WO2002039664A2 - Procede et dispositif de calcul multiple et scalaire de courbe elliptique, et dispositif de stockage - Google Patents

Description

明 細 書 楕円曲線ス力ラ一倍計算方法及び装置並びに記憶媒体 技術分野

本発明はコンピュータネットワークにおけるセキュリティ技術に係り、 特に楕 円曲線暗号における暗号処理実行方法に関する。

背景技術

楕円曲,锒暗号は N. Koblitz, V. S. Millerにより提案された公開鍵暗号の一種で ある。 公開鍵暗号には、 公開鍵と呼ばれる一般に公開してよい情報と、 秘密鍵と 呼ばれる秘匿しなければならない秘密情報がある。 与えられたメッセージの暗号 化や署名の検証には公開鍵を用い、 与えられたメッセージの複号化や署名の作成 には秘密鍵を用いる。 楕円曲線暗号における秘密鍵は、 スカラー値が担っている。 また、 楕円曲線暗号の安全性は楕円曲線上の離散対数問題の求解が困難であるこ とに由来している。 ここで楕円曲線上の離散対数問題とは、 楕円曲線上のある点 Pとそのスカラー倍の点 dPが与えられた時、 スカラー値 dを求める問題である。 こ こにおいて、 楕円曲線上の点とは、 楕円曲線の定義方程式をみたす数の組をいい、 楕円曲線上の点全体には、 無限遠点という仮想的な点を単位元とした演算、 すな わち楕円曲線上の加法 （乃至は加算） が定義される。 そして、 同じ点同士の楕円 曲線上の加法のことを、 特に楕円曲線上の 2倍算という。 楕円曲線上の 2点の加 法は次のようにして計算される。 2点を通る直線を引くとその直線は楕円曲線と 他の点において交わる。 その交わった点と X軸に関して対称な点を加法を行なつ た結果の点とする。 楕円曲線上の点の 2倍算は次のようにして計算される。 楕円 曲線上の点における接線をひくと、 その接線は楕円曲線上の他の点において交わ る。 その交わった点と X座標に関して対称な点を 2倍算を行なった結果の点とす る。 ある点に対し、 特定の回数だけ加法を行なうことをスカラー倍といい、 その 結果をスカラ一倍点、 その回数のことをスカラー値という。

情報通信ネットワークの進展と共に電子情報に対する秘匿や認証の為に暗号技 術は不可欠な要素となってきている。 そこでは暗号技術の安全性とともに高速化 が望まれている。 楕円曲線上の離散対数問題が非常に困難である為に、 素因数分 解の困難性を安全性の根拠にしている R S A暗号と比べて、 楕円曲線暗号は鍵長 を比較的短くすることができる。 そのため比較的高速な暗号処理が可能である。 し力 しながら、 処理能力の制限されているスマートカードゃ大量の暗号処理を行 なう必要のあるサーバ等においては、 必ずしも満足できる程高速であるとは限ら ない。 それゆえに暗号のさらなる高速化が必要となる。

楕円曲線暗号には、 ワイエルシュトラス型楕円曲線と呼ばれる楕円曲線が通常 用レヽられてレヽる。 A. Miyaji, T. Ono, H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology

roceedings of ASIACRYPT' 98， LNCS 1514, Springer- Verlag, (1998) pp. 51-65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用いてヤコビア ン座標を中心とした混合座標系を用いたスカラー倍計算方法は高速なスカラー倍 計算方法として記載されている。 この計算方法は、 スカラー倍点の座標を、 省略 することなく正確に表示している。 すなわち、 ァフィン座標系であれば、 X座標 及び y座標、 射影座標乃至はヤコビアン座標であれば、 X座標、 Y座標及び Z座 標の値を全て与えている。

一方でモンゴメリ型楕円曲線 B Y ² = X ³ + AX ² + X (A, B e F _p ) を用 いるとワイエルシュトラス型楕円曲線よりも高速に演算を実行できることが P. L. Montgomery, Speeding the Pollard and Elliptic Curve Methods of Factorization, Math. Comp. 48 (1987) pp. 243-264. に記載されている。 これ は、 スカラー値の特定のビッ トの値に依存して、 楕円曲線上の点の組 (mP， (m+1) P)から点の組 (2mP, (2m+l) P)乃至は点の組 ( (2m+l) P， (2m+2) P)を繰り返 し計算するスカラー倍計算方法において、 モンゴメリ型楕円曲線を利用すること により、 加算及び 2倍算の計算時間が短縮されることに由来する。 このスカラー 倍計算法は、 ワイエルシュトラス型楕円曲線における、 ウィンドウ法を用いてャ コビアン座標を中心とした混合座標系を用いた場合よりも、 高速に計算すること ができる。 しかしながら、 この方法は楕円曲線上の点の y座標の値は計算しなレ、。 多くの暗号処理においては、 本質的に y座標を用いないので、 この事は問題には ならないが、 一部の暗号処理を実行する又は完全な形で標準に準拠しょうとすれ ば、 y座標の値も必要となる。

以上は楕円曲線の定義体の標数が 5以上の素数の場合であるが、 他方、 標数 2 の有限体上定義された楕円曲線に対しては、 スカラー倍点の完全な座標を与え且 つ高速なスカラー倍計算方法力 S J. Lopez, R. Dahab, Fast Multiplication on Elliptic Curves over GF (2^m) without Precomputation, Cryptographies Hardware and Embedded Systems： Proceedings of CHE¾ 99, LNCS 1717， Springer- Verlag, (1999) pp. 316-327. に記載されている。

上記従来技術により、 標数が 5以上の有限体上定義された楕円曲線を用いて楕 円曲線暗号を構成した場合、 ワイエルシュトラス型楕円曲線においてウィンドウ 法及び混合座標系を用いると、 スカラー倍点の座標を完全に計算することができ るが、 モンゴメリ型楕円曲線のスカラー倍計算方法を用いた場合程高速に計算す ることはできない。 モンゴメリ型楕円曲線におけるスカラー倍計算方法を用いる と、 ワイエルシュトラス型楕円曲線においてウィンドウ法及び混合座標系を用い た場合より高速に計算することが可能であるが、 スカラー倍点の座標を完全に与 えること、 すなわち y座標を計算することができない。 したがって、 スカラー倍 計算方法として、 高速化を計ろうとするとスカラー倍点の座標を完全に与えるこ とができず、 スカラー倍点の座標を完全に与えようとすると高速に計算ができな レヽという状態にあった。

発明の開示

本発明の目的は、 標数が 5以上の有限体上定義された楕円曲線において、 モン ゴメリ型楕円曲線におけるスカラー倍演算と同程度の高速さで、 スカラー倍点の 座標を完全に与えることができる、 即ち、 X座標と y座標を共に計算できるスカ ラー倍計算方法を提供することにある。

上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限体上 定義された楕円曲線において、 スカラー値及ぴ楕円曲線上の点からスカラー倍点 を計算するスカラ一倍計算方法であつて、 前記ス力ラ一倍点の部分情報を計算す るステップと、 前記スカラー倍点の部分情報から完全な座標を復元するステップ とを有することを特 ί敷とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義された楕円曲線において、 スカラ一値及ぴ楕円曲線上の点からスカラー 倍点を計算するスカラー倍計算方法であって、 前記スカラー倍点の部分情報を計 算するステップと、 前記ス力ラ一倍点の部分情報からァフィン座標において完全 な座標を復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義された楕円曲線において、 スカラ一値及ぴ楕円曲線上の点からスカラー 倍点を計算するスカラー倍計算方法であって、 前記スカラー倍点の部分情報を計 算するステップと、 前記スカラー倍点の部分情報から射影座標において完全な座 標を復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及びモンゴメリ型楕 円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法であつて、 前記ス 力ラ一倍点の部分情報を計算するステップと、 前記ス力ラ一倍点の部分情報から 完全な座標を復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及びヮイエ ルシュトラス型楕円曲線上の点からスカラー倍点を計算するスカラー倍計算方法 であって、 前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍 点の部分情報から完全な座標を復元するステツプとを有することを特敷とする。 また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及ぴモンゴメリ型楕 円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法であって、 前記ス カラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分情報とし て射影座標で与えられた前記ス力ラ一倍点の X座標及び Ζ座標並びに前記ス力ラ 一倍点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における X座 標及ぴ Ζ座標を与え、 ァフィン座標において完全な座標を復元するステップとを 有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及びモンゴメリ型楕 円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法であつて、 前記ス カラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分情報とし て射影座標で与えられた前記スカラー倍点の X座標及ぴ Z座標並びに前記スカラ 一倍点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における X座 標及ぴ Z座標を与え、 射影座標において完全な座標を復元するステップとを有す ることを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及びモンゴメリ型楕 円曲線上の点からスカラー倍点を計算するスカラー倍計算方法であって、 前記ス カラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分情報とし て射影座標で与えられた前記スカラー倍点の X座標及び z座標、 前記スカラー倍 点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における X座標及 び z座標並びに前記ス力ラ一倍点と前記モンゴメリ型楕円曲線上の点を減算した 点の射影座標における X座標及び z座標を与え、 ァフィン座標において完全な座 標を復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及ぴモンゴメリ型楕 円曲線上の点からスカラー倍点を計算するスカラー倍計算方法であって、 前記ス カラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分情報とし て射影座標で与えられた前記スカラー倍点の X座標及ぴ Z座標、 前記スカラー倍 点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における X座標及 び z座標並びに前記ス力ラ一倍点と前記モンゴメリ型楕円曲線上の点を減算した 点の射影座標における X座標及ぴ z座標を与え、 射影座標において完全な座標を 復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたモンゴメリ型楕円曲線において、 スカラー値及びモンゴメリ型楕 円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法であつて、 前記ス カラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分情報とし ン座標で与えられた前記スカラー倍点の X座標、 前記スカラー倍点と前 記モンゴメリ型楕円曲線上の点を加算した点のァフィン座標における X座標並ぴ に前記スカラー倍点と前記モンゴメリ型楕円曲線上の点を減算した点のァフィン 座標における X座標を与え、 ァフィン座標において完全な座標を復元するステツ プとを有することを特 1敦とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及ぴヮイエ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、 前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍 点の部分情報として射影座標で与えられた前記スカラー倍点の X座標及ぴ Z座標、 前記スカラー倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点の射 影座標における X座標及び z座標並びに前記スカラー倍点と前記ワイエルシュト ラス型楕円曲線上の点を減算した点の射影座標における X座標及び z座標を与え、 ァフィン座標にぉレ、て完全な座標を復元するステツプとを有することを特徴とす る。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及ぴヮイエ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するス力ラ一倍計算方法 であって、 前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍 点の部分情報として射影座標で与えられた前記スカラー倍点の X座標及び Z座標、 前記スカラー倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点の射 影座標における X座標及び Z座標並びに前記ス力ラ一倍点と前記ワイエルシュト ラス型楕円曲線上の点を減算した点の射影座標における X座標及び Z座標を与え、 射影座標において完全な座標を復元するステップとを有することを特徴とする。 また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型精円曲線において、 スカラー値及びワイェ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、 前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍 点の部分情報としてァフィン座標で与えられた前記ス力ラ一倍点の X座標、 前記 スカラ一倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点のァフィ ン座標における X座標並びに前記ス力ラ一倍点と前記ワイエルシュトラス型楕円 曲線上の点を減算した点のァフィン座標における X座標を与え、 ァフィン座標に おいて完全な座標を復元するステップとを有することを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及びワイェ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換す るステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算す るステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報から ワイエルシュトラス型楕円曲線において完全な座標を復元するステップとを有す ることを特徴とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及びワイェ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するス力ラ一倍計算方法 であって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換す るステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算す るステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報から モンゴメリ型楕円曲線において完全な座標を復元するステップと、 前記モンゴメ リ型楕円曲線において完全な座標が復元されたスカラー倍点からワイエルシュト ラス型楕円曲線におけるスカラー倍点を計算するステップとを有することを特徴 とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及ぴヮイエ ルシュトラス型楕円曲線上の点からスカラー倍点を計算するスカラ一倍計算方法 であって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換す るステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算す るステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報とし てモンゴメリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及 び Z座標並びに前記スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点の 射影座標における x座標及び z座標を与え、 ワイエルシュトラス型楕円曲,線にお いてァフィン座標における完全な座標を復元するステップとを有することを特徴 とする。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及ぴワイエル シュトラス型楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法で あって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換する ステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算する ステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報として モンゴメリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及ぴ z座標並びに前記スカラ一倍点とモンゴメリ型楕円曲線上の点を加算した点の射 影座標における X座標及び Z座標を与え、 ワイエルシュトラス型楕円曲線におい て射影座標における完全な座標を復元するステップとを有することを特徴とする。 また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及びワイェ ルシュトラス型楕円曲線上の点からスカラー倍点を計算するスカラー倍計算方法 であって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換す るステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算す るステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報とし てモンゴメリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及 び Z座標、 前記スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点の射影 座標における X座標及ぴ z座標並びに前記スカラー倍点とモンゴメリ型楕円曲線 上の点を減算した点の射影座標における X座標及び Z座標を与え、 ワイエルシュ トラス型楕円曲線においてァフィン座標における完全な座標を復元するステップ とを含むことを特徴とする。

また本発明は、 楕円曲線暗号における標数 5以上の有限体上定義されたヮイエ ルシュトラス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲 線上の点からスカラ 倍点を計算するス力ラ一倍計算方法であつて、 前記ワイェ ルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステップと、 モンゴ メリ型楕円曲線におけるスカラー倍点の部分情報を計算するステップと、 前記モ ンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴメリ型楕円曲 線において射影座標で与えられたスカラー倍点の X座標及ぴ Z座標、 前記スカラ 一倍点とモンゴメリ型楕円曲線上の点を加算した点の射影座標における X座標及 ぴ Z座標並びに前記スカラ一倍点とモンゴメリ型楕円曲線上の点を減算した点の 射影座標における X座標及ぴ z座標を与え、 ワイエルシュトラス型楕円曲線にお レ、て射影座標における完全な座標を復元するステップとを有することを特徴とす る。

また上記目的を達する一手段として、 楕円曲線暗号における標数 5以上の有限 体上定義されたワイエルシュトラス型楕円曲線において、 スカラー値及びワイェ ルシュトラス型楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、 前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換す るステップと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算す るステップと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報とし てモンゴメリ型楕円曲線においてァフィン座標で与えられたスカラー倍点の X座 標、 前記スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点のァフィン座 標における X座標並びに前記スカラー倍点とモンゴメリ型楕円曲線上の点を減算 した点のァフィン座標における X座標を与え、 ワイエルシュトラス型楕円曲線に おいてァフィン座標における完全な座標を復元するステップとを有することを特 徵とする。

図面の簡単な説明

図 1は本発明の暗号処理システムの構成図である。

図 2は本発明の実施例におけるスカラー倍計算方法及ぴ装置における処理の流 れを示す図である。

図 3は図 1の暗号処理システムでの処理の流れを示すシーケンス図である。 図 4は本発明の第 1、 第 2、 第 1 4及び第 1 5実施例のスカラー倍計算方法に おける高速スカラ一倍計算方法を示すフローチャート図である。

図 5は本発明の第 3及び第 4実施例のス力ラ一倍計算方法における高速ス力ラ 一倍計算方法を示すフローチヤ一ト図である。 図 6は本発明の第 5実施例のス力ラ一倍計算方法における高速ス力ラ一倍計算 方法を示すフローチャート図である。

図 7は本発明の第 6、 第 7及ぴ第 8実施例のスカラー倍計算方法における高速 スカラー倍計算方法を示すフローチャート図である。

図 8は本発明の第 9、 第 1 0、 第 2 0及ぴ第 2 1実施例のスカラー倍計算方法 における高速スカラ一倍計算方法を示すフローチャート図である。

図 9は本発明の第 2実施例のスカラー倍計算方法における座標復元方法を示す フローチヤ一ト図である。

図 1 0は本発明の第 1 1及び第 1 2実施例のスカラー倍計算方法における高速 スカラー倍計算方法を示すフローチャート図である。

図 1 1は本発明の第 1実施例のスカラー倍計算方法における座標復元方法を示 すフローチャート図である。

図 1 2は本 明の第 3実施例のスカラー倍計算方法における座標復元方法を示 すフローチャート図である。

図 1 3は本発明の第 4実施例のスカラー倍計算方法における座標復元方法を示 すフローチヤ一ト図である。

図 1 4は本発明の第 6実施例のスカラー倍計算方法における座標復元方法を示 すフローチヤ一ト図である。

図 1 5は本発明の第 7実施例のスカラー倍計算方法における座標復元方法を示 すフローチャート図である。

図 1 6は本発明の第 8実施例のスカラー倍計算方法における座標復元方法を示 すフローチャート図である。

図 1 7は本発明の第 9実施例のスカラー倍計算方法における座標復元方法を示 すフローチヤ一ト図である。

図 1 8は本発明の第 1 0実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 1 9は本発明の第 1 1実施例のスカラー倍計算方法における座標復元方法を 示すフローチヤ一ト図である。

図 2 0は本発明の第 1 2実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 2 1は本発明の第 1 3実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 2 2は本発明の実施の形態に係る署名作成装置の構成図である。

図 2 3は本発明の実施の形態に係る復号ィ匕装置の構成図である。

図 2 4は本発明の第 1 3実施例のスカラー倍計算方法における高速スカラー倍 計算方法を示すフローチャート図である。

図 2 5は図 2のスカラ一倍計算部におけるスカラ一倍計算方法を示すフローチ ヤートである。

図 2 6は本発明の第 5実施例のスカラー倍計算方法における座標復元方法を示 すフローチャート図である。

図 2 7は本発明の実施例におけるスカラ一倍計算方法及び装置における処理の 流れを示す図である。

図 2 8は図 2 2の署名作成装置における署名作成方法を示すフローチャートで ある。

図 2 9は図 2 2の署名作成装置における処理の流れを示すシーケンス図である。 図 3 0は図 2 3の復号化装置における復号化方法を示すフローチャートである。 図 3 1は図 2 3の復号化装置における処理の流れを示すシーケンス図である。 図 3 2は図 1の暗号処理システムにおける暗号処理方法を示すフローチヤ一ト である。

図 3 3は図 2 7のスカラー倍計算部におけるスカラー倍計算方法を示すフロー チヤ一トである。

図 3 4は本発明の第 1 4実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 3 5は本発明の第 1 5実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 3 6は本発明の第 1 6実施例のスカラー倍計算方法における座標復元方法を 示すフローチヤ一ト図である。

図 3 7は本発明の第 1 7実施例のスカラー倍計算方法における座標復元方法を 示すフローチヤ一ト図である。

図 3 8は本発明の第 1 8実施例のスカラー倍計算方法における座標復元方法を 示すフローチヤ一ト図である。

図 3 9は本発明の第 1 9実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 4 0は本発明の第 2 0実施例のスカラー倍計算方法における座標復元方法を 示すフローチヤ一ト図である。

図 4 1は本発明の第 2 1実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 4 2は本発明の第 2 2実施例のスカラー倍計算方法における座標復元方法を 示すフローチャート図である。

図 4 3は本発明の第 1 6実施例のスカラー倍計算方法における高速スカラー倍 計算方法を示すフ口一チヤ一ト図である。

図 4 4は本発明の第 1 7、 第 1 8及び第 1 9実施例のスカラー倍計算方法にお ける高速スカラー倍計算方法を示すフローチャート図である。

図 4 5は本発明の第 2 2実施例のスカラー倍計算方法における高速スカラー倍 計算方法を示すフローチヤ一ト図である。

発明を実施するための最良の形態

以下、 本発明の実施例を図面により説明する。

図 1は暗号/復号処理装置の構成を示したものである。 この暗号/復号処理装置 1 0 1は、 入力されたメッセージの暗号化、 喑号化されたメッセージの複号^ (匕の いずれも行えるようにしたものである。 尚、 ここで扱う楕円曲線は標数 5以上の 楕円曲線とする。

入力されたメッセージを暗号化し、 暗号ィ匕されたメッセージを復号化する場合、 一般に次の数 1が成立する。

Pm+ k ( a Q) - a ( k Q) = Pm …数 1

ここで、 P _mはメッセージであり、 kは乱数、 aは秘密鍵を示す定数、 Qは定 点である。 この式の P m+ k ( a Q) の a Qは、 公開鍵を示しており、 入力され たメッセージを公開鍵によって暗号ィ匕することを示している。 _a ( k Q) の aは 秘密鍵を示しており、 秘密鍵により復号ィヒすることを示している。

従って、 図 1に示した暗号/復号処理装置 1 01をメッセージの暗号化だけに 用いる場合には、 Pm+k (a Q) 及び kQを計算して出力し、 複号化だけに用 いる場合には、 秘密鍵 a及ぴ k Qより一 a (kQ) を計算し、 （Pm+ k (a Q) ) -a (kQ) を計算して出力するようにすればよい。

図 1に示した暗号/復号処理装置 1 01は、 処理部 1 1 0と、 記憶部 1 20、 レジスタ部 130とを有している。 処理部 120は、 暗号化処理に必要な処理を 機能プロックで示しており、 入力されたメッセージの暗号ィ匕ゃ暗号ィ匕されたメッ セージの複号化を行う暗号/復号処理部 102、 暗号/復号処理部 102で暗号化 や復号ィ匕を行うのに必要なパラメータを演算するスカラー倍計算部 1 03とを有 している。 記憶部 120は、 定数、 秘密情報 （例えば、 秘密鍵である。 ） などを 記憶している。 レジスタ部 1 30は、 暗号ィ匕又は復号化処理において演算の結果 や、 記憶部 120に記憶された情報を一次的に記憶する。 尚、 処理部 110、 レ ジスタ部 130は以下に説明する処理を行う専用の演算装置や CPUなどにより 実現することができ、 記憶部 1 20は、 RAM、 ROMなどによって実現するこ とができる。

次に、 図 1に示した暗号/復号処理装置 1 01の動作について説明する。 図 3 は、 暗号/復号処理装置 101において暗号化、 復号化を行う場合の各部の情報 の伝達を示したものである。

暗号 Z復号処理部 102は暗号化処理を行なう場合は暗号化処理部 102と表 記し、 複号化処理を行なう場合は復号化処理部 102と表記する。

まず、 図 30により入力されたメッセージを暗号ィ匕する場合の動作について説 明する。

暗号/復号処理部 102へメッセージが入力されると （3001) 、 入力され たメッセージのビット長が予め定めたビット長カ否かを判断する。 予め定めたビ ット長より長い場合には、 予め定めたビット長となるようにメッセージを区切る (以下、 メッセージは所定のビット長に区切られているものとして説明する。 ） 。 次に、 暗号/復号処理部 102は、 メッセージのビット列によって表される数値 を X座標 (xl) にもつ楕円曲線上の y座標の値 （yl) を計算する。 例えば、 モ ンゴメリ型楕円曲線は、 B yl²=xl³+Axl² + xlで表されるので、 これよ り y座標の値を求めることができる。 尚、 B Aはそれぞれ定数である。 暗号ィ匕 処理部 102は、 公開鍵 aQ及び Qの X座標、 y座標の値をスカラー倍計算部 1 03へ送る。 このとき、 暗号化処理部 1 02は乱数を生成し、 これをスカラー倍 計算部 103へ送る （3002) 。 スカラー倍計算部 103は、 Qの x座標、 y 座標の値、 乱数によるスカラー倍点 （xdl ydl) と、 公開鍵 a Qの X座標、 y 座標の値、 乱数によるスカラー倍点 （xd2 yd2) とを計算し （3003) 、 計 算されたスカラー倍点を暗号化処理部 102へ送る （3004) 。 暗号化処理部 102は、 送られたスカラー倍点を用いて、 暗号化処理を行う （3005) 。 例 えば、 モンゴメリ型の楕円曲線については、 次式により喑号ィ匕されたメッセージ xel xe2を得る。

xel=B ( (ydl-yl) I (xdl-xl) ) ²_A— xl—xdl …数 2

xe2= xd2 …娄女 3 暗号/復号処理装置 101は暗号/復号処理部 102で暗号化されたメッセージ を出力する。

次に、 図 32により暗号化されたメッセージを復号化する場合の動作について 説明する。

暗号 /復号処理部 1 02へ暗号化されたメッセージが入力されると （320 1) 、 暗号ィ匕されたメッセージのビット列によって表される数値を X座標にもつ 楕円曲線上の y座標の値を計算する。 ここで、 暗号ィ匕されたメッセージが xel xe2のビット列であり、 モンゴメリ型楕円曲線の場合、 y座標の値 （yel) は B yel² = xel +Axel² + xelから得られる。 尚、 B Aはそれぞれ定数であ る。 暗号 Z復号処理部 102は、 X座標、 y座標の値 （xel yel) をスカラー 倍計算部 103へ送る （3202) 。 スカラ一倍計算部 103は記憶部 120力、 ら秘密情報を読み出し （3203) X座標、 y座標の値、 秘密情報からスカラ 一倍点 （xd3 yd3) を計算し （3204) 、 計算されたスカラー倍点を暗号/ 復号処理部 1 02へ送る （3205) 。 暗号 Z復号処理部 102は、 送られたス カラー倍点を用いて、 復号ィ匕処理を行う （3206) 。 例えば、 暗号化されたメ ッセージが、 xel xe2のビット列であり、 モンゴメリ型の楕円曲線の場合は、 次式により x flを得る。

X f 1=B ( ( y e2+ y d3) / ( x e2- x d3) ) ²— A— x e2— x d3 …数 4

この x flは、 暗号化される前のメッセージ X 1に相当するものである。

復号処理部 1 0 2は復号ィ匕されたメッセージ xflを出力する （3 2 0 7 ) 以上のようにして、 暗号/復号処理部 1 0 2により暗号化、 または復号化処理 が行われる。

次に、 暗号化処理装置 1 0 1のスカラー倍計算部 1 0 3の処理について説明す る。 ここでは、 暗号化処理装置 1 0 1が、 復号ィ匕処理を行う場合を例に以下、 説 明する。

図 2は、 スカラー倍計算部 1 0 3の機能プロックを示したものである。 図 2 5 は、 スカラー倍計算部 1 0 3の動作を示したものである。

高速ス力ラ一倍計算部 2 0 2力 S、 秘密情報であるスカラ一値及び暗号化された メッセージと、 暗号化されたメッセージが X座標となる楕円曲線上の Y座標の値で ある楕円曲線上の点を受け取る （ステップ 2 5 0 1 ) と、 高速スカラー倍計算部 2 0 2は受け取ったスカラー値と楕円曲線上の点からスカラー倍点の座標の一部 の値を計算し （ステップ 2 5 0 2 ) 、 その情報を座標復元部 2 0 3に与える （ス テツプ 2 5 0 3 ) 。 座標復元部 2 0 3は与えられたスカラー倍点の情報及び入力 された楕円曲線上の点よりスカラ一倍点の座標の復元を行なう （ステップ 2 5 0 4 ) 。 スカラー倍計算部 1 0 3は完全に座標が与えられたスカラー倍点を計算結 果として出力する （ステップ 2 5 0 5 ) 。 ここで、 完全に座標が与えられたスカ ラー倍点とは、 y座標が計算されて出力されることを意味する （以下、 同じ。 ） 。 以下、 スカラー倍計算部 1 0 3の高速スカラー倍計算部 2 0 2、 座標復元部 2 0 3についていくつかの実施例を説明する。

第 1の実施例は、 スカラ一倍計算部 1 0 3がスカラー値 d及びモンゴメリ型楕 円曲線上の点 Pから、 モンゴメリ型楕円曲線におけるァフィン座標の点として完 全な座標が与えられたスカラー倍点 （x _d , y _d ) を計算し出力するものである。 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 1 0 3に入力 すると高速スカラー倍計算部 2 0 2がそれを受け取る。 高速スカラー倍計算部 2 0 2は受け取ったスカラー値 dと与えられたモンゴメリ型楕円曲線上の点 Pから リ型楕円曲線において射影座標で表されたスカラー倍点 dP=(X_d，Y_d, Z_d)の座標のうち X_d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点 (d+l)P=(X_{d + 1},Y_{d + 1},Z_{d+ 1}) の座標のうち X_{d + ]L}及び Z_{d +} iを計算し、 ァフ ィン座標で表された入力されたモンゴメリ型楕円曲線上の点 P=(x， y)と共にそ の情報を座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及ぴ yよりモンゴメリ型楕円曲線においてァフィ ン座標で表されたスカラ一倍点 dP= (x_d,y_d)の座標 X _d及び y _dの復元を行なう。 スカラー倍計算部 103はァフィン座標において完全に座標が与えられたスカラ 一倍点 (x_d，y_d)を計算結果として出力する。

次に図 11により、 座標 ₍₁,2₍₁， _{(1+ 1}，2_£1+1が与ぇられた場合に ₍₁, _£1 を出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X _d , Y _d， Z _d )の座標のうち X _d及ぴ Z _d、 射影座標で表されたモン ゴメリ型楕円曲線上の点（d+l)P=(X d +l d+l，^Zd+lノの J坐ネ¾のつつ X d + 1及 び Z_{d + 1}、 スカラー倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 P をァフィン座標で表した（x， y)を入力し、 以下の手順でァフィン座標おいて完全 な座標が与えられたスカラー倍点 (x_d,y_d)を出力する。 ここで入力されたモン ゴメリ型楕円曲線上の点 Pのァフィン座標を（x，y)で、 射影座標を (X Y Z で それぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線における スカラー倍点 dPのァフィン座標を（x_d，y_d)で、 射影座標を（X_d，Y_d,Z_d)でそれぞ れ表す。 モンゴメリ型楕円曲線上の点（d - 1) Pのァフィン座標 ¾r(x_d-i>y_d-i) で、 射影座標を (X_d一 Yd— ^Zd— でそれぞれ表す。 モンゴメリ型楕円曲線 上の点（d+l)Pのァフィン座標を（x_d + ， y _d + )で、 射影座標を（X_d + ， Y_d + ， Z_{d + 1})でそれぞれ表す。

ステップ 1 101において X_d Xxが計算され、 レジスタ に格納される。 ス テツプ 1 102において Ti_Z_dが計算される。 ここでレジスタ には X_dXが 格納されており、 したがって X_dx - Z_d が計算される。 その結果がレジスタ丁ェに 格納される。 ステップ 1 103において Z_dXxが計算され、 レジスタ T₂に格納 される。 ステップ 1 1 04において X_rt- Τ。が計算される。 ここでレジスタ T 2 には Z_dxが格納されており、 したがって X_d - xZ_dが計算される。 その結果がレジ スタ T ₂に格納される。 ステップ 1 105において X_{d + 1} XT ₂が計算される。 ここでレジスタ T ₂には) (_d - xZ_dが格納されており、 したがって; X_d+ i (X_d-xZ_d) が計算される。 その結果がレジスタ T₃に格納される。 ステップ 1 1 06におい て Τ₂の 2乗が計算される。 ここでレジスタ Τ₂には（X_d - xZ_d)が格納されてお り、 したがって (X_d- xZ_d) ²が計算される。 その結果がレジスタ T ₂に格納され る。 ステップ 1 1 07において T₂xX_{d+ 1}が計算される。 ここでレジスタ T ₂ には (X_d xZ_d) ²が格納されており、 したがって X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 1 08において T ₂xZ_d+ェ が計算される。 ここでレジスタ T ₂には X_{d + 1} (X_d- xZ_d) が格納されており、 した力 sつて Z_{d + 1}X_{d + 1} (X_d- xZ_d) ²が計算される。 その結果がレジスタ T ₂に格 内される。 ステップ 1 109において T₂Xyが計算される。 ここでレジスタ T₂には Z_{d + 1}X_{d + 1} (X_d-xZ_d) ²力格糸内されており、 した力 sつて _yz_{d + 1}x_d+ェ (X_d - xZ_d) "が計算される。 その結果がレジスタ T₂に格納される。 ステップ 1 1 10において Τ₂ΧΒが計算される。 ここでレジスタ Τ₂には yZ_{d+ 1}X_{d+ 1}

(X_d-xZ_d) ²が格納されており、 し がって ByZ_{d+ 1}X_{d + 1} (X_d-xZ_d) ²が計算さ れる。 その結果がレジスタ T ₂に格納される。 ステップ 1 1 1 1において τ₂χ Z_dが計算される。 ここでレジスタ T₂には ByZ_{d + 1}X_{d + 1} (X_d- xZ_d) ²が格納さ れており、 したがって ByZ_{d + 1}X_{d +} i (X_d- xZ_d) ²Z_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 1 1 1 2において T₂xX_dが計算される。 ここでレジスタ T₂には ByZ_{d+ 1}X_{d + !L} (X_d- xZ_d) ²Z_d力 S格納されており、 した 力 つて ByZd_{+ 1}X_{d+ 1} (X_d— xZ_d) ²Z_dX_d力 S計算される。 その結果がレジスタ T₄ に格納される。 ステップ 1 1 13において Τ ₂ xZ_dが計算される。 ここでレジス タ T₂には ByZ_{d + 1}X_{d + 1} (X_d— _XZ_d) ²Z_d力格糸内されており、 した力 Sつて

ByZ_{d + 1}Xd + i (X_d- xZ_d) Z_dカ計算される。 その結果がレジスタ T ₂に格納さ れる。 ステップ 1 1 14においてレジスタ T ₂の逆元が計算される。 ここでレジ スタ T₂には ByZ_{d + 1}X_{d + 1} (X_d-xZ_d) ²Z_d ²が格納されており、 したがって 1/ByZ _d +丄 X _d + (X _d - xZ _d ) Z _d ²が計算される。 その結果がレジスタ T ₂に格納 される。 ステップ 1115において T₂XT₄が計算される。 ここでレジスタ T₂には l/ByZ_{d + 1}X_{d+ 1} (X_d— xZ_d) ²Z_d ²カ レジスタ T ₄ こは ByZ_d+ iXd^^ェ (X_d-xZ_d) Z_dX_dがそれぞれ格納されており、 したがって（ByZ_{d + 1}X_{d + 1} (X_d- xZ_d) ²Z_dX_d)/(ByZ_{d+ 1}X_{d + 1} (X_d-xZ_d) ²Z_d ²) (=X_d/Z_d)が計算される。 その 結果がレジスタ X _dに格納される。 ステップ 1 1 1 6において が計 算される。 ここでレジスタ には X_dx - Z_dが格納されており、 したがって

Z_{d + 1} (X_dx - Z_d)が計算される。 その結果がレジスタ T₄に格納される。 ステツ プ 1 1 1 7においてレジスタ の 2乗が計算される。 ここでレジスタ には 0_dx - Z_d)が格納されており、 したがって (X_dx- Z_d) ²が計算される。 その結果が レジスタ に格納される。 ステップ 1 1 1 8において XT ₂が計算される。 ここでレジスタ T iには（X _d X- Z _d ) ²がレジスタ T ₂には 1/ByZ _{d + 1}X_{d+ 1} (X_d- xZ_d) カそれぞれ格糸内されており、 したカつて（X_dx— Z_d) ²/ByZ_{d+ 1}X_{d + 1} (X_d - xZ_d) ²Z_d ² が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 1 1 9において T₃+T₄が計算される。 ここでレジスタ Τ₃には X_{d + 1} (X_d - xZ_d) がレジスタ T₄には Z_{d + 1} (X_dx Z_d)がそれぞれ格納されており、 したが つて X_{d+ 1} (X_d- xZ_d)+Z_{d + 1} (X_dx—Z_d);^計算される。 その結果がレジスタ に格納される。 ステップ 1 1 2 0において T ₃- T₄が計算される。 ここでレジ スタ Τ₃には X_{d + 1} (X_d- xZ_d)がレジスタ Τ₄には Z_{d + 1} (X_dx- Z_d)がそれぞれ格 納されており、 したがって X_{d + 1} (X_d- xZ_d)- Z_{d + 1} (X_dx - Z_d)が計算される。 そ の結果がレジスタ T₃に格納される。 ステップ 1 1 2 1において ΧΤ₃が計 算される。 ここでレジスタ には X_{d + 1} (X_d - xZ_d)+Z_{d + 1} (X_dx- Z_d)がレジス タ T₃には X_{d + 1} (X_d-xZ_d)-Z_{d + 1} (X_dx- Z_d)がそれぞれ格納されており、 した 力 Sつて {X_{d + 1} (X_d - xZ_d)+Z_{d + 1} (X_dx - Z_d)} {X_{d + 1} (X_d - xZ_d) - Z_{d + 1} (X_dx - Z_d)} が計算される。 その結果がレジスタ T に格納される。 ステップ 1 1 2 2におい て XT₂が計算される。 ここでレジスタ には {X_{d+ 1} (X_d-xZ_d)+Z_{d + 1} (X_dx-Z_d)} {X_{d+ 1} (X_d - xZ_d)— Z_{d +} i (X_dx- Z_d)}がレジスタ T₂には (X_dx- Z_d) ²

/ByZ_{d + 1}X_{d + 1} (X_d-xZ_d) ²Z_d ²がそれぞれ格納されており、 したがって

{X^{X_d- ) + Z_d+1 (X_dx一 Z_d)}{X_d+l (X_d -xZ_d)- Z_d+l {X_dx― Z_d )}(X_dx -Z_df

ByZ_MX_M{X_d-xZ_dfZ

■■■ 数 5 が計算される。 その結果が y _dに格納される。 x _dにはステップ 1 1 1 5におい T(ByZ_{d + 1}X_{d + 1} (X_d-xZ_d) ² Z_dX_d)/(ByZ_{d+ 1}X_{d + 1} (X_d-xZ_d) ² X_d ²)が格 納され、 その後更新が行なわれないので、 その値が保持されている。

上記手順により座標復元部 2 0 3へ与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + ]L}からモンゴメリ型楕円曲線におけるスカラー倍点のァフィン座標（x _d， y _d)における値が全て復元される理由は以下の通りである。 尚、 点（d+l)Pは点 dPに点 Pを加算した点であり、 点（d - 1)Pは点 dPから点 Pを減算した点である。 モン ゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 次の式を得る。 (A + x + x_d+ x_d+l)(x_d - x)² = B(y_d - y)² … 数 6

(A + x + x_d + x_d__x )(x_d - x)² = B(y_d + yf ··· 数 7

両辺を各々減算することにより、

(¾-ι一 χ_Μ )(¾― x)^z = ^By_dy … 数 8

を得る。 したがって、

y_d = (x_d-i― ^x _d+i)(^xd― x)²/4By … 数 9

となる。 ここで X d=Xd/Zd、 ^x d+l⁼⁼Xd + l/Zd + l、 x d- 1 ^=Xd- l/ z _d一 iであり、 この値を代入することにより射影座標の値へと変換すると、 次の 式を得る。

y_d = ( — A₊₁ -Z_d_,X_d+l)(X_d -Z_dxf l ByZ_d__xZ_MZ_d … 数 1 0

モンゴメリ型楕円曲線の射影座標での加算公式は

X_m+n = Z_m_„[(X_m -Z_a)(X„ +Z_n) + (X_m +Z_m)(X„ -Z„) … 数 1 1

Z_m+n = X -2_m){X_n +Z_n)-(X_m +Z_mXX„ -Z_n) - 数 1 2 である。 ここで X_m及び Z_mはモンゴメ リ型楕円曲線上の点 Pの m倍点 mPの射影座 標における X座標及び Z座標、 X_n及び Z_nはモンゴメリ型楕円曲線上の点 Pの n倍 点 nPの射影座標における X座標及ぴ Z座標、 X_m— _n及び Z_m— _nはモンゴメリ型楕円 曲線上の点 Pの (m- n)倍点 (m-n) Pの射影座標における X座標及ぴ Z座標、 X_{m+ n}及び Z_{m+ n}はモンゴメリ型楕円曲線上の点 Pの (m+n)倍点 (m+n) Pの射影座標における X 座標及ぴ Z座標であり、 m， nは m>nをみたす正整数である。 この式は X_m/ Z_m= x_m、 X_n/Z_n=x _n、 X_m—_n/Z_m一 _n= x_m— _nが不変のとき、 X_{m+ n}/Z_{m+ n} = x_m+nも不変となるので、 射影座標での公式としてうまく働いている。 他方、 X" = [{X_m一 Z_m ){X„ +Z„) + (X_m + Z_m )(X_n -Z„) …数 1 3

- ) ( +Z_n)-(X_m +Z_m)(X_n -Z_n)f …数 1 4

とおくと、 この式で X_m/Z_m=x_m、 X_n/Z_n=x _n、 X_m+n/Z_{m+ n}=x_{m+ n}が不 変のとき、 X， _m—_n/Z'_m—_nも不変となる。 また、 X'_m— _n/Z'_m— _n=X_m—_n/ Z_m— _nをみたすので、 x_m__nの射影座標として X'^— _n，Z，_m— _nをとつてよい。 m=d、 n=lとして上記公式を用いて y _dの式より X_d— i及ぴ Zd— iを消去し、 丄- 丄 丄とおくことにより、 次の式を得る。

( ⁱd^X~^d) ^{+ s}-d+l、 一 ^X^d ー {X_d - ΧΖ_α X_ 2

ByZ_MX_M{X_d-xZ_dfZ]

…数 1 5

X d=Xd/Zdであるが、 逆元演算の回数を減らす目的で y _dの分母と通分するこ とにより、

„ …来 i 6

となる。 ここで、 x_d， y_dは図 1 1の処理により与えられている。 したがって、 ァフィン座標 (x_d,y_d)の値が全て復元されていることになる。

上記手順はステップ 1 1 01、 ステップ 1 1 03、 ステップ 1 1 0 5、 ステツ プ 1 1 07、 ステップ 1 1 08、 ステップ 1 1 09、 ステップ 1 1 1 0、 ステツ プ 1 1 1 1、 ステップ 1 1 1 2、 ステップ 1 1 1 3、 ステップ 1 1 1 5、 ステツ プ 1 1 1 6、 ステップ 1 1 1 8、 ステップ 1 1 2 1及びステップ 1 1 2 2におレヽ て有限体上の乗算の計算量を必要とする。 また、 ステップ 1 1 06及びステップ 1 1 1 7において有限体上の 2乗算の計算量を必要とする。 また、 ステップ 1 1 14において有限体上の逆元演算の計算量を必要とする。 有限体上の加算及ぴ減 算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及び逆元演算の計算量 と比べて比較的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限 体上の 2乗算の計算量を S及び有限体上の逆元演算の計算量を Iとすると、 上記 手順は 1 5M+ 2 S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計 算量と比べてはるかに小さい。 例えばスカラー値 dが 160ビットであれば、 高 速スカラー倍計算の計算量はおおよそ 1500M弱と見積もられる。 S = 0. 8 M、 I =40Mと仮定すると座標復元の計算量は 56. 6 Mであり、 高速スカラ 一倍計算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元でき ていることが示された。 .

尚、 上記手順をとらなくても、 上記計算式により与えられた x _d, y _dの値が 計算できれば _{x d}， y _dの値が復元できる。 その場合においては一般的に復元に 必要となる計算量が増大する。 また、 楕円曲線のパラメータである Bの値を小さ くとることにより、 ステップ 1 1 10における乗算の計算量を削減することがで きる。

次に図 4により、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d,X_{d + 1}，Z_{d + 1}を出力する高速ス力ラ一倍計算部の処理を説明する。

高速スカラー倍計算部 202では、 スカラー倍計算部 103に入力されたモン ゴメリ型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕円曲線に おいて射影座標で表されたスカラー倍点 dP=(X_d,Y_d，Z_d)のうち X_d及び Z_d、 射 影座標で表されたモンゴメリ型楕円曲線上の点（d+1) P= (X_{d + 1},Y_{d + 1},Z_{d+ 1}) のうち Xd + i及ぴ Z_{d + 1}を出力する。 ステップ 401として、 変数 Iに初期値 1 を代入する。 ステップ 402として、 点 Pの 2倍点 2Pを計算する。 ここで点 Pは 射影座標において（x， y，l)として表し、 モンゴメリ型楕円曲線の射影座標にお ける 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 403として、 スカラ 一倍計算部 1 03に入力された楕円曲線上の点 Pとステップ 402で求めた点 2P を、 点の組 (P,2P)として格納する。 ここで点 P及び点 2Pは射影座標で表されてい る。 ステップ 404として、 変数 Iとスカラー値 dのビット長とが一致するかど うかを判定し、 一致すればステップ 413へ行く。 一致しなければステップ 40 5へ行く。 ステップ 405として、 変数 Iを 1増加させる。 ステップ 406とし て、 スカラー値の I番目のビットの値が 0であるか 1であるかを判定する。 その ビットの値が 0であればステップ 407へ行く。 そのビットの値が 1であればス テツプ 410へ行く。 ステップ 407として、 射影座標により表された点の組 (raP, (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行ない、 点（2m+l) Pを計算す る。 その後ステップ 408へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕 円曲線の射影座標における加算公式を用いて計算される。 ステップ 408として、 射影座標により表された点の組 (mP， (m+l)P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 409へ行く。 ここで、 2倍算 2(mP)は、 モン ゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ステツ プ 409として、 ステップ 408で求めた点 2mPとステップ 407で求めた点 (2m+ 1 )Pを点の組 (2mP, (2m+ 1 )P)として、 点の組 (mP, (m+ 1 )P)の代わりに格納 する。 その後ステップ 404へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及び 点（m+l)Pは全て射影座標において表されている。 ステップ 410として、 射影 座標により表された点の組 (mP, (m+ 1 ) P)から点 mPと点 (m+ 1 ) Pの加算 mP+ (ra+l)P を行ない、 点 (2m+l)Pを計算する。 その後ステップ 41 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算 される。 ステップ 411として、 射影座標により表された点の組 (mP，（m+l)P)か ら点(111+1)?の2倍算2((111+1)?)を行なぃ、 点（2m+2)Pを計算する。 その後ステツ プ 412へ行く。 ここで、 2倍算 2 ((m+l)P)は、 モンゴメリ型楕円曲線の射影座 標における 2倍算の公式を用いて計算される。 ステップ 41 2として、 ステップ 4 1 0で求めた点（2m+l )Pとステップ 4 1 1で求めた点（2m+2) Pを点の組 ((2m+l)P, (2ra+2)P)として、 点の組 (mP, (m+1) P)の代わりに格納する。 その後ステ ップ 404へ戻る。 ここで、 点（2m+l)P、 点（2m+2)P、 点 mP及ぴ点 (m+1) Pは全て射 影座標において表されている。 ステップ 41 3として、 射影座標で表された点の 組 (mP， (m+ 1 ) P)から、 射影座標で表された点 mP= (X_m, Y_m， Z_m)より X_m及び Z_mを それぞれ X _d及ぴ Z _dとして、 射影座標で表された点 (m+1) P= (X_m+！ , Y_m+ ! ,

Z_{m+ 1})より X_{m+ 1}及び Z_{m+ 1}をそれぞれ X_{d + 1}及び Z_{d + 1}として、 出力する。 こ こで、 Y_m及び Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及 ぴ 2倍算の公式では Y座標を求める事ができないので、 求まっていない。 また上 記手順により、 mとスカラ一値 dはビット長が等しくさらにそのビットのパタ一 ンも同じとなる為、 等しくなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 = 1とと ることにより 3M+2 Sとなる。 ここで Μは有限体上の乗算の計算量、 Sは有限 体上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算 の公式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0で あれば、 ステップ 407において加算の計算量、 ステップ 408において 2倍算 の計算量が必要となる。 すなわち 6M+ 4 Sの計算量が必要となる。 スカラー値 の I番目のビットの値が 1であれば、 ステップ 410において加算の計算量、 ス テツプ 41 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの計算 量が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要である。 ス テツプ 404、 ステップ 405、 ステップ 406、 ステップ 407、 ステップ 4 08、 ステップ 409乃至はステップ 404、 ステップ 405、 ステップ 406、 ステップ 410、 ステップ 411、 ステップ 41 2の繰り返しの回数は、 （スカ ラー値 dのビット長） 一 1回となるので、 ステップ 402での 2倍算の計算量を 考慮に入れると、 全体の計算量は （6M+4 S) (k— 1) +3M+2 Sとなる。 ここで kはスカラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8 M程度と見積もられるので、 全体の計算量はおおよそ （9. 2 k— 4. 6) M となる。 例えばスカラー値 dが 160ビット （k= 160) であれば、 上記手順 のアルゴリズムの計算量はおおよそ 1467Mとなる。 スカラー値 dのビットぁ たりの計算量としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H.Cohen, ： Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51- 65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用い てヤコビアン座標を中心とした混合座標系を用いたスカラー倍計算方法は高速な スカラー倍計算方法として記載されている。 この場合においては、 スカラー値の ビットあたりの計算量はおおよそ 1 0Mと見積もられる。 例えばスカラー値 dが 1 60ビット （k = 160) であれば、 このスカラー倍計算方法の計算量はおお よそ 1600Mとなる。 したがって、 上記手順のアルゴリズムの方が計算量が少 なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d, Y_d， X_{d + 1}, Z_{d + 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用 いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 1 5M+ 2 S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー 倍計算に必要な計算量の （9. 2 k— 4. 6) Mとに比べてはるかに小さい。 し たがって、 スカラー倍計算部 1 03のスカラー倍計算に必要な計算量は、 高速ス カラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 1 =4 OM、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 52) M と見積もることができる。 例えばスカラー値 dが 1 60ビット （k = 1 60) で あれば、 このスカラー倍計算に必要な計算量は 1 524Mとなる。 楕円曲線とし てワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座 標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点 をァフィン座標として出力する場合に必要となる計算量はおおよそ 1640Mで あり、 これと比べて必要となる計算量は削減されている。

第 2の実施例は、 スカラ一倍計算部 103がスカラ一値 d及びモンゴメ リ型楕 円曲線上の点 Pから、 モンゴメリ型楕円曲線における射影座標の点として完全な 座標が与えられたスカラ一倍点 (X _d， Y _d , z _d )を計算し出力するものである。 スカ ラー値 d及ぴモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 1 03に入力する と高速スカラー倍計算部 202がそれを受け取る。 高速スカラー倍計算部 202 は受け取ったスカラ一値 dと与えられたモンゴメ リ型楕円曲線上の点 Pからモンゴ メリ型楕円曲線において射影座標で表されたスカラー倍点 dP=(X_d，Y_d,Z_d)の座 標のうち x_d及び z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+l)P= (_{1+ :1}^_{(1+ 1}，2_{(1+ :1})の座標のぅち ₍₁+1及ぴ2_£1_{+ 1}を計算し、 ァフィン座標 で表された入力されたモンゴメリ型楕円曲線上の点 P=(x, y)と共にその情報を座 標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及び yよりモンゴメリ型楕円曲線において射影座標で表された スカラー倍点 dP=(X_d,Y_d，Z_d)の座標 X_d,Y_d及び z_dの復元を行なう。 スカラー 倍計算部 103は射影座標において完全に座標が与えられたスカラー倍点 (X_d, Y_d， Z_d)を計算結果として出力する。

次に図 9により、 座標 x、 y X_d、 Z_d、 X_d+1、 Z_{d + 1}が与えられた場合に X_d、 Y_d、 Z_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち X _d及び Z _d、 射影座標で表されたモン ゴメリ型楕円曲線上の点（(1+1)?=½_{(1+ 1}，¥_{(1+ 1},2_{(1+ 1})の座標のぅち _{(1 +} 1及 ぴ Z_{d + 1}、 スカラー倍計算部 1 03に入力されたモンゴメリ型楕円曲線上の点 P をァフィン座標で表した（X, y)を入力し、 以下の手順で射影座標おいて完全な座 標が与えられたスカラ一倍点 (X_d,Y_d,Z_d)を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（x，y)で、 射影座標を (X Y^Z でそ れぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線におけるス カラ一倍点 dPのァフィン座標を（X _d， y _d )で、 射影座標を（X _d , Y _d， Z _d )でそれぞれ 表す。 モンゴメリ型楕円曲線上の点（d- 1)Pのァフィン座標を（x_d— — で、 射影座標を (X_d一 ^Yd— 一 でそれぞれ表す。 モンゴメリ型楕円曲線上の 点（d+l)Pのァフィン座標を（x_d + ， y _d +丄）で、 射影座標を（X_d + 1 , Y_d + ， Z_{d + 1})でそれぞれ表す。

ステップ 901において X_d Xxが計算され、 レジスタ に格納される。 ステ ップ 902において Ti— Z_dが計算される。 ここでレジスタ には X_dxが格納 されており、 したがって X_dx— Z_dが計算される。 その結果がレジスタ に格納 される。 ステップ 903において Z_d Xxが計算され、 レジスタ T ₂に格納される。 ステップ 904において X_d_T ₂が計算される。 ここでレジスタ T₂には Z_dxが 格納されており、 したがって X_d— xZ_dが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 905において Z_{d+ 1} XT が計算される。 ここでレジス タ T！には X_dx— Z_dが格納されており、 したがって Z_d+丄（X_dx— Z_d)が計算され る。 その結果がレジスタ T ₃に格納される。 ステップ 906において X_{d + 1} X T ₂が計算される。 ここでレジスタ T ₂には X_d— xZ_dが格納されており、 したが つて X_{d+ 1} (X_d— xZ_d)カ計算される。 その結果がレジスタ T ₄に格納される。 ス テツプ 907において Τ の 2乗が計算される。 ここでレジスタ には X_dx— Z_dが格納されており、 したがって（X_dx— Z_d) ²が計算される。 その結果がレジ スタ に格納される。 ステップ 908において Τ₂の 2乗が計算される。 ここ でレジスタ Τ ₂には X _d— xZ _dが格納されており、 したがって（X _d— xZ _d ) ²が計算 される。 その結果がレジスタ T ₂に格納される。 ステップ 909において T₂x Z_dが計算される。 ここでレジスタ T₂には（X_d— xZ_d) ^Λが格納されており、 した がって Z_d (X_d— xZ_d) ²が計算される。 その結果がレジスタ T₂に格納される。 ステップ 91 0において T₂xX_{d + 1}が計算される。 ここでレジスタ T₂には Z_d (X_d— xZ_d) カ格糸内されており、 した力 Sつて X_{d + 1}Z_d(X_d— xZ_d) ²カ計算さ れる。 その結果がレジスタ T ₂に格納される。 ステップ 91 1において T₂x z_{d + ]L}力 s計算される。 ここでレジスタ T₂に X_{d + :L}Z_d(X_d— xZ_d) ²が格納されて おり、 したがって Z_{d+ 1}X_{d+ 1}Z_d(X_d— xZ_d) ²が計算される。 その結果がレジス タ T₂に格納される。 ステップ 91 2において Τ ₂ Xyが計算される。 ここでレ ジスタ T₂には Z_{d + 1}X_{d + 1}Z_d (X_d_xZ_d) ²力 S格糸内されており、 したがって yZ_{d + 1}X_{d + 1}Z_d(X_d-xZ_d) ²が計算される。 その結果がレジスタ T ₂に格納さ れる。 ステップ 91 3において T₂ XBが計算される。 ここでレジスタ Τ₂には yZ_{d + 1}X_{d + 1}Z_d (X_d-xZ_d) ²力格糸内されており、 したカ って82_{(1+ 1 (1+ 1}2₍₁ (X_d-xZ_d) ²が計算される。 その結果がレジスタ T₂に格納される。 ステップ 9 14において T₂xX_dが計算される。 ここでレジスタ T₂には ByZ_{d+ 1}X_{d + 1}Z_d (X_d— xZ_d) カ格糸内されており、 した;^つて ByZ_{d + 1}X_{d + 1}Z_d (X_d— xZ_d) ²X_d が計算される。 その結果が X_dに格納される。 ステップ 91 5において T₂xZ_dが 計算される。 ここでレジスタ T₂には ByZ_{d + 1}X_{d + 1}Z_d(X_d— xZ_d) ²が格納され ており、 した力 Sつて ByZ_{d +} iX_{d+ 1}Z_d(Xd— _XZ_d) Z_d力 S計算される。 その結果 がレジスタ Z_dに格納される。 ステップ 916において T₃ + T₄が計算される。 ここでレジスタ Τ₃には Z_{d+ 1} (X_dx— Z_d)がレジスタ T₄には X_{d + 1} (X_d-xZ_d) が格納されており、 した力 Sつて Z_{d+ 1} (X_dx— Z_d)+X_{d + 1} (X_d— xZ_d)力 S計算され る。 その結果がレジスタ T₂に格納される。 ステップ 91 7において Τ₃— Τ₄ が計算される。 ここでレジスタ Τ₃には Z_{d + 1} (X_dx— Z_d)がレジスタ Τ₄には X_{d+ 1} (X_d— xZ_d)力 S格糸内されており、 した力 Sつて Z_{d + 1} (X_dx— Z_d)— X_{d + 1}

(X_d— xZ_d)が計算される。 その結果がレジスタ T₃に格納される。 ステップ 91 8において ΧΤ₂が計算される。 ここでレジスタ には（X_dx— Z_d) ²がレ ジスタ T₂には Z_{d + ]L} (X_dx— Z_d)+X_{d +} i (X_d— xZ_d)が格納されており、 したが つて {Z_{d + 1} (X_dx— Z_d)+X_{d +} i (X_d— xZ_d)}(X_dX— Z_d) ²が計算される。 その結 果がレジスタ に格納される。 ステップ 91 9において T^xTgが計算される _c ここでレジスタ Tiには {Z_{d +} i (X_dx— Z_d)+X_{d + ;L} (X_d—xZ_d)}(X_dx— Z_d) ²が レジスタ T₃には Z_{d +} i (X_dx— Z_d)—X_{d+ 1} (X_d— xZ_d)が格納されており、 した 力 Sつて {Z_{d+ 1} (X_dx— Z_d)+X_{d + 1} (X_d— xZ_d)} {Z_{d + 1} (X_dx— Z_d) - X_{d + 1} (X_d— xZ_d)}(X_dx— Z_d) ²が計算される。 その結果がレジスタ Y_dに格納される。 したがってレジスタ Y_dには {Z_d+i (X_dx— Z_d)+X_{d +} i (X_d— xZ_d)}{Z_{d + :L} (X_dx-Z_d)-X_{d + 1} (X_d-xZ_d)} (X_dx-Z_d) ²が格納されている。 レジスタ X_dに はステップ 914において ByZ_{d + 1}X_{d+ 1}Z_{d + 1} (X_d-xZ_d) ²X_d力格糸内され、 そ の後更新が行われないので、 その値が保持されている。 レジスタ Z_dにはステツ プ 91 5におレヽて By Z_{d + 1}X_{d+ 1}Z_{d + 1} (X_d— xZ_d) ²Z_d力 S格糸内され、 その後更 新が行われないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からスカラー倍点 の射影座標 (X _d , Y _d， Z _d )における値が全て復元される理由は以下の通りである。 点（d+1) Pは点 dPに点 Pを加算した点であり、 点（d - 1) Pは点 dPから点 Pを減算した点 である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 次の数 6、 数 7を得る。 両辺を各々減算することにより、 数 8を得る。 したがつ て、 数 9となる。 ここで x_d=X_d/Z_d、 X _{d +} i=X_{d + :L}/Z_{d+ ]L}、 x _d_! = X _d— i /Z _d _ iであり、 この値を代入することにより射影座標の値へと変換する と、 数 10を得る。

モンゴメリ型楕円曲線の射影座標での加算公式は数 1 1、 数 12である。 ここ で X_m及び Z_mはモンゴメリ型楕円曲線上の点 Pの m倍点 mPの射影座標における X座 標及び Z座標、 X_n及び Z_nはモンゴメリ型楕円曲線上の点 Pの n倍点 nPの射影座標 における X座標及び Z座標、 X_m— _n及び Z_m__nはモンゴメリ型楕円曲線上の点 Pの (m-n)倍点 (m_n) Pの射影座標における X座標及び Z座標、 X_m + _n及ぴ Z_m + _nはモン ゴメリ型楕円曲線上の点 Pの (m+n)倍点 (m+n) Pの射影座標における X座標及ぴ Z座標 であり、 m, nは m〉nをみたす正整数である。 この式は X_m/Z_m= x _m、 X_n/

Z_n = x_n、 X_m— _n/Z_m—_n = x_m— _nが不変のとき、 X_m+n/Z_m+n=x_m+nも不 変となるので、 射影座標での公式としてうまく働いている。 他方、 数 14、 数 1 5とおくと、 この式で X_m/Z_m=x_m、 X_n/Z_n = x _n、 X_m+n/Z_m+n= x_m+nカ 不変のとき、 x'_m—_n/z'_m— _nも不変となる。 また、 x'_m— _n/z，_m—_n=x_m— _n/ z_m— _n= x_m— _nをみたすので、 x_m— _nの射影座標として x，_m— _n,z，_m— _nをとつ てよい。 m=d、 n=lとして上記公式を用いて y _dの式より X_d— 及び Z_d— を消 去し、 Xi^x'Z^L-lとおくことにより、 数 1 5を得る。 X _d=X_d/Z_dであるが、 y _dの分母と通分することにより、 数 1 6となる。

その結果として、

¾ = {Z_M ~Z_d) + X_d+1 (X_d - Z_d)}{Z_M (X_dx -Z_d)- X_d+l (X_d - xZ_d)}{X_dx - Z_d)²

…数 1 7 とし、 x_d及び z_dをそれぞれ

ByZ_d+lX_d+1Z_d(X_d-xZ_d)²X_d …数 1 8

ByZ_d+lX_d+lZ_d(X_d-xZ_d)²Z_d …数 1 9

により更新すればよい。 ここで、 X_d， Y_d, Z_dは図 9の処理により与えられてい る。 したがって、 射影座標 (X_d，Y_d，Z_d)の値が全て復元されていることになる。 上記手順はステップ 9 0 1、 ステップ 9 0 3、 ステップ 9 05、 ステップ 9 0 6、 ステップ 90 9、 ステップ 9 1 0、 ステップ 9 1 1、 ステップ 9 1 2、 ステ ップ 9 1 3、 ステップ 9 1 4、 ステップ 9 1 5、 ステップ 9 1 8及ぴステップ 9 1 9において有限体上の乗算の計算量を必要とする。 また、 ステップ 9 0 7及び ステップ 908において有限体上の 2乗算の計算量を必要とする。 有限体上の加 算及ぴ減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較 的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算 の計算量を Sとすると、 上記手順は 1 3M+ 2 Sの計算量を必要とする。 これは 高速スカラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 6 0ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 5 0 0M弱と見 積もられる。 S== 0. 8 Mと仮定すると座標復元の計算量は 1 4. 6Mであり、 高速ス力ラ一倍計算の計算量と比べてはるかに小さい。 したがつて効率的に座標 を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d、 Y_d、 z_dの値 が計算できれば X_d、 Υ_ά、 Z_dの値が復元できる。 また、 _Xd、 y_dが上記計算式に より与えられる値を取るように X_d、 Y_d、 z_dの値を選択し、 その値が計算できれ ば X_d、 Y_d、 z_dが復元できる。 それらの場合においては一般的に復元に必要とな る計算量が増大する。 また、 楕円曲線のパラメタである Bの値を小さくとること により、 ステップ 913における乗算の計算量を削減することができる。

次に、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d， X_{d + 1}, Z_{d + 1}を出力するァルゴリズムについて説明する。

第 2実施例の高速スカラー倍計算部 202の髙速ス力ラー倍計算方法として、 第 1実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及び モンゴメリ型楕円曲線上の点 Pから、 x_d， Z_d， X_{d + 1}, Z_{d + 1}を出力するァルゴ リズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラー倍計算 部 202において上記アルゴリズムを用いなくても、 スカラー値 d及びモンゴメ リ型楕円曲線上の点 Pから、 X_d, Z_d, X_d+1, Z_{d +} iを出力するアルゴリズムで あり且つ高速であれば、 他のア^^ゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 13M+2Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2k— 4. 6) Mとに比べてはるかに小さい。 したが つて、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラ 一倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8 Mと仮定すると、 この計算量はおおよそ （9. 2 k + 10) Mと見積もることが できる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 このスカ ラー倍計算に必要な計算量は 1482Mとなる。 楕円曲線としてワイエルシュト ラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心とした混 合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビアン座標 として出力する場合に必要となる計算量はおおよそ 1600Mであり、 これと比 ベて必要となる計算量は削減されている。

第 3の実施例は、 スカラー倍計算部 1 03がスカラー値 d及ぴモンゴメリ型楕 円曲線上の点 Pから、 モンゴメリ型楕円曲線におけるァフィン座標の点として完 全な座標が与えられたスカラー倍点（x_d，y_d)を計算し出力するものである。 ス カラー値 d及ぴモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 103に入力す ると高速スカラー倍計算部 202がそれを受け取る。 高速スカラー倍計算部 20 2は受け取ったスカラ一値 dと与えられたモンゴメリ型楕円曲線上の点 Pからモン ゴメリ型楕円曲線において射影座標で表されたスカラ一倍点 dP= (X _d， Y _d， Z _d )の 座標のうち X_d及ぴ Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+1) P= (X_d + 1 , Yd + 1， Zd+ 1 )の座ネ¾のつち ^Λά + 1及ぴ z_{d + 1}、 射影座標で表された モンゴメリ型楕円曲線上の点（d— 1) P= (X _d— i， Y_d一 i , Z _d _ i )の座標のうち

X_d_!及び Z _d— を計算し、 ァフィン座標で表された入力されたモンゴメリ型楕 円曲線上の点 P=(x,y)と共にその情報を座標復元部 203に与える。 座標復元部 203は与えられた座標の値値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 _d_!, Z_d__{l s} x 及び yよりモンゴメリ型楕円曲線においてァフィン座標で表されたスカラー倍点 dP=(x_d,y_d)の座標 x_d及ぴ y _dの復元を行なう。 スカラー倍計算部 1 03はァ フィン座標において完全に座標が与えられたスカラー倍点（x_d,y_d)を計算結果 として出力する。

次に図 1 2ίこより、 座標 x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d_!, Z_d—ェカ 与えられた場合に x_d、 y_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標うち X _d及ぴ Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（₍1_{+ 1})?=(乂_{£1+ 1},¥₍：1_{+ 1},2_{(1+ 1})の座標のぅち _{(1+ :1}及 ぴ Z_{d + 1}、 射影座標で表されたモンゴメリ型楕円曲線上の点（d- l)P=(X_d—

Y_d— Zd—i)の座標のうち X_d— 及び Z_d—い スカラー倍計算部 103に入力 されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表した（x， y)を入力し、 以 下の手順でァフィン座標おいて完全な座標が与えられたスカラ一倍点（X _d , y _d ) を出力する。 ここで入力されたモンゴメリ型楕円曲線上の点 Pのァフィン座標を

(x,y)で、 射影座標を でそれぞれ表す。 入力されたスカラー値を dと してモンゴメリ型楕円曲線におけるスカラー倍点 dPのァフィン座標を（x_d，y_d) で、 射影座標を _d,Y_d,z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上の点

(d- 1)Pのァフィン座標を (x_d— ^yd— で、 射影座標を (X_d— i'Yd— Zd— でそれぞれ表す。 モンゴメリ型楕円曲線上の点（d+1) Pのァフィン座標を

(Xd+1'Yd + l)で、 射影座標を + ^ + + でそれぞれ表す。 ステップ 1 201において乂₍₁— ₁ ∑_{(1+ 1}カ計算され、 レジスタ T丄に格納さ れる。 ステップ 1 202において Zd—iXXa + が計算され、 レジスタ T₂に格 納される。 ステップ 1203において 一 Τ₂が計算される。 ここでレジスタ Τェには X _d _ュ Z _d + 力《レジスタ Τ ₂には Z _d— X _d + がそれぞれ格納されてお り、 したがって X_d— iZd + j- Z_d— iXd+iが計算される。 その結果がレジスタ に格納される。 ステップ 1 204において Z_d Χχが計算され、 レジスタ T₂ に格納される。 ステップ 1 205において X_d - Τ₂が計算さる。 ここでレジスタ 丁₂には2 が格納されてぉり、 したがって X_d-xZ_dが計算される。 その結果が レジスタ T₂に格納される。 ステップ 1 206において Τ₂の 2乗が計算される。 ここでレジスタ Τ₂には X_d- xZ_dが格納されており、 したがって（X_d-xZ_d) が計 算される。 その結果がレジスタ Τ ₂に格納される。 ステップ 1 207において

Τ ₁ ΧΤ₂が計算される。 ここでレジスタ には X_d— ]^3+2-23一 iXd+ iが レジスタ T 2には (X _d - χζ _d ) ²がそれぞれ格納されており、 したがって（X _d _ xZ_d) ²(X_d一 iZ_{d + 1}— Z_d一 iX_{d + 1})力 S計算される。 その結果がレジスタ に格 納される。 ステップ 1208において 4 Β X yが計算される。 その結果がレジ スタ T ₂に格納される。 ステップ 1 209にぉぃて丁₂ 2₍₁₊₁が計算される。 ここでレジスタ T ₂には 4Byが格納されており、 したがって 4ByZ _d + ₁が計算され る。 その結果がレジスタ T ₂に格納される。 ステップ 1210において T₂X Z_d— が計算される。 ここでレジスタ T ₂には 4ByZ_{d + 1}が格納されており、 し たがって 4ByZ_d— ^a+ が計算される。 その結果がレジスタ T₂に格納される。 ステップ 1211において T₂ XZ_dが計算される。 ここでレジスタ T ₂には 4ByZ_d+1Z_d—丄カ格糸内されており、 した力 Sつて 4ByZ_{d + 1}Z_d一 カ計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 212において T₂XX_dが計 算される。 ここでレジスタ T₂には 4ByZ_d— iZd+iZaが格納されており、 した 力 Sつて 4ByZ_{d + 1}Z_d— iZdXd力 S計算される。 その結果がレジスタ T ₃に格納され る。 ステップ 1213において Τ₂ΧΖ_άが計算される。 ここでレジスタ T。には 4ByZ_{d + 1}Z_d一 力格糸内されており、 したカ つて 4ByZ_{d+ 1}Z_d— iZdZd力 S計算 される。 その結果がレジスタ T ₂に格納される。 ステップ 1 2 14においてレジ スタ T ₂の逆元が計算される。 ここでレジスタ T₂には 4ByZ_{d + 1}Z_d— iZaZdが 格納されており、 したがって l/4ByZ_{d + 1}Z_d— ₁Z_dZ_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 1 2 1 5において T ₂ XT₃が計算される。 ここでレジスタ Τ ₂には l/4ByZ_{d + 1}Z_d— ^dZdがレジスタ Τ ₃には⁴ ByZ_{d + 1} ^zd-i^zd^xd がそれぞれ格納されており、 したがって（4By2d + iZ_d一 iZ_d X_d)バ AByZd + ^d— ^dZd)が計算される。 その結果がレジスタ x _dに格納され る。 ステップ 1 2 1 6において T丄 XT ₂が計算される。 ここでレジスタ T iに は（X_d— xZ_d （X d— l^Zd+l— ^Zd— l^Xd+l)刀 レンスタ 2こ【 ¹/ 4ByZ _{d + 1}

^Zd— l^Zd^Zdカそれぞれ格糸内されており、 したカ って <1ー1²3 + 1—2₍1— 1

X_{d + 1}) (X_d-Z_dx) ²/4ByZ_d_₁Z_{d + 1}Z_d が計算される。 その結果がレジスタ y_d に格納される。 したがってレジスタ y_dには (Xd— ^d + - Z_d— （X_d - Z_dx) ²/4ByZ_d—

+ Zd ²カ格納されている。 レジスタ x_dにはステップ 1 2 1 5におレヽて（4ByZ_{d + 1}Z_d一 ₁Z_dX_d)/(4ByZ_{d + 1}Z_d— jZdZd)力 S格納され、 そ の後更新が行なわれないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d一い

Z_d— からモンゴメリ型楕円曲線におけるスカラー倍点のァフィン座標（x _d, y _d)における値が全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに 点 Pを加算した点であり、 点（ _d— ) Pは点 dPから点 Pを減算した点である。

モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 6、 数 7を得る。 両辺を各々減算することにより、 数 8を得る。 したがって、 数 9と なる。 ここで _X

— i/^zd— l であり、 この値を代入することにより射影座標の値へと変換すると、 数 1 0を得 る。

X

である力 ^S、 逆元演算の回数を減らす目的で y dの分母と通分する ことにより、 = 1 ー 1ム …数 2 0

AByZ_MZ_d__xZ_dZ_d となる。 この x_d， y_dは図 1 2で示した処理により与えられ、 したがってァフィ ン座標 (x_d， y_d)の値が全て復元されていることになる。

上記手順はステップ 1 2 0 1、 ステップ 1 2 0 2、 ステップ 1 2 04、 ステツ プ 1207、 ステップ 1208、 ステップ 1209、 ステップ 1210、 ステツ プ 121 1、 ステップ 1212、 ステップ 1 21 3、 ステップ 121 5及ぴステ ップ 1 216において有限体上の乗算の計算量を必要とする。 また、 ステップ 1 206において有限体上の 2乗算の計算量を必要とする。 また、 ステップ 1 21 4において有限体上の逆元演算の計算量を必要とする。 有限体上の加算及び減算 の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及び逆元演算の計算量と 比べて比較的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体 上の 2乗算の計算量を S及ぴ有限体上の逆元演算の計算量を Iとすると、 上記手 順は 12M+S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計算量 と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビヅトであれば、 高速ス カラー倍計算の計算量はおおよそ 1500M弱と見積もられる。 S=0. 8M、 I =4 OMと仮定すると座標復元の計算量は 52. 8Mであり、 高速スカラー倍 計算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元できてい ることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた x _d, y _dの値が 計算できれば X _d, y _dの値が復元できる。 その場合においては一般的に復元に 必要となる計算量が増大する。 また、 楕円曲線のパラメタである Bの値を小さく とることにより、 ステップ 1208における乗算の計算量を削減することができ る。

次に図 5により、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから X_d,

2₍1，乂(1+1，² ₍1+1， (1-1，2₍1—₁を出カする高速スカラー倍計算部の処理にっぃ て説明する。

高速スカラー倍計算部 202では、 スカラー倍計算部 103に入力されたモン ゴメリ型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕円曲線に おいて射影座標で表されたスカラー倍点 dP=(X_d，Y_d，Z_d)のうち X_d及ぴ Z_d、 射 影座標で表されたモンゴメリ型楕円曲線上の点（d+1) P=(X_{d + 1},Y_{d + 1},Z_{d + 1}) のうち X_{d + :L}及び Z_{d +} i、 射影座標で表されたモンゴメリ型楕円曲線上の点

(d- l)P=(X_d— i，Yd— i，Z_d— のうち X_d— 1及び Z_d— を出力する。 ステップ 501として、 変数 Iに初期値 1を代入する。 ステップ 502として、 点 Pの 2 倍点 2Pを計算する。 ここで点 Pは射影座標において（x， y，l)として表し、 モン ゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 503として、 スカラー倍計算部 103に入力された楕円曲線上の点 P とステップ 502で求めた点 2Pを、 点の組 (P，2P)として格納する。 ここで点 P及 ぴ点 2Pは射影座標で表されている。 ステップ 504として、 変数 I とスカラー値 dのビット長とがー致するかどうかを判定し、 一致すれば m=dとなり、 ステップ 5 14へ行く。 一致しなければステップ 505へ行く。 ステップ 505として、 変 数 Iを 1増カ卩させる。 ステップ 506として、 スカラー値の I番目のビッ トの値 が 0であるか 1であるかを判定する。 そのビットの値が 0であればステップ 50 7へ行く。 そのビットの値が 1であればステップ 510へ行く。 ステップ 507 として、 射影座標により表された点の組 (mP, (m+1) P)から点 mPと点 (m+1) Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ステップ 508へ行く。 ここ で、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用 いて計算される。 ステップ 5 08として、 射影座標により表された点の組 (mP, (m+l)P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステツ プ 509へ行く。 ここで、 2倍算 2(mP)は、 モンゴメリ型楕円曲線の射影座標に おける 2倍算の公式を用いて計算される。 ステップ 509として、 ステップ 50 8で求めた点 2mPとステップ 507で求めた点（2m+ 1 ) Pを点の組（2mP, (2m+ 1 ) P) として、 点の組 (mP， （m+l)P)の代わりに格納する。 その後ステップ 504へ戻 る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及び点 (m+ 1 ) Pは全て射影座標において 表されている。 ステップ 5 1 0として、 射影座標により表された点の組 (mP， (m+ 1 ) P)から点 mPと点 (m+ 1 ) Pの加算 mP+ (m+ 1 ) Pを行ない、 点 (2ra+ 1 ) Pを計算す る。 その後ステップ 51 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕 円曲線の射影座標における加算公式を用いて計算される。 ステップ 51 1として、 射影座標により表された点の組 (mP， (m+ 1 ) P)から点 (m+ 1 ) Pの 2倍算 2 ((m+1) P) を行ない、 点（2I +2)Pを計算する。 その後ステップ 5 1 2へ行く。 ここで、 2倍 算 2 ((m+1) P)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用レヽ て計算される。 ステップ 512として、 ステップ 510で求めた点（2m+l)Pとス テツプ 5 1 1で求めた点（2m+2) Pを点の組（（2m+l) P， (2m+2) P)として、 点の組 (mP，（m+l)P)の代わりに格納する。 その後ステップ 504へ戻る。 ここで、 点 (2m+l)P、 点（2m+2)P、 点 mP及び点（m+l)Pは全て射影座標において表されている。 ステップ 514として、 射影座標で表された点の組 (mP， （m+l)P)から、 点（m - 1)P の射影座標における X座標 X_m— 1及び Z座標 Z_m_！を求め、 それぞれ X _d _ 及び Z_d とする。 その後ステップ 51 3へ行く。 ステップ 51 3として、 射影座標 で表された点 mP=(X_m，Y_m,Z_m)より X_m及び Z_mをそれぞれ X_d及び Z_dとして、 射 影座標で表された点 (m+l)P= (X_m+ i， Y_m+ i， Z_m+ ）より X_m+ i及び Z_m+！をそ れぞれ X_{d+ 1}及び Z_{d+ 1}として、 X_d 及ひ — と共に出力する。 ここで、 Y_m 及ひ ^Y_ra+1は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍算の 公式では Y座標を求める事ができないので、 求まっていない。 また上記手順によ り、 mとスカラー値 dはビット長が等しくさらにそのビットのパターンも同じと なる為、 等しくなる。 またステップ 514において（m-l)Pを求める際に、 数 10、 数 1 1の公式により求めてもよいし、 mが奇数であれば、 （（m- 1)/2)Pの値をステ ップ 512の段階で別に保持しておき、 その値からモンゴメリ型楕円曲線の 2倍 算の公式より、 （m-l)Pを求めてもよい。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Ζ_{1 =} 1とと ることにより 3M+2 Sとなる。 ここで Μは有限体上の乗算の計算量、 Sは有限 体上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算 の公式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0で あれば、 ステップ 507において加算の計算量、 ステップ 508において 2倍算 の計算量が必要となる。 すなわち 6Μ+ 4 Sの計算量が必要となる。 スカラー値 の I番目のビットの値が 1であれば、 ステップ 510において加算の計算量、 ス テツプ 511において 2倍算の計算量が必要となる。 すなわち 6 Μ+ 4 Sの計算 量が必要である。 いずれの場合においても 6 Μ+ 4 Sの計算量が必要である。 ス テツプ 504、 ステップ 505、 ステップ 506、 ステップ 507、 ステップ 5 08、 ステップ 509乃至はステップ 504、 ステップ 505、 ステップ 506、 ステップ 510、 ステップ 51 1、 ステップ 512の繰り返しの回数は、 （スカ ラー値 dのビット長） 1回となるので、 ステップ 502での 2倍算の計算量と ステップ 514での (m-l)Pの計算に必要な計算量を考慮に入れると、 全体の計算 量は （6M+4 S) k+Mとなる。 ここで kはスカラー値 dのビット長である。 一般的に'は、 計算量 Sは、 S = 0. 8M程度と見積もられるので、 全体の計算量 はおおよそ （9. 2 k + 1 ) Mとなる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 上記手順のアルゴリズムの計算量はおおよそ 1473Mと なる。 スカラー値 dのビットあたりの計算量としてはおよそ 9. 2Mとなる。 A.M iyaji, T. Ono, h. Cohen, Efricient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98， LNCS 1514 (1998) pp.51- 65 には、 ワイエルシュトラス型楕円曲線において、 ゥ ィンドウ法を用いてヤコビアン座標を中心とした混合座標系を用いたスカラー倍 計算方法は高速なスカラー倍計算方法として記載されている。 この場合において は、 スカラー値のビットあたりの計算量はおおよそ 10Mと見積もられる。 例え ばスカラー値 dが 1 60ビット （k=l 60) であれば、 このスカラー倍計算方 法の計算量はおおよそ 1600Mとなる。 したがって、 上記手順のアルゴリズム の方が計算量が少なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d ,X_{d + 1}， Z_{d + 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用 いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 12M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k + 1) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 I == 40M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 53. 8) Mと 見積もることができる。 例えばスカラー値 dが 160ビット （k = 1 60) であ れば、 このスカラー倍計算に必要な計算量はおおよそ 1 526Mとなる。 楕円曲 線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビ アン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラ 一倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 64 0 Mであり、 これと比べて必要となる計算量は削減されている。

第 4の実施例は、 スカラ一倍計算部 103がスカラ一値 d及ぴモンゴメリ型楕 円曲線上の点 Pから、 モンゴメリ型楕円曲線における射影座標の点として完全な 座標が与えられたスカラー倍点 (X_d，Y_d,Z_d)を計算し出力する。 スカラー値 d及 ぴモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 103に入力すると高速ス カラー倍計算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取 つたスカラー値 dと与えられたモンゴメリ型楕円曲線上の点 Pからモンゴメリ型楕 円曲線にぉレヽて射影座標で表されたスカラ一倍点 dP= (X _d， Y _d， Z _d )の座標のうち X_d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+l)P=(X_{d + 1}, Y_{d + 1},Z_{d + 1})の座標のうち x_{d + ]L}及び z_{d + 1}、 射影座標で表されたモンゴメリ 型楕円曲線上の点（_d— P ttd— Yd— ^Zd— を計算し、 ァフィン座標で 表された入力されたモンゴメリ型楕円曲線上の点 P=(x，y)と共にその情報を座標 復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、

Xd + i、 Z_d+i、 Xd— i、 Z_d一 i、 x及び yよりモンゴメリ型楕円曲 Hiこおレヽて射 影座標で表されたスカラ一倍点 dP= (X _d， Y _d , Z _d )の座標 X _d， Y _d及ぴ Z _dの復元を 行なう。 スカラー倍計算部 103は射影座標において完全に座標が与えられたス カラー倍点 (X_d，Y_d,Z_d)を計算結果として出力する。

次に図 1 3により、 座標 x、 y X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d一い Z_d—丄カ;与 えられた場合に X_d、 Y_d、 Z_dを出力する座標復元部の処理について説明する。 座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち X _d及び z _d、 射影座標で表されたモン ゴメリ型楕円曲線上の点（d+l)P= (X_{d + 1}，Y_{d +} i，Z_{d +} i)の座標のうち x_d +ェ及 ぴ Z_{d + 1}、 射影座標で表されたモンゴメリ型楕円曲線上の点 (d- l)P=(X_d— Yd—^Zd— 1)の座標のうち X_d— 1及び Z_d— i、 スカラー倍計算部 103に入力 されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表した（x， y)を入力し、 以 下の手順で射影座標おいて完全な座標が与えられたスカラー倍点 (X_d， Y_d， Z_d)を 出力する。 ここで入力されたモンゴメリ型楕円曲線上の点 Pのァフィン座標を (x，y)で、 射影座標を

でそれぞれ表す。 入力されたスカラー値を dと リ型楕円曲線におけるスカラー倍点 dPのァフィン座標を（x_d，y_d) で、 射影座標を (X_d，Y_d,Z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上の点 (d- 1)Pのァフィン座標を（x_d— で、 射影座標を（X_d一 ^Yd— Zd— でそれぞれ表す。 モンゴメリ型楕円曲線上の点（d+l)Pのァフィン座標を

、^x d + 1 , Υ d + 1 )で、 射影座標を (^Xd+l，^Yd+l，^Zd + l )でそれぞれ表す。

ステップ 1 301において X_d— が計算され、 レジスタ丁丄に格納さ れる。 ステップ 1 302において Z_d一 ₁xX_{d + 1}が計算され、 レジスタ T₂に格 納される。 ステップ 1 303において 一 Τ₂が計算される。 ここでレジスタ Τェには X _d— Z _d + カ レジスタ Τ ₂には Z _d— X _d +丄がそれぞれ.格納されてお り、 したがって X_d—；^ +丄 - Z_d— ₁X_{d + 1}が計算される。 その結果がレジスタ に格納される。 ステップ 1 304において Z_d Xxが計算され、 レジスタ T₂ に格納される。 ステップ 1305において X_d- Τ₂が計算さる。 ここでレジスタ 丁₂には2₍^が格納されてぉり、 したがって X_d - xZ_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 1306において T ₂の 2乗が計算される。 ここでレジスタ T ₂には X _d - xZ _dが格納されており、 したがって（X _d - xZ _d ) ²が計 算される。 その結果がレジスタ T ₂に格納される。 ステップ 1307において T ₁ XT ₂が計算される。 ここでレジスタ丁₁には ₍₁_₁2_{(1+ 1}—2₍₁—_{1 (1 + 1}カ レジスタ T ₂には（X _d - xZ _d ) ²がそれぞれ格納されており、 したがって（X _d - xZ_d) ²(X_d一 一 Z_d一 iX_{d + 1})カ計算される。 その結果力 sレジスタ Y_dに格 納される。 ステップ 1 308において 4BXyが計算される。 その結果がレジスタ T₂に格納される。 ステップ 1 309において T₂XZ_{d + 1}が計算される。 ここ でレジスタ T ₂には 4Byが格納されており、 したがって 4By Z _d + が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 310において T₂XZ_d—丄 が計算される。 ここでレジスタ T ₂には 4ByZ_{d + 1}が格納されており、 したがつ て 4ByZ_{d + 1}Z_d— が計算される。 その結果がレジスタ T ₂に格納される。 ステ ップ 1311において T₂XZ_dが計算される。 ここでレジスタ T₂には

4ByZ_{d + 1}Z_d— 力格納されており、 したがって 4ByZ_{d + 1}Z_d一 が計算される。 その結果がレジスタ T 2に格納される。 ステップ 1 312において T₂XX_dが計 算される。 ここでレジスタ T₂には 4ByZ_{d+ 1}Z_d—；^ が格納されており、 した 力 Sつて 4ByZ_{d + 1}Z_d— iZdXa力 S計算される。 その結果がレジスタ X_dに格納され る。 ステップ 1 3 1 3において T₂ XZ_dが計算される。 ここでレジスタ T₂には 4ByZ_{d + 1}Z_d一 力 S格糸内されており、 したカ つて 4ByZ_{d + 1}Z_d一 iZdZaカ計算 される。 その結果が Z_dに格納される。 した力 Sつて Z_dには 4ByZ_{d+ 1}Z_d— iZdZa が格納されている。 レジスタ Y_dにはステップ 1 3 07において（X_d-xZ_d) ² (X_d— Z_d— iXd + )カ格納され、 その後更新が行われないので、 その値 が保持されている。

上記手 J噴により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d一い

Z_d—丄からスカラー倍点の射影座標 (X_d，Y_d，Z_d)における値が全て復元される理 由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した点である。 点（d-l)Pは 点 dPから点 Pを減算した点である。 これより、 先に述べた数 7を得ることができ る。 座標復元部 203はスカラー倍点の射影座標で表された完全な座標として

(Xd，Yd，^zd)を出力する。

上記手 WIにより与えられた x、 y X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d一い Z_d一ェ力、 らスカラ一倍点の射影座標 (X _d， Y _d， Z _d )における値が全て復元される理由は以下 の通りである。 点（ d + 1 )Pは点 dPに点 Pを加算した点である。 点（d-l) Pは点 dPか ら点 Pを減算した点である。 モンゴメリ型楕円曲線のァフィン座標における加算 公式に代入すると、 数 6、 数 7を得る。 両辺を各々減算することにより、 数 8を 得る。 したがって、 数 9となる。 ここで x _d=X_d/Z_d、 X _{d + 1}=X_{d + 1}/Z_{d + 1}、 X d— i-Xd— — であり、 この値を代入することにより射影座標の値へと 変換すると、 数 7を得る。 '

X _d=X_d/Z_dであるが、 y _dの分母と通分することにより、 数 2 0となる。 その 結果として、

Y_d = (X^Z_M - Z_d_,X_M){X_d - Z_dxf …数 2 1

とし、 x_d及ぴ z_dをそれぞれ

AByZ_d+xZ_d__xZ_dX_d …数 2 2

AByZ_MZ_d__xZ_dZ_d …数 2 3

により更新すればよい。 ここで示した X_d， Y_d， Z_d， は図 1 3で示した処理によ り与えられている。 したがって、 射影座標の値^ 丫 ？^が全て復元されてぃ ることになる。 上記手順はステップ 1 3 0 1、 ステップ 1 302、 ステップ 1 304、 ステツ プ 1 307、 ステップ 1 3 08、 ステップ 1 309、 ステップ 1 3 1 0、 ステツ プ 1 31 1、 ステップ 1 3 1 2及ぴステップ 1 3 1 3において有限体上の乗算の 計算量を必要とする。 また、 ステップ 1 306において有限体上の 2乗算の計算 量を必要とする。 有限体上の減算の計算量は、 有限体上の乗算の計算量、 2乗算 の計算量と比べて比較的小さいので無視してもよレ、。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を Sとすると、 上記手順は 1 0 M+ Sの計算量を 必要とする。 これは高速スカラー倍計算の計算量と比べてはるかに小さい。 例え ばスカラー値 dが 1 6 0ビットであれば、 高速スカラー倍計算の計算量はおおよ そ 1 50 OM弱と見積もられる。 S = 0. 8 Mと仮定すると座標復元の計算量は 1 0. 8Mであり、 高速スカラー倍計算の計算量と比べてはるかに小さい。 した がつて効率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d，Y_d，Z_dの値が 計算できれば X_d，Y_d，Z_dの値が復元できる。 また、 _Xd，y_dが上記計算式により与 えられる値を取るように X_d，Y_d，Z_dの値を選択し、 その値が計算できれば X_d， Y_d,Z_dが復元できる。 それらの場合においては一般的に復元に必要となる計算 量が増大する。 また、 楕円曲線のパラメータである Bの値を小さくとることによ り、 ステップ 1 308における乗算の計算量を削減することができる。

次に、 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d， X_{d+ 1}, Z_{d + 1}, X_d_！, Z_d一ュを出力するアルゴリズムについて説明する。

第 4実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 3実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及び モンゴメリ型楕円曲 ,線上の点 P力、ら、 X_d， Z_d， X_{d + 1}， Z_{d + 1}, X_d__{l 5} Z_d_₁ を出力するアルゴリズムとして、 高速であるアルゴリズムが達成される。 尚、 高 速スカラー倍計算部 202において上記手順のアルゴリズムを用いなくても、 ス カラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d， Z_d， X_{d + 1}, Z_{d + 1}, X_d_ -, , Zd— iを出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 1 03における座標復元部 203の座標復元に必要な計算量 は 1 OM+Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計算 に必要な計算量の （9. 2 k+ 1) Mとに比べてはるかに小さレ、。 したがって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー倍計 算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8Mと仮 定すると、 この計算量はおおよそ （9. 2 k +1 1. 8) Mと見積もることがで きる。 例えばスカラー値 dが 1 60ビット （k = l 60) であれば、 このスカラ 一倍計算に必要な計算量はおおよそ 1484Mとなる。 楕円曲線としてワイエル シュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心と した混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビア ン座標として出力する場合に必要となる計算量はおおよそ 1600Mであり、 こ れと比べて必要となる計算量は削減されている。

第 5の実施例は、 スカラー倍計算部 1 03がスカラー値 d及ぴモンゴメリ型楕 円曲線上の点 Pから、 モンゴメリ型楕円曲線におけるァフィン座標の点として完 全な座標が与えられたスカラ一倍点 (x_d,y_d)を計算し出力する。 スカラ一値 d及 ぴモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 103に入力すると高速ス カラー倍計算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取 つたスカラー値 dと与えられたモンゴメリ型楕円曲線上の点 Pからモンゴメリ型楕 円曲線においてァフィン座標で表されたス力ラー倍点 dP= (x _d , y _d )の座標のう ち x_d、 ァフィン座標で表されたモンゴメリ型楕円曲線上の点（d+l)P=(x_{d + 1}， y_{d + 1})の座標のうち X _d +い ァフィン座標で表されたモンゴメ リ型楕円曲線上 の点（d- 1) P= (x_d__{1 )}y_d_₁)の座標のうち X _d— を計算し、 ァフィン座標で表 された入力されたモンゴメリ型楕円曲線上の点 P=(x， y)と共にその情報を座標復 元部 203に与える。 座標復元部 203は与えられた座標の値 x_d、 x_{d + 1}、 x_d— x及ぴ yよりモンゴメリ型楕円曲線においてァフィン座標で表されたスカ ラー倍点 dP=(x_d，y_d)の座標 y_dの復元を行なう。 スカラー倍計算部 1 03はァ フィン座標におレ、て完全に座標が与えられたスカラ一倍点 (X _d , y _d )を計算結果 として出力する。

次に図 26により、 座標 x、 y、 x_d、 x_d+i、 x_d— が与えられた場合に、 x_d、 y_dを出力する座標復元部の処理について説明する。 座標復元部 2 0 3では、 モンゴメリ型楕円曲線においてァフィン座標で表され たスカラ一倍点 dP= (x_d)y_d)の座標のうち X _d、 ァフィン座標で表されたモンゴ メリ型楕円曲線上の点（d+1) P= (x_{d + 1},y_d +！)の座標のうち x_{d + ]L}、 ァフィン 座標で表されたモンゴメリ型楕円曲線上の点（d- 1) P= (x_d_ ₁,y_d_ ₁)の座標の うち x_d— スカラー倍計算部 1 0 3に入力されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表した（x y)を入力し、 以下の手順でァフィン座標において完 全な座標が与えられたスカラ一倍点（x_d y_d)を出力する。

ステップ 2 6 0 1において x_d— Xが計算され、 レジスタ 1^に格納される。 ス テツプ 2 6 02において丁；！の 2乗すなわち（x_d— X) が計算され、 レジスタ T に格納される。 ステップ 2 6 0 3において x_d— x_{d + 1}が計算され、 レジ スタ T ₂に格納される。 ステップ 2 6 04において ΧΤ ₂が計算される。 こ こでレジスタ には（x_d— X) がレジスタ Τ ₂には 一 x_{d + 1}がそれぞれ格 納されており、 したがって（x_d— X) (x_d— 一 x_{d + 1})が計算される。 その結果 がレジスタ Tュに格納される。 ステップ 2 6 0 5において 4BXyが計算され、 レ ジスタ丁₂に格納される。 ステップ 2 6 0 6において T₂の逆元が計算される。 ここでレジスタ Τ ₂には 4Byが格納されており、 したがって l/4Byが計算される。 その結果がレジスタ T₂に格納される。 ステップ 2 6 0 7において T XT ₂力 S 計算される。 ここでレジスタ 1^には (x_d— X) （x_d— i—Xd + i)がレジスタ T ₂ には l/4Byがそれぞれ格納されており、 したがって（x_d— X) S d— i―

x_{d + 1})/4Byが計算される。 その結果がレジスタ y_dに格納される。 したがってレ ジスタ y_dには（x_d—x) ² (x_d— ;L— x_d+i)/4Byが格納されている。 レジスタ x_dは 全く更新されないので入力された値が保持されている。

上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 尚、 点（ _d + i ) Pは点 dPに点 Pを加算した点であり、 点（d- 1) Pは点 dPから点 Pを減算 した点である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入す ると、 数 6、 数 7を得る。

両辺を各々減算することにより、 数 8を得る。 したがって、 数 9となる。

ここで、 x_d y_dは図 2 6の処理により与えられる。 したがって、 ァフィン座 標 (X d y d )の値は全て復元されたことになる。 上記手順はステップ 2604、 ステップ 2605及ぴステップ 2607におレヽ て有限体上の乗算の計算量を必要とする。 また、 ステップ 2602において有限 体上の 2乗算の計算量を必要とする。 さらにステップ 2606において有限体上 の逆元演算の計算量を必要とする。 有限体上の減算の計算量は、 有限体上の乗算 の計算量、 2乗算の計算量、 逆元演算の計算量と比べて比較的小さいので無視し てもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を S、 有限 体上の逆元演算の計算量を Iとすると、 上記手順は 3 M+ S + Iの計算量を必要 とする。 これは高速スカラー倍計算の計算量と比べてはるかに小さい。 例えばス カラー値 dが 160ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積もられる。 S = 0. 8 M及び I =4 OMと仮定すると座標復元 の計算量は 43. 8Mであり、 高速スカラー倍計算の計算量と比べてはるかに小 さい。 したがつて効率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_dの値が 復元できる。 その場合は一般的に復元に必要となる計算量が増大する。 また、 楕 円曲線のパラメタである Bの値を小さくとることにより、 ステップ 2605にお ける乗算の計算量を削減することができる。

次に図 6により、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから、 x_d、 x_{d + 1}, x_d_!を出力する高速スカラー倍計算部の処理について説明する。

高速スカラー倍計算部 202では、 スカラー倍計算部 103に入力されたモン ゴメリ型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕円曲線に おいてァフィン座標で表されたスカラー倍点 dP=(x_d,y_d)のうち x_d、 ァフィン 座標で表されたモンゴメリ型楕円曲線上の点（d+1) P=(_{Xd + 1},y_{d + 1})のうち

X d + 1、 ァフィン座標で表されたモンゴメリ型楕円曲線上の点（d- 1) P=

(x_d— iJd— のうち x_d—丄を出力する。 ステップ 60 1として、 変数 Iに初 期値 1を代入する。 ステップ 602として、 点 Pの 2倍点 2 Pを計算する。 ここで 点 Pは射影座標において（ X , y , 1)として表し、 モンゴメリ型楕円曲線の射影座標 における 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 603として、 ス カラー倍計算部 1 03に入力された楕円曲線上の点 Pとステップ 602で求めた 点 2Pを、 点の組 (P，2P)として格納する。 ここで点 P及ぴ点 2Pは射影座標で表され ている。 ステップ 604として、 変数 I とスカラー値 dのビッ'ト長とが一致する かどうかを判定し、 一致すればステップ 6 14へ行く。 一致しなければステップ 6 05へ行く。 ステップ 605として、 変数 Iを 1増加させる。 ステップ 6 06 として、 スカラー値の I番目のビットの値が 0であるか 1であるかを判定する。 そのビットの値が 0であればステツプ 607へ行く。 そのビットの値が 1であれ ばステップ 6 1 0へ行く。 ステップ 60 7として、 射影座標により表された点の 組（mP， (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行ない、 点（2m+l) Pを計算 する。 その後ステップ 6 08へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型 楕円曲線の射影座標における加算公式を用いて計算される。 ステップ 608とし て、 射影座標により表された点の組 (mP, (m+l)P)から点 mPの 2倍算 2 (mP)を行な い、 点 2mPを計算する。 その後ステップ 6 09へ行く。 ここで、 2倍算 2(mP)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ス テツプ 609として、 ステップ 6 08で求めた点 2mPとステップ 60 7で求めた 点 (2m+ 1 ) Pを点の組 (2mP， (2m+ 1 ) P)として、 点の組 (mP, (m+ 1 ) P)の代わりに格 納する。 その後ステップ 604へ戻る。 ここで、 点 2raP、 点（2m+l)P、 点 mP及 び点 (m+1) Pは全て射影座標において表されている。 ステップ 6 1 0として、 射 影座標により表された点の組 (mP， (m+ 1 )P)から点 mPと点（m+ 1 )Pの加算 mP+(m+ 1)Pを行ない、 点 (2 1)Pを計算する。 その後ステップ 6 1 1へ行く。 ここで、 加算 raP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて 計算される。 ステップ 6 1 1として、 射影座標により表された点の組 (mP， (m+ 1)?)から点（111+1)?の2倍算2((111+1)?)を行なぃ、 点（2m+2)Pを計算する。 その 後ステップ 6 1 2へ行く。 ここで、 2倍算 2((m+l)P)は、 モンゴメリ型楕円曲線 の射影座標における 2倍算の公式を用いて計算される。 ステップ 6 1 2として、 ステップ 6 1 0で求めた点（2m+l)Pとステップ 6 1 1で求めた点（2m+2)Pを点の 組（（2m+l)P, (2m+2)P)として、 点の組 (mP，（m+1) P)の代わりに格納する。 その後ス テツプ 604へ戻る。 ここで、 点 (2m+l) P、 点 (2m+2) P、 点 mP及ぴ点 (m+1) Pは全て 射影座標において表されている。 ステップ 6 14として、 射影座標で表された点 の組 (mP， (m+1) P)から、 点 (m- 1) Pの射影座標における X座標 X_m— _χ及び Ζ座標 Z_m— 1を求め、 それぞれ X_d— 1及ぴ Z_d— 1とする。 その後ステップ 6 1 5へ行く。 ステップ 6 1 5として、 射影座標で表された点 mP== (X_m， Y_m， Z_m)より X_m及び Z_m をそれぞれ X _d及び Z _dとし、 射影座標で表された点 (m+1) P= (X_m+！, Y_m + !, Z_{m+ :L})より X_{m+ 1}及び Z_{m+ 1}をそれぞれ X_{d + ;1}及び Z_{d +} iとする。 ここで、 Y_m 及び ^Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及ぴ 2倍算の 公式では Y座標を求める事ができないので、 求まっていない。 X_d— Z_d_!,

^Xd， ^Zd， ^Xd+ 1， ^Zd+ 1より、

xd-\ …数 2 4

^Xd ⁼ …数^

xd+i

···数 2 6

として x_d— x_d， x_{d + 1}を求める。 その後ステップ 6 1 3へ行く。 ステップ 6 1 3として、 x_d_;L， x_d， x_{d + 1}を出力する。 上記手順により、 mとスカラ 一値 dはビット長が等しくさらにそのビットのパターンも同じとなる為、 等しく なる。 またステップ 6 1 4において（m-l)Pを求める際に、 数 1 3、 数 1 4の公式 により求めてもよいし、 mが奇数であれば、 （(m- 1)/2)Pの値をステップ 6 1 2の 段階で別に保持しておき、 その値からモンゴメリ型楕円曲線の 2倍算の公式より、 (m—l)Pを求めてもよい。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Ζι =1ととる ことにより 3 M+ 2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+ 2 Sである。 スカラー値の I番目のビットの値が 0であ れば、 ステップ 6 07において加算の計算量、 ステップ 60 8において 2倍算の 計算量が必要となる。 すなわち 6 M+ 4 Sの計算量が必要となる。 スカラー値の I番目のビットの値が 1であれば、 ステップ 6 1 0において加算の計算量、 ステ ップ 6 1 1において 2倍算の計算量が必要となる。 すなわち 6 M+ 4 Sの計算量 が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要である。 ステ ップ 6 04、 ステップ 6 0 5、 ステップ 6 06、 ステップ 6 0 7、 ステップ 6 0 8、 ステップ 6 0 9乃至はステップ 6 04、 ステップ 6 0 5、 ステップ 6 0 6、 ステップ 6 1 0、 ステップ 6 1 1、 ステップ 6 1 2の繰り返しの回数は、 （スカ ラ一値 dのビット長）一 1回となるので、 ステップ 6 0 2での 2倍算の計算量及 びステップ 614での（m-l)Pの計算に必要な計算量及ぴァフィン座標への変換の 計算量を考慮に入れると、 全体の計算量は （6M+4 S) k+ l lM+ I となる ここで kはスカラー値 dのビット長である。 一般的には、 計算量 Sは、 S==0. 8M程度、 計算量 Iは I =40M程度と見積もられるので、 全体の計算量はおお よそ （9. 2 k+51) Mとなる。 例えばスカラー値 dが 1 60ビット （k= l 60) であれば、 上記手順のアルゴリズムの計算量はおおよそ 1523Mとなる _c スカラー値 dのビットあたりの計算量としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98， LNCS 1514 (1998) pp.51- 65 には、 ワイエルシュトラス型楕円曲線において、 ウィン ドウ法を用いてャコビアン座標を中心とした混合座標系を用いたスカラ一倍計算 方法は高速なスカラー倍計算方法として記載されている。 この場合においては、 スカラー値のビットあたりの計算量はおおよそ 10Mと見積もられ、 これ以外に ァフィン座標への変換の計算量が必要となる。 例えばス力ラ一値 dが 160ビッ ト （k=160) であれば、 このスカラー倍計算方法の計算量はおおよそ 1 64 0Mとなる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速と いえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから、 x_d、 x_{d+ 1}、

を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用 いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 3M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 51) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8M 及び I =40Mと仮定すると、 この計算量はおおよそ （9. 2 k+ 94. 8) M と見積もることができる。 例えばスカラー値 dが 1 60ビット （k=1 60) で あれば、 このスカラー倍計算に必要な計算量はおおよそ 1567Mとなる。 楕円 曲線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコ ビアン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカ ラー倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 6 40Mであり、 これと比べて必要となる計算量は削減されている。

第 6の実施例は、 楕円曲線としてワイエルシュトラス型楕円曲線を用いたもの である。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はヮイエ ルシュトラス型楕円曲線である。 ただし、 スカラ一倍計算部 1 03の内部の計算 で使用する楕円曲線として、 与えられたワイエルシュトラス型楕円曲線から変換 可能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 1 0 3がスカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュ トラス型楕円曲線におけるァフィン座標の点として完全な座標が与えられたスカ ラ一倍点 (x_d，y_d)を計算し出力するものである。 スカラ一値 d及ぴワイエルシュ トラス型楕円曲線上の点 Pをスカラー倍計算部 103に入力すると高速スカラー 倍計算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取ったス カラー値 dと与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシュ トラス型楕円曲線において射影座標で表されたス力ラ一倍点 dP= (X _d , Y _d， Z _d )の 座標のうち X_d及び Z_d、 射影座標で表されたワイエルシュ トラス型楕円曲線上の 点 (d + 1 )P⁼ d+l,Yd + l,Zd + l)の挫 feのつち Xd + 1及び z_{d + 1}、 射影座標 で表されたワイエルシュトラス型楕円曲線上の点（d— 1) P (X _d一； L , Y _d— ]_ , Z_d_！)の座標のうち X _d— TL及ぴ Z _d―！を計算し、 ァフィン座標で表された入力 されたワイエルシュトラス型楕円曲線上の点 P=(x, y)と共にその情報を座標復元 部 203に与える。 座標復元部 203は与えられた座標の値値 X_d、 Z_d、 X_{d+ 1}、 Z_{d + 1}、 X_d__lN Z_d—い x及ぴ yよりワイエルシュトラス型楕円曲線において ァフィン座標で表されたスカラ一倍点 dP= (x_d,y_d)の座標 X _d及び y _dの復元を 行なう。 スカラー倍計算部 103はァフィン座標において完全に座標が与えられ たスカラー倍点 (x_d，y_d)を計算結果として出力する。

次に図 14により、 座標 x、 yヽ X_dヽ Z_dヽ X_{d + 1}、 Z_{d + 1}、 X_d—ェ、 カ 与えられた場合に x_d、 y_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 ワイエルシュトラス型楕円曲線において射影座標で表 されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標うち X _d及び z _d、 射影座標で表され たワイエルシュ トラス型楕円曲線上の点（ _d + 1 )P= (X_d + ， Y_d + i， Z _d + i )の座 標のうち X _d + 及ぴ Z _d + i、 射影座標で表されたワイエルシュトラス型楕円曲線 上の点（d- l)P=(X_d— ^Yd— ^Zd— の座標のうち X_d— 1及ぴ z_d—い スカラ 一倍計算部 103に入力されたワイエルシュトラス型楕円曲線上の点 Pをァフィ ン座標で表した（X, y)を入力し、 以下の手順でァフィン座標おいて完全な座標が 与えられたスカラー倍点 (x_d，y_d)を出力する。 ここで入力されたワイエルシュ トラス型楕円曲線上の点 Pのァフィン座標を（χ， y)で、 射影座標を（X 1， Y 1 , Z i )で それぞれ表す。 入力されたスカラー値を dとしてワイエルシュトラス型楕円曲線 におけるスカラー倍点 dPのァフィン座標を（x_d,y_d)で、 射影座標を（X_d，Y_d,Z_d) でそれぞれ表す。 ワイエルシュトラス型楕円曲線上の点（d-l)Pのァフィン座標を (x_d一 yd— で、 射影座標を（X_d— ;L,Y_d一 一 でそれぞれ表す。 ヮイエ /レシュトラス型楕円曲線上の点（d+1) Pのァフィン座標を（X _d + , y _d + i )で、 射 影座標を（X_{d + 1},Y_{d + 1}，Z_d+1)でそれぞれ表す。

ステップ 1401において X_d— が計算され、 レジスタ 1^に格納さ れる。 ステップ 1402において Z_d— iXX_{d + 1}が計算され、 レジスタ T₂に格 納される。 ステップ 1403において T i—T が計算される。 ここでレジスタ Tェには X _d— Z _d +丄カ レジスタ T ₂には Z _d— X _d + がそれぞれ格納されてお り、 したがって X_d— Zd+ -Zd— iXd+iが計算される。 その結果がレジスタ 丁 に格納される。 ステップ 1404において Z_d Xxが計算され、 レジスタ T ₂ に格納される。 ステップ 1405において X_d- T₂が計算さる。 ここでレジスタ Τ₂には Z_dxが格納されており、 したがって X_d - xZ_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 1406において T ₂の 2乗が計算される。 ここでレジスタ T ₂には X _d - xZ _dが格納されており、 したがって（X _d - xZ _d ) ²が計 算される。 その結果がレジスタ T ₂に格納される。 ステップ 1407において

XT ₂が計算される。 ここでレジスタ Tiには X_d— iZa+ -Zd一 ₁x_d+1力 s レジスタ T ₂には（X _d - xZ _d ) ²がそれぞれ格納されており、 したがって

(X_d - xZ_d) ²(X_d— iZ_{d+ 1}- Z_d一 が計算される。 その結果がレジスタ

T に格納される。 ステップ 1408において 4Xyが計算される。 その結果がレ ジスタ T ₂に格納される。 ステップ 1409において T₂XZ_{d + 1}が計算される。 ここでレジスタ T 2には 4yが格納されており、 したがって 4yZ_{d + 1}が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1410において T₂XZ_d— が計算される。 ここでレジスタ T₂には 4yZ_{d + 1}が格納されており、 したがって 47∑₍₁₊₁2₍₁_₁カ計算される。 その結果がレジスタ T ₂に格納される。 ステップ 141 1において T₂XZ_dが計算される。 ここでレジスタ T₂には 4yZ_{d+ 1} Z_d一 iが格納されており、 した力 って 4yZ_{d + 1}Z_d一 カ計算される。 その結果 がレジスタ T ₂に格納される。 ステップ 1412において T ₂ XX_dが計算される。 ここでレジスタ T₂には 4yZ_{d + 1}Z_d— が格納されており、 したがって

4yZ_{d+ :L}Z_d— iZ_dX_d力 S計算される。 その結果がレジスタ T ₃に格納される。 ス テツプ 1413において T ₂ XZ_dが計算される。 ここでレジスタ T ₂には

4yZ_d一 iZd + iZd力格糸内されており、 した力 Sつて 4yZ_{d + 1}Z_d— ₁Z_dZ_dカ計算さ れる。 その結果がレジスタ T ₂に格納される。 ステップ 1414においてレジス タ T ₂の逆元が計算される。 ここでレジスタ T₂には 4yZ_{d + 1}Z_d一 dZdが格納 されており、 したがって l/4yZ_{d + 1}Z_d— ^dZdが計算される。 その結果がレジ スタ T₂に格納される。 ステップ 141 5において Τ₂ΧΤ₃が計算される。 こ こでレジスタ Τ₂には l/4yZ_{d + 1}Z_d一 jZdZdがレジスタ Τ₃には 4yZ_d—

Z_dX_d がそれぞれ格納されており、 した力 Sつて（4yZ_{d + 1}Z_d— iZdXd)/

(4yZ_{d + ]L}Z_d— ^dZd)が計算される。 その結果が x_dに格納される。 ステップ 1 416において XT₂が計算される。 ここでレジスタ 1^には（X_d- xZ_d) ²

(X_d—₁Z_{d + 1}— Zd— iXd+i)力 レジスタ T₂に ίま 1/4₇2_{(1+ 1}2₍^_₁2₍₁2₍₁カそれ ぞれ格 #1されており、 した力 Sつて（X_d— + 一 Z_d一 ₁X_{d + 1}) (X_d-Z_dx) ²/4y Zd _{+ 1}Z_d一 iZ_d ²力計算される。 その結果がレジスタ y_dに格納される。 したが つてレジスタ y_dには (X_d— 厂 Z_d— iX_{d+ 1})(X_d- Z_dx) ²/4yZ_d_₁Z_{d + 1} Z_d ²が格納されている。 レジスタ x_dにはステップ 141 5において（4yZ_d一ェ ^zd + iZ_dX_d)バ 423— ^3+ iZdZd)が格納され、 その後更新が行なわれないの で、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d__l

Z _d一 力 らワイエルシュトラス型楕円曲線におけるスカラ一倍点のァフィン座標 (χ _d, y _d)における値が全て復元される理由は以下の通りである。 点（d+l)Pは 点 dPに点 Pを加算した点である。 点（d-1) Pは点 dPから点 Pを減算した点である。 ヮ ィエルシュトラス型楕円曲線のァフィン座標における加算公式に代入すると、 次 の式を得る。

(x + x_d -χΥ = (y_d -yf …数 2 7

(x+x_d+ - xf =(y_d +yf …数 2 8

両辺を各々減算することにより、

(x_d-i一 x_M )(¾ - X)² = 4y_dy ···#： 9

を得る。 したがって、

y_d = ( - χ_Μ )(x_d -xf …数 3 0

となる。 ここで xd=X_d/Zd、 ^x d + i ^=xd+iZ^zd + i、 ^x d = i^=xd = i/^zd = i であり、 この値を代入することにより射影座標の値へと変換すると、 次の式を得 る。

y_d = ( -Z_d_,X_M){X_d

…数 3 1

X _d=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y_dの分母と通分するこ とにより、

4yZ_d+1Z_d^Z_dX_d

χα = 数 3 2 となる。 ここで、 x _d， y_dは図 1 4で示した処理により与えられる。 したがつ て、 ァフィン座標 (x_d，y_d)の値が全て復元されていることになる。

上記手順はステップ 140 1、 ステップ 1 402、 ステップ 1 404、 ステツ プ 1 407、 ステップ 1 409、 ステップ 1 41 0、 ステップ 1 4 1 1、 ステツ プ 1 4 1 2、 ステップ 141 3、 ステップ 1 41 5及ぴステップ 1 4 1 6におい て有限体上の乗算の計算量を必要とする。 ただし、 ステップ 1 408の乗算は、 被乗数の値が 4と小さいので、 その計算量は通常の乗算の計算量と比べて小さい 為無視してよい。 また、 ステップ 1406において有限体上の 2乗算の計算量を 必要とする。 また、 ステップ 1 414において有限体上の逆元演算の計算量を必 要と'する。 有限体上の減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算 量及ぴ逆元演算の計算量と比べて比較的小さいので無視してもよい。 有限体上の 乗算の計算量を M、 有限体上の 2乗算の計算量を S及び有限体上の逆元演算の計 算量を Iとすると、 上記手順は 1 1M+S+ Iの計算量を必要とする。 これは高 速スカラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 6 0ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積 もられる。 S = 0. 8M、 I =40Mと仮定すると座標復元の計算量は 51. 8 Mであり、 高速スカラー倍計算の計算量と比べてはるかに小さい。 したがって効 率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた x _d， y_dの値力 S 計算できれば x _d， y_dの値が復元できる。 その場合においては一般的に復元に 必要となる計算量が増大する。

次に図 7により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 XdiZdJd + Zd+^Xd— ^Zd— iを出力する高速スカラー倍計算部の処理に ついて説明する。

高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 103に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりワイエルシュト ラス型楕円曲線において射影座標で表されたス力ラ一倍点 dP= (X_d，Y_d，Z_d)のう ち x_d及ぴ z_d、 射影座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P = (X_{d+ 1},Y_{d + 1}，Z_{d+ 1}) 5 X_{d+ 1} O¾_{d + 1}、 射影座標で表されたヮイエ ルシュトラス型楕円曲線上の点（d— l)P=(X_d— Yd— 一 のうち 及ぴ Z_d— を出力する。 ステップ 71 6として、 与えられたワイエルシュトラス 型楕円曲線上の点 Pをモンゴメリ型楕円曲線上で射影座標により表された点に変 換する。 この点をあらためて点 Pとする。 ステップ 701として、 変数 Iに初期 値 1を代入する。 ステップ 702として、 点 Pの 2倍点 2 Pを計算する。 ここで点 Pは射影座標において（X, y, 1)として表し、 モンゴメリ型楕円曲線の射影座標に おける 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 703として、 スカ ラ一倍計算部 1 03に入力された楕円曲線上の点 Pとステップ 702で求めた点 2Pを、 点の組 (P,2P)として格納する。 ここで点 P及び点 2Pは射影座標で表されて いる。 ステップ 704として、 変数 Iとスカラー値 dのビット長とがー致するか どうかを判定し、 一致すればステップ 714へ行く。 一致しなければステップ 7 05へ行く。 ステップ 705として、 変数 Iを 1増加させる。 ステップ 706と して、 スカラー値の I番目のビットの値が 0であるか 1であるかを判定する。 そ のビットの値が 0であればステップ 707へ行く。 そのビットの値が 1であれば ステップ 710へ行く。 ステップ 707として、 射影座標により表された点の組 (mP， (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行ない、 点（2m+l) Pを計算す る。 その後ステップ 708へ行く。 ここで、 加算 raP+(m+l)Pは、 モンゴメリ型楕 円曲線の射影座標における加算公式を用いて計算される。 ステップ 708として、 射影座標により表された点の組 (mP， (m+1) P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 709へ行く。 ここで、 2倍算 2(mP)は、 モン ゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ステツ プ 709として、 ステップ 708で求めた点 2mPとステップ 707で求めた点 (2ra+ 1 ) Pを点の組（2raP， (2m+ 1 ) P)として、 点の組 (mP， (m+ 1 ) P)の代わりに格納 する。 その後ステップ 704へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 raP及ぴ 点 (m+1 )Pは全て射影座標において表されている。 ステップ 710として、 射影 座標により表された点の組 (mP, (m+ 1 ) P)から点 mPと点（m+ 1 ) Pの加算 mP+ (m+ 1 ) P を行ない、 点 (2m+l)Pを計算する。 その後ステップ 71 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算 される。 ステップ 71 1として、 射影座標により表された点の組 (mP, (m+l)P)か ら点 (m+l)Pの 2倍算 2((m+l)P)を行ない、 点（2m+2) Pを計算する。 その後ステツ プ 712へ行く。 ここで、 2倍算 2 ((m+1) P)は、 モンゴメリ型楕円曲線の射影座 標における 2倍算の公式を用いて計算される。 ステップ 712として、 ステップ 7 1 0で求めた点（2m+ 1 )Pとステップ 7 1 1で求めた点（2m+2)Pを点の糸且 ((2ra+l)P, (2m+2) P)として、 点の組 (mP, (ra+1) P)の代わりに格納する。 その後ステ ップ 704へ戻る。 ここで、 点（2m+l)P、 点（2m+2)P、 点 mP及ぴ点 (m+1) Pは全て射 影座標において表されている。 ステップ 714として、 射影座標で表された点の 組 （mP， (m+1) P) から、 点 (m - 1) Pの射影座標における X座標 X_m—！及び Z座標

Z_m - 1を求める。 その後ステップ 71 5へ行く。 ステップ 715として、 モンゴ メリ型楕円曲線における点 (m-l)Pを、 ワイエルシュトラス型楕円曲線上で射影座 標により表された点に変換する。 その点の X座標及び Z座標をそれぞれあらためて X_m— i及び Z_m— iとおく。 また、 モンゴメリ型楕円曲線において射影座標で表さ れた点の組 (mP，（m+l)P)に対して、 点 mP及ぴ点（m+l)Pをワイエルシュトラス型楕 円曲線上で射影座標で表された点に変換し、 それぞれ mP= (X_m,Y_m,Z_m) 及ぴ

とあらためて置き直す。 ここで、 Y_m及び

Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍算の公式 では Y座標を求める事ができないので、 求まっていない。 ステップ 71 3として、 ヮィエルシュトラス型楕円曲線上で射影座標で表された点 (m- 1) Pの X座標 X_m— ₁ 及び Z座標 Zm— iをそれぞれ X_d— 及ぴ Z_d— として、 ワイエルシュ トラス型楕 円曲線上で射影座標で表された点 mP= (X_m, Y_m， Z_m) より X_m及ぴ Z_mをそれぞれ X_d及び Z_dとして、 ワイエルシュ トラス型楕円曲線上で射影座標で表された点 (m+l)P= (X_m+i,Y_m+i,Z_m+]L) より X_{m+ 1}及ぴ Z_m+iをそれぞれ X_{d + 1}及び Z_{d + 1}として、 出力する。 また上記手順により、 mとスカラー値 dはビット長が 等しくさらにそのビッ トのパターンも同じとなる為、 等しくなる。 またステップ 714において（m- 1)Pを求める際に、 数 1 3、 数 14の公式により求めてもよい し、 mが奇数であれば、 （(m - 1)/2)Pの値をステップ 71 2の段階で別に保持して おき、 その値からモンゴメリ型楕円曲線の 2倍算の公式より、 （m_l)Pを求めても よい。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Ζ₁₌1ととる ことにより 3M+2 Sとなる。 ここで Μは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0であ れば、 ステップ 707において加算の計算量、 ステップ 708において 2倍算の 計算量が必要となる。 すなわち 6Μ+ 4 Sの計算量が必要となる。 スカラー値の I番目のビットの値が 1であれば、 ステップ 71 0において加算の計算量、 ステ ップ 71 1において 2倍算の計算量が必要となる。 すなわち 6Μ+4 Sの計算量 が必要である。 いずれの場合においても 6 Μ+ 4 Sの計算量が必要である。 ステ ップ 704、 ステップ 705、 ステップ 706、 ステップ 707、 ステップ 70 8、 ステップ 709乃至はステップ 704、 ステップ 705、 ステップ 706、 ステップ 710、 ステップ 71 1、 ステップ 71 2の繰り返しの回数は、 （スカ ラー値 dのビッ ト長） 一 1回となるので、 ステップ 702での 2倍算の計算量と ステップ 716でのモンゴメリ型楕円曲線上の点への変換に必要な計算量及ぴス テツプ 715でのワイエルシュトラス型楕円曲線上の点への変換に必要な計算量 を考慮に入れると、 全体の計算量は （6M+4 S) k + 4Mとなる。 ここで kは スカラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度と 見積もられるので、 全体の計算量はおおよそ （9. 2 k + 4) Mとなる。 例えば スカラー値 dが 1 60ビット （k == 160) であれば、 上記手順のアルゴリズム の計算量はおおよそ 1476Mとなる。 スカラー値 dのビットあたりの計算量と してはおよそ 9. 2Mとなる。 A.Miyaji, T.0no， H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology

Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51-65 には、 ワイエルシ ュトラス型楕円曲線において、 ウィンドウ法を用いてヤコビアン座標を中心とし た混合座標系を用いたスカラー倍計算方法は高速なスカラー倍計算方法として記 載されている。 この場合においては、 スカラー値のビットあたりの計算量はおお よそ 10Mと見積もられる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 このスカラー倍計算方法の計算量はおおよそ 1600Mとなる。 した がって、 上記手順のアルゴリズムの方が計算量が少なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d—い を出力するアルゴリズムであり且つ高速であれ ば、 他のアルゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 1 1 M+ S + Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k + 4) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 I = 40M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 55. 8) Mと 見積もることができる。 例えばスカラー値 dが 1 60ビット （k= 1 60) であ れば、 このスカラー倍計算に必要な計算量はおおよそ 1 528Mとなる。 楕円曲 線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビ アン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラ 一倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 164 0 Mであり、 これと比べて必要となる計算量は削減されている。

第 7の実施例は楕円曲線としてワイエルシュトラス型楕円曲線を用いたもので ある。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はワイエル シュトラス型楕円曲線である。 ただし、 スカラー倍計算部 103の内部の計算で 使用する楕円曲線として、 与えられたワイエルシュトラス型楕円曲線から変換可 能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 103 がスカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュト ラス型楕円曲線における射影座標の点として完全な座標が与えられたスカラー倍 点（X_d,Y_d,Z_d)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕円 曲線上の点 Pをスカラー倍計算部 1 03に入力すると高速スカラー倍計算部 20 2がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 と 与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシュトラス型楕 円曲線において射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち Xd及び ^zd、 射影座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P= (X_{d + 1},Y_{d+ 1},Z_{d + 1})の座標のうち X_d+ i及び Z _d + i、 射影座標で表されたヮ ィエルシュトラス型楕円曲線上の点（d- 1) P=(X_d_₁,Y_d_₁,Z_d_！)の座標のう ち X_d— 1及び Z_d—丄を計算し、 ァフィン座標で表された入力されたワイエルシュ トラス型楕円曲線上の点 P=(x，y)と共にその情報を座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、 X_{d +}い Z_{d + 1}、 X_d—

Z_d—い x及ぴ yよりワイエルシュトラス型楕円曲線において射影座標で表された スカラー倍点 dP=(X_d,Y_d，Z_d)の座標 X_d，Y_d及び Z_dの復元を行なう。 スカラー 倍計算部 103は射影座標において完全に座標が与えられたスカラー倍点 (X_d， Y_d,Z_d)を計算結果として出力する。

次に図 1 5により、 座標 x、 y X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d一 Ζ_ά— _τが与 えられた場合に X_d、 Y_d、 Z_dを出力する座標復元部の処理について説明する。 座標復元部 203では、 ワイエルシュトラス型楕円曲線において射影座標で表 されたスカラ一倍点 dP= (X _d， Y _d， Z _d )の座標のうち X _d及ぴ z _d、 射影座標で表さ れたワイエルシュトラス型楕円曲線上の点（d+1) P= (X_{d + 1},Y_{d+ 1},Z_{d + 1})©J¾ 標のうち X _d + i及び z _{d + 1}, 射影座標で表されたワイエルシュトラス型楕円曲線 上の点（d-DP ^d-^Yd— ^Zd— i)の座標のうち 及び スカラ 一倍計算部 103に入力されたワイエルシュトラス型楕円曲線上の点 Pをァフィ ン座標で表した (X, y)を入力し、 以下の手順で射影座標おいて完全な座標が与え られたスカラー倍点 (X_d,Y_d，Z_d)を出力する。 ここで入力されたワイエルシュト ラス型楕円曲線上の点 Pのァフィン座標を（X, y)で、 射影座標を（X J , Y丄， Z i )でそ れぞれ表す。 入力されたスカラー値を dとしてワイエルシュトラス型楕円曲線に おけるスカラー倍点 dPのァフィン座標を（x_d， y_d)で、 射影座標を (X_d,Y_d，Z_d)で それぞれ表す。 ワイエルシュトラス型楕円曲線上の点（d-l)Pのァフィン座標を

(x_d一 y_d— で、 射影座標を（X_d一 丫 一 ^Zd— でそれぞれ表す。 ヮイエ ルシュトラス型楕円曲線上の点（d+1) Pのァフィン座標を（X _d + j， y _d + )で、 射 影座標を (X_{d + 1},Y_{d+ :L},Z_{d +} i)でそれぞれ表す。

ステップ 1501において X_d— XZ_{d+ 1}が計算され、 に格納される。 ス テツプ: 1 502において Z_d— iXXa+iが計算され、 T ₂に格納される。 ステツ プ 1503において T — T₂が計算される。 ここで には X_d— が Τ₂ には 2₍₁__{1 (1+1}カそれぞれ格糸内されており、 した力 Sつて — 一 Z_d—ェ

X_{d + 1}が計算される。 その結果が TP に格納される。 ステップ 1504において Z_d Xxが計算され、 T ₂に格納される。 ステップ 1 505において X_d- T ₂が計 算さる。 ここで T ₂には Z_dxが格納されており、 したがって X_d_xZ_dが計算され る。 その結果が T ₂に格納される。 ステップ 1 506において T ₂の 2乗が計算 される。 ここで T₂には X_d- xZ_dが格納されており、 したがって（X_d- xZ_d) ²が計 算される。 その結果が T ₂に格納される。 ステップ 1 507において XT。 力 S計算される。 ここで丁 には X_d— Z_d— ₁X_{d + 1}力 ST₂には（X_d— xZ_d) ² がそれぞれ格納されており、 した力 Sつて（X_d- xZ_d)2(X_d— ₁Z_{d + 1}- Z_d—ェ X_{d + 1})が計算される。 その結果がレジスタ Y_dに格納される。 ステップ 1 508 において 4Xyが計算される。 その結果が T₂に格納される。 ステップ 1 509に おいて T₂XZ_{d + 1}が計算される。 ここで T ₂には 4yが格納されており、 したが つて 4yZ_{d + 1}が計算される。 その結果が T 2に格納される。 ステップ 1 5 1 0に おいて T ₂ XZ_d— が計算される。 ここで T ₂には 4yZ_{d + 1}が格納されており、 したがって 4yZ_{d + ;L}Z_d— 1が計算される。 その結果が T ₂に格納される。 ステツ プ 1 5 1 1において T ₂ XZ_dが計算される。 ここで T ₂には 4yZ_{d + 1}Z_d一丄カ格 鈉されており、 したがって 4yZ_{d + 1}Z_d— が計算される。 その結果が T ₂に格 納される。 ステップ 1 5 1 2において T ₂ XX_dが計算される。 ここで T ₂には 4yZ_{d + :L}Z_d一 力格糸内されており、 した力 って 4yZ_{d + 1}Z_d— iZdXdカ計算さ れる。 その結果がレジスタ Xdに格納される。 ステップ 1 5 1 3において T ₂ X Z_dが計算される。 ここで T ₂には 4yZ_{d + 1}Z_d一；^ 力 S格納されており、 したが つて 4yZ_{d + 1}Z_d— ZdZdカ計算される。 その結果がレジスタ Z_dに格納される。 したがってレジスタ Z_dには 4y Z_{d+ 1}Z_d— iZdZd力 S格糸内されている。 レジスタ Y_d こはステップ 1 5 0 7におレヽて（X_d— xZ_d)2(X_d— ₁Z_d+ i— Z_d一 ₁X_{d + 1})力 S格 納され、 その後更新が行われないので、 その値が保持されている。 レジスタ X_d にはステップ 1 5 1 2におレヽて 4yZ_{d + 1}Z_d— ZaXdカ格納され、 その後更新が 行われないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 X_d__l

Z_d— iからワイエルシュトラス型楕円曲線におけるスカラー倍点の射影座標 (X _d， Y _d， Z _d )における値が全て復元される理由は以下の通りである。 点（d+l)Pは 点 dPに点 Pを加算した点である。 点（d-1) Pは点 dPから点 Pを減算した点である。 ヮ ィエルシュトラス型楕円曲線のァフィン座標における加算公式に代入すると、 数 2 7、 数 2 8を得る。 両辺を各々減算することにより、 数 2 9を得る。 したがつ て、 数 3 0となる。 ここで x _d=X_d/Z_d、 X _{d + 1} =X_{d + 1}/Z_{d + 1}、 x _d_! = X d— ;i /Z _d一 iであり、 この値を代入することにより射影座標の値へと変換する と、 数 3 1を得る。 X _d=X_d/Z_dであるが、 y_dの分母と通分することにより、 数 3 2となる。

その結果として

= (X_d^Z_M -Z_d__xX_M){X_d ~Z_dx)² …数 3 3

とし、 x_d及び z_dをそれぞれ

^_ΜΖ_ά__λΖ_άΧ_ά …数 3 4 yZ_d+Z_d__xZ_dZ_d …数 3 5

により更新すればよい。

ここで、 X_d， Y_d， Z_dは図 1 5で示した処理により与えられる。 したがって、 射影座標 (X _d， Y _d , Z _d )の値は全て復元されたことになる。

上記手順はステップ 1 501、 ステップ 1 50 5、 ステップ 1 504、 ステツ プ 1 507、 ステップ 1 509、 ステップ 1 5 1 0、 ステップ 1 5 1 1、 ステツ プ 1 5 1 2及びステップ 1 5 1 3において有限体上の乗算の計算量を必要とする。 ただ.し、 ステップ 1 508の乗算は、 被乗数の値が 4と小さいので、 その計算 量は通常の乗算の計算量と比べて小さい為無視してよい。 また、 ステップ 1 50 6において有限体上の 2乗算の計算量を必要とする。 有限体上の減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小さいので無視しても よい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を Sとすると、 上記手順は 9 M+ Sの計算量を必要とする。 これは高速スカラー倍計算の計算量 と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビットであれば、 高速ス カラー倍計算の計算量はおおよそ 1 500M弱と見積もられる。 S = 0. 8Mと 仮定すると座標復元の計算量は 9. 8Mであり、 高速スカラー倍計算の計算量と 比べてはる力に小さい。 したがつて効率的に座標を復元できていることが示され た。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d，Y_d， Z_dの値が 計算できれば X_d,Y_d，Z_dの値が復元できる。 また、 x_d,y_dが上記計算式により与 えられる値を取るように X _d , Y _d , Z _dの値を選択し、 その値が計算できれば X _d， Y _d , z _dが復元できる。 それらの場合においては一般的に復元に必要となる計算 量が増大する。

次に、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d， z_d， X_{d +} i， Z_{d + 1}， X_d— Z_d一丄を出力するアルゴリズムについて説明する。

第 7実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 6実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及び ワイエルシュトラス型楕円曲線上の点 pから、 X_d, z_d, X_{d + 1}, Z_d+丄， _d_i, Zd— を出力するアルゴリズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなくて も、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 から、 X_d， Z_d, X_{d +1}， Z_{d + 1}, X_d— を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 9M+Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計算に 必要な計算量の （9. 2 k + 4) Mとに比べてはるかに小さレ、。 したがって、 ス カラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー倍計算 部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8Mと仮定 すると、 この計算量はおおよそ （9. 2 k+ 13. 8) Mと見積もることができ る。 例えばスカラー値 dが 160ビット （k=160) であれば、 このスカラー 倍計算に必要な計算量はおおよそ 1486Mとなる。 楕円曲線としてワイエルシ ュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心とし た混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビアン 座標として出力する場合に必要となる計算量はおおよそ 1600Mであり、 これ と比べて必要となる計算量は削減されている。

第 8の実施例は楕円曲線としてワイエルシュトラス型楕円曲線を用いたもので ある。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はワイエル シュトラス型楕円曲線である。 ただし、 スカラー倍計算部 103の内部の計算で 使用する楕円曲線として、 与えられたワイエルシュトラス型楕円曲線から変換可 能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 103 がスカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュト ラス型楕円曲線におけるァフィン座標の点として完全な座標が与えられたスカラ 一倍点 (x_d，y_d)を計算し出力する。 スカラ一値 d及びワイエルシュトラス型楕円 曲線上の点 Pをスカラー倍計算部 1 ◦ 3に入力すると高速スカラー倍計算部 20 2がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 dと 与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシュトラス型楕 円曲線においてァフィン座標で表されたスカラ一倍点 dP= (x_d)y_d)の座標のう ち x_d、 ァフィン座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P = (x_{d + 1}， y_{d + 1})の座標のうち x_{d +}i、 ァフィン座標で表されたワイエルシュト ラス型楕円曲線上の点（d- 1)Ρ= (_{Χ (1} _ υ _ά— の座標のうち x_d—丄を計算し、 ァフィン座標で表された入力されたワイエルシュトラス型楕円曲線上の点 P = (x, y)と共にその情報を座標復元部 20 3に与える。 座標復元部 20 3は与えら れた座標の値 x_d、 x_{d + 1}、 x_d—い χ及ぴ yよりワイエルシュトラス型楕円曲線 においてァフィン座標で表されたスカラ一倍点 dP= (x_d,y_d)の座標 y _dの復元を 行なう。 スカラー倍計算部 1 03はァフィン座標において完全に座標が与えられ たスカラー倍点 (x_d,y_d)を計算結果として出力する。

次に図 1 6により、 座標 x、 y、 x_d、 x_{d + 1}, x_d— が与えられた場合に、 x_d、 y_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 ワイエルシュトラス型楕円曲線においてァフィン座標 で表されたスカラー倍点 dP= (x_d,y_d)の座標のうち X _d、 ァフィン座標で表され たワイエルシュトラス型楕円曲線上の点（d+1) P=(x_{d + 1},y_{d+ 1})の座標のうち x_{d + 1}、 ァフィン座標で表されたワイエルシュトラス型楕円曲線上の点（d- 1)P= (x_d一; L'ya— ;!)の座標のうち Xd—ぃ スカラー倍計算部 1 03に入力されたヮ ィエルシュトラス型楕円曲線上の点 Pをァフィン座標で表した（x， y)を入力し、 以 下の手順でァフィン座標において完全な座標が与えられたスカラー倍点（X _d， y_d)を出力する。

ステップ 1 6 01において x_d— Xが計算され、 に格納される。 ステップ 1 6 0 2において の 2乗すなわち（x_d— X) "が計算され、 に格納される。 ステップ 1 6 03において x_d— 一 x_{d + 1}が計算され、 T₂に格納される。 ステ ップ 1 6 04において ΧΤ₂が計算される。 ここで には（x_d— χ₂が Τ₂ には X _d一丄一 X _d +ェ力 Sそれぞれ格内されており、 した;^つて（X _d—X) (X _d一ェ一 x_{d + 1})が計算される。 その結果が に格納される。 ステップ 1 6 0 5におい て 4Xyが計算され、 T₂に格納される。 ステップ 1 606において Τ₂の逆元が 計算される。 ここで Τ ₂には 4yが格納されており、 したがって l/4yが計算される。 その結果が T ₂に格納される。 ステップ 1 6 07において T ₁ XT ₂が計算され る。 ここで には (x_d— X) ² (x_d— ;L—) _{d + 1})が T₂には l/4yがそれぞれ格納さ れており、 したがって（x_d— X) (x_d一 ]L—Xrt + i)/4yが計算される。 その結果が レジスタ y_dに格納される。 したがってレジスタ y_dには（x_d— χ) ²(x_d—ェ一 x_{d + 1})/4yが格納されている。 レジスタ x_dは全く更新されないので入力された 値が保持されている。

上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 点（d+1) Pは点 dPに点 Pを加算した点である。 点（d- 1) Pは点 dPから点 Pを減算した点 である。 ワイエルシュトラス型楕円曲線のァフィン座標における加算公式に代入 すると、 数 27、 数 28を得る。 両辺を各々減算することにより、 数 29を得る。 したがって、 数 30となる。 ここで x_d，y_dは図 1 6の処理によって与えられる。 したがって、 ァフィン座標 (x_d,y_d)の値を全て復元していることになる。

上記手順はステップ 1604、 ステップ 1607において有限体上の乗算の計 算量を必要とする。 ただし、 ステップ 1605の乗算は、 被乗数の値が 4と小さ いので、 その計算量は通常の乗算の計算量と比べて小さい為無視してよい。 また、 ステップ 1602において有限体上の 2乗算の計算量を必要とする。 さらにステ ップ 1606において有限体上の逆元演算の計算量を必要とする。 有限体上の減 算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量、 逆元演算の計算量と 比べて比較的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体 上の 2乗算の計算量を S、 有限体上の逆元演算の計算量を Iとすると、 上記手順 は 2M+S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計算量と比 ベてはるかに小さレ、。 例えばスカラー値 dが 1 60ビットであれば、 高速スカラ 一倍計算の計算量はおおよそ 1500M弱と見積もられる。 S = 0. 8M及び I =40Mと仮定すると座標復元の計算量は 42. 8Mであり、 高速スカラー倍計 算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元できている ことが示された。

尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_dの値が 復元できる。 その場合は一般的に復元に必要となる計算量が増大する。

次に図⁷により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d、 x_d+い を出力するアルゴリズムについて説明する。

高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 1 03に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりワイエルシュト ラス型楕円曲線においてァフィン座標で表されたスカラー倍点 dP = (X _d， y _d )の うち x_d、 ァフィン座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P = (x_{d + 1}，y_{d + 1})のうち x_{d + 1}、 ァフィン座標で表されたワイエルシュトラス 型楕円曲線上の点（d- l)P=(x_d— _{1> Υ (1}— のうち x_d—丄を出力する。 ステップ 716として、 与えられたワイエルシュトラス型楕円曲線上の点 Pをモンゴメリ 型楕円曲線上で射影座標により表された点に変換する。 この点をあらためて点 P とする。 ステップ 701として、 変数 Iに初期値 1を代入する。 ステップ 702 として、 点 Pの 2倍点 2 Pを計算する。 ここで点 Pは射影座標にぉレ、て（ X， y， 1)と して表し、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 2倍 点 2Pを計算する。 ステップ 703として、 スカラー倍計算部 103に入力された 楕円曲線上の点 Pとステップ 702で求めた点 2Pを、 点の糸且 (P，2P)として格納す る。 ここで点 P及ぴ点 2Pは射影座標で表されている。 ステップ 704として、 変 数 Iとスカラー値 dのビット長とが一致するかどうかを判定し、 一致すれば m=dと なり、 ステップ 714へ行く。 一致しなければステップ 705へ行く。 ステップ 705として、 変数 Iを 1増加させる。 ステップ 706として、 スカラー値の I 番目のビットの値が 0であるか 1であるかを判定する。 そのビットの値が 0であ ればステップ 707へ行く。 そのビットの値が 1であればステップ 710へ行く。 ステップ 707として、 射影座標により表された点の組 (mP， (m+1) P)から点 mPと 点（m+l)Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ステップ 70 8へ行く。 ここで、 加算 mP+ (m+1) Pは、 モンゴメリ型楕円曲線の射影座標におけ る加算公式を用いて計算される。 ステップ 708として、 射景座標により表され た点の組 (mP，（m+l)P)から点 raPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その 後ステップ 709へ行く。 ここで、 2倍算 2(mP)は、 モンゴメリ型楕円曲線の射 影座標における 2倍算の公式を用いて計算される。 ステップ 709として、 ステ ップ 7 0 8で求めた点 2mPとステップ 7 0 7で求めた点（2m+ 1 )Pを点の組 (2raP, (2m+ 1 ) P)として、 点の組 (mP， （m+ 1 )P)の代わりに格納する。 その後ステ ップ 704へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及ぴ点 (_m+ 1 )Pは全て射 影座標において表されている。 ステップ 710として、 射影座標により表された 点の組（mP， (m+ 1 ) P)から点 mPと点 (m+ 1 ) Pの加算 mP+ (m+ 1 ) pを行ない、 点 (2m+ 1)Pを計算する。 その後ステップ 71 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モ ンゴメリ型楕円曲線の射影座標における加算公式を用いて計算される。 ステップ 71 1として、 射影座標により表された点の組 (mP, (m+ 1 )P)から点（ra+ 1 )Pの 2 倍算2((111+1)^を行なぃ、 点（2m+2)Pを計算する。 その後ステップ 7 1 2へ行く。 ここで、 2倍算 2((m+l)P)は、 モンゴメリ型楕円曲線の射影座標における 2倍算 の公式を用いて計算される。 ステップ 712として、 ステップ 710で求めた点 (2m+ 1)Pとステップ 71 1で求めた点（2m+2) Pを点の組（（2m+l) P, (2m+2) P)とし て、 点の組 (mP， （m+l)P)の代わりに格納する。 その後ステップ 704へ戻る。 こ こで、 点 (2m+l)P、 点 (2m+2)P、 点 mP及び点 (m+1) Pは全て射影座標において表され ている。 ステップ 714として、 射影座標で表された点の組 (mP，（m+l)P)から、 点 (m- 1) Pの射影座標における X座標 Xm-1及び Z座標 Zm-1を求める。 その後ステップ · 71 5へ行く。 ステップ 71 5として、 モンゴメリ型楕円曲線における点（m - 1)P を、 ワイエルシュトラス型楕円曲線上でァフィン座標により表された点に変換す る。 その点の X座標をそれぞれあらためて xm - 1とおく。 また、 モンゴメリ型楕円 曲線において射影座標で表された点の組（mP，（m+l)P)に対して、 点 mP及ぴ点 (m+1) Pをワイエルシュトラス型楕円曲線上でァフィン座標で表された点に変換し、 それぞれ mP= (xm, ym) 及び (m+l)P= (xm+1, ym+1) とあらためて置き直す。 ここ で、 ym及ぴ ym+1は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍 算の公式では Y座標を求める事ができないので、 求まっていない。 その後ステツ プ 713へ行く。 ステップ 71 3として、 ワイエルシュトラス型楕円曲線上でァ フィン座標で表された点（m- 1)Pの X座標 xm-1を x_d— として、 ワイエノレシュトラ ス型楕円曲線上で射影座標で表された点 mP= (x_m, y_m) より x_mを x_dとして、 ヮ ィエルシュトラス型楕円曲線上でァフィン座標で表された点 (_m+l)P= (x_m+1, y_{m+ 1}) より x_{m+ 1}を x_{d+ 1}として、 出力する。 また上記手順により、 inとスカ ラー値 dはビット長が等しくさらにそのビッ トのパターンも同じとなる為、 等し くなる。 またステップ 714において（m- 1)Pを求める際に、 数 13、 数 14の公 式により求めてもよいし、 mが奇数であれば、. （（m- 1)/2)Pの値をステップ 71 2 の段階で別に保持しておき、 その値からモンゴメリ型楕円曲線の 2倍算の公式よ り、 （m_l)Pを求めてもよい。 モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Z1- 1ととる ことにより 3M+2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+2 Sである。 スカラー値の I番目のビッ トの値が 0であ れば、 ステップ 707において加算の計算量、 ステップ 708において 2倍算の 計算量が必要となる。 すなわち 6 M + 4 Sの計算量が必要となる。 スカラ一値の I番目のビットの値が 1であれば、 ステップ 710において加算の計算量、 ステ ップ 71 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの計算量 が必要である。 いずれの場合においても 6M+ 4 Sの計算量が必要である。 ステ ップ 704、 ステップ 705、 ステップ 706、 ステップ 707、 ステップ 70 8、 ステップ 709乃至はステップ 704、 ステップ 705、 ステップ 706、 ステップ 710、 ステップ 71 1、 ステップ 71 2の繰り返しの回数は、 （スカ ラー値 dのビット長） 一 1回となるので、 ステップ 702での 2倍算の計算量と ステップ 716でのモンゴメリ型楕円曲線上への点への変換に必要な計算量及び ステップ 715でのワイエルシュトラス型楕円曲線上の点への必要な計算量を考 慮に入れると、 全体の計算量は （6M+4 S) k+ 15M+ I となる。 ここで k はスカラー値 dのビット長である。 一般的には、 計算量 Sは、 S-0. 8M程度、 計算量 Iは、 I =40M程度と見積もられるので、 全体の計算量はおおよそ （9. 2 k + 55) Mとなる。 例えばスカラー値 dが 160ビット （k=1 60) であ れば、 上記手順のアルゴリズムの計算量はおおよそ 1527Mとなる。 スカラー 値 dのビットあたりの計算量としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H.し ohen， efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of AS1ACRYPT' 98， LNCS 1514 (1998) pp.51-65 には、 ワイエルシュ トラス型楕円曲線において、 ウィンドウ法を用レヽ てヤコビアン座標を中心とした混合座標系を用いたスカラー倍計算方法は高速な スカラー倍計算方法として記載されている。 この場合においては、 スカラー値の ビットあたりの計算量はおおよそ 1 0Mと見積もられる。 例えばスカラー値 dが 160ビット （k=160) であれば、 このスカラー倍計算方法の計算量はおお よそ 1640Mとなる。 したがって、 上記手順のアルゴリズムの方が計算量が少 なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d，

X d + 1， X d = 1を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 2M+ S + Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 55) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 I =40M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 97. 8) Mと 見積もることができる。 例えばスカラー値 dが 1 60ビット （k=1 60) であ れば、 このスカラー倍計算に必要な計算量は 157 OMとなる。 楕円曲線として ワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標 を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点を ァフィン座標として出力する場合に必要となる計算量はおおよそ 1640Mであ り、 これと比べて必要となる計算量は削減されている。

第 9の実施例は、 入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 103がスカラー 値 d及ぴワイエルシュ トラス型楕円曲線上の点 Pから、 ワイエルシュトラス型楕 円曲線におけるァフィン座標の点として完全な座標が与えられたスカラー倍点

(x _d, y _d) を計算し出力するものである。 スカラー値 d及ぴワイエルシュトラ ス型楕円曲線上の点 Pをスカラー倍計算部 1 03に入力すると高速スカラー倍計 算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラ 一値 dと与えられたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕 円曲線において射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち x_d及び z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+l)P=(X_{d + 1}， Y_{d + 1},Z_d + !) の座標のうち X_{d + 1}及び Z_{d +} iを計算する。 また、 入力されたヮ -トラス型楕円曲線上の点 Pを、 与えられたワイエルシュトラス型楕円 曲線から変換可能であるモンゴメリ型楕円曲線上の点に変換し、 その点を新たに P=(x，y)とおく。 高速スカラー倍計算部 202は、 X_d、 Z_d、 X_{d+ 1}、 Z_{d + 1}, x及び yを座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及ぴ yよりワイエルシュトラス型楕円曲線におい てァフィン座標で表されたス力ラ一倍点 dP= (x_d,y_d)の座標 X _d及ぴ y _dの復元 を行なう。 スカラー倍計算部 1 03はァフィン座標において完全に座標が与えら れたスカラー倍点 (x_d,y_d)を計算結果として出力する。

次に図 17により、 座標 x，y,X_d，Z_d，X_{d+ 1}，Z_{d + 1}が与えられた場合に x_d，y_d を出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標うち X _d及び Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（d+1) P= (X_{d + 1},Y_{d + 1},Z_{d + 1})の座標のうち X _d +丄及ぴ Z_{d + 1}、 スカラー倍計算部 1 03に入力されたモンゴメリ型楕円曲線上の点 Pを ァフィン座標で表した (x,y)を入力し、 以下の手順でァフィン座標おいて完全な 座標が与えられたスカラ一倍点（x_d，y_d)を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（x， y)で、 射影座標を（X 1 , Y 1， Z 1 )で それぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線における スカラー倍点 dPのァフィン座標を (x_d ^{Mo n}，y_d ^{Mo n})で、 射影座標を (X_d，Y_d， Z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上の点（d-l)Pのァフィン座標を

(Xd— ^ya— で、 射影座標を（X_d— Yd— ^Zd— でそれぞれ表す。 モンゴ メリ型楕円曲線上の点（d+1) Pのァフィン座標を（X _d + ;L , y _d +丄）で、 射影座標を (X_{d + 1}，Y_{d + 1}，Z_{d+ 1})でそれぞれ表す。

ステップ 1701において X_d Xxが計算され、 レジスタ T丄に格納される。 ス テツプ 1 702において T Z_dが計算される。 ここでレジスタ T には X_dxが 格納されており、 したがって X_dx-Z_d が計算される。 その結果がレジスタ に 格納される。 ステップ 1 703において Z_d Xxが計算され、 レジスタ T₂に格納 される。 ステップ 1 704において X_d- Τ₂が計算される。 ここでレジスタ Τ₂ には Z_dxが格納されており、 したがって X_d- xZ_dが計算される。 その結果がレジ スタ T ₂に格納される。 ステップ 1 705において X_{d + 1} XT ₂が計算される。 ここでレジスタ T ₂には X_d - xZ_dが格納されており、 したがって X_{d+ 1} (X_d-xZ_d) が計算される。 その結果がレジスタ T₃に格納される。 ステップ 1 706におい て Τ ₂の 2乗が計算される。 ここでレジスタ Τ₂には（X_d-xZ_d)が格納されてお り、 したがって（X_d- xZ_d) ²が計算される。 その結果がレジスタ T 2に格納され る。 ステップ 1 707において T₂XX_{d + 1}が計算される。 ここでレジスタ T ₂ には (X_d - xZ_d) ²が格納されており、 したがって X_{d + 1} (X_d - xZ_d) ²が計算される。 その結果がレジスタ T₂に格納される。 ステップ 1 708において T₂XZ_{d + 1} が計算される。 ここでレジスタ T ₂には X _{d +} (X _d - xZ _d ) ²が格納されており、 したがって Z_{d + 1}X_{d+ 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ T 2に格 納される。 ステップ 1709において T ₂ Xyが計算される。 ここでレジスタ T₂には Z_{d + 1}X_{d + 1} (X_d— xZ_d) ²力格糸内されており、 したカ つて _yz_{d + 1}x_{d + 1} (X_d- _XZ_d) ²が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 710において T ₂ XBが計算される。 ここでレジスタ T₂には yZ_{d+ 1}X_{d + 1} (X_d—xZ_d) ²力 S格糸内されており、 した力 Sつて ByZ_{d+ 1}X_{d+ 1} (X_d— xZ_d) カ計算さ れる。 その結果がレジスタ T₂に格納される。 ステップ 1 71 1において Τ ₂ X Z_dが計算される。 ここでレジスタ T₂には ByZ_{d+ 1}X_{d+ 1} (X_d-xZ_d) ²が格納さ れており、 したカ つて ByZ_{d + 1}X_{d + 1} (X_d— xZ_d) ²Z_dカ計算される。 その結果力 S レジスタ T ₂に格納される。 ステップ 1 71 2において T ₂ XX_dが計算される。 ここでレジスタ T₂には ByZ_{d+ 1}X_{d+ 1} (X_d- xZ_d) ²Z_dが格納されており、 した カ つて ByZ_{d + 1}X_{d + 1} (X_d - xZ_d) ²Z_dX_dが計算される。 その結果がレジスタ T₄ に格納される。 ステップ 1 71 3において T ₂ XZ_dが計算される。 ここでレジ スタ T₂には ByZ_{d + 1}X_{d + 1} (X_d- xZ_d) ²Z_dが格納されており、 したがって ByZ_{d + 1}X_{d + 1} (X_d-xZ_d) ²Z_dが計算される。 その結果がレジスタ T ₂に格納さ れる。 ステップ 1 714においてレジスタ T₂Xsが計算される。 ここでレジス タ T₂には ByZ_{d + 1}X_{d + 1} (X_d— xZ_d) ²Z_d2力 S格糸内されており、 した力 Sつて sByZ_{d+ 1}X_{d + 1} (X_d-xZ_d) ²Z_d2が計算される。 その結果がレジスタ T ₂に格納 される。 ステップ 171 5において T₂の逆元が計算される。 ここで、 Τ₂には sByZ_{d+ 1}X_{d + 1} (X_d— _XZ_d) ²Z_d2カ格糸内されており、 した力 Sつて 1/ sByZ_{d + 1} X_{d+ 1} (X_d- xZ_d) ²Z_d2力 S計算される。 その結果が T 2に格納される。 ステップ 1 7 1 6において Τ₂ ΧΤ₄が計算される。 ここでレジスタ Τ₂には l/sByZ_{d+ 1} X_{d + 1} (X_d-xZ_d) ²Z_d2力 Sレジスタ T₄には ByZd + iXd + i (Xd— xZ_d) _dX_dがそ れぞれ格納されており、 したカ つて（ByZ_{d+ 1}X_{d + 1} (X_d— xZ_d) ²Z_dX_d)/

(sByZ_{d + 1}X_{d + 1} (X_d- xZ_d) ²Z_d ²)力 S計算される。 その結果がレジスタ T ₄に格 納される。 ステップ 1 7 1 7において Τ₄ + αが計算される。 ここでレジスタ Τ₄には (ByZ_{d +} iX_{d+ ;t} (X_d— xZ_d) ²Z_dX_d)/(sByZ_{d + 1}X_{d + 1} (X_d-xZ_d) ²Z_d ²) が格納されており、 従って、 数 36が計算される。

ByZ_{d+1 d+i} j _d X_d - xZ_d ) X_d …数 3 6

sByZ_MX_d+lZ_d{X_d -xZ_dY _d その結果が、 レジスタ x_dに格納される。 ステップ 1 7 1 8において XZ_{d + 1} が計算される。 ここでレジスタ には X_dx - Z_dが格納されており、 したがって Z_{d + 1} (X_dx - Z_d)が計算される。 その結果がレジスタ T₄に格納される。 ステツ プ 1 71 9においてレジスタ の 2乗が計算される。 ここでレジスタ には (X_dx- Z_d)が格納されており、 したがって（X_dx - Z_d) ²が計算される。 その結果が レジスタ に格納される。 ステップ 1 7 20において XT₂が計算される。 ここでレジスタ には（X_dx- Z_d) ²がレジスタ T₂には l/sByZ_{d + 1}X_{d + 1} (X_d-xZ_d) Z_d ²がそれぞれ格納されており、 したがって（X_dx - Z_d) ²/sByZ_{d + 1} X_{d + 1} (X_d-xZ_d) ²Z_d ²力 S計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 72 1において Τ₃+Τ₄が計算される。 ここでレジスタ Τ₃には X_{d + 1} (X_d-xZ_d) がレジスタ T₄には Z_{d + 1} (X_dx - Z_d)がそれぞれ格納されてお り、 したがって X_{d + 1} (X_d-xZ_d)+Z_{d+ 1} (X_dx - Z_d)が計算される。 その結果がレ ジスタ丁丄に格納される。 ステップ 1 722において T ₃- T₄が計算される。 こ こでレジスタ Τ₃には X_{d + 1} (X_d- xZ_d)がレジスタ T₄には Z_{d + 1} (X_dx- Z_d)がそ れぞれ格納されており、 したがって X_{d + 1} (X_d- xZ_d)- Z_{d + 1} (X_dx - Z_d)が計算さ れる。 その結果がレジスタ T₃に格納される。 ステップ 1 72 3において X T ₃が計算される。 ここでレジスタ には X_{d + 1} (X_d— xZ_d)+Z_{d + 1} (X_dx - z_d)力 s レジスタ T 3には X _d + i (X _d - xZ _d ) _Z _d + i (X _d x- Z _d )がそれぞれ格納されており、 したがっての d + 1 d— ^xZ d ) ^+Z d + 1 (X d ^x一ん d ) ) d + 1 (X d -xZ _d)~Z_{d + 1} (X_dX~ Z_d)}が計算される。 その結果がレジスタ に格納される。 ステップ 1 7 2 4 において XT ₂が計算される。 ここでレジスタ Τ丄には {X_{d + 1} (X_d-xZ_d)+Z d +i (X_dx- Z_d)} {X_{d + :L} (X_d- xZ_d)— Z_{d +} i (X_dx- Z_d)}がレジスタ T ₂には (X_dx -

Z_d) VsByZ_{d + 1}X_{d + 1} (X_d-xZ_d) Z_d ²力 Sそれぞれ格糸内されており、 した力 Sつて +₁ (X_dx -Z_d) + X_d+1 (X_d - xZ_d)}{Z_d+1 {X_dx -Z_d)- X_M (X_d -xZ_d)}{X_dx-Z_df

_SByZ_MX_M(X_d-xZ_dYZ_d ²

…数 3 7 が計算される。 その結果がレジスタ y _dに格納される。 したがってレジスタ y _d には数 3 7の値が格納されている。 レジスタ X _dにはステップ 1 7 1 7において 数 3 6の値が格納され、 その後更新が行なわれないので、 その値が保持されてい る。 その結果として、 ワイエルシュトラス型楕円曲線におけるァフィン座標

(X _d， y _d)の値が全て復元されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からワイエルシ ュトラス型楕円曲線におけるスカラー倍点のァフィン座標（X _d， y _d)における 値が全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した 点である。 点（d - 1)Pは点 dPから点 Pを減算した点である。 モンゴメリ型楕円曲線 のァフィン座標における加算公式に代入すると、 次の式を得る。

(Λ+ Χ+ + - ² = Biy " -yf …数 3 8

+ X + x + x_d.Mx ⁿ - ^)² = B(y^°" + yf …数 3 9

両辺を各々減算することにより、

…数 4 0

を得る。 したがって、

— ¾₊₁χ¾^Μ° "- ²/ '数 4 1

となる。 ここで x _d ^{Mo n}=X_d/Z_d. ^x d + 1 ^=Xd + l /^Zd + 1、 X d - 1 ~^Xd - 1 /Z_d—ェであり、 この値を代入する とにより射影座標の値へと変換すると、 次 の式を得る。

y ⁿ = ( — ₊₁ -Ζ^Χ_Μ)(Χ_ά -Ζ,χγ/ΑΒγΖ_ά__λΖ_ΜΖ …数 4 2

モンゴメリ型楕円曲線の射影座標での加算公式は既に示した数 1 1、 数 1 2であ る。 ここで X_m及び Z_mはモンゴメリ型楕円曲線上の点 Pの m倍点 mPの射影座標に おける X座標及ぴ Z座標、 X_n及び Z_nはモンゴメリ型楕円曲線上の点 Pの n倍点 nP の射影座標における X座標及び Z座標、 X_m— _n及び Z_m— _nはモンゴメリ型楕円曲線 上の点 Pの (m- n)倍点 (m- n) Pの射影座標における X座標及び Z座標、 X_{m+ n}及び Z_m+nはモンゴメリ型楕円曲線上の点 Pの（m+n)倍点 (m+n) Pの射影座標における X 座標及ぴ Z座標であり、 m， nは m>nをみたす正整数である。 この式は X_m/Z_m = x_m、 X_n/Z_n = x_n、 X_m— _n/Z_m—_n=x_m—_nが不変のとき、 X_m+n/Z_m+n =

Xm+nも不変となるので、 射影座標での公式としてうまく働いている。 他方、 数 13、 数 14とおくと、 この式も X_m/Z_m=x_m、 X_n/Z_n=x_n、 X_m— _n/Z_m一 _n

= X_m— nが不変のとき、 X_m+n/Z_{m+ n}= X_m—_nも不変となる。 また、 X，_m—_n /Z'_m—_n=X_m—_n/Z_m— _n=x_m—_nをみたすので、 x_m— _nの射影座標として

X' m— _n,Z'_m—_nをとつてよい。 m=d、 n =lとして上記公式を用いて _y d^M°ⁿの 式より X_d— i及び Z_d— を消去し、 Χ1 = χ,Ζ1 = 1とおくことにより、 次の式を得 る。

{Z_d+l(X_dx-Z_d) + X_d+1(X_d -xZ_d)}\Z_d+1(X_dx-Z_d)-X_d+1(X_d-xZ_d)}(X_dx-Z_d)²

ByZ_d+lX_d+1(X_d~_xZ_dTZ~

…数 4 3 x _d ^M。ⁿ=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _d ^M。 ^dの分母と 通分することにより、

ByZ_MX_d+lZ_d{X_d -xZ_dfX_d

··数 4 4

ByZ_MX_d+lZ_d{X_d -xZ_dfZ_d となる。 モンゴメリ型楕円曲線上の点とワイエルシュトラス型楕円曲線上の点と の対応関係については、 Κ· Okeya, H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery- Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによ ると、 変換パラメタを s， ひとして、 y_d=s - ly_d ^{Mo n}及び x_d=_s- lx_d ^{Mo n} +ひの関 係がある。 結果として数 45、 数 46を得る。

{Z_eM (X_dx -Z_d) + X_M (X_d - xZ_d)}{Z_M (X_dx -Z_d)- X_iM (X_d - xZ_d)}{X_dx - Z_df ^y" sByZ_MX_d+l(X_d-xZ_dyz_d ²

数 4 5 x_d ={ByZ_MX_d^Z_d{X_d -xZ_d)²X_d)l{_SByZ_d+xX_d+lZ_d{X_d -xZ_d)²Z_d) + a

…数 4 6 ここで、 x_d,y_dは図 1 7より与えられる。 したがって、 ワイエルシュトラス 型楕円曲線におけるァフィン座標（x_d，y_d)の値が全て復元されていることにな る。

上記手順はステップ 1 7 0 1、 ステップ 1 70 3、 ステップ 1 7 0 5、 ステツ プ 1 70 7、 ステップ 1 7 0 8、 ステップ 1 7 0 9、 ステップ 1 7 1 0、 ステツ プ 1 7 1 1、 ステップ 1 7 1 2、 ステップ 1 7 1 3、 ステップ 1 7 1 4、 ステツ プ 1 7 1 6、 ステップ 1 7 1 8、 ステップ 1 7 2 0、 ステップ 1 7 2 3及びステ ップ 1 7 24において有限体上の乗算の計算量を必要とする。 また、 ステップ 1 7 06及びステップ 1 7 1 9において有限体上の 2乗算の計算量を必要とする。 また、 ステップ 1 Ί 1 5において有限体上の逆元演算の計算量を必要とする。 有 限体上の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及 ぴ逆元演算の計算量と比べて比較的小さいので無視してもよレ、。 有限体上の乗算 の計算量を M、 有限体上の 2乗算の計算量を S及び有限体上の逆元演算の計算量 を Iとすると、 上記手順は 1 6M+ 2 S+ Iの計算量を必要とする。 これは高速 スカラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 6 0 ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 5 0 0M弱と見積も られる。 S = 0. 8M、 I =40Mと仮定すると座標復元の計算量は 5 7. 6M であり、 高速スカラー倍計算の計算量と比べてはるかに小さい。 したがって効率 的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた x_d， y_dの値が計 算できれば x_d， y_dの値が復元できる。 その場合においては一般的に復元に必要 となる計算量が増大する。 また、 モンゴメリ型楕円曲線のパラメタである Bの値 やモンゴメリ型楕円曲線への変換パラメタである sを小さくとることにより、 ス テツプ 1 7 1 0における乗算の計算量やステップ 1 7 1 4における乗算の計算量 を削減することができる。

次に図 8により、 スカラ一値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， X_{d + 1}, Z_{d + 1}を出力する高速スカラー倍計算部の処理について説明 する。

高速ス力ラ一倍計算部 2 0 2では、 スカラ一倍計算部 1 0 3に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕 円曲線において射影座標で表されたスカラ一倍点 dP= ½ ₍₁，丫₍₁，2 ₍₁ )のぅち ₍₁及ぴ Z _d、 射影座標で表されたモンゴメリ型楕円曲線上の点 (d+l) P= (X_{d + 1}，Y _{d + 1}， Z _{d + 1} )のうち X _{d + 1}及ぴ Z _{d + 1}を出力する。 ステップ 8 1 6として、 与えられ たワイエルシュトラス型楕円曲線上の点 Pをモンゴメリ型楕円曲線上で射影座標 により表された点に変換する。 この点をあらためて点 Pとする。 ステップ 8 0 1 として、 変数 Iに初期値 1を代入する。 ステップ 8 0 2として、 点 Pの 2倍点 2P を計算する。 ここで点 Pは射影座標において（x， y, 1)として表し、 モンゴメリ型楕 円曲線の射影座標における 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 8 0 3として、 スカラー倍計算部 1 0 3に入力された楕円曲線上の点 Pとステツ プ 8 0 2で求めた点 2Pを、 点の組（P，2P)として格納する。 ここで点 P及ぴ点 2Pは 射影座標で表されている。 ステップ 8 0 4として、 変数 I とスカラー値 dのビッ ト長とが一致するかどうかを判定し、 一致すればステップ 8 1 3へ行く。 一致し なければステップ 8 0 5へ行く。 ステップ 8 0 5として、 変数 Iを 1増加させる。 ステップ 8 0 6として、 スカラー値の I番目のビットの値が 0であるか 1である かを判定する。 そのビットの値が 0であればステップ 8 0 7へ行く。 そのビット の値が 1であればステップ 8 1 0へ行く。 ステップ 8 0 7として、 射影座標によ り表された点の組 (mP， (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行ない、 点 (2m+l) Pを計算する。 その後ステップ 8 0 8へ行く。 ここで、 加算 mP+ (m+l) Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算される。 ステツ プ 8 0 8として、 射影座標により表された点の組 (niP，（m+1) P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 8 0 9へ行く。 ここで、 2倍 算 2 (mP)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計 算される。 ステップ 8 0 9として、 ステップ 8 0 8で求めた点 2raPとステップ 8 0 7で求めた点（2m+l) Pを点の組（2mP， (2m+l) P)として、 点の組 (mP, (m+l) P)の代 わりに格納する。 その後ステップ 8 0 4へ戻る。 ここで、 点 2mP、 点（2m+ l)、 点 mP及ぴ点（m+1) Pは全て射影座標において表されている。 ステップ 8 1 0として、 射影座標により表された点の組 (mP， (m+1) P)から点 mPと点 (m+1) Pの加算 mP+ (m+1) P を行ない、 点（2m+l)を計算する。 その後ステップ 8 1 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算 される。 ステップ 81 1として、 射影座標により表された点の組 (mP，（ra+l)P)か ら点 (m+l)Pの 2倍算 2((m+l)P)を行ない、 点 (2m+2)Pを計算する。 その後ステップ 812へ行く。 ここで、 2倍算 2((m+l)P)は、 モンゴメリ型楕円曲線の射影座標 における 2倍算の公式を用いて計算される。 ステップ 81 2として、 ステップ 8 1 0で求めた点（2m+l)Pとステップ 8 1 1 で求めた点（2m+2)Pを点の組 ((2m+l)P, (2m+2)P)として、 点の組 (mP, (m+1) P)の代わりに格納する。 その後ステ ップ 804へ戻る。 ここで、 点（2m+l) P、 点（2m+2)、 点 mP及び点（m+ 1 ) Pは全て射 影座標において表されている。 ステップ 81 3として、 射影座標で表された点の 組 (mP， (m+1) P)から、 射影座標で表された点 mP= (X_m, Y_m， Z_m)より X_m及び Z_mをそ れぞれ X _d及ぴ Z _dとして、 射影座標で表された点 (m+1) P= (X_m+ i,Y_m+i,Zm+i) より X_{m+ 1}及び Z_m+1をそれぞれ X_{d + 1}及び Z_{d + 1}として、 出力する。 ここで、 Y_m及び Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍 算の公式では Y座標を求める事ができないので、 求まっていない。 また上記手順 により、 mとスカラー値 dはビット長が等しくさらにそのビットのパターンも同 じとなる為、 等しくなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Zl=lととるこ とにより 3 M+ 2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体上 の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の公 式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0であれ ば、 ステップ 807において加算の計算量、 ステップ 808において 2倍算の計 算量が必要となる。 すなわち 6M+ 4 Sの計算量が必要となる。 スカラー値の I 番目のビットの値が 1であれば、 ステップ 810において加算の計算量、 ステツ プ 81 1において 2倍算の計算量が必要となる。 すなわち 6 M+ 4 Sの計算量が 必要である。 いずれの場合においても 6M+ 4 Sの計算量が必要である。 ステツ プ 804、 ステップ 805、 ステップ 806、 ステップ 807、 ステップ 808、 ステップ 809乃至はステップ 804、 ステップ 805、 ステップ 806、 ステ ップ 810、 ステップ 81 1、 ステップ 812の繰り返しの回数は、 （スカラー 値 dのビット長） 一 1回となるので、 ステップ 802での 2倍算の計算量及ぴス テツプ 816でのモンゴメリ型楕円曲線上の点への変換の計算量を考慮に入れる と、 全体の計算量は （6M+4 S) (k— 1) +4M+2 Sとなる。 ここで kは スカラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度と 見積もられるので、 全体の計算量はおおよそ （9. 2 k— 3. 6) Mとなる。 例 えばスカラー値 dが 1 60ビット （k==l 60) であれば、 上記手順のアルゴリ ズムの計算量はおおよそ 1468Mとなる。 スカラー値 dのビットあたりの計算 量としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H.Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in

Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51-65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用いてヤコビアン座標 を中心とした混合座標系を用いたスカラ一倍計算方法は高速なスカラ一倍計算方 法として記載されている。 この場合においては、 スカラー値のビットあたりの計 算量はおおよそ 10Mと見積もられる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 このスカラー倍計算方法の計算量はおおよそ 1 600Mと なる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速といえる。 尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， X_{d + 1}, Z_{d+ 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 16M+ 2 S + Iであり、 これは高速スカラー倍計算部 202の高速スカラー 倍計算に必要な計算量の （9. 2 k— 3. 6) Mとに比べてはるかに小さい。 し たがって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速ス 力ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 I = 4 0M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 54) M と見積もることができる。 例えばスカラー値 dが 1 60ビット （k=1 60) で あれば、 このスカラー倍計算に必要な計算量は 1526Mとなる。 楕円曲線とし てワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座 標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点 をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 64 OMで あり、 これと比べて必要となる計算量は削減されている。

第 10の実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 1 03がスカラー 値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュトラス型楕円 曲線における射影座標の点として完全な座標が与えられたスカラ一倍点，

(X_d ^W，Y_d ^W,Z_d ^W)を計算し出力する。 スカラー値 d及びワイエルシュ トラス型楕 円曲線上の点 Pをスカラー倍計算部 103に入力すると高速スカラー倍計算部 2 02がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 d と与えられたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線 において射影座標で表されたスカラ一倍点 dP= (X _d , Y _d， Z _d )の座標のうち X _d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点 d(d+l)P=(X_{d + 1},

Yd + i，Z_d + i)の座標のうち Xd + i及ぴ Zd + iを計算する。 また、 入力されたヮ ィエルシュトラス型楕円曲線上の点 Pを、 与えられたワイエルシュトラス型楕円 曲線から変換可能であるモンゴメリ型楕円曲線上の点に変換し、 その点を新たに

P=(x,y)とおく。 高速スカラー倍計算部 202は、 X_d， Z_d， X_{d + 1}, Z_{d + 1}, x 及び yを座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d， Z_d， X_{d+ 1}， Z_{d + 1}， x及ぴ yよりワイエルシュトラス型楕円曲線において射影 座標で表されたスカラ一倍点 dP= (X_d ^W,Y_d ^W,Z_d ^W)の座標 X _d ^w、 Y _d w及び Z _d ^Wの 復元を行なう。 スカラー倍計算部 1 03は射影座標において完全に座標が与えら れたスカラ一倍点 (X _d ^W， Y _d ^W， Z _d ^W)を計算結果として出力する。

次に図 18により、 座標 x， y, X_d, Z_d, X_{d + 1}， Z_d + が与えられた場合に X_d ^W、 Y_d ^W、 z_d ^wを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち X _d及び Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（₍1_{+ 1})?=^_{(1+ 1},¥_{(1 + 1 (1+1})の座標のぅち ₍1₊1及ぴ Z_d+i、 スカラー倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 Pを ァフィン座標で表した（x,y)を入力し、 以下の手順でワイエルシュトラス型楕円 曲線上で射影座標おいて完全な座標が与えられたスカラー倍点 (X _d ^W， Y _d ^w， Z_d ^W)を出力する。 ここで入力されたモンゴメリ型楕円曲線上の点 Pのァフィン 座標を（x，y)で、 射影座標を Y Z でそれぞれ表す。 入力されたスカラー 値を dとしてモンゴメリ型楕円曲線におけるスカラー倍点 dPのァフィン座標を (x_d，y_d)で、 射影座標を (X_d，Y_d，Z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上 の点（d- 1) Pのァフィン座標を (X _D— ， y _d _ ）で、 射影座標を（X_d一 ;L， Y_d—ェ， Z_d— でそれぞれ表す。 モンゴメリ型楕円曲線上の点（d+l)Pのァフィン座標を (x_{d + 1}，y_{d + :L})で、 射影座標を（X_{d+ 1},Y_{d + 1},Z_{d + 1})でそれぞれ表す。

ステップ 1801において X_d Xxが計算され、 レジスタ に格納される。 ス テツプ 1 802において T - Z_dが計算される。 ここでレジスタ には X_dxが 格納されており、 したがって X_dx- Z_dが計算される。 その結果がレジスタ に 格納される。 ステップ 1803において Z_d Xxが計算され、 レジスタ T₂に格納 される。 ステップ 1804において X_d- Τ ₂が計算される。 ここでレジスタ Τ₂ には Z_dxが格納されており、 したがって X_d- xZ_dが計算される。 その結果がレジ スタ T₂に格納される。 ステップ 1805において Z_{d + 1} ΧΤ^が計算される。 ここでレジスタ Τ には X_dx- Z_dが格納されており、 したがって Z_{d+ 1} (X_dx-Z_d) が計算される。 その結果がレジスタ T₃に格納される。 ステップ 1806におい て X_{d + 1} ΧΤ₂が計算される。 ここでレジスタ Τ₂には X_d- xZ_dが格納されてお り、 したがって X_{d + 1} (X_d- xZ_d)が計算される。 その結果がレジスタ T ₄に格納 される。 ステップ 1807において の 2乗が計算される。 ここでレジスタ には X_dx - Z_dが格納されており、 したがって（X_dx- Z_d) ²が計算される。 その 結果がレジスタ T丄に格納される。 ステップ 1808において T₂の 2乗が計算 される。 ここでレジスタ Τ₂には X_d-xZ_dが格納されており、 したがって（X_d- xZ_d) が計算される。 その結果がレジスタ T₂に格納される。 ステップ 1809 において T₂XZ_dが計算される。 ここでレジスタ T₂には (X_d - xZ_d) ²が格納さ れており、 したがって Z_d(X_d - xZ_d) "が計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 1810において T₂XX_{d + 1}が計算される。 ここでレジ スタ T₂には Z_d (X_d-xZ_d) ²カ格納されており、 したカ つて X_{d + 1}Z_d (X_d-xZ_d) ² が計算される。 その結果がレジスタ T₂に格納される。 ステップ 18 1 1におい て T₂XZ_{d + 1}が計算される。 ここでレジスタ T₂には X_{d + 1}Z_d (X_d-xZ_d) ²が格 納されており、 したカ つて Z_{d + 1}X_{d + 1}Z_d(X_d— xZ_d) ²力 S計算される。 その結果 がレジスタ T 2に格納される。 ステップ 1 812において T₂ Xyが計算される。 ここでレジスタ丁₂には∑_{(1 + 1}乂_{(1+ 1}2₍₁ (X_d-xZ_d) ²が格納されており、 したが つて yZ_{d+ 1}X_{d + 1}Z_d (X_d-xZ_d) ²が計算される。 その結果がレジスタ T ₂に格納 される。 ステップ 1 8 1 3において T ₂ XBが計算される。 ここでレジスタ T ₂ には yZ_{d + 1}X_{d+ 1}Z_d (X_d-xZ_d) ²力 S格糸内されており、 した力 って ByZ_{d + 1}X_{d + 1} Z_d (X_d- xZ_d) ²が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1814において T 2 XX_dが計算される。 ここでレジスタ T₂には ByZ_{d + 1} Xd + lZ_d(X_d— xZ_d) ²力 S格糸内されており、 したカ つて ByZ_{d + 1}X_{d + 1}Z_d (X_d— xZ_d) ²X_dが計算される。 その結果がレジスタ T₅に格納される。 ステップ 1 8 1 5において T₂ XZ_dが計算される。 ここでレジスタ T₂には ByZ_{d + 1}X_{d+ 1}Z_d (X_d— xZ_d) 力 S格糸内されており、 した力 Sつて ByZ_{d + 1}X_{d + 1}Z_d (X_d— xZ_d) Z_d力 S 計算される。 その結果がレジスタ T₂に格納される。 ステップ 181 6において T₂ Xsが計算される。 ここでレジスタ下₂には82_{(1+1 (1+ 1}2_{(1 (1}— 2₍₁) ²Z_d カ格納されており、 した力 Sつて _SByZ_{d + 1}X_{d +} (X_d-xZ_d) ²Z_dカ計算される。 その結果が Z_dWに格納される。 ステップ 1 8 1 7において _α XZ_dWが計算され る。 ここで Z_dWには sByZ_{d + 1}X_{d + 1}Z_d (X_d— xZ_d) ²Z_d力 S格糸内されており、 した カ つて asByZ_{d + 1}X_{d + 1}Z_d (X_d- xZ_d) ²Z_dが計算される。 その結果がレジスタ T₂に格納される。 ステップ 181 8において Τ₂+Τ₅が計算される。 ここでレ ジスタ Τ ₂には a; sByZ _{d + 1}X_{d + 1}Z_d(X_d— xZ_d) ²Z_dカ レジスタ T₅には ByZ _d + ₁ ^xd + lZd(^xd—^xZd)^2xdカそれぞれ格納されており、 した力 ^sつて sByZ _d + i X_{d + 1}Z_d (X_d— xZ_d) ²Z_d+ByZ_{d + 1}X_{d + 1}Z_d (X_d— xZ_d) ²)(₍₁カ計算される。 その 結果が X_d ^Wに格納される。 ステップ 181 9において T₃+T₄が計算される。 ここでレジスタ Τ₃には Z_{d+ 1} (X_dX- Z_d)がレジスタ Τ₄には X_{d + 1} (X_d- xZ_d)が 格納されており、 したがって Z_{d +} i (X_dx- Z_d)+X_{d + 1} (X_d - xZ_d)が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 820において T₃_T₄が計 算される。 ここでレジスタ T₃には Z_{d +} i (X_dx- Z_d)がレジスタ T₄には X_{d + 1} (X_d- xZ_d)が格納されており、 したがって Z_{d +} i (X_dx_Z_d)- X_{d +} i (X_d - xZ_d)が 計算される。 その結果がレジスタ T₃に格納される。 ステップ 1821において XT ₂が計算される。 ここでレジスタ T丄には（X_dx- Z_d) ²がレジスタ T 2に は Z_{d+ 1} (X_dx— Z_d)+X_{d + 1} (X_d— xZ_d)力 S格糸内されており、 した力 Sつて {Z_{d + 1} (X_dx-Z_d)+X_{d + 1} (X_d-xZ_d)} (X_dx-Z_d) ²が計算される。 その結果がレジスタ

に格納される。 ステップ 1822において Ti XT ₃が計算される。 ここで レジスタ には {Z_{d + 1} (X_dx- Z_d)+X_{d +} i (X_d- xZ_d)}(X_dx-Z_d) ²がレジスタ T₃には Z_{d+ 1} (X_dx_Z_d)— X_{d+ 1} (X_d - xZ_d)力格糸内されており、 したがって {Z_{d + 1} (X_dx-Z_d)+X_{d + 1} (X_d-xZ_d)}{Z_{d+ 1} (X_dx-Z_d)-X_{d + 1} (X_d-xZ_d)}(X_d x - Z_d) ²が計算される。 その結果が Y_d ^Wに格納される。 したがって Y_d ^Wには {Z_{d + 1} (X_dx-Z_d)+X_{d + 1} (X_d-xZ_d)}{Z_{d+ 1} (X_dx-Z_d)-X_{d + 1} (X_d-xZ_d)}(X_dx- Z_d) ²が格納されている。 にはステップ 1818において ByZ_{d + 1}X_{d+ 1}Z_d (X_d-xZ_d) ²X_d + asByZ_{d + 1}X_{d + 1}Z_d(X_d-xZ_d) ²Z_d力格糸内され、 その後更新力 S 行われないので、 その値が保持されている。 X_d ^Wにはステップ 1 8 1 6におレヽ て sByZ _{d + 1}X_{d + 1}Z_d(X_d-xZ_d) ²Z_dが格納され、 その後更新が行われないので、 その値が保持されている。 その結果として、 ワイエルシュトラス型楕円曲線にお ける射影座標 (X_d ^W,Y_d ^W,Z_d ^W)の値が全て復元されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からワイエルシュ トラス型楕円曲線におけるスカラ一倍点の射影座標 (X _d ^W， Y _d ^W， Z _d W)における 値が全て復元される理由は以下の通りである。 点（d+1) Pは点 dPに点 Pを加算した 点である。 点（d - 1)Pは点 dPから点 Pを減算した点である。 モンゴメリ型楕円曲線 のァフィン座標における加算公式に代入すると、 数 6、 数 7を得る。 数 6、 数 7 の両辺を各々減算することにより、 数 8を得る。 したがって、 数 9のようになる。 ここで x_d=X_d/Z_d、 x_{d+ 1}=X_{d+ 1}/Z_{d + 1}、 x_d—；^ー；^ であり、 この 値を代入することにより射影座標の値へと変換すると、 数 10を得る。 モンゴメ リ型楕円曲線の射影座標での加算公式は数 1 1、 数 12である。 ここで X_m及び Z_mはモンゴメリ型楕円曲線上の点 Pの m倍点 mPの射影座標における X座標及ぴ Z座 標、 X_n及び Z_nはモンゴメリ型楕円曲線上の点 Pの n倍点 nPの射影座標における X 座標及ぴ Z座標、 X_m— _n及び Z_m__nはモンゴメリ型楕円曲線上の点 Pの（m-n)倍点 (m- n)Pの射影座標における X座標及び Z座標、 X_{m+ n}及び Z_{m+ n}はモンゴメリ型楕 円曲線上の点 Pの (m+n)倍点 (m+n)Pの射影座標における X座標及び Z座標であり、 m nは m>nをみたす正整数である。 この式は X_m/Z_m=x_m、 X_n/Z_n=x_n、 X_m__n/ Z_m— _n=x_m— _nが不変のとき、 X_{m+ n}/Z_m+n=x_{m+ n}も不変となるので、 射影座標 での公式としてうまく働いている。 他方、 数 1 3、 数 1 4とおくと、 この式も X

X_m+nも不変となる。 また、 X' _m—n/Z' _m—_n=X_m— _n/Z_m—_n=x_m— _nをみたすの で、 x_m—_nの射影座標として X' _m— _n,Z' _m—_nをとつてよい。 m=d，n=lとして上記 公式を用 、て y_dの式より Xd— 及び Z_d— iを?肖去し、 Χ1=χ,Ζ1=1とおくことによ り、 数 1 5を得る。 x_d=X_d/Z_dであるが、 y_dの分母と通分することにより、 数

1 6となる。 その結果として、

Y = {Z_M(X_dx-Z_d) + X_d+l(X_d一 xZ_d ( x-Z_d) - X_d+l (X_d - xZ_d)}{X_dx -Z_df

…数 4 7 とし、

X_d' =ByZ_MX_MZ_d(X_d -xZ_d)²X_d "数 4 8

2_d' = ByZ_d+lX_d+lZ_d(X_d -xZ_d)²Z_d 数 4 9

とすると（Χ' _d，Y' _d,Z， _d) = (X_d,Y_d,Z_d)となる。 モンゴメリ型楕円曲線上の点と ワイエルシュトラス型楕円曲線上の点との対応関係については、 K.Okeya, H. Kurumatani, K. Sakurai, Elliptic し urves with the Montgomery - Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによると、 変換パラメタを saとし て、 Yd^W=Y' d、 x_d ^w=x' d+«Z_d ^W、 及び Z_d ^W=sZ' dという関係がある。 結果と して次の式を得る。

7/ = {Z_rf+1( _rfx-Z + X_rf+1(X_ii- Z_i/)}{Z_rf+1(X_rfx-Z_rf)- _;i+I(X_ii-xZ_(/)}( , -Z_ii)²

…数 5 0

X『 = ByZ X_d+1Z X_d - _XZ_d)² + _aZj…数 ⁵ 1

+₁Z - x )²Z_d…数 5 2

により更新すればよい。 ここで、 X_d ^W，^Yd^W，Z_d Wは図 1 8の処理により与えら れている。 したがって、 ワイエルシュトラス型楕円曲線における射影座標

(X_d ^W，Y_d ^W,Z_d ^W)の値が全て復元されていることになる。

上記手順はステップ 1 801、 ステップ 1803、 ステップ 1805、 ステツ プ 1806、 ステップ 1 809、 ステップ 181 0、 ステップ 1 81 1、 ステツ プ 1812、 ステップ 1 813、 ステップ 1814、 ステップ 181 5、 ステツ プ 1816、 ステップ 1 817、 ステップ 1821及びステップ 1822におレヽ て有限体上の乗算の計算量を必要とする。 また、 ステップ 1807及びステップ 1808において有限体上の 2乗算の計算量を必要とする。 有限体上の加算及ぴ 減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小さ いので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算 量を Sとすると、 上記手順は 1 5 M+ 2 Sの計算量を必要とする。 これは高速ス カラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビ ットであれば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積もら れる。 S = 0. 8 Mと仮定すると座標復元の計算量は 16. 6 Mであり、 高速ス カラー倍計算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元 'できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d ^W、 Y_d ^W、 z_d ^wの値が計算できれば X_d ^W、 Y_d ^W、 z_d ^wの値が復元できる。 また、 ワイエル シュトラス型楕円曲線においてァフィン座標におけるスカラー倍点 dPを dP= (x_d ^W，y_d ^W)とすると、 x_d ^W、 y_d ^Wが上記計算式により与えられる値を取るよう に X_d ^W、 Y_d ^W、 Z_d ^Wの値を選択し、 その値が計算できれば X_d ^W、 Y_d ^W、 Z_d ^Wが 復元できる。 それらの場合においては一般的に復元に必要となる計算量が増大す る。 また、 モンゴメリ型楕円曲線のパラメタである Bの値やモンゴメリ型楕円曲 線への変換パラメタ sの値を小さくとることにより、 ステップ 181 3乃至はス テツプ 181 6における乗算の計算量を削減することができる。

次に、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d，

X_{d + 1}, Zd + iを出力するアルゴリズムについて説明する。

第 10実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 9実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及び ワイエルシュトラス型楕円曲線上の点 pから、 x_d， z_d， X_{d + 1}, Z_{d+ 1}を出力す るアルゴリズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラ 一倍計算部 202において上記アルゴリズムを用いなくても、 スカラー値 d及び ワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d, X_{d + 1}， Z_{d+ 1}を出力す るアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用いていもよい。 スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 1 5M+2 Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k— 3. 6) Mとに比べてはるかに小さい。 したが つて、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラ 一倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8 Mと仮定すると、 この計算量はおおよそ （9. 2 k + 13) Mと見積もることが できる。 例えばスカラー値 dが 1 60ビット （k = 160) であれば、 このスカ ラー倍計算に必要な計算量は 1485Mとなる。 楕円曲線としてワイエルシュト ラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心とした混 合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビアン座標 として出力する場合に必要となる計算量はおおよそ 1600Mであり、 これと比 ベて必要となる計算量は削減されている。

第 11実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 103力 スカラ 一値 d及びワイエルシュ トラス型楕円曲線上の点 Pから、 ワイエルシュ トラス型楕 円曲線におけるァフィン座標の点として完全な座標が与えられたスカラー倍点

(XdJd)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕円曲線上 の点 Pをスカラー倍計算部 1 03に入力すると高速スカラー倍計算部 202がそ れを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 dと与えら れたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線において 射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち X _d及ぴ Z _d、 射影 座標で表されたモンゴメリ型楕円曲線上の点（d+1) P=(X_{d + 1)}Y_{d+ 1},Z_d+ 座標のうち X_{d+ 1}及び Z_d+i、 射影座標で表されたモンゴメリ型楕円曲線上の点

i，Y_d— i，Z_d— の座標のうち X_d—丄及び Z_d一 iを計算する。 また、 入力されたワイエルシュトラス型楕円曲線上の点 Pを、 与えられたワイエルシュ トラス型楕円曲線から変換可能であるモンゴメリ型楕円曲線上の点に変換し、 そ の点を新たに P=(x，y)とおく。 高速スカラー倍計算部 202は、 X_d, Z_d， X_{d + 1}, Z_{d + 1}， X_d— Ζ_ά_!, x及ぴ yを座標復元部 203に与える。 座標復元部 20 3は与えられた座標の値 X_d, Z_d, X_{d + 1}, Z_{d + 1}, X_d— i， Z_d_₁, x及び yよ りワイエルシュ トラス型楕円曲線においてァフィン座標で表されたスカラー倍点 dP=(x_d,y_d)の座標 x_d及ぴ y_dの復元を行なう。 スカラー倍計算部 1 03はワイ エルシュトラス型楕円曲線上でァフィン座標において完全に座標が与えられたス カラー倍点 (x_d,y_d)を計算結果として出力する。

次に図 1 9により、 座標 x， y, X_d, Z_d, X_{d + 1}, Z_{d + 1}, X_d一 Z_d一 i力 S 与えられた場合に x_d、 y_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X _d， Y _d， Z _d )の座標うち X _d及ぴ Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（d+1) P= (X_{d+ 1},Y_{d + 1},Z_{d + 1})の座標のうち X _d +丄及び Z_{d + 1}、 射影座標で表されたモンゴメリ型楕円曲線上の点 (d - l)P=(X_d—

Yd - l，Z_d— 1)の座標のうち X_d— 1及び Z_d— スカラー倍計算部 1 03に入力 されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表した（x,y)を入力し、 以 下の手順でワイエルシュトラス型楕円曲線上でァフィン座標おいて完全な座標が 与えられたスカラー倍点 (x_d,y_d)を出力する。 ここで入力されたモンゴメリ型 楕円曲線上の点 Pのァフィン座標を（X, y)で、 射影座標を（X i， Y i , Z i )でそれぞれ 表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線におけるスカラー 倍点 dPのァフィン座標を (x_d ^M。ⁿ，y_d ^M。ⁿ) で、 射影座標を (X_d，Y_d，Z_d)でそ れぞれ表す。 モンゴメリ型楕円曲線上の点（d-l)Pのァフィン座標を（x_d— ₁ yd— で、 射影座標を (X_d— :L，Y_d一 ;L，Z_d— でそれぞれ表す。 モンゴメリ型楕 円曲線上の点（d+1) Pのァフィン座標を（X _d + 1 , y _d + i )で、 射影座標を (X _d +ェ，

Y d + 1 , Z d + 1 )でそれぞれ表す。

ステップ 1 901において ∑_{(1+ 1}カ計算され、 レジスタ に格納さ れる。 ステップ 1 902において Z_d— 1 XXd + iが計算され、 レジスタ T₂に格 納される。 ステップ 1 903において I^— T₂が計算される。 ここでレジスタ Τェには X_d—丄 Z _d + カ レジスタ Τ ₂には Z _d _ X_d + がそれぞれ格納されてお り、 したがって X_d一 iZd+ - Z_d一 が計算される。 その結果がレジスタ に格納される。 ステップ 1 904において Z_d XXが計算され、 レジスタ T 2 に格納される。 ステップ 1 905において X_d_T₂が計算さる。 ここでレジスタ T₂には Z_dxが格納されており、 したがって X_d- xZ_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 1906において T ₂の 2乗が計算される。 ここでレジスタ T ₂には X_d- xZ_dが格納されており、 したがって（X_d - xZ_d) ²が計 算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 907において T^ XTsが計算される。 ここでレジスタ丁 には Xd— Zd + i- Z_d一 が レジスタ T₂には（X_d- xZ_d) ²がそれぞれ格納されており、 しだがつて（X_d- xZ_d) ²(x_d_₁z_{d + 1}-z_d_₁x_{d + 1})が計算される。 その結果がレジスタ T jに格納さ れる。 ステップ 1 908において 4BXyが計算される。 その結果がレジスタ T₂ に格納される。 ステップ 1 909において T₂XZ_{d + 1}が計算される。 ここでレ ジスタ丁₂には 4Byが格納されており、 したがって 4ByZ_{d+ 1}が計算される。 その 結果がレジスタ T ₂に格納される。 ステップ 1 91 0において T₂ XZ_d— が計 算される。 ここでレジスタ T₂には 4ByZ_{d + 1}が格納されており、 したがって 4ByZ_d— iZd+iが計算される。 その結果がレジスタ T₂に格納される。 ステツ プ 1911において T₂XZ_dが計算される。 ここでレジスタ T₂には AByZd— i Z_{d + ]}^S格納されており、 した力 つて AByZa— iZd+iZd力 S計算される。 その結 果がレジスタ T ₂に格納される。 ステップ 1912において T₂XX_dが計算され る。 ここでレジスタ T₂には 4ByZ_d— Zd+iZdが格納されており、 したがって 4ByZ_d一 Zd + iZaXd力 S計算される。 その結果がレジスタ T₃に格納される。 ス テツプ 1913において Τ ₂ XZ_dが計算される。 ここでレジスタ T ₂には

4ByZ_d一 iZa + i^d力格糸内されており、 した力 Sつて 4ByZ_d— ₁Z_{d +} iZaZd力 S計算 される。 その結果がレジスタ T ₂に格納される。 ステップ 1 914において、 T₂Xsが計算される。 ここでレジスタ T₂には 4ByZ_d— iZ_{d + 1}Z_dZ_dが格納され ており、 したがって AsByZd— iZa + ZdZdが計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1915においてレジスタ T ₂の逆元が計算される。 ここでレジスタ T ₂には 4sByZ_d— Zd iZdZdが格納されており、 したがって l/4sByZ_d— iZd +

が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 1 4 1 6において T ₂ XT ₃が計算される。 ここでレジスタ T ₂には l/4sByZ_d— jZd + iZdZdカ レジスタ T₃に fま 4ByZ_d一 iZd + iZdXaカそれぞれ格 糸内されており、 した力 Sつて（4ByZ_d一 ₁Z_{d + 1}Z_dX_d)/(4sByZ_d一 iZd+iZdZa)力 S 計算される。 その結果がレジスタ T ₃に格納される。 ステップ 1 9 1 7において T ₃ + αが計算される。 ここでレジスタ Τ₃には（4ByZ_d一 Zd +

(4sByZ_d一 iZd + iZaZd)力 S格糸内されており、 したカつて（4ByZ _d一ェ Z _d +ェ Z _d X_d)/(4sByZ_d_₁Z_{d + 1}Z_dZ_d) + カ計算される。 その結果がレジスタ x _dに格納 される。 ステップ 1 9 1 8においてレジスタ Ti XT₂が計算される。 ここでレ ジスタ丁 には（X_d- xZ_d) " (X_d— Z_d一 がレジスタ T 2には l/4sByZ_d— iZa+iZdZd力 Sそれぞれ格糸内されており、 したカ つて（X _d一ェ Z _d +ェ ~Z_d^₁I_{d + 1}) (X_d-Z_dx) ²/4sByZ_d一 iZd + iZd ²力 S計算される。 その結果力 Sレ ジスタ y_dに格納される。 したがってレジスタ y_dには (Xa— iZd + - Z_d一ュ X_{d + 1}) (X_d— Z_dx) ^74sByZ_d一 iZd + iZd ²力格糸内されている。 レジスタ x_dには ステップ 1 9 1 7 こおレヽて ByZa— jLZd + iZdXd / sByZd一 Zd + iZaZd) αが格納され、 その後更新が行なわれないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + :L}、 X_d—い

Z_d—；！カ らワイエルシュトラス型楕円曲茅泉におけるスカラ一倍点のァフィン座標 (X _d， y _d)における値が全て復元される理由は以下の通りである。 点（d+l)Pは 点 dPに点 Pを加算した点である。 点（d- 1) Pは点 dPから点 Pを減算した点である。 モ ンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 3 8、 数 3 9を得る。 両辺を各々減算することにより、 数 40を得る。 したがって、 数 4 1となる。 ここで X d^{Mo n}=Xd/Z_d、 x _{d + 1}=X_{d + 1}/Z_{d + 1}, x _{d = 1} = X_{d = 1}/Z_{d == 1}であり、 この値を代入することにより射影座標の値へと変換する と、 数 42を得る。 X _d ^M°ⁿ=X_d/Z_dであるが、 逆元演算の回数を減らす目的 で y_d ^M°ⁿの分母と通分することにより、 数 53となる。

M。" =

…数 5 3

モンゴメリ型楕円曲線上の点とワイエルシュトラス型楕円曲線上の点との対応 関係につレヽて (ま、 K. Okeya, H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery-Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによると、 変換パラメタを s,ひとして、

一¹ _Xd ^M°ⁿ+«の関係が ある。 結果として次の式を得る。

y_d =(^Z_M -Z^X_d+l)(X_d -Z_dx)²l4sByZ_d__xZ_MZ_d ²…数 5 4

¾ =(4 — , ) /(4 ₊₁ ^^ "…数 5 5

ここで、 X _d， y _dは図 1 9により与えられる。 したがって、 ワイエルシュト ラス型楕円曲線におけるスカラー倍点のァフィン座標（X _d, y _d)における値が 全て復元される'ことになる。

上記手順はステップ 1 9 0 1、 ステップ 1 9 0 2、 ステップ 1 904、 ステツ プ 1 9 07、 ステップ 1 9 08、 ステップ 1 9 0 9、 ステップ 1 9 1 0、 ステツ プ 1 9 1 1、 ステップ 1 9 1 2、 ステップ 1 9 1 3、 ステップ 1 9 1 4、 ステツ プ 1 9 1 6及ぴステップ 1 9 1 8において有限体上の乗算の計算量を必要とする。 また、 ステップ 1 9 0 6において有限体上の 2乗算の計算量を必要とする。 また、 ステップ 1 9 1 4において有限体上の逆元演算の計算量を必要とする。 有限体上 の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及び逆元, 演算の計算量と比べて比較的小さいので無視してもよい。 有限体上の乗算の計算 量を M、 有限体上の 2乗算の計算量を S及び有限体上の逆元演算の計算量を Iと すると、 上記手順は 1 3 M+S + Iの計算量を必要とする。 これは高速スカラー 倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 6 0ビットで あれば、 高速スカラー倍計算の計算量はおおよそ 1 5 0 0M弱と見積もられる。 S = 0. 8M、 I =40Mと仮定すると座標復元の計算量は 5 3. 8Mであり、 高速スカラ一倍計算の計算量と比べてはるかに小さレ、。 したがつて効率的に座標 を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた x_d， y_dの値が計 算できれば x_d， y_dの値が復元できる。 その場合においては一般的に復元に必要 となる計算量が増大する。 また、 モンゴメリ型楕円曲線のパラメタである Bの値 乃至はモンゴメリ型楕円曲線への変換パラメタである sの値をを小さくとること により、 ステップ 1 908乃至はステップ 1 914における乗算の計算量を削減 することができる。

次に図 10により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pか ら、 X_d, Z_d， X_{d + 1}, Z_{d + 1}, X_{d + 1}, Z_d一 iを出力する高速スカラー倍計算 部の処理について説明する。

高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 103に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕 円曲線にぉ 、て射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)のうち X_d及ぴ Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+l)P=(X_{d+ 1},Y_{d + 1}, z_{d + 1})のうち x_{d + 1}及び Z_{d + :L}、 射影座標で表されたモンゴメリ型楕円曲線上 の点 (d- l)P=(X_d一 ^Yd— Zd— のうち X_d— 及び Zd— iを出力する。 ステツ プ 1016として、 与えられたワイエルシュトラス型楕円曲線上の点 Pをモンゴ メリ型楕円曲線上で射影座標により表された点に変換する。 この点をあらためて 点 Pとする。 ステップ 1001として、 変数 Iに初期値 1を代入する。 ステップ 1002として、 点 Pの 2倍点 2Pを計算する。 ここで点 Pは射影座標において（x, y，l)として表し、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用 いて 2倍点 2Pを計算する。 ステップ 1003として、 スカラー倍計算部 103に 入力された楕円曲線上の点 Pとステップ 1 002で求めた点 2Pを、 点の組（P，2P) として格納する。 ここで点 P及び点 2Pは射影座標で表されている。 ステップ 10 04として、 変数 I とスカラー値 dのビット長とが一致するかどうかを判定し、 一致すればステップ m二 dとなり、 1014へ行く。 一致しなければステップ 1 005へ行く。 ステップ 1005として、 変数 Iを 1増加させる。 ステップ 10 06として、 スカラー値の I番目のビットの値が 0であるか 1であるかを判定す る。 そのビットの値が 0であればステップ 1 007へ行く。 そのビットの値が 1 であればステップ 1010へ行く。 ステップ 1007として、 射影座標により表 された点の組（mP， (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行ない、 点 (2m+l)Pを計算する。 その後ステップ 1008へ行く。 ここで、 加算 mP+(m+l) Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算される。 ステツ プ 1008として、 射影座標により表された点の組 (mP, (_m+l)P)から点 mPの 2倍 算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 1 009へ行く。 ここで、 2倍算 2(mP)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用い て計算される。 ステップ 1 009として、 ステップ 1 008で求めた点 2mPとス テツプ 1007で求めた点（2m+l)Pを点の組 (2mP， (2m+ 1 ) P)として、 点の組 (mP, (m+l)P)の代わりに格納する。 その後ステップ 1004へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及ぴ点（m+l)Pは全て射影座標において表されている。 ステツ プ 1010として、 射影座標により表された点の組 (mP， (m+ 1 ) P)から点 mPと点 (111+1)?の加算1^+(111+1)?を行なぃ、 点（2m+l)Pを計算する。 その後ステップ 1 01 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標に おける加算公式を用いて計算される。 ステップ 101 1として、 射影座標により 表された点の組 (mP, (111+1)?)から点（111+1)?の2倍算2((111+1)?)を行なぃ、 点 (2m+2)Pを計算する。 その後ステップ 1 0 1 2へ行く。 ここで、 2倍算 2((m+ 1)P)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算 される。 ステップ 101 2として、 ステップ 1010で求めた点（2m+l)Pとステ ップ 101 1で求めた点（2m+2)Pを点の組（（2m+l)P， (2m+2) P)として、 点の組 (mP， (m+l)P)の代わりに格納する。 その後ステップ 1 004へ戻る。 ここで、 点 (2m+l)P、 点（2m+2)P、 点 mP及ぴ点（m+l)Pは全て射影座標において表さ τている。 ステップ 1014として、 射影座標で表された点の組 (mP, (111+ 1 ) P)から、 点 (m - 1)Pの射影座標における X座標 X_m— 1及び Z座標を Z_m—！求め、 それぞれ X_d— ₁及 ぴ とする。 その後ステップ 1013へ行く。 ステップ 1 01 3として、 射 影座標で表された点 mP=(X_m,Y_m，Z_m)より X_m及び Z_mをそれぞれ X_d及び Z_dとし て、 射影座標で表された点 (m+1) P= (X_m+丄， Y_m+ ]_ , Z_m+ i )より X_m+ i及び

Z_m+iをそれぞれ Xd+i及び ^zd + iとして、 X_d— 1及ぴ Zd— 1と共に出力する。 ここで、 Y_m及び Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式 及ぴ 2倍算の公式では Y座標を求める事ができないので、 求まっていない。 また 上記手順により、 mとスカラー値 dはビット長が等しくさらにそのビットのパタ ーンも同じとなる為、 等しくなる。

また、 ステップ 1014において（m- 1)Pを求める際に、 数 13、 数 14の公式 より求めてもよいし、 mが奇数であれば、 （(m-l)/2)Pの値をステップ 1 01 2の 段階で別に保持しておき、 その値からモンゴメリ型楕円曲線の 2倍の公式より、 (m - 1)Pを求めてもよい。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Zi-lととる ことにより 3M+ 2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+2 Sである。 スカラー値の. I番目のビットの値が 0であ れば、 ステップ 1007において加算の計算量、 ステップ 1008において 2倍 算の計算量が必要となる。 すなわち 6M+ 4 Sの計算量が必要となる。 スカラー 値の I番目のビットの値が 1であれば、 ステップ 1010において加算の計算量、 ステップ 101 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの 計算量が必要である。 いずれの場合においても 6M+ 4 Sの計算量が必要である。 ステップ 1004、 ステップ 1005、 ステップ 1006、 ステップ 1007、 ステップ 1008、 ステップ 1009乃至はステップ 1004、 ステップ 1 00 5、 ステップ 1006、 ステップ 1010、 ステップ 101 1、 ステップ 101 2の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステツ プ 1002での 2倍算の計算量とステップ 1014での (m- 1) Pの計算に必要な計 算量を考慮に入れると、 全体の計算量は （6M+4 S) k+Mとなる。 ここで k はスカラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度 と見積もられるので、 全体の計算量はおおよそ （9. 2 k + 3) Mとなる。 例え ばスカラー値 dが 1 60ビット （k = 1 60) であれば、 上記手順のァルゴリズ ムの計算量はおおよそ 1475Mとなる。 スカラー値 dのビットあたりの計算量 としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in

Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51 - 65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用いてヤコビアン座標 を中心とした混合座標系を用いたスカラ一倍計算方法は高速なスカラ一倍計算方 法として記載されている。 この場合においては、 スカラー値のビットあたりの計 算量はおおよそ 1 0Mと見積もられる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 このスカラー倍計算方法の計算量はおおよそ 1 600Mと なる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速といえる。 尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d, Y_d，

X_{d + 1}, Zd+;Lを出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 13M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k+ 1) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 1 03のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 I = 40M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 56. 8) Mと 見積もることができる。 例えばスカラー値 dが 160ビット （k=160) であ れば、 このスカラー倍計算に必要な計算量はおおよそ 1 529Mとなる。 楕円曲 線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビ アン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラ 一倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 164 0 Mであり、 これと比べて必要となる計算量は削減されている。

第 12実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いる。 スカラー倍計算部 103がスカラー値 d及ぴヮ

-トラス型楕円曲線上の点 Pから、 ワイエルシュトラス型楕円曲線にお ける射影座標の点として完全な座標が与えられたスカラ一倍点 (X _d w, Y _d ^w, Z_d ^w)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕円曲線上の 点 Pをスカラー倍計算部 103に入力すると高速スカラー倍計算部 202がそれ を受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 dと与えられ たワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線において射 影座標で表されたスカラ一倍点 dP= (X _d， Y _d， Z _d )の座標のうち X _d及び Z _d、 射影座 標で表されたモンゴメリ型楕円曲線上の点（<^1 = _{(1+ 1}，¥_{(1+ 1 (1+ 1})の座 標のうち X _d + 1及び Z _{d +}i , 射影座標で表されたモンゴメリ型楕円曲線上の点 (d- l)P=(X_d— ^Yd— の座標のうち X_{d =} i及び z_d—丄を計算し、 射影座 標で表された入力されたワイエルシュトラス型楕円曲線上の点 P=(x， y)と共にそ の情報を座標復元部 203に与える。 座標変換部 203は与えられた座標の値 X_d， Z_d， X_{d + 1}， Z_{d + 1}, X_d— Z_d__{1 ?} x及び yよりワイエノレシュトラス型 楕円曲線において射影座標で表されたスカラー倍点 dP=(X_d ^W,Y_d ^W，Z_d ^W)の座標 X_d ^W、 Y_d ^W及び Z_d ^wの復元を行なう。 スカラー倍計算部 103はワイエルシュ トラス型楕円曲線上で座標射影座標において完全に座標が与えられたスカラー倍 点 (X _d ^W， Y _d ^w， z _d ^w)を計算結果として出力する。

次に図 20により、 座標 x， y， X_d， Z_d， X_{d + 1}, Z_{d + 1}, X_d__l5 Z_d—ェカ 与えられた場合に X_d ^W、 Y_d ^W、 z_d ^wを出力する座標復元部の処理について説明 する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標のうち X _d及ぴ Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（d+l)P=(X d + 1， d + 1，ム d+ 1)の座標のつち A_d+ 1及ひ Z_{d + 1}、 射影座標で表されたモンゴメリ型楕円曲線上の点

—

^Yd— i，^zd— 1)の座標のうち ^xd_i及び ^zd— i、 スカラー倍計算咅 I 03に入力 されたワイエルシュトラス型楕円曲線上の点 Pを射影座標で表した (X, y)を入力し、 以下の手順でワイエルシュトラス型楕円曲線上で射影座標おいて完全な座標が与 えられたスカラー倍点 (X_d ^W,Y_d ^W，Z_d ^W)を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（x， y)で、 射影座標を（X , Y i， Z )でそ れぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線におけるス 力ラ一倍点 dPのァフィン座標を（X _d， y _d )で、 射影座標を（X _d， Y _d , Z _d )でそれぞれ 表す。 モンゴメリ型楕円曲線上の点（d- I)Pのァフィン座標を（x_d— i，y_d - 1)で、 射影座標を (X_d— ^Yd— でそれぞれ表す。 モンゴメリ型楕円曲線上の 点（d+l)Pのァフィン座標を（x_d+i,y_{d +} i)で、 射影座標を（Xd + ^Ya + iL,

Zd + i)でそれぞれ表す。

ステップ 2001において XZ_{d+ 1}が計算され、 レジスタ に格納さ れる。 ステップ 2002において Z_d— 1 XX_{d +} iが計算され、 レジスタ T ₂に格 納される。 ステップ 2003において T^—Tsが計算される。 ここでレジスタ には X_d— がレジスタ T₂には z_d一 ₁X_{d + 1}がそれぞれ格納されてお り、 したがって X_d— Z_d一 iXd + iが計算される。 その結果がレジスタ に格納される。 ステップ 2 0 04において Z_d Xxが計算され、 レジスタ T ₂ に格納される。 ステップ 2 0 0 5において X_d- T ₂が計算さる。 ここでレジスタ Τ ₂には Z_dxが格納されており、 したがって X_d - xZ_dが計算される。 その結果が レジスタ T ₂に格納される。 ステップ 2 006において T ₂の 2乗が計算される。 ここでレジスタ T ₂には X _d - xZ _dが格納されており、 したがって（X _d _xZ _d ) ²が計 算される。 その結果がレジスタ T ₂に格納される。 ステップ 2 00 7において T XT ₂が計算される。 ここでレジスタ 1^には X_d_₁Z_{d + 1}— Z_d— ₁)(₍1_{+ 1}カ レジスタ T₂には（X_d xZ_d) ²がそれぞれ格納されており、 したがって（X_d- xZ_d) ² (X_d— ₁Z_{d + 1}— Z_d— iXd + カ計算される。 その結果力 Y_d ^Wに格糸内され る。 ステップ 2 0 0 8において 4BXyが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 2 0 0 9において T ₂ XZ_{d + 1}が計算される。 ここでレジ スタ T ₂には 4Byが格納されており、 したがって 4ByZ_{d + 1}が計算される。 その結 果がレジスタ T ₂に格納される。 ステップ 2 0 1 0において T ₂ XZ_d—ュが計算 される。 ここでレジスタ T ₂には 4ByZ_{d + 1}が格納されており、 したがって 4ByZ_{d + 1}Z_d— が計算される。 その結果がレジスタ T ₂に格納される。 ステツ プ 2 0 1 1において T₂ XZ_dが計算される。 ここでレジスタ T₂には 4yZ_{d + 1} Z_d—丄が格納されており、 したがって 4ByZ_{d + 1}Z_d— が計算される。 その結 果がレジスタ T ₂に格納される。 ステップ 2 0 1 2において T₂ XX_dが計算され る。 ここでレジスタ T ₂には 4ByZ_{d + 1}Z_d— が格納されており、 したがって 4ByZ_{d + 1}Z_d一 iZdXdカ計算される。 その結果がレジスタ T に格納される。 ス テツプ 2 0 1 3において T₂ XZ_dが計算される。 ここでレジスタ T₂には

4ByZ_{d +} iZ_d一 力 S格糸内されており、 した力 Sつて 4ByZ_{d + 1}Z_d一 iZdZd力 S計算 される。 その結果がレジスタ T ₂に格納される。 ステップ 2 0 1 4において Τ ₂ Xsが計算される。 ここでレジスタ T ₂には 4ByZ_{d + 1}Z_d— ZdZdが格納されて おり、 したがって⁴ sByZ_{d + 1}Z_d— ^dZdが計算される。 その結果がレジスタ Z_d ^W格納される。 ステップ 2 0 1 5において a XZ_d ^Wが計算される。 ここでレ ジスタ Z_d には 4sByZ_{d + 1} Z_d一 iZdZd力格納されており、 したがって 4_aSByZ_{d + 1}Z_d— ZdZd力 S計算される。 その結果がレジスタ T ₂に格納される。 ステップ 201 6において T^+T ₂が計算される。 ここでレジスタ 1^には 4ByZ_{d + 1}Z_d一 iZdXdカ レジスタ Τ₂に【ま 4ひ sByZ_{d + 1}Z_d一 iZdZdカそれぞれ格 糸内されており、 L ;^ T4ByZ_{d + 1}Z_d— ₁Z_dX_d+4asByZ_{d + 1}Z_d_₁Z_dZ_d;^fl" 算される。 その結果がレジスタ X_d ^Wに格納される。 したがってレジスタ X_d ^Wに は 4ByZ_{d + 1}Z_d一 sByZ_{d + 1}Z_d一 iZaZd力格糸内されてレヽる。 レジスタ

Y_d ^Wにはステップ 2007におレヽて（X_d—xZ_d) ²(X_d— iZd+i— Z_d一; LX_{d+ 1})力 S 格納され、 その後更新が行なわれないので、 その値が保持されている。 レジスタ Z_d ^Wにはステップ 2014において 4sByZ_{d + 1}Z_d一 ZdZaカ格納され、 その後 更新が行なわれないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 Xd—

Z _d— からワイエルシュトラス型楕円曲線におけるスカラ一倍点の射影座標 (X_d ^W, Y_d ^W， Z_d ^w)における値が全て復元される理由は以下の通りである。 尚、 点（d+1) Pは点 dPに点 Pを加算した点であり、 点（d-1) Pは点 dPから点 Pを減算した点 である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 6、 数 7を得る。 両辺を各々減算することにより、 数 8を得る。 したがって、 数 9となる。 ここで x_d=X_d/Z_d、 X _{d + 1}=X_{d + 1}/Z_{d + 1}、 d-l=Xd-l Zd— iであり、 この値を代入することにより射影座標の値へと変換すると、 数 1 0を得る。

X _d=X_d/Z_dであるが、 y _dの分母と通分することにより、 数 20となる。 その 結果として、

Y = (X_d-rZ_M - Z_d_,X_M ){X_d - Z_dx)²…数 5 6

とし、

=4 …数 5 7

=4^; ₊₁Z_rf— _rf…数 5 8 とすると（X' _d， Y， _d， Z' _d) = (X_d) x_d, x_d)となる。 モンゴメリ型楕円曲線上の 点とワイエルシュトラス型楕円曲線上の点との対応関係については、 K. Okeya, H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery-Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによると、 変換パラメタを s， ひとし て、 Yd^W

_dの関係がある。 結果として 次の式を得る。

Y =

…数 5 9

Χ = AByZ_MZ_d__xZ_dX_d + a _SByZ_MZ_d__xZ_dZ_d…数 6 0

Z =4sByZ_d+1Z_d__lZ_dZ_d …数 6 1

となる。 ここで、 X_d ^W， Y_d ^W, Z_d ^Wは図 20により与えられる。 したがって、 トラス型楕円曲線における射影座標 (X_d ^W, Y_d ^W, Z_d ^W)の値が全 て復元されていることになる。

上記手順はステップ 2001、 ステップ 2002、 ステップ 2004、 ステツ プ 2007、 ステップ 2008、 ステップ 2009、 ステップ 2010、 ステツ プ 2011、 ステップ 2012、 ステップ 2013、 ステップ 2014及びステ ップ 2015において有限体上の乗算の計算量を必要とする。 また、 ステップ 2 006において有限体上の 2乗算の計算量を必要とする。 有限体上の加算及び減 算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小さい ので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量 を Sとすると、 上記手順は 12 M+Sの計算量を必要とする。 これは高速スカラ 一倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 160ビット であれば、 高速スカラー倍計算の計算量はおおよそ 1500M弱と見積もられる。 S = 0. 8 Mと仮定すると座標復元の計算量は 12. 8Mであり、 高速スカラー 倍計算の計算量と比べてはるかに小さ 、。 したがつて効率的に座標を復元できて いることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d ^w、 Y_d ^w、 z_d ^wの値が計算できれば X_d ^W、 Y_d ^W、 z_d ^wの値が復元できる。 また、 ワイエル シュトラス型楕円曲線においてァフィン座標におけるスカラー倍点 dPを dP=

(x_d ^w、 ，y_d ^w)とすると、 x_d ^W、 y_d ^wが上記計算式により与えられる値を取るよ うに x_d ^w、 Y_d ^w、 z_d ^wの値を選択し、 その値が計算できれば x_d ^w、 Y_d ^w、 z_d ^w が復元できる。 それらの場合においては一般的に復元に必要となる計算量が増大 する。 また、 楕円曲線のパラメタである Bやモンゴメリ型楕円曲線への変換パラ メタである sの値を小さくとることにより、 ステップ 2008乃至はステップ 2 014における乗算の計算量を削減することができる。

次に、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 x_d, z_d，

X_{d + 1}, Z_{d + 1}, X_d - 1， Z_d一 を出力するアルゴリズムについて説明する。

第 12実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 11実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及 ぴワイエルシュトラス型楕円曲線上の点 pから、 x_d， z_d， x_{d + 1}, z_{d + 1}，

Χ_ά__1? Zd— を出力するアルゴリズムとして、 高速であるアルゴリズムが達成 される。 尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用 いなくても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d, Z_d， X_{d + 1}, Z_{d + 1}, X_d一 Z_d一 iを出力するアルゴリズムであり且つ高速で あれば、 他のアルゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 12M+Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計算 に必要な計算量の （9. 2 k + 1) Mとに比べてはるかに小さい。 したがって、 スカラ一倍計算部 103のスカラ一倍計算に必要な計算量は、 高速ス力ラ一倍計 算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8Mと仮 定すると、 この計算量はおおよそ （9. 2 k + 1 3. 8) Mと見積もることがで きる。 例えばスカラー値 dが 160ビット （k=1 60) であれば、 このスカラ 一倍計算に必要な計算量はおおよそ 1486Mとなる。 楕円曲線としてワイエル シュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心と した混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビア ン座標として出力する場合に必要となる計算量はおおよそ 1600Mであり、 こ れと比べて必要となる計算量は削減されている。

第 1 3実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 103が、 スカラ 一値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュトラス型楕 円曲線におけるァフィン座標の点として完全な座標が与えられたスカラー倍点 (x<i^W，yd^W)を計算し出力する。 スカラー値 d及びワイエルシュ トラス型楕円曲 線上の点 Pをスカラー倍計算部 1 0 3に入力すると高速スカラー倍計算部 20 2 がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 dと与 えられたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線にお いてァフィン座標で表されたスカラー倍点 dP=(x_d，y_d)の座標のうち x_d、 ァフ ィン座標で表されたモンゴメリ型楕円曲線上の点（d+1) P= (X _d + ， y _d +丄）の座 標のうち x _d + i、 ァフィン座標で表されたモンゴメリ型楕円曲線上の点（ _d— ;L ) P ^ (Xd-Ud— の座標のうち Xd— iを計算し、 ァフィン座標で表された入力 されたモンゴメリ型楕円曲線上の点 P=(x，y)と共にその情報を座標復元部 203 に与える。 座標復元部 20 3は与えられた座標の値 x_d、 x_{d + 1}、 x_d—い x及び yよりワイエルシュトラス型楕円曲線においてァフィン座標で表されたスカラー 倍点 dP= (x_d ^W,y_d ^W)の座標 y _d ^Wの復元を行なう。 スカラ一倍計算部 1 0 3はヮ

-トラス型楕円曲線上でァフィン座標において完全に座標が与えられた スカラー倍点 (x_d ^W， y_d ^W)を計算結果として出力する。

次に図 2 1により、 座標 x、 y、 x_d、 x_{d + 1}、 x_d一丄が与えられた場合に、 x_d ^W、 y_d ^Wを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線においてァフィン座標で表され たスカラー倍点 dP = (X _d， y _d )の座標のうち x_d、 ァフィン座標で表されたモンゴ メリ型楕円曲線上の点 +1)?= _{(1 + 1}， _{£1 + 1})の座標のぅち _£1 _{+ 1}、 ァフィン 座標で表されたモンゴメリ型楕円曲線上の点（d - l)P=(x_d— ^yd— の座標の うち x_d一い スカラー倍計算部 1 03に入力されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表した（x， y)を入力し、 以下の手順でァフィン座標において完 全な座標が与えられたスカラ一倍点 (X _d ^W， y _d ^W)を出力する。

ステップ 2 1 0 1において x_d— xが計算され、 レジスタ T丄に格納される。 ス テツプ 2 1 02において T の 2乗すなわち（x_d— X) ²が計算され、 レジスタ に格納される。 ステップ 2 1 03において x_d— i—Xd + が計算され、 レジ スタ T₂に格納される。 ステップ 2 1 04'において ΧΤ₂が計算される。 こ こでレジスタ Τ には（X _d—X) ²がレジスタ T ₂には X _d一ュ一 X _d丄 がそれぞれ格 納されており、 したがって（x_d—x) ² (x_d— x_{d+ 1})が計算される。 その結果 がレジスタ T に格納される。 ステップ 2 1 0 5において 4BXyが計算され、 レ ジスタ T₂に格納される。 ステップ 2 1 0 6において Τ₂の逆元が計算される。 ここでレジスタ Τ ₂には 4Byが格納されており、 したがつて l/4Byが計算される。 その結果がレジスタ T ₂に格納される。 ステップ 2 1 0 7において T丄 X T ₂力 S 計算される。 ここでレジスタ には（x_d—x) ² (x_d— x_{d + 1})がレジスタ Τ ₂ には l/4Byがそれぞれ格納されており、 したがって（x_d—X) ² (x_d_₁ - x_{d + 1})/4Byが計算される。 その結果がレジスタ に格納される。 ステップ 2 1 0 8において Xs—¹が計算される。 ここでレジスタ には（x_d—x) ²

(Xd— 1一 ^xd + i)/^4By力 ^S格納されており、 したがって（x_d_x) ² (x_d— 1—

x_{d + 1})/4sByが計算される。 その結果がレジスタ y_d ^Wに格納される。 尚、 sはあ らかじめ与えられている値であり、 したがってあらかじめ s一 ¹を計算できる。 ステップ 2 1 0 9において x_d Xs一¹が計算される。 その結果がレジスタ 1^に 格納される。 ステップ 2 1 1 0において 1^ +ひが計算される。 ここでレジスタ には s— が格納されており、 したがって s— +ひが計算される。 その 結果がレジスタ x_d ^Wに格納される。 したがってレジスタ x_d ^Wには s一 "¹ "x_d + aが 格納されている。 レジスタ y_d ^Wはステップ 2 1 0 8において（x_d— X) ² (χ_ά_ !

— x_{d + 1})/4sByが格納され、 その後更新されないので、 その値が保持されている。 上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 点（d+1) Pは点 dPに点 Pを加算した点である。 点（d-1) Pは点 dPから点 Pを減算した点 である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 6、 数 7を得る。 両辺を各々減算することにより、 数 8を得る。 したがって、 数 9となる。 モンゴメリ型楕円曲線上の点とワイエルシュトラス型楕円曲線上の 点との対応関係については、 K. Okeya, H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery— Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによると、 変換パラメタを s， aとして、 y_d ^W= s— 及び x_d ^W= s— ixd† αの関係がある。 結果として次の式を得る。

y = (¾-ι - ¾₊₁)(¾ -x)²/4sBy …数 6 2

xJ' =_S-'_Xrl +a …数 6 3 ここで、 x_d ^W， y_d ^Wは図 21により与えられる。 したがって、 ァフィン座標

(x_d ^W, y_d ^W)の値は全て復元されていることになる。

上記手順はステップ 2104、 ステップ 2105、 ステップ 2107、 ステツ プ 2108及びステップ 2109において有限体上の乗算の計算量を必要とする。 また、 ステップ 2102において有限体上の 2乗算の計算量を必要とする。 さら にステップ 2106において有限体上の逆元演算の計算量を必要とする。 有限体 上の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量、 逆元 演算の計算量と比べて比較的小さいので無視してもよい。 有限体上の乗算の計算 量を M、 有限体上の 2乗算の計算量を S、 有限体上の逆元演算の計算量を I とす ると、 上記手順は 5 M+S+ Iの計算量を必要とする。 これは高速スカラー倍計 算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビットであれ ば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積もられる。 S = 0. 8M及び I =40Mと仮定すると座標復元の計算量は 45. 8 Mであり、 高 速スカラー倍計算の計算量と比べてはるかに小さい。 したがって効率的に座標を 復元できていることが示された。

尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_d ^Wの値 が復元できる。 その場合は一般的に復元に必要となる計算量が増大する。 また、 楕円曲線のパラメタである Bやモンゴメリ型楕円曲線への変換パラメタ sの値を小 さくとることにより、 ステップ 2105、 ステップ 2108乃至はステップ 21 09における乗算の計算量を削減することができる。

次に図 24により、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pか ら、 x_d, x_{d+ 1}, x_{d = 1}を出力する高速スカラー倍計算部の処理について説明 する。

高速スカラー倍計算部 202では、 スカラー倍計算部 103に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕 円曲線においてァフィン座標で表されたスカラ一倍点 dP= (x_d，y_d) 5¾x_d、 ァ フィン座標で表されたモンゴメリ型楕円曲線上の点（d+1) P=(x_{d + 1},y_{d + 1})のう ¾x_{d +} i. ァフィン座標で表されたモンゴメリ型楕円曲線上の点（d- 1) P=

(x_d— yd— Jのうち x_d—丄を出力する。 ステップ 241 6として、 与えられ たワイエルシュトラス型楕円曲線上の点 Pをモンゴメリ型楕円曲線上で射影座標 により表された点に変換する。 この点をあらためて点 Pとする。 ステップ 240 1として、 変数 Iに初期値 1を代入する。 ステップ 2402として、 点 Pの 2倍 点 2Pを計算する。 ここで点 Pは射影座標において（X, y，l)として表し、 モンゴメ リ型楕円曲線の射影座標における 2倍算の公式を用いて 2倍点 2Pを計算する。 ス テツプ 2403として、 スカラー倍計算部 103に入力された楕円曲線上の点 P とステップ 2402で求めた点 2Pを、 点の組 (P， 2P)として格納する。 ここで点 P 及び点 2Pは射影座標で表されている。 ステップ 2404として、 変数 I とスカラ 一値 dのビット長とが一致するかどうかを判定し、 一致すれば m=dとなり、 ス テツプ 2414へ行く。 一致しなければステップ 2405へ行く。 ステップ 24 05として、 変数 Iを 1増加させる。 ステップ 2406として、 スカラー値の I 番目のビットの値が 0であるか 1であるかを判定する。 そのビットの値が 0であ ればステップ 2407へ行く。 そのビットの値が 1であればステップ 2410へ 行く。 ステップ 2407として、 射影座標により表された点の組 (mP，（m+l)P)か ら点 mPと点 (m+l)Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ステ ップ 2408へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影 座標における加算公式を用いて計算される。 ステップ 2408として、 射影座標 により表された点の組 (mP, (m+1) P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計 算する。 その後ステップ 2409へ行く。 ここで、 2倍算 2(mP)は、 モンゴメリ 型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ステップ 24 09として、 ステップ 2408で求めた点 2mPとステップ 2407で求めた点 (2m+ 1 ) Pを点の組 (2mP, (2m+ 1 ) P)として、 点の組 (mP, (m+ 1 ) P)の代わりに格納す る。 その後ステップ 2404へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及ぴ点 (m+l)Pは全て射影座標において表されている。 ステップ 2410として、 射影座 標により表された点の組 (mP， (ra+ 1 ) P)から点 mPと点（ra+1) Pの加算 mP+ (ra+1) Pを行 ない、 点（2m+l)Pを計算する。 その後ステップ 24 1 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算 される。 ステップ 241 1として、 射影座標により表された点の組 (mP, (m+l)P) 力 ら点 (m+l)Pの 2倍算 2((m+l)P)を行ない、 点 (2m+2)Pを計算する。 その後ステ ップ 2412へ行く。 ここで、 2倍算 2 ( (m+ 1 ) P)は、 モンゴメリ型楕円曲線の射 影座標における 2倍算の公式を用いて計算される。 ステップ 2412として、 ス テツプ 241 0で求めた点（2ra+l)Pとステップ 241 1で求めた点（2m+2)Pを点 の組 ( (2m+ 1 ) P， (2m+2) P)として、 点の組 (mP, (m+1) Pの代わりに格納する。 その 後ステップ 2404へ戻る。 ここで、 点（2m+l)P、 点（2m+2)P、 点 mP及ぴ点 (m+l)Pは全て射影座標において表されている。 ステップ 2414として、 射影座 標で表された点の組 (mP，（m+l)P)から、 点（m_l)Pの射影座標における X座標 X_m— i及ぴ Z座標 を求め、 それぞれ X_d— 及び Z_d一 1とする。 その後ステツ プ 241 5へ行く。 ステップ 241 5として、 射影座標で表された点 mP=(X_m， Y_m, Z_m)より X_m及び Z_mをそれぞれ X_d及び Z_dとし、 射影座標で表された点（m+l)P

= (X_m+ 1 , Ym+ 1 , Z_m+ l )より X_m+ ;L及び Z_m+ iをそれぞれ X _d + 1及び Z _d +ェと する。 ここで、 Y_m及ひ Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加 算公式及び 2倍算の公式では Y座標を求める事ができないので、 求まつていない。 X_d_!, Z_{d + 1}, X_d, Z_d， X_{d + 1}, Z_{d + 1}より、 数 24、 数 25、 数 26とし て x_d— x_d, x_{d + 1}を求める。 その後ステップ 241 3へ行く。 ステップ 2 41 3として、 x_d— x_d, x_{d+ 1}を出力する。 上記手順により、 mとスカラ 一値 dはビット長が等しくさらにそのビットのパターンも同じとなる為、 等しく なる。 またステップ 2414において（m-l)Pを求める際に、 数 13、 数 14の公 式により求めてもよいし、 mが奇数であれば、 （On- 1)/2)Pの値をステップ 241 2の段階で別に保持しておき、 その値からモンゴメリ型楕円曲線の 2倍算の公式 より、 （m - 1)Pを求めてもよレヽ。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Ζ -Ιととる ことにより 3M+2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+ 2 Sである。 スカラー値の I番目のビットの値が 0であ れば、 ステップ 2407において加算の計算量、 ステップ 2408において 2倍 算の計算量が必要となる。 すなわち 6M+ 4 Sの計算量が必要となる。 スカラー 値の I番目のビットの値が 1であれば、 ステップ 2410において加算の計算量、 ステップ 241 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの 計算量が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要である。 ステップ 2404、 ステップ 2405、 ステップ 2406、 ステップ 2407、 ステップ 2408、 ステップ 2409乃至はステップ 2404、 ステップ 240 5、 ステップ 2406、 ステップ 2410、 ステップ 241 1、 ステップ 241 2の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステツ プ 2402での 2倍算の計算量、 ステップ 2414での（m- 1) Pの計算に必要な計 算量及ぴステップ 2415でのァフィン座標への変換の計算量を考慮に入れると、 全体の計算量は （6M+4 S) k + l lM+ Iとなる。 ここで kはスカラー値 d のビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度、 計算量 Iは I =40M程度と見積もられるので、 全体の計算量はおおよそ （9. 2 k + 51) Mとなる。 例えばスカラー値 dが 1 60ビット （k = 160) であれば、 上記手 順のアルゴリズムの計算量はおおよそ 1 523Mとなる。 スカラー値 dのビット あたりの計算量としてはおよそ 9. 2Mとなる。 A.Miyaji, T. Ono, H.Cohen, Efricient elliptic curve exponentiation using mixed coordinates,

Advances in Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51-65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用い てヤコビアン座標を中心とした混合座標系を用いたスカラー倍計算方法は高速な スカラー倍計算方法として記載されている。 この場合においては、 スカラー値の ビットあたりの計算量はおおよそ 10Mと見積もられ、 これ以外にァフィン座標 への変換の計算量が必要となる。 例えばスカラー値 dが 160ビット （k= 1 6 0) であれば、 このスカラー倍計算方法の計算量はおおよそ 1640Mとなる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d__1; x_d, x_{d + 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズ ムを用いていもよい。

第 14の実施例は、 スカラ一倍計算部 1 03がスカラ一値 d及びモンゴメリ型 楕円曲線上の点 Pから、 モンゴメリ型楕円曲線におけるァフィン座標の点として 完全な座標が与えられたスカラー倍点 （x _d， y d) を計算し出力するものであ る。 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 1 03に 入力すると高速スカラー倍計算部 202がそれを受け取る。 高速スカラー倍計算 部 202は受け取ったスカラー値 dと与えられたモンゴメリ型楕円曲線上の点 P からモンゴメリ型楕円曲線において射影座標で表されたスカラー倍点 dP=(X_d， Y_d,Z_d)の座標のうち X_d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上 の点（(1+1)?=½_{(1+ 1}，¥_{(1+ 1}，2_{£1+ 1}) の座標のうち X_{d + 1}及び Z_d+iを計算し、 ァフィン座標で表された入力されたモンゴメリ型楕円曲線上の点 P= ( X , y )と共 にその情報を座標復元部 203に与える。 座標復元部 203は与えられた座標の 値 X_d、 Z_d、 X_{d + 1}、 Z_d +い x及び yよりモンゴメリ型楕円曲線においてァフ ィン座標で表されたスカラー倍点 dP=(x_d,y_d)の座標 X _d及び y _dの復元を行な う。 スカラー倍計算部 103はァフィン座標において完全に座標が与えられたス カラー倍点 (x_d，y_d)を計算結果として出力する。

次に図 34により、 座標 _£1，2₍₁, ₍₁₊₁，2_{(5 +1}が与ぇられた場合に _{(1 (1} を出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP- (X _d， Y _d , Z _d )の座標うち X _d及び z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（d+1) P= (X d+l，^Yd+l，^Zd+lノの J坐標のつち d + 1及び Z_{d+ 1}、 スカラー倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 Pを ァフィン座標で表した（X, y)を入力し、 以下の手順でァフィン座標おいて完全な 座標が与えられたスカラー倍点（x_d,y_d)を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（x,y)で、 射影座標を（X Y^Zi)でそ れぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線におけるス 力ラ一倍点 dPのァフィン座標を（X _d， y _d )で、 射影座標を (X _d， Y _d , Z _d )でそれぞれ 表す。 モンゴメリ型楕円曲線上の点（d+1) Pのァフィン座標を d + 1 , y d + 1 )で、 射影座標を (X_{d + 1},Y_d + i，Zd _{+ 1})でそれぞれ表す。

ステップ 3401において xXZ_dが計算され、 レジスタ T に格納される。 ス テツプ 3402において が計算される。 ここでレジスタ には xZ_dが 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 3403において X_d-丁丄が計算され、 ここでレジスタ には xZ_d が格納されており、 したがって xZ_d- X_dが計算される。 その結果が レジスタ T ₃に格納される。 ステップ 3404においてレジスタ T ₃の 2乗が計 算される。 ここでレジスタ T₃には xZ_d - X_dが格納されており、 したがって（X_d - xZ_d) ²が計算される。 その結果がレジスタ T₃に格納される。 ステップ 3405 において T₃XX_{d + 1}が計算される。 ここでレジスタ T₃には (X_d- xZ_d) ²が格納 されており、 したがって X_{d+ 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 3406において 2AXZ_dが計算され、 レジスタ に格納される。 ステップ 3407において Ts+Tiが計算される。 ここでレジ スタ T ₂には xZ _d +X _dがレジスタ T丄には 2AZ _dがそれぞれ格納されており、 した がって xZ_d+X_d+2AZ_dが計算される。 その結果がレジスタ T ₂に格納される。 ス テツプ 3408において xXX_dが計算され、 レジスタ T₄に格納される。 ステツ プ 3409において T₄+Z_dが計算される。 ここでレジスタ T₄には xX_dが格納 されており、 したがって xX_d+Z_dが計算される。 その結果がレジスタ T₄に格納 される。 ステップ 3410において Τ₂ ΧΤ₄が計算される。 ここでレジスタ Τ ₂には xZ_d+X_d+2AZ_dがレジスタ Τ₄には xX_d+Z_dがそれぞれ格納されており、 したがって（xZ _d+X_d +2AZ _d) (xX_d+Z_d)が計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 341 1において T XZ_dが計算される。 ここでレジス タ！^には 2AZ_dが格納されており、 したがって 2AZ_d ²が計算される。 その結果 がレジスタ T に格納される。 ステップ 3412において T ₂- 1^が計算される。 ここでレジスタ T ₂には（xZ_d+X_d+2AZ_d) (xX_d+Z_d)がここでレジスタ T には 2AZ _d がそれぞれ格納されており、 したがって（xZ _d +X _d +2AZ _d) (xX_d+Z_d)- 2ΑΖ_ά ^Λが計算される。 その結果がレジスタ Τ ₂に格納される。 ステップ 341 3 において T₂ XZ_{d+ 1}が計算される。 ここでレジスタ T₂には（xZ_d+X_d +

2AZ_d) (xX_d+Z_d)-2AZ_d ²力格糸内されており、 したカつて Z_{d+ 1} ((xZ_d+X_d + 2AZ_d) (xX_d+Z_d)- 2AZ_d ²)が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 3414において T ₂- T ₃が計算される。 ここでレジスタ T ₂には Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)- 2AZ_d ²)がレジスタ T₃には X_{d + 1} (X_d- xZ_d) ²がそれぞれ格納されており、 したがって Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d) - 2AZ_d ²)-X_{d + n} (X_d- xZ_d) が計算される。 その結果がレジスタ T ₂に格納され る。 ステップ 341 5において 2BXyが計算され、 レジスタ T iに格納される。 ステップ 341 6において XZ_dが計算される。 ここでレジスタ には 2By が格納されており、 したがって 2ByZ_dが計算される。 その結果がレジスタ に 格納される。 ステップ 341 7において T XZ_{d + 1}が計算される。 ここでレジ スタ には 2ByZ_dが格納されており、 したがって 2ByZ_dZ_{d+ 1}が計算される。 その結果がレジスタ 1^に格納される。 ステップ 3418において XZ_dが計 算される。 ここでレジスタ には 2ByZ_dZ_d+iが格納されており、 したがって 2ByZ_dZ_{d + 1}Z_dが計算される。 その結果がレジスタ T₃に格納される。 ステップ 341 9においてレジスタ Τ ₃の逆元が計算される。 ここでレジスタ Τ ₃には 2ByZ_dZ_{d + 1}Z_dが格納されており、 したがって l/2ByZ_dZ_d+ が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 3420において T₂XT₃が 計算される。 ここでレジスタ Τ₂には Z_d+1 ((xZ_d+X_d+2AZ_d) (xX_d+Z_d) - 2AZ_d ")-X_{d + 1} (X_d-xZ_d) ²がレジスタ T₃には l/2ByZ_dZ_{d + 1}Z_dがそれぞれ格 糸内されており、 したカ つて {Z_{d+ 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)-2AZ_d ²)-X_{d+ χ} (X_d-xZ_d) ²}/2ByZ_dZ_{d + 1} Z_dが計算される。 その結果がレジスタ y_dに格納さ れる。 ステップ 3421において XX_dが計算される。 ここでレジスタ丁ュに は 282₍₁2_{(1+ 1}カ格納されており、 したがって 2ByZ_d Z _d + 丄 X _dが計算される。 その結果がレジスタ に格納される。 ステップ 3422において Τ]_ ΧΤ₃が 計算される。 ここでレジスタ Τ には 2ByZ _d Z _d + X_d力 Sレジスタ T ₃には 1/ 2ByZ_dZ_{d + 1}Z_dがそれぞれ格納されており、 したがって 2ByZ_dZ_{d +} /2ByZ _d Z_{d + 1}Z_d( = X_d/Z_d)が計算される。 その結果が x_dに格納される。 y_dにはステツ プ 3420におレ、て {Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)-2AZ_d ²)-X_{d +}！ (X_d- xZ_d) ²}/2By Z_dZ_{d + 1}Z_dカ格納され、 その後更新が行なわれないので、 その値 が保持されている。

上記手順により座標復元部 203へ与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z _d + からモンゴメリ型楕円曲線におけるスカラ一倍点のァフィン座標（ X _d , y _d)における値が全て復元される理由は以下の通りである。 尚、 点（d+l)Pは点 dPに点 Pを加算した点である。 モンゴメリ型楕円曲線のァフィン座標における加 算公式に代入すると、 数 6を得る。 点 P及び点 dPはモンゴメリ型楕円曲線上の点 であるので、 By_d ²=x_d ³+Ax_d ²+x_d及ぴ By²=x³+Ax²+xをみたす。 数 6に代入し、 By _d ²及び By ²を消去し、 式を整理すると、

y_d={(x_dx+l) (x_d+x+2A)-2A-(x_d-x) ²x_{d + 1}}/(2By) …数 64

を得る。 ここで X

_{+ 1}/Z_{d + 1}であり、 この値を代入す ることにより射影座標の値へと変換すると、 次の式を得る。

y_d={Z_{d + 1} ((X_dx+Z_d) (X_d+xZ_d+2AZ_d)-2Azi)-(X_d-xZ_d)²X_{d + 1}}/(2ByZ_dZ_{d + 1}Z_d)

…数 65

_{X d}=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _dの分母と通分するこ とにより、

X_d=(2ByZ_dZ_{d + 1}X_d)/(2ByZ_dZ_{d + 1}Z_d) …数 66

となる。 ここで、 x_d， y_dは図 34の処理により与えられている。 したがって、 ァフィン座標 (x_d,y_d)の値が全て復元されていることになる。

上記手順はステップ 3401、 ステップ 3405、 ステップ 3406、 ステツ プ 3408、 ステップ 3410、 ステップ 341 1、 ステップ 341 3、 ステツ プ 3415、 ステップ 3416、 ステップ 341 7、 ステップ 3418、 ステツ プ 3420、 ステップ 3421及びステップ 3422において有限体上の乗算の 計算量を必要とする。 また、 ステップ 3404において有限体上の 2乗算の計算 量を必要とする。 また、 ステップ 341 9において有限体上の逆元演算の計算量 を必要とする。 有限体上の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及ぴ逆元演算の計算量と比べて比較的小さいので無視してもよレ、。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を S及び有限体上の逆 元演算の計算量を Iとすると、 上記手順は 14M+S + Iの計算量を必要とする。 これは高速ス力ラ一倍計算の計算量と比べてはる力に小さレ、。 例えばス力ラ一値 _dが 160ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 500M 弱と見積もられる。 S = 0. 8M、 I =40Mと仮定すると座標復元の計算量は 54. 8Mであり、 高速スカラー倍計算の計算量と比べてはるかに小さい。 した がって効率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた x _d, y _dの値が 計算できれば X Λ, y _dの値が復元できる。 その場合においては一般的に復元に 必要となる計算量が増大する。 また、 楕円曲線のパラメタである A乃至は Bの値を 小さくとることにより、 ステップ 3406乃至はステップ 3415における乗算 の計算量を削減することができる。

次にスカラ一値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d，Z_d，X_{d+ 1}, Z_{d + 1}を出力する高速スカラー倍計算部の処理を説明する。

第 14実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 1実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及ぴ モンゴメリ型楕円曲線上の点 Pから、 x_d, Z_d, X_{d + 1}, Z_{d + ]L}を出力するァルゴ リズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラー倍計算 部 202において上記アルゴリズムを用いなくても、 スカラー値 d及びモンゴメ リ型楕円曲線上の点 Pから、 X_d， Z_d, X_{d + 1}, Z_{d +} iを出力するアルゴリズムで あり且つ高速であれば、 他のアルゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 14M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k-4. 6) Mとに比べてはるかに小さい。 した がって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 1 =40 M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k+ 50) Mと 見積もることができる。 例えばスカラー値 dが 160ビット （k=1 60) であ れば、 このスカラー倍計算に必要な計算量は 1 522Mとなる。 楕円曲線として ワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標 を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点を ァフィン座標として出力する場合に必要となる計算量はおおよそ 1640Mであ り、 これと比べて必要となる計算量は削減されている。

第 1 5の実施例は、 スカラー倍計算部 103がスカラー値 d及びモンゴメリ型 楕円曲線上の点 Pから、 モンゴメリ型楕円曲線における射影座標の点として完全 な座標が与えられたスカラー倍点 (X_d，Y_d,Z_d)を計算し出力するものである。 ス カラー値 d及ぴモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 103に入力す ると高速スカラー倍計算部 202がそれを受け取る。 高速スカラー倍計算部 20 2は受け取ったスカラ一値 dと与えられたモンゴメリ型楕円曲線上の点 Pからモン ゴメリ型楕円曲線において射影座標で表されたスカラ一倍点 dP= (X _d , Y _d , Z _d )の 座標のうち X_d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+l)P = _{+ 1} , ?_{(1 +} 1,2_{£1+ :1})の座標のぅち _{(1+ 1}及ぴ2_{(1+ 1}を計算し、 ァフィン座 標で表された入力されたモンゴメリ型楕円曲線上の点 P=(x，y)と共にその情報を 座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及び yよりモンゴメリ型楕円曲線において射影座標で表された スカラー倍点 dP=0(_d,Y_d，Z_d)の座標 X_d,Y_d及ぴ Z_dの復元を行なう。 スカラー 倍計算部 103は射影座標において完全に座標が与えられたスカラー倍点 (X_d， Y_d，Z_d)を計算結果として出力する。

次に図 35により、 座標 x、 y X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}が与えられた場合に X_d、 Y_d、 Z_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X _d , Y _d , Z _d )の座標のうち X _d及び Z _d、 射影座標で表されたモン ゴメリ型楕円曲線上の点 (d+l)P=(X_{d+ 1},Y_{d + 1},Z_{d + 1})の座標のうち X_{d + 1}及 び Z _d + 、 スカラ一倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 P をァフィン座標で表した（X, y)を入力し、 以下の手順で射影座標おいて完全な座 標が与えられたスカラ一倍点 (X_d，Y_d，Z_d)を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（X, y)で、'射影座標を（ ， Y ， Z i )でそ れぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線におけるス 力ラ一倍点 dPのァフィン座標を（X _d， y _d )で、 射影座標を（X _d , Y _d , Z _d )でそれぞれ 表す。 モンゴメリ型楕円曲線上の点（d+l)Pのァフィン座標を（x_{d + 1}，y_{d+ 1})で、 射影座標を (X_d + i,Y_d + i，Z_d+i)でそれぞれ表す。

ステップ 3501において xXZ_dが計算され、 レジスタ に格納される。 ス テツプ 3502において X_d+T 2が計算される。 ここでレジスタ T 2には xZ_dが 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ T 2に 格納される。 ステップ 3503において X_d- T 1が計算され、 ここでレジスタ には xZ_d が格納されており、 したがって xZ_d - X_dが計算される。 その結果が レジスタ T₃に格納される。 ステップ 3504においてレジスタ Τ 3の 2乗が計 算される。 ここでレジスタ T₃には xZ_d - X_dが格納されており、 したがって（X_d - xZ_d)²が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 3505 において T₃ XX_{d + 1}が計算される。 ここでレジスタ T₃には（X_d- xZ_d) ²が格納 されており、 したがって X_d+丄 （X_d- xZ_d) が計算される。 その結果がレジスタ T₃に格納される。 ステップ 3506において 2AXZ_dが計算され、 レジスタ Tェ に格納される。 ステップ 3 507において T 2 + 1^が計算される。 ここでレジ スタ T ₂には xZ _d +X _dがレジスタ T iには 2AZ _dがそれぞれ格納されており、 した がって xZ_d+X_d+2AZ_dが計算される。 その結果がレジスタ T ₂に格納される。 ス テツプ 3508において xXX_dが計算され、 レジスタ T₄に格納される。 ステツ プ 3509において T₄+Z_dが計算される。 ここでレジスタ T₄には xX_dが格納 されており、 したがって xX_d+Z_dが計算される。 その結果がレジスタ T₄に格納 される。 ステップ 3510において Τ₂ΧΤ₄が計算される。 ここでレジスタ Τ 2には xZ _d+X_d +2AZ _dがレジスタ T ₄には χΧ _d+Z_dがそれぞれ格納されており、 したがって（xZ _d+X_d +2AZ _d) (xX_d+Z_d)が計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 351 1において T XZ_dが計算される。 ここでレジス タ！^には 2AZ_dが格納されており、 したがって 2AZ_d ²が計算される。 その結果 がレジスタ に格納される。 ステップ 3512において T ₂- が計算される。 ここでレジスタ T ₂には（xZ_d+X_d+2AZ_d) (xX_d+Z_d)がここでレジスタ T ₁には 2AZ_d ²がそれぞれ格納されており、 したがって（xZ_d+X_d+2AZ_d) (xX_d+Z_d) - 2AZ_d2が計算される。 その結果がレジスタ T₂に格納される。 ステップ 351 3 において T₂XZ_{d + 1}が計算される。 ここでレジスタ T₂には（xZ_d+X_d +

2AZ_d) (xX_d+Z_d)_2AZ_d ²が格納されており、 したがって Z_{d + 1} ((xZ_d+X_d + 2AZ _d) (xX_d+Z_d) -2AZ _d ² )が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 3514において T 2- T ₃が計算される。 ここでレジスタ T ₂には Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)— 2AZ_d ²)カ レジスタ T₃に【ま X_{d + 1} (X_d— xZ_d) ²力 Sそれぞれ格納されており、 したカつて Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d + Z_d)-2AZ_d ²)-X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ Y_dに格納さ れる。 ステップ 351 5において 2BXyが計算され、 レジスタ T に格納される。 ステップ 351 6においてで ₁ XZ_dが計算される。 ここでレジスタ T には 2By が格納されており、 したがって 2ByZ_dが計算される。 その結果がレジスタ に 格納される。 ステップ 3517において XZ_{d + 1}が計算される。 ここでレジ スタ T には 2ByZ _dが格納されており、 したがって 2ByZ _d Z _d + 力 S計算される。 その結果がレジスタ T に格納される。 ステップ 3518において XX_dが計 算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}が格納されており、 したがって 2ByZ_dZ_{d + 1}X_dカ計算される。 その結果がレジスタ X_dに格納される。 ステップ 351 9において XZ_dが計算される。 ここでレジスタ には 2ByZ_dZ_{d+ 1} が格納されており、 したがって 2ByZ_dZ_{d + 1}Z_dが計算される。 その結果がレジス タ Z_dに格納される。 X_dにはステップ 35 18におレ、て 2ByZ_dZ_{d+ 1}X_d力 S格納さ れ、 その後更新が行なわれないので、 その値が保持されている。 Y_dにはステツ プ 3514 こおレヽて Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX _d +Z _d ) -2AZ _d ²)-X_{d + 1} (X_d- xZ_d)²が格納され、 その後更新が行なわれないので、 その値が保持されている。 上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からスカラー倍点 の射影座標 (X_d,Y_d，Z_d)における値が全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した点である。 モンゴメリ型楕円曲線のァフィン座 標における加算公式に代入すると、 次の数 6を得る。 点 P及び点 dPはモンゴメリ 型楕円曲線上の点であるので、 By_d ²=x_d "+Ax_d ²+x_d及び By²=x"+Ax²+xをみた す。 数 6に代入し、 By _d ²及び By ²を消去し、 式を整理すると、 数 64を得る。 ここで X d=X_d/Z_d、 X _{d + 1}=X_{d + 1}/Z_{d +} iであり、 この値を代入することに より射影座標の値へと変換すると、 数 6 5を得る。 x _d=X_d/Z_dであるが、 逆元 演算の回数を減らす目的で y _dの分母と通分することにより、 数 66となる。 そ の結果として、

Y_d ⁼Z_{d + 1}[(X_d+_XZ_d+2AZ_d)(X_dx+Z_d) - 2ΑΖ^] - (X_d - xZ_d)²X_{d + 1} …数 67

とし、 X_d及び Z_dをそれぞれ

2ByZ_dZ_{d + 1}X_d …数 68

2ByZ_dZ_{d + 1}X_d …数 69

により更新すればよい。 ここで、 X_d, Y_d， Z_dは図 35の処理により与えられて レ、る。 したがって、 射影座標 (X_d,Y_d,Z_d)の値が全て復元されていることになる。 上記手順はステップ 3501、 ステップ 3505、 ステップ 3506、 ステツ プ 3508、 ステップ 3510、 ステップ 351 1、 ステップ 351 3、 ステツ プ 3515、 ステップ 3516、 ステップ 351 7、 ステップ 351 8及びステ ップ 351 9において有限体上の乗算の計算量を必要とする。 また、 ステップ 3 504において有限体上の 2乗算の計算量を必要とする。 有限体上の加算及ぴ減 算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小さい ので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量 を Sとすると、 上記手順は 1 2 M+Sの計算量を必要とする。 これは高速スカラ 一倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビット であれば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積もられる。 S = 0. 8 Mと仮定すると座標復元の計算量は 12. 8Mであり、 高速スカラー 倍計算の計算量と比べてはるかに小さい。 したがつて効率的に座標を復元できて いることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d、 Y_d、 z_dの値 が計算できれば X_d、 Y_d、 Z_dの値が復元できる。 また、 x_d、 y_dが上記計算式に より与えられる値を取るように X_d、 Y_d、 Z_dの値を選択し、 その値が計算できれ ば X_d、 Y_d、 z_dが復元できる。 それらの場合においては一般的に復元に必要とな る計算量が増大する。 また、 楕円曲線のパラメタである A乃至は Bの値を小さくと ることにより、 ステップ 3506乃至はステップ 3515における乗算の計算量 を削減することができる。

次に、 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d, X_{d+ 1}, z_d + を出力するアルゴリズムについて説明する。

第 15実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 1実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及び モンゴメリ型楕円曲線上の点 Pから、 X_d, Z_d, X_{d + 1}, Z_{d + 1}を出力するァルゴ リズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラー倍計算 部 202において上記アルゴリズムを用いなくても、 スカラー値 d及ぴモンゴメ リ型楕円曲線上の点 Pから、 X_d, Z_d， X_{d + 1}, Z_{d + 1}を出力するアルゴリズムで あり且つ高速であれば、 他のアルゴリズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 12M+Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計算 に必要な計算量の （9. 2 k— 4. 6) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8M と仮定すると、 この計算量はおおよそ （9. 2 k + 8) Mと見積もることができ る。 例えばスカラー値 dが 160ビット （k = 160) であれば、 このスカラー 倍計算に必要な計算量は 148 OMとなる。 楕円曲線としてワイエルシュトラス 型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心とした混合座 標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビアン座標とし て出力する場合に必要となる計算量はおおよそ 160 OMであり、 これと比べて 必要となる計算量は削減されている。

第 16の実施例は、 スカラー倍計算部 103がスカラー値 d及びモンゴメリ型 楕円曲線上の点 Pから、 モンゴメリ型楕円曲線におけるァフィン座標の点として 完全な座標が与えられたスカラー倍点 (x_d,y_d)を計算し出力する。 スカラー値 d 及びモンゴメリ型楕円曲線上の点 Pをスカラー倍計算部 103に入力すると高速 スカラ一倍計算部 202がそれを受け取る。 高速ス力ラ一倍計算部 202は受け 取ったスカラー値 dと与えられたモンゴメリ型楕円曲線上の点 Pからモンゴメリ型 楕円曲線においてァフィン座標で表されたスカラー倍点 dP = (X _d， y _d )の座標の うち x_d、 ァフィン座標で表されたモンゴメリ型楕円曲線上の点（d+l)P==

( _{( + 1}，_{7(1 + 1})の座標のぅち _{(1+ 1}を計算し、 ァフィン座標で表された入力さ れたモンゴメリ型楕円曲線上の点 P= (X, y)と共にその情報を座標復元部 203に 与える。 座標復元部 203は与えられた座標の値 x_d、 x_{d + 1}、 x及び yよりモン ゴメリ型楕円曲線においてァフィン座標で表されたスカラー倍点 dP=(x_d,y_d) の座標 y_dの復元を行なう。 スカラー倍計算部 103はァフィン座標において完 全に座標が与えられたスカラー倍点 (x_d，y_d)を計算結果として出力する。

次に図 36により、 座標 x、 y、 x_d、 x_{d + 1}が与えられた場合に、 x_d、 y_dを出 力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線においてァフィン座標で表され たスカラ一倍点 dP= (X _d， y _d )の座標のうち X _d、 ァフィン座標で表されたモンゴ メリ型楕円曲線上の点（_£1_{+ 1})?=( 01 +₁，7₍1_{+ 1})の座標のぅち _{(1+ 1}、 スカラー 倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表 した (x,y)を入力し、 以下の手順でァフィン座標において完全な座標が与えられ たスカラー倍点 (x_d，y_d)を出力する。

ステップ 3601において x_d Xxが計算され、 レジスタ に格納される。 ス テツプ 3602において 1^+1が計算される。 ここでレジスタ には x_dxが格 納されており、 したがって x_dx+lが計算される。 その結果がレジスタ T に格納 される。 ステップ 3603において x_d+xが計算され、 レジスタ T₂に格納され る。 ステップ 3604において Τ 2+2Αが計算される。 ここでレジスタ Τ 2には x_d+xが格納されており、 したがって x_d+x+2Aが計算される。 その結果がレジス タ T₂に格納される。 ステップ 3605において T i XT丄が計算される。 ここ でレジスタ T jには x_dx+lがレジスタ T ₂には x_d+x+2Aがそれぞれ格納されてお り、 したがって（x_dx+l) (x_d+x+2A)が計算される。 その結果がレジスタ 1^に格 納される。 ステップ 3606において Ti- 2Αが計算される。 ここでレジスタ 丁₁には（ ₍₁ +1)( ₍₁+ +2 ）が格納されてぉり、 したがって（x_dx+l) (x_d+x+2A) - 2Aが計算される。 その結果がレジスタ に格納される。 ステップ 3607にお いて x_d- Xが計算され、 レジスタ T に格納される。 ステップ 3608において T ₂の 2乗が計算される。 ここでレジスタ T ₂には x_d-xが格納されており、 した がって（x_d— ²が計算される。 その結果がレジスタ T ₂に格納される。 ステツ プ 3609において T₂Xx_{d+ 1}が計算される。 ここでレジスタ T ₂には（x_d— X) ²が格納されており、 したがって（x_d— X) ²x_{d + 1}が計算される。 その結果が レジスタ T ₂に格納される。 ステップ 3610において Ti- T₂が計算される。 ここでレジスタ Τ丄には（X _d χ+1) (X _d +x+2A) - 2Aがレジスタ T ₂には（x _d— x) ² x_{d + 1}がそれぞれ格納されており、 したがって（x_dx+l) (x_d+x+2A)-2A-( _d- x) ²x_{d+ 1}カ計算される。 その結果がレジスタ に格納される。 ステップ 36 1 1において 2BXyが計算され、 レジスタ T ₂に格納される。 ステップ 361 2 において T ₂の逆元が計算される。 ここでレジスタ T ₂には 2Byが格納されてお り、 したがって l/2Byが計算される。 その結果がレジスタ T ₂に格納される。 ス テツプ 361 3において XT ₂が計算される。 ここでレジスタ には ( _d +1) (x _d +x+2A) -2A- (x _d _x) ² x _d + jがレジスタ T ₂には l/2Byがそれぞれ格 納されており、 したがって（x_dx+l) (x_d+x+2A)-2A-(x_d-x) ²x_{d + 1}/2Byが計算 される。 その結果がレジスタ y_dに格納される。 したがってレジスタ y_dには (x_dx+l) (x_d+x+2A)-2A-(x_d-x) ²x_{d +} ^SByが格納されている。 レジスタ x_dは 全く更新されないので入力された値が保持されてレ、る。

上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 尚、 点（_{d + 1})Pは点 dPに点 Pを加算した点である。 モンゴメリ型楕円曲線のァフ ィン座標における加算公式に代入すると、 数 6を得る。 点 P及ぴ点 dPはモンゴメ リ型楕円曲線上の点であるので、 By _d ²=x _d ³ +Ax _d ²+x_d及ぴ By ²=x ° +A +xをみ たす。 数 6に代入し、 By _d ²及び By ²を消去し、 式を整理すると、 数 64を得る。 ここで、 x_d， y_dは図 36の処理により与えられる。 したがって、 ァフィン座標

(Xd， Yd)の値は全て復元されたことになる。

上記手順はステップ 3601、 ステップ 3605、 ステップ 3609、 ステツ プ 3611及ぴステップ 3613において有限体上の乗算の計算量を必要とする。 また、 ステップ 3608において有限体上の 2乗算の計算量を必要とする。 さら にステップ 3612において有限体上の逆元演算の計算量を必要とする。 有限体 上の減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量、 逆元演算の計 算量と比べて比較的小さいので無視してもよレ、。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を S、 有限体上の逆元演算の計算量を Iとすると、 上 記手順は 5M+S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計算 量と比べてはるかに小さい。 例えばスカラー値 dが 160ビットであれば、 高速 スカラー倍計算の計算量はおおよそ 1500M弱と見積もられる。 S = 0. 8M 及び I =40Mと仮定すると座標復元の計算量は 45. 8Mであり、 高速スカラ 一倍計算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元でき ていることが示された。

尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_dの値が 復元できる。 その場合は一般的に復元に必要となる計算量が増大する。 また、 楕 円曲線のパラメタである Bの値を小さくとることにより、 ステップ 2605にお ける乗算の計算量を削減することができる。 次に図 43により、 スカラー値 d及びモンゴメリ型楕円曲線上の点 Pから、 x_d、 x_{d + 1}を出力する高速スカラー倍計算部の処理について説明する。

高速スカラー倍計算部 202では、 スカラー倍計算部 103に入力されたモン ゴメリ型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕円曲線に おいてァフィン座標で表されたスカラー倍点 dP=(x_d，y_d)のうち x_d、 ァフィン 座標で表されたモンゴメリ型楕円曲線上の点 (d+1) P=(x_{d + 1}，y_{d+ 1})のうち x_{d + 1}を出力する。 ステップ 4301として、 変数 Iに初期値 1を代入する。 ス テツプ 4302として、 点 Pの 2倍点 2 Pを計算する。 ここで点 Pは射影座標にお いて（_X， y,l)として表し、 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式を用いて 2倍点 2Pを計算する。 ステップ 4303として、 スカラー倍計算部 1 03に入力された楕円曲線上の点 Pとステップ 4302で求めた点 2Pを、 点の 組 (P，2P)として格納する。 ここで点 P及び点 2Pは射影座標で表されている。 ステ ップ 4304として、 変数 I とスカラー値 dのビット長とが一致するかどうかを 判定し、 一致すればステップ 4315へ行く。 一致しなければステップ 4305 へ行く。 ステップ 4305として、 変数 Iを 1増加させる。 ステップ 4306と して、 スカラー値の I番目のビットの値が 0であるか 1であるかを判定する。 そ のビットの値が 0であればステップ 4307へ行く。 そのビットの値が 1であれ ばステップ 4310へ行く。 ステップ 4307として、 射影座標により表された 点の組 (mP， (m+l)P)から点 mPと点（m+l)Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを 計算する。 その後ステップ 4308へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴ メリ型楕円曲線の射影座標における加算公式を用いて計算される。 ステップ 43 08として、 射影座標により表された点の組 (mP, (m+l)P)から点 raPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 4309へ行く。 ここで、 2 倍算 2(mP)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 計算される。 ステップ 4309として、 ステップ 4308で求めた点 2mPとステ ップ 4307で求めた点（2m+l)Pを点の組 (2mP， (2m+l)P)として、 点の組 (mP， (m+l)P)の代わりに格納する。 その後ステップ 4304へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及び点 (m+l)Pは全て射影座標において表されている。 ステツ プ 431 0として、 射影座標により表された点の組 (mP, (m+ 1 ) P)から点 mPと点 (111+1 )?の加算1^+(111+1)?を行なぃ、 点（2m+l )Pを計算する。 その後ステップ 4 3 1 1へ行く。 ここで、 加算 mP+ (m+ 1 ) Pは、 モンゴメリ型楕円曲線の射影座標に おける加算公式を用いて計算される。 ステップ 4 3 1 1として、 射影座標により 表された点の組 (mP, (01+1 )?)から点（111+ 1 )?の2倍算2((111+1 )?)を行なぃ、 点 (2m+2)Pを計算する。 その後ステップ 4 3 1 2へ行く。 ここで、 2倍算 2((m+ 1)P)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算 される。 ステップ 43 1 2として、 ステップ 4 3 1 0で求めた点（2m+l)Pとステ ップ 4 3 1 1で求めた点（2m+2) Pを点の組（（2m+l) P (2m+2) P)として、 点の組 (mP, (m+l)P)の代わりに格納する。 その後ステップ 4 304へ戻る。 ここで、 点 (2m+l)P、 点（2m+2)P、 点 raP及ぴ点 (ra+l)Pは全て射影座標において表されている。 ステップ 4 3 1 5として、 射影座標で表された点 mP= (X_m, Y_m Z_m)より X_m及び Z_mをそれぞれ X _d及び Z _dとし、 射影座標で表された点 (m+1) P= (X_m

Y_m+ i,Z_m+ i)より X_m+i及び Z_m+ iをそれぞれ Xd+ i及び Zd + iとする。 ここ で、 Y_m及ぴ Y_m+iは、 モンゴメリ型楕円曲線の射影座標における加算公式及ぴ 2倍算の公式では Y座標を求める事ができないので、 求まっていない。 X_d Z_d,

^Λ(1 + 1 ^Zd+1より、 ^xd^=Xd d + l/^Zd^Zd + 1 ^x d + 1 ^=Z d ^X d + 1 d ^Z d + 1と レ て ^xd Xd + lを求める。 その後ステップ 4 3 1 3へ行く。 ステップ 4 3 1 3と して、 x_d x_{d + 1}を出力する。 上記手順により、 mとスカラー値 dはビット長が 等しくさらにそのビットのパターンも同じとなる為、 等しくなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Z ;L =1ととる ことにより 3 M+ 2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3M+ 2 Sである。 スカラー値の I番目のビットの値が 0であ れば、 ステップ 4 3 0 7において加算の計算量、 ステップ 4 3 0 8において 2倍 算の計算量が必要となる。 すなわち 6 M+ 4 Sの計算量が必要となる。 スカラー 値の I番目のビットの値が 1であれば、 ステップ 4 3 1 0において加算の計算量、 ステップ 4 3 1 1において 2倍算の計算量が必要となる。 すなわち 6M+ 4 Sの 計算量が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要である。 ステップ 4 3 04、 ステップ 43 0 5、 ステップ 4 3 0 6、 ステップ 4 3 0 7 ステップ 4308、 ステップ 4309乃至はステップ 4304、 ステップ 430 5、 ステップ 4306、 ステップ 4310、 ステップ 43 1 1、 ステップ 431 2の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステツ プ 4302での 2倍算の計算量及ぴァフィン座標への変換の計算量を考慮に入れ ると、 全体の計算量は （6M+4 S) k + 2M— 2 S+ I となる。 ここで kはス カラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度、 計 算量 Iは I =40M程度と見積もられるので、 全体の計算量はおおよそ （9. 2 k + 40. 4) Mとなる。 例えばスカラー値 dが 1 60ビッ ト （k= 160) で あれば、 上記手順のアルゴリズムの計算量はおおよそ 15 1 2Mとなる。 スカラ 一値 dのビットあたりの計算量としてはおよそ 9. 2Mとなる。 A.Miyaji, T.0no， H. Cohen, Efficient elliptic curve exponentiation using mixed

coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51-65 には、 ワイエルシュ トラス型楕円曲線において、 ウィン ドウ法を用いてヤコビアン座標を中心とした混合座標系を用いたスカラー倍計算 方法は高速なスカラー倍計算方法として記載されている。 この場合においては、 スカラー値のビットあたりの計算量はおおよそ 10Mと見積もられ、 これ以外に ァフィン座標への変換の計算量が必要となる。 例えばス力ラ一値 dが 1 60ビッ ト （k=l 60) であれば、 このスカラー倍計算方法の計算量はおおよそ 164 0Mとなる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速と いえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及ぴモンゴメリ型楕円曲線上の点 Pから、 x_d、 x_{d+ 1}を出力 するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用いていもよい。 スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 5M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 40. 4) Mとに比べてはるかに小さレ、。 した がって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8M及び I =40Mと仮定すると、 この計算量はおおよそ （9. 2 k + 86. 2) Mと見積もることができる。 例えばスカラー値 dが 1 60ビット （k= 1 6 0) であれば、 このスカラー倍計算に必要な計算量はおおよそ 1558Mとなる。 楕円曲線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いて ヤコビアン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 640Mであり、 これと比べて必要となる計算量は削減されている。

第 17の実施例は、 楕円曲線としてワイエルシュトラス型楕円曲線を用いたも のである。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はワイ エルシュトラス型楕円曲線である。 ただし、 スカラー倍計算部 103の内部の計 算で使用する楕円曲線として、 与えられだワイエルシュトラス型楕円曲線から変 換可能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 1 03がスカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシ ュトラス型楕円曲線におけるァフィン座標の点として完全な座標が与えられたス 力ラ一倍点 (X _d , y _d)を計算し出力するものである。 スカラ一値 d及びワイエルシ ュトラス型楕円曲線上の点 Pをスカラー倍計算部 1 03に入力すると高速スカラ 一倍計算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取った スカラー値 dと与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシ ュトラス型楕円曲線において射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d) の座標のうち X_d及び Z_d、 射影座標で表されたワイエルシュトラス型楕円曲線上 の 、 (d+l)P= (X_{d + 1},Y_{d + n},Z_{d+ 1})の J坐標のつち Xd + 1及ぴ Z_{d +} iを計算し、 ァフィン座標で表された入力されたワイエルシュ トラス型楕円曲線上の点 P=(x, y)と共にその情報を座標復元部 203に与える。 座標復元部 203は与え られた座標の値値 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及び yよりワイエルシュトラス 型楕円曲線においてァフィン座標で表されたスカラ一倍点 dP= (x_d,y_d)の座標 X _d及び y _dの復元を行なう。 スカラー倍計算部 103はァフィン座標において 完全に座標が与えられたスカラー倍点 (x_d，y_d)を計算結果として出力する。

次に図 37により、 座標 x、 y、 X_d、 Z_d、 X_{d +} i、 Z_{d + 1}が与えられた場合に x_d、 y_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 ワイエルシュトラス型楕円曲線において射影座標で表 されたスカラ一倍点 dP二（X _d , Y _d , Z _d )の座標うち X _d及び z _d、 射影座標で表され たワイエルシュトラス型楕円曲線上の点（d+1) P=(X_{d + 1},Y_{d + 1},Z_{d+ 1})の座標 のうち X_{d+ 1}及び Z_{d + 1}、 スカラー倍計算部 1 03に入力されたワイエルシュト ラス型楕円曲線上の点 Pをァフィン座標で表した (x， y)を入力し、 以下の手順でァ フィン座標おいて完全な座標が与えられたスカラー倍点（x_d，y_d)を出力する。 ここで入力されたワイエルシュトラス型楕円曲線上の点 Pのァフィン座標を（x， y) で、 射影座標を（X 1， Y 1 , Z 1 )でそれぞれ表す。 入力されたスカラー値を dとして ヮィエルシュトラス型楕円曲線におけるス力ラ一倍点 dPのァフィン座標を（X _d， y_d)で、 射影座標を (X_d，Y_d，Z_d)でそれぞれ表す。 ワイエルシュトラス型楕円曲 線上の点（d+l) Pのァフィン座標を（X _d + i， y _d +丄）で、 射影座標を（X _d +ェ， Y_{d + 1},Z_d +!)でそれぞれ表す。

ステップ 3701において xXZ_dが計算され、 レジスタ に格納される。 ス テツプ 3702において X_d+T が計算される。 ここでレジスタ T には xZ_dが 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 3703において が計算され、 ここでレジスタ には xZ_dが格納されており、 したがって xZ_d-X_dが計算される。 その結果が レジスタ T₃に格納される。 ステップ 3704においてレジスタ Τ ₃の 2乗が計 算される。 ここでレジスタ Τ₃には xZ_d - X_dが格納されており、 したがって（X_d - χΖ_ά) ^ώが計算される。 その結果がレジスタ Τ ₃に格納される。 ステップ 3705 において T₃ XX_{d+ 1}が計算される。 ここでレジスタ T₃には (X_d- xZ_d) ²が格納 されており、 したがって X_{d + 1} (X_d - xZ_d) が計算される。 その結果がレジスタ T₃に格納される。 ステップ 3706において xXX_dが計算され、 レジスタ に格納される。 ステップ 3707において aXZ_dが計算され、 レジスタ T₄に格 納される。 ステップ 3708において Τ が計算される。 ここでレジスタ には xX_dがレジスタ Τ₄には aZ_dがそれぞれ格納されており、 したがって _xX_d

+aZ_dが計算される。 その結果がレジスタ に格納される。 ステップ 3709 において T！ XT ₂が計算される。 ここでレジスタ T丄には xX_d+aZ_dがレジスタ T 2には xZ _d +X _d力 ^sそれぞれ格納されており、 したがって（xX _d +aZ _d ) (xZ _d +X _d ) が計算される。 その結果がレジスタ Tiに格納される。 ステップ 3710におい てレジスタ Z_dの 2乗が計算され、 レジスタ T₂に格納される。 ステップ 3 7 1 1において Τ ₂ X 2bが計算される。 ここでレジスタ T ₂には Z _d ²が格納されてお り、 したがって 2bZ_d が計算される。 その結果がレジスタ T₂に格納される。 ス テツプ 371 2において T i+T ₂が計算される。 ここでレジスタ T丄には（xX d +aZ_d)(xZ_d+X_ri)がレジスタ Tりには 2bZ_d ²がそれぞれ格納されており、 したが つて（xX_d+aZ_d) (xZ_d+X_d)+2bZ_ri が計算される。 その結果がレジスタ T に格 納される。 ステップ 371 3において XZ_{d + 1}が計算される。 ここでレジス タ丁 には（xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²が格納されており、 したがって Z_{d +} ((xX_d+aZ_d)(xZ_d+X_d)+2bZ_d ²)が計算される。 その結果がレジスタ T に格納 される。 ステップ 3714において T₃が計算される。 ここでレジスタ T J には Z_{d + 1} ((xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²)カ レジスタ T₃ こ ίま X_{d + 1} (X_d— xZ_d) ²がそれぞれ格納されており、 した力 Sつて Z_{d + 1} ((xX_d+aZ_d) (xZ_d+' X_d)+2bZ_d ²)-X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ に格納 される。 ステップ 37 1 5において 2yXZ_dが計算され、 レジスタ T₂に格納さ れる。 ステップ 3716において T₂ XZ_{d + 1}が計算される。 ここでレジスタ T₂には 2yZ_dが格納されており、 したがって 2yZ_dZ_{d + 1}が計算される。 その結 果がレジスタ T ₂に格納される。 ステップ 371 7において T₂XZ_dが計算され る。 ここでレジスタ T₂には 2yZ_dZ_{d+ 1}が格納されており、 したがって 2yZ_d Z_{d + 1}Z_dが計算される。 その結果がレジスタ T₃に格納される。 ステップ 371 8においてレジスタ Τ₃の逆元が計算される。 ここでレジスタ Τ₃には 2yZ_d

Z_{d + 1}Z_dカ格納されており、 したがって l/2yZ_dZ_{d + 1}Z_dが計算される。 その結 果がレジスタ T₃に格納される。 ステップ 371 9において Τ ΧΤ₃が計算さ れる。 ここでレジスタ には Z_{d + 1} ((xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²)-X_{d + 1} (X _d - xZ _d ) がレジスタ T ₃には l/2yZ _dZ_{d + 1}Z_dがそれぞれ格納されており、 し たがって（Z_{d +} i ((xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²)-X_{d +}！ (X_d-xZ_d) ²) /2yZ_d

Z_{d + 1}Z_dが計算される。 その結果がレジスタ y_dに格納される。 ステップ 372 0において T₂ XX_dが計算される。 ここでレジスタ T₂には 2yZ_dZ_{d + 1}が格納 されており、 したがって 2yZ_dZ_{d+ 1}X_dが計算される。 その結果がレジスタ T₂ に格納される。 ステップ 3721において T9XT_qが計算される。 ここでレジ スタ T₂には 2yZ_dZ_{d + ;L}X_dがレジスタ T₃には l/2yZ_dZ_{d + :L}Z_dがそれぞれ格納 されており、 した力 つて 2yZ_dZ_{d + 1}X_d/2yZ_dZ_{d + 1}Z_d力 S計算される。 その結果 がレジスタ x_dに格納される。 したがってレジスタ x_dには 2yZ_dZ_{d + 1}X_d/2yZ_d Z_{d + 1}Z_d力 S格納されてレヽる。 レジスタ y_dにはステップ 3 7 1 9におレヽて（Z_{d+ 1} ( (xX _d +aZ _d ) (xZ _d +X _d ) +2bZ _d ² ) -X _{d + x} (X _d -xZ _d ) ²)/2yZ_dZ_d +丄 Z_d力 S格納され、 その後更新が行なわれないので、 その値が保持されている。

上記手順により、 与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からワイエル シュトラス型楕円曲線におけるスカラ一倍点のァフィン座標（X _d , y _d )における 値が全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した 点である。 ワイエルシュトラス型楕円曲線のァフィン座標における加算公式に代 入すると、 数 27を得る。 点 P及ぴ点 dPはワイエルシュトラス型楕円曲線上の点 であるので、 y_d =x_d ³+ax_d+b及ぴ y²=x³+ax+bをみたす。 数 2 7に代入し、 y_d ²及び y²を消去し、 式を整理すると、

y_d={(x_dx+a) (x_d+x)+2b-(x_d-x) ²x_{d + 1}}/(2y) …数 70

を得る。 ここで x _d=X_d/Z_d、 X _{d+ :L}=X_{d + :L}/Z_{d + :L}であり、 この値を代入す ることにより射影座標の値へと変換すると、 次の式を得る。

y_d={Z_{d + 1}((X_dx+aZ_d) (X_d+xZ_d)-2bz|)-(X_d-xZ_d)²X_d+1}/(2yZ_dZ_{d + 1}Z_d)

…数 7 1

X _d==X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _dの分母と通分するこ とにより、

x_d=(2yZ_dZ_{d + 1}X_d)/(2yZ_dZ_{d + 1}Z_d) …数 72

となる。 ここで、 x _d, y_dは図 3 7で示した処理により与えられる。 したがつ て、 ァフィン座標（x_d,y_d)の値が全て復元されていることになる。

上記手順はステップ 3 701、 ステップ 3 705、 ステップ 3 706、 ステツ プ 3 707、 ステップ 3 709、 ステップ 3 7 1 0、 ステップ 3 7 1 1、 ステツ プ 371 3、 ステップ 3 7 1 5、 ステップ 3 71 6、 ステップ 3 7 1 7、 ステツ プ 3 7 1 9、 ステップ 3 7 20及びステップ 3 7 2 1において有限体上の乗算の 計算量を必要とする。 また、 ステップ 3 704において有限体上の 2乗算の計算 量を必要とする。 また、 ステップ 3 7 1 8において有限体上の逆元演算の計算量 を必要とする。 有限体上の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量及び逆元演算の計算量と比べて比較的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を S及び有限体上の逆 元演算の計算量を Iとすると、 上記手順は 14M+S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計算量と比べてはるかに小さレ、。 例えばスカラー値 dが 160ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 50 OM 弱と見積もられる。 S = 0. 8M、 I =40Mと仮定すると座標復元の計算量は 54. 8 Mであり、 高速スカラー信計算の計算量と比べてはるかに小さい。 した がつて効率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X _d， y_dの値が 計算できれば x _d， y_dの値が復元できる。 その場合においては一般的に復元に 必要となる計算量が増大する。

次に図 44により、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pか ら、 X_d，Z_d，X_{d + 1}，Z_{d + 1}を出力する高速スカラー倍計算部の処理について説明 する。

高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 103に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりワイエルシュト ラス型楕円曲線において射影座標で表されたスカラ一倍点 dP= (X _d， Y _d， Z _d )のう ち X_d及び Z_d、 射影座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P =(X_{d+ 1},Y_{d + 1},Z_{d + 1})のうち X_d+i及び Z_{d +} iを出力する。 ステップ 441 6として、 与えられたワイエルシュトラス型楕円曲線上の点 Pをモンゴメリ型楕 円曲線上で射影座標により表された点に変換する。 この点をあらためて点 Pとす る。 ステップ 4401として、 変数 Iに初期値 1を代入する。 ステップ 4402 として、 点 Pの 2倍点 2Pを計算する。 ここで点 Pは射影座標において（X, y，l)と して表し、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 2倍 点 2Pを計算する。 ステップ 4403として、 スカラー倍計算部 103に入力され た楕円曲線上の点 Pとステップ 4402で求めた点 2Pを、 点の組 (P，2P)として格 納する。 ここで点 P及び点 2Pは射影座標で表されている。 ステップ 4404とし て、 変数 Iとスカラー値 dのビット長とがー致するかどうかを判定し、 一致すれ ばステップ 441 5へ行く。 一致しなければステップ 4405へ行く。 ステップ 4405として、 変数 Iを 1増加させる。 ステップ 4406として、 スカラー値 の I番目のビットの値が 0であるか 1であるかを判定する。 そのビットの値が 0 であればステップ 4407へ行く。 そのビットの値が 1であればステップ 441 0へ行く。 ステップ 4 4 0 7 と して、 射影座標により表された点の組 (raP, (m+1) P)から点 mPと点（m+1) Pの加算 mP+ (m+1) Pを行なレ、、 点（2m+l) Pを計算す る。 その後ステップ 4408へ行く。 ここで、 加算 mP+(ni+l)Pは、 モンゴメリ型 楕円曲線の射影座標における加算公式を用いて計算される。 ステップ 4408と して、 射影座標により表された点の組 (mP， (m+1) P)から点 mPの 2倍算 2 (mP)を行 ない、 点 2mPを計算する。 その後ステップ 4409へ行く。 ここで、 2倍算 2(mP) は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ステップ 4409として、 ステップ 4408で求めた点 2mPとステップ 4407 で求めた点（2m+ 1 ) Pを点の組 (2mP, (2m+ 1 ) P)として、 点の組 (mP， (ra+ 1 ) P)の代 わりに格納する。 その後ステップ 4404へ戻る。 ここで、 点 2mP、 点（2m+ 1)P、 点 mP及び点 (m+1 )Pは全て射影座標において表されている。 ステップ 44 10として、 射影座標により表された点の組 (mP，（m+l)P)から点 mPと点 (m+l)P の加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ステップ 441 1へ 行く。 ここで、 加算 mP+ (m+ 1 ) Pは、 モンゴメリ型楕円曲線の射影座標における加 算公式を用いて計算される。 ステップ 441 1として、 射影座標により表された 点の組 (mP, (m+ 1 ) P)から点（m+ 1 ) Pの 2倍算 2 ( (m+ 1 ) P)を行ない、 点（2m+2) Pを計 算する。 その後ステップ 4412へ行く。 ここで、 2倍算 2((m+l)P)は、 モンゴ メリ型楕円曲線の射影座標における 2倍算の公式を用いて計算される。 ステップ 4412として、 ステップ 4410で求めた点（2m+l)Pとステップ 441 1で求 めた点（2m+2) Pを点の組（（2m+l ) P, (2m+2) P)として、 点の組（mP，（m+1 ) P)の代わり に格納する。 その後ステップ 4404へ戻る。 ここで、 点（2m+l)P、 点（2m+2)P、 点 raP及び点 (m+1) Pは全て射影座標において表されている。 ステップ 4415とし て、 モンゴメリ型楕円曲線における点 (m-l)Pを、 ワイエルシュトラス型楕円曲線 上で射影座標により表された点に変換する。 その点の X座標及ぴ Z座標をそれぞれ あらためて m-1及び Zm-lとおく。 また、 モンゴメリ型楕円曲線において射影座標 で表された点の組 (mP， (m+1) P)に対して、 点 mP及び点（m+1) Pをヮィエルシュトラ ス型楕円曲線上で射影座標で表された点に変換し、 それぞれ raP= (X_m，Y_m，Z_m) 及ぴ (m+l)P= (X_{m+ 1}，Y_{m+ 1},Z_m+i) とあらためて置き直す。 ここで、 Y_m及ぴ Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍算の公式 では Y座標を求める事ができないので、 求まっていない。 ステップ 441 3とし て、 ワイエルシュトラス型楕円曲線上で射影座標で表された点 _mp= (X_m, Y_m， z_m) より x_m及ぴ∑₁₁₁をそれぞれ x_d及び z_dとして、 ワイエルシュトラス型楕円曲 線上で射影座標で表された点 (m+1) P= (Xm+l.Ym+l^m+l) より X_m+ 1及ぴ

Z_{m+ 1}をそれぞれ X_{d + 1}及び Z_{d+ 1}として、 出力する。 また上記手順により、 m とスカラー値 dはビット長が等しくさらにそのビットのパターンも同じとなる為、 等しくなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Zl=lととるこ とにより 3M+2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限体上 の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の公 式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0であれ ば、 ステップ 4407において加算の計算量、 ステップ 4408において 2倍算 の計算量が必要となる。 すなわち 6 M+ 4 Sの計算量が必要となる。 スカラー値 の I番目のビットの値が 1であれば、 ステップ 4410において加算の計算量、 ステップ 441 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの 計算量が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要である。 ステップ 4404、 ステップ 4405、 ステップ 4406、 ステップ 4407、 ステップ 4408、 ステップ 4409乃至はステップ 4404、 ステップ 440 5、 ステップ 4406、 ステップ 4410、 ステップ 441 1、 ステップ 441 2の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステツ プ 4402での 2倍算の計算量とステップ 4416でのモンゴメリ型楕円曲線上 の点への変換に必要な計算量及びステップ 4415でのワイエルシュトラス型楕 円曲線上の点への変換に必要な計算量を考慮に入れると、 全体の計算量は （6M + 4 S) k + 2M—2 Sとなる。 ここで kはスカラー値 dのビット長である。 一 般的には、 計算量 Sは、 S = 0. 8 M程度と見積もられるので、 全体の計算量は おおよそ （9. 2 k + 0. 4) Mとなる。 例えばスカラー値 dが 1 60ビット (k= 160) であれば、 上記手順のアルゴリズムの計算量はおおよそ 1472 Mとなる。 スカラー値 dのビットあたりの計算量としてはおよそ 9, 2Mとなる。 A. Miyaji, T. Ono, H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98， LNCS 1514 (1998) pp.51-65 には、 ワイエルシュトラス型楕円曲線において、 ゥ ィンドウ法を用いてヤコビアン座標を中心とした混合座標系を用いたスカラー倍 計算方法は高速なスカラー倍計算方法として記載されている。 この場合において は、 スカラー値のビットあたりの計算量はおおよそ 10Mと見積もられる。 例え ばスカラー値 dが 1 60ビット （k = 1 60) であれば、 このスカラー倍計算方 法の計算量はおおよそ 1600Mとなる。 したがって、 上記本発明による手順の アルゴリズムの方が計算量が少なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 X_d、 Z_d、 X_{d+ 1}、 Z_{d + 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 14M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k + 0. 4) Mとに比べてはるかに小さい。 した がって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 1 =40 M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k+ 55. 2) Mと見積もることができる。 例えばスカラー値 dが 1 60ビット （k= 1 60) であれば、 このスカラー倍計算に必要な計算量はおおよそ 1527Mとなる。 楕 円曲線としてワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてャ コビアン座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 ス カラー倍点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 ' 640Mであり、 これと比べて必要となる計算量は削減されている。

第 18の実施例は楕円曲線としてワイエルシュトラス型楕円曲線を用いたもの である。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はヮイエ ルシュトラス型楕円曲線である。 ただし、 スカラー倍計算部 103の内部の計算 で使用する楕円曲線として、 与えられたワイエルシュトラス型楕円曲線から変換 可能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 1 0 3がスカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュ トラス型楕円曲線における射影座標の点として完全な座標が与えられたスカラー 倍点 (X_d,Y_d,Z_d)を計算し出力する。 スカラー値 d及びワイエルシュ トラス型楕 円曲線上の点 Pをスカラー倍計算部 103に入力すると高速スカラー倍計算部 2 02がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 d と与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシュ トラス型 楕円曲線にぉレ、て射影座標で表されたスカラ一信点 dP= (X _d , Y _d , z _d )の座標のう ち X _d及び z _d、 射影座標で表されたワイエルシュトラス型楕円曲線上の点

(₍₁₊₁)?= _{(1 +} 1,¥_{(1+ 1},2_£1+1)の座標のぅち _{( +1}及び2_{£1+ ;1}を計算し、 了 フィン座標で表された入力されたワイエルシュトラス型楕円曲線上の点 P= (x, y) と共にその情報を座標復元部 203に与える。 座標復元部 203は与えられた座 標の値 X_d、 Z_d、 X_{d+ 1}、 Z_{d + 1}、 x及ぴ yよりワイエルシュトラス型楕円曲線に ぉレヽて射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標 X _d， Y _d及び Z _d の復元を行なう。 スカラ一倍計算部 103は射影座標において完全に座標が与え られたスカラー倍点 (X_d,Y_d,Z_d)を計算結果として出力する。

次に図 38により、 座標 x、 y X_d、 Z_d、 X_{d + 1}、 Z_d + が与えられた場合に

Xd、 ^Yd、 z_dを出力する座標復元部の処理について説明する。

座標復元部 203では、 ワイエルシュトラス型楕円曲泉において射影座標で表 されたスカラ一倍点 dP= (X _d， Y _d， Z _d )の座標のうち X _d及ぴ Z _d、 射影座標で表さ れたワイエルシュ トラス型楕円曲線上の点（_d +

+ Yd + Zd + i)の 座標のうち X _d + 及び Z _{d + 1}, スカラ一倍計算部 103に入力されたワイエルシ ュトラス型楕円曲線上の点 Pをァフィン座標で表した (X, y)を入力し、 以下の手順 で射影座標おレ、て完全な座標が与えられたスカラ一倍点 (X_d,Y_d,Z_d)を出力する。 ここで入力されたワイエルシュトラス型楕円曲線上の点 Pのァフィン座標を（χ， y) で、 射影座標を 丫 でそれぞれ表す。 入力されたスカラー値を dとして -トラス型楕円曲線におけるスカラ一倍点 dPのァフィン座標を

(XdJd)で、 射影座標を (X_d，Yd，Z_d)でそれぞれ表す。 ワイエルシュ トラス型楕 円曲線上の点（_{d +} i)Pのァフィン座標を (x_{d+ 1}，y_{d + 1})で、 射影座標を

(X_{d + 1},Y_{d + 1},Z_{d+ 1})でそれぞれ表す。

ステップ 3801において xXZ_dが計算され、 レジスタ T丄に格納される。 ス テツプ 3802において Xd+T^が計算される。 ここでレジスタ T ]Lには xZ_dが 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 3803において X_d- が計算され、 ここでレジスタ

には xZ_dが格納されており、 したがって xZ_d - X_dが計算される。 その結果が レジスタ T ₃に格納される。 ステップ 3804においてレジスタ T₃の 2乗が計 算される。 ここでレジスタ Τ₃には xZ_d - X_d が格納されており、 したがって（X_d - xZ_d) ²が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 380 5において T₃ XX_{d + 1}が計算される。 ここでレジスタ T₃には（X_d-xZ_d) が格. 納されており、 したがって X_{d + 1} (X_d- xZ_d) ²が計算される。 その結果がレジス タ丁₃に格納される。 ステップ 3806において xXX_dが計算され、 レジスタ

に格納される。 ステップ 3807において aXZ_dが計算され、 レジスタ T₄ に格納される。 ステップ 3808において T i+T₄が計算される。 ここでレジ スタ T丄には xX_dがレジスタ T₄には aZ_dがそれぞれ格納されており、 したがつ て xX_d+aZ_dが計算される。 その結果がレジスタ に格納される。 ステップ 38 09において ΧΤ₂が計算される。 ここでレジスタ 1^には xX_d+aZ_dがレジ スタ T ₂には xZ _d +X _dカそれぞれ格納されており、 したがって（xX _d +aZ _d ) (xZ _d + X_d)が計算される。 その結果がレジスタ丁 に格納される。 ステップ 381.0に おいてレジスタ Z_dの 2乗が計算され、 レジスタ T ₂に格納される。 ステップ 3 8 1 1において T₂X2bが計算される。 ここでレジスタ T ₂には Z_d ²が格納され ており、 したがって 2bZ_d ²が計算される。 その結果がレジスタ T 2に格納される。 ステップ 3812において T^+T ₂が計算される。 ここでレジスタ には (xX_d+aZ_d) (xZ_d+X_d)がレジスタ T ₂には 2bZ_d ²がそれぞれ格納されており、 し たがって（xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²が計算される。 その結果がレジスタ Tェ に格納される。 ステップ 381 3において XZ_{d + 1}が計算される。 ここでレ ジスタ丁 には（xX_d+aZ_d) (xZ_d+X_d)+2bZ_d ²が格納されており、 したがって Z_{d + 1} ((xX_d+aZ_d) (xZ_d+X_d)+²bZ_d ²)が計算される。 その結果がレジスタ 格納される。 ステップ 3814において Ti- T₃が計算される。 こ

タ丁 には Z_{d + 1} ((xX_d+aZ_d) (xZ_d+X_d)+2bZ_dつがレジスタ T ₃には X_d +ェ (X_d— xZ_d) ²がそれぞれ格納されており、 した力 Sつて Z_{d + 1} ((xX_d+aZ_d) (xZ_d +

X_d)+2bZ_d ²)-X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ Y_dに格納さ れる。 ステップ 381 5において 2yXZ_dが計算され、 レジスタ T₂に格納され る。 ステップ 381 6において T₂XZ_{d+ :L}が計算される。 ここでレジスタ T₂ には 2yZ_dが格納されており、 したがって 2yZ_dZ_{d + 1}が計算される。 その結果が レジスタ T₂に格納される。 ステップ 3817において T₂XX_dが計算される。 ここでレジスタ T₂には 2yZ_dZ_{d + 1}が格納されており、 したがって 2yZ_dZ_{d+ 1} X_dが計算される。 その結果がレジスタ X_dに格納される。 ステップ 38 1 9にお いて T ₂ XZ_d力 S計算される。 ここでレジスタ T ₂には 2yZ_dZ_{d + 1}が格納されて おり、 したがって 2yZ_dZ_{d + 1}Z_dが計算される。 その結果がレジスタ Z_dに格納さ れる。 したがってレジスタ Z_dには 2yZ_dZ_{d + 1}Z_dが格納されている。 レジスタ Y_diこ ίまステップ 3814ίこお ヽて Z_{d + 1} ((xX_d+aZ_d) (xZ _d +X _d ) +2bZ _d ")+X_{d + 1} (X_d- _XZ_d) ²力 S格納され、 その後更新が行なわれないので、 その値が保持されて いる。 レジスタ X_dにはステップ 381 7において 2yZ_dZ_{d + 1}X_dが格納され、 そ の後更新が行なわれないので、 その値が保持されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からワイエルシ ュトラス型楕円曲線におけるスカラ一倍点の射影座標 (X _d， Y _d， z _d )における値が 全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した点で ある。 ワイエルシュトラス型楕円曲線のァフィン座標における加算公式に代入す ると、 数 27を得る。 点 P及ぴ点 dPはワイエルシュ トラス型楕円曲線上の点であ るので、 y_d 2_=Xd 3_+aXd+b及び _y2_=xo_+ax+bをみたす。 数 27に代入し、 y_d 及 ぴ y²を消去し、 式を整理すると、 数 70を得る。 ここで x _d=X_d/Z_d、 X _{d + 1} = X_{d +} i/Z_{d+ :L}であり、 この値を代入することにより射影座標の値へと変換す ると、 数 71を得る。 x_d=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _dの分母と通分することにより、 数 72となる。 その結果として Y_d=Z_{d + 1}[(X_dx+aZ_d) (X_d+xZ_d)+2bz|]-(X_d-xZ_d)²X_{d + 1} …数 73

とし、 X_d及び Z_dをそれぞれ

2yZ_dZ_{d + 1}X_d …数 74

2yZ_dZ_{d + 1}Z_d …数 75

により更新すればよい。 ここで、 X_d, Y_d， Z_dは図 38で示した処理により与え られる。 したがって、 射影座標 (X_d，Y_d，Z_d)の値は全て復元されたことになる。 上記手順はステップ 3801、 ステップ 3805、 ステップ 3806、 ステツ プ 3807、 ステップ 3809、 ステップ 381 1、 ステップ 3813、 ステツ プ 3815、 ステップ 3816、 ステップ 381 7及ぴステップ 3818におい て有限体上の乗算の計算量を必要とする。 また、 ステップ 3804およびステツ プ 3810において有限体上の 2乗算の計算量を必要とする。 有限体上の加算及 び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小 さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計 算量を Sとすると、 上記手順は 1 1M+ 2 Sの計算量を必要とする。 これは高速 スカラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 60 ビットであれば、 高速スカラー倍計算の計算量はおおよそ 1 500M弱と見積も られる。 S = 0. 8 Mと仮定すると座標復元の計算量は 12. 6Mであり、 高速 スカラ一倍計算の計算量と比べてはるかに小さい。 したがつて効率的に座標を復 元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d，Y_d，Z_dの値が 計算できれば X_d,Y_d，Z_dの値が復元できる。 また、 x_d，y_dが上記計算式により与 えられる値を取るように X_d,Y_d,Z_dの値を選択し、 その値が計算できれば X_d， Y_d)Z_dが復元できる。 それらの場合においては一般的に復元に必要となる計算 量が増大する。

次に、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， x_{d + 1}, z_{d + 1}を出力するアルゴリズムについて説明する。

第 18実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 17実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及 ぴワイエルシュトラス型楕円曲線上の点 Pから、 x_d， Z_d， X_{d + 1} , Z_d+1を出力 するアルゴリズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカ ラー倍計算部 202において上記手順のアルゴリズムを用いなくても、 スカラー 値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， X_{d + 1}， Z_{d + 1} を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用いてい もよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 1 1M+2 Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 0. 4) Mとに比べてはるかに小さい。 したが つて、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカラ 一倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8 Mと仮定すると、 この計算量はおおよそ （9. 2 k + 1 3) Mと見積もることが できる。 例えばスカラー値 dが 1 60ビット （k=160) であれば、 このスカ ラー倍計算に必要な計算量はおおよそ 1485Mとなる。 楕円曲線としてワイェ ルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心 とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビ アン座標として出力する場合に必要となる計算量はおおよそ 1600Mであり、 これと比べて必要となる計算量は削減されている。

第 19の実施例は楕円曲線としてワイエルシュトラス型楕円曲線を用いたもの である。 すなわち、 スカラー倍計算部 103の入出力に用いる楕円曲線はヮイエ ルシュトラス型楕円曲線である。 ただし、 スカラ一倍計算部 103の内部の計算 で使用する楕円曲線として、 与えられたワイエルシュトラス型楕円曲線から変換 可能であるようなモンゴメリ型楕円曲線を用いてもよい。 スカラー倍計算部 10 3がスカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュ トラス型楕円曲線におけるァフィン座標の点として完全な座標が与えられたスカ ラー倍点 (x_d，y_d)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕 円曲線上の点 Pをスカラー倍計算部 1 03に入力すると高速スカラー倍計算部 2 02がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 d と与えられたワイエルシュトラス型楕円曲線上の点 Pからワイエルシュトラス型 楕円曲線においてァフィン座標で表されたスカラ一倍点 dP =(x_d,y_d)の座標の うち x_d、 ァフィン座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P = (x_{d + 1},y_{d + 1})の座標のうち x_d + 、 ァフィン座標で表されたワイエルシュ トラス型楕円曲線上の点（_d- l)P=(x_d- l，y_d- 1)の座標のうち x_d- 1を計算し、 ァ フィン座標で表された入力されたワイエルシュトラス型楕円曲線上の点 P= (x, y) と共にその情報を座標復元部 203に与える。 座標復元部 203は与えられた座 標の値 x_d、 x_{d + 1}、 x_d— i、 x及ぴ yよりワイエルシュトラス型楕円曲線におい てァフィン座標で表されたスカラ一倍点 dP= (x_d,y_d)の座標 y _dの復元を行なう。 スカラー倍計算部 103はァフィン座標において完全に座標が与えられたスカラ 一倍点 (X _d， y _d)を計算結果として出力する。

次に図 39により、 座標 x、 y、 x_d、 x_{d + 1}が与えられた場合に、 x_d、 y_dを出 力する座標復元部の処理について説明する。

座標復元部 203では、 ワイエルシュトラス型楕円曲線においてァフィン座標 で表されたスカラ一倍点 dP= (x_d,y_d)の座標のうち X _d、 ァフィン座標で表され たワイエルシュトラス型楕円曲線上の点（d+1) P=(x_{d + 1},y_{d + 1})の座標のうち x_{d + 1}、 スカラー倍計算部 103に入力されたワイエルシュトラス型楕円曲線上 の点 Pをァフィン座標で表した (X, y)を入力し、 以下の手順でァフィン座標におい て完全な座標が与えられたスカラ一倍点 (x_d，y_d)を出力する。

ステップ 3901において x_d Xxが計算され、 レジスタ T に格納される。 ス テツプ 3902において T +aが計算される。 ここでレジスタ には x_dxが格 納されており、 したがって x_dx+aが計算される。 その結果がレジスタ に格納 される。 ステップ 3903において x_d+xが計算され、 レジスタ T₂に格納され る。 ステップ 3904において Ti XT ₂が計算される。 ここでレジスタ に は x_dx+aがレジスタ Τ ₂には x_d+xがそれぞれ格納されており、 したがって

(x_dx+a) (x_d+x)が計算される。 その結果がレジスタ に格納される。 ステップ 3905において T が計算される。 ここでレジスタ Tュには（x_dx+a)

(x_d+x)が格納されており、 したがって（x_dx+a) (x_d+x)+2bが計算される。 その結 果がレジスタ に格納される。 ステップ 3 906において x_d- Xが計算され、 レジスタ T ₂に格納される。 ステップ 3907において T ₂の 2乗が計算される。 ここでレジスタ T ₂には x_d_xが格納されており、 したがって（X _d— X) ²が計算さ れる。 その結果がレジスタ T 2に格納される。 ステップ 3908において Τ ₂ X x2_{d + 1}が計算される。 ここでレジスタ T ₂には（x_d— X) が格納されており、 し たがって x_{d + 1} (x_d— X) ²が計算される。 その結果がレジスタ T₂に格納される。 ステップ 3909において Τ^-Τ ₂が計算される。 ここでレジスタ には (x_dx+a) (x_d+x)+2bがレジスタ T₂には x_{d+ 1} (x_d_x) ²がそれぞれ格納されてお り、 したがって（x_dx+a) (x_d+_X)+2b-x_{d + 1} (x_d—x) ²が計算される。 その結果が レジスタ に格納される。 ステップ 391 0において 2yの逆元が計算され、 レ ジスタ T₂に格納される。 ステップ 391 1において ΧΤ₂が計算される。 ここでレジスタ T Jには（x_dx+a) (x_d+x)+2b-x_d+！ (x_d-x) ²がレジスタ T ₂に は l/2yがそれぞれ格納されており、 したがって（（x_dx+a) (x_d+x)+2b-x_{d + 1} (x_d 一 x) ²)/2yが計算される。 その結果がレジスタ y_dに格納される。 したがってレ ジスタ y_dには（（x_dx+a) (x_d+x)+2b-x_{d + 1} (x_d— x) ²)/2yが格納されている。 レ ジスタ X _dは全く更新されなレ、ので入力された値が保持されている。

上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した点である。 ワイエルシュトラス型楕円曲線のァ フィン座標における加算公式に代入すると、 数 27を得る。 点 P及び点 dPはワイ エルシュトラス型楕円曲線上の点であるので、 y_d ²=x_d ³+ax_d+b及び y²=x +ax+bをみたす。 数 27に代入し、 y_d 及ぴ y²を消去し、 式を整理すると、 数 7 0を得る。 ここで x_d,y_dは図 39の処理によって与えられる。 したがって、 ァ フィン座標 (x_d,y_d)の値を全て復元していることになる。

上記手順はステップ 3901、 ステップ 3904、 ステップ 3908及ぴステ ップ 391 1において有限体上の乗算の計算量を必要とする。 また、 ステップ 3 907において有限体上の 2乗算の計算量を必要とする。 さらにステップ 391 0において有限体上の逆元演算の計算量を必要とする。 有限体上の加算及び減算 の計算量は、 有限体上の乗算の計算量、 2乗算の計算量、 逆元演算の計算量と比 ベて比較的小さいので無視してもよい。 有限体上の乗算の計算量を M、 有限体上 の 2乗算の計算量を S、 有限体上の逆元演算の計算量を I とすると、 上記手順は 4M+S+ Iの計算量を必要とする。 これは高速スカラー倍計算の計算量と比べ てはるかに小さい。 例えばスカラー値 dが 1 60ビットであれば、 高速スカラー 倍計算の計算量はおおよそ 150 OM弱と見積もられる。 S = 0. 8M及ぴ 1 = 4 OMと仮定すると座標復元の計算量は 44. 8Mであり、 高速スカラー倍計算 の計算量と比べてはるかに小さい。 したがって効率的に座標を復元できているこ とが示された。

尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_dの値が 復元できる。 その場合は一般的に復元に必要となる計算量が増大する。

次に図 44により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pか ら、 x_d、 x_{d + 1}を出力するアルゴリズムについて説明する。

高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 103に入力されたワイ エルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりワイエルシュト ラス型楕円曲線においてァフィン座標で表されたスカラ一倍点 dP= (X _d， y _d )の うち x_d、 ァフィン座標で表されたワイエルシュトラス型楕円曲線上の点（d+l)P = (x_{d + 1},y_{d + 1})のうち x_{d +} iを出力する。 ステップ 441 6として、 与えら れたワイエルシュトラス型楕円曲線上の点 Pをモンゴメリ型楕円曲線上で射影座 標により表された点に変換する。 この点をあらためて点 Pとする。 ステップ 44 01として、 変数 Iに初期値 1を代入する。 ステップ 4402として、 点 Pの 2 倍点 2 Pを計算する。 ここで点 Pは射影座標において（ X， y， 1)として表し、 モン ゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 4403として、 スカラー倍計算部 103に入力された楕円曲線上の点 Pとステップ 4402で求めた点 2Pを、 点の i(P， 2P)として格納する。 ここで点 P 及び点 2Pは射影座標で表されている。 ステップ 4404として、 変数 Iとスカラ 一値 dのビット長とが一致するかどうかを判定し、 一致すればステップ 441 5 へ行く。 一致しなければステップ 4405へ行く。 ステップ 4405として、 変 数 Iを 1増加させる。 ステップ 4406として、 スカラー値の I番目のビットの 値が 0であるか 1であるかを判定する。 そのビットの値が 0であればステップ 4 406へ行く。 そのビットの値が 1であればステップ 4410へ行く。 ステップ 440 7として、 射影座標により表された点の組 (mP， (ra+1) P)から点 mPと点 (m+l)Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ステップ 440 8へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標におけ る加算公式を用いて計算される。 ステップ 4408として、 射影座標により表さ れた点の組 (mP，（m+l)P)から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 そ の後ステップ 4409へ行く。 ここで、 2倍算 2 (mP)は、 モンゴメリ型楕円曲線 の射影座標における 2倍算の公式を用いて計算される。 ステップ 4409として、 ステップ 4408で求めた点 2mPとステップ 4407で求めた点（2m+ 1 ) Pを点の 組 (2mP， （2m+l)P)として、 点の組 (mP, (m+ 1 ) P)の代わりに格納する。 その後ス テツプ 4404へ戻る。 ここで、 点 2 mP、 点（ 2 m+ 1 ) P、 点 mP及ぴ点 (m+ 1 ) Pは全 て射影座標において表されている。 ステップ 4410として、 射影座標により表 された点の組 (mP, (ra+ 1 ) P)から点 mPと点（m+ 1 ) Pの加算 mP+ (m+ 1 ) Pを行ない、 点 (2m+l)Pを計算する。 その後ステップ 441 1へ行く。 ここで、 加算 mP+ (m+ 1 ) P は、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算される。 ス テツプ 441 1として、 射影座標により表された点の組 (mP， (m+ 1 ) P)から点 (m+ 1)?の2倍算2((111+1)?)を行なぃ、 点（2m+2)Pを計算する。 その後ステップ 44 1 2へ行く。 ここで、 2倍算2((111+1)?)は、 モンゴメリ型楕円曲線の射影座標に おける 2倍算の公式を用いて計算される。 ステップ 4412として、 ステップ 4 4 1 0で求めた点（2m+l)Pとステップ 44 1 1で求めた点（2m+2)Pを点の組 ((2m+l)P， （2m+2)P)として、 点の組 (mP， （m+l)P)の代わりに格納する。 その後ス テツプ 4404へ戻る。 ここで、 点（2m+l) P、 点（2m+2) P、 点 mP及び点（m+1) Pは全 て射影座標において表されている。 ステップ 441 5として、 モンゴメリ型楕円 曲線において射影座標で表された点の組（mP，（m+l)P)に対して、 点 mP及び点 (m+1) Pをワイエルシュトラス型楕円曲線上でァフィン座標で表された点に変換し、 それぞれ mP= (x_m, y_m) 及び (m+l)P= (x_{m+ 1},y_{m+ 1}) とあらためて置き直す。 ここで、 y_m及ぴ y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式 及び 2倍算の'公式では Y座標を求める事ができないので、 求まっていない。 その 後ステップ 4413へ行く。 ステップ 441 3として、 ワイエルシュトラス型楕 円曲線上で射影座標で表された点 mP= (x_m) y_m) より x_mを x_dとして、 ワイエル シュトラス型楕円曲線上でァフィン座標で表された点 (m+1) P= (x_{m+ 1}, y_m+1) より x_{m+ 1}を x_{d + 1}として、 出力する。 また上記手順により、 mとスカ ラー値 dはビット長が等しくさらにそのビットのパターンも同じとなる為、 等し くなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 1とと ることにより 3M+2 Sとなる。 ここで Mは有限体上の乗算の計算量、 Sは有限 体上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算 の公式の計算量は、 3M+2 Sである。 スカラー値の I番目のビットの値が 0で あれば、 ステップ 4407において加算の計算量、 ステップ 4408において 2 倍算の計算量が必要となる。 すなわち 6 M+ 4 Sの計算量が必要となる。 スカラ 一値の I番目のビットの値が 1であれば、 ステップ 441 0において加算の計算 量、 ステップ 441 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの計算量が必要である。 いずれの場合においても 6 M+ 4 Sの計算量が必要で ある。 ステップ 4404、 ステップ 4405、 ステップ 4406、 ステップ 44 07、 ステップ 4408、 ステップ 4409乃至はステップ 4404、 ステップ 4405、 ステップ 4406、 ステップ 4410、 ステップ 4411、 ステップ 4412の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステップ 4402での 2倍算の計算量とステップ 4416でのモンゴメリ型楕円 曲線上への点への変換に必要な計算量及ぴステップ 441 5でのワイエルシュト ラス型楕円曲線上の点への必要な計算量を考慮に入れると、 全体の計算量は （6 M+4 S) k + 4M— 2 S+ I となる。 ここで kはスカラー値 dのビット長であ る。 一般的には、 計算量 Sは、 S = 0. 8M程度、 計算量 Iは、 I =40M程度 と見積もられるので、 全体の計算量はおおよそ （9. 2 k + 42. 4) Mとなる。 例えばスカラー値 dが 160ビット （k = 160) であれば、 上記手順のァルゴ リズムの計算量はおおよそ 1 514Mとなる。 スカラー値 dのビットあたりの計 算量としてはおよそ 9. 2Mとなる。 A.Miyaji， T. Ono, H.Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of ASIACRYPT' 98, LNCS 1514 (1998) pp.51-65 には、 ワイエルシュトラス型楕円曲線において、 ウィンドウ法を用いてヤコビアン座標 を中心とした混合座標系を用いたスカラ一倍計算方法は高速なスカラ一倍計算方 法として記載されている。 この場合においては、 スカラー値のビットあたりの計 算量はおおよそ 1 0Mと見積もられる。 例えばスカラ^ "値 dが 160ビット （k = 160) であれば、 このスカラー倍計算方法の計算量はおおよそ 1 640Mと なる。 したがって、 上記手順のアルゴリズムの方が計算量が少なく高速といえる。 尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 x_d， x_d + i,^xd⁼¹を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズ ムを用いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 4M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 42. 4) Mとに比べてはるかに小さい。 した がって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍訐算に必要な計算量とほぼ同等である。 1 =40 M、 S = 0. 8 Mと仮定すると、 この計算量はおおよそ （9. 2 k + 87. 2) Mと見積もることができる。 例えばスカラー値 dが 160ビット （k = 1 60) であれば、 このスカラー倍計算に必要な計算量は 1559Mとなる。 楕円曲線と してワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン 座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍 点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1640M であり、 これと比べて必要となる計算量は削減されている。

第 20の実施例は、 入出力用の楕円曲線としてワイエルシュトラス型楕円曲線 を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能で あるモンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 1 03がスカ ラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュトラス 型楕円曲線におけるァフィン座標の点として完全な座標が与えられたスカラー倍 点 （X d， y d) を計算し出力するものである。 スカラー値 d及びワイエルシュト ラス型楕円曲線上の点 Pをスカラー倍計算部 103に入力すると高速スカラー倍 計算部 202がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカ ラー値 dと与えられたワイエルシュ トラス型楕円曲線上の点 Pからモンゴメリ型 楕円曲線において射影座標で表されたスカラ一倍点 dP= (X_d,Y_d,Z_d)の座標のう ち X_d及び Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点（d+ 1)P= _{{1 +}1，丫_{(1 +}1,2_{(1 +}1)の座標のぅち 3₊1及ぴ2_{£1+ 1}を計算する。 また、 入力 されたワイエルシュトラス型楕円曲線上の点 Pを、 与えられたワイエルシュトラ ス型楕円曲線から変換可能であるモンゴメリ型楕円曲線上の点に変換し、 その点 を新たに P=(x,y)とおく。 高速スカラー倍計算部 202は、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}、 x及び yを座標復元部 203に与える。 座標復元部 203は与えられた 座標の値 X_d、 Z_d、 X_{d+ 1}、 Z_{d + 1}、 x及ぴ yよりワイエルシュトラス型楕円曲 線においてァフィン座標で表されたス力ラ一倍点 dP= (x_d,y_d)の座標 X _d及び y_dの復元を行なう。 スカラー倍計算部 103はァフィン座標において完全に座 標が与えられたスカラー倍点 (x_d,y_d)を計算結果として出力する。

次に図 40により、 座標 , _<3，2₍₁， _{(1+ 1},2_{(1+ 1}が与ぇられた場合に^，7_£1 を出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X_d,Y_d,Z_d)の座標うち X _d及ぴ Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（(1+1)?= _{(1+ 1},¥₍₁₊₁，2₍₁₊₁)の座標のぅち _£1+1及ぴ Z_{d + 1}、 スカラー倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 Pを ァフィン座標で表した（X, y)を入力し、 以下の手順でァフィン座標おいて完全な 座標が与えられたスカラ一倍点（X _d , y _d )を出力する。 ここで入力されたモンゴ メリ型楕円曲線上の点 Pのァフィン座標を（X, y)で、 射影座標を（X 1， Y 1， Z 1 )で それぞれ表す。 入力されたスカラー値を dとしてモンゴメリ型楕円曲線における スカラー倍点 dPのァフィン座標を (x_d ^{Mo n},y_d ^{Mo n})で、 射影座標を (X_d，

Y_d，Z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上の点（d+l)Pのァフィン座標を d + i>yd + i )で、 射影座標を (x_d + i,Y_d + i,z_{d + 1})でそれぞれ表す。

ステップ 4001において xXZ_dが計算され、 レジスタ に格納される。 ス テツプ 4002において Xd + Tiが計算される。 ここでレジスタ T丄

カ 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ Tゥに 格納される。 ステップ 4003において X_d- 1 が計算され、 ここでレジスタ には xZ_dが格納されており、 したがって xZ_d - X_dが計算される。 その結果が レジスタ T ₃に格納される。 ステップ 4004においてレジスタ T₃の 2乗が計 算される。 ここでレジスタ Τ₃には xZ_rt - X_dが格納されており、 したがって（X_d- xZ_d)²が計算される。 その結果がレジスタ T₃に格納される。 ステップ 4005 において T₃ XX_{d + 1}が計算される。 ここでレジスタ T₃には（X_d- xZ_d) ²が格納 されており、 したがって X_{d+ 1} (X_d- xZ_d)2が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 4006において 2AXZ_dが計算され、 レジスタ T丄 に格納される。 ステップ 4007において T 2 + 1^が計算される。 ここでレジ スタ T ₂には xZ _d +X _dがレジスタ Τ には 2ΑΖ _dがそれぞれ格納されており、 した がって xZ_d+X_d+2AZ_dが計算される。 その結果がレジスタ T ₂に格納される。 ス テツプ 4008において xXX_dが計算され、 レジスタ T₄に格納される。 ステツ プ 4009において T₄+Z_dが計算される。 ここでレジスタ T ₄には xX_dが格納 されており、 したがって xX_d+Z_dが計算される。 その結果がレジスタ T₄に格納 される。 ステップ 401 0において Τ₂ ΧΤ₄が計算される。 ここでレジスタ Τ 2には xZ _d+X_d +2AZ _dがレジスタ T ₄には xX _d+Z_dがそれぞれ格納されており、 したがって（xZ _d+X_d +2AZ _d ) (xX _d +Z _d )力 S計算される。 その結果がレジスタ T 2に 格納される。 ステップ 401 1において T XZ_dが計算される。 ここでレジス タ丁 には 2AZ_dが格納されており、 したがって 2AZ_d ²が計算される。 その結果 がレジスタ 1^に格納される。 ステップ 4012において Τ ₂ - が計算される。 ここでレジスタ Τ ₂には（xZ _d +Χ _d +2AZ _d ) (xX _d +Z _d )がここでレジスタ T丄には 2ΑΖ _d "がそれぞれ格納されており、 したがって（xZ _d +X _d +2AZ _d) (xX_d+Z_d)- 2AZ_d が計算される。 その結果がレジスタ T 2に格納される。 ステップ 401 3 において T₂ XZ_{d + 1}が計算される。 ここでレジスタ T₂には（xZ_d+X_d +

2AZ _d) (xX_d+Z_d) -2AZ _d "力格糸内されており、 した力 Sつて Z _d + （（xZ _d +X _d + 2AZ _d) (xX_d+Z_d) -2AZ _d ² )が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 4014において T ₂- T₃が計算される。 ここでレジスタ Τ ₂には Z_{d + 1} ((xZ_d+X_d +2AZ _d) (xX_d+Z_d) - 2AZ _d ² )がレジスタ T ₃には X _d + （X _d - xZ_d) ²がそれぞれ格納されており、 した力 Sつて Z_{d +} i ((xZ_d+X_d+2AZ_d) (xX_d + Z_d)-2AZ_d ²)-X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ T 2に格納 される。 ステップ 401 5において 2BXyが計算され、 レジスタ に格納され る。 ステップ 4016において Τ 1 XZ_dが計算される。 ここでレジスタ Tiには 2Byが格納されており、 したがって 2ByZ_dが計算される。 その結果がレジスタ に格納される。 ステップ 401 7において XZ_{d + 1}が計算される。 ここ でレジスタ T iには 2ByZ _dが格納されており、 したがつて 2ByZ _dZ_{d + 1}が計算さ れる。 その結果がレジスタ に格納される。 ステップ 401 8において T丄 X Z_dが計算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}が格納されており、 した がって 2ByZ_dZ_{d + 1}Z_dが計算される。 その結果がレジスタ T ₃に格納される。 ス テツプ 4019において T₃ Xsが計算される。 ここでレジスタ T₃には 2ByZ_d Z_{d + 1}Z_d力 S格納されており、 したがって 2ByZ_dZ_{d + 1}Z_dsが計算される。 その結 果がレジスタ T ₃に格納される。 ステップ 4020においてレジスタ T ₃の逆元 が計算される。 ここでレジスタ T ₃には 2ByZ_dZ_{d + 1}Z_dsが格納されており、 し たがって l/2ByZ_dZ_{d + 1}Z_dsが計算される。 その結果がレジスタ T ₃に格納され る。 ステップ 4021において T ₂ XT ₃が計算される。 ここでレジスタ T₂に は Zd + i ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)-2AZ_d ²)—X_{d +}ュ（X_d— xZ_d) ²がレジスタ T₃ には l/2ByZ_dZ_d+1Z_dsがそれぞれ格納されており、 したがって {Z _d + ( (xZ_d + X _d +2AZ _d)(xX_d+Z_d) -2AZ _d ² ) - X _{d +} i (X _d— xZ _d ) ² } /2ByZ _d Z _d + Z _d sが計算され る。 その結果がレジスタ y_dに格納される。 ステップ 4022において XX_d が計算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}が格納されており、 したが つて 2ByZ_dZ_{d + 1}X_dが計算される。 その結果がレジスタ 1^に格納される。 ステ ップ 4023において ΧΤ₃が計算される。 ここでレジスタ Τ には 2ByZ_d Z_{d + 1}X_dがレジスタ T ₃には l/2ByZ_dZ_{d + 1}Z_dsがそれぞれ格納されており、 し た力 Sつて 2ByZ_dZ_{d + 1}X_d/2ByZ_dZ_{d + 1}Z_ds(=X_d/Z_ds)カ計算される。 その結果 が 1^に格納される。 ステップ 4024において + αが計算される。 ここで レジスタ T には X _d /Z _d sが格納されており、 したがって（X _d /Z _d s) + が計算さ れる。 その結果が x_dに格納される。 したがってレジスタ x_dには（X_d/Z_ds) + aの 値が格納されている。 y_dにはステップ 4021において {Z_{d + 1} ((xZ_d+X_d + 2AZ_d)(xX_d+Z_d)- 2AZ_d ²) - Xd+i (Xd—xZ_d) ²}/2ByZ_dZ_{d+ 1}Z_dsが格納され、 そ の後更新が行なわれないので、 その値が保持されている。 その結果として、 ワイ エルシュ トラス型楕円曲線におけるァフィン座標（X _d， y _d)の値が全て復元さ れている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}力 らワイエルシ ュトラス型楕円曲線におけるスカラー倍点のァフィン座標（x _d， y _d)における 値が全て復元される理由は以下の通りである。 点（d+l)Pは点 _dPに点 Pを加算した 点である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 38を得る。 点 P及ぴ点 dPはモンゴメリ型楕円曲線上の点であるので、

r> Mo n 2_ Mo n 3 Mo n 2 , M o n -n, >j_D 2 3 ι_Λ 2 , 'マ， a¾. By_d =x_d +Ax_d +x_d 及ひ By =x +Ax +χ·^みたす。 数 3

8に代入し、 By_d ^{Mo n 2}及び By²を消去し、 式を整理すると、

²x_{d + 1}}/(2By) …数 7 6 を得る。 ここで X _d ^{Mo n}=X_d/Z_d、 X _{d+ 1}=X_{d+ 1}/Z_{d + 1}であり、 この値を代 入することにより射影座標の値へと変換すると、 次の式を得る。

y^^on={Z_{d + 1} X_dx+Z_d) (X_d+xZ_d+2AZ_d)-2Az )-(x_d-xZ_d)²X_{d + 1}}/

(2ByZ_dZ_{d + 1}Z_d) …数 7 7

x _d ^M°ⁿ=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _d ^M。ⁿの分母と 通分することにより、

xi^{o n}=(2ByZ_dZ_{d + 1}X_d)/(2ByZ_dZ_{d + 1}Z_d) …数 78

となる。 モンゴメリ型楕円曲線上の点とワイエルシュトラス型楕円曲線上の点と の対応関係については、 K.0keya， H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery-Form an_d Their Cryptographic Applications, Public Key Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによ ると、 変換パラメタを s, ひとして、 y_d=s一¹ y_d ^{Mo n}及び x_d=s— ¹x_d ^{Mo n} + の 関係がある。 結果として数 79、 数 80を得る。

y_d={Z_d+1 X_dx+Z_d) (X_d+xZ_d+2AZ_d)-2AZ )-(X_d-xZ_d)²X_d+1}/(2sByZ_dZ_d+1Z_d)

…数 7 9 x_d = ((2ByZ_dZ_{d + 1}X_d)/(2sByZ_dZ_{d + 1}Z_d)) + o_; …数 8 0

ここで、 x_d,y_dは図 40より与えられる。 したがって、 ワイエルシュトラス 型楕円曲線におけるァフィン座標 (X _d , y _d )の値が全て復元されていることにな る。

上記手順はステップ 4001、 ステップ 4005、 ステップ 400 6、 ステツ プ 4008、 ステップ 40 1 0、 ステップ 40 1 1、 ステップ 40 1 3、 ステツ プ 40 1 5、 ステップ 401 6、 ステップ 40 1 7、 ステップ 40 1 8、 ステツ プ 401 9、 ステップ 4021、 ステップ 4022及びステップ 4023におレヽ て有限体上の乗算の計算量を必要とする。 また、 ステップ 4004において有限 体上の 2乗算の計算量を必要とする。 また、 ステップ 4020において有限体上 の逆元演算の計算量を必要とする。 有限体上の加算及び減算の計算量は、 有限体 上の乗算の計算量、 2乗算の計算量及ぴ逆元演算の計算量と比べて比較的小さい ので無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量 を S及び有限体上の逆元演算の計算量を Iとすると、 上記手順は 15 M+ S + I の計算量を必要とする。 これは高速スカラー倍計算の計算量と比べてはるかに小 さい。 例えばスカラー値 dが 1 60ビットであれば、 高速スカラー倍計算の計算 量はおおよそ 150 OM弱と見積もられる。 S = 0. 8M、 I =40Mと仮定す ると座標復元の計算量は 55. 8Mであり、 高速スカラー倍計算の計算量と比べ てはるかに小さい。 したがって効率的に座標を復元できていることが示された。 尚、 上記手順をとらなくても、 上記計算式により与えられた x_d, y_dの値が計 算できれば x_d， y_dの値が復元できる。 その場合においては一般的に復元に必要 となる計算量が増大する。 また、 モンゴメリ型楕円曲線のパラメタである A乃至 は Bの値やモンゴメリ型楕円曲線への変換パラメタである sを小さくとることに より、 ステップ 4006乃至はステップ 401 5における乗算の計算量ゃステツ プ 401 9における乗算の計算量を削減することができる。

次に、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， X_{d + 1}, Z_{d + 1}を出力する高速スカラー倍計算部の処理について説明する。

この場合、 第 20実施例の高速スカラー倍計算部 202の高速スカラー倍計算 方法として、 第 9実施例の高速スカラー倍計算方法 （図 8参照） を用いる。 これ により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 X_d, Z_d，

X_{d + 1}, Zd_{+ 1}を出力するアルゴリズムとして、 高速であるアルゴリズムが達成 される。 尚、 高速スカラー倍計算部 202において上記アルゴリズムを用いなく ても、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 X_d, Z_d， Xd + l, Z_{d + ]L}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリ ズムを用いていもよい。

スカラー倍計算部 1 03における座標復元部 203の座標復元に必要な計算量 は 1 5M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍 計算に必要な計算量の （9. 2 k- 3. 6) Mとに比べてはるかに小さい。 した がって、 スカラー倍計算部 1 03のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 1 =40 M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 5 2. 2) Mと見積もることができる。 例えばスカラー値 dが 1 6 0ビット （k= 1 6 0) であれば、 このスカラー倍計算に必要な計算量は 1 524Mとなる。 楕円曲線と してワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン 座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍 点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1 64 OM であり、 これと比べて必要となる計算量は削減されている。

第 2 1の実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 1 03がスカラー 値 d及びワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュトラス型楕円 曲線における射影座標の点として完全な座標が与えられたスカラー倍点，

(X_d ^W，Y_d ^W,Z_d ^W)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕 円曲線上の点 Pをスカラー倍計算部 1 0 3に入力すると高速スカラー倍計算部 2 0 2がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 d と与えられたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線 におレ、て射影座標で表されたス力ラ一倍点 _d P= (X _d， Y _d， Z _d )の座標のうち X _d及ぴ Z_d、 射影座標で表されたモンゴメリ型楕円曲線上の点 _d(_{d + 1})P=(X_{d + 1}，

Y_{d + 1}，Z_{d + 1})の座標のうち x_{d + 1}及び z_{d + 1}を計算する。 また、 入力されたヮ ィエルシュトラス型楕円曲線上の点 Pを、 与えられたワイエルシュ トラス型楕円 曲線から変換可能であるモンゴメ リ型楕円曲線上の点に変換し、 その点を新たに P=(x,y)とおく。 高速スカラー倍計算部 20 2は、 X_d， Z_d， X_{d+ 1}, Z_{d + 1}, x 及ぴ yを座標復元部 203に与える。 座標復元部 203は与えられた座標の値 X_d, Z_d， X_{d + 1}, Z_{d + 1}， x及ぴ yよりワイエルシュトラス型楕円曲線において射影 座標で表されたスカラ一倍点 dP= (X _d ^W， Y _d ^W， Z _d ^W)の座標 X _d ^W、 Y _d w及び Z _d ^Wの 復元を行なう。 スカラー倍計算部 103は射影座標において完全に座標が与えら れたスカラー倍点 (X_d ^W,Y_d ^W,Z_d ^W)を計算結果として出力する。

次に図 41により、 座標 X， y， X_d， Z_d， X_{d + 1}, Z_{d + 1}が与えられた場合に Xd^W、 Yd^W、 Z_d ^Wを出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線において射影座標で表されたス 力ラ一倍点 dP= (X _d， Y _d， Z _d )の座標のうち X _d及ぴ Z _d、 射影座標で表されたモンゴ メリ型楕円曲線上の点（d+l)P=(X_d +！, Y_{d+ 1},Z_{d + 1})の座標のうち X_d +丄及び Z_{d + 1}、 スカラー倍計算部 103に入力されたモンゴメリ型楕円曲線上の点 Pを ァフィン座標で表した (x,y)を入力し、 以下の手順でワイエルシュトラス型楕円 曲線上で射影座標おいて完全な座標が与えられたスカラ一倍点 _d ^w, γ _d ^w， z_d ^w)を出力する。 ここで入力されたモンゴメリ型楕円曲線上の点 Pのァフィン 座標を（x,y)で、 射影座標を Y Z でそれぞれ表す。 入力されたスカラー 値を dとしてモンゴメリ型楕円曲線におけるスカラー倍点 dPのァフィン座標を

(x_d，y_d)で、 射影座標を (X_d，Y_d，Z_d)でそれぞれ表す。 モンゴメリ型楕円曲線上 の点((1+1)?のァフィン座標を _£1_{+ 1 (1+1})で、 射影座標を（X_{d + 1}，Y_{d+ 1}， z_{d + 1})でそれぞれ表す。

ステップ 4101において xXZ_dが計算され、 レジスタ 1^に格納される。 ス テツプ 41 02において Xd+Tiが計算される。 ここでレジスタ T丄には xZ_dが 格納されており、 したがって xZ_d+X_dが計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 4103において X_d - が計算され、 ここでレジスタ には xZ_dが格納されており、 したがって xZ_d - X_dが計算される。 その結果が レジスタ T ₃に格納される。 ステップ 4104においてレジスタ T ₃の 2乗が計 算される。 ここでレジスタ T₃には xZ_d - X_dが格納されており、 したがって（X_d - xZ_d) が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 4105 において T₃ XX_{d + 1}が計算される。 ここでレジスタ T ₃には（X_d - xZ_d) ²が格納 されており、 したがって X_{d + 1} (X_d- xZ_d) ²が計算される。 その結果がレジスタ T ₃に格納される。 ステップ 4106において 2AXZ_dが計算され、 レジスタ に格納される。 ステップ 4107において Τ 2+Τ が計算される。 ここでレジ スタ T ₂には xZ _d+X_dがレジスタ T丄には 2AZ _dがそれぞれ格納されており、 した がって xZ_d+X_d+2AZ_dが計算される。 その結果がレジスタ T 2に格納される。 ス テツプ 4108において xXX_dが計算され、 レジスタ T₄に格納される。 ステツ プ 4109において T ₄+Z_dが計算される。 ここでレジスタ T₄には xX _dが格納 されており、 したがって xX_d+Z_dが計算される。 その結果がレジスタ T₄に格納 される。 ステップ 41 1 0において Τ₂ ΧΤ₄が計算される。 ここでレジスタ Τ ₂には xZ _d+X_d +2AZ _dがレジスタ T ₄には xX _d+Z_dがそれぞれ格納されており、 したがつて（xZ _d +X _d +2AZ _d) (xX_d+Z_d)が計算される。 その結果がレジスタ T ₂に 格納される。 ステップ 41 1 1において T丄 XZ_dが計算される。 ここでレジス タ！^には 2AZ_dが格納されており、 したがって 2AZ_d ²が計算される。 その結果 がレジスタ 1^に格納される。 ステップ 41 12において T₂- T;!が計算される。 ここでレジスタ Τ ₂には（xZ_d+X_d+2AZ_d) (xX_d+Z_d)がここでレジスタ T！には 2AZ _d "がそれぞれ格納されており、 したがって（xZ _d +X _d +2AZ _d) (xX_d+Z_d)- 2AZ_d が計算される。 その結果がレジスタ T₂に格納される。 ステップ 41 1 3 において T₂ XZ_{d + 1}が計算される。 ここでレジスタ T₂には（xZ_d+X_d +

2AZ_d) (xX_d+Z_d)— 2AZ_d ²力格系内されており、 した力 Sつて Z_d +ェ（(xZ_d+X_d +

2AZ_d) (xX_d+Z_d)-2AZ_d ²)が計算される。 その結果がレジスタ T ₂に格納される。 ステップ 41 14において T₂- T₃が計算される。 ここでレジスタ Τ₂には Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)-2AZ_dつがレジスタ T ₃には X_d + （X_d- xZ_d) ²がそれぞれ格納されており、 した力 Sつて Z_{d+ ]L} ((xZ_d+X_d+2AZ_d) (xX_d + Z_d)-2AZ_d ²)-X_{d + 1} (X_d-xZ_d) ²が計算される。 その結果がレジスタ Y_d ^Wに格納 される。 ステップ 41 1 5において 2BXyが計算され、 レジスタ に格納され る。 ステップ 41 16において XZ_dが計算される。 ここでレジスタ には 2Byが格納されており、 したがって 2ByZ_dが計算される。 その結果がレジスタ

に格納される。 ステップ 41 1 7において Τ XZ_{d + 1}が計算される。 ここ でレジスタ には 2ByZ_dが格納されており、 したがって 2ByZ_dZ_d+丄が計算さ れる。 その結果がレジスタ に格納される。 ステップ 41 1 8において T X Z_dが計算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}が格納されており、 した がって 2ByZ_dZ_{d + 1}Z_dが計算される。 その結果がレジスタ T ₃に格納される。 ス テツプ 41 1 9において T₃Xsが計算される。 ここでレジスタ T₃には 2ByZ _d Z _d + Z _dカ格納されており、 した力 Sつて 2ByZ _d Z _d +丄 Z _d s力 S計算される。 その結果がレジスタ Z_d ^Wに格納される。 ステップ 4 1 2 0において T丄 XX_d力 S 計算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}が格納されており、 したがつ て 2ByZ_dZ_{d + 1}X_dが計算される。 その結果がレジスタ に格納される。 ステツ プ 41 2 1において Z_d ^WX aが計算される。 ここでレジスタ Z_d ^Wには 2ByZ_d Z_{d + 1}Z_ds力 S格納されており、 したがって 2ByZ_dZ_{d + 1}Z_dso;が計算される。 そ の結果が T₃に格納される。 ステップ 4 1 2 2において T +Tgが計算される。 ここでレジスタ には 2ByZ_dZ_{d + 1}X_dがレジスタ T₃には 2ByZ_dZ_{d + 1}Z_dsひが それぞれ格納されており、 したがって 2ByZ _dZ_d + _χΧ_ά +2ByZ _dZ_{d + 1}Z_dso;力 S計算 される。 その結果が X_d ^Wに格納される。 したがってレジスタ x_dには 2ByZ_d Z_{d + 1}X_d+2ByZ_dZ_{d + 1}Z_dsaの値力 S格糸内されてレヽる。 Y_d ^Wにはステップ 4 1 1 4ίこおレヽて Z_{d + 1} ((xZ_d+X_d+2AZ_d) (xX_d+Z_d)-2AZ_d ")-X_{d + 2} (X_d-xZ_d) ²力 S格 納され、 その後更新が行なわれないので、 その値が保持されている。 Z_ri ^Wには

1 1 9において 2ByZ_dZ_{d + 1}Z_ds力 S格納され、 その後更新が行なわれ ないので、 その値が保持されている。 その結果として、 ワイエルシュトラス型楕 円曲線における射影座標 (X _d w, Y _d ^W， Z _d の値が全て復元されている。

上記手順により与えられた x、 y、 X_d、 Z_d、 X_{d + 1}、 Z_{d + 1}からワイエルシュ トラス型楕円曲線におけるスカラ一倍点の射影座標 (X _d ^w， Y _d ^w, Z _d ^w)における 値が全て復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した 点である。 モンゴメリ型楕円曲線のァフィン座標における加算公式に代入すると、 数 6を得る。 点 P及ぴ点 dPはモンゴメリ型楕円曲線上の点であるので、 By_d ² = x_d ³+Ax_d +x_d を

消去し、 式を整理すると、 数 64をを得る。 ここで x _d=X_d/Z_d、 X _{d + 1} = X_{d + 1}/Z_{d + 1}であり、 この値を代入することにより射影座標の値へと変換する と、 数 6 5を得る。 X _d=X_d/Z_dであるが、 逆元演算の回数を減らす目的で y _d の分母と通分することにより、 数 6 6となる。 その結果として、

Y_d=Z_d+1[(X_d+xZ_d+2AZ_d) (X_dx+Z_d)- 2Az ]- (X_d- xZ_d)²X_{d + 1}…数 81 とし、

_{+ 1}X_d …数 82 Z'_d=2ByZ_dZ_{d + 1}Z_d …数 83

とすると（X， _d，Y， _d，Z， _d) = (X_d，Y_d，Z_d)となる。 モンゴメリ型楕円曲線上の点と ワイエルシュトラス型楕円曲線上の点との対応関係については、 K. Okeya, H. Kurumatani, . Sakurai, Ellipticし urves with the Montgomery— Form and Their Cryptographic Applications, Public Key Cryptography, LNCS 1751

(2000) pp.238-257 に記載されている。 それによると、 変換パラメタを saとし て、 Y_d ^w=Y' _d、 x_d ^w=x' _d+aZ_d ^W、 及び Z_d ^W=sZ' _dという関係がある。 結果と して次の式を得る。

+ ₁ [(X_d+xZ_d+2AZ_d) (X_dx+Z_d)-2AZg]-(X_d-xZ_d) ²X_{d + 1} …数 84 X^=2ByZ_dZ_{d + 1}X_d + aZl …数 85

…数 86

により更新すればよい。 ここで、 X_d ^W，Y_d ^W，Z_d ^Wは図 41の処理により与えら れている。 したがって、 ワイエルシュトラス型楕円曲線における射影座標

(X_d ^W,Y_d ^W, Z_d ^W)の値が全て復元されていることになる。

上記手順はステップ 4101、 ステップ 4105、 ステップ 4106、 ステツ プ 4108、 ステップ 41 10、 ステップ 41 1 1、 ステップ 411 3、 ステツ プ 41 1 5、 ステップ 41 16、 ステップ 41 1 7、 ステップ 4118、 ステツ プ 41 1 9、 ステップ 4120及ぴステップ 41 21において有限体上の乗算の 計算量を必要とする。 また、 ステップ 4104において有限体上の 2乗算の計算 量を必要とする。 有限体上の加算及び減算の計算量は、 有限体上の乗算の計算量、 2乗算の計算量と比べて比較的小さいので無視してもよレ、。 有限体上の乗算の計 算量を M、 有限体上の 2乗算の計算量を Sとすると、 上記手順は 14 M+ Sの計 算量を必要とする。 これは高速ス力ラ一倍計算の計算量と比べてはるかに小さレ、。 例えばスカラー値 dが 160ビットであれば、 高速スカラー倍計算の計算量はお およそ 1 500M弱と見積もられる。 S = 0. 8 Mと仮定すると座標復元の計算 量は 14. 8Mであり、 高速スカラー倍計算の計算量と比べてはるかに小さい。 したがって効率的に座標を復元できていることが示された。

尚、 上記手順をとらなくても、 上記計算式により与えられた X_d ^W、 Y_d ^W、 Z_d ^Wの値が計算できれば X_d ^W、 Y_d ^w、 z_d ^wの値が復元できる。 また、 ワイエル シュトラス型楕円曲線においてァフィン座標におけるスカラー倍点 dPを dP=

(Xd^W,yd^W)とすると、 xa^w、 y_d ^wが上記計算式により与えられる値を取るよう に x_d ^w、 Y_d ^w、 z_d ^wの値を選択し、 その値が計算できれば x_d ^w、 Y_d ^W、 z_d ^wが 復元できる。 それらの場合においては一般的に復元に必要となる計算量が増大す る。 また、 モンゴメリ型楕円曲線のパラメタである A乃至は Bの値やモンゴメリ型 楕円曲線への変換パラメタ sの値を小さくとることにより、 ステップ 4106、 ステップ 41 15乃至はステップ 41 1 9における乗算の計算量を削減すること ができる。

次に、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 X_d， Z_d， x_{d + 1}， z_{d + 1}を出力するアルゴリズムについて説明する。

第 21実施例の高速スカラー倍計算部 202の高速スカラー倍計算方法として、 第 9実施例の高速スカラー倍計算方法を用いる。 これにより、 スカラー値 d及ぴ ワイエルシュトラス型楕円曲線上の点 Pから、 x_d， z_d， X_{d + 1}, Z_{d + 1}を出力す るアルゴリズムとして、 高速であるアルゴリズムが達成される。 尚、 高速スカラ 一倍計算部 202において上記アルゴリズムを用いなくても、 スカラー値 d及び ワイエルシュトラス型楕円曲線上の点 pから、 x_d， z_d， x_{d + 1}， z_{d + 1}を出力す るアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用いていもよレ、。 スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 14M+ Sであり、 これは高速スカラー倍計算部 202の高速スカラー倍計算 に必要な計算量の （9. 2 k— 3. 6) Mとに比べてはるかに小さい。 したがつ て、 スカラー倍計算部 1 03のスカラー倍計算に必要な計算量は、 高速スカラー 倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 S = 0. 8M と仮定すると、 この計算量はおおよそ （9. 2 k+ 1 1. 2) Mと見積もること ができる。 例えばスカラー値 dが 1 60ビット （k = 160) であれば、 このス カラー倍計算に必要な計算量は 1483Mとなる。 楕円曲線としてワイエルシュ トラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン座標を中心とした 混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍点をヤコビアン座 標として出力する場合に必要となる計算量はおおよそ 1600Mであり、 これと 比べて必要となる計算量は削減されている。 第 22実施例は入出力用の楕円曲線としてワイエルシュトラス型楕円曲線を、 内部の計算用には与えられたワイエルシュトラス型楕円曲線から変換可能である モンゴメリ型楕円曲線を用いたものである。 スカラー倍計算部 103力 S、 スカラ 一値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 ワイエルシュ トラス型楕 円曲線におけるァフィン座標の点として完全な座標が与えられたスカラー倍点

(X d^W，yd^W)を計算し出力する。 スカラー値 d及びワイエルシュトラス型楕円曲 線上の点 Pをスカラー倍計算部 1 03に入力すると高速スカラー倍計算部 202 がそれを受け取る。 高速スカラー倍計算部 202は受け取ったスカラー値 dと与 えられたワイエルシュトラス型楕円曲線上の点 Pからモンゴメリ型楕円曲線にお いてァフィン座標で表されたスカラー倍点 dP=(x_d,y_d)の座標のうち x_d、 ァフ ィン座標で表されたモンゴメリ型楕円曲線上の点（d+1) P= (X _d + j， y _d +丄）の座 標のうち x_{d + 1}を計算し、 ァフィン座標で表された入力されたモンゴメリ型楕円 曲線上の点 P= (x， y)と共にその情報を座標復元部 203に与える。 座標復元部 2 03は与えられた座標の値 x_d、 x_{d + 1}、 x及び yよりワイエルシュトラス型楕円 曲線においてァフィン座標で表されたスカラー倍点 dP=(x_d ^W，y_d ^W)の座標 y_d ^W の復元を行なう。 スカラー倍計算部 103はワイエルシュトラス型楕円曲線上で ァフィン座標において完全に座標が与えられたスカラー倍点（_Xd ^W，y_d ^W)を計算 結果として出力する。

次に図 42により、 座標 x、 y、 x_d、 x_{d+ 1}が与えられた場合に、 x_d ^W、 y_d ^W を出力する座標復元部の処理について説明する。

座標復元部 203では、 モンゴメリ型楕円曲線においてァフィン座標で表され たスカラ一倍点 dP= (x_d,y_d)の座標のうち x_d、 ァフィン座標で表されたモンゴ メリ型楕円曲線上の点（01+1)?=( _{+ 1}，_{7(1+ 1})の座標のぅち _{+ ;1}、 スカラー 倍計算部 1 03に入力されたモンゴメリ型楕円曲線上の点 Pをァフィン座標で表 した (x,y)を入力し、 以下の手順でァフィン座標において完全な座標が与えられ たスカラー倍点 (x_d ^W，y_d ^W)を出力する。

ステップ 4201において x_d Xxが計算され、 レジスタ T に格納される。 ス テツプ 4202において T i+1が計算される。 ここでレジスタ T には x_dxが格 納されており、 したがって x_dx+lが計算される。 その結果がレジスタ Τ に格納 される。 ステップ 4203において x_d+xが計算され、 レジスタ T ₂に格納され る。 ステップ 4204において T₂+2Aが計算される。 ここでレジスタ T₂には x_d+xが格納されており、 したがって x_d+x+2Aが計算される。 その結果がレジス タ T ₂に格納される。 ステップ 4205において XT₂が計算される。 ここ でレジスタ Τ には x_dx+lがレジスタ Τ ₂には x_d+x+2Aがそれぞれ格納されてお り、 したがって（x_dx+l) (x_d+x+2A)が計算される。 その結果がレジスタ T に格 納される。 ステップ 4206において Τ^- 2Aが計算される。 ここでレジスタ T には（X _d x+1) (X _d +x+2A)が格納されており、 したがって（X _d x+1) (X _d +X+2A)一 2Aが計算される。 その結果がレジスタ に格納される。 ステップ 4207にお いて x_d- Xが計算され、 レジスタ T ₂に格納される。 ステップ 4208において T₂の 2乗が計算される。 ここでレジスタ Τ ₂には x_d - Xが格納されており、 した がって（x_d—x) ²が計算される。 その結果がレジスタ T ₂に格納される。 ステツ プ 4209において T ₂ Xx_{d + 1}が計算される。 ここでレジスタ T ₂には（x_d— X) ²が格納されており、 したがって（x_d— X) ²x_{d + 1}が計算される。 その結果が レジスタ T ₂に格納される。 ステップ 4210において - T ₂が計算される。 ここでレジスタ T には（x_dx+l) (x_d+x+2A)- 2Aがレジスタ T ₂には（x_d— X) " x_{d + 1}がそれぞれ格納されており、 したがって（x_dx+l) (x_d+x+2A)- 2A -（x_d— X) ²x_{d + 1}力 S計算される。 その結果がレジスタ に格納される。 ステップ 42 1 1において 2BXyが計算され、 レジスタ T ₂に格納される。 ステップ 421 2 において T ₂の逆元が計算される。 ここでレジスタ T ₂には 2Byが格納されてお り、 したがって l/2Byが計算される。 その結果がレジスタ T₂に格納される。 ス テツプ 4213において XT ₂が計算される。 ここでレジスタ 1^には (X _d x+1) (x _d +x+2A) -2A- (x_d— x) ²x_{d + 1}がレジスタ T₂には l/2Byがそれぞれ格 納されており、 したがって {(x_dx+l) (x_d+x+2A)-2A-(x_d-x) x_{d+ 1}}/2Byが計 算される。 その結果がレジスタ に格納される。 ステップ 4214において T！ X (1/s)が計算される。 ここでレジスタ T ]_には {(x_dx+l) (x_d+x+2A)-2A-(x_d -x) ²x_{d+ 1}}/2Byが格納されており、 したがって {(x_dx+l) (x_d+x+2A) - 2A- (x_d 一 x) ²x_{d + 1}}/2Bysが計算される。 その結果がレジスタ y_d ^Wに格納される。 ステ ップ 421 5において x_d X (1/s)が計算され、 レジスタ T，に格納される。 ステ ップ 42 1 6において T i +ひが計算される。 ここでレジスタ T には x_d/sが格 納されており、 したがって（x_d/s) + o;が計算される。 その結果がレジスタ x_d ^Wに 格納される。 したがってレジスタ x_d には（x_d/s) + aが格納されている。 レジス タ はステップ 42 14において {(x_dx+l) (x_d+x+2A)-2A-(x_d-x) "

x_{d + 1}}/2Bysが格納され、 その後更新されないので、 その値が保持されている。 上記手順によりスカラー倍点の y座標 y_dが復元される理由は以下の通りである。 点（d+l)Pは点 dPに点 Pを加算した点である。 モンゴメリ型楕円曲線のァフィン座 標における加算公式に代入すると、 数 6を得る。 点 P及び点 dPはモンゴメリ型楕 円曲線上の点であるので、 By_d ²=x_d °+Ax_d ² ₁及ぴ87 ³+ ²+ をみたす。 数 6に代入し、 By _d ²及び By ²を消去し、 式を整理すると、 数 64を得る。 モン ゴメリ型楕円曲線上の点とワイエルシュトラス型楕円曲線上の点との対応関係に つレヽては、 K. Okeya, H. Kurumatani, K. Sakurai, Elliptic Curves with the Montgomery - Form and Their Cryptographic Applications, Public Key

Cryptography, LNCS 1751 (2000) pp.238-257 に記載されている。 それによると、 変換パラメタを s, _αとして、 y_d ^W=s— 及ぴ x_d ^W=s— ^d + aの関係がある。 結果として数 87、 数 63を得る。

y 1= { (x _d X + 1 ) (x _d +x+2A) -2A- (x_d~x)²x_{d + 1}} / (2sBy) …数 8 7

ここで、 x_d ^W y_d ^Wは図 42により与えられる。 したがって、 ァフィン座標 (x_d ^W, y_d ^W)の値は全て復元されていることになる。

上記手順はステップ 420 1、 ステップ 420 5、 ステップ 4209、 ステツ プ 42 1 1、 ステップ 42 1 3、 ステップ 42 1 4及ぴステップ 42 1 5におい て有限体上の乗算の計算量を必要とする。 また、 ステップ 4208において有限 体上の 2乗算の計算量を必要とする。 さらにステップ 42 1 2において有限体上 の逆元演算の計算量を必要とする。 有限体上の加算及び減算の計算量は、 有限体 上の乗算の計算量、 2乗算の計算量、 逆元演算の計算量と比べて比較的小さいの で無視してもよい。 有限体上の乗算の計算量を M、 有限体上の 2乗算の計算量を S、 有限体上の逆元演算の計算量を Iとすると、 上記手順は 7 M+ S + Iの計算 量を必要とする。 これは高速スカラー倍計算の計算量と比べてはるかに小さい。 例えばスカラー値 dが 1 60ビットであれば、 高速スカラー倍計算の計算量はお およそ 1 500M弱と見積もられる。 S==0. 8M及ぴ I =4 OMと仮定すると 座標復元の計算量は 47. 8Mであり、 高速スカラー倍計算の計算量と比べては るかに小さレ、。 したがつて効率的に座標を復元できていることが示された。 尚、 上記手順をとらなくても、 上記等式の右辺の値が計算できれば y_d ^Wの値 が復元できる。 その場合は一般的に復元に必要となる計算量が増大する。 また、 楕円曲線のパラメータである A乃至は Bやモンゴメリ型楕円曲線への変換パラメ一 タ sの値を小さくとることにより、 ステップ 4206、 ステップ 421 1、 ステ ップ 4214乃至はステップ 4215における乗算の計算量を削減することがで さる。

次に図 45により、 スカラー値 d及びワイエルシュトラス型楕円曲線上の点 Pか ら、 x_d， x_{d + 1}を出力する高速スカラー倍計算部の処理について説明する。 高速ス力ラ一倍計算部 202では、 スカラ一倍計算部 103に入力されたヮイエ ルシュトラス型楕円曲線上の点 Pを入力し、 以下の手順によりモンゴメリ型楕円 曲線においてァフィン座標で表されたス力ラ一倍点 dP= (x_d，y_d) 5 x_d、 ァフ イン座標で表されたモンゴメリ型楕円曲線上の点（d+l)P=(x_{d + 1}，y_{d + 1})のうち x_{d+ 1}を出力する。 ステップ 4516として、 与えられたワイエルシュトラス型 楕円曲線上の点 Pをモンゴメリ型楕円曲線上で射影座標により表された点に変換 する。 この点をあらためて点 Pとする。 ステップ 4501として、 変数 Iに初期 値 1を代入する。 ステップ 4502として、 点 Pの 2倍点 2Pを計算する。 ここで 点 Pは射影座標において（x， y, 1)として表し、 モンゴメリ型楕円曲線の射影座標 における 2倍算の公式を用いて 2倍点 2Pを計算する。 ステップ 4503として、 スカラ一倍計算部 103に入力された楕円曲線上の点 Pとステップ 4502で求 めた点 2Pを、 点の組 (P，2P)として格納する。 ここで点 P及ぴ点 2Pは射影座標で表 されている。 ステップ 4504として、 変数 Iとスカラー値 dのビット長とがー 致するかどうかを判定し、 一致すればステップ 4515へ行く。 一致しなければ ステップ 4505へ行く。 ステップ 4505として、 変数 Iを 1増カ卩させる。 ス テツプ 4506として、 スカラー値の I番目のビットの値が 0であるか 1である かを判定する。 そのビットの値が 0であればステップ 4507へ行く。 そのビッ トの値が 1であればステップ 4510へ行く。 ステップ 4507として、 射影座 標により表された点の組 (mP, (m+1) P)から点 mPと点 (m+1) Pの加算 mP+ (m+1) Pを行な い、 点（2m+l)Pを計算する。 その後ステップ 4 5 0 8へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射影座標における加算公式を用いて計算 される。 ステップ 4508として、 射影座標により表された点の組 (mP （m+l)P) から点 mPの 2倍算 2 (mP)を行ない、 点 2mPを計算する。 その後ステップ 4509へ 行く。 ここで、 2倍算 2(mP)は、 モンゴメリ型楕円曲線の射影座標における 2倍 算の公式を用いて計算される。 ステップ 4509として、 ステップ 4508で求 めた点 2mPとステップ 4507で求めた点（2m+l)Pを点の組（2mP (2m+ 1 ) P)とし て、 点の組 (mP （m+l)P)の代わりに格納する。 その後ステップ 4504へ戻る。 ここで、 点 2mP、 点（2m+l)P、 点 mP及ぴ点（m+1) Pは全て射影座標において表されて いる。 ステップ 451 0として、 射影座標により表された点の組 (mP (m+DP) から点 mPと点 (m+l)Pの加算 mP+(m+l)Pを行ない、 点（2m+l)Pを計算する。 その後ス テツプ 451 1へ行く。 ここで、 加算 mP+(m+l)Pは、 モンゴメリ型楕円曲線の射 影座標における加算公式を用いて計算される。 ステップ 451 1として、 射影座 標により表された点の組 (mP （m+ 1 ) P)から点 (m+ 1 ) Pの 2倍算 2 ((m+1) P)を行な い、 点（2m+2)Pを計算する。 その後ステップ 45 1 2へ行く。 ここで、 2倍算 2((m+l)P)は、 モンゴメリ型楕円曲線の射影座標における 2倍算の公式を用いて 計算される。 ステップ 4512として、 ステップ 4510で求めた点（2m+l)Pと ステップ 451 1で求めた点（2m+2)Pを点の組（（2m+l)P, (2m+2) P)として、 点の 組 (mP （m+1) Pの代わりに格納する。 その後ステップ 4504へ戻る。 ここで、 点 (2m+l)P、 点（2m+2)P、 点 mP及び点 (m+l)Pは全て射影座標において表されている。 ステップ 4515として、 射影座標で表された点 mP=(X_m Y_m Z_m)より X_m及ぴ Z_m をそれぞれ X _d及び Z _dとし、 射影座標で表された点 (m+1) P=(X_{m+ 1},Y_{m+ 1}, Z_{m+ 1})より X_{m+ 1}及び Z_{m+ 1}をそれぞれ X_{d + 1}及び Z_{d + 1}とする。 ここで、 Y_m 及ひ Y_{m+ 1}は、 モンゴメリ型楕円曲線の射影座標における加算公式及び 2倍算の 公式では Y座標を求める事ができないので、 求まっていない。 x_d, z_d x_{d + 1},

^Zd+1より、 ^xd—^Ad^Zd+ l/ d d+ 1 ^x d + 1 ^=Z d^A d + 1ノ² d ^A d + 1として ^x d x_{d + 1}を求める。 その後ステップ 451 3へ行く。 ステップ 4513として、 x_d, x_{d + 1}を出力する。 上記手順により、 πιとスカラー値 dはビット長が等しく さらにそのビットのパターンも同じとなる為、 等しくなる。

モンゴメリ型楕円曲線の射影座標における加算公式の計算量は、 Ζ;^1ととる ことにより 3 Μ+ 2 Sとなる。 ここで Μは有限体上の乗算の計算量、 Sは有限体 上の 2乗算の計算量である。 モンゴメリ型楕円曲線の射影座標における 2倍算の 公式の計算量は、 3Μ+ 2 Sである。 スカラー値の I番目のビットの値が 0であ れば、 ステップ 4507において加算の計算量、 ステップ 4508において 2倍 算の計算量が必要となる。 すなわち 6 Μ+ 4 Sの計算量が必要となる。 スカラー 値の I番目のビットの値が 1であれば、 ステップ 4510において加算の計算量、 ステップ 451 1において 2倍算の計算量が必要となる。 すなわち 6M+4 Sの 計算量が必要である。 いずれの場合においても 6 Μ+ 4 Sの計算量が必要である。 ステップ 4504、 ステップ 4505、 ステップ 4506、 ステップ 4507、 ステップ 4508、 ステップ 4509乃至はステップ 4504、 ステップ 450 5、 ステップ 4506、 ステップ 4510、 ステップ 451 1、 ステップ 45 1 2の繰り返しの回数は、 （スカラー値 dのビット長） 一 1回となるので、 ステツ プ 4502での 2倍算の計算量及ぴステップ 451 5でのァフィン座標への変換 の計算量を考慮に入れると、 全体の計算量は （6M+4S) k + 3M— 2 S+ I となる。 ここで kはスカラー値 dのビット長である。 一般的には、 計算量 Sは、 S = 0. 8M程度、 計算量 Iは I =40M程度と見積もられるので、 全体の計算 量はおおよそ （9. 2 k + 41. 4) Mとなる。 例えばスカラー値 dが 1 60ビ ット （k = l 60) であれば、 上記手順のアルゴリズムの計算量はおおよそ 1 5 1 3Mとなる。 スカラー値 dのビットあたりの計算量としてはおよそ 9. 2Mと なる。 A. Miyaji, T. Ono, H. Cohen, Efficient elliptic curve exponentiation using mixed coordinates, Advances in Cryptology Proceedings of

ASIACRYPT' 98， LNCS 1514 (1998) pp.51-65 には、 ワイエルシュトラス型楕円曲 線において、 ウィンドウ法を用いてヤコビアン座標を中心とした混合座標系を用 いたスカラー倍計算方法は高速なスカラー倍計算方法として記載されている。 こ の場合においては、 スカラー値のビットあたりの計算量はおおよそ 10Mと見積 もられ、 これ以外にァフィン座標への変換の計算量が必要となる。 例えばスカラ 一値 dが 1 60ビット （k = 1 60) であれば、 このスカラー倍計算方法の計算 量はおおよそ 1640Mとなる。 したがって、 上記手順のアルゴリズムの方が計 算量が少なく高速といえる。

尚、 高速スカラー倍計算部 202において上記手順のアルゴリズムを用いなく ても、 スカラー値 d及ぴワイエルシュトラス型楕円曲線上の点 Pから、 x_d， x_{d + 1}を出力するアルゴリズムであり且つ高速であれば、 他のアルゴリズムを用 いていもよい。

スカラー倍計算部 103における座標復元部 203の座標復元に必要な計算量 は 7M+S+ Iであり、 これは高速スカラー倍計算部 202の高速スカラー倍計 算に必要な計算量の （9. 2 k + 41. 4) Mとに比べてはるかに小さレ、。 した がって、 スカラー倍計算部 103のスカラー倍計算に必要な計算量は、 高速スカ ラー倍計算部の高速スカラー倍計算に必要な計算量とほぼ同等である。 1 =40 M、 S = 0. 8Mと仮定すると、 この計算量はおおよそ （9. 2 k + 89. 2) Mと見積もることができる。 例えばスカラー値 dが 1 60ビット （k= 160) であれば、 このスカラー倍計算に必要な計算量は 1 561Mとなる。 楕円曲線と してワイエルシュトラス型楕円曲線を使用し、 ウィンドウ法を用いてヤコビアン 座標を中心とした混合座標系を用いたスカラー倍計算方法を用いて、 スカラー倍 点をァフィン座標として出力する場合に必要となる計算量はおおよそ 1640M であり、 これと比べて必要となる計算量は削減されている。

以上、 図 1に示した暗号 Z復号処理装置を復号化処理を行う装置として第 1か ら第 22の実施例を説明したが、 同様に暗号化処理を行う装置としても利用でき る。 その場合には、 既に説明したように喑号 Z復号処理装置のスカラー倍計算部

103は、 既に説明した楕円曲線上の点 Q、 乱数 kによるスカラー倍点と、 公開 鍵 a Qと乱数 kによるスカラー倍点を出力する。 このとき、 実施例 1から 22で 説明したスカラー値 dを乱数 k、 楕円曲線上の点 Pを楕円曲線上の点 Q、 公開鍵 a Qとして同様の処理を行うことにより、 それぞれのスカラー倍点を求めること ができる。

尚、 図 1に示した暗号/復号処理装置は、 暗号化、 複号化の両方を行えるよう に示したが、 暗号化の処理のみ、 あるいは復号化の処理のみを行えるように構成 また、 第 1から第 2 2の実施例で説明した処理については、 コンピュータ読み 取り可能な記憶媒体に格納されたプログラムであってもよい。 この場合は、 その プログラムを図 1の記憶部へ読み込み、 処理部である C P Uなどの演算装置がこ のプログラムに従って、 処理を行う。

図 2 7は、 図 1の暗号処理システムにおける秘密情報を用いた暗号処理におい て、 スカラー倍点の完全な座標を与え且つ高速なスカラー倍計算方法の実施例を 示す図である。 図 3 3は、 図 2 7のスカラー倍計算方法の実施例における処理の 流れを示すフローチャートである。

図 3 3において、 図 2 7のスカラー倍計算部 2 7 0 1は以下のようにして、 ス カラー値及ぴワイエルシュトラス型楕円曲線上の点から、 ワイエルシュトラス型 楕円曲線上で完全な座標が与えられたスカラー倍点を計算し出力する。 スカラー 値及ぴワイエルシュトラス型楕円曲線上の点をスカラー倍計算部 2 7 0 1に入力 すると、 楕円曲線変換部 2 7 0 4がワイエルシュトラス型楕円曲線上の点をモン ゴメリ型楕円曲線上の点に変換する。 （ステップ 3 3 0 1 ) 。 高速スカラー倍計 算部 2 7 0 2はス力ラ一倍計算部 2 7 0 1に入力されたスカラ一値及ぴ楕円曲線 変換部 2 7 0 4が変換したモンゴメリ型楕円曲線上の点を受け取る （ステップ 3 3 0 2 ) 。 高速スカラー倍計算部 2 7 0 2は受け取ったスカラー値とモンゴメリ 型楕円曲線上の点からモンゴメリ型楕円曲線上のスカラー倍点の座標の一部の値 を計算し （ステップ 3 3 0 3 ) 、 その情報を座標復元部 2 7 0 3に与える （ステ ップ 3 3 0 4 ) 。 座標復元部 2 7 0 3は与えられたモンゴメリ型楕円曲線上のス カラー倍点の情報及び楕円曲線変換部 2 7 0 4により変換されたモンゴメリ型楕 円曲線上の点よりモンゴメリ型楕円曲線上のスカラー倍点の座標の復元を行なう (ステップ 3 3 0 5 ) 。 楕円曲線逆変換部 2 7 0 5は、 座標復元部 2 7 0 3によ り復元されたモンゴメリ型楕円曲線上のスカラー倍点をワイエルシュトラス型楕 円曲線上のスカラー倍点に変換する （ステップ 3 3 0 6 ) 。 スカラー倍計算部 2 7 0 1はワイエルシュトラス型楕円曲線上で完全に座標が与えられたスカラー倍 点を計算結果として出力する。 （ステップ 3 3 0 7 ) 。

スカラー倍計算部 2 7 0 1における高速スカラー倍計算部 2 7 0 2及び座標復 元部 2 7 0 3が実行するモンゴメリ型楕円曲線上のスカラー倍計算は、 上述した 第 1〜第 5及び第 1 4〜第 1 6実施例で説明したモンゴメリ型楕円曲線上におけ るスカラ一倍計算方法がそのまま適応される。 したがつてこのスカラ一倍計算は、 スカラー倍点の完全な座標を与え且つ高速なスカラー倍計算方法である。

図 2 2は、 図 1の本実施形態の暗号処理システムを署名作成装置として利用す る場合の構成を示す。 図 1の暗号処理部 1 0 2は、 図 2 2の署名作成装置 2 2 0 1では署名部 2 2 0 2になる。 図 2 8は、 図 2 2の署名作成装置における処理の 流れを示すフローチャートである。 図 2 9は、 図 2 2の署名作成装置における処 理の流れを示すシーケンス図である。

図 2 8において、 署名作成装置 2 2 0 1は以下のようにして、 与えられたメッ セージ 2 2 0 5から署名が付随しているメッセージ 2 2 0 6を出力する。 メッセ ージ 2 2 0 5を署名作成装置 2 2 0 1に入力すると署名部 2 2 0 2がそれを受け 取る （ステップ 2 8 0 1 ) 。 署名部 2 2 0 2はスカラー倍計算部 2 2 0 3に受け 取ったメッセージ 2 2 0 5に応じて楕円曲線上の点を与える （ステップ 2 8〇 2 ) 。 スカラー倍計算部 2 2 0 3は秘密情報格納部 2 2 0 4より秘密情報である スカラー値を受け取る （ステップ 2 8 0 3 ) 。 スカラー倍計算部 2 2 0 3は受け 取った楕円曲線上の点とスカラー値よりスカラー倍点を計算し (ステップ 2 8 0 4 ) 、 そのスカラー倍点を署名部 2 2 0 2に送る （ステップ 2 8 0 5 ) 。 署名部 2 2 0 2はスカラー倍計算部 2 2 0 3より受け取ったスカラー倍点をもとにして 署名作成処理を行なう （ステップ 2 8 0 6 ) 。 その結果を署名が付随したメッセ ージ 2 2 0 6として出力する （ステップ 2 8 0 7 ) 。

上記処理手順を図 2 9のシーケンス図を用いて説明する。 まず、 署名部 2 9 0 1 (図 2 2の 2 2 0 2 ) の実行する処理について説明する。 署名部 2 9 0 1は、 入力メッセージを受け取る。 署名部 2 9 0 1は、 入力メッセージをもとに楕円曲 線上の点を選び、 スカラー倍計算部 2 9 0 2に楕円曲線上の点を与え、 そしてス カラー倍計算部 2 9 0 2からスカラー倍点を受け取る。 署名部 2 9 0 1は、 受け 取ったスカラー倍点を用いて署名作成処理を行ない、 その結果を出カメッセージ として出力する。

次にスカラー倍計算部 2 9 0 2 (図 2 2の 2 2 0 3 ) の実行する処理について 説明する。 スカラー倍計算部 2 9 0 2は、 署名部 2 9 0 1より楕円曲線上の点を 受け取る。 スカラー倍計算部 2 9 0 2は、 秘密情報格納部 2 9 0 3よりスカラー 値を受け取る。 スカラー倍計算部 2 9 0 2は、 受け取った楕円曲線上の点及びス カラー値から、 完全な座標を与え且つ高速なスカラー倍計算方法により、 スカラ 一倍点を計算し、 署名部 2 9 0 1にスカラー倍点を送る。

最後に秘密情報格納部 2 9 0 3 (図 2 2の 2 2 0 4 ) の実行する処理について 説明する。 秘密情報格納部 2 9 0 3は、 スカラー倍計算部 2 9 0 2がスカラー倍 を計算できるように、 スカラー値をスカラー倍計算部 2 9 0 2に送る。

スカラ一倍計算部 2 2 0 3が実行するスカラ一倍計算は、 上述した第 1〜第 2 2実施例で説明したものがそのまま適応される。 したがつてこのスカラ一倍計算 は、 スカラー倍点の完全な座標を与え且つ高速なスカラー倍計算方法である。 そ のため署名部 2 2 0 2において、 署名作成処理を行なう際に、 スカラー倍点の完 全な座標を用いることができ、 その上高速に実行できる。

図 2 3は、 図 1の本実施形態の暗号処理システムを復号化装置として利用する 場合の構成を示す。 図 1の暗号処理部 1 0 2は、 図 2 3の復号化装置 2 3 0 1で は復号部 2 3 0 2になる。 図 3 0は、 図 2 3の復号化装置における処理の流れを 示すフローチャートである。 図 3 1は、 図 2 3の復号化装置における処理の流れ を示すシーケンス図である。

図 3 0において、 復号装置 2 3 0 1は以下のようにして、 与えられたメッセ一 ジ 2 3 0 5から復号化されたメッセージ 2 3 0 6を出力する。 メッセージ 2 3 0 5を復号装置 2 3 0 1に入力すると復号部 2 3 0 2がそれを受け取る （ステップ 3 0 0 1 ) 。 復号部 2 3 0 2はスカラー倍計算部 2 3 0 3に受け取ったメッセー ジ 2 3 0 5に応じて楕円曲線上の点を与える （ステップ 3 0 0 2 ) 。 スカラー倍 計算部 2 3 0 3は秘密情報格納部 2 3 0 4より秘密情報であるスカラー値を受け 取る （ステップ 3 0 0 3 ) 。 スカラー倍計算部 2 3 0 3は受け取った楕円曲線上 の点とスカラー値よりスカラー倍点を計算し （ステップ 3 0 0 4 ) 、 そのスカラ 一倍点を復号部 2 3 0 2に送る （ステップ 3 0 0 5 ) 。 復号部 2 3 0 2はスカラ 一倍計算部 2 3 0 3より受け取ったスカラー倍点をもとにして復号化処理を行な う （ステップ 3 0 0 6 ) 。 その結果を復号化されたメッセージ 2 3 0 6として出 力する （ステップ 3 0 0 7 ) 。 上記処理手順を図 3 1のシーケンス図を用いて説明する。 まず、 復号化部 3 1 0 1 (図 2 3の 2 3 0 2 ) の実行する処理について説明する。 復号化部 3 1 0 1 は、 入力メッセージを受け取る。 復号化部 3 1 0 1は、 入力メッセージをもとに 楕円曲線上の点を選び、 スカラー倍計算部 3 1 0 2に楕円曲線上の点を与え、 そ してスカラー倍計算部 3 1 0 2からスカラー倍点を受け取る。 復号化部 3 1 0 1 は、 受け取ったスカラー倍点を用いて復号ィ匕処理を行ない、 その結果を出力メッ セージとして出力する。

次にスカラー倍計算部 3 1 0 2 (図 2 3の 2 3 0 3 ) の実行する処理について 説明する。 スカラー倍計算部 3 1 0 2は、 複号化部 3 1 0 1より楕円曲線上の点 を受け取る。 スカラー倍計算部 3 1 0 2は、 秘密情報格納部 3 1 0 3よりスカラ 一値を受け取る。 スカラー倍計算部 3 1 0 2は、 受け取った楕円曲線上の点及び スカラー値から、 完全な座標を与え且つ高速なスカラー倍計算方法により、 スカ ラー倍点を計算し、 複号化部 3 1 0 1にスカラー倍点を送る。

最後に秘密情報格納部 3 1 0 3 (図 2 3の 2 3 0 4 ) の実行する処理について 説明する。 秘密情報格納部 3 1 0 3は、 スカラー倍計算部 3 1 0 2がスカラー倍 を計算できるように、 スカラー値をスカラー倍計算部 3 1 0 2に送る。

スカラー倍計算部 2 3 0 3が実行するスカラー倍計算は、 上述した第 1〜第 2 2実施例で説明したものがそのまま適応される。 したがつてこのスカラ一倍計算 は、 スカラー倍点の完全な座標を与え且つ高速なスカラー倍計算方法である。 そ のため復号部 2 3 0 2において、 復号化処理を行なう際に、 スカラー倍点の完全 な座標を用いることができ、 その上高速に実行できる。

以上述べたように本発明によれば、 暗号処理システムにおける秘密情報を用い た暗号処理にぉレ、て用いられるスカラ一倍計算が高速化されており、 暗号処理の 高速化が計れる。 また、 スカラー倍点の座標を完全に与えることができるので、 全ての暗号処理を行なうことができる。

Claims

請 求 の 範 囲

1. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 スカラ一値及ぴ楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、

前記ス力ラ一倍点の部分情報を計算するステップと、 前記ス力ラ一倍点の部分 情報から完全な座標を復元するステップとを有するスカラ一倍計算方法。

2. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 スカラ一値及び楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報からァフィン座標にお!/、て完全な座標を復元するステツプとを有するスカラ 一倍計算方法。

3. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 スカラ一値及ぴ楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算方法 であって、 前記スカラー倍点の部分情報を計算するステップと、 前記スカラー 倍点の部分情報から射影座標において完全な座標を復元するステップとを有する スカラー倍計算方法。

4. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラー値及びモンゴメリ型楕円曲線上の点からスカラー倍点を 計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステツプと、 前記スカラー倍点の部分 情報から完全な座標を復元するステップとを有するスカラ一倍計算方法。

5. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するス力ラ一倍計算方法であつて、

前記スカラ一倍点の部分情報を計算するステップと、 前記スカラ一倍点の部分 情報から完全な座標を復元するステツプとを有するスカラ一倍計算方法。

6. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラー値及びモンゴメリ型楕円曲線上の点からスカラー倍点を 計算するスカラ一倍計算方法であって、 前記スカラ一倍点の部分情報を計算す るステップと、 前記スカラー倍点の部分情報として射影座標で与えられた前記ス 力ラ一倍点の X座標及び Z座標並びに前記ス力ラ一倍点と前記モンゴメリ型楕円 曲線上の点を加算した点の射影座標における X座標及ぴ Z座標を与え、 ァフィン 座標にぉレヽて完全な座標を復元するステツプとを有するス力ラ一倍計算方法。

7. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラー値及ぴモンゴメリ型楕円曲線上の点からスカラー倍点を 計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報として射影座標で与えられた前記スカラー倍点の X座標及び z座標並びに前 記スカラー倍点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標にお ける X座標及ぴ z座標を与え、 射影座標において完全な座標を復元するステップ とを有するスカラ一倍計算方法。

8. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラ一値及ぴモンゴメリ型楕円曲線上の点からスカラ一倍点を 計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報として射影座標で与えられた前記スカラー倍点の X座標及び Z座標、 前記ス カラー倍点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における X座標及ぴ z座標並びに前記スカラー倍点と前記モンゴメリ型楕円曲線上の点を 減算した点の射影座標における X座標及び Z座標を与え、 ァフィン座標において 完全な座標を復元するステップとを有するスカラ一倍計算方法。

9. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラー値及びモンゴメリ型楕円曲線上の点からスカラー倍点を 計算するス力ラ一倍計算方法であつて、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報として射影座標で与えられた前記スカラー倍点の X座標及び Z座標、 前記ス 力ラ一倍点と前記モンゴメリ型楕円曲線上の点を加算した点の射影座標における x座標及び z座標並びに前記ス力ラ一倍点と前記モンゴメリ型楕円曲線上の点を 減算した点の射影座標における X座標及ぴ Z座標を与え、 射影座標において完全 な座標を復元するステップとを有するスカラ一倍計算方法。

10. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 スカラー値及ぴモンゴメリ型楕円曲線上の点からスカラー倍点を 計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステツプと、 前記スカラー倍点の部分 情報としてァフィン座標で与えられた前記スカラー倍点の X座標、 前記スカラー 倍点と前記モンゴメリ型楕円曲線上の点を加算した点のァフィン座標における X 座標並びに前記スカラー倍点と前記モンゴメリ型楕円曲線上の点を減算した点の ァフィン座標における X座標を与え、 ァフィン座標において完全な座標を復元す るステップとを有するスカラ一倍計算方法。

11. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及ぴワイエルシュトラス型楕円曲線上の点か らスカラー倍点を計算するスカラー倍計算方法であって、 - 前記ス力ラ一倍点の部分情報を計算するステップと、 前記スカラ一倍点の部分 情報として射影座標で与えられた前記スカラー倍点の X座標及び Z座標、 前記ス 力ラ一倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点の射影座標 における X座標及ぴ Z座標並びに前記ス力ラ一倍点と前記ワイエルシュトラス型 楕円曲線上の点を減算した点の射影座標における X座標及び Z座標を与え、 ァフ ィン座標において完全な座標を復元するステップとを有するスカラー倍計算方法。

12. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及ぴワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報として射影座標で与えられた前記スカラー倍点の X座標及び Z座標、 前記ス カラ 倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点の射影座標 における X座標及ぴ Z座標並びに前記ス力ラ一倍点と前記ワイエルシュトラス型 楕円曲線上の点を減算した点の射影座標における X座標及び Z座標を与え、 射影 座標において完全な座標を復元するステップとを有するスカラー倍計算方法。

13. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラー倍点を計算するスカラ一倍計算方法であって、

前記スカラー倍点の部分情報を計算するステップと、 前記スカラー倍点の部分 情報としてァフィン座標で与えられた前記スカラー倍点の X座標、 前記スカラー 倍点と前記ワイエルシュトラス型楕円曲線上の点を加算した点のァフィン座標に おける X座標並びに前記スカラー倍点と前記ワイエルシュトラス型楕円曲線上の 点を減算した点のァフィン座標における X座標を与え、 ァフィン座標において完 全な座標を復元するステップとを有するスカラ一倍計算方法。

14. 楕円曲線喑号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラ一倍点の部分情報からワイエル シュトラス型楕円曲線において完全な座標を復元するステップとを有するスカラ 一倍計算方法。

15. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報からモンゴメ リ型楕円曲線において完全な座標を復元するステップと、 前記モンゴメリ型楕円 曲線において完全な座標が復元されたスカラー倍点からワイエルシュトラス型楕 円曲線におけるスカラ一倍点を計算するステップとを有するスカラ一倍計算方法。

16. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及ぴワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴ メリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及び Z座標 並びに前記ス力ラ一倍点とモンゴメリ型楕円曲線上の点を加算した点の射影座標 における X座標及ぴ Z座標を与え、 ワイエルシュトラス型楕円曲線においてァフ ィン座標における完全な座標を復元するステップとを有するスカラ一倍計算方法。

17. 楕円曲線喑号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴ メリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及び Z座標 並びに前記ス力ラ一倍点とモンゴメリ型楕円曲線上の点を加算した点の射影座標 における X座標及び Z座標を与え、 ワイエルシュトラス型楕円曲線において射影 座標における完全な座標を復元するステップとを有するスカラ一倍計算方法。

18. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及ぴワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であつて、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴ メリ型楕円曲線において射影座標で与えられたスカラー倍点の X座標及ぴ Z座標、 前記スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点の射影座標におけ る X座標及び z座標並びに前記ス力ラ一倍点とモンゴメリ型楕円曲線上の点を減 算した点の射影座標における X座標及び Z座標を与え、 ワイエルシュトラス型楕 円曲線においてァフィン座標における完全な座標を復元するステップとを有する スカラー倍計算方法。

19. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴ メリ型楕円曲線において射影座標で与えられたスカラ一倍点の X座標及び Z座標、 前記スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点の射影座標におけ る X座標及ぴ Z座標並びに前記スカラー倍点とモンゴメリ型楕円曲線上の点を減 算した点の射影座標における X座標及び Z座標を与え、 ワイエルシュトラス型楕 円曲線において射影座標における完全な座標を復元するステップとを有するス力 ラー倍計算方法。

20. 楕円曲線暗号における標数 5以上の有限体上定義されたワイエルシュトラ ス型楕円曲線において、 スカラー値及ぴワイエルシュトラス型楕円曲線上の点か らスカラ一倍点を計算するスカラ一倍計算方法であって、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換するステツ プと、 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報を計算するステツ プと、 前記モンゴメリ型楕円曲線におけるスカラー倍点の部分情報としてモンゴ メリ型楕円曲線においてァフィン座標で与えられたスカラー倍点の X座標、 前記 スカラー倍点とモンゴメリ型楕円曲線上の点を加算した点のァフィン座標におけ る X座標並びに前記スカラー倍点とモンゴメリ型楕円曲線上の点を減算した点の ァフィン座標における X座標を与え、 ワイエルシュトラス型楕円曲線においてァ フィン座標における完全な座標を復元するステップとを有するスカラ一倍計算方 法。

21. 第 1のデータから第 2のデータを生成するデータ生成方法であって、 請求 項 1から 2 0の何れか一つに記載のスカラー倍計算方法を用いてスカラー倍を計 算するステップを有することを特徴とするデータ生成方法。

22. データから署名データを生成する署名生成方法であって、 請求項 1から 2 0の何れか一つに記載のス力ラ一倍計算方法を用いてスカラ一倍を計算するステ ップを有することを特徴とする署名生成方法。

23. 暗号化されたデータから複号化されたデータを生成する複号化方法であつ て、 請求項 1から 2 0の何れか一つに記載のスカラー倍計算方法を用いてスカラ 一倍を計算するステップを有することを特徴とする復号化方法。

24. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 スカラ一値及び楕円曲線上の点からスカラ一倍点を計算するスカラ一倍計算部で あって、

前記スカラー倍点の部分情報を計算する高速スカラー倍計算部と、 前記スカラ 一倍点の部分情報から完全な座標を復元する座標復元部とを有し、

前記スカラー倍計算部は、 高速スカラー倍計算部により前記スカラー倍点の部 分情報を計算した後、 座標復元部により前記スカラー倍点の部分情報から完全な 座標を復元し、 スカラー倍点を計算することを特徴とする。

25. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 スカラー値及びワイエルシュトラス型楕円曲線上の点からスカラー倍点を計算す るスカラ一倍計算部であつて、

前記ワイエルシュトラス型楕円曲線をモンゴメリ型楕円曲線に変換する楕円曲 線変換,部と、 前記スカラー倍点の部分情報を計算する高速スカラー倍計算部と、 前記スカラー倍点の部分情報から完全な座標を復元する座標復元部と、 モンゴメ リ型楕円曲線をワイエルシュトラス型楕円曲線に変換する楕円曲線逆変換部とを 有し、

前記スカラー倍計算部は、 楕円曲線変換部により前記ワイエルシュトラス型楕 円曲線をモンゴメリ型楕円曲線に変換し、 高速スカラー倍計算部によりモンゴメ リ型楕円曲線におけるスカラー倍点の部分情報を計算し、 座標復元部により前記 モンゴメリ型楕円曲線におけるスカラー倍点の部分情報からモンゴメリ型楕円曲 線において完全な座標を復元し、 楕円曲線逆変換部によりモンゴメリ型楕円曲線 において完全な座標が復元されたスカラ一倍点からワイエルシュトラス型楕円曲 線におけるスカラー倍点を計算し、 スカラー倍点を計算することを特徴とする。

26. 請求項 1カゝら 2 0の何れか一つに記載のスカラー倍計算方法に係るプログ ラムを格納したことを特徴とする記憶媒体。

27. 楕円曲線暗号における標数 5以上の有限体上定義された楕円曲線において、 不完全な座標で与えられた楕円曲線上の点から完全な座標を復元する座標復元方 法であって、

前記不完全な座標を持つ点及び前記不完全な座標を持つ点と完全な座標を持つ 点との加算及ぴ減算によって得られる点により、 前記不完全な座標を持つ点の座 標を計算するステップを有する座標復元方法。

28. 楕円曲線喑号における標数 5以上の有限体上定義された楕円曲線において、 不完全な座標で与えられた楕円曲線上の点から完全な座標を復元する座標復元方 法であって、

前記不完全な座標を持つ点及ぴ前記不完全な座標を持つ点と完全な座標を持つ 点との加算によつて得られる点から、 前記不完全な座標を持つ点と完全な座標を 持つ点との減算によって得られる点を計算するステップと、 前記不完全な座標を 持つ点の座標を計算するステツプを有する座標復元方法。

29. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 不完全な座標で与えられたモンゴメリ型楕円曲線上の点からワイ エルシュトラス型楕円曲線において完全な座標を復元する座標復元方法であって、 前記モンゴメリ型楕円曲線において不完全な座標を持つ点及び前記モンゴメリ 型楕円曲線において不完全な座標を持つ点と完全な座標を持つ点との加算及び減 算によって得られる点から、 前記モンゴメリ型楕円曲線において不完全な座標を 持つ点の座標を計算するステップと、 前記完全な座標が計算されたモンゴメリ型 楕円曲線の点をワイエルシュトラス型楕円曲線の点に変換するステップとを有す る座標復元方法。

30. 楕円曲線暗号における標数 5以上の有限体上定義されたモンゴメリ型楕円 曲線において、 不完全な座標で与えられだモンゴメリ型楕円曲線上の点からワイ エルシュ トラス型楕円曲線において完全な座標を復元する座標復元方法であって、 前記モンゴメリ型楕円曲線において不完全な座標を持つ点及び前記モンゴメリ 型楕円曲線において不完全な座標を持つ点と完全な座標を持つ点との加算によつ て得られる点から、 前記モンゴメリ型楕円曲線において不完全な座標を持つ点と 完全な座標を持つ点との減算によって得られる点を計算するステップと、 前記モ ンゴメリ型楕円曲線において不完全な座標を持つ点の座標を計算するステツプと、 前記完全な座標が計算されたモンゴメリ型楕円曲線の点をワイエルシュトラス型 楕円曲線の点に変換するステップとを有する座標復元方法。