８月１０日（２００１．８．１０）

【手続補正１】

【補正対象書類名】明細書

【補正対象項目名】発明の詳細な説明

【補正方法】変更

【補正の内容】

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】 本発明は、楕円曲線を利用して暗号システムで計算を実行する方法に関する。

【０００２】

【従来の技術】 公開鍵データ通信システムを使用して一対の通信者の間で情報を転送すること
ができる。交換される情報の少なくとも一部は、送信側により所定の演算によっ
て暗号化され、受信側は、送信側の演算に対して相補的な演算を実行してこの情
報を復号することができる。

【０００３】 各通信者は、秘密鍵と、秘密鍵に数学的に関係づけられた公開鍵とを有する。
この関係は、公開鍵の知識から秘密鍵を特定することができないような関係であ
る。各鍵は、転送すべきデータを暗号化するために、あるいはデータが真正であ
ることを検証できるように署名を添付するために、データの転送時に使用される
。

【０００４】 暗号化の場合、一方の通信者は、受信側の公開鍵を使用してメッセージを暗号
化し、受信側に送信する。次いで、受信側は秘密鍵を使用してメッセージを復号
する。

【０００５】 一方の当事者の公開鍵を他方の当事者の秘密鍵と組み合わせることによって共
通鍵を生成することもできる。このような場合には通常、各当事者の長期鍵が破
られるのを回避するため、通信セッションごとに新しい秘密鍵およびこれに対応
する公開鍵が生成され、これらの鍵は通常、セッション鍵または短命鍵と呼ばれ
る。

【０００６】 したがって、メッセージの交換および公開鍵の生成では、暗号化システムZ*p
において整数mod p（pは素数）の有限体を利用する際に指数演算を伴い、あるい
はシステムが楕円曲線を利用する際に同様な点乗算演算を伴う相当量の計算が行
われる。楕円曲線システムでは、秘密整数ｋを生成し、シード点Ｑで点乗算を実
行して短命公開鍵kQを形成することによって、短命鍵対が得られる。同様に、共
通短命セッション鍵を生成する場合は、公開鍵k₃Q、すなわち、曲線上の点に他
方の通信者の秘密整数k_bを乗じる必要があり、したがって、この場合も点乗算が
必要になる。

【０００７】 メッセージに署名する場合にも、送信側が自分の秘密鍵をメッセージに適用す
ることを除いて、同様な手順が使用される。この場合、任意の受信側が、送信側
の公開鍵を使用してメッセージを復元し検証することができる。

【０００８】 このような方式を実施するための様々なプロトコルが存在しており、そのうち
のいくつかは広く使用されている。しかし、それぞれの場合に、送信側は転送す
べき情報に署名するために計算を実行する必要があり、受信側は、署名された情
報を検証するために計算を実行する必要がある。

【０００９】 典型的な実行形式において、署名成分は以下の形式を有する。 s = ae + k (mod n) 上式で、楕円曲線暗号化システムにおいて、 Ｐは、基本曲線上の、システムの定義済みパラメータである点であり、 ｋは、短期秘密鍵またはセッション鍵として選択されたランダム整数であり、 R = kPは、これに対応する短期公開鍵であり、 ａは、送信側の長期秘密鍵であり、 Q = aPは、これに対応する送信側の公開鍵であり、 ｅは、メッセージｍおよび短期公開鍵Ｒの、SHA-1ハッシュ関数などの安全ハッ
シュであり、および ｎは曲線の次数である。

【００１０】 送信側は、ｍ、ｓ、およびＲを含むメッセージを受信側に送信し、署名は、Ｒ
に対応すべき値R¹ = (sP‐eQ)を算出することによって検証される。算出された
値が対応する場合、署名は検証されたことになる。

【発明が解決しようとする課題】

【００１１】 検証を実行する場合、点乗算を計算し、それぞれ計算が複雑なsPおよびeQを得
る必要がある。この場合、受信側が適切な計算力を有する場合には、特に問題は
ないが、セキュアトークン・アプリケーションや「スマート・カード」アプリケ
ーションのように受信側の計算力が限られている場合、このような計算によって
検証プロセスに遅延が生じる。

【００１２】 したがって、キー生成プロトコルおよび署名プロトコルは、大量の計算を必要
とする場合がある。暗号化が普及するにつれて、より高速であり、スマート・カ
ードや無線装置に見られるように限られた計算力を活用する暗号化システムを実
現する要求が高まっている。

【００１３】 楕円曲線暗号化（ECC）は、この計算問題を解決する。ECCでは、鍵および証明
書のサイズを縮小することができ、それによって、必要なメモリが低減し、コス
トが著しく節約される。ECCは、コストを著しく削減することができるだけでな
く、次世代アプリケーションにおけるスマート・カードの普及を促進する。また
、ECCアルゴリズムによって鍵サイズを縮小することができるが、より大きな鍵
を用いる他のアルゴリズムと同じレベルのセキュリティが維持される。

【００１４】 しかし、暗号化装置の低い生産コストを維持しながら情報転送速度を高めるた
めに、依然として、鍵に対する計算をより高速に行う必要がある。

【００１５】 楕円曲線上の点の倍数を算出することは、楕円曲線暗号化で最も頻繁に実行さ
れる計算の１つである。このような計算の速度を高める１つの方法は、事前計算
された点の倍数のテーブルを使用することである。この技法は、点が事前にわか
っているときにさらに有用である。しかし、未知の点の倍数が必要になる場合が
ある（たとえば、ECDSA検証）。したがって、点乗算を容易にするシステムおよ
び方法が必要である。

【００１６】

【課題を解決するための手段】 一般に、本発明は、スカラーｋを、成分k_iと、基本曲線で自己準同形写像から
導かれる整数λとの組合わせとして表す。

【００１７】 この方法は、有限体の上に写像される複素乗算を有する楕円曲線（EC）が与え
られた場合、複素乗算写像と点Ｑにλを乗じることが等しくなる二次方程式の解
λが存在する、という考えに基づく方法である。λを整数とみなしてEC乗算を実
行するのと比べて、複素乗算写像を介してλQを算出する方がコストが低いこと
が多い。実際には、他のスカラー（λ以外）による点乗算が必要になる。乗算写
像を使用して点の他の倍数を算出できることも示す。

【００１８】 本発明によれば、楕円曲線点Q(x, y)にスカラーｋを乗じる速度を高める方法
であって、 楕円曲線上のすべての点Q(x, y)についてψ(Q) = λ・Qである自己準同形写像
ψが存在するように、有限体Ｆの上の楕円曲線を選択するステップと、 スカラーｋのより小さな表現k_iと写像ψとの組合わせを使用して楕円曲線点Ｑ
のスカラー倍数を算出するステップとを含む方法が提供される。

【００１９】 本発明の好ましい実施形態のこれらおよび他の特徴は、添付の図面が参照され
る以下の詳細な説明でより明らかになろう。

【００２０】

【発明の実施の形態】 以下の説明では、同じ符号は各図面中の同じ構造物を指す。図１を参照すると
、データ通信システム10は、通信チャネル16によって接続され、送信側12および
受信側14として指定された一対の通信者を含む。各通信者12、14は、デジタル情
報を処理し、この情報を後述のようにチャネル16を通して送信する準備をするこ
とのできる暗号化プロセッサ18、20をそれぞれ含む。プロセッサ18、20は、プロ
セッサに組み込まれた集積回路で実現するか、あるいは汎用プロセッサと共に所
定のプロトコルを実施するようにデータキャリア上に符号化された命令として実
現することができる。図をわかりやすくするために、通信者12は、比較的限られ
た計算力を持つ専用プロセッサ18を有するスマート・カードの形であると仮定す
る。好ましくは、プロセッサ20は、チャネル16によってカードと通信する中央サ
ーバであり、チャネル16は無線通信チャネルである。

【００２１】 暗号化プロセッサ18は、ECCの楕円曲線暗号化システムを実現し、また暗号化
プロセッサ18の機能の１つは、整数であるｋと、基本楕円曲線上の点であるＱと
を暗号化方式における鍵対k、kQとして使用できるように、k・Qの形の点乗算を
実行することである。上記で指摘したように、楕円曲線点とスカラー値の乗算な
どの暗号化計算はコストがかかる。

【００２２】 楕円曲線点Q(x, y)のスカラー乗算の速度を高める方法は、図２に示されてお
り、全体的に符号50によって示されている。本発明のアルゴリズムは、プロセッ
サ12がたとえば、特定の種類の楕円曲線に関してメッセージに署名しメッセージ
を検証する速度を高める。この方法は、F_q（qは素数べき乗）として例示された
有限体上の楕円曲線Ｅに関する以下の一般的な数式が与えられ、 y² + a₁xy + a₃y = x³ + a₂x² + a₄x + a₆ （１） 自己準同形写像ψが存在し、楕円曲線上のすべての点Q(x, y)点についてψ(Q) =
λ・Qである場合、点Ｑと整数ｋとの乗算は、ｋのより小さな表現k_iと写像ψと
の組合わせを利用することによって速度を高めることができるという考えに基づ
く方法である。写像ψは、kQに関する後の計算で使用できる群要素およびそれら
の組合わせを事前に算出することも可能にする。

【００２３】 次に図２を参照すると、楕円曲線上の点乗算の速度を高める一般的な実施形態
のフローチャートが符号50で示されている。まずシステム・パラメータが選択さ
れる。最初のステップとして、ある特性を有する基本楕円曲線Ｅが選択される。
本発明の第１の実施形態では、一般化された楕円曲線（１）を以下の形式で表す
ことができる。 E: y² = x³ + b mod p（Ｐは素数） （２）

【００２４】 まず、γ∈F_p（Fpはすべての整数mod pから成るサイズｐの体である）であり
、かつγ³ ≡ 1 mod p（１の立方根）である数γが存在するように係数ｐを求め
ることができる。たとえば、p = 7である場合、2³ mod 7 = 1であるので、γ =
2である。このようなγはすべてのｐに対して存在するわけではなく、したがっ
て、ｐの値を選択する際にはこのことを考慮しなければならない。通常、適切な
暗号強度を得るには、選択されるｐの長さが少なくとも160ビットであるべきで
ある。

【００２５】 曲線Ｅが選択された後、写像関数ψが求められる。写像関数ψ: (x,y)→(γx,
y)は、曲線上の点のある組を曲線上の点の別の組に写像するに過ぎない。楕円曲
線Ｅ上の当該のすべての点Q(x, y)点についてψ(Q) = λ・Qになるような整数λ
が存在する。この整数λは、λ³ ≡ 1 mod nであることに留意することによって
求めることができる。この場合、ｎは、F_pの上にある楕円曲線Ｅ上の点の数、す
なわち、E(F_p)上の点の数である。λ³ ≡ 1のλに複数の解が存在する場合があ
るが、写像関数ψを満たす解は１つだけである。γ³ mod p = 1であるので、Ｑ
とψ(Q)の両方がＥに関する数式を満足する。したがって、長い計算を実行して
λによる乗算の結果を求める代わりに、λによる乗算を非常に効率的に実行でき
るように写像関数の結果を使用して非常に効率的にこれを行うことができる。

【００２６】 シード点Ｑが選択され、52に示すように、製造時に、システム・パラメータＥ
、ｐ、Ｑ、λ、ψ(Q)、およびγが、暗号化プロセッサ18によって使用できるよ
うにカード12に記憶される。暗号化、鍵一致、署名などの暗号化手順を実施する
には、短命秘密鍵ｋとして使用される整数ｋを選択し、対応する公開鍵kQを生成
する必要がある。

【００２７】 ｋの値は次式ように表すことができる。 k = (k₀ + k₁λ) mod n （３）

【００２８】 上式で、ｎはE(F_p)上の点の数であり、k₀およびk₁は整数である。この場合、
点k・Qは次式のようになる。 k・Q = (k₀Q + k₁λQ) mod n （４）

【００２９】 いくつかの暗号演算の場合、ｋの値をランダムに選択することができ、このよ
うな場合、ｋを選択するのではなく、符号ビットを含まない長さ[log₂(n)]/2の
、k₀およびk₁の値をランダムに選択し（すなわち、k₁の長さとして、長さｋの少
なくとも２分の１の長さが選択される）、次いで数式（３）を使用してｋの値を
算出することが可能である。図２に54で示すようにk₀、k₁の値を選択した後、Me
nezesらによって「Handbook of Applied Cryptography」（HAC）に記載された「
Simultaneous Multiple Exponentiation」（アルゴリズム14.88）に類似してお
り、56に示されているアルゴリズムを使用して数式（４）の右辺を高速に計算す
ることができる。都合上、このアルゴリズムを以下に再現する。加群において、
べき乗が加算に類似しており、したがって、このアルゴリズム内の乗算を加算で
置き換えると以下の手順が得られる。

【００３０】アルゴリズム１ 同時多重加算 入力：群要素g₀, g₁, … g_l-1および負でないｔビット整数e₀, e₁, … e_l-1。 出力：g₀e₀ + g₁e₁ + … + g_l-1e_l-1。 ステップ１。事前計算。ｉが０から(2^l‐1)に対して、

【数２】 上式で、i = (i_l-1 . . . i₀)₂である。 ステップ２。A←0 ステップ３。ｉが１からｔに達するまで、以下のことを実行する。 A←A+A、A←A+G_l ステップ４。（Ａ）を返す。この場合、A = g₀e₀ + g₁e₁ + … + g_l-1e_l-1

【００３１】 このアルゴリズムを数式（４）に適用すると、２つの群要素g₀、g₁、すなわち
ＱおよびλQがあり、したがって、２つの整数e₀、e₁、すなわちk₀、k₁があるこ
とがわかる。このアルゴリズムでは、いくつかの値を事前に算出することができ
、最初にG_iが算出される。l = 2によってG_iを事前に算出した結果をテーブル１
（表１）に示す。

【表１】

【００３２】 点加算：（Q + ψ(Q)）を実行して点を作成した後、算出済みの要素をテーブ
ル１に記入してテーブル２（表２）を作成することが可能である。図２のステッ
プ58に示すように、これらの要素を事前に算出しメモリに記憶することができる
。

【表２】 G_Iiを求め、したがって、60に示すようにI₁からI_tを求めないかぎり、アルゴリ
ズムのステップを実行することはできない。k_iの２進表現を使用して概念行列ま
たは組合わせテーブルを作成することができる。たとえば、k₀ = 30でありk₁ =
10である場合、k₀からk₁の２進表現内の最大ビット数が５であるのでｔは値５を
有する。k₀からk₁の２進表現で作成された概念行列をテーブル３に示す。I_iは、
第１の行が最下位ビットを含み、第２の行が次の下位ビットを含み、以下同様で
あるｉ番目の列に表された数によって決定される。したがって、テーブル３（表
３）から、I₁ = I₂ = (11) = 3、I₃ = (01) = 1、I₄ = 3、およびI₅ = 0である
ことがわかる。

【表３】

【００３３】 このアルゴリズムを完了するのに必要なすべての成分を得ることができ、62に
示すようにステップ３の反復が行われる。

【００３４】 最初はA←Oであり、ｉは１に設定される。I_i = I₁であり、これはテーブル３
から１に等しい。したがって、G_I1はG₁であり、これはテーブル２からＱである
。したがって、I = 1の場合の反復によるＡの値はO + Q = Qである。

【００３５】 i = 2である次の反復の場合、Ａの初期値はＱであり、したがって、A← Q+Q =
2Qであり、テーブル３からI_i = I₂ = 3である。したがって、G_I2はテーブル３
からG₃に等しく、すなわち、Q + ψ(Q)である。

【００３６】 したがって、A + G_Iiは2Q + Q +ψQ = 3Q +ψQと算出される。

【００３７】 反復は、５回目の反復まで、すなわち、koq = k,λQの値、すなわちkQが算出
されるまで、テーブル４（表４）に記載されたｉの値ごとに継続される。

【表４】

【００３８】 各反復では、点倍加（A+A）および点加算（A+G_Ii）が必要である。ただし、場
合によっては、G_Iiの値はＯであり、この場合、計算量が削減される。

【００３９】 したがって、この方法では、max{log₂(ki)}に等しい数の点倍加と、ほぼ同数
の点加算が必要であることがわかる。点加算の数は、ウィンドウ技法（アルゴリ
ズム14.85 HAC）および指数再符号化技法を使用して削減することができる。ｉ
およびG_iの値を事前に算出することができるので、事前に算出された適切な要素
G_iをテーブル２から検索することによって点加算を容易に実行することができる
。kPが算出された後、チャネル16を介した暗号化伝送または署名伝送において通
信者12の短命公開鍵としてこのkPを使用することができる。

【００４０】 簡単に言えば、暗号化やDH署名などの暗号化演算の場合、整数ｋが必要であり
、対応する公開鍵kQが算出される。それぞれ、長さｎの２分の１の長さを有する
、値k₀およびk₁がランダムに選択され、適切なアルゴリズムを使用して項k₀Q =
k₁λQが生成される。ｋをこのように選択すると、この方法は、ｋ自体をランダ
ムに生成するのと同程度に安全であると思われる。もちろん、効率を向上するた
めにより少ないビット数のk_iを選択することが可能である。

【００４１】 上記の技法において、k = k₀ + k₁λを書き込み、同時に組み合わせる方法に
よって、同時多重加算アルゴリズムの速度が高められる。k = k₀ + k₁λを書き
込む技法は、スカラー乗算技法、すなわち、ワインディング、組合わせなどと共
に使用することもでき有利である。

【００４２】 いくつかの写像ψでは、３つ以上の下位要素ｋ（sub k）を使用することも可
能である。いくつかの写像ψでは、k = k₀ + k₁λ + k₂λ²を書き込み、同時多
重加算アルゴリズムを適用することによってｋの値を算出することができる。

【００４３】 本発明の第２の実施形態では、一般化された楕円曲線式（１）の異なる形式、
すなわち、 y² = (x³ ‐ ax) mod p （５） が使用される。この場合も、ｐは少なくとも160ビットを有する素数である。こ
の種の曲線の場合、γに必要な特性が異なる。この場合、γ² = ‐1 mod pにな
るような値を求める必要がある。γの特性を変更するには、異なる写像関数ψ’
を使用する必要がある。この実施形態では、写像は形式ψ’：(x, y) → (‐x,
γy)をとる。(x, y)が曲線上にある場合はψ’(x, y)も曲線上にある。この場合
、λ⁴ ≡ 1 mod n（ｎはこの場合も、E(F_p)上の点である）、したがってλを算
出することができる。写像ψ’(Q) = λ・Qは前述のように実行され、この場合
も、この曲線に対してλによる乗算を非常に効率的に行うことができる。この実
施形態のｋに関する数式は、第１の実施形態と同じであり、次式によって表され
る。 k = (k₀ + k₁λ) mod n （６） この数式は、前の実施形態と同じであり、２つの群要素のみを有する。したがっ
て、アルゴリズム１の群要素ＱおよびQ+ψ’(Q)を使用して点k・Qを算出するこ
とができる。この計算では、max{log₂(k_i)}に等しい数の点倍加と、同様な数の
点加算が必要である。前述のように、ウィンドウ技法および指数再符号化技法を
使用して点加算の数を削減することができる。

【００４４】 この方法は、効率的に算出できる自己準同形写像ψが存在するかぎり、他の楕
円曲線にも適用することができる。

【００４５】 上記の実施形態は、ｋをランダムに選択することができ、したがって、k₀およ
びk₁を選択することができるものと仮定し、ｋを求めている。ｋを選択すること
が可能な暗号化プロトコルの場合、まず、k = (k₀ + k₁λ) mod nになるように
ｋの所与の値から所望の「短い」形式のk₀、k₁を求める必要がある。場合によっ
ては、３つ以上のｋを使用することができ有利である。

【００４６】 上述の実施形態でわかるように、事前に点がわかっているときは、テーブルを
作成して乗算の速度を高めることができる。しかし、未知の点の倍数が必要にな
る場合があり（たとえば、これはECDSA検証で起こる可能性がある）、その場合
、与えられたｋの値をとり、次いでk_iの適切な表現を決定する必要がある。

【００４７】 したがって、第３の実施形態では、システム・パラメータおよび値ｋが与えら
れ、点Ｑ、必要な倍数ｋ、および複素乗算倍数λが既知である。所定のｋの値か
ら「短い」k_iを求める必要がある。これを行う方法を以下に説明し、図３のフロ
ーチャートに示す。（ｋを必要としない）事前計算として、a_iおよびb_iがｎより
も小さな数になるような２つの関係を算出する。 a₀ + b₀λ = 0 mod n a₁ + b₁λ = 0 mod n a_iおよびb_iはできるだけ小さいことが好ましいが、本発明の方法は、a_iおよびb_i が最小限でないときでも有利である。a_iおよびb_iが共に小さな対a_iおよびb_iは、
小さなユークリッド長を有するベクトルu_iとみなすことができる。通常、後述の
方法では、最初のｋのサイズの２分の１の表現を有するk₀およびk₁が生成される
。

【００４８】 本実施形態では、事前に算出された短いベクトル表現を使用して以下の形式の
数式を得ることによって、kQを効率的に算出することができる。 k₀Q + λk₁Q

【００４９】 これは、事前に算出されたベクトルを使用して、ｋの知識を必要としない分数
f₀およびf₁を導くことによって行われる。ベクトルｚは、分数f₀およびf₁とｋを
組み合わせることによって生成される。ベクトルｚを使用して、v’ = (v₀’, v ₁ ’)である第２のベクトルv’が算出され、kQの値が、

【数３】 として算出される。この解を得る方法を以下に詳しく説明する。

【００５０】 小さなa_iおよびb_iを作成する場合、L₃、すなわち、短い基底ベクトルが直接得
られる格子基底削減アルゴリズム（HAC、118ページ）を利用することが可能であ
る。しかし、この好ましい実施形態では、簡単な拡張ユークリッド・アルゴリズ
ムが対（n, λ）に対して使用される。（n, λ）に対する拡張ユークリッド・ア
ルゴリズムにより、ｉに応じてr_iの表現（たとえば、ビット長）が小さくなり、
c_iおよびd_iの表現が大きくなる線形組合わせc_in + d_iλ = r_iが作成される。

【００５１】 拡張ユークリッド・アルゴリズムを使用した結果として得られた|(d_i, r_i)|の
２つの最小値が保存される。これらのベクトルのサイズが、平方ユークリッド基
準|(d_i, r_i)| = d_i ² + r_i ²を用いて測定される。これらの最小関係の項は、 および として示され、通常、アルゴリズムの中央で得られる。最小関係が保持されない
場合でも、この方法は、部分最適関係により、依然として点倍数の計算において
有利である。

【００５２】 a_iおよびb_iの値は、すべて事前に算出することのできる および を定義することによって作成することができる。

【００５３】 次のタスクは、倍数ｋの小さな表現を求めることである。

【００５４】 a₀、b₀およびa₁, b₁の計算が与えられた場合、u₀ = (a₀, b₀)でありu₁ = (a₁,
b₁)であるベクトルu₀, u₁を指定することが可能である。これらのベクトルはa_i + b_iλ = 0 (mod n)を満たす。群要素Ｑにベクトルv = (v₀, v₁)を乗じること
は(v₀ + v₁λ)Qとして定義される。a_i + b_iλ = 0 (mod n)であるので、任意の
群要素Ｒについてu₀R = u₁R = 0が成立する。したがって、任意の整数z₀およびz ₁ のの場合、任意の群要素Ｒについてv’R = (v ‐ z₀u₀ ‐ z₁u₁)Rが成立する。

【００５５】 整数z₀およびz₁としては、ベクトルv’ = v ‐ z₀u₀ ‐ z₁u₁ができるだけ小
さな成分を有するような整数が選択される。この場合も、この方法は、v’の成
分が小さい場合に利点を有し、該成分が必ずしも最小限でない場合でも利点を有
する。

【００５６】 適切なz₀およびz₁は、vの基底を正規直交基底{u₀, u₁}に変換することによっ
て算出される。基底間の変換では行列乗算が行われる。ベクトルv = (v0, v1)を
{u0, u1}基底から標準基底{(1, 0), (0, 1)}に変換する場合、次式が成立する。

【数４】 他方の方向、すなわち、正規直交基底{(1, 0), (0, 1)}から(u₀, u₁)基底に変換
する場合、乗算は単にＭの逆数によって行われる。

【数５】

【００５７】 ベクトルv = (k, 0)がゼロ成分を有するので、逆数（Ｍ）の下の行は必要とさ
れず、したがって、{u₀, u₁}に変換する場合に必要なのは次式の分数だけである
。

【数６】 および

【数７】

【００５８】 分数f₀およびf₁の演算を乗算のみで行うことができるように、これらの分数を
十分な精度に事前に算出しておくことができる。これらの分数をもたらす計算が
ｋに依存せず、したがって、楕円曲線がシステム・パラメータとして選択される
際にこれらの分数を１度算出することができ、各ｋごとに再計算する必要はない
。同様に、ベクトルv、u₀、およびu₁を事前に算出し記憶することができる。

【００５９】 ｋの値が選択されるか、あるいは求められた後、まず、ｚが(z₀, z₁) = (roun
d(kf₀), round(kf₁))として定義されるz = (z₀, z₁)を計算することによってkQ
の値を算出することができる。ｚの近傍の他のベクトルも有用であり、したがっ
て、丸めを床関数または天井関数、あるいは何らかの他の近似で置き換えること
ができる。

【００６０】 適切なｚが求められた後、v’ = (v₀’, v₁’) = v ‐ z₀u₀ ‐ z₁u₁によって
v(k, 0)の効率的な等価物が算出される。「効率的な等価物」の句は、v’P = vP
およびv’が小さな係数を有するようなベクトルv’を意味する。この場合、値kQ
はv₀’Q + v₁’λQとして算出される。この値は、上述のように同時点加算を使
用して算出することができ、上記で説明し、かつH.A.C.14.7の627ページに記載
されているように非隣接形式（NAF）再符号化を使用することによってより高い
効率を得ることができる。したがって、ｋが所定の値である場合でも、k₀および
k₁の値を算出し写像関数と共に使用してkQの値、したがって、鍵対k、kQを得る
ことができる。

【００６１】 ｋを３つの部分k = k₀ + k₁λ + k₂λ²に分離する場合、L³行削減によって
、次式のような小さなベクトルを得ることができる。

【数８】

【００６２】 二次元の場合と同様に小ベクトル等価物（三次元行）を得ることができる。

【００６３】 これらの方法を使用してk・Qの値を求めると、暗号化プロセッサ12によって必
要とされる処理能力が大幅に低減される。また、このような反復計算が行われる
速度が高められ、それによって、情報を転送するための時間が短縮される。

【００６４】 当然のことながら、スカラー倍数ｋが短縮成分k = k₀ + k₁λ + k₂λ² + . .
. k_m-1λ^m-1で表された後、同時多重加算アルゴリズムの代わりに、あるいはこ
のアルゴリズムと共に、効率的な楕円曲線スカラー乗算を行うための他の方法を
使用することができる。このような方法には、ウィンドウ技法（固定およびスラ
イド）、組合わせ技法、ビット再符号化技法、およびこれらの技法の組合わせが
含まれる。

【００６５】 特に有益なある技法では、乗算の一成分、たとえばk₀に関して作成されたテー
ブルを他の成分k₁などに再使用することができる。これは、必要に応じて写像γ
を適用することにより、算出されたテーブル要素を変換することによって行われ
る。

【００６６】 他の例として、ｋをk = k₀ + k₁λ + k₂λ²として再設定することができ、ｋ
がｍビットを有し、k_iが約m/3ビットを有する実施形態について以下に説明する
。

【００６７】 成分k_iは、求められた後、２進表現から、より少ない非ゼロ・ビットを有する
符号付き２進表現に再符号化することができる。この再符号化は、表現k_i内のあ
らゆる１ビットまたは‐1ビットが符号付き２進文字列内で他の非ゼロに隣接し
ないような非隣接形式（NAF）をとることができる。

【００６８】 各k_iが再符号化された後、k_iλⁱPの計算を助けるためにテーブルを作成するこ
とができる。

【００６９】 NAFウィンドウ・テーブルは、λⁱPのある短ビット長倍数を事前に算出するた
めのテーブルである。このウィンドウの幅によってテーブルのサイズが決定され
る。k_iが、隣接する非ゼロを有さないように再符号化されているので、奇数ウィ
ンドウ幅が適切である。３ビット幅NAFウィンドウは以下のものを含む。

【数９】

【００７０】 再符号化k_iは、このようなウィンドウを連結し、必要に応じてゼロを充填する
ことによって作成される（H.A.C.、616ページ）。

【００７１】 あらゆる非ゼロ・ビットではなく、発生するあらゆるウィンドウごとにのみEC
点を加算または減算するだけでよいので、このテーブルを使用することによって
必要な加算数を削減することができる。

【００７２】 したがって、まず、この技法はk₀Pの計算に適用される。

【００７３】 k₀Pの計算のために作成されたテーブルは、演算子γを使用してテーブル要素
にψ写像が写像される場合にk_iλP計算に適用することができる。同様に、k₀P用
に作成されたテーブルを使用するが、テーブル要素にγ²を写像することによっ
て、k₂λ²Pの速度を高めることができる。

【００７４】 スライド・ウィンドウ技法を該成分に適用する際に、実行する必要があるのは
１組の倍加だけである。

【００７５】 好ましい実施形態のこの例を示すために、以下の例を使用する。

【００７６】 k = [101101011101]₂ + [111010101101]₂λである場合、 以下の再符号化を行う。 k = [10-100-10-100-101] + [1000-10-10-10-101]λ = k’₀ + k’₁λ

【００７７】 1・P、[10-1]・P、[101]・Pを含む、Ｐに関する３ビット・ウィンドウ・テー
ブルが事前に算出される。この場合、２回のEC加算および２回のEC倍加が必要で
ある。

【００７８】 この後、テーブルの要素を加算／減算することによって、kPを以下のように算
出することができる。 kP = [10-100-10-100-101]P + [1000-10-10-10-101]・λP これは、累算器Ａを使用して以下のように行うことができる。 A←0 ；初期設定 A += ψ(1・P) ；k₀’の上位ビットを消費する。 A ← 2A ；Ａを倍加する。 A ← 2A A ← [10-1]P ；k₀’の上位３ビットを消費する。 A ← 2⁴A A‐= [101]ψP ；k₁’の３ビット・ウィンドウを消費する。 A ← 2A ；Ａを倍加する。 A‐= [101]P ；k₁’の３ビットを消費する。 A ← 2⁴A A‐= [101]ψP ；k₁’の３ビットを消費する。 A ← 2²A A‐= [10-1]P ；k₀’の最後のビットを消費する。 A + =ψP ；kPを生成する。

【００７９】 簡単に言えば、前述の技法は以下のとおりである。楕円曲線Ｅおよび自己準同
形写像ψが与えられた場合、すべての点Q∈EについてλQ = ψ(Q)になるような
対応する整数λが存在する。整数ｍを選択し、同等な数ｍの「短基底ベクトル」
b₁, b₂, . . . , b_mを算出する。このような基底ベクトルはそれぞれ整数に対応
し、そのような整数はそれぞれ、点の数n = #E(F_p ^m)（すなわち、点の数）で除
することができる。次に、整数ｋ（0 < k < n）が与えられた場合、k_iとして「
短い」ベクトルが選択されるk = Σk_i・λⁱと書くことができる。これは、b₁, b ₂ , …, b_mによって生成された格子内の（ｋを表す）あるベクトルと近傍のベク
トルとの差を求めることによって行われる。

【００８０】 以下の実施形態では、複合体の上に画定された楕円曲線に前述の技法（自己準
同形写像および基底変換および「Shamir’s trick」）を適用することについて
明白に説明する。特に、ｐが奇素数である曲線E(F_p ^m)への適用について説明する
。以下の実施形態ではこのような曲線に対する技法を例示する。

【００８１】 この技法について、写像ψがフロベニウス写像ψ(x, y) = (x^p, y^p)であり、A
, B∈F_pであるE’_A,B(F_p ^m)が使用される場合において説明する。

【００８２】 この場合、フロベニウス写像がψ² ‐ tψ + p = 0を満たし、t = p + 1‐#E(
F_p ^m)であることがわかっている。

【００８３】 したがって、λ² ‐ tλ + p = 0 mod nであり、またλ²⁺ⁱ ‐ tλ¹⁺ⁱ + pλⁱ = 0 mod nである。

【００８４】 以下のベクトルが、ベクトル空間Qn空間のｍ個の「短」基底ベクトルで構成さ
れている。

【数１０】 したがって、このような曲線に対するk・Qを計算する場合、ベクトルb₁, b₂, …
b_mおよび前述の技法を使用することができる。

【００８５】 上記の実施形態では、k, λQをψ(kQ)から得ることができ、写像が加算よりも
効率的であることが理解されよう。

───────────────────────────────────────────────────── フロントページの続き (81)指定国 ＥＰ(ＡＴ，ＢＥ，ＣＨ，ＣＹ， ＤＥ，ＤＫ，ＥＳ，ＦＩ，ＦＲ，ＧＢ，ＧＲ，ＩＥ，Ｉ Ｔ，ＬＵ，ＭＣ，ＮＬ，ＰＴ，ＳＥ)，ＯＡ(ＢＦ，ＢＪ ，ＣＦ，ＣＧ，ＣＩ，ＣＭ，ＧＡ，ＧＮ，ＧＷ，ＭＬ， ＭＲ，ＮＥ，ＳＮ，ＴＤ，ＴＧ)，ＡＰ(ＧＨ，ＧＭ，Ｋ Ｅ，ＬＳ，ＭＷ，ＳＤ，ＳＬ，ＳＺ，ＴＺ，ＵＧ，ＺＷ )，ＥＡ(ＡＭ，ＡＺ，ＢＹ，ＫＧ，ＫＺ，ＭＤ，ＲＵ， ＴＪ，ＴＭ)，ＡＥ，ＡＬ，ＡＭ，ＡＴ，ＡＵ，ＡＺ， ＢＡ，ＢＢ，ＢＧ，ＢＲ，ＢＹ，ＣＡ，ＣＨ，ＣＮ，Ｃ Ｕ，ＣＺ，ＤＥ，ＤＫ，ＥＥ，ＥＳ，ＦＩ，ＧＢ，ＧＤ ，ＧＥ，ＧＨ，ＧＭ，ＨＲ，ＨＵ，ＩＤ，ＩＬ，ＩＮ， ＩＳ，ＪＰ，ＫＥ，ＫＧ，ＫＰ，ＫＲ，ＫＺ，ＬＣ，Ｌ Ｋ，ＬＲ，ＬＳ，ＬＴ，ＬＵ，ＬＶ，ＭＤ，ＭＧ，ＭＫ ，ＭＮ，ＭＷ，ＭＸ，ＮＯ，ＮＺ，ＰＬ，ＰＴ，ＲＯ， ＲＵ，ＳＤ，ＳＥ，ＳＧ，ＳＩ，ＳＫ，ＳＬ，ＴＪ，Ｔ Ｍ，ＴＲ，ＴＴ，ＵＡ，ＵＧ，ＵＳ，ＵＺ，ＶＮ，ＹＵ ，ＺＡ，ＺＷ (72)発明者 ヴァンストーン、スコット、エー． カナダ国 エル０ピー １ビー０ オンタ リオ州、キャンプベルヴィル、ピー．オ ー． ボックス 490、パインビュー ト レイル 10140 Ｆターム(参考） 5J104 AA18 AA25 JA25 NA02 NA16 NA35 NA40

Claims (11)

【特許請求の範囲】
1. 【請求項１】 楕円曲線点Q(x, y)にスカラーを乗じて点kQを提供する方法
   であって、 ａ）λを整数として、楕円曲線上のすべての点Q(x, y)についてψ(Q) = λ・Q
   である自己準同形写像ψが存在するように、有限体Ｆの上の楕円曲線を選択する
   ステップと、 ｂ）前記スカラーｋの表現を成分k_iと前記整数λの組合わせとして確立するス
   テップと、 ｃ）前記表現と前記点Ｑを組み合わせてkQに対応する倍数の複合表現を形成す
   るステップと、 ｄ）kQの前記複合表現から前記点kQに対応する値を算出するステップとを含む
   ことを特徴とする方法。
2. 【請求項２】 前記各成分k_iが、前記スカラーｋよりも短いことを特徴とす
   る、請求項１に記載の方法。
3. 【請求項３】 前記成分k_iがまず選択され、その後組み合わされて前記スカ
   ラーｋが形成されることを特徴とする、請求項１に記載の方法。
4. 【請求項４】 前記表現が 【数１】 の形式であり、ｎが楕円曲線上の点の数であることを特徴とする、請求項１に記
   載の方法。
5. 【請求項５】 前記表現がk₀ + k₁の形式であることを特徴とする、請求項
   ４に記載の方法。
6. 【請求項６】 前記スカラーｋが所定の値および前記成分ｋを有することを
   特徴とする、請求項１に記載の方法。
7. 【請求項７】 前記倍数kQの前記値が、同時多重加算を使用して算出される
   ことを特徴とする、請求項３に記載の方法。
8. 【請求項８】 前記同時多重加算において使用される一群の項G₁が事前に算
   出されることを特徴とする、請求項７に記載の方法。
9. 【請求項９】 体Ｆの短基底ベクトル(u₀, u₁)を得て、ベクトルｖを(k, 0)
   として指定し、ｖを正規直交基底から(u₀, u₁)基底に変換し、ベクトルｖを表す
   分数f₀, f₁を得て、前記分数をｋに適用しベクトルｚを得て、ベクトルｖの効率
   的な等価物v’を算出し、ベクトルv’の成分をkQの複合表現で使用することによ
   って、前記成分k_iが得られることを特徴とする、請求項６に記載の方法。
10. 【請求項10】 Ｑを曲線上の点として、整数ｋを有し、秘密鍵および公開鍵
    kQを提供する鍵対を楕円曲線暗号システムにおいて生成する方法であって、 ａ）楕円曲線上のすべての点Q(x, y)についてψ(Q) = λ・Qであり、λが整数
    である自己準同形写像ψが存在するように、有限体Ｆの上の楕円曲線を選択する
    ステップと、 ｂ）前記スカラーｋの表現を成分k_iと前記整数λの組合わせとして確立するス
    テップと、 ｃ）前記表現と前記点Ｑを組み合わせてkQに対応する倍数の複合表現を形成す
    るステップと、 ｄ）kQの前記複合表現から前記点kQに対応する値を算出するステップとを含む
    ことを特徴とする方法。
11. 【請求項11】 請求項２から９のいずれか一項に記載の方法を含むことを特
    徴とする、請求項10に記載の方法。