JPH11174955A - 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 - Google Patents
公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体Info
- Publication number
- JPH11174955A JPH11174955A JP34761397A JP34761397A JPH11174955A JP H11174955 A JPH11174955 A JP H11174955A JP 34761397 A JP34761397 A JP 34761397A JP 34761397 A JP34761397 A JP 34761397A JP H11174955 A JPH11174955 A JP H11174955A
- Authority
- JP
- Japan
- Prior art keywords
- public key
- mod
- modulo
- encryption
- elliptic curve
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 安全性を保証し、かつ離散対数問題を効率的
に解き、処理量を従来と同様にする。 【解決手段】 奇素数p,qに対し、n=p2 qと、g
を公開し、gは(Z/nZ)* の中から、gp =gr-1
mod p2 が(Z/p2 Z)* の中で位数がpとなるもの
から選定し、平文mと乱数rとnからm+rnを求め
(110)、nとgを用いC=gm+rnmod nを計数して
暗号文を出力し(120)、Cに対し、Cmod p2 を求
め、更にCp =Cp-1 mod p2 を計算し(210)、
(Cp −1)/p=L(Cp )を求め、秘密鍵L
(gp )-1mod pをL(Cp )に乗算して平文mを得る
(200)。
に解き、処理量を従来と同様にする。 【解決手段】 奇素数p,qに対し、n=p2 qと、g
を公開し、gは(Z/nZ)* の中から、gp =gr-1
mod p2 が(Z/p2 Z)* の中で位数がpとなるもの
から選定し、平文mと乱数rとnからm+rnを求め
(110)、nとgを用いC=gm+rnmod nを計数して
暗号文を出力し(120)、Cに対し、Cmod p2 を求
め、更にCp =Cp-1 mod p2 を計算し(210)、
(Cp −1)/p=L(Cp )を求め、秘密鍵L
(gp )-1mod pをL(Cp )に乗算して平文mを得る
(200)。
Description
【0001】
【発明の属する技術分野】この発明は公開鍵暗号方式に
用いる暗号装置、復号装置、その処理プログラムを記録
した記録媒体に関する。
用いる暗号装置、復号装置、その処理プログラムを記録
した記録媒体に関する。
【0002】
【従来の技術】機密保持性のない通信回線を介してデー
タを送受信する場合、送受信のデータの盗聴防止に暗号
法が用いられる。一般に、暗号法は共通鍵暗号と公開鍵
暗号の二種類に区別できる。共通鍵暗号は暗号鍵と復号
鍵が同じなので、鍵を秘密に配送する必要がある。ま
た、通信の組合せ数と同じ数だけ鍵を必要とするので、
ネットワーク内の送受信局数が増加すると、秘密に管理
する鍵の数が急激に増加することが問題となる。
タを送受信する場合、送受信のデータの盗聴防止に暗号
法が用いられる。一般に、暗号法は共通鍵暗号と公開鍵
暗号の二種類に区別できる。共通鍵暗号は暗号鍵と復号
鍵が同じなので、鍵を秘密に配送する必要がある。ま
た、通信の組合せ数と同じ数だけ鍵を必要とするので、
ネットワーク内の送受信局数が増加すると、秘密に管理
する鍵の数が急激に増加することが問題となる。
【0003】一方、公開鍵暗号は、暗号鍵と復号鍵が異
なっており、暗号鍵を公開しても、暗号鍵から復号鍵を
算出することが計算量的に難しければ、秘密鍵の秘密性
は損なわれないので、暗号鍵の配送が不用である。ま
た、各送受信局は自分の復号鍵だけを秘密に管理するの
で、秘密に管理する鍵の問題も解決できる。即ち、公開
鍵暗号を利用すれば、共通鍵暗号を利用する時に問題で
あった鍵の管理の問題が解決される。また、共通鍵暗号
を使う時の一番大きな問題であった、鍵配送の問題が解
決出来る、即ち、鍵を秘密に配送する必要がない。ま
た、共通鍵暗号では、鍵が当時者間で共有されているた
め、共通の鍵で作成された暗号文は、同鍵を所有する二
人のうちいずれかが作成したかが特定することが出来な
い。一方、公開鍵暗号では、秘密鍵を有するものが唯一
であるため、同鍵で暗号化された文章を作成出来るの
は、同鍵を持つもの唯一であるという意味で、証拠性を
持ち得る。この性質を、ディジタル署名と言う。
なっており、暗号鍵を公開しても、暗号鍵から復号鍵を
算出することが計算量的に難しければ、秘密鍵の秘密性
は損なわれないので、暗号鍵の配送が不用である。ま
た、各送受信局は自分の復号鍵だけを秘密に管理するの
で、秘密に管理する鍵の問題も解決できる。即ち、公開
鍵暗号を利用すれば、共通鍵暗号を利用する時に問題で
あった鍵の管理の問題が解決される。また、共通鍵暗号
を使う時の一番大きな問題であった、鍵配送の問題が解
決出来る、即ち、鍵を秘密に配送する必要がない。ま
た、共通鍵暗号では、鍵が当時者間で共有されているた
め、共通の鍵で作成された暗号文は、同鍵を所有する二
人のうちいずれかが作成したかが特定することが出来な
い。一方、公開鍵暗号では、秘密鍵を有するものが唯一
であるため、同鍵で暗号化された文章を作成出来るの
は、同鍵を持つもの唯一であるという意味で、証拠性を
持ち得る。この性質を、ディジタル署名と言う。
【0004】即ち、公開鍵暗号を用いれば、ディジタル
署名が実現出来、通信の相手を認証することに利用出来
る。公開鍵暗号は、一方向性落し戸関数と呼ばれるもの
を使えば実現できることが知られている。一方向性関数
とは、一方から他方への計算は簡単であるが、その逆を
計算することは、計算量的に難しい関数のことで、その
一方向性関数に「ある秘密を知っていれば、逆も簡単に
計算できる」というしかけをもたせたものを一方向性落
し戸関数と言い、そのしかけを「落し戸」と呼ぶ。現在
のところ、素因数分解問題(合成数を入力とし、その合
成数の素因子を出力する関数と、素因数分解することは
同一視することが出来る。以下、IFPと表す。以下に
あげる問題も、これと同様にある関数と同一視すること
が出来る)、有限体の乗法群における離散対数問題(例
えば、pを素数として、有限素体Fp の乗法群Fp * =
<g>において、その乗法群の元yが与えられていると
き、y=gx なる、整数xで0<x<pを満たすものを
求める問題、以下、DLPと表す。)、有限体上の楕円
曲線における離散対数問題(例えば、pを素数として、
有限素体Fp 上定義された楕円曲線EのFp −有理点全
体のなす群E(Fp)、その一つの点G、点Gで生成さ
れるE(Fp )の部分群の点Pが与えられている時、P
=mGを満たす整数mを求める問題、以下、ECDLP
と表す、但し、mGは、楕円曲線上の加法でGをm倍し
た点を表す。楕円曲線、及び楕円曲線暗号に関しては、
例えば、Menezes ,A.J.著“Elliptic Curve Public Ke
y Cryptosystems ”,Kluwer Academic Publishers(19
93)を参照。以下、この文献を文献1と称す)などが、
一方向性関数であろうと予想されているものの代表的な
ものであり、現在提案されている公開鍵暗号の中で、代
表的かつ実用的なものは、RSA暗号、Rabin 暗号、El
Gamal 暗号、楕円曲線暗号(楕円ElGamal 暗号)が挙げ
られると思われるが、RSA暗号、Rabin 暗号はIFP
の難しさ、ElGamal 暗号は、DLPの難しさ、楕円曲線
暗号は、有限体上の楕円曲線の点のなす群におけるElGa
mal 暗号で、これはECDLPの難しさに、それぞれ基
づくものである。
署名が実現出来、通信の相手を認証することに利用出来
る。公開鍵暗号は、一方向性落し戸関数と呼ばれるもの
を使えば実現できることが知られている。一方向性関数
とは、一方から他方への計算は簡単であるが、その逆を
計算することは、計算量的に難しい関数のことで、その
一方向性関数に「ある秘密を知っていれば、逆も簡単に
計算できる」というしかけをもたせたものを一方向性落
し戸関数と言い、そのしかけを「落し戸」と呼ぶ。現在
のところ、素因数分解問題(合成数を入力とし、その合
成数の素因子を出力する関数と、素因数分解することは
同一視することが出来る。以下、IFPと表す。以下に
あげる問題も、これと同様にある関数と同一視すること
が出来る)、有限体の乗法群における離散対数問題(例
えば、pを素数として、有限素体Fp の乗法群Fp * =
<g>において、その乗法群の元yが与えられていると
き、y=gx なる、整数xで0<x<pを満たすものを
求める問題、以下、DLPと表す。)、有限体上の楕円
曲線における離散対数問題(例えば、pを素数として、
有限素体Fp 上定義された楕円曲線EのFp −有理点全
体のなす群E(Fp)、その一つの点G、点Gで生成さ
れるE(Fp )の部分群の点Pが与えられている時、P
=mGを満たす整数mを求める問題、以下、ECDLP
と表す、但し、mGは、楕円曲線上の加法でGをm倍し
た点を表す。楕円曲線、及び楕円曲線暗号に関しては、
例えば、Menezes ,A.J.著“Elliptic Curve Public Ke
y Cryptosystems ”,Kluwer Academic Publishers(19
93)を参照。以下、この文献を文献1と称す)などが、
一方向性関数であろうと予想されているものの代表的な
ものであり、現在提案されている公開鍵暗号の中で、代
表的かつ実用的なものは、RSA暗号、Rabin 暗号、El
Gamal 暗号、楕円曲線暗号(楕円ElGamal 暗号)が挙げ
られると思われるが、RSA暗号、Rabin 暗号はIFP
の難しさ、ElGamal 暗号は、DLPの難しさ、楕円曲線
暗号は、有限体上の楕円曲線の点のなす群におけるElGa
mal 暗号で、これはECDLPの難しさに、それぞれ基
づくものである。
【0005】RSA暗号については、Communication of
the ACM,vol.21,pp.120-126(1978)に、Rivest,R.L.
等によって、“A Method for Obtaining Digital Signa
tures and Public-Key Cryptosystems”と題して論及さ
れており(以下、この文献を文献2と称す)、Rabin 暗
号については、MIT ,Technical Report,MIT/LSC/TR-2
12(1979)にRabin ,M.O.によって、“Digital Signatur
es and Public-Key Functions as intractable as Fact
orization ”と題して論及されている(以下、この文献
を文献3と称す)、さらに、ElGamal 暗号についてはI
EEE Trans.on Information Theory,1T-31 ,4,p
p.469-472(1985)に、ElGamal T.によって、“A Publi
c-Key Cryptosystem and a Signature Scheme Based on
DiscreteLogarithms ”と題して論及されており(以
下、この文献を文献4と称す)、楕円曲線暗号について
は、Miller,V.S.とKoblitz ,N.によって、19
85年に独立に提案されたものであるが、Proc.of Cryp
to'85 ,LCNCS 218 ,Springer-Verlag ,pp.417-426(1
985)にMiller,V.S.によって“Use of EllipticCur
ves in Cryptography”と題して論及され(以下、この
文献を文献5と称す)、Math.Comp.,48,177 ,pp.203
-209(1987)にはKoblitz ,N.によって“Elliptic Cur
ve Cryptosystems”と題して論及されている(以下、こ
の文献を文献6と称す)。
the ACM,vol.21,pp.120-126(1978)に、Rivest,R.L.
等によって、“A Method for Obtaining Digital Signa
tures and Public-Key Cryptosystems”と題して論及さ
れており(以下、この文献を文献2と称す)、Rabin 暗
号については、MIT ,Technical Report,MIT/LSC/TR-2
12(1979)にRabin ,M.O.によって、“Digital Signatur
es and Public-Key Functions as intractable as Fact
orization ”と題して論及されている(以下、この文献
を文献3と称す)、さらに、ElGamal 暗号についてはI
EEE Trans.on Information Theory,1T-31 ,4,p
p.469-472(1985)に、ElGamal T.によって、“A Publi
c-Key Cryptosystem and a Signature Scheme Based on
DiscreteLogarithms ”と題して論及されており(以
下、この文献を文献4と称す)、楕円曲線暗号について
は、Miller,V.S.とKoblitz ,N.によって、19
85年に独立に提案されたものであるが、Proc.of Cryp
to'85 ,LCNCS 218 ,Springer-Verlag ,pp.417-426(1
985)にMiller,V.S.によって“Use of EllipticCur
ves in Cryptography”と題して論及され(以下、この
文献を文献5と称す)、Math.Comp.,48,177 ,pp.203
-209(1987)にはKoblitz ,N.によって“Elliptic Cur
ve Cryptosystems”と題して論及されている(以下、こ
の文献を文献6と称す)。
【0006】以下、具体的にこれらの暗号を紹介をし、
その性質について述べる。RSA暗号の構成法は次の通
りである。異なる奇素数p,qを選び、n,e,dを次
の式を満たすように取る。 n=pq, GCD(e,LCM(p−1,q−1))=1, ed≡1(mod LCM(p−1,q−1)) ここで、GCD(a,b)は、整数a,bの最大公約
数,LCM(a,b)は、整数a,bの最小公倍数を表
すものとする。
その性質について述べる。RSA暗号の構成法は次の通
りである。異なる奇素数p,qを選び、n,e,dを次
の式を満たすように取る。 n=pq, GCD(e,LCM(p−1,q−1))=1, ed≡1(mod LCM(p−1,q−1)) ここで、GCD(a,b)は、整数a,bの最大公約
数,LCM(a,b)は、整数a,bの最小公倍数を表
すものとする。
【0007】(n,e)を公開鍵(d,p,q)を秘密
鍵として、暗号化処理(E1 )と復号処理(D1 )を C≡E1 (M)≡Me (mod n) (1) M≡D1 (C)≡Cd (mod n) (2) で定義する。この時、Mが0<M<n−1を満たすなら
ば D1 (E1 (M))=M (3) が成り立つ。
鍵として、暗号化処理(E1 )と復号処理(D1 )を C≡E1 (M)≡Me (mod n) (1) M≡D1 (C)≡Cd (mod n) (2) で定義する。この時、Mが0<M<n−1を満たすなら
ば D1 (E1 (M))=M (3) が成り立つ。
【0008】Rabin 暗号の構成法は次の通りである。
p,q,nを上述の通りに取り、さらに、0<b<nを
満たす整数bを取る。(n,b)を公開鍵、(p,q)
を秘密鍵として、暗号化処理(E2 )、復号処理
(D2 )を C≡E2 (M)≡M(M+b)(mod n) (4) M≡D2 (C)≡(−b±√(b2 +4C))/2(mod pかつmod q)(5) で定義する。Rabin 暗号は、復号時に連立方程式を解く
ことになるが、二次方程式は二つの解を持つので、一般
には四つの解が現れてきて、上のままでは復号が一意に
出来ないという問題があった。これは、なんらかの付加
的な情報を付けて通信を行なう、即ち、運用上の問題と
して回避することも出来るし、一意に復号出来るように
改良もされている。これに関しては、電子情報通信学会
論文誌、Vol.J70-A ,No.11,pp.1632-1636(1987)
に、黒澤 馨等によって“素因数分解の困難さと同等の
強さを有する逆数を利用した公開鍵暗号”と題して論及
されている。(以下、この文献を文献7と称する) また、ElGamal 暗号の構成は次の通りである。pを素
数、gを、pを法とした既約剰余類群(Z/pZ)* の
一つの生成元、即ち、位数がp−1の元とし、0<x<
pなる整数xを任意に取り、y≡gx (mod p )とお
く。この時、(y,g,p)を公開鍵、xを秘密鍵とし
て、暗号化処理(E3 )、復号処理(D3 )を C=(C1 ,C2 )=E3 (M) (6) C1 ≡gr (mod p) (7) C2 ≡yr M(mod p) (8) M≡D3 (C)≡C2 /Cp x mod p (9) で定義する。ここで、rは、0<r<pなる任意の整数
とし、暗号化処理をするたびに選ぶものとする。
p,q,nを上述の通りに取り、さらに、0<b<nを
満たす整数bを取る。(n,b)を公開鍵、(p,q)
を秘密鍵として、暗号化処理(E2 )、復号処理
(D2 )を C≡E2 (M)≡M(M+b)(mod n) (4) M≡D2 (C)≡(−b±√(b2 +4C))/2(mod pかつmod q)(5) で定義する。Rabin 暗号は、復号時に連立方程式を解く
ことになるが、二次方程式は二つの解を持つので、一般
には四つの解が現れてきて、上のままでは復号が一意に
出来ないという問題があった。これは、なんらかの付加
的な情報を付けて通信を行なう、即ち、運用上の問題と
して回避することも出来るし、一意に復号出来るように
改良もされている。これに関しては、電子情報通信学会
論文誌、Vol.J70-A ,No.11,pp.1632-1636(1987)
に、黒澤 馨等によって“素因数分解の困難さと同等の
強さを有する逆数を利用した公開鍵暗号”と題して論及
されている。(以下、この文献を文献7と称する) また、ElGamal 暗号の構成は次の通りである。pを素
数、gを、pを法とした既約剰余類群(Z/pZ)* の
一つの生成元、即ち、位数がp−1の元とし、0<x<
pなる整数xを任意に取り、y≡gx (mod p )とお
く。この時、(y,g,p)を公開鍵、xを秘密鍵とし
て、暗号化処理(E3 )、復号処理(D3 )を C=(C1 ,C2 )=E3 (M) (6) C1 ≡gr (mod p) (7) C2 ≡yr M(mod p) (8) M≡D3 (C)≡C2 /Cp x mod p (9) で定義する。ここで、rは、0<r<pなる任意の整数
とし、暗号化処理をするたびに選ぶものとする。
【0009】Mが0<M<pであれば、 M=D3 (E3 (M)) (10) が成立する。楕円曲線暗号(楕円 ElGamal暗号)の構成
は次の通りである。pを素数、有限素体Fp 上の楕円曲
線E(a,b):y2 =x3 +ax+b(a,b∈
Fp ,4a3 +27b2 ≠0)、楕円曲線上のFp −有
理点Gで、その位数qが十分大きな素数を約数に持つも
のが取れるものとする。0<x<qなる任意の整数を取
り、E(a,b)上の加法でP=xGとする。この時、
(p,E(a,b),G,P,q)を公開鍵、xは秘密
鍵として暗号化処理(E4 )、復号処理(D4 )を C=(C1 ,C2 )=E4 (M) (11) C1 =rG1 (12) C2 =rP+M (13) M=D4 (C)=(C2 −xC1 のX−座標) (14) で定める。ここで、rは0<r<qを満たす任意の整数
とし、暗号化処理のたびに選ぶものとする。また、rP
+Mは、X−座標がMとなる楕円曲線上の点と点rPと
の楕円曲線上での和を表すものとする。一般には、常に
MをX−座標に持つ点が、与えられた楕円曲線上に存在
するかどうかは分からないが(ここでの場合は、確率1
/2で点が存在する)、何らかの、システムに共通の規
則を定めてMにある程度の冗長情報を付加することによ
って、常に、冗長情報を付加したものをX−座標に持つ
ような点が取れるように出来る。
は次の通りである。pを素数、有限素体Fp 上の楕円曲
線E(a,b):y2 =x3 +ax+b(a,b∈
Fp ,4a3 +27b2 ≠0)、楕円曲線上のFp −有
理点Gで、その位数qが十分大きな素数を約数に持つも
のが取れるものとする。0<x<qなる任意の整数を取
り、E(a,b)上の加法でP=xGとする。この時、
(p,E(a,b),G,P,q)を公開鍵、xは秘密
鍵として暗号化処理(E4 )、復号処理(D4 )を C=(C1 ,C2 )=E4 (M) (11) C1 =rG1 (12) C2 =rP+M (13) M=D4 (C)=(C2 −xC1 のX−座標) (14) で定める。ここで、rは0<r<qを満たす任意の整数
とし、暗号化処理のたびに選ぶものとする。また、rP
+Mは、X−座標がMとなる楕円曲線上の点と点rPと
の楕円曲線上での和を表すものとする。一般には、常に
MをX−座標に持つ点が、与えられた楕円曲線上に存在
するかどうかは分からないが(ここでの場合は、確率1
/2で点が存在する)、何らかの、システムに共通の規
則を定めてMにある程度の冗長情報を付加することによ
って、常に、冗長情報を付加したものをX−座標に持つ
ような点が取れるように出来る。
【0010】次に、上述の暗号の計算量について述べ
る。RSA暗号の計算量は、暗号化処理、復号処理が共
にk3 のオーダーで実現されることが知られている。こ
こで、kは公開鍵nのビット数を表すとする。Rabin 暗
号の計算量は、暗号化処理はk 2 のオーダーで、復号処
理はk3 のオーダーで実現される。このkも公開鍵nの
ビット数を表すものとする。
る。RSA暗号の計算量は、暗号化処理、復号処理が共
にk3 のオーダーで実現されることが知られている。こ
こで、kは公開鍵nのビット数を表すとする。Rabin 暗
号の計算量は、暗号化処理はk 2 のオーダーで、復号処
理はk3 のオーダーで実現される。このkも公開鍵nの
ビット数を表すものとする。
【0011】ElGamal 暗号の計算量は、暗号化処理、復
号処理共にk3 のオーダーで実現できる。ここで、k
は、公開鍵である素数pのビット数を表すものとする。
さらに、楕円曲線暗号の計算量は、暗号化処理、復号処
理共にk3 のオーダーで実現できることが知られてい
る。ここで、kは公開鍵である素数pのビット数である
とする。
号処理共にk3 のオーダーで実現できる。ここで、k
は、公開鍵である素数pのビット数を表すものとする。
さらに、楕円曲線暗号の計算量は、暗号化処理、復号処
理共にk3 のオーダーで実現できることが知られてい
る。ここで、kは公開鍵である素数pのビット数である
とする。
【0012】オーダーで比較するなら、上述の暗号は計
算量はあまり変わらないが、実装させると、差が出てく
ることは明らかである。実際、楕円曲線上の加法は、そ
の定義体である有限体における乗法の10倍程度時間が
かかることが知られている。次に、安全性について述べ
る。暗号は、攻撃者(盗聴者)に通信内容を隠して送る
ことを目的とするため、どの程度通信内容を隠している
かの度合が重要になる。即ち、秘匿性としては、完全解
読(暗号文から、平文が完全に求められる事)と部分解
読(暗号文から、平文の部分情報が求められる事)の二
種類に分類できる。次に、公開鍵暗号の攻撃者のタイプ
には、単に暗号通信を受信し、その情報だけから解読を
試みる受動的攻撃と、送信者に様々な質問とし(暗号文
を送り)、その回答(その復号結果)をもらうことが許
され、それらの情報をもとにして、目的とする暗号文を
解読するような能動的攻撃の二種類に分けられる。特
に、能動的攻撃の中でも、適応的選択暗号文攻撃(解読
者が任意に選んだ暗号文を真の受信者に復号させた後、
そこで得た情報と公開情報を用いて、別の暗号文を復号
する攻撃)がもっとも強力である。
算量はあまり変わらないが、実装させると、差が出てく
ることは明らかである。実際、楕円曲線上の加法は、そ
の定義体である有限体における乗法の10倍程度時間が
かかることが知られている。次に、安全性について述べ
る。暗号は、攻撃者(盗聴者)に通信内容を隠して送る
ことを目的とするため、どの程度通信内容を隠している
かの度合が重要になる。即ち、秘匿性としては、完全解
読(暗号文から、平文が完全に求められる事)と部分解
読(暗号文から、平文の部分情報が求められる事)の二
種類に分類できる。次に、公開鍵暗号の攻撃者のタイプ
には、単に暗号通信を受信し、その情報だけから解読を
試みる受動的攻撃と、送信者に様々な質問とし(暗号文
を送り)、その回答(その復号結果)をもらうことが許
され、それらの情報をもとにして、目的とする暗号文を
解読するような能動的攻撃の二種類に分けられる。特
に、能動的攻撃の中でも、適応的選択暗号文攻撃(解読
者が任意に選んだ暗号文を真の受信者に復号させた後、
そこで得た情報と公開情報を用いて、別の暗号文を復号
する攻撃)がもっとも強力である。
【0013】さて、そこで、これらの分類を元に、上述
の代表的な公開鍵暗号の安全性について述べることにす
ると、RSA暗号、Rabin 暗号のようなIFPの難しさ
に基づく暗号は、公開鍵nを素因数分解出来れば、秘密
鍵である素数p,qが分かり、LCM(p−1,q−
1)が計算出来て、秘密鍵dが求められ、安全に解読さ
れてしまう、ここで、LCM(p−1,q−1)を、n
だけから求めようとすることは、nを素因数分解するこ
とと等価であることが証明されている。即ち、p,qが
分からないままで、LCM(p−1,q−1)を求める
ことは出来ない。しかし、RSA暗号は、公開鍵nを素
因数分解する以外の方法で完全解読出来る可能性が残っ
ているが、Rabin 暗号を完全解読する方法は、公開鍵n
を素因数分解する以外にないことが証明されている。即
ち、RSA暗号を解読することはIFPを解くことと等
価であるかどうかは未解決であるが、Rabin 暗号の完全
解読は、IFPを解くことと等価であることが証明され
ている。(上述の逆数暗号も、IFPと等価であること
が証明されている)このRabin の結果は、ある基本的な
問題(今の場合、IFP)が難しいであろうと仮定する
ことによって、暗号のある種の安全性が証明出来ること
を初めて示したものである。今の場合、上述の公開鍵暗
号の安全性で言えば、受動的攻撃に対して安全であるこ
とが、IFPの難しさを仮定した上で、証明されたこと
を意味している。部分解読に関しては、RSA暗号、Ra
bin 暗号共に、暗号文Cから、平文Mの最下位ビットを
求めることは、Cから、M全体を求めることと同じ位難
しいことが証明されている。また、さらに同様にMの最
下位よりlog k ビットの部分が同様の安全性を持つこと
が証明されている。この事実は、SIAM Journal of Comp
uting ,17,2,pp.449-457(1988)において、Alexi ,
W.等によって、“RSA and Rabin Functions:Cert
ain Patrs Are as Hard as the Whole”と題して論及さ
れている。(以下、この文献を文献8と称す) 次に、ElGamal 暗号の安全性についてであるが、これは
DLPの難しさに基づく暗号であるので、DLPが解け
れば、公開鍵(y,g,p)から、秘密鍵xが求めら
れ、解読されてしまう。しかし、ElGamal 暗号の解読が
DLPと同じ程度に難しいかどうかは証明されていな
い。同様に、楕円曲線暗号についても、ECDLPと同
じ程度に難しいかどうかは証明されていない。
の代表的な公開鍵暗号の安全性について述べることにす
ると、RSA暗号、Rabin 暗号のようなIFPの難しさ
に基づく暗号は、公開鍵nを素因数分解出来れば、秘密
鍵である素数p,qが分かり、LCM(p−1,q−
1)が計算出来て、秘密鍵dが求められ、安全に解読さ
れてしまう、ここで、LCM(p−1,q−1)を、n
だけから求めようとすることは、nを素因数分解するこ
とと等価であることが証明されている。即ち、p,qが
分からないままで、LCM(p−1,q−1)を求める
ことは出来ない。しかし、RSA暗号は、公開鍵nを素
因数分解する以外の方法で完全解読出来る可能性が残っ
ているが、Rabin 暗号を完全解読する方法は、公開鍵n
を素因数分解する以外にないことが証明されている。即
ち、RSA暗号を解読することはIFPを解くことと等
価であるかどうかは未解決であるが、Rabin 暗号の完全
解読は、IFPを解くことと等価であることが証明され
ている。(上述の逆数暗号も、IFPと等価であること
が証明されている)このRabin の結果は、ある基本的な
問題(今の場合、IFP)が難しいであろうと仮定する
ことによって、暗号のある種の安全性が証明出来ること
を初めて示したものである。今の場合、上述の公開鍵暗
号の安全性で言えば、受動的攻撃に対して安全であるこ
とが、IFPの難しさを仮定した上で、証明されたこと
を意味している。部分解読に関しては、RSA暗号、Ra
bin 暗号共に、暗号文Cから、平文Mの最下位ビットを
求めることは、Cから、M全体を求めることと同じ位難
しいことが証明されている。また、さらに同様にMの最
下位よりlog k ビットの部分が同様の安全性を持つこと
が証明されている。この事実は、SIAM Journal of Comp
uting ,17,2,pp.449-457(1988)において、Alexi ,
W.等によって、“RSA and Rabin Functions:Cert
ain Patrs Are as Hard as the Whole”と題して論及さ
れている。(以下、この文献を文献8と称す) 次に、ElGamal 暗号の安全性についてであるが、これは
DLPの難しさに基づく暗号であるので、DLPが解け
れば、公開鍵(y,g,p)から、秘密鍵xが求めら
れ、解読されてしまう。しかし、ElGamal 暗号の解読が
DLPと同じ程度に難しいかどうかは証明されていな
い。同様に、楕円曲線暗号についても、ECDLPと同
じ程度に難しいかどうかは証明されていない。
【0014】以上、代表的かつ実用的な公開鍵暗号につ
いて説明したが、基本的な問題の難しさを仮定し、ある
種の安全性が証明出来る公開鍵暗号は、Rabin 暗号とそ
の変形位しか知られていない。つまり、実用性を考える
と、一方向性関数としてつかえるものは、IFP,DL
PとECDLP位しか知られてなく、これらを使って新
しい「落し戸」を作り、それを用いてある種の安全性の
証明のついた新しい公開鍵暗号システムを作ることは一
つの問題である。
いて説明したが、基本的な問題の難しさを仮定し、ある
種の安全性が証明出来る公開鍵暗号は、Rabin 暗号とそ
の変形位しか知られていない。つまり、実用性を考える
と、一方向性関数としてつかえるものは、IFP,DL
PとECDLP位しか知られてなく、これらを使って新
しい「落し戸」を作り、それを用いてある種の安全性の
証明のついた新しい公開鍵暗号システムを作ることは一
つの問題である。
【0015】
【発明が解決しようとする課題】上述のように、公開鍵
暗号は、従来からの共通鍵暗号と比較すれば、鍵管理の
問題を解決することが出来、ディジタル署名を実現する
ことが出来るが、実用的な公開鍵暗号を実現するには、
一方向性関数としてはIFP,DLPやECDLP位し
か知られてなく、これらを用いて「落し戸」を作る作り
方も本質的にこれ等位しか知られてなく、ましてや、あ
る種の安全性が証明されている暗号は、Rabin 暗号とそ
の変形だけである。
暗号は、従来からの共通鍵暗号と比較すれば、鍵管理の
問題を解決することが出来、ディジタル署名を実現する
ことが出来るが、実用的な公開鍵暗号を実現するには、
一方向性関数としてはIFP,DLPやECDLP位し
か知られてなく、これらを用いて「落し戸」を作る作り
方も本質的にこれ等位しか知られてなく、ましてや、あ
る種の安全性が証明されている暗号は、Rabin 暗号とそ
の変形だけである。
【0016】この発明の目的は、一方向性関数としては
IFPを用いながらも、新しい「落し戸」を用いて、I
FPが難しいであろうという仮定に基づき、受動的攻撃
に対して安全であることが証明できる公開鍵暗号装置を
提供することである。
IFPを用いながらも、新しい「落し戸」を用いて、I
FPが難しいであろうという仮定に基づき、受動的攻撃
に対して安全であることが証明できる公開鍵暗号装置を
提供することである。
【0017】
【課題を解決するための手段】具体的には、この発明は
二種類の公開鍵暗号装置を提供する。p,qを二つの素
数として、n=p2 qとしたとき、nを法とした既約剰
余類群(Z/nZ)*上で構成されるものと、n=pq
としたとき、nを法とした剰余類環Z/nZ上で定義さ
れる楕円曲線En 上で構成される公開鍵暗号装置との二
つを提供する。以下、前者を「乗法群に基づく公開鍵暗
号装置」と呼び、後者を「楕円曲線に基づく公開鍵暗号
装置」と呼ぶことにする。
二種類の公開鍵暗号装置を提供する。p,qを二つの素
数として、n=p2 qとしたとき、nを法とした既約剰
余類群(Z/nZ)*上で構成されるものと、n=pq
としたとき、nを法とした剰余類環Z/nZ上で定義さ
れる楕円曲線En 上で構成される公開鍵暗号装置との二
つを提供する。以下、前者を「乗法群に基づく公開鍵暗
号装置」と呼び、後者を「楕円曲線に基づく公開鍵暗号
装置」と呼ぶことにする。
【0018】有限素体Fp 上の楕円曲線で、位数がpの
ものを anomalous楕円曲線と呼ぶことにする。この ano
malous楕円曲線上の離散対数問題が非常に効率良く計算
出来ることが、Smart,N.P.によって、“ The Discrete
Logarithm Problem on Elliptic Curves of Trace one,
preprint(September,1997)”において(以下、この文献
を文献9と称す)、佐藤考和等によって、“Fermat Quo
tient and the Polynomial Time Discrete Logarithm f
or Anomalous Elliptic Curves,preprint(September,19
97) ”において(以下、この文献を文献10と称す)、
それぞれ独立に論及されている。この anomalous楕円曲
線における離散対数問題を解くアルゴリズムを、以下で
はSSAアルゴリズムと呼ぶことにする。
ものを anomalous楕円曲線と呼ぶことにする。この ano
malous楕円曲線上の離散対数問題が非常に効率良く計算
出来ることが、Smart,N.P.によって、“ The Discrete
Logarithm Problem on Elliptic Curves of Trace one,
preprint(September,1997)”において(以下、この文献
を文献9と称す)、佐藤考和等によって、“Fermat Quo
tient and the Polynomial Time Discrete Logarithm f
or Anomalous Elliptic Curves,preprint(September,19
97) ”において(以下、この文献を文献10と称す)、
それぞれ独立に論及されている。この anomalous楕円曲
線における離散対数問題を解くアルゴリズムを、以下で
はSSAアルゴリズムと呼ぶことにする。
【0019】特に、後者の論文中で示唆されていること
として、ある種の群のp-Sylow 部分群における離散対数
問題が、非常に効率良く解けるという事実がある。ここ
で、p-Sylow 部分群とは、例えば、有限群Hが与えられ
ているとき、Hの部分群の中で、位数がpの幅となるも
のの中で最も位数が大きなものをHのp-Sylow 部分群と
いう。この発明では、このある種の群のp-Sylow 部分群
における離散対数問題が非常に効率良く解けることを利
用して、ある種の安全性の証明がつけられる、新しい公
開鍵暗号を提供する。
として、ある種の群のp-Sylow 部分群における離散対数
問題が、非常に効率良く解けるという事実がある。ここ
で、p-Sylow 部分群とは、例えば、有限群Hが与えられ
ているとき、Hの部分群の中で、位数がpの幅となるも
のの中で最も位数が大きなものをHのp-Sylow 部分群と
いう。この発明では、このある種の群のp-Sylow 部分群
における離散対数問題が非常に効率良く解けることを利
用して、ある種の安全性の証明がつけられる、新しい公
開鍵暗号を提供する。
【0020】pを奇素数として、p2 を法とした既約剰
余類群(Z/p2 Z)* において、そのp-Sylow 部分群
Γ、即ち、この場合は位数pの部分群になるが、これは
次のように書ける: Γ={x∈(Z/p2 Z)* |x≡1(mod p)} (15) (Z/p2 Z)* における離散対数問題は、現在のとこ
ろ、非常に難しい問題であると信じられていて、効率の
良いアルゴリズムはまだ発見されていない、しかし、Γ
における離散対数問題は非常に効率良く解ける。実際、
次のようなΓ上定義された関数を考える: L(x)=(x−1)/p,x∈Γ (16) この関数の値は、有限素体Fp にとるとみなせる。する
と、この関数Lは、任意のa,b∈Γに対して L(ab)=L(a)+L(b)mod p (17) なる性質を持つことが簡単に分かり、この関数は、Γか
らFp への群としての同型写像を与えていることも分か
る。このLの計算量は、pのビット数をkとすればk2
のオーダーであることが簡単に分かる。従って、Γにお
ける離散対数問題、即ち、x∈Γ,mを0<m<pから
任意とり、y=xm とおいて、x,yからmを求める問
題については、式(17)から L(y)=L(xm )=mL(x)mod p (18) となるので、L(x)≠0mod pであれば m=L(y)/L(x)mod p (19) と、効率良く求めることが出来る。x,yから、mを求
める計算量は、pのビット数をkとすれば、k3 のオー
ダーで出来る。
余類群(Z/p2 Z)* において、そのp-Sylow 部分群
Γ、即ち、この場合は位数pの部分群になるが、これは
次のように書ける: Γ={x∈(Z/p2 Z)* |x≡1(mod p)} (15) (Z/p2 Z)* における離散対数問題は、現在のとこ
ろ、非常に難しい問題であると信じられていて、効率の
良いアルゴリズムはまだ発見されていない、しかし、Γ
における離散対数問題は非常に効率良く解ける。実際、
次のようなΓ上定義された関数を考える: L(x)=(x−1)/p,x∈Γ (16) この関数の値は、有限素体Fp にとるとみなせる。する
と、この関数Lは、任意のa,b∈Γに対して L(ab)=L(a)+L(b)mod p (17) なる性質を持つことが簡単に分かり、この関数は、Γか
らFp への群としての同型写像を与えていることも分か
る。このLの計算量は、pのビット数をkとすればk2
のオーダーであることが簡単に分かる。従って、Γにお
ける離散対数問題、即ち、x∈Γ,mを0<m<pから
任意とり、y=xm とおいて、x,yからmを求める問
題については、式(17)から L(y)=L(xm )=mL(x)mod p (18) となるので、L(x)≠0mod pであれば m=L(y)/L(x)mod p (19) と、効率良く求めることが出来る。x,yから、mを求
める計算量は、pのビット数をkとすれば、k3 のオー
ダーで出来る。
【0021】この性質を用いれば、全く新しい「落し
戸」が構成出来、新しい公開鍵暗号が構成出来る。ま
ず、中国人剰余定理(中国人剰余定理は、例えば、岡本
・山本著、“現代暗号”、pp.15、産業図書(19
97)を参照。以下、この文献を文献11と称す)より (Z/nZ) * 〜(Z/p2 Z)* ×(Z/qZ)* (20) 〜Γ×(Z/pZ)* ×(Z/qZ)* (21) が成り立つので、「乗法群に基づく公開鍵暗号装置」
は、以下で定められる:g∈(Z/nZ)* でgp =g
p-1 mod p2 ∈ΓがL(g p )≠0mod pを満たすものを
取り、n,g,kを公開鍵とする。ここで、kは、素数
p,qのビット数とする。平文mを0<m<2k-1 から
取る自然数とすると、rをZ/nZから任意に取り、暗
号化を次で定める C=gm+rn mod n (22) 復号は、CをΓの元に変換することが出来れば、nの素
因子pを知っているものは、上述の関数Lを用いて効率
良くその離散対数を求めることが出来、mは0<m<2
k-1 の範囲にあるので、mod pでは一意に定まり、した
がって、効率良く復号が出来る。CをΓの元に変換する
方法は、 Cp =Cp-1 mod p2 (23) とすれば、Cp ∈Γとなり、上記L関数を用いて離散対
数を効率的に解くことができる。また、この公開鍵暗号
を解読することは、公開鍵nを素因数分解することと、
即ち、IFPと等価であることが証明できる。
戸」が構成出来、新しい公開鍵暗号が構成出来る。ま
ず、中国人剰余定理(中国人剰余定理は、例えば、岡本
・山本著、“現代暗号”、pp.15、産業図書(19
97)を参照。以下、この文献を文献11と称す)より (Z/nZ) * 〜(Z/p2 Z)* ×(Z/qZ)* (20) 〜Γ×(Z/pZ)* ×(Z/qZ)* (21) が成り立つので、「乗法群に基づく公開鍵暗号装置」
は、以下で定められる:g∈(Z/nZ)* でgp =g
p-1 mod p2 ∈ΓがL(g p )≠0mod pを満たすものを
取り、n,g,kを公開鍵とする。ここで、kは、素数
p,qのビット数とする。平文mを0<m<2k-1 から
取る自然数とすると、rをZ/nZから任意に取り、暗
号化を次で定める C=gm+rn mod n (22) 復号は、CをΓの元に変換することが出来れば、nの素
因子pを知っているものは、上述の関数Lを用いて効率
良くその離散対数を求めることが出来、mは0<m<2
k-1 の範囲にあるので、mod pでは一意に定まり、した
がって、効率良く復号が出来る。CをΓの元に変換する
方法は、 Cp =Cp-1 mod p2 (23) とすれば、Cp ∈Γとなり、上記L関数を用いて離散対
数を効率的に解くことができる。また、この公開鍵暗号
を解読することは、公開鍵nを素因数分解することと、
即ち、IFPと等価であることが証明できる。
【0022】この発明の「乗法群に基づく公開鍵暗号装
置」においては、暗号化装置は、平文と乱数を組み合わ
せて、法nで巾乗計算のための指数部分を生成する指数
生成部、mod nでの巾乗計算を行う、n−巾乗計算器か
らなり、n−巾乗計算器で生成された暗号文を通信回線
に送出する。一方、復号装置は、法p2 でのp−1乗計
算を行う、Γ−変換部とΓにおける離散対数問題を解い
て復号する、離散対数解法部からなる。
置」においては、暗号化装置は、平文と乱数を組み合わ
せて、法nで巾乗計算のための指数部分を生成する指数
生成部、mod nでの巾乗計算を行う、n−巾乗計算器か
らなり、n−巾乗計算器で生成された暗号文を通信回線
に送出する。一方、復号装置は、法p2 でのp−1乗計
算を行う、Γ−変換部とΓにおける離散対数問題を解い
て復号する、離散対数解法部からなる。
【0023】次に、この発明の「楕円曲線に基づく公開
鍵暗号装置」について述べる。これに対しても同様に、
二つの素数p,qを取り、n=pqとし、Fp 、Fq 上
の楕円曲線Ep 、Eq がそれぞれ次で与えられていると
する: Ep :y2 =x3 +ap x+bp (ap ,bp ∈Fp ,4ap 3 +27bp 2 ≠0), (24) Eq :y2 =x3 +aq x+bq (aq ,bq ∈Fq ,4aq 3 +27bq 2 ≠0), (25) a=ap mod p、b=bp mod p、a=aq mod q、b
=bq mod qなるa、bは、中国人剰余定理よりmod n
で一意に定まり、Z/nZ上で定義された楕円曲線 En :y2 =x3 +ax+b(a,b∈Z/nZ,GCD(4a3 +27b2 ,n)=1) (26) を得る。以下、特別にことわらない限りは、上述のよう
に中国人剰余定理を用いて得られる関係にあるものは En =〔Ep ,Eq 〕,a=〔ap ,aq 〕,b=〔bp ,bq 〕 (27) などと表すことにする。また、特に、法を強調したいと
きは En =〔Ep mod p,Eq mod q〕 (28) などともあらわすことにする。
鍵暗号装置」について述べる。これに対しても同様に、
二つの素数p,qを取り、n=pqとし、Fp 、Fq 上
の楕円曲線Ep 、Eq がそれぞれ次で与えられていると
する: Ep :y2 =x3 +ap x+bp (ap ,bp ∈Fp ,4ap 3 +27bp 2 ≠0), (24) Eq :y2 =x3 +aq x+bq (aq ,bq ∈Fq ,4aq 3 +27bq 2 ≠0), (25) a=ap mod p、b=bp mod p、a=aq mod q、b
=bq mod qなるa、bは、中国人剰余定理よりmod n
で一意に定まり、Z/nZ上で定義された楕円曲線 En :y2 =x3 +ax+b(a,b∈Z/nZ,GCD(4a3 +27b2 ,n)=1) (26) を得る。以下、特別にことわらない限りは、上述のよう
に中国人剰余定理を用いて得られる関係にあるものは En =〔Ep ,Eq 〕,a=〔ap ,aq 〕,b=〔bp ,bq 〕 (27) などと表すことにする。また、特に、法を強調したいと
きは En =〔Ep mod p,Eq mod q〕 (28) などともあらわすことにする。
【0024】今、Ep は anomalous楕円曲線、Eq は a
nomalousでない楕円曲線とする。このとき、上述の「乗
法群に基づく公開鍵暗号装置」と同様にn、En 、En
(Z/nZ)の点G,kを公開鍵としておく。但し、G
は十分大きな(例えばビット数がnと同じ)位数を持つ
ものとしておき、kは、素数p、qのビット数とする。
このとき、平文mを0<m<2k-1 から取ることにする
と、rをZ/nZから任意に取り、暗号化を次で定める C=(m+rn)G∈En (Z/nZ) (29) 復号は、nの素因子pを知っているものは、この暗号文
の定義式をmod pとして、Ep (Fp )の点の間の関係
式に変換することが出来るので、上述のSSAアルゴリ
ズムを用いて効率良くその離散対数を求めることが出
来、したがって効率良く復号が出来る。また、この公開
鍵暗号を解読することは、公開鍵nと anomalous楕円曲
線と anomalousでない楕円曲線から中国人剰余定理を用
いて得られるZ/nZ上の楕円曲線En ,点Gが与えら
れたとき、これから、nを素因数分解することと等価で
あることが証明できる。即ち、このn、En と、その曲
線上の点Gが与えられたとき、nを素因数分解する問題
を、変形素因数分解問題(以下では、MIFPと表すこ
とにする)と呼ぶことにすると、この楕円曲線En を用
いた暗号を解読することは、MIFPと等価であること
が証明できる。
nomalousでない楕円曲線とする。このとき、上述の「乗
法群に基づく公開鍵暗号装置」と同様にn、En 、En
(Z/nZ)の点G,kを公開鍵としておく。但し、G
は十分大きな(例えばビット数がnと同じ)位数を持つ
ものとしておき、kは、素数p、qのビット数とする。
このとき、平文mを0<m<2k-1 から取ることにする
と、rをZ/nZから任意に取り、暗号化を次で定める C=(m+rn)G∈En (Z/nZ) (29) 復号は、nの素因子pを知っているものは、この暗号文
の定義式をmod pとして、Ep (Fp )の点の間の関係
式に変換することが出来るので、上述のSSAアルゴリ
ズムを用いて効率良くその離散対数を求めることが出
来、したがって効率良く復号が出来る。また、この公開
鍵暗号を解読することは、公開鍵nと anomalous楕円曲
線と anomalousでない楕円曲線から中国人剰余定理を用
いて得られるZ/nZ上の楕円曲線En ,点Gが与えら
れたとき、これから、nを素因数分解することと等価で
あることが証明できる。即ち、このn、En と、その曲
線上の点Gが与えられたとき、nを素因数分解する問題
を、変形素因数分解問題(以下では、MIFPと表すこ
とにする)と呼ぶことにすると、この楕円曲線En を用
いた暗号を解読することは、MIFPと等価であること
が証明できる。
【0025】この発明の「楕円曲線に基づく公開鍵暗号
装置」においては、暗号化装置は、平文と乱数を組み合
わせて、En (Z/nZ)における幅乗計算のための指
数部分を生成する指数生成部、En (Z/nZ)での幅
乗計算を行う、En-幅乗計算器からなり、En-幅乗計算
器で生成された暗号文を通信回線に送出する。一方、復
号装置は、En (Z/nZ)の点をEp (Fp )の点に
変換するmod p−還元器と、Ep (Fp )における離散
対数問題を解いて復号する、SSAアルゴリズム部から
なる。
装置」においては、暗号化装置は、平文と乱数を組み合
わせて、En (Z/nZ)における幅乗計算のための指
数部分を生成する指数生成部、En (Z/nZ)での幅
乗計算を行う、En-幅乗計算器からなり、En-幅乗計算
器で生成された暗号文を通信回線に送出する。一方、復
号装置は、En (Z/nZ)の点をEp (Fp )の点に
変換するmod p−還元器と、Ep (Fp )における離散
対数問題を解いて復号する、SSAアルゴリズム部から
なる。
【0026】
【発明の実施の形態】はじめに、この発明による「乗法
群に基づく公開鍵暗号装置」、「楕円曲線に基づく公開
鍵暗号装置」それぞれの基本は機能構成を述べ、後に、
それぞれの各部における一実施例について説明する。ま
ずは、「乗法群に基づく公開鍵暗号装置」について、 (1)鍵の生成 奇素数p、qを任意に選び、n=p2 qとする。ただ
し、p、qのビット数は同じでkとする。また、GCD
(p,q−1)=1を満たしているとする。
群に基づく公開鍵暗号装置」、「楕円曲線に基づく公開
鍵暗号装置」それぞれの基本は機能構成を述べ、後に、
それぞれの各部における一実施例について説明する。ま
ずは、「乗法群に基づく公開鍵暗号装置」について、 (1)鍵の生成 奇素数p、qを任意に選び、n=p2 qとする。ただ
し、p、qのビット数は同じでkとする。また、GCD
(p,q−1)=1を満たしているとする。
【0027】さらに、gを(Z/nZ)* の中から、g
p =gp-1 mod p2 が(Z/p2 Z)* の中での位数が
pとなるものを取る。すると、上述の関数LでL
(gp )≠0mod pが成立する。実際、(Z/p2 Z)
* の中での位数がpとなるものは1+kpmod p2 (k
はpで割れない)と表せ、したがってL(1+kp)=
((1+kp)−1)/p=k≠0mod pとなるからで
ある。また、具体的に、gを生成する方法としては、ラ
ンダムにgを(Z/nZ)* から選ぶと、L(gp )≠
0mod pとなる確率は1−(1/p)程度と考えられる
ので、無視出来ない確率で選ぶことが出来る。利用者
は、公開は出来ないが、システムパラメータの一つとし
てL(gp )-1mod pをあらかじめ計算しておくことに
する。
p =gp-1 mod p2 が(Z/p2 Z)* の中での位数が
pとなるものを取る。すると、上述の関数LでL
(gp )≠0mod pが成立する。実際、(Z/p2 Z)
* の中での位数がpとなるものは1+kpmod p2 (k
はpで割れない)と表せ、したがってL(1+kp)=
((1+kp)−1)/p=k≠0mod pとなるからで
ある。また、具体的に、gを生成する方法としては、ラ
ンダムにgを(Z/nZ)* から選ぶと、L(gp )≠
0mod pとなる確率は1−(1/p)程度と考えられる
ので、無視出来ない確率で選ぶことが出来る。利用者
は、公開は出来ないが、システムパラメータの一つとし
てL(gp )-1mod pをあらかじめ計算しておくことに
する。
【0028】従って、(n,g,k)を公開鍵(p,
q)を秘密鍵とする。ここでL(gp)-1mod pも秘密
鍵と考えて良い。 (2)暗号化処理 平文m(但し、0<m<2k-1 )に対して、まず、乱数
rを0<r<nの範囲から選び、m+rnを計算し、暗
号文Cは以下のように計算する。
q)を秘密鍵とする。ここでL(gp)-1mod pも秘密
鍵と考えて良い。 (2)暗号化処理 平文m(但し、0<m<2k-1 )に対して、まず、乱数
rを0<r<nの範囲から選び、m+rnを計算し、暗
号文Cは以下のように計算する。
【0029】 C=gm+rnmod n (30) (3)復号処理 暗号文Cの定義式(30)の両辺を、それぞれp−1乗す
ると、mod nでの合同式は、勿論、mod p2 でも成立
し、gp mod p2 の位数はpであり、rnはpの倍数で
あってgp rn=1となるから、 Cp-1 =g(p-1)(m+rn) =gp m ×gp rnmod p2 =gp m mod p2 (31) 従って Cp =Cp-1 mod p2 (32) とおけば Cp =gp m mod p2 (33) Cp ,gp ∈Γであるから、上述で定義した関数Lを使
うと L(Cp )=L(gp m )=mL(gp )mod p (34) 即ち m=L(Cp )/L(gp )mod p (35) となり、復号出来る。
ると、mod nでの合同式は、勿論、mod p2 でも成立
し、gp mod p2 の位数はpであり、rnはpの倍数で
あってgp rn=1となるから、 Cp-1 =g(p-1)(m+rn) =gp m ×gp rnmod p2 =gp m mod p2 (31) 従って Cp =Cp-1 mod p2 (32) とおけば Cp =gp m mod p2 (33) Cp ,gp ∈Γであるから、上述で定義した関数Lを使
うと L(Cp )=L(gp m )=mL(gp )mod p (34) 即ち m=L(Cp )/L(gp )mod p (35) となり、復号出来る。
【0030】従って、復号処理を整理すると、まず、暗
号文Cに対して、式(32)でCp を計算し、次にL(C
p )を計算し、最後にL(Cp )と、あらかじめ計算し
ておくことが出来るL(gp )-1mod pとのmod pでの
積を取って復号出来る。 (3)「乗法群に基づく公開鍵暗号装置」が、受動的攻
撃に対して安全であることの証明。
号文Cに対して、式(32)でCp を計算し、次にL(C
p )を計算し、最後にL(Cp )と、あらかじめ計算し
ておくことが出来るL(gp )-1mod pとのmod pでの
積を取って復号出来る。 (3)「乗法群に基づく公開鍵暗号装置」が、受動的攻
撃に対して安全であることの証明。
【0031】「乗法群に基づく公開鍵暗号装置」を解読
することと、nを素因数分解することが同値であること
を示す。nを無視できない確率で素因数分解するアルゴ
リズムが存在すれば、明らかに「乗法群に基づく公開鍵
暗号装置」を解読する平均的多項式時間アルゴリズムが
構成できるので、ここでは、次の事実のみを証明する:
“「乗法群に基づく公開鍵暗号装置」を無視できない確
率で解読するアルゴリズムA存在するならば、nを素因
数分解する平均的多項式時間アルゴリズムを構成出来
る”(ここで、上述の“nを無視できない確率で素因数
分解するアルゴリズム”という意味は、そのアルゴリズ
ムを入力nのビット数の多項式オーダー程度繰り返し適
用することによって、かならず素因数分解出来るアルゴ
リズムのことである。以下、同様の使い方をする。厳密
な定義は、文献11を参照) 実際、今、合成数n(=p2 q)が与えられているとす
ると、ランダムにg∈(Z/nZ)* を選んで、この発
明の公開鍵暗号装置のパラメータとして、無視できない
確率でとることが出来て、次に、xをZ/nZからラン
ダムに選ぶとき、xmod pLCM(p−1,q−1)の
分布と、この発明の公開鍵暗号装置における、暗号化処
理時の途中の計算に出てくる、m+rnに対する、m+
rn modpLCM(p−1,q−1)の分布の差は、無
視できる確率であることが証明できる。従って、Z/n
Zからランダムにxを選び、C=gx mod nで計算され
たCは、無視できない確率で暗号文だと、アルゴリズム
Aは認識し、Cに対応する平文x0 を出力する。今、x
が、x<2k-1 なる範囲の数となる確率は無視できるの
で、無視できない確率でx>2k-1 としてよく、する
と、x≡x0 (mod p)、また、x0 <2K-1 より、x
≡x0 (mod n)が不成立となり、したがって、GCD
(x−x0 ,n)を計算すると、この値はp,pq,p
2 のいずれかとなり、nを素因数分解することが出来
る。全体として、nのビット数の平均的多項式時間で素
因数分解出来る。つまりnを素因数分解することと同値
であって、受動的攻撃に対する安全性が高い。
することと、nを素因数分解することが同値であること
を示す。nを無視できない確率で素因数分解するアルゴ
リズムが存在すれば、明らかに「乗法群に基づく公開鍵
暗号装置」を解読する平均的多項式時間アルゴリズムが
構成できるので、ここでは、次の事実のみを証明する:
“「乗法群に基づく公開鍵暗号装置」を無視できない確
率で解読するアルゴリズムA存在するならば、nを素因
数分解する平均的多項式時間アルゴリズムを構成出来
る”(ここで、上述の“nを無視できない確率で素因数
分解するアルゴリズム”という意味は、そのアルゴリズ
ムを入力nのビット数の多項式オーダー程度繰り返し適
用することによって、かならず素因数分解出来るアルゴ
リズムのことである。以下、同様の使い方をする。厳密
な定義は、文献11を参照) 実際、今、合成数n(=p2 q)が与えられているとす
ると、ランダムにg∈(Z/nZ)* を選んで、この発
明の公開鍵暗号装置のパラメータとして、無視できない
確率でとることが出来て、次に、xをZ/nZからラン
ダムに選ぶとき、xmod pLCM(p−1,q−1)の
分布と、この発明の公開鍵暗号装置における、暗号化処
理時の途中の計算に出てくる、m+rnに対する、m+
rn modpLCM(p−1,q−1)の分布の差は、無
視できる確率であることが証明できる。従って、Z/n
Zからランダムにxを選び、C=gx mod nで計算され
たCは、無視できない確率で暗号文だと、アルゴリズム
Aは認識し、Cに対応する平文x0 を出力する。今、x
が、x<2k-1 なる範囲の数となる確率は無視できるの
で、無視できない確率でx>2k-1 としてよく、する
と、x≡x0 (mod p)、また、x0 <2K-1 より、x
≡x0 (mod n)が不成立となり、したがって、GCD
(x−x0 ,n)を計算すると、この値はp,pq,p
2 のいずれかとなり、nを素因数分解することが出来
る。全体として、nのビット数の平均的多項式時間で素
因数分解出来る。つまりnを素因数分解することと同値
であって、受動的攻撃に対する安全性が高い。
【0032】次に、「楕円曲線に基づく公開鍵暗号装
置」について、暗号の構成法、及び、変形素因数分解問
題と等価であることについて述べる。まず最初に、復号
に利用するSSAアルゴリズムについて述べる。有限素
体Fp 上の anomalous楕円曲線E上の離散対数問題と
は、そのFp −有理点G,Pが与えられたとき、P=m
Gとなるm∈Z/pZを求めることであるが、SSAア
ルゴリズムは、上でも述べたが、 anomalous楕円曲線上
の離散対数問題の解法を与えるアルゴリズムで、有限素
体Fp 上の anomalous楕円曲線であれば、pのビット数
をkとして、計算量はk3 のオーダーである効率的なア
ルゴリズムであって、具体的には次のような手順とな
る:SSAアルゴリズム 入力:(G,P,E) 出力:m手順1 EをZ上に持ち上げた楕円曲線E′で、E(F
p )からFp への写像λ E ′が、自明な写像にならない
ものを選ぶ。これは、pのビット数をkとすれば、k2
のオーダーで計算できる。手順2 手順1で構成した写像λE ′を使ってλE ′
(G),λE ′(P)を計算し(これはk3 のオーダー
で出来る)、m=λE ′(P)/λE ′(G)modpを
計算する(これは、k3 のオーダーで出来る) いずれにしても、pのビット数をkとすれば、SSAア
ルゴリズムの計算量はk3 のオーダーである。この
λE ′は、E(Fp )からFp への群としての同型写像
をあたえる。なお、λE ′の構成方法など、詳しくは、
文献10を参照。またpが5以下であればSSAアルゴ
リズムを用いることなく効率的に解ける。 (1)鍵の生成 奇素数p、qを任意に選び、n=pqとする。ただし、
p、qのビット数は同じでkとする。次に、Fp 上の a
nomalous楕円曲線Ep ,Fq 上の anomalousでない楕円
曲線Eq を選ぶ: Ep :y2 =x3 +ap x+bp (ap ,bp ∈Fp ,4ap 3 +27bp 2 ≠0), (36) Eq :y2 =x3 +aq x+bq (aq ,bq ∈Fq ,4aq 3 +27bq 2 ≠0), (37) 但し、#Ep (Fp )=p,#Eq (Fq )=q ′=q
+1−t(−2√q<t<2√q,t≠1,q′≠p)
を満たすとする。#は集合の元(要素)の数を表わす。
期待する位数を持つ楕円曲線の構成方法は、虚数乗法論
を援用した比較的効率の良い生成方法が提案されてい
て、特に、 anomalous楕円曲線の生成については、例え
ば、IEICE Trans.Fundamentals,E76-A,1,pp.50-54(199
3) において、“Elliptic Curve Suitable for Cryptog
raphy”と題して、Miyaji, A.により論及されてい
る。(以下、この文献を文献12と称す)さらに、Ep
(Fp ),Eq (Fq )各々の点Gp ,Gq で、位数が
ord(Gp )=p,ord(Gq )=q′なるものを選ぶと仮
定する。ここで、Eq (Fq )は、一般には巡回群にな
るとは限らないが、ここでは簡単のためこう仮定してお
く。一般には、q′が十分大きな素因子をもつようなも
のにし、その大きな素数を位数とする点をGq と取って
良い。次に、中国人剰余定理を使って、Z/nZ上の楕
円曲線En を作る: En :y2=x3+ax+b(a,b ∈Z/nZ,GCD(4a3+27b2,n)=1) (38) すなわち、すでに定義した記号で書けば En =〔Ep,Eq 〕,a=〔ap,aq 〕,b=〔bp,bq 〕 (39) である。また G=〔Gp ,Gq 〕 (40) としておく。
置」について、暗号の構成法、及び、変形素因数分解問
題と等価であることについて述べる。まず最初に、復号
に利用するSSAアルゴリズムについて述べる。有限素
体Fp 上の anomalous楕円曲線E上の離散対数問題と
は、そのFp −有理点G,Pが与えられたとき、P=m
Gとなるm∈Z/pZを求めることであるが、SSAア
ルゴリズムは、上でも述べたが、 anomalous楕円曲線上
の離散対数問題の解法を与えるアルゴリズムで、有限素
体Fp 上の anomalous楕円曲線であれば、pのビット数
をkとして、計算量はk3 のオーダーである効率的なア
ルゴリズムであって、具体的には次のような手順とな
る:SSAアルゴリズム 入力:(G,P,E) 出力:m手順1 EをZ上に持ち上げた楕円曲線E′で、E(F
p )からFp への写像λ E ′が、自明な写像にならない
ものを選ぶ。これは、pのビット数をkとすれば、k2
のオーダーで計算できる。手順2 手順1で構成した写像λE ′を使ってλE ′
(G),λE ′(P)を計算し(これはk3 のオーダー
で出来る)、m=λE ′(P)/λE ′(G)modpを
計算する(これは、k3 のオーダーで出来る) いずれにしても、pのビット数をkとすれば、SSAア
ルゴリズムの計算量はk3 のオーダーである。この
λE ′は、E(Fp )からFp への群としての同型写像
をあたえる。なお、λE ′の構成方法など、詳しくは、
文献10を参照。またpが5以下であればSSAアルゴ
リズムを用いることなく効率的に解ける。 (1)鍵の生成 奇素数p、qを任意に選び、n=pqとする。ただし、
p、qのビット数は同じでkとする。次に、Fp 上の a
nomalous楕円曲線Ep ,Fq 上の anomalousでない楕円
曲線Eq を選ぶ: Ep :y2 =x3 +ap x+bp (ap ,bp ∈Fp ,4ap 3 +27bp 2 ≠0), (36) Eq :y2 =x3 +aq x+bq (aq ,bq ∈Fq ,4aq 3 +27bq 2 ≠0), (37) 但し、#Ep (Fp )=p,#Eq (Fq )=q ′=q
+1−t(−2√q<t<2√q,t≠1,q′≠p)
を満たすとする。#は集合の元(要素)の数を表わす。
期待する位数を持つ楕円曲線の構成方法は、虚数乗法論
を援用した比較的効率の良い生成方法が提案されてい
て、特に、 anomalous楕円曲線の生成については、例え
ば、IEICE Trans.Fundamentals,E76-A,1,pp.50-54(199
3) において、“Elliptic Curve Suitable for Cryptog
raphy”と題して、Miyaji, A.により論及されてい
る。(以下、この文献を文献12と称す)さらに、Ep
(Fp ),Eq (Fq )各々の点Gp ,Gq で、位数が
ord(Gp )=p,ord(Gq )=q′なるものを選ぶと仮
定する。ここで、Eq (Fq )は、一般には巡回群にな
るとは限らないが、ここでは簡単のためこう仮定してお
く。一般には、q′が十分大きな素因子をもつようなも
のにし、その大きな素数を位数とする点をGq と取って
良い。次に、中国人剰余定理を使って、Z/nZ上の楕
円曲線En を作る: En :y2=x3+ax+b(a,b ∈Z/nZ,GCD(4a3+27b2,n)=1) (38) すなわち、すでに定義した記号で書けば En =〔Ep,Eq 〕,a=〔ap,aq 〕,b=〔bp,bq 〕 (39) である。また G=〔Gp ,Gq 〕 (40) としておく。
【0033】さらに、SSAアルゴリズムを用いて、公
開はせずに、システムパラメータの一つとしてあらかじ
めλEp′(Gp )-1mod pを計算しておく。これも秘密
鍵の一つとして考えて良い。以下、簡単のために、この
写像をλと書く。従って、(n,En ,G,k)を公開
鍵、(p,q)を秘密鍵とする。ここで、Ep ,Eq ,
Gp ,Gq ,λ(Gp )-1mod pも秘密鍵と考えてもよ
い。 (2)暗号化処理 平文m(但し、0<m<2k-1 )に対して、まず、乱数
rを0<r<nの範囲から選び、m+rnを計算し、暗
号文Cは以下のように計算する。
開はせずに、システムパラメータの一つとしてあらかじ
めλEp′(Gp )-1mod pを計算しておく。これも秘密
鍵の一つとして考えて良い。以下、簡単のために、この
写像をλと書く。従って、(n,En ,G,k)を公開
鍵、(p,q)を秘密鍵とする。ここで、Ep ,Eq ,
Gp ,Gq ,λ(Gp )-1mod pも秘密鍵と考えてもよ
い。 (2)暗号化処理 平文m(但し、0<m<2k-1 )に対して、まず、乱数
rを0<r<nの範囲から選び、m+rnを計算し、暗
号文Cは以下のように計算する。
【0034】 C=(m+rn)G∈En (Z/nZ) (41) 但し、これは、楕円曲線En 上の加法を用いて、点Gを
m+rn倍したものであって、暗号文が楕円曲線上の点
であることに注意。すなわち、二つのZ/nZの元の組
である。(あえて書けば、C=(Cx,Cy),Cx,
Cy∈Z/nZ) (3)復号処理 暗号文Cの定義式(41)の両辺を、それぞれmod pと
すると、rnはpの倍数であってrnG modp=0とな
るから、 Cp =(m+rn)Gp =mGp ∈Ep (Fp ) (42) なる、anomalous 楕円曲線における離散対数問題に変換
される。ここで、C=[Cp ,Cq ]とおいた。
m+rn倍したものであって、暗号文が楕円曲線上の点
であることに注意。すなわち、二つのZ/nZの元の組
である。(あえて書けば、C=(Cx,Cy),Cx,
Cy∈Z/nZ) (3)復号処理 暗号文Cの定義式(41)の両辺を、それぞれmod pと
すると、rnはpの倍数であってrnG modp=0とな
るから、 Cp =(m+rn)Gp =mGp ∈Ep (Fp ) (42) なる、anomalous 楕円曲線における離散対数問題に変換
される。ここで、C=[Cp ,Cq ]とおいた。
【0035】従ってSSAアルゴリズムを用いてmは求
められる。実際、λの準同型性により、 λ(Cp )=λ(mGp )=mλ(Gp )mod p (43) 即ち m=λ(Cp )/λ(Gp )mod p (44) となり、復号出来る。
められる。実際、λの準同型性により、 λ(Cp )=λ(mGp )=mλ(Gp )mod p (43) 即ち m=λ(Cp )/λ(Gp )mod p (44) となり、復号出来る。
【0036】従って、復号処理を整理すると、まず、暗
号文Cに対して、C=Cp mod pを計算し、次にλ(C
p )を計算し、最後にλ(Cp )と、あらかじめ計算し
ておくことが出来るλ(Gp )-1mod pとのmod pでの
積を取って復号出来る。 (3)「楕円曲線に基づく公開鍵暗号装置」が、受動的
攻撃に対して安全であることの証明。「楕円曲線に基づ
く公開鍵暗号装置」を解読することと、公開鍵(n,E
n ,G,k)という情報からnを素因数分解することが
同値であることを示す。即ち、変形素因数分解問題と同
値であることを示す。
号文Cに対して、C=Cp mod pを計算し、次にλ(C
p )を計算し、最後にλ(Cp )と、あらかじめ計算し
ておくことが出来るλ(Gp )-1mod pとのmod pでの
積を取って復号出来る。 (3)「楕円曲線に基づく公開鍵暗号装置」が、受動的
攻撃に対して安全であることの証明。「楕円曲線に基づ
く公開鍵暗号装置」を解読することと、公開鍵(n,E
n ,G,k)という情報からnを素因数分解することが
同値であることを示す。即ち、変形素因数分解問題と同
値であることを示す。
【0037】nを無視できない確率で素因数分解するア
ルゴリズムが存在すれば、明らかに「楕円曲線に基づく
公開鍵暗号装置」を解読する平均的多項式時間アルゴリ
ズムが構成できるので、ここでは、次の事実のみを証明
する:“「楕円曲線に基づく公開鍵暗号装置」を無視で
きない確率で解読するアルゴリズムB存在するならば、
nを素因数分解する平均的多項式時間アルゴリズムを構
成出来る”(ここで、上述の“nを無視できない確率で
素因数分解するアルゴリズム”という意味は、そのアル
ゴリズムを入力nのビット数の多項式オーダー程度繰り
返し適用することによって、かならず素因数分解出来る
アルゴリズムのことである。以下、同様の使い方をす
る。厳密な定義は、文献11を参照) 実際、今、合成数n(=pq)が与えられているとする
と、zをZ/nZからランダムに選ぶとき、zmod LC
M(p−1,q−1)の分布と、我々の公開鍵暗号シス
テムにおける、暗号化処理時の途中の計算に出てくる、
m+rnに対する、m+rn modpq′の分布の差は、
無視できる確率であることが証明できる。従って、Z/
nZからランダムにzを選び、C=zG∈En (Z/n
Z)で計算されたCは、無視できない確率で暗号文だ
と、アルゴリズムBは認識し、Cに対する平文z0 を出
力する。今、zが、z<2k-1 なる範囲の数となる確率
は無視できるので、無視できない確率でz>2k-1 とし
てよく、すると、z≡z0 (mod p)、また、z0 <2
k-1 より、z≡z0 (mod n)が不成立となり、したが
って、GCD(z−z0 ,n)を計算すると、この値は
pとなり、nを素因数分解することが出来る。全体とし
て、nのビット数の平均的多項式時間で素因数分解出来
る。
ルゴリズムが存在すれば、明らかに「楕円曲線に基づく
公開鍵暗号装置」を解読する平均的多項式時間アルゴリ
ズムが構成できるので、ここでは、次の事実のみを証明
する:“「楕円曲線に基づく公開鍵暗号装置」を無視で
きない確率で解読するアルゴリズムB存在するならば、
nを素因数分解する平均的多項式時間アルゴリズムを構
成出来る”(ここで、上述の“nを無視できない確率で
素因数分解するアルゴリズム”という意味は、そのアル
ゴリズムを入力nのビット数の多項式オーダー程度繰り
返し適用することによって、かならず素因数分解出来る
アルゴリズムのことである。以下、同様の使い方をす
る。厳密な定義は、文献11を参照) 実際、今、合成数n(=pq)が与えられているとする
と、zをZ/nZからランダムに選ぶとき、zmod LC
M(p−1,q−1)の分布と、我々の公開鍵暗号シス
テムにおける、暗号化処理時の途中の計算に出てくる、
m+rnに対する、m+rn modpq′の分布の差は、
無視できる確率であることが証明できる。従って、Z/
nZからランダムにzを選び、C=zG∈En (Z/n
Z)で計算されたCは、無視できない確率で暗号文だ
と、アルゴリズムBは認識し、Cに対する平文z0 を出
力する。今、zが、z<2k-1 なる範囲の数となる確率
は無視できるので、無視できない確率でz>2k-1 とし
てよく、すると、z≡z0 (mod p)、また、z0 <2
k-1 より、z≡z0 (mod n)が不成立となり、したが
って、GCD(z−z0 ,n)を計算すると、この値は
pとなり、nを素因数分解することが出来る。全体とし
て、nのビット数の平均的多項式時間で素因数分解出来
る。
【0038】次に、この発明の「乗法群における公開鍵
暗号装置」、「楕円曲線に基づく公開鍵暗号装置」それ
ぞれの、実施例について説明する。まずは、「乗法群に
おける公開鍵暗号装置」の一実施例について説明する。
図1に示すように、暗号装置100と復号装置200が
通信回線300により接続されている。暗号化装置10
0は、指数生成部110と法nでの巾乗計算器120を
有す。復号装置200は、Γ−変換器210と離散対数
解法部220を有する。
暗号装置」、「楕円曲線に基づく公開鍵暗号装置」それ
ぞれの、実施例について説明する。まずは、「乗法群に
おける公開鍵暗号装置」の一実施例について説明する。
図1に示すように、暗号装置100と復号装置200が
通信回線300により接続されている。暗号化装置10
0は、指数生成部110と法nでの巾乗計算器120を
有す。復号装置200は、Γ−変換器210と離散対数
解法部220を有する。
【0039】まず、暗号化装置100での暗号化処理に
ついて説明する。暗号化装置100における指数生成部
110の詳細を図に示す。指数生成部110は、暗号化
装置100の利用者から平文(m)を受けとると、乱数
生成器111は乱数r∈Z/nZを発生させ、これを乗
算器112に入力して、rnを計算し、これを加算器1
13に入力してm+rnを計算し、この結果をn−巾乗
計算器120に入力して、暗号文C=gm+rnmod nを生
成する。
ついて説明する。暗号化装置100における指数生成部
110の詳細を図に示す。指数生成部110は、暗号化
装置100の利用者から平文(m)を受けとると、乱数
生成器111は乱数r∈Z/nZを発生させ、これを乗
算器112に入力して、rnを計算し、これを加算器1
13に入力してm+rnを計算し、この結果をn−巾乗
計算器120に入力して、暗号文C=gm+rnmod nを生
成する。
【0040】次に、復号装置200での復号処理につい
て説明する。復号装置200におけるΓ−変換器210
の詳細を図2Bに示す。また、離散対数解法部220の
詳細を図4に示す。復号装置200におけるΓ−変換部
210は、通信回線300から、暗号文(C)を受けと
ると、mod p2 −還元器211でCmod p2 を計算し、
この値をΓ−変換器212に入力して、Cp =Cp-1 mo
d p2 を計算し、Cpを離散対数解法部220に入力す
る。離散対数解法部220は、Γ−変換部210からC
p を受けとると、それを、対数計算機221に入力し、
L(Cp )を計算する。次に、これを、乗算器222に
入力しL(Cp )×L(gp )-1mod pを計算する。こ
の値を、離散対数解法部220は復号平文mとして出力
する。
て説明する。復号装置200におけるΓ−変換器210
の詳細を図2Bに示す。また、離散対数解法部220の
詳細を図4に示す。復号装置200におけるΓ−変換部
210は、通信回線300から、暗号文(C)を受けと
ると、mod p2 −還元器211でCmod p2 を計算し、
この値をΓ−変換器212に入力して、Cp =Cp-1 mo
d p2 を計算し、Cpを離散対数解法部220に入力す
る。離散対数解法部220は、Γ−変換部210からC
p を受けとると、それを、対数計算機221に入力し、
L(Cp )を計算する。次に、これを、乗算器222に
入力しL(Cp )×L(gp )-1mod pを計算する。こ
の値を、離散対数解法部220は復号平文mとして出力
する。
【0041】次は、「楕円曲線に基づく公開鍵暗号装
置」の一実施例について説明する。図3にこの発明の一
実施例を示す。暗号装置400と復号装置500が通信
回線600により接続されている。暗号化装置400
は、指数生成部410とEn−巾乗計算器420を有
す。復号装置500は、mod p−還元器510とSSA
アルゴリズム部520を有する。
置」の一実施例について説明する。図3にこの発明の一
実施例を示す。暗号装置400と復号装置500が通信
回線600により接続されている。暗号化装置400
は、指数生成部410とEn−巾乗計算器420を有
す。復号装置500は、mod p−還元器510とSSA
アルゴリズム部520を有する。
【0042】まず、暗号化装置400での暗号化処理に
ついて説明する。暗号化装置400における指数生成部
410の詳細を図4Aに示す。指数生成部410は、暗
号化装置400の利用者から平文(m)を受けとると、
乱数生成器411は乱数r∈Z/nZを発生させ、これ
を乗算器412に入力して、rnを計算し、これら加算
器413に入力してm+rnを計算し、この結果をEn
−巾乗計算器420に入力して、暗号文C=(m+r
n)Gを生成する。
ついて説明する。暗号化装置400における指数生成部
410の詳細を図4Aに示す。指数生成部410は、暗
号化装置400の利用者から平文(m)を受けとると、
乱数生成器411は乱数r∈Z/nZを発生させ、これ
を乗算器412に入力して、rnを計算し、これら加算
器413に入力してm+rnを計算し、この結果をEn
−巾乗計算器420に入力して、暗号文C=(m+r
n)Gを生成する。
【0043】次に、復号装置500での復号処理につい
て説明する。復号装置500におけるSSAアルゴリズ
ム部520の詳細を図4Bに示す。復号装置500にお
けるmod p−還元器510は、通信回線600から、暗
号文(C)を受けとると、C p =Cmod p∈E
p (Fp )を計算し、Cp をSSAアルゴリズム部52
0に入力する。SSAアルゴリズム部520は、mod p
−還元器510からCp を受けとると、それを、対数計
算機521に入力し、λ(Cp )を計算する。次に、こ
れを、乗算器522に入力しλ(Cp )×λ(Gp )-1
mod pを計算する。この値を、SSAアルゴリズム部5
20は復号平文mとして出力する。
て説明する。復号装置500におけるSSAアルゴリズ
ム部520の詳細を図4Bに示す。復号装置500にお
けるmod p−還元器510は、通信回線600から、暗
号文(C)を受けとると、C p =Cmod p∈E
p (Fp )を計算し、Cp をSSAアルゴリズム部52
0に入力する。SSAアルゴリズム部520は、mod p
−還元器510からCp を受けとると、それを、対数計
算機521に入力し、λ(Cp )を計算する。次に、こ
れを、乗算器522に入力しλ(Cp )×λ(Gp )-1
mod pを計算する。この値を、SSAアルゴリズム部5
20は復号平文mとして出力する。
【0044】
【発明の効果】以上説明したように、この発明によれ
ば、素因数分解問題の困難さを仮定した上で、ある種の
安全性の証明のついた、今までにない新しい公開鍵暗号
システムを構成することが出来る。従って、現在ではn
が1024ビット程度であれば、nを素因数に分解する
ことは現実的には困難であるから、nを1024ビット
程度以上にしておけば十分安全なものとなる。
ば、素因数分解問題の困難さを仮定した上で、ある種の
安全性の証明のついた、今までにない新しい公開鍵暗号
システムを構成することが出来る。従って、現在ではn
が1024ビット程度であれば、nを素因数に分解する
ことは現実的には困難であるから、nを1024ビット
程度以上にしておけば十分安全なものとなる。
【0045】暗号化処理、復号処理の計算量は共に、k
3 のオーダーであって、現在までに知られている代表的
な公開鍵暗号と比べても同程度であり、非常に実用的な
暗号であるとも言える。さらに、受動的攻撃に対する安
全性が証明されているため、現在もっとも有力と考えら
れているRSA暗号よりも安全なことが保証される。
3 のオーダーであって、現在までに知られている代表的
な公開鍵暗号と比べても同程度であり、非常に実用的な
暗号であるとも言える。さらに、受動的攻撃に対する安
全性が証明されているため、現在もっとも有力と考えら
れているRSA暗号よりも安全なことが保証される。
【図1】この発明の「乗法群に基づく公開鍵暗号装置」
における暗号装置と復号装置の一実施例の機能構成を示
すブロック図。
における暗号装置と復号装置の一実施例の機能構成を示
すブロック図。
【図2】Aは図1中の指数生成部110の具体的機能構
成例を示すブロック図、Bは図1中のΓ−変換部210
の具体的機能構成例を示すブロック図、Cは図1中の離
散対数解法部220の具体的機能構成例を示すブロック
図である。
成例を示すブロック図、Bは図1中のΓ−変換部210
の具体的機能構成例を示すブロック図、Cは図1中の離
散対数解法部220の具体的機能構成例を示すブロック
図である。
【図3】この発明の「楕円曲線に基づく公開鍵暗号装
置」における暗号装置及び復号装置の各実施例の機能構
成を示すブロック図。
置」における暗号装置及び復号装置の各実施例の機能構
成を示すブロック図。
【図4】Aは図3中の指数生成部410の具体的機能構
成例を示すブロック図、Bは図3中のSSAアルゴリズ
ム部520の具体的機能構成例を示すブロック図であ
る。
成例を示すブロック図、Bは図3中のSSAアルゴリズ
ム部520の具体的機能構成例を示すブロック図であ
る。
─────────────────────────────────────────────────────
【手続補正書】
【提出日】平成11年2月16日
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】請求項6
【補正方法】変更
【補正内容】
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】請求項10
【補正方法】変更
【補正内容】
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0025
【補正方法】変更
【補正内容】
【0025】この発明の「楕円曲線に基づく公開鍵暗号
装置」においては、暗号化装置は、平文と乱数を組み合
わせて、En (Z/nZ)における巾乗計算のための指
数部分を生成する指数生成部、En (Z/nZ)での巾
乗計算を行う、E n-巾乗計算器からなり、E n-巾乗計算
器で生成された暗号文を通信回線に送出する。一方、復
号装置は、En (Z/nZ)の点をEp (Fp )の点に
変換するmod p−還元器と、Ep (Fp )における離散
対数問題を解いて復号する、SSAアルゴリズム部から
なる。
装置」においては、暗号化装置は、平文と乱数を組み合
わせて、En (Z/nZ)における巾乗計算のための指
数部分を生成する指数生成部、En (Z/nZ)での巾
乗計算を行う、E n-巾乗計算器からなり、E n-巾乗計算
器で生成された暗号文を通信回線に送出する。一方、復
号装置は、En (Z/nZ)の点をEp (Fp )の点に
変換するmod p−還元器と、Ep (Fp )における離散
対数問題を解いて復号する、SSAアルゴリズム部から
なる。
Claims (14)
- 【請求項1】 入力された平文と乱数を組み合わせて指
数を生成する指数生成手段と、 合成数よりなる第1公開鍵を法とした既約剰余類群にお
いて第2公開鍵を上記指数で巾乗計算して暗号文を出力
する巾乗計算手段とを具備する公開鍵暗号化装置。 - 【請求項2】 p,qを同一ビット数の奇素数とする
と、上記第1公開鍵はn=p2 qであり、上記第2公開
鍵gは、nを法とする既約剰余類群(Z/nZ)* の中
から、gp =gp-1 mod p2 が(Z/p2 Z)* の中で
の位数がpとなるものから選定されていることを特徴と
する請求項1記載の公開鍵暗号装置。 - 【請求項3】 入力された暗号文を、合成数よりなる第
1公開鍵を法とし既約剰余類群の元Cp に、第1秘密鍵
を用いて変換するΓ−変換手段と、 上記変換された元Cp における離散対数と第2秘密鍵を
用いて解いて復号平文を得る離散対数解法手段と、を具
備する公開鍵暗号復号装置。 - 【請求項4】 p,qを奇素数、n=p2 q、上記入力
暗号文Cを0<C<nの範囲にある整数で、nと互いに
素であるものとし、上記pを上記第1秘密鍵とし、上記
nを上記第1公開鍵とし、 上記Γ−変換手段は、C mod p2 ∈(Z/ p2 Z)* を
計算する p2 −還元手段と、 その p2 −還元手段の計算結果C mod p2 に対し p2 を
法とするp−1の巾乗計算を行って上記元Cp を得る変
換手段とよりなることを特徴とする請求項3記載の公開
鍵暗号復号装置。 - 【請求項5】 上記第1秘密鍵pを奇素数としgp 、上
記Cp を0<gp ,Cp < p2 の範囲にある整数で、g
p ≡Cp ≡1(mod 1)、gp ≠1(mod p -2)を満
し、((gp −1)/p)-1 modpを上記第2秘密鍵と
し、 上記離散対数解法手段は、上記元Cp を入力してL(C
p )=(Cp −1)/pを演算する対数計算手段と、 その演算結果L(Cp )と上記第2秘密鍵との積を上記
pを法として求めて復号平文を出力する乗算手段とより
なることを特徴とする請求項3又は4記載の公開鍵暗号
復号装置。 - 【請求項6】 公開鍵n,gを用いる暗号化装置の暗号
化処理を実行するプログラムを記録した記録媒体におい
て、 上記プログラムは、 乱数rを生成する過程と、 上記乱数rと上記公開鍵nを乗算する過程と、 その乗算結果rnと入力平文mを加算する過程と、 上記公開鍵nを法として、上記公開鍵gに対し上記加算
値n+rnを巾乗計算して暗号文Cを出力する過程とよ
りなることを特徴とするコンピュータ読出し可能な記録
媒体。 - 【請求項7】 p,qを同一ビット数の奇素数とする
と、上記公開鍵nはp 2 qであり、上記公開鍵gは、n
を法とする既約剰余類群(Z/nZ)* の中から、gp
=gp-1 mod p2 が(Z/p2 Z)* の中での位数がp
となるものから選定されていることを特徴とする請求項
6記載の記録媒体。 - 【請求項8】 p,qを奇素数、n=p2 qを公開鍵と
し、入力暗号文Cを0<C<nの範囲にある整数で、n
と互いに素であるものとし、入力暗号文Cを復号する復
号装置の処理を実行するプログラムを記録した記録媒体
であって、 上記プログラムは、 上記入力暗号文Cに対し、p2 を法とする既約剰余類群
の元Cmod p2 を求める過程と、 上記Cmod p2 に対し、p2 を法とするp−1の巾乗演
算を行って元Cp を求める過程と、 上記元Cp における離散対数を秘密鍵を用いて解いて復
号平文を出力する離散対数解法過程と、 を有することを特徴とするコンピュータ読出し可能な記
録媒体。 - 【請求項9】 gp 、上記Cp を0<gp ,Cp <p2
の範囲にある整数でgp ≡Cp ≡1(mod q)、gp ≠
1(mod p2 )を満し、上記秘密鍵は((g p −1)/
p)-1 modpであり、 上記離散対数解法過程は、 上記元Cp と上記pとを用い(Cp −1)/pを計算す
る過程と、 pを法として上記(Cp −1)/pに上記秘密鍵を乗算
して上記復号平文を得る過程とよりなることを特徴とす
る請求項8記載の記録媒体。 - 【請求項10】 入力された平文と乱数を組み合わせて
指数を生成する指数生成手段と、 合成数よりなる第1公開鍵を法として剰余類環上との楕
円曲線における巾乗計算と、上記指数を指数とし、第2
公開鍵に対して行って暗号文を出力する巾乗計算手段
と、 を具備する公開鍵暗号化装置。 - 【請求項11】 入力された暗号文を有限素体上の楕円
曲線を元Cp に変換する還元手段と、 上記元Cp に対する、離散計数を求めて、復号平文を出
力するSSAアルゴリズム手段と、 を具備する公開暗号復号装置。 - 【請求項12】 pを奇素数(>5)、Ep を有限体F
p 上の楕円曲線でそのFp 有理点の個数がpとなるもの
とし、このFp −有理点をGp ,Cp (どちらも無限遠
点でない)とし、λ(Gp )-1mod pを秘密鍵とし、 上記SSAアルゴリズム手段は、 上記元Cp と上記p、上記楕円曲線Ep 、上記関数λを
入力してλ(Cp )を計算する対数計算手段と、 上記λ(Cp )と、上記秘密鍵を入力して、両者の積を
上記pを法として求めて上記復号平文を出力する乗算手
段とよりなることを特徴とする請求項11記載の公開鍵
暗号復号装置。 - 【請求項13】 公開鍵n,G,Fp 有理点の個数がp
の有限体Fp 上の楕円曲線Ep ,Fq 有理点の個数がq
の有限体Fq 上の楕円曲線Eq から中国人剰余定理を用
いて得られるnを法とした剰余類環上の楕円曲線を用い
る暗号化装置の暗号化処理を実行するプログラムを記録
した記録媒体において、 上記プログラムは、 乱数rを生成する過程と、 上記乱数rと上記公開鍵nを乗算する過程と、 その乗算結果rnと入力平文mを加算する過程と、 合成数よりなる第1公開鍵を法として剰余環上の楕円曲
線における巾乗計算を、上記加算値を指数とし第2公開
鍵に対して行って暗号文を出力する巾乗計算過程と、 を有するコンピュータ読出し可能な記録媒体。 - 【請求項14】 pを奇素数(>5)、Ep を有限体F
p 上の楕円曲線でそのFp −有理点の個数がpとなるも
のとし、この二つのFp 有理点Gp ,Cp (どちらも無
限遠点でない)とし、λ(Gp )-1mod pを秘密鍵と
し、入力暗号文Cを復号する復号装置の処理を実行する
プログラムを記録した記録媒体であって、 上記プログラムは、 上記入力された暗号文Cを有限素体上の上記楕円曲線の
元Cp に、上記pを法として変換する過程と、 上記元Cp に対し、E(Fp )からFp への写像関数λ
を演算してλ(Cp )を求める過程と、 上記λ(Cp )と上記秘密鍵の積を、上記pを法として
求めて復号平文を出力する過程と、 を有するコンピュータ読出し可能な記録媒体。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP34761397A JP3402441B2 (ja) | 1997-12-17 | 1997-12-17 | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 |
| CA002256179A CA2256179C (en) | 1997-12-17 | 1998-12-16 | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon |
| EP98123917A EP0924895B1 (en) | 1997-12-17 | 1998-12-16 | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon |
| DE69840959T DE69840959D1 (de) | 1997-12-17 | 1998-12-16 | Verschlüsselungs- und Entschlüsselungsvorrichtungen für Kryptosysteme mit öffentlichem Schlüssel und Aufzeichnungsmedium mit darauf gespeicherten zugehörigen Verarbeitungsprogrammen. |
| US09/213,927 US6480605B1 (en) | 1997-12-17 | 1998-12-17 | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP34761397A JP3402441B2 (ja) | 1997-12-17 | 1997-12-17 | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11174955A true JPH11174955A (ja) | 1999-07-02 |
| JP3402441B2 JP3402441B2 (ja) | 2003-05-06 |
Family
ID=18391413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP34761397A Expired - Lifetime JP3402441B2 (ja) | 1997-12-17 | 1997-12-17 | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3402441B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6396926B1 (en) | 1998-03-26 | 2002-05-28 | Nippon Telegraph & Telephone Corporation | Scheme for fast realization of encrytion, decryption and authentication |
| JP2003534830A (ja) * | 1999-12-17 | 2003-11-25 | トムソン ライセンシング ソシエテ アノニム | リモートゲーム管理を確実にする方法 |
| JP2004533671A (ja) * | 2001-02-21 | 2004-11-04 | ミップス テクノロジーズ インコーポレイテッド | 多項式演算オペレーション |
| JP2010177960A (ja) * | 2009-01-28 | 2010-08-12 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティシステム、情報記録装置、セキュリティ方法、及びプログラム |
| JP4629889B2 (ja) * | 2001-03-13 | 2011-02-09 | 日本電信電話株式会社 | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 |
| US8280039B2 (en) | 2005-12-28 | 2012-10-02 | Panasonic Corporation | Signature generating device, signature generating method and signature generating program |
| JP2013228763A (ja) * | 2013-08-14 | 2013-11-07 | Nippon Telegr & Teleph Corp <Ntt> | 離散対数計算装置、事前計算装置、離散対数計算方法、事前計算方法、プログラム |
| KR101382628B1 (ko) * | 2012-04-30 | 2014-04-07 | 고려대학교 산학협력단 | 데이터베이스 암호화 시스템 및 방법 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100585670C (zh) * | 2004-03-31 | 2010-01-27 | 松下电器产业株式会社 | 一种将多个整数安全相加的计算机系统及方法 |
| JP7276423B2 (ja) | 2019-02-25 | 2023-05-18 | 日本電気株式会社 | 暗号システム、鍵生成装置、鍵生成方法、鍵生成プログラム、および準同型演算装置 |
-
1997
- 1997-12-17 JP JP34761397A patent/JP3402441B2/ja not_active Expired - Lifetime
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6396926B1 (en) | 1998-03-26 | 2002-05-28 | Nippon Telegraph & Telephone Corporation | Scheme for fast realization of encrytion, decryption and authentication |
| JP2003534830A (ja) * | 1999-12-17 | 2003-11-25 | トムソン ライセンシング ソシエテ アノニム | リモートゲーム管理を確実にする方法 |
| JP4990457B2 (ja) * | 1999-12-17 | 2012-08-01 | トムソン ライセンシング | リモートゲーム管理を確実にする方法 |
| JP2004533671A (ja) * | 2001-02-21 | 2004-11-04 | ミップス テクノロジーズ インコーポレイテッド | 多項式演算オペレーション |
| JP2009282992A (ja) * | 2001-02-21 | 2009-12-03 | Mips Technologies Inc | 多項式演算オペレーション |
| JP4629889B2 (ja) * | 2001-03-13 | 2011-02-09 | 日本電信電話株式会社 | 検証可暗号方法、その装置、そのプログラム及びその記録媒体 |
| US8280039B2 (en) | 2005-12-28 | 2012-10-02 | Panasonic Corporation | Signature generating device, signature generating method and signature generating program |
| JP2010177960A (ja) * | 2009-01-28 | 2010-08-12 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティシステム、情報記録装置、セキュリティ方法、及びプログラム |
| KR101382628B1 (ko) * | 2012-04-30 | 2014-04-07 | 고려대학교 산학협력단 | 데이터베이스 암호화 시스템 및 방법 |
| JP2013228763A (ja) * | 2013-08-14 | 2013-11-07 | Nippon Telegr & Teleph Corp <Ntt> | 離散対数計算装置、事前計算装置、離散対数計算方法、事前計算方法、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3402441B2 (ja) | 2003-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6480605B1 (en) | Encryption and decryption devices for public-key cryptosystems and recording medium with their processing programs recorded thereon | |
| Liao et al. | On the Security of Public-Key Algorithms Based on Chebyshev Polynomials over the Finite Field $ Z_N$ | |
| CA2587618C (en) | Custom static diffie-hellman groups | |
| NZ535698A (en) | An cryptosystem involving generating an isogeny that maps points from one elliptic curve onto another elliptic curve and publishing a public key corresponding to the isogeny | |
| Muhammad et al. | Cryptanalytic attacks on Rivest, Shamir, and Adleman (RSA) cryptosystem: issues and challenges | |
| JP3402441B2 (ja) | 公開鍵暗号化装置、公開鍵暗号復号装置及び復号プログラム記録媒体 | |
| JP2006210964A (ja) | エルガマル暗号による情報授受伝達方法及び装置 | |
| Zheng | Shortened digital signature, signcryption and compact and unforgeable key agreement schemes | |
| Zhong | An overview of rsa and oaep padding | |
| Alvarez et al. | A matricial public key cryptosystem with digital signature | |
| Mambo et al. | A note on the complexity of breaking Okamoto-Tanaka ID-based key exchange scheme | |
| CA2742530A1 (en) | Masking the output of random number generators in key generation protocols | |
| Lizama-Perez | Non-invertible key exchange protocol | |
| Alvarez et al. | A new public key cryptosystem based on matrices | |
| Shirur et al. | Design and Implementation of Synthesizable Two-Level Cryptosystem for High-Security enabled Applications | |
| Zheng | Signcryption or how to achieve cost (signature & encryption)<< cost (signature)+ cost (encryption) | |
| Küsmüş et al. | A novel public-key encryption scheme based on Bass cyclic units in integral group rings | |
| JP4284867B2 (ja) | 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法 | |
| JP4230162B2 (ja) | 公開鍵暗号通信方法 | |
| JP3402444B2 (ja) | 公開鍵暗号化装置、公開鍵暗号復号装置及びプログラム記録媒体 | |
| KR20020003059A (ko) | 정수 또는 다항식 행열을 이용한 공개키 암호시스템 | |
| JPH0798563A (ja) | 楕円曲線による署名、認証及び秘密通信方式 | |
| Alvarez et al. | A public key cryptosystem based on block upper triangular matrices | |
| Namdeo et al. | Prime Numbers and Its Applications in Security: Case Study | |
| Roman'kov | Multi-recipient and threshold encryption based on hidden multipliers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080229 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090228 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090228 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100228 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110228 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110228 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120229 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130228 Year of fee payment: 10 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |