JP2003233306A - 公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体 - Google Patents
公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体Info
- Publication number
- JP2003233306A JP2003233306A JP2002031400A JP2002031400A JP2003233306A JP 2003233306 A JP2003233306 A JP 2003233306A JP 2002031400 A JP2002031400 A JP 2002031400A JP 2002031400 A JP2002031400 A JP 2002031400A JP 2003233306 A JP2003233306 A JP 2003233306A
- Authority
- JP
- Japan
- Prior art keywords
- field
- public key
- elliptic curve
- algebraic
- finite field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 有限体から得られる代数体上定義された楕円
曲線で、ある種の性質を持つものを構成できるとき、そ
の上でのDDHが簡単になることを用いて、DDHに基
づく公開鍵暗号安全性を評価する。 【解決手段】 本発明は、入力された有限体に対して、
ある低次の代数体を生成し、ランダムに代数体上の楕円
曲線を生成し、楕円曲線が所定の条件を満たすとき、シ
フト素数を生成する。
曲線で、ある種の性質を持つものを構成できるとき、そ
の上でのDDHが簡単になることを用いて、DDHに基
づく公開鍵暗号安全性を評価する。 【解決手段】 本発明は、入力された有限体に対して、
ある低次の代数体を生成し、ランダムに代数体上の楕円
曲線を生成し、楕円曲線が所定の条件を満たすとき、シ
フト素数を生成する。
Description
【0001】
【発明の属する技術分野】本発明は、公開鍵暗号安全性
評価方法及び装置及び公開鍵暗号安全性評価プログラム
及び公開鍵暗号安全性評価プログラムを格納した記憶媒
体に係り、特に、公開鍵暗号システムにおける、公開鍵
暗号の安全性の証明に関して有用な有限体上のDiffie-H
ellman判定問題に基づいて公開鍵暗号の安全性を評価す
るための公開鍵暗号安全性評価方法及び装置及び公開鍵
暗号安全性評価プログラム及び公開鍵暗号安全性評価プ
ログラムを格納した記憶媒体に関する。
評価方法及び装置及び公開鍵暗号安全性評価プログラム
及び公開鍵暗号安全性評価プログラムを格納した記憶媒
体に係り、特に、公開鍵暗号システムにおける、公開鍵
暗号の安全性の証明に関して有用な有限体上のDiffie-H
ellman判定問題に基づいて公開鍵暗号の安全性を評価す
るための公開鍵暗号安全性評価方法及び装置及び公開鍵
暗号安全性評価プログラム及び公開鍵暗号安全性評価プ
ログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】RSAに代表される公開鍵暗号システム
では、素因数分解問題と呼ばれる数学の問題を計算量的
な観点から解くことの困難さにその安全性の根拠をおい
ているが、これと同様に解くことが困難であろうと予想
されている問題に、有限体上のDiffie-Hellman問題(以
下、DHと記す)、Diffie-Hellman判定問題(以下、D
DHと記す)、離散対数問題(以下、DLPと記す)と
呼ばれる問題がある。
では、素因数分解問題と呼ばれる数学の問題を計算量的
な観点から解くことの困難さにその安全性の根拠をおい
ているが、これと同様に解くことが困難であろうと予想
されている問題に、有限体上のDiffie-Hellman問題(以
下、DHと記す)、Diffie-Hellman判定問題(以下、D
DHと記す)、離散対数問題(以下、DLPと記す)と
呼ばれる問題がある。
【0003】近年、安全性が証明可能な公開鍵暗号が数
多く提案され、その殆どが上記の問題と同様に困難であ
るということが数学的に証明されている。特に、DDH
は、公開鍵暗号の安全性の証明に関して非常に有用なも
のであることが知られている。DDHに安全性の根拠を
おく公開鍵暗号システムの代表としては、ElGamal 暗号
やCramer-Shoup暗号などがある。公開鍵暗号の概念の提
案以来、この20年間で素因数分解問題や有限体上のD
LPに対しては、準指数時間アルゴリズムが既に提案さ
れている。また、DLP、DH及びDDHの間の関係は
この順に易しくなることが知られているが、その困難さ
のギャップについては、ほとんど何も知られていない。
一方、非常に最近DLPとDHは同等に困難でDDHは
易しいという非自明な例も発見されており、DDHの困
難さについては、今後他の2つの問題に比較して研究が
進展する可能性も否定できない。
多く提案され、その殆どが上記の問題と同様に困難であ
るということが数学的に証明されている。特に、DDH
は、公開鍵暗号の安全性の証明に関して非常に有用なも
のであることが知られている。DDHに安全性の根拠を
おく公開鍵暗号システムの代表としては、ElGamal 暗号
やCramer-Shoup暗号などがある。公開鍵暗号の概念の提
案以来、この20年間で素因数分解問題や有限体上のD
LPに対しては、準指数時間アルゴリズムが既に提案さ
れている。また、DLP、DH及びDDHの間の関係は
この順に易しくなることが知られているが、その困難さ
のギャップについては、ほとんど何も知られていない。
一方、非常に最近DLPとDHは同等に困難でDDHは
易しいという非自明な例も発見されており、DDHの困
難さについては、今後他の2つの問題に比較して研究が
進展する可能性も否定できない。
【0004】公開鍵暗号全般、DLP,DH,DDHな
どに関しては、例えば、岡本、山本共著、“現代暗号”
産業図書(以下、この文献を文献1と称する)、及び、
Menezes, A.J. 他著“Handbook of Applied Cryptograp
hy”、CRC Press(1996) (以下、この文献を文献1と称
する)などを参照されたい。
どに関しては、例えば、岡本、山本共著、“現代暗号”
産業図書(以下、この文献を文献1と称する)、及び、
Menezes, A.J. 他著“Handbook of Applied Cryptograp
hy”、CRC Press(1996) (以下、この文献を文献1と称
する)などを参照されたい。
【0005】
【発明が解決しようとする課題】しかしながら、DDH
よりも難しいであろうと考えられているDLPなどによ
る評価しか与えられていないが、DLPは難しくてもD
DHは易しいような場合も起こり得ることが判明してい
ることからより精密な評価が望まれる。
よりも難しいであろうと考えられているDLPなどによ
る評価しか与えられていないが、DLPは難しくてもD
DHは易しいような場合も起こり得ることが判明してい
ることからより精密な評価が望まれる。
【0006】本発明は、上記の点に鑑みなされたもの
で、有限体上定義されたDDHに関して、今まで知られ
ていなかった特徴を持つ有限体に対して、その有限体か
ら得られる代数体上定義された楕円曲線で、ある種の性
質を持つものを構成できるとき、その上でのDDHが簡
単になることを用いて、DDHに基づく公開鍵暗号安全
性を評価するための公開鍵暗号安全性評価方法及び装置
及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安
全性評価プログラムを格納した記憶媒体を提供すること
を目的とする。
で、有限体上定義されたDDHに関して、今まで知られ
ていなかった特徴を持つ有限体に対して、その有限体か
ら得られる代数体上定義された楕円曲線で、ある種の性
質を持つものを構成できるとき、その上でのDDHが簡
単になることを用いて、DDHに基づく公開鍵暗号安全
性を評価するための公開鍵暗号安全性評価方法及び装置
及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安
全性評価プログラムを格納した記憶媒体を提供すること
を目的とする。
【0007】
【課題を解決するための手段】図1は、本発明の原理を
説明するための図である。
説明するための図である。
【0008】本発明(請求項1)は、公開鍵暗号システ
ムにおけるコンピュータ上で、公開鍵暗号方式の安全性
を評価するための、有限体上のDDHに基づく公開鍵暗
号安全性評価方法において、入力された有限体に対し
て、ある低次の代数体を生成し(ステップ1)、ランダ
ムに代数体上の楕円曲線を生成し(ステップ2)、楕円
曲線が所定の条件を満たすとき、シフト素数を生成する
(ステップ3)。本発明(請求項2)は、入力された有
限体に対して、ある低次数の代数体上定義された楕円曲
線が、該代数体上定義されたねじれ点群の位数が十分大
きいかどうかを判定する。
ムにおけるコンピュータ上で、公開鍵暗号方式の安全性
を評価するための、有限体上のDDHに基づく公開鍵暗
号安全性評価方法において、入力された有限体に対し
て、ある低次の代数体を生成し(ステップ1)、ランダ
ムに代数体上の楕円曲線を生成し(ステップ2)、楕円
曲線が所定の条件を満たすとき、シフト素数を生成する
(ステップ3)。本発明(請求項2)は、入力された有
限体に対して、ある低次数の代数体上定義された楕円曲
線が、該代数体上定義されたねじれ点群の位数が十分大
きいかどうかを判定する。
【0009】図2は、本発明の原理構成図である。
【0010】本発明(請求項3)は、公開鍵暗号システ
ムにおける有限体上のDDHに基づく公開鍵暗号安全性
評価装置であって、入力された有限体に対して、ある低
次の代数体を生成するd代数体生成手段110と、ラン
ダムに代数体上の楕円曲線を生成する(l,K)−楕円
曲線生成手段120と、楕円曲線が所定の条件を満たす
とき、シフト素数を生成するシフト素数生成手段130
とを有する。
ムにおける有限体上のDDHに基づく公開鍵暗号安全性
評価装置であって、入力された有限体に対して、ある低
次の代数体を生成するd代数体生成手段110と、ラン
ダムに代数体上の楕円曲線を生成する(l,K)−楕円
曲線生成手段120と、楕円曲線が所定の条件を満たす
とき、シフト素数を生成するシフト素数生成手段130
とを有する。
【0011】本発明(請求項4)は、シフト素数生成手
段130において、入力された有限体に対して、ある低
次数の代数体上定義された楕円曲線が、該代数体上定義
されたねじれ点群の位数が十分大きいかどうかを判定す
る手段を含む。
段130において、入力された有限体に対して、ある低
次数の代数体上定義された楕円曲線が、該代数体上定義
されたねじれ点群の位数が十分大きいかどうかを判定す
る手段を含む。
【0012】本発明(請求項5)は、公開鍵暗号システ
ムにおける有限体上のDiffie-Hellman判定問題(以下、
DDH)に基づく公開鍵暗号安全性評価プログラムであ
って、入力された有限体に対して、ある低次の代数体を
生成するd代数体生成プロセスと、ランダムに代数体上
の楕円曲線を生成する(l* ,K)−楕円曲線生成プロ
セスと、楕円曲線が所定の条件を満たすとき、シフト素
数を生成するシフト素数生成プロセスとを有する。
ムにおける有限体上のDiffie-Hellman判定問題(以下、
DDH)に基づく公開鍵暗号安全性評価プログラムであ
って、入力された有限体に対して、ある低次の代数体を
生成するd代数体生成プロセスと、ランダムに代数体上
の楕円曲線を生成する(l* ,K)−楕円曲線生成プロ
セスと、楕円曲線が所定の条件を満たすとき、シフト素
数を生成するシフト素数生成プロセスとを有する。
【0013】本発明(請求項6)は、シフト素数生成プ
ロセスにおいて、入力された有限体に対して、ある低次
数の代数体上定義された楕円曲線が、該代数体上定義さ
れたねじれ点群の位数が十分大きいかどうかを判定する
プロセスを含む。
ロセスにおいて、入力された有限体に対して、ある低次
数の代数体上定義された楕円曲線が、該代数体上定義さ
れたねじれ点群の位数が十分大きいかどうかを判定する
プロセスを含む。
【0014】本発明(請求項7)は、公開鍵暗号システ
ムにおける有限体上のDiffie-Hellman判定問題(以下、
DDH)に基づく公開鍵暗号安全性評価プログラムを格
納した記憶媒体であって、入力された有限体に対して、
ある低次の代数体を生成するd代数体生成プロセスと、
ランダムに代数体上の楕円曲線を生成する(l* ,K)
−楕円曲線生成プロセスと、楕円曲線が所定の条件を満
たすとき、シフト素数を生成するシフト素数生成プロセ
スとを有する。
ムにおける有限体上のDiffie-Hellman判定問題(以下、
DDH)に基づく公開鍵暗号安全性評価プログラムを格
納した記憶媒体であって、入力された有限体に対して、
ある低次の代数体を生成するd代数体生成プロセスと、
ランダムに代数体上の楕円曲線を生成する(l* ,K)
−楕円曲線生成プロセスと、楕円曲線が所定の条件を満
たすとき、シフト素数を生成するシフト素数生成プロセ
スとを有する。
【0015】本発明(請求項8)は、シフト素数生成プ
ロセスにおいて、入力された有限体に対して、ある低次
数の代数体上定義された楕円曲線が、該代数体上定義さ
れたねじれ点群の位数が十分大きいかどうかを判定する
プロセスを含む。上記のように、本発明では、入力され
た有限体のサイズから代数体の次数及びその上の楕円曲
線を可変にして、与えられるアルゴリズムから、安全性
に関する新しい指標を与え、有限体上のDDHに安全性
の根拠をおく公開鍵暗号システムの安全性を評価するこ
とが可能となる。
ロセスにおいて、入力された有限体に対して、ある低次
数の代数体上定義された楕円曲線が、該代数体上定義さ
れたねじれ点群の位数が十分大きいかどうかを判定する
プロセスを含む。上記のように、本発明では、入力され
た有限体のサイズから代数体の次数及びその上の楕円曲
線を可変にして、与えられるアルゴリズムから、安全性
に関する新しい指標を与え、有限体上のDDHに安全性
の根拠をおく公開鍵暗号システムの安全性を評価するこ
とが可能となる。
【0016】
【発明の実施の形態】まず、DDHに安全性の根拠を持
つElGamal 暗号システムについて簡単に説明する。以
下、Fq で位数がqの有限体を表すものとする(但し、
標数はpとする)。Fq の部分群で十分大きな素数位数
つElGamal 暗号システムについて簡単に説明する。以
下、Fq で位数がqの有限体を表すものとする(但し、
標数はpとする)。Fq の部分群で十分大きな素数位数
【0017】
【数1】
を持つものをG=<a>とする。xをZ/l* Zからラ
ンダムに選びy=ax とする。このとき、(q,l* ,
a,y)を公開鍵、xを秘密鍵として暗号化処理
(E)、復号化処理(D)を C=(C1 ,C2 )=E(M), (1) C1 =ar , (2) C2 =myr (3) M=D(C)=C2 /C1 x (4) で定める。ここで、rは、0<r<l* を満たす任意の
整数とし、暗号化処理の度に選ぶものとする。また、M
は平文でGから選ばれているものとする。
ンダムに選びy=ax とする。このとき、(q,l* ,
a,y)を公開鍵、xを秘密鍵として暗号化処理
(E)、復号化処理(D)を C=(C1 ,C2 )=E(M), (1) C1 =ar , (2) C2 =myr (3) M=D(C)=C2 /C1 x (4) で定める。ここで、rは、0<r<l* を満たす任意の
整数とし、暗号化処理の度に選ぶものとする。また、M
は平文でGから選ばれているものとする。
【0018】この暗号システムは、上記(a,y)が与
えられた時、y=ax なる自然数xを求める問題(DL
P)を解くことによっても破られるが(つまり、DLP
にも安全性の根拠がある)、DLPよりもさらに強い仮
定となるDDHを仮定すれば、IND−CPA(選択平
文攻撃に対して強秘匿)であることが証明されている。
えられた時、y=ax なる自然数xを求める問題(DL
P)を解くことによっても破られるが(つまり、DLP
にも安全性の根拠がある)、DLPよりもさらに強い仮
定となるDDHを仮定すれば、IND−CPA(選択平
文攻撃に対して強秘匿)であることが証明されている。
【0019】DDHの定義や、ElGamal 暗号の安全性に
関しては、Tsiounis,Y, 他著、“Onthe Security of El
Gamal Based Encryption ”、Proceeding of PKC'98, L
NCS1431,Springer-Verlag (1998)( 以下この文献を文献
2と称する)を参照されたい。
関しては、Tsiounis,Y, 他著、“Onthe Security of El
Gamal Based Encryption ”、Proceeding of PKC'98, L
NCS1431,Springer-Verlag (1998)( 以下この文献を文献
2と称する)を参照されたい。
【0020】念のため、ここでも有限体上のDDHの定
義を与えておく。
義を与えておく。
【0021】有限体Fq ,Fq の部分群で十分大きな素
数位数l* をもつものをG=<b>とする。x,y,z
がZ/l* Zからランダムに選ばれ、(g,bx ,
by ,b z )が与えられたとき、xy≡z mod l* と
なるかどうかを、1/2よりも意味のある確率で判定で
きるかという問題である。
数位数l* をもつものをG=<b>とする。x,y,z
がZ/l* Zからランダムに選ばれ、(g,bx ,
by ,b z )が与えられたとき、xy≡z mod l* と
なるかどうかを、1/2よりも意味のある確率で判定で
きるかという問題である。
【0022】その他、Cramer-Shoup暗号方式なども提案
されている。これについては、Cramer, R. 他著、“A
Parctical Public Key Cryptosystem Provably Secure
againset Adaptive Chosen Cipher Attack”、Proceedi
ng of Crypto'98, LNCS 1462, Springer-Verlag(1998)
(以下、この文献を文献3と称する)を参照されたい。
されている。これについては、Cramer, R. 他著、“A
Parctical Public Key Cryptosystem Provably Secure
againset Adaptive Chosen Cipher Attack”、Proceedi
ng of Crypto'98, LNCS 1462, Springer-Verlag(1998)
(以下、この文献を文献3と称する)を参照されたい。
【0023】本発明での提案手法はいつかの準備を必要
とする。まずは、本発明に必要なアルゴリズムを列挙し
た後、具体的な手続について説明する。
とする。まずは、本発明に必要なアルゴリズムを列挙し
た後、具体的な手続について説明する。
【0024】[低次数の代数体生成アルゴリズム]
入力:有限体Fq ,有理整数係数の多項式Po ;
出力:[K:Q]=P(log q) なる代数体K;
(1) d=P(log q)次の有理整数係数で既約な多
項式をランダムに選び、k(X)とおく。
項式をランダムに選び、k(X)とおく。
【0025】(2) K=Q[X]/(k(X))とす
る。
る。
【0026】ここで、K=Q[X]/(k(X))の意
味は、集合として、P(log q)次以下のXを変数とし
た有理整数係数の多項式全体を考え、その集合をk
(X)を法として商をとったものである。つまり、b
(X)とb(X)なる2つの多項式が与えられたとき、
b(X)−h(X)がf(X)で割り切れるとき、b
(X)とh(X)を同一視するものである。
味は、集合として、P(log q)次以下のXを変数とし
た有理整数係数の多項式全体を考え、その集合をk
(X)を法として商をとったものである。つまり、b
(X)とb(X)なる2つの多項式が与えられたとき、
b(X)−h(X)がf(X)で割り切れるとき、b
(X)とh(X)を同一視するものである。
【0027】以下、このアルゴリズムを「d−代数体生
成器」と称する。
成器」と称する。
【0028】[ねじれ群の位数大なる代数体上の楕円曲
線生成アルゴリズム]入力:有限体Fq ,代数体K=Q
[X]/k(X)),素数l* (l* |q−1)。
線生成アルゴリズム]入力:有限体Fq ,代数体K=Q
[X]/k(X)),素数l* (l* |q−1)。
【0029】出力:代数体K上定義されかつ、ねじれ群
のサイズがl* となる楕円曲線E。 (1) K上定義された楕円曲線をランダムに選び、E
とおく。
のサイズがl* となる楕円曲線E。 (1) K上定義された楕円曲線をランダムに選び、E
とおく。
【0030】(2) Eのl* 分点多項式を用いて、E
のl* ねじれ、かつK有理点を決定する。
のl* ねじれ、かつK有理点を決定する。
【0031】(3) Eのl* ねじれ点の位数がl* で
あれば、その楕円曲線を出力し、そうでなければ(1)
に戻る。
あれば、その楕円曲線を出力し、そうでなければ(1)
に戻る。
【0032】ここで、l* ねじれ点や楕円曲線のl* 等
分多項式については、岡本、太田共編、“暗号・ゼロ知
識証明・数論”、共立出版(以下のこの文献を、文献4
と称する)を参照されたい。
分多項式については、岡本、太田共編、“暗号・ゼロ知
識証明・数論”、共立出版(以下のこの文献を、文献4
と称する)を参照されたい。
【0033】以下、このアルゴリズムを「(l* ,K)
−楕円曲線アルゴリズム」と称する。
−楕円曲線アルゴリズム」と称する。
【0034】[シフト素数生成アルゴリズム]
入力:有限体Fq 、素数l* (l* |q−1)。
【0035】出力:素数r、自然数sで、
【0036】
【数2】
を満たす。但し、s<log r。
【0037】(1) l* よりビットサイズが大きい素
数rを生成する。
数rを生成する。
【0038】(2) rが、
【0039】
【数3】
を満たすs<log rが存在するなら、r,sを出力す
る、そうでなければ(1)に戻る。
る、そうでなければ(1)に戻る。
【0040】以下、このアルゴリズムを「l* −シフト
素数生成アルゴリズム」と称する。 [Tate対計算アルゴリズム] 入力:有限体Fq 上の楕円曲線E,E上のFq 有理点の
組(P,Q)。但し、P,Qは、素数(l* (l* |q
−1))位数。
素数生成アルゴリズム」と称する。 [Tate対計算アルゴリズム] 入力:有限体Fq 上の楕円曲線E,E上のFq 有理点の
組(P,Q)。但し、P,Qは、素数(l* (l* |q
−1))位数。
【0041】出力:P,QのTate対の値、<P,Q
>。これは、1のl* 乗根。
>。これは、1のl* 乗根。
【0042】(1) E(Fq )のランダムな点T,U
を選び、A=(P+T)−(T)とする。
を選び、A=(P+T)−(T)とする。
【0043】(2) fA をAから決まる主因子とす
る。
る。
【0044】(3)
【0045】
【数4】
が1のl* 乗根であれば、この値を出力し、そうでなけ
れば(1)に戻る。
れば(1)に戻る。
【0046】ここで、Tate対についての詳しい計算
方法及び性質は、Frey,G 他著“Aremark concerning m
-divisibility and the discrete logarithm in the di
visor class group of curves”、Math. Comp, Vol.62,
(1994)(以下、この文献を文献5と称する)。
方法及び性質は、Frey,G 他著“Aremark concerning m
-divisibility and the discrete logarithm in the di
visor class group of curves”、Math. Comp, Vol.62,
(1994)(以下、この文献を文献5と称する)。
【0047】以下、このアルゴリズムを「l* −Tat
e対計算アルゴリズム」と称する。注意として、l* −
Tate対計算アルゴリムが計算できるような楕円曲線
上のDDHは簡単に解ける。実際、DDHとして、(b
x ,by ,bz )が与えられていたとする。この際、<
bx ,by >=<b,b>xyかつ<b,bz >=<b,
b>z であるため、<b,b>が1にならない限り、x
y≡z mod l* であるかどうかは非常に簡単にチェッ
クできる。このことの詳しい議論は、Joux,A他著、“Se
parating Decisional Diffie-Hellman from Diffie-Hel
lman in cryptographic groups, Cryptology ePrint Ac
hive, Report 2001/003, http://eprint.org/2001/003
(以下、この文献を文献6と称する)を参照されたい。
e対計算アルゴリズム」と称する。注意として、l* −
Tate対計算アルゴリムが計算できるような楕円曲線
上のDDHは簡単に解ける。実際、DDHとして、(b
x ,by ,bz )が与えられていたとする。この際、<
bx ,by >=<b,b>xyかつ<b,bz >=<b,
b>z であるため、<b,b>が1にならない限り、x
y≡z mod l* であるかどうかは非常に簡単にチェッ
クできる。このことの詳しい議論は、Joux,A他著、“Se
parating Decisional Diffie-Hellman from Diffie-Hel
lman in cryptographic groups, Cryptology ePrint Ac
hive, Report 2001/003, http://eprint.org/2001/003
(以下、この文献を文献6と称する)を参照されたい。
【0048】[(p,m)−近似定義多項式生成アルゴ
リズム] 入力:自然数m、素数p,q,進数体Qp ,d次代数体
KがQp に埋め込まれているとして、Kの要素aでQの
要素でないもの。
リズム] 入力:自然数m、素数p,q,進数体Qp ,d次代数体
KがQp に埋め込まれているとして、Kの要素aでQの
要素でないもの。
【0049】出力:aのQ上の定義多項式を有理整数係
数にしてmod pm したもの。
数にしてmod pm したもの。
【0050】(1) 1,p*a,p2 *a2 ,…,p
m *ad-1 から決まる有理整数環上の近似格子を生成す
る。これをLとする。
m *ad-1 から決まる有理整数環上の近似格子を生成す
る。これをLとする。
【0051】(2) Lに対して、LLLアルゴリズム
を適用し、mod pm を法とした、aのQ上の定義方程式
を出力。
を適用し、mod pm を法とした、aのQ上の定義方程式
を出力。
【0052】ここで、上記のアルゴリズムに出てきた用
語及びLLLアルゴリズムについての詳細については、
Smart, N.P. 著、“The Algorithmic Resolution of Di
ophantine Equations ”、London Math. Society, Stud
ent Texts 41, Cambridge.(以下、この文献を文献7と
称する)を参照されたい。
語及びLLLアルゴリズムについての詳細については、
Smart, N.P. 著、“The Algorithmic Resolution of Di
ophantine Equations ”、London Math. Society, Stud
ent Texts 41, Cambridge.(以下、この文献を文献7と
称する)を参照されたい。
【0053】以下、このアルゴリズムを「(p,m)−
近似定義多項式生成アルゴリズム」と称する。
近似定義多項式生成アルゴリズム」と称する。
【0054】以上の設定のもとで、DDHが易しい問題
となる場合のアルゴリズムを説明する。
となる場合のアルゴリズムを説明する。
【0055】まず、有限体Fq が与えられていて、その
素数位数l* の要素の組(a,b,c)が与えられてい
るとする。適当に定めたd次既約多項式について、d−
代数体生成器で代数体Kと、(l* ,K)−楕円曲線生
成アルゴリズムを使って、その体上で定義された楕円曲
線を生成する。次に、その楕円曲線の中で特に、標数p
の上で定義された楕円曲線を生成する。
素数位数l* の要素の組(a,b,c)が与えられてい
るとする。適当に定めたd次既約多項式について、d−
代数体生成器で代数体Kと、(l* ,K)−楕円曲線生
成アルゴリズムを使って、その体上で定義された楕円曲
線を生成する。次に、その楕円曲線の中で特に、標数p
の上で定義された楕円曲線を生成する。
【0056】次に、その楕円曲線の中で特に、標数pの
上で還元し、Fq 上の楕円曲線E’が特異となるものを
選ぶ。Fq の乗法群からその特異楕円曲線E’上への準
同型写像が自然に構成できて、その写像によるa,b,
cの像を、それぞれ、A’,B’,C’とする。まず、
A’,B’,C’をK上に持ち上げる。KのQp への埋
め込み写像を固定しておき、持ち上げられた点をそれぞ
れ、A,B,Cとする。これに、上記(p,m)−近似
定義多項式生成アルゴリズムを用いる。
上で還元し、Fq 上の楕円曲線E’が特異となるものを
選ぶ。Fq の乗法群からその特異楕円曲線E’上への準
同型写像が自然に構成できて、その写像によるa,b,
cの像を、それぞれ、A’,B’,C’とする。まず、
A’,B’,C’をK上に持ち上げる。KのQp への埋
め込み写像を固定しておき、持ち上げられた点をそれぞ
れ、A,B,Cとする。これに、上記(p,m)−近似
定義多項式生成アルゴリズムを用いる。
【0057】次に、l* −シフト素数生成アルゴリズム
で生成された素数r上の付値で還元したものをE”とす
る。A,B,CをFrs上に還元したものをA”,B”,
C”とする。すると、l* −Tate対アルゴリズムを
使って、A”,B”,C”に対するDDHを解くことが
できる。
で生成された素数r上の付値で還元したものをE”とす
る。A,B,CをFrs上に還元したものをA”,B”,
C”とする。すると、l* −Tate対アルゴリズムを
使って、A”,B”,C”に対するDDHを解くことが
できる。
【0058】
【実施例】以下、図面と共に本発明の実施例を説明す
る。
る。
【0059】なお、以下の説明中に使用されるl* (L
の小文字)は、数字の『1』と区別するための記載であ
るが、
の小文字)は、数字の『1』と区別するための記載であ
るが、
【0060】
【数5】
を意味している。また、図面上では、
【0061】
【数6】
と記している。
【0062】以下では、DDHに基づく、公開鍵暗号評
価装置の一例を示す。
価装置の一例を示す。
【0063】図3は、本発明の一実施例のDDHに基づ
く公開鍵暗号評価装置の構成を示す。
く公開鍵暗号評価装置の構成を示す。
【0064】同図に示すDDHに基づく公開鍵暗号評価
装置100は、入力された有限体に対して、前述の低次
数の代数体生成アルゴリズムを用いてある低次数の代数
体を生成するd−代数体生成部110、前述のねじれ群
の位数大なる代数体の楕円曲線生成アルゴリズムを用い
て楕円曲線を生成する(l* ,K)−楕円曲線生成部1
20、前述のシフト素数生成アルゴリズムを用いてシフ
ト素数を生成するシフト素数生成部130を有する。
装置100は、入力された有限体に対して、前述の低次
数の代数体生成アルゴリズムを用いてある低次数の代数
体を生成するd−代数体生成部110、前述のねじれ群
の位数大なる代数体の楕円曲線生成アルゴリズムを用い
て楕円曲線を生成する(l* ,K)−楕円曲線生成部1
20、前述のシフト素数生成アルゴリズムを用いてシフ
ト素数を生成するシフト素数生成部130を有する。
【0065】図4は、本発明の一実施例のd−代数体生
成部の詳細構成を示す。
成部の詳細構成を示す。
【0066】d−代数体生成部110は、多項式P
(X),k(X)を生成する多項式生成器111、k
(X)が既約になったかを判定する既約判定器112か
ら構成される。
(X),k(X)を生成する多項式生成器111、k
(X)が既約になったかを判定する既約判定器112か
ら構成される。
【0067】d−代数体生成部110が、有限体Fq 上
のDDHに基づく公開鍵暗号のパラメータの一部である
(q,l* )と拡大次数のためのd及び繰り返し回数の
ための補助パラメータm,nを受け取る(但し、l
* は、素数でl* |(q−1)とする。また、m,n
は、log qの多項式のサイズを持つものとする)。
のDDHに基づく公開鍵暗号のパラメータの一部である
(q,l* )と拡大次数のためのd及び繰り返し回数の
ための補助パラメータm,nを受け取る(但し、l
* は、素数でl* |(q−1)とする。また、m,n
は、log qの多項式のサイズを持つものとする)。
【0068】多項式生成器111は、上記の入力がある
と、d+1の整数を生成することにより、多項式P
(X)を生成する。これを、d=P(log q)なるまで
繰り返し行う。次に、再度、多項式生成器111によ
り、同様にd次の多項式k(X)を生成する。
と、d+1の整数を生成することにより、多項式P
(X)を生成する。これを、d=P(log q)なるまで
繰り返し行う。次に、再度、多項式生成器111によ
り、同様にd次の多項式k(X)を生成する。
【0069】既約判定器112は、多項式生成器111
で生成されたk(X)を入力し、k(X)が既約になる
まで繰り返し、代数体K=Q[X]/(k(X))を生
成する。
で生成されたk(X)を入力し、k(X)が既約になる
まで繰り返し、代数体K=Q[X]/(k(X))を生
成する。
【0070】図5は、本発明の一実施例の(l* ,K)
−楕円曲線生成部の詳細構成を示す。
−楕円曲線生成部の詳細構成を示す。
【0071】(l* ,K)−楕円曲線生成部120は、
楕円曲線生成器121、l* −等分多項式生成器12
2、l* −ねじれ点評価器123から構成される。
楕円曲線生成器121、l* −等分多項式生成器12
2、l* −ねじれ点評価器123から構成される。
【0072】楕円曲線生成器121は、d−代数体生成
部110から代数体K=Q[X]/(k(X))が入力
されると、ランダムに代数体K上の楕円曲線Eを生成す
る。 l* −等分多項式生成器122は、Eのl* −等分多項
式を生成する l* −ねじれ点評価器123は、EがK−有理点となる
l* −ねじれ点をl*個以上含むかどうかを判定する。
含むとき、この楕円曲線Eを出力する。
部110から代数体K=Q[X]/(k(X))が入力
されると、ランダムに代数体K上の楕円曲線Eを生成す
る。 l* −等分多項式生成器122は、Eのl* −等分多項
式を生成する l* −ねじれ点評価器123は、EがK−有理点となる
l* −ねじれ点をl*個以上含むかどうかを判定する。
含むとき、この楕円曲線Eを出力する。
【0073】図6は、本発明の一実施例のシフト素数生
成部の詳細構成を示す。
成部の詳細構成を示す。
【0074】シフト素数生成部130は、素数生成器1
31を有する。
31を有する。
【0075】素数生成器131は、(l* ,K)−楕円
曲線生成部120から出力された、q,l* を入力し、
素数r、自然数sとするとき、
曲線生成部120から出力された、q,l* を入力し、
素数r、自然数sとするとき、
【0076】
【数7】
を満たす(但し、s<log r)ものを出力し、0を出力
する。
する。
【0077】次に、上記の構成における動作を説明す
る。
る。
【0078】図7は、本発明の一実施例の動作のフロー
チャートである。
チャートである。
【0079】まず、d−代数体生成部110が、有限体
Fq 上のDDHに基づく公開鍵暗号のパラメータの一部
である(q,l* )と拡大次数のためのd、及び繰り返
し回数のための補助パラメータm,nを受け取ると(た
だし、l* は、素数でl* |(q−1)とする。また、
m,nは、log qの多項式のサイズを持つものとする)
(ステップ101)、多項式生成器111で、多項式P
(X)を生成する(ステップ102)。これを、d=P
(log q)となるまで繰り返し行う(ステップ10
3)。
Fq 上のDDHに基づく公開鍵暗号のパラメータの一部
である(q,l* )と拡大次数のためのd、及び繰り返
し回数のための補助パラメータm,nを受け取ると(た
だし、l* は、素数でl* |(q−1)とする。また、
m,nは、log qの多項式のサイズを持つものとする)
(ステップ101)、多項式生成器111で、多項式P
(X)を生成する(ステップ102)。これを、d=P
(log q)となるまで繰り返し行う(ステップ10
3)。
【0080】次に、再び、多項式生成器111を使っ
て、d次の多項式k(X)を生成する(ステップ10
4)。これを、既約判定器112に入力し、k(X)が
既約になるまで繰り返す(ステップ105)。これらを
用いて、代数体K=Q[X]/(k(X))を生成する
(ステップ106)。
て、d次の多項式k(X)を生成する(ステップ10
4)。これを、既約判定器112に入力し、k(X)が
既約になるまで繰り返す(ステップ105)。これらを
用いて、代数体K=Q[X]/(k(X))を生成する
(ステップ106)。
【0081】次に、代数体K=Q[X]/(k(X))
を(l* ,K)−楕円曲線生成部120に入力する。
を(l* ,K)−楕円曲線生成部120に入力する。
【0082】楕円曲線生成器121で、ランダムに代数
体K上の楕円曲線Eを生成し(ステップ107)、それ
をl* −ねじれ点評価器123に入力し、EがK−有理
点となるl* −ねじれ点評価器123に入力し、EがK
−有理点となるl* −ねじれ点をl* 個以上含むかどう
かを判定する(ステップ108)。
体K上の楕円曲線Eを生成し(ステップ107)、それ
をl* −ねじれ点評価器123に入力し、EがK−有理
点となるl* −ねじれ点評価器123に入力し、EがK
−有理点となるl* −ねじれ点をl* 個以上含むかどう
かを判定する(ステップ108)。
【0083】含むとき、この楕円曲線Eを出力する。そ
うでないとき、楕円曲線生成器121に戻り、再び別の
楕円曲線を取り返す。これをm回繰り返す(ステップ1
09)。m回繰り返し、楕円曲線が見つからなければ、
多項式生成器111に戻って、既約多項式k(X)を取
り替え、上記のn回繰り返す(ステップ110)。これ
で、楕円曲線がみつかれば、その楕円曲線を出力する。
見つからなければ1を出力する(ステップ111)。
うでないとき、楕円曲線生成器121に戻り、再び別の
楕円曲線を取り返す。これをm回繰り返す(ステップ1
09)。m回繰り返し、楕円曲線が見つからなければ、
多項式生成器111に戻って、既約多項式k(X)を取
り替え、上記のn回繰り返す(ステップ110)。これ
で、楕円曲線がみつかれば、その楕円曲線を出力する。
見つからなければ1を出力する(ステップ111)。
【0084】もし、上記性質を満たす楕円曲線が存在す
る場合(ステップ108,Yes)、シフト素数生成部
130に、上記のq,l* を入力する。素数r、自然数
sで、
る場合(ステップ108,Yes)、シフト素数生成部
130に、上記のq,l* を入力する。素数r、自然数
sで、
【0085】
【数8】
を満たす(但し、s<log r)のものを出力し(ステッ
プ112)、0を出力する(ステップ113)。
プ112)、0を出力する(ステップ113)。
【0086】なお、上記の実施例における図7に示す動
作をプログラムとして構築し、有限体上のDDH判定問
題に基づく公開鍵暗号安全性評価装置として利用される
コンピュータにインストールすることが可能である。
作をプログラムとして構築し、有限体上のDDH判定問
題に基づく公開鍵暗号安全性評価装置として利用される
コンピュータにインストールすることが可能である。
【0087】また、構築されたプログラムを上記の公開
鍵暗号安全性評価装置として利用されるコンピュータに
接続されるハードディスクや、フレキシブルディスク、
CD−ROM等の可搬記憶媒体に格納しておき、本発明
を実施する際にインストールすることにより、容易に本
発明を実現できる。
鍵暗号安全性評価装置として利用されるコンピュータに
接続されるハードディスクや、フレキシブルディスク、
CD−ROM等の可搬記憶媒体に格納しておき、本発明
を実施する際にインストールすることにより、容易に本
発明を実現できる。
【0088】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において、種々変更・応
用が可能である。
ることなく、特許請求の範囲内において、種々変更・応
用が可能である。
【0089】
【発明の効果】上述のように、本発明によれば、入力有
限体のサイズから代数体の次数及びその上の楕円苦戦を
可変にして、上記のアルゴリズムから、安全性に関する
新しい指標を与え、有限体上のDDHに安全性の根拠を
おく公開暗号の方式の安全性を評価することが可能とな
る。言い換えれば、従来は、DDHよりも難しいであろ
うと考えられているDLPなどによる評価しか与えられ
ていなかったが、DLPは難しくてもDDHは易しいよ
うな場合も起こり得ることが判明してきており、従来よ
りも精密な評価が可能になったと言える。
限体のサイズから代数体の次数及びその上の楕円苦戦を
可変にして、上記のアルゴリズムから、安全性に関する
新しい指標を与え、有限体上のDDHに安全性の根拠を
おく公開暗号の方式の安全性を評価することが可能とな
る。言い換えれば、従来は、DDHよりも難しいであろ
うと考えられているDLPなどによる評価しか与えられ
ていなかったが、DLPは難しくてもDDHは易しいよ
うな場合も起こり得ることが判明してきており、従来よ
りも精密な評価が可能になったと言える。
【図1】本発明の原理を説明するための図である。
【図2】本発明の原理構成図である。
【図3】本発明の一実施例の有限体上のDiffie-Hellman
判定問題に基づく公開鍵安全性評価装置の構成図であ
る。
判定問題に基づく公開鍵安全性評価装置の構成図であ
る。
【図4】本発明の一実施例のd−代数体生成部の報賽構
成図である。
成図である。
【図5】本発明の一実施例の(l* ,K)−楕円曲線生
成部の詳細構成図である。
成部の詳細構成図である。
【図6】本発明の一実施例のシフト素数生成部の詳細構
成図である。
成図である。
【図7】本発明の一実施例の動作のフローチャートであ
る。
る。
100 有限体上のDiffie-Hellman判定問題に基づく公
開鍵暗号安全性評価装置 110 d代数体生成手段、d−代数体生成部 111 多項式生成器 112 既約判定器 120 (l* ,K)−楕円曲線生成手段、(l* ,
K)−楕円曲線生成部 121 楕円曲線生成器 122 1* 等分多項式生成器 123 1* ねじり点評価器 130 シフト素数生成手段、シフト素数生成部 131 素数生成器
開鍵暗号安全性評価装置 110 d代数体生成手段、d−代数体生成部 111 多項式生成器 112 既約判定器 120 (l* ,K)−楕円曲線生成手段、(l* ,
K)−楕円曲線生成部 121 楕円曲線生成器 122 1* 等分多項式生成器 123 1* ねじり点評価器 130 シフト素数生成手段、シフト素数生成部 131 素数生成器
Claims (8)
- 【請求項1】 公開鍵暗号システムにおけるコンピュー
タ上で、公開鍵暗号方式の安全性を評価するための、有
限体上のDiffie-Hellman判定問題(以下、D DH)に基づく公開鍵暗号安全性評価方法において、 入力された有限体に対して、ある低次の代数体を生成
し、 ランダムに前記代数体上の楕円曲線を生成し、 前記楕円曲線が所定の条件を満たすとき、シフト素数を
生成することを特徴とする有限体上のDiffie-Hellman判
定問題に基づく公開鍵暗号安全性評価方法。 - 【請求項2】 前記入力された有限体に対して、ある低
次数の代数体上定義された楕円曲線が、該代数体上定義
されたねじれ点群の位数が十分大きいかどうかを判定す
る請求項1記載の有限体上のDiffie-Hellman判定問題に
基づく公開鍵暗号安全性評価方法。 - 【請求項3】 公開鍵暗号システムにおける有限体上の
Diffie-Hellman判定問題(以下、DDH)に基づく公開
鍵暗号安全性評価装置であって、 入力された有限体に対して、ある低次の代数体を生成す
るd代数体生成手段と、 ランダムに前記代数体上の楕円曲線を生成する(l* ,
K)−楕円曲線生成手段と、 前記楕円曲線が所定の条件を満たすとき、シフト素数を
生成するシフト素数生成手段とを有することを特徴とす
る有限体上のDiffie-Hellman判定問題に基づく公開鍵暗
号安全性評価装置。 - 【請求項4】 前記シフト素数生成手段は、 前記入力された有限体に対して、ある低次数の代数体上
定義された楕円曲線が、該代数体上定義されたねじれ点
群の位数が十分大きいかどうかを判定する手段を含む請
求項3記載の有限体上のDiffie-Hellman判定問題に基づ
く公開鍵暗号安全性評価装置。 - 【請求項5】 公開鍵暗号システムにおける有限体上の
Diffie-Hellman判定問題(以下、DDH)に基づく公開
鍵暗号安全性評価プログラムであって、 入力された有限体に対して、ある低次の代数体を生成す
るd代数体生成プロセスと、 ランダムに前記代数体上の楕円曲線を生成する(l* ,
K)−楕円曲線生成プロセスと、 前記楕円曲線が所定の条件を満たすとき、シフト素数を
生成するシフト素数生成プロセスとを有することを特徴
とする有限体上のDiffie-Hellman判定問題に基づく公開
鍵暗号安全性評価プログラム。 - 【請求項6】 前記シフト素数生成プロセスは、 前記入力された有限体に対して、ある低次数の代数体上
定義された楕円曲線が、該代数体上定義されたねじれ点
群の位数が十分大きいかどうかを判定するプロセスを含
む請求項5記載の有限体上のDiffie-Hellman判定問題に
基づく公開鍵暗号安全性評価プログラム。 - 【請求項7】 公開鍵暗号システムにおける有限体上の
Diffie-Hellman判定問題(以下、DDH)に基づく公開
鍵暗号安全性評価プログラムを格納した記憶媒体であっ
て、 入力された有限体に対して、ある低次の代数体を生成す
るd代数体生成プロセスと、 ランダムに前記代数体上の楕円曲線を生成する(l* ,
K)−楕円曲線生成プロセスと、 前記楕円曲線が所定の条件を満たすとき、シフト素数を
生成するシフト素数生成プロセスとを有することを特徴
とする有限体上のDiffie-Hellman判定問題に基づく公開
鍵暗号安全性評価プログラムを格納した記憶媒体。 - 【請求項8】 前記シフト素数生成プロセスは、 前記入力された有限体に対して、ある低次数の代数体上
定義された楕円曲線が、該代数体上定義されたねじれ点
群の位数が十分大きいかどうかを判定するプロセスを含
む請求項7記載の有限体上のDiffie-Hellman判定問題に
基づく公開鍵暗号安全性評価プログラムを格納した記憶
媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002031400A JP2003233306A (ja) | 2002-02-07 | 2002-02-07 | 公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002031400A JP2003233306A (ja) | 2002-02-07 | 2002-02-07 | 公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003233306A true JP2003233306A (ja) | 2003-08-22 |
Family
ID=27774820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002031400A Pending JP2003233306A (ja) | 2002-02-07 | 2002-02-07 | 公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003233306A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008520144A (ja) * | 2004-11-11 | 2008-06-12 | サーティコム コーポレーション | カスタム静的ディフィ−ヘルマン(Diffie−Hellman)群 |
| JP2014137442A (ja) * | 2013-01-16 | 2014-07-28 | Nippon Telegr & Teleph Corp <Ntt> | 復号サービス提供装置、安全性評価装置、およびプログラム |
-
2002
- 2002-02-07 JP JP2002031400A patent/JP2003233306A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008520144A (ja) * | 2004-11-11 | 2008-06-12 | サーティコム コーポレーション | カスタム静的ディフィ−ヘルマン(Diffie−Hellman)群 |
| US8588409B2 (en) | 2004-11-11 | 2013-11-19 | Certicom Corp. | Custom static Diffie-Hellman groups |
| JP2014137442A (ja) * | 2013-01-16 | 2014-07-28 | Nippon Telegr & Teleph Corp <Ntt> | 復号サービス提供装置、安全性評価装置、およびプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6480605B1 (en) | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon | |
| May | Using LLL-reduction for solving RSA and factorization problems | |
| JP4688886B2 (ja) | 楕円曲線暗号パラメータ生成装置及び楕円曲線暗号システム及び楕円曲線暗号パラメータ生成プログラム | |
| JP5190142B2 (ja) | 楕円曲線上の新しいトラップドア1方向性関数と、その、より短い署名及び非対称暗号化への応用 | |
| JP5001176B2 (ja) | 署名生成装置、署名生成方法及び署名生成プログラム | |
| JP4620669B2 (ja) | 署名生成装置、署名検証装置、それらの方法、および集積回路 | |
| Meshram | An efficient ID-based cryptographic encryption based on discrete logarithm problem and integer factorization problem | |
| JP2005141200A (ja) | 暗号システムの設計におけるアイソジャニの使用 | |
| US8351601B2 (en) | Elliptic polynomial cryptography with secret key embedding | |
| US8666066B2 (en) | Encoding points of an elliptic curve | |
| US20130202104A1 (en) | Xz-elliptic curve cryptography system and method | |
| US20020041683A1 (en) | Method for selecting optimal number of prime factors of a modulus for use in a cryptographic system | |
| Zuccherato | Elliptic curve cryptography support in entrust | |
| JP2003233306A (ja) | 公開鍵暗号安全性評価方法及び装置及び公開鍵暗号安全性評価プログラム及び公開鍵暗号安全性評価プログラムを格納した記憶媒体 | |
| Nitaj et al. | A new attack on RSA with a composed decryption exponent | |
| Frey et al. | Fast bilinear maps from the Tate-Lichtenbaum pairing on hyperelliptic curves | |
| US20140270156A1 (en) | Cryptographic devices and methods for encoding-free encryption on elliptic curves | |
| Mohapatra | Signcryption schemes with forward secrecy based on elliptic curve cryptography | |
| JP2005084568A (ja) | セキュリティ方法、セキュリティ装置及びセキュリティプログラム | |
| Mohammadi et al. | Comparison of two Public Key Cryptosystems | |
| US20120140921A1 (en) | Rsa-analogous xz-elliptic curve cryptography system and method | |
| KR20070049823A (ko) | 전력공격에 안전한 모듈라 지수승 연산 및 상수배 곱셈연산방법 | |
| JP4230162B2 (ja) | 公開鍵暗号通信方法 | |
| Jacobson Jr et al. | An adaptation of the NICE cryptosystem to real quadratic orders | |
| JP2003218858A (ja) | 署名生成方法及び署名検証方法及び署名生成装置及び署名検証装置及び署名生成プログラム及び署名検証プログラム及び署名生成プログラムを格納した記憶媒体及び署名検証プログラムを格納した記憶媒体 |