JP4752176B2 - Unidirectional function calculation method, apparatus and program - Google Patents

Unidirectional function calculation method, apparatus and program Download PDF

Info

Publication number
JP4752176B2
JP4752176B2 JP2003320219A JP2003320219A JP4752176B2 JP 4752176 B2 JP4752176 B2 JP 4752176B2 JP 2003320219 A JP2003320219 A JP 2003320219A JP 2003320219 A JP2003320219 A JP 2003320219A JP 4752176 B2 JP4752176 B2 JP 4752176B2
Authority
JP
Japan
Prior art keywords
calculation
temporary storage
point
elliptic curve
way function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003320219A
Other languages
Japanese (ja)
Other versions
JP2005084657A (en
Inventor
文学 星野
泰一 斉藤
鉄太郎 小林
成憲 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003320219A priority Critical patent/JP4752176B2/en
Publication of JP2005084657A publication Critical patent/JP2005084657A/en
Application granted granted Critical
Publication of JP4752176B2 publication Critical patent/JP4752176B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

本発明は、一方向性関数演算方法及び装置及びプログラムに係り、特に、公衆電気通信網における計算量理論に基づく、情報セキュリティのための一方向性関数演算方法及び装置及びプログラムに関する。 The present invention relates to a one-way function calculating method and apparatus and program, particularly, based on computational complexity theory in public telecommunications networks, relates to a one-way function calculating method and apparatus and program for information security.

近年、公衆電話通信網の発達に伴い、情報セキュリティ技術に注目が集まっている。情報セキュリティ技術は、情報理論に基づくものや、計算可能性理論に基づくものなど、様々な背景技術に基づき構成され得るが、中でも計算量理論に基づくものが効率等の面から最も実用的と考えられており、現在盛んに研究が行われている。本発明では、この計算量理論に基づく情報セキュリティ技術に関するものである。   In recent years, attention has been focused on information security technology with the development of public telephone communication networks. Information security technology can be configured based on various background technologies, such as those based on information theory and those based on computability theory, but the one based on computational complexity theory is considered the most practical in terms of efficiency. Currently, active research is being conducted. The present invention relates to information security technology based on this computational complexity theory.

ある多項式時間で計算可能な関数に対して、いかなる効率の良いアルゴリズムを用いても、無視できる確率でしかその逆関数を計算することができないならば、その関数は一方向であるという。現在、一方向性関数の存在は、証明されておらず、暗号学あるいは計算機科学における未解決な問題とされている。従って、厳密な意味での一方向性関数は現在知られていないが、一方向性関数の候補としてRSA法、Rabin法、離散対数に基づく方法などが良く知られている(例えば、非特許文献1〜4参照)。
Oded Goldreich,『FOUNDATION OF CRYTOGRAPHY』出版 CAMBRIDGE UNIVERSITY PRESS,ISBN0-521-79172-3 イアン・F・プラケ、ガディエル・セロッシ、ナイジェル・P・スマート著、鈴木治郎=訳、『楕円曲線暗号』、p.112,出版 ピアソン・エドュケーション、ISBN4-89471-431-0 Alfred.J.Menezes,『ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS』pp.61-81,出版KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6 Knuth,『The Art of Computer Programming』VOLUME 2 Seminumerical Altorithms Third Edition, p.465,出版 Addition Wesley,ISBN0-201-89684-2 For any function that can be computed in polynomial time, if any efficient algorithm can be used to compute its inverse with a negligible probability, the function is said to be unidirectional. Currently, the existence of a one-way function has not been proved, and is regarded as an unsolved problem in cryptography or computer science. Accordingly, a unidirectional function in a strict sense is not currently known, but RSA method, Rabin method, method based on discrete logarithm, etc. are well known as candidates for unidirectional function (for example, non-patent document). 1-4).
Oded Goldreich, “FOUNDATION OF CRYTOGRAPHY” publication CAMBRIDGE UNIVERSITY PRESS, ISBN0-521-79172-3 Ian F. Plaque, Gadiel Selossi, Nigel P. Smart, Jiro Suzuki = translation, "Elliptic curve cryptography", p. 112, Publishing Pearson Education, ISBN4-89471-431-0 Alfred. J. Menezes, "ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS" pp.61-81, published by KLUWER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6 Knuth, `` The Art of Computer Programming '' VOLUME 2 Seminumerical Altorithms Third Edition, p.465, published by Addition Wesley, ISBN0-201-89684-2

一方向性関数は、計算量理論に基づく、情報セキュリティ技術を構成する上で、中核的な役割を担っており、現代の暗号認証技術にとって欠かせない存在であると考えられている。従って、新しい一方向性関数の発明は、計算量理論に基づくあらゆる情報セキュリティ技術に応用することが可能で、重要な技術的課題と考えることができる。   The one-way function plays a central role in configuring information security technology based on the computational complexity theory, and is considered to be indispensable for modern cryptographic authentication technology. Therefore, the invention of the new one-way function can be applied to any information security technology based on the computational complexity theory and can be considered as an important technical problem.

本発明は、楕円DH判定問題の困難性に帰着可能な一方向性関数を構成することが可能な一方向性関数演算方法及び装置及びプログラムを提供することを目的とする。 The present invention aims at providing a one-way function calculating method and apparatus and program capable of constituting a possible return one-way function on the difficulty of the elliptic DH determination problem.

図1は、本発明の原理を説明するための図である。   FIG. 1 is a diagram for explaining the principle of the present invention.

本発明(請求項1)は、一方向性関数を計算する一方向性関数演算方法において、
予め一時記憶手段に、R,…,R∈E[L](但し、E[L]は、Lを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を記憶するための領域を確保しておき(ステップ1)、
固有値計算手段において、フロベニウス写像の固有値λ,λ∈Z/LZを求めておき(ステップ2)、
入力手段において、R∈E[L]を入力し、
スカラー倍設定手段において、 The present invention (Claim 1) is a one-way function calculation method for calculating a one-way function,
R 1 ,..., R 4 ∈ E [L] (where E [L] is a prime number, and LR = L of the points R on the elliptic curve E defined on the finite field) An area for storing O ( a set of R satisfying O (where O is an infinite point)) is secured (step 1).
In the eigenvalue calculating means, eigenvalues λ 1 and λ 2 ∈Z / LZ of the Frobenius map are obtained (step 2),
In the input means, R∈E [L] is input,
In the scalar multiplication setting means,

Figure 0004752176
として予め求めておき(ステップ3)、
フロベニウス写像計算手段において、フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを一時記憶手段に格納しておき(ステップ4)、
楕円スカラー倍計算手段において、Rのスカラー倍λRを計算し、計算結果Rを一時記憶手段に格納しておき(ステップ5)、
楕円減算手段において、一時記憶手段から計算結果Rと計算結果Rを取得してR−Rを計算し、計算結果Rを一時記憶手段に格納しておき(ステップ6)、
楕円スカラー倍計算手段において、Rのスカラー倍
Figure 0004752176
 (Step 3)
In the Frobenius map calculation means, the point φR on the elliptic curve is calculated from the Frobenius map φ, and the calculation result R 1 is stored in the temporary storage means (step 4).
In the elliptic scalar multiplication calculation means, the scalar multiplication λ 2 R of the point R is calculated, and the calculation result R 2 is stored in the temporary storage means (step 5).
In the ellipse subtraction means, the calculation result R 1 and the calculation result R 2 are obtained from the temporary storage means, R 1 -R 2 is calculated, and the calculation result R 3 is stored in the temporary storage means (step 6).
In the elliptic scalar multiplication calculation means, the scalar multiplication of R 3

Figure 0004752176
を計算して、計算結果Rを一時記憶手段に格納し(ステップ7)、
最終的に、出力手段により、一時記憶手段からRを読み出して出力する(ステップ8)。
Figure 0004752176
 And the calculation result R 4 is stored in the temporary storage means (step 7),
Finally, the output unit outputs the temporary storage means reads out the R 4 (Step 8).

本発明(請求項2)は、一方向性関数を計算する一方向性関数計算方法において、
一時記憶手段に、R,…,R∈E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を確保するための領域を確保しておき、
固有値計算手段において、フロベニウス写像の固有値λ∈Z/LZを求めておき、
入力手段において、R∈E[L]を入力し、
フロベニウス写像計算手段において、フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを一時記憶手段に格納し、
楕円スカラー倍計算手段において、固有値計算手段で求められた固有値λを取得して、Rのスカラー倍λRを計算し、計算結果Rを一時記憶手段に格納し、
楕円減算手段において、一時記憶手段から計算結果Rと計算結果Rを取得して、R−Rを行い、計算結果Rを一時記憶手段に格納し、
最終的に、出力手段により、一時記憶手段からRを読み出して出力する。 The present invention (Claim 2) is a unidirectional function calculation method for calculating a unidirectional function,
R 1 ,..., R 3 ∈ E [L] (where E [L] is a prime number, and LR = O (of the points R on the elliptic curve E defined on the finite field). However, an area for ensuring a set of R satisfying O) is satisfied,
In the eigenvalue calculation means, the eigenvalue λ 2 ∈Z / LZ of the Frobenius map is obtained,
In the input means, R∈E [L] is input,
In the Frobenius map calculation means, the point φR on the elliptic curve is calculated from the Frobenius map φ, and the calculation result R 1 is stored in the temporary storage means.
In the elliptic scalar multiplication calculation means, the eigenvalue λ 2 obtained by the eigenvalue calculation means is obtained, the scalar multiplication λ 2 R of the point R is calculated, and the calculation result R 2 is stored in the temporary storage means.
In the ellipse subtracting means, the calculation result R 1 and the calculation result R 2 are obtained from the temporary storage means, R 1 -R 2 is performed, and the calculation result R 3 is stored in the temporary storage means.
Finally, R 3 is read from the temporary storage means and output by the output means.

本発明(請求項3)は、 有限体上定義された非超特異楕円曲線の有理点群が、同じ位数を持つ2つの巡回群の直積群を含む場合に、該楕円曲線上で定義される一方向性関数を計算する一方向性関数計算方法において、
一時記憶手段に、楕円曲線上の点を格納する領域R,0以上m以下の整数を格納可能な領域iを確保しておき、
初期値設定手段において、
に楕円曲線上の無限遠点Oを設定し、領域iに0を設定し、
入力手段において、
楕円曲線E[L](E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合))上の点Rを取得し、
フロベニウス写像計算手段により、
フロベニウス写像φRを計算し、その計算結果ととを楕円加算計算手段に入力し、その計算結果を領域Rに格納し、領域iのカウントをi+1とし、i≧m(mは以上の整数)になるまで当該処理を繰り返し、
最終的に、

Figure 0004752176
と一致する楕円曲線上の点の値を、領域Rから読み出し、出力手段により出力する。 The present invention (Claim 3) is defined on an elliptic curve when a rational point group of a non-super singular elliptic curve defined on a finite field includes a Cartesian product group of two cyclic groups having the same order. In the one-way function calculation method for calculating the one-way function,
In the temporary storage means, an area R 1 for storing points on the elliptic curve, an area i capable of storing an integer of 0 to m,
In the initial value setting means,
Set R 1 to the infinity point O on the elliptic curve, set the area i to 0,
In the input means,
Elliptic curve E [L] (E [L] (where E [L] is a prime number, and LR = O among the points R on the elliptic curve E defined on the finite field, where O is infinity) A set of R satisfying the point)))
By Frobenius map calculation means,
The Frobenius map φ i R is calculated, the calculation result and the point R 1 are input to the ellipse addition calculation means, the calculation result is stored in the region R 1 , the count of the region i is set to i + 1, and i ≧ m (m Is repeated until the value becomes an integer of 1 or more,
Finally,
Figure 0004752176
 The value of a point on an elliptic curve that matches the read from the region R 1, and outputs the output means.

スカラー倍Z/LZの係数特性多項式を分解体上で、
φ 2 −tφ+q=(φ−λ 1 )(φ−λ
と分解し(但し、λ 1 、λ はフロベニウス写像φの固有値)、
λ 1 ,λ ∈Z/LZで、かつ、λ 1 ≠λ のときの線形空間E[L]の線形変換

Figure 0004752176
を、
Figure 0004752176
 と定義し、任意の点E[L]上の点に対して、
Figure 0004752176
 なるE[L]上の点P,Qが存在し(点RはR=P+Q)、線形空間E[L]の線形変換
Figure 0004752176
 による象
Figure 0004752176
 を、フロベニウス写像φの固有値λ 1 に関する固有空間とし、該固有空間への射影になる線形変換
Figure 0004752176
 (但し、固有値は1、及びqmod L、λ 1 =1、λ =qmod Lとする)
であるトレースマップを適用し、フロベニウス写像φにより+φRとして、その結果 1 を一時記憶手段に格納し、i+1とし、i≧m(mは0以上の整数)になるまで当該処理を繰り返し、
最終的に、出力手段から計算結果Rを一時記憶手段から読み出して出力する。 Coefficient characteristic polynomial of scalar multiplication Z / LZ on decomposition
φ 2 −tφ + q = (φ−λ 1 ) (φ−λ 2 )
(Where λ 1 and λ 2 are eigenvalues of the Frobenius map φ),
Linear transformation of the linear space E [L] when λ 1 , λ 2 εZ / LZ and λ 1 ≠ λ 2
Figure 0004752176
 The
Figure 0004752176
 For a point on an arbitrary point E [L],
Figure 0004752176
 There are points P and Q on E [L] (point R is R = P + Q), and linear transformation of the linear space E [L]
Figure 0004752176
 By elephant
Figure 0004752176
 Is the eigenspace with respect to the eigenvalue λ 1 of the Frobenius map φ, and the linear transformation that projects to the eigenspace
Figure 0004752176
 (However, the eigenvalue is 1, and qmod L, λ 1 = 1, λ 2 = qmod L)
Applying the trace map as follows, R 1 + φ i R by Frobenius map φ , the result R 1 is stored in temporary storage means, i + 1 is set, and this processing is performed until i ≧ m (m is an integer of 0 or more) Repeat
Finally, read and output from the temporary storage means a calculation result R 1 from the output unit.

本発明(請求項4)は、楕円加算計算手段において、
の加算連鎖n 0 =1,n=n+n,(j,k<i),n=m(但し、cはmの加算連鎖の長さ)とし、
領域iのカウントをi+1とし、
加算連鎖に従って領域iに対するj、k<iを決定し、

Figure 0004752176
Figure 0004752176
 である)とする加算連鎖を用いた一方向性関数計算を用いる。 According to the present invention (Claim 4), in the ellipse addition calculation means,
m addition chain n 0 = 1, n i = n j + n k , (j, k <i), n c = m (where c is the length of the addition chain of m) ,
Let the count of region i be i + 1,
Determine j, k <i for region i according to the addition chain,
Figure 0004752176
Figure 0004752176
 Way function Get used with addition chain to the a).

図2は、本発明の原理構成図である。   FIG. 2 is a principle configuration diagram of the present invention.

本発明(請求項5)は、一方向性関数を計算する一方向性関数演算装置であって、
予め、R,…,R∈E[L](但し、E[L]は、Lを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を記憶するための領域が確保された一時記憶手段250と、
フロベニウス写像の固有値λ,λ∈Z/LZを求めておく固有値計算手段210と、
スカラー倍 The present invention (Claim 5) is a one-way function computing device for calculating a one-way function,
R 1 ,..., R 4 ∈ E [L] (where E [L] is a prime number, and LR = O ( of the points R on the elliptic curve E defined on the finite field) A temporary storage means 250 in which an area for storing a set of R satisfying O) is satisfied;
Eigenvalue calculating means 210 for obtaining eigenvalues λ 1 and λ 2 ∈Z / LZ of the Frobenius map;
Scalar times

Figure 0004752176
として予め求めておくスカラー倍設定手段220と、
R∈E[L]を入力する入力手段と230、
フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを一時記憶手段に格納するフロベニウス写像計算手段240と、
固有値計算手段210から固有値を取得し、Rのスカラー倍λRを計算し、計算結果Rを一時記憶手段250に格納する楕円スカラー倍計算手段260と、
一時記憶手段250から計算結果R と計算結果R を取得し、−Rを計算し、計算結果Rを一時記憶手段250に格納する楕円減算手段270と、
スカラー倍設定手段220からλΔを取得し、Rのスカラー倍
Figure 0004752176
 A scalar multiplication setting means 220 obtained in advance as
230, input means for inputting RεE [L]
Frobenius map calculation means 240 for calculating a point φR on the elliptic curve from the Frobenius map φ and storing the calculation result R 1 in the temporary storage means;
An ellipse scalar multiplication calculator 260 that obtains an eigenvalue from the eigenvalue calculator 210, calculates a scalar multiple λ 2 R of the point R, and stores the calculation result R 2 in the temporary storage unit 250;
Ellipse subtracting means 270 that obtains the calculation result R 1 and the calculation result R 2 from the temporary storage means 250, calculates R 1 -R 2 , and stores the calculation result R 3 in the temporary storage means 250;
Λ Δ is obtained from the scalar multiplication setting means 220, and the scalar multiplication of R 3

Figure 0004752176
を計算して、計算結果Rを一時記憶手段に格納する第2の楕円スカラー倍計算手段と、
最終的に、一時記憶手段250からRを読み出して出力する出力手段280と、を有する
Figure 0004752176
 A second elliptic scalar multiplication calculating means for storing the calculation result R 4 in the temporary storage means;
And finally, an output unit 280 that reads and outputs R 4 from the temporary storage unit 250.

本発明(請求項6)は、一方向性関数を計算する一方向性関数計算装置であって、
一時記憶手段に、R,…,R∈E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合) を格納するための領域が確保される一時記憶手段と、
予め、フロベニウス写像の固有値λ∈Z/LZを求める固有値計算手段と、
R∈E[L]を入力する入力手段と、
フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを一時記憶手段に格納するフロベニウス写像計算手段と、
固有値計算手段で求められた固有値λを取得して、Rのスカラー倍λRを計算し、計算結果Rを一時記憶手段に格納する楕円スカラー倍計算手段と、
一時記憶手段から計算結果Rと計算結果Rを取得して、R−Rを行い、計算結果Rを一時記憶手段に格納する楕円減算手段と、
最終的に一時記憶手段からRを読み出して出力する出力手段と、を有する。 The present invention (Claim 6) is a one-way function calculation device for calculating a one-way function,
R 1 ,..., R 3 ∈ E [L] (where E [L] is a prime number, and LR = O (of the points R on the elliptic curve E defined on the finite field). However, O is a temporary storage means in which an area for storing a set of R satisfying the infinity point) is secured;
In advance, eigenvalue calculation means for obtaining the eigenvalue λ 2 ∈Z / LZ of the Frobenius map;
Input means for inputting RεE [L];
Frobenius map calculating means for calculating a point φR on the elliptic curve from the Frobenius map φ and storing the calculation result R 1 in the temporary storage means;
An elliptic scalar multiplication calculating means for obtaining the eigenvalue λ 2 obtained by the eigenvalue calculating means, calculating a scalar multiplication λ 2 R of the point R, and storing the calculation result R 2 in the temporary storage means;
Ellipse subtracting means for obtaining the calculation result R 1 and the calculation result R 2 from the temporary storage means, performing R 1 -R 2 , and storing the calculation result R 3 in the temporary storage means;
Finally, and an output means for outputting the read out R 3 from the temporary storage means.

本発明(請求項7)は、有限体上定義された非超特異楕円曲線の有理点群が、同じ位数を持つ2つの巡回群の直積群を含む場合に、該楕円曲線上で定義される一方向性関数を計算する一方向性関数計算装置であって、
楕円曲線上の点を格納する領域R,0以上m以下の整数を格納可能な領域iを確保しておく一時記憶手段と、
楕円曲線E[L](E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合))上の点Rに楕円曲線上の無限遠点Oを設定し、領域iに0を設定する初期値設定手段と、
楕円曲線上の点Rを取得する入力手段と、
フロベニウス写像φRを計算し、その計算結果ととを楕円加算計算手段に入力し、その出力結果を領域Rに格納し、領域iのカウントをi+1とし、i≧m(mは以上の整数)になるまで当該処理を繰り返すフロベニウス写像計算手段と、
最終的に、

Figure 0004752176
と一致する楕円曲線上の点の値を、領域Rから読み出し、出力する出力手段と、
を有する。 The present invention (Claim 7) is defined on an elliptic curve when a rational point group of a non-super singular elliptic curve defined on a finite field includes a Cartesian product group of two cyclic groups having the same order. A one-way function calculation device for calculating a one-way function
An area R 1 for storing points on the elliptic curve, a temporary storage means for securing an area i in which an integer of 0 to m can be stored;
Elliptic curve E [L] (E [L] (where E [L] is a prime number, and LR = O among the points R on the elliptic curve E defined on the finite field, where O is infinity) set the point at infinity O on an elliptic curve point R 1 on the set)) of R that satisfies the point), and the initial value setting means for setting a 0 in the area i,
Input means for acquiring a point R on an elliptic curve;
The Frobenius map φ i R is calculated, the calculation result and the point R 1 are input to the ellipse addition calculation means, the output result is stored in the region R 1 , the count of the region i is set to i + 1, and i ≧ m (m Frobenius map calculation means that repeats the process until it becomes an integer of 1 or more,
Finally,
Figure 0004752176
 And output means a value of a point on an elliptic curve, read from the realm R 1, and outputs that match,
Have

本発明(請求項8)の楕円加算計算手段は、
の加算連鎖n 0 =1,n=n+n,(j,k<i),n=m(但し、cはmの加算連鎖の長さ)とし、
領域iのカウントをi+1とし、
加算連鎖に従って領域iに対するj、k<iを決定し、

Figure 0004752176
Figure 0004752176
 である)とする加算連鎖を用いた一方向性関数計算を用いる。 The ellipse addition calculation means of the present invention (Claim 8)
m addition chain n 0 = 1, n i = n j + n k , (j, k <i), n c = m (where c is the length of the addition chain of m) ,
Let the count of region i be i + 1,
Determine j, k <i for region i according to the addition chain,
Figure 0004752176
Figure 0004752176
 Way function Get used with addition chain to the a).

本発明(請求項9)は、コンピュータを、
請求項5乃至8記載の一方向性関数演算装置の各手段として機能させるための一方向性関数演算プログラム。 The present invention (claim 9) provides a computer,
A one-way function calculation program for causing each unit of the one-way function calculation device according to claim 5 to function .

Figure 0004752176
として予め求めておくステップと、
R∈E[L]を入力させるステップと、
フロベニウス写像φにより、φRを計算し、計算結果Rを一時記憶手段に格納するステップと、
Rのスカラー倍λRを計算し、計算結果Rを一時記憶手段に格納するステップと、
一時記憶手段から計算結果Rと計算結果Rを取得してR −Rを計算し、計算結果Rを一時記憶装置に格納するステップと、
スカラー倍
Figure 0004752176
 As a step to obtain in advance as
Inputting R∈E [L];
A step of calculating φR from the Frobenius map φ and storing the calculation result R 1 in a temporary storage means;
Calculating a scalar multiple λ 2 R of R and storing the calculation result R 2 in a temporary storage means;
Obtaining the calculation result R 1 and the calculation result R 2 from the temporary storage means, calculating R 1 -R 2 , and storing the calculation result R 3 in the temporary storage device;
Scalar multiplication of R 3

Figure 0004752176
を計算して、計算結果Rを一時記憶手段に格納するステップと、
最終的に、一時記憶手段からRを読み出して出力させるステップと、を実行する。
Figure 0004752176
 And storing the calculation result R 4 in the temporary storage means;
Finally, reading R 4 from the temporary storage means and outputting it is executed.

本発明は、一方向性関数を計算する一方向性関数計算プログラムであって、
一時記憶手段に、R,…,R∈E[L](但し、E[L]は楕円曲線上のねじれ点全体、Lは素数)を確保しておくステップと、
フロベニウス写像の固有値λ∈Z/LZを予め求めるステップと、
入力手段において、R∈E[L]を入力させるステップと、
フロベニウス写像φRを計算し、計算結果Rを一時記憶手段に格納するステップと、
固定値λを取得して、楕円スカラー倍λRを計算し、計算結果Rを一時記憶手段に格納するステップと、
一時記憶手段から計算結果Rと計算結果Rを取得して、R−Rを行い、計算結果Rを一時記憶手段に格納するステップと、
最終的に、一時記憶手段からRを読み出して出力させるステップと、を実行する。 The present invention is a one-way function calculation program for calculating a one-way function,
R 1 ,..., R 3 ∈ E [L] (where E [L] is the entire twist point on the elliptic curve, L is a prime number) in the temporary storage means;
Obtaining in advance the eigenvalue λ 2 ∈Z / LZ of the Frobenius map;
In the input means, inputting R∈E [L];
Calculating the Frobenius map φR and storing the calculation result R 1 in a temporary storage means;
Obtaining a fixed value λ 2 , calculating an elliptic scalar multiplication λ 2 R, and storing the calculation result R 2 in a temporary storage means;
Obtaining the calculation result R 1 and the calculation result R 2 from the temporary storage means, performing R 1 -R 2 , and storing the calculation result R 3 in the temporary storage means;
Finally, it executes the steps of outputting reads the R 3 from the temporary storage means.

本発明によれば、楕円DH判定問題の困難性に帰着可能な一方向性関数を構成することができる。   According to the present invention, a one-way function that can be reduced to the difficulty of the elliptic DH determination problem can be configured.

以下、図面と共に、本発明の実施の形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

構成及び動作の説明に先立ち、楕円曲線、有限体のフロベニウス写像、楕円曲線のフロベニウス写像、フロベニウス写像の固有空間と射影について説明する。   Prior to the description of the configuration and operation, an elliptic curve, a Frobenius map of a finite field, a Frobenius map of an elliptic curve, and the eigenspace and projection of the Frobenius map will be described.

(1)楕円曲線:
一般に、体K上定義された楕円曲線とは、a,a,a3,a,a∈Kとして、等式
E:y+axy+ay=x+a+ax+a (1)
を満たす点(x,y)の集合に無限遠点と呼ばれる特別の点Oを付加したものである。楕円曲線上の任意の2点に対して楕円加算と呼ばれる二項演算+及び楕円曲線上の任意の1点に対して楕円逆元と呼ばれる単項演算−がそれぞれ有限回のKの体演算により定義でき、以下の性質を持つことにより、楕円曲線は、楕円加算に関して群をなす。 (1) Elliptic curve:
In general, an elliptic curve defined on the field K is an equation E: y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 where a 1 , a 2 , a 3, a 4 , a 6 ∈K x + a 5 (1)
A special point O called an infinite point is added to a set of points (x, y) satisfying the above. Binary operations + called elliptic addition for arbitrary two points on the elliptic curve and unary operations called elliptic inverse element for any one point on the elliptic curve are defined by finite number of K field operations. The elliptic curve forms a group with respect to elliptic addition by having the following properties.

−楕円曲線上の任意の2点R,Rに対してR+Rは楕円曲線上の点である。 -R 1 + R 2 is a point on the elliptic curve for any two points R 1 and R 2 on the elliptic curve.

−楕円曲線上の任意の3点R,R,Rに対し、
+(R+R)=(R+R)+R(結合律)
−Oに関して、楕円曲線上の任意の点R1に対し、
+O=O+R=R(単位元の存在)
−楕円曲線上の任意の点Rに対し、逆元(−R)が存在して
+(−R)=(−R)+R=O(逆元の存在)
さらに、楕円加算は以下の性質を持つ。 -For any three points R 1 , R 2 , R 3 on the elliptic curve,
R 1 + (R 2 + R 3 ) = (R 1 + R 2 ) + R 3 (bonding rule)
For -O, for any point R1 on the elliptic curve,
R 1 + O = O + R 1 = R 1 (existence of unit element)
-For any point R 1 on the elliptic curve, there is an inverse element (-R 1 ) and R 1 + (-R 1 ) = (-R 1 ) + R 1 = O (existence of the inverse element)
Furthermore, ellipse addition has the following properties.

−楕円曲線上の任意の2点R,Rに対してR+R=R+Rである(交換律)。 -R 1 + R 2 = R 2 + R 1 for any two points R 1 and R 2 on the elliptic curve (exchange rule).

楕円曲線上の一点Rがあれば、楕円加算を用いて2R=R+Rなる楕円曲線上の点2Rを作ることができる。同様に、また、任意の正整数kに対して(−k)R=k(−R)及び、0R=Oと定義すると、結局任意の整数kに対して、kRを定義することができる。整数kと点Rから点kRを求めることを楕円スカラー倍と呼ぶ。また、二項演算“−”を
−R=R+(−R
として定義し、楕円減算と呼ぶ。特に、Kが有限体でK上の点、あるいは、Kの有限次拡大上の点Rが楕円曲線(1)上の点であるとき、Rは、有限巡回群を生成し、これを用いて暗号系や署名系を構成することがしばしば行われる。このような暗号系や署名系は、楕円加算や楕円スカラー倍が効率的に計算可能な楕円曲線を用いる。Lを素数とし、有限体上定義された楕円曲線E上の点Rのうち、LR=Oを満たすRの集合をE[L]とする。E[L]に関して以下の性質が成り立つことにより、E[L]は、楕円加算を加法とし、楕円スカラー倍をスカラー倍とするZ/LZ上線形空間である。 If there is one point R on the elliptic curve, the point 2R on the elliptic curve 2R = R + R can be created using elliptic addition. Similarly, if (−k) R = k (−R) and 0R = O are defined for an arbitrary positive integer k, kR can be defined for an arbitrary integer k. Finding the point kR from the integer k and the point R is called an elliptic scalar multiplication. In addition, the binary operation “−” is changed to R 1 −R 2 = R 1 + (− R 2 ).
And call it elliptical subtraction. In particular, when K is a finite field and a point on K, or a point R on the finite degree expansion of K is a point on the elliptic curve (1), R generates a finite cyclic group and uses it. It is often done to construct a cryptographic system or a signature system. Such an encryption system or signature system uses an elliptic curve that can be efficiently calculated by elliptic addition and elliptic scalar multiplication. Let L be a prime number, and a set of R satisfying LR = O among points R on the elliptic curve E defined on the finite field is E [L]. E [L] is a linear space on Z / LZ in which the addition of ellipse is added and the elliptical scalar multiplication is the scalar multiplication because the following property holds for E [L].

楕円加算に関して、
−E[L]上の任意の2点R,Rに対して楕円加算R+RはE[L]上の点である。 Regarding ellipse addition,
Ellipse addition R 1 + R 2 is a point on E [L] with respect to arbitrary two points R 1 and R 2 on −E [L].

−楕円加算の結合律は、E[L]上でも成立する。   -The coupling rule of ellipse addition also holds on E [L].

−楕円加算の交換律は、E[L]上でも成立する。   The ellipse addition exchange rule holds even on E [L].

−Oは、E[L]上の点であり、E[L]上の任意の点R1に対してO+R=Rある性質を持つ。 -O is a point on E [L] and has a property that O + R 1 = R 1 with respect to an arbitrary point R1 on E [L].

−E[L]上の任意の点Rに対して逆元(−R)は、E[L]上に唯一存在する。 For any point R 1 on -E [L], the inverse element (-R 1 ) exists only on E [L].

楕円スカラー倍演算に関して
−E[L]上の任意の点R及び体Z/LZの任意の元kに対し、楕円スカラー倍kは、E[L]上の点である。 Regarding Elliptical Scalar Multiplication For an arbitrary point R 1 on -E [L] and an arbitrary element k 1 of the field Z / LZ, the elliptic scalar multiplication k 1 R 1 is a point on E [L].

−E[L]上の任意の点R及びZ/LZ上の任意の2元k、kに対し、(k+k)R=k+kFor any point R 1 on E [L] and any binary k 1 , k 2 on Z / LZ, (k 1 + k 2 ) R 1 = k 1 R 1 + k 2 R 2 .

−E[L]上の任意の2点R,R及び体Z/LZ上の任意の元kに対し、k(R+R)=k+kFor any two points R 1 , R 2 on E [L] and any element k 1 on the field Z / LZ, k 1 (R 1 + R 2 ) = k 1 R 1 + k 1 R 2 .

−E[L]上の任意の点R及び体Z/LZ上の任意の2元k,kに対し、(k、k)R=k(k)。 For any point R 1 on E [L] and any binary k 1 , k 2 on the field Z / LZ, (k 1 , k 2 ) R 1 = k 1 (k 2 R 1 ).

−E[L]上の任意の点R及び体Z/LZの乗法単位元1に対し、1R1R 1 R 2 for any point R 1 on E [L] and the multiplicative unit 1 of the field Z / LZ.

(2)有限体のフロベニウス写像:
qを素数またはその冪とする。有限体GF(q)上の元xを表現するのに、有限体GF(q)上のm個の元の組x,(0≦i<m)を用いることができる。m個のx∈GF(q),(0≦i<m)の組をGF(q)上の元を対応させる代表的な方法は、m個のα∈GF(q),(0≦i<m)の組を使って、 (2) Frobenius map of finite field:
Let q be a prime number or its power. To represent an element x on the finite field GF (q m ), a set of m elements x i , (0 ≦ i <m) on the finite field GF (q) can be used. A typical method for associating a set of m x i εGF (q), (0 ≦ i <m) with an element on GF (q m ) is m α i εGF (q m ), Using a set of (0 ≦ i <m)

Figure 0004752176
なる対応をとることである。この時、α,(0≦i<m)は、GF(q)とGF(q)とで1対1対応が取れるような特別な組み合わせでなくてはならない。このような性質を持つα(0≦i<m)を基底と呼ぶ。とこで、二項定理によれば、
Figure 0004752176
 Is to take a response. At this time, α i , (0 ≦ i <m) must be a special combination that allows a one-to-one correspondence between GF (q) m and GF (q m ). Α i (0 ≦ i <m) having such properties is called a base. Here, according to the binomial theorem,

Figure 0004752176
である。右辺の各項の係数
Figure 0004752176
 It is. Coefficient of each term on the right side

Figure 0004752176
は、二項係数と呼ばれる定数で、i≠0かつi≠qの場合、必ずqの倍数となる。α,β∈GF(q)の時は、qの整数倍は0と同値であるから、
(α+β)=α+β
が成立する。さらに、c∈GF(q)なるcに関してc=cが成立する。一般に、α,α,…,αを不定元とする任意のGF(q)係数有理式f(α,α,…,α)に対して、
Figure 0004752176
 Is a constant called a binomial coefficient, and is always a multiple of q when i ≠ 0 and i ≠ q. When α, β∈GF (q m ), an integer multiple of q is equivalent to 0, so
(Α + β) q = α q + β q
Is established. Furthermore, c q = c holds for c c∈GF (q). In general, alpha 1, alpha 2, ..., any GF (q) coefficient rational expression f to the alpha n and indeterminate (α 1, α 2, ... , α n) with respect to,

Figure 0004752176
が成立する。従って、
Figure 0004752176
 Is established. Therefore,

Figure 0004752176
なるとき、
Figure 0004752176
 When

Figure 0004752176
である。従って事前に、
Figure 0004752176
 It is. So in advance,

Figure 0004752176
なるcij∈GF(q)が計算してあれば、
Figure 0004752176
 If c ij ∈GF (q) is calculated,

Figure 0004752176
によって、元の基底αを使ったxの表現
Figure 0004752176
 Gives the representation of x q using the original basis α i

Figure 0004752176
を求めることができる。すなわち、x∈GF(q)を表現するベクトル(x)に行列(cij)をかけるだけでxを表現するベクトルが得られる。この演算コストは一般には、GF(q)上の乗算1回分の演算コストと略等しい。また、行列(cij,(n=2,3,…)を事前に求めておけば、行列(cij)をかけるだけで、
Figure 0004752176
 Can be requested. That is, a vector expressing x q can be obtained by simply multiplying the vector (x i ) expressing x∈GF (q m ) by the matrix (c ij ). This calculation cost is generally substantially equal to the calculation cost for one multiplication on GF (q m ). If the matrix (c ij ) n , (n = 2, 3,...) Is obtained in advance, simply multiplying the matrix (c ij )

Figure 0004752176
を表現するベクトルが得られる。あるいは、(cij−1を事前に求めておけば、(cij−1をかけるだけで、x1/qを表現するベクトルが得られる。従って一般の整数nに対して、
Figure 0004752176
 Can be obtained. Alternatively, if (c ij ) −1 is obtained in advance, a vector expressing x 1 / q can be obtained simply by multiplying (c ij ) −1 . Therefore, for a general integer n,

Figure 0004752176
の演算コストは、一般にGF(q)上の演算1回分の演算コストに等しい。さらに、行列(cij)が簡単になるようにな、特別な基底が存在し、そのような基底を採用した場合、
Figure 0004752176
 Is generally equal to the operation cost for one operation on GF (q m ). Furthermore, if there is a special base that makes the matrix (c ij ) simple, and adopting such a base,

Figure 0004752176
の演算コストはGF(q)上の乗算と比較して、無視できるほど小さい。GF(q)上の元xからxへの写像をフロベニウス写像と呼ぶ。また、整数nに関して、xから
Figure 0004752176
 The computation cost of is negligibly small compared to the multiplication on GF (q m ). The mapping from element x to x q on GF (q m ) is called the Frobenius map. For integer n, from x

Figure 0004752176
への写像をq乗フロベニウス写像と呼ぶ。
Figure 0004752176
 The mapping to is called the qn- th power Frobenius map.

(3)楕円曲線のフロベニウス写像:
mを整数、qを素数またはその冪とする。有限体GF(q)上定義された楕円曲線
E/GF(q):y+axy+ay=x+a+ax+a (3)
(但し、a,a,a,a,a∈GF(q)とする)。上のGF(q)有理点Rに対して、 (3) Frobenius map of elliptic curve:
Let m be an integer and q be a prime number or its power. Elliptic curve defined on a finite field GF (q) E / GF (q): y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 (3)
(However, the a 1, a 2, a 3 , a 4, a 5 ∈GF (q)). For GF (q m ) rational point R above,

Figure 0004752176
なるφを楕円曲線のフロベニウス写像と呼ぶ。有限体のフロベニウス写像の(2)式の性質により、点Rが楕円曲線E/GF(q)上の点であるなら、点φRも楕円曲線E/GF(q)上の点である。一般に、E/GF(q)上の点の楕円加算及び楕円スカラー倍演算は、与えられる点の座標に関するGF(q)係数有理写像で与えられる。従って有限体のフロベニウス写像の(2)式の性質により以下の性質が成り立つので、フロベニウス写像φは、線形空間E[L]の線形変換である。
Figure 0004752176
 This φ is called the Frobenius map of an elliptic curve. If the point R is a point on the elliptic curve E / GF (q) due to the nature of the Frobenius map of the finite field, the point φR is also a point on the elliptic curve E / GF (q). In general, the elliptic addition and elliptic scalar multiplication of points on E / GF (q) are given by a GF (q) coefficient rational map for the given point coordinates. Accordingly, since the following property is established by the property of the Frobenius map of the finite field, the Frobenius map φ is a linear transformation of the linear space E [L].

−楕円曲線のフロベニウス写像は、E/GF(q)上の自己準同型写像である。即ち、
φ(R+R)≒(φR)+(φR
−楕円スカラー倍と楕円曲線のフロベニウス写像は可換である。即ち、
φ(kR)=k(φR)
−特に、E[L]上の点はフロベニウス写像によりE[L]上の点に移る。即ち、 -The Frobenius map of an elliptic curve is a self-homogeneous map on E / GF (q). That is,
φ (R 1 + R 2 ) ≈ (φR 1 ) + (φR 2 )
-Elliptical scalar multiplication and Frobenius maps of elliptic curves are commutative. That is,
φ (kR) = k (φR)
In particular, a point on E [L] is moved to a point on E [L] by the Frobenius map. That is,

Figure 0004752176
nを整数として、一般にq乗フロベニウス写像φは、
Figure 0004752176
 In general, n is an integer, and the q n power Frobenius map φ n is

Figure 0004752176

と定義されるが、上記のことは、q乗フロベニウス写像φでも同様に成立する。

Figure 0004752176
The above holds true for the qn- th power Frobenius map φ n as well.

(4) フロベニウス写像の固有空間と射影:
参考文献「イアン・F・ブラケ,ガディエル・セロッシ,ナイジェル・P・スマート=著、鈴木次郎=訳,『楕円曲線暗号』、p112出版,ピアソン・エデュケーション、ISBN4-89471-431-0」にあるように、フロベニウス写像φは、上記(3)式上の任意のGF(q)有理点Rに対して、
(φ−tφ+q)R=O (4)
を満たす。(但し、tは、q,a,a,a,a,aによって一意に決定される整数)φに関する多項式φ−tφ+qを特性多項式と呼ぶ。考える楕円曲線をE[L](但し、Lは素数)に限定すると、スカラー倍はZ/LZで考えればよい。 (4) Eigenspace and projection of Frobenius map:
See references in "Ian F. Brake, Gadiel Selossi, Nigel P. Smart = Author, Jiro Suzuki = Translation," Elliptic Curve Cryptography ", p112 Publishing, Pearson Education, ISBN4-89471-431-0" In addition, the Frobenius map φ is given for any GF (q m ) rational point R in the above equation (3).
2 −tφ + q) R = O (4)
Meet. (Where t is an integer uniquely determined by q, a 1 , a 2 , a 3 , a 4 , and a 6 ) A polynomial φ 2 −tφ + q related to φ is called a characteristic polynomial. If the elliptic curve to be considered is limited to E [L] (where L is a prime number), the scalar multiplication may be considered as Z / LZ.

Z/LZ係数特性多項式では、分解体上で、
φ−tφ+q=(φ−λ1)(φ−λ
と分解でき、λ、λをフロベニウス写像φの固有値と呼ぶ。以下、λ、λ∈Z/LZで、かつ、λ≠λなる時を考える。線形空間E[L]の線形変換

In the characteristic polynomial of the Z / LZ coefficient, on the decomposition,
φ 2 −tφ + q = (φ−λ 1 ) (φ−λ 2 )
Λ 1 and λ 2 are called eigenvalues of the Frobenius map φ. Hereinafter, let us consider a case where λ 1 , λ 2 ∈Z / LZ, and λ 1 ≠ λ 2 . Linear transformation of linear space E [L]

Figure 0004752176
Figure 0004752176
 The

Figure 0004752176
と定義すると、任意のE[L]上の点Rに対して、
Figure 0004752176
 For any point R on E [L],

Figure 0004752176
なるE[L]上の点P,Qが存在し、点Rは、
R=P+Q (7)
と一意に分解できる。線形空間E[L]の線形変換
Figure 0004752176
 There exist points P and Q on E [L], and the point R is
R = P + Q (7)
And can be decomposed uniquely. Linear transformation of linear space E [L]

Figure 0004752176
による像
Figure 0004752176
 Statue by

Figure 0004752176
を、フロベニウス写像φの固有値λに関する固有空間とよび、固有空間
Figure 0004752176
 Is called the eigenspace for the eigenvalue λ 1 of the Frobenius map φ, and the eigenspace

Figure 0004752176
上の任意の点Pに関して、
φP=λ
が成立する。E[L]から固有空間
Figure 0004752176
 For any point P above,
φP = λ 1 P
Is established. E [L] to eigenspace

Figure 0004752176
への準同型写像を
Figure 0004752176
 Homomorphism to

Figure 0004752176
への射影と呼ぶ。線形変換
Figure 0004752176
 Called projection to. Linear transformation

Figure 0004752176
は、
Figure 0004752176
 Is

Figure 0004752176
への射影である。同様に、
Figure 0004752176
 Projection to. Similarly,

Figure 0004752176
による像
Figure 0004752176
 Statue by

Figure 0004752176
を、フロベニウス写像φの固有値λに関する固有空間と呼び、固有空間
Figure 0004752176
 Is called the eigenspace for the eigenvalue λ 2 of the Frobenius map φ, and the eigenspace

Figure 0004752176
上の任意の点Qに関して
φQ=λ
が成立する。E[L]から固有空間
Figure 0004752176
 For any point Q above
φQ = λ 2 Q
Is established. E [L] to eigenspace

Figure 0004752176
への準同型写像を
Figure 0004752176
 Homomorphism to

Figure 0004752176
への射影と呼ぶ。線形変換
Figure 0004752176
 Called projection to. Linear transformation

Figure 0004752176
は、
Figure 0004752176
 Is

Figure 0004752176
への射影である。上記の(7)式の分解をフロベニウス写像φの固有空間に関する固有分解と呼ぶ。固有空間は、それぞれ、位数Lの巡回群となり、
Figure 0004752176
 Projection to. The decomposition of the above equation (7) is called eigendecomposition related to the eigenspace of the Frobenius map φ. Each eigenspace is a cyclic group of order L,

Figure 0004752176
である。一般に、q乗フロベニウス写像φに関してもE[L]に関するZ/LZ係数の特性多項式
(φ−t(φ)+q=(φ−λ )(φ−λ
(tは、t,n,qによって決まる整数)を考えることにより、固有値、固有空間、固有分解、射影等を構成できる。本発明をq乗フロベニウス写像φを使っても実現できるので、以降、フロベニウス写像φと云った場合、単なるq乗フロベニウス写像だけでなく、q乗フロベニウス写像も含むものとする。
Figure 0004752176
 It is. Generally, q n-th power Frobenius map phi E regard n [L] about Z / LZ coefficients of the characteristic polynomial (φ n) 2 -t n ( φ n) + q n = (φ n -λ 1 n) (φ n - λ 2 n )
By considering (t n is an integer determined by t, n, and q), eigenvalues, eigenspaces, eigendecompositions, projections, and the like can be configured. Since the present invention can also be realized using the q n -th power Frobenius map φ n , hereinafter, the Frobenius map φ includes not only a q-th power Frobenius map but also a q n power Frobenius map.

(5)ペアリング:
μLを楕円曲線の定義体Kの代数閉体上の乗法単位元1のL乗根の作る乗法群とする。参考文献「Alfred J.Menezes,『ELLIPTIC CUEVE PUBLIC KEY CEYPTOSYSTEMS』pp.61-81, 出版KLUWER ACADEMIC PUBLISHERS,ISBN0-7923-9368-6にあるように、ペアリングeLとは、
:E[L]×E[L]→μ
なる関数で、以下の性質を持つ。 (5) Pairing:
Let μL be a multiplicative group created by the L root of the multiplicative unit element 1 on the algebraic closure of the elliptic curve definition field K. References "Alfred J.Menezes," ELLIPTIC CUEVE PUBLIC KEY CEYPTOSYSTEMS "pp.61-81, published KLUWER ACADEMIC PUBLISHERS, as in ISBN0-7923-9368-6, the pairing e L,
e L : E [L] × E [L] → μ L
Which has the following properties:

−E[L]上の任意の点Rに対して、e(R,R)=1.
−E[L]上の任意の2点R,Rに対して、e(R,R
=e(R,R−1
−E[L]上の任意の3点R,R,Rに対して、
(R+R,R)=e(R,R)e(R,R)であり、
(R,R+R)=e(R,R)e(R,R3)
−E[L]上の任意の点Rに対して、e(R,O)=1さらに、
E[L]上のある点RがE[L]上の全ての点Rに対して、e(R,R)=1を満たすなら、R1=O.
(6) 射影を用いた一方向性関数:
以下、Lが十分大きいとして、E[L]に関して、フロベニウス写像φの固有値λ、λがλ,λ∈Z/LZでかつλ≠λなる場合を考える固有空間 -For any point R 1 on E [L], e L (R 1 , R 1 ) = 1.
For any two points R 1 and R 2 on −E [L], e L (R 1 , R 2 )
= E L (R 2 , R 1 ) −1
For any three points R 1 , R 2 , R 3 on −E [L],
e L (R 1 + R 2 , R 3 ) = e L (R 4 , R 3 ) e L (R 2 , R 3 ),
e L (R 1, R 2 + R 3) = e L (R 1, R 2) e L (R 1, R3)
For any point R 1 on −E [L], e L (R 1 , O) = 1, and
If a point R 1 on E [L] satisfies e L (R 1 , R 2 ) = 1 for all points R 2 on E [L], then R1 = O.
(6) Unidirectional function using projection:
In the following, assuming that L is sufficiently large, an eigenspace is considered in which the eigenvalues λ 1 and λ 2 of the Frobenius map φ are λ 1 and λ 2 ∈Z / LZ and λ 1 ≠ λ 2 with respect to E [L]

Figure 0004752176
の任意の生成元P及び固有空間
Figure 0004752176
 Any generator P and eigenspace of

Figure 0004752176
の任意の生成元Qを用いて、E[L]上の任意の点Rは、k,k∈Z/LZとして、
R=kP+k
と書ける。Rによって生成される巡回群(R)上の任意の点Rから、固有空間
Figure 0004752176
 An arbitrary point R on E [L] is given by k 1 , k 2 ∈Z / LZ, using an arbitrary generator Q of
R = k 1 P + k 2 Q
Can be written. From an arbitrary point R 1 on the cyclic group (R) generated by R, the eigenspace

Figure 0004752176
あるいは、固有空間
Figure 0004752176
 Or eigenspace

Figure 0004752176
への射影は、各々、前述の(5)、(6)式に従って、楕円加算、楕円逆元、楕円スカラー倍、フロベニウス写像を用いて、効率的に計算することができる。一方、k≠0かつk≠0なる時、Rの射影
Figure 0004752176
 The projection onto can be calculated efficiently using ellipse addition, elliptic inverse, elliptic scalar multiplication, and Frobenius map, respectively, according to the above-described equations (5) and (6). On the other hand, when k 1 ≠ 0 and k 2 ≠ 0, the projection of R 1

Figure 0004752176
あるいは、
Figure 0004752176
 Or

Figure 0004752176
のどちらか一方からRを求めることは、楕円曲線Eが特別な場合を除いて、一般には困難であると考えられる。この一方向性関数に関して次のことがわかる。
Figure 0004752176
 It is generally considered difficult to obtain R 1 from either of them except for the case where the elliptic curve E is special. The following can be seen for this one-way function.

−GF(q)上定義された非超特異楕円曲線E/GF(q)に関して、E(GF(q))をE/GF(q)のGF(q)有理点とし、E(GF(q))をE/GF(q)のGF(q)有理点とする。L│#E(GF(q))でかつ、 -With respect to the non-super singular elliptic curve E / GF (q) defined on GF (q), let E (GF (q)) be the rational point of GF (q) of E / GF (q), and E (GF (q m )) is the rational point of GF (q m ) of E / GF (q). L│ # E (GF (q)) and

Figure 0004752176
とし、L│#E(GF(q))とする。このとき、λ=1及び、λ=qmod Lとできる。mは、Lに比べて十分小さいとする。このとき、例えば、前述の参考文献記載の方法のように、効率的に計算可能なペアリングeが存在する。
Figure 0004752176
 And L 2 | #E (GF (q m )). At this time, λ 1 = 1 and λ 2 = qmod L. It is assumed that m is sufficiently smaller than L. In this case, for example, as a method of the aforementioned references described, efficiently computable pairing e L is present.

−上記のような楕円曲線に関して、固有空間   -For the elliptic curve as above, the eigenspace

Figure 0004752176
または、固有空間の
Figure 0004752176
 Or eigenspace

Figure 0004752176
のどちらか一方から巡回群(R)への同型写像で、単一の有理写像で記述できるものは存在しない。
Figure 0004752176
 There is no isomorphic mapping from either of these to the cyclic group (R) that can be described by a single rational mapping.

−上記のような楕円曲線に関して、固有空間   -For the elliptic curve as above, the eigenspace

Figure 0004752176
から巡回群(R)への同型写像が効率的に計算可能であると仮定すると、上記ペアリングeを用いてE(GF(q))の位数Lの部分群に対する楕円DH判定問題が効率的に計算可能となる。現在、非超特異楕円曲線の十分大きい素数位数部分群での楕円DH判定問題は効率的に計算することは困難であるという暗号学的仮定は広く信じられており、本発明の一方向性が破られれば楕円DH判定問題を利用した情報セキュリティ技術に対して新たな制約条件が必要となる。
Figure 0004752176
 Assuming that the isomorphism from C to the cyclic group (R) can be calculated efficiently, the elliptical DH decision problem for the subgroup of order L of E (GF (q)) using the pairing e L is It can be calculated efficiently. Currently, the cryptographic assumption that the elliptic DH decision problem with sufficiently large prime order subgroups of non-super singular elliptic curves is difficult to compute efficiently is widely believed, and the unidirectionality of the present invention If this is broken, a new constraint condition is required for the information security technology using the elliptic DH determination problem.

−上記のような楕円曲線に関してE[L]上のO以外の任意の点Rが生成する巡回群(R)及び、E[L]上の任意の点Rに対して、R∈<R>であるか否かを判定する問題は上記ペアリングeを用いて、効率的に判定可能で例えば以下のようになる。 - above-described elliptic curve with respect to E [L] any point cyclic group R 1 generates a non O on (R 1) and, for any point R 2 on the E [L], R 2 The problem of determining whether or not ε <R 1 > can be efficiently determined using the pairing e L as described below, for example.

(6−1)第1の実施の形態/部分群上判定方法:
図3は、本発明の第1の実施の形態における部分群上元判定装置の構成を示す。同図に示す部分群上元判定装置100は、R,R∈E[L],R≠Oを入力する入力部110、ペアリング計算部120、一時記憶部130、判定部140及びR∈<R>の真理値(∈{TRUE,FALSE}を出力する出力部150から構成される。 (6-1) First Embodiment / Subgroup Upper Determination Method:
FIG. 3 shows the configuration of the subgroup element determination device according to the first embodiment of the present invention. The subgroup element determination apparatus 100 shown in the figure includes an input unit 110 for inputting R 1 , R 2 εE [L], R 1 ≠ O, a pairing calculation unit 120, a temporary storage unit 130, a determination unit 140, and The output unit 150 outputs a truth value (∈ {TRUE, FALSE}) of R 2 ∈ <R 1 >.

図4は、本発明の第1の実施の形態における部分群上元判定方法のフローチャートである。   FIG. 4 is a flowchart of the subgroup element determination method according to the first embodiment of the present invention.

まず、準備として、一時記憶領域としてt∈μを一時記憶部130に確保する(ステップ101)。 First, as a preparation, to secure the temporary storage unit 130 the T∈myu L as a temporary storage area (step 101).

入力部110からR,R∈E[L],R≠Oを入力する(ステップ102)。 R 1 , R 2 ∈ E [L], R 1 ≠ O are input from the input unit 110 (step 102).

ペアリング計算部120において、ペアリングt←e(R、R)を計算する(ステップ103)。 The pairing calculation unit 120 calculates pairing t ← e L (R 1 , R 2 ) (step 103).

判定部140において、t=1であれば(ステップ104)出力部150よりTRUEを出力して終了し(ステップ105)、t≠1であれば(ステップ104)出力部150よりFALSEを出力して終了する(ステップ106)。   In the determination unit 140, if t = 1 (step 104), TRUE is output from the output unit 150 and the process ends (step 105). If t ≠ 1 (step 104), FALSE is output from the output unit 150. The process ends (step 106).

(6−2)第2の実施の形態/一方向性関数計算方法:
上記のE[L]上の任意の点Rに対して、その射影、例えば、 (6-2) Second embodiment / one-way function calculation method:
For any point R on E [L] above, its projection, eg

Figure 0004752176
を計算するためには、前述の(5)式に従って、以下の処理を行う。
Figure 0004752176
 Is calculated according to the above-described equation (5).

図5は、本発明の第2の実施の形態における一方向性関数計算装置の構成を示す。同図に示す一方向性関数計算装置200は、R∈E[L]を入力する入力部230、固定値計算部210、スカラー値設定部220、フロベニウス写像計算部240、一時記憶部250、楕円スカラー倍計算部260、楕円減算部270、出力部280から構成される。   FIG. 5 shows a configuration of a one-way function calculation apparatus according to the second embodiment of the present invention. The one-way function calculation apparatus 200 shown in the figure includes an input unit 230 for inputting RεE [L], a fixed value calculation unit 210, a scalar value setting unit 220, a Frobenius map calculation unit 240, a temporary storage unit 250, an ellipse A scalar multiplication calculation unit 260, an ellipse subtraction unit 270, and an output unit 280 are included.

図6は、本発明の第2の実施の形態における一方向性関数計算方法のフローチャートである。   FIG. 6 is a flowchart of the one-way function calculation method according to the second embodiment of the present invention.

まず、準備処理として、一時記憶R,・・R∈E[L]を予め一時記憶部250に確保しておく(ステップ201)。さらに、固定値計算部210において、固有値λ∈Z/LZを予め求めておく(ステップ202)。また、スカラー値設定部220において、 First, as preparatory processing, temporary storage R 1 ,... R 4 εE [L] is secured in the temporary storage unit 250 in advance (step 201). Further, eigenvalue λ 2 εZ / LZ is obtained in advance in fixed value calculation unit 210 (step 202). In the scalar value setting unit 220,

Figure 0004752176
を、
Figure 0004752176
 The

Figure 0004752176
として予め求めておく(ステップ203)。
Figure 0004752176
 (Step 203).

入力部230より、   From the input unit 230,

Figure 0004752176
を入力し(ステップ204)、フロベニウス写像計算部240において、フロベニウス写像R←φRを計算し、一時記憶部250に格納し(ステップ205)、楕円スカラー倍計算部260において、楕円スカラー倍R←λRを計算し、一時記憶部250に格納し(ステップ206)。楕円減算部270において、楕円減算R←R−Rを計算し、一時記憶部250に格納し(ステップ207)、再度楕円スカラー倍計算部260において、楕円スカラー倍
Figure 0004752176
 (Step 204), the Frobenius map calculation unit 240 calculates the Frobenius map R 1 ← φR, stores it in the temporary storage unit 250 (step 205), and the elliptic scalar multiplication calculation unit 260 stores the elliptic scalar multiplication R 2. ← λ 2 R is calculated and stored in the temporary storage unit 250 (step 206). The ellipse subtraction unit 270 calculates the ellipse subtraction R 3 <-R 1 −R 2 and stores it in the temporary storage unit 250 (step 207). The ellipse scalar multiplication unit 260 again performs the elliptic scalar multiplication.

Figure 0004752176
を計算し、一時記憶部250に格納する(ステップ208)。最後に、出力部280は、一時記憶部250に格納されているRを出力する(ステップ209)。
Figure 0004752176
 Is stored in the temporary storage unit 250 (step 208). Finally, the output unit 280 outputs R 4 stored in the temporary storage unit 250 (step 209).

(6−3)第3の実施の形態/一方向性関数計算方法:
上記の(6−2)の一方向性関数計算方法の演算コストは、フロベニウス写像1回、楕円減算1回、楕円スカラー倍2回、であり、演算コストの大部分を占めるのは、楕円スカラー倍2回の部分である。ところで、k≠0なる任意のk∈Z/LZに対して、線形演算 (6-3) Third embodiment / one-way function calculation method:
The calculation cost of the one-way function calculation method (6-2) above is one Frobenius map, one elliptical subtraction, and two elliptical scalar multiplications, and the elliptical scalar occupies most of the computational cost. This is twice as many parts. By the way, for any k∈Z / LZ where k ≠ 0, linear operation

Figure 0004752176
も固有空間
Figure 0004752176
 Eigenspace

Figure 0004752176
への射影であるから、上記の一方向性を持つ。従って、k=λ−λ等としておけば、上記の(6−2)の楕円スカラー倍の演算を1回分削減できる。
Figure 0004752176
 It has the above-mentioned unidirectionality. Therefore, if k = λ 1 −λ 2 or the like, the calculation of the elliptic scalar multiplication (6-2) can be reduced by one time.

図7は、本発明の第3の実施の形態における一方向性関数計算装置の構成を示す。同図に示す一方向性関数計算装置300は、R∈E[L]を入力する入力部330、固有値計算部310、フロベニウス写像計算部340、一時記憶部350、楕円スカラー倍計算部360、楕円減算部370、及び出力部380から構成される。   FIG. 7 shows a configuration of a one-way function calculation apparatus according to the third embodiment of the present invention. The one-way function calculation apparatus 300 shown in the figure includes an input unit 330 for inputting RεE [L], an eigenvalue calculation unit 310, a Frobenius map calculation unit 340, a temporary storage unit 350, an elliptic scalar multiplication calculation unit 360, an ellipse. A subtractor 370 and an output unit 380 are included.

図8は、本発明の第3の実施の形態における一方向性関数計算方法のフローチャートである。   FIG. 8 is a flowchart of the one-way function calculation method according to the third embodiment of the present invention.

まず、準備処理として、一時記憶領域として、R,…R∈E[L]を予め一時記憶部350に確保しておく(ステップ301)。次に、固有値計算部310において、λ2∈Z/LZを予め求めておく(ステップ302)。 First, as a preparatory process, R 1 ,... R 3 ∈ E [L] are secured in the temporary storage unit 350 in advance as temporary storage areas (step 301). Next, the eigenvalue calculation unit 310 obtains λ2εZ / LZ in advance (step 302).

入力部310より、R∈E[L]を入力し(ステップ303)、フロベニウス写像計算部340においてフロベニウス写像R←φRを計算し、Rを一時記憶部350に格納する(ステップ304)。 RεE [L] is input from the input unit 310 (step 303), the Frobenius map calculation unit 340 calculates the Frobenius map R 1 ← φR, and stores R 1 in the temporary storage unit 350 (step 304).

楕円スカラー倍計算部360において、楕円スカラー倍R←λRを計算し、Rを一時記憶部350に格納する(ステップ305)。 The elliptic scalar multiplication calculator 360 calculates the elliptic scalar multiplication R 2 ← λ 2 R, and stores R 2 in the temporary storage unit 350 (step 305).

楕円減算部370において、楕円減算R←R−Rを計算し、Rを一時記憶部350に格納する(ステップ306)。 The ellipse subtraction unit 370 calculates the ellipse subtraction R 3 ← R 1 −R 2 and stores R 3 in the temporary storage unit 350 (step 306).

最後に、出力部380が一時記憶部350に格納されているRを出力する(ステップ307)。 Finally, the output unit 380 outputs R 3 stored in the temporary storage unit 350 (step 307).

(6−4)第4の実施の形態/トレースマップを用いた一方向性関数計算方法:
上記の(6−3)の一方向性関数の演算コストは、フロベニウス写像1回、楕円減算1回、楕円スカラー倍1回であり、依然として楕円スカラー倍1回と同程度の演算コストが必要である。ところで、楕円曲線E/GF(q)がL│#E(GF(q))でかつL│#E(GF(q))なる場合、特性多項式は、
φ−tφ+q=(φ−1)(φ−q) (mod L)
と分解できる。即ち、固有値は1及びq mod Lである。λ=1、λ=qmodLとすると、線形変換 (6-4) Fourth Embodiment / One-way Function Calculation Method Using Trace Map:
The calculation cost of the one-way function (6-3) is one Frobenius map, one elliptical subtraction, and one elliptical scalar multiplication. is there. When the elliptic curve E / GF (q) is L 2 | #E (GF (q)) and L 2 | #E (GF (q m )), the characteristic polynomial is
φ 2 −tφ + q = (φ−1) (φ−q) (mod L)
Can be disassembled. That is, the eigenvalues are 1 and q mod L. When λ 1 = 1 and λ 2 = qmodL, linear transformation

Figure 0004752176
は、固有空間
Figure 0004752176
 Is the eigenspace

Figure 0004752176
への射影になる。線形変換をトレースマップと呼ぶ。一般に、m<Lであるが、mがlog2Lに比べて小さいとき以下の一方向性関数計算方法は、一方向性関数計算方法(6−3)より高速である。
Figure 0004752176
 It becomes a projection to. The linear transformation is called a trace map. In general, m <L, but when m is smaller than log 2 L, the following one-way function calculation method is faster than the one-way function calculation method (6-3).

図9は、本発明の第4の実施の形態における一方向性関数計算装置の構成を示す。同図に示す一方向性関数計算装置400は、R∈E[L]を入力する入力部410、初期値設定部420、一時記憶部430、点計算部440、出力部450から構成される。   FIG. 9 shows the configuration of a one-way function calculation apparatus according to the fourth embodiment of the present invention. The one-way function calculation apparatus 400 shown in the figure includes an input unit 410 for inputting RεE [L], an initial value setting unit 420, a temporary storage unit 430, a point calculation unit 440, and an output unit 450.

図10は、本発明の第4の実施の形態における一方向性関数計算方法のフローチャートである。   FIG. 10 is a flowchart of the one-way function calculation method according to the fourth embodiment of the present invention.

まず、準備処理として、一時記憶領域R∈E[L]、i∈{0,…,m}を一時記憶部430に確保する(ステップ401)。 First, as a preparation process, the temporary storage area R 1 εE [L], iε {0,..., M} is secured in the temporary storage unit 430 (step 401).

初期値設定部420において、一時記憶部430のR←O,i←0とする(ステップ402)。 The initial value setting unit 420 sets R 1 ← O, i ← 0 in the temporary storage unit 430 (step 402).

次に、点計算部440において、R←R+φRとし(ステップ403)、Rを一時記憶部430に格納し(ステップ404)、i←i+1とする(ステップ405)。ここで、i<mであれば、再度ステップ403の処理を行い(ステップ406)、i≧mであれば、出力部450は、一時記憶部430に格納されているRを出力して終了する(ステップ407)。 Next, the point calculation unit 440 sets R 1 <-R 1 + φ i R (step 403), stores R 1 in the temporary storage unit 430 (step 404), and sets i ← i + 1 (step 405). If i <m, the process of step 403 is performed again (step 406). If i ≧ m, the output unit 450 outputs R 1 stored in the temporary storage unit 430 and ends. (Step 407).

(6−5)第5の実施の形態/加算連鎖を用いた一方向関数計算:
本実施の形態では、計算可能な拡大における一般的なm(〜logL)に関して、トレースマップをより効率よく計算する方法を考える。一般の正整数nに対して (6-5) Fifth Embodiment / One-way Function Calculation Using Addition Chain:
In the present embodiment, a method for calculating the trace map more efficiently with respect to a general m (˜log 2 L) in a computable enlargement is considered. For general positive integer n

Figure 0004752176
とするなら、上記の第4の実施の形態における、一方向性関数計算方法と同様の方法で、T(R)を計算するとn−1回の楕円加算が発生し、これが演算の律速段階となる。いま仮に、cを正整数としてn=2だったとすると、
Figure 0004752176
 If T n (R) is calculated in the same manner as the one-way function calculation method in the fourth embodiment, n−1 elliptic additions occur, which is the rate-determining step of the calculation. It becomes. Assuming that c is a positive integer and n = 2c ,

Figure 0004752176
と書くことができる。この時、
Figure 0004752176
 Can be written. At this time,

Figure 0004752176
のような演算方法を用いると、c回即ち、logn回の楕円加算でT(R)を計算することができる。このような計算法は、例え、nが2の冪でなかったとしても一般に構成することが可能であり、例えば、次のように構成する。
Figure 0004752176
 T n (R) can be calculated by elliptic addition of c times, that is, log 2 n times. Such a calculation method can be generally configured even if n is not a power of 2, for example, as follows.

i,j,kを整数として整数(1=)n0,…n(=n)を
=1, n=n+n, (j,k<i)
とする。整数列n,…,nをnの加算連鎖と呼ぶ。nの加算連鎖を用いてT(R)の計算を次のように実行することができる。まず、nの加算連鎖n,…,nを考える。加算連鎖のn=n+n,(j,k<i)なるi,j,kの対応に従って、i=0,…,cに対して、 i, j, k are integers and integers (1 =) n0,..., n c (= n) are n 0 = 1, n i = n j + n k , (j, k <i)
And The integer sequence n 0 ,..., Nc is called an addition chain of n. The calculation of T n (R) can be performed as follows using the addition chain of n . First, consider the addition chain n 0 ,..., N c of n. For i = 0,..., C, according to the correspondence of i, j, k as n i = n j + n k , (j, k <i) in the addition chain,

Figure 0004752176
なる演算により、R,…,Rを求める。このとき、
Figure 0004752176
 R 0 ,..., R c are obtained by the following calculation. At this time,

Figure 0004752176
が成立する。
Figure 0004752176
 Is established.

Figure 0004752176
であるから、Rが求めるT(R)となる。nの最短の加算連鎖の長さcは、例えば、2進計算法等を用いることによって最悪でもc≦2lognに抑えることができる。即ち、Rcも最悪2logn回程度の楕円加算で求めることができる。T(R)を効率よく求めたいなら、効率の良いnの加算連鎖を与えればよい。参考文献「Knuth著『The Art of Computer Programming』VOLUME 2 Seminumerical Algorithms Third Edition,p.465出版 Addison Wesley,ISBN0-201-89684-2」には、1以上100以下の整数の加算回数に関する最適加算連鎖のツリー図が掲載されている。そのような加算連鎖を用いることによって、T(R)の計算を最適化できる。
Figure 0004752176
 Therefore , R c is obtained as T n (R). The length c of the shortest addition chain of n can be suppressed to c ≦ 2 log 2 n at worst by using, for example, a binary calculation method. That is, Rc can also be obtained by ellipse addition of the worst 2 log 2 n times. If it is desired to obtain T n (R) efficiently, an efficient addition chain of n may be given. The reference "Knuth's" The Art of Computer Programming "VOLUME 2 Seminumerical Algorithms Third Edition, p.465 publication Addison Wesley, ISBN0-201-89684-2" contains the optimal addition chain for the number of integer additions from 1 to 100. The tree diagram is published. By using such an addition chain, the calculation of T n (R) can be optimized.

この方法を使って、トレースマップを用いた一方向性関数を以下のように計算することができる。   Using this method, a one-way function using a trace map can be calculated as follows.

図11は、本発明の第5の実施の形態における一方向性関数計算装置の構成を示す。同図に示す一方向性関数計算装置500は、R∈E[L]を入力する入力部510、初期値設定部520、一時記憶部530、加算連鎖計算部540、出力部550から構成される。   FIG. 11 shows a configuration of a one-way function calculation apparatus according to the fifth embodiment of the present invention. The one-way function calculation apparatus 500 shown in the figure includes an input unit 510 for inputting RεE [L], an initial value setting unit 520, a temporary storage unit 530, an addition chain calculation unit 540, and an output unit 550. .

図12は、本発明の第5の実施の形態における一方向性関数計算方法のフローチャートである。   FIG. 12 is a flowchart of the one-way function calculation method according to the fifth embodiment of the present invention.

まず、準備処理として、使用するmの加算連鎖n=1,n=n+n, (j,k<i),n=mを決めておく(ステップ501)。但し、必ずしも最適な加算連鎖を用いる必要はない。例えば、2進計算法を用いることができる。 First, as a preparatory process, m addition chains n 0 = 1, n i = n j + n k , (j, k <i), and n c = m to be used are determined (step 501). However, it is not always necessary to use an optimal addition chain. For example, a binary calculation method can be used.

また、一時記憶領域R0,…,Rc∈E[L],i∈{0,…,c}を予め一時記憶部530に確保しておく(ステップ502)。   Further, temporary storage areas R0,..., RcεE [L], iε {0,..., C} are secured in the temporary storage unit 530 in advance (step 502).

初期値設定部520において、一時記憶部530に対して、R←R,i←0を設定する(ステップ503)。 The initial value setting unit 520 sets R 0 <-R, i ← 0 in the temporary storage unit 530 (step 503).

入力部510からR∈E[L]を入力する(ステップ504)。   RεE [L] is input from the input unit 510 (step 504).

加算連鎖計算部540は、i←i+1とし(ステップ505)、ステップ501で予め決められた加算連鎖に従って、iに対応するj,k<iを決定し、   The addition chain calculation unit 540 sets i ← i + 1 (step 505), determines j, k <i corresponding to i in accordance with the addition chain predetermined in step 501,

Figure 0004752176
とし、計算結果Rを一時記憶部530に格納する(ステップ506)。
Figure 0004752176
 And the calculation result R i is stored in the temporary storage unit 530 (step 506).

ここで、i<cであれば(ステップ507)、ステップ505以降の処理を繰り返し、i≧cであれば、出力部550において、一時記憶部530からRを読み出して出力するステップ508)。 Here, if i <c (step 507), step 505 repeats the subsequent processing, if i ≧ c, the output unit 550 outputs from the temporary storage unit 530 reads out the R c 508).

(6−6)第6の実施の形態/一方向性関数計算方法:
前述の第5の実施の形態の一方向性関数計算方法で必要とされた一時記憶領域R,…,Rは、加算連鎖によっては必ずしもc+1個必要な訳ではない。工夫により、一時記憶領域を削減することができる。加算連鎖の数列自体も、動作中に決定することが可能である。本実施の形態では、例えば、2進計算法を用いる場合について説明する。 (6-6) Sixth Embodiment / One-way Function Calculation Method:
The temporary storage areas R 0 ,..., R c required in the one-way function calculation method of the fifth embodiment described above are not necessarily required in accordance with the addition chain. As a result, the temporary storage area can be reduced. The number sequence of the addition chain itself can also be determined during operation. In this embodiment, for example, a case where a binary calculation method is used will be described.

図13は、本発明の第6の実施の形態における一方向性関数計算装置の構成を示す。同図に示す一方向性関数計算装置600は、R∈E[L]を入力する入力部610、初期値設定部620、一時記憶部630、加算連鎖計算部640、出力部650から構成される。   FIG. 13 shows a configuration of a one-way function calculation apparatus according to the sixth embodiment of the present invention. The one-way function calculation apparatus 600 shown in the figure includes an input unit 610 for inputting RεE [L], an initial value setting unit 620, a temporary storage unit 630, an addition chain calculation unit 640, and an output unit 650. .

図14は、本発明の第6の実施の形態における一方向性関数計算方法のフローチャートを示す。   FIG. 14 shows a flowchart of a one-way function calculation method according to the sixth embodiment of the present invention.

まず、準備処理として、使用するmの加算連鎖は2進計算法とし、mの2進展開m∈{0,1}を、 First, as a preparatory process, the addition chain of m to be used is a binary calculation method, and binary expansion m i ε {0, 1} of m is

Figure 0004752176
とする(ステップ601)。但し、m=1とする。
Figure 0004752176
 (Step 601). However, it is assumed that m c = 1.

また、一時記憶領域R∈E[L]、i∈{0,…,c},j∈{1,…,m}を予め一時記憶部630に確保しておく(ステップ602)。 Further, temporary storage areas R 0 ∈E [L], i∈ {0,..., C}, j∈ {1,..., M} are secured in the temporary storage unit 630 in advance (step 602).

初期値設定部620において、一時記憶部620の値をR←R,j←1、i←cとする(ステップ603)。 In the initial value setting unit 620, the values in the temporary storage unit 620 are set as R 0 ← R, j ← 1, and i ← c (step 603).

入力部610からR∈E[L]を入力する(ステップ604)。   RεE [L] is input from the input unit 610 (step 604).

加算連鎖計算部640は、i←i−1とし(ステップ605)、R←φ+R,j←j+1とし(ステップ606)、m=1であれば(ステップ607)、加算連鎖計算部604は、R←φR+R、j←j+1とし(ステップ608)、i>0であれば(ステップ609)、ステップ605に移行し、i≦0であれば(ステップ609)、出力部650において、一時記憶部630から最終的なRを読み出して、出力する(ステップ610)。 The addition chain calculation unit 640 sets i ← i−1 (step 605), sets R 0 ← φ j R 0 + R 0 , j ← j + 1 (step 606), and if m i = 1 (step 607), adds The chain calculation unit 604 sets R 0 ← φR 0 + R, j ← j + 1 (step 608), and if i> 0 (step 609), proceeds to step 605, and if i ≦ 0 (step 609), The output unit 650 reads and outputs the final R 0 from the temporary storage unit 630 (step 610).

mが2進数で表現されている場合、上記のステップ606の前半でのjの値は、その時点でのiの値を使って、mの先頭からc−1ビットを符号なし整数として見て決定してもよいし、その場合、ステップ603、606、607でjの値を設定する必要はなく、一時記憶領域としてjを確保することもない。   When m is expressed in binary, the value of j in the first half of the above step 606 is determined by using the value of i at that time point and viewing the c-1 bit from the beginning of m as an unsigned integer. In this case, it is not necessary to set the value of j in steps 603, 606, and 607, and j is not secured as a temporary storage area.

本発明は、上記の第1の実施の形態から第6の実施の形態における動作をプログラムとして構築し、一方向性関数計算装置、及び、部分群上元判定装置として利用されるコンピュータの記憶手段にインストールし、CPU等の制御手段により実行させる、または、ネットワークを介して流通させることも可能である。   The present invention constructs the operation in the first to sixth embodiments as a program, and stores the computer as a one-way function calculation device and a subgroup element determination device. It is also possible to install the program on a computer and execute it by a control means such as a CPU, or distribute it via a network.

また、構築されたプログラムを、一方向性関数計算装置、部分群上元判定装置として利用されるコンピュータに接続されたハードディスク装置や、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納しておき、実施する際に、これらのコンピュータにインストールすることも可能である。   In addition, the constructed program is stored in a portable storage medium such as a one-way function calculator, a hard disk device connected to a computer used as a partial group element determination device, a flexible disk, or a CD-ROM. It is also possible to install on these computers when implementing.

また、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。   The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.

本発明は、計算量理論に基づく情報セキュリティ技術に適用することが可能である。   The present invention can be applied to information security technology based on the computational complexity theory.

本発明の原理を説明するための図である。It is a figure for demonstrating the principle of this invention. 本発明の原理構成図である。It is a principle block diagram of this invention. 本発明の第1の実施の形態における部分群上元判定装置の構成図である。It is a block diagram of the subgroup element origin determination apparatus in the 1st Embodiment of this invention. 本発明の第1の実施の形態における部分群上元判定方法のフローチャートである。It is a flowchart of the subgroup element origin determination method in the 1st Embodiment of this invention. 本発明の第2の実施の形態における一方向性関数計算装置の構成図である。It is a block diagram of the one-way function calculation apparatus in the 2nd Embodiment of this invention. 本発明の第2の実施の形態における一方向性関数計算方法のフローチャートである。It is a flowchart of the one-way function calculation method in the 2nd Embodiment of this invention. 本発明の第3の実施の形態における一方向性関数計算装置の構成図である。It is a block diagram of the one way function calculation apparatus in the 3rd Embodiment of this invention. 本発明の第3の実施の形態における一方向性関数計算方法のフローチャートである。It is a flowchart of the one-way function calculation method in the 3rd Embodiment of this invention. 本発明の第4の実施の形態における一方向性関数計算装置の構成図である。It is a block diagram of the one-way function calculation apparatus in the 4th Embodiment of this invention. 本発明の第4の実施の形態における一方向性関数計算方法のフローチャートである。It is a flowchart of the one-way function calculation method in the 4th Embodiment of this invention. 本発明の第5の実施の形態における一方向性関数計算装置の構成図である。It is a block diagram of the one way function calculation apparatus in the 5th Embodiment of this invention. 本発明の第5の実施の形態における一方向性関数計算方法のフローチャートである。It is a flowchart of the one-way function calculation method in the 5th Embodiment of this invention. 本発明の第6の実施の形態における一方向性関数計算装置の構成図である。It is a block diagram of the one way function calculation apparatus in the 6th Embodiment of this invention. 本発明の第6の実施の形態における一方向性関数計算方法のフローチャートである。It is a flowchart of the one-way function calculation method in the 6th Embodiment of this invention.

符号の説明Explanation of symbols

100 部分群上元判定装置
110 入力部
120 ペアリング計算部
130 一時記憶部
140 判定部
150 出力部
200 一方向性関数計算装置
210 固定値計算部
220 スカラー倍設定部
230 入力部
240 フロベニウス写像計算部
250 一時記憶部
260 楕円スカラー倍計算部
270 楕円減算部
280 出力部
300 一方向性関数計算装置
310 固有値計算部
330 入力部
340 フロベニウス写像計算部
350 一時記憶部
360 楕円スカラー倍計算部
370 楕円減算部
380 出力部
400 一方向性関数計算装置
410 入力部
420 初期値設定部
430 一時記憶部
440 点計算部
450 出力部
500 一方向性関数計算装置
510 入力部
520 初期値設定部
530 一時記憶部
540 加算連鎖計算部
550 出力部
600 一方向性関数計算装置
610 入力部
620 初期値設定部
630 一時記憶部
640 加算連鎖計算部
650 出力部 100 Subgroup Upper Element Determination Device 110 Input Unit 120 Pairing Calculation Unit 130 Temporary Storage Unit 140 Determination Unit 150 Output Unit 200 Unidirectional Function Calculation Device 210 Fixed Value Calculation Unit 220 Scalar Multiplier Setting Unit 230 Input Unit 240 Frobenius Map Calculation Unit 250 Temporary storage unit 260 Elliptical scalar multiplication unit 270 Ellipse subtraction unit 280 Output unit 300 Unidirectional function calculation device 310 Eigenvalue calculation unit 330 Input unit 340 Frobenius map calculation unit 350 Temporary storage unit 360 Elliptical scalar multiplication unit 370 Ellipse subtraction unit 380 Output unit 400 Unidirectional function calculation device 410 Input unit 420 Initial value setting unit 430 Temporary storage unit 440 Point calculation unit 450 Output unit 500 Unidirectional function calculation device 510 Input unit 520 Initial value setting unit 530 Temporary storage unit 540 Addition Chain calculation unit 550 Output unit 600 One direction Function computer 610 input unit 620 the initial value setting unit 630 the temporary storage unit 640 adds the chain calculating unit 650 output unit

Claims (9)

一方向性関数を計算する一方向性関数演算方法において、
予め一時記憶手段に、R,…,R∈E[L](但し、E[L]は、Lを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を記憶するための領域を確保しておき、
固有値計算手段において、フロベニウス写像の固有値λ,λ∈Z/LZを求めておき、
入力手段において、R∈E[L]を入力し、
スカラー倍設定手段において、
Figure 0004752176
 として予め求めておき、
フロベニウス写像計算手段において、フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを前記一時記憶手段に格納しておき、
楕円スカラー倍計算手段において、Rのスカラー倍λRを計算し、計算結果Rを前記一時記憶手段に格納しておき、
楕円減算手段において、前記一時記憶手段から前記計算結果Rと前記計算結果Rを取得してR−Rを計算し、計算結果Rを前記一時記憶手段に格納しておき、
前記楕円スカラー倍計算手段において、Rのスカラー倍
Figure 0004752176
 を計算して、計算結果Rを前記一時記憶手段に格納し、
最終的に、出力手段により、前記一時記憶手段からRを読み出して出力することを特徴とする一方向性関数演算方法。 In the one-way function calculation method for calculating the one-way function,
R 1 ,..., R 4 ∈ E [L] (where E [L] is a prime number, and LR = L of the points R on the elliptic curve E defined on the finite field) An area for storing O (where R is a set of R satisfying O is an infinite point) is reserved,
In the eigenvalue calculation means, eigenvalues λ 1 and λ 2 ∈Z / LZ of the Frobenius map are obtained,
In the input means, R∈E [L] is input,
In the scalar multiplication setting means,
Figure 0004752176
 As
In the Frobenius map calculation means, a point φR on the elliptic curve is calculated from the Frobenius map φ, and the calculation result R 1 is stored in the temporary storage means.
In the elliptic scalar multiplication calculating means, the scalar multiplication λ 2 R of the point R is calculated, and the calculation result R 2 is stored in the temporary storage means,
In elliptical subtracting means, said acquired the calculated from temporary storage unit results R 1 and the calculation result R 2 calculates the R 1 -R 2, the calculation result R 3 may be stored in the temporary storage means,
In the elliptic scalar multiplication calculation means, a scalar multiplication of R 3
Figure 0004752176
 And the calculation result R 4 is stored in the temporary storage means,
Finally, the output unit, one-way function calculation method and outputting from said temporary memory means reads out the R 4. 一方向性関数を計算する一方向性関数計算方法において、
一時記憶手段に、R,…,R∈E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を確保するための領域を確保しておき、
固有値計算手段において、フロベニウス写像の固有値λ∈Z/LZを求めておき、
入力手段において、R∈E[L]を入力し、
フロベニウス写像計算手段において、フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを前記一時記憶手段に格納し、
楕円スカラー倍計算手段において、前記固有値計算手段で求められた前記固有値λを取得して、Rのスカラー倍λRを計算し、計算結果Rを前記一時記憶手段に格納し、
楕円減算手段において、前記一時記憶手段から前記計算結果Rと前記計算結果Rを取得して、R−Rを行い、計算結果Rを前記一時記憶手段に格納し、
最終的に、出力手段により、前記一時記憶手段からRを読み出して出力することを特徴とする一方向性関数演算方法。 In the one-way function calculation method for calculating the one-way function,
R 1 ,..., R 3 ∈ E [L] (where E [L] is a prime number, and LR = O (of the points R on the elliptic curve E defined on the finite field). However, an area for ensuring a set of R satisfying O) is satisfied,
In the eigenvalue calculation means, the eigenvalue λ 2 ∈Z / LZ of the Frobenius map is obtained,
In the input means, R∈E [L] is input,
In the Frobenius map calculation means, a point φR on the elliptic curve is calculated from the Frobenius map φ, and the calculation result R 1 is stored in the temporary storage means.
In the elliptic scalar multiplication means, the eigenvalue λ 2 obtained by the eigenvalue calculation means is obtained, the scalar multiplication λ 2 R of the point R is calculated, and the calculation result R 2 is stored in the temporary storage means,
In elliptical subtracting means, the calculation result to obtain the R 2 the calculation result R 1 from the temporary storage means, performs R 1 -R 2, and stores the calculation result R 3 in the temporary storage means,
Finally, the output unit, one-way function calculation method and outputting from said temporary memory means reads the R 3. 有限体上定義された非超特異楕円曲線の有理点群が、同じ位数を持つ2つの巡回群の直積群を含む場合に、該楕円曲線上で定義される一方向性関数を計算する一方向性関数計算方法において、
一時記憶手段に、楕円曲線上の点を格納する領域R,0以上m以下の整数を格納可能な領域iを確保しておき、
初期値設定手段において、
前記Rに楕円曲線上の無限遠点Oを設定し、前記領域iに0を設定し、
入力手段において、
楕円曲線E[L](E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合))上の点Rを取得し、
フロベニウス写像計算手段により、
フロベニウス写像φRを計算し、その計算結果と前記とを楕円加算計算手段に入力し、その計算結果を前記領域Rに格納し、前記領域iのカウントをi+1とし、i≧m(mは以上の整数)になるまで当該処理を繰り返し、
最終的に、
Figure 0004752176
 と一致する楕円曲線上の点の値を、前記領域Rから読み出し、出力手段により出力することを特徴とする一方向性関数演算方法。 When a rational point group of a non-super singular elliptic curve defined on a finite field includes a Cartesian product group of two cyclic groups having the same order, a one-way function defined on the elliptic curve is calculated. In the direction function calculation method,
In the temporary storage means, an area R 1 for storing points on the elliptic curve, an area i capable of storing an integer of 0 to m,
In the initial value setting means,
Set an infinite point O on the elliptic curve to R 1 , set 0 to the region i,
In the input means,
Elliptic curve E [L] (E [L] (where E [L] is a prime number, and LR = O among the points R on the elliptic curve E defined on the finite field, where O is infinity) A set of R satisfying the point)))
By Frobenius map calculation means,
The Frobenius map φ i R is calculated, the calculation result and the point R 1 are input to the ellipse addition calculation means, the calculation result is stored in the region R 1 , the count of the region i is i + 1, and i ≧ The process is repeated until m (m is an integer of 1 or more),
Finally,
Figure 0004752176
 One-way function calculating method of the value of a point on an elliptic curve to match is read from the region R 1, and outputs the output means and. 前記楕円加算計算手段において、
前記mの加算連鎖n 0 =1,n=n+n,(j,k<i),n=m(但し、cはmの加算連鎖の長さ)とし、
前記領域iのカウントをi+1とし、
前記加算連鎖に従って前記領域iに対するj、k<iを決定し、
Figure 0004752176
Figure 0004752176
 である)とする加算連鎖を用いた一方向性関数計算を用いる請求項3記載の一方向性関数演算方法。 In the ellipse addition calculation means,
The m addition chain n 0 = 1, n i = n j + n k , (j, k <i), n c = m (where c is the length of the m addition chain) ,
Let the count of region i be i + 1,
Determine j, k <i for the region i according to the addition chain,
Figure 0004752176
Figure 0004752176
 One-way function calculating method according to claim 3, wherein using the one-way function calculation using the adder chain according to the be). 一方向性関数を計算する一方向性関数演算装置であって、
予め、R,…,R∈E[L](但し、E[L]は、Lを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合)を記憶するための領域が確保された一時記憶手段と、
フロベニウス写像の固有値λ,λ∈Z/LZを求めておく固有値計算手段と、
スカラー倍
Figure 0004752176
 として予め求めておくスカラー倍設定手段と、
R∈E[L]を入力する入力手段と、
フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを前記一時記憶手段に格納するフロベニウス写像計算手段と、
前記固有値計算手段から前記固有値を取得し、Rのスカラー倍λRを計算し、計算結果Rを前記一時記憶手段に格納する楕円スカラー倍計算手段と、
前記一時記憶手段から前記計算結果Rと前記計算結果Rを取得し、R−Rを計算し、計算結果Rを前記一時記憶手段に格納する楕円減算手段と、
前記スカラー倍設定手段から前記λΔを取得し、Rのスカラー倍
Figure 0004752176
 を計算して、計算結果Rを前記一時記憶手段に格納する第2の楕円スカラー倍計算手段と、
最終的に、前記一時記憶手段からRを読み出して出力する出力手段と、を有することを特徴とする一方向性関数演算装置。 A one-way function computing device for calculating a one-way function,
R 1 ,..., R 4 ∈ E [L] (where E [L] is a prime number, and LR = O (of the points R on the elliptic curve E defined on the finite field) O is a temporary storage means in which an area for storing a set of R satisfying the infinity point) is secured;
Eigenvalue calculating means for obtaining eigenvalues λ 1 and λ 2 ∈Z / LZ of the Frobenius map;
Scalar times
Figure 0004752176
 As a scalar multiplication setting means obtained in advance,
Input means for inputting RεE [L];
Frobenius map calculation means for calculating a point φR on the elliptic curve from the Frobenius map φ and storing the calculation result R 1 in the temporary storage means;
An elliptic scalar multiplication calculating means for obtaining the eigenvalue from the eigenvalue calculating means, calculating a scalar multiplication λ 2 R of the point R, and storing the calculation result R 2 in the temporary storage means;
And elliptic subtracting means for the acquired said calculated from temporary storage unit results R 1 and the calculation result R 2, calculates the R 1 -R 2, and stores the calculation result R 3 in the temporary storage means,
The λ Δ is obtained from the scalar multiplication setting means, and the scalar multiplication of R 3
Figure 0004752176
 The calculated, the second ellipse scalar multiplication means for storing the calculation result R 4 in the temporary storage means,
And an output means for reading and outputting R 4 from the temporary storage means. 一方向性関数を計算する一方向性関数計算装置であって、
一時記憶手段に、R,…,R∈E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合) を格納するための領域が確保される一時記憶手段と、
予め、フロベニウス写像の固有値λ∈Z/LZを求める固有値計算手段と、
R∈E[L]を入力する入力手段と、
フロベニウス写像φにより、楕円曲線上の点φRを計算し、計算結果Rを前記一時記憶手段に格納するフロベニウス写像計算手段と、
前記固有値計算手段で求められた前記固有値λを取得して、Rのスカラー倍λRを計算し、計算結果Rを前記一時記憶手段に格納する楕円スカラー倍計算手段と、
前記一時記憶手段から前記計算結果Rと前記計算結果Rを取得して、R−Rを行い、計算結果Rを前記一時記憶手段に格納する楕円減算手段と、
最終的に、前記一時記憶手段からRを読み出して出力する出力手段と、を有することを特徴とする一方向性関数演算装置。 A one-way function calculation device for calculating a one-way function,
R 1 ,..., R 3 ∈ E [L] (where E [L] is a prime number, and LR = O (of the points R on the elliptic curve E defined on the finite field). However, O is a temporary storage means in which an area for storing a set of R satisfying the infinity point) is secured;
In advance, eigenvalue calculation means for obtaining the eigenvalue λ 2 ∈Z / LZ of the Frobenius map;
Input means for inputting RεE [L];
Frobenius map calculation means for calculating a point φR on the elliptic curve from the Frobenius map φ and storing the calculation result R 1 in the temporary storage means;
Obtaining the eigenvalue λ 2 obtained by the eigenvalue calculating means, calculating a scalar multiplication λ 2 R of the point R, and storing the calculation result R 2 in the temporary storage means;
Ellipse subtracting means for obtaining the calculation result R 1 and the calculation result R 2 from the temporary storage means, performing R 1 -R 2 , and storing the calculation result R 3 in the temporary storage means;
Finally, one-way function calculation apparatus characterized by comprising output means for outputting the previous SL temporary memory means reads the R 3, a. 有限体上定義された非超特異楕円曲線の有理点群が、同じ位数を持つ2つの巡回群の直積群を含む場合に、該楕円曲線上で定義される一方向性関数を計算する一方向性関数計算装置であって、
楕円曲線上の点を格納する領域R,0以上m以下の整数を格納可能な領域iを確保しておく一時記憶手段と、
楕円曲線E[L](E[L](但し、E[L]はLを素数とし、有限体上定義された楕円曲線E上の点Rの内、LR=O(但し、Oは無限遠点)を満たすRの集合))上の点Rに楕円曲線上の無限遠点Oを設定し、前記領域iに0を設定する初期値設定手段と、
楕円曲線上の点Rを取得する入力手段と、
フロベニウス写像φRを計算し、その計算結果と前記とを楕円加算計算手段に入力し、その出力結果を前記領域Rに格納し、前記領域iのカウントをi+1とし、i≧m(mは以上の整数)になるまで当該処理を繰り返すフロベニウス写像計算手段と、
最終的に、
Figure 0004752176
 と一致する楕円曲線上の点の値を、前記領域Rから読み出し、出力する出力手段と、
を有することを特徴とする一方向性関数演算装置。 When a rational point group of a non-super singular elliptic curve defined on a finite field includes a Cartesian product group of two cyclic groups having the same order, a one-way function defined on the elliptic curve is calculated. A directional function calculation device,
An area R 1 for storing points on the elliptic curve, a temporary storage means for securing an area i in which an integer of 0 to m can be stored;
Elliptic curve E [L] (E [L] (where E [L] is a prime number, and LR = O among the points R on the elliptic curve E defined on the finite field, where O is infinity) An initial value setting means for setting an infinity point O on the elliptic curve to the point R 1 on the set of R satisfying the point)) and setting the area i to 0;
Input means for acquiring a point R on an elliptic curve;
The Frobenius map φ i R is calculated, the calculation result and the point R 1 are input to the ellipse addition calculation means, the output result is stored in the region R 1 , the count of the region i is i + 1, and i ≧ Frobenius map calculation means for repeating the process until m (m is an integer of 1 or more),
Finally,
Figure 0004752176
 And output means a value of a point on an elliptic curve to match is read from the region R 1, and outputs a,
A one-way function computing device comprising: 前記楕円加算計算手段は、
前記mの加算連鎖n 0 =1,n=n+n,(j,k<i),n=m(但し、cはmの加算連鎖の長さ)とし、
前記領域iのカウントをi+1とし、
前記加算連鎖に従って前記領域iに対するj、k<iを決定し、
Figure 0004752176
Figure 0004752176
 である)とする加算連鎖を用いた一方向性関数計算を用いる請求項7記載の一方向性関数演算装置。 The ellipse addition calculation means includes:
The m addition chain n 0 = 1, n i = n j + n k , (j, k <i), n c = m (where c is the length of the m addition chain) ,
Let the count of region i be i + 1,
Determine j, k <i for the region i according to the addition chain,
Figure 0004752176
Figure 0004752176
 One-way function calculating device according to claim 7, wherein using the one-way function calculation using the adder chain according to the be). コンピュータを、
請求項5乃至8記載の一方向性関数演算装置の各手段として機能させるための一方向性関数演算プログラム。 Computer
A one-way function calculation program for causing each unit of the one-way function calculation device according to claim 5 to function .
JP2003320219A 2003-09-11 2003-09-11 Unidirectional function calculation method, apparatus and program Expired - Lifetime JP4752176B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003320219A JP4752176B2 (en) 2003-09-11 2003-09-11 Unidirectional function calculation method, apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003320219A JP4752176B2 (en) 2003-09-11 2003-09-11 Unidirectional function calculation method, apparatus and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009152798A Division JP5038364B2 (en) 2009-06-26 2009-06-26 Subgroup element determination method, apparatus and program

Publications (2)

Publication Number Publication Date
JP2005084657A JP2005084657A (en) 2005-03-31
JP4752176B2 true JP4752176B2 (en) 2011-08-17

Family

ID=34418926

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003320219A Expired - Lifetime JP4752176B2 (en) 2003-09-11 2003-09-11 Unidirectional function calculation method, apparatus and program

Country Status (1)

Country Link
JP (1) JP4752176B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4842276B2 (en) * 2004-11-11 2011-12-21 サーティコム コーポレーション A new trapdoor one-way function on an elliptic curve and its application to shorter signatures and asymmetric encryption
JP4960894B2 (en) * 2008-01-17 2012-06-27 日本電信電話株式会社 Elliptic curve point compression device, elliptic curve point expansion device, method and program thereof

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999626A (en) * 1996-04-16 1999-12-07 Certicom Corp. Digital signatures on a smartcard
JP3787075B2 (en) * 2001-04-09 2006-06-21 日本電信電話株式会社 Subgroup origin determination device of rational point group on curve, program thereof, and recording medium thereof
JP2003228285A (en) * 2002-02-06 2003-08-15 Hitachi Ltd Arithmetic unit for elliptic curve scalar multiple
JP4184120B2 (en) * 2003-03-07 2008-11-19 日本電信電話株式会社 Oval curve scalar multiplication device and elliptic curve scalar multiplication program
JP2005063349A (en) * 2003-08-20 2005-03-10 Nippon Telegr & Teleph Corp <Ntt> Extension field square root calculation apparatus, extension field square root calculation method, extension field square root calculation program, and recording medium with its program recorded

Also Published As

Publication number Publication date
JP2005084657A (en) 2005-03-31

Similar Documents

Publication Publication Date Title
US8111826B2 (en) Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph
Galbraith et al. Computational problems in supersingular elliptic curve isogenies
Koziel et al. Post-quantum cryptography on FPGA based on isogenies on elliptic curves
Granger et al. Hardware and software normal basis arithmetic for pairing-based cryptography in characteristic three
US6202076B1 (en) Scheme for arithmetic operations in finite field and group operations over elliptic curves realizing improved computational speed
US20080044013A1 (en) Koblitz Exponentiation with Bucketing
KR102550812B1 (en) Method for comparing ciphertext using homomorphic encryption and apparatus for executing thereof
Sunar et al. Constructing composite field representations for efficient conversion
Hu et al. Efficient parallel secure outsourcing of modular exponentiation to cloud for IoT applications
Farzam et al. Implementation of supersingular isogeny-based Diffie-Hellman and key encapsulation using an efficient scheduling
Yassein et al. A comparative performance analysis of NTRU and its variant cryptosystems
Koziel et al. On fast calculation of addition chains for isogeny-based cryptography
Azarderakhsh et al. EdSIDH: supersingular isogeny Diffie-Hellman key exchange on Edwards curves
JP4752176B2 (en) Unidirectional function calculation method, apparatus and program
Stogbauer Efficient Algorithms for pairing-based cryptosystems
Chao et al. Construction of secure elliptic cryptosystems using CM tests and liftings
Öztürk Modular multiplication algorithm suitable for low-latency circuit implementations
JP5038364B2 (en) Subgroup element determination method, apparatus and program
JP2005316267A (en) Elliptic curve pairing arithmetic unit
JPH1152854A (en) Arithmetic unit device on finite field and group computing device on elliptic curve
Aranha et al. Efficient software implementation of laddering algorithms over binary elliptic curves
JP2006178125A (en) Method and apparatus for computing elliptic curve tate pairing
JP4629972B2 (en) Vector computing device, divided value computing device, elliptic curve scalar multiplication device, elliptic cryptography computing device, vector computing method, program, and computer-readable recording medium recording the program
JP2006201719A (en) Polynomial exponentiation arithmetic unit, the polynomial exponentiation arithmetic method, program and recording medium for the same
JP2005316038A (en) Scalar multiple computing method, device, and program in elliptic curve cryptosystem

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110509

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140603

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4752176

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term