JPH06295154A - 楕円曲線を用いた署名、認証及び秘密通信方式 - Google Patents
楕円曲線を用いた署名、認証及び秘密通信方式Info
- Publication number
- JPH06295154A JPH06295154A JP8297893A JP8297893A JPH06295154A JP H06295154 A JPH06295154 A JP H06295154A JP 8297893 A JP8297893 A JP 8297893A JP 8297893 A JP8297893 A JP 8297893A JP H06295154 A JPH06295154 A JP H06295154A
- Authority
- JP
- Japan
- Prior art keywords
- elliptic curve
- positive integer
- prime number
- signature
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- General Engineering & Computer Science (AREA)
Abstract
(57)【要約】
【目的】 安全性を保ちながら処理の高速化が定義体の
増加なしに実現でき、また既存の加法鎖による高速化と
の組み合わせも容易できる楕円曲線及びベースポイント
を構成し、この楕円曲線上の離散対数問題に安全性の根
拠をもつ署名、認証及び秘密通信方式を提供する。 【構成】 正整数t及び小さい正整数αに対して、pを
2t±αとなる素数とし、有限体GF(p)を定義体に
もつ楕円曲線EのGF(p)上の元で構成される群をE
(GF(p))とし、前記E(GF(p))上定義された離散対
数問題を安全性の根拠にもつ。
増加なしに実現でき、また既存の加法鎖による高速化と
の組み合わせも容易できる楕円曲線及びベースポイント
を構成し、この楕円曲線上の離散対数問題に安全性の根
拠をもつ署名、認証及び秘密通信方式を提供する。 【構成】 正整数t及び小さい正整数αに対して、pを
2t±αとなる素数とし、有限体GF(p)を定義体に
もつ楕円曲線EのGF(p)上の元で構成される群をE
(GF(p))とし、前記E(GF(p))上定義された離散対
数問題を安全性の根拠にもつ。
Description
【0001】
【産業上の利用分野】本発明は情報セキュリテイ技術と
しての暗号技術に関するものであり、特に、楕円曲線を
用いて実現された暗号技術に関するものである。
しての暗号技術に関するものであり、特に、楕円曲線を
用いて実現された暗号技術に関するものである。
【0002】
【従来の技術】秘密通信方式とは、特定の通信相手以外
に通信内容を漏らすことなく通信を行なう方式である。
また署名及び認証方式とは、通信相手に通信内容の正当
性を示したり、本人であることを証明する通信方式であ
る。この署名、認証及び秘密通信方式には公開鍵暗号と
よばれる通信方式がある。公開鍵暗号は通信相手が多数
の時、通信相手ごとに異なる暗号鍵を容易に管理するた
めの方式であり、不特定多数の通信相手と通信を行なう
のに不可欠な基盤技術である。簡単に説明すると、これ
は暗号化鍵と復号化鍵が異なり、復号化鍵は秘密にする
が、暗号化鍵を公開する方式である。この公開鍵暗号の
安全性の根拠に用いられるものに楕円曲線上の離散対数
問題がある。これはニイルコブリッツ著 ”ア コウス
イン ナンバア セオリイ アンド クリプトグラヒ
イ”(Neal koblitz , " A Course in Number Theory an
d Cryptography ",Springer-Verlag,1987)に詳しく述べ
られている。楕円曲線上の離散対数問題を以下に述べ
る。
に通信内容を漏らすことなく通信を行なう方式である。
また署名及び認証方式とは、通信相手に通信内容の正当
性を示したり、本人であることを証明する通信方式であ
る。この署名、認証及び秘密通信方式には公開鍵暗号と
よばれる通信方式がある。公開鍵暗号は通信相手が多数
の時、通信相手ごとに異なる暗号鍵を容易に管理するた
めの方式であり、不特定多数の通信相手と通信を行なう
のに不可欠な基盤技術である。簡単に説明すると、これ
は暗号化鍵と復号化鍵が異なり、復号化鍵は秘密にする
が、暗号化鍵を公開する方式である。この公開鍵暗号の
安全性の根拠に用いられるものに楕円曲線上の離散対数
問題がある。これはニイルコブリッツ著 ”ア コウス
イン ナンバア セオリイ アンド クリプトグラヒ
イ”(Neal koblitz , " A Course in Number Theory an
d Cryptography ",Springer-Verlag,1987)に詳しく述べ
られている。楕円曲線上の離散対数問題を以下に述べ
る。
【0003】楕円曲線の離散対数問題 qを素数べきとし、GF(q)を有限体とし、楕円曲線E
のGF(q)上の元で生成される群をE(GF(q))とし、
E(GF(q))の位数が大きな素数で割れる元Pをベース
ポイントとする。このとき、E(GF(q))の与えられた
元Qに対して、 Q=xP となる整数xが存在するならばxを求めよ。
のGF(q)上の元で生成される群をE(GF(q))とし、
E(GF(q))の位数が大きな素数で割れる元Pをベース
ポイントとする。このとき、E(GF(q))の与えられた
元Qに対して、 Q=xP となる整数xが存在するならばxを求めよ。
【0004】上記の楕円曲線上の離散対数問題は、19
91年に考案された楕円曲線上の離散対数問題を有限体
上の離散対数問題に帰着させて解く解法をのぞくとサブ
イクスポーネンシャルな解法が存在しない。この解法
は、A. Menezes, S. Vanstoneand T. Okamoto, "Reduci
ng Elliptic Curve Logarithm to Logarithms in a Fin
ite Field", STOC 91に詳しく述べられている。MOV
帰着法とは、qを素数べきとし、有限体GF(q)上定義
された楕円曲線をEとし、EのGF(q)上の元で構成さ
れる群をE(GF(q))とする。このときE(GF(q))∋
Pをベースとする楕円曲線上の離散対数問題は、Pの位
数とqが互いに素なときには、有限体GF(q)のある拡
大体GF(qr)上の離散対数問題に帰着して解くことが
できる。特にEがスーパーシンギュラと呼ばれる楕円曲
線の場合には有限体GF(q)の高々6次拡大体GF
(q6)上の離散対数問題に帰着して解くことができる。
91年に考案された楕円曲線上の離散対数問題を有限体
上の離散対数問題に帰着させて解く解法をのぞくとサブ
イクスポーネンシャルな解法が存在しない。この解法
は、A. Menezes, S. Vanstoneand T. Okamoto, "Reduci
ng Elliptic Curve Logarithm to Logarithms in a Fin
ite Field", STOC 91に詳しく述べられている。MOV
帰着法とは、qを素数べきとし、有限体GF(q)上定義
された楕円曲線をEとし、EのGF(q)上の元で構成さ
れる群をE(GF(q))とする。このときE(GF(q))∋
Pをベースとする楕円曲線上の離散対数問題は、Pの位
数とqが互いに素なときには、有限体GF(q)のある拡
大体GF(qr)上の離散対数問題に帰着して解くことが
できる。特にEがスーパーシンギュラと呼ばれる楕円曲
線の場合には有限体GF(q)の高々6次拡大体GF
(q6)上の離散対数問題に帰着して解くことができる。
【0005】そこで、上記解法のMOV帰着法を避ける
ように楕円曲線を構成する研究が行われるようになっ
た。この方法は色々あるが、例えば、T. Beth, F. Scha
efer,"Non Supersingular Elliptic Curves for Public
Key Cryptosystems", Eurocrypt 91, 1991、または宮
地充子著"On ordinary elliptic curve cryptosystem
s", abstract of Asiacrypt'91、等に詳しくかかれてい
る。これらの方法を用いて構成すると、現時点ではサブ
イクスポーネンシャルアルゴリズムを与える解法がない
ため有限体上の離散対数問題と同程度の安全性ならばは
るかに小さな定義体で構成することができる。
ように楕円曲線を構成する研究が行われるようになっ
た。この方法は色々あるが、例えば、T. Beth, F. Scha
efer,"Non Supersingular Elliptic Curves for Public
Key Cryptosystems", Eurocrypt 91, 1991、または宮
地充子著"On ordinary elliptic curve cryptosystem
s", abstract of Asiacrypt'91、等に詳しくかかれてい
る。これらの方法を用いて構成すると、現時点ではサブ
イクスポーネンシャルアルゴリズムを与える解法がない
ため有限体上の離散対数問題と同程度の安全性ならばは
るかに小さな定義体で構成することができる。
【0006】ところが楕円曲線の場合、一演算に12、
3回の乗算を要求するので、定義体の大きさが小さくな
ってもあまり実行速度が速くならない。そこでMOV帰
着法を避けることができさらに実行速度を速くするため
の研究が行われるようになった。
3回の乗算を要求するので、定義体の大きさが小さくな
ってもあまり実行速度が速くならない。そこでMOV帰
着法を避けることができさらに実行速度を速くするため
の研究が行われるようになった。
【0007】次に楕円曲線を用いた暗号の実行速度を速
くする従来の技術の一つについて述べる。これはコブリ
ッツ著"CM-curves with good cryptographic propertie
s",Crypto'91, 1991に詳しくかかれている。
くする従来の技術の一つについて述べる。これはコブリ
ッツ著"CM-curves with good cryptographic propertie
s",Crypto'91, 1991に詳しくかかれている。
【0008】従来例 図2は従来例における署名、認証及び秘密通信方式の実
行速度を高速にする楕円曲線の構成を示すものである。
行速度を高速にする楕円曲線の構成を示すものである。
【0009】以下同図を参照しながら従来例の手順を説
明する。 (1)楕円曲線の候補の決定 次の二つのGF(2)を定義体にもつアノラマス楕円曲線
を考える。
明する。 (1)楕円曲線の候補の決定 次の二つのGF(2)を定義体にもつアノラマス楕円曲線
を考える。
【0010】E1:y2+xy=x3+x2+1 E2:y2+xy=x3+1 楕円曲線EのGF(2m)上の元で構成される群E(GF
(2m))とは次のような群である。
(2m))とは次のような群である。
【0011】E1(GF(2m))={x,y∈GF(2m)|
y2+xy=x3+x2+1}∪{∞} E2(GF(2m))={x,y∈GF(2m)|y2+xy=x
3+1}∪{∞} ここで∞は無限遠点を表わす。 (2)適当な拡大次数mの決定 公開鍵暗号の安全性の根拠となる上述の楕円曲線の離散
対数問題はベースポイントである元Pの位数が大きな素
因数を持たなければ簡単に解けることが知られている。
y2+xy=x3+x2+1}∪{∞} E2(GF(2m))={x,y∈GF(2m)|y2+xy=x
3+1}∪{∞} ここで∞は無限遠点を表わす。 (2)適当な拡大次数mの決定 公開鍵暗号の安全性の根拠となる上述の楕円曲線の離散
対数問題はベースポイントである元Pの位数が大きな素
因数を持たなければ簡単に解けることが知られている。
【0012】位数が大きな素因数を持つ元Pが存在する
ための必要十分条件はE(GF(q))の元の個数が大きな
素因数を持つことである。
ための必要十分条件はE(GF(q))の元の個数が大きな
素因数を持つことである。
【0013】そこで、(1)に述べた楕円曲線Eiについて
その元の個数#Ei(GF(2m))が大きな素因数を持つよ
うにmを求める。(i=1、2) (3)実際の楕円曲線の構成例 楕円曲線EiのGF(2m)上の元で構成される群Ei(GF
(2m))の元の個数を求めその素因数分解を行なった結果 m=101のとき、#E1(GF(2n))=2×素数p
1 m=131のとき、#E2(GF(2m))=4×素数p2 となることがわかった。また、MOV帰着法により埋め
込まれる有限体が十分大きくなることも確かめられる。
その元の個数#Ei(GF(2m))が大きな素因数を持つよ
うにmを求める。(i=1、2) (3)実際の楕円曲線の構成例 楕円曲線EiのGF(2m)上の元で構成される群Ei(GF
(2m))の元の個数を求めその素因数分解を行なった結果 m=101のとき、#E1(GF(2n))=2×素数p
1 m=131のとき、#E2(GF(2m))=4×素数p2 となることがわかった。また、MOV帰着法により埋め
込まれる有限体が十分大きくなることも確かめられる。
【0014】よってE2(GF(2131))上の位数が素数p
2となる元をベースポイントPとする楕円曲線上の離散
対数問題もしくはE1(GF(2101))上の位数が素数p1
となる元をベースポイントPとする楕円曲線上の離散対
数問題を安全性の根拠にした公開鍵暗号を構成すればよ
いことが結論づけられる。
2となる元をベースポイントPとする楕円曲線上の離散
対数問題もしくはE1(GF(2101))上の位数が素数p1
となる元をベースポイントPとする楕円曲線上の離散対
数問題を安全性の根拠にした公開鍵暗号を構成すればよ
いことが結論づけられる。
【0015】このように構成した楕円曲線は、2kP
(P=(x,y);k=1、2、3、4)の計算が次の
ように求められる。
(P=(x,y);k=1、2、3、4)の計算が次の
ように求められる。
【0016】2P =P+P 4P =−(x2^3,y2^3)−(x2^2,y2^2) 8P =−(x2^3,y2^3)+(x2^5,y2^5) 16P=(x2^4,y2^4)−(x2^6,y2^6) 一方GF(2)の拡大体上の演算は、基底として正規基
底を用いると2乗の計算が巡回シフトで実現されるので
ハードウエアで実現するときには、実行速度は無視でき
る。よって、2kP(k=1、2、3、4)の計算が2
回の楕円曲線の足し算で実行できることになり、高速化
が望める。また特にE2では定義体GF(2131)上の正
規基底は最適な正規基底となり、一回の乗算に必要とな
る論理積及び排他的論理和の回数が最小になるので、基
本演算(有限体の乗算)の高速化が望める。
底を用いると2乗の計算が巡回シフトで実現されるので
ハードウエアで実現するときには、実行速度は無視でき
る。よって、2kP(k=1、2、3、4)の計算が2
回の楕円曲線の足し算で実行できることになり、高速化
が望める。また特にE2では定義体GF(2131)上の正
規基底は最適な正規基底となり、一回の乗算に必要とな
る論理積及び排他的論理和の回数が最小になるので、基
本演算(有限体の乗算)の高速化が望める。
【0017】しかし上記従来例においては、楕円曲線の
一回の加法が高速になるというわけではない。このた
め、より高速にするには、演算を高速にする条件(最適
な正規基底をもつ有限体GF(2m))と安全で2i倍点
(i=1、2、3、4)が簡単になる楕円曲線の条件
(アノラマス楕円曲線でかつ元の個数が大きな素数で割
れる)の両者の条件を満たす楕円曲線を見つける必要が
ある。しかし両者の条件は包含関係にあるわけではない
ので、両者を満たす楕円曲線の数は少なくなる。実際上
記の例の場合、E2(GF(2131))のほうが、最適な
正規基底を用いることができるが、最適な正規基底が存
在しないE1(GF(2101))のほうが小さい定義体で
実現できることになる。
一回の加法が高速になるというわけではない。このた
め、より高速にするには、演算を高速にする条件(最適
な正規基底をもつ有限体GF(2m))と安全で2i倍点
(i=1、2、3、4)が簡単になる楕円曲線の条件
(アノラマス楕円曲線でかつ元の個数が大きな素数で割
れる)の両者の条件を満たす楕円曲線を見つける必要が
ある。しかし両者の条件は包含関係にあるわけではない
ので、両者を満たす楕円曲線の数は少なくなる。実際上
記の例の場合、E2(GF(2131))のほうが、最適な
正規基底を用いることができるが、最適な正規基底が存
在しないE1(GF(2101))のほうが小さい定義体で
実現できることになる。
【0018】また一般に楕円曲線のkPの計算を高速に
する方法の一つに加法鎖の研究がある。これは、有限体
のgkの計算の加法鎖の研究と平行してなされる。これ
は、予備計算テーブルの持ち方及び計算の順序の工夫を
行う研究である。これについては、M. J. Coster, "Som
e algorithms on addition chains and their complexi
ty", Center for Mathematics and Computer Science R
eport CS-R9024に詳しい。この方法を用いたkPの計算
と、上述の2i倍点(i=1、2、3、4)が簡単にな
る方法を用いたkPの計算では、加法鎖を用いたほうが
高速に実現され、両方法の組み合わせによる高速化は困
難である。
する方法の一つに加法鎖の研究がある。これは、有限体
のgkの計算の加法鎖の研究と平行してなされる。これ
は、予備計算テーブルの持ち方及び計算の順序の工夫を
行う研究である。これについては、M. J. Coster, "Som
e algorithms on addition chains and their complexi
ty", Center for Mathematics and Computer Science R
eport CS-R9024に詳しい。この方法を用いたkPの計算
と、上述の2i倍点(i=1、2、3、4)が簡単にな
る方法を用いたkPの計算では、加法鎖を用いたほうが
高速に実現され、両方法の組み合わせによる高速化は困
難である。
【0019】
【発明が解決しようとする課題】楕円曲線上の離散対数
問題を安全性の根拠にした公開鍵暗号は、高速な処理が
求められる。従来例1のように特定のcに対しcPが高
速になるという方法の場合、一般のkに対しkPを高速
にする際、加法鎖の方法と組み合わせて高速にするのが
困難である。またcPが高速になる条件と基本演算が高
速になる条件の両方を満たす楕円曲線を構成すると定義
体が大きくなるという問題が起こる。
問題を安全性の根拠にした公開鍵暗号は、高速な処理が
求められる。従来例1のように特定のcに対しcPが高
速になるという方法の場合、一般のkに対しkPを高速
にする際、加法鎖の方法と組み合わせて高速にするのが
困難である。またcPが高速になる条件と基本演算が高
速になる条件の両方を満たす楕円曲線を構成すると定義
体が大きくなるという問題が起こる。
【0020】本発明は、これらの従来例における問題点
を鑑みて行なわれたもので、安全性を保ちながら処理の
高速化が定義体の増加なしに実現でき、また既存の加法
鎖による高速化との組み合わせも容易できる楕円曲線及
びベースポイントを構成し、この楕円曲線上の離散対数
問題に安全性の根拠をもつ署名、認証及び秘密通信方式
を提供することを目的とする。
を鑑みて行なわれたもので、安全性を保ちながら処理の
高速化が定義体の増加なしに実現でき、また既存の加法
鎖による高速化との組み合わせも容易できる楕円曲線及
びベースポイントを構成し、この楕円曲線上の離散対数
問題に安全性の根拠をもつ署名、認証及び秘密通信方式
を提供することを目的とする。
【0021】
【課題を解決するための手段】請求項1に係る署名、認
証及び秘密通信方式においては、正整数t及び小さい正
整数αに対して、pを2t±αとなる素数とし、楕円曲
線Eを有限体GF(p)上構成する。
証及び秘密通信方式においては、正整数t及び小さい正
整数αに対して、pを2t±αとなる素数とし、楕円曲
線Eを有限体GF(p)上構成する。
【0022】請求項2に係る署名、認証及び秘密通信方
式においては、pを正整数t及び小さい正整数αに対し
て、2t±αと表される素数とし、有限体GF(p)を定
義体にもつ楕円曲線EのGF(p)上の元で構成される群
をE(GF(p))とするとき、E(GF(p))の元の個
数がpになるように前記楕円曲線Eを構成する。
式においては、pを正整数t及び小さい正整数αに対し
て、2t±αと表される素数とし、有限体GF(p)を定
義体にもつ楕円曲線EのGF(p)上の元で構成される群
をE(GF(p))とするとき、E(GF(p))の元の個
数がpになるように前記楕円曲線Eを構成する。
【0023】請求項3に係る署名、認証及び秘密通信方
式においては、正整数dを、虚二次体Q((−d)1/2)の
類数が小さくなるようにとり、素数pを、4×p−1の
素因数がd×平方数となりかつ、正整数t及び小さい正
整数αに対して2t±αと表せる素数とし、楕円曲線E
を、有限体GF(p)上でdにより定まる類多項式H
d(x)=0のpを法とした解をj不変数にもつように構
成する。
式においては、正整数dを、虚二次体Q((−d)1/2)の
類数が小さくなるようにとり、素数pを、4×p−1の
素因数がd×平方数となりかつ、正整数t及び小さい正
整数αに対して2t±αと表せる素数とし、楕円曲線E
を、有限体GF(p)上でdにより定まる類多項式H
d(x)=0のpを法とした解をj不変数にもつように構
成する。
【0024】請求項4に係る署名、認証及び秘密通信方
式においては、請求項3記載の方式において、上記正整
数αは、正整数tに対して、略々(2t)/3ビットの
大きさとし、上記素数pは2t±αと表せる素数とす
る。
式においては、請求項3記載の方式において、上記正整
数αは、正整数tに対して、略々(2t)/3ビットの
大きさとし、上記素数pは2t±αと表せる素数とす
る。
【0025】
【作用】請求項1に係る発明によれば、正整数t及び小
さい正整数αに対して、pを2 t±αとなる素数とし、
有限体GF(p)を定義体にもつ楕円曲線EのGF
(p)上の元で構成される群をE(GF(p))とし、前記
E(GF(p))上定義された離散対数問題を安全性の根拠
にもつことを特徴とした楕円曲線を用いて暗号方式が構
成される。
さい正整数αに対して、pを2 t±αとなる素数とし、
有限体GF(p)を定義体にもつ楕円曲線EのGF
(p)上の元で構成される群をE(GF(p))とし、前記
E(GF(p))上定義された離散対数問題を安全性の根拠
にもつことを特徴とした楕円曲線を用いて暗号方式が構
成される。
【0026】請求項2に係る発明によれば、pを正整数
t及び小さい正整数αに対して、2 t ±αと表される素
数とし、有限体GF(p)を定義体にもつ楕円曲線Eの
GF(p)上の元で構成される群をE(GF(p))と
するとき、E(GF(p))の元の個数がpになるよう
に前記楕円曲線Eをとることを特徴とした楕円曲線を用
いて署名、認証及び秘密通信方式がなされる。
t及び小さい正整数αに対して、2 t ±αと表される素
数とし、有限体GF(p)を定義体にもつ楕円曲線Eの
GF(p)上の元で構成される群をE(GF(p))と
するとき、E(GF(p))の元の個数がpになるよう
に前記楕円曲線Eをとることを特徴とした楕円曲線を用
いて署名、認証及び秘密通信方式がなされる。
【0027】請求項3に係る発明によれば、正整数d
を、虚二次体Q((−d)1/2)の類数が小さくなるように
とり、素数pを、4×p−1の素因数がd×平方数とな
りかつ、正整数t及び小さい正整数αに対して2t±α
と表せる素数とし、dにより定まる類多項式Hd(x)=
0のpを法とした解をj不変数にもつ有限体GF(p)を
定義体にもつ楕円曲線EのGF(p)上の元で構成される
群をE(GF(p))とし、前記E(GF(p))上定義された
離散対数問題を安全性の根拠にもつことを特徴とした楕
円曲線を用いて暗号方式が構成される。
を、虚二次体Q((−d)1/2)の類数が小さくなるように
とり、素数pを、4×p−1の素因数がd×平方数とな
りかつ、正整数t及び小さい正整数αに対して2t±α
と表せる素数とし、dにより定まる類多項式Hd(x)=
0のpを法とした解をj不変数にもつ有限体GF(p)を
定義体にもつ楕円曲線EのGF(p)上の元で構成される
群をE(GF(p))とし、前記E(GF(p))上定義された
離散対数問題を安全性の根拠にもつことを特徴とした楕
円曲線を用いて暗号方式が構成される。
【0028】請求項4に係る発明によれば、上記正整数
αは、正整数tに対して、(2t)/3ビットぐらいの
大きさとし、上記素数pは2t±αと表せる素数であ
り、その上で安全で高速な署名、認証及び秘密通信方式
の構成がなされる。
αは、正整数tに対して、(2t)/3ビットぐらいの
大きさとし、上記素数pは2t±αと表せる素数であ
り、その上で安全で高速な署名、認証及び秘密通信方式
の構成がなされる。
【0029】
【実施例】図1は本発明の実施例における楕円曲線上の
署名、認証及び秘密通信方式の構成を示すものである。
以下同図を参照しながら実施例の手順を説明する。
署名、認証及び秘密通信方式の構成を示すものである。
以下同図を参照しながら実施例の手順を説明する。
【0030】(1)正整数dの決定 正整数dを、虚二次体Q((−d)1/2)の類数が小さくな
るようにとる。ここではd=11とする。なお虚二次体
Q((−d)1/2)及び類数については、シルバーマン著”
ザ アリスメチック オブ エリプティック カーブ
ズ””(J. H.Silverman, " The arithmetic of ellipt
ic curves",Springer-Verlag,1986)に詳しく述べられて
いる。
るようにとる。ここではd=11とする。なお虚二次体
Q((−d)1/2)及び類数については、シルバーマン著”
ザ アリスメチック オブ エリプティック カーブ
ズ””(J. H.Silverman, " The arithmetic of ellipt
ic curves",Springer-Verlag,1986)に詳しく述べられて
いる。
【0031】(2)素数pの生成 素数pを、4p=11×平方数となり、かつ正整数t及
び(2t)/3ビットぐらいの大きさのαに対し2t−
αと表されるようにとる。
び(2t)/3ビットぐらいの大きさのαに対し2t−
αと表されるようにとる。
【0032】ここでは p=2t−α t=128 α=89 25388 84800 47273 94087 ととる。
【0033】(3)楕円曲線E及びベースポイントPの決
定 有限体GF(p)を定義体にもち、元の個数が丁度p個に
なる楕円曲線Eは次で与えられる。
定 有限体GF(p)を定義体にもち、元の個数が丁度p個に
なる楕円曲線Eは次で与えられる。
【0034】E:y2=x3+12a3x+16a4 a=1887 65172 00252 43003 83780 59753 00282 08521 このとき、E(GF(p))の元P=(0,4a2)が
存在する。
存在する。
【0035】上記のようにして構成された楕円曲線E及
びベースポイントPを従来例2の楕円曲線上の署名、認
証及び秘密通信方式に用いると、ベースポイントPの位
数が大きな素数で割れ、かつMOV帰着法を避けること
ができるので安全な方式が実現される。さらに方式の実
現に要求される基本演算はGF(p)上の乗法になるの
で、p=2t±αという形から一般の有限体上の乗法に
比較して高速に実現できる。また従来例のように特定の
cに対しcPの計算が速くなるというものではないの
で、一般のkに対してkPの計算を高速にする手法であ
る加算鎖の方法と容易に組み合わせることにより高速化
が可能になる。またデータ量についても、定義体のデー
タとしてpを覚える代わりにtとαを覚えることができ
るので、データ量を約2/3ビットに削減できる。
びベースポイントPを従来例2の楕円曲線上の署名、認
証及び秘密通信方式に用いると、ベースポイントPの位
数が大きな素数で割れ、かつMOV帰着法を避けること
ができるので安全な方式が実現される。さらに方式の実
現に要求される基本演算はGF(p)上の乗法になるの
で、p=2t±αという形から一般の有限体上の乗法に
比較して高速に実現できる。また従来例のように特定の
cに対しcPの計算が速くなるというものではないの
で、一般のkに対してkPの計算を高速にする手法であ
る加算鎖の方法と容易に組み合わせることにより高速化
が可能になる。またデータ量についても、定義体のデー
タとしてpを覚える代わりにtとαを覚えることができ
るので、データ量を約2/3ビットに削減できる。
【0036】なお、上述の実施例は正整数dを11とし
て行ったが、これは勿論他の虚二次体Q((−d)1/2)の
類数が小さくなるような正整数なら何でもよい。また、
dに対して条件を満たす素数pは上述の実施例だけに限
定されるのでなく(2)に示したpに関する条件を満た
す素数なら何でもよい。
て行ったが、これは勿論他の虚二次体Q((−d)1/2)の
類数が小さくなるような正整数なら何でもよい。また、
dに対して条件を満たす素数pは上述の実施例だけに限
定されるのでなく(2)に示したpに関する条件を満た
す素数なら何でもよい。
【0037】
【発明の効果】本発明によれば、データ量の削減及び処
理の高速化が可能な楕円曲線を構成することができ、高
い安全性でより高速な署名、認証及び秘密通信方式の実
現が可能になる。
理の高速化が可能な楕円曲線を構成することができ、高
い安全性でより高速な署名、認証及び秘密通信方式の実
現が可能になる。
【図1】本発明の実施例における楕円曲線の構成図
【図2】従来例の楕円曲線の構成図
Claims (4)
- 【請求項1】正整数t及び小さい正整数αに対して、p
を2t±αとなる素数とし、有限体GF(p)を定義体
にもつ楕円曲線EのGF(p)上の元で構成される群をE
(GF(p))とし、前記E(GF(p))上定義された離散対
数問題を安全性の根拠にもつことを特徴とする楕円曲線
を用いた署名、認証及び秘密通信方式。 - 【請求項2】pを正整数t及び小さい正整数αに対し
て、2t±αと表される素数とし、有限体GF(p)を定
義体にもつ楕円曲線EのGF(p)上の元で構成される群
をE(GF(p))とするとき、E(GF(p))の元の個
数がpになるように前記楕円曲線Eをとることを特徴と
する請求項1記載の楕円曲線を用いた署名、認証及び秘
密通信方式。 - 【請求項3】正整数dを、虚二次体Q((−d)1/2)の類
数が小さくなるようにとり、素数pを、4×p−1の素
因数がd×平方数となりかつ、正整数t及び小さい正整
数αに対して2t±αと表せる素数とし、dにより定ま
る類多項式Hd(x)=0のpを法とした解をj不変数に
もつ有限体GF(p)を定義体にもつ楕円曲線Eをとるこ
とを特徴とする請求項2記載の楕円曲線を用いた署名、
認証及び秘密通信方式。 - 【請求項4】正整数tに対して、正整数αは略々(2
t)/3ビットの大きさとし、素数pを2t±αと表せ
る素数とすることを特徴とする請求項3記載の楕円曲線
を用いた署名、認証及び秘密通信方式。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8297893A JPH06295154A (ja) | 1993-04-09 | 1993-04-09 | 楕円曲線を用いた署名、認証及び秘密通信方式 |
| US08/127,253 US5442707A (en) | 1992-09-28 | 1993-09-27 | Method for generating and verifying electronic signatures and privacy communication using elliptic curves |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8297893A JPH06295154A (ja) | 1993-04-09 | 1993-04-09 | 楕円曲線を用いた署名、認証及び秘密通信方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06295154A true JPH06295154A (ja) | 1994-10-21 |
Family
ID=13789309
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8297893A Pending JPH06295154A (ja) | 1992-09-28 | 1993-04-09 | 楕円曲線を用いた署名、認証及び秘密通信方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06295154A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001509926A (ja) * | 1997-02-03 | 2001-07-24 | サーティカム コープ. | データカード検証装置 |
| US7142668B1 (en) | 1999-04-09 | 2006-11-28 | Fujitsu Limited | Apparatus and method for generating expression data for finite field operation |
-
1993
- 1993-04-09 JP JP8297893A patent/JPH06295154A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001509926A (ja) * | 1997-02-03 | 2001-07-24 | サーティカム コープ. | データカード検証装置 |
| US7472276B2 (en) | 1997-02-03 | 2008-12-30 | Certicom Corp. | Data card verification system |
| US7822987B2 (en) | 1997-02-03 | 2010-10-26 | Certicom Corp. | Data card verification system |
| US8307211B2 (en) | 1997-02-03 | 2012-11-06 | Certicom Corp. | Data card verification system |
| US8966271B2 (en) | 1997-02-03 | 2015-02-24 | Certicom Corp. | Data card verification system |
| US9990796B2 (en) | 1997-02-03 | 2018-06-05 | Certicom Corp. | Data card verification system |
| US7142668B1 (en) | 1999-04-09 | 2006-11-28 | Fujitsu Limited | Apparatus and method for generating expression data for finite field operation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ding et al. | Current state of multivariate cryptography | |
| Almaiah et al. | A new hybrid text encryption approach over mobile ad hoc network | |
| EP1141820B1 (en) | A method for accelerating cryptographic operations on elliptic curves | |
| US7961874B2 (en) | XZ-elliptic curve cryptography with secret key embedding | |
| Camenisch et al. | Signature schemes and anonymous credentials from bilinear maps | |
| Caelli et al. | PKI, elliptic curve cryptography, and digital signatures | |
| EP1379024A1 (en) | Method and apparatus for generating a cryptographic key | |
| US20080165955A1 (en) | Password protocols using xz-elliptic curve cryptography | |
| Gu et al. | New public key cryptosystems based on non‐Abelian factorization problems | |
| JP2006340347A (ja) | データに署名するための楕円曲線デジタル署名暗号プロセスを実行する認証システム | |
| Obaid et al. | Image encryption based on elliptic curve cryptosystem | |
| Dawahdeh et al. | A new modification for menezes-vanstone elliptic curve cryptosystem | |
| US6993136B2 (en) | Cryptographic key exchange method using efficient elliptic curve | |
| Mohan et al. | Homomorphic encryption-state of the art | |
| US7062043B1 (en) | Method of elliptic curve digital signature using coefficient splitting | |
| Merz et al. | Another look at some isogeny hardness assumptions | |
| Jeng et al. | An ECC-based blind signature scheme | |
| Ramasamy et al. | Digital Signature Scheme with Message Recovery Using Knapsack-based ECC. | |
| Amounas | Elliptic curve digital signature algorithm using Boolean permutation based ECC | |
| US7024559B1 (en) | Method of elliptic curve digital signature using expansion in joint sparse form | |
| US20050135610A1 (en) | Identifier-based signcryption | |
| JP2007041461A (ja) | 楕円曲線暗号におけるスカラー倍計算方法およびスカラー倍計算装置 | |
| Tahat et al. | A proxy partially blind signature approach using elliptic curve cryptosystem | |
| Tahat | Convertible multi-authenticated encryption scheme with verification based on elliptic curve discrete logarithm problem | |
| JPH06295154A (ja) | 楕円曲線を用いた署名、認証及び秘密通信方式 |