TW425803B

TW425803B - Elliptic curve transformation device, utilization device and utilization system

Info

Publication number: TW425803B
Application number: TW088103387A
Authority: TW
Inventors: Mitsuko Miyaji
Original assignee: Matsushita Electric Ind Co Ltd
Priority date: 1998-03-05
Filing date: 1999-03-05
Publication date: 2001-03-11
Also published as: DE69903366T2; KR19990077606A; EP0940944A3; CN1235446A; US6212277B1; DE69903366D1; EP0940944A2; EP0940944B1; KR100513127B1

Description

425 803 ^ A7 B7 經濟部中央標隼局員工消費合作杜印装五、發明説明（1 ) 本發明係關於資訊安全技術之密碼技術，特別是關於，使用橢圓曲線來實現之密碼、解密技術、數位簽名、驗證技術及鍵共用技術β 1 ·公開鍵密碼近年來，利用電腦技術與通信技術之資料通信十分普及，而此資料通信採用秘密通信方式或數位簽名方式。在此之所謂秘密通信方式，係不會將通信内容洩漏給特定通信對方以外之通信方式。而所謂數位簽名方式，係對通信之對方顯示通信内容之正當性，或證明發信者之身份之通信方式。此等秘密通信方式或數位簽名方式使用稱作公開鍵密碼之密碼方式。公開鍵密碼係通信對方是多數時，能夠很容易管理每一通信對方均不相同之密碼鍵之方式，係對多數之通信對方進行通信時不可或缺之基盤技術。使用公開鍵密碍之秘密通信時，密碼鍵與解密鍵不相同，解秘鍵要保持秘密，但密碼鍵是公開的》此公開鍵密碼之安全性之根據係使用離散對數問題。離散對數問題之具代表性者有，在有限體上加以定義者及在橢圓曲線上加以定義者β再者，有關離散對數問題，在 (Neal Koblitz, course in Number theory and

Cryptography’’，Springer-Verlag，1987)有詳細敘述 e 2.橢圓曲線上之離散對數問題關於橢圓曲線上之離散對數問題，說明如下。所謂橢圓曲線上之離散對數問題，係本紙張尺度適用中國國家標準（CNS ) A4規格（加乂297公釐） 4 -----^---^---jrA------訂------1 (請先聞讀背面之注意事項再填寫本頁) 425803 A7 經濟部中央標準局身工消費合作社印製 ^ <* ____B7 _ 五、發明説明（2 ) 假定E(GF(p))是在有限體GF(p)上加以定義之橢圓曲線’橢圓曲線E之位數能夠用很大之質數除盡時，對橢圓曲線E所含之所給之元Y，若存在有 (式 1) Y=x*G 之整數X時，請求出X，之問題》

在此，ρ係質數，GF(p)係具有p個元之有限體。而在此說明書，記號*表示相加多次橢圓曲線所含之元之運算 ’ x*G係如下式所示，表示相加X次含在概圓曲線之元G。 x*G=G+G+G+......+G 將離散對數問題作為公開鍵密碼之安全性之根據是，因為對具有多數元之有限體GF(p)，上述問題非常難的緣故。 3·應用橢圓曲線上之離散對數問題之T.E. Elgamal/簽名茲參照第1圖，說明應用上述橢圓曲線上之離散對數問題之採T.E. Elgamal簽名之數位簽名方式如下β 本圊係表示採上述Τ·Ε· Elgama丨簽名之數位簽名方式之程序之順序圊。使用者A110，管理中心120及使用者B130係以網路連接在一起。假定p為質數’有限體GF(p)上之橢圓曲線為e。E之基點（Base Point)為G，E之位數為q。亦即q係可以滿足 (式 2) q*G=0 之最小正整數。再者’ X座標，y座標均為無限大〇〇(〇〇、〇〇)時稱為無本紙張尺度適用中國國家標準{ CNS ) A4規格（210X 297公釐) ~ {請先聞讀背面之注意事項再填寫本頁)

經濟部中央揉準局負工消费合作社印製 425 803 A7 __ B7 五、發明説明（3 ) 限遠點，以0表示之。此0在把橢圓曲線視作群時，無限遠點擔任加算時之「零元」之角色。 (1) 由管理中心120形成公開鍵

管理中心120可用預先通知之使用者Α110之秘密鍵xA ’依照式3,形成使用者A110之公開鍵YA(步驟S141〜S142) 〇

(式 3) YA=xA*G 然後管理中心120則以質數p，橢圓曲線E及基點G作為系統參數而公開，並向其他使用者B130公開使用者A110 之公開鍵YA(步驟S143〜S144) » (2) 由使用者A110形成簽名使用者A形成亂數K(步驟S145)。然後，使用者A110則計算 (式4) Rl=(rx、ry)=k*G(步驟S146)，從 (式 5) s X k=m+rx X xA(mod q) 計算s(步驟S147)。在此，m係使用者A110向使用者B130 發送之信息。同時，使用者A110將獲得之（Rl、s)作為簽名，連同信息m—起發送給使用者B130(步驟S148)。 (3) 由使用者B130驗證簽名由使用者B130判定

(文6) s*Rl=m*G+rx* YA 是否會成立，藉此確認發送者之使用者A110之身份（步驟 S149)。此可由本紙張尺度適用中圉國家揉準（CNS ) A4規格（210X297公釐） 6 (請先聞讀背面之注意事項再填寫本頁) 訂 425803 -α Α7 _Β7_ 五、發明説明（4 )

(式 7) s*Rl = {((m+rx X xA)/k) X k}*G =(m+rx X xA)*G =m*G+(rx X xA)*G =m*G+rx*YA 清楚看出* 4.橢圓曲線上之點之加算，2倍算之運算之計算量在以上所述之應用橢圓曲線上之離散對數問題之採 T.E· Elgamal簽名之數位簽名方式之公開鍵之形成，簽名之形成、簽名驗證，均會進行橢圓曲線上之點之冪倍運算之計算°例如，式3所示之「xA*G j，式4所示之「k*G」，式6所示之「s*Rl」'「m*Gj、「rx*YA」，係橢圓曲線上之點之幂倍之運算。關於橢圓曲線之運算公式，在 “Efficient elliptic curve exponentiation’’（Miyaji，Ono， and Cohen著，Advances in cryptology-proceedings of ICICS’97 ，Lecture notes in computer science, 1997, Springer-Verlag, 282-290)有詳細說明。以下說明橢圓曲線之運算公式。經濟部中央標準局貞工消費合作社印製 •-·『 *· <請先聞讀背面之注意事項再填寫本頁) ^ 假設橢圓曲線之方程式為 yA2=xA3+aXx+b - 任意之點p之座標為（xl，yl)，任意之點Q之座標為（x2，y2) 。在此f *R=P+Q所定之點R之座標為（x3，y3)。再者，在本說明書，記號'表示幂乘之運算，例如，2Λ3 表示2X2X2。本紙張尺度適用中國國家標準（CNS ) Α4規格（2Ι0Χ297公釐）經濟部中央標準局員工消費合作杜印製 A7 B7 五、發明説明（5 ) P4Q時’ R=P+q成為加算之運算。加算之公式如下 χ3 = {(γ2-γ1)/(χ2.χΐ)}Λ2.χΐ.χ2 y3={(y2-yl)/(x2.xi)}(xl.x3).yi P=Q時，R=P+Q=P+P=2xp，r=p+q成為2倍算之運算。2倍算之公式如下。 x3 = {(3xlA2+a)/2yl}A2-2xl y3={(3xr2+a)/2yl}(xl-x3)-yl 再者’上述運算係在橢圓曲線被定義之有限體上之運算。如以上所述，在2項組座標之仿射座標（affine cordinates)’即在前面所述之座標，進行橢圓曲線上之加算運算時，每在橢圓曲線上加算一次’需要一次有限體上之逆數計算。一般來講’有限體上之逆數計算，較之有限體上之乘算計算，需要有10倍前後之計算量。因此’以削減計算量為目的，使用叫做射影座標之3 項組之座標。所謂射影座標’係由3項組x、y、z所成之座標β 對座標（X、y、Ζ)與座標（X’、y’、ζ，），存在有某數η，而若有 x’=nx、y’=ny、ζ，=ηζ之關係，則（X、y、ζ)=(χ’、y’、ζ，）仿射座標（X、y)與射影座標（X、y、ζ)係以 (χ、y) —(x、y、1) 本紙張尺度適用中國國家橾丰（CNS ) Α4规格（210Χ297公« ) ----------裝-- (請先閲讀背面之注意事項再填寫本頁}

、1T ^. 425803」《. A7 ____B7___ 五、發明説明（6 ) (X、y、z) (x/y ' x/z) (z# 0時）之關係相互對應〇在此，記號係以下述意義來使用。集合S2之一個元對應集合S1之任意元時，記述為si S2 以下，橢圊曲線之運算均以射影座標來進行。其次說明’射影座標上之橢圓曲線之加算公式，2倍公式。此等公式當是與上述仿射座標之加算公式，2倍公式有匹配性。幂倍之運算可由橢圓曲線上之點之加算，2倍算之返覆運算而實現。此幂倍之運算中，加算之計算量不依存於橢圓曲線之參數，但2倍算之計算量則依存於橢園曲線之參數。在此，以P為160位元之質數，有限體（5£?(1))上之橢圓曲線為E : yA2=xA3+ax+b，橢圓曲線E上之元P、Q分別以 P=(xl、yl、zl) ’ Q=(x2、y2、z2)表示時，以下述方式求出 R=(x3、y3、z3)=P+Q。 (i)P#Q 時這是是加算之運算》 (step 1-1)中間值之計算計算下列。 (式 8) U1=X1XZ2A2 (式 9) U2=X2XZ1a3 9 本紙張尺度逋用中國國家標準（CNS } A4規格（210X297公釐） 425 803 ^ at ______07 五、發明説明（7 ) (式 10) S1=Y1 ΧΖ2Λ3 (式 11) S2=Y2 ΧΖ1Λ3 (式 12) H=TJ2，U1 (式 13) r=S2-Sl (step 1-2) H=(X3，Y3，Z3)之計算計算下列》 (式 H) X3=-Ha3-2XU1 ΧΗλ2+γλ2 (式 15) Y3=-S1 XHA3+rX(Ul ΧΗΛ2-Χ3)

(式 16) Z3=Z1 XZ2XH (ii)P=Q 時（即，r=2P) 這時成為2倍算之運算。 (step 2·1)中間值之計算計算下列。 (式 Π) S=4XX1 X Υ1λ2 (式 18) Μ=3 ΧΧΓ2+βΧΖΓ4 (式 19) T=-2XS+MA2 (step 2-2)R=(X3、Y3、Z3)之計算計算下列》

(式 20) X3=T (式 21) Υ3=-8Χ ΥΓ4+ΜΧ(8-Τ) (式 22) Z3=2X Y1 XZ1 其次說明，進行橢圓曲線之加算，2倍算時之計算量。在此，在有限體GF(p)上之1次乘算之計算量以IMul，1 次2乘算之計算量以lSq表示之。再者，在一般之微處理 10 本紙張尺度適用中國國家梂準（CNS )·Α4規格（210XW7公釐） A7 425803 _____ B7 五、發明説明（8 ) 機，lSq%0.8Mul。 ----------^装-- ·· -- ^ (婧先閱讀背面之注意事項再填寫本頁) 以上述之例子，P竽0時所示之橢圓曲線上之加算之計算量在式8〜式16，可由計算乘算之次數及2乘算之次數而獲得，為121^111+489»這從式8、9、10、11、14、15、 16之加算之計算量分別為IMul + lSq、IMul + lSq、2Mul 、2Mul、2Mul+2Sq、2Mul、2Mul便可以清楚看出。又依上述例子’ P=Q時所示之橢圓曲線上之2倍算之計算量，可由式17〜式22，計算乘算之次數及2乘算之次數而獲得，為4Mul+6Sq。這可以從式17、18、19、21、22 之2倍算之計算量分別為iMul + lSq、lMul+3Sq、lSq、 IMul + lSq、IMul，清楚看出。再者，在上述次數之計數，例如關於式142ΗΛ3，可以展開成。 Ηα3=Ηλ2ΧΗ 因此，ΗΛ3之計算量為IMul + lSq， ,^ 關於式18之Ζ1Λ4可以展開成 ΖΓ4=(Ζ1λ2)λ2 因此，ΖΓ4之計算量為2Sq。經濟部中央標隼局屬工消費合作杜印製而關於式14之ΗΛ2 ’則在上述《；3之計算之處理中已算出ΗΛ2 ’因此ΗΛ2之計算量不再計算。而在計算乘算之次數時，在某值乘以小值而進行之乘算之次數不計數。其理由如下。在此所稱之小值’係在式8〜式22成為乘算之對象之小固定值，具體上是2、3、4'8等之值。此等之值最多4 本紙張尺度適用中國國家標準（CNS ) Α4规格（2Ϊ^297公慶) ：~~Π~~：—-- A7

4 2 5 8 0 3 J IS B7 五、發明説明（9 ) 位元之2進數便可以表示。另一方面，其他變數則通常具有160位元之值。一般在微處理器，乘數與被乘數之乘算係由返覆被乘數之移位與加算，而為之。亦即，以2進數呈現之乘算之各位元，若此位元為1，則將被乘數移位，使以2進數表示之被乘數之最下位位元與此位元所存在之位置一致，而獲得一個位元列。對乘數之全位元，將如此獲得之至少一個位元列全部相加。例如，在160位元之乘數與160位元之被乘數之乘算中，將160位元之被乘數移位160次，獲得160個位元列，將所獲得之160個之位元列相加。另一方面，在4位元之乘數與160位元之被乘數之乘算，則將160位元之被乘數移位4 次，獲得4個位元列，而相加所獲得之4個位元列。乘算係如上述進行，因此，乘算是在某值乘上小值而進行時，上述返覆之次數會變少。因此，其計算量可以看作是很小，因此不算進乘算之次數。如以上所說明，進行橢圓曲線之2倍算時，式18含有橢圓曲線之參數a。此參數a之值若採用例如較小之值，橢圓曲線上之2倍算之計算量可以削減IMu 1分，而成為 3Mul+6Sq。再者，至於加算，使橢圓曲線之參數改變，計算量也不變。 5.選擇適合密碼之橢圓曲線其次說明選擇適合密碼之橢圓曲線之方法*再者，其詳情記述在「IEEE P1363 working draft」（1997年2月 6 曰本紙張尺度適用中國國家標準（CNS ) A4规格（210X297公釐） (請先閱讀背面之注意事項再填寫本頁) 装. 訂經濟部中央標準局貝工消费合作社印製 12 425 803 ^ A7 B7 經濟部中央樣準局工消費合作社印策五、發明説明（10) 、IEEE發行）内。適合密碼之橢圊曲線，可返覆下述步驟而獲得。 (step 1)選擇任意之橢圓曲線選擇有限體GF(p)上之任意之參數a、b。a、b可以滿足式23，P係質數。 (式23) 4XaA3+27XbA2^0(mod p) 使用選擇之a、b，橢圓曲線為 E : yA2=xA3+aXx+b 〇 (step 2)判定是否適合密碼之橢圓曲線計算橢圓曲線E之元之個數#E(GF(p)， (條件l)#E(GF(p)可用大之質數除盡，且， (條件2) #E(GF(p)-(p+l)^0，-1時，採用橢圓曲線E。不能滿足條件1或條件2時，放棄摘圓曲線E，回到step 1 ，再度重複任意橢圓曲線之選擇，及判定》 6.傳統技術之問題點如以上所說明，橢圓曲線之參數a固定選擇較小之值時，在橢圓曲線之幂倍之運算時雖可以削減計算量，但因預先固定取參數，因而有不容易選擇適合密碼之安全之橢圓曲線之問題點。反之，若使用以上說明之橢圓曲線之選擇方法，選擇適合密碼之安全之橢圓曲線，卻會有，橢圓曲線之參數a 不一定能選擇較小之值，無法削減計算量之問題點* 如此，選擇適合密碼之安全之橢圓曲線，削減在該橢圓曲線之運算量，會有相互矛盾而對立之問題點。 (請先閱讀背面之注意事項再填寫本頁〕 .農. 訂 .^1 本紙浪尺度逋用中國國家橾準（CNS ) A4規格（210X297公釐） 13 經濟部中央揉準局員工消费合作社印裝 425 80 3 - ¥ ΑΊ __ Β7 五、發明説明（u) 本發明之目的在提供，能夠解決上述之問題點，能夠將適合於密碼之安全之橢圓曲線之任意選擇之橢圓曲線，變換成為，具有與此橢图曲線等效之安全性，且能削減計算量之橢園曲線之橢園曲線變換裝置，橢圓曲線變換方法 ’及記錄有橢圓西線變換程式之記錄媒體。同時，其目的在提供，藉此能安全且高速運算之密碼裝置、解密裝置、數位簽名裝置、數位簽名驗證裝置，鍵共用裝置等之利用裝置及由上述利用裝置與上述橢圆曲線變換裝置所構成之利用系統。可達成上述目的之橢圓曲線變換裝置，係由，可變換一個橢圓曲線E而形成另一個橢圓曲線Et之橢圓曲線變換裝置，以及，利用形成之橢圓曲線Et之利用裝置，所構成之橢圓曲線利用系統》上述利用裝置具有第1輸出部、第2 接故部及利用部’上述橢圓曲線變換裝置具有第2接收部、變換係數取得部、橢圓曲線計算部及第2輸出部，上述第1輸出部將質數P、橢圓曲線E之參數a及參數b、當作基點之元G，輸出到上述橢園曲線變換裝置，在此，橢圓曲線E係在有限體GF(p)上加以定義，以yA2=xA3+ax+b表示之 ’元G存在於橢圓曲線E上，以G=(xO、yO)表示之，上述第2接收部從上述利用裝置接收質數p、橢圓曲線e之參數 a及參數b、與元G，上述變換係數取得部取得，存在於有限體GF(p)上之變換係數t，在此，變換係數t可滿足，t关0 ，且t"4Xa(mod p)與質數p比較，其位數很小之條件，上述橢圓曲線計算部使用上述取得之變換係數t，由下式算本纸張尺度適用中國國家榇準（CNS ) A4規格（210X297公釐） 14 ------------ - - (請先閲讀背面之注意事項再填寫本頁) 订 -, 經濟部中央標準局Λ工消費合作社印装 425003 -m A7 B7 五、發明説明（l2) 出橢圓曲線Et之參數a’及b’，與新的基點之元Gt， a’=a X tA4， b,=b X \ 6 y xtO=tA2 X xO 1 ytO=tA3 XyO，在此，橢圓曲線Et係在限艘GF(p)上加以定義，而以 y’A2=x’"3+a’ X x’+b’表示之’ xtO ’ ytO分別為元Gt之X座標值與y座標值，上述第2輸出部將上述算出之參數a，及b，，與元Gt輸出到上述利用裝置，上述第1接收部接收上述輸出之參數a’及b’與元Gt，上述利用部則使用質數p，由上述接收到之參數a’及b’所決定之橢圓曲線，與當作基點之元Gt ’依據在有限趙GF(p)上加以定義之橢圓曲線上之運算，進行以離散對數問題當作安全性之根據之密碼、解密、數位簽名、數位簽名驗證及鍵共用* 藉此架構便可以提供，具有與隨機構成之橢圓曲線相同之安全性，在利用裝置可進行高速運算之橢圓曲線，其實用價值非常大。在此，也可以是，ρ為160位元之質數，上述變換係數取得部則取得可以滿足，Γ4 X a(mod ρ)為32位元以下之數值之條件之變換係數t。若在利用裝置使用由此橢圓曲線變換裝置變換之橢圓曲線’則在橢圓曲線上之2倍算時，較之變換前之橢圓曲線之參數a取接近160位元之值，將可以看出能夠削減lMul 分之計算量。本紙張尺度逋用中國國家橾準（CNS ) A4規格（210X297公釐） 15 11— I n i n m n 11 I --- (請先閲讀背面之注$項再填寫本頁) 訂 A7 B7 4258〇3 五、發明説明（Π ) 在此’上述變換係數取得部也可以取得，可以滿足， tA4Xa(mod p)成為-3之條件之變換係數t。在利用裝置使用由此橢圓曲線變換裝置所變換之橢圓曲線，便可以知道，在橢圓曲線上之2倍算，可以較以往減少2Sq分之計算量。而達成上述目的之利用裝置，係由，可變換一個橢圓曲線E而形成另一個橢圓曲線Et之橢圓曲線變換裝置，及利用形成之橢圓曲線Et之利用裝置，所構成之橢圓曲線利用系統，上述利用裝置具有第1輸出部、第1接收部及利用部，上述橢圓曲線變換裝置具有第2接收部、變換係數取得部、橢圓曲線計算部及第2輸出部，上述第1輸出部將質數P、橢圓曲線E之參數a及參數b，與當作基點之元G，輪出到上述橢圓曲線變換裝置，在此，橢圓曲線E係在有限體GF(p)上加以定義，以yA2=xA3+ax+b表示之，元G存在於橢圓曲線E上，以G=(xO、yO)表示之，上述第2接收部從上述利用裝置接收質數p，橢圓曲線E之參數a及參數b，與元G’上述變換係數取得部取得存在於有限體GF(p)上之變換係數t，在此，變換係數t可滿足，t#0, atA4Xa(mod P)較質數p，其位數很小之條件，上述橢圓曲線計算部則使用上述取得之變換係數t，由下式算出橢圓曲線玢之參數a’及b’，與當作新基點之元Gt， a’=a X tA4， b'=b X t"6 » xtO=tA2XxO，本紙張尺度遑用中國國家標準（CNS > Μ規格（210X297公釐） ----------装-- (請先閲讀背面之注$項再填寫本頁) 訂經濟部中央標準局男工消费合作社印製 16 425803 A7 B7 經濟部中央樣準局負工消費合作社印製五、發明説明（14 ) ytO=tA3 X y〇，在此’橢圓曲線Et係在有限體GF(p)上加以定義，以 y’ 2=x’ 3+a’ X χ’+b’表示之’ xtO，ytO分別為元Gt之X座標值與y座標值’上述第2輸出部將上述算出之參數a，及b，，與元Gt輸出到上述利用裝置’上述第1接收部則接收上述輸出之參數a’及b’，與元Gt ’上述利用部則使用質數p，由上述接收之參數a，及b’而定之橢圓曲線，與當作基點之元Gt，依據在有限體GF(p)上加以定義之橢圓曲線上之運算，進行以離散對數問題當安全性之根據之密碼、解密、數位簽名、數位簽名驗證或鍵共用。依據此架構便可以利用，具有與隨機構成之橢圓曲線有相同之安全性’可高速運算之橢圓曲線，其實用價值非常大。在此，p也可以是160位元之質數，上述變換係數取得部也可以取得，t"4xa(mod ρ)成為32位元以下之數值之條件之變換係數t。依據此架構時，因為是使用變換之橢圓曲線，在橢圓曲線上之2倍算時，可以看出，較之變換前之橢圓曲線之參數a取接近160位元之值時，可以削減IMul分之計算量。在此’上述變換係數取得部也可以取得，能夠滿足f4 Xa(mod p)成為-3之條件之變換係數t。依據此架構時，因為是使用變換之橢圓曲線，在橢圓曲線上之2倍算時，可以看出，與以往比較，可削減2Sq 分之計算量。本紙張尺度適用中國國家梯準（CNS > Α4規格（210Χ297公釐） 17 II - -----^-^1 I (請先閱讀背面之注$項再填寫本頁)

、1T 425 803 A7 B7 經濟部中央橾準局貝工消費合作杜印裝五、發明説明（I5 ) 茲參照附圊，說明本發明一實施形態之橢圓曲線裝置 200如下。 1_橢圓曲線變換裝置200之架構橢圓曲線變換裝置200係如第2圖所示，由參數接收部 210、變換係數取得部220、變換橢圓曲線計算部230、及參數送出部240構成。 (參數接收部210) 參數接收部21 〇從外部之裝置接故橢圓曲線之參數a、 b’上述橢圊曲線上之元G、及質數ρ»在此，p係16〇位元之質數。在上述外部之裝置含有’使用公開鍵密碼之密瑪裝置、解密裝置、數位簽名裝置、數位簽名驗證裝置、鍵公用裝置等。上述外部之裝置之公開鍵密碼之安全性之根據使用橢園曲線上之離散對數問題，具有上述橢圓曲線。在此，有限體GF(p)上任意構成之上述橢園曲線以 E : y 2=x 3+ax+b表示之，上述元G係任意構成在上述橢圓曲線，而以 G=(x0、y0)表示之。 (變換係數取得部220) 變換係數取得部220係如第3圖所示，有函數τ(丨）。函數 T⑴在 i=0，1，2，3，4 時，分別有-3、I、<、_2、_2之值。同時’函數T(i)在i = 5、6、7、8、9、10' ......時，有 4、-4、5、-5、6、-6......之值。變換係數取得部220可以算出，從i=〇開始，每次在丨之本紙張尺度適用中國國家梯準（CNS ) A4規格（210X297公釐） 18 ---1-------—i (請先閲讀背面之注意事項再填寫本頁) 訂經濟部中央橾準局貝工消費合作社印製 425 803 at B7 五、發明説明（Ιό) 值加上1，而可以滿足， (式 24) -2Λ31 + 1^Τ(ί)^2Λ31-1 且*成為 (式 25) T(i)=t 4 X a(mod p) 之變換係數t，即有限體GF(p)上之元之變換係數t。在此，式24表示T(i)會成為32位元以下》再者，函數T⑴在i=〇時，有-3之值，變換係數取得部 220係從i=0開始，每次在i之值加上1，而參照函數T(i)之值，因此最相參照的是-3之值。而函數T(i)在i=0時，除了有-3之值以外，具有依序從絕對值小到絕對值大之值，因此可以從絕對值小之值順序參照。 (變換橢圓曲線計算部230) 變換橢圓曲線計算部230係分別如下述算出，構成在有限體GF(p)上之變換橢圓曲線 Et : y’A2=x’A3+a’Xx’十b，之參數a’、b’。 (式 26) a’=aXtA4 (式 27) b’=bXtA6 同時，變換橢圓曲線計算部230係如下述算出，對應元G之變換橢圓曲線Et上之元Gt=(xt0、ytO) ° (式 28) xt0=tft2 X x0 (式 29) γΐ0=ΐΛ3 X y0 再者，橢圓曲線E上之任意之點被變換成，由如上形本紙張尺度適用中國國家榇率（CNS > Α4規格（2丨0X297公釐） -19 - (請先聞讀背面之注意事項再填寫本頁)

、1T 經濟部中央標準局員工消費合作社印装 42：58〇a ^ A7 B7 五、發明説明（Π) 成之參數a’、b’所決定之變換橢圓曲線Et上之一點》 (參數送出部240) 參數送出部240將如上述算出之變換橢圓曲線Et之參數a’，b’及元Gt(xt0，ytO)送出到上述外部之裝置。 2·橢圓曲線變換裝置200之動作 (橢圓曲線變換裝置200整體之動作）使用第4圖所示之流程圖，說明橢圓曲線變換裝置200 整體之動作如下。參數接收部210從外部之裝置接收質數p、橢圓曲線E 之參數a及b(步驟S301)，接受上述橢圓曲線上之元G(步驟 5302) »接著，由變換係數取得部220算出變換係數t(步驟 5303) ，變換橢圓曲線計算部230則算出，構成在有限體GF(p) 上之變換橢圓曲線Et之參數a，、b’，及對應元G之變換橢圓曲線Et上之元Gt=(xt0、ytO)(步驟S304)，參數送出部240 則將上述算出之變換橢圓曲線Et之參數a，、b，，及元Gt(xt0 、ytO)，送出到上述外部之裝置（步驟S305) » (變換係數取得部220之動作）其次再使用第5圖所示之流程圖，說明變換係數取得部220之動作。變換係數取得部220設定i=〇之值（步驟S311)。接著，變換係數取得部220則對函數T(i)，判定是否可以滿足。 -2Λ31 + 1^Τ(ΐ)^2Λ31-1 若不能滿足（步驟S312)，則結束處理。若可以滿足（步驟 S312)，則算出本紙張尺度適用中國國家標牟（CNS ) Α4規格（210Χ297公兼） 20 (請先聞讀背面之注意事項再填寫本頁) -· 訂經濟部中央標準局貝工消費合作杜印裝 425803 , Α7 _ Β7 五、發明説明（is) T(i)=tA4 X a(mod p) 之變換係數t(步驟S3 13)，判定算出之變換係數t是不是有限體GF(p)上之元，若是有限體GF(p)上之元（步驟S314)，則結束處理。不是有限體GF(p)上之元時（步驟S314)，在i 加上1(步驟S315)，再度回到步驟S312之控制。 (變換橢圓曲線計算部230之動作）其次再使用第6圖所示之流程圖，說明變換橢圓曲線計算部230之動作。由變換橢圓面線計算部230算出構成在有限體GF(p)上之變換橢圓曲線Et之參數a，=aXtA4(步驟S321)，算出參數 b’=bxt"6(步驟S322)。同時’變換橢圓曲線計算部230算出對應元G之變換橢圓曲線Et上之元Gt=(xt0 ' ytO)之xtO=tA2 X x0(步称S323) ’ ytO=tA3 XyO(步驟S324)。 3.變換橢圓曲線Et與橢園曲線E為同型之證明以下證明，變換橢圓曲線Εί:γ，Λ2=χ，Λ3+αΧΙΛ4Χχ，+& ΧΐΛ6與橢圓曲線E : y"2=x’A3+aXx+b為同型。再者，糖圓曲線上之運算依仿射座標。取橢圓曲線E上之任意之點p(x〇 ' y〇) a這時，因為點 p係E上之點，因此可滿足 (式 30) y〇A2=x〇A3+a X xO+b 藉此變換，點p被變換成點Ρ’（Χ〇，、y〇XtA2xx〇、tA3 XyO)。在此，若在式3 0之兩邊乘以1：Λ6，則可得，本紙浪尺度適用中國國家梯準（CNS ) Α4規格（210X297公釐） !-7千| (請先閲讀背面之注意事項再填寫本頁) 、?τ 經濟部中央標準局貞工消费合作社印製 425803 ’ A7 B7 五、發明説明（19) tA6 X y〇X6 X χ〇Λ3+ΐΛ6 X a X xO+tA6 X b 此式可以變形為 (tA3XyO)A2 =(t"2 X xO)A3+a X t"4 X (tA2 X xO)+b X t"6 此式可以進一步變形為 yO,A2=xO,A3+a X tA4 X xO*+b X t"6 這表示點p’在變換橢圓曲線Et上。而從橢圓曲線E上之點到變換橢圓曲線Et上之點之變換可由 (X，y)—(x，，y’)=(tA2Xx，tA3Xy) 表示之。在此，因t參〇，因此可很容易看出，以下所示之變換橢圊曲線Et上之點至橢圊曲線Ε上之點之變換，係上述變換之逆變換。 (X’，y’)一（X，y)=(x’/(tA2)，y，/(tA3)) 從以上可以瞭解，橢圓曲線E上之點，與變換橢圊曲線Et上之點，係成1對1相對應。其次，取橢圓曲線E上之任意不同之兩點P=(xl，yl) ，Q=(x2，y2)，使 R=P+Q，R之座標為（χ3，y3)。這時，如上述， x3 = {(y2-y 1)/(χ2-χ1)}λ2-χ1-χ2 y3 = {(y2-y l)/(x2-xl)}(xl-x3)-y 1 然後，假設是藉由本發明所用之橢園西線之變換，橢圓曲線E上之點P、點Q、點R分別被變換成變換橢圓曲線 Et上之點P’，點Q’，點R’。假定點P’，點Q’，點R’之座標本紙張尺度逋用中國國家標隼（CNS ) A4規格（210X297公釐） 22 (請先閱讀背面之注意事項再填寫本頁) 訂 2 4 經濟部中央標準局員工消費合作社印製 B7五、發明説明（2〇) 分別為（χΓ，yl ’）、（x2’，y2’）、（x3 ’，y3 ’）。這時可以成立， xl ,=tA2 X xl yl，=tA3Xyl x2’=tA2 X x2 y2J=tA3 Xy2 x3'-iA2 Xx3 y3，=tA3 Xy3 並使 R’=P’+Q’ 但在此之加算運算係表示變換橢圓曲線Et上之加算。若R”之座標為（x3”、y3”），則成 χ3,,= {(γ2ί-γΓ)/(χ2,-χΓ)}Λ2-χ1,-χ2, y3”={(y2，-yr)/(x2’-xr)}(xl’-x3，)-yl’ 若分別如上式，以xl，yl，x2，y2表示此式中之χΓ ，yl’，χ2’，y2’時，則成為， x3,5={(tA3 Xy2-tA3 Xyl)/(tn2Xx2-tA2Xxl)}A2 -t"2 X xl-t"2 X x2 = {t(y2-y 1 )/(x2-xl )}Λ2-ίΛ2 X x 1 -ΐΛ2 X x2 =tA2 X {{(y2-y 1)/(χ2-χ1)}Λ2-χ1-χ2} =ΐΛ2 X x3 =x3’ y3,J-{(tA3 X y2-tA3 X y l)/(tA2 X x2-t"2 X xl)} X (t"2 X xl-tA2 X x3)-tA3 Xyl = {t(y2-yl)/(x2-xl)} X t"2(xl-x3)-tA3 X yl A7 (請先閱讀背面之注意事項再填寫本頁) λ. 訂本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） -23 - A7 B7 經濟部中央標準局貝工消費合作社印製五、發明説明（21 ) =tA3 X {{(y2-yl)/(x2-xl)} X(xl-x3)-yl} =tA3 Xy3 =y3 因此’可以看出R’與R”表示相同之點β 由以上所述，可以瞭解，橢圓曲線上之加算運算在本變換也可以被保障。其次說明Q=P時，亦即2倍公式。與上述同樣，對橢圓曲線E上之任意點p，使R=P + P，藉本發明所用之橢IS曲線之變換，將橢圓曲線E上之點P ，點R，分別變換成變換橢圓曲線Et上之點P，、點R’。假設點P，點R ’點P’，點R，之座標分別為（xl，yl)，（x3，y3) ，（χΓ，yl’），（x3’，y3’）。這時可以成立 xlJ=tA2Xxl yT=tA3 Xyl x3J-t 2Xx3 y35=tA3 Xy3 並使 R”HP’+P’ 但，在此2倍運算係表示變換橢圓曲線Et上之2倍運算若點R”之座標為（x3”，y3”），則成為 x3”={(3xl，2+a)/2yl’；T2-2xl’ y3”={(3xrA2+a)/2yl5}(xl，-x3’)-yl’ 若分別以xl，y 1，如上述表示χΓ，y Γ，則成為 χ3，，={ {(Γ2 X 3χ1)Λ2+α}/(2 X Γ3 X y 1)Γ2-2 X tA2 X xl 本紙張尺度適用中國國家標隼（CNS ) A4規格（210 X 297公釐） 24 I ^ 訂 (請先閲讀背面之注意事項再填寫本页) 經濟部中央標準局貝工消費合作社印裂 425803 . A7 B7 五、發明説明（22) =tA2{(3xr2+a)/yl }Λ2-ΐΛ2 X 2x1 =f2{{(3xr2+a)/yl}A2-2xl} =tA2 X x3 = {t(y2-yl)/(x2-xl)}A2-tA2Xxl-tA2Xx2 -tA2X {{(y2-yl)/(x2-xl)}}A2-xl-x2} =tA2Xx3 =x3， y35,={ {(ΪΛ2 X 3xl)A2+a}/(2 X1Λ3 X y 1)} X (tA2 X χ1-ίΛ2 X x3)-tA3 X y 1 =tA3 {(3χ1Λ2+α)/2γ 1 }(xl-x3)-tA3 X y 1 =tA3{{(3xlA2+a)/2yl}(xl-x3)-yl} =ΐΛ3 X y3 =y3’ 因此可以看出，與R”表示相同的點》由以上所述，可以瞭解，橢圓曲線上之2倍運算在本變換也可以被保障。綜上所述，可以證明，橢圓曲線E，與藉本發明所用之變換所形成之變換橢圓曲線Et係同型。 4.使用變換橢圓曲線Et時之計算量之評價依照上述實施形態，變換橢圓曲線Et之參數a，係取32 位元以下之值’因此，式18之計算量為3Sq。因此，橢圓曲線上之加算之計算量成為lMul+4Sq，2倍算之計算量則成為3Mul+6Sq。如此，與橢圓曲線E之參數a在接近160位元之值時比較，在2倍算時，可以削減IMu 1分之計算量。如以上所述，函數T(i)在i=〇時有-3之值以外，並且有絕對值之值依序從小到大之值，可以由絕對值較小之值依本紙張尺度適用中國國家椟準（CNS > Α4規格（210Χ297公釐） 25 (請先閲讀背面之注意事項再填寫本頁) -士衣. 425 803 A7 B7 經濟部中央標準局貝工消费合作社印製五、發明説明（23 ) 序加以參照’因此可以由計算量少之變換_曲線依序選擇適當之變換橢圓曲線。而依上述實施形態時，變換橢圓曲線&之參數&，為_3 時，式18可以變形成為， M=3 X Xf2+a5 ΧΖΓ4 =3 ΧΧΓ2-3ΧΖΓ4 =3Χ(Χ1+ΖΓ2)Χ(Χ1-Ζ1α2) 最後之式中’計算量成為IMul + lSq»因此，橢圓曲線上之計其1：成為12Mul+4Sq，2倍算之叶算量成為 4Mul+4Sq。如此，與以往比較時，可以看出，在2倍算時，可以削減2Sq分之計算量。如以上所述，函數T(i)在i=〇時，有_3之值，變換係數取得部2 2 0可彳文i-Ο開始，母次在丨之值加上1而參照函數τ(ι) 之值，因此最初參照的是-3之值。因此，在2倍算時，最初即可驗證較以往可以削減2Sq分之計算量之場合，因此有可能一次便能檢出最合適之變換橢圓曲線。因之’使用本實施形態所示之變換橢圓曲線時，可以將橢圓曲線上之計算高速化。 5.變形例子變換係數取得部2 2 0亦可以如下決定變換係數t。變換係數取得部220具有亂數產生部，上述亂數產生部可隨機產生有限體GF(p)上之元u(u#0)。然後，變換係數取得部220則判定之u是否能滿足。 (式 31) -2Λ3 1 + 1 ^ u"4 Xa(mod ρ)^2Λ31-1 本紙張尺度適用中國國家揉準（CNS ) Α4規格（210Χ297公釐） 26 (請先閲讀背面之注意事項再填寫本頁)

經濟部中夹標準局貝工消费合作社印製 425803 , A7 B7 五、發明説明（24) 若判定之U可滿足式3丨時，採用元〇為變換係數t。若判定 πιι不能滿足式31時，上述亂數產生部便再度隨機產生元u 由變換係數取得部220判定元u是否可以滿足式31。變換係數取得部220會一直返覆判定上述亂數產生部所產生之元u疋否可以滿足式3 1，到發現能滿足式3丨之元u 為止。又’變換係數取得部220也可以使用 (式 32) u 4 X a(m〇d p)=-3 取代式3 1。 6.橢圓曲線變換裝置2〇〇之應用例子使用第7圖所示之順序圖，說明應用上述說明之橢圓曲線變換裝置200之鍵共用系統如下。使用者A450，管理中心460及使用者B470，係以網路相互連接在一起。 (1)由管理中心460選擇橢圓曲線由管理中心460選擇質數p，選擇有限體GF(p)上之橢圓曲線E，設定E之基點為G，E之位數為q(步騍S4110。即，q為可以滿足 (式 2) q*G=0 之最小之正整數。在此， E ： yA2=xA3+aXx+b G=(x〇 t y〇) 接著’管理中心460將P、E、G送出到橢圓曲線變換裝置200(步驟S412)。本紙張尺度適用中國國家橾準（CNS ) Α4規格（210X297公釐） 27 ί請先閲讀背面之注意事項再填寫本頁)

A7 經濟部中央標準局貝工消费合作社印製 425803 ^ B7 五、發明説明（25 ) (2) 由橢圓曲線變換裝置200生成變換橢圓曲線由橢圓曲線變換裝置200算出變換橢圓曲線Et，算出元Gt(步驟S421)。在此，

Et : y，A2=x，A3+a，Xx，+b， a’=a X ， b’=bXtA6，

Gt=(xt0 ， ytO) xtO=tA2 X xO yt0=tA3 XyO 接著，橢圓曲線變換裝置20◦將Et，Gt送至管理中心 460(步驟S422)。管理中心460將P，Et，Gt送出到各使用者（步驟S413) a (3) 由使用者設定秘密鍵及形成公開鍵使用者A450設定秘密鍵xA(步驟S401)，使用者B470 則設定秘密鍵Xb(步騍S431)。使用者A450由下式算出公開鍵YA(步驟S402)，將公開鍵YA送出到使用者B470(步驟S403)。 YA=xA*Gt 而使用者B470則由下式算出公開鍵YB(步驟S432)，將公開鍵YB送出到使用者A450(步驟433)。 YB=xB*Gt (4) 由各使用者形成共用鍵本紙張尺度適用中國國家榡準（CNS ) A4規格（210X297公釐） {請先閱讀背面之注意事項再填寫本頁)

28 425803 , A7 ___ B7 五、發明説明（26) 使用者A450由XA*YB算出共用鍵（步驟S404)。而使用者B470則由XB*YA算出共用鍵（步驟以34)。由使用者A450算出之共用鍵ΧΑ*ΥΒ可加以變形而成為， XA*YB=(XAXXB)*Gt 而由使用者B470算出之共用鍵xb*YA可加以變形而成為， ΧΒ* ΥΑ=(ΧΑ X XB)*Gt=(XA X XB)*Gt 因此，很顯然的，由使用者A450算出之共用鍵XA*YB 與由使用者B470算出之共用鍵XB*YA是相同的。 7.其他變形例子其他實施形態之一，也可以是以上所示之橢圓曲線變換方法。也可以是含有可令電腦執行上述橢圓曲線變換方法之橢圓曲線變換程式之可由電腦讀取之記錄媒體。而且，可以經由通信回線傳送上述橢圓曲線變換程式。又可以將以上所說明之橢圓曲線變換裝置應用在密碼裝置、解密裝置、或由密碼裝置與解密裝置構成之密碼系統。經濟部t央標準局員工消费合作社印製也可以將以上說明之橢圓曲線變換裝置應用在，數位簽名裝置、數位簽名驗證裝置、或由數位簽名裝置與數位簽名驗證裝置所構成之數位簽名系統。也可以由密碼裝置、解密裝置、數位簽名裝置、數位簽名驗證裝置、或鍵共用裝置、預先記憶橢圓曲線變換裝置所算出之橢圊曲線之參數a’、b’及元Gt，使甩所記憶之 29 ； Ϊ f (請先閱讀背面之注意事項再填寫本頁} 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） 425803 A7 B7 五、發明説明（27) 經濟部中央標率局員工消費合作社印褽摊圓曲線之參數a’、b’及元Gt，進行密碼化、解密、數位簽名、數位簽名驗證、或鍵共用。亦可以組合以上所示實施形態及其多數之變形例子β 圖示之簡單說明第1圖係表示採用T.E. Elgamal簽名之數位簽名方式之程序之順序圖。第2圖係本發明之一個實施形態之橢囡曲線變換裝置之方塊圖。第3圖係說明第2圖所示橢圓曲線變換裝置所用之函數 T(i)之表。第4圖係表示第2圏所示橢圓曲線變換裝置之動作之流程圖。第5圖係表示第2圖所示橢圓曲線變換裝置之變換係數取得部之動作之流程圖。第6圖係表示第2圊所示橢圓曲線變換裝置之變換橢圖線計算部之動作之流程圖。第7圊係表示應用第2圖所示橢圓曲線變換裝置之鍵共用系統之動作程序之順序圖。元件標號對照 Π0 » 450···使用者a 120 * 460*·’管理中心130 ’ 470··*使用者b 200···橢圓裝置變換裝置 210…參數接收部 220·••變換係數取得部 230…變換摘圓曲線計算部 240…參數送出部本紙張尺度通用巾關家縣（CNS) A4規格（21Gx297公瘦 -30*7 I n 11111 n n I i * f (請先閲讀背面之注意事項再填寫本頁) 訂飞

Claims

I-425 8〇3 A8 BS C8 D8 六、申請專利範圍經濟部中央標隼局貝工消#合作社印策 1. 一種橢圓曲線變換裝置，可變換一個橢圓曲線E，而形成另一個橢圓曲線Et，此橢圓曲線變換裝置含有下列構件： •接收構件從外部接收質數p，橢圓曲線E之參數a與參數b，及基點之元G 在此，橢圓曲線E係在有限體GF(p)上加以定義，以 yA2=xA3+ax+b表示之，元G係存在於糖圓曲線E上，以G=(xO，yO)表示之； •變換係數取得構件取得存在於有限體GF(p)上之變換係數t，在此’變換係數t可以滿足，t# 0，且1^4 X a(mod p) 與質數p比較，其位數很小，之條件； •橢圓曲線計算構件使用上述取得之變換係數t，從下式算出，橢圓曲線 Et之參數a’與b’，及新的基點之Gt， a’=a X ，b，=bxf6， χίΟ=ΐΛ2 X xO » ytO=tA3 X yO > 在此，橢圓曲線Et係在有限趙GF(p)上加以定義，以 xtO，ytO分別為元Gt之X座標值，y座標值；本紙張尺度適用中國國家揉準（CNS )八4说格（210X297公釐） 31 (請先閲讀背面之注$項再填寫本頁) 4--------^---Γ f Γ Γ L 425 803 A8 B8 C8 D8 &'申請專利範圍 •輸出構件將上述算出之參數a’與b，，及元Gt輸出到外部β 2’如申請專利範圍第1項之橢圓曲線變換裝置， ρ係160位元之質數，上述變換係數取得構件取得，可以滿足t、Xa(m〇d P)成為32位元以下之數值之條件之變換係數t。 3_如申請專利範圍第1項之橢圓曲線變換裝置，上述變換係數取得構件取得，可以滿足t、xa(m〇d P)成為-3之條件之變換係數t。 4·如申請專利範圍第1項之橢圓曲線變換裝置，上述變換係數取得構件藉，對變數T以初期值為_3 ’相期值以外之值則從位數小之值，依次取到位數大之值，並判定是否可以滿足 T=tA4 X a(mod ρ) 之條件，而返覆進行，以取得變換係數t。經濟部中央橾率局貝工消費合作社印褽 5- 一種橢圓曲線利用系統，由變換一個橢圓曲線E，而形成另一個橢圓曲線Et之橢園曲線變換裝置，及利用所形成之橢圍曲線Et之利用裝置，所構成，上述利用裝置具有第1輸出構件，第1接收構件及利用構件，上述橢圓曲線變換裝置具有第2接收構件，變換係數取得構件，橢圓曲線計算構件及第2輸出構件上述第1輸出構件將質數P、橢圓曲線E之參數&與本紙柒尺度逋用中國國家榡车（CNS > A4規格（210X297公釐） 32 3 ο 8 5 2 4 ,4 ABCD 六、申請專利範圍參數b ’及當作基點之元g輸出到上述橢圓曲線變換裝置，在此，橢圓曲線E係在有限體GF(p)上加以定義，以y 2=x 3十ax+b表示之，元G存在於橢圓曲線E上，以G=(x〇、yO)表示之，上述第2接收構件從上述利用裝置接收質數p，橢圓曲線E之參數a及參數b，與元G，上述變換係數取得構件取得存在於有限體G F (p)上之變換係數t，在此，變換係數t可以滿足，t关0，且tlxaCinod p) 與質數ρ比較，其位數很小，之條件；上述橢圓曲線計算構件使用上述取得之變換係數t ，由下式算出’橢圓曲線Et之參數a’及b’，以及新基點之元Gt，經濟部中央橾準局負工消f合作社印裝 a，=a X tA4， b，=bXtA6， xt0=t"2 X xO > ytO=tA3 X yO > 在此，橢圓曲線Et在有限體GF(p)上加以定義，以 xtO ’ ytO分別為元Gt之X座標值、y座標值；上述第2輸出構件將上述算出之參數a’與b，，及元 Gt輸出到上述利用裝置；本紙張尺度適用中國國家標準（CNS ) A4规格（210X297公釐） 33

經濟部中央揉率局貝工消費合作社印製述第1接收構件接收上述輪出之參數&，與b，，及元Gt ; 上述利用構件使用質數P，上述接收之參數3，與b，所决疋之擴圓曲線，及當作基點之元Gt，依據在有限體GF(p)上加以定義之橢圓曲線上之運算，進行以離散對數問題作為安全性之根據之密碼、解密、數位簽名、數位簽名驗證或鍵共用。 6.如申請專利範圍第5項之橢圓曲線利用系統， P係160位元之質數，上述變換係數取得構件以可滿足，χ a(m〇d p) 在32位元以下之數值之條件，取得變換係數^ 7_如申請專利範圍第5項之橢圓曲線利用系統，上述變換係數取得構件以可滿足，tkxymod p) 成為-3之條件，取得變換係數卜 8·如申請專利範圍第5項之橢圓曲線利用系統，上述變換係數取得構件對變數T，以初期值為_3，初期值以外之值則從位數小之值，依次取到位數大之值，並判定是否可以滿足， T=tA4 X a(mod p) 之條件’而返覆進行，以取得變換係數t。 9. 一種利用裝置，具有第2接收構件、變換係數取得構件、橢圓曲線計算構件及第2輸出構件，從可變換一個橢圓曲線E，而形成另一個橢圓曲線价之橢圓曲線變換裝 (請先聞该背面之注意参項再^，本貰裝' 訂線本紙張尺度適用中國國家標率（CNS ) A4规格（210X297公缝） 34 2 4 3 ο 8 a ABCD 申請專利範圍置’接收上述形成之搞圓曲線Et加以利用之利用裝置經濟部中央#準局貝工消費合作社印製上述利用裝置具有第1輸出構件，第1接收構件及利用構件，上述第1輸出構件將質數P、橢圓曲線E之參數a與參數b’及當作基點之元G輸出到上述橢圓曲線變換裝置，在此，橢圓曲線E係在有限體GF(p)上加以定義， &yA2=xA3+ax+b表示之，元G存在於橢圓曲線E上，以G=(xO ' yO)表示之，上述第2接收構件從上述利用裝置接收質數p，橢圓曲線E之參數a與參數b，及元G，上述變換係數取得構件取得存在於有限體GF(p)上之變換係數t，在此’變換係數t可以滿足，# 0，且ΐΛ4 X a(mod p) 與質數p比較，其位數很小之條件；上述橢圓曲線計算構件使用上述取得之變換係數t ，由下式算出橢圊曲線Et之參數a’與b，，及元Gt， a’=a X Γ4， b’=b X ， xtO=f2XxO， yt0=t"3 X yO * 在此’橢圓曲線Et係在有限體GF(p)上加以定義，锖先聞 1¾ 之注意事“ 項再養、裝訂線本紙張尺度適用中國國家樣率（CNS ) A4規格（2丨〇χ 297公釐） 35 2 4 經濟部中央梯準局貝工消費合作社印製 C8 -----D8 六、申請專利範圍以 7”2 = \”3 + 3，\\，+1)，表示之，幻〇，yto分別為元GtiX座標值與7座標值；上述第2輸出構件向上述利用裝置輸出上述算出之參數a’與b’，及元Gt ; 上述第1接收構件接收上述輸出之參數&’與b，，及元Gt ; 上述利用構件使用質數P,由上述接收之參數a，及 b所決定之橢圓西線，當作基點之元Gt，依據在有限體GF(p)上加以定義之橢圓曲線上之運算，進行以離散對數問題當作安全性之根據之密碼、解密、數位簽名、數位簽名驗證或鍵共用。 10· 一種利用變換一個橢圓曲線E而形成之橢圓曲線Et之利用裝置，含有下列構件： •記憶構件記憶有橢圓曲線Et之參數a，及b，，當作基點之元Gt ， •利用構件使用P，由上述記憶之參數a’及b’而決定之橢圓曲線，及當作基點之元Gt，依據在有限體GF(p)上加以定義之橢圓曲線上之運算，進行以離散對數問題當作安全性之根據之密碼、解密、數位簽名、數位簽名驗證或鍵共用，在此，參數a’與b’，及元Gt係由橢圓曲線變換裝置所形成，上述橢圓曲線變換裝置具有變換係數取得構本紙張尺度逋用中离离家標率（CNS ) A4祝格（210X297公釐） 36 42b8〇3 ABCD 經濟部中央橾隼局貝工消費合作社印製六、申請專利範圍件，及橢圓曲線計算構件， P係質數，概圓曲線E係在有限體GF(p)上加以定義， &yA2=xA3+ax+b表示之，當作基點之元G存在於橢圓曲線E上，以G=(xO，yO)表示之，上述變換係數取得構件取得存在於有限體GF(p)上之變換係數t，在此，變換係數t可以滿足，t妾0，且tA4 X a(m〇d p) 較之質數ρ，其位數很小之條件；上述橢圓曲線計算構件使用上述取得之變換係數t ，由下式算出橢圓曲線Εί之參數a’及b’，及新基點之元Gt， a’^aXt、， b’=b X ίΛ6， xtO=tA2 X χΟ > ytO=tA3 X yO，在此，橢圓曲線Et係在有限體GF(p)上加以定義，以丫’2=又，、+&’\\’+13’表示之， xtO，ytO分別為元Gt之X座標值與y座標 11· 一種可變換一個橢圓曲線E而形成另一個橢圓邊_Et之 h:: 橢圓曲線變換方法，含有： •接收構件從外部接收質數ρ，橢圓曲線E之參數a與參數b，與

T… 丨々水-- (請先閱讀背面之注意事項再填寫本頁) 訂本紙張尺度逋用中國國家棋準（CMS ) A4规格（210X297公釐） 37

申請專利範圍補充當作基點之元G，在此，橢圓曲線E係在有限體GF(p)上加以定義，以 yA2=x、+ax+b表示之，元G存在於橢圓曲線上，以G=(X〇，y〇)表示之； •變換係數算出步驟取得存在於有限體GF(p)上之變換係數t，在此，變換係數t可以滿足，t：^0，p) 較之質數p ’其位數很小之條件； •橢圓曲線算出步驟使用上述取得之變換係數t，從下式算出橢圓曲線Et 之參數a’與b，’與當作新基點之元Gt， a’=a X Γ4， b*=b X tA6 > xtO=tA2 X χ〇， ytO=t 3Xy〇，在此，橢圊曲線Et係在有限體GF(p)上加以定義，以 y’A2=x’A3+a’Xx’+b，；^^i， xtO ’ ytO分別為元〇t之X座標值與y座標值； •輪出步驟將上述算出之參數a，與b’，及元Gt輸出到外部。 12.—種可由電腦讀取之記錄媒體，記錄有可變換一個橢圓曲線E而形成另一個橢圓曲線以之橢圓曲線變換程式 ’上述程式含有： (請先閱讀背面之ii意事項再填寫本頁) 丨經濟部智慧財產局員工消費合作社印製 ----訂---------線— 7------Ί*ί! A8 B8 C8 D8 425803 六、申請專利範圍 •接收步驟從外部接收質數p，橢圊曲線E之參數a與參數b，及當作基點之元G，在此，橢圓曲線E係在有限體GF(p)上加以定義，以 y 2-X 3+ax+b表示之，元G存在於橢圓曲線e上，以G = (X〇，y〇)表示之； •變換係數算出步驟取得存在於有限體GF(p)上之變換係數t，在此，變換係數t可以滿足，t关0，且f4Xa(mod p) 較之質數ρ，其位數报小之條件； •橢圓曲線算出步驟經济部尹央揉率局貝工消費合作社印裝使用上述取得之變換係數t，由下式算出橢圓曲線Et 之參數a’與b’，與當作新基點之元Gt， a’=aXtA4， bJ=b xtA6 > xtO=t"2Xx〇 . yt0=t"3 Xy〇 . 在此，橢圓西線Et係在有限體GF(p)上加以定義，以 y”2=x’A3+a’xx’+b’表示之， ’ ytO分別為元(^之乂座標值與y座標值， •輸出步驟將上述算出之參數a，與b’，及元&輸出到外本紙張尺度適用中國國家標準（CNS ) A4规格（210X297公釐） 39