JP5769263B2 - Rational point information compression apparatus, rational point information compression method, and rational point information compression program - Google Patents

Rational point information compression apparatus, rational point information compression method, and rational point information compression program Download PDF

Info

Publication number
JP5769263B2
JP5769263B2 JP2012537756A JP2012537756A JP5769263B2 JP 5769263 B2 JP5769263 B2 JP 5769263B2 JP 2012537756 A JP2012537756 A JP 2012537756A JP 2012537756 A JP2012537756 A JP 2012537756A JP 5769263 B2 JP5769263 B2 JP 5769263B2
Authority
JP
Japan
Prior art keywords
rational point
rational
point
mod
information compression
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012537756A
Other languages
Japanese (ja)
Other versions
JPWO2012046805A1 (en
Inventor
保之 野上
保之 野上
良孝 森川
良孝 森川
哲也 出田
哲也 出田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Okayama University NUC
Original Assignee
Okayama University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Okayama University NUC filed Critical Okayama University NUC
Priority to JP2012537756A priority Critical patent/JP5769263B2/en
Publication of JPWO2012046805A1 publication Critical patent/JPWO2012046805A1/en
Application granted granted Critical
Publication of JP5769263B2 publication Critical patent/JP5769263B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/30Compression, e.g. Merkle-Damgard construction

Description

本発明は、楕円曲線暗号、ペアリング暗号における有理点情報圧縮装置、有理点情報圧縮方法及び有理点情報圧縮プログラムに関する。特に有理点群の埋め込み次数を1とした場合の、楕円曲線暗号、ペアリング暗号における有理点情報圧縮装置、有理点情報圧縮方法及び有理点情報圧縮プログラムに関する。   The present invention relates to a rational point information compression apparatus, a rational point information compression method, and a rational point information compression program in elliptic curve cryptography and pairing cryptography. In particular, the present invention relates to a rational point information compression apparatus, a rational point information compression method, and a rational point information compression program in elliptic curve cryptography and pairing cryptography when the embedding degree of a rational point group is 1.

昨今、インターネットなどの電気通信回線を利用した情報ネットワーク技術が高度に発展し、インターネットによって様々な情報を取得するだけでなく、インターネットバンキングや行政機関への電子申請などのような各種のサービスが提供されてきている。   In recent years, information network technology using telecommunications lines such as the Internet has been developed to provide various services such as Internet banking and electronic application to government agencies. Has been.

このようなサービスを利用する場合には、サービスの利用者が成りすましや架空の人間などではなく、適正な利用者であることを確認するための認証処理が必要であり、信頼性の高い認証方法として、公開鍵と秘密鍵を用いる公開鍵暗号をベースとした電子認証技術がよく利用されている。   When using such a service, authentication processing is required to confirm that the user of the service is an appropriate user, not impersonation or a fictitious person, and a highly reliable authentication method. For example, electronic authentication technology based on public key cryptography using a public key and a secret key is often used.

しかしながら、公開鍵暗号方式の電子認証では、公開鍵及び秘密鍵が漏洩した場合には直ちに公開鍵と秘密鍵を変更する必要がある。このため、公開鍵及び秘密鍵の管理を慎重に行わなければならず、また、必要に応じて新たな公開鍵と秘密鍵の設定登録作業が生じるという煩雑さがある。このため、最近では、利用者の氏名やメールアドレスのように利用者特有のIDを用いて電子認証を行うIDベース暗号が用いられることが多くなっている。   However, in the public authentication of the public key cryptosystem, when the public key and the secret key are leaked, it is necessary to change the public key and the secret key immediately. For this reason, it is necessary to carefully manage the public key and the secret key, and there is a trouble that a new public key and secret key setting registration work is required if necessary. For this reason, ID-based encryption that performs electronic authentication using a user-specific ID such as the user's name and email address has recently been used more and more.

また、電子認証を行う認証装置によって利用者の個人認証を行った場合には、認証装置に利用者ごとの履歴が蓄積されることとなる。この履歴情報自体が利用者の個人情報であるため、最近では、この履歴情報が漏洩することによる個人情報の漏洩のおそれが指摘されている。   In addition, when user authentication is performed by an authentication device that performs electronic authentication, a history for each user is accumulated in the authentication device. Since this history information itself is the user's personal information, recently there has been an indication that personal information may be leaked due to leakage of this history information.

そこで、認証装置では利用者の個人情報を利用して認証を行うのではなく、複数の利用者をひとまとまりのグループとして、このグループに所属していることを示すグループ署名を用いることにより、利用者を特定することなく認証を行うことによって、認証装置に個人情報が蓄積されることなく認証を可能としたグループ署名技術が提案されている。   Therefore, the authentication device does not authenticate using the user's personal information, but uses multiple users as a group and uses a group signature indicating that they belong to this group. A group signature technique has been proposed in which authentication is performed without specifying a person, thereby enabling authentication without accumulating personal information in an authentication apparatus.

国家UNS戦略プログラムにおいても、プライバシを保護しつつユーザ認証を行うことのできる匿名認証技術の重要性、必要性が取り上げられている。
UNS:Universal Communications、New Generation Networks、Security and safetyThe national UNS strategic program also highlights the importance and necessity of anonymous authentication technology that can authenticate users while protecting privacy.
UNS: Universal Communications, New Generation Networks, Security and safety

このようなIDベース暗号やグループ署名等を簡便に実現するための数学的な土台としてペアリング暗号がある。ペアリングとは、楕円曲線上で定義される2入力1出力の関数であり、入力は楕円曲線上の2つの有理点、出力は有限体の元が用いられている。このペアリングは2入力に対して双線形性を持つ。例えば、Pを素体Fp上で定義される楕円曲線上の有理点、Qをk次拡大体Fp k上で定義される楕円曲線上の有理点として、PとQを入力して拡大体F* p kの元zが出力されるとき、a倍のPとb倍のQを入力するとzのab乗が出力される。ペアリング暗号では、この双線形性を利用して暗号システムを構築する。なお、ここで「k」を埋め込み次数と呼び「F* p k」は、位数がpである有限体(拡大体)から単位元0を除いた乗法群を表わす。There is a pairing cipher as a mathematical foundation for easily realizing such ID-based ciphers and group signatures. Pairing is a function of two inputs and one output defined on an elliptic curve. The input uses two rational points on the elliptic curve and the output uses a finite field element. This pairing has bilinearity for two inputs. For example, rational points on an elliptic curve defined with P on prime field F p, as rational points on an elliptic curve defined with Q over k-th extension field F p k, and inputs the P and Q larger when the original z body F * p k is output, z of ab-th power is outputted by entering the a times of P and b times Q. In pairing cryptography, an encryption system is constructed using this bilinearity. Here, “k” is referred to as an embedding degree, and “F * p k ” represents a multiplicative group obtained by removing the unit element 0 from a finite field (expanded field) having an order p k .

楕円曲線上の有理点とは、楕円曲線y=x+ax+bを満たす有限体Fqの元の座標(x,y)の組をいう。この集合に無限遠点Oを加えたものは加法群を成し、E(Fq)と表わす。すなわち、楕円曲線上の2つの有理点P、Qを通る直線が楕円曲線と交わる点のx軸を対称とした点をRとすれば、P+Q=Rが成立する。この演算を楕円加算と呼ぶ。PとQが同一点の場合はPを通る接線が楕円曲線と交わる点のx軸を対称とした点をRとすれば、P+P=2P=Rが成立する。この演算を楕円2乗算と呼ぶ。ペアリング暗号及び楕円暗号の安全性の根拠は楕円曲線上の離散対数問題の求解困難性に基づいている。素因数分解の困難性を安全性の根拠とするRSA暗号等と比べ、はるかに短い鍵長で同等の暗号強度(安全性強度)を実現できる。The rational point on the elliptic curve is a set of original coordinates (x, y) of the finite field F q that satisfies the elliptic curve y 2 = x 3 + ax + b. This set plus the infinity point O forms an additive group and is represented as E (Fq). That is, if a point symmetric about the x axis of a point where a straight line passing through two rational points P and Q on the elliptic curve intersects the elliptic curve is R, P + Q = R is established. This operation is called ellipse addition. When P and Q are the same point, if R is a point symmetric about the x-axis of the point where the tangent line passing through P intersects with the elliptic curve, P + P = 2P = R is established. This operation is called elliptical multiplication. The grounds for security of pairing encryption and elliptic encryption are based on the difficulty of solving discrete logarithm problems on elliptic curves. Compared to RSA ciphers, etc., where the difficulty of prime factorization is the basis of security, it is possible to achieve the same cipher strength (security strength) with a much shorter key length.

ディジタルグループ署名では、グループに所属する個人ユーザのアクセス権の認証処理を行う際に、アクセス権が失効している個人ユーザを除外するためのペアリング演算を行った後に所定の個人ユーザのペアリング演算を行って認証処理を行うことにより、個人ユーザごとのアクセス権の発行または失効の属性変更に柔軟に対応可能としている。   In the digital group signature, when performing an access right authentication process for an individual user belonging to a group, a pairing operation is performed to exclude an individual user whose access right has expired, and then a predetermined individual user is paired. By performing computation and performing authentication processing, it is possible to flexibly cope with issuance of access rights or change of revocation attribute for each individual user.

したがって、例えば、10,000人の個人ユーザで構成されるグループのディジタルグループ署名の場合、アクセス権が失効している個人ユーザが100人いれば、100回のペアリング演算が必要となっており、現時点での一般的な電子計算機による1回のペアリング演算に約0.1秒を要していることから、100回のペアリング演算には約10秒を要することとなってしまうため、実用上、個人ユーザの数が制限されることとなって、広く利用されるものとはなっていなかった。   Thus, for example, in the case of a digital group signature of a group consisting of 10,000 individual users, if there are 100 individual users whose access rights have expired, 100 pairing operations are required. Since it takes about 0.1 seconds for one pairing operation by a general electronic computer in 100 meters, it takes about 10 seconds for 100 pairing operations. The number of users was limited, and it was not widely used.

そこで、ペアリング演算の演算速度を向上させることによりディジタルグループ署名の実用性を向上させるために、例えば、ペアリング演算として楕円曲線上で定義されるTateペアリング演算法を用い、演算負荷を低減させて高速化を図る技術が提案されている。   Therefore, in order to improve the practicality of digital group signature by improving the calculation speed of pairing calculation, for example, the Tate pairing calculation method defined on the elliptic curve is used as the pairing calculation to reduce the calculation load A technique for speeding up the process has been proposed.

このように、これまでペアリングを用いた暗号方式(IDベース暗号、グループ署名等)は数多く提案されているが、その多くは、160ビット以上の素数位数を持つペアリング曲線(ペアリングに効率のよい楕円曲線)を用いるものである。本発明者らはこれまで、土台の数学的構造から、拡大体における計算、楕円曲線暗号の計算、ペアリング計算について出願を行なってきた。そのいずれもが、素数位数のペアリング暗号を効率化するものである。   In this way, many encryption schemes using pairing (ID-based encryption, group signature, etc.) have been proposed, but many of them are pairing curves (primary pairing curves with prime orders of 160 bits or more). An efficient elliptic curve) is used. The present inventors have so far applied for the calculation in the extension field, the calculation of the elliptic curve cryptography, and the pairing calculation from the mathematical structure of the foundation. Both of these improve the efficiency of pairing ciphers with prime orders.

一方、近年、有理点群の埋め込み次数が1で2000ビットを超える合成数位数を持つペアリング曲線を用いるものが提案されており、また新たなアプリケーションも提案されている(例えば、非特許文献1参照。)。   On the other hand, recently, there has been proposed a method using a pairing curve having a composite order of more than 2000 bits with an embedding degree of rational point group of 1 and a new application has also been proposed (for example, Non-Patent Document 1). reference.).

素数位数のペアリング暗号を効率化するこれまでの手法は、本発明がターゲットとする大きな合成数位数のペアリングに対して即座に適用できるものではない。言い換えれば、合成数位数のペアリング曲線は埋め込み次数が1となるなど特殊な状況におかれるため、これを考慮した新たな高速化手法を提案する必要性がでてきた。埋め込み次数を1とする理由は、ペアリング暗号の暗号強度を必要十分に確保するための強度と効率のバランスを図るのに最も適しているのが埋め込み次数1だからである。埋め込み次数を大きくした場合は暗号強度が十分すぎ、また実現する上での効率が悪くなる。   The conventional techniques for improving the efficiency of pairing ciphers with prime orders are not immediately applicable to the pairing with large composite orders targeted by the present invention. In other words, the pairing curve of the composite order is placed in a special situation such that the embedding degree is 1, and therefore, it has become necessary to propose a new high-speed method considering this. The reason why the embedding order is 1 is that the embedding order is 1 that is most suitable for balancing the strength and efficiency for ensuring the necessary and sufficient encryption strength of the pairing cipher. When the embedding order is increased, the encryption strength is too high, and the efficiency in realizing it is deteriorated.

このようなペアリング暗号または楕円曲線暗号のプロトコルでは、複数の有理点の情報をネットワークで送受信することとなる。例えば、有理点Pと有理点Qを送信するなどである。これらの有理点を個別に送れば、合成数位数が2000ビットとすると、標数は4000ビットとなり、有理点P,Qのx座標、y座標を考えると、4倍の16000ビットを送信することとなる。   In such a pairing encryption or elliptic curve encryption protocol, information on a plurality of rational points is transmitted and received over a network. For example, rational point P and rational point Q are transmitted. If these rational points are sent individually, if the composite order is 2000 bits, the characteristic will be 4000 bits. Considering the x and y coordinates of rational points P and Q, 4 times 16000 bits will be transmitted. It becomes.

電子認証システムでは、大量のユーザリストが送受信され、ペアリング計算時間とともに、これら多数の有理点情報を含むユーザリストのネットワーク上での送受信時間が問題となっている。   In the electronic authentication system, a large number of user lists are transmitted / received, and the transmission / reception time on the network of the user list including a large number of rational point information is a problem along with the pairing calculation time.

これに対し、上記の例で、もし有理点P及びQのペアに対し、R=P+Qという楕円加算して圧縮した有理点Rを送信し、受信先で元の有理点P及びQを復元できれば、その送信する情報量はこのペア当たり半分の8000ビットで済むことになる。   On the other hand, in the above example, if a rational point R is compressed by adding an ellipse R = P + Q to a pair of rational points P and Q, the original rational points P and Q are transmitted at the destination. If it can be restored, the amount of information to be transmitted is only half of this pair, 8000 bits.

有理点の圧縮方法については、例えば、非特許文献2、特許文献1などが知られている。特許文献1では、有限体Fq及び拡大体Fq k上の有理点2点を楕円加算して圧縮し、受信先で射影により元の有理点を復元する方法等が開示されている。For example, Non-Patent Document 2 and Patent Document 1 are known as rational point compression methods. Patent Document 1 discloses a method of compressing the two rational points on the finite field F q and the extension field F q k by ellipse addition and restoring the original rational point by projection at the reception destination.

特開2008-178035号公報JP 2008-178035 A

D. Boneh, K. Rubin and A. Silverberg, “Finding Composite Order Ordinary Elliptic Curves Using the Cock-Pinch method”D. Boneh, K. Rubin and A. Silverberg, “Finding Composite Order Ordinary Elliptic Curves Using the Cock-Pinch method” Ian F.Blake et al, “Advances in Elliptic Curve Cryptography”Ian F. Blake et al, “Advances in Elliptic Curve Cryptography”

しかしながら、本発明が対象とする有理点群の埋め込み次数が1の場合、有理点P及びQを圧縮して有理点Rを送信し、受信先でこれを分解・復元する方法は、これまで知られていなかった。   However, when the embedding degree of the rational point group targeted by the present invention is 1, the rational points P and Q are compressed and the rational point R is transmitted, and the method of decomposing / restoring this at the reception destination is known so far. It was not done.

本発明者らは、このような現状に鑑み、有理点の情報圧縮を効率的に行うべく研究開発を行って、本発明を成すに至ったものである。   In view of the current situation, the present inventors have conducted research and development to efficiently perform rational point information compression, and have achieved the present invention.

本発明の有理点情報圧縮装置では、
標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信するCPU及び記憶手段を備えた有理点情報圧縮装置において、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記有理点情報圧縮装置のCPUは、
有理点P’を入力して前記記憶手段に記憶する入力手段と、
記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定する有理点部分群特定手段と、
前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P)またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算手段と、
前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算手段と、
前記有理点Rから有理点P及び有理点Qを演算する第2演算手段と、
を有することとした。 In the rational point information compression device of the present invention,
The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In a rational point information compression device comprising a CPU and storage means for transmitting and receiving information on rational point P∈G 1 and rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
CPU of the rational point information compression device ,
An input means for inputting a rational point P ′ and storing it in the storage means;
Before SL 'reads, the rational point P read' the rational point P from the storage means the identify rational point P and Q using, by endomorphism [psi,
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Rational point subgroup identification means,
Read the rational point P or Q from the storage means, calculate the self-homogeneous map ψ (P) or ψ (Q), and store the rational point of the result in the storage means;
A first computing means for computing a rational point R = P + Q from the rational point P and the rational point Q;
A second computing means for computing a rational point P and a rational point Q from the rational point R;
It was decided to have.

さらに本発明の有理点情報圧縮装置では、
前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression device of the present invention,
The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP

本発明の有理点情報圧縮装置では、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 In the rational point information compression device of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
[2λ 1 +1] [ψ + λ 1 +1] R = [− 3] P, Q = RP

さらに本発明の有理点情報圧縮装置では、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression device of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 −λ 1 + 1≡0 (mod r), λ 2 2 −λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
[2λ 1 −1] [ψ + λ 1 −1] R = [− 3] P, Q = RP

本発明の有理点情報圧縮方法では、
標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信する場合に、CPU及び記憶手段を備えた電子計算機で行う情報圧縮方法において、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記電子計算機のCPUを入力手段として機能させて、有理点P’を入力して前記記憶手段に記憶する入力ステップと、
前記電子計算機のCPUを有理点部分群特定手段として機能させて、前記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定するステップと、
前記電子計算機のCPUを自己準同型写像演算手段として機能させて、前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P)またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算ステップと、
前記電子計算機のCPUを第1演算手段として機能させて、前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算ステップと、
前記電子計算機のCPUを第2演算手段として機能させて、前記有理点Rから有理点P及び有理点Qを演算する第2演算ステップと、
を有することとした。 In the rational point information compression method of the present invention,
The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In the information compression method performed by an electronic computer equipped with a CPU and storage means when transmitting and receiving information on the rational point P∈G 1 and the rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
An input step of causing the CPU of the electronic computer to function as an input means, inputting a rational point P ′ and storing it in the storage means,
The CPU of the electronic computer is caused to function as a rational point subgroup specifying unit, the rational point P ′ is read from the storage unit, the rational points P and Q are specified using the read rational point P ′, and self By the homomorphic map ψ
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Steps,
The CPU of the electronic computer is made to function as a self-homogeneous mapping calculation means, the rational point P or Q is read from the storage means, the self-homogeneous mapping ψ (P) or ψ (Q) is calculated, and the result A self-homogeneous mapping operation step of storing a rational point in the storage means;
A first calculation step of causing the CPU of the electronic computer to function as a first calculation means, and calculating a rational point R = P + Q from the rational point P and the rational point Q;
A second calculation step of calculating the rational point P and the rational point Q from the rational point R by causing the CPU of the electronic computer to function as a second calculation means;
It was decided to have.

さらに本発明の有理点情報圧縮方法では、
前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression method of the present invention,
The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP

さらに本発明の有理点情報圧縮方法では、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression method of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
[2λ 1 +1] [ψ + λ 1 +1] R = [− 3] P, Q = RP

さらに本発明の有理点情報圧縮方法では、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression method of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
[2λ 1 −1] [ψ + λ 1 −1] R = [− 3] P, Q = RP

本発明の有理点情報圧縮プログラムでは、
標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信する場合に、CPU及び記憶手段を備えた電子計算機に行わせる有理点情報圧縮プログラムにおいて、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記電子計算機のCPUを
有理点P’を入力して前記記憶手段に記憶する入力手段、
前記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定する有理点部分群特定手段、
前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P)またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算手段、
前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算手段、
前記有理点Rから有理点P及び有理点Qを演算する第2演算手段、
として機能させることとした。 In the rational point information compression program of the present invention,
The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In the rational point information compression program to be performed by an electronic computer equipped with a CPU and storage means when sending and receiving information on the rational point P∈G 1 and the rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
Input means for inputting a rational point P ′ to the CPU of the electronic computer and storing it in the storage means;
Read the rational point P ′ from the storage means, identify the rational points P and Q using the read rational point P ′, by the self-homogeneous map ψ,
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Rational point subgroup identification means,
Self-homogeneous mapping calculation means for reading the rational point P or Q from the storage means, calculating the self-homogeneous map ψ (P) or ψ (Q), and storing the resulting rational points in the storage means,
A first computing means for computing a rational point R = P + Q from the rational point P and the rational point Q;
A second computing means for computing a rational point P and a rational point Q from the rational point R;
It was decided to function as.

さらに本発明の有理点情報圧縮プログラムでは、
前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression program of the present invention,
The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP

さらに本発明の有理点情報圧縮プログラムでは、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression program of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
[2λ 1 +1] [ψ + λ 1 +1] R = [− 3] P, Q = RP

さらに本発明の有理点情報圧縮プログラムでは、
前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行うことにも特徴を有するものである。 Furthermore, in the rational point information compression program of the present invention,
The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
[2λ 1 −1] [ψ + λ 1 −1] R = [− 3] P, Q = RP

本発明によれば、有理点P,Qの情報を送信する時に有理点Pと有理点Qの楕円加算を行い求めた有理点Rの情報を送信し、受信先で有理点Rの情報を分解し有理点P,Qの情報を復元することとなり、送受信する有理点の情報量を半分に圧縮することができる。この分解復元に要する計算は、有理点のペアあたり、おおよそスカラー倍算1回分である。このことにより、インターネット等のネットワークを介して有理点情報を送受信する際の効率化を図ることができる。   According to the present invention, when transmitting information on rational points P and Q, information on rational points R obtained by performing elliptic addition of rational points P and rational points Q is transmitted, and information on rational points R is decomposed at the receiving destination. Then, the information on the rational points P and Q is restored, and the information amount of the rational points to be transmitted / received can be compressed in half. The calculation required for this decomposition and restoration is approximately one scalar multiplication per rational point pair. As a result, it is possible to improve efficiency when transmitting / receiving rational point information via a network such as the Internet.

本発明の実施形態にかかる情報圧縮装置の概略模式図である。1 is a schematic diagram of an information compression apparatus according to an embodiment of the present invention. 本発明の実施形態にかかるクライアント装置上の情報圧縮装置の全体構成を例示したブロック図である。It is the block diagram which illustrated the whole structure of the information compression apparatus on the client apparatus concerning embodiment of this invention. 本発明の実施形態にかかる認証サーバ上の情報圧縮装置の全体構成を例示したブロック図である。It is the block diagram which illustrated the whole structure of the information compression device on the authentication server concerning embodiment of this invention. 本発明の実施形態にかかる有理点部分群特定部の機能構成を例示した図である。It is the figure which illustrated the functional structure of the rational point subgroup specific | specification part concerning embodiment of this invention. 本発明の実施形態にかかる有理点情報復元部の機能構成を例示した図である。It is the figure which illustrated the functional structure of the rational point information decompression | restoration part concerning embodiment of this invention. 本発明の実施形態にかかる有理点情報復元プログラムのフローチャートである。It is a flowchart of the rational point information restoration program concerning embodiment of this invention. 本発明の実施形態にかかる有理点部分群特定部プログラムのフローチャートである。It is a flowchart of the rational point subgroup specific | specification part program concerning embodiment of this invention.

本発明の成果を適用できるようなペアリング曲線は、以下のような条件を満たす必要がある。まず、標数pの有限体Fp上で定義される楕円曲線を、
E/Fp: y2 = x3 +ax +b, a∈Fp b∈Fpとし、
E(Fp):標数pの有限体Fp上で定義される楕円曲線の有理点が成す加法群、
r:E(Fp)の位数#E(Fp)を割り切る合成数、
E[r]:位数が合成数rである有理点の集合、
ψ:有理点に対する自己準同型写像、
t:フロベニウス写像のトレース、
[j]:有理点をj倍する写像、
G:G=E[r]∩Ker(ψ-λ)、(λは整数)を満たす有理点の集合、と定義する。
また、x|yは、xがyを割り切ることを表わすものとする。The pairing curve to which the results of the present invention can be applied must satisfy the following conditions. First, an elliptic curve defined on a finite field F p of characteristic number p,
E / F p : y 2 = x 3 + ax + b, a∈F p b∈F p
E (F p): additive group of rational points of the elliptic curve defined on a finite field F p of characteristic p forms,
r: E (F p) of order #E (F p) composite number that divides the,
E [r]: set of rational points whose order is the composite number r,
ψ: self-homogeneous mapping for rational points,
t: Trace of Frobenius map,
[j]: Map that multiplies rational points by j,
G: G = E [r] ∩Ker (ψ−λ), defined as a set of rational points satisfying (λ is an integer).
X | y represents that x is divisible by y.

楕円曲線の生成にはCM(Complex Multiplication)法が知られている。標数p、フロベニウス自己準同型写像のトレースt、判別式Dによる次式のようなCM方程式において、判別式D=1,3の場合を考える。
4p=t2-Ds2 (1)
この時、ペアリング曲線の式はそれぞれ以下のように与えられる。
Ea: y2 = x3 +ax, a∈Fp (D=1) (2a)
Eb: y2 = x3 +b, b∈Fp (D=3) (2b)
本発明者らは、大きな合成数位数に対してこのようなペアリング曲線を生成する簡便な生成法を提案済みである。上記のペアリング曲線上の有理点が、簡単な自己準同型写像ψ(即ち有理点をP、整数をλとして、ψ(P)=λP)を持つためには、パラメータの条件がある。これには、以下に示すように、自己準同型写像の周期3,4,6に対応して3次、4次、6次の3つの場合がある。この自己準同型写像はスカラー倍算、ペアリングに用いる他、本発明では、この自己準同型写像を有理点情報の圧縮・復元に用いる。以下に、パラメータの条件及びその写像を示す。A CM (Complex Multiplication) method is known for generating an elliptic curve. Consider the case of discriminant D = 1, 3 in CM equation such as the following formula by characteristic p, Frobenius self-homogeneous mapping t, discriminant D:
4p = t 2 -Ds 2 (1)
At this time, the formula of the pairing curve is given as follows.
E a : y 2 = x 3 + ax, a∈F p (D = 1) (2a)
E b : y 2 = x 3 + b, b∈F p (D = 3) (2b)
The present inventors have already proposed a simple generation method for generating such a pairing curve for a large synthetic order. In order for the rational point on the pairing curve to have a simple self-homogeneous map ψ (that is, ψ (P) = λP where P is a rational point and λ is an integer), there are parameter conditions. As shown below, there are three cases of the third, fourth, and sixth orders corresponding to the periods 3, 4, and 6 of the self-homogeneous mapping. This self-homogeneous map is used for scalar multiplication and pairing, and in the present invention, this self-homomorphic map is used for compression and decompression of rational point information. The parameter conditions and their mapping are shown below.

<3次の場合>
楕円曲線のパラメータが、3|(p-1), E: y2 =x3 +b, b∈Fp, D=3の場合、
r|#E(Fp), 3|(r-1) を満たす合成数rに対して、次式を満足するある整数λ3が存在する。
λ3 3 +1≡0 (mod r) (3)
また、以下に示す周期3の自己準同型写像ψが与えられる。

Figure 0005769263

このような合成数rを位数として持つ有理点をP∈E(Fp)[r]とすれば、3次の場合、[λ3]P=ψ3(P)の関係を用いることで後述の有理点情報圧縮の効率化を図っている。<3rd case>
If the elliptic curve parameters are 3 | (p-1), E: y 2 = x 3 + b, b∈F p , D = 3,
For a composite number r that satisfies r | #E (F p ), 3 | (r−1), there is an integer λ 3 that satisfies the following equation.
λ 3 2 + λ 3 + 1≡0 (mod r) (3)
Further, a self-homogeneous map ψ 3 having a period 3 shown below is given.
Figure 0005769263
If a rational point having such a composite number r as an order is P∈E (F p ) [r], then in the third order, the relation [λ 3 ] P = ψ 3 (P) is used. The rational point information compression described later is made more efficient.

しかしながら、有理点群の埋め込み次数が1の場合、一般の有理点P’∈E(Fp)[r]に対しては、[λ3]P’=ψ(P’)は成り立たない。上述したように、これを満たすような有理点の割合は1/r=1/22000 であり、簡便にそのような有理点及び有理点部分群を準備できる必要がある。However, when the embedding degree of the rational point group is 1, [λ 3 ] P ′ = ψ 3 (P ′) does not hold for the general rational point P′∈E (F p ) [r]. As described above, the proportion of rational points satisfying this is 1 / r = 1/2 2000 , there is a need to be able to prepare easily such rational points and rational points subgroup.

本発明では、本発明者らが発見した以下の性質を用いる。
まず、任意の有理点P’∈E(Fp)[r]は次式を満たす。
[(ψ3)( ψ3 +1)]P’=O (5)
ここで、Oは、無限遠点を示す。以下の記述においても同様である。
すなわち、ランダムに生成した有理点P’∈E(Fp)[r]を(ψ3 +1)倍し、
P=[ψ3 +1]P’ (6)
とすることにより、その有理点Pは[λ3]P= ψ(P)を満たすこととなる。そして、そのようなPが生成する有理点部分群をG1 とする。また逆に、
Q=[ψ3]P’ (7)
とすれば、[λ3 +1]Q= -ψ(Q)を満たす有理点Qとなる。そして、そのようなQが生成する有理点部分群をG2 とする。これらG1 及びG2 を用いて後述の有理点情報の圧縮・復元を実現することができる。In the present invention, the following properties discovered by the present inventors are used.
First, an arbitrary rational point P′∈E (F p ) [r] satisfies the following expression.
[(ψ 33 ) (ψ 3 + λ 3 +1)] P '= O (5)
Here, O indicates a point at infinity. The same applies to the following description.
That is, rationally generated rational point P′∈E (F p ) [r] is multiplied by (ψ 3 + λ 3 +1),
P = [ψ 3 + λ 3 +1] P '(6)
Thus, the rational point P satisfies [λ 3 ] P = ψ 3 (P). Then, let G 1 be a rational point subgroup generated by such P. Conversely,
Q = [ψ 33 ] P '(7)
Then, the rational point Q that satisfies [λ 3 +1] Q = −ψ 3 (Q) is obtained. Then, let G 2 be a rational point subgroup generated by such Q. Using these G 1 and G 2 , compression / decompression of rational point information described later can be realized.

<関係式の導出法の説明>
3次の場合の式(5)の導出について以下に説明する。
まず、任意の有理点P’∈E(Fp)[r]は、E(Fp)のフロベニウス写像のトレースt及びフロベニウス写像φを用いて、次式を満たすことが知られている。
φ:(x,y)→(xp,yp)
2 -tφ+[p])P’= O (8)
同様に、P’をE(Fp)と同型な群を内包する拡大体上ツイスト曲線E’(Fp )に写像した有理点P~を考えれば、E’(F)のフロベニウス写像のトレースをt’として次式を満たす。
2 -t’φ+[p])P~= O (9)
ここで、ツイスト曲線は、E’:y2 = x3+bv-2,b∈Fで与えられ、vはFの3乗非剰余な元であり、P~は、P’=(x,y)として以下で与えられる。
P~ = (xv2/3,yv) (10)
ここで、上式を写像ψ: P’∈E(Fp)→P~∈E’(Fp 3)とすれば、式(9)は次式のように変形できる。
{(ψ-1φ2ψ)-t’(ψ-1φψ)+[p]}P’= O (11)
そしてこの場合、ψ-1φψ=ψ3が成り立つので次式を得る。
3 2-t’ψ3+[p])P’= O (12)
上式に対して、有理点群の埋め込み次数が1であることからp≡1 (mod r)であり、加えてこれに用いる楕円曲線をt’≡-1(3次)、0(4次)、1(6次) (mod r) となるように生成していることから、P’∈E(Fp)[r] (位数rの有理点)とすれば、3次のときには次式を得る。
3 2 +ψ3+[1])P’= O (13)
一方で3次の場合には、式(3)を満たすような整数λ3も存在し、すなわちψ3 2 +ψ3+1≡0(mod r)を、ψ3を変数とするような方程式と考えれば、その解の1つがψ3となる。したがって、式(5)のような因数分解された関係式が得られる。<Explanation of relational derivation method>
Derivation of equation (5) in the third-order case will be described below.
First, it is known that an arbitrary rational point P′∈E (F p ) [r] satisfies the following equation using the F tévenius map trace t and Frobenius map φ of E (F p ).
φ: (x, y) → (x p , y p )
2 -tφ + [p]) P '= O (8)
Similarly, given mapping the rational point P ~ in 'the E (F p) and isomorphic extension fields on twisted curve E which encloses the group' (F p 3) P, Frobenius mapping E '(F p) The following equation is satisfied with t ′ as the trace.
2 -t'φ + [p]) P ~ = O (9)
Here, the twist curve is given by E ′: y 2 = x 3 + bv −2 , b∈F p , v is a cube non-residue element of F p , and P˜ is P ′ = ( x, y) is given below.
P ~ = (xv 2/3 , yv) (10)
Here, if the above equation is mapped ψ: P′εE (F p ) → P˜εE ′ (F p 3 ), equation (9) can be transformed as the following equation.
{(Ψ -1 φ 2 ψ) -t '(ψ -1 φψ) + [p]} P' = O (11)
In this case, ψ -1 φψ = ψ 3 holds, so the following equation is obtained.
3 2 -t'ψ 3 + [p]) P '= O (12)
For the above equation, p≡1 (mod r) because the embedding degree of the rational point group is 1, and the elliptic curve used for this is t'≡-1 (3rd order), 0 (4th order) ), 1 (6th order) (mod r) so that P′∈E (F p ) [r] (the rational point of order r) Get the formula.
3 2 + ψ 3 + [1]) P '= O (13)
On the other hand, in the third-order case, there is an integer λ 3 that satisfies Equation (3), that is, ψ 3 2 + ψ 3 + 1≡0 (mod r) and ψ 3 as a variable If you think about it, one of the solutions is ψ 3 . Therefore, a factored relational expression such as Expression (5) is obtained.

<4次の場合>
同様に、楕円曲線のパラメータが、4|(p-1), E: y2=x3+ax, a∈Fp, D=1の場合、
r|#E(Fp), 4|(r-1) を満たす合成数rに対して、次式を満足するある整数λ4が存在する。
λ4 2+1≡0 (mod r) (14)
また、以下に示す周期4の自己準同型写像ψ4が与えられる。

Figure 0005769263

このような合成数rを位数として持つ有理点をP∈E(Fp)[r]とすれば、4次の場合、[λ4]P=ψ4(P)の関係を用いることで後述の有理点情報圧縮の効率化を図っている。<4th case>
Similarly, if the elliptic curve parameters are 4 | (p-1), E: y 2 = x 3 + ax, a∈F p , D = 1,
For a composite number r that satisfies r | #E (F p ), 4 | (r−1), there is an integer λ 4 that satisfies the following equation.
λ 4 2 + 1≡0 (mod r) (14)
Further, a self-homogeneous map ψ 4 having a period 4 shown below is given.
Figure 0005769263
If a rational point having such a composite number r as an order is P∈E (F p ) [r], then in the fourth order, the relation [λ 4 ] P = ψ 4 (P) is used. The rational point information compression described later is made more efficient.

本発明では、本発明者らが発見した以下の性質を用いる。
まず、任意の有理点P’∈E(Fp)[r]は次式を満たす。
[(ψ44)( ψ44)]P’= O (16)
すなわち、ランダムに生成した有理点P’∈E(Fp)[r]を(ψ44 )倍し、
P=[ψ44]P’ (17)
とすることにより、その有理点Pは[λ4]P= ψ4(P)を満たすこととなる。そして、そのようなPが生成する有理点部分群をG1 とする。また逆に、
Q=[ψ44]P’ (18)
とすれば、[λ4]Q= -ψ4(Q)を満たす有理点Qとなる。そして、そのようなQが生成する有理点部分群をG2 とする。これらG1 及びG2 を用いて後述の有理点情報の圧縮・復元を実現することができる。In the present invention, the following properties discovered by the present inventors are used.
First, an arbitrary rational point P′∈E (F p ) [r] satisfies the following expression.
[(ψ 44 ) (ψ 4 + λ 4 )] P '= O (16)
That is, rationally generated rational point P′∈E (F p ) [r] is multiplied by (ψ 4 + λ 4 ),
P = [ψ 4 + λ 4 ] P '(17)
Thus, the rational point P satisfies [λ 4 ] P = ψ 4 (P). Then, let G 1 be a rational point subgroup generated by such P. Conversely,
Q = [ψ 44 ] P '(18)
Then, the rational point Q that satisfies [λ 4 ] Q = −ψ 4 (Q) is obtained. Then, let G 2 be a rational point subgroup generated by such Q. Using these G 1 and G 2 , compression / decompression of rational point information described later can be realized.

4次の場合の式(16)の導出については、3次の場合と同様であるので説明は省略する。   The derivation of Equation (16) in the fourth order is the same as in the third order, and the description thereof is omitted.

<6次の場合>
さらに同様に、楕円曲線のパラメータが、6|(p-1), E: y2 =x3+b, b∈Fp, D=3の場合、
r|#E(Fp), 3|(r-1) を満たす合成数rに対して、次式を満足するλ6が存在する。
λ6 26 +1≡0 (mod r) (19)
また、以下に示す周期6の自己準同型写像ψ6が与えられる。

Figure 0005769263

このような位数rを持つ有理点をP∈E(Fp)[r]とし、6次の場合、[λ6]P=ψ6(P)の関係を用いることで後述の有理点情報圧縮の効率化を図っている。<In case of 6th order>
Similarly, if the elliptic curve parameters are 6 | (p-1), E: y 2 = x 3 + b, b∈F p , D = 3,
For a composite number r that satisfies r | #E (F p ), 3 | (r−1), there exists λ 6 that satisfies the following expression.
λ 6 26 + 1≡0 (mod r) (19)
Further, a self-homogeneous map ψ 6 having a period 6 shown below is given.
Figure 0005769263
A rational point having such an order r is set as P∈E (F p ) [r], and in the case of the sixth order, the rational point information described later is used by using the relation [λ 6 ] P = ψ 6 (P). We are trying to improve the efficiency of compression.

本発明では、本発明者らが発見した以下の性質を用いる。
まず、任意の有理点P’∈E(Fp)[r]は次式を満たす。
[(ψ66)( ψ66 -1)]P’= O (22)
すなわち、ランダムに生成した有理点P’∈E(Fp)[r]を(ψ66 -1)倍し、
P=[ψ66 -1]P’ (23)
とすることにより、その有理点Pは[λ6]P= ψ6(P)を満たすこととなる。そして、そのようなPが生成する有理点部分群をG1 とする。また逆に、
Q=[ψ66]P’ (24)
とすれば、[λ6 -1]Q= -ψ6(Q)を満たす有理点Qとなる。そして、そのようなQが生成する有理点部分群をG2 とする。これらG1 及びG2 を用いて後述の有理点情報の圧縮・復元を実現することができる。In the present invention, the following properties discovered by the present inventors are used.
First, an arbitrary rational point P′∈E (F p ) [r] satisfies the following expression.
[(ψ 66 ) (ψ 6 + λ 6 -1)] P '= O (22)
That is, the randomly generated rational point P′∈E (F p ) [r] is multiplied by (ψ 6 + λ 6 −1),
P = [ψ 6 + λ 6 -1] P '(23)
Thus, the rational point P satisfies [λ 6 ] P = ψ 6 (P). Then, let G 1 be a rational point subgroup generated by such P. Conversely,
Q = [ψ 66 ] P '(24)
Then, the rational point Q that satisfies [λ 6 −1] Q = −ψ 6 (Q) is obtained. Then, let G 2 be a rational point subgroup generated by such Q. Using these G 1 and G 2 , compression / decompression of rational point information described later can be realized.

6次の場合の式(22)の導出についても、3次の場合と同様であるので説明は省略する。   The derivation of Equation (22) in the sixth order is also the same as in the third order, and the description is omitted.

本発明の有理点情報の圧縮装置、圧縮方法及び圧縮プログラムでは、有理点群の埋め込み次数が1の場合において、有理点部分群G1、G2を特定し、2つの有理点P∈G1、Q∈G2 を送信する際に有理点P,Qを楕円加算して圧縮した有理点Rを送信している。受信先での元の有理点情報P,Qへの分解・復元は、上述のG1、 Gの特性を利用して行う。以下に4次、3次、及び6次の場合について説明する。いずれもスカラー倍算1回程度の計算で、有理点情報を分解・復元できる。In the rational point information compression apparatus, compression method, and compression program of the present invention, when the embedding degree of the rational point group is 1, the rational point subgroups G 1 and G 2 are specified, and the two rational points P∈G 1 , GεG 2 is transmitted, and rational points R, which are compressed by elliptically adding rational points P and Q, are transmitted. Decomposition / restoration into original rational point information P and Q at the reception destination is performed using the above-described characteristics of G 1 and G 2 . In the following, the fourth, third, and sixth orders will be described. In both cases, rational point information can be decomposed and restored with a single scalar multiplication.

<4次の場合>
まず、有理点P, Qは次式を満たす。
4]P=ψ4(P), [λ4]Q=-ψ4(Q) (25)
すなわち、言い換えればそれぞれ次式を満たす。
44]P=O, [ψ44]Q=O (26)
したがって、受信データR=P+Qに対して、例えば、[ψ44]倍算を施せば、
44]R=[ψ44](P+Q)
=[ψ44]P+[ψ44]Q
=[ψ44]P+ O
4(P)+[λ4]P
=[λ4]P+[λ4]P
=2[λ4]P
となり、両辺にλ4 を乗じて、r=λ4 2+1≡0を適用すれば次式を得る。
4][ψ44]R=2[λ4 2]P=[-2]P
これに[-2-1mod r]倍算を施せばPを得ることができる。Qは、Q=R-Pにより求めることができる。このようにスカラー倍算1回くらいの計算量で分解・復元ができるため、情報圧縮してデータを送信することの効率化を図ることができる。<4th case>
First, rational points P and Q satisfy the following equation.
4 ] P = ψ 4 (P), [λ 4 ] Q = -ψ 4 (Q) (25)
In other words, the following expressions are satisfied respectively.
44 ] P = O, [ψ 4 + λ 4 ] Q = O (26)
Therefore, for example, if [ψ 4 + λ 4 ] multiplication is performed on the received data R = P + Q,
4 + λ 4 ] R = [ψ 4 + λ 4 ] (P + Q)
= [ψ 4 + λ 4 ] P + [ψ 4 + λ 4 ] Q
= [ψ 4 + λ 4 ] P + O
= ψ 4 (P) + [λ 4 ] P
= [λ 4 ] P + [λ 4 ] P
= 2 [λ 4 ] P
If both sides are multiplied by λ 4 and r = λ 4 2 + 1≡0 is applied, the following equation is obtained.
4 ] [ψ 4 + λ 4 ] R = 2 [λ 4 2 ] P = [-2] P
If this is multiplied by [−2 −1 mod r], P can be obtained. Q can be obtained by Q = RP. As described above, since the data can be decomposed and restored with a calculation amount of about one scalar multiplication, it is possible to improve the efficiency of transmitting data after compressing information.

<3次の場合>
まず、有理点P, Qは次式を満たす。
3]P=ψ3(P), [λ3+1]Q=-ψ3(Q) (27)
すなわち、言い換えればそれぞれ次式を満たす。
33]P= O, [ψ33+1]Q= O (28)
したがって、受信データR=P+Qに対して、例えば[ψ33+1]倍算を施せば、
33+1]R=[ψ33+1](P+Q)
=[ψ33+1]P+[ψ33+1]Q
=[ψ33+1]P+ O
3(P)+[λ3]P+P
=[2λ3+1]P
となり、両辺に[2λ3+1] を乗じて、r=λ3 23+1≡0 を適用すれば次式を得る。
[2λ3+1][ψ33+1]R=[2λ3+1]2P
=[4λ3 2+4λ3+1]P
=[-3]P (29)
これに[-3-1mod r]倍算を施せばPを得ることができる。Qは、Q=R-P により求めることができる。このようにスカラー倍算1回くらいの計算量で分解・復元ができるため、情報圧縮してデータを送信することの効率化を図ることができる。<3rd case>
First, rational points P and Q satisfy the following equation.
3 ] P = ψ 3 (P), [λ 3 +1] Q = -ψ 3 (Q) (27)
In other words, the following expressions are satisfied respectively.
33 ] P = O, [ψ 3 + λ 3 +1] Q = O (28)
Therefore, for example, if [ψ 3 + λ 3 +1] multiplication is performed on the received data R = P + Q,
3 + λ 3 +1] R = [ψ 3 + λ 3 +1] (P + Q)
= [ψ 3 + λ 3 +1] P + [ψ 3 + λ 3 +1] Q
= [ψ 3 + λ 3 +1] P + O
= ψ 3 (P) + [λ 3 ] P + P
= [2λ 3 +1] P
If both sides are multiplied by [2λ 3 +1] and r = λ 3 2 + λ 3 + 1≡0 is applied, the following equation is obtained.
[2λ 3 +1] [ψ 3 + λ 3 +1] R = [2λ 3 +1] 2 P
= [4λ 3 2 + 4λ 3 +1] P
= [-3] P (29)
If this is multiplied by [−3 −1 mod r], P can be obtained. Q can be obtained by Q = RP. As described above, since the data can be decomposed and restored with a calculation amount of about one scalar multiplication, it is possible to improve the efficiency of transmitting data after compressing information.

<6次の場合>
まず、有理点P, Qは 次式を満たす。
6]P=ψ6(P), [λ6-1]Q=-ψ6(Q) (30)
すなわち、言い換えればそれぞれ次式を満たす。
66]P= O, [ψ66-1]Q= O (31)
したがって、受信データR=P+Qに対して、例えば[ψ66-1]倍算を施せば、
66-1]R=[ψ66-1](P+Q)
=[ψ66-1]P+[ψ66-1]Q
=[ψ66-1]P+ O
6(P)+[λ6]P-P
=[2λ6-1]P (32)
となり、両辺に[2λ6-1] を乗じて、r=λ6 26+1≡0 を適用すれば次式を得る。
[2λ6-1][ψ66-1]R=[2λ6-1]2P
=[4λ6 2-4λ6+1]P
=[-3]P (33)
これに[-3-1mod r]倍算を施せばPを得ることができる。Qは、Q=R-P により求めることができる。このようにスカラー倍算1回くらいの計算量で分解・復元ができるため、情報圧縮してデータを送信することの効率化を図ることができる。<6th case>
First, rational points P and Q satisfy the following equation.
6 ] P = ψ 6 (P), [λ 6 -1] Q = -ψ 6 (Q) (30)
In other words, the following expressions are satisfied respectively.
66 ] P = O, [ψ 6 + λ 6 -1] Q = O (31)
Therefore, for example, if [ψ 6 + λ 6 −1] multiplication is performed on the received data R = P + Q,
6 + λ 6 -1] R = [ψ 6 + λ 6 -1] (P + Q)
= [ψ 6 + λ 6 -1] P + [ψ 6 + λ 6 -1] Q
= [ψ 6 + λ 6 -1] P + O
= ψ 6 (P) + [λ 6 ] PP
= [2λ 6 -1] P (32)
If both sides are multiplied by [2λ 6 -1] and r = λ 6 26 + 1≡0 is applied, the following equation is obtained.
[2λ 6 -1] [ψ 6 + λ 6 -1] R = [2λ 6 -1] 2 P
= [4λ 6 2 -4λ 6 +1] P
= [-3] P (33)
If this is multiplied by [−3 −1 mod r], P can be obtained. Q can be obtained by Q = RP. As described above, since the data can be decomposed and restored with a calculation amount of about one scalar multiplication, it is possible to improve the efficiency of transmitting data after compressing information.

上述したように、4次の場合には、2-1 倍算が、3次及び6次の場合は、3-1倍算が必要となる。これらのスカラー倍算は通常のスカラー倍算よりも効率よく求めることができる。As described above, 2 -1 multiplication is required in the fourth order, and 3 -1 multiplication is required in the third and sixth orders. These scalar multiplications can be obtained more efficiently than ordinary scalar multiplication.

<2-1 倍算>
まず、r=λ4 2+1 に注意すれば、2-1mod r は、次式で求めることができる。ここで、λ4 が偶整数であることに注意する。
2-1=(r+1)/2
=(λ4 2+2)/2
4・(λ4/2)+1
すなわち、有理点Tに対する2-1 倍算は、以下のようになる。
[2-1]T=[λ4・(λ4/2)+1]T
4([λ4/2]T)+T
すなわち、実質的には、λ4/2 程度の計算量で求められ、これはrのビットサイズの約半分なので計算コストは通常のスカラー倍算の半分になる。<2 -1 multiplication>
First, paying attention to r = λ 4 2 +1, 2 −1 mod r can be obtained by the following equation. Note that λ 4 is an even integer.
2 -1 = (r + 1) / 2
= (λ 4 2 +2) / 2
= λ 4 · (λ 4/ 2) +1
That is, the 2 −1 multiplication for the rational point T is as follows.
[2 -1] T = [λ 4 · (λ 4/2) +1] T
= ψ 4 ([λ 4/ 2] T) + T
That, in effect, obtained by the calculation amount of about lambda 4/2, which is computationally expensive because about half the bit size of r is half the normal scalar multiplication.

<3-1 倍算>
3次の場合の3-1 倍算は、r=λ3 23+1 に注意すれば以下のように求まる。
3-1=(2r+1)/3
=(2λ3 2+2λ3+3)/3
=(2λ33+1)+3)/3
3・2(λ3+1)/3+1
ただしこの場合、λ3+1 は、3の倍数であることが条件である。
すなわち、有理点Tに対する3-1 倍算は、以下のようになる。
[3-1]T=[λ3・2(λ3+1)/3+1]T
3([2(λ3+1)/3]T)+T
すなわち、実質的には、λ3・2/3 程度の計算量で求められ、これはrのビットサイズの約半分なので計算コストは通常のスカラー倍算の半分になる。<3 -1 multiplication>
The 3 -1 multiplication in the third-order case can be obtained as follows, paying attention to r = λ 3 2 + λ 3 +1.
3 -1 = (2r + 1) / 3
= (2λ 3 2 + 2λ 3 +3) / 3
= (2λ 33 +1) +3) / 3
= λ 3・ 2 (λ 3 +1) / 3 + 1
However, in this case, it is a condition that λ 3 +1 is a multiple of 3.
That is, 3 -1 multiplication for the rational point T is as follows.
[3 -1 ] T = [λ 3・ 2 (λ 3 +1) / 3 + 1] T
= ψ 3 ([2 (λ 3 +1) / 3] T) + T
In other words, the calculation amount is about λ 3 · 2/3, which is about half of the bit size of r, so that the calculation cost is half of the normal scalar multiplication.

6次の場合の3-1倍算は、r=λ6 26+1 に注意すれば以下のように求まる。
3-1=(2r+1)/3
=(2λ6 2-2λ6+3)/3
=(2λ66-1)+3)/3
6・2(λ6-1)/3+1
ただしこの場合、λ6-1 は、3の倍数であることが条件である。
すなわち、有理点Tに対する3-1 倍算は、以下のようになる。
[3-1]T=[λ6・2(λ6-1)/3+1]T
6([2(λ6-1)/3]T)+T
すなわち、実質的には、λ6・2/3 程度の計算量で求められ、これはrのビットサイズの約半分なので計算コストは通常のスカラー倍算の半分になる。The 3 -1 multiplication in the 6th order can be obtained as follows, paying attention to r = λ 6 26 +1.
3 -1 = (2r + 1) / 3
= (2λ 6 2 -2λ 6 +3) / 3
= (2λ 66 -1) +3) / 3
= λ 6・ 2 (λ 6 -1) / 3 + 1
However, in this case, λ 6 -1 is a condition that is a multiple of 3.
That is, 3 -1 multiplication for the rational point T is as follows.
[3 -1 ] T = [λ 6・ 2 (λ 6 -1) / 3 + 1] T
= ψ 6 ([2 (λ 6 -1) / 3] T) + T
In other words, the calculation amount is about λ 6 · 2/3, which is about half of the bit size of r, so that the calculation cost is half of the normal scalar multiplication.

以下において、本発明の実施形態について、図を用いて説明する。
図1は、本発明の実施形態にかかる有理点情報圧縮装置の概略模式図である。
図2は、本発明の実施形態にかかるクライアント装置上の有理点情報圧縮装置100の全体構成を例示したブロック図である。
図3は、本発明の実施形態にかかる認証サーバ上の有理点情報圧縮装置200の全体構成を例示したブロック図である。
まず、図1、図2、及び図3を用いてこの形態の全体について説明し、次にその詳細について説明する。
なお、本実施形態では、所要の電子計算機で構成された認証サーバ及びクライアント装置によってディジタルグループ署名の認証処理を行う際に、与えられたペアリング曲線から上述した有理点部分群を特定するプログラム、及び有理点情報を復元するプログラム部分についてのみ説明する。なお、有理点部分群の特定及び有理点情報復元の演算は、認証サーバまたは、クライアント装置で実行される場合に限定されるものではなく、少なくともCPUなどの演算手段及び記憶手段を備えた装置であれば、どのような装置であってもよい。Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a schematic diagram of a rational point information compression apparatus according to an embodiment of the present invention.
FIG. 2 is a block diagram illustrating the overall configuration of the rational point information compression device 100 on the client device according to the embodiment of the present invention.
FIG. 3 is a block diagram illustrating the overall configuration of the rational point information compression apparatus 200 on the authentication server according to the embodiment of the present invention.
First, the entirety of this embodiment will be described with reference to FIGS. 1, 2, and 3, and then the details will be described.
In the present embodiment, a program for identifying the above-described rational point subgroup from a given pairing curve when performing authentication processing of a digital group signature by an authentication server and a client device configured with a required electronic computer, Only the program portion for restoring rational point information will be described. The calculation of the rational point subgroup and the calculation of rational point information restoration are not limited to the case where the calculation is performed by the authentication server or the client device, but at least a device including a calculation unit such as a CPU and a storage unit. Any device can be used.

図1に示すように、認証サーバまたはクライアント装置を構成する電子計算機10は、演算処理を実行するCPU11と有理点部分群特定プログラム、有理点情報復元プログラム、ペアリング演算プログラムなどの各種プログラム、及びこれらのプログラムで使用するデータなどを記憶したハードディスクなどの記憶装置12と、これらのプログラムを展開して実行可能とするとともに、これらプログラムの実行にともなって生成されたデータを一時的に記憶するRAMなどで構成されたメモリ装置13を備えている。図1中、14はバスである。   As shown in FIG. 1, an electronic computer 10 constituting an authentication server or client device includes a CPU 11 that executes arithmetic processing, various programs such as a rational point subgroup specifying program, a rational point information restoring program, a pairing arithmetic program, and the like. A storage device 12 such as a hard disk that stores data used in these programs, and a RAM that allows these programs to be expanded and executed, and temporarily stores data generated as a result of the execution of these programs And a memory device 13 composed of the above. In FIG. 1, 14 is a bus.

また、認証サーバを構成する電子計算機10は、インターネットなどの電気通信回線20に接続され、この電気通信回線20に接続されたクライアント装置30から送信されたディジタルグループ署名の署名データを受信可能としている。図1中、15は電子計算機10の入出力部である。   The electronic computer 10 constituting the authentication server is connected to a telecommunication line 20 such as the Internet, and can receive the signature data of the digital group signature transmitted from the client device 30 connected to the telecommunication line 20. . In FIG. 1, 15 is an input / output unit of the electronic computer 10.

図2に、クライアント装置上の有理点情報圧縮装置100を示す。図2に示すように、有理点情報圧縮装置100は、有理点部分群特定部110と、認証データ生成部120と、有理点情報圧縮部130と、入出力部140とを有する。
まず、ディジタルグループ署名データ(認証データ)を生成するクライアント装置では、与えられたペアリング曲線から有理点部分群G1、G2を特定する(有理点部分群特定部110)。次に、署名データを生成し(認証データ生成部120)、署名データを構成する有理点P∈G1及びQ∈G2のペアを楕円加算して有理点Rに圧縮する(有理点情報圧縮部130)。全てのペアについて圧縮した後、署名データを入出力部140より、認証サーバに向け送信する。FIG. 2 shows the rational point information compression apparatus 100 on the client apparatus. As shown in FIG. 2, the rational point information compression apparatus 100 includes a rational point subgroup specifying unit 110, an authentication data generation unit 120, a rational point information compression unit 130, and an input / output unit 140.
First, a client device that generates digital group signature data (authentication data) specifies rational point subgroups G 1 and G 2 from a given pairing curve (rational point subgroup specifying unit 110). Next, signature data is generated (authentication data generation unit 120), and a pair of rational points P∈G 1 and Q∈G 2 constituting the signature data is elliptically added to compress to rational point R (rational point information compression) Part 130). After all pairs are compressed, the signature data is transmitted from the input / output unit 140 to the authentication server.

図3に、認証サーバ上の有理点情報圧縮装置200を示す。図3に示すように、有理点情報圧縮装置200は、入出力部210と、有理点情報復元部220と、認証処理部230と、認証結果データ生成部240と、有理点情報圧縮部250と、入出力部260とを有する。
認証サーバを構成する電子計算機10では、クライアント装置30からディジタルグループ署名の署名データが送信されると、入出力部210を経由して署名データを受信し、受信した署名データをメモリ装置13に一旦記憶し、有理点情報復元プログラムを起動して元の有理点のペアの情報を復元した後(有理点情報復元部220)、ペアリング演算プログラムを起動して、ペアリング演算を実行している(認証処理部230)。
その後、認証結果のデータを生成し(認証結果データ生成部240)、有理点のペアの情報を圧縮し(有理点情報圧縮部250)、入出力部260を経由してクライアント装置に向け送信している。FIG. 3 shows a rational point information compression apparatus 200 on the authentication server. As shown in FIG. 3, the rational point information compression apparatus 200 includes an input / output unit 210, a rational point information restoration unit 220, an authentication processing unit 230, an authentication result data generation unit 240, a rational point information compression unit 250, And an input / output unit 260.
In the electronic computer 10 constituting the authentication server, when the signature data of the digital group signature is transmitted from the client device 30, the signature data is received via the input / output unit 210, and the received signature data is temporarily stored in the memory device 13. After memorizing and starting the rational point information restoration program to restore the original rational point pair information (rational point information restoration unit 220), the pairing computation program is launched to execute the pairing computation (Authentication processing unit 230).
After that, authentication result data is generated (authentication result data generation unit 240), rational point pair information is compressed (rational point information compression unit 250), and transmitted to the client device via the input / output unit 260. ing.

次に、本実施形態の詳細について図を用いて説明する。
<有理点部分群の特定>Next, details of the present embodiment will be described with reference to the drawings.
<Identification of rational point subgroup>

図4は図1で示した装置で所定のプログラムを実行させることにより実現される有理点部分群特定部110の機能構成を例示した図である。
図7は有理点部分群特定部の処理を行う有理点部分群特定プログラムのフローチャートである。
電子計算機10では、起動した有理点部分群特定プログラムによって、図7に示すフローチャートに基づいて効率的な自己準同型写像を可能とする有理点部分群を特定している。すなわち、入力された、有理点群が埋め込み次数1の一般の有理点を特定の有理点部分群内の有理点に変換している。この場合電子計算機10は有理点部分群特定手段として機能する。以下では、3次の場合について説明する。FIG. 4 is a diagram exemplifying a functional configuration of the rational point subgroup specifying unit 110 realized by executing a predetermined program by the apparatus shown in FIG.
FIG. 7 is a flowchart of a rational point subgroup specifying program that performs processing of the rational point subgroup specifying unit.
In the electronic computer 10, a rational point subgroup that enables efficient self-homogeneous mapping is specified based on the flowchart shown in FIG. That is, a general rational point whose rational point group is embedded degree 1 is converted into a rational point in a specific rational point subgroup. In this case, the electronic computer 10 functions as rational point subgroup specifying means. Hereinafter, the third case will be described.

ステップ T1(有理点入力部111)では、外部から与えられ入力手段により記憶手段に記憶された一般の有理点P’を読み出している。
ステップ T2(定数演算部112)では、あらかじめレジスタ119に記憶された有限体の標数p及び合成数位数rとを用いて、式(3)で示したλ2+λ+1≡0 (mod r)となるλ及び、式(4b)で示したε3≡1 (mod p)となるε(≠1)を演算し設定している。
ステップ T3(自己準同型写像演算部113)では、式(4b)のψ(P’):(x,y)→(εx,y)として、P’のx座標値xをε倍し、ψ(P’)を求めている。
ステップ T4(有理点演算部114)では、式(6)のP=ψ(P’)+(λ+1)P’を計算している。
ステップ T5(判定部115)では、P=O (無限遠点) かどうかを判定している。
P=O の場合は、2つの部分群を特定できないのでエラー・リターンしている(発生確率は、1/22000程度である。)。
ステップ T6 (有理点演算部114)では、式(7)のQ=ψ(P’)+(-λ)P’を計算している。
ステップ T7(判定部115)では、Q=O (無限遠点)かどうかを判定している。
Q=O の場合は2つの部分群を特定できないのでエラー・リターンしている(発生確率は、1/22000程度である。)。
ステップ T8では、P、Qを記憶手段に記憶している。Pの集合が有理点部分群G1となり、Qの集合が有理点部分群G2となる。In step T1 (rational point input unit 111), a general rational point P ′ given from the outside and stored in the storage means by the input means is read.
In step T2 (constant operation unit 112), λ 2 + λ + 1≡0 (mod r) shown in Expression (3) is obtained by using the characteristic p and finite number r of the finite field stored in the register 119 in advance. And ε (≠ 1) that satisfies ε 3 ≡1 (mod p) shown in Expression (4b) are set.
In step T3 (self-homogeneous mapping operation unit 113), ψ (P ′): (x, y) → (εx, y) in equation (4b) is multiplied by ε times the x coordinate value of P ′, and ψ Seeking (P ').
In step T4 (rational point calculation unit 114), P = ψ (P ′) + (λ + 1) P ′ in equation (6) is calculated.
In step T5 (determination unit 115), it is determined whether or not P = O (point at infinity).
For P = O, 2 two can not identify the subgroup are error return (probability is about 1/2 2000.).
In step T6 (rational point calculation unit 114), Q = ψ (P ′) + (− λ) P ′ in equation (7) is calculated.
In step T7 (determination unit 115), it is determined whether or not Q = O (point at infinity).
Q = is the error return can not identify the two subgroups in the case of O (probability is about 1/2 2000.).
In step T8, P and Q are stored in the storage means. The set of P becomes the rational point subgroup G 1 and the set of Q becomes the rational point subgroup G 2 .

本実施形態では、3次の場合について説明したが、4次,及び6次の場合も、λ、ψ(P’)、εまたはζ、P、Qがそれぞれ
4次では、式(14):λ2+1≡0 (mod r)、
式(15b):ψ(P’):(x,y)→(-x,ζy), (ζ=1, ζ,ζ2(≠1)∈Fp)、
式(17):P=ψ(P’) +λP’、
式(18):Q=ψ(P’) +(-λ)P’
となり、
6次では、式(19):λ2-λ+1≡0 (mod r)、
式(20b):ψ(P’):(x,y)→(εx,-y), (ε3=1, ε(≠1)∈Fp)、
式(23):P=ψ(P’) +(λ-1)P’、
式(24):Q=ψ(P’) +(-λ)P’
となるだけであり、同様に有理点部分群を特定することができる(説明は省略する。)。In the present embodiment, the third-order case has been described, but in the fourth-order and sixth-order cases, λ, ψ (P ′), ε or ζ, P, Q are respectively
In the fourth order, equation (14): λ 2 + 1≡0 (mod r),
Formula (15b): ψ (P ′) :( x, y) → (−x, ζy), (ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ),
Equation (17): P = ψ (P ′) + λP ′,
Expression (18): Q = ψ (P ′) + (− λ) P ′
And
In the 6th order, Equation (19): λ 2 -λ + 1≡0 (mod r),
Equation (20b): ψ (P ') :( x, y) → (εx, -y), (ε 3 = 1, ε (≠ 1) εF p ),
Formula (23): P = ψ (P ′) + (λ−1) P ′,
Formula (24): Q = ψ (P ′) + (− λ) P ′
Similarly, the rational point subgroup can be specified in the same manner (the description is omitted).

<有理点情報の圧縮>
有理点P∈G1, Q∈G2の圧縮はこれらの有理点を楕円加算して有理点Rとすることにより行う。これにより、有理点のデータ長は半分となる。<Compression of rational point information>
The rational points P∈G 1 and Q∈G 2 are compressed by elliptically adding these rational points to a rational point R. As a result, the data length of the rational point is halved.

<有理点情報の復元>
図5は図1で示した装置で所定のプログラムを実行させることにより実現される有理点情報復元部220の機能構成を例示した図である。
図6は有理点情報復元部の処理を行う有理点復元プログラムのフローチャートである(4次の場合)。
電子計算機10では、起動した有理点復元プログラムによって、図6に示すフローチャートに基づいて有理点Rから有理点P, Qを求めている。この場合電子計算機10は第2演算手段として機能する。以下では、4次の場合について説明する。<Restoring rational point information>
FIG. 5 is a diagram exemplifying a functional configuration of the rational point information restoration unit 220 that is realized by executing a predetermined program by the apparatus shown in FIG.
FIG. 6 is a flowchart of a rational point restoration program that performs the processing of the rational point information restoration unit (fourth case).
In the electronic computer 10, the rational points P and Q are obtained from the rational point R based on the flowchart shown in FIG. In this case, the electronic computer 10 functions as a second calculation means. Hereinafter, the fourth-order case will be described.

まず、有理点Rを入力し、メモリ手段13に記憶する。(ステップ S1、パラメータ入力部221)
次に、
T1=[λ4][ψ44]R
を計算する。(ステップ S2、レジスタ229、定数演算部222、自己準同型写像演算部224)
次に、
P=-[2-1]T1
を計算する。(ステップS3、2-1演算部223、有理点演算部225)
次に、
Q=R-P
を計算する。(ステップS4、有理点演算部225)First, the rational point R is input and stored in the memory means 13. (Step S1, parameter input unit 221)
next,
T 1 = [λ 4 ] [ψ 4 + λ 4 ] R
Calculate (Step S2, register 229, constant operation unit 222, self-homogeneous mapping operation unit 224)
next,
P =-[2 -1 ] T 1
Calculate (Step S3,2 -1 calculation section 223, rational point arithmetic unit 225)
next,
Q = RP
Calculate (Step S4, rational point calculation unit 225)

2-1倍算は、具体的には、以下のアルゴリズムを実行している。
[表1]4次の場合の2-1倍算アルゴリズム
入力:λ4、T1∈G1
出力:[2-1]T1
1. T←[λ4/2]T1
2. T←ψ4(T)+T1
3. Return T
すなわち、ステップ1では、有理点T1の[λ4/2]倍算を実行し、Tに代入している。ステップ2では、ステップ1で求めたTの自己準同型写像ψ4を実行し、有理点T1を加算してTに代入している。ステップ3では戻り値をTとしてリターンしている。Specifically, the 2 -1 multiplication performs the following algorithm.
[Table 1] 2 -1 multiplication algorithm input for 4th order: λ 4 , T 1 ∈ G 1
Output: [2 -1 ] T 1
1. T ← [λ 4/2 ] T 1
2. T ← ψ 4 (T) + T 1
3. Return T
That is, in step 1, perform the [λ 4/2] multiplication of rational points T 1, is substituted into T. In step 2, the self-homogeneous mapping ψ 4 of T obtained in step 1 is executed, and a rational point T 1 is added and substituted into T. In step 3, the return value is T and the process returns.

4次の場合の有理点の復元は、具体的には、以下のアルゴリズムを実行している。
[表2]4次の場合有理点復元アルゴリズム
入力:λ4、R=P+Q, P∈G1, Q∈G2
出力:P, Q
1. T1←ψ4(R)
2. T1←[λ4]T1-R
3. P← -[2-1]T1
4. Q←R-P
5. Return P, Q
すなわち、ステップ1では、有理点Rの自己準同型写像ψ4を実行し、T1に代入している。ステップ2では、有理点T1の[λ4]倍算を実行し、次に-Rを楕円加算してT1に代入している。ステップ3では、[表1]のアルゴリズムを実行し、符号をマイナスにしてPを求めている。ステップ4では、Rと-Pを楕円加算してQを求めている。ステップ5では、P, Qを戻り値としてリターンしている。To restore rational points in the fourth order, specifically, the following algorithm is executed.
[Table 2] Fourth-order rational point restoration algorithm input: λ 4 , R = P + Q, P∈G 1 , Q∈G 2
Output: P, Q
1. T 1 ← ψ 4 (R)
2. T 1 ← [λ 4 ] T 1 -R
3. P ←-[2 -1 ] T 1
4. Q ← RP
5. Return P, Q
That is, in step 1, the automorphism map ψ 4 of the rational point R is executed and assigned to T 1 . In Step 2, [λ 4 ] multiplication of the rational point T 1 is executed, and then -R is elliptically added and substituted for T 1 . In step 3, the algorithm of [Table 1] is executed to obtain P with a minus sign. In step 4, R and -P are elliptically added to obtain Q. In step 5, P and Q are returned as return values.

次に3次の場合について説明する。
3次の場合の3-1倍算は、具体的には、以下のアルゴリズムを実行している。
[表3]3次の場合の3-1倍算アルゴリズム
入力:λ3、T1∈G1
出力:[3-1]T1
1. T←[2(λ3+1)/3]T1
2. T←ψ3(T)+T1
3. Return T
すなわち、ステップ1では、有理点T1の[2(λ3+1)/3]倍算を実行し、Tに代入している。ステップ2では、ステップ1で求めたTの自己準同型写像ψ3を実行し、有理点T1を加算してTに代入している。ステップ3では戻り値をTとしてリターンしている。Next, the third case will be described.
Specifically, the 3 -1 multiplication in the third case executes the following algorithm.
[Table 3] 3 -1 multiplication algorithm input in case of third order: λ 3 , T 1 ∈G 1
Output: [3 -1 ] T 1
1. T ← [2 (λ 3 +1) / 3] T 1
2. T ← ψ 3 (T) + T 1
3. Return T
That is, in step 1, [2 (λ 3 +1) / 3] multiplication of the rational point T 1 is executed and substituted for T. In step 2, the T automorphism map ψ 3 obtained in step 1 is executed, and a rational point T 1 is added and substituted into T. In step 3, the return value is T and the process returns.

3次の場合の有理点の復元は、具体的には、以下のアルゴリズムを実行している。
[表4]3次の場合有理点復元アルゴリズム
入力:λ3、R=P+Q, P∈G1, Q∈G2
出力:P, Q
1. T1←ψ3(R)
2. T2←2T1+R
3. T2←[λ3]T2
4. T1←T2+T1-R
5. P← -[3-1]T1
6. Q←R-P
7. Return P, Q
すなわち、ステップ1では、有理点Rの自己準同型写像ψ3を行い、T1に代入している。ステップ2では、有理点T1の2倍算を実行し、次にRを楕円加算してT2に代入している。ステップ3では、有理点T2の[λ3]倍算を行いT2に代入している。ステップ4では、T2, T1,-Rを楕円加算してT1に代入している。ステップ5では、[表3]のアルゴリズムを実行し、符号をマイナスにしてPを求めている。ステップ6では、Rと-Pを楕円加算してQを求めている。ステップ7では、P, Qを戻り値としてリターンしている。To restore rational points in the third-order case, the following algorithm is specifically executed.
[Table 4] Rational point restoration algorithm input in case of third order: λ 3 , R = P + Q, P∈G 1 , Q∈G 2
Output: P, Q
1. T 1 ← ψ 3 (R)
2. T 2 ← 2T 1 + R
3. T 2 ← [λ 3 ] T 2
4. T 1 ← T 2 + T 1 -R
5. P ←-[3 -1 ] T 1
6. Q ← RP
7. Return P, Q
That is, in step 1, the automorphism map ψ 3 of the rational point R is performed and substituted for T 1 . In step 2, the rational point T 1 is doubled, and then R is elliptically added and substituted for T 2 . In step 3, the rational point T 2 is multiplied by [λ 3 ] and assigned to T 2 . In Step 4, T 2 , T 1 , -R are elliptically added and substituted for T 1 . In step 5, the algorithm shown in [Table 3] is executed to obtain P with a minus sign. In step 6, R and -P are elliptically added to obtain Q. In step 7, P and Q are returned as return values.

次に6次の場合について説明する。
6次の場合の3-1倍算は、具体的には、以下のアルゴリズムを実行している。
[表5]6次の場合の3-1倍算アルゴリズム
入力:λ6、T1∈G1
出力:[3-1]T1
1. T←[2(λ6-1)/3]T1
2. T←ψ6(T)+T1
3. Return T
すなわち、ステップ1では、有理点T1の[2(λ6-1)/3]倍算を実行し、Tに代入している。ステップ2では、ステップ1で求めたTの自己準同型写像ψ6を実行し、有理点T1を加算してTに代入している。ステップ3では戻り値をTとしてリターンしている。Next, the sixth case will be described.
Specifically, the 3 -1 multiplication in the sixth order executes the following algorithm.
[Table 5] 3 -1 multiplication algorithm input in case of 6th order: λ 6 , T 1 ∈G 1
Output: [3 -1 ] T 1
1. T ← [2 (λ 6 -1) / 3] T 1
2. T ← ψ 6 (T) + T 1
3. Return T
That is, in step 1, [2 (λ 6 −1) / 3] multiplication of the rational point T 1 is executed and substituted for T. In step 2, the self-homogeneous map ψ 6 of T obtained in step 1 is executed, and a rational point T 1 is added and substituted into T. In step 3, the return value is T and the process returns.

6次の場合の有理点の復元は、具体的には、以下のアルゴリズムを実行している。
[表6]6次の場合の有理点復元アルゴリズム
入力:λ6、R=P+Q, P∈G1, Q∈G2
出力:P, Q
1. T1←ψ6(R)
2. T2←2T1-R
3. T2←[λ6]T2
4. T1←T2-T1-R
5. P← -[3-1]T1
6. Q←R-P
7. Return P, Q
すなわち、ステップ1では、有理点Rの自己準同型写像ψ6を実行し、T1に代入している。ステップ2では、有理点T1の2倍算を実行し、次に-Rを楕円加算してT2に代入している。ステップ3では、有理点T2の[λ6]倍算を行いT2に代入している。ステップ4では、T2, -T1, -Rを楕円加算してT1に代入している。ステップ5では、[表5]のアルゴリズムを実行し、符号をマイナスにしてPを求めている。ステップ6では、Rと-Pを楕円加算してQを求めている。ステップ7では、P, Qを戻り値としてリターンしている。To restore rational points in the sixth order, specifically, the following algorithm is executed.
[Table 6] Rational point restoration algorithm input for the 6th order: λ 6 , R = P + Q, P∈G 1 , Q∈G 2
Output: P, Q
1. T 1 ← ψ 6 (R)
2. T 2 ← 2T 1 -R
3. T 2 ← [λ 6 ] T 2
4. T 1 ← T 2 -T 1 -R
5. P ←-[3 -1 ] T 1
6. Q ← RP
7. Return P, Q
That is, in step 1, the automorphism map ψ 6 of the rational point R is executed and substituted for T 1 . In step 2, the rational point T 1 is doubled, and then -R is elliptically added and substituted for T 2 . In step 3, the rational point T 2 is multiplied by [λ 6 ] and substituted into T 2 . In step 4, T 2 , -T 1 , -R are elliptically added and substituted for T 1 . In step 5, the algorithm of [Table 5] is executed to obtain P with a minus sign. In step 6, R and -P are elliptically added to obtain Q. In step 7, P and Q are returned as return values.

10 電子計算機
11 CPU
12 記憶装置
13 メモリ装置
14 バス
15 入出力部
20 電気通信回線
30 クライアント装置
100 有理点情報圧縮装置
110 有理点部分群特定部
111 有理点入力部
112 定数演算部
113 自己準同型写像演算部
114 有理点演算部
115 判定部
119 レジスタ
120 認証データ生成部
130 有理点情報圧縮部
140 入出力部
200 有理点情報圧縮装置
210 入出力部
220 有理点情報復元部
221 パラメータ入力部
222 定数演算部
223 2-1演算部
224 自己準同型写像演算部
225 有理点演算部
229 レジスタ
230 認証処理部
240 認証結果データ生成部
250 有理点情報圧縮部
260 入出力部10 Electronic calculator
11 CPU
12 Storage device
13 Memory device
14 Bus
15 Input / output section
20 Telecommunications line
30 client devices
100 Rational point information compressor
110 Rational point subgroup identification part
111 Rational point input part
112 Constant operation part
113 Auto-homogeneous mapping operation unit
114 Rational point calculator
115 Judgment part
119 registers
120 Authentication data generator
130 Rational point information compression part
140 I / O section
200 Rational point information compressor
210 Input / output section
220 Rational point information restoration part
221 Parameter input section
222 Constant operation part
223 2 -1 arithmetic unit
224 Self-Homomorphic Map Operation Unit
225 Rational point calculator
229 registers
230 Authentication processing section
240 Authentication result data generator
250 Rational point information compression part
260 I / O section

Claims (12)

標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信するCPU及び記憶手段を備えた有理点情報圧縮装置において、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記有理点情報圧縮装置のCPUは、
有理点P’を入力して前記記憶手段に記憶する入力手段と、
記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定する有理点部分群特定手段と、
前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P) またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算手段と、
前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算手段と、
前記有理点Rから有理点P及び有理点Qを演算する第2演算手段と、
を有する有理点情報圧縮装置。 The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In a rational point information compression device comprising a CPU and storage means for transmitting and receiving information on rational point P∈G 1 and rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
CPU of the rational point information compression device ,
An input means for inputting a rational point P ′ and storing it in the storage means;
Before SL 'reads, the rational point P read' the rational point P from the storage means the identify rational point P and Q using, by endomorphism [psi,
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Rational point subgroup identification means,
Reading the rational point P or Q from the storage means, calculating the self-homogeneous map ψ (P) or ψ (Q), and storing the rational point of the result in the storage means;
A first computing means for computing a rational point R = P + Q from the rational point P and the rational point Q;
A second computing means for computing a rational point P and a rational point Q from the rational point R;
Rational point information compression apparatus having 前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行う請求項1に記載の有理点情報圧縮装置。 The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compression apparatus according to claim 1, which is performed using [λ 1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行う請求項1に記載の有理点情報圧縮装置。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compression apparatus according to claim 1, wherein [2λ 1 +1] [ψ + λ 1 +1] R = [-3] P, Q = RP is used. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行う請求項1に記載の有理点情報圧縮装置。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 −λ 1 + 1≡0 (mod r), λ 2 2 −λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compressing apparatus according to claim 1, wherein [2λ 1 -1] [ψ + λ 1 -1] R = [-3] P, Q = RP is used. 標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信する場合に、CPU及び記憶手段を備えた電子計算機で行う情報圧縮方法において、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記電子計算機のCPUを入力手段として機能させて、有理点P’を入力して前記記憶手段に記憶する入力ステップと、
前記電子計算機のCPUを有理点部分群特定手段として機能させて、前記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定するステップと、
前記電子計算機のCPUを自己準同型写像演算手段として機能させて、前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P) またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算ステップと、
前記電子計算機のCPUを第1演算手段として機能させて、前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算ステップと、
前記電子計算機のCPUを第2演算手段として機能させて、前記有理点Rから有理点P及び有理点Qを演算する第2演算ステップと、
を有する有理点情報圧縮方法。 The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In the information compression method performed by an electronic computer equipped with a CPU and storage means when transmitting and receiving information on the rational point P∈G 1 and the rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
An input step of causing the CPU of the electronic computer to function as an input means, inputting a rational point P ′ and storing it in the storage means,
The CPU of the electronic computer is caused to function as a rational point subgroup specifying unit, the rational point P ′ is read from the storage unit, the rational points P and Q are specified using the read rational point P ′, and self By the homomorphic map ψ
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Steps,
The CPU of the electronic computer is made to function as a self-homogeneous mapping calculation means, the rational point P or Q is read from the storage means, the self-homogeneous mapping ψ (P) or ψ (Q) is calculated, and the result A self-homogeneous mapping operation step of storing a rational point in the storage means;
A first calculation step of causing the CPU of the electronic computer to function as a first calculation means, and calculating a rational point R = P + Q from the rational point P and the rational point Q;
A second calculation step of calculating the rational point P and the rational point Q from the rational point R by causing the CPU of the electronic computer to function as a second calculation means;
A rational point information compression method comprising: 前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行う請求項5に記載の有理点情報圧縮方法。 The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
6. The rational point information compression method according to claim 5, which is performed using [λ 1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行う請求項5に記載の有理点情報圧縮方法。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
6. The rational point information compression method according to claim 5, which is performed using [2λ 1 +1] [ψ + λ 1 +1] R = [− 3] P, Q = RP. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算ステップは、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行う請求項5に記載の有理点情報圧縮方法。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation step calculates the rational point P and the rational point Q, respectively.
The rational point information compression method according to claim 5, which is performed using [2λ 1 -1] [ψ + λ 1 -1] R = [-3] P, Q = RP. 標数pの有限体Fp上で定義された楕円曲線上の有理点の成す加法群をE(Fp)とし、合成数位数rを持つ有理点の集合すなわち前記加法群の部分群をG1=E(Fp)[r]、G2=E(Fp)[r]として、
有理点P∈G1及び有理点Q∈G2の情報を送受信する場合に、CPU及び記憶手段を備えた電子計算機に行わせる有理点情報圧縮プログラムにおいて、
前記加法群E(Fp)は、埋め込み次数を1とし、
前記電子計算機のCPUを
有理点P’を入力して前記記憶手段に記憶する入力手段、
前記記憶手段から前記有理点P’を読み出し、読み出した前記有理点P’を用いて前記有理点P及びQを特定し、自己準同型写像ψにより、
λ1P=ψ(P)、λQ=ψ(Q) (λ1≠λは整数)を満足する前記有理点P及びQの集合である前記部分群G1及びG2を特定する有理点部分群特定手段、
前記記憶手段から前記有理点PまたはQを読み出し、前記自己準同型写像ψ(P)またはψ(Q)を演算しその結果の有理点を前記記憶手段に記憶する自己準同型写像演算手段、
前記有理点P及び前記有理点Qから有理点R=P+Qを演算する第1演算手段、
前記有理点Rから有理点P及び有理点Qを演算する第2演算手段、
として機能させる有理点情報圧縮プログラム。 The additive group formed by the rational points on an elliptic curve defined on a finite field F p of characteristic p and E (F p), a set i.e. subgroup of the additive group of rational points with synthetic number digit numbers r G 1 = E (F p ) [r], G 2 = E (F p ) [r]
In the rational point information compression program to be performed by an electronic computer equipped with a CPU and storage means when sending and receiving information on the rational point P∈G 1 and the rational point Q∈G 2 ,
The additive group E (F p ) has an embedding degree of 1,
Input means for inputting a rational point P ′ to the CPU of the electronic computer and storing it in the storage means;
Read the rational point P ′ from the storage means, identify the rational points P and Q using the read rational point P ′, by the self-homogeneous map ψ,
Identify the subgroups G 1 and G 2 that are sets of the rational points P and Q that satisfy λ 1 P = ψ (P), λ 2 Q = ψ (Q) (λ 1 ≠ λ 2 is an integer) Rational point subgroup identification means,
Self-homogeneous mapping calculation means for reading the rational point P or Q from the storage means, calculating the self-homogeneous map ψ (P) or ψ (Q), and storing the resulting rational points in the storage means,
A first computing means for computing a rational point R = P + Q from the rational point P and the rational point Q;
A second computing means for computing a rational point P and a rational point Q from the rational point R;
Rational point information compression program to function as. 前記楕円曲線は、E:y2 = x3 +ax, a∈Fp, 4|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 4|(r-1) を満たし、
前記整数λ1、λ2は、λ1 2+1≡0(mod r)、λ2 2+1≡0(mod r) を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (-x,ζy), ζ4=1, ζ,ζ2(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 )P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
1][ψ+λ1]R=[-2]P, Q=R-P を用いて行う請求項9に記載の有理点情報圧縮プログラム。 The elliptic curve is E: y 2 = x 3 + ax, a∈F p , 4 | (p-1)
The composite order r satisfies r | #E (F p ), 4 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + 1≡0 (mod r), λ 2 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (-x, ζy), ζ 4 = 1, ζ, ζ 2 (≠ 1) ∈F p ,
The rational point P and the rational point Q are P = (ψ + λ 1 ) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compression program according to claim 9, which is performed using [λ 1 ] [ψ + λ 1 ] R = [− 2] P, Q = RP. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 3|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 +1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1+1][ψ+λ1+1]R=[-3]P, Q=R-P を用いて行う請求項9に記載の有理点情報圧縮プログラム。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 3 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 +1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compression program according to claim 9, which is performed using [2λ 1 +1] [ψ + λ 1 +1] R = [− 3] P, Q = RP. 前記楕円曲線は、E:y2 = x3 +b, b∈Fp, 6|(p-1) であり、
前記合成数位数rは、r|#E(Fp), 3|(r-1) を満たし、
前記整数λ1、λ2は、λ1 21+1≡0(mod r)、λ2 22 +1≡0(mod r)を満たし、
前記自己準同型写像は、ψ:E(Fp)[r] → E(Fp)[r]、
(x,y) → (εx,-y),ε3=1,ε(≠1)∈Fp であり、
前記有理点P、前記有理点Qは、それぞれ、P =(ψ+λ 1 -1)P’、Q =(ψ-λ 1 )P’であり、
前記第2演算手段は、前記有理点P, 前記有理点Qの演算を、それぞれ
[2λ1-1][ψ+λ1-1]R=[-3]P, Q=R-P を用いて行う請求項9に記載の有理点情報圧縮プログラム。 The elliptic curve is E: y 2 = x 3 + b, b∈F p , 6 | (p-1)
The composite order r satisfies r | #E (F p ), 3 | (r-1),
The integers λ 1 and λ 2 satisfy λ 1 2 + λ 1 + 1≡0 (mod r), λ 2 2 + λ 2 + 1≡0 (mod r),
The automorphism map is ψ: E (F p ) [r] → E (F p ) [r],
(x, y) → (εx, -y), ε 3 = 1, ε (≠ 1) εF p ,
The rational point P and the rational point Q are P = (ψ + λ 1 −1) P ′ and Q = (ψ−λ 1 ) P ′, respectively.
The second calculation means calculates the rational point P and the rational point Q, respectively.
The rational point information compression program according to claim 9, which is performed using [2λ 1 -1] [ψ + λ 1 -1] R = [-3] P, Q = RP.
JP2012537756A 2010-10-08 2011-10-06 Rational point information compression apparatus, rational point information compression method, and rational point information compression program Expired - Fee Related JP5769263B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012537756A JP5769263B2 (en) 2010-10-08 2011-10-06 Rational point information compression apparatus, rational point information compression method, and rational point information compression program

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2010228250 2010-10-08
JP2010228250 2010-10-08
JP2012537756A JP5769263B2 (en) 2010-10-08 2011-10-06 Rational point information compression apparatus, rational point information compression method, and rational point information compression program
PCT/JP2011/073098 WO2012046805A1 (en) 2010-10-08 2011-10-06 Rational point information compression device, rational point information compression method, and rational point information compression program

Publications (2)

Publication Number Publication Date
JPWO2012046805A1 JPWO2012046805A1 (en) 2014-02-24
JP5769263B2 true JP5769263B2 (en) 2015-08-26

Family

ID=45927799

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012537756A Expired - Fee Related JP5769263B2 (en) 2010-10-08 2011-10-06 Rational point information compression apparatus, rational point information compression method, and rational point information compression program

Country Status (2)

Country Link
JP (1) JP5769263B2 (en)
WO (1) WO2012046805A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008178035A (en) * 2007-01-22 2008-07-31 Toshiba Corp Electronic signature system, apparatus, and program
JP2009109772A (en) * 2007-10-30 2009-05-21 Okayama Univ Pairing computation device, pairing computation method, and pairing computation program
WO2010024401A1 (en) * 2008-08-29 2010-03-04 国立大学法人岡山大学 Pairing computation device, pairing computation method, and pairing computation program
WO2010061951A1 (en) * 2008-11-28 2010-06-03 国立大学法人岡山大学 Scalar multiplier and scalar multiplication program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008178035A (en) * 2007-01-22 2008-07-31 Toshiba Corp Electronic signature system, apparatus, and program
JP2009109772A (en) * 2007-10-30 2009-05-21 Okayama Univ Pairing computation device, pairing computation method, and pairing computation program
WO2010024401A1 (en) * 2008-08-29 2010-03-04 国立大学法人岡山大学 Pairing computation device, pairing computation method, and pairing computation program
WO2010061951A1 (en) * 2008-11-28 2010-06-03 国立大学法人岡山大学 Scalar multiplier and scalar multiplication program

Also Published As

Publication number Publication date
WO2012046805A1 (en) 2012-04-12
JPWO2012046805A1 (en) 2014-02-24

Similar Documents

Publication Publication Date Title
Jao et al. Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies
US8111826B2 (en) Apparatus for generating elliptic curve cryptographic parameter, apparatus for processing elliptic curve cryptograph, program for generating elliptic curve cryptographic parameter, and program for processing elliptic cyptograph
US7961873B2 (en) Password protocols using XZ-elliptic curve cryptography
US7499544B2 (en) Use of isogenies for design of cryptosystems
Galbraith Elliptic curve Paillier schemes
US7961874B2 (en) XZ-elliptic curve cryptography with secret key embedding
Herranz Deterministic identity-based signatures for partial aggregation
US9571274B2 (en) Key agreement protocol
US7688973B2 (en) Encryption apparatus, decryption apparatus, key generation apparatus, program, and method
US20180323973A1 (en) Elliptic curve isogeny-based cryptographic scheme
CN111162906B (en) Collaborative secret sharing method, device, system and medium based on vast transmission algorithm
US20060251247A1 (en) Encryption apparatus, decryption apparatus, key generation apparatus, program and method therefor
Gu et al. New public key cryptosystems based on non‐Abelian factorization problems
Kaaniche et al. A novel zero-knowledge scheme for proof of data possession in cloud storage applications
Hwu et al. An efficient identity-based cryptosystem for end-to-end mobile security
Paar et al. Introduction to public-key cryptography
Kiraz et al. An efficient ID-based message recoverable privacy-preserving auditing scheme
JP5769263B2 (en) Rational point information compression apparatus, rational point information compression method, and rational point information compression program
CN112350827B (en) Koblitz curve-based elliptic curve encryption and decryption method and system for acceleration scalar multiplication calculation
WO2012015047A1 (en) Pairing computation and scalar multiplication of embedding degree 1 and composite order rational point on elliptic curve
Mohapatra Signcryption schemes with forward secrecy based on elliptic curve cryptography
Heß et al. The magic of elliptic curves and public-key cryptography
Li et al. Privacy-preserving and verifiable outsourcing message transmission and authentication protocol in IoT
Bianco Trace-zero subgroups of elliptic and twisted Edwards curves: a study for cryptographic applications
Mihăilescu et al. Computational number theory and cryptography

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140904

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150618

R150 Certificate of patent or registration of utility model

Ref document number: 5769263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees