KR101372273B1 - Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves - Google Patents

Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves Download PDF

Info

Publication number
KR101372273B1
KR101372273B1 KR1020120125011A KR20120125011A KR101372273B1 KR 101372273 B1 KR101372273 B1 KR 101372273B1 KR 1020120125011 A KR1020120125011 A KR 1020120125011A KR 20120125011 A KR20120125011 A KR 20120125011A KR 101372273 B1 KR101372273 B1 KR 101372273B1
Authority
KR
South Korea
Prior art keywords
elliptic curve
calculation
decomposition
exponentiation
decomposition unit
Prior art date
Application number
KR1020120125011A
Other languages
Korean (ko)
Inventor
박철민
Original Assignee
기초과학연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 기초과학연구원 filed Critical 기초과학연구원
Priority to KR1020120125011A priority Critical patent/KR101372273B1/en
Application granted granted Critical
Publication of KR101372273B1 publication Critical patent/KR101372273B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/723Modular exponentiation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Theoretical Computer Science (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Algebra (AREA)
  • Complex Calculations (AREA)

Abstract

The present invention relates to a method of scalar multiplication and exponentiation for elliptic curve cryptography using a Frobenius map in a pairing-friendly curve having the least degree of complexity by directly decomposing with a scalar multiplication not using a lattice reduction algorithm, and according to the method for calculating elliptic curve cryptography, the scalar multiplication calculation and exponentiation calculation having the theoretically least degree of complexity on a pairing-friendly curve can be possible and the calculation speed of elliptic curve calculation can be improved by substituting multiplication calculation and exponentiation calculation having the quadratic or the cubic degree of complexity in a predetermined pairing-friendly curve with multiplication calculation and exponentiation calculating having the linear degree of complexity. Furthermore, the simplified scalar decomposition can be possible by using a precalculated matrix without using an LLL-algorithm when decomposing a scalar. [Reference numerals] (a) Defining step; (b) Composing step; (c) Scalar decomposing step

Description

친겹선형 곡선에서의 효율적인 연산을 위한 상수배와 지수승 분해 방법{Integer Decomposition for Efficient Scalar Multiplication and Exponentiation on Pairing-Friendly Elliptic Curves} Integer Decomposition for Efficient Scalar Multiplication and Exponentiation on Pairing-Friendly Elliptic Curves}

본 발명은 타원곡선암호를 위한 연산 방법에 관한 것으로, 좀 더 구체적으로는, 격자 감소 알고리즘을 이용하지 않으며 직접 상수배의 분해를 하여 최소 차수의 복잡도를 가지는 친겹선형 곡선에서의 프로베니우스맵을 이용한, 타원곡선암호를 위한 상수배 연산 및 지수승 방법에 관한 것이다.
The present invention relates to a calculation method for elliptic curve cryptography. More specifically, it is possible to solve Provenius maps on a polyline curve having a minimum degree of complexity by directly degrading constant multiples without using a lattice reduction algorithm. The present invention relates to a constant multiple operation and an exponential power method for elliptic curve cryptography.

종래 암호화 방법 중 타원곡선 암호는 다른 공개키 암호에 비하여 적은 키 사이즈를 가지고 있기 때문에 경량의 보안서비스를 요구하는 환경에 맞는 공개키 암호 방법이다. 또한 최근에 겹선형 함수를 이용한 타원곡선 암호의 다양한 활용이 밝혀짐으로써 더욱 주목받고 있다. Elliptic curve cryptography is a public key cryptography method suitable for environments that require lightweight security services because it has a smaller key size than other public key cryptography. Recently, various applications of the elliptic curve cryptography using the double-linear function have been found more attention.

이러한 타원곡선암호는 이산 대수 문제 해결의 어려움에 그 안전성을 기반하고 있기 때문에, 상수배 연산(scalar multiplication)을 많이 사용한다. 따라서, 타원곡선 암호에서는, 효율적인 상수배 연산이 중요하고, 이를 위한 많은 연구가 진행되고 있다. Since the elliptic curve cryptography is based on its safety in the difficulty of solving discrete algebra problems, it uses a lot of scale multiplication. Therefore, in elliptic curve cryptography, efficient constant multiplication operation is important, and much research has been conducted for this.

대표적인 상수배 연산 방법은 Gallant, Lambert and Vanstone이 제안한 GLV 방법이다. 이것은 사용되는 타원곡선군에서의 적당한 준동형 사상을 이용하여 상수배 연산을 고속화하는 방법이다. The typical constant multiplication method is the GLV method proposed by Gallant, Lambert and Vanstone. This is a method of speeding up the constant multiplication operation by using the appropriate quasi-dynamic mapping in the elliptic curve group used.

이러한 방법의 응용으로, Galbraith, Scott(S.D. Galbraith, M. Scott의 방법, Exponentiation in Pairing-Friendly Groups Using Homomorphisms, in Proc. Pairing 2008, pp. 211-224, 2008. 참조)은 친겹선형 곡선(pairing-friendly curve)에서 준동형 사상(homomorphism)으로 프로베니우스 맵(Frobenius map)을 이용한 상수배 연산 방법을 제안하였다. As an application of this method, Galbraith, Scott (see SD Galbraith, M. Scott's method, Exponentiation in Pairing-Friendly Groups Using Homomorphisms, in Proc.Pairing 2008, pp. 211-224, 2008.) We propose a constant multiplication method using the Frobenius map as a homomorphism in the -friendly curve.

이에 대해서 좀 더 자세히 살펴 보면, 이 방법은, 친겹선형 곡선에서 프로베니우스 맵을 이용한 상수배 연산과 지수승 연산을 하는 방법이다. 친-Ate pairing 곡선(Ate pairing friendly curve)에서 최소 차수의 계산복잡도를 가지는 상수배 연산과 지수승 연산이 가능하다. If you look at this in more detail, this method is a method of multiplying constants and exponentials using Provenius maps on an intimate curve. In the Ate pairing friendly curve, constant multiplication and exponential power calculations with minimum complexity are possible.

그러나 이런 부류가 아닌 친겹선형 곡선에서는 최소 차수를 가지는 상수배 분해를 위해서 격자 축소(lattice reduction) 알고리즘을 사용한다. 또한 일반적인 친겹선형 곡선에서 최소 차수를 가지는 상수배 분해 방법을 제시하지 않고 있다. 따라서 일반적인 친겹선형 곡선에서 격자 축소 알고리즘을 사용하지 않고 최소 차수의 상수배 분해 방법을 가지는 상수배, 지수승 연산 방법이 필요한 실정이었다. However, in this class of non-linear curves, the lattice reduction algorithm is used for the constant order decomposition with the minimum order. In addition, it does not present a method of constant multiplexing with the minimum order in a general tangent curve. Therefore, constant multiplication and exponential multiplication methods with constant order decomposition of the least orders are needed without using the lattice reduction algorithm in general symmetrical curves.

한편, Yasuyuki Nogami, Yoshitaka Morikawa, Hidehiro Kato, Masataka Akane(Yasuyuki Nogami, Yoshitaka Morikawa, Hidehiro Kato, Masataka Akane의 방법, Method for scalar multiplication, method for exponentiation, recording medium recording scalar multiplication program, recording medium recording exponentiation program, US 2011/0179098 A1, Jul.21, 2011. 참조)는 상수배의 타원곡선의 트레이스 확장표현법에서 프로베니우스 맵을 이용한 상수배 연산 방법을 제안하였다. On the other hand, Yasuyuki Nogami, Yoshitaka Morikawa, Hidehiro Kato, Masataka Akane US 2011/0179098 A1, Jul. 21, 2011.) proposed a method of computing constant constants using Provenius maps in trace extended expression of elliptic curves of constant multiples.

이에 대해서 좀 더 자세히 살펴 보면, 이 방법은, 먼저 타원곡선군의 위수와 타원곡선의 트레이스에 대한 관계를 찾고 이 관계로부터 상수배 분해 및 상수배, 지수승 연산을 하는 방법이다. Looking more closely at this, this method first finds the relationship between the elliptic curve family's order of latitude and the elliptic curve's trace, and then calculates the constant multiplication, constant multiplication, and exponentiation from this relationship.

이 방법은 위에서 설명한 S.D. Galbraith, M. Scott의 방법과 다르게, 상수배 분해시 격자 축소(lattice reduction) 알고리즘을 사용하지 않는다. 그러나 이 방법은 어떤 친겹선형 곡선에서는 이론적인 상수배 연산의 계산복잡도의 최소 차수보다 큰 차수를 가지는 상수배 분해를 얻게 된다. 이는 타원곡선군의 위수와 타원곡선의 트레이스에 대한 관계로부터 상수배 분해를 하는 방법의 한계점을 보여주는 것이라 할 수 있다. 따라서 이러한 관계보다 좀 더 근원적인 방법을 통한 상수배 분해 방법이 필요하다.
This method, unlike SD Galbraith and M. Scott's method described above, does not use a lattice reduction algorithm for constant factorization. However, this method yields constant factor decomposition with orders of magnitude greater than the minimum order of the computational complexity of the theoretical constant factor operation on some asymmetric curves. This shows the limitations of the method of constant factor decomposition from the relationship between the elliptic curve group's order of magnitude and the elliptic curve trace. Therefore, there is a need for a constant decomposition method through a more fundamental method than this relationship.

1. 대한민국 공개특허 제2012-28432호 (2012.03.23), 타원곡선암호를 위한 연산 장치 및 방법 (Calculating apparatus and method for elliptic curve cryptography)1. Korean Patent Publication No. 2012-28432 (March 23, 2012), Calculating apparatus and method for elliptic curve cryptography 2. Yasuyuki Nogami, Yoshitaka Morikawa, Hidehiro Kato, Masataka Akane, Method for scalar multiplication, method for exponentiation, recording medium recording scalar multiplication program, recording medium recording exponentiation program, US 2011/0179098 A1, Jul.21, 2011.Yasuyuki Nogami, Yoshitaka Morikawa, Hidehiro Kato, Masataka Akane, Method for scalar multiplication, method for exponentiation, recording medium recording scalar multiplication program, recording medium recording exponentiation program, US 2011/0179098 A1, Jul. 21, 2011.

S.D. Galbraith, M. Scott, Exponentiation in Pairing-Friendly Groups Using Homomorphisms, in Proc. Pairing 2008, pp. 211-224, 2008.S.D. Galbraith, M. Scott, Exponentiation in Pairing-Friendly Groups Using Homomorphisms, in Proc. Pairing 2008, pp. 211-224, 2008.

본 발명은 상술한 문제점을 해결하기 위하여 창출된 것으로, 본 발명은 격자 감소 알고리즘을 이용하지 않으며 직접 상수배의 분해를 하여 최소 차수의 복잡도를 가지는 친겹선형 곡선에서의 프로베니우스맵을 이용한, 타원곡선암호를 위한 상수배 연산 및 지수승 방법을 제공하는 것으로 목적으로 한다.
The present invention was created to solve the above problems, and the present invention does not use a lattice reduction algorithm and directly uses a Provenius map in a parent-like curve having a minimum order complexity by directly decomposing a constant multiple. An object of the present invention is to provide a constant multiple operation and an exponential power method for curve ciphers.

상기의 목적을 달성하기 위한 본 발명에 따른 타원곡선암호를 위한 연산 방법은, The operation method for the elliptic curve encryption according to the present invention for achieving the above object,

(a) p는 소수,

Figure 112012091152779-pat00001
는 원소의 개수가 p인 유한체,
Figure 112012091152779-pat00002
는 유한체
Figure 112012091152779-pat00003
위에서 정의된 타원곡선 즉, 무한원점 O에 대하여
Figure 112012091152779-pat00004
, r은 타원곡선집합의 원소의 개수를 나누는 가장 큰 소수, k는 r이 pi -1을 나누게 하는 자연수 i 중 가장 작은 자연수(이 때의 k를 임베딩디그리라고 함), 친겹선형 곡선류 q(x), r(x), t(x)는 적당한 자연수 x0에 대하여 q(x0)=p, r은 의 r(x0)의 약수, r(x0)는 q(x0)+1-t(x0)의 약수가 되게 하는 다항식,
Figure 112012091152779-pat00005
는 xk-1의 근이 되나 k보다 작은 자연수 i에 대해서 xi-1의 근은 되지 않는 복소수, 사이클로토믹체 Q(
Figure 112012091152779-pat00006
)는
Figure 112012091152779-pat00007
를 포함하는 수체로 정의하는 단계; (b) 상기 임베딩디그리 k인 상기 친겹선형 곡선류 q(x), r(x), t(x)가 주어져 있을 때, q(x0)는 소수가 되고, r(x0)가 안정성 레벨에 맞는 큰 소수 r(예를 들어, 160비트 정도의 수)을 가지는 정수 x0를 선택하는 단계 (여기서 r(x)는 k차 사이클로토믹체 Q(
Figure 112012091152779-pat00008
)와 동형인 체를 정의하는 다항식); 및 (c) 상기 임베딩디그리 k, p=q(x0), r(x), 상수배 n(modr)을 입력하여,
Figure 112012091152779-pat00009
을 만족하는 정수열
Figure 112012091152779-pat00010
의 출력값을 얻는 단계;를 포함한다. (a) p is a prime number,
Figure 112012091152779-pat00001
Is a finite field with the number of elements p,
Figure 112012091152779-pat00002
Is a finite body
Figure 112012091152779-pat00003
For the elliptic curve defined above, that is, the infinite zero point O
Figure 112012091152779-pat00004
, r is the largest prime number dividing the number of elements in the set of elliptic curves, k is the smallest natural number i of r that causes r to divide p i -1 (where k is the embedding degree), (x), r (x) , t (x) is the q (x 0) divisor, r (x 0) of the q (x 0) = p, r is the r (x 0) with respect to the proper natural number x 0 Polynomial to be a divisor of + 1-t (x 0 ),
Figure 112012091152779-pat00005
Is a complex number that is root of x k -1 but is not root of x i -1 for a natural number i that is less than k.
Figure 112012091152779-pat00006
)
Figure 112012091152779-pat00007
Defining a water body comprising a; (b) Given the angular curves q (x), r (x), t (x), the embedding degree k, q (x 0 ) becomes prime and r (x 0 ) is the stability level. Selecting an integer x 0 with a large prime r (e.g., a number of about 160 bits), where r (x) is the k-th order cyclotomic Q
Figure 112012091152779-pat00008
Polynomials defining sieves isomorphic); And (c) inputting the embedding degree k, p = q (x 0 ), r (x), and a constant multiple n (modr),
Figure 112012091152779-pat00009
An integer that satisfies
Figure 112012091152779-pat00010
It includes; obtaining an output value of.

여기서, 상기 (c) 단계는, (c-1) 상기 k차 사이클로토믹체 Q(

Figure 112012091152779-pat00011
)에서 r(x)의 근 θ를 구하는 단계; (c-2) 상기 θ를 상기 Q(
Figure 112012091152779-pat00012
)의 기저원소인
Figure 112012091152779-pat00013
의 일차결합인,
Figure 112012091152779-pat00014
으로 재구성하는 단계(여기서, a, c1i는 정수이고, c1i들은 서로소를 만족한다); (c-3)
Figure 112012091152779-pat00015
를 Q(
Figure 112012091152779-pat00016
)의 기저원소인
Figure 112012091152779-pat00017
의 일차결합인,
Figure 112012091152779-pat00018
으로 재구성하는 단계; (c-4) 상기 (c-2) 단계와 상기 (c-3) 단계의 cij를 이용하여 행렬 C = (cij)를 계산하는 단계(여기서 C00=1 C0j=0 (j=1, ...,
Figure 112012091152779-pat00019
-1)이고 다른 cij들은 상기 (c-2) 단계와 상기 (c-3) 단계의 cij와 같다); (c-5) n(mod r)을
Figure 112012091152779-pat00020
차 이하의 확장표현인,
Figure 112012091152779-pat00021
으로 구하는 단계(여기서 n(modr) < r < r (x0)이고, r(x)의 차수는
Figure 112012091152779-pat00022
이므로, 이와 같은 확장 표현이 가능하다. 여기서 bi들은 0이 될 수 있다) ; (c-6)
Figure 112012091152779-pat00023
를 계산하여
Figure 112012091152779-pat00024
로 구성하는 단계(여기서 vt는 벡터 v의 전치(transpose)를 의미한다); 및 (c-7) 상기 정수열
Figure 112012091152779-pat00025
를 출력한다. Here, the step (c) is (c-1) the k-th order cyclotomic body Q (
Figure 112012091152779-pat00011
Obtaining a root θ of r (x) at; (c-2) The θ is the Q (
Figure 112012091152779-pat00012
Base element of)
Figure 112012091152779-pat00013
Is the first bond of,
Figure 112012091152779-pat00014
Reconstructing (where a, c 1i are integers and c 1i satisfy each other); (c-3)
Figure 112012091152779-pat00015
Q (
Figure 112012091152779-pat00016
Base element of)
Figure 112012091152779-pat00017
Is the first bond of,
Figure 112012091152779-pat00018
Reconstructing with; (c-4) calculating the matrix C = (c ij ) using c ij of steps (c-2) and (c-3), where C 00 = 1 C 0j = 0 (j = One, ...,
Figure 112012091152779-pat00019
- 1) and the other c ij are equal to the (c-2) step and the (c-3) of step c ij); (c-5) n (mod r)
Figure 112012091152779-pat00020
Extended expression below the car,
Figure 112012091152779-pat00021
Where n (modr) <r <r (x 0 ), and the order of r (x) is
Figure 112012091152779-pat00022
Therefore, such an extended expression is possible. Where b i can be 0); (c-6)
Figure 112012091152779-pat00023
By calculating
Figure 112012091152779-pat00024
Consisting of (where v t means transpose of the vector v); And (c-7) the integer sequence
Figure 112012091152779-pat00025
.

본 발명에 따른 타원곡선암호를 위한 연산 방법에 의하면, According to the calculation method for the elliptic curve encryption according to the present invention,

첫째, 친겹선형 곡선에 이론적인 최소 차수,

Figure 112012091152779-pat00026
의 계산복잡도를 가지는 상수배 연산과 지수승 연산이 가능하게 된다. First, the theoretical minimum order on the tangent curve,
Figure 112012091152779-pat00026
Constant multiplicative and exponential power calculations with

둘째, 이와 같은 방법은 기존의 방법이 특정 친겹선형 곡선에서 2차 혹은 3차의 계산복잡도를 가지는 상수배 연산과 지수승 연산을 1차의 계산복잡도를 가지는 연산방법으로 대체하게 함으로써, 타원곡선 연산의 계산속도 증대 효과를 얻을 수 있다.Second, this method allows the existing method to replace the constant multiple operations and exponential power calculations with the second or third order complexity in a particular symmetrical linear curve with the first one. Can increase the speed of calculation.

셋째, 상수배 분해시 LLL-알고리즘을 사용하지 않고 미리 계산된 행렬을 이용하여 간단한 상수배 분해를 가능하게 한다.
Third, it is possible to perform simple constant decomposition using a precomputed matrix without using LLL-algorithm.

도 1은 본 발명의 타원곡선암호를 위한 연산 방법의 단계를 개략적으로 나타낸 절차도이다.
도 2는 본 발명의 타원곡선암호를 위한 연산 방법을 설명하기 위한 시스템도 이다.1 is a process diagram schematically showing the steps of a calculation method for an elliptic curve cipher of the present invention.
2 is a system diagram for explaining a calculation method for the elliptic curve encryption of the present invention.

이하 첨부된 도면을 참조하면서 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Prior to this, terms and words used in the present specification and claims should not be construed as limited to ordinary or dictionary terms, and the inventor should appropriately interpret the concepts of the terms appropriately The present invention should be construed in accordance with the meaning and concept consistent with the technical idea of the present invention.

따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.Therefore, the embodiments described in this specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention and do not represent all the technical ideas of the present invention. Therefore, It is to be understood that equivalents and modifications are possible.

한편, 아래 설명에서 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 이미 알고 있는 사항에 대해서는 그 설명을 생략하고 발명의 핵심적인 부분을 위주로 설명하기로 한다.
On the other hand, in the following description will be omitted for the matter already known to those skilled in the art of the present invention will be described mainly focusing on the essential part of the invention.

도 1은 본 발명의 타원곡선암호를 위한 연산 방법의 단계를 개략적으로 나타낸 절차도이다. 1 is a process diagram schematically showing the steps of a calculation method for an elliptic curve cipher of the present invention.

도 1을 참조하면서 설명하면, 본 발명에 따른 타원곡선암호를 위한 연산 방법은, (a) 정의 단계, (b) 구성 단계, 및 (c) 상수배 분해 단계로 이루어진다.
한편, 상기 각 단계는 본 발명의 타원곡선암호를 위한 연산 방법을 설명하기 위한 도 2에 도시된 타원곡선암호를 위한 연산 시스템에 의해 수행되는데, 상기 타원곡선암호를 위한 연산 시스템 도 2에 도시된 바와 같이 상기 (a), (b) 및(c) 단계를 각각 수행하는 정의부(12), 구성부(13) 및 분해부(14)를 포함하고, 상기 정의부(12), 구성부(13) 및 분해부(14)의 유기적인 결합을 위한 제어부(11)를 포함한다.Referring to Figure 1, the calculation method for the elliptic curve encryption according to the present invention, (a) defining step, (b) configuration step, and (c) constant multiple decomposition step.
On the other hand, each step is performed by a calculation system for the elliptic curve encryption shown in Figure 2 for explaining the calculation method for the elliptic curve encryption of the present invention, the calculation system for the elliptic curve encryption As described above, the apparatus includes a definition part 12, a configuration part 13, and a decomposition part 14 which perform the steps (a), (b) and (c), respectively, and the definition part 12 and the configuration part ( 13) and the control unit 11 for the organic coupling of the decomposition unit (14).

먼저, (a) 정의 단계에서는, 상기 정의부(12)가 p는 소수,

Figure 112013119474846-pat00027
는 원소의 개수가 p인 유한체,
Figure 112013119474846-pat00028
는 유한체
Figure 112013119474846-pat00029
위에서 정의된 타원곡선 즉, 무한원점 O에 대하여
Figure 112013119474846-pat00030
, r은 타원곡선집합의 원소의 개수를 나누는 가장 큰 소수, k는 r이 pi -1을 나누게 하는 자연수 i 중 가장 작은 자연수(이 때의 k를 "임베딩 디그리"라고 한다), 친겹선형 곡선류 q(x), r(x), t(x)는 자연수 x0에 대하여 q(x0)=p, r은 의 r(x0)의 약수, r(x0)는 q(x0)+1-t(x0)의 약수가 되게 하는 다항식,
Figure 112013119474846-pat00031
는 xk-1의 근이 되나 k보다 작은 자연수 i에 대해서 xi-1의 근은 되지 않는 복소수, 사이클로토믹체 Q(
Figure 112013119474846-pat00032
)는
Figure 112013119474846-pat00033
를 포함하는 수체로 정의한다. First, in the defining step (a), the defining unit 12 is a prime number,
Figure 112013119474846-pat00027
Is a finite field with the number of elements p,
Figure 112013119474846-pat00028
Is a finite body
Figure 112013119474846-pat00029
For the elliptic curve defined above, that is, the infinite zero point O
Figure 112013119474846-pat00030
, r is the largest prime number dividing the number of elements in the elliptic curve set, k is the smallest natural number i among the natural numbers i that r divides p i -1 (where k is called the "embedding degree") flow q (x), r (x ), t (x) is a divisor, r (x 0) of the q (x 0) = p, r is the r (x 0) with respect to the natural number x 0 is q (x 0 ) + 1-t (x 0 ) to be a divisor,
Figure 112013119474846-pat00031
Is a complex number that is root of x k -1 but is not root of x i -1 for a natural number i that is less than k.
Figure 112013119474846-pat00032
)
Figure 112013119474846-pat00033
It is defined as a water body containing a.

다음으로, (b) 구성 단계를 설명하면, 상기 구성부(13)가 상기 임베딩디그리 k인 상기 친겹선형 곡선류 q(x), r(x), t(x)가 주어져 있을 때, q(x0)는 소수가 되고, r(x0)가 안전성 레벨에 맞는 큰 소수 r (예를 들어, 160비트 정도의 수)을 가지는 정수 x0를 선택한다. Next, referring to (b) the construction step, q (x), r (x), t (x) is given when the component 13 is the embedding degree k. x 0 ) becomes a prime number, and selects an integer x 0 where r (x 0 ) has a large prime r (e.g., a number on the order of 160 bits) that matches the safety level.

여기서, r(x)는 k차 사이클로토믹체 Q(

Figure 112012091152779-pat00034
)와 동형인 체를 정의하는 다항식이다. Where r (x) is the k-th order cyclotomic body Q (
Figure 112012091152779-pat00034
Is a polynomial that defines a sieve that is isomorphic.

마지막으로, (c) 상수배 분해 단계를 설명하면, 상기 분해부(14)가 상기 임베딩디그리 k, p=q(x0), r(x), 상수배 n(mod r)을 입력하여,

Figure 112013119474846-pat00035
을 만족하는 정수열
Figure 112013119474846-pat00036
의 출력값을 얻는다. Finally, when (c) describing the constant multiple decomposition step, the decomposition unit 14 inputs the embedding degree k, p = q (x 0 ), r (x), and constant multiple n (mod r),
Figure 112013119474846-pat00035
An integer that satisfies
Figure 112013119474846-pat00036
Get the output of.

여기서, 상기 (c) 단계를 좀 더 구체적으로 살펴보면, Here, looking at step (c) in more detail,

먼저 (c-1) 단계에서, 상기 분해부(14)가 상기 k차 사이클로토믹체 Q(

Figure 112013119474846-pat00037
)에서 r(x)의 근 θ를 구한다. First, in step (c-1), the decomposing unit 14 performs the k-th cyclotomic body Q (
Figure 112013119474846-pat00037
Find the root θ of r (x)

다음으로 (c-2) 단계에서, 상기 분해부(14)가 상기 θ를 상기 Q(

Figure 112013119474846-pat00038
)의 기저원소인
Figure 112013119474846-pat00039
의 일차결합인,
Figure 112013119474846-pat00040
으로 재구성한다. Next, in step (c-2), the decomposition unit 14 sets the θ to the Q (
Figure 112013119474846-pat00038
Base element of)
Figure 112013119474846-pat00039
Is the first bond of,
Figure 112013119474846-pat00040
Reconfigure

여기서, a, c1i는 정수이고, c1i들은 서로소를 만족한다Where a and c 1i are integers and c 1i satisfy each other

다음으로 (c-3) 단계에서는, 상기 분해부(14)가

Figure 112013119474846-pat00041
를 Q(
Figure 112013119474846-pat00042
)의 기저원소인
Figure 112013119474846-pat00043
의 일차결합으로 표현한다. 즉,
Figure 112013119474846-pat00044
으로 재구성한다. Next, in the step (c-3), the decomposition unit 14 is
Figure 112013119474846-pat00041
Q (
Figure 112013119474846-pat00042
Base element of)
Figure 112013119474846-pat00043
Expressed as the first combination of. In other words,
Figure 112013119474846-pat00044
Reconfigure

다음으로, (c-4) 단계에서, 상기 분해부(14)가 상기 (c-2) 단계와 상기 (c-3) 단계의 cij를 이용하여 행렬 C = (cij)를 계산한다. Next, in step (c-4), the decomposition unit 14 calculates the matrix C = (c ij ) using c ij of steps (c-2) and (c-3).

여기서 C00=1 C0j=0 (j=1, ...,

Figure 112012091152779-pat00045
-1)이고 다른 cij들은 상기 (c-2) 단계와 상기 (c-3) 단계의 cij와 같다Where C 00 = 1 C 0j = 0 (j = 1, ...,
Figure 112012091152779-pat00045
- 1) and the other c ij are equal to the (c-2) step and the (c-3) of step c ij

다음으로, (c-5) 단계에서, 상기 분해부(14)가 n(modr)을

Figure 112013119474846-pat00046
차 이하의 확장표현을 구한다. 즉,
Figure 112013119474846-pat00047
으로 하는 확장표현을 구한다. Next, in the step (c-5), the decomposition unit 14 is n (modr)
Figure 112013119474846-pat00046
Obtain the extended expression below the difference. In other words,
Figure 112013119474846-pat00047
Obtain an extended expression of

여기서 bi들은 0이 될 수 있다. Where b i can be zero.

다음으로 (c-6) 단계에서, 상기 분해부(14)가

Figure 112013119474846-pat00048
를 계산하여
Figure 112013119474846-pat00049
로 구성한다. Next, in the step (c-6), the decomposition unit 14 is
Figure 112013119474846-pat00048
By calculating
Figure 112013119474846-pat00049
.

여기서, vt는 벡터 v의 전치(transpose)를 의미한다. Here, v t means the transpose of the vector v.

마지막으로, (c-7) 단계에서, 상기 분해부(14)가 상기 정수열

Figure 112013119474846-pat00050
를 출력한다. Finally, in the step (c-7), the decomposition unit 14 is the integer string
Figure 112013119474846-pat00050
.

다음으로 , k=18인 경우 KSS곡선에서 상수배 분해하는 예를 설명하기로 한다. 먼저, 임베딩디그리 k=18을 가지는 친겹선형 KSS 곡선의 r(x), q(x)를 구성한다. Next, the case of k = 18 will be described an example of the constant multiplication decomposition in the KSS curve. First, r (x) and q (x) of the parent-like KSS curve having embedding degree k = 18 are constructed.

r(x), q(x)는 각각 다음과 같다. r (x) and q (x) are as follows.

Figure 112012091152779-pat00051
Figure 112012091152779-pat00051

Figure 112012091152779-pat00052
Figure 112012091152779-pat00052

위의 방법에서 r(x)가 주어지면 행렬 C 는 상수배 n에 상관없이 사전계산이 가능하다. 이 곡선에서 계산된 C는 다음과 같다. Given r (x) in the above method, matrix C can be precomputed regardless of constant n. The C calculated from this curve is

Figure 112012091152779-pat00053

Figure 112012091152779-pat00053

이와 같이 함으로써, 종래와 달리, 친겹선형 곡선에 이론적인 최소 차수의 계산복잡도를 가지는 상수배 연산과 지수승 연산이 가능하게 되며, 기존의 방법이 특정 친겹선형 곡선에서 2차 혹은 3차의 계산복잡도를 가지는 상수배 연산과 지수승 연산인데 반하여, 본 발명은 1차의 계산복잡도를 가지는 연산방법으로 대체하게 함으로써, 타원 곡선 연산의 계산속도 증대 효과를 얻을 수 있다. 또한 상수배 분해시 LLL-알고리즘을 사용하지 않고 미리 계산된 행렬을 이용하여 간단한 상수배 분해를 가능하게 한다.
In this way, unlike the conventional method, the constant multiple operation and the exponential power operation that have the theoretical minimum degree of computational complexity on the intimate linear curve can be performed. In contrast to the constant multiplication operation and the exponential operation, the present invention can be replaced by a calculation method having a first-order calculation complexity, thereby increasing the calculation speed of the elliptic curve operation. It also enables simple constant decomposition using a precomputed matrix without using the LLL-algorithm.

이상과 같이, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술 사상과 아래에 기재될 청구범위의 균등 범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. It is to be understood that various modifications and changes may be made without departing from the scope of the appended claims.

a...정의 단계
b...구성 단계
c...상수배 분해 단계a ... definition steps
b ... configuration steps
c ... constant decomposition step

Claims (2)

(a) 정의부가 p는 소수,
Figure 112013119474846-pat00054
는 원소의 개수가 p인 유한체,
Figure 112013119474846-pat00055
는 유한체
Figure 112013119474846-pat00056
위에서 정의된 타원곡선 즉, 무한원점 O에 대하여
Figure 112013119474846-pat00057
, r은 타원곡선집합의 원소의 개수를 나누는 가장 큰 소수, k는 r이 pi -1을 나누게 하는 자연수 i 중 가장 작은 자연수(이 때의 k를 임베딩디그리라고 함), 친겹선형 곡선류 q(x), r(x), t(x)는 자연수 x0에 대하여 q(x0)=p, r은 의 r(x0)의 약수, r(x0)는 q(x0)+1-t(x0)의 약수가 되게 하는 다항식,
Figure 112013119474846-pat00058
는 xk-1의 근이 되나 k보다 작은 자연수 i에 대해서 xi-1의 근은 되지 않는 복소수, 사이클로토믹체 Q(
Figure 112013119474846-pat00059
)는
Figure 112013119474846-pat00060
를 포함하는 수체로 정의하는 단계;
(b) 구성부가 상기 임베딩디그리 k인 상기 친겹선형 곡선류 q(x), r(x), t(x)가 주어져 있을 때, q(x0)는 소수가 되고, r(x0)가 안전성 레벨에 맞는 큰 소수 r을 가지는 정수 x0를 선택하는 단계
(여기서 r(x)는 k차 사이클로토믹체 Q(
Figure 112013119474846-pat00061
)와 동형인 체를 정의하는 다항식); 및
(c) 분해부가 상기 임베딩디그리 k, p=q(x0), r(x), 상수배 n(modr)을 입력하여,
Figure 112013119474846-pat00062
을 만족하는 정수열
Figure 112013119474846-pat00063
의 출력값을 얻는 단계;
를 포함하는, 타원곡선암호를 위한 연산 방법.
(a) where p is a prime,
Figure 112013119474846-pat00054
Is a finite field with the number of elements p,
Figure 112013119474846-pat00055
Is a finite body
Figure 112013119474846-pat00056
For the elliptic curve defined above, that is, the infinite zero point O
Figure 112013119474846-pat00057
, r is the largest prime number dividing the number of elements in the set of elliptic curves, k is the smallest natural number i of r that causes r to divide p i -1 (where k is the embedding degree), (x), r (x) and t (x) are q (x 0 ) = p for a natural number x 0 , r is a divisor of r (x 0 ) of, and r (x 0 ) is q (x 0 ) + Polynomial to be divisor of 1-t (x 0 ),
Figure 112013119474846-pat00058
Is a complex number that is root of x k -1 but is not root of x i -1 for a natural number i that is less than k.
Figure 112013119474846-pat00059
)
Figure 112013119474846-pat00060
Defining a water body comprising a;
(b) When the angular curves q (x), r (x), t (x), whose component parts are the embedding degree k, are given, q (x 0 ) becomes prime and r (x 0 ) becomes Selecting an integer x 0 with a large prime r for the safety level
(Where r (x) is the k-th order cyclotomic body Q (
Figure 112013119474846-pat00061
Polynomials defining sieves isomorphic); And
(c) the decomposition unit inputs the embedding degree k, p = q (x 0 ), r (x), and a constant multiple n (modr),
Figure 112013119474846-pat00062
An integer that satisfies
Figure 112013119474846-pat00063
Obtaining an output value of;
Comprising a calculation method for the elliptic curve encryption.
제 1 항에 있어서,
상기 (c) 단계는,
(c-1) 상기 분해부가 상기 k차 사이클로토믹체 Q(
Figure 112013119474846-pat00064
)에서 r(x)의 근 θ를 구하는 단계;
(c-2) 상기 분해부가 상기 θ를 상기 Q(
Figure 112013119474846-pat00065
)의 기저원소인
Figure 112013119474846-pat00066
의 일차결합인,
Figure 112013119474846-pat00067
으로 재구성하는 단계;
(여기서, a, c1i는 정수이고, c1i들은 서로소를 만족한다)
(c-3) 상기 분해부가
Figure 112013119474846-pat00068
를 Q(
Figure 112013119474846-pat00069
)의 기저원소인
Figure 112013119474846-pat00070
의 일차결합인,
Figure 112013119474846-pat00071
으로 재구성하는 단계;
(c-4) 상기 분해부가 상기 (c-2) 단계와 상기 (c-3) 단계의 cij를 이용하여 행렬 C = (cij)를 계산하는 단계;
(여기서 C00=1 C0j=0 (j=1, ...,
Figure 112013119474846-pat00072
-1)이고 다른 cij들은 상기 (c-2) 단계와 상기 (c-3) 단계의 cij와 같다)
(c-5) 상기 분해부가 n(mod r)을
Figure 112013119474846-pat00073
차 이하의 확장표현인,
Figure 112013119474846-pat00074
으로 구하는 단계;
(여기서 bi들은 0이 될 수 있다)
(c-6) 상기 분해부가
Figure 112013119474846-pat00075
를 계산하여
Figure 112013119474846-pat00076
로 구성하는 단계;
(여기서 vt는 벡터 v의 전치(transpose)를 의미한다); 및
(c-7) 상기 분해부가 상기 정수열
Figure 112013119474846-pat00077
를 출력하는 단계;
를 포함하는, 타원곡선암호를 위한 연산 방법. The method of claim 1,
The step (c)
(c-1) said decomposition part said k-th cyclotomic body Q (
Figure 112013119474846-pat00064
Obtaining a root θ of r (x) at;
(c-2) The decomposition unit adds the θ to the Q (
Figure 112013119474846-pat00065
Base element of)
Figure 112013119474846-pat00066
Is the first bond of,
Figure 112013119474846-pat00067
Reconstructing;
(Where a and c 1i are integers and c 1i satisfy each other)
(c-3) the decomposition unit
Figure 112013119474846-pat00068
Q (
Figure 112013119474846-pat00069
Base element of)
Figure 112013119474846-pat00070
Is the first bond of,
Figure 112013119474846-pat00071
Reconstructing;
(c-4) the decomposing unit calculating a matrix C = (c ij ) using c ij of steps (c-2) and (c-3);
(Where C 00 = 1 C 0j = 0 (j = 1, ...,
Figure 112013119474846-pat00072
- 1) and the other c ij are equal to the (c-2) step and the (c-3) of step c ij)
(c-5) the decomposition unit adds n (mod r)
Figure 112013119474846-pat00073
Extended expression below the car,
Figure 112013119474846-pat00074
Obtaining by;
(Where b i can be 0)
(c-6) the decomposition unit
Figure 112013119474846-pat00075
By calculating
Figure 112013119474846-pat00076
Comprising;
(Where v t means transpose of the vector v); And
(c-7) the decomposition unit the integer string
Figure 112013119474846-pat00077
Outputting;
Comprising a calculation method for the elliptic curve encryption.
KR1020120125011A 2012-11-06 2012-11-06 Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves KR101372273B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120125011A KR101372273B1 (en) 2012-11-06 2012-11-06 Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120125011A KR101372273B1 (en) 2012-11-06 2012-11-06 Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves

Publications (1)

Publication Number Publication Date
KR101372273B1 true KR101372273B1 (en) 2014-03-25

Family

ID=50648110

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120125011A KR101372273B1 (en) 2012-11-06 2012-11-06 Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves

Country Status (1)

Country Link
KR (1) KR101372273B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936568A (en) * 2017-02-16 2017-07-07 深圳大学 A kind of cryptanalytic methods and device based on lattice

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110179098A1 (en) 2008-02-25 2011-07-21 National University Corporation Ukayama University Method for scalar multiplication, method for exponentiation, recording medium recording scalar multiplication program, recording medium recording exponentiation program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110179098A1 (en) 2008-02-25 2011-07-21 National University Corporation Ukayama University Method for scalar multiplication, method for exponentiation, recording medium recording scalar multiplication program, recording medium recording exponentiation program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Steven D. Galbraith 외 1인, 'Exponentiation in Pairing-Friendly Groups Using Homomorphisms' 2008.

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936568A (en) * 2017-02-16 2017-07-07 深圳大学 A kind of cryptanalytic methods and device based on lattice
CN106936568B (en) * 2017-02-16 2020-05-12 深圳大学 Lattice-based password analysis method and device

Similar Documents

Publication Publication Date Title
Lee et al. Privacy-preserving machine learning with fully homomorphic encryption for deep neural network
Vercauteren Optimal pairings
Aranha et al. The realm of the pairings
JP4682852B2 (en) Cryptographic processing apparatus, cryptographic processing method, and computer program
Schmidt On cosets of the generalized first-order Reed-Muller code with low PMEPR
CN109478996A (en) For executing the device and method for obscuring arithmetic
Cai et al. A new construction of zero-difference balanced functions and its applications
CN101483517A (en) A technique for aacelerating characteristic 2 eeliptic curve cryptography
Duquesne et al. Choosing and generating parameters for pairing implementation on BN curves
Januszewski On p-adic L-functions for GL (n)× GL (n-1) over totally real fields
Chen et al. When heaan meets fv: a new somewhat homomorphic encryption with reduced memory overhead
Kim et al. Lattice reductions over Euclidean rings with applications to cryptanalysis
Sun et al. The 2-adic complexity of a class of binary sequences with optimal autocorrelation magnitude
Koshelev Indifferentiable hashing to ordinary elliptic F q-curves of j= 0 with the cost of one exponentiation in F q
Shi et al. Additive perfect codes in Doob graphs
KR101372273B1 (en) Integer decomposition for??efficient??scalar multiplication and exponentiation on pairing-friendly elliptic curves
Brakerski et al. Better security for deterministic public-key encryption: The auxiliary-input setting
Kanayama et al. Approach to pairing inversions without solving Miller inversion
Shah et al. Maximal cyclic subgroups of the groups of units of Galois rings: a computational approach
Xiong et al. TinyPairing: computing tate pairing on sensor nodes with higher speed and less memory
Venkataramana Monodromy of cyclic coverings of the projective line
Arce-Nazario et al. Multidimensional linear complexity analysis of periodic arrays
Heuberger et al. Symmetric digit sets for elliptic curve scalar multiplication without precomputation
Wang Some cyclic codes with prime length from cyclotomy of order 4
Bisheh-Niasar et al. PQC Cloudization: Rapid Prototyping of Scalable NTT/INTT Architecture to Accelerate Kyber

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170307

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180305

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200226

Year of fee payment: 7