JP2006513444A - 暗号法目的に適する超楕円曲線を構成する方法及びこのような方法を用いる暗号装置 - Google Patents

暗号法目的に適する超楕円曲線を構成する方法及びこのような方法を用いる暗号装置 Download PDF

Info

Publication number
JP2006513444A
JP2006513444A JP2004566202A JP2004566202A JP2006513444A JP 2006513444 A JP2006513444 A JP 2006513444A JP 2004566202 A JP2004566202 A JP 2004566202A JP 2004566202 A JP2004566202 A JP 2004566202A JP 2006513444 A JP2006513444 A JP 2006513444A
Authority
JP
Japan
Prior art keywords
hyperelliptic curve
field
class
determined
curve
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004566202A
Other languages
English (en)
Inventor
アンネグレト、ベンク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koninklijke Philips NV
Original Assignee
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips Electronics NV filed Critical Koninklijke Philips Electronics NV
Publication of JP2006513444A publication Critical patent/JP2006513444A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Complex Calculations (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

安全な超楕円曲線を迅速に決定するための方法を提供するために、適当な超楕円曲線が虚数乗法の方法を用いて構成されるべきことが提唱される。本発明の方法は、暗号用途に適する、大きな標数を有する有限体上の種数2の、超楕円曲線を生成する。本発明は更に上で説明したような方法を利用する暗号装置を提供するが、この装置は、送信者と受信者との間で公衆網を通じて情報を安全に交換するために、メッセージを暗号化及び復号するために用いるのに有効である。このような暗号装置を用いることで、交換されるべきメッセージ及び資料を、送信者及び受信者に対する認証手続において高速かつ簡単に暗号化することが可能となる。

Description

多くの場合において、送信者と受信者との間の公衆網を通じての情報を安全な交換は、交換されるべきメッセージ及び資料が暗号化されることを要求し、従って、これら送信者と受信者とに対する認証手続を必要としている。
とりわけ、頻繁に遭遇される暗号方法は、“公開キー”方法としても知られる、“非対称”暗号化と呼ばれるものである。この方法は、メッセージの受信者が、あるキーを、公衆網を通じて送信者に、原理的には、第三者がアクセスできるようなやり方にて伝送することを許す。このキーが“公開キー”である。送信者は、次に、そのメッセージをこのキーを用いて暗号化する。この公開キー方法の威力は、この方法にて暗号化されたメッセージは、この公開キーのみの知識では再び復号することはできないという事実にある。その公開キーの生成者、つまり、その受信者のみが、その暗号化されたメッセージを、その公開キーにて復号することができる。このタイプの非対称暗号化には複数の変形タイプが存在する。非対称方法の最も広く普及された例は、RSA方法であることは疑いない。
公開キー方法のある下位グループは、ある非常に大きな自然数、或いは別の大きな自然数の整数モジュロ(integer modulo)、すなわち、公開キーを指数化するステップを含む。この方法のグループの機密性は、このやり方にてこの機密指数を得るために、離散的対数を計算することは、実際的には不可能であることに基づく。この離散的対数問題に基づく暗号化及び認証の方法の例としては、Diffie−Hellman暗号、El−Gamal暗号、DSSシグニチャ及びSchnorの方法等の名称にて知られている方法がある。
この離散的対数が基づいている有限アーベル群は、様々なやり方にて選択することができる。一つの可能な選択は、ある有限体F上に定義されたある超楕円曲線の零(0)次の因子類群のF−有理要素の群である。この群に対して、超楕円曲線のJacobi多様体のF−有理点群(Fq-rational point group)とも呼ばれ、この群の要素のあるコンパクトな表現(compact representation)と効率的な加法アルゴリズム(efficient adding algorithm)とが存在する。この表現とこの群の使用の更なる詳細については、例えば、N.Koblitz "Algebraic Aspects of Cryptology", Springer Verlag, 1998において議論されている。
しかし、この選択の1つの問題は、適切な超楕円曲線の決定である。離散的対数が実際問題として解くことができないことを保証するためには、この曲線の因子類群は、非常に大きな素因子を含むべきであるが、これはこの対数問題を解くためのアルゴリズムの実行時間はこの素因子の平方根に依存するためである。今日のコンピュータシステムの性能を基礎に取ると、この素因子は少なくとも2160ビット長であるべきである。しかし、システムが効率的であることを保証するためには、システムのパラメータ、例えば、これらキーは、長すぎるべきではない。
これら条件を満たす超楕円曲線は、その零次因子類群が素数或いはほとんど素数群の位数である曲線である。この種の曲線を決定するためには、原理的には、有限体Fからこの曲線の係数(coefficients)をランダムに選択することが可能である。この結果としての曲線が特異でないときは、この因子類群の要素の数を決定することができる。しかし、現在に至るまで、大きな特性値(種数2の曲線に対してはp>280)を有する体上のランダムに選択された超楕円曲線に対しては、上記数、つまり、その因子類群の位数を見つけることは不可能であった。加えて、複数の超楕円曲線のほんの一部のみが素数或いはほとんど素数位数の因子類群を有し、このため、もしそのようなアルゴリズムが存在したとしても、それでも、上で定義された意味において安全な曲線を決定できる前に、多数の曲線をテストしなければならないという問題が存在する。これらテストは、選択過程の速度を減ずる。
従って、本発明の目的は、安全な超楕円曲線を高速にて決定するための方法を定義することにある。更に、本発明の目的は、このような安全な超楕円曲線の高速決定を遂行するための暗号装置を提供することにある。
本発明のこれら意図に対して、この目的は、適切な超楕円曲線を虚数乗法の方法を用いて構成することで達成される。この発明の方法は、暗号用途のために、大きな標数を有する有限体上の適切な種数2の超楕円曲線を生成する。
2に等しくない標数を有する体F(或いはF)上の種数gの超楕円曲線は
=f(x)
なる形式の特異でない曲線として定義することができ、ここでf(x)は、次数2g+1の正規化多項式を表す。
以下ではCM法と呼ばれる、この虚数乗法の方法は、これ自体は知られており、例えば、既にAtkinによって楕円曲線を構成するために用いられている。CM理論のこの知られている用途の詳細については、A.O.L Atkin, F. Morain, Elliptic curves and primality proving, Math. Comp. 61:29-68,1993を参照されたい。この知られているCM法は、ある与えられた虚数二次位数(imaginary quadratic order)O及び素数pに対してその自己準同型環がOに対して同型であるF上の楕円曲線Eを決定することを可能にする。このCM法及び従ってこれが必要とする計算作業の複雑さは、このケースにおいては、類数(class number)h(O)と位数Oの判別式によって決定される。A.-M. Spallek [IEM,1994, preprint no.18]及び本発明者であるA. Weng[IEM,2002,preprint np.11]による(博士学位)論文においては、このCM法の適用が、種数2、類数1の超楕円曲線(Spallek)、種数2、高々10までの超楕円曲線、及び種数3及びそれ以上の超楕円曲線の特別なケース(Weng)、の構成に拡大されている。
特に、本発明による方法においては、単純主偏極アーベル多様体(simple principally polarized Abelian varieties)の全ての同形類(isomorphism classes)に対するある代表系(representant system)が決定される。このケースにおいては、これら同形類の計算(counting)は、その基本単位(fundamental unit)がこのCM体K内の1単位の相対ノルム(relative norm)であるかチェックする必要がないために、簡素化される。
また、これら周期行列を等価のジーゲル(Siegel)既約行列に変換し、これによってテータ零(theta nulls)の高速収束を図ることもできる。
もう一つの好ましい実施例においては、複素数の体C上のこの超楕円曲線は計算された10個のテータ零の内の6個から決定される。
また、本発明による方法の1つの好ましい変形例においては、複数の、とりわけ(好ましくは)、100以上の、更には、1000以上の、可能なCM体が決定され、これらCM体に属する類多項式が計算され、これら2つが、この安全な超楕円曲線を決定するための方法の使用の前に、データ集合として格納される。
本発明による方法の一つの変形においては、可能なCM体の範囲はテストによって削減される。これによって、その群位数に対して正確な素数(exact prime number)が得られることを確保することができる。
本発明によるこの方法においては、有限体Fが基づいている素数pは、F上のCM体Kの最小多項式が4つの異なる線形因子に分解されるように選択される。
もう一つの変形においては、曲線が基づいている有限体Fは素数ではない。
上述のような方法を用いる暗号装置は、送信者と受信者との間で公衆網を通じて情報を安全に交換するために、メッセージを暗号化及び復号するために用いるのに有効である。このような暗号装置を用いることで、交換のためのメッセージ及び資料を、送信者及び受信者に対する認証手続において、高速かつ簡単に暗号化することができる。
本発明のこれら及びその他の態様は、実施例を参照することで明らかであるが、以下ではこられについて詳細に説明する。
以下においては、本発明による方法のステップが詳細に説明される。この方法は2つのサブステップを含む。第一のサブステップは、CM体Kと、体Fを定義するのに適する素数pと、適当な群位数nの決定に関する。
適切なCM体Kが、最初に、類数hko=1を有する全実数体(totally real number field)Kの全虚数二次拡大(total imaginary quadratic expansion)によって決定される。この種のCM体は、例えば、集合K=Q(i(a+bd)1/21/2)によって与えられ、ここでa,b及びdは整数である。
素数pは以下の3つの条件が満たされるように選択される。
1. O内にw=pとなるような数wが存在し、ここで、OはKの最大位数を表し、はwの共役複素元を表す(ここ及び以降において下線は下線を施された項目の共役複素元を示す)。
2. n=Π(1−w)或いはn=Π(1+w)はほとんど素数(almost prime)であること。ここでこの積ΠはK内のwの全ての共役wをカバーする。
3. これら位数n(i=1,2)の1つはkqなる形式のものであり、ここでkは小さな数であり、qはF内のpの位数が高いという条件を満たす素数を表す。
pの選択は、この場合は、Oから乱数ηを選択し、積ηηの共役複素元が素数であるかチェックすることで簡易化できる。もしそれが素数である場合は、n或いはnが条件2を満たすかチェックされる。このηは、この場合は、その相対ノルムが整数の集合Zの要素となることが保証されるように選択されるべきである。
代わりに、乱数pは、Zから選択し、Z[x]内の最小多項式を絶対ノルム方程式N/k/q(w)=pの全ての解に対して決定することもできる。これら多項式から、既約であり、絶対値p1/2の零点(zero points)を有するものが選択される。これら最小多項式が次に点x=1の所で解析される。これは可能な群位数nの集合Sを与える。この集合は高々4つの異なる数を有する。これら値nが次に上の条件1と2を満たすかテストされる。
続く第二のサブステップに対しては、既に第一のサブステップにおいて条件1から3を満たすCM体K、素数p及び群位数nは決定されているものと想定される。この第二のサブステップにおいては、位数nの因子類群を有する体F上の超楕円曲線が構成される。
これを行う際には、種数2の超楕円曲線の場合は、これら曲線のヤコビ多様体は、完全に、次元2の主偏極アーベル多様体となるという事実が利用される。また、知られている方法を用いて、Oによる虚数乗法を有する複素数の体Cの単純主偏極アーベル多様体の全ての同形類に対するある代表系を見つけることが可能である。また、原理的には、これら多様体の周期行列(period matrix)Ωを集合Hから決定できることが知られている。ここで、H={MはGl(C)から取られ、M=M、Mの虚数部は正定値}は、次元2のジーゲル上側半平面(Siegel upper half-plane)を表す。この行列は、こうして、対称であり、正定値虚数部(positively defined imaginary part)を有する。
例として以下を取る。
Figure 2006513444
ηはi(3+)1/2に等しいものとして取られる。Q(61/2)の基本単位(fundamental unit)εは、この場合は、正のノルムを有する。実数二次部分体(real quadratic subfield)Okoに対して相対的完備イデアル類群(ideal class group)の代表系は
Figure 2006513444
 として表すことができる。
A1とA2の一般表現から
Ai=αOko+βOko
τ=α/βが計算されるが、上の例を取ると、
Figure 2006513444
 となる。
複素数Cの体内のKの埋め込み(embedment)σは
Figure 2006513444
 と、これに対する共役複素元としてのρによって与えられる。Oによる乗法を有する単純主偏極アーベル多様体の全ての同形類の代表系は、すると、以下のような組の集合によって与えられる。
Figure 2006513444
ある組(s,s)に対する関連する周期行列は
Figure 2006513444
 である。
以下の手続によって、体K=Q(i(a+bd1/21/2がCM体であり、εが基本単位であり、σが共役
Figure 2006513444
 を表し、ρが複素共役である場合は、この同形類の総数が得られる。代表A=αko+βkoに対して、τ=α/βが得られ、ここでτの虚部は正である。類群として{τ,・・・,τ・・・,τhk}およびk≦hとすると、i≦kの場合、τ σの虚部は正となり、i>kの場合、τ σの虚部は負となる。以下の規則は、Oにて虚数乗法可能な単純主偏極アーベル多様体の適当な集合Sを得ることを可能にする。
Kがガロア体であるときは、S:={τ,τ σ),1≦i≦h}
Kが非正規で、かつ、N(ε)=1のときは、k:=h/2、
Figure 2006513444
 が得られ、そして、Kは非正規であるが、N(ε)=−1のときは、得られる定義は以下の通りとなる。
Figure 2006513444
上で決定された周期行列Ω(i=1,…,4)の各行列に対して、次に、絶対不変量j (i)(k=1,2,3)が計算される。この目的に対しては、最初に、各行列Ωに対して偶数のテータ零(even theta-nulls)が計算され、このテータ零の助けを借りて、C上の曲線が決定され、その曲線のヤコビ多様体が周期行列Ωに対応する。この曲線の類多項式がこれら絶対不変量から計算される。
これら周期行列Ωの偶数テータ零は
Figure 2006513444
 によって与えられる。ここで、δ,εは集合{0,1}から取られ、δε=0 mod 2である。
種数2の曲線については、この関数はちょうど10個のテータ零を与える。この近似の質は、その後計算される類多項式の近似が、Z[1/n][X]内にある滑らかな数(smooth number)nが存在するのに十分となるように選択されるべきである。説明の例では、70桁(seventy decimal places)で十分である。
テータ零の助けを借りてのこの式の収束は、この関数内に、Hからの行列Ωの代わりに、ジーゲル縮約行列(Siegel-reduced matrices)Ω’を代入することで改善することができる。Hからの行列Ω’=X+iYは(ここで、X=(xkl)、下付き文字k,l={1,2})は、
1.1/2≦xk1≦−1/2
2.Yはミンコフスキー縮約(Minkowski-reduced)
3.全ての
Figure 2006513444
 に対して
Figure 2006513444
 が真であればジーゲル縮約である。
これらテータ零を介して、C上の求められている曲線のモデルを決定することができる。ローゼンハイン(Rosenhain)モデル
= x(x−1)Π(x−λ
はこの種のモデルであり、ここで下付き文字iは1から2g−1まで亘る、つまり、種数2から3の曲線に対する。このローゼンハインモデルは、これらλ値をテータ零から計算することを可能にする。下の例では、以下のようになる。
Figure 2006513444
これら10個の偶数テータ零から、いわゆる絶対イグサ(Igusa)不変量j,j,jも既知の関数として得られる。しかし、ローゼンハインモデルのこれらλ及びこれらイグサ不変量は、両方とも単に6個のテータ零から決定することもできる。
Figure 2006513444
モデルf(x)=x(x−1)(x−λ)(x−λ)(x−λ)のこれらλ‘は、
λ=α α α )−1
λ=α α α )−1
λ=α α α )−1
によって与えられ、そして(非絶対)イグサ不変量は
Figure 2006513444
 によって定義され、ここで
Figure 2006513444
 であり、ここで項(gh)
Figure 2006513444
 なる形式の、次数nとmの、2つの2部形式(binary forms)のオーバレイを表す。
次に、この絶対不変量をイグサ不変量から得ることができる。
Figure 2006513444
これらイグサ不変量の計算はイデアル類の群Iをイデアル類とそれらの逆イデアル類の対に分けることで更に高速化することができる。類数1の体Kの場合は、この逆イデアル類は共役複素イデアル類に等しいために、見つけられた共役複素イデアル類の各対に対して、たった1つの単純主偏極アーベル多様体を計算することのみが必要とされる。
もし、(τ,τ Ψ)がイデアルAに属する主偏極アーベル多様体であり、CMタイプ(K,Ψ)である場合は、(−τ ,−τ Ψ)は に属する、同じCMタイプの主偏極アーベル多様体である。もし、加えて、jが(τ,τ Ψ)のイグサ不変量である場合は、(−τ ,−τ Ψ)の対応するイグサ不変量は に等しい。こうして、共役複素イデアル類の逆類の各対に対して、たった1つのイグサ不変量を決定することのみが必要とされる。この結果として、このステップに対して要求される計算作業の量がほとんど半減される。
これら類多項式Hはイグサ不変量j,k=1,・・・,3の関数として
Figure 2006513444
 として表すことができ、ここで、i=1,・・・,4である。
これら多項式は、有理多項式Q[x]の総体(corpus)のメンバである。無限連分数の方法の適用とこれに続く乗法によって、H(X)は整数多項式H(X)に変換することができる。この例においては、
Figure 2006513444

Figure 2006513444
 である。
もし、精度が十分に高く選択される場合は、これら係数(coefficients)の分母の最小公倍数は、この連分数アルゴリズム(continued fraction algorithm)にて見つけられる。本例においては、これは11となる。これによって整多項式
Figure 2006513444
 が与えられる。
これらQ[x]上の形式H(X)の類多項式と整多項式Z[x]の体上の形式H(X)の類多項式は、選択されたCM体Kのみに依存する。しかし、この超楕円曲線に対する基礎素体(basic prime number field)Fは、このCM体Kが選択された後でもまだ変わり得る。このため、望ましくは、多数の、実際には数百或いは数千の、適当なCM体及び関連する類多項式が事前に計算され、適当なやり方にて格納される。もし、このステップの後に、暗号を適用するために、ある超楕円曲線を生成することが必要となったときは、メモリ内に保持されたファイルからの、あるランダムに選択されたCM体、或いは換言すればランダムに選択された類多項式を利用して、適当な素数pと群位数nが第一のサブステップにおいて挙げられた基準によって決定される。その後、以下のステップが、これら類多項式を再決定することを必要とされることなく、直ちにF上の超楕円曲線を決定するために遂行される。
ある暗号プロトコルを実現するためには、また、望ましくは、その動作は完全に素数(exactly prime)である群位数に制限される。
この目的に対しては、CM体の選択を制限すること、及び2を法とする最小多項式K/Qが2つの異なる係数を有するような、すなわち、既約なCM体Kのみを用いることが提唱される。
このため、F上の超楕円曲線を計算するための以下のステップにおいては、このCM体Kは既に選択されており、それら類多項式H(X)は上述のステップを遂行することで既に計算されているか或いは事前に計算されたファイルから取り出されているものと想定される。
次のステップはこの曲線を計算することである。この目的のためには、H(X)(ak)=0 mod pを有する(Fp)からの各3つ組(a,a,a)に対して以下のステップが遂行される。
:=a,j:=a及びj:=aとセットする。次に、メストル(Mestre)不変量Aij及びHijkがjから計算される。例えば、
Figure 2006513444
 において説明されているように、有限体に対する知られているメストル手続の下では、これらメストル不変量は
ΣAij
なる二次形式と、
ΣHijk
なる三次形式の係数であり、ここで、この総和は下付き文字i,j,kの1から3まで亘っている。
この二次形式に対するパラメータを多項式f(t),f(t),f(t)を取ることでセットし、これらを三次形式に
ΣHijk(t)f(t)f(t)
に代入することで、F上の超楕円曲線のモデル
=f(t)
が得られる。次に、この多項式f(t)の次数(通常は6)が、f(t)がF内に零点を有するときは、射影変換によって1から5だけ低減される。次に、この曲線の因子類群が位数nのそれであるか否かを、ランダム因子Dを選択し、積nDを形成することでチェックする。
与えられた例の場合は、この結果としての曲線は
Figure 2006513444
 となり、体F上に定義され、ここで
Figure 2006513444
 は上述の値に等しい。このnの値は素数の152倍である。
このメストルアルゴリズムは適当な素数pを選択することで高速化できる。これに対する前提条件は、CM体Kが非正規であることと、pは、K内で完全に分解できる整数Zの集合に属する素数であるが、これは、F内のKの最小多項式が4つの異なる線形因子(linear factors)に分解できることと等価である。これら条件の下では、各類多項式に対するpを法とする線形因子の数は、上述の式w=pが、その符号と共役複素元を除いて、集合Oからのたった1つの解wを有するならば、半減される。この線形因子の半減化はメストルアルゴリズムの適用を8の因数だけ高速化する。
この長所を活用できるようにするためには、上の第一のサブステップにおいて決定された素数pがF内のKの最小多項式を4つの異なる線形因子に分解するかを調べるためのチェックがなされる。これは直接の計算によって行うことができる。しかし、上で説明したように、pは、既約であり絶対値p(1/2)の所に零点を有するZ[x]内の最小多項式の点x=1の所での解析にて選択されものであり、これら見つけられた素数は既に予め分類されている。この後、これら素数は2つの異なる群位数のみを許す素数に制限することもできる。
CM体が巡回的であり、そのイデアル類群の巾指数が2より大きいときは、この意味において有益な素数は正に密(positive density)である。とりわけ、このような無限個の素数が存在する。
この暗号目的に適する超楕円曲線を生成するための説明の方法は、非素数有限体(non-prime finite fields)Fをカバーするように拡大することもできる。この場合は、数q:=pは素数pの冪として定義される。この指数fは自然数であり、拡大次数(degree of expansion)と呼ばれる。また、この曲線はFの部分体(subfield)上では定義できないものと想定することもできる。
このCM体Kがガロア体である場合は、pは
p=K/K内のA
となるように選択されるべきである。
もし、fが
=(w) (wはOからの元)
が主イデアル(main ideal)である条件下で最小のものとして選択されるときは、Fq上の類多項式の平方根が存在する。F上の超楕円曲線はこれら平方根からメストルアルゴリズムを介して上で詳述されたように構成することができる。これら曲線の位数は
n=Π(1−w)或いはΠ(1+w
によって与えられ、ここで下付き文字iは1,・・・,4であり、wはwの共役複素元を表す。
このCM体が非ガロア体、かつ、非正規である場合は、この素数pは素イデアル(p)が3つのイデアル
(p)=p
に分解されるように選択されるべきである。
この場合は、あるイデアルAが存在し、このことは
A=p
であることを意味し、fは、ここでも
=(w) (wはOからの元)
なる条件下で、最小のものとして選択される。
これら条件の下では、この非素数有限体Fここでq=p2f上の超楕円曲線は、上で詳述されたようにしてメストルアルゴリズムを介して構成することができる。この群位数はガロア体Kの場合と同様にして計算することができる。
一例として、ある曲線が、拡大次数f=2h=10の体上で、類数h=5を有するCM体Kから開始して構成される。素数としては、この体K上のそのイデアル(p)が3つの素イデアルに分解される、p=911が用いられる。イデアルA=p に対しては、f=5が最小指数である。この主イデアルは従ってAである。
q=91110である体F内の成分は次数9の多項式にて記述することができる。モジュロp既約類多項式(modulo p irreducible class polynomials)は
Figure 2006513444
 である。
2つの可能な群位数
Figure 2006513444
 が得られる。
これと関連する曲線y=f(x)は
Figure 2006513444
 となるが、ここで、上では
Figure 2006513444
 なる簡略表記が用いられている。
群位数はn=400rとなるが、ここでrは57桁を有する素数を表す。
本発明によるCM体及び関連する類多項式を決定するための第一のサブステップを示す図である。 本発明による暗号目的に適する曲線を決定するための第二のサブステップを示す図である。

Claims (20)

  1. あるCM体Kを選択するステップと、
    K内の最大位数による複素乗法を有する単純主偏極アーベル多様体の全ての同型類の代表系を決定するステップと、
    前記代表系と関連する周期行列を決定するステップと、
    テータ零を決定するステップと、
    ある有限体F上の前記CM体に対する類多項式を決定するステップと、
    前記有限体F上のある超楕円曲線を決定するステップと、
    前記超楕円曲線の因子類群の群位数nを指定するステップと、
    を含む暗号法目的に適する超楕円曲線を決定する方法。
  2. 前記超楕円曲線は種数2である請求項1記載の方法。
  3. イグサ不変量が前記テータ零から決定される請求項1記載の方法。
  4. 前記イグサ不変量は前記類多項式を決定するために用いられる請求項3記載の方法。
  5. メストル不変量が前記テータ零から決定される請求項1記載の方法。
  6. 前記メストル不変量はF上の超楕円曲線を生成するために用いられる請求項5記載の方法。
  7. 複数の適切なCM体Kと関連する類多項式とがアクセス可能な形式にて格納され、前記超楕円曲線を決定するためにメモリ内に保持されているこれら複数からあるCM体が選択される請求項1乃至6のいずれかに記載の方法。
  8. 前記周期行列はジーゲル既約形式にて用いられる請求項1乃至7のいずれかに記載の方法。
  9. たった6個のテータ零が決定される請求項1乃至8のいずれかに記載の方法。
  10. 前記代表系を決定するために、前記CM体Kの実数部分体の基本単位が前記CM体の単位のノルムであるか調べるためのテストがなされる請求項1乃至9のいずれかに記載の方法。
  11. 前記代表系を決定するために、イデアル類の集合が決定される請求項1乃至10のいずれかに記載の方法。
  12. 互いに逆数のイデアル類の複数の対が識別され、イグサ不変量が各対に対してたった1度だけ前記テータ零から決定される請求項11記載の方法。
  13. qは素数pである請求項1乃至12のいずれかに記載の方法。
  14. 前記素数pは、各類多項式がh個より多くの線形因子を有さないように選択され、ここでhは前記CM体の類数を表す請求項13記載の方法。
  15. 前記CM体は、前記超楕円曲線の前記因子類群の前記群位数nがまさに素数となるように選択される請求項1乃至14のいずれかに記載の方法。
  16. qはある素数pの冪である請求項1乃至15のいずれかに記載の方法。
  17. 暗号方法であって、データを暗号化するためのキーは、請求項1乃至16のいずれかに記載の方法によって生成されたある超楕円曲線のF−有理数の群から決定される特徴とする方法。
  18. 請求項1乃至17のいずれかに記載の方法を用いる暗号装置。
  19. 請求項18記載の、メッセージを暗号化するための暗号装置を備える、メッセージを送信するための送信機。
  20. 請求項18に記載の、メッセージを復号するための暗号装置を備える、メッセージを受信するための受信機。
JP2004566202A 2003-01-10 2003-12-19 暗号法目的に適する超楕円曲線を構成する方法及びこのような方法を用いる暗号装置 Withdrawn JP2006513444A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03100032 2003-01-10
PCT/IB2003/006267 WO2004064011A2 (en) 2003-01-10 2003-12-19 Method of constructing hyperelliptic curves suitable for cryptographic purposes and cryptographic apparatus using such a method

Publications (1)

Publication Number Publication Date
JP2006513444A true JP2006513444A (ja) 2006-04-20

Family

ID=32695630

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004566202A Withdrawn JP2006513444A (ja) 2003-01-10 2003-12-19 暗号法目的に適する超楕円曲線を構成する方法及びこのような方法を用いる暗号装置

Country Status (6)

Country Link
US (1) US20060120528A1 (ja)
EP (1) EP1586028A2 (ja)
JP (1) JP2006513444A (ja)
CN (1) CN1735858A (ja)
AU (1) AU2003288651A1 (ja)
WO (1) WO2004064011A2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7885406B2 (en) * 2006-10-10 2011-02-08 Microsoft Corporation Computing endomorphism rings of Abelian surfaces over finite fields
DE102007023222B4 (de) * 2007-05-18 2011-08-25 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., 80686 Vorrichtung zum Überprüfen einer Güte und zum Erzeugen einer Gruppe von rationalen Punkten einer Schlüsselerzeugungsvarietät
US8520841B2 (en) * 2008-05-22 2013-08-27 Microsoft Corporation Algorithms for generating parameters for genus 2 hyperelliptic curve cryptography
US8300807B2 (en) * 2009-01-07 2012-10-30 Microsoft Corp. Computing isogenies between genus-2 curves for cryptography
CN101630244B (zh) * 2009-07-28 2012-05-23 哈尔滨工业大学深圳研究生院 一种流水线型椭圆曲线双标量乘法系统及方法
US8457305B2 (en) * 2009-11-13 2013-06-04 Microsoft Corporation Generating genus 2 curves from invariants
US8750499B2 (en) * 2010-06-16 2014-06-10 Compagnie Industrielle et Financiere D'Ingenierie “Ingenico” Cryptographic method using a non-supersingular elliptic curve E in characteristic 3
US8731187B2 (en) 2010-12-21 2014-05-20 Microsoft Corporation Computing genus-2 curves using general isogenies
US11146397B2 (en) * 2017-10-31 2021-10-12 Micro Focus Llc Encoding abelian variety-based ciphertext with metadata
CN112887096B (zh) * 2021-02-20 2022-04-12 山东区块链研究院 用于签名和密钥交换的素数阶椭圆曲线生成方法及系统

Also Published As

Publication number Publication date
US20060120528A1 (en) 2006-06-08
EP1586028A2 (en) 2005-10-19
WO2004064011A2 (en) 2004-07-29
CN1735858A (zh) 2006-02-15
AU2003288651A1 (en) 2004-08-10
AU2003288651A8 (en) 2004-08-10
WO2004064011A3 (en) 2004-12-29

Similar Documents

Publication Publication Date Title
CN108768607B (zh) 一种基于区块链的投票方法、装置、设备及介质
Bernstein et al. Post-quantum cryptography
May Using LLL-reduction for solving RSA and factorization problems
EP1467512B1 (en) Encryption process employing chaotic maps and digital signature process
Saarinen HILA5: On reliability, reconciliation, and error correction for Ring-LWE encryption
Lyubashevsky et al. One-shot verifiable encryption from lattices
JP5190142B2 (ja) 楕円曲線上の新しいトラップドア1方向性関数と、その、より短い署名及び非対称暗号化への応用
Dartois et al. SQISignHD: new dimensions in cryptography
US20070230692A1 (en) Key generating apparatus, program, and method
Sengupta et al. Efficient proofs of retrievability with public verifiability for dynamic cloud storage
Ezerman et al. Provably secure group signature schemes from code-based assumptions
Fouotsa et al. SimS: a simplification of SiGamal
JP2006513444A (ja) 暗号法目的に適する超楕円曲線を構成する方法及びこのような方法を用いる暗号装置
Bai et al. Privacy‐Preserving Oriented Floating‐Point Number Fully Homomorphic Encryption Scheme
Choudhary et al. A comparative analysis of cryptographic keys and security
Ghadi et al. Improvement of Menezes-Vanstone elliptic curve cryptosystem based on quadratic Bézier curve technique
Carlet A survey on nonlinear Boolean functions with optimal algebraic immunity suitable for stream ciphers
Maurer et al. Information Security and Cryptography
Mohapatra Signcryption schemes with forward secrecy based on elliptic curve cryptography
Malygina et al. Post-quantum cryptosystems: Open problems and solutions. Lattice-based cryptosystems
Ariffin et al. AA β public key cryptosystem-A comparative analysis against RSA and ECC
KR100326226B1 (ko) 행렬그룹공개키생성방법
Easttom More approaches to quantum-resistant cryptography
Chen et al. A hill cipher‐based remote data possession checking in cloud storage
Liu et al. An efficient and practical public key cryptosystem with CCA-security on standard model

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061218

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080529

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20090929