JPH11316545A - 有限体上の2次多項式の求根方法及び求根回路 - Google Patents
有限体上の2次多項式の求根方法及び求根回路Info
- Publication number
- JPH11316545A JPH11316545A JP1778699A JP1778699A JPH11316545A JP H11316545 A JPH11316545 A JP H11316545A JP 1778699 A JP1778699 A JP 1778699A JP 1778699 A JP1778699 A JP 1778699A JP H11316545 A JPH11316545 A JP H11316545A
- Authority
- JP
- Japan
- Prior art keywords
- output
- circuit
- root
- polynomial
- elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 高速且つ実現時の回路規模を小さくすること
が可能な多項式基底を用いた有限体上の2次多項式の求
根回路を提供する。 【解決手段】 有限体GF(2m)上の任意の元a=(a0,a1,・・
・,am-1)の対応するビットを一方の入力とし、前段素子
の出力若しくはX(1,0)においては前段素子の出力の代わ
りにam-1を他方の入力とする従属接続されたm-3個の排
他論理和素子X(1,0)〜X(1, m-4)と、am-1及びX(1,1),X
(1,3),・・・, X(1, m-5)の出力を各々一方の入力とし、a0
を他方の入力とするm/2-1個の排他論理和素子X(2,0)〜X
(2,m/2-2)から構成しており、前記素子X(2,0)〜X(2,m/2
-2)の出力、前記素子X(1,0),X(1,2),・・・, X(1, m-4)の
出力及び前記a0をz2+z+aの根z=(z0,z1,・・・,zm-1)として
出力する。
が可能な多項式基底を用いた有限体上の2次多項式の求
根回路を提供する。 【解決手段】 有限体GF(2m)上の任意の元a=(a0,a1,・・
・,am-1)の対応するビットを一方の入力とし、前段素子
の出力若しくはX(1,0)においては前段素子の出力の代わ
りにam-1を他方の入力とする従属接続されたm-3個の排
他論理和素子X(1,0)〜X(1, m-4)と、am-1及びX(1,1),X
(1,3),・・・, X(1, m-5)の出力を各々一方の入力とし、a0
を他方の入力とするm/2-1個の排他論理和素子X(2,0)〜X
(2,m/2-2)から構成しており、前記素子X(2,0)〜X(2,m/2
-2)の出力、前記素子X(1,0),X(1,2),・・・, X(1, m-4)の
出力及び前記a0をz2+z+aの根z=(z0,z1,・・・,zm-1)として
出力する。
Description
【0001】
【発明の属する技術分野】本発明は、楕円暗号等に用い
る有限体上の1元2次多項式の求根方法及び求根回路に
関する。
る有限体上の1元2次多項式の求根方法及び求根回路に
関する。
【0002】
【従来の技術】従来の技術を説明するに先立って、まず
有限体の演算について説明する。
有限体の演算について説明する。
【0003】(有限体の演算)有限体GF(2m)は2m個の元
からなる集合であり、各々の元はベクトル表現で表現さ
れる。GF(2m)において位数2m1である元を原始元と呼
ぶ。ベクトル表現は、GF(2m)をGF(2)のm次元ベクトル
空間とみなし、任意の元aをm次元数ベクトル(a0,a1,・
・・,am-1)と表現するものである。ここで、ベクトルの各
要素a1はGF(2)の元、即ち0または1である。ベクトル
表現において、ベクトル空間の基底は一通りには決まら
ず、元の表現は用いる基底によって異なる。
からなる集合であり、各々の元はベクトル表現で表現さ
れる。GF(2m)において位数2m1である元を原始元と呼
ぶ。ベクトル表現は、GF(2m)をGF(2)のm次元ベクトル
空間とみなし、任意の元aをm次元数ベクトル(a0,a1,・
・・,am-1)と表現するものである。ここで、ベクトルの各
要素a1はGF(2)の元、即ち0または1である。ベクトル
表現において、ベクトル空間の基底は一通りには決まら
ず、元の表現は用いる基底によって異なる。
【0004】基底には、正規基底と多項式基底がある。
正規基底は、
正規基底は、
【数1】 が一次独立である原始元を用いて
【数2】 を基底とするものである。多項式基底は、GF(2)上m次
モニック既約多項式fを生成多項式とし、fの根である元
zを用いて、(1,z,z2,・・・,zm-1)を基底とする。また、こ
のときxを変数として、a=(a0,a1,・・・,am-1)をGF(2)
[x]の元とみなし、a=am-1xm-1+・・・+a1x+a0 と表現
する。この表現を多項式表現という。
モニック既約多項式fを生成多項式とし、fの根である元
zを用いて、(1,z,z2,・・・,zm-1)を基底とする。また、こ
のときxを変数として、a=(a0,a1,・・・,am-1)をGF(2)
[x]の元とみなし、a=am-1xm-1+・・・+a1x+a0 と表現
する。この表現を多項式表現という。
【0005】GF(2m)上の2元a,bの加算は、a+b= (a0+ b
0,a1+ b1,・・・,am-1+bm-1)であり、即ち2元を要素毎に
GF(2)上で加算すればよい。GF(2)上の加算は排他論理和
で実現される。GF(2m)上の2元a,bの乗算は、正規基底
を用いる方法では、U.S. patent #4,587,627 "Computat
ional Method and Apparatus for Finite Field Arithm
etic"、#4,745,568 "Computational Method and Apparat
us for Finite Field Multiplication"があるが、何れ
も実現時の回路が複雑であり、mが大きいとき回路規模
は非常に大きくなるという欠点を有する。なお正規基底
を用いた乗算についてはKluwer Academic Pub.出版A.J.
Menezes,Ed. "Applications of Finite Fields"に詳し
い記述がある。一方、多項式基底を用いる方法では、W.
W.Wesley, E.J. Weldolon, Jr.の著書"Error-Correctin
g Codes" MIT Pressに詳しい記述があり、正規基底を
用いた乗算と比較して回路がシンプルでmが大きいとき
もそれほど回路規模が大きくならず、また、高クロック
で高速動作できる利点が有る。
0,a1+ b1,・・・,am-1+bm-1)であり、即ち2元を要素毎に
GF(2)上で加算すればよい。GF(2)上の加算は排他論理和
で実現される。GF(2m)上の2元a,bの乗算は、正規基底
を用いる方法では、U.S. patent #4,587,627 "Computat
ional Method and Apparatus for Finite Field Arithm
etic"、#4,745,568 "Computational Method and Apparat
us for Finite Field Multiplication"があるが、何れ
も実現時の回路が複雑であり、mが大きいとき回路規模
は非常に大きくなるという欠点を有する。なお正規基底
を用いた乗算についてはKluwer Academic Pub.出版A.J.
Menezes,Ed. "Applications of Finite Fields"に詳し
い記述がある。一方、多項式基底を用いる方法では、W.
W.Wesley, E.J. Weldolon, Jr.の著書"Error-Correctin
g Codes" MIT Pressに詳しい記述があり、正規基底を
用いた乗算と比較して回路がシンプルでmが大きいとき
もそれほど回路規模が大きくならず、また、高クロック
で高速動作できる利点が有る。
【0006】(楕円暗号)楕円暗号はGF(2m)上の楕円曲
線
線
【数3】 のGF(2m)有理点の加算を用いた暗号方式である。すなわ
ち、暗号化の際にメッセージを楕円曲線E上の有理点に
写像してこれを暗号文とし、また復号化の際は暗号文を
楕円曲線E上の有理点に写像してこれを元のメッセージ
に復元する暗号方式である。
ち、暗号化の際にメッセージを楕円曲線E上の有理点に
写像してこれを暗号文とし、また復号化の際は暗号文を
楕円曲線E上の有理点に写像してこれを元のメッセージ
に復元する暗号方式である。
【0007】この楕円暗号では、暗号文が楕円曲線E上
の有理点(xc,yc)であることから、mビットのメッセー
ジは暗号化されたとき2mビットとなり、有限体上の情報
群を用いた他の暗号方式と比較して暗号文の大きさが2
倍になるという欠点が有る。そこでこの欠点を解決する
ためには、暗号文を有限体上の情報群暗号を用いたとき
の大きさ+1ビットする方法があり、これを実現するた
めにGF(2m)上の2次多項式の根を求める必要が有る。
の有理点(xc,yc)であることから、mビットのメッセー
ジは暗号化されたとき2mビットとなり、有限体上の情報
群を用いた他の暗号方式と比較して暗号文の大きさが2
倍になるという欠点が有る。そこでこの欠点を解決する
ためには、暗号文を有限体上の情報群暗号を用いたとき
の大きさ+1ビットする方法があり、これを実現するた
めにGF(2m)上の2次多項式の根を求める必要が有る。
【0008】(メッセージから有理点への写像)ところ
で、メッセージを有理点に写像するためには、通常メッ
セージを2進展開しm'ビット毎にブロック化する。ここ
で、m'<mである。このメッセージをベクトル表現された
GF(2m)の元Mの上位m'ビットの要素とし、下位m-m'ビッ
トの要素を乱数で埋める。この元Mを楕円曲線Eのx座
標に対応付け、x座標が元Mとなる有理点を計算する。即
ち、
で、メッセージを有理点に写像するためには、通常メッ
セージを2進展開しm'ビット毎にブロック化する。ここ
で、m'<mである。このメッセージをベクトル表現された
GF(2m)の元Mの上位m'ビットの要素とし、下位m-m'ビッ
トの要素を乱数で埋める。この元Mを楕円曲線Eのx座
標に対応付け、x座標が元Mとなる有理点を計算する。即
ち、
【0009】
【数4】 なるyを求める。yが存在しない場合、元Mの下位m-m'
ビットを別の乱数で埋めて、再びyを求める。yの値が
存在し、Yと定まったならば、メッセージの有理点への
写像を(M,Y)とする。このとき、楕円曲線Eをz=y/xと変
数変換すれば、
ビットを別の乱数で埋めて、再びyを求める。yの値が
存在し、Yと定まったならば、メッセージの有理点への
写像を(M,Y)とする。このとき、楕円曲線Eをz=y/xと変
数変換すれば、
【数5】 として、
【数6】 なるzを求め、このzからY=Mzとすることで、メッセー
ジから点への写像が行える。(暗号文の削減)上述のよ
うに楕円曲線Eは2次多項式で表すことができるから、
GF(2m)の元Xをx座標の値とする楕円曲線E上の有理点は2
個しかない。従って、暗号文(X,Y)はXと1bitの情報で表
現することができる。このためz=Y/Xを求め、その最下
位ビットzo をXと共に暗号文とすれば、暗号文はm-1ビ
ット削減される。この方法を用いた場合、復号時に
ジから点への写像が行える。(暗号文の削減)上述のよ
うに楕円曲線Eは2次多項式で表すことができるから、
GF(2m)の元Xをx座標の値とする楕円曲線E上の有理点は2
個しかない。従って、暗号文(X,Y)はXと1bitの情報で表
現することができる。このためz=Y/Xを求め、その最下
位ビットzo をXと共に暗号文とすれば、暗号文はm-1ビ
ット削減される。この方法を用いた場合、復号時に
【数7】,
【数8】 をzの最下位ビットをzo として解き、Y=Xzとすることで
Xに対応するYを求めることができ、暗号文(X,Y)を再構
成できる。なお楕円暗号の構成についてはKluwer Acade
mic Pub.出版A.J.Menezes,"Elliptic Curve Public Key
Cryptosystems"に詳しい記述がある。
Xに対応するYを求めることができ、暗号文(X,Y)を再構
成できる。なお楕円暗号の構成についてはKluwer Acade
mic Pub.出版A.J.Menezes,"Elliptic Curve Public Key
Cryptosystems"に詳しい記述がある。
【0010】
【発明が解決しようとする課題】ところで、2次多項式
の求根方法については、正規基底を用いた場合の方法が
一般に知られているが、上述したように、多項式基底を
用いた場合の方法及び回路は知られていないという問題
があった。
の求根方法については、正規基底を用いた場合の方法が
一般に知られているが、上述したように、多項式基底を
用いた場合の方法及び回路は知られていないという問題
があった。
【0011】本発明は上記問題を解決する為になされた
ものであって、高速且つ実現時の回路規模を小さくする
ことができる、多項式基底を用いた有限体上の2次多項
式の求根方法及び求根回路を提供することを目的とす
る。
ものであって、高速且つ実現時の回路規模を小さくする
ことができる、多項式基底を用いた有限体上の2次多項
式の求根方法及び求根回路を提供することを目的とす
る。
【0012】
【発明を解決しようとする手段】上述した目的を達成す
るため本発明の請求項1に係る2次多項式の求根回路に
おいては、mはGF(2)上の多項式f=xm+xm-1+・・・x+1が既
約となるように定めた拡大次数であり、前記多項式fを
GF(2m)の生成多項式として用いた場合において、前記元
aの対応するビットを一方の入力とし、前段素子の出力
若しくはX(1,0)においては前段素子の出力の代わりにa
m-1を他方の入力とする従属接続されたm-3個の排他論理
和素子X(1,0)〜X(1, m-4)と、am-1及びX(1,1), X(1,3),
・・・, X(1,m-5)の出力を各々一方の入力とし、a0 を他方
の入力とするm/2-1個の排他論理和素子X(2,0)〜X(2,m/
2-2)から構成され、前記素子X(2,0)〜X(2,m/2-2)の出
力、前記素子X(1,0), X(1,2),・・・, X(1, m-4)の出力及
び前記a0をz2+z+aの根z=(z0,z 1,・・・,zm-1)として出力す
ることを特徴としている。
るため本発明の請求項1に係る2次多項式の求根回路に
おいては、mはGF(2)上の多項式f=xm+xm-1+・・・x+1が既
約となるように定めた拡大次数であり、前記多項式fを
GF(2m)の生成多項式として用いた場合において、前記元
aの対応するビットを一方の入力とし、前段素子の出力
若しくはX(1,0)においては前段素子の出力の代わりにa
m-1を他方の入力とする従属接続されたm-3個の排他論理
和素子X(1,0)〜X(1, m-4)と、am-1及びX(1,1), X(1,3),
・・・, X(1,m-5)の出力を各々一方の入力とし、a0 を他方
の入力とするm/2-1個の排他論理和素子X(2,0)〜X(2,m/
2-2)から構成され、前記素子X(2,0)〜X(2,m/2-2)の出
力、前記素子X(1,0), X(1,2),・・・, X(1, m-4)の出力及
び前記a0をz2+z+aの根z=(z0,z 1,・・・,zm-1)として出力す
ることを特徴としている。
【0013】また本発明の請求項2に係る2次多項式の
求根回路においては、前記元aの対応するビットとX(1,
m-4)の出力とを入力とする排他論理和素子X(1, m-3)を
有し、該素子X(1, m-3)の出力を前記他の各素子と共に
出力とすることを特徴としている。
求根回路においては、前記元aの対応するビットとX(1,
m-4)の出力とを入力とする排他論理和素子X(1, m-3)を
有し、該素子X(1, m-3)の出力を前記他の各素子と共に
出力とすることを特徴としている。
【0014】また本発明の請求項3に係る2次多項式の
求根回路においては、前記元aの対応するビットを一方
の入力とし、前段素子の出力若しくはX(1,0)においては
前段素子の出力の代わりにam/2を他方の入力とする従属
接続されたm-3個の排他論理和素子X(1,0)〜X(1, m-4)
と、前記素子X(1,0), X(1,2),・・・, X(1, m-4)の出力を
各々一方の入力とし、a0を他方の入力とするm/2-1個の
排他論理和素子X(2,0)〜X(2,m/2-2)から構成され、X(2,
0)〜X(2,m/2-2)の出力、X(1,1), X(1,3),・・・, X(1, m-
5)の出力、am/2及びa0をz2+z+aの根z=(z0,z1,・・・,zm-1)
として出力することを特徴としている。
求根回路においては、前記元aの対応するビットを一方
の入力とし、前段素子の出力若しくはX(1,0)においては
前段素子の出力の代わりにam/2を他方の入力とする従属
接続されたm-3個の排他論理和素子X(1,0)〜X(1, m-4)
と、前記素子X(1,0), X(1,2),・・・, X(1, m-4)の出力を
各々一方の入力とし、a0を他方の入力とするm/2-1個の
排他論理和素子X(2,0)〜X(2,m/2-2)から構成され、X(2,
0)〜X(2,m/2-2)の出力、X(1,1), X(1,3),・・・, X(1, m-
5)の出力、am/2及びa0をz2+z+aの根z=(z0,z1,・・・,zm-1)
として出力することを特徴としている。
【0015】また本発明の請求項4に係る2次多項式の
求根回路においては、前記元aの対応するビットとX(1,
m-4)の出力とを入力とする排他論理和素子X(1, m-3)を
有し、該素子X(1, m-3)の出力を前記他の各素子と共に
出力とすることを特徴としている。
求根回路においては、前記元aの対応するビットとX(1,
m-4)の出力とを入力とする排他論理和素子X(1, m-3)を
有し、該素子X(1, m-3)の出力を前記他の各素子と共に
出力とすることを特徴としている。
【0016】また本発明の請求項5に係る2次多項式の
求根回路においては、請求項1記載の回路のうち初段か
ら所定の段数までの素子によりn個(n<m-1)の出力zを
求める第1の回路と、請求項2記載の回路のうち初段か
ら所定の段数までの素子により前記第1の回路の出力z
と重複しないm-1-n個の出力zを求める第2の回路とを互
いに接続した構成からなり、前記z2+z+aの根z=(z,z)=(z
0,z1,・・・,zm-1)を求めることを特徴としている。
求根回路においては、請求項1記載の回路のうち初段か
ら所定の段数までの素子によりn個(n<m-1)の出力zを
求める第1の回路と、請求項2記載の回路のうち初段か
ら所定の段数までの素子により前記第1の回路の出力z
と重複しないm-1-n個の出力zを求める第2の回路とを互
いに接続した構成からなり、前記z2+z+aの根z=(z,z)=(z
0,z1,・・・,zm-1)を求めることを特徴としている。
【0017】また本発明の請求項6に係る2次多項式の
求根回路においては、前記互いに接続された回路のう
ち、前記第1の回路における従属接続された排他論理和
素子の最終段の出力を一方の入力とし、前記第2の回路
における従属接続された排他論理和素子の最終段の出力
を他方の入力とする排他論理和素子を有し、該素子の出
力を前記他の各素子と共に出力とすることを特徴として
いる。
求根回路においては、前記互いに接続された回路のう
ち、前記第1の回路における従属接続された排他論理和
素子の最終段の出力を一方の入力とし、前記第2の回路
における従属接続された排他論理和素子の最終段の出力
を他方の入力とする排他論理和素子を有し、該素子の出
力を前記他の各素子と共に出力とすることを特徴として
いる。
【0018】また本発明の請求項7に係る2次多項式の
求根回路においては、mはGF(2)上の多項式f=xm+xm-1+・
・・x+1が既約となるように定めた拡大次数であり、前記
多項式fをGF(2m)の生成多項式として用いた場合におい
て、前記元aの対応するビット同士の排他論理和を求めz
の対応するビットの値とし、その後に前記元aの対応す
るビット及び直前に求めたzのビットの排他論理和をzの
次の対応するビットの値とし、以下これを繰り返してz
を求めることを特徴としている。
求根回路においては、mはGF(2)上の多項式f=xm+xm-1+・
・・x+1が既約となるように定めた拡大次数であり、前記
多項式fをGF(2m)の生成多項式として用いた場合におい
て、前記元aの対応するビット同士の排他論理和を求めz
の対応するビットの値とし、その後に前記元aの対応す
るビット及び直前に求めたzのビットの排他論理和をzの
次の対応するビットの値とし、以下これを繰り返してz
を求めることを特徴としている。
【0019】
【発明の実施の形態】以下、本発明の原理について詳細
に説明する。GF(2m)の生成多項式をf=xm+xm-1+・・・x+1で
あるとし、aの多項式基底を用いたベクトル表現が上述
したように与えられているとする。ここで、z2+z=aを解
く。このときz=(z0,z1,・・・,zm-1),z2=s=(s0,s1,・・・,s
m-1)と表し、z0〜zm-1を求める。生成多項式fが上述の
形であるとき、
に説明する。GF(2m)の生成多項式をf=xm+xm-1+・・・x+1で
あるとし、aの多項式基底を用いたベクトル表現が上述
したように与えられているとする。ここで、z2+z=aを解
く。このときz=(z0,z1,・・・,zm-1),z2=s=(s0,s1,・・・,s
m-1)と表し、z0〜zm-1を求める。生成多項式fが上述の
形であるとき、
【数9】 ・・・(1) となることが知られている。(Itoh, Tsujii: "Structur
e of Paralel Multipliers for a Class of Fields GF
(2m)", Information and Computation, Vol.83,No.1,(1
989),Hasan, Wang, Bhargava: "Modular Construction
of Low Complexity Parallel Multipliers for a Class
of Finite Fields GF(2m)",IEEE Trans. on Comp.,Vo
l.41,No.8,(1992)参照) なおabはaとbの排他論理和をとる演算を表す。
e of Paralel Multipliers for a Class of Fields GF
(2m)", Information and Computation, Vol.83,No.1,(1
989),Hasan, Wang, Bhargava: "Modular Construction
of Low Complexity Parallel Multipliers for a Class
of Finite Fields GF(2m)",IEEE Trans. on Comp.,Vo
l.41,No.8,(1992)参照) なおabはaとbの排他論理和をとる演算を表す。
【0020】ここで、 z2+z=b=(b0,b1,・・・,bm-1) と表すと、式(1)から
【0021】
【数10】
【数11】 ・・・(2) を得る。式(2)をzについて解いて、
【0022】
【数12】
【数13】 ・・・(3) を得る。式(3)においてb=aとすれば、zの解を得る。
また、直ちにzm/2=a0を得る。
また、直ちにzm/2=a0を得る。
【0023】ここで式(3)を更に変形し、
【数14】 ・・・(4) を得る。
【0024】式(4)からz1がzm-1 から逐次的に求ま
る。即ち、
る。即ち、
【数15】 ・・・(5) を得る。
【0025】上述のシーケンス(5)で逐次的にz1 を
求めると、最終的にm/2が偶数のときはzm/4、奇数のと
きはz(3m+2)/4 が得られる。これらが各々am/2と等しい
とき、z2+z+aはGF(2m)上に根を持ち、そうでないときは
根を持たないとする。またz0は用途に応じて0若しくは1
としてよい。例えば、楕円暗号の有理点への写像に用い
るときには0,1のどちらにしてもよいし、また削減され
た暗号文から有理点の再構成に用いる場合には、与えら
れた値とする。
求めると、最終的にm/2が偶数のときはzm/4、奇数のと
きはz(3m+2)/4 が得られる。これらが各々am/2と等しい
とき、z2+z+aはGF(2m)上に根を持ち、そうでないときは
根を持たないとする。またz0は用途に応じて0若しくは1
としてよい。例えば、楕円暗号の有理点への写像に用い
るときには0,1のどちらにしてもよいし、また削減され
た暗号文から有理点の再構成に用いる場合には、与えら
れた値とする。
【0026】もちろんシーケンス(5)を逆にたどって、m
/2が偶数ならばzm/4、奇数ならばz( 3m+2)/4 からシーケ
ンスを作ることも可能である。その場合、zm-1の値で根
の存在をチェックできる。更に、シーケンス(5)とその
逆シーケンスとを共に用いる構成も可能である。
/2が偶数ならばzm/4、奇数ならばz( 3m+2)/4 からシーケ
ンスを作ることも可能である。その場合、zm-1の値で根
の存在をチェックできる。更に、シーケンス(5)とその
逆シーケンスとを共に用いる構成も可能である。
【0027】以下、本発明の実施例を図面と計算例に基
づいて詳細に説明する。ここではGF(210)、即ちm=10と
して説明する。また生成多項式fは、f=x10+x9+ x8+x7 +
x6+x5+x4+x3+ x2+x+1とする。
づいて詳細に説明する。ここではGF(210)、即ちm=10と
して説明する。また生成多項式fは、f=x10+x9+ x8+x7 +
x6+x5+x4+x3+ x2+x+1とする。
【0028】このときシーケンス(5)は以下のようにな
る。
る。
【数16】 ・・・(S1)
【0029】このシーケンスを逐次的に解き、z8=a5を
チェックすることでzを得られる。また、逆のシーケン
スは以下のようになる。
チェックすることでzを得られる。また、逆のシーケン
スは以下のようになる。
【数17】 ・・・(S2) このシーケンスを逐次的に解き、
【数18】 をチェックすることでzを得られる。
【0030】更に、シーケンス(S1)(S2)の両方を任意の
z1まで求め、両シーケンスのz1の一致をチェックするこ
とでzを得ることができる。例えば、以下のシーケンス
でzを求め、(S1)(S2)のz6の一致で根の存在をチェック
する構成をとることができる。
z1まで求め、両シーケンスのz1の一致をチェックするこ
とでzを得ることができる。例えば、以下のシーケンス
でzを求め、(S1)(S2)のz6の一致で根の存在をチェック
する構成をとることができる。
【数19】 ・・・(S3)
【0031】ここで例えば、削減された暗号文から有理
点を再構成する場合等、GF(2m)上に必ず根が存在すると
分かっている場合には、根の存在のチェックが必要ない
ことはいうまでもない。
点を再構成する場合等、GF(2m)上に必ず根が存在すると
分かっている場合には、根の存在のチェックが必要ない
ことはいうまでもない。
【0032】次に、上述の求根を実現する回路について
説明する。図1は本発明に係る求根回路の第1の実施例
を示すブロック図である。当該回路は、シーケンス(S1)
を実現したものであり、根の存在チェックは行わない。
図中a0〜a9は入力であり、z2+z+aの根の計算を行う際の
aを表現する各ビットa=(a 0,a1,・・・,am-1)である。ま
た、z1〜z9は出力であり、z2+z+a=0となる際のzを表現
する各ビットz=(z0,z1,・・・,zm-1)である。また+は排他
論理和素子を表す。当該回路にaを入力すると、排他論
理和素子の動作時間をTと表したとき7Tでzを出力する。
当該回路は、シーケンス(S1)と
説明する。図1は本発明に係る求根回路の第1の実施例
を示すブロック図である。当該回路は、シーケンス(S1)
を実現したものであり、根の存在チェックは行わない。
図中a0〜a9は入力であり、z2+z+aの根の計算を行う際の
aを表現する各ビットa=(a 0,a1,・・・,am-1)である。ま
た、z1〜z9は出力であり、z2+z+a=0となる際のzを表現
する各ビットz=(z0,z1,・・・,zm-1)である。また+は排他
論理和素子を表す。当該回路にaを入力すると、排他論
理和素子の動作時間をTと表したとき7Tでzを出力する。
当該回路は、シーケンス(S1)と
【数20】 から直ちに正しいzを出力する回路であることが示され
る。
る。
【0033】次に上述の第1実施例の一変形例を図2に
示す。当該回路は、図1の回路に根の存在チェックを加
えたものである。図中Chkは出力であり、根が存在する
か否かにより各々0若しくは1を出力する。当該回路にa
を入力すると8Tでz及び根の存在を出力する。
示す。当該回路は、図1の回路に根の存在チェックを加
えたものである。図中Chkは出力であり、根が存在する
か否かにより各々0若しくは1を出力する。当該回路にa
を入力すると8Tでz及び根の存在を出力する。
【0034】図3は本発明に係る求根回路の第2の実施
例を示すブロック図である。当該回路は、シーケンス(S
2)を実現したものであり、根の存在チェックは行わな
い。なお図中の記号は図1に倣う。当該回路にaを入力
すると8Tでzを出力する。当該回路は、シーケンス(S2)
と
例を示すブロック図である。当該回路は、シーケンス(S
2)を実現したものであり、根の存在チェックは行わな
い。なお図中の記号は図1に倣う。当該回路にaを入力
すると8Tでzを出力する。当該回路は、シーケンス(S2)
と
【数20】 から直ちに正しいzを出力する回路であることが示され
る。
る。
【0035】次に上述の第2実施例の一変形例を図4に
示す。当該回路は、図3の回路に根の存在チェックを加
えたものである。なお図中の記号は図2に倣う。当該回
路にaを入力すると8Tでz及び根の存在を出力する。当該
回路の根の存在チェックは
示す。当該回路は、図3の回路に根の存在チェックを加
えたものである。なお図中の記号は図2に倣う。当該回
路にaを入力すると8Tでz及び根の存在を出力する。当該
回路の根の存在チェックは
【0036】
【数21】 より正しい結果を出力することが示される。
【0037】図5は本発明に係る求根回路の第3の実施
例を示すブロック図である。当該回路は、シーケンス(S
3)を実現したものであり、根の存在チェックは行わな
い。なお図中の記号は図1に倣う。当該回路にaを入力
すると4Tでzを出力する。
例を示すブロック図である。当該回路は、シーケンス(S
3)を実現したものであり、根の存在チェックは行わな
い。なお図中の記号は図1に倣う。当該回路にaを入力
すると4Tでzを出力する。
【0038】次に上述の第3実施例の一変形例を図6に
示す。当該回路は、図5の回路に根の存在チェックを加
えたものであり、z6の一致で根の存在をチェックする。
図中の記号は図2に倣う。当該回路にaを入力すると5T
でz及び根の存在を出力する。
示す。当該回路は、図5の回路に根の存在チェックを加
えたものであり、z6の一致で根の存在をチェックする。
図中の記号は図2に倣う。当該回路にaを入力すると5T
でz及び根の存在を出力する。
【0039】なお上記第3の実施例およびその変形例で
は、z6を堺とし、シーケンス(S1)により(z5,z9,z7,z3,z
6)=zを求める回路と、その逆のシーケンス(S2)により(z
8,z4,z2,z1,) =zを求める回路とを共に用いる構成とし
ているが、本発明はこれに限らず、どのzを堺にしても
よい。
は、z6を堺とし、シーケンス(S1)により(z5,z9,z7,z3,z
6)=zを求める回路と、その逆のシーケンス(S2)により(z
8,z4,z2,z1,) =zを求める回路とを共に用いる構成とし
ているが、本発明はこれに限らず、どのzを堺にしても
よい。
【0040】即ちシーケンス(S1)による回路のうち初段
から所定の段数までの素子によりn個(n<m-1)の出力z
を求める回路と、シーケンス(S2)に回路のうち初段から
所定の段数までの素子により前記シーケンス(S1)による
回路の出力zと重複しないm-1-n個の出力zを求める回路
とを互いに接続することにより、前記z2+z+aの根z=(z0,
z1,・・・,zm-1)を全て求める構成あればよい。
から所定の段数までの素子によりn個(n<m-1)の出力z
を求める回路と、シーケンス(S2)に回路のうち初段から
所定の段数までの素子により前記シーケンス(S1)による
回路の出力zと重複しないm-1-n個の出力zを求める回路
とを互いに接続することにより、前記z2+z+aの根z=(z0,
z1,・・・,zm-1)を全て求める構成あればよい。
【0041】以上、本発明を拡大次数m=10に適用したも
のを例として説明したが、本発明はこれのみに限定され
るものではなく、fが既約である任意の拡大次数mに対し
て適用されるものである。また上述の各実施例では、論
理素子のみを用いて構成しているが、順序回路を用いて
構成することも可能である。
のを例として説明したが、本発明はこれのみに限定され
るものではなく、fが既約である任意の拡大次数mに対し
て適用されるものである。また上述の各実施例では、論
理素子のみを用いて構成しているが、順序回路を用いて
構成することも可能である。
【0042】
【発明の効果】本発明は以上説明した如く構成するもの
であるから、高速且つ実現時の回路規模が小さい有限体
上の2次多項式の求根方法及び求根回路を提供すること
ができ、楕円暗号方式による暗号分のビット数を削減す
る上で著しい効果を発揮する。
であるから、高速且つ実現時の回路規模が小さい有限体
上の2次多項式の求根方法及び求根回路を提供すること
ができ、楕円暗号方式による暗号分のビット数を削減す
る上で著しい効果を発揮する。
【図1】本発明の第1の実施例を示す回路の構成図
【図2】本発明の第1の実施例の変形例を示す回路の構
成図
成図
【図3】本発明の第2の実施例を示す回路の構成図
【図4】本発明の第2の実施例の変形例を示す回路の構
成図
成図
【図5】本発明の第3の実施例を示す回路の構成図
【図6】本発明の第3の実施例の変形例を示す回路の構
成図
成図
Claims (7)
- 【請求項1】有限体GF(2m)上の任意の元a=(a0,a1,・・・,a
m-1)に対し2次多項式z2+z+aのGF(2 m)上の根を求める回
路であって、mはGF(2)上の多項式f=xm+xm-1+・・・x+1が
既約となるように定めた拡大次数であり、前記多項式f
をGF(2m)の生成多項式として用いた場合において、 前記元aの対応するビットを一方の入力とし、前段素子
の出力若しくはX(1,0)においては前段素子の出力の代わ
りにam-1を他方の入力とする従属接続されたm-3個の排
他論理和素子X(1,0)〜X(1, m-4)と、 am-1及びX(1,1),X(1,3),・・・, X(1, m-5)の出力を各々一
方の入力とし、a0を他方の入力とするm/2-1個の排他論
理和素子X(2,0)〜X(2,m/2-2)とから構成され、 前記素子X(2,0)〜X(2,m/2-2)の出力、前記素子X(1,0),X
(1,2),・・・, X(1, m-4)の出力及び前記a0をz2+z+aの根z=
(z0,z1,・・・,zm-1)として出力することを特徴とする有限
体上の2次多項式の求根回路。 - 【請求項2】前記元aの対応するビットとX(1, m-4)の出
力とを入力とする排他論理和素子X(1, m-3)を有し、該
素子X(1, m-3)の出力を前記他の各素子と共に出力とす
ることを特徴とする請求項1記載の有限体上の2次多項
式の求根回路。 - 【請求項3】有限体GF(2m)上の任意の元a=(a0,a1,・・・,a
m-1)に対し2次多項式z2+z+aのGF(2 m)の上の根を求める
回路であって、mはGF(2)上の多項式f=xm+xm-1+・・・x+1
が既約となるように定めた拡大次数であり、前記多項式
fをGF(2m)の生成多項式として用いた場合において、 前記元aの対応するビットを一方の入力とし、前段素子
の出力若しくはX(1,0)においては前段素子の出力の代わ
りにam/2を他方の入力とする従属接続されたm-3個の排
他論理和素子X(1,0)〜X(1, m-4)と、 前記素子X(1,0),X(1,2),・・・, X(1, m-4)の出力を各々一
方の入力とし、a0を他方の入力とするm/2-1個の排他論
理和素子X(2,0)〜X(2,m/2-2)とから構成され、X(2,0)〜
X(2,m/2-2)の出力、X(1,1),X(1,3), ・・・, X(1, m-5)の
出力、am/2及びa 0をz2+z+aの根z=(z0,z1,・・・,zm-1)とし
て出力することを特徴とする有限体上の2次多項式の求
根回路。 - 【請求項4】前記元aの対応するビットとX(1, m-4)の出
力とを入力とする排他論理和素子X(1, m-3)を有し、該
素子X(1, m-3)の出力を前記他の各素子と共に出力とす
ることを特徴とする請求項3記載の有限体上の2次多項
式の求根回路。 - 【請求項5】請求項1記載の回路のうち初段から所定の
段数までの素子によりn個(n<m-1)の出力zを求める第1
の回路と、請求項2記載の回路のうち初段から所定の段
数までの素子により前記第1の回路の出力zと重複しな
いm-1-n個の出力zを求める第2の回路とを互いに接続し
た構成からなり、前記z2+z+aの根z=(z0,z1,・・・,zm-1)を
求めることを特徴とする有限体上の2次多項式の求根回
路。 - 【請求項6】前記互いに接続された回路のうち、前記第
1の回路における従属接続された排他論理和素子の最終
段の出力を一方の入力とし、前記第2の回路における従
属接続された排他論理和素子の最終段の出力を他方の入
力とする排他論理和素子を有し、該素子の出力を前記他
の各素子と共に出力とすることを特徴とする請求項5記
載の有限体上の2次多項式の求根回路。 - 【請求項7】有限体GF(2m)の上の任意の元a=(a0,a1,・・
・,am-1)に対し2次多項式z2+z+aのGF(2m)の上の根を求
める方法であって、mはGF(2)上の多項式f=xm+xm-1+・・・
x+1が既約となるように定めた拡大次数であり、前記多
項式fをGF(2m)の生成多項式として用いた場合におい
て、 前記元aの対応するビット同士の排他論理和を求めzの対
応するビットの値とし、その後に前記元aの対応するビ
ット及び直前に求めたzのビットの排他論理和をzの次の
対応するビットの値とし、以下これを繰り返してzを求
めることを特徴とする有限体上の2次多項式の求根方
法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP01778699A JP4374504B2 (ja) | 1998-01-29 | 1999-01-27 | 有限体上の2次多項式の求根回路 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3218698 | 1998-01-29 | ||
| JP10-32186 | 1998-01-29 | ||
| JP01778699A JP4374504B2 (ja) | 1998-01-29 | 1999-01-27 | 有限体上の2次多項式の求根回路 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH11316545A true JPH11316545A (ja) | 1999-11-16 |
| JP4374504B2 JP4374504B2 (ja) | 2009-12-02 |
Family
ID=26354349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP01778699A Expired - Fee Related JP4374504B2 (ja) | 1998-01-29 | 1999-01-27 | 有限体上の2次多項式の求根回路 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4374504B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110657833A (zh) * | 2019-10-12 | 2020-01-07 | 湖南银河电气有限公司 | 一种用于高精度源表一体化测量设备的新型校准方法 |
-
1999
- 1999-01-27 JP JP01778699A patent/JP4374504B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110657833A (zh) * | 2019-10-12 | 2020-01-07 | 湖南银河电气有限公司 | 一种用于高精度源表一体化测量设备的新型校准方法 |
| CN110657833B (zh) * | 2019-10-12 | 2023-02-10 | 湖南银河电气有限公司 | 一种用于高精度源表一体化测量设备的新型校准方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4374504B2 (ja) | 2009-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6466959B2 (en) | Apparatus and method for efficient arithmetic in finite fields through alternative representation | |
| JPS63294115A (ja) | 非線形ランダム系列発生器 | |
| JP2005215688A (ja) | S−box演算を用いるハードウェア暗号化/復号化装置及び、その方法 | |
| Rashidi | High‐throughput and flexible ASIC implementations of SIMON and SPECK lightweight block ciphers | |
| US6957243B2 (en) | Block-serial finite field multipliers | |
| Daneshbeh et al. | A class of unidirectional bit serial systolic architectures for multiplicative inversion and division over GF (2/sup m/) | |
| Bhaskar et al. | Efficient Galois field arithmetic on SIMD architectures | |
| KR100950581B1 (ko) | 여분 표현을 사용하는 유한체 비트―병렬 곱셈 장치 및방법 | |
| US6484192B1 (en) | Root finding method and root finding circuit of quadratic polynomial over finite field | |
| CN116366248A (zh) | 基于紧凑指令集扩展的Kyber实现方法及系统 | |
| JPH11316545A (ja) | 有限体上の2次多項式の求根方法及び求根回路 | |
| Rashidi et al. | High-speed and pipelined finite field bit-parallel multiplier over GF (2 m) for elliptic curve cryptosystems | |
| JP3913921B2 (ja) | 有限フィールドでの任意要素の逆数具現回路 | |
| Baktır et al. | Finite field polynomial multiplication in the frequency domain with application to elliptic curve cryptography | |
| JPH11224183A (ja) | 擬似乱数発生装置 | |
| Hulle et al. | Compact Reconfigurable Architecture for Sosemanuk Stream Cipher | |
| KR100450750B1 (ko) | 향상된 선형 궤환 시프트 레지스터 구조의 유한체 승산기 | |
| Gorodecky et al. | Efficient hardware operations for the residue number system by boolean minimization | |
| JP4472808B2 (ja) | 積和演算装置及びこれを用いた暗号・復号装置 | |
| Li et al. | Low-complexity versatile finite field multiplier in normal basis | |
| CN114626537B (zh) | 一种基于x86平台SIMD的不可约多项式及量子安全哈希值计算方法 | |
| JP3540807B2 (ja) | 加算器,乗算器,及び集積回路 | |
| Lee et al. | Word-based FCSRs with fast software implementations | |
| Atrawalkar et al. | Design and Simulation of Parallel CRC Generation Architecture for High Speed Application | |
| Mahmoud et al. | LFSR based low complexity montgomery multiplier in GF (2 m) for a class of fields |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060126 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060126 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060126 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070905 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090421 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090619 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090818 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090826 |
|
| R150 | Certificate of patent (=grant) or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120918 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120918 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130918 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |