楕円曲線暗号

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

楕円曲線暗号(だえんきょくせんあんごう、Elliptic Curve Cryptography: ECC)とは、楕円曲線上の離散対数問題 (EC-DLP) の困難性を安全性の根拠とする暗号1985年頃に ビクタ・ミラー (Victor Miller) とニール・コブリッツ (Neal Koblitz) が各々発明した。

具体的な暗号方式の名前ではなく、楕円曲線を利用した暗号方式の総称である。DSAを楕円曲線上で定義した楕円曲線DSA (ECDSA)、DH鍵共有を楕円化した楕円曲線ディフィー・ヘルマン鍵共有 (ECDH) などがある。公開鍵暗号が多い。

EC-DLPを解く準指数関数時間アルゴリズムがまだ見つかっていないため、それが見つかるまでの間は、RSA暗号などと比べて、同レベルの安全性をより短い鍵で実現でき、処理速度も速いことをメリットとして、ポストRSA暗号として注目されている。ただしP=NPが成立した場合、EC-DLPを多項式時間で解くアルゴリズムが存在するということになり、ECCの安全性は崩壊する(公開鍵暗号自体が崩壊)。また、送信者が暗号化時に適当な乱数(公開鍵とは違うモノ)を使うので鍵が同じでも平文暗号文の関係が1対1でない点にも注意(ElGamal暗号でも同様)。

一部の楕円曲線には、DLPを解く多項式時間アルゴリズムが見つかっているため、注意が必要である。

歴史[編集]

暗号理論に楕円曲線を利用しようというアイディアは、1985年にニール・コブリッツ (Neal Koblitz)[1]ビクタ・ミラー (Victor Miller)[2] によって独立に提案された。楕円曲線暗号は、2004~2005年ごろから広く使用されるようになっている。

理論[編集]

暗号における楕円曲線とは、ある有限体 K 上の式

を満たす全ての点 P=(x,y) の集合に、無限遠点と呼ばれる特別な点 O を加えたものである。ここで、 xy は有限体 K の要素である。(K標数が2または3の場合、上式では不都合が生じるため、標数は2と3以外であるとする。)

この集合と楕円曲線上の群演算は、無限遠点を単位元とするアーベル群となる。群演算は楕円加算と呼ばれる。群構造は、代数多様体因子群から引き継がれる。

楕円曲線上の加算[編集]

楕円曲線E上に位置する2点 の加算は以下の通りである。

まず、無限遠点を とすると、 である。すなわち、 が単位元である。

もし ならば、 である。

それ以外の場合、 は、2点 を通る直線とEとの( および と異なる)交点の、y座標の符号を反転したものである。すなわち は以下のようになる。

ただし

楕円曲線上での2倍算[編集]

楕円曲線E上の点 に対し、これを2倍した点 は、以下のように求められる。

のとき、 である。また、 である。

それ以外の場合は、 は、 でのEの接線がE自身と交わる( とは異なる)交点の、y座標の符号を反転したものである。すなわち は以下で求められる。

この式は異なる二点の加算の場合と同じであるが、 の計算式が次のように変わる。

スカラー倍算[編集]

スカラー倍算(Scalar Multiplication)は楕円曲線上における掛け算である。楕円曲線上の点と点を掛けるのではなく、点に整数(スカラー)を掛けることに注意。

暗号化・復号の過程において、 は楕円曲線上の点)という演算を行う。 ナイーヴな実装としては というように Pを 回加算(1回目は2倍算となる)するが、これでは効率が悪い。

スカラー倍算はRSA暗号などにおけるべき乗剰余演算とリンクしており、これの高速化手法もそれから流用できるものが多い。例えば、そのひとつとして有名なBinary法では、dを2進数表記し、dの各ビット が "0" の場合は2倍算のみを行い、"1" の場合は2倍算と加算を行うことにより、ナイーブな実装と同じ計算をより高速に行なっている。この計算手法では、2倍算はべき乗剰余演算における自乗算、加算は掛け算にそれぞれ対応している。

この演算は楕円曲線暗号の根幹を成している部分であり、楕円曲線暗号を利用する際の時間の大半を占めている。ゆえに、ICカードなどハードウェア上に演算回路を実装する場合はサイドチャネル攻撃(特にSPADPA)のターゲットとなる箇所なので工夫が必要となる。

離散対数と離散対数問題[編集]

ある楕円曲線上の点 から、 を計算していくと、次々と異なる(楕円曲線上の)点が得られ、いずれは無限遠点 が得られる。(その後は、 と繰り返される。)このように からスカラー倍算によって得られる点の集合を と書くことにすると、 は巡回群となる。巡回群の位数 であり、 を生成する元 はベースポイントとも呼ばれる。

巡回群 の任意の要素(楕円曲線上の点) に対し、 を満たす の中に常にただ一つ存在する。このような 離散対数と呼ぶ。また、 から無作為に選らばれた を与えられ、その離散対数を求めよという問題を、楕円曲線上の離散対数問題 と呼ぶ。

また、 から無作為に選らばれた二つの点 を与えられ、 を求めよという問題を、楕円曲線上のディフィー・ヘルマン問題 と呼ぶ。

最もポピュラーな離散対数問題は、 から を求めよ、という問題であり、 から生成される乗法群の上で定義されている。これに対して、楕円曲線は加法群であるため、 を満たす を離散対数と呼ぶという、奇妙なことになっている。

巡回群の位数 が小さければ、離散対数問題やディフィー・ヘルマン問題が容易に解けてしまうため、位数が巨大な素数になるようなベースポイント(と楕円曲線)が使用される。

解読[編集]

参考文献[編集]

  • Blake, Seroussi & Smart 著、Elliptic Curves in Cryptography, CAMBRIDGE UNIVERSITY PRESS, 1999

関連項目[編集]

  1. ^ Koblitz, N. (1987). “Elliptic curve cryptosystems”. Mathematics of Computation 48 (177): 203?209. doi:10.2307/2007884. JSTOR 2007884. 
  2. ^ Miller, V. (1985). “Use of elliptic curves in cryptography”. CRYPTO. Lecture Notes in Computer Science 85: 417?426. doi:10.1007/3-540-39799-X_31. ISBN 978-3-540-16463-0.