JP5326715B2 - An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography - Google Patents

An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography Download PDF

Info

Publication number
JP5326715B2
JP5326715B2 JP2009071096A JP2009071096A JP5326715B2 JP 5326715 B2 JP5326715 B2 JP 5326715B2 JP 2009071096 A JP2009071096 A JP 2009071096A JP 2009071096 A JP2009071096 A JP 2009071096A JP 5326715 B2 JP5326715 B2 JP 5326715B2
Authority
JP
Japan
Prior art keywords
elliptic curve
storage unit
card
unit
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009071096A
Other languages
Japanese (ja)
Other versions
JP2010226402A (en
Inventor
雅哉 安田
哲也 伊豆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009071096A priority Critical patent/JP5326715B2/en
Publication of JP2010226402A publication Critical patent/JP2010226402A/en
Application granted granted Critical
Publication of JP5326715B2 publication Critical patent/JP5326715B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technique for fault attack detection in IC card authentication using an elliptic curve cryptosystem method, by overcoming the problem that any fault attack can not be detected in many cases because a conventional technique utilizes a decoding message as a point on an elliptic curve. <P>SOLUTION: In IC card, a cipher input from an authentication device is decrypted by a secret key to obtain a decrypted message, and then the correspondence between the decrypted message and the cipher is verified by using a degenerated pairing function on an elliptic curve, thus detecting the fact of fault attack. <P>COPYRIGHT: (C)2011,JPO&amp;INPIT

Description

本発明は、楕円曲線暗号を用いた認証処理に対する故障利用攻撃を検知する認証用媒体に関する。   The present invention relates to an authentication medium for detecting a failure use attack against authentication processing using elliptic curve cryptography.

ICカード等の認証用媒体を用いた認証においては、一般に公開鍵暗号方式が用いられる。ICカードには公開鍵暗号方式の秘密鍵及び暗号化(復号化)回路が実装されており、これにより暗号学的に安全性が保証された認証を行うことを可能としている。   In authentication using an authentication medium such as an IC card, a public key cryptosystem is generally used. The IC card is equipped with a public key cryptosystem private key and an encryption (decryption) circuit, which makes it possible to perform authentication with cryptographically secure security.

ICカード認証で通常用いられる公開鍵暗号方式として、楕円曲線暗号が知られている。楕円曲線暗号は、やはり公開鍵暗号方式の一つであるRSA暗号方式と比べ、より短い鍵長で同程度のセキュリティレベルを確保できるという特徴を持つ。例えば、鍵長160ビットの楕円曲線暗号と、鍵長1024ビットのRSA暗号のセキュリティレベルがほぼ同じであることが知られている。そのため、楕円曲線暗号は、メモリや処理パワーの少ないICカード、携帯電話などの小型デバイスにおける実装に適している。   Elliptic curve cryptography is known as a public key cryptosystem usually used in IC card authentication. Elliptic curve cryptography is characterized in that it can secure the same level of security with a shorter key length than the RSA cryptosystem, which is also one of public key cryptosystems. For example, it is known that the security level of elliptic curve cryptography having a key length of 160 bits and RSA cryptography having a key length of 1024 bits are substantially the same. For this reason, elliptic curve cryptography is suitable for mounting in a small device such as a memory, an IC card with a small processing power, or a mobile phone.

楕円曲線暗号の1つである楕円エルガマル(ElGamal)暗号を利用したICカード認証システムにおける認証処理の例を説明する。pを素数とし、有限体GF(p)上の楕円曲線EにおけるベースポイントをGとする(各記号の詳細については後述する)。ICカードには、前記楕円曲線に基づく楕円曲線暗号の秘密鍵dが秘密に格納されている。また、認証装置には、前記楕円曲線暗号の公開鍵Y=[d]Gが格納されている(ここで、記号[ ]はスカラー倍算を示す)。   An example of an authentication process in an IC card authentication system using an elliptical Elgaral (ElGamal) encryption, which is one of elliptic curve encryptions, will be described. Let p be a prime number and G be a base point in an elliptic curve E on a finite field GF (p) (details of each symbol will be described later). In the IC card, the secret key d of the elliptic curve encryption based on the elliptic curve is secretly stored. Further, the authentication apparatus stores the public key Y = [d] G of the elliptic curve cryptography (here, the symbol [] indicates scalar multiplication).

図11に基づき、認証装置がICカード(正確には、ICカードを保持するユーザ)を認証するための処理フローを説明する。認証装置は、ICカードが入力されたことを検知する(ステップS701)。次に認証装置は、適当なメッセージMを生成して記憶装置に格納するとともに、公開鍵を用いて前記メッセージMを暗号化することで暗号文C=(C1,C2)を生成する(ステップS702)。ここで、C1=[r]G、C2=M+[r]Yである(rは適当に選んだ乱数)。そして認証装置は、生成した暗号文CをICカードに送信する(ステップS703)。   Based on FIG. 11, a processing flow for the authentication apparatus to authenticate an IC card (more precisely, a user holding the IC card) will be described. The authentication device detects that an IC card has been input (step S701). Next, the authentication device generates an appropriate message M and stores it in the storage device, and generates a ciphertext C = (C1, C2) by encrypting the message M using a public key (step S702). ). Here, C1 = [r] G and C2 = M + [r] Y (r is an appropriately selected random number). Then, the authentication device transmits the generated ciphertext C to the IC card (step S703).

次にICカードは、前記暗号文Cを受信する(ステップS705)。ICカードは、秘密鍵を用いてC1を復号することで、中間メッセージKを得る(ステップS707)。具体的には、ICカードはK=[d]C1を計算する。また、ICカードは、C2を復号し、復号メッセージM’を得る(ステップS709)。具体的には、ICカードはM’=C2−Kを計算する。そして、ICカードは、M’を認証装置に送信する(ステップS711)。   Next, the IC card receives the ciphertext C (step S705). The IC card obtains an intermediate message K by decrypting C1 using the secret key (step S707). Specifically, the IC card calculates K = [d] C1. Further, the IC card decrypts C2 and obtains a decrypted message M ′ (step S709). Specifically, the IC card calculates M ′ = C2-K. Then, the IC card transmits M ′ to the authentication device (step S711).

認証装置は、前記M’を受信する(ステップS713)。認証装置は、記憶装置から前記Mを読み出し、Mと前記受信したM’を比較する(ステップS715)。認証装置は、MとM’が一致した場合に「認証成功」と判定する(ステップS717)。一方、MとM’が一致しなかった場合には、認証装置は「認証失敗」と判定する(ステップS719)。この認証システムの安全性は、ICカードが秘密鍵を有しない限り、ICカードは手順3においてCに基づいてM’=MとなるM’を算出できないことに基づいている。   The authentication apparatus receives M ′ (step S713). The authentication device reads M from the storage device, and compares M with the received M ′ (step S715). The authentication apparatus determines that “authentication is successful” when M and M ′ match (step S717). On the other hand, if M and M ′ do not match, the authentication apparatus determines “authentication failure” (step S719). The security of this authentication system is based on the fact that the IC card cannot calculate M ′ in which M ′ = M based on C in step 3 unless the IC card has a secret key.

ICカードにおいて秘密鍵は耐タンパに保持される為、外部から直接読み取られることは考えにくいが、これを間接的に推測する攻撃がいくつか存在する。そのような攻撃の1つに、故障利用攻撃がある。故障利用攻撃では、ICカードが秘密鍵を用いて暗号化または復号化を行っている最中に、外部から供給電圧を急激に変化させる等の物理的変化を与えることにより、ICカードの処理結果を意図的に誤らせる。攻撃者は、認証装置上でこの誤らせた処理結果を得ることで、所定の条件の下で、秘密鍵を推測することが可能となる。   In the IC card, since the secret key is held in a tamper resistant manner, it is unlikely that the secret key is directly read from the outside, but there are several attacks that indirectly guess this. One such attack is a failure use attack. In the failure use attack, the processing result of the IC card is obtained by giving a physical change such as suddenly changing the supply voltage from the outside while the IC card is encrypting or decrypting using the secret key. Is intentionally mistaken. The attacker can guess the secret key under a predetermined condition by obtaining the erroneous processing result on the authentication device.

すなわち、ステップS707およびS708において、ICカードは、認証装置から受け取った暗号文Cから復号メッセージを計算するが、攻撃者はその際に高電圧などの物理的操作をICカードに与える。このときICカードが正当なもの(認証装置上の公開鍵に対応する秘密鍵を有するもの)であっても、復号メッセージは正しく計算されず(M’≠MとなるM’が算出される)、ICカードは認証装置に対して正しくない結果を送信することになる。攻撃者は、その誤った出力を得て、当該出力を解析することで、ICカード内に保持されている秘密鍵を推測できる。   That is, in steps S707 and S708, the IC card calculates a decryption message from the ciphertext C received from the authentication device. At that time, the attacker gives a physical operation such as a high voltage to the IC card. At this time, even if the IC card is valid (having a secret key corresponding to the public key on the authentication device), the decrypted message is not correctly calculated (M ′ in which M ′ ≠ M is calculated). The IC card transmits an incorrect result to the authentication device. The attacker can guess the secret key held in the IC card by obtaining the incorrect output and analyzing the output.

上の例のように、ICカード上の楕円曲線暗号を用いた認証システムにおいて故障利用攻撃を受けると、ICカードの秘密鍵を攻撃者に特定される可能性がある。すなわち、故障利用攻撃は秘密鍵の漏洩に繋がるため、その対策が強く望まれている。   As in the above example, if an authentication system using elliptic curve cryptography on an IC card is subjected to a failure use attack, the secret key of the IC card may be specified by the attacker. That is, since a failure use attack leads to leakage of a secret key, countermeasures are strongly desired.

故障利用攻撃を検知するための従来技術として、ICカードが故障利用攻撃を受けた場合に、その計算結果が楕円曲線暗号で利用する楕円曲線の点にならないことがある性質を利用する方式が知られている(例えば、特許文献1)。従来技術では、ICカードに係る楕円曲線Eが方程式
E:y2+a1xy+a3y=x3+a22+a4x+a6
で表されるとき、関数Is_on_EC(x,y)を
Is_on_EC(x,y)=x3+a22+a4x+a6−(y2+a1xy+a3y)
と定める。ICカードは、前記中間メッセージKを求めた後、Kが楕円曲線Eの点であるかを判定する。ここで、M’ではなくKの値を検証する理由は、攻撃者は秘密鍵dを推定したいのでK=[d]C1の計算時に故障利用攻撃を行うと考えられるためである。これに対し、M’=C2−Kであり、すなわちM’の計算にdは用いられないため、M’の計算時のみに故障利用攻撃を行っても意味がない。
As a conventional technique for detecting a failure use attack, there is a method that uses the property that when an IC card is subjected to a failure use attack, the calculation result may not be the point of the elliptic curve used in elliptic curve cryptography. (For example, Patent Document 1). In the prior art, the elliptic curve E relating to the IC card is expressed by the equation E: y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6
The function Is_on_EC (x, y) is expressed as Is_on_EC (x, y) = x 3 + a 2 x 2 + a 4 x + a 6 − (y 2 + a 1 xy + a 3 y)
It is determined. After obtaining the intermediate message K, the IC card determines whether K is an elliptic curve E point. Here, the reason for verifying the value of K, not M ′, is that the attacker wants to estimate the secret key d, so that it is considered that a failure use attack is performed when calculating K = [d] C1. On the other hand, since M ′ = C2−K, that is, d is not used in the calculation of M ′, it does not make sense to perform a failure use attack only during the calculation of M ′.

ICカードがKが楕円曲線Eの点であるかを判定するためには、具体的には、前記Kを(xk,yk)と表すと、Is_on_EC(xk,yk)を計算すればよい。そして、Is_on_EC(xk,yk)=0であればKは楕円曲線の点であり、Is_on_EC(xk,yk)≠0であればKは楕円曲線の点でないと判定できる。Kは本来は楕円曲線Eの点であるはずである(詳しくは後述するが、楕円曲線暗号では、元のメッセージ、暗号文、および復号メッセージはいずれも楕円曲線の点である)。そこで、Kが楕円曲線の点でないとき、ICカードは、故障利用攻撃を受けたと判断することができる。
特開2004-252433号公報
In order for the IC card to determine whether K is a point of the elliptic curve E, specifically, if K is expressed as (x k , y k ), Is_on_EC (x k , y k ) is calculated. That's fine. If Is_on_EC (x k , y k ) = 0, K is an elliptic curve point, and if Is_on_EC (x k , y k ) ≠ 0, it can be determined that K is not an elliptic curve point. K should originally be a point of an elliptic curve E (details will be described later, but in elliptic curve cryptography, the original message, ciphertext, and decryption message are all points of an elliptic curve). Therefore, when K is not an elliptic curve point, the IC card can be determined to have been subjected to a failure use attack.
JP 2004-252433 A

しかし、従来技術は、ICカードが故障利用攻撃を受けていることをそもそも検知できない場合が多数あるという課題がある。具体的には、特許文献1に係る従来技術は、故障利用攻撃を受けた計算結果がたまたま楕円曲線上の点になる場合には、攻撃を検知することができない。このような場合は、全暗号文の1/2が該当することが知られている。これは、xの値が与えられたときに、式Eを満たすyを求める(すなわち、yに係る方程式Eが解ける)ことができる確率が1/2だからである。すなわち、従来技術では、2回に1回の割合で、故障利用攻撃の検知に失敗するという問題がある。   However, the prior art has a problem that there are many cases where it cannot be detected in the first place that the IC card is under a failure use attack. Specifically, the prior art according to Patent Document 1 cannot detect an attack when a calculation result of a failure use attack happens to be a point on an elliptic curve. In such a case, it is known that 1/2 of the entire ciphertext is applicable. This is because when the value of x is given, the probability that y satisfying the expression E can be obtained (that is, the equation E relating to y can be solved) is ½. That is, the conventional technique has a problem that failure detection of failure utilization attacks fails at a rate of once every two times.

上記の問題は、従来技術が、中間メッセージKのみを用いて故障利用攻撃の有無を判定していることに起因する。中間メッセージKが満たすべき前記条件(楕円曲線上の点であること)を満たすKは沢山ある(Kの種類数は、楕円曲線Eの点の数に等しい)。そのため、故障利用攻撃を受けて誤ったKが算出されたとしても、当該誤ったKが前記条件を満たしてしまう可能性も高いものとなる。   The above problem is due to the fact that the prior art uses only the intermediate message K to determine whether there is a failure use attack. There are many Ks that satisfy the above-mentioned conditions (must be points on the elliptic curve) that the intermediate message K should satisfy (the number of types of K is equal to the number of points on the elliptic curve E). Therefore, even if an incorrect K is calculated in response to a failure use attack, there is a high possibility that the incorrect K satisfies the above condition.

上記の課題を解決するために、本発明は、中間メッセージKの検証を、Kの暗号文であるC1を用いて行うことを特徴とする。すなわち、暗号文C1と中間メッセージKの間にある1対1の対応関係(中間メッセージKは、確かに、暗号文C1を復号したものであるということ)を、復号化処理とは別のアプローチで把握することにより、前記課題を解決する。   In order to solve the above problem, the present invention is characterized in that the intermediate message K is verified using C1 which is a ciphertext of K. That is, a one-to-one correspondence relationship between the ciphertext C1 and the intermediate message K (an intermediate message K is certainly a decryption of the ciphertext C1) is an approach different from the decryption process. By solving this problem, the above-mentioned problem is solved.

これを実現するため、本発明は、楕円曲線上の退化なペアリングと呼ばれる関数を利用する。すなわち、退化なペアリングを用いて暗号文C1と中間メッセージKとの対応関係を把握し、これにより故障利用攻撃を検出する。 In order to realize this, the present invention uses a function called non- degenerate pairing on an elliptic curve. That is, the correspondence between the ciphertext C1 and the intermediate message K is grasped by using non- degenerate pairing, and thereby a failure use attack is detected.

楕円曲線上のペアリングeとは、楕円曲線の2点に対してある値を出力し、かつ以下の
2つの条件を満たす関数である(ここで、P1、P2、P3は楕円曲線の点とする)。
(1) e(P1,P2+P3)=e(P1,P2)・e(P1,P3)
(2) e(P1,P2)=e(P2,P1)
また、上記の2条件に加え、以下の条件を満たすeを「退化なペアリング」と呼ぶ。
(3) e(P1,P1)≠1
なお、楕円曲線上の退化なペアリングそのものは公知技術である。従来、退化なペアリングは、楕円曲線暗号に対する攻撃技術や、楕円曲線暗号そのものの内部処理において使用されている。
The pairing e on the elliptic curve is a function that outputs a certain value for two points of the elliptic curve and satisfies the following two conditions (where P1, P2, and P3 are points of the elliptic curve and To do).
(1) e (P1, P2 + P3) = e (P1, P2) · e (P1, P3)
(2) e (P1, P2) = e (P2, P1)
In addition to the above two conditions, e that satisfies the following conditions is called “ non- degenerate pairing”.
(3) e (P1, P1) ≠ 1
Note that non- degenerate pairing itself on an elliptic curve is a known technique. Conventionally, non- degenerate pairing is used in an attack technique for elliptic curve cryptography or in internal processing of the elliptic curve cryptography itself.

本発明に係るICカードは、前記の退化なペアリングeを用いて、故障利用攻撃の有無を検出する。これは、具体的には以下のように行う。ICカードは、先述した暗号文C=(C1,C2)の復号処理において、C1から中間メッセージKを求めた後に、前記ベースポイントGと当該Kとに基づきe1=e(G,K)を計算するとともに、前記公開鍵Yと当該C1とに基づきe2=e(Y,C1)を計算する。ここで、eは退化なペアリング関数とする。そして、ICカードは、e1=e2が成り立つかを判定する。もしe1=e2であれば、ICカードは、故障利用攻撃が行われなかったと判断する。反対に、e1≠e2であれば、ICカードは、故障利用攻撃が行われたと判断する。 The IC card according to the present invention uses the non- degenerate pairing e to detect the presence or absence of a failure use attack. Specifically, this is performed as follows. The IC card calculates e1 = e (G, K) based on the base point G and K after obtaining the intermediate message K from C1 in the decryption processing of the ciphertext C = (C1, C2) described above. At the same time, e2 = e (Y, C1) is calculated based on the public key Y and the C1. Here, e is a non- degenerate pairing function. The IC card determines whether e1 = e2 holds. If e1 = e2, the IC card determines that no failure use attack has been performed. On the other hand, if e1 ≠ e2, the IC card determines that a failure use attack has been performed.

開示のICカードによれば、従来技術よりも高い確率で故障利用攻撃を検知することが可能となるという効果を奏する。   According to the disclosed IC card, there is an effect that it is possible to detect a failure use attack with a higher probability than in the prior art.

故障利用攻撃が行われていない場合を考える。このとき、退化なペアリングの性質に基づき、前記e1は、
e1=e(G,K)=e(G,[d]C1)=e(G,[d−1]C1+C1)
=e(G,[d−1]C1)・e(G,C1)
=e(G,[d−2]C1+C1)・e(G,C1)
=e(G,[d−2]C1)・e(G,C1)2
と式変形できる。同様の式変形を繰り返すと、結局、関係式e1=e(G,C1)dが導
ける。また、前記e2に対しても、同様にして、
e2=e(Y,C1)=e([d]G,C1)=e(G,C1)d
と式変形でき、結局、関係式e2=e(G,C1)dが導ける。すなわち、もし故障利用
攻撃が行われていなければ、必ず、e1=e2が成立する。この対偶から、もしe1≠e
2であれば、100%の確率で、故障利用攻撃が行われている。
Consider the case where no failure use attack has been performed. At this time, based on the nature of non- degenerate pairing, the e1 is
e1 = e (G, K) = e (G, [d] C1) = e (G, [d−1] C1 + C1)
= E (G, [d-1] C1) .e (G, C1)
= E (G, [d-2] C1 + C1) · e (G, C1)
= E (G, [d-2] C1) · e (G, C1) 2
And can be transformed. If the same formula modification is repeated, the relational expression e1 = e (G, C1) d can be derived after all. Similarly, for e2,
e2 = e (Y, C1) = e ([d] G, C1) = e (G, C1) d
In the end, the relational expression e2 = e (G, C1) d can be derived. That is, e1 = e2 is always established if no failure use attack is performed. From this kinematic pair, if e1 ≠ e
If it is 2, a failure use attack is performed with a probability of 100%.

反対に、故障利用攻撃が行われた場合を考える。このとき、C1から偶然にKが算出される場合(ランダムな確率で発生するので、確率1/pで発生する)を除いて、C1からKとは異なるK’が算出される。このとき、e1=e(G,K’)≠e(G,C1)dとなる。すなわち、もし故障利用攻撃が行われたならば、1−(1/p)の確率で、e1≠e2が成立する。ここで、通常、pは非常に大きな素数であるので、1/pは無視できるほど小さい確率となる。したがって、もしe1=e2であれば、100%に限りなく近い確率で、故障利用攻撃が行われていない。 On the other hand, consider a case where a failure use attack is performed. At this time, except for the case where K is accidentally calculated from C1 (which occurs with a random probability, it occurs with probability 1 / p), K ′ that is different from C1 is calculated. At this time, e1 = e (G, K ′) ≠ e (G, C1) d . That is, if a failure use attack is performed, e1 ≠ e2 is established with a probability of 1− (1 / p). Here, since p is usually a very large prime number, 1 / p has a negligible probability. Therefore, if e1 = e2, a failure-use attack is not performed with a probability close to 100%.

すなわち、e1=e2が成り立つか否かを判定することで、故障利用攻撃を高精度に検出できる。したがって、本願の方式によれば、ICカード内においてほぼ100%の割合で故障利用攻撃の有無を検出でき、故障利用攻撃による秘密鍵の漏洩を回避することができる。   That is, by determining whether or not e1 = e2 holds, the failure use attack can be detected with high accuracy. Therefore, according to the method of the present application, it is possible to detect the presence / absence of a failure use attack in the IC card at a rate of almost 100%, and to avoid leakage of the secret key due to the failure use attack.

以下、本発明の実施の形態を図面を参照して説明する。なお、本発明は、楕円曲線暗号
や楕円曲線上の退化なペアリングといった離散数学に基づいており、発明の理解が容易ではない側面がある。そこで、本発明の実施形態に係る説明においては、楕円曲線暗号や楕円曲線上の退化なペアリングを構成したという前提の下で、それらを用いて故障利用攻撃の検知を可能にした認証システムについて説明する。そして、前記楕円エルガマル暗号と楕円曲線上の退化なペアリング関数については、各実施形態に係る説明の後で、最後に説明する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. The present invention is based on discrete mathematics such as elliptic curve cryptography and non- degenerate pairing on an elliptic curve, and there is an aspect in which the invention is not easy to understand. Therefore, in the description according to the embodiment of the present invention, on the premise that non- degenerate pairing on elliptic curve cryptography or elliptic curve is configured, an authentication system that enables detection of a failure use attack using them Will be described. The elliptic ElGamal encryption and the non- degenerate pairing function on the elliptic curve will be described last after the description according to each embodiment.

図1に、本発明の第1の実施形態に係る認証システムの機能ブロック図を示す。認証システムは、認証用媒体の一例であるICカード100と、認証装置300とを備える。   FIG. 1 shows a functional block diagram of an authentication system according to the first embodiment of the present invention. The authentication system includes an IC card 100, which is an example of an authentication medium, and an authentication device 300.

ICカード100は、記憶部101、公開情報記憶部103、秘密鍵記憶部105、攻撃検知部107、復号化処理部109、通信部111、及び制御部113を備える。記憶部101は、種々の演算結果等を格納して記憶する。公開情報記憶部103は、PKI(公開鍵基盤)の公開情報を格納して保持する。ここで公開情報は、公開鍵により身元が保証されるユーザの識別子、ユーザの公開鍵Y、公開鍵暗号方式を少なくとも含む必要があり、例えばX.509で規定された公開鍵証明書を用いることができる。本実施例においては、公開鍵暗号として、楕円曲線暗号の1つである楕円エルガマル暗号を用いる。先述した公開鍵暗号方式には、公開鍵暗号として楕円エルガマル暗号を用いることに加え、その公開パラメータである有限体GF(p)、GF(p)上の楕円曲線E、およびベースポイントGそれぞれを含む(各記号の詳細については後述する)。ここで、pは素数であり、p=2 mod 3を満たすとする。すなわち、Eは素数位数の楕円曲線である。なお、FIPS186−2を含む多くの楕円曲線暗号標準において、素数位数の楕円曲線暗号が採用されている。秘密鍵記憶部105は、前記公開鍵に対応する秘密鍵dを格納し、秘密に保持する。ここで、秘密鍵dと前記公開鍵Yの間には、Y=[d]Gの関係が成り立っているものとする。攻撃検知部107は、故障利用攻撃の検知を行う。復号化処理部109は、暗号文を復号して復号メッセージを得る。通信部111は、認証装置300とICカード100の間で暗号文や復号メッセージといったデータを送受する。制御部113は、故障利用攻撃検知部107、復号化処理部109、及び通信部111の制御を司る。   The IC card 100 includes a storage unit 101, a public information storage unit 103, a secret key storage unit 105, an attack detection unit 107, a decryption processing unit 109, a communication unit 111, and a control unit 113. The storage unit 101 stores and stores various calculation results and the like. The public information storage unit 103 stores and holds PKI (public key infrastructure) public information. Here, the public information must include at least the identifier of the user whose identity is guaranteed by the public key, the public key Y of the user, and the public key cryptosystem. A public key certificate defined in 509 can be used. In the present embodiment, elliptic El Gamal cryptography, which is one of elliptic curve cryptography, is used as public key cryptography. In the public key cryptosystem described above, in addition to using the elliptic Elgamal cryptosystem as the public key cryptosystem, the finite field GF (p), the elliptic curve E on the GF (p), and the base point G, which are public parameters, are used. (The details of each symbol will be described later). Here, p is a prime number, and p = 2 mod 3 is satisfied. That is, E is an elliptic curve of prime order. In many elliptic curve cryptography standards including FIPS 186-2, prime order elliptic curve cryptography is adopted. The secret key storage unit 105 stores a secret key d corresponding to the public key and holds it secretly. Here, it is assumed that the relationship Y = [d] G is established between the secret key d and the public key Y. The attack detection unit 107 detects a failure use attack. The decryption processing unit 109 decrypts the ciphertext and obtains a decrypted message. The communication unit 111 transmits and receives data such as a ciphertext and a decryption message between the authentication device 300 and the IC card 100. The control unit 113 controls the failure use attack detection unit 107, the decryption processing unit 109, and the communication unit 111.

一方、認証装置300は、記憶部301、公開情報記憶部303、乱数生成部305、認証処理部307、暗号化処理部309、通信部311、及び制御部313を備える。記憶部301は、種々の演算結果等を格納して記憶する。公開情報記憶部303は、PKI(公開鍵基盤)の公開情報を格納して保持する。この公開情報は、ICカード100の公開情報記憶部103において記憶されるものと同等の情報である。乱数生成部305は、乱数を生成する。ここで生成する乱数は、数学的手法により生成される擬似乱数であっても良い。認証処理部307は、ユーザの認証処理を行う。暗号化処理部309は、メッセージを暗号化して暗号文を生成する。通信部311は、認証装置300とICカード100の間で暗号文や復号メッセージといったデータを送受する。制御部313は、乱数生成部305、認証処理部307、暗号化処理部309、及び通信部311の制御を司る。   On the other hand, the authentication device 300 includes a storage unit 301, a public information storage unit 303, a random number generation unit 305, an authentication processing unit 307, an encryption processing unit 309, a communication unit 311, and a control unit 313. The storage unit 301 stores and stores various calculation results and the like. The public information storage unit 303 stores and holds PKI (public key infrastructure) public information. This public information is equivalent to information stored in the public information storage unit 103 of the IC card 100. The random number generation unit 305 generates a random number. The random number generated here may be a pseudo-random number generated by a mathematical method. The authentication processing unit 307 performs user authentication processing. The encryption processing unit 309 encrypts the message and generates a ciphertext. The communication unit 311 transmits and receives data such as ciphertext and decryption message between the authentication device 300 and the IC card 100. The control unit 313 controls the random number generation unit 305, the authentication processing unit 307, the encryption processing unit 309, and the communication unit 311.

図2に基づき、第1の実施形態に係る認証システムの処理フローについて説明する。   Based on FIG. 2, a processing flow of the authentication system according to the first embodiment will be described.

まず、認証装置は、ICカードが入力されたことを検知する(ステップS1)。次に認証装置300の暗号化処理部309は、ICカード100に送信する暗号文を作成する(ステップS2)。これは以下のように行う。暗号化処理部309は、楕円曲線上の点であるメッセージMを適当に選択し、記憶部301に格納する。次に、乱数生成部305は、乱数rを生成し、記憶部301に格納する。なお、前記メッセージMについては、乱数生成部305が前記rとは別の乱数r’を生成し、暗号化処理部309が前記r’に基づいて生成することができる。次に、暗号化処理部309は、ベースポイントGを公開情報記憶部303から読み出し、また前記rを記憶部301から読み出し、読み出したGとrとを用いて点[r]Gを計算し、計算結果を記憶部301上の変数C1に格納する。さらに、暗号化処理部309は、公開鍵Yを公開情報記憶部303から読み出し、また前記rとMとを記憶部301から読み出し、読み出したY、M、およびrを用いて点M+[r]Yを計算し、計算結果を記憶部301上の変数C2に格納する。C=(C1,C2)を暗号文とする。   First, the authentication device detects that an IC card has been input (step S1). Next, the encryption processing unit 309 of the authentication device 300 creates a ciphertext to be transmitted to the IC card 100 (step S2). This is done as follows. The encryption processing unit 309 appropriately selects the message M that is a point on the elliptic curve and stores it in the storage unit 301. Next, the random number generation unit 305 generates a random number r and stores it in the storage unit 301. For the message M, the random number generation unit 305 can generate a random number r ′ different from r, and the encryption processing unit 309 can generate it based on the r ′. Next, the encryption processing unit 309 reads the base point G from the public information storage unit 303, reads r from the storage unit 301, calculates the point [r] G using the read G and r, The calculation result is stored in the variable C1 on the storage unit 301. Further, the encryption processing unit 309 reads the public key Y from the public information storage unit 303, reads r and M from the storage unit 301, and uses the read Y, M, and r to obtain a point M + [r]. Y is calculated, and the calculation result is stored in the variable C2 on the storage unit 301. Let C = (C1, C2) be a ciphertext.

次に認証装置300の通信部313は、ICカード100に対し、作成した暗号文C=(C1,C2)を送信する(ステップS3)。ICカード100の通信部113は、送信された暗号文Cを受信し、記憶部101に格納する(ステップS5)。次にICカードの復号化処理部109は、前記C1を記憶部101から読み出し、読み出したC1を復号する(ステップS7)。すなわち、復号化処理部109は、秘密鍵dを秘密鍵記憶部105から読み出し、読み出したdを用いて点[d]C1を計算し、計算結果を記憶部101上の変数Kに格納する。   Next, the communication unit 313 of the authentication device 300 transmits the created ciphertext C = (C1, C2) to the IC card 100 (step S3). The communication unit 113 of the IC card 100 receives the transmitted ciphertext C and stores it in the storage unit 101 (step S5). Next, the decryption processing unit 109 of the IC card reads the C1 from the storage unit 101, and decrypts the read C1 (step S7). That is, the decryption processing unit 109 reads the secret key d from the secret key storage unit 105, calculates the point [d] C1 using the read d, and stores the calculation result in the variable K on the storage unit 101.

次にICカード100の攻撃検知部107は、故障利用攻撃の有無を判定する(ステップS9)。判定の処理の詳細については後述する。次に攻撃検知部107は、ステップS9の判定結果に基づき、処理を分岐する(ステップS11)。もし判定結果がYES(攻撃を検知)の場合、ICカードの制御部111は、必要に応じ所定の異常系処理を行う(ステップS13)。すなわち、攻撃を検知したということは、ICカードに故障利用攻撃が行われたことを意味する。そのため、認証の成否に意味が無くなり、またICカードが復号メッセージを認証装置300に出力すると、攻撃者がそれを盗聴してしまう。そこで、制御部111は、復号メッセージを認証装置300に送信することはせず、管理者に通報したりエラーログを残すといった異常系処理を行う。そして、今回の認証処理は終了する。   Next, the attack detection unit 107 of the IC card 100 determines whether there is a failure use attack (step S9). Details of the determination process will be described later. Next, the attack detection unit 107 branches the process based on the determination result of step S9 (step S11). If the determination result is YES (attack is detected), the IC card control unit 111 performs predetermined abnormal processing as necessary (step S13). That is, detecting an attack means that a failure use attack has been performed on the IC card. Therefore, the success or failure of the authentication is meaningless, and when the IC card outputs a decryption message to the authentication device 300, the attacker eavesdrops on it. Therefore, the control unit 111 does not transmit a decryption message to the authentication device 300, but performs abnormal processing such as reporting to the administrator or leaving an error log. Then, the current authentication process ends.

一方、もしステップS9の判定結果がNO(攻撃を検知せず)の場合、ICカード100の復号化処理部109は、メッセージM’を復号する(ステップS15)。すなわち、復号化処理部109は、記憶部からKとC2とを読み出し、読み出したKとC2とにより点C2−Kを計算し、計算結果を記憶部101上の変数M’に格納する。   On the other hand, if the determination result in step S9 is NO (no attack detected), the decryption processing unit 109 of the IC card 100 decrypts the message M ′ (step S15). That is, the decoding processing unit 109 reads K and C2 from the storage unit, calculates a point C2-K based on the read K and C2, and stores the calculation result in a variable M ′ on the storage unit 101.

次に、ICカード100の通信部113は、認証装置300に対し、復号したメッセージM’を送信する(ステップS17)。認証装置300の通信部311は、送信されたメッセージM’を受信し、記憶部301に格納する(ステップS19)。最後に、認証装置300の認証処理部307は、認証の成否を判定する(ステップS21)。すなわち、認証処理部307は、認証装置300の暗号化処理部309が選択して暗号化したメッセージMと、ICカードから受信したメッセージであるM’とをそれぞれ記憶部301から読み出し、比較する。そして、M=M’の場合、認証処理部307は、「認証成功」と判定する(ステップS23)。もし認証装置300の公開情報記憶部303に格納された公開鍵YとICカード100の秘密鍵記憶部105に格納された秘密鍵dとの間に対応関係があれば、認証装置300で暗号化したメッセージがICカード100で正しく復号されて元のメッセージに戻るはずであるため、M=M’が成立するはずであるからである。反対に、M≠M’の場合、認証処理部307は、「認証失敗」と判定する(ステップS25)。認証が成功でも失敗でも、認証装置の制御部311は、今回の認証処理を終了し、入力待ちとなる。   Next, the communication unit 113 of the IC card 100 transmits the decrypted message M ′ to the authentication device 300 (step S <b> 17). The communication unit 311 of the authentication device 300 receives the transmitted message M ′ and stores it in the storage unit 301 (step S <b> 19). Finally, the authentication processing unit 307 of the authentication device 300 determines whether authentication is successful (step S21). That is, the authentication processing unit 307 reads from the storage unit 301 and compares the message M selected and encrypted by the encryption processing unit 309 of the authentication apparatus 300 and the message M ′ received from the IC card. If M = M ′, the authentication processing unit 307 determines “authentication success” (step S <b> 23). If there is a correspondence between the public key Y stored in the public information storage unit 303 of the authentication device 300 and the private key d stored in the private key storage unit 105 of the IC card 100, the authentication device 300 performs encryption. This is because M = M ′ should be satisfied because the received message should be correctly decrypted by the IC card 100 and returned to the original message. On the other hand, if M ≠ M ′, the authentication processing unit 307 determines “authentication failure” (step S25). Regardless of whether the authentication is successful or unsuccessful, the control unit 311 of the authentication apparatus ends the current authentication process and waits for input.

次に、図3に基づき、第1の実施形態に係るICカードの攻撃検知部107が故障利用
攻撃の有無を判定する処理(ステップS9)の詳細な処理フローについて説明する。攻撃
検知部107は、前記ベースポイントG、前記暗号文C1を復号して得られたKを記憶部
101から読み出し、読み出したGおよびKを用いて、e1=e(G,K) を算出する(
ステップS101)。ここで、eは、後述する退化なペアリング関数である。ステップS101の処理の詳細については後述する。次に、攻撃検知部107は、公開鍵Yを公開情報記憶部103から読み出し、また前記暗号文C1を記憶部101から読み出し、読み出したYおよびC1を用いて、e2=e(Y,C1)を算出する(ステップS102)。ステップ102の処理の詳細についても後述する。次に、攻撃検知部107は、e1=e2が成立するか否かを確かめる(ステップS103)。もしe1=e2が成立する場合には、
攻撃検知部107は故障利用攻撃を受けなかったと判定する(ステップS104)。また
、もしe1=e2が成立しない場合には、攻撃検知部107は故障利用攻撃を受けたと判
定する(ステップS105)。
Next, based on FIG. 3, the detailed processing flow of the process (step S9) in which the attack detection unit 107 of the IC card according to the first embodiment determines the presence or absence of a failure use attack will be described. The attack detection unit 107 reads out the base point G and K obtained by decrypting the ciphertext C1 from the storage unit 101, and calculates e1 = e (G, K) using the read G and K. (
Step S101). Here, e is a non- degenerate pairing function described later. Details of the processing in step S101 will be described later. Next, the attack detection unit 107 reads the public key Y from the public information storage unit 103, reads the ciphertext C1 from the storage unit 101, and uses the read Y and C1, e2 = e (Y, C1). Is calculated (step S102). Details of the processing in step 102 will also be described later. Next, the attack detection unit 107 confirms whether or not e1 = e2 is established (step S103). If e1 = e2 holds,
The attack detection unit 107 determines that no failure use attack has been received (step S104). If e1 = e2 is not established, the attack detection unit 107 determines that a failure use attack has been received (step S105).

次に、ステップS101でe1=e(G,K)を算出する処理、 および、ステップS102でe2=e(Y,C1)を算出する処理の詳細を説明する。これら2つの処理は一部を除いてほとんど同じであるため、以下ではe1を算出する処理であるステップS101について詳細に述べ、e2を算出する処理であるステップS102については、ステップS101と異なる点を中心に簡単に説明する。   Next, details of the process of calculating e1 = e (G, K) in step S101 and the process of calculating e2 = e (Y, C1) in step S102 will be described. Since these two processes are almost the same except for a part, step S101 that is a process for calculating e1 will be described in detail below, and step S102 that is a process for calculating e2 is different from step S101. Briefly explained at the center.

図4の処理フローに基づき、e1=e(G,K)を算出する処理(ステップS101)の詳細について説明する。まず攻撃検知部107は、公開情報記憶部103からベースポイントGを読み出すと共に、記憶部101から前記算出したKを読み出し、記憶部101上の変数P1にGを、P2にKを、それぞれ格納する(ステップS201)。ここで、P1、P2はそれぞれ平面上の点であり、(x,y)のような座標形式で表せるとする。そして攻撃検知部107は、e(P1,P2)を算出する(ステップS202)。   Details of the process of calculating e1 = e (G, K) (step S101) will be described based on the process flow of FIG. First, the attack detection unit 107 reads the base point G from the public information storage unit 103, reads the calculated K from the storage unit 101, and stores G in the variable P1 on the storage unit 101 and K in P2. (Step S201). Here, P1 and P2 are points on the plane, respectively, and can be expressed in a coordinate format such as (x, y). Then, the attack detection unit 107 calculates e (P1, P2) (step S202).

ここで、図6の処理フローに基づき、e(P1,P2)を算出する処理(ステップS202)の詳細について説明する。まず攻撃検知部107は、記憶部101からP2を読み出し、Φ(P2)を計算し、計算結果をP2に格納する(ステップS401)。なお、写像Φは、以下で定義される。   Here, the details of the process of calculating e (P1, P2) (step S202) will be described based on the process flow of FIG. First, the attack detection unit 107 reads P2 from the storage unit 101, calculates Φ (P2), and stores the calculation result in P2 (step S401). Note that the mapping Φ is defined below.

Φ:(x,y) → (wx,y)
ここで、wは1の原始3乗根である。次に攻撃検知部107は、記憶部101上の変数SにP1を格納する(ステップS402)。そして攻撃検知部107は、関数fSを導出する(ステップS403)。
Φ: (x, y) → (wx, y)
Here, w is a primitive third root of 1. Next, the attack detection unit 107 stores P1 in the variable S on the storage unit 101 (step S402). Then, the attack detection unit 107 derives a function f S (Step S403).

ここで、図7の処理フローに基づき、楕円曲線Eの点Sに対して、fSを算出する処理の詳細について説明する。まず攻撃検知部107は、前記有限体の位数pの2進展開を算出し、記憶部上の変数のt個組である(nt-1,...,n02に格納する(ステップS501)。次に攻撃検知部107は、記憶部101上の変数i、rにそれぞれ自然数t−2、1を格納し、記憶部101上の変数fに関数1を格納し、さらに、記憶部101上の変数Vに前記楕円曲線Eの点であるSを格納する(ステップS502)。 Here, based on the process flow of FIG. 7, the details of the process of calculating f S for the point S of the elliptic curve E will be described. First, the attack detection unit 107 calculates a binary expansion of the order p of the finite field and stores it in (n t−1 ,..., N 0 ) 2 which is a t set of variables on the storage unit. (Step S501). Next, the attack detection unit 107 stores the natural numbers t−2 and 1 in the variables i and r on the storage unit 101, stores the function 1 in the variable f on the storage unit 101, and further stores the function 1 on the storage unit 101. S, which is the point of the elliptic curve E, is stored in the variable V (step S502).

次に攻撃検知部107は、記憶部101上の変数iを読み出し、i<0であるかを判定する(ステップS503)。i<0でない場合(分岐のNO)、攻撃検知部107は、記憶部101上の変数Vおよびrを読み出し、楕円曲線Eの点Vを通り且つ楕円曲線Eに接する直線を求め、当該直線をlr,r(x,y)=0とする(ステップS504)。次に攻撃検知部107は、前記読み出したVに基づき、点[2]Vを算出し、記憶部101上の変数Vに格納する(ステップS505)。また、攻撃検知部107は、記憶部101上の変数Vおよびrを読み出し、楕円曲線E上のV及び無限遠点∞を通る直線を求め、当該直線をv2r}(x,y)=0とする(ステップS506)。そして、攻撃検知部107は、前記記憶部101に格納したfを読み出し、前記求めた関数lr,r(x,y)およびv2r(x,y)とに基づき、関数f2・lr,r(x,y)/v2r(x,y)を算出し、当該算出した関数を記憶部101上の変数fに格納する(ステップS507)。また、攻撃検知部107は、前記読み出したrの値に基づき2rを算出し、当該算出した値を記憶部101上の変数rに格納する(ステップS508)。 Next, the attack detection unit 107 reads the variable i on the storage unit 101 and determines whether i <0 (step S503). When i <0 is not satisfied (NO in the branch), the attack detection unit 107 reads the variables V and r on the storage unit 101, obtains a straight line that passes through the point V of the elliptic curve E and touches the elliptic curve E, and calculates the straight line. It is assumed that l r, r (x, y) = 0 (step S504). Next, the attack detection unit 107 calculates the point [2] V based on the read V and stores it in the variable V on the storage unit 101 (step S505). Further, the attack detection unit 107 reads the variables V and r on the storage unit 101, obtains a straight line passing through V and the infinity point ∞ on the elliptic curve E, and obtains the straight line as v 2r } (x, y) = 0. (Step S506). Then, the attack detection unit 107 reads f stored in the storage unit 101, and based on the obtained functions l r, r (x, y) and v 2r (x, y), the function f 2 · l r , r (x, y) / v 2r (x, y) is calculated, and the calculated function is stored in the variable f on the storage unit 101 (step S507). The attack detection unit 107 calculates 2r based on the read r value, and stores the calculated value in the variable r on the storage unit 101 (step S508).

次に攻撃検知部107は、記憶部101上のniを読み出し、その値が1であるかを判定する(ステップS509)。ni=1でない場合(分岐のNO)、攻撃検知部は、後述するステップS515の処理を行う。一方、ni=1である場合(分岐のYES)、攻撃検知部107は、記憶部101上の変数Vおよびrを読み出し、楕円曲線Eの点Vおよび前記点Sを通る直線を求め、当該直線をlr,1(x,y)=0とする(ステップS510)。次に攻撃検知部107は、前記読み出したVおよびSに基づき、点V+Sを算出し、記憶部101上の変数Vに格納する(ステップS511)。また、攻撃検知部107は、記憶部101上の変数Vおよびrを読み出し、楕円曲線E上のV及び無限遠点∞を通る直線を求め、当該直線をvr+1(x,y)=0とする(ステップS512)。そして、攻撃検知部107は、前記記憶部101に格納したfを読み出し、前記求めた関数lr,1(x,y)およびvr+1(x,y)とに基づき、関数f・lr,1(x,y)/vr+1(x,y)を算出し、当該算出した関数を記憶部101上の変数fに格納する(ステップS513)。また、攻撃検知部107は、前記読み出したrの値に基づきr+1を算出し、当該算出した値を記憶部101上の変数rに格納する(ステップS514)。 Next, the attack detection unit 107 reads n i on the storage unit 101 and determines whether the value is 1 (step S509). If n i = 1 is not satisfied (NO at the branch), the attack detection unit performs a process of step S515 described later. On the other hand, if n i = 1 (YES at branch), the attack detection unit 107 reads the variables V and r on the storage unit 101, obtains a straight line passing through the point V of the elliptic curve E and the point S, and The straight line is set to l r, 1 (x, y) = 0 (step S510). Next, the attack detection unit 107 calculates the point V + S based on the read V and S, and stores it in the variable V on the storage unit 101 (step S511). Further, the attack detection unit 107 reads the variables V and r on the storage unit 101, obtains a straight line passing through V and the infinity point ∞ on the elliptic curve E, and obtains the straight line as v r + 1 (x, y) = It is set to 0 (step S512). Then, the attack detection unit 107 reads f stored in the storage unit 101, and based on the obtained functions l r, 1 (x, y) and v r + 1 (x, y), the function f · l r, 1 (x, y) / v r + 1 (x, y) is calculated, and the calculated function is stored in the variable f on the storage unit 101 (step S513). Further, the attack detection unit 107 calculates r + 1 based on the read value of r, and stores the calculated value in the variable r on the storage unit 101 (step S514).

攻撃検知部107は、記憶部101上のiを読み出し、i+1を算出し、当該算出した値を記憶部101上の変数iに格納する(ステップS515)。そして、攻撃検知部107は、ステップS503に戻って処理を繰り返す。   The attack detection unit 107 reads i on the storage unit 101, calculates i + 1, and stores the calculated value in the variable i on the storage unit 101 (step S515). And the attack detection part 107 returns to step S503 and repeats a process.

一方、ステップS503の判定において、i<0である場合(分岐のYES)、攻撃検知部107は、記憶部101からfを読みだし、記憶部101上の変数fSに格納する(ステップS516)。以上により、所望の関数fSの導出が完了する。 On the other hand, if i <0 in the determination in step S503 (YES in branch), the attack detection unit 107 reads f from the storage unit 101 and stores it in the variable f S on the storage unit 101 (step S516). . Thus, the derivation of the desired function f S is completed.

図6の処理の説明に戻って、攻撃検知部107は、導出した関数fSを記憶部101上のfP1に格納する(ステップS404)。また、攻撃検知部107は、記憶部101上の変数SにP2を格納する(ステップS405)。そして攻撃検知部107は、先述した図7の処理フローに基づき、再び関数fSを導出する(ステップS406)。そして、導出した関数fSを記憶部101上のfP2に格納する(ステップS407)。 Returning to the explanation of the processing in FIG. 6, the attack detection unit 107 stores the derived function f S in f P1 on the storage unit 101 (step S404). Further, the attack detection unit 107 stores P2 in the variable S on the storage unit 101 (step S405). Then, the attack detection unit 107 derives the function f S again based on the processing flow of FIG. 7 described above (step S406). Then, the derived function f S is stored in f P2 on the storage unit 101 (step S407).

次に攻撃検知部107は、楕円曲線E上の2点を任意に選択し、それぞれ記憶部101上のU,Vに格納する(ステップS408)。そして攻撃検知部107は、P1,P2,U,Vをそれぞれ記憶部101から読み出して、平面上の2点V+P1、および、U+P2を計算し、これら2点が∞(無限遠点)でないかを判定する(ステップS409)。そして、V+P1、U+P2のいずれもが∞でない場合(分岐のYES)、攻撃検知部107は、記憶部101から関数fP2及び関数fP2を読み出し、以下の式に基づいてe(P1,P2)を計算する(ステップS410)。 Next, the attack detection unit 107 arbitrarily selects two points on the elliptic curve E and stores them in U and V on the storage unit 101, respectively (step S408). The attack detection unit 107 reads P1, P2, U, and V from the storage unit 101, calculates two points V + P1 and U + P2 on the plane, and determines whether these two points are not ∞ (infinity point). Determination is made (step S409). If neither V + P1 nor U + P2 is ∞ (YES in branch), the attack detection unit 107 reads the function f P2 and the function f P2 from the storage unit 101, and e (P1, P2) based on the following formula: Is calculated (step S410).

e(P1, P2)=fP1(U+P2)/fP1(U)・fP2(P2)/fP2(V+P2)
一方、ステップS409において、V+P1、U+P2のいずれかが∞である場合(分岐のNO)、攻撃検知部107は、ステップS304の処理に戻って、U,Vを再選択する。
e (P1, P2) = f P1 (U + P2) / f P1 (U) · f P2 (P2) / f P2 (V + P2)
On the other hand, if either V + P1 or U + P2 is ∞ in step S409 (NO in branch), the attack detection unit 107 returns to the process in step S304 and reselects U and V.

図4の処理の説明に戻って、攻撃検知部107は、算出したe(P1, P2)を記憶部101のe1に格納する(ステップS203)。これにより、e1=e(G,K) を算出する処理は終了する。   Returning to the description of the processing in FIG. 4, the attack detection unit 107 stores the calculated e (P1, P2) in e1 of the storage unit 101 (step S203). Thus, the process of calculating e1 = e (G, K) is completed.

次に、図5の処理フローに基づき、e2=e(Y,C1) を算出する処理(ステップS102)の詳細について説明する。まず攻撃検知部107は、公開情報記憶部103から公開鍵Yを読み出すと共に、記憶部101から前記暗号文C1を読み出し、記憶部101上の変数P1にYを、P2にC1を、それぞれ格納する(ステップS301)。そして攻撃検知部107は、先述した図6の処理フローに基づき、e(P1,P2)を算出する(ステップS302)。最後に、攻撃検知部107は、算出したe(P1, P2)を記憶部101のe2に格納する(ステップS303)。これにより、e2=e(Y,C1) を算出する処理は終了する。   Next, details of the process of calculating e2 = e (Y, C1) (step S102) will be described based on the process flow of FIG. First, the attack detection unit 107 reads the public key Y from the public information storage unit 103, reads the ciphertext C1 from the storage unit 101, and stores Y in the variable P1 on the storage unit 101 and C1 in P2. (Step S301). Then, the attack detection unit 107 calculates e (P1, P2) based on the processing flow of FIG. 6 described above (step S302). Finally, the attack detection unit 107 stores the calculated e (P1, P2) in e2 of the storage unit 101 (step S303). Thereby, the process of calculating e2 = e (Y, C1) ends.

以上のように、本発明の第1の実施形態に係る認証システムによれば、故障利用攻撃を高い確率で検知することが可能となる。すなわち、e1=e2が成り立つか否かを判定することで、故障利用攻撃を高精度に検出できる。したがって、本願の方式によれば、ICカード内においてほぼ100%の割合で故障利用攻撃の有無を検出でき、故障利用攻撃による秘密鍵の漏洩を回避することができる。   As described above, according to the authentication system according to the first embodiment of the present invention, it is possible to detect a failure use attack with a high probability. That is, by determining whether or not e1 = e2 holds, the failure use attack can be detected with high accuracy. Therefore, according to the method of the present application, it is possible to detect the presence / absence of a failure use attack in the IC card at a rate of almost 100%, and to avoid leakage of the secret key due to the failure use attack.

以下では本発明の第2の実施形態について説明する。第2の実施形態は、第1の実施形態と多くの部分は同じであるが、ICカードが故障利用攻撃の有無を判定する処理であるステップS9の詳細な処理フローが図3と異なる。具体的には、まず先述した従来の故障利用攻撃検知処理を行った後に、実施例1に記載の故障利用攻撃検知処理を行うものである。   Hereinafter, a second embodiment of the present invention will be described. The second embodiment is the same as the first embodiment in many parts, but the detailed processing flow of step S9, which is a process for determining the presence or absence of a failure use attack by the IC card, is different from FIG. Specifically, first, after performing the above-described conventional failure use attack detection process, the failure use attack detection process described in the first embodiment is performed.

図8に基づき、第2の実施形態に係るICカードの攻撃検知部107が故障利用攻撃の有無を判定する処理(ステップS9)の処理フローについて説明する。楕円曲線Eが方程式
E:y2+a1xy+a3y=x3+a22+a4x+a6
で表されるとき、関数Is_on_EC(x,y)を
Is_on_EC(x,y)=x3+a22+a4x+a6−(y2+a1xy+a3y)
と定める。
Based on FIG. 8, the process flow of the process (step S9) which the attack detection part 107 of the IC card which concerns on 2nd Embodiment determines the presence or absence of a failure use attack is demonstrated. The elliptic curve E is the equation E: y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6
The function Is_on_EC (x, y) is expressed as Is_on_EC (x, y) = x 3 + a 2 x 2 + a 4 x + a 6 − (y 2 + a 1 xy + a 3 y)
It is determined.

まず攻撃検知部107は、ステップS7で算出したK=(xk,yk)を記憶装置から読み出し、Kに基づき、Is_on_EC(xk,yk)を計算する(ステップS601)。そして攻撃検知部107は、Is_on_EC(xk,yk)=0であるかを判定する(ステップS602)。Is_on_EC(xk,yk)≠0であれば(分岐のNO)、攻撃検知部107は故障利用攻撃を受けたと判定する(ステップS607)。Is_on_EC(xk,yk)≠0であるならば、Kは楕円曲線Eの点ではなく、故障利用攻撃を受けたと判断できるためである。 First, the attack detection unit 107 reads K = (x k , y k ) calculated in step S7 from the storage device, and calculates Is_on_EC (x k , y k ) based on K (step S601). Then, the attack detection unit 107 determines whether Is_on_EC (x k , y k ) = 0 (step S602). If Is_on_EC (x k , y k ) ≠ 0 (NO in branch), the attack detection unit 107 determines that a failure use attack has been received (step S607). This is because if Is_on_EC (x k , y k ) ≠ 0, it can be determined that K is not a point on the elliptic curve E but has been subjected to a failure use attack.

一方、ステップS601で、Is_on_EC(xk,yk)=0であれば(分岐のYES
)、攻撃検知部107は、前記ベースポイントG、前記暗号文C1を復号して得られたK
を記憶部101から読み出し、読み出したGおよびKを用いて、e1=e(G,K) を算
出する(ステップS603)。ここで、eは、退化なペアリング関数である。次に、攻撃検知部107は、公開鍵Yを公開情報記憶部103から読み出し、また前記暗号文C1を記憶部101から読み出し、読み出したYおよびC1を用いて、e2=e(Y,C1)を算出する(ステップS604)。ここで、ステップ603、S604の処理の詳細は、それぞれ図4および図5の処理フローに従えばよい。次に、攻撃検知部107は、e1=e2が成立するか否かを確かめる(ステップS605)。もしe1=e2が成立する場合には、攻撃検知部107は故障利用攻撃を受けなかったと判定する(ステップS606)。また、もしe1=e2が成立しない場合には、攻撃検知部107は故障利用攻撃を受けたと判定する(ステップS607)。
On the other hand, if Is_on_EC (x k , y k ) = 0 in step S601 (YES in branch)
), The attack detection unit 107 obtains K obtained by decrypting the base point G and the ciphertext C1.
Is read from the storage unit 101, and e1 = e (G, K) is calculated using the read G and K (step S603). Here, e is a non- degenerate pairing function. Next, the attack detection unit 107 reads the public key Y from the public information storage unit 103, reads the ciphertext C1 from the storage unit 101, and uses the read Y and C1, e2 = e (Y, C1). Is calculated (step S604). Here, the details of the processing in steps 603 and S604 may be performed in accordance with the processing flows of FIGS. 4 and 5, respectively. Next, the attack detection unit 107 confirms whether or not e1 = e2 is satisfied (step S605). If e1 = e2 holds, the attack detection unit 107 determines that the failure use attack has not been received (step S606). If e1 = e2 is not established, the attack detection unit 107 determines that a failure use attack has been received (step S607).

以上のように、第2の実施形態によれば、第1の実施形態と同じ作用・効果を奏する。すなわち、故障利用攻撃を高い確率で検知することが可能となる。さらに、第2の実施形態は、故障利用攻撃を検知できない場合も多いが処理性能に優れた従来の故障利用攻撃検知方法を前段で実施することにより、検知処理の処理時間の平均を約半分にすることができる。したがって、第2の実施形態によれば、第1の実施形態に比べて、検知の処理を高速化できるという特有の効果を奏する。   As described above, according to the second embodiment, the same operations and effects as those of the first embodiment are achieved. That is, it becomes possible to detect a failure use attack with a high probability. Furthermore, in the second embodiment, the failure use attack cannot be detected in many cases, but by executing the conventional failure use attack detection method having excellent processing performance in the first stage, the average processing time of the detection process is reduced to about half. can do. Therefore, according to the second embodiment, there is a specific effect that the detection process can be speeded up as compared with the first embodiment.

以上、第1〜2の実施形態による認証システムの構成を説明したが、本発明は上記実施
形態に限るものではなく、その技術的思想の範囲内で種々の設計変更が可能である。例え
ば、上記の実施形態においては、楕円曲線暗号として楕円エルガマル暗号を用いたが、楕
円RSA暗号を含む他の楕円曲線暗号を用いても同様な故障利用検知は可能である。また
、退化なペアリングとしてヴェイユペアリングを用いたが、その代わりにテイトペアリング(Tate Paring)やこれらの変形を採用することもできる。また、ICカード100は、携帯用情報端末であれば良く、例えば携帯電話やPDA端末等であってもよい。
The configuration of the authentication system according to the first and second embodiments has been described above. However, the present invention is not limited to the above embodiment, and various design changes can be made within the scope of the technical idea. For example, in the above-described embodiment, the elliptic Elgamal encryption is used as the elliptic curve encryption, but the same failure use detection can be performed using other elliptic curve encryption including the elliptic RSA encryption. Also
, It was used Weil Pairing as withdrawal of pairing, may be employed instead Tate pairing (Tate Pairing) and these variations. Further, the IC card 100 may be any portable information terminal, and may be, for example, a mobile phone or a PDA terminal.

第1〜2の実施形態による認証システムに係るICカード100のハードウェア構成を図9に示す。図9のICカード100においては、Central Processing Unit(CPU)11、Read only memory(ROM)12、Random Access Memory(RAM)13、不揮発性メモリ14、および、入出力インタフェース15がバス17で接続されている。   FIG. 9 shows a hardware configuration of the IC card 100 according to the authentication system according to the first and second embodiments. In the IC card 100 of FIG. 9, a central processing unit (CPU) 11, a read only memory (ROM) 12, a random access memory (RAM) 13, a nonvolatile memory 14, and an input / output interface 15 are connected by a bus 17. ing.

CPU11は後述するROM12に格納されたプログラムやデータを読み込んで実行する。ROM12は、上書きができない記憶装置であり、プログラムやデータが格納される。RAM13は、CPU11がワーク用の記憶装置として使用する。不揮発性メモリ14は、電気的に書き込み可能な記憶装置であり、個人情報のようなICカード毎に異なるデータを格納する。入出力インタフェース15は、後述するICカードリーダとの間でデータの入出力を行う。   The CPU 11 reads and executes programs and data stored in the ROM 12 described later. The ROM 12 is a storage device that cannot be overwritten, and stores programs and data. The RAM 13 is used by the CPU 11 as a work storage device. The nonvolatile memory 14 is an electrically writable storage device, and stores different data such as personal information for each IC card. The input / output interface 15 inputs and outputs data with an IC card reader described later.

上記ハードウェア構成を、図1の機能ブロックと対応付けると以下のようになる。ICカード100の各処理部(攻撃検知部107、複号化処理部109、通信部111、及び制御部113)は、ROM12に格納される。公開情報記憶部103、及び秘密鍵記憶部105は不揮発メモリ14により実現される。記憶部101はRAM13により実現される。CPU11は、ROM12から各処理部を読み込んで実行する。このときCPU11は、必要に応じて、不揮発性メモリ14からデータを読み込み、RAM13に対しデータの読み書きを行う。   The above hardware configuration is associated with the functional blocks in FIG. 1 as follows. Each processing unit (attack detection unit 107, decoding processing unit 109, communication unit 111, and control unit 113) of the IC card 100 is stored in the ROM 12. The public information storage unit 103 and the secret key storage unit 105 are realized by the nonvolatile memory 14. The storage unit 101 is realized by the RAM 13. The CPU 11 reads each processing unit from the ROM 12 and executes it. At this time, the CPU 11 reads data from the nonvolatile memory 14 as necessary and reads / writes data from / to the RAM 13.

また、第1〜2の実施形態による認証システムに係る認証装置300は、コンピュータ上で動作するプログラムによっても実現することができる。   The authentication device 300 according to the authentication system according to the first and second embodiments can also be realized by a program operating on a computer.

本願発明に係るプログラムを実行するコンピュータである認証装置のハードウェア構成の例を図10に示す。認証装置300のハードウェア構成として、例えば、CPU31、主記憶32、補助記憶装置33、出力インタフェース34、入力インタフェース35、ICカードR/Wインタフェース36がバス37で接続されている。   FIG. 10 shows an example of the hardware configuration of an authentication device that is a computer that executes a program according to the present invention. As a hardware configuration of the authentication device 300, for example, a CPU 31, a main memory 32, an auxiliary storage device 33, an output interface 34, an input interface 35, and an IC card R / W interface 36 are connected by a bus 37.

CPU31は後述する主記憶32に格納されたプログラムを実行する。主記憶32としては、通常はRAMが用いられ、後述する補助記憶装置33から実行するプログラムや使用するデータを読み込んで一時的に格納する。補助記憶装置33としては、通常はHard Disk Drive(HDD)が用いられ、プログラムやデータを格納してファイルとして保存する。なお、補助記憶装置33としては、CD−ROM、DVD−ROM、USBメモリ等の外部記憶媒体を用いることもできる。   The CPU 31 executes a program stored in a main memory 32 described later. As the main memory 32, a RAM is usually used, and a program to be executed and data to be used are read and temporarily stored from an auxiliary storage device 33 to be described later. As the auxiliary storage device 33, a hard disk drive (HDD) is usually used, and programs and data are stored and saved as files. As the auxiliary storage device 33, an external storage medium such as a CD-ROM, a DVD-ROM, or a USB memory can be used.

出力インタフェース34には出力装置の一つとして表示装置であるモニタ38が接続される。プログラムの実行結果などがモニタに出力され表示される。入力インタフェース35には入力装置としてキーボード39やマウス40が接続され、これら入力装置からデータが入力される。ICカードR/Wインタフェース36には、ICカードリーダ/ライタ41が接続され、ICカードリーダ/ライタ41にアクセスしたICカードとデータの入出力を行う。   A monitor 38 as a display device is connected to the output interface 34 as one of output devices. Program execution results are output and displayed on the monitor. A keyboard 39 and a mouse 40 are connected to the input interface 35 as input devices, and data is input from these input devices. An IC card reader / writer 41 is connected to the IC card R / W interface 36, and data is input / output to / from the IC card that has accessed the IC card reader / writer 41.

上記ハードウェア構成を、図1の機能ブロックと対応付けると以下のようになる。コンピュータを認証装置300として機能させるためのプログラム(乱数生成部305、認証処理部307、暗号化処理部309、通信部311、及び制御部313)、及びデータ(記憶部301、公開情報記憶部303)を予め補助記憶装置13に格納させておく。プログラムが起動されると、当該プログラムおよびデータはまず主記憶12に読み込まれ、その後主記憶12とCPU11とが連携することでプログラムが実行される。プログラム実行中に記憶部301に格納される各種データは、通常は主記憶に書き込まれるが、必要に応じて補助記憶装置13に退避させてもよい。   The above hardware configuration is associated with the functional blocks in FIG. 1 as follows. Programs (random number generation unit 305, authentication processing unit 307, encryption processing unit 309, communication unit 311, and control unit 313) for causing the computer to function as the authentication device 300, and data (storage unit 301, public information storage unit 303) ) In advance in the auxiliary storage device 13. When the program is activated, the program and data are first read into the main memory 12, and then the main memory 12 and the CPU 11 cooperate to execute the program. Various data stored in the storage unit 301 during program execution is normally written in the main memory, but may be saved in the auxiliary storage device 13 as necessary.

最後に、上記実施形態の前提となる技術である楕円エルガマル暗号、および、楕円曲線
上の退化なペアリング関数について、数式を用いて詳細に説明する。
Finally, the ellipse ElGamal cryptography, which is a premise of the above embodiment, and the non- degenerate pairing function on the elliptic curve will be described in detail using mathematical expressions.

以下では、楕円エルガマル暗号について説明する。まず暗号方式の一方式である公開鍵暗号を説明し、次に公開鍵暗号の一方式である楕円曲線暗号を説明し、最後に楕円曲線暗号の一方式である楕円エルガマル暗号を説明する。   Hereinafter, the elliptic El Gamal encryption will be described. First, public key cryptography, which is one of the encryption schemes, will be described, then elliptic curve cryptography, which is one scheme of public key cryptography, will be described, and finally, elliptical Elgamal cryptography, which is one scheme of elliptic curve cryptography, will be described.

まず暗号方式の一方式である公開鍵暗号を説明する。暗号方式には、公開鍵暗号方式と共通鍵暗号方式とが含まれる。公開鍵暗号方式は、暗号化と復号化とで異なる鍵を用いる方式である。典型的な公開鍵暗号方式では、暗号化の為の鍵(公開鍵)はあらかじめ公開され、誰もが入手できるようになっている。受信者は、送信したい相手の公開鍵を用いて平文を暗号化して暗号文を作成し、その暗号文を受信者に送信する。暗号文を復号化するための鍵(秘密鍵)は受信者のみが知る秘密情報として保持され、受信者はこの秘密鍵を用いて暗号文を復号化することにより、平文を得る。   First, public key cryptography, which is one of cryptosystems, will be described. The encryption method includes a public key encryption method and a common key encryption method. The public key cryptosystem is a scheme that uses different keys for encryption and decryption. In a typical public key cryptosystem, a key (public key) for encryption is made public in advance and can be obtained by anyone. The receiver encrypts the plain text using the public key of the other party who wants to transmit, creates a cipher text, and transmits the cipher text to the receiver. A key (secret key) for decrypting the ciphertext is held as secret information known only to the receiver, and the receiver obtains a plaintext by decrypting the ciphertext using the secret key.

次に公開鍵暗号の一方式である楕円曲線暗号を説明する。楕円曲線暗号は公開鍵暗号方式に含まれる暗号方式の一つで、楕円曲線と呼ばれる代数曲線の点の間の演算規則を利用した暗号方式の総称である。pを素数、mを自然数とすると、要素数pmの有限体GF(pm)上の楕円曲線とは、方程式
E:y2+a1xy+a3y=x3+a22+a4x+a6
を満たす点(x,y)の集合に、無限遠点とよばれる点∞を加えた集合のことをいう。無限遠点∞を0と表すこともある。ここで、定数a1、a2、a3、a4、および、a6、ならびに、変数x、および、yは、有限体GF(pm)の要素である。楕円曲線上の点は(x,y)のような座標形式(アファイン座標)で表現できるが、無限遠点∞は(x,y)のような座標形式で表現できない唯一の点である。このように、アファイン座標では無限遠点以外の点はGF(pm)の2つの要素の組として表される。
Next, elliptic curve cryptography, which is one method of public key cryptography, will be described. Elliptic curve cryptography is one of the cryptosystems included in the public key cryptosystem, and is a general term for cryptosystems that use arithmetic rules between points of an algebraic curve called an elliptic curve. prime number p, when the a natural number m, and the finite field GF (p m) on the elliptic curve number of elements p m, the equation E: y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6
This is a set obtained by adding a point ∞ called a point at infinity to a set of points (x, y) satisfying. The infinity point ∞ may be expressed as 0. Here, the constants a 1 , a 2 , a 3 , a 4 , and a 6 and the variables x and y are elements of a finite field GF (p m ). A point on an elliptic curve can be expressed in a coordinate format (affine coordinates) such as (x, y), but an infinite point ∞ is the only point that cannot be expressed in a coordinate format such as (x, y). Thus, in the affine coordinates, points other than the infinity point are expressed as a set of two elements of GF (p m ).

楕円曲線E上の点の間には、以下のようにして点の加算と呼ばれる演算が定義できる。PをGF(pm)上の楕円曲線E上の点とする。まず、Pの逆元−Pを以下のように定義する。 Between points on the elliptic curve E, an operation called point addition can be defined as follows. Let P be a point on the elliptic curve E on GF (p m ). First, the inverse element P of P is defined as follows.

(1)P=∞のとき、−P=∞
(2)P≠∞のとき(P=(x、y)とする)、−P=(x,−y)
次に、P1,P2をGF(pm)上の楕円曲線E上の2点とする。このとき、P1とP2の和P1+P2を以下のように定義する。
(1) When P = ∞, -P = ∞
(2) When P ≠ ∞ (P = (x, y)), −P = (x, −y)
Next, let P1 and P2 be two points on the elliptic curve E on GF (p m ). At this time, the sum P1 + P2 of P1 and P2 is defined as follows.

(1)P1=∞のとき、P1+P2=P2
(2)P2=∞のとき、P1+P2=P1
(3)P1=−P2のとき、P1+P2=∞
(4)上記以外のとき(P1=(x1,y1),P2=(x2,y2),P1+P2=(x3,y3)とする)、
3=λ2+a1λ−a2−x1−x2
3=(x1−x2)λ−y1−a13−a3
ただし、
λ=(y2−y1)/(x2−x1)・・・(P1≠P2のとき)
λ=(3x1 2+2a21+a4−a11)/(2y1+a11+a3)・・・(P1=P2のとき)
なお、P1≠P2のときにP1+P2を計算することを楕円加算という。また、P1=P2のときにP1+P2=[2]P1を計算することを楕円2倍算という。
(1) When P1 = ∞, P1 + P2 = P2
(2) When P2 = ∞, P1 + P2 = P1
(3) When P1 = −P2, P1 + P2 = ∞
(4) When other than the above (P1 = (x 1, y 1), P2 = (x 2, y 2), P1 + P2 = a (x 3, y 3)) ,
x 3 = λ 2 + a 1 λ−a 2 −x 1 −x 2
y 3 = (x 1 −x 2 ) λ−y 1 −a 1 x 3 −a 3
However,
λ = (y 2 −y 1 ) / (x 2 −x 1 ) (when P1 ≠ P2)
λ = (3 × 1 2 + 2a 2 x 1 + a 4 −a 1 y 1 ) / (2y 1 + a 1 x 1 + a 3 ) (when P1 = P2)
Note that calculating P1 + P2 when P1 ≠ P2 is called ellipse addition. Also, calculating P1 + P2 = [2] P1 when P1 = P2 is called elliptic doubling.

楕円曲線とその上の点Pが与えられているとき、ある整数dに対して、点[d]P=P+P+・・・+P(d個の和)を計算することをスカラー倍算という。ここで、点Pをベースポイントと呼ぶ。スカラー倍算とは逆に、楕円曲線とその上の点Pとそのスカラー倍点[d]Pが与えられているとき、整数(スカラー)dを求める問題を楕円曲線離散対数問題という。楕円曲線暗号の安全性は、スカラー倍算は容易に計算可能だが、楕円曲線離散対数問題を解くことは困難であるという事実に依存している。このため多くの楕円曲線暗号方式は、スカラーdを秘密鍵、スカラー倍点[d]Pを公開鍵の一部として使用することが多い。   When an elliptic curve and a point P thereon are given, calculating a point [d] P = P + P +... + P (d sums) for a certain integer d is called scalar multiplication. Here, the point P is called a base point. Contrary to scalar multiplication, when an elliptic curve, a point P above it and a scalar multiple [d] P are given, the problem of finding an integer (scalar) d is called an elliptic curve discrete logarithm problem. The security of elliptic curve cryptography depends on the fact that scalar multiplication can be easily calculated, but it is difficult to solve the elliptic curve discrete logarithm problem. For this reason, many elliptic curve cryptosystems often use the scalar d as a secret key and the scalar multiple [d] P as part of the public key.

次に、楕円曲線暗号の一方式である、楕円エルガマル暗号について説明する。有限体GF(pm )、その上の楕円曲線E、ベースポイントPはあらかじめ定義されており、公開されているものとする。このとき、楕円エルガマル暗号における受信者の秘密鍵をdとすると、公開鍵をY=[d]Pと定義できる。 Next, the elliptic El Gamal encryption, which is one method of elliptic curve encryption, will be described. It is assumed that the finite field GF (p m ), the elliptic curve E thereon, and the base point P are defined in advance and disclosed. At this time, if the recipient's private key in the elliptic El Gamal encryption is d, the public key can be defined as Y = [d] P.

受信者にメッセージMを秘密裏に送りたい送信者は、受信者の公開鍵Yを用いて、以下の暗号化処理を行う。ここでメッセージMは楕円曲線Eの点として表されているものとする。
(1)(疑似)乱数rを生成する。
(2)点[r]Pを計算し、C1として保持する。
(3)点M+[r]Yを計算し、C2として保持する。
(4)C1とC2のペア(C1,C2)を暗号文として受信者に送る。
暗号文(C1,C2)を受け取った受信者は、自分の秘密鍵dを用いて、以下の復号化処理を行う。
(1)点[d]C1を計算し、Kとして保持する。
(2)点C2−Kを計算し、復号化されたメッセージとする。
The sender who wants to send the message M secretly to the recipient performs the following encryption process using the recipient's public key Y. Here, it is assumed that the message M is represented as a point of the elliptic curve E.
(1) Generate a (pseudo) random number r.
(2) The point [r] P is calculated and held as C1.
(3) The point M + [r] Y is calculated and held as C2.
(4) The pair (C1, C2) of C1 and C2 is sent to the receiver as ciphertext.
The recipient who has received the ciphertext (C1, C2) performs the following decryption process using his / her private key d.
(1) The point [d] C1 is calculated and held as K.
(2) The point C2-K is calculated and set as a decrypted message.

楕円エルガマル暗号の安全性について説明する。上の通信を傍受した攻撃者の目標は、平文を解読することである。まず攻撃者は公開鍵Y(=[d]P)を入手できるが、ここから秘密鍵dを算出することは楕円曲線離散対数問題を解くことを意味するため、困難である。次に攻撃者は暗号文C=(C1,C2)=([r]P,M+[r]Y)を入手(傍受)できる。C1とベースポイントPから乱数rを算出することは楕円曲線離散対数問題を解くことを意味するため、困難である。従って攻撃者にとって乱数rは入手できないため、そのスカラー倍点[r]Y=[r][d]Pの算出も困難であり、C2から平文Mを入手することも困難である。このように、楕円曲線離散対数問題が困難であるという前提の下で、楕円エルガマル暗号の解読は困難であることが知られている。   The security of the elliptic Elgamal cryptosystem will be described. The goal of an attacker who intercepted the above communication is to decrypt the plaintext. First, the attacker can obtain the public key Y (= [d] P), but calculating the secret key d from this is difficult because it means solving the elliptic curve discrete logarithm problem. Next, the attacker can obtain (intercept) the ciphertext C = (C1, C2) = ([r] P, M + [r] Y). It is difficult to calculate the random number r from C1 and the base point P because it means solving the elliptic curve discrete logarithm problem. Therefore, since the random number r cannot be obtained for the attacker, it is difficult to calculate the scalar multiple [r] Y = [r] [d] P, and it is also difficult to obtain the plaintext M from C2. As described above, it is known that it is difficult to decipher the elliptic Elgamal code under the assumption that the elliptic curve discrete logarithm problem is difficult.

以下では、楕円曲線上の退化なペアリング関数について説明する。楕円曲線上のペアリング関数は退化なものと退化なものの2つに分けられ、退化なペアリング関数は退化なペアリング関数を用いて構成することができる。そこで、まず退化なペアリング関数
の一実施例であるヴェイユペアリング(Weil Paring)について説明し、次に
ヴェイユペアリングを用いて退化なペアリング関数を構成する方法を述べる。
Hereinafter, a non- degenerate pairing function on an elliptic curve will be described. Pairing function on the elliptic curve is divided into two but a reduction retreat as a non-degenerate, nondegenerate pairing function can be configured using a regression of pairing function. Accordingly, it described or which is an embodiment of the withdrawal of pairing function not a Weil Pairing (Weil Pairing), described below how to configure the non-degenerate pairing function using the Weil pairing.

Eを有限体GF(pm)上の楕円曲線とする。楕円曲線上のペアリングeとは、楕円曲線の2点に対してある値を出力し、かつ以下の性質を満たす関数である。 Let E be an elliptic curve over a finite field GF (p m ). The pairing e on the elliptic curve is a function that outputs a certain value for two points of the elliptic curve and satisfies the following properties.

(1) e(P1,P2+P3)=e(P1,P2)・e(P1,P3)
(2) e(P1,P2)=e(P2,P1)
そして、退化なペアリングとは、上記の条件(1),(2)に加えて、条件(3) e(P1,
P1)=1を満たすものをいう。
(1) e (P1, P2 + P3) = e (P1, P2) · e (P1, P3)
(2) e (P1, P2) = e (P2, P1)
Then, the retraction of pairing, the above conditions (1), in addition to (2), the condition (3) e (P1,
The one that satisfies P1) = 1.

退化なペアリングの例として、ヴェイユペアリングが知られている。以下では、ヴェイユペアリングの説明をする。自然数nに対して、E[n]を[n]P=∞を満たす楕円曲線Eの点Pの全体の集合とする。集合E[n]の2点P1,P2に対するヴェイユペアリングe(P1,P2)を以下のように定める。 Examples of regression of pairing, Weil pairing is known. Below, we will explain veil pairing. For a natural number n, let E [n] be the total set of points P of the elliptic curve E that satisfy [n] P = ∞. Weil pairing e (P1, P2) for two points P1, P2 of the set E [n] is determined as follows.

e(P1, P2)=fP1(U+P2)/fP1(U)・fP2(V)/fP2(V+P1)
ここで、fP1, fP2は、前記楕円曲線の点P1, P2からそれぞれ構成されるE上の関数である。また、例えばfP1(U)とは、fP1にE上の点Uを代入した値を表す。なお、fP1, fP2の構成については後述する。また、点U, Vは、それぞれU+P2及びV+P1が無限遠点∞にならない楕円曲線E上の任意の点である。
e (P1, P2) = f P1 (U + P2) / f P1 (U) · f P2 (V) / f P2 (V + P1)
Here, f P1 and f P2 are functions on E each composed of the points P1 and P2 of the elliptic curve. For example, f P1 (U) represents a value obtained by substituting the point U on E for f P1 . The configuration of f P1 and f P2 will be described later. Points U and V are arbitrary points on the elliptic curve E where U + P2 and V + P1 do not become the infinity point ∞, respectively.

次に、楕円曲線の点Pに対する、関数fPを導出するアルゴリズムを説明する。まず、方程式li,j(x,y)=0を以下のように定義する。 Next, an algorithm for deriving the function f P for the point P of the elliptic curve will be described. First, the equation l i, j (x, y) = 0 is defined as follows.

i≠jのとき、楕円曲線E上の2点[i]P及び[j]Pを通る直線
i=jのとき、楕円曲線E上の点[i]Pを通り楕円曲線Eに接する直線
また、方程式vi(x,y)=0を、[i]P及び無限遠点∞を通る直線と定義する。次に、関数gnを以下の漸化式で定義する。ただし、qは自然数である。
When i ≠ j, a straight line passing through the two points [i] P and [j] P on the elliptic curve E When i = j, a straight line passing through the point [i] P on the elliptic curve E and touching the elliptic curve E The equation v i (x, y) = 0 is defined as a straight line passing through [i] P and the point infinity ∞. Next, define functions g n by the following recurrence formula. However, q is a natural number.

1=1
2q=lq,q(x,y)/v2q(x,y)・gq 2
2q+1=l2q,1(x,y)/v2q+1(x,y)・g2q
このとき、fP=gpとなることが知られている。
g 1 = 1
g 2q = l q, q (x, y) / v 2q (x, y) · g q 2
g 2q + 1 = l 2q, 1 (x, y) / v 2q + 1 (x, y) · g 2q
At this time, it is known that f P = g p .

次に、退化なペアリングについて説明する。退化なペアリングとは、退化でないペアリングと定義され、一例として、以下のように構成できる。 Next, non- degenerate pairing will be described. The non-degenerate pairing is defined as the pairing is not a withdrawal of, as an example, can be configured as follows.

pを素数とし、p=2 mod 3を満たすとする。有限体GF(p)上の楕円曲線E’:y2=x3+1とする。ここで、先述のように楕円曲線は本来GF(pm)において定義可能であるが、ここではm=1の場合に限定する点に注意する。wを1の原始3乗根とし、写像Φ:(x,y)−>(wx,y)とする。このとき、楕円曲線E’の点(x,y)に対してf(x,y)も楕円曲線E’の点となる。 Let p be a prime number and satisfy p = 2 mod 3. An elliptic curve E ′ on the finite field GF (p) is assumed to be y 2 = x 3 +1. Here, as described above, the elliptic curve can be originally defined in GF (p m ), but it should be noted that it is limited to m = 1 here. Let w be the primitive cube root of 1 and map Φ: (x, y)-> (wx, y). At this time, f (x, y) is also a point of the elliptic curve E ′ with respect to the point (x, y) of the elliptic curve E ′.

以上により、楕円曲線の2点P1,P2に対して、以下の式により退化なペアリングe’を構成することができる。 As described above, the non- degenerate pairing e ′ can be configured by the following formula for the two points P1 and P2 of the elliptic curve.

e’(P1,P2)=e(P1,Φ(P2))
ここで、eはヴェイユペアリングである。なお、退化なペアリングの構成に用いる写像Φはdistortion写像と呼ばれる。
e ′ (P1, P2) = e (P1, Φ (P2))
Here, e is veil pairing. Note that the map Φ used for the non- degenerate pairing configuration is called a distortion map.

本発明の第1の実施形態に係る認証システムの機能ブロック図である。It is a functional block diagram of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの全体の処理手順を示したフローチャートである。It is the flowchart which showed the whole process sequence of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの攻撃検知の処理手順を示したフローチャートである。It is the flowchart which showed the processing procedure of the attack detection of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの攻撃検知処理における、e1の算出の処理手順を示したフローチャートである。It is the flowchart which showed the process sequence of calculation of e1 in the attack detection process of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの攻撃検知処理における、e2の算出の処理手順を示したフローチャートである。It is the flowchart which showed the process sequence of calculation of e2 in the attack detection process of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの攻撃検知処理における、e(P1,P2)の算出の処理手順を示したフローチャートである。It is the flowchart which showed the process sequence of calculation of e (P1, P2) in the attack detection process of the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムの攻撃検知処理における、fSの算出の処理手順を示したフローチャートである。In the first attack detection process of the authentication system according to an embodiment of the present invention, it is a flowchart illustrating a processing procedure of calculating the f S. 本発明の第2の実施形態に係る認証システムの攻撃検知の処理手順を示したフローチャートである。It is the flowchart which showed the processing procedure of the attack detection of the authentication system which concerns on the 2nd Embodiment of this invention. ICカードのハードウェア構成を示した図である。It is the figure which showed the hardware constitutions of IC card. コンピュータである認証装置のハードウェア構成を示した図である。It is the figure which showed the hardware constitutions of the authentication apparatus which is a computer. 従来の一般的な認証システムの全体の処理手順を示したフローチャートである。It is the flowchart which showed the whole process sequence of the conventional common authentication system.

11 CPU
12 ROM
13 RAM
14 不揮発性メモリ
15 入出力インタフェース
17 バス
31 CPU
32 主記憶
33 補助記憶装置
34 出力インタフェース
35 入力インタフェース
36 ICカードR/Wインタフェース
37 バス
38 モニタ
39 キーボード
40 マウス
41 ICカードリーダ/ライタ
100 ICカード
101 記憶部
103 公開情報記憶部
105 秘密鍵記憶部
107 攻撃検知部
109 復号化処理部
111 制御部
113 通信部
300 認証装置
301 記憶部
303 公開情報記憶部
305 乱数生成部
307 認証処理部
309 暗号化処理部
311 通信部
313 制御部
11 CPU
12 ROM
13 RAM
14 Non-volatile memory 15 Input / output interface 17 Bus 31 CPU
32 Main memory 33 Auxiliary storage device 34 Output interface 35 Input interface 36 IC card R / W interface 37 Bus 38 Monitor 39 Keyboard 40 Mouse 41 IC card reader / writer 100 IC card 101 Storage unit 103 Public information storage unit 105 Secret key storage unit 107 Attack detection unit 109 Decryption processing unit 111 Control unit 113 Communication unit 300 Authentication device 301 Storage unit 303 Public information storage unit 305 Random number generation unit 307 Authentication processing unit 309 Encryption processing unit 311 Communication unit 313 Control unit

Claims (2)

所定の楕円曲線に基づく楕円エルガマル暗号の秘密鍵dを秘密に格納した秘密鍵記憶部
と、
前記楕円エルガマル暗号の公開鍵YとベースポイントGとを格納した公開情報記憶部と

前記楕円エルガマル暗号によって暗号化された暗号文C=(C1,C2)の入力を受付
ける入力部と、
当該暗号文Cを、記憶部に格納された秘密鍵dに基づき、K=[d]C1およびM’=C
2−Kを順に算出することで復号メッセージM’を生成する復号部と、当該復号メッセー
ジM’を出力する出力部とを備える認証用媒体において、
退化なペアリングeに基づき関係式e(G,K)=e(Y,C1)が成立するかを判定する判定部を、
さらに備え、
前記出力部は、前記関係式が成立する場合に、前記復号メッセージM’を出力する
ことを特徴とする認証用媒体。
A secret key storage unit that secretly stores a secret key d of the elliptic ElGamal encryption based on a predetermined elliptic curve;
A public information storage unit storing the public key Y and the base point G of the elliptical Elgamal encryption;
An input unit that receives an input of ciphertext C = (C1, C2) encrypted by the elliptic Elgamal encryption;
Based on the secret key d stored in the storage unit, K = [d] C1 and M ′ = C
In an authentication medium comprising: a decryption unit that generates a decrypted message M ′ by sequentially calculating 2-K; and an output unit that outputs the decrypted message M ′.
A determination unit that determines whether the relational expression e (G, K) = e (Y, C1) is satisfied based on the non- degenerate pairing e;
In addition,
The output medium outputs the decrypted message M ′ when the relational expression is satisfied.
前記判定部は、前記復号部が算出したKが前記所定の楕円曲線の点である場合に、前記
関係式に基づく判定を行う、
ことを特徴とする請求項1に記載の認証用媒体。
The determination unit performs determination based on the relational expression when K calculated by the decoding unit is a point of the predetermined elliptic curve.
The authentication medium according to claim 1.
JP2009071096A 2009-03-24 2009-03-24 An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography Expired - Fee Related JP5326715B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009071096A JP5326715B2 (en) 2009-03-24 2009-03-24 An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009071096A JP5326715B2 (en) 2009-03-24 2009-03-24 An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography

Publications (2)

Publication Number Publication Date
JP2010226402A JP2010226402A (en) 2010-10-07
JP5326715B2 true JP5326715B2 (en) 2013-10-30

Family

ID=43043114

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009071096A Expired - Fee Related JP5326715B2 (en) 2009-03-24 2009-03-24 An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography

Country Status (1)

Country Link
JP (1) JP5326715B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003255831A (en) * 2002-02-28 2003-09-10 Hitachi Ltd Method and device for calculating elliptic curve scalar multiple
JP4634046B2 (en) * 2003-01-28 2011-02-16 パナソニック株式会社 Elliptical power multiplication device and information security device capable of countering failure use attacks
JP4758814B2 (en) * 2006-04-27 2011-08-31 日本電信電話株式会社 Anonymous ciphertext communication system, key generation device, communication device, method thereof, program, and recording medium
JP2010136066A (en) * 2008-12-04 2010-06-17 Sony Corp Apparatus and method of processing information, and program
JP5272710B2 (en) * 2008-12-22 2013-08-28 富士通株式会社 Elliptic curve calculation device, method and program
EP2228715A1 (en) * 2009-03-13 2010-09-15 Thomson Licensing Fault-resistant calculcations on elliptic curves

Also Published As

Publication number Publication date
JP2010226402A (en) 2010-10-07

Similar Documents

Publication Publication Date Title
Rodriguez-Henriquez et al. A brief introduction to modern cryptography
US20170169735A1 (en) Cryptographic Machines With N-state Lab-transformed Switching Devices
US9037623B2 (en) Proxy calculation system, proxy calculation method, proxy calculation requesting apparatus, and proxy calculation program and recording medium therefor
CN111989891A (en) Data processing method, related device and block chain system
JP2008252299A (en) Encryption processing system and encryption processing method
US11063743B2 (en) Method of RSA signature of decryption protected using assymetric multiplicative splitting
CN111404952B (en) Transformer substation data encryption transmission method and device, computer equipment and storage medium
US20160013933A1 (en) Order-preserving encryption system, device, method, and program
Muhammad et al. Loop-based RSA key generation algorithm using string identity
JP5171787B2 (en) Sign-encryption system and sign-encryption generation method
CN105337734B (en) Elliptic curve encryption method including error detection
JP6294882B2 (en) Key storage device, key storage method, and program thereof
JP2010258708A (en) Information processing device, operation verifying method, and program
US11616994B2 (en) Embedding information in elliptic curve base point
CN114257402B (en) Encryption algorithm determining method, device, computer equipment and storage medium
KR101440680B1 (en) Homomorphic Encryption and Decryption Method using Chinese Remainder Theorem and apparatus using the same
JP5326715B2 (en) An authentication medium for detecting failure-use attacks on authentication processing using elliptic curve cryptography
US11288985B2 (en) Encryption device, decryption device, encryption method, decryption method, encryption program product, and decryption program product
Abdurahmonov et al. Improving Smart Card Security Using Elliptic Curve Cryptography over Prime Field (F p)
US20240205006A1 (en) Encryption device, decryption device, key generation device, encryption method, decryption method, key generation method, computer program product for encryption, computer program product for decryption, and computer program product for key generation
JP5272710B2 (en) Elliptic curve calculation device, method and program
CN109951287B (en) Anti-quantum computation signcryption method and system based on private key pool
WO2018148819A1 (en) Cryptographic scheme with fault injection attack countermeasure
Jyotiyana et al. Fault attack for scalar multiplication over finite field (E (F q)) on Elliptic Curve Digital Signature Algorithm
KR101006358B1 (en) Elliptic curve cryptography system based on real domain and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121225

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130625

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130708

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees