KR102184189B1 - Method for computing 4-isogeny on twisted edwards curves - Google Patents

Method for computing 4-isogeny on twisted edwards curves Download PDF

Info

Publication number
KR102184189B1
KR102184189B1 KR1020180143038A KR20180143038A KR102184189B1 KR 102184189 B1 KR102184189 B1 KR 102184189B1 KR 1020180143038 A KR1020180143038 A KR 1020180143038A KR 20180143038 A KR20180143038 A KR 20180143038A KR 102184189 B1 KR102184189 B1 KR 102184189B1
Authority
KR
South Korea
Prior art keywords
curve
edwards
isogeny
twisted
order
Prior art date
Application number
KR1020180143038A
Other languages
Korean (ko)
Other versions
KR20200058252A (en
Inventor
윤기순
박영호
권지훈
김수리
Original Assignee
주식회사 엔에스에이치씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔에스에이치씨 filed Critical 주식회사 엔에스에이치씨
Priority to KR1020180143038A priority Critical patent/KR102184189B1/en
Publication of KR20200058252A publication Critical patent/KR20200058252A/en
Application granted granted Critical
Publication of KR102184189B1 publication Critical patent/KR102184189B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Abstract

본 발명은 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에 관한 것으로서, 보다 구체적으로는 에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, :Ed→Ed′) 계산 방법으로서, (1) 꼬인 에드워즈 곡선(Ea,d)을 몽고메리 곡선(MA,B)으로 변환하고, 몽고메리 곡선(MA,B 및 MA′,B′) 사이의 아이소제니(1:MA,B→MA′,B′)와 동형사상(isomorphism)을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계; (2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계; 및 (3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q=(Y:Z)), 4-비틀림 점(P=(Y4:Z4))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q=(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 4차 아이소제니를 계산하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
본 발명에서 제안하고 있는 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에 따르면, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있다.The present invention relates to a quaternary iso Jenny calculation method for the twisted Edwards curve, More specifically, the "iso Jenny between (isogeny,: E d → E d Edwards curves (E d and E d), a method) calculated , (1) Converting the twisted Edwards curve (E a,d ) to the Montgomery curve (M A,B ), and isoseni ( 1 :M A ) between the Montgomery curves (M A,B and M A′,B′ ) ,B →M A′,B′ ) and isomorphism to derive a fourth-order isogene between twisted Edwards curves; (2) Assuming that the twisted Edwards curve has a 4-torsion point, and using that the twisted Edwards curve with a 4-torsion point is homogeneous with the Edwards curve, the fourth order Isogeny between the Edwards curves is calculated. Deriving; And (3) from the curve point (Q=(Y:Z)) on the Edwards curve (E d ) and the 4-torsion point (P=(Y 4 :Z 4 )) on the image Edwards curve (E d′ ) Computing the curve points (Q=(Y′:Z′)) and the projected curve coefficients (C′ and D′), and calculating the fourth-order Isogeny between the Edwards curve derived in step (2). It is characterized by its construction.
According to the fourth-order Isogeny calculation method for the twisted Edwards curve proposed in the present invention, the Edwards curve is proposed by proposing and optimizing the fourth-order Isogeny formula for the twisted Edwards curve, and proposing an efficient calculation method of the proposed formula. It is possible to efficiently calculate Isogeny for, and develop a new encryption technique by applying this to Isogeny-based encryption.

Description

꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법{METHOD FOR COMPUTING 4-ISOGENY ON TWISTED EDWARDS CURVES}How to Calculate 4th Order Isogeny for Twisted Edwards Curves {METHOD FOR COMPUTING 4-ISOGENY ON TWISTED EDWARDS CURVES}

본 발명은 아이소제니 계산 방법에 관한 것으로서, 보다 구체적으로는 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에 관한 것이다.The present invention relates to a method of calculating Isogeny, and more particularly, to a method of calculating a fourth order Isogeny for a twisted Edwards curve.

양자통신과 양자컴퓨팅의 가능성이 가시화되면서, 암호화 기술에도 변화가 요구되고 있다. 현재 널리 사용되고 있는 공개키 암호화 기술은 양자컴퓨터에서 더 이상 안전하지 않을 수 있으며, 암호 전문가들은 비대칭 암호화 알고리즘이 양자 컴퓨팅에 취약하다고 생각한다.
As the possibility of quantum communication and quantum computing becomes visible, changes are required in encryption technology. Public-key cryptography, which is widely used today, may no longer be secure in quantum computers, and cryptographers believe that asymmetric cryptographic algorithms are vulnerable to quantum computing.

이에 따라 NIST는 2016년 4월 ‘Reports on Post-Quantum Cryptography’ NISTIR 8105 발표를 통해, 공개키 암호는 양자 컴퓨터가 개발되면 더 이상 안전하지 않기 때문에, 이를 대비한 Post-Quantum Cryptography의 표준을 마련하기 위해 공모를 발표하기도 하였다.
Accordingly, NIST announced'Reports on Post-Quantum Cryptography' NISTIR 8105 in April 2016. Since public key cryptography is no longer secure when quantum computers are developed, a standard for Post-Quantum Cryptography has been prepared for this. It also announced a public offering for this.

한편, 미국 NSA의 Suite B Cryptography는 암호 현대화 프로그램의 일환으로 제정된 암호화 알고리즘 집합이다. Suite B는 2005년 2월에 제정되었으며, foreign releasable information, US-Only information, Sensitive Compartmented information (SCI)의 암호화에 이용된다. Suite B는 128/256비트 키 길이를 가지는 AES, P-384를 사용하는 ECDH, ECDSA, SHA-384 및 RSA-3072로 구성되어 있다. 하지만 양자 컴퓨터 개발이 가시화됨에 따라 NSA는 2015년 8월에 Suite B의 암호 알고리즘을 전부 Post-Quantum Cryptography(PQC)로 개정하겠다고 공지한 바 있다.
Meanwhile, Suite B Cryptography of the US NSA is a set of cryptographic algorithms established as part of a cryptographic modernization program. Suite B was established in February 2005 and is used for encryption of foreign releasable information, US-Only information, and Sensitive Compartmented information (SCI). Suite B consists of AES with 128/256 bit key length, ECDH using P-384, ECDSA, SHA-384 and RSA-3072. However, as quantum computer development became visible, the NSA announced in August 2015 that it would revise all of Suite B's cryptographic algorithms to Post-Quantum Cryptography (PQC).

이와 같이, 양자 컴퓨터의 개발로 인해 위협받고 있는 공개키 암호 체계를 강화하기 위해, 양자 내성(quantum-resistant) 암호를 구현하기 위한 기술의 개발이 필요한 실정이다.
As described above, in order to strengthen the public key cryptosystem, which is threatened by the development of quantum computers, it is necessary to develop a technology for implementing a quantum-resistant cryptography.

한편, 타원 곡선을 이용한 암호화 방법으로 Elliptic Curve Cryptography(ECC)이 개발된 바 있다. 그러나 ECC는 양자컴퓨터 환경에 취약할 것으로 알려져 있다. 왜냐하면, ECC가 기반을 두고 있는 Elliptic Curve Discrete Logarithm Problem(ECDLP)은 양자 알고리즘(Quantum algorithm)에 의해 polynomial time attack이 가능하므로, 이를 이용해 Post-Quantum Cryptography를 만들 수 없다.
Meanwhile, Elliptic Curve Cryptography (ECC) has been developed as an encryption method using an elliptic curve. However, ECC is known to be vulnerable to quantum computing environments. This is because the Elliptic Curve Discrete Logarithm Problem (ECDLP), which ECC is based on, is capable of polynomial time attack by a quantum algorithm, and thus Post-Quantum Cryptography cannot be created using this.

일반적으로 주어진 두 타원 곡선(elliptic curve)들 사이의 아이소제니(isogeny)를 구하는 문제는 계산이 극히 어려운 문제로 알려져 있으며, 이 어려움을 암호화에 이용할 수 있다. 이것은 유한체(finite field) 상에서 정의된 타원 곡선 아이소제니 그래프 상의 경로 탐색 문제로서 ECDLP를 이용하는 기존의 방식과는 전혀 다르다. 기존의 ECDLP 기반 암호화가 양자 알고리즘에 의해 취약해진 데 비해, 현재까지 아이소제니 기반 암호화는 양자 알고리즘에 취약하지 않은 양자 내성 암호화를 제공할 수 있는 가능성을 가지고 있다.
In general, the problem of obtaining an isogeny between two given elliptic curves is known as an extremely difficult problem, and this difficulty can be used for encryption. This is a path search problem on an elliptic curve isogeny graph defined on a finite field, which is completely different from the conventional method using ECDLP. While the existing ECDLP-based encryption has been weakened by quantum algorithms, the Isogeny-based encryption has the potential to provide quantum resistant encryption that is not vulnerable to quantum algorithms.

본 발명과 관련된 선행기술로서, 등록특허 제10-1098701호(발명의 명칭: 암호체계의 설계를 위한 아이소지니의 사용, 공고일자: 2011년 12월 23일), 등록특허 제10-1153085호(발명의 명칭: 이소제니-기반 서명의 생성과 유효화를 위한 시스템 및 방법, 공고일자: 2012년 06월 04일) 등이 개시된 바 있다.As a prior art related to the present invention, registered patent No. 10-1098701 (name of the invention: use of Isozini for designing a cryptosystem, date of announcement: December 23, 2011), and registered patent No. 10-1153085 ( Title of the invention: System and method for the generation and validation of isogeny-based signatures, date of announcement: June 04, 2012) and the like have been disclosed.

본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법을 제공하는 것을 그 목적으로 한다.The present invention is proposed to solve the above problems of the previously proposed methods, by proposing and optimizing the fourth-order Isogeny formula for the twisted Edwards curve, and by proposing an efficient calculation method of the proposed formula, Edwards Its purpose is to provide a fourth-order Isogeny calculation method for a twisted Edwards curve that can efficiently calculate Isogeny for a curve and develop a new encryption technique by applying it to Isogeny-based encryption.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법은,The fourth-order Isogeny calculation method for a twisted Edwards curve according to a feature of the present invention for achieving the above object,

에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, :Ed→Ed′) 계산 방법으로서,As a method of calculating isogeny (:E d →E d′ ) between Edwards curves (E d and E d′ ),

(1) 꼬인 에드워즈 곡선(Ea,d)을 몽고메리 곡선(MA,B)으로 변환하고, 몽고메리 곡선(MA,B 및 MA′,B′) 사이의 아이소제니(φ1:MA,B→MA′,B′)와 동형사상(isomorphism)을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계;(1) twisted Edwards curves (E a, d) the Montgomery curve (M A, B) to convert, and Montgomery curve (M A, B and M A ', B') iso Jenny (φ 1 between: M A ,B →M A′,B′ ) and isomorphism to derive a fourth-order isogene between twisted Edwards curves;

(2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계; 및(2) Assuming that the twisted Edwards curve has a 4-torsion point, and using that the twisted Edwards curve with a 4-torsion point is homogeneous with the Edwards curve, the fourth order Isogeny between the Edwards curves is calculated. Deriving; And

(3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q=(Y:Z)), 4-비틀림 점(P=(Y4:Z4))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q=(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 4차 아이소제니를 계산하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
(3) From the curve point (Q=(Y:Z)) on the Edwards curve (E d ) and the 4-torsion point (P=(Y 4 :Z 4 )), the curve on the image Edwards curve (E d′ ) Computing the point (Q=(Y′:Z′)) and the projected curve coefficients (C′ and D′), and calculating the fourth-order Isogeny between the Edwards curve derived in step (2). It is characterized by its construction.

바람직하게는, 상기 단계 (1)은,Preferably, the step (1),

(1-1) 꼬인 에드워즈 곡선에서 몽고메리 곡선으로의 제1 쌍유리사상(birational map)을 도출하는 단계;(1-1) deriving a first birational map from the twisted Edwards curve to the Montgomery curve;

(1-2) 몽고메리 곡선에서의 4차 아이소제니와 동형사상을 합성하는 단계;(1-2) synthesizing quaternary isogeny and isomorphic events in the Montgomery curve;

(1-3) 몽고메리 곡선에서 꼬인 에드워즈 곡선으로 돌아가는 제2 쌍유리사상을 도출하는 단계; 및(1-3) deriving a second pair of glass thoughts returning from the Montgomery curve to the twisted Edwards curve; And

(1-4) 상기 제1 쌍유리사상, 상기 몽고메리 곡선에서의 4차 아이소제니, 및 상기 제2 쌍유리사상을 합성하여, 상기 꼬인 에드워즈 곡선 사이의 아이소제니를 도출하는 단계를 포함할 수 있다.
(1-4) synthesizing the first paired glass image, the fourth order isogene in the Montgomery curve, and the second twin glassed image, and deriving the isogenes between the twisted Edwards curves. .

더욱 바람직하게는, 상기 단계 (1-2)에서는,More preferably, in the step (1-2),

벨뤼의 공식에 의해 계산되는 짝수 차수 아이소제니를 이용할 수 있다.
You can use the even-order Isogeny, which is calculated by Bellue's formula.

더욱 바람직하게는,More preferably,

상기 단계 (1-4)에서 도출된 꼬인 에드워즈 곡선 사이의 4차 아이소제니는, Y′=(Z2Y4 2+Y2Z4 2)YZ(Y4+Z4)2 및 Z′=(Z2Y4 2+Y2Z4 2)2+2Y2Z2Y4Z4(Y4 2+Z4 2)일 수 있다.
The fourth-order isogenes between the twisted Edwards curves derived in step (1-4), Y′=(Z 2 Y 4 2 +Y 2 Z 4 2 )YZ(Y 4 +Z 4 ) 2 and Z′= (Z 2 Y 4 2 +Y 2 Z 4 2 ) 2 +2Y 2 Z 2 Y 4 Z 4 (Y 4 2 +Z 4 2 ).

더욱 바람직하게는, 상기 단계 (1-4) 이후에는,More preferably, after step (1-4),

(1-5) 이미지 꼬인 곡선 계수를 도출하는 단계를 더 포함하며,(1-5) further comprising the step of deriving the image twist curve coefficient,

상기 단계 (1-5)에서 도출된 곡선 계수는, 꼬인 에드워즈 곡선(Ea,d)의 곡선 계수 a=A/C 및 d=D/C에 대하여, 이미지 꼬인 에드워즈 곡선(Ea′,d′)의 곡선 계수 a′=A′/C′ 및 d′=D′/C′일 때, 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수는 A′=A(Y4+Z4)4, D′=8AY4Z4(Y4 2+Z4 2) 및 C′=CY4 4일 수 있다.
The curve coefficients derived in step (1-5) are, for the curve coefficients a=A/C and d=D/C of the twisted Edwards curve (E a,d ), the image twisted Edwards curve (E a′,d When the curve coefficients a′=A′/C′ and d′=D′/C′ of ′ ), the projective curve coefficient of the twisted Edwards curve is A′=A(Y 4 +Z 4 ) 4 , D′= 8AY 4 Z 4 (Y 4 2 +Z 4 2 ) and C′=CY 4 4 .

바람직하게는, 상기 단계 (2)에서는,Preferably, in step (2),

꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하고, 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출할 수 있다.
Assuming that the twisted Edwards curve has 4-torsion points, and using that the twisted Edwards curve with 4-torsion points is homogeneous with the Edwards curve, and applying it to the projective coordinate system, derive the projective curve coefficient of the image Edwards curve in the projective coordinate system. can do.

더욱 바람직하게는, 상기 단계 (2)에서 도출된 사영 곡선 계수는,More preferably, the projective curve coefficient derived in step (2) is,

D′=8AY4Z4(Y4 2+Z4 2) 및 C′=(Y4+Z4)4일 수 있다.
It may be D′=8AY 4 Z 4 (Y 4 2 +Z 4 2 ) and C′=(Y 4 +Z 4 ) 4 .

바람직하게는, 상기 단계 (3)에서는,Preferably, in step (3),

에드워즈 곡선(Ed)상의 곡선 점(Q=(Y:Z))과 4-비틀림 점(P=(Y4:Z4))이 주어지고, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q′=(Y′:Z′))과 곡선 계수(C′, D′ 및 d′=D′/C′)를 산출하여, 아이소제니를 계산할 수 있다.
Given the curve point (Q=(Y:Z)) on the Edwards curve (E d ) and the 4-torsion point (P=(Y 4 :Z 4 )), the curve point on the image Edwards curve (E d′ ) ( Q′=(Y′:Z′)) and curve coefficients (C′, D′, and d′=D′/C′) are calculated to calculate Isogeny.

바람직하게는, 상기 단계 (3)에서는,Preferably, in step (3),

F′=(YZ(Y4 2+Z4 2)+(Y2Z4 2+Z2Y4 2))(ZY4+YZ4)2 및 G′=(YZ(Y4 2+Z4 2)-(Y2Z4 2+Z2Y4 2))(ZY4-YZ4)2를 계산하여, 상기 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q′=(Y′:Z′))과 사영 곡선 계수를 계산할 수 있다.F′=(YZ(Y 4 2 +Z 4 2 )+(Y 2 Z 4 2 +Z 2 Y 4 2 ))(ZY 4 +YZ 4 ) 2 and G′=(YZ(Y 4 2 +Z 4 2 )-(Y 2 Z 4 2 +Z 2 Y 4 2 ))(ZY 4 -YZ 4 ) 2 is calculated and the curve point (Q′=(Y′:Z) on the Edwards curve (E d′ ) in the image ′)) and projective curve coefficients can be calculated.

본 발명에서 제안하고 있는 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에 따르면, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있다.According to the fourth-order Isogeny calculation method for the twisted Edwards curve proposed in the present invention, the Edwards curve is proposed by proposing and optimizing the fourth-order Isogeny formula for the twisted Edwards curve, and proposing an efficient calculation method of the proposed formula. It is possible to efficiently calculate Isogeny for, and develop a new encryption technique by applying this to Isogeny-based encryption.

도 1은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법의 흐름을 도시한 도면.
도 2는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에서, 단계 S100의 세부적인 흐름을 도시한 도면.
도 3은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에서, 4차 아이소제니의 계산 및 그것과 대응되는 곡선 계수의 위한 효율적인 알고리즘을 표시한 도면.1 is a diagram illustrating a flow of a method for calculating a fourth-order isogene for a twisted Edwards curve according to an embodiment of the present invention.
FIG. 2 is a diagram showing a detailed flow of step S100 in a method for calculating a fourth-order Isogenie for a twisted Edwards curve according to an embodiment of the present invention.
FIG. 3 is a diagram showing an efficient algorithm for calculating a fourth order Isogeny and a curve coefficient corresponding thereto in a method for calculating a fourth order Isogeny for a twisted Edwards curve according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.
Hereinafter, preferred embodiments will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art may easily implement the present invention. However, in describing a preferred embodiment of the present invention in detail, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, the same reference numerals are used throughout the drawings for portions having similar functions and functions.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’ 되어 있다고 할 때, 이는 ‘직접적으로 연결’ 되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’ 되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’ 한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
In addition, in the entire specification, when a part is said to be'connected' with another part, it is not only'directly connected', but also'indirectly connected' with another element in the middle. Include. In addition, "including" a certain component means that other components may be further included rather than excluding other components unless otherwise stated.

타원 곡선(Elliptic curve)은, 유한체 K 상에서 정의된 genus 1인 매끈한 사영 평면 곡선(smooth projective plane curve)으로 특별한 점(distinguished point)을 가진다. K는 표수가 2와 3이 아닌 유한체라고 가정한다.
The elliptic curve is a smooth projective plane curve, genus 1 defined on the finite field K, and has a distinguished point. Assume that K is a finite field whose number of faces is not 2 and 3.

주어진 두 타원 곡선 E1과 E2에 대하여, 하나의 아이소제니 φ: E1→E2를 찾아내는 것을 아이소제니 문제(isogeny problem)라고 한다. 현재까지 supersingular elliptic curve들 사이의 아이소제니 문제를 해결할 수 있는 sub-exponential algorithm은 제안된 바가 없다.
Given two elliptic curves E 1 and E 2 , finding one isogeny φ: E 1 → E 2 is called the isogeny problem. Until now, no sub-exponential algorithm has been proposed that can solve the isogeny problem between supersingular elliptic curves.

아이소제니 기반 암호화는 양자 내성 암호화 분야에서 가장 최근 제안된 카테고리이다. 그러나 아이소제니 기반 암호화의 실질적인 구현에 있어서, 아이소제니의 계산과 점 연산에 어려움이 있다. 보다 구체적으로는, 암호시스템이 아이소제니 그래프를 따라 움직이기 때문에, 아이소제니 공식(isogeny formula)은 타원 곡선의 특정 계수에 대해 최적화될 수 없다. 따라서 종래의 문헌에서는, 임의의 타원 곡선에서의 효과적인 점 연산 때문에 몽고메리 곡선(Montgomery curves)을 사용하였다. 본 발명에서는, 몽고메리 곡선이 아닌, 꼬인 에드워즈 곡선에서의 4차 아이소제니 공식을 제안하고, 이를 최적화하였다.
Isogeny-based encryption is the most recently proposed category in the field of quantum resistant encryption. However, in the practical implementation of Isogeny-based encryption, there are difficulties in calculating Isogeny and calculating points. More specifically, because the cryptosystem moves along the Isogeny graph, the isogeny formula cannot be optimized for certain coefficients of the elliptic curve. Therefore, in the conventional literature, Montgomery curves are used because of effective point calculation in arbitrary elliptic curves. In the present invention, a fourth-order Isogeny formula in a twisted Edwards curve, not a Montgomery curve, was proposed and optimized.

에드워즈 곡선으로부터 바이어슈트라스(Weierstrass) 곡선까지는 쌍유리사상(birational map)이 존재한다. 꼬인 에드워즈 곡선으로부터 바이어슈트라스 곡선 W까지의 변환(transformation)을 ψ라 하고, W로부터 다른 바이어슈트라스 곡선인 W′까지의 아이소제니를 라고 하자. ψ-1은 바이어슈트라스 곡선 W′로부터 꼬인 에드워즈 곡선까지 역변환이라 하자. 꼬인 에드워즈 곡선 사이의 아이소제니를 계산하는 직관적인 접근법은 이 맵들을 합성하는 것이다. 그러나 바이어슈트라스 곡선에서 꼬인 에드워즈 곡선까지의 변환은, 바이어슈트라스 곡선이 특정한 형태가 아닌 경우 복잡해진다. 또한, 꼬인 에드워즈 형태로 돌아가는 변환을 위해서는 제곱근 계산이 요구된다.
From the Edwards curve to the Weierstrass curve, there is a birational map. Let the transformation from the twisted Edwards curve to the Bayerstras curve W be denoted as ψ, and the isozeni from W to another Bayerstras curve W'. Let ψ -1 be the inverse transformation from the Bayerstras curve W'to the twisted Edwards curve. An intuitive approach to calculating the Isogeny between twisted Edwards curves is to synthesize these maps. However, the transformation from the Bayerstras curve to the twisted Edwards curve becomes complicated when the Bayerstras curve is not of a specific shape. In addition, square root calculation is required for the transformation to return to the twisted Edwards shape.

본 발명에서는, 짝수 차수의 아이소제니 계산을 위해, 꼬인 에드워즈 곡선과 몽고메리 곡선 사이의 쌍유리사상(birational map) 계산의 효율성을 이용하였다. 즉, 꼬인 에드워즈 곡선에서의 4차 아이소제니는 쌍유리사상과 몽고메리 곡선에서의 아이소제니를 합성함으로써 얻을 수 있다.
In the present invention, the efficiency of the calculation of a birational map between the twisted Edwards curve and the Montgomery curve is used for the calculation of the even-order Isogeny. That is, the quaternary isozeni in the twisted Edwards curve can be obtained by synthesizing the twin glass idea and the isogene in the Montgomery curve.

먼저, 꼬인 에드워즈 곡선은 다음 수학식 1과 같이 표현될 수 있다.First, the twisted Edwards curve can be expressed as in Equation 1 below.

Figure 112018115284396-pat00001
Figure 112018115284396-pat00001

여기서, a, d∈K이며, a, d는 서로 다르고 0이 아니다.
Here, a, d∈K, and a, d are different and not zero.

꼬인 에드워즈 곡선에서의 4차 아이소제니 공식을 도출하기 위해, 먼저 벨뤼의 공식(V’s formula)과 3차 아이소제니 공식에 대해 살펴보도록 한다.
To derive the fourth-order Isogeny formula from the twisted Edwards curve, let's first look at Bellru's formula (V's formula) and the third-order Isogeny formula.

몽고메리 곡선에서 벨뤼의 공식Bellue's formula in the Montgomery curve

유한체 K에서 정의되는 몽고메리 곡선은 다음 수학식 2와 같이 정의된다.The Montgomery curve defined in finite field K is defined as in Equation 2 below.

Figure 112018115284396-pat00002
Figure 112018115284396-pat00002

수학식 2에서 정의된 몽고메리 곡선은 2-비틀림 점 P2=(0,0)과 4-비틀림 점

Figure 112018115284396-pat00003
을 가지며, 또는 2차 확장(quadratic extension) 상에서 [2]P4=P2로 정의된다. <P2>를 커널로 가진 2차의 아이소제니 및 P4를 (0,0)으로 보내는 사상은 다음 수학식 3과 같이 정의된다.The Montgomery curve defined in Equation 2 is a 2-torsion point P 2 =(0,0) and a 4-torsion point
Figure 112018115284396-pat00003
Is defined as [2]P 4 =P 2 on the quadratic extension. The second-order isogeny with <P 2 > as the kernel and the idea of sending P 4 as (0,0) is defined as in Equation 3 below.

Figure 112018115284396-pat00004
Figure 112018115284396-pat00004

여기서, (x,y)∈MA,B에 대해 x=X/Z, y=Y/Z이다. 대응되는 이미지 곡선은 다음 수학식 4와 같이 주어진다.Here, for (x,y)∈M A,B , x=X/Z, y=Y/Z. The corresponding image curve is given by Equation 4 below.

Figure 112018115284396-pat00005
Figure 112018115284396-pat00005

이미지 곡선은 몽고메리 형태가 아니므로, F를 몽고메리 형태로 다시 변환하기 위해 제곱근의 계산은 피할 수 없다. 이러한 문제를 극복하기 위해서, 다음 수학식 5와 같이 주어지는 <(0,0)>를 커널로 갖는 아이소제니 ψ를 고려하자.Since the image curve is not in Montgomery shape, the calculation of the square root cannot be avoided to convert F back to Montgomery shape. In order to overcome this problem, consider Isogeny ψ having <(0,0)> as a kernel given as in Equation 5 below.

Figure 112018115284396-pat00006
Figure 112018115284396-pat00006

여기서, X′=-X(AZ+X+2Z)(X+4Z), Y′=Y(4AZ2-X2+8Z2), Z′=(A-1)X2Z이다. 이 이미지 곡선의 방정식은 다음 수학식 6과 같이 몽고메리 형태로 주어진다.Here, X'=-X(AZ+X+2Z)(X+4Z), Y'=Y(4AZ 2 -X 2 +8Z 2 ), Z'=(A-1)X 2 Z. The equation of this image curve is given in Montgomery's form as in Equation 6 below.

Figure 112018115284396-pat00007
Figure 112018115284396-pat00007

그러면, φ1=ψ는 MA,B에서 MA′,B′=/MA,B<P4>로의 4차의 아이소제니이다. 그러나 이 공식은 42차의 아이소제니를 구하기 위해 2번 적용될 수는 없다. 대신에, φ1가 두 번 계산될 때에만, 4차 아이소제니에 의한 배수(multiplication-by-4-isogeny)가 유도될 수 있다. 4l차 아이소제니를 위해, 4차 아이소제니를 성공적으로 적용하기 위해서는, φ1가 4-비틀림 점을 몇 개의 특정 좌표계로 매핑하는 몽고메리 곡선들의 동형사상(isomorphism)과 합성되어야 한다. 이것은 특정 형태의 점 P4으로 을 계산할 때 이미 명백하다. P≠±P4가 MA,B에서 4차의 점이라고 하자. P=(XM:YM:ZM) 및 [2]P=(X0:Y0:Z0)을 각각 P 및 [2]P의 사영 좌표계라고 하자. [2]P에서 (0,0)으로, P에서 (1,…) 형의 점으로의 사상인 동형사상 ι는 다음 수학식 7과 같이 정의된다.Then, φ 1 =ψ is the fourth order isogeny from M A,B to M A',B' =/M A,B <P 4 >. However, this formula cannot be applied twice to obtain an isogeny of 4 2nd order. Instead, only when φ 1 is calculated twice, a multiplication-by-4-isogeny can be induced. For the 4 lth order Isogeny, in order to successfully apply the 4th order Isogeny, φ 1 must be synthesized with the isomorphism of the Montgomery curves that map the 4-torsion point to several specific coordinate systems. This is already evident when calculating with a point P 4 of a certain form. Let P≠±P 4 be the point of the fourth order in M A,B . Let P=(X M :Y M :Z M ) and [2]P=(X 0 :Y 0 :Z 0 ) be projected coordinate systems of P and [2]P, respectively. [2] The isomorphic idea ι, which is an mapping from P to (0,0) and P to (1,...)-type points, is defined as in Equation 7 below.

Figure 112018115284396-pat00008
Figure 112018115284396-pat00008

대응되는 곡선 방정식은 다음 수학식 8과 같다.The corresponding curve equation is shown in Equation 8 below.

Figure 112018115284396-pat00009
Figure 112018115284396-pat00009

φ1과 ι를 합성함으로써, 4차 아이소제니를 성공적으로 계산할 수 있다.
By synthesizing φ 1 and ι, we can successfully calculate the quaternary isogeny.

이하에서는, 4차 아이소제니 공식의 도출에 대한 이해를 돕기 위하여, 꼬인 에드워즈 곡선에서 3차 아이소제니 공식의 도출에 대해 설명하도록 한다.
Hereinafter, in order to help understand the derivation of the fourth-order Isogeny formula, the derivation of the third-order Isogeny formula from the twisted Edwards curve will be described.

꼬인 에드워즈 곡선에서 3차 아이소제니 공식The third-order Isogeny formula in a twisted Edwards curve

P=(α, β)를 수학식 1에서 정의된 꼬인 에드워즈 곡선 Ea,d에서 3차 비틀림 점(3-torsion point)이라고 하자.
Let P=(α, β) be the 3-torsion point in the twisted Edwards curve E a,d defined in Equation 1.

꼬인 에드워즈 곡선 Ea,d에서 Ea′,d′로의 커널 <P>를 가진 3차 아이소제니를 라고 하자(여기서, Ea′,d′=Ea,d/<P>이다.). 그러면, φ는 다음 수학식 9와 같다.Let us be a cubic Isozeni with a kernel <P> from the twisted Edwards curve E a,d to E a′,d′ (where E a′,d′ =E a,d /<P>). Then, φ is as shown in Equation 9 below.

Figure 112018115284396-pat00010
Figure 112018115284396-pat00010

곡선 계수 a′ 및 d′는 다음 수학식 10과 같다.The curve coefficients a'and d'are as shown in Equation 10 below.

Figure 112018115284396-pat00011
Figure 112018115284396-pat00011

곡선 방정식(수학식 1)으로부터, x2 및 α2

Figure 112018115284396-pat00012
Figure 112018115284396-pat00013
로 각각 표현될 수 있다. x2 및 α2를 수학식 2의 y좌표에 대입하면, 다음 수학식 11과 같다.From the curve equation (Equation 1), x 2 and α 2 are
Figure 112018115284396-pat00012
And
Figure 112018115284396-pat00013
Each can be expressed as Substituting x 2 and α 2 into the y-coordinate of Equation 2 is as shown in Equation 11 below.

Figure 112018115284396-pat00014
Figure 112018115284396-pat00014

꼬인 에드워즈 곡선 사이의 3차 아이소제니를 사영 좌표계(projective coordinates)에 적용할 수 있다. 보다 구체적으로는, 수학식 11에 사영 좌표계를 대입하고, 방정식을 단순화할 수 있다.
Third-order isogenes between twisted Edwards curves can be applied to projective coordinates. More specifically, by substituting the projective coordinate system in Equation 11, the equation can be simplified.

아이소제니 및 곡선 계수(curve coefficients)를 계산할 때 역원계산(inversion)을 방지하기 위해, 사영 좌표계(projection coordinates) 및 사영 곡선 계수(projection curve coefficients)를 활용할 수 있다. P=(X3:Y3:Z3)을 α=X3/Z3, β=Y3/Z3인 사영된 P를 나타낸다고 하자. (Y:Z)는 추가적인 입력(additional input)이고, (Y′:Z′)는 그것에 해당하는 이미지라고 하자. 즉, 에드워즈 곡선(Ed) 상의 곡선 점이 Q(Y:Z)이면, 이에 대응하는 이미지 에드워즈 곡선(Ed′)상의 곡선 점은 Q(Y′:Z′)이다. 수학식 11 사영 좌표계를 대입하고, 방정식을 단순화하면 다음 수학식 12를 얻을 수 있다.Projection coordinates and projection curve coefficients can be used to prevent inversion when calculating Isogeny and curve coefficients. Let P=(X 3 :Y 3 :Z 3 ) denote the projected P with α=X 3 /Z 3 and β=Y 3 /Z 3 . Let (Y:Z) be an additional input, and (Y':Z') be the corresponding image. That is, if the curve point on the Edwards curve E d is Q(Y:Z), the curve point on the image Edwards curve E d′ corresponding thereto is Q(Y':Z'). If Equation 11 is substituted for the projective coordinate system and the equation is simplified, the following Equation 12 can be obtained.

Figure 112018115284396-pat00015
Figure 112018115284396-pat00015

사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용할 수 있다. 보다 구체적으로는, y=Y3/Z3은 3차 디비전 다항식(division polynomials)

Figure 112018115284396-pat00016
의 근이므로, d를
Figure 112018115284396-pat00017
로 표현할 수 있다. 이때, ψ는 꼬인 에드워즈 곡선으로부터 바이어슈트라스 곡선으로의 변환(transformation)이다. 그러면, 다음과 같은 수학식 13을 얻을 수 있다.Third-order division polynomials can be applied to third-order isogenies in the projective coordinate system. More specifically, y=Y 3 /Z 3 is a third-order division polynomials
Figure 112018115284396-pat00016
Is the root of, so d
Figure 112018115284396-pat00017
It can be expressed as In this case, ψ is a transformation from a twisted Edwards curve to a Bayerstras curve. Then, Equation 13 as follows can be obtained.

Figure 112018115284396-pat00018
Figure 112018115284396-pat00018

요약하면, 추가적인 입력 (Y:Z)로부터, 수학식 11의 사영 버전은 다음 수학식 14과 같다.In summary, from the additional input (Y:Z), the projective version of Equation 11 is as Equation 14 below.

Figure 112018115284396-pat00019
Figure 112018115284396-pat00019

사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수를 도출할 수 있다. 즉, 수학식 10의 곡선 계수를 사영 좌표계에서 도출할 수 있다.
It is possible to derive the projective curve coefficients of the Edwards curve twisted in the projected coordinate system. That is, the curve coefficient of Equation 10 can be derived from the projective coordinate system.

구체적으로는, 먼저, a′ 및 d′를 이미지 곡선의 곡선 계수라고 하자. 수학식 10에

Figure 112018115284396-pat00020
Figure 112018115284396-pat00021
를 대입하여 이미지 곡선의 곡선 계수를 사영 좌표계에서 표현하면 다음 수학식 15와 같다.Specifically, first, let a'and d'be the curve coefficients of the image curve. To Equation 10
Figure 112018115284396-pat00020
And
Figure 112018115284396-pat00021
Substituting for and expressing the curve coefficient of the image curve in the projective coordinate system is shown in Equation 15 below.

Figure 112018115284396-pat00022
Figure 112018115284396-pat00022

역원계산을 피하기 위해, 수학식 15의 사영 버전을 다음 수학식 16과 같이 나타낼 수 있다.In order to avoid inverse calculation, the projected version of Equation 15 can be expressed as Equation 16 below.

Figure 112018115284396-pat00023
Figure 112018115284396-pat00023

꼬인 에드워즈 곡선에서 4차 아이소제니 공식Quadratic Isogeny Formula in Twisted Edwards Curve

꼬인 에드워즈 곡선에서 4차 아이소제니의 계산은 홀수 차수의 아이소제니의 계산보다 복잡하다. 꼬인 에드워즈 곡선에서 4차 아이소제니를 계산하기 위한 2가지 접근이 있다. 첫 번째 방법은, 꼬인 에드워즈 곡선을 대응되는 바이어슈트라스(Weierstrass) 형태로 변환(transformation)하고, 벨뤼의 공식(V’s formula)을 적용하는 것이다. 그러나 바이어슈트라스 형태에서 꼬인 에드워즈 형태로 돌아가는 변환은 제곱근 계산이 요구될 수 있으므로 복잡하다. 다른 접근 방법은, 꼬인 에드워즈 곡선과 몽고메리 곡선 사이의 쌍유리동치관계를 이용하는 것이다. 꼬인 에드워즈 곡선과 몽고메리 곡선 사이의 변환은 2번의 덧셈만 요구되므로, 몽고메리 곡선에서 4차 아이소제니를 계산한 다음 꼬인 에드워즈 곡선으로 다시 변환할 수 있다.
In the twisted Edwards curve, the calculation of the fourth-order Isogeny is more complicated than that of the odd-order Isogeny. There are two approaches to calculating the fourth-order Isogeny from the twisted Edwards curve. The first method is to transform the twisted Edwards curve into the corresponding Weierstrass form and apply Bellü's formula (V's formula). However, the transformation from the Bayerstras form to the twisted Edwards form is complicated because square root calculations may be required. Another approach is to use the bi-rational equivalence relationship between the twisted Edwards curve and the Montgomery curve. Since the transformation between the twisted Edwards curve and the Montgomery curve requires only two additions, you can calculate the fourth-order Isogeny from the Montgomery curve and then convert it back to the twisted Edwards curve.

본 발명에서는, 몽고메리 곡선에서의 짝수 차수의 아이소제니 계산을 위한 방법으로, Jao and De Feo(Jao, D., De Feo, L.: Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies. In: International Workshop on Post-Quantum Cryptography. pp. 19-34. Springer (2011))에 의해 제안되고, Costello et al.(Costello, C., Longa, P., Naehrig, M.: Ecient algorithms for supersingular isogeny diffie-hellman. In: Annual Cryptology Conference. pp. 572-601. Springer (2016))에 의해 추후 최적화 된 방법을 사용하였다. 4차 아이소제니 도출을 위한 주요 과정들은, 사영 좌표계에서 설명되었다.
In the present invention, as a method for calculating the even-order isogenies in the Montgomery curve, Jao and De Feo (Jao, D., De Feo, L.: Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies. In: International Workshop on Post-Quantum Cryptography.pp. 19-34.Springer (2011)), Costello et al. (Costello, C., Longa, P., Naehrig, M.: Ecient algorithms for supersingular isogeny diffie-hellman) In: Annual Cryptology Conference. pp. 572-601. A method optimized later by Springer (2016)) was used. The main processes for deriving the fourth isogeny were described in the projective coordinate system.

도 1은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법의 흐름을 도시한 도면이다. 도 1에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법은, 꼬인 에드워즈 곡선을 몽고메리 곡선으로 변환하고, 몽고메리 곡선 사이의 아이소제니와 동형사상을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계(S100), 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계(S200) 및 에드워즈 곡선 상의 점, 4-비틀림 점 및 사영 곡선 계수를 산출하여, 에드워즈 곡선 사이의 4차 아이소제니를 계산하는 단계(S300)를 포함하여 구현될 수 있다.
1 is a diagram showing a flow of a method for calculating a fourth-order isogene for a twisted Edwards curve according to an embodiment of the present invention. As shown in Figure 1, the fourth-order Isogeny calculation method for a twisted Edwards curve according to an embodiment of the present invention converts a twisted Edwards curve into a Montgomery curve, and synthesizes the isogenes and isomorphic thoughts between the Montgomery curves. Thus, the step of deriving the fourth-order isojeny between the twisted Edwards curves (S100), assuming that the twisted Edwards curve has a 4-twist point, and using that the twisted Edwards curve having a 4-twist point is homogeneous with the Edwards curve , Deriving a fourth-order isogene between the Edwards curves (S200) and calculating a point on the Edwards curve, a 4-torsion point, and a projective curve coefficient, and calculating the fourth-order isogene between the Edwards curves (S300). It can be implemented including.

단계 S100에서는, 꼬인 에드워즈 곡선(Ea,d)을 몽고메리 곡선(MA,B)으로 변환하고, 몽고메리 곡선(MA,B 및 MA′,B′) 사이의 아이소제니(φ1:MA,B→MA′,B′)와 동형사상(isomorphism)을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출할 수 있다. 도 2는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에서, 단계 S100의 세부적인 흐름을 도시한 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법의 단계 S100은, 꼬인 에드워즈 곡선에서 몽고메리 곡선으로의 제1 쌍유리사상을 도출하는 단계(S110), 몽고메리 곡선에서의 4차 아이소제니와 동형사상을 합성하는 단계(S120), 몽고메리 곡선에서 꼬인 에드워즈 곡선으로 돌아가는 제2 쌍유리사상을 도출하는 단계(S130) 및 제1 쌍유리사상, 몽고메리 곡선에서의 4차 아이소제니, 및 제2 쌍유리사상을 합성하여, 꼬인 에드워즈 곡선 사이의 아이소제니를 도출하는 단계(S140)를 포함하여 구현될 수 있으며, 이미지 꼬인 곡선 계수를 도출하는 단계(S150)를 더 포함하여 구현될 수 있다. 이하에서는, 수학식을 이용해 단계 S100에 대하여 상세히 설명하도록 한다.
In step S100, the twisted Edwards curve (E a,d ) is converted into a Montgomery curve (M A,B ), and isojeny (φ 1 :M) between the Montgomery curves (M A,B and M A′,B′ ). A,B →M A′,B′ ) and isomorphism can be synthesized to derive the fourth-order isogene between twisted Edwards curves. FIG. 2 is a diagram showing a detailed flow of step S100 in a method for calculating a fourth-order isogeny for a twisted Edwards curve according to an embodiment of the present invention. As shown in FIG. 2, step S100 of the fourth-order Isogeny calculation method for a twisted Edwards curve according to an embodiment of the present invention is a step of deriving a first pair of glass ideas from the twisted Edwards curve to the Montgomery curve ( S110), synthesizing the quadratic isogenes and isomorphic thoughts in the Montgomery curve (S120), deriving a second paired glass thought that returns to the Edwards curve twisted from the Montgomery curve (S130) and the first double glass thought, Montgomery It may be implemented including the step (S140) of deriving the Isogeny between the twisted Edwards curves by synthesizing the fourth order Isogeny and the second pair of glass thoughts in the curve, and the step of deriving the image twisted curve coefficient (S150 ) May be further included. Hereinafter, step S100 will be described in detail using an equation.

Jao and De Feo에 의해 제안된, 몽고메리 곡선에서의 4차 아이소제니 공식을 적용할 때, 4-비틀림 점을 특정 점으로 매핑하는 동형사상(isomorphism) ι가 4차 아이소제니를 연속적으로 계산하기 위해 합성되어야 한다. 그러므로, 꼬인 에드워즈 곡선을 몽고메리 곡선으로 변환한 다음, 동형사상은 4차 아이소제니와 합성되어야 한다.
When applying the fourth-order Isogeny formula in the Montgomery curve, proposed by Jao and De Feo, an isomorphism ι that maps a 4-torsion point to a specific point is used to continuously calculate the fourth-order Isogeny. It must be synthesized. Therefore, after transforming the twisted Edwards curve into a Montgomery curve, the isomorphic idea must be synthesized with the fourth order Isogeny.

요약하면, 본 발명에서 사용된 구성은 다음 수학식 17과 같다.In summary, the configuration used in the present invention is shown in Equation 17 below.

Figure 112018115284396-pat00024
Figure 112018115284396-pat00024

여기서, ψ 및 ψ′-1는 쌍유리사상이고, φ1는 벨뤼의 공식을 사용해 얻은 아이소제니이다.
Here, ψ and ψ′ -1 are the twin-glass events, and φ 1 is the Isogeny obtained using Bellü's formula.

단계 S110에서는, 꼬인 에드워즈 곡선에서 몽고메리 곡선으로의 제1 쌍유리사상(birational map)을 도출할 수 있다.
In step S110, a first birational map from the twisted Edwards curve to the Montgomery curve may be derived.

사영 좌표계(projection coordinates)에서 P=(X4:Y4:Z4)를 꼬인 에드워즈 곡선 Ea,d에서 4-비틀림 점(4-torsion point)이라고 하자. 꼬인 에드워즈 곡선 Ea,d에서 몽고메리 곡선 MA,B으로의 사상(maps)인 쌍유리사상 ψ은 다음 수학식 18과 같이 P를 보낸다.Let P=(X 4 :Y 4 :Z 4 ) in the projection coordinates be the 4-torsion point in the twisted Edwards curve E a,d . The twin-glass idea ψ, which is a map from the twisted Edwards curve E a,d to the Montgomery curve M A,B , sends P as shown in Equation 18 below.

Figure 112018115284396-pat00025
Figure 112018115284396-pat00025

여기서, A 및 B는 다음 수학식 19와 같다.Here, A and B are as shown in Equation 19 below.

Figure 112018115284396-pat00026
Figure 112018115284396-pat00026

단계 S120에서는, 몽고메리 곡선에서의 4차 아이소제니와 동형사상을 합성할 수 있다. 이때, 단계 S120에서는, 벨뤼의 공식에 의해 계산되는 짝수 차수 아이소제니를 이용할 수 있다.
In step S120, it is possible to synthesize the quaternary Isogeny and the isomorphic idea in the Montgomery curve. At this time, in step S120, an even-order Isogeny calculated by Bellru's formula may be used.

P′=(XM:ZM)은 MA,B에서 대응되는 4-비틀림 점이다. 커널 <P′>를 가진 4차 아이소제니 φ=φι의 계산은 수학식 14에서와 같은 방식으로 정의될 수 있다(다음 수학식 20).P'=(X M :Z M ) is the corresponding 4-torsion point in M A,B . The calculation of the fourth-order Isogeny φ = φ ι with the kernel <P′> can be defined in the same manner as in Equation 14 (following Equation 20).

Figure 112018115284396-pat00027
Figure 112018115284396-pat00027

이 공식은 동형사상 ι과 이미 합성되어 있으므로, 추가적인 변환은 불필요하다.
Since this formula is already synthesized with the isomorphic idea ι, no additional transformation is necessary.

단계 S130에서는, 몽고메리 곡선에서 꼬인 에드워즈 곡선으로 돌아가는 제2 쌍유리사상을 도출할 수 있다. 즉, 몽고메리 곡선에서 꼬인 에드워즈 곡선 Ea′,d′으로 돌아가는, 쌍유리사상 ψ-1는 다음 수학식 21과 같이 정의된다.In step S130, it is possible to derive a second pair of glass thoughts returning from the Montgomery curve to the twisted Edwards curve. In other words, the double rational idea ψ -1 , which returns to the Edwards curve E a',d' twisted from the Montgomery curve, is defined as in Equation 21 below.

Figure 112018115284396-pat00028
Figure 112018115284396-pat00028

이미지 곡선 Ea′,d′의 곡선 계수 a′ 및 d′는 다음 수학식 22와 같다.The curve coefficients a'and d'of the image curves E a'and d'are as shown in Equation 22 below.

Figure 112018115284396-pat00029
Figure 112018115284396-pat00029

단계 S140에서는, 제1 쌍유리사상, 몽고메리 곡선에서의 4차 아이소제니, 및 제2 쌍유리사상을 합성하여, 꼬인 에드워즈 곡선 사이의 아이소제니를 도출할 수 있다. 즉, 세 개의 사상 ψ, 및 ψ-1의 합성에 의해 꼬인 에드워즈 곡선 Ea,d에서 Ea′,d′로의 4차 아이소제니를 도출할 수 있다. 아래의 수학식 23은, Ea,d에서 추가적인 점 (Y:Z) 주어졌을 때, (Y′:Z′)의 계산에 의한 4차 아이소제니의 계산이다.In step S140, by synthesizing the first paired glass thought, the fourth order isogene in the Montgomery curve, and the second double glassed thought, an isogene between twisted Edwards curves may be derived. That is, it is possible to derive the fourth-order isogeny from the twisted Edwards curve E a,d to E a′,d′ by the synthesis of the three events ψ and ψ -1 . Equation 23 below is a calculation of the fourth-order Isogeny by calculating (Y':Z') when an additional point (Y:Z) is given in E a and d .

Figure 112018115284396-pat00030
Figure 112018115284396-pat00030

XM=Y4+Z4 및 ZM=Z4-Y4를 대입하여 수학식 23을 단순화하면 다음 수학식 24와 같다.Simplifying Equation 23 by substituting X M =Y 4 +Z 4 and Z M =Z 4 -Y 4 is as shown in Equation 24 below.

Figure 112018115284396-pat00031
Figure 112018115284396-pat00031

이제, 이미지 곡선의 곡선 계수의 계산에 대해 설명하도록 한다.
Now, the calculation of the curve coefficient of the image curve will be described.

단계 S150에서는, 이미지 꼬인 곡선 계수를 도출할 수 있다. 보다 구체적으로, 단계 S150에서 도출된 곡선 계수는, 꼬인 에드워즈 곡선(Ea,d)의 곡선 계수 a=A/C 및 d=D/C에 대하여, 이미지 꼬인 에드워즈 곡선(Ea′,d′)의 곡선 계수 a′=A′/C′ 및 d′=D′/C′일 때, 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수는 A′=A(Y4+Z4)4, D′=8AY4Z4(Y4 2+Z4 2) 및 C′=CY4 4일 수 있다.
In step S150, an image twist curve coefficient may be derived. More specifically, the curve coefficient derived in step S150 is, for the curve coefficients a=A/C and d=D/C of the twisted Edwards curve (E a,d ), the image twisted Edwards curve (E a′, d′) ), when the curve coefficients a′=A′/C′ and d′=D′/C′, the projected curve coefficient of the twisted Edwards curve is A′=A(Y 4 +Z 4 ) 4 , D′=8AY It may be 4 Z 4 (Y 4 2 +Z 4 2 ) and C′=CY 4 4 .

상세히 설명하면, 꼬인 에드워즈 곡선 Ea,d에서 4-비틀림 점 P=(X4:Y4:Z4)에 대하여, 쌍유리사상은 몽고메리 형 MA,B으로의 변환에 사용되어 왔다. P 및 [2]P의 이미지와 곡선 계수는 다음 수학식 25로 주어진다.In detail , for the 4-torsion point P = (X 4 : Y 4 : Z 4 ) in the twisted Edwards curve E a,d , the double glass thought has been used for the transformation into the Montgomery type M A and B. The image and curve coefficients of P and [2]P are given by Equation 25 below.

Figure 112018115284396-pat00032
Figure 112018115284396-pat00032

위의 수학식 25에서, XM=Y4+Z4, ZM=Z4-Y4, X0=(XM+ZM)2(XM-ZM)2 그리고 Z0=4XMZM((XM-ZM)2+((A+2)/4)(4XMZM))이다.
In Equation 25 above, X M =Y 4 +Z 4 , Z M =Z 4 -Y 4 , X 0 =(X M +Z M ) 2 (X M -Z M ) 2 and Z 0 =4X M Z M ((X M -Z M ) 2 +((A+2)/4)(4X M Z M )).

그 다음, 동형사상 ι는 ψ(P)를 (1,…) 형태의 점으로 보내고, ψ([2]P)를 (0,0)로 보낸다. 대응하는 이미지 곡선 MA,B의 계수는 다음 수학식 26과 같다.Then, the isomorphic idea ι sends ψ(P) to a point of the form (1,...), and sends ψ([2]P) to (0,0). The coefficients of the corresponding image curves M A and B are as shown in Equation 26 below.

Figure 112018115284396-pat00033
Figure 112018115284396-pat00033

그러면, 아이소제니 1를 합성하여, 이미지 곡선의 계수는 다음 수학식 27 및 수학식 28과 같다.Then, by synthesizing Isogeny 1 , the coefficient of the image curve is as shown in Equation 27 and Equation 28 below.

Figure 112018115284396-pat00034
Figure 112018115284396-pat00034

Figure 112018115284396-pat00035
Figure 112018115284396-pat00035

마지막으로, 꼬인 에드워즈 곡선으로 돌아가기 위한 쌍유리사상을 적용하면, 4차 아이소제니의 꼬인 에드워즈 곡선의 계수를 얻을 수 있다. Ea′,d′=/Ea,d<P>를 이미지 곡선이라고 하자. 그러면 다음 수학식 29 및 수학식 30을 얻을 수 있다.Finally, if we apply the double glass idea to return to the twisted Edwards curve, we can obtain the coefficient of the twisted Edwards curve of the fourth order Isogeny. Let E a',d' =/E a,d <P> be the image curve. Then, the following Equation 29 and Equation 30 can be obtained.

Figure 112018115284396-pat00036
Figure 112018115284396-pat00036

Figure 112018115284396-pat00037
Figure 112018115284396-pat00037

XM/ZM은 몽고메리 곡선 MA,B의 4차 디비전 다항식(division polynomials) φ1=x4+2Ax3+6x2+2Ax+1의 근이므로, A를 XM과 ZM으로 나타낼 수 있다. 위의 수학식을 단순화하고 Y4와 Z4로 나타내면, 다음 수학식 31와 같다.X M /Z M is the root of the 4th division polynomials φ 1 =x 4 +2Ax 3 +6x 2 +2Ax+1 of the Montgomery curve M A,B , so A can be expressed as X M and Z M have. Simplifying the above equation and expressed as Y 4 and Z 4 , it is as shown in Equation 31 below.

Figure 112018115284396-pat00038
Figure 112018115284396-pat00038

에드워즈 곡선에서 4차 아이소제니 공식에 의한 최적화Optimization of the Edwards curve by the fourth-order Isogeny formula

단계 S200에서는, 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출할 수 있다. 보다 구체적으로는, 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하고, 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출할 수 있다.
In step S200, it is assumed that the twisted Edwards curve has a 4-torsion point, and using that the twisted Edwards curve having a 4-torsion point is homogeneous with the Edwards curve, the fourth order isogene between the Edwards curves. Can be derived. More specifically, it is assumed that the twisted Edwards curve has a 4-torsion point, and using that the twisted Edwards curve with 4-torsion points is homogeneous to the Edwards curve, and applied to the projective coordinate system, the image of the Edwards curve in the projective coordinate system Projective curve coefficients can be derived.

꼬인 에드워즈 곡선에서의 2차 아이소제니는 꼬인 에드워즈 곡선으로 다시 변환할 때 제곱근 계산이 필요하다. 따라서 본 발명에서는, 유한체의 위수를 제한하여 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하였다. 그러나 4-비틀림 점을 갖는 모든 타원 곡선은 에드워즈 곡선과 쌍유리동치(birationally equivalent)이다. 따라서 4-비틀림 점을 갖는 꼬인 에드워즈 곡선은 사실 에드워즈 곡선이며, 곡선 계수 a=1을 가진다. 이와 같이 곡선 계수의 수가 감소하기 때문에, 제안된 아이소제니 공식은 더욱 최적화될 수 있다.
The quadratic isogenes from the twisted Edwards curve require square root calculations when converting back to the twisted Edwards curve. Therefore, in the present invention, it is assumed that the Edwards curve twisted by limiting the order of the finite field has a 4-torsion point. However, all elliptic curves with 4-torsion points are birationally equivalent to the Edwards curve. Thus, a twisted Edwards curve with a 4-torsion point is actually an Edwards curve and has a curve coefficient a=1. Since the number of curve coefficients is thus reduced, the proposed Isogeny formula can be further optimized.

P=(α, β)를 β=Y3/Z3일 때 에드워즈 곡선 Ed에서의 3-비틀림 점이라고 하자. φ:Ed→Ed′가 커널 <P>를 가진 3차 아이소제니라고 하면, Ed′=Ed/<P>이 된다. 따라서 수학식 14는 곡선 계수에 독립적이며, 에드워즈 곡선에 대한 3차 아이소제니 공식은 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식과 동일하다. 4차 아이소제니에서도 동일하므로, a=1로 하고, 수학식 19로부터 시작하면, 다음 수학식 32를 얻을 수 있다.Let P=(α, β) be the 3-torsion point in Edwards curve E d when β=Y 3 /Z 3 . If φ:E d →E d' is a cubic isozeni with kernel <P>, then E d' =E d /<P>. Therefore, Equation 14 is independent of the curve coefficient, and the third-order Isogeny formula for the Edwards curve is the same as the third-order Isogeny formula for the twisted Edwards curve. Since it is the same in the fourth order Isogeny, a = 1 and starting from Equation 19, the following Equation 32 can be obtained.

Figure 112018115284396-pat00039
Figure 112018115284396-pat00039

본 발명의 모든 공식은 사영 YZ 좌표계에서의 형태임을 일러둔다. 에드워즈 곡선에서의 2배, 3배와 같은 점 연산(point operation)은, YZ 좌표계에 의해 수행될 수 있고, 본 발명에서 도출된 공식은 아이소제니 기반의 암호화 체계에 최적화될 수 있다.
It should be noted that all formulas of the present invention are of the form in the projective YZ coordinate system. Point operations such as 2x and 3x in the Edwards curve can be performed by the YZ coordinate system, and the formula derived from the present invention can be optimized for an Isogeny-based encryption system.

에드워즈 곡선에서 4차 아이소제니의 계산 알고리즘Fourth-order Isogeny's Calculation Algorithm in Edwards Curve

단계 S300에서는, 에드워즈 곡선(Ed) 상의 곡선 점(Q=(Y:Z)), 4-비틀림 점(P=(Y4:Z4))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q=(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 단계 S200에서 도출된 에드워즈 곡선 사이의 4차 아이소제니를 계산할 수 있다. 보다 구체적으로는, 단계 S300에서는, 에드워즈 곡선(Ed)상의 곡선 점(Q=(Y:Z))과 4-비틀림 점(P=(Y4:Z4))이 주어지고, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q′=(Y′:Z′))과 곡선 계수(C′, D′ 및 d′=D′/C′)를 산출하여, 아이소제니를 계산할 수 있다.
In step S300, from the curve point (Q=(Y:Z)) on the Edwards curve (E d ) and the 4-torsion point (P=(Y 4 :Z 4 )), the curve on the image Edwards curve (E d′ ) By calculating the point (Q=(Y':Z')) and the projected curve coefficients (C' and D'), the fourth-order Isogeny between the Edwards curve derived in step S200 may be calculated. More specifically, in step S300, a curve point (Q=(Y:Z)) and a 4-torsion point (P=(Y 4 :Z 4 )) on the Edwards curve E d are given, and the image Edwards curve Isogeny can be calculated by calculating the curve points (Q′=(Y′:Z′)) on (E d′ ) and the curve coefficients (C′, D′, and d′=D′/C′).

즉, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에서는, 에드워즈 곡선에서 4차 아이소제니 계산을 위한 효과적인 방법을 제안할 수 있다. 4차 아이소제니를 효율적으로 계산하기 위해, Y 및 Z 좌표계 사이의 차이를 고려할 수 있다. 즉, Y′ 및 Z′가 수학식 24에서와 같을 때, F′=Y′+Z′ 및 G′=Y′-Z′이라고 하자. 그러면 F′와 G′는 다음 수학식 33과 같이 주어진다.That is, in the fourth-order Isogeny calculation method for a twisted Edwards curve according to an embodiment of the present invention, an effective method for calculating the fourth-order Isogeny in the Edwards curve can be proposed. In order to calculate the quaternary isogeny efficiently, the difference between the Y and Z coordinate systems can be considered. That is, when Y'and Z'are the same as in Equation 24, let F'=Y'+Z' and G'=Y'-Z'. Then, F'and G'are given as in Equation 33 below.

Figure 112018115284396-pat00040
Figure 112018115284396-pat00040

그러므로, 단계 S300에서는, 수학식 26의 F′ 및 G′를 계산하여, 이미지 에드워즈 곡선 Ed′상의 곡선 점(Q(Y′:Z′))과 사영 곡선 계수를 계산할 수 있다. 보다 구체적으로는, Y′ 및 Z′는 Y′=F+G 및 Z′=F-G를 계산하여 구할 수 있다. 또한, 이미지 곡선의 계수 계산을 위해, 수학식 32는 다음 수학식 34과 같이 다시 표현할 수 있다.Therefore, in step S300, by calculating F'and G'of Equation 26, the curve point Q(Y':Z') on the image Edwards curve E d' and the projective curve coefficient may be calculated. More specifically, Y'and Z'can be obtained by calculating Y'=F+G and Z'=FG. In addition, for calculating the coefficients of the image curve, Equation 32 may be expressed as Equation 34 below.

Figure 112018115284396-pat00041
Figure 112018115284396-pat00041

따라서 이미지 곡선의 계수는 수학식 34을 통해 더욱 효율적으로 계산될 수 있다.
Therefore, the coefficient of the image curve can be more efficiently calculated through Equation 34.

도 3은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법에서, 4차 아이소제니의 계산 및 그것과 대응되는 곡선 계수의 위한 효율적인 알고리즘을 표시한 도면이다. 도 3에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법의 단계 S300에서는, 에드워즈 곡선 Ed상의 곡선 점 Q=(Y:Z)과 4-비틀림 점 P=(Y4:Z4)이 주어지고, 이미지 에드워즈 곡선 Ed′상의 곡선 점 Q=(Y′:Z′)과 곡선 계수 C′, D′, d′=D′/C′를 산출하여, 아이소제니를 계산할 수 있다. 이 알고리즘의 전체 계산 비용은 7M+5S이다. 여기서, M은 유한체 곱셈(field multiplication)이고, S는 유한체 제곱(field squaring)이다.
FIG. 3 is a diagram showing an efficient algorithm for calculating a fourth order Isogeny and a curve coefficient corresponding thereto in a method for calculating a fourth order Isogeny for a twisted Edwards curve according to an embodiment of the present invention. As shown in FIG. 3, in step S300 of the fourth-order Isogeny calculation method for a twisted Edwards curve according to an embodiment of the present invention, the curve point Q=(Y:Z) and 4-torsion on the Edwards curve E d Given the point P=(Y 4 :Z 4 ), the curve point Q=(Y′:Z′) on the image Edwards curve E d′ and the curve coefficients C′, D′, d′=D′/C′ By calculating, it is possible to calculate Isogeny. The total computational cost of this algorithm is 7M+5S. Here, M is a finite field multiplication (field multiplication), and S is a finite field square (field squaring).

실험Experiment

제안된 공식의 성능을 평가하기 위해, 도 3에 도시된 바와 같은 알고리즘을 C 언어로 구현하였다. 몽고메리 곡선에서의 아이소제니 계산을 위해서는 SIDH 라이브러리 버전 3.0에 구현된 아이소제니 공식을 사용하였다. 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법과 몽고메리 곡선에서의 아이소제니 계산과의 정확한 비교를 위하여, SIDH 라이브러리에 구현된 유한체 연산(field operations)을 몽고메리 곡선 및 에드워즈 곡선 모두에 대해 사용하였다. SIDH 라이브러리에 구현된 유한체 연산은 x64 어셈블리로 작성되었다. 결과적으로, 성능의 차이는 순수하게 아이소제니의 계산에 따른 것일 수 있다. 모든 사이클 수(cycle counts)는 3.40㎓의 인텔 코어 i7-7600(Skylake)의 하나의 코어에서 획득된 것으로, Ubuntu 16.06 LTS를 실행하여 획득하였다.
In order to evaluate the performance of the proposed formula, an algorithm as shown in FIG. 3 was implemented in C language. The Isogeny formula implemented in version 3.0 of the SIDH library was used to calculate Isogeny in the Montgomery curve. In order to accurately compare the quaternary Isogeny calculation method for a twisted Edwards curve according to an embodiment of the present invention and the Isogeny calculation in the Montgomery curve, the field operations implemented in the SIDH library were performed using the Montgomery curve and Used for both Edwards curves. The finite field operation implemented in the SIDH library was written in x64 assembly. As a result, the difference in performance may be purely due to Isogeny's calculation. All cycle counts were obtained on one core of the Intel Core i7-7600 (Skylake) of 3.40 GHz, and were obtained by running Ubuntu 16.06 LTS.

p가 소수일 때, 유한체 K는

Figure 112018115284396-pat00042
로 고정되며,
Figure 112018115284396-pat00043
이다. 소수 p에 대해서 503-비트 소수 p503=22503159-1이고, 751-비트 소수 p751=23723239-1이다. 기본 유한체 연산(base field operations)은 유한체 연산 사이의 비를 시각화하기 위해 테스트되었다. 이것을 위하여, 각 유한체 연산을 각 소수 유한체에 대하여 108번 반복하였다. 다음 표 1은
Figure 112018115284396-pat00044
상에서 유한체 연산들의 평균 사이클 수를 요약한 것이다.When p is prime, the finite field K is
Figure 112018115284396-pat00042
Is fixed with
Figure 112018115284396-pat00043
to be. For prime p, 503-bit prime p 503 =2 250 3 159 -1 and 751- bit prime p 751 =2 372 3 239 -1. Base field operations were tested to visualize the ratio between finite field operations. For this, each finite field operation was repeated 10 8 times for each fractional finite field. Table 1 below
Figure 112018115284396-pat00044
Summarizes the average number of cycles of finite field operations in phase.

Figure 112018115284396-pat00045
Figure 112018115284396-pat00045

표 1에서 확인할 수 있는 바와 같이, 503-비트 소수 및 751-비트 소수 모두에서, 1S는 근사적으로 0.8M에 해당한다.
As can be seen in Table 1, for both 503-bit and 751-bit primes, 1S approximately corresponds to 0.8M.

위의 결과에 기반 하여, 다음 표 2는 몽고메리 곡선과 에드워즈 곡선을 사용하였을 때, 계산 비용(computational cost) 및 4차 아이소제니에 대응되는 사이클 수를 표시한 것이다. 표 2에서는 각각의 아이소제니 계산에 대하여 108회의 평균 사이클을 계산하였다. 결과를 보다 정확하게 나타내기 위해, 유한체 덧셈(field additions) 및 유한체 뺄셈(field subtractions)도 카운트하였다. 표 2에서, a와 s는 각각 유한체 덧셈과 유한체 뺄셈을 나타내며, cc는 clock cycle의 수를 나타낸다.Based on the above results, Table 2 below shows the computational cost and the number of cycles corresponding to the fourth Isogeny when using the Montgomery curve and the Edwards curve. In Table 2, 10 8 average cycles were calculated for each Isogeny calculation. In order to more accurately represent the result, field additions and field subtractions were also counted. In Table 2, a and s represent finite field addition and finite field subtraction, respectively, and cc represents the number of clock cycles.

Figure 112018115284396-pat00046
Figure 112018115284396-pat00046

표 2에서 확인할 수 있는 바와 같이, 기본 유한체 연산은 타이밍 공격(timing attacks)으로부터 보호하기 위해 상수 시간 내에 처리되며, 유한체 덧셈은 유한체 뺄셈보다 더 많은 사이클을 필요로 한다. 그러므로, 에드워즈 곡선에서 4차 아이소제니는 몽고메리 곡선을 사용한 경우만큼 빠르다. 전반적으로, 몽고메리 곡선과 에드워즈 곡선을 이용한 본 발명에 따른 알고리즘 사이의 성능 차이는 작다.
As can be seen in Table 2, basic finite field operations are processed within a constant time to protect against timing attacks, and finite field addition requires more cycles than finite field subtraction. Therefore, the 4th order Isogeny in the Edwards curve is as fast as the Montgomery curve. Overall, the difference in performance between the algorithm according to the invention using the Montgomery curve and the Edwards curve is small.

본 발명에서는, 아이소제니 기반 암호화에 적용할 수 있는 꼬인 에드워즈 곡선에서의 4차 아이소제니 공식을 제안하였다. 짝수 차수 아이소제니를 위해, 꼬인 에드워즈 곡선과 몽고메리 곡선 사이의 쌍유리사상과 몽고메리 곡선에서의 아이소제니를 합성하였고, 사영 좌표계, 사영 곡선 계수 및 디비전 다항식(division polynomials)에 적용함으로써 최적화하였다. 또한, 에드워즈 곡선을 이용해 4차 아이소제니 공식을 더욱 최적화하였다. 에드워즈 곡선에서의 4차 아이소제니의 계산 비용은 7M+5S였으며, 실험을 통해 본 발명에 따른 에드워즈 곡선에 대한 아이소제니 계산이 몽고메리 곡선에 대한 아이소제니 계산만큼 효율적임을 확인하였다. 이와 같은 아이소제니 공식을 아이소제니 기반 암호화에 적용함으로서, 새로운 암호화 기법을 개발할 수 있다.
In the present invention, a fourth-order Isogeny formula in a twisted Edwards curve that can be applied to an Isogeny-based encryption is proposed. For even-order Isogenies, the bilinear thought between the twisted Edwards and Montgomery curves and the Isogenes in the Montgomery curve were synthesized and optimized by applying them to the projective coordinate system, projective curve coefficients, and division polynomials. In addition, the fourth-order Isogeny formula was further optimized using the Edwards curve. The cost of calculating the fourth order Isogeny in the Edwards curve was 7M+5S, and through experiments, it was confirmed that the Isogeny calculation for the Edwards curve according to the present invention is as efficient as the Isogeny calculation for the Montgomery curve. By applying such an Isogeny formula to Isogeny-based encryption, a new encryption technique can be developed.

이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.The present invention described above can be modified or applied in various ways by those of ordinary skill in the technical field to which the present invention belongs, and the scope of the technical idea according to the present invention should be determined by the following claims.

S100: 꼬인 에드워즈 곡선을 몽고메리 곡선으로 변환하고, 몽고메리 곡선 사이의 아이소제니와 동형사상을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계
S110: 꼬인 에드워즈 곡선에서 몽고메리 곡선으로의 제1 쌍유리사상을 도출하는 단계
S120: 몽고메리 곡선에서의 4차 아이소제니와 동형사상을 합성하는 단계
S130: 몽고메리 곡선에서 꼬인 에드워즈 곡선으로 돌아가는 제2 쌍유리사상을 도출하는 단계
S140: 제1 쌍유리사상, 몽고메리 곡선에서의 4차 아이소제니, 및 제2 쌍유리사상을 합성하여, 꼬인 에드워즈 곡선 사이의 아이소제니를 도출하는 단계
S150: 이미지 꼬인 곡선 계수를 도출하는 단계
S200: 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계
S300: 에드워즈 곡선 상의 점, 4-비틀림 점 및 사영 곡선 계수를 산출하여, 에드워즈 곡선 사이의 4차 아이소제니를 계산하는 단계S100: Converting the twisted Edwards curve into a Montgomery curve, synthesizing the isogenes and isomorphic thoughts between the Montgomery curves, and deriving the fourth order isogenes between the twisted Edwards curves
S110: Deriving a first pair of glass ideas from the twisted Edwards curve to the Montgomery curve
S120: synthesizing the quaternary isogeny and isomorphic idea in the Montgomery curve
S130: Step of deriving a second pair of glass thoughts returning from the Montgomery curve to the twisted Edwards curve
S140: synthesizing the first double glass thought, the fourth order isogene in the Montgomery curve, and the second double glass thought to derive the isozeni between twisted Edwards curves
S150: Deriving image twist curve coefficient
S200: Assuming that the twisted Edwards curve has 4-torsion points, and using that the twisted Edwards curve with 4-torsion points is homogeneous with the Edwards curve, deriving a fourth-order isogene between the Edwards curves
S300: Calculating a point on the Edwards curve, a 4-torsion point, and a projective curve coefficient, and calculating a fourth order isogene between the Edwards curves

Claims (8)

에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, φ:Ed→Ed′) 계산 방법으로서,
(1) 꼬인 에드워즈 곡선(Ea,d)을 몽고메리 곡선(MA,B)으로 변환하고, 몽고메리 곡선(MA,B 및 MA′,B′) 사이의 아이소제니(φ1:MA,B→MA′,B′)와 동형사상(isomorphism)을 합성하여, 꼬인 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계;
(2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 4차 아이소제니를 도출하는 단계; 및
(3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q=(Y:Z)), 4-비틀림 점(P=(Y4:Z4))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q=(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 4차 아이소제니를 계산하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
As a method of calculating isogeny (φ:E d →E d′ ) between Edwards curves (E d and E d′ ),
(1) twisted Edwards curves (E a, d) the Montgomery curve (M A, B) to convert, and Montgomery curve (M A, B and M A ', B') iso Jenny (φ 1 between: M A ,B →M A′,B′ ) and isomorphism to derive a fourth-order isogene between twisted Edwards curves;
(2) Assuming that the twisted Edwards curve has a 4-torsion point, and using that the twisted Edwards curve with a 4-torsion point is homogeneous with the Edwards curve, the fourth order Isogeny between the Edwards curves is calculated. Deriving; And
(3) From the curve point (Q=(Y:Z)) on the Edwards curve (E d ) and the 4-torsion point (P=(Y 4 :Z 4 )), the curve on the image Edwards curve (E d′ ) Computing the point (Q=(Y′:Z′)) and the projected curve coefficients (C′ and D′), and calculating the fourth-order Isogeny between the Edwards curve derived in step (2). Characterized in that, the fourth-order Isogeny calculation method for a twisted Edwards curve.
 제1항에 있어서, 상기 단계 (1)은,
(1-1) 꼬인 에드워즈 곡선에서 몽고메리 곡선으로의 제1 쌍유리사상(birational map)을 도출하는 단계;
(1-2) 몽고메리 곡선에서의 4차 아이소제니와 동형사상을 합성하는 단계;
(1-3) 몽고메리 곡선에서 꼬인 에드워즈 곡선으로 돌아가는 제2 쌍유리사상을 도출하는 단계; 및
(1-4) 상기 제1 쌍유리사상, 상기 몽고메리 곡선에서의 4차 아이소제니, 및 상기 제2 쌍유리사상을 합성하여, 상기 꼬인 에드워즈 곡선 사이의 아이소제니를 도출하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 1, wherein the step (1),
(1-1) deriving a first birational map from the twisted Edwards curve to the Montgomery curve;
(1-2) synthesizing quaternary isogeny and isomorphic events in the Montgomery curve;
(1-3) deriving a second pair of glass thoughts returning from the Montgomery curve to the twisted Edwards curve; And
(1-4) synthesizing the first paired glass image, the fourth order isogene in the Montgomery curve, and the second twin glassed image, and deriving the isogenes between the twisted Edwards curves. How to calculate the fourth-order Isogeny for a twisted Edwards curve.
 제2항에 있어서,
상기 단계 (1-4)에서 도출된 꼬인 에드워즈 곡선 사이의 4차 아이소제니는, Y′=(Z2Y4 2+Y2Z4 2)YZ(Y4+Z4)2 및 Z′=(Z2Y4 2+Y2Z4 2)2+2Y2Z2Y4Z4(Y4 2+Z4 2)인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 2,
The fourth-order isogenes between the twisted Edwards curves derived in step (1-4), Y′=(Z 2 Y 4 2 +Y 2 Z 4 2 )YZ(Y 4 +Z 4 ) 2 and Z′= (Z 2 Y 4 2 +Y 2 Z 4 2 ) 2 +2Y 2 Z 2 Y 4 Z 4 (Y 4 2 +Z 4 2 ), characterized in that, the fourth-order Isogeny calculation method for a twisted Edwards curve.
 제2항에 있어서, 상기 단계 (1-4) 이후에는,
(1-5) 이미지 꼬인 곡선 계수를 도출하는 단계를 더 포함하며,
상기 단계 (1-5)에서 도출된 곡선 계수는,
꼬인 에드워즈 곡선(Ea,d)의 곡선 계수 a=A/C 및 d=D/C에 대하여, 이미지 꼬인 에드워즈 곡선(Ea`,d`)의 곡선 계수 a`=A`/C` 및 d`=D`/C`일 때, 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수는 A`=A(Y4+Z4)4, D`=8AY4Z4(Y4 2+Z4 2) 및 C`=CY4 4인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 2, wherein after the step (1-4),
(1-5) further comprising the step of deriving the image twist curve coefficient,
The curve coefficient derived in step (1-5) is,
For the curve coefficients a=A/C and d=D/C of the twisted Edwards curve (E a,d ), the curve coefficient a`=A`/C` of the image twisted Edwards curve (E a`, d`) and When d`=D`/C`, the projective curve coefficients of the twisted Edwards curve are A`=A(Y 4 +Z 4 ) 4 , D`=8AY 4 Z 4 (Y 4 2 +Z 4 2 ) and C`=CY 4 4 Fourth order isogeneic calculation method for a twisted Edwards curve, characterized in that.
 제1항에 있어서, 상기 단계 (2)에서는,
꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하고, 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 1, wherein in the step (2),
Assuming that the twisted Edwards curve has 4-torsion points, and using that the twisted Edwards curve with 4-torsion points is homogeneous with the Edwards curve, and applying it to the projective coordinate system, derive the projective curve coefficient of the image Edwards curve in the projective coordinate system. A method for calculating a fourth-order Isogeny for a twisted Edwards curve, comprising the step of.
 제5항에 있어서, 상기 단계 (2)에서 도출된 사영 곡선 계수는,
D`=8AY4Z4(Y4 2+Z4 2) 및 C`=(Y4+Z4)4인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 5, wherein the projective curve coefficient derived in step (2) is
D`=8AY 4 Z 4 (Y 4 2 +Z 4 2 ) and C`=(Y 4 +Z 4 ) 4 , characterized in that, the fourth-order Isogeny calculation method for a twisted Edwards curve.
 제1항에 있어서, 상기 단계 (3)에서는,
에드워즈 곡선(Ed)상의 곡선 점(Q=(Y:Z))과 4-비틀림 점(P=(Y4:Z4))이 주어지고, 이미지 에드워즈 곡선(Ed`)상의 곡선 점(Q`=(Y`:Z`))과 곡선 계수(C`, D` 및 d`=D`/C`)를 산출하여, 아이소제니를 계산하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.
The method of claim 1, wherein in the step (3),
Given a curve point (Q=(Y:Z)) and a 4-torsion point (P=(Y 4 :Z 4 )) on the Edwards curve (E d ), and the curve point on the image Edwards curve (E d` ) ( Q`=(Y`:Z`)) and curve coefficients (C`, D` and d`=D`/C`) are calculated to calculate Isogeny. 4 for a twisted Edwards curve How to calculate tea isogeni.
 제1항에 있어서, 상기 단계 (3)에서는,
F`=(YZ(Y4 2+Z4 2)+(Y2Z4 2+Z2Y4 2))(ZY4+YZ4)2 및 G`=(YZ(Y4 2+Z4 2)-(Y2Z4 2+Z2Y4 2))(ZY4-YZ4)2를 계산하여, 상기 이미지 에드워즈 곡선(Ed`)상의 곡선 점(Q`=(Y`:Z`))과 사영 곡선 계수를 계산산하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법.The method of claim 1, wherein in the step (3),
F`=(YZ(Y 4 2 +Z 4 2 )+(Y 2 Z 4 2 +Z 2 Y 4 2 ))(ZY 4 +YZ 4 ) 2 and G`=(YZ(Y 4 2 +Z 4 2) - (Y 2 Z 4 2 + Z 2 Y 4 2)) (ZY 4 -YZ 4) to calculate a second, curved point (= Q` on the image Edwards curves (E d`) (Y`: Z `)) and a projective curve coefficient, characterized in that the fourth-order Isogeny calculation method for a twisted Edwards curve.
KR1020180143038A 2018-11-19 2018-11-19 Method for computing 4-isogeny on twisted edwards curves KR102184189B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180143038A KR102184189B1 (en) 2018-11-19 2018-11-19 Method for computing 4-isogeny on twisted edwards curves

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180143038A KR102184189B1 (en) 2018-11-19 2018-11-19 Method for computing 4-isogeny on twisted edwards curves

Publications (2)

Publication Number Publication Date
KR20200058252A KR20200058252A (en) 2020-05-27
KR102184189B1 true KR102184189B1 (en) 2020-11-27

Family

ID=70910987

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180143038A KR102184189B1 (en) 2018-11-19 2018-11-19 Method for computing 4-isogeny on twisted edwards curves

Country Status (1)

Country Link
KR (1) KR102184189B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102187267B1 (en) * 2020-07-08 2020-12-04 국방과학연구소 Method and apparatus for Supersingular Diffie-Hellman key exchange based on elliptic curve
US11683171B2 (en) * 2021-06-03 2023-06-20 International Business Machines Corporation Acceleration of elliptic curve-based isogeny cryptosystems

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101098701B1 (en) 2003-11-03 2011-12-23 마이크로소프트 코포레이션 Use of isogenies for design of cryptosystems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101098701B1 (en) 2003-11-03 2011-12-23 마이크로소프트 코포레이션 Use of isogenies for design of cryptosystems

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Costello, Craig 외 1명, "A simple and compact algorithm for SIDH with arbitrary degree isogenies", International Conference on the Theory and Application of Cryptology and Information Security (2017.)
Moody, Dustin 외 1명, "ANALOGUES OF VELU'S FORMULAS FOR ISOGENIES ON ALTERNATE MODELS OF ELLIPTIC CURVES", Mathematics of Computation 85.300 (2016.)
Suhri Kim 외 4명, Efficient Isogeny Computations on Twisted Edwards Curves, Hindawi Security and Communication Networks, Vol. 2018, Article ID 5747642 (2018.07.15.)*

Also Published As

Publication number Publication date
KR20200058252A (en) 2020-05-27

Similar Documents

Publication Publication Date Title
Joye et al. Hessian elliptic curves and side-channel attacks
JP4752313B2 (en) Cryptographic processing operation method, cryptographic processing apparatus, and computer program
JP4067818B2 (en) Elliptic curve cryptography apparatus, elliptic curve cryptography program, and elliptic curve cryptography calculation method
KR101154695B1 (en) Encryption computing device
Massolino et al. A compact and scalable hardware/software co-design of SIKE
TW202014950A (en) Blockchain-based transaction method, device, and remitting apparatus
Renes et al. qDSA: small and secure digital signatures with curve-based Diffie–Hellman key pairs
Devigne et al. Binary huff curves
Renes et al. Kummer: Efficient hyperelliptic signatures and key exchange on microcontrollers
KR102184189B1 (en) Method for computing 4-isogeny on twisted edwards curves
JPWO2010024401A1 (en) Pairing calculation device, pairing calculation method, and pairing calculation program
JP2001526416A (en) Conversion method for optimization of elliptic curve encryption operation
Chuengsatiansup et al. PandA: Pairings and arithmetic
Costello Computing supersingular isogenies on Kummer surfaces
JP3794266B2 (en) Elliptic curve scalar multiplication method and apparatus, and storage medium
Vijayakumar et al. Comparative study of hyperelliptic curve cryptosystem over prime field and its survey
KR102184188B1 (en) Method for computing 3-isogeny on twisted edwards curves
Nath et al. Security and efficiency trade-offs for elliptic curve Diffie–Hellman at the 128-bit and 224-bit security levels
JP4599859B2 (en) Cryptographic processing operation method, cryptographic processing apparatus, and computer program
Dryło et al. Determining formulas related to point compression on alternative models of elliptic curves
Khabbazian et al. Double point compression with applications to speeding up random point multiplication
Al-Haija et al. Cost-effective design for binary Edwards elliptic curves crypto-processor over GF (2N) using parallel multipliers and architectures
Fouotsa et al. A theta model for elliptic curves
Arita et al. A Weil descent attack against elliptic curve cryptosystems over quartic extension fields
Asif Efficient computation for hyper elliptic curve based cryptography

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant