KR20200058249A - 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법 - Google Patents

꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법 Download PDF

Info

Publication number
KR20200058249A
KR20200058249A KR1020180143025A KR20180143025A KR20200058249A KR 20200058249 A KR20200058249 A KR 20200058249A KR 1020180143025 A KR1020180143025 A KR 1020180143025A KR 20180143025 A KR20180143025 A KR 20180143025A KR 20200058249 A KR20200058249 A KR 20200058249A
Authority
KR
South Korea
Prior art keywords
curve
edwards
twisted
order
curves
Prior art date
Application number
KR1020180143025A
Other languages
English (en)
Other versions
KR102184188B1 (ko
Inventor
윤기순
박영호
권지훈
김수리
Original Assignee
주식회사 엔에스에이치씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔에스에이치씨 filed Critical 주식회사 엔에스에이치씨
Priority to KR1020180143025A priority Critical patent/KR102184188B1/ko
Publication of KR20200058249A publication Critical patent/KR20200058249A/ko
Application granted granted Critical
Publication of KR102184188B1 publication Critical patent/KR102184188B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에 관한 것으로서, 보다 구체적으로는 에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, :Ed→Ed′) 계산 방법으로서, (1) 꼬인 에드워즈 곡선(Ea,d 및 Ea′,d′) 사이의 3차 아이소제니에 사영 좌표계(projective coordinates), 사영 곡선 계수(projective curve coefficients) 및 디비전 다항식(division polynomials)을 적용하는 단계; (2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 3차 아이소제니를 도출하는 단계; 및 (3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q(Y:Z)), 3-비틀림 점(P(Y3:Z3))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 아이소제니를 계산하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
본 발명에서 제안하고 있는 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에 따르면, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있다.

Description

꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법{METHOD FOR COMPUTING 3-ISOGENY ON TWISTED EDWARDS CURVES}
본 발명은 아이소제니 계산 방법에 관한 것으로서, 보다 구체적으로는 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에 관한 것이다.
양자통신과 양자컴퓨팅의 가능성이 가시화되면서, 암호화 기술에도 변화가 요구되고 있다. 현재 널리 사용되고 있는 공개키 암호화 기술은 양자컴퓨터에서 더 이상 안전하지 않을 수 있으며, 암호 전문가들은 비대칭 암호화 알고리즘이 양자 컴퓨팅에 취약하다고 생각한다.
이에 따라 NIST는 2016년 4월 ‘Reports on Post-Quantum Cryptography’ NISTIR 8105 발표를 통해, 공개키 암호는 양자 컴퓨터가 개발되면 더 이상 안전하지 않기 때문에, 이를 대비한 Post-Quantum Cryptography의 표준을 마련하기 위해 공모를 발표하기도 하였다.
한편, 미국 NSA의 Suite B Cryptography는 암호 현대화 프로그램의 일환으로 제정된 암호화 알고리즘 집합이다. Suite B는 2005년 2월에 제정되었으며, foreign releasable information, US-Only information, Sensitive Compartmented information (SCI)의 암호화에 이용된다. Suite B는 128/256비트 키 길이를 가지는 AES, P-384를 사용하는 ECDH, ECDSA, SHA-384 및 RSA-3072로 구성되어 있다. 하지만 양자 컴퓨터 개발이 가시화됨에 따라 NSA는 2015년 8월에 Suite B의 암호 알고리즘을 전부 Post-Quantum Cryptography(PQC)로 개정하겠다고 공지한 바 있다.
이와 같이, 양자 컴퓨터의 개발로 인해 위협받고 있는 공개키 암호 체계를 강화하기 위해, 양자 내성(quantum-resistant) 암호를 구현하기 위한 기술의 개발이 필요한 실정이다.
한편, 타원 곡선을 이용한 암호화 방법으로 Elliptic Curve Cryptography(ECC)이 개발된 바 있다. 그러나 ECC는 양자컴퓨터 환경에 취약할 것으로 알려져 있다. 왜냐하면, ECC가 기반을 두고 있는 Elliptic Curve Discrete Logarithm Problem(ECDLP)은 양자 알고리즘(Quantum algorithm)에 의해 polynomial time attack이 가능하므로, 이를 이용해 Post-Quantum Cryptography를 만들 수 없다.
일반적으로 주어진 두 타원 곡선(elliptic curve)들 사이의 isogeny를 구하는 문제는 계산이 극히 어려운 문제로 알려져 있으며, 이 어려움을 암호화에 이용할 수 있다. 이것은 유한체(finite field) 상에서 정의된 타원 곡선 아이소제니 그래프 상의 경로 탐색 문제로서 ECDLP를 이용하는 기존의 방식과는 전혀 다르다. 기존의 ECDLP 기반 암호화가 양자 알고리즘에 의해 취약해진 데 비해, 현재까지 아이소제니 기반 암호화는 양자 알고리즘에 취약하지 않은 양자 내성 암호화를 제공할 수 있는 가능성을 가지고 있다.
본 발명과 관련된 선행기술로서, 등록특허 제10-1098701호(발명의 명칭: 암호체계의 설계를 위한 아이소지니의 사용, 공고일자: 2011년 12월 23일), 등록특허 제10-1153085호(발명의 명칭: 이소제니-기반 서명의 생성과 유효화를 위한 시스템 및 방법, 공고일자: 2012년 06월 04일) 등이 개시된 바 있다.
본 발명은 기존에 제안된 방법들의 상기와 같은 문제점들을 해결하기 위해 제안된 것으로서, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법을 제공하는 것을 그 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법은,
에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, φ:Ed→Ed′) 계산 방법으로서,
(1) 꼬인 에드워즈 곡선(Ea,d 및 Ea′,d′) 사이의 3차 아이소제니에 사영 좌표계(projective coordinates), 사영 곡선 계수(projective curve coefficients) 및 디비전 다항식(division polynomials)을 적용하는 단계;
(2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 3차 아이소제니를 도출하는 단계; 및
(3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q(Y:Z)), 3-비틀림 점(P(Y3:Z3))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 아이소제니를 계산하는 단계를 포함하는 것을 그 구성상의 특징으로 한다.
바람직하게는, 상기 단계 (1)은,
(1-1) 꼬인 에드워즈 곡선 사이의 3차 아이소제니를 사영 좌표계(projective coordinates)에 적용하는 단계;
(1-2) 사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용하는 단계; 및
(1-3) 상기 사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수를 도출하는 단계를 포함할 수 있다.
더욱 바람직하게는,
상기 단계 (1-2)에서 3차 디비전 다항식이 적용된 사영 좌표계에서의 3차 아이소제니는 (Y′:Z′)=(Y(Z2Y3 2+2Z2Y3Z3+Y2Z3 2):Z(Z2Y3 2+2Y2Y3Z3+Y2Z3 2))일 수 있다.
더욱 바람직하게는, 상기 단계 (1-3)에서 도출된 곡선 계수는,
꼬인 에드워즈 곡선(Ea,d)의 곡선 계수 a=A/C 및 d=D/C에 대하여, 이미지 꼬인 에드워즈 곡선(Ea′,d′)의 곡선 계수 a′=A′/C′ 및 d′=D′/C′일 때, 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수는 A′=AY3(Y+2Z3)3, D′=AZ3(Z3+2Y3)3 및 C′=C2Y3 3(2Z3+Y3)일 수 있다.
바람직하게는, 상기 단계 (2)는,
(2-1) 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계; 및
(2-2) 상기 도출된 곡선 계수를 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출하는 단계를 포함할 수 있다.
더욱 바람직하게는, 상기 단계 (2-2)에서 도출된 사영 곡선 계수는,
D′=(Z3+2Y3)3Z3 및 C′=(2Z3+Y3)3Y3일 수 있다.
바람직하게는, 상기 단계 (3)에서는,
에드워즈 곡선 Ed상의 곡선 점 Q(Y:Z)과 3-비틀림 점 P(Y3:Z3)이 주어지고, 이미지 에드워즈 곡선 Ed′상의 곡선 점 Q(Y′:Z′)과 곡선 계수 C′, D′, d′=D′/C′를 산출하여, 아이소제니를 계산할 수 있다.
바람직하게는, 상기 단계 (3)에서는,
F=(ZY3+YZ3)2(Y+Z) 및 G=(ZY3-YZ3)2(Y-Z)를 계산하여, 상기 이미지 에드워즈 곡선 Ed′상의 곡선 점(Q(Y′:Z′))과 사영 곡선 계수를 계산할 수 있다.
본 발명에서 제안하고 있는 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에 따르면, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있다.
도 1은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법의 흐름을 도시한 도면.
도 2는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 단계 S100의 세부적인 흐름을 도시한 도면.
도 3은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 단계 S200의 세부적인 흐름을 도시한 도면.
도 4는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 3차 아이소제니의 계산 및 그것과 대응되는 곡선 계수의 위한 효율적인 알고리즘을 표시한 도면.
이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.
덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’ 되어 있다고 할 때, 이는 ‘직접적으로 연결’ 되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’ 되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’ 한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.
타원 곡선(Elliptic curve)은, 유한체 K 상에서 정의된 genus 1인 매끈한 사영 평면 곡선(smooth projective plane curve)으로 특별한 점(distinguished point)을 가진다. K는 표수가 2와 3이 아닌 유한체라고 가정한다.
주어진 두 타원 곡선 E1과 E2에 대하여, 하나의 아이소제니 φ: E1→E2를 찾아내는 것을 아이소제니 문제(isogeny problem)라고 한다. 현재까지 supersingular elliptic curve들 사이의 아이소제니 문제를 해결할 수 있는 sub-exponential algorithm은 제안된 바가 없다.
아이소제니 기반 암호화는 양자 내성 암호화 분야에서 가장 최근 제안된 카테고리이다. 그러나 아이소제니 기반 암호화의 실질적인 구현에 있어서, 아이소제니의 계산과 점 연산에 어려움이 있다. 보다 구체적으로는, 암호시스템이 아이소제니 그래프를 따라 움직이기 때문에, 아이소제니 공식(isogeny formula)은 타원 곡선의 특정 계수에 대해 최적화될 수 없다. 따라서 종래의 문헌에서는, 임의의 타원 곡선에서의 효과적인 점 연산 때문에 몽고메리 곡선(Montgomery curves)을 사용하였다. 본 발명에서는, 몽고메리 곡선이 아닌, 꼬인 에드워즈 곡선에서의 3차 아이소제니 공식을 제안하고, 이를 최적화하였다.
에드워즈 곡선으로부터 바이어슈트라스(Weierstrass) 곡선까지는 쌍유리사상(birational map)이 존재한다. 꼬인 에드워즈 곡선으로부터 바이어슈트라스 곡선 W까지의 변환(transformation)을 ψ라 하고, W로부터 다른 바이어슈트라스 곡선인 W′까지의 아이소제니를 라고 하자. ψ-1은 바이어슈트라스 곡선 W′로부터 꼬인 에드워즈 곡선까지 역변환이라 하자. 꼬인 에드워즈 곡선 사이의 아이소제니를 계산하는 직관적인 접근법은 이 맵들을 합성하는 것이다. 그러나 바이어슈트라스 곡선에서 꼬인 에드워즈 곡선까지의 변환은, 바이어슈트라스 곡선이 특정한 형태가 아닌 경우 복잡해진다. 또한, 꼬인 에드워즈 형태로 돌아가는 변환을 위해서는 제곱근 계산이 요구된다.
이와 같은 문제를 해결하기 위해, Moody and Shumow는 꼬인 에드워즈 곡선에 대한 홀수 차수 아이소제니를 위해 압축적인 공식을 제안한 바 있다(Moody, D., Shumow, D.: Analogues of velu's formulas for isogenies on alternate models of elliptic curves. Mathematics of Computation 85(300), 1929-1951 (2016)).
본 발명에서는, Moody and Shumow가 제안한 공식을 에드워즈 곡선에 대해 최적화하고, 효율적인 계산 방법을 제안하였다. 즉, 본 발명에서 제안하고 있는 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에 따르면, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식을 제안하고 이를 최적화하며, 제안된 공식의 효율적인 계산 방법을 제안함으로써, 에드워즈 곡선에 대한 3차 아이소제니를 효율적으로 계산할 수 있고, 이를 아이소제니 기반 암호화에 적용하여 새로운 암호화 기법을 개발할 수 있다.
도 1은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법의 흐름을 도시한 도면이다. 도 1에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법은, 꼬인 에드워즈 곡선 사이의 3차 아이소제니에 사영 좌표계, 사영 곡선 계수 및 디비전 다항식을 적용하는 단계(S100), 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 아이소제니를 도출하는 단계(S200) 및 에드워즈 곡선 상의 점, 3-비틀림 점 및 사영 곡선 계수를 산출하여, 에드워즈 곡선 사이의 아이소제니를 계산하는 단계(S300)를 포함하여 구현될 수 있다.
단계 S100에서는, 꼬인 에드워즈 곡선(Ea,d 및 Ea′,d′) 사이의 3차 아이소제니에 사영 좌표계(projective coordinates), 사영 곡선 계수(projective curve coefficients) 및 디비전 다항식(division polynomials)을 적용할 수 있다. 도 2는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 단계 S100의 세부적인 흐름을 도시한 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법의 단계 S100은, 꼬인 에드워즈 곡선 사이의 3차 아이소제니에 사영 좌표계를 적용하는 단계(S110), 사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용하는 단계(S120) 및 사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 곡선 계수를 도출하는 단계(S130)를 포함하여 구현될 수 있다. 이하에서는, 수학식을 이용해 단계 S100에 대하여 상세히 설명하도록 한다.
꼬인 에드워즈 곡선에서 3차 아이소제니 공식
먼저, 꼬인 에드워즈 곡선은 다음 수학식 1과 같이 표현될 수 있다.
Figure pat00001
여기서, a, d∈K이며, a, d는 서로 다르고 0이 아니다.
P=(α, β)를 수학식 1에서 정의된 꼬인 에드워즈 곡선 Ea,d에서 3차 비틀림 점(3-torsion point)이라고 하자.
꼬인 에드워즈 곡선 Ea,d에서 Ea′,d′로의 커널 <P>를 가진 3차 아이소제니를 φ라고 하자(여기서, Ea′,d′=Ea,d/<P>이다.). 그러면, φ는 다음 수학식 2와 같다.
Figure pat00002
곡선 계수 a′ 및 d′는 다음 수학식 3과 같다.
Figure pat00003
곡선 방정식(수학식 1)으로부터, x2 및 α2
Figure pat00004
Figure pat00005
로 각각 표현될 수 있다. x2 및 α2를 수학식 2의 y좌표에 대입하면, 다음 수학식 4와 같다.
Figure pat00006
단계 S110은, 꼬인 에드워즈 곡선 사이의 3차 아이소제니를 사영 좌표계(projective coordinates)에 적용할 수 있다. 보다 구체적으로는, 단계 S110에서는, 수학식 4에 사영 좌표계를 대입하고, 방정식을 단순화할 수 있다.
아이소제니 및 곡선 계수(curve coefficients)를 계산할 때 역원계산(inversion)을 방지하기 위해, 사영 좌표계(projection coordinates) 및 사영 곡선 계수(projection curve coefficients)를 활용할 수 있다. P=(X3:Y3:Z3)을 α=X3/Z3, β=Y3/Z3인 사영된 P를 나타낸다고 하자. (Y:Z)는 추가적인 입력(additional input)이고, (Y′:Z′)는 그것에 해당하는 이미지라고 하자. 즉, 에드워즈 곡선(Ed) 상의 곡선 점이 Q(Y:Z)이면, 이에 대응하는 이미지 에드워즈 곡선(Ed′)상의 곡선 점은 Q(Y′:Z′)이다. 수학식 4에 사영 좌표계를 대입하고, 방정식을 단순화하면 다음 수학식 5를 얻을 수 있다.
Figure pat00007
단계 S120은, 사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용할 수 있다. 보다 구체적으로는, y=Y3/Z3은 3차 디비전 다항식(division polynomials)
Figure pat00008
의 근이므로, d를
Figure pat00009
로 표현할 수 있다. 이때, ψ는 꼬인 에드워즈 곡선으로부터 바이어슈트라스 곡선으로의 변환(transformation)이다. 그러면, 다음과 같은 수학식 6을 얻을 수 있다.
Figure pat00010
요약하면, 추가적인 입력 (Y:Z)로부터, 수학식 4의 사영 버전은 다음 수학식 7과 같다.
Figure pat00011
단계 S130에서는, 사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수를 도출할 수 있다. 즉, 수학식 3의 곡선 계수를 사영 좌표계에서 도출할 수 있다.
구체적으로는, 먼저, a′ 및 d′를 이미지 곡선의 곡선 계수라고 하자. 수학식 3에
Figure pat00012
Figure pat00013
를 대입하여 이미지 곡선의 곡선 계수를 사영 좌표계에서 표현하면 다음 수학식 8과 같다.
Figure pat00014
역원계산을 피하기 위해, 수학식 8의 사영 버전을 다음 수학식 9와 같이 나타낼 수 있다.
Figure pat00015
에드워즈 곡선에서 3차 아이소제니 공식에 의한 최적화
단계 S200에서는, 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 3차 아이소제니를 도출할 수 있다.
꼬인 에드워즈 곡선에서의 2차 아이소제니는 꼬인 에드워즈 곡선으로 다시 변환할 때 제곱근 계산이 필요하다. 따라서 본 발명에서는, 유한체의 위수를 제한하여 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하였다. 그러나 4-비틀림 점을 갖는 모든 타원 곡선은 에드워즈 곡선과 쌍유리동치(birationally equivalent)이다. 따라서 4-비틀림 점을 갖는 꼬인 에드워즈 곡선은 사실 에드워즈 곡선이며, 곡선 계수 a=1을 가진다. 이와 같이 곡선 계수의 수가 감수하기 때문에, 제안된 아이소제니 공식은 더욱 최적화될 수 있다.
도 3은 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 단계 S200의 세부적인 흐름을 도시한 도면이다. 도 3에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법의 단계 S200은, 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계(S210) 및 도출된 곡선 계수를 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계(S220)를 포함하여 구현될 수 있다.
단계 S210에서는, 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 이미지 에드워즈 곡선의 곡선 계수를 도출할 수 있다.
P=(α, β)를 β=Y3/Z3일 때 에드워즈 곡선 Ed에서의 3-비틀림 점이라고 하자. φ:Ed→Ed′가 커널 <P>를 가진 3차 아이소제니라고 하면, Ed′=Ed/<P>이 된다. 따라서 수학식 7은 곡선 계수에 독립적이며, 에드워즈 곡선에 대한 3차 아이소제니 공식은 꼬인 에드워즈 곡선에 대한 3차 아이소제니 공식과 동일하다. 동등한 에드워즈 곡선 Ed′의 곡선 계수는 다음 수학식 10과 같다.
Figure pat00016
단계 S220에서는, 도출된 곡선 계수를 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출할 수 있다. 즉, 사영 좌표계에서의 곡선 계수는 다음 수학식 11과 같다.
Figure pat00017
에드워즈 곡선에서 3차 아이소제니의 계산 알고리즘
단계 S300에서는, 에드워즈 곡선(Ed) 상의 곡선 점(Q(Y:Z)), 3-비틀림 점(P(Y3:Z3))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 단계 S200에서 도출된 에드워즈 곡선 사이의 3차 아이소제니를 계산할 수 있다.
즉, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서는, 에드워즈 곡선에서 3차 아이소제니 계산을 위한 효과적인 방법을 제안할 수 있다. 3차 아이소제니를 효율적으로 계산하기 위해, Y 및 Z 좌표계 사이의 차이를 고려할 수 있다. 즉, Y′ 및 Z′가 수학식 7에서와 같을 때, F=Y′+Z′ 및 G=Y′-Z′이라고 하자. 그러면 F와 G는 다음 수학식 12와 같이 주어진다.
Figure pat00018
그러므로, 단계 S300에서는, 수학식 12의 F 및 G를 계산하여, 이미지 에드워즈 곡선 Ed′상의 곡선 점(Q(Y′:Z′))과 사영 곡선 계수를 계산할 수 있다. 보다 구체적으로는, Y′ 및 Z′는 Y′=F+G 및 Z′=F-G를 계산하여 구할 수 있다. 또한, 이미지 곡선의 계수 계산을 위해, 수학식 11은 다음 수학식 13과 같이 다시 표현할 수 있다.
Figure pat00019
따라서, Z3 2, Y3 2, (Y3+Z3)2 및 2Y3Z3가 계산되면, D′ 및 C′는 2개의 유한체 곱셈으로 계산될 수 있다.
도 4는 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법에서, 3차 아이소제니의 계산 및 그것과 대응되는 곡선 계수의 위한 효율적인 알고리즘을 표시한 도면이다. 도 4에 도시된 바와 같이, 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법의 단계 S300에서는, 에드워즈 곡선 Ed상의 곡선 점 Q(Y:Z)과 3-비틀림 점 P(Y3:Z3)이 주어지고, 이미지 에드워즈 곡선 Ed′상의 곡선 점 Q(Y′:Z′)과 곡선 계수 C′, D′, d′=D′/C′를 산출하여, 아이소제니를 계산할 수 있다. 이 알고리즘의 전체 계산 비용은 6M+5S이다. 여기서, M은 유한체 곱셈(field multiplication)이고, S는 유한체 제곱(field squaring)이다.
[실험]
제안된 공식의 성능을 평가하기 위해, 도 4에 도시된 바와 같은 알고리즘을 C 언어로 구현하였다. 몽고메리 곡선에서의 아이소제니 계산을 위해서는 SIDH 라이브러리 버전 3.0에 구현된 아이소제니 공식을 사용하였다. 본 발명의 일실시예에 따른 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법과 몽고메리 곡선에서의 아이소제니 계산과의 정확한 비교를 위하여, SIDH 라이브러리에 구현된 유한체 연산(field operations)을 몽고메리 곡선 및 에드워즈 곡선 모두에 대해 사용하였다. SIDH 라이브러리에 구현된 유한체 연산은 x64 어셈블리로 작성되었다. 결과적으로, 성능의 차이는 순수하게 아이소제니의 계산에 따른 것일 수 있다. 모든 사이클 수(cycle counts)는 3.40㎓의 인텔 코어 i7-7600(Skylake)의 하나의 코어에서 획득된 것으로, Ubuntu 16.06 LTS를 실행하여 획득하였다.
p가 소수일 때, 유한체 K는
Figure pat00020
로 고정되며,
Figure pat00021
이다. 소수 p에 대해서 503-비트 소수 p503=22503159-1이고, 751-비트 소수 p751=23723239-1이다. 기본 유한체 연산(base field operations)은 유한체 연산 사이의 비를 시각화하기 위해 테스트되었다. 이것을 위하여, 각 유한체 연산을 각 소수 유한체에 대하여 108번 반복하였다. 다음 표 1은
Figure pat00022
상에서 유한체 연산들의 평균 사이클 수를 요약한 것이다.
Figure pat00023
표 1에서 확인할 수 있는 바와 같이, 503-비트 소수 및 751-비트 소수 모두에서, 1S는 근사적으로 0.8M에 해당한다.
위의 결과에 기반 하여, 다음 표 2는 몽고메리 곡선과 에드워즈 곡선을 사용하였을 때, 계산 비용(computational cost) 및 3차 아이소제니에 대응되는 사이클 수를 표시한 것이다. 표 2에서는 각각의 아이소제니 계산에 대하여 108회의 평균 사이클을 계산하였다. 표 2에서 확인할 수 있는 바와 같이, 유한체 곱셈(M)과 유한체 제곱(S)의 수는 3차 아이소제니에 대해 몽고메리 곡선을 사용할 때와 에드워즈 곡선을 사용할 때가 동일하다. 따라서 결과를 보다 정확하게 나타내기 위해, 유한체 덧셈(field additions) 및 유한체 뺄셈(field subtractions)도 카운트하였다. 표 2에서, a와 s는 각각 유한체 덧셈과 유한체 뺄셈을 나타내며, cc는 clock cycle의 수를 나타낸다.
Figure pat00024
표 2에서 확인할 수 있는 바와 같이, 기본 유한체 연산은 타이밍 공격(timing attacks)으로부터 보호하기 위해 상수 시간 내에 처리되며, 유한체 덧셈은 유한체 뺄셈보다 더 많은 사이클을 필요로 한다. 그러므로, 에드워즈 곡선에서 3차 아이소제니는 몽고메리 곡선을 사용한 경우보다 약간 빠르다. 전반적으로 본 발명에 따른 알고리즘은 유한체 덧셈보다 유한체 뺄셈을 사용했기 때문에, 몽고메리 곡선과 에드워즈 곡선 사이의 성능 차이는 작다.
본 발명에서는, 아이소제니 기반 암호화에 적용할 수 있는 꼬인 에드워즈 곡선에서의 3차 아이소제니 공식을 제안하였다. 3차 아이소제니를 위해, Moody and Shumow의 공식을 사영 좌표계, 사영 곡선 계수 및 디비전 다항식(division polynomials)에 적용함으로써 최적화하였다. 또한, 에드워즈 곡선을 이용해 3차 아이소제니 공식을 더욱 최적화하였다. 에드워즈 곡선에서의 3차 아이소제니의 계산 비용은 6M+5S였으며, 실험을 통해 본 발명에 따른 에드워즈 곡선에 대한 아이소제니 계산이 몽고메리 곡선에 대한 아이소제니 계산만큼 효율적이며, 특히, 3차 아이소제니의 계산에 있어서 몽고메리 곡선보다 조금 더 효율적임을 확인하였다. 이와 같은 아이소제니 공식을 아이소제니 기반 암호화에 적용함으로서, 새로운 암호화 기법을 개발할 수 있다.
이상 설명한 본 발명은 본 발명이 속한 기술분야에서 통상의 지식을 가진 자에 의하여 다양한 변형이나 응용이 가능하며, 본 발명에 따른 기술적 사상의 범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.
S100: 꼬인 에드워즈 곡선 사이의 3차 아이소제니에 사영 좌표계, 사영 곡선 계수 및 디비전 다항식을 적용하는 단계
S110: 꼬인 에드워즈 곡선 사이의 3차 아이소제니에 사영 좌표계를 적용하는 단계
S120: 사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용하는 단계
S130: 사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 곡선 계수를 도출하는 단계
S200: 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 아이소제니를 도출하는 단계
S210: 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계
S220: 도출된 곡선 계수를 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계
S300: 에드워즈 곡선 상의 점, 3-비틀림 점 및 사영 곡선 계수를 산출하여, 에드워즈 곡선 사이의 아이소제니를 계산하는 단계

Claims (8)

  1. 에드워즈 곡선(Ed 및 Ed′) 사이의 아이소제니(isogeny, :Ed→Ed′) 계산 방법으로서,
    (1) 꼬인 에드워즈 곡선(Ea,d 및 Ea′,d′) 사이의 3차 아이소제니에 사영 좌표계(projective coordinates), 사영 곡선 계수(projective curve coefficients) 및 디비전 다항식(division polynomials)을 적용하는 단계;
    (2) 꼬인 에드워즈 곡선이 4-비틀림 점(4-torsion point)을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 에드워즈 곡선 사이의 3차 아이소제니를 도출하는 단계; 및
    (3) 상기 에드워즈 곡선(Ed) 상의 곡선 점(Q(Y:Z)), 3-비틀림 점(P(Y3:Z3))으로부터, 이미지 에드워즈 곡선(Ed′)상의 곡선 점(Q(Y′:Z′)) 및 사영 곡선 계수(C′ 및 D′)를 산출하여, 상기 단계 (2)에서 도출된 에드워즈 곡선 사이의 아이소제니를 계산하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  2. 제1항에 있어서, 상기 단계 (1)은,
    (1-1) 꼬인 에드워즈 곡선 사이의 3차 아이소제니를 사영 좌표계(projective coordinates)에 적용하는 단계;
    (1-2) 사영 좌표계에서의 3차 아이소제니에 3차 디비전 다항식을 적용하는 단계; 및
    (1-3) 상기 사영 좌표계에서 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수를 도출하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  3. 제2항에 있어서,
    상기 단계 (1-2)에서 3차 디비전 다항식이 적용된 사영 좌표계에서의 3차 아이소제니는 (Y′:Z′)=(Y(Z2Y3 2+2Z2Y3Z3+Y2Z3 2):Z(Z2Y3 2+2Y2Y3Z3+Y2Z3 2))인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  4. 제2항에 있어서, 상기 단계 (1-3)에서 도출된 곡선 계수는,
    꼬인 에드워즈 곡선(Ea,d)의 곡선 계수 a=A/C 및 d=D/C에 대하여, 이미지 꼬인 에드워즈 곡선(Ea′,d′)의 곡선 계수 a′=A′/C′ 및 d′=D′/C′일 때, 이미지 꼬인 에드워즈 곡선의 사영 곡선 계수는 A′=AY3(Y+2Z3)3, D′=AZ3(Z3+2Y3)3 및 C′=C2Y3 3(2Z3+Y3)인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  5. 제1항에 있어서, 상기 단계 (2)는,
    (2-1) 꼬인 에드워즈 곡선이 4-비틀림 점을 갖는다고 가정하고, 4-비틀림 점을 갖는 꼬인 에드워즈 곡선이 에드워즈 곡선과 동형임을 이용하여, 이미지 에드워즈 곡선의 곡선 계수를 도출하는 단계; 및
    (2-2) 상기 도출된 곡선 계수를 사영 좌표계에 적용하여 사영 좌표계에서의 이미지 에드워즈 곡선의 사영 곡선 계수를 도출하는 단계를 포함하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  6. 제5항에 있어서, 상기 단계 (2-2)에서 도출된 사영 곡선 계수는,
    D′=(Z3+2Y3)3Z3 및 C′=(2Z3+Y3)3Y3인 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  7. 제1항에 있어서, 상기 단계 (3)에서는,
    에드워즈 곡선 Ed상의 곡선 점 Q(Y:Z)과 3-비틀림 점 P(Y3:Z3)이 주어지고, 이미지 에드워즈 곡선 Ed′상의 곡선 점 Q(Y′:Z′)과 곡선 계수 C′, D′, d′=D′/C′를 산출하여, 아이소제니를 계산하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
  8. 제1항에 있어서, 상기 단계 (3)에서는,
    F=(ZY3+YZ3)2(Y+Z) 및 G=(ZY3-YZ3)2(Y-Z)를 계산하여, 상기 이미지 에드워즈 곡선 Ed′상의 곡선 점(Q(Y′:Z′))과 사영 곡선 계수를 계산하는 것을 특징으로 하는, 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법.
KR1020180143025A 2018-11-19 2018-11-19 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법 KR102184188B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180143025A KR102184188B1 (ko) 2018-11-19 2018-11-19 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180143025A KR102184188B1 (ko) 2018-11-19 2018-11-19 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법

Publications (2)

Publication Number Publication Date
KR20200058249A true KR20200058249A (ko) 2020-05-27
KR102184188B1 KR102184188B1 (ko) 2020-11-27

Family

ID=70910992

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180143025A KR102184188B1 (ko) 2018-11-19 2018-11-19 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법

Country Status (1)

Country Link
KR (1) KR102184188B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220393870A1 (en) * 2021-06-03 2022-12-08 International Business Machines Corporation Acceleration of elliptic curve-based isogeny cryptosystems

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101098701B1 (ko) * 2003-11-03 2011-12-23 마이크로소프트 코포레이션 암호체계의 설계를 위한 아이소지니의 사용

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101098701B1 (ko) * 2003-11-03 2011-12-23 마이크로소프트 코포레이션 암호체계의 설계를 위한 아이소지니의 사용

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Costello, Craig 외 1명, "A simple and compact algorithm for SIDH with arbitrary degree isogenies", International Conference on the Theory and Application of Cryptology and Information Security (2017.) *
Moody, Dustin 외 1명, "ANALOGUES OF VELU'S FORMULAS FOR ISOGENIES ON ALTERNATE MODELS OF ELLIPTIC CURVES", Mathematics of Computation 85.300 (2016.) *
Suhri Kim 외 4명, Efficient Isogeny Computations on Twisted Edwards Curves, Hindawi Security and Communication Networks, Vol. 2018, Article ID 5747642 (2018.07.15.)* *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220393870A1 (en) * 2021-06-03 2022-12-08 International Business Machines Corporation Acceleration of elliptic curve-based isogeny cryptosystems
US11683171B2 (en) * 2021-06-03 2023-06-20 International Business Machines Corporation Acceleration of elliptic curve-based isogeny cryptosystems

Also Published As

Publication number Publication date
KR102184188B1 (ko) 2020-11-27

Similar Documents

Publication Publication Date Title
JP4067818B2 (ja) 楕円曲線暗号装置、楕円曲線暗号プログラム及び楕円曲線暗号の演算方法
Joye et al. Hessian elliptic curves and side-channel attacks
JP5412274B2 (ja) サイドチャネル攻撃からの保護
US7957527B2 (en) Cryptographic processing apparatus
Devigne et al. Binary huff curves
Renes et al. qDSA: small and secure digital signatures with curve-based Diffie–Hellman key pairs
JP5360836B2 (ja) ペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラム
CN101371285B (zh) 加密处理装置、加密处理方法
Wenger et al. Evaluating 16-bit processors for elliptic curve cryptography
Sinha Roy et al. Lightweight coprocessor for Koblitz curves: 283-bit ECC including scalar conversion with only 4300 gates
JP3794266B2 (ja) 楕円曲線スカラー倍計算方法及び装置並びに記憶媒体
KR102184189B1 (ko) 꼬인 에드워즈 곡선에 대한 4차 아이소제니 계산 방법
KR102184188B1 (ko) 꼬인 에드워즈 곡선에 대한 3차 아이소제니 계산 방법
Nath et al. Security and efficiency trade-offs for elliptic curve Diffie–Hellman at the 128-bit and 224-bit security levels
Keliris et al. Investigating large integer arithmetic on Intel Xeon Phi SIMD extensions
Oppermann et al. Secure cloud computing: Multithreaded fully homomorphic encryption for legal metrology
Dina et al. Genus 3 hyperelliptic curves with CM via Shimura reciprocity
Delgado et al. Algorithm 960: POLYNOMIAL: an object-oriented Matlab library of fast and efficient algorithms for polynomials
Oliveira et al. Koblitz curves over quadratic fields
Gebauer et al. Secure communication in factories-benchmarking elliptic curve Diffie-Hellman key exchange implementations on an embedded system
Brumley et al. Batch binary weierstrass
JP4599859B2 (ja) 暗号処理演算方法、および暗号処理装置、並びにコンピュータ・プログラム
Carstensen et al. An adaptive finite element method with asymptotic saturation for eigenvalue problems
Gallin et al. Architecture level optimizations for Kummer based HECC on FPGAs
Aranha et al. Efficient software implementation of laddering algorithms over binary elliptic curves

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant