JP2510303B2 - べき乗剰余演算装置 - Google Patents
べき乗剰余演算装置Info
- Publication number
- JP2510303B2 JP2510303B2 JP30705689A JP30705689A JP2510303B2 JP 2510303 B2 JP2510303 B2 JP 2510303B2 JP 30705689 A JP30705689 A JP 30705689A JP 30705689 A JP30705689 A JP 30705689A JP 2510303 B2 JP2510303 B2 JP 2510303B2
- Authority
- JP
- Japan
- Prior art keywords
- value
- unit
- computing device
- public
- calculation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】 産業上の利用分野 この発明は、計算能力の乏しい装置が十分な計算能力
を有する外部装置の力を借りて、公開値を法とし、外部
に秘密の値をべきとした、公開値のべき乗剰余値を求め
るべき乗剰余演算装置に関する。
を有する外部装置の力を借りて、公開値を法とし、外部
に秘密の値をべきとした、公開値のべき乗剰余値を求め
るべき乗剰余演算装置に関する。
従来の技術 エルガマル暗号方式やディフィ−ヘルマン型公開鍵配
送方式を実現する場合(エルガマル暗号方式、ディフィ
−ヘルマン型公開鍵配送方式については池野、小山共著
「現代暗号理論」(電子情報通信学会編)に詳しい)、
ある公開の定数g、nおよび秘密の数xに対する次のべ
き乗剰余演算 g^x modn …(1) が必要となる。なお、ここで、'^'はべき乗演算を、'mo
dn'はnで除したときの剰余演算を示している(以下同
様の記述を用いる)。
送方式を実現する場合(エルガマル暗号方式、ディフィ
−ヘルマン型公開鍵配送方式については池野、小山共著
「現代暗号理論」(電子情報通信学会編)に詳しい)、
ある公開の定数g、nおよび秘密の数xに対する次のべ
き乗剰余演算 g^x modn …(1) が必要となる。なお、ここで、'^'はべき乗演算を、'mo
dn'はnで除したときの剰余演算を示している(以下同
様の記述を用いる)。
ところが、これらの暗号方式や公開鍵配送方式におい
て安全性を確保するためには、(1)式のg,x,nを例え
ば1000ビット程度の大きな数値にする必要があり、その
演算量は非常に多くなる。従って、たとえばICカードの
ように計算能力の乏しい装置で、このべき乗剰余演算を
実用的な時間で行なうのは困難である。
て安全性を確保するためには、(1)式のg,x,nを例え
ば1000ビット程度の大きな数値にする必要があり、その
演算量は非常に多くなる。従って、たとえばICカードの
ように計算能力の乏しい装置で、このべき乗剰余演算を
実用的な時間で行なうのは困難である。
この問題を解決するために、計算能力の乏しい装置
(以下内部装置と称する)が、十分な計算能力の有する
計算装置(以下外部装置と称する)の力を借りて、
(1)式の演算結果を得る方法が提案されている。但
し、ここで注意すべき点は、内部装置が所望する(1)
式の演算には、内部装置の秘密のパラメータxが含まれ
ており、これを信頼のおけない外部装置に対して秘匿す
る必要がある点と、場合によっては、所望する演算結果
をも外部装置に対して秘匿する必要があるという点であ
る。
(以下内部装置と称する)が、十分な計算能力の有する
計算装置(以下外部装置と称する)の力を借りて、
(1)式の演算結果を得る方法が提案されている。但
し、ここで注意すべき点は、内部装置が所望する(1)
式の演算には、内部装置の秘密のパラメータxが含まれ
ており、これを信頼のおけない外部装置に対して秘匿す
る必要がある点と、場合によっては、所望する演算結果
をも外部装置に対して秘匿する必要があるという点であ
る。
外部装置を用いた従来のべき乗剰余演算装置は、たと
えば松本、加藤、今井の各先生による“秘密を漏らさず
にICカードが端末を用いて計算するには”第10回情報理
論とその応用シンポジウム講演論文集,pp.17-22(1987-
11)に提案されている。この方法について説明する。
えば松本、加藤、今井の各先生による“秘密を漏らさず
にICカードが端末を用いて計算するには”第10回情報理
論とその応用シンポジウム講演論文集,pp.17-22(1987-
11)に提案されている。この方法について説明する。
1.内部装置において、秘密の数xに対して次式を満足す
る整数xi(i=1〜m)を求め、外部装置に送信する。
ここでxiはxと同程度の大きさとする。
る整数xi(i=1〜m)を求め、外部装置に送信する。
ここでxiはxと同程度の大きさとする。
x=a1×x1+a2×x2+…+am×xm(ai∈{0,1}) …
(2) 2.外部装置において、受信したxiをそれぞれべきとし
て、次に示すべき乗剰余演算値yi(i=1〜m)を求
め、内部装置に送信する。
(2) 2.外部装置において、受信したxiをそれぞれべきとし
て、次に示すべき乗剰余演算値yi(i=1〜m)を求
め、内部装置に送信する。
yi=g^xi modn …(3) 3.内部装置では、次式を計算することで所望の演算結果
を得る。
を得る。
g^x=(y0^a0×y1^a1×…×ym^am)modn …(4) この方法では、内部装置は秘密の整数xと、最終的な
結果であるべき乗剰余演算値を外部装置に対して秘匿す
ることができる。
結果であるべき乗剰余演算値を外部装置に対して秘匿す
ることができる。
内部装置では、外部装置から得られた値が正しい値で
あるかを検算する必要が生じる場合がある。従来方式で
は、上記手順を2回以上繰り返して、得られた結果を比
較する方法が取られる。
あるかを検算する必要が生じる場合がある。従来方式で
は、上記手順を2回以上繰り返して、得られた結果を比
較する方法が取られる。
発明が解決しようとする課題 しかしながら、この方法では最終的な結果を秘匿する
ために値mをある程度大きな数に取る必要がある。それ
に伴い、次のような問題点が生じる。ここでx、g、n
はともにNビットの数とする。
ために値mをある程度大きな数に取る必要がある。それ
に伴い、次のような問題点が生じる。ここでx、g、n
はともにNビットの数とする。
(1)内部装置と外部装置の間の通信量が多くなる。通
信量は(2×m×N)ビットである。このため、たとえ
ばICカードが補助計算装置を使って秘密の演算を行う場
合では、各装置間の通信は低速であるため、通信時間が
膨大になる。
信量は(2×m×N)ビットである。このため、たとえ
ばICカードが補助計算装置を使って秘密の演算を行う場
合では、各装置間の通信は低速であるため、通信時間が
膨大になる。
(2)内部装置での計算量が多くなる。内部装置が
(4)式に基づいて結果を得るためには、Nビット幅の
乗算剰余演算が平均(m/2)回必要である。このため、
内部装置における計算時間が膨大になる。
(4)式に基づいて結果を得るためには、Nビット幅の
乗算剰余演算が平均(m/2)回必要である。このため、
内部装置における計算時間が膨大になる。
以上の(1)、(2)は検算のために手順を2回以上
繰り返す場合、特に大きな問題となる。
繰り返す場合、特に大きな問題となる。
本発明は、上記課題を解決するもので、内部装置と外
部装置の通信量と、内部装置での計算量をともに減少
し、かつ演算結果を外部装置に秘匿する必要のない場合
には、内部装置での計算量をさらに削減することのでき
るべき乗剰余演算装置を提供することを目的とするもの
である。
部装置の通信量と、内部装置での計算量をともに減少
し、かつ演算結果を外部装置に秘匿する必要のない場合
には、内部装置での計算量をさらに削減することのでき
るべき乗剰余演算装置を提供することを目的とするもの
である。
課題を解決するための手段 上記課題を解決するために、本発明のべき乗剰余演算
装置は、公開の整数nを法とし、秘密のデータxをべき
として、公開の整数gのべき乗剰余値を計算する装置で
あって、前記秘密データxを入力する第1の計算装置
と、第1の計算装置から送出されたデータに対して所定
の計算を行い、その結果を前記べき乗剰余演算値として
出力する第2の計算装置からなり、前記第1の計算装置
は、前記秘密データxを入力する入力部と、任意に選ば
れた秘密の初期設定値cを格納する第1の初期値格納部
と前記公開の整数nを法とし前記初期設定値cをべきと
する前記公開の整数gのべき乗剰余値を格納する第2の
初期値格納部と、前記入力部に格納された秘密データx
と前記初期設定値cを加算する加算部を備え、前記加算
部の出力と前記初期設定べき乗剰余値をそれぞれ第1、
第2のデータとして前記第2の計算装置に送出するよう
に構成され、前記第2の計算装置は、前記公開の整数g
及びnを格納する公開値格納部と、前記nを法とし前記
第1の計算装置から受け取った第1のデータをべきとし
て前記公開の整数gのべき乗剰余演算を行なうべき乗剰
余演算部と、前記べき乗剰余演算部の出力と前記第1の
計算装置から受け取った前記第2のデータの逆元との積
を、前記公開の整数nを法として計算する乗算剰余演算
部とを備え、前記乗算剰余演算部の出力を前記公開の整
数nを法とし秘密データxをべきとした公開の整数gの
べき乗剰余演算値として出力するように構成されたもの
である。
装置は、公開の整数nを法とし、秘密のデータxをべき
として、公開の整数gのべき乗剰余値を計算する装置で
あって、前記秘密データxを入力する第1の計算装置
と、第1の計算装置から送出されたデータに対して所定
の計算を行い、その結果を前記べき乗剰余演算値として
出力する第2の計算装置からなり、前記第1の計算装置
は、前記秘密データxを入力する入力部と、任意に選ば
れた秘密の初期設定値cを格納する第1の初期値格納部
と前記公開の整数nを法とし前記初期設定値cをべきと
する前記公開の整数gのべき乗剰余値を格納する第2の
初期値格納部と、前記入力部に格納された秘密データx
と前記初期設定値cを加算する加算部を備え、前記加算
部の出力と前記初期設定べき乗剰余値をそれぞれ第1、
第2のデータとして前記第2の計算装置に送出するよう
に構成され、前記第2の計算装置は、前記公開の整数g
及びnを格納する公開値格納部と、前記nを法とし前記
第1の計算装置から受け取った第1のデータをべきとし
て前記公開の整数gのべき乗剰余演算を行なうべき乗剰
余演算部と、前記べき乗剰余演算部の出力と前記第1の
計算装置から受け取った前記第2のデータの逆元との積
を、前記公開の整数nを法として計算する乗算剰余演算
部とを備え、前記乗算剰余演算部の出力を前記公開の整
数nを法とし秘密データxをべきとした公開の整数gの
べき乗剰余演算値として出力するように構成されたもの
である。
さらに、発明は、第1の発明における第1の計算装置
に、乱数を生成する乱数生成部と、整数nを法として前
記乱数発生部の出力である乱数値と第2の初期値格納値
に格納されている初期設定べき乗剰余値の積を計算する
第2の乗算剰余演算部を追加し、この第2の乗算剰余演
算部の出力を初期設定べき乗剰余値にかえて第2のデー
タとして第2の計算装置に送出し、第2の計算装置にお
いて乗算剰余演算部の出力を前記べき乗剰余演算値とし
て出力するのにかえて、第3のデータとして、前記第1
の計算装置に送出し、さらに前記第1の計算装置に、前
記第2の計算装置から受け取った第3のデータと前記乱
数発生部で発生した乱数の積を、公開の整数nを法とし
て計算する第3の乗算剰余演算部を追加し、この第3の
乗算剰余演算部の出力を公開の整数nを法とし秘密デー
タxをべきとした公開の整数gのべき乗剰余演算値とし
て出力するようにしたものである。
に、乱数を生成する乱数生成部と、整数nを法として前
記乱数発生部の出力である乱数値と第2の初期値格納値
に格納されている初期設定べき乗剰余値の積を計算する
第2の乗算剰余演算部を追加し、この第2の乗算剰余演
算部の出力を初期設定べき乗剰余値にかえて第2のデー
タとして第2の計算装置に送出し、第2の計算装置にお
いて乗算剰余演算部の出力を前記べき乗剰余演算値とし
て出力するのにかえて、第3のデータとして、前記第1
の計算装置に送出し、さらに前記第1の計算装置に、前
記第2の計算装置から受け取った第3のデータと前記乱
数発生部で発生した乱数の積を、公開の整数nを法とし
て計算する第3の乗算剰余演算部を追加し、この第3の
乗算剰余演算部の出力を公開の整数nを法とし秘密デー
タxをべきとした公開の整数gのべき乗剰余演算値とし
て出力するようにしたものである。
さらに発明は、第1の発明における第2の計算装置か
ら前記乗算剰余部を省略し、べき乗剰余演算部の出力を
第3のデータとして第1の計算装置に送出し、前記第1
の計算装置に、前記第2の計算装置から受け取った第3
のデータと、第2の初期値格納部の出力である初期設定
べき乗剰余値の逆元との積を、公開値nを法として計算
する乗算剰余演算部を追加し、この乗算剰余演算部の出
力を公開の整数nを法とし秘密データxをべきとした公
開の整数gのべき乗剰余演算値として出力するようにし
たものである。
ら前記乗算剰余部を省略し、べき乗剰余演算部の出力を
第3のデータとして第1の計算装置に送出し、前記第1
の計算装置に、前記第2の計算装置から受け取った第3
のデータと、第2の初期値格納部の出力である初期設定
べき乗剰余値の逆元との積を、公開値nを法として計算
する乗算剰余演算部を追加し、この乗算剰余演算部の出
力を公開の整数nを法とし秘密データxをべきとした公
開の整数gのべき乗剰余演算値として出力するようにし
たものである。
作用 上記構成によって、第1の計算装置と第2の計算装置
との間で交わされるデータは、第1の発明では第1の計
算装置から第2の計算装置への送出データである第1、
第2のデータだけである。第2の発明ではそれに加えて
第2の計算装置から第1の計算装置にべき乗剰余演算値
が返送される。また、第3の発明では第1の計算装置か
ら第2の計算装置へは第1のデータが、また第2の計算
装置から第1の計算装置へはべき乗剰余演算値が送出さ
れる。以上のことにより、通信量が大幅に削減できる。
との間で交わされるデータは、第1の発明では第1の計
算装置から第2の計算装置への送出データである第1、
第2のデータだけである。第2の発明ではそれに加えて
第2の計算装置から第1の計算装置にべき乗剰余演算値
が返送される。また、第3の発明では第1の計算装置か
ら第2の計算装置へは第1のデータが、また第2の計算
装置から第1の計算装置へはべき乗剰余演算値が送出さ
れる。以上のことにより、通信量が大幅に削減できる。
また、第1の計算装置の計算量は、加算のみか、ある
いは加算と乗算剰余演算であり、従来に比べ、大幅に削
減できる。
いは加算と乗算剰余演算であり、従来に比べ、大幅に削
減できる。
なお、演算結果を秘匿する必要がない場合は、第1の
発明を用いることによって、さらに上記通信量および計
算量を減少することが可能である。
発明を用いることによって、さらに上記通信量および計
算量を減少することが可能である。
実施例 以下本発明の一実施例を図面に基づいて説明する。
第1図は本発明の第1の実施例によるべき乗剰余装置
の構成図を示す。第1図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
の構成図を示す。第1図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
101は秘密データxを格納する入力部、102は公開値g
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格納する第1の初期値各納部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。以上の101〜105は内部装置10の構成要素である。
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格納する第1の初期値各納部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。以上の101〜105は内部装置10の構成要素である。
201はべき乗剰余演算部、202は乗算剰余演算部、203
は公開値gおよびnを格納する第2の公開値格納部であ
る。以上の201〜203は外部装置20の構成要素である。
は公開値gおよびnを格納する第2の公開値格納部であ
る。以上の201〜203は外部装置20の構成要素である。
なお、内部装置10における入力部101、初期値格納部1
03の格納値は外部に対して秘密に保たれる。
03の格納値は外部に対して秘密に保たれる。
次に、第1の実施例の動作について説明する。
〈内部装置〉 (1)加算部105において、入力部101に格納されている
秘密データxと第1の初期値格納部103に格納さている
初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
秘密データxと第1の初期値格納部103に格納さている
初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
(2)第2の初期値格納部104に格納されている初期設
定べき乗剰余値(g^c modn)を第2のデータとする。
定べき乗剰余値(g^c modn)を第2のデータとする。
以上の、第1、第2のデータを外部装置20に送出す
る。
る。
〈外部装置〉 (3)べき乗剰余演算部201において、内部装置10の加
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。
(4)乗算剰余演算部202において、内部装置10の第2
の初期値格納部10xから受け取った第2のデータの逆元
(g^(−c)modn)と、べき乗剰余演算部201の出力(g
^(x+c)modn)の法nにおける乗算をおこなう。こ
の乗算剰余演算部202の出力は {(g^(x+c)modn)×(g^(−c)modn)}modn=
g^x modn であり、これを最終結果として出力する。
の初期値格納部10xから受け取った第2のデータの逆元
(g^(−c)modn)と、べき乗剰余演算部201の出力(g
^(x+c)modn)の法nにおける乗算をおこなう。こ
の乗算剰余演算部202の出力は {(g^(x+c)modn)×(g^(−c)modn)}modn=
g^x modn であり、これを最終結果として出力する。
なお、内部装置10における初期設定値として、複数の
ci(1≦i≦k)と、それに対する初期設定べき乗剰余
値(g^ci modn)を格納しておき、その内の一つをラン
ダムに用いることも可能である。
ci(1≦i≦k)と、それに対する初期設定べき乗剰余
値(g^ci modn)を格納しておき、その内の一つをラン
ダムに用いることも可能である。
第1の実施例は最終的演算結果であるべき乗剰余演算
値を秘匿する必要がない場合に使用できる。第1の実施
例で得られる効果は以下の通りである。
値を秘匿する必要がない場合に使用できる。第1の実施
例で得られる効果は以下の通りである。
(1)内部装置、外部装置間の通信量少なく、2×Nビ
ット程度である。
ット程度である。
(2)内部装置での計算量が少なく、Nビット単位の加
算が1回である。
算が1回である。
なお、外部装置が、信頼のおけない装置である場合、
内部装置では外部装置が正当な結果を計算しているのか
を確認する必要がある。
内部装置では外部装置が正当な結果を計算しているのか
を確認する必要がある。
内部装置はまず、入力xに対してあるciを選び、(x
+ci),(g^ci modn)を外部装置に送出し、(g^x)を
計算してもらう。次に別のcj、ck(i≠j≠k)を選ん
で(x+cj+ck),(g^ck modn)を外部装置に送出
し、(g^(x+cj)modn)計算してもらう。そして、 (g^x modn)=(g^(x+cj)modn)×(g^(−cj)mo
dn) となることを確かめる。なお、この場合、新たに内部装
置に乗算剰余演算部を設ける必要がある。
+ci),(g^ci modn)を外部装置に送出し、(g^x)を
計算してもらう。次に別のcj、ck(i≠j≠k)を選ん
で(x+cj+ck),(g^ck modn)を外部装置に送出
し、(g^(x+cj)modn)計算してもらう。そして、 (g^x modn)=(g^(x+cj)modn)×(g^(−cj)mo
dn) となることを確かめる。なお、この場合、新たに内部装
置に乗算剰余演算部を設ける必要がある。
第2図は本発明の第2の実施例によるべき乗剰余装置
の構成図を示す。第2図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
の構成図を示す。第2図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
101は秘密データxを格納する入力部、102は公開値g
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格能する第1の初期値格能部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。また、301は乱数を生成する乱数生成部、302は第2
の乗算剰余演算部、303は第3の乗算剰余演算部であ
る。以上の101〜105,301〜303は内部装置10の構成要素
である。
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格能する第1の初期値格能部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。また、301は乱数を生成する乱数生成部、302は第2
の乗算剰余演算部、303は第3の乗算剰余演算部であ
る。以上の101〜105,301〜303は内部装置10の構成要素
である。
201はべき乗剰余演算部、202は第1の乗算剰余演算
部、203は公開値gおよびnを格納する第2の公開値格
納部である。以上の201〜203は外部装置20の構成要素で
ある。
部、203は公開値gおよびnを格納する第2の公開値格
納部である。以上の201〜203は外部装置20の構成要素で
ある。
なお、内部装置10における入力部101、初期値格納部1
03の格納値と、乱数生成部301の出力値は外部に対して
秘密に保たれる。
03の格納値と、乱数生成部301の出力値は外部に対して
秘密に保たれる。
また、101〜105、201〜203は第1の実施例と同じ構成
要素である。第2の実施例の、第1の実施例との構成上
の差異は、内部装置10に、乱数生成部301、第2の乗算
剰余部302、第3の乗算剰余部303を追加した点である。
要素である。第2の実施例の、第1の実施例との構成上
の差異は、内部装置10に、乱数生成部301、第2の乗算
剰余部302、第3の乗算剰余部303を追加した点である。
次に、第2の実施例の動作について説明する。
〈内部装置〉 (1)加算部105において、入力部101に格納されている
秘密データxと第1の初期値格納部103に格納されてい
る初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
秘密データxと第1の初期値格納部103に格納されてい
る初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
(2)乱数生成部301において、乱数rを生成する。
(3)第2の乗算剰余演算部302において、第2の初期
値格納部104に格納されている初期設定べき乗剰余値(g
^c modn)と、乱数生成部301で生成した乱数rを法nの
もとで乗算して、この結果(g^c modn×r modn)を第2
のデータとする。
値格納部104に格納されている初期設定べき乗剰余値(g
^c modn)と、乱数生成部301で生成した乱数rを法nの
もとで乗算して、この結果(g^c modn×r modn)を第2
のデータとする。
以上の、第1、第2のデータを外部装置20に送出す
る。
る。
〈外部装置〉 (4)べき乗剰余演算部201において、内部装置10の加
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。
(5)第1の乗算剰余演算部202において、内部装置10
の第2の乗算剰余演算部302から受け取った第2のデー
タの逆元(g^c×r)-1 modnと、べき乗剰余演算部201
の出力(g(x+c)modn)の法nにおける乗算をおこ
なう。この第1の乗算剰余演算部202の出力は {(g^(x+c)modn)×(g^(−c)×r-1 modn)}
modn=(g^x)×r-1 modn である。これを内部装置10に返送する。
の第2の乗算剰余演算部302から受け取った第2のデー
タの逆元(g^c×r)-1 modnと、べき乗剰余演算部201
の出力(g(x+c)modn)の法nにおける乗算をおこ
なう。この第1の乗算剰余演算部202の出力は {(g^(x+c)modn)×(g^(−c)×r-1 modn)}
modn=(g^x)×r-1 modn である。これを内部装置10に返送する。
〈内部装置〉 (6)第3の乗算剰余演算部303において、乱数生成部3
01で生成した乱数rと外部装置20の第1の乗算剰余演算
部202から返送されてきたデータ((g^x)×r-1 modn)
とを法n上で乗算する。その結果、 (g^x)×r-1 modn×r modn=g^x modn を得る。
01で生成した乱数rと外部装置20の第1の乗算剰余演算
部202から返送されてきたデータ((g^x)×r-1 modn)
とを法n上で乗算する。その結果、 (g^x)×r-1 modn×r modn=g^x modn を得る。
第2の実施例は演算結果を秘匿する必要のある場合に
使用できる。第2の実施例で得られる効果は以下の通り
である。
使用できる。第2の実施例で得られる効果は以下の通り
である。
(1)内部装置、外部装置間の通信量少なく、3×Nビ
ット程度である。
ット程度である。
(2)内部装置での計算量が少なく、Nビット幅の加算
が1回、Nビット幅の乗算剰余が2回である。
が1回、Nビット幅の乗算剰余が2回である。
検算をするためには異なるcを用いて2回以上、上記
の手順を繰り返し行い、結果を比較すればよい。
の手順を繰り返し行い、結果を比較すればよい。
第3図は本発明の第3の実施例によるべき乗剰余装置
の構成図を示す。第3図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
の構成図を示す。第3図において、1はべき乗剰余演算
装置であり、これはICカード等の計算能力の乏しい内部
装置10と計算能力が十分に備わっている外部装置20で構
成されている。
101は秘密データxを格納する入力部、102は公開値g
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格納する第1の初期値格納部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。また、401は乗算剰余演算部である。以上の101〜10
5,401は内部装置10の構成要素である。
およびnを格納する第1の公開値格納部、103は秘密の
初期設定値cを格納する第1の初期値格納部、104は初
期設定値cに対応する初期設定べき乗剰余値g^c modnを
格納している第2の初期値格納部、105は加算部であ
る。また、401は乗算剰余演算部である。以上の101〜10
5,401は内部装置10の構成要素である。
201はべき乗剰余演算部、203は公開値gおよびnを格
納する第2の公開値格納部である。以上の201、203は外
置装置20の構成要素である。
納する第2の公開値格納部である。以上の201、203は外
置装置20の構成要素である。
なお、内部装置10における入力部101、初期値格納部1
03の格納値は外部に対して秘密に保たれる。
03の格納値は外部に対して秘密に保たれる。
また、101〜105、201、203は第1の実施例の構成要素
と同じである。 次に第3の実施例について説明する。
と同じである。 次に第3の実施例について説明する。
〈内部装置〉 (1)加算部105において、入力部101に格納されている
秘密データxと第1の初期値格納部103に格納されてい
る初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
秘密データxと第1の初期値格納部103に格納されてい
る初期設定値cの加算を求める。この加算部105の出力
(x+c)を第1のデータとする。
以上の、第1のデータを外部装置20に送出する。
〈外部装置〉 (2)べき乗剰余演算部201において、内部装置10の加
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。このべき乗剰余演算値を内部装置10に返送する。
算部105から受け取った第1のデータ(x+c)および
第2の公開値格納部203に格納された公開値(g,n)を用
いて、べき乗剰余演算値(g^(x+c)modn)を計算す
る。このべき乗剰余演算値を内部装置10に返送する。
〈内部装置〉 (3)乗算剰余演算部401において、外部装置20のべき
乗剰余演算部201から返送されてきたデータ(g^(x+
c)modn)と第2の初期値格納部に格納されている(g^
c modn)の逆元を法n上で乗算する。その結果、 (g^(x+c)×(g^(−c)modn)modn=g^x modn を得る。
乗剰余演算部201から返送されてきたデータ(g^(x+
c)modn)と第2の初期値格納部に格納されている(g^
c modn)の逆元を法n上で乗算する。その結果、 (g^(x+c)×(g^(−c)modn)modn=g^x modn を得る。
第3の実施例は演算結果自身を秘匿する必要のない場
合に使用できる。第3の実施例で得られる効果は以下の
通りである。
合に使用できる。第3の実施例で得られる効果は以下の
通りである。
(1)内部装置、外部装置間の通信量少なく、2×Nビ
ット程度である。
ット程度である。
(2)内部装置での計算量が少なく、Nビット幅の加算
が1回、Nビット幅の乗算剰余演算が1回である。
が1回、Nビット幅の乗算剰余演算が1回である。
なお、以上の実施例および従来例においては、外部装
置は十分な処理能力を持ち、その処理時間は'0'と仮定
したが、外部装置の処理時間を考慮しても従来に比べ演
算量が減少している。
置は十分な処理能力を持ち、その処理時間は'0'と仮定
したが、外部装置の処理時間を考慮しても従来に比べ演
算量が減少している。
発明の効果 以上のように、本発明によれば第1の計算装置と第2
の計算装置の間の通信量と、第1の計算装置での計算量
をもとに削減している。従って、特に計算装置間の通信
が低速であり、第1の計算装置の計算能力が乏しい、た
とえばICカードなどを用いた場合に、べき乗剰余演算の
トータルとしての処理時間を短縮できる。また、演算結
果を秘匿する必要のない場合には、より高速化が可能と
なる。
の計算装置の間の通信量と、第1の計算装置での計算量
をもとに削減している。従って、特に計算装置間の通信
が低速であり、第1の計算装置の計算能力が乏しい、た
とえばICカードなどを用いた場合に、べき乗剰余演算の
トータルとしての処理時間を短縮できる。また、演算結
果を秘匿する必要のない場合には、より高速化が可能と
なる。
第1図は本発明の第1の実施例のべき乗剰余演算装置の
構成図、第2図は本発明の第2の実施例のべき乗剰余演
算装置の構成図、第3図は本発明の第3の実施例のべき
乗剰余演算装置の構成図である。 1……べき乗剰余演算装置、10……内部装置、20……外
部装置、101……入力部、102……公開値格納部、103…
…第1の初期値格納部、104……第2の初期値格納部、2
01……べき乗剰余演算部、202…乗算剰余演算部、203…
…公開値格納部、301……乱数生成部、302……第2の乗
算剰余演算部、303……第3の乗算剰余演算部、401……
乗算剰余演算部。
構成図、第2図は本発明の第2の実施例のべき乗剰余演
算装置の構成図、第3図は本発明の第3の実施例のべき
乗剰余演算装置の構成図である。 1……べき乗剰余演算装置、10……内部装置、20……外
部装置、101……入力部、102……公開値格納部、103…
…第1の初期値格納部、104……第2の初期値格納部、2
01……べき乗剰余演算部、202…乗算剰余演算部、203…
…公開値格納部、301……乱数生成部、302……第2の乗
算剰余演算部、303……第3の乗算剰余演算部、401……
乗算剰余演算部。
Claims (3)
- 【請求項1】公開の整数nを法とし、秘密のデータxを
べきとして、公開の整数gのべき乗剰余値を計算する装
置であって、前記秘密データxを入力する第1の計算装
置と、第1の計算装置から送出されたデータに対して所
定の計算を行い、その結果を前記べき乗剰余演算値とし
て出力する第2の計算装置からなり、 前記第1の計算装置は、前記秘密データxを入力する入
力部と、任意に選ばれた秘密の初期設定値cを格納する
第1の初期値格納部と、前記公開の整数nを法とし前記
初期設定値cをべきとする前記公開の整数gのべき乗剰
余値を格納する第2の初期値格納部と、前記入力部に格
納された秘密データxと前記初期説定値cを加算する加
算部を備え、前記加算部の出力と前記第2の初期値格納
部の出力をそれぞれ第1、第2のデータとして前記第2
の計算装置に送出するように構成され、 前記第2の計算装置は、前記公開の整数g及びnを格納
する公開値格納部と、前記nを法とし前記第1の計算装
置から受け取った前記第1のデータをべきとして前記公
開の整数gのべき乗剰余演算を行なうべき乗剰余演算部
と、前記べき乗剰余演算部の出力と前記第1の計算装置
から受け取った前記第2のデータの逆元との積を、前記
公開値nを法として計算する乗算剰余演算部とを備え、
前記乗算剰余演算部の出力を前記公開の整数nを法とし
前記秘密データxをべきとした前記公開の整数gのべき
乗剰余演算値として出力するように構成されたべき乗剰
余演算装置。 - 【請求項2】公開の整数nを法とし、秘密のデータxを
べきとして、公開の整数gのべき乗剰余値を計算する装
置であって、前記秘密データxを入力し、前記べき乗剰
余値を出力する第1の計算装置と、第1の計算装置から
送出されたデータに対して所定の計算を行い、その結果
を前記第1の計算装置に返送する第2の計算装置からな
り、 前記第1の計算装置は、前記秘密データxを入力する入
力部と、任意に選ばれた秘密の初期設定値cを格納する
第1の初期値格納部と、前記公開の整数nを法とし前記
初期設定値cをべきとする前記公開の整数gのべき乗剰
余値を格納する第2の初期値格納部と、前記入力部に格
納された秘密データxと前記初期設定値cを加算する加
算部と、乱数を生成する乱数生成部と、前記公開の整数
nを法として前記乱数発生部の出力である乱数値と前記
第2の初期格納値に格納されている初期設定べき乗剰余
値の積を計算する第2の乗算剰余演算部を備え、前記加
算部の出力と前記第2の乗算剰余演算部の出力をそれぞ
れ第1、第2のデータとして第2の計算装置に送出する
ように構成され、 前記第2の計算装置は、前記公開の整数g及びnを格納
する公開値格納部と、前記nを法とし前記第1の計算装
置から受け取った前記第1のデータをべきとして前記公
開の整数gのべき乗剰余演算を行なうべき乗剰余演算部
と、前記べき乗剰余演算部の出力と前記第1の計算装置
から受け取った前記第2のデータの逆元との積を、前記
公開値nを法として計算する乗算剰余演算部とを備え、
前記第2の計算装置の前記乗算剰余演算部の出力を第3
のデータとして前記第1の計算装置に送出するように構
成され、 さらに前記第1の計算装置に、前記第2の計算装置から
受け取った第3のデータと前記乱数発生部で発生した乱
数の積を、前記公開の整数nを法として計算する第3の
乗算剰余演算部を追加し、この第3の乗算剰余演算部の
出力を前記公開の整数nを法とし前記秘密データxをべ
きとした前記公開の整数gのべき乗剰余演算値として出
力するようにしたべき乗剰余演算装置。 - 【請求項3】公開の整数nを法とし、秘密のデータxを
べきとして、公開の整数gのべき乗剰余値を計算する装
置であって、前記秘密データxを入力し、前記べき乗剰
余値を出力する第1の計算装置と、第1の計算装置から
送出されたデータに対して所定の計算を行い、その結果
を前記第1の計算装置に返送する第2の計算装置からな
り、 前記第1の計算装置は、前記秘密データxを入力する入
力部と、任意に選ばれた秘密の初期設定値cを格納する
第1の初期値格納部と、前記公開の整数nを法とし前記
初期設定値cをべきとする前記公開の整数gのべき乗剰
余値を格納する第2の初期値格納部と、前記入力部に格
納された秘密データxと前記初期設定値cを加算する加
算部を備え、前記加算部の出力を第1のデータとして前
記第2の計算装置に送出するように構成され、 前記第2の計算装置は、前記公開の整数g及びnを格納
する公開値格納部と、前記nを法とし前記第1の計算装
置から受け取った前記第1のデータをべきとして前記公
開の整数gのべき乗剰余演算を行なうべき乗剰余演算部
とを備え、前記べき乗剰余演算部の出力を第3のデータ
として第1の計算装置に送出するように構成され、前記
第1の計算装置に、前記第2の計算装置から受け取った
第3のデータと、前記第2の初期値格納部の出力である
初期設定べき乗剰余値の逆元との積を、前記公開の整数
nを法として計算する乗算剰余演算部を追加し、この乗
算剰余演算部の出力を前記公開の整数nを法とし前記秘
密データxをべきとした前記公開の整数gのべき乗剰余
演算値として出力するようにしたべき乗剰余演算装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30705689A JP2510303B2 (ja) | 1989-11-27 | 1989-11-27 | べき乗剰余演算装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP30705689A JP2510303B2 (ja) | 1989-11-27 | 1989-11-27 | べき乗剰余演算装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH03166586A JPH03166586A (ja) | 1991-07-18 |
| JP2510303B2 true JP2510303B2 (ja) | 1996-06-26 |
Family
ID=17964518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP30705689A Expired - Fee Related JP2510303B2 (ja) | 1989-11-27 | 1989-11-27 | べき乗剰余演算装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2510303B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113867687A (zh) * | 2021-09-08 | 2021-12-31 | 武汉理工大学 | 一种简单安全的群元数乘和幂运算的计算方法及系统 |
| CN113688426A (zh) * | 2021-09-14 | 2021-11-23 | 支付宝(杭州)信息技术有限公司 | 针对隐私数据分片进行形式转换的方法、装置和系统 |
-
1989
- 1989-11-27 JP JP30705689A patent/JP2510303B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH03166586A (ja) | 1991-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5805703A (en) | Method and apparatus for digital signature authentication | |
| US4633036A (en) | Method and apparatus for use in public-key data encryption system | |
| US5159632A (en) | Method and apparatus for public key exchange in a cryptographic system | |
| US6307935B1 (en) | Method and apparatus for fast elliptic encryption with direct embedding | |
| TWI448963B (zh) | 用於密碼系統之以中國餘數定理為基礎之計算方法 | |
| EP1467512B1 (en) | Encryption process employing chaotic maps and digital signature process | |
| US20070206789A1 (en) | Elliptic curve cryptosystem optimization using two phase key generation | |
| US5828752A (en) | Pseudo-random number generator and communication system employing the same | |
| EP0952697B1 (en) | Elliptic curve encryption method and system | |
| JP2004304800A (ja) | データ処理装置におけるサイドチャネル攻撃防止 | |
| CN100388663C (zh) | 用于检测一个键对和用于产生rsa键的方法和装置 | |
| EP3352411B1 (en) | Method of generating cryptographic key pairs | |
| JP2956709B2 (ja) | 公開鍵生成方法及び装置 | |
| KR100817048B1 (ko) | 여러 가지 포인트 표현을 기반으로 한 ecc에서 dfa대책을 위한 암호화 방법 및 장치 | |
| CN117134900A (zh) | 一种实现非对称加密的结构及控制方法 | |
| US6609141B1 (en) | Method of performing modular inversion | |
| JP2510303B2 (ja) | べき乗剰余演算装置 | |
| JP2005195829A (ja) | 復号または署名作成におけるべき乗剰余算の計算方法 | |
| Asaduzzaman et al. | A promising parallel algorithm to manage the RSA decryption complexity | |
| EP3580890B1 (en) | Method and system for selecting a secure prime for finite field diffie-hellman | |
| JPH02273779A (ja) | ディジタル署名装置 | |
| JP3043762B2 (ja) | 鍵生成装置 | |
| JP3966714B2 (ja) | 暗号処理方法、そのプログラム及びその記録媒体 | |
| JPH07152319A (ja) | 暗号化装置 | |
| JPH0766322B2 (ja) | 素数判定器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 19960213 |
|
| LAPS | Cancellation because of no payment of annual fees |