楕円曲線の点の符号化
本発明は、電子構成部品において、等式Y2+a1XY+a3Y=X3+a2X2+a4+X+a6に従う楕円曲線上の点Pを得るステップを含む、暗号化計算を実行するステップを有する。ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、また、Aは、qが数Iの厳密には3より大きい異なる素数から生じる正の整数であり、Iが2より高いか等しい整数である、モジュラ整数Z/qZの環であるか、または、qが素数の整数の累乗である有限体Fqであり、また、XおよびYは、点Pの座標であり、かつAの要素である。本方法は、パラメータ(11)を決めるステップ、および前記パラメータに関数(12)を適用することにより点P(13)の座標XおよびYを得るステップを有する。Aのオイラー関数φは、等式φ(A) mod 3=1に対応する。前記関数は、al、a2、a3、a4およびa6において、およびA内の前記パラメータにおいて有理分数によって表される可逆的決定論的関数であり、Iが有限体Pqに関する1に等しい、少なくともq/4I個の点Pに到達する。本方法は、暗号化またはハッシングまたは署名または認証または識別のための暗号化計算において点Pを使用するステップをさらに有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、楕円曲線の点の使用に基づくメッセージの暗号化に関し、より具体的には、決定論的なやり方でのそのような暗号化に関する。
【背景技術】
【0002】
メッセージに暗号化計算を適用するためには、通常、数学的構造の中に任意の値を挿入するためのアルゴリズムが実行される。この目的のために、楕円曲線は、そのような暗号化計算を容易にし、他の暗号化計算の実行に関してメモリ空間を節減することを可能にする数学的構造である。
【0003】
しかし、楕円曲線を使用した、任意の値を挿入するための効率のよいアルゴリズムは、確率的である。したがって、そのようなアルゴリズムの実行時間は、一定でなく、符号化されるべきメッセージに依存する。したがって、攻撃者は、適用されたアルゴリズムの様々な実行時間を決めれば、符号化されたメッセージについての情報を得ることができる。
【0004】
確率的挿入アルゴリズムによって使用された時間を隠すために、どのようなメッセージが処理されても、その適用が常に同一の長さの時間帯に及ぶように、このアルゴリズムに無用なステップを付加するための規定が行われてよい。
【0005】
しかし、そのような処理は扱いにくく、多くの時間を消費する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、この状況を改善することである。
【課題を解決するための手段】
【0007】
本発明の第1の態様は、以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ パラメータ(11)を決めるステップと、
/b/ 前記パラメータに関数(12)を適用することにより、点P(13)の座標XおよびYを得るステップであって、
Aのオイラー関数φが、等式
φ(A) mod 3=1
を満たし、
上記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された可逆的決定論的関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記点Pを使用するステップと
を有する方法を提案する。
【0008】
「少なくとも所与の個数の点を得る」という表現は、考察される関数が出力において少なくともこの所与の個数の異なる点を提供するように適応されるということを意味するものとする。
【0009】
これらの規定によって、電子構成部品において、潜在的攻撃者に情報を提供することなく、高いレベルの実行効率を維持しながら、楕円曲線の点に基づく暗号化計算を実行することが可能である。実際、上記関数は、有理分数である楕円曲線上の点を得ることを可能にし、したがって、確率的関数ではく、決定論的関数であり、それを計算するのにかかる時間は、入力パラメータが何であっても、一定である。これらの条件の下で、楕円曲線上の点を得ることは効率がよく、計算時間は、従来技術とは対照的に、もはや符号化されるべきメッセージに依存しない。
【0010】
環Aは、RSA(「Rivest Shamir Adleman」を表す)環でよい。この場合、この環は、Z/qZと書かれることが可能であり、qは2つの素数の積に等しく、それらのための積φ(A)は計算するのが難しい。
【0011】
環Aに関するオイラー関数φは、この環Aにおける可逆的要素の数を提供する関数であることが留意される。Aが有限体Fqである場合は、
φ(A)=q−1
を得る。
【0012】
qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環を考察することにより、
φ(A)=lcm(p1−1,p2−1,...,pI−1)
を得る。
【0013】
ここで、lcmは、最小公倍数を表し、piは、Iの素数である。
【0014】
本発明の一実施形態による決定論的関数が有理分数の形で表されるとすれば、それらの適用は、それが適用されるメッセージまたはデータが何であっても、常に同じ時間を必要とする。
【0015】
実際、集合Aにおいては、3乗および1/3乗するための関数は、全単射である。したがって、それらの関数は有理分数の形で書かれ、したがって、決定論的関数fは、有理分数の形で書かれることが可能である。集合Aにおいては、1/3乗の計算は、(2φ(a)+1)/3乗の計算と同じである。後者は、φ(A)mod3=1なので、整数である。以下の等式がAにおいて満たされる。
【0016】
【数1】
この等式から、以下の等式が推定される。
【0017】
【数2】
【0018】
したがって、
【0019】
【数3】
と書くことが可能である。
【0020】
次に、楕円曲線の点Pを得ることを可能にする関数fは、この1/3乗することを有する。
【0021】
したがって、Aの要素が何であっても、1/3乗するための関数が一定の時間で計算されるということによって、確率を扱う必要なしに楕円曲線の点を得ることが可能である。したがって、暗号化計算のための実行時間が、従来技術において行われるような確率的なやり方でのそのような計算の実行の場合のあるようなメッセージに依存することは、この計算ではない。
【0022】
さらに、Aが有限体Fqに対応する状況において、決定論的関数fは、楕円曲線の少なくともq/4個の点Pを提供することができる。qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環にAが対応する状況では、決定論的関数fは、楕円曲線の少なくともq/4I個の点Pを提供することができる。
【0023】
楕円曲線上の、決定論的なやり方でこのようにして得られたそのような点の個数は、潜在的な攻撃に対する高いレベルのセキュリティを有する多くの暗号化アプリケーションを可能にする。
【0024】
一実施形態では、使用される楕円曲線は、ワイエルシュトラス型の曲線であるか、そうでなければ特性pの曲線と呼ばれる。ここでは、qは2nとは異なると考えられる。
【0025】
等式(1)は、
Y2=X3+aX+b
と書かれてよく、a=a2、およびb=a6である。
【0026】
決定論的関数は、以下のそれぞれの等式によって楕円曲線の点の座標を提供する。
【0027】
【数4】
ここで、uは、ステップ/a/において決められたパラメータであり、v=(3a−u4)/(6u)である。
【0028】
他の実施形態では、本発明は、特性2の楕円曲線に適用される。
【0029】
この場合、qは、等式
q=2n
を満たし、
ここで、nは、奇数の整数であり、
等式(1)は、
Y2+XY=X3+aX2+b
と書かれてよく、a=a2、およびb=a6であり、
決定論的関数は、以下のそれぞれの等式による楕円曲線の点の座標を提供し、
【0030】
【数5】
ここで、uは、ステップ/a/において決められたパラメータであり、ここで、w=a+u2+uである。
【0031】
有利な特定の場合には、nは、素数の奇数の整数である。実際、そのようなnは、いくつかの攻撃を制限することを可能にする。
【0032】
この状況では、決定論的関数は、楕円曲線の少なくとも2n−2個の点Pを有利に提供することができる。
【0033】
bが1に等しく、aがF2に属する特性2の楕円曲線の特定の場合に、この関数をコブリッツ型の楕円曲線に適用することは、有利に可能である。実際、コブリッツ楕円曲線を使用することにより、暗号化計算をより速く実行することが可能である。
【0034】
この決定論的関数をハッシュ関数の結果に適用するための規定が行われてよい。したがって、ステップ/a/において、パラメータuは、ハッシュ関数hを適用することにより得られることが可能である。
【0035】
一実施形態では、ハッシュ関数は一方向関数である。この特性は保存され、決定論的関数とハッシュ関数を組み合わせることから生じる関数は、この一方向であるという特性を示す。
【0036】
ここで、次いで、ハッシュ関数のような一方向である楕円曲線に関する関数が最終的に得られる。この関数は、さらに衝突耐性がある。
【0037】
この決定論的関数が、楕円曲線に適用されるランダム関数から微分可能でないという特性(または「微分不可能」であるという特性)を示すようなやり方で、この決定論的関数を適用するための規定が行われてもよい。この特性は、特に、ハッシュ関数がランダムであると推定されるモデルにおいて安全であると分かっている暗号化方式においてこの関数が適用されたときに、利点を示す。実際、決定論的関数はランダム関数から微分可能でないという特性を示すので、この同じタイプの暗号化方式においてこの関数を適用することによって安全な暗号化方式が得られる。
【0038】
ステップ/a/において、パラメータuは、第1のハッシュ関数hおよび第2のハッシュ関数h’を適用することにより得られることが可能である。楕円曲線の点の群の生成元は、Gとして示される。暗号化計算は、以下の関数の適用を有することができる。
【0039】
【数6】
ここで、fは決定論的関数であり、ここで、Gは楕円曲線の点の群の生成元である。
【0040】
この楕円曲線の点の群は、本発明の一実施形態による暗号化計算によって使用される点に対応することができる。
【0041】
本発明の第2の態様は、本発明の第1の態様による暗号化計算を実行する方法を実施する少なくとも1つのパスワードによる認証の方法であって、ステップ/a/においてパラメータがパスワードの関数として決められ、前記パスワードがパラメータに含まれ、認証ステップが点Pに基づいて実行される、方法を提案する。
【0042】
本発明の第3の態様は、データを暗号化する方法であって、前記暗号化は結合演算を許容する楕円曲線に関するボネ−フランクリン識別に基づき、前記識別は、エンティティを識別する数値であり、
前記方法が、
/a/ 請求項6に記載の暗号化計算を実行する方法を前記識別に適用することにより点を得るステップと、
/b/ 前記点、ランダムパラメータおよびデータを組み合わせることにより、暗号化されたデータを得るステップと
を有する、方法を提供する。
【0043】
ここで、用語「組み合わせる」は、結合演算、ハッシュ演算、「排他的論理和」演算およびスカラ乗法の組合せを適用するということを意味するものとする。
【0044】
本発明の第4の態様は、以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ 楕円曲線上の座標XおよびYを有する点Pを決めるステップと、
/b/ 点Pに関数を適用することによりパラメータを得るステップであって、
Aのオイラー関数φが、等式
φ(A)mod3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された決定論的関数の逆関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記パラメータを使用するステップと
を含む方法を提案する。
【0045】
ここで、本発明の第1の態様において述べられたような決定論的関数は、可逆的関数であることに留意されたい。したがって、この決定論的関数は、逆方向に有利に使用されることが可能であり、その逆関数が本発明のこの第1の態様において利用される。実際、第1の態様において述べられた関数の逆関数を介して楕円曲線の点に対応するパラメータを得るために楕円曲線の点から開始することは、暗号化分野において、特にデータ圧縮アプリケーションでは、有用であり得る。
【0046】
したがって、本発明の第5の態様は、データ圧縮の方法であって、それぞれ、以下の等式を満たす楕円曲線の点Pの座標に対応するデータXとYの対に対応してデータが圧縮され、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
本発明の第4の態様による暗号化計算を実行する方法のステップ/a/から/c/がデータの前記対のそれぞれに適用され、
データの前記対がそれぞれステップ/c/において得られたパラメータによって表される、
データ圧縮の方法を提案する。
【0047】
本発明の第6の態様は、本発明の第1の態様による暗号化計算を実行する方法の実施に適応された手段を有する電子デバイスを提案する。
【0048】
本発明の第7の態様は、本発明の第4の態様による暗号化計算を実行する方法の実施に適応された手段を有する電子デバイスを提案する。
【0049】
本発明の第8の態様は、本発明の第6または第7の態様による電子デバイスを有するチップカードを提案する。
【0050】
本発明の他の態様、目的、利点は、本発明の諸実施形態の1つの説明を読むと明らかになるであろう。
【0051】
本発明はまた、本発明の一実施形態による暗号化計算の主なステップを図示する図1の助けを借りればよりよく理解されるであろう。
【図面の簡単な説明】
【0052】
【図1】本発明の一実施形態による暗号化計算の主なステップを示す図である。
【発明を実施するための形態】
【0053】
Aに関するいかなる楕円曲線も、以下の等式を満たす。
【0054】
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、Aの要素であり、
ここで、XおよびYは、集合Aの要素である。
【0055】
φがAに適用されるオイラー関数である以下の等式が満たされる場合は、
φ(A)=1mod3 (2)
3乗するための関数および1/3乗するための関数は、計算される値が何であっても、一定の時間で効率よく計算されることが可能である。この特性は、パラメータの関数として楕円曲線の点Pを決定論的に得ることを可能にし、計算時間は、この決定論的関数fが適用されるパラメータに関係がない。
【0056】
続いて、この関数fはまた、考察される楕円曲線の等式のタイプに応じて、fa,bまたはそうでなければfaとして示される。
【0057】
図1は、ステップ11において、パラメータu、考察される有限体Fqの要素の決定を図示する。次に、ステップ12において、最終的に、決定論的なやり方で楕円曲線の点Pを得るために、決定論的関数fがこのパラメータに適用される。すべてのこれらのステップは、等式(2)を満たす環Aにおいて実行される。
【0058】
以下のセクションは、楕円曲線の等式の特定の場合におけるこれらの特性の適用を提示する。本発明の一実施形態は、ワイエルシュトラス型の楕円曲線、すなわちp>3である特性pを有する楕円曲線、および特性2を有する楕円曲線に適用されることが可能である。
【0059】
以下のセクションでは、考察される楕円曲線は、体Fqに関するワイエルシュトラス型のものである。
【0060】
この状況では、考察される有限ガロア体の基数qは、pnに等しく、ここで、pは、値2および3とは異なる素数である。等式(1)は、ワイエルシュトラスの等式、
Y2=X3+aX+b (3)
によって書かれることが可能であり、
ここで、aおよびbは、Ea,bとして示される楕円曲線のパラメータである。
【0061】
qが等式(2)を満たす要素の数qを有する有限体A=Fqにおいては、3乗するための関数fおよび1/3乗するための関数は、それらが計算される値が何であっても、一定の時間で効率よく計算されることが可能である全単射である。
【0062】
これらの条件の下で、楕円曲線の点Pの座標XおよびYは、以下のそれぞれの等式を満たす。
【0063】
【数7】
ここで、
v=(3a−u4)/(6u) (6)
であり、
ここで、uは、本発明の一実施形態によるパラメータであり、uは、有限体Fq*に属する。
【0064】
有限体Fqにおいて、((2φ(A)+1)/3)乗することは、1/3乗することに対応することが留意される。
【0065】
したがって、暗号化計算の実行のために使用される楕円曲線が、ワイエルシュトラス型のものである場合、パラメータuに関して一定の計算時間で決定論的なやり方で、等式(4)および(5)によって、パラメータuの関数として楕円曲線の点Pを得ることが有利に可能である。
【0066】
実際、等式(4)および(5)を満たす座標を有する点Pは、等式(5)による直線の考察される楕円曲線(3)との交点が以下の等式のシステムを満たすので、等式(3)による楕円曲線の一意の点に対応する。
【0067】
Y2=X3+aX+b (7)
および
Y=uX+v (5)
【0068】
この等式のシステムは、以下のように書かれることが可能である。
【0069】
【数8】
【0070】
前者の等式は、以下のようにさらに簡約されることが可能である。
【0071】
【数9】
したがって、この等式のシステムは、最終的に、
【0072】
【数10】
と書かれることが可能である。
等式(10)は等式(4)に対応し、そのことから、Pは考察される楕円曲線の点であることが推定される。
【0073】
したがって、その座標XおよびYが等式(4)および(5)を満たす点Pは、等式(3)による楕円曲線の点である。
【0074】
以下で、我々は、
− fa,bによって、Fq*の要素を楕円曲線(3)の点にマップする関数を示し、
0は、fa,bの入力であってはならず、そうでなければ0による割り算が生じることになる。それでもなお、楕円曲線の点の群の中間要素はfa,bによって得られることが不可能なので、我々は、fa,bの下で、0を、点群の中間要素に対応すると定義する。
【0075】
関数fa,bは、3乗する、またはそうでなければ1/3乗するための関数が、考察される有限ガロア体における全単射関数である場合は、決定論的関数である。これらの条件の下でそのような関数fa,bを適用するコストは、この有限体Fqにおいて累乗することにほぼ対応することに留意されたい。
【0076】
本発明の一実施形態において実行された計算によって符号化されたメッセージを復号するために、楕円曲線の所与の点Pを得ることを可能にした1つまたは複数のパラメータ値uを決めるための規定が行われる。
【0077】
この目的のために、以下のセクションは、関数fa,bとの逆関数をどのように計算するかを示す。
【0078】
u1およびu2はFq*の2つの要素であって、それぞれが以下の等式の解であるとする。
【0079】
u4−6u2x+6uy−3a=0 (11)
ここで、a、xおよびyは、Fqの要素である。
【0080】
bは以下の等式を満たすとする。
【0081】
b=y2−x3−ax
【0082】
これらの条件の下で、次いで、以下の等式が満たされる。
【0083】
【数11】
実際、最初に、座標(x1,y1)を有する点P1、座標(x2,y2)を有する点P2、および座標(x,y)を有する点Pの3つはすべて、楕円曲線Ea,bの点である。
【0084】
さらに、等式(11)によって、点PおよびP1は、以下の等式による直線上に置かれる。
【0085】
【数12】
次に、上記で示されたように、qは等式(2)を満たすので、上記の楕円曲線(3)および直線(13)は、単一の点において互いに交差する。したがって、点PおよびP1は単一の一意の点に対応する。
【0086】
同じ推論を点PおよびP2に適用することにより、そのことからPおよびP2も単一の一意の点に対応することが同様に推定される。したがって、P、P1およびP2は、楕円曲線の同じ点に対応する。
【0087】
したがって、パラメータuが等式(11)の解である場合かつその場合にのみ、
fa,b(u)=(x,y)
のようなパラメータuが存在する。
【0088】
したがって、等式(11)を解くことは、パラメータuを決めることを可能にし、このパラメータuの関数として楕円曲線の点Pが以下の等式によって得られる。
【0089】
fa,b(u)=P
【0090】
等式(11)は、バールカンプのアルゴリズム[Shoup、Journal of Symbolic Computation Vol 20:363−397頁、1995年]などの標準的なアルゴリズムによって解かれることが可能である。したがって、この等式(11)によって、楕円曲線の点Pに対応するパラメータuを取り出すために、関数fa,bを容易に逆にすることが可能である。
【0091】
この特性はまた、fa,bによって得られた点の数を制限する。関数Im(fa,b)は、関数fa,bの画像点の集合であるとする。画像集合Im(fa,b)は、qがFqの基数なので、qより小さい基数を有する。さらに、等式(11)は、画像点ごとに4つの前項の最大値があることを示すことを可能にする。実際、Fqの基数は、多くてもIm(fa,b)の4倍に等しい。したがって、以下の不等式が得られる。
【0092】
q/4≦#Im(fa,b)≦q
【0093】
Im(fa,b)の基数にヒューリスティックな結果を与えることも可能である。等式(11)は、有限体Fqにおける4次の等式である。有限体Fqにおいては、4次のいかなる任意の多項式も累乗根を有しない2/5の確率がある。したがって、楕円曲線の点の3/5が画像点Im(fa,b)の集合内にあり、したがって、それらは本発明の一実施形態による暗号化計算において使用されることが可能であると考えることが可能である。
【0094】
本発明の一実施形態では、qがIの素数pi,...,pIの積である環Z/qZに関する楕円曲線を使用することが可能である。中国の剰余定理、合同の解決システムを取り扱う合同算術の結果は、Z/qZはZ/p1Zx...xZ/pIZと同型であると断言する。したがって、これは、Z/piZのそれぞれに関する楕円曲線を調べることに相当する。次に、各piは素数なので、Z/piZは、実際、Fpiとして示されることが可能である体である。さらに、各piは厳密には3より大きいので、Fpiに関する楕円曲線の等式は、ワイエルシュトラス型のものである。
【0095】
したがって、等式(4)および(5)は、Fpiごとに示されるが、Fp1x...xFpI=Z/qZにも当てはまる。
【0096】
さらに、Fpiごとに、
pi/4≦#Im(fa,b)≦pi
を得る。
【0097】
したがって、これは、Z/qZに関して、
【0098】
【数13】
を得ることを証明することを可能にする。
【0099】
本発明の一実施形態では、以下の等式を満たす特性2の楕円曲線を使用することも可能であり、
Y2+XY=X3+aX2+b (15)
ここで、aおよびbは、有限ガロア体A=F2nの要素である。
【0100】
数nは、可能な攻撃を制限するために奇数の素数でよい。
【0101】
ここで、
2nmod3=2
を得る。
【0102】
3乗するための関数、および1/3乗するための関数は、ここでも、この有限ガロア体上でそれが適用される値が何であっても、一定の時間で計算可能な全単射である。
【0103】
我々は、以下の等式を満たすF2nの要素であるパラメータを、uおよびwによって示す。
【0104】
w=a+u2+u
それぞれ以下の等式を満たす座標XおよびYを有する点Pは、楕円曲線(15)上にある。
【0105】
【数14】
【0106】
したがって、暗号化計算の実行のために使用される楕円曲線が特性2のものである場合は、決定論的なやり方で、等式(16)および(16’)によって、パラメータuの関数として楕円曲線の点Pを得ることが有利に可能である。
【0107】
実際、等式(16)および(16’)を満たす座標を有する点Pは、等式(16’)による直線の考察される楕円曲線(15)との交点が以下の等式のシステムを満たすので、等式(15)による楕円曲線の一意の点に対応する。
【0108】
Y2+XY=X3+aX2+b (15)
および
Y=uX+w2(16’)
【0109】
この等式システムは、以下のように書かれることが可能である。
【0110】
X3+(a+u+u2)X2+w2X+b+w4=0 (17)
および
Y=uX+w2 (16’)
【0111】
後者の等式は、以下のようにさらに簡約されることが可能である。
【0112】
X3+wX2+w2X+b+w4=0 (18)
および
Y=uX+w2 (16’)
したがって、この等式のシステムは、最終的に、
(X+w)3+b+w3+w4=0 (19)
および
Y=uX+w2 (16’)
と書かれることが可能である。
【0113】
等式(19)は、等式(16)に対応し、そのことから、Pは考察される楕円曲線の点であることが推定される。
【0114】
したがって、その座標XおよびYが等式(16)および(16’)を満たす点Pは、等式(15)による楕円曲線の点である。
【0115】
ワイエルシュトラス型の楕円曲線の場合のように、ここでも、faの画像Im(fa)に含まれる点の数を制限することが可能である。この集合Im(fa)は、これは開始集合F2nの要素の数なので、多くても2nの要素を有する。
【0116】
等式(16’)は、
0=Y+a+uX+u2+u4 (17)
と書かれることが可能である。
【0117】
上記等式を解くuの値に関して、
fa(u)=(x,y)
を得る。
【0118】
等式(17)は4次のものである。したがって、パラメータuの少なくとも4つのそれぞれ異なる値が、この等式を解く。したがって、faの少なくとも2n/4=2n−2の画像点がある。したがって、画像点Im(fa)の集合には、少なくとも2n―1の要素がある。
【0119】
本発明の特性によって、決定論的関数fが利用可能にされ、考察される楕円曲線の型に応じてfa,bまたはfaとして示され、その画像集合は楕円曲線上の点の集合であり、これらの点の数は、ワイエルシュトラス型の楕円曲線の場合は最小でも数q(考察される有限体の基数)の1/4に等しいか、または特性2の楕円曲線の場合は最小でも2n−2に等しいので、高い。この決定論的関数fは、それが適用される考察される有限ガロア体における3乗(および1/3乗)の関数の全単射特性に基づく。
【0120】
以下では、本発明の一実施形態によるこのような決定論的関数は、楕円曲線に関するハッシュ関数の実行のために使用される。
【0121】
本発明の一実施形態による関数fa,bをハッシュ関数hから生じるビットの列に適用することにより、以下のような関数が得られる。
【0122】
fa,b(h) (18)
【0123】
楕円曲線に関するこの関数(18)は、以下の特性を有利に示す。
【0124】
− ハッシュ関数hが一方向である場合は、一方向であり、
− 衝突耐性がある。
【0125】
そのような関数は、多数の暗号化計算に適用される。
【0126】
本発明の一実施形態では、楕円曲線に適用されたランダム関数から微分可能でない楕円曲線に関するハッシュ関数を得るために、本発明の一実施形態による関数fa,bを2つのハッシュ関数と組み合わせるための規定が行われることが可能である。
【0127】
2つのランダムハッシュ関数hおよびh’を考察する。ハッシュ関数hは、Aへの集合{0,1}*に適用される。関数h’は、有限体FNへの集合{0,1}*に適用され、ここで、Nは使用される曲線の点の群の位数である。
【0128】
これらの条件の下で、以下の関数は、楕円曲線に関するランダム関数から微分可能でない楕円曲線に関するハッシュ関数である。
【0129】
【数15】
本発明の一実施形態による関数fa,bは、楕円曲線上の点を決めるために使用される。G、使用される点の群の生成点、すなわち、本発明の実施形態の状況におけるfa,bの画像点は、決められた点の一様分布を保証するために使用される。
【0130】
本発明は、楕円曲線を使用するいかなるタイプの暗号化計算においても有利に実施されることが可能である。本発明は、PACE(「パスワード認証接続確立」を表す)などのパスワードベースの認証プロトコルの中で特に有利であり得る。この場合、本発明は、関数(18)の使用によって演算の改善を可能にし、一方、暗号化計算の実行時間に関するいかなる攻撃をも可能にしない。
【0131】
本発明はまた、電子パスポートなどの電子識別文書をチェックするために使用されるものなど、プライバシに関するプロトコルの関連で有利に適用されることが可能である。
【0132】
実際、そのようなプロトコルに従うことにより、http://www.larc.usp.br/~pbarreto/talesl.htmlにおいて入手可能な文書「Why public elliptic curve parameters are public」に記載されているように、使用される楕円曲線のパラメータを決めることが可能である。
【0133】
次に、これらのパラメータは、これらの電子文書を有する人の国籍を決めることを可能にする。
【0134】
ランダム関数で微分不可能なやり方で適用可能であり得る関数(19)を使用することにより、楕円曲線の公開パラメータに関係のない点の表示を得ることが可能である。
【0135】
識別ベースの暗号化方式の関連においても、本発明は有利に適用されることが可能である。ボネ−フランクリン暗号化方式(Dan Boneh and Matthew K.Franklin,Proceedings of the Crypto 2001 conference)は、そのような構成を使用する例である。実際、安全な条件の下で使用されることが可能であるために、この方式は、ランダム関数がそれに関して存在する楕円曲線を必要とする。本発明は、通常のランダム関数に基づいて楕円曲線に関するランダム関数を返す構成を提供する。それにもかかわらず、ボネ−フランクリンによる暗号化に適した楕円曲線は、特定の関数、すなわち点結合関数を必要とする。結合関数は、2つの点を入力とみなし、有限体に関する値を返す関数
【0136】
【数16】
である。この結合は、注目すべき数学的特性を有するので興味深い。以下の等式が満たされる。
【0137】
【数17】
ここで、gはマップされた有限体の生成元であり、
ここで、cおよびdは、Gを底とするcGおよびdGの離散対数であり、
ここで、Gは、使用される点の群の生成元である。
【0138】
ボネ−フランクリン方式の著者たちは、彼らの方式のために単一のタイプの楕円曲線しか提案していない。本発明は、彼らの暗号化方式が実施されることが可能な楕円曲線の数を増やすことを可能にする。実際、本発明の規定によって、結合を効率よく計算でき等式(2)が満たされるすべての曲線上で、この暗号化方式が実施されることが可能である。
【0139】
本発明の一実施形態では、点の座標の圧縮を行うことが有利に可能である。実際、本発明の規定は、パラメータuによって点Pの座標XおよびYを表すことを可能にする。したがって、その場合uは半分の情報で点P(X,Y)を表すので、圧縮を行うためにパラメータuを使用することが可能である。
【技術分野】
【0001】
本発明は、楕円曲線の点の使用に基づくメッセージの暗号化に関し、より具体的には、決定論的なやり方でのそのような暗号化に関する。
【背景技術】
【0002】
メッセージに暗号化計算を適用するためには、通常、数学的構造の中に任意の値を挿入するためのアルゴリズムが実行される。この目的のために、楕円曲線は、そのような暗号化計算を容易にし、他の暗号化計算の実行に関してメモリ空間を節減することを可能にする数学的構造である。
【0003】
しかし、楕円曲線を使用した、任意の値を挿入するための効率のよいアルゴリズムは、確率的である。したがって、そのようなアルゴリズムの実行時間は、一定でなく、符号化されるべきメッセージに依存する。したがって、攻撃者は、適用されたアルゴリズムの様々な実行時間を決めれば、符号化されたメッセージについての情報を得ることができる。
【0004】
確率的挿入アルゴリズムによって使用された時間を隠すために、どのようなメッセージが処理されても、その適用が常に同一の長さの時間帯に及ぶように、このアルゴリズムに無用なステップを付加するための規定が行われてよい。
【0005】
しかし、そのような処理は扱いにくく、多くの時間を消費する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、この状況を改善することである。
【課題を解決するための手段】
【0007】
本発明の第1の態様は、以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ パラメータ(11)を決めるステップと、
/b/ 前記パラメータに関数(12)を適用することにより、点P(13)の座標XおよびYを得るステップであって、
Aのオイラー関数φが、等式
φ(A) mod 3=1
を満たし、
上記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された可逆的決定論的関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記点Pを使用するステップと
を有する方法を提案する。
【0008】
「少なくとも所与の個数の点を得る」という表現は、考察される関数が出力において少なくともこの所与の個数の異なる点を提供するように適応されるということを意味するものとする。
【0009】
これらの規定によって、電子構成部品において、潜在的攻撃者に情報を提供することなく、高いレベルの実行効率を維持しながら、楕円曲線の点に基づく暗号化計算を実行することが可能である。実際、上記関数は、有理分数である楕円曲線上の点を得ることを可能にし、したがって、確率的関数ではく、決定論的関数であり、それを計算するのにかかる時間は、入力パラメータが何であっても、一定である。これらの条件の下で、楕円曲線上の点を得ることは効率がよく、計算時間は、従来技術とは対照的に、もはや符号化されるべきメッセージに依存しない。
【0010】
環Aは、RSA(「Rivest Shamir Adleman」を表す)環でよい。この場合、この環は、Z/qZと書かれることが可能であり、qは2つの素数の積に等しく、それらのための積φ(A)は計算するのが難しい。
【0011】
環Aに関するオイラー関数φは、この環Aにおける可逆的要素の数を提供する関数であることが留意される。Aが有限体Fqである場合は、
φ(A)=q−1
を得る。
【0012】
qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環を考察することにより、
φ(A)=lcm(p1−1,p2−1,...,pI−1)
を得る。
【0013】
ここで、lcmは、最小公倍数を表し、piは、Iの素数である。
【0014】
本発明の一実施形態による決定論的関数が有理分数の形で表されるとすれば、それらの適用は、それが適用されるメッセージまたはデータが何であっても、常に同じ時間を必要とする。
【0015】
実際、集合Aにおいては、3乗および1/3乗するための関数は、全単射である。したがって、それらの関数は有理分数の形で書かれ、したがって、決定論的関数fは、有理分数の形で書かれることが可能である。集合Aにおいては、1/3乗の計算は、(2φ(a)+1)/3乗の計算と同じである。後者は、φ(A)mod3=1なので、整数である。以下の等式がAにおいて満たされる。
【0016】
【数1】
この等式から、以下の等式が推定される。
【0017】
【数2】
【0018】
したがって、
【0019】
【数3】
と書くことが可能である。
【0020】
次に、楕円曲線の点Pを得ることを可能にする関数fは、この1/3乗することを有する。
【0021】
したがって、Aの要素が何であっても、1/3乗するための関数が一定の時間で計算されるということによって、確率を扱う必要なしに楕円曲線の点を得ることが可能である。したがって、暗号化計算のための実行時間が、従来技術において行われるような確率的なやり方でのそのような計算の実行の場合のあるようなメッセージに依存することは、この計算ではない。
【0022】
さらに、Aが有限体Fqに対応する状況において、決定論的関数fは、楕円曲線の少なくともq/4個の点Pを提供することができる。qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環にAが対応する状況では、決定論的関数fは、楕円曲線の少なくともq/4I個の点Pを提供することができる。
【0023】
楕円曲線上の、決定論的なやり方でこのようにして得られたそのような点の個数は、潜在的な攻撃に対する高いレベルのセキュリティを有する多くの暗号化アプリケーションを可能にする。
【0024】
一実施形態では、使用される楕円曲線は、ワイエルシュトラス型の曲線であるか、そうでなければ特性pの曲線と呼ばれる。ここでは、qは2nとは異なると考えられる。
【0025】
等式(1)は、
Y2=X3+aX+b
と書かれてよく、a=a2、およびb=a6である。
【0026】
決定論的関数は、以下のそれぞれの等式によって楕円曲線の点の座標を提供する。
【0027】
【数4】
ここで、uは、ステップ/a/において決められたパラメータであり、v=(3a−u4)/(6u)である。
【0028】
他の実施形態では、本発明は、特性2の楕円曲線に適用される。
【0029】
この場合、qは、等式
q=2n
を満たし、
ここで、nは、奇数の整数であり、
等式(1)は、
Y2+XY=X3+aX2+b
と書かれてよく、a=a2、およびb=a6であり、
決定論的関数は、以下のそれぞれの等式による楕円曲線の点の座標を提供し、
【0030】
【数5】
ここで、uは、ステップ/a/において決められたパラメータであり、ここで、w=a+u2+uである。
【0031】
有利な特定の場合には、nは、素数の奇数の整数である。実際、そのようなnは、いくつかの攻撃を制限することを可能にする。
【0032】
この状況では、決定論的関数は、楕円曲線の少なくとも2n−2個の点Pを有利に提供することができる。
【0033】
bが1に等しく、aがF2に属する特性2の楕円曲線の特定の場合に、この関数をコブリッツ型の楕円曲線に適用することは、有利に可能である。実際、コブリッツ楕円曲線を使用することにより、暗号化計算をより速く実行することが可能である。
【0034】
この決定論的関数をハッシュ関数の結果に適用するための規定が行われてよい。したがって、ステップ/a/において、パラメータuは、ハッシュ関数hを適用することにより得られることが可能である。
【0035】
一実施形態では、ハッシュ関数は一方向関数である。この特性は保存され、決定論的関数とハッシュ関数を組み合わせることから生じる関数は、この一方向であるという特性を示す。
【0036】
ここで、次いで、ハッシュ関数のような一方向である楕円曲線に関する関数が最終的に得られる。この関数は、さらに衝突耐性がある。
【0037】
この決定論的関数が、楕円曲線に適用されるランダム関数から微分可能でないという特性(または「微分不可能」であるという特性)を示すようなやり方で、この決定論的関数を適用するための規定が行われてもよい。この特性は、特に、ハッシュ関数がランダムであると推定されるモデルにおいて安全であると分かっている暗号化方式においてこの関数が適用されたときに、利点を示す。実際、決定論的関数はランダム関数から微分可能でないという特性を示すので、この同じタイプの暗号化方式においてこの関数を適用することによって安全な暗号化方式が得られる。
【0038】
ステップ/a/において、パラメータuは、第1のハッシュ関数hおよび第2のハッシュ関数h’を適用することにより得られることが可能である。楕円曲線の点の群の生成元は、Gとして示される。暗号化計算は、以下の関数の適用を有することができる。
【0039】
【数6】
ここで、fは決定論的関数であり、ここで、Gは楕円曲線の点の群の生成元である。
【0040】
この楕円曲線の点の群は、本発明の一実施形態による暗号化計算によって使用される点に対応することができる。
【0041】
本発明の第2の態様は、本発明の第1の態様による暗号化計算を実行する方法を実施する少なくとも1つのパスワードによる認証の方法であって、ステップ/a/においてパラメータがパスワードの関数として決められ、前記パスワードがパラメータに含まれ、認証ステップが点Pに基づいて実行される、方法を提案する。
【0042】
本発明の第3の態様は、データを暗号化する方法であって、前記暗号化は結合演算を許容する楕円曲線に関するボネ−フランクリン識別に基づき、前記識別は、エンティティを識別する数値であり、
前記方法が、
/a/ 請求項6に記載の暗号化計算を実行する方法を前記識別に適用することにより点を得るステップと、
/b/ 前記点、ランダムパラメータおよびデータを組み合わせることにより、暗号化されたデータを得るステップと
を有する、方法を提供する。
【0043】
ここで、用語「組み合わせる」は、結合演算、ハッシュ演算、「排他的論理和」演算およびスカラ乗法の組合せを適用するということを意味するものとする。
【0044】
本発明の第4の態様は、以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ 楕円曲線上の座標XおよびYを有する点Pを決めるステップと、
/b/ 点Pに関数を適用することによりパラメータを得るステップであって、
Aのオイラー関数φが、等式
φ(A)mod3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された決定論的関数の逆関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記パラメータを使用するステップと
を含む方法を提案する。
【0045】
ここで、本発明の第1の態様において述べられたような決定論的関数は、可逆的関数であることに留意されたい。したがって、この決定論的関数は、逆方向に有利に使用されることが可能であり、その逆関数が本発明のこの第1の態様において利用される。実際、第1の態様において述べられた関数の逆関数を介して楕円曲線の点に対応するパラメータを得るために楕円曲線の点から開始することは、暗号化分野において、特にデータ圧縮アプリケーションでは、有用であり得る。
【0046】
したがって、本発明の第5の態様は、データ圧縮の方法であって、それぞれ、以下の等式を満たす楕円曲線の点Pの座標に対応するデータXとYの対に対応してデータが圧縮され、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいかまたは等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
本発明の第4の態様による暗号化計算を実行する方法のステップ/a/から/c/がデータの前記対のそれぞれに適用され、
データの前記対がそれぞれステップ/c/において得られたパラメータによって表される、
データ圧縮の方法を提案する。
【0047】
本発明の第6の態様は、本発明の第1の態様による暗号化計算を実行する方法の実施に適応された手段を有する電子デバイスを提案する。
【0048】
本発明の第7の態様は、本発明の第4の態様による暗号化計算を実行する方法の実施に適応された手段を有する電子デバイスを提案する。
【0049】
本発明の第8の態様は、本発明の第6または第7の態様による電子デバイスを有するチップカードを提案する。
【0050】
本発明の他の態様、目的、利点は、本発明の諸実施形態の1つの説明を読むと明らかになるであろう。
【0051】
本発明はまた、本発明の一実施形態による暗号化計算の主なステップを図示する図1の助けを借りればよりよく理解されるであろう。
【図面の簡単な説明】
【0052】
【図1】本発明の一実施形態による暗号化計算の主なステップを示す図である。
【発明を実施するための形態】
【0053】
Aに関するいかなる楕円曲線も、以下の等式を満たす。
【0054】
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、Aの要素であり、
ここで、XおよびYは、集合Aの要素である。
【0055】
φがAに適用されるオイラー関数である以下の等式が満たされる場合は、
φ(A)=1mod3 (2)
3乗するための関数および1/3乗するための関数は、計算される値が何であっても、一定の時間で効率よく計算されることが可能である。この特性は、パラメータの関数として楕円曲線の点Pを決定論的に得ることを可能にし、計算時間は、この決定論的関数fが適用されるパラメータに関係がない。
【0056】
続いて、この関数fはまた、考察される楕円曲線の等式のタイプに応じて、fa,bまたはそうでなければfaとして示される。
【0057】
図1は、ステップ11において、パラメータu、考察される有限体Fqの要素の決定を図示する。次に、ステップ12において、最終的に、決定論的なやり方で楕円曲線の点Pを得るために、決定論的関数fがこのパラメータに適用される。すべてのこれらのステップは、等式(2)を満たす環Aにおいて実行される。
【0058】
以下のセクションは、楕円曲線の等式の特定の場合におけるこれらの特性の適用を提示する。本発明の一実施形態は、ワイエルシュトラス型の楕円曲線、すなわちp>3である特性pを有する楕円曲線、および特性2を有する楕円曲線に適用されることが可能である。
【0059】
以下のセクションでは、考察される楕円曲線は、体Fqに関するワイエルシュトラス型のものである。
【0060】
この状況では、考察される有限ガロア体の基数qは、pnに等しく、ここで、pは、値2および3とは異なる素数である。等式(1)は、ワイエルシュトラスの等式、
Y2=X3+aX+b (3)
によって書かれることが可能であり、
ここで、aおよびbは、Ea,bとして示される楕円曲線のパラメータである。
【0061】
qが等式(2)を満たす要素の数qを有する有限体A=Fqにおいては、3乗するための関数fおよび1/3乗するための関数は、それらが計算される値が何であっても、一定の時間で効率よく計算されることが可能である全単射である。
【0062】
これらの条件の下で、楕円曲線の点Pの座標XおよびYは、以下のそれぞれの等式を満たす。
【0063】
【数7】
ここで、
v=(3a−u4)/(6u) (6)
であり、
ここで、uは、本発明の一実施形態によるパラメータであり、uは、有限体Fq*に属する。
【0064】
有限体Fqにおいて、((2φ(A)+1)/3)乗することは、1/3乗することに対応することが留意される。
【0065】
したがって、暗号化計算の実行のために使用される楕円曲線が、ワイエルシュトラス型のものである場合、パラメータuに関して一定の計算時間で決定論的なやり方で、等式(4)および(5)によって、パラメータuの関数として楕円曲線の点Pを得ることが有利に可能である。
【0066】
実際、等式(4)および(5)を満たす座標を有する点Pは、等式(5)による直線の考察される楕円曲線(3)との交点が以下の等式のシステムを満たすので、等式(3)による楕円曲線の一意の点に対応する。
【0067】
Y2=X3+aX+b (7)
および
Y=uX+v (5)
【0068】
この等式のシステムは、以下のように書かれることが可能である。
【0069】
【数8】
【0070】
前者の等式は、以下のようにさらに簡約されることが可能である。
【0071】
【数9】
したがって、この等式のシステムは、最終的に、
【0072】
【数10】
と書かれることが可能である。
等式(10)は等式(4)に対応し、そのことから、Pは考察される楕円曲線の点であることが推定される。
【0073】
したがって、その座標XおよびYが等式(4)および(5)を満たす点Pは、等式(3)による楕円曲線の点である。
【0074】
以下で、我々は、
− fa,bによって、Fq*の要素を楕円曲線(3)の点にマップする関数を示し、
0は、fa,bの入力であってはならず、そうでなければ0による割り算が生じることになる。それでもなお、楕円曲線の点の群の中間要素はfa,bによって得られることが不可能なので、我々は、fa,bの下で、0を、点群の中間要素に対応すると定義する。
【0075】
関数fa,bは、3乗する、またはそうでなければ1/3乗するための関数が、考察される有限ガロア体における全単射関数である場合は、決定論的関数である。これらの条件の下でそのような関数fa,bを適用するコストは、この有限体Fqにおいて累乗することにほぼ対応することに留意されたい。
【0076】
本発明の一実施形態において実行された計算によって符号化されたメッセージを復号するために、楕円曲線の所与の点Pを得ることを可能にした1つまたは複数のパラメータ値uを決めるための規定が行われる。
【0077】
この目的のために、以下のセクションは、関数fa,bとの逆関数をどのように計算するかを示す。
【0078】
u1およびu2はFq*の2つの要素であって、それぞれが以下の等式の解であるとする。
【0079】
u4−6u2x+6uy−3a=0 (11)
ここで、a、xおよびyは、Fqの要素である。
【0080】
bは以下の等式を満たすとする。
【0081】
b=y2−x3−ax
【0082】
これらの条件の下で、次いで、以下の等式が満たされる。
【0083】
【数11】
実際、最初に、座標(x1,y1)を有する点P1、座標(x2,y2)を有する点P2、および座標(x,y)を有する点Pの3つはすべて、楕円曲線Ea,bの点である。
【0084】
さらに、等式(11)によって、点PおよびP1は、以下の等式による直線上に置かれる。
【0085】
【数12】
次に、上記で示されたように、qは等式(2)を満たすので、上記の楕円曲線(3)および直線(13)は、単一の点において互いに交差する。したがって、点PおよびP1は単一の一意の点に対応する。
【0086】
同じ推論を点PおよびP2に適用することにより、そのことからPおよびP2も単一の一意の点に対応することが同様に推定される。したがって、P、P1およびP2は、楕円曲線の同じ点に対応する。
【0087】
したがって、パラメータuが等式(11)の解である場合かつその場合にのみ、
fa,b(u)=(x,y)
のようなパラメータuが存在する。
【0088】
したがって、等式(11)を解くことは、パラメータuを決めることを可能にし、このパラメータuの関数として楕円曲線の点Pが以下の等式によって得られる。
【0089】
fa,b(u)=P
【0090】
等式(11)は、バールカンプのアルゴリズム[Shoup、Journal of Symbolic Computation Vol 20:363−397頁、1995年]などの標準的なアルゴリズムによって解かれることが可能である。したがって、この等式(11)によって、楕円曲線の点Pに対応するパラメータuを取り出すために、関数fa,bを容易に逆にすることが可能である。
【0091】
この特性はまた、fa,bによって得られた点の数を制限する。関数Im(fa,b)は、関数fa,bの画像点の集合であるとする。画像集合Im(fa,b)は、qがFqの基数なので、qより小さい基数を有する。さらに、等式(11)は、画像点ごとに4つの前項の最大値があることを示すことを可能にする。実際、Fqの基数は、多くてもIm(fa,b)の4倍に等しい。したがって、以下の不等式が得られる。
【0092】
q/4≦#Im(fa,b)≦q
【0093】
Im(fa,b)の基数にヒューリスティックな結果を与えることも可能である。等式(11)は、有限体Fqにおける4次の等式である。有限体Fqにおいては、4次のいかなる任意の多項式も累乗根を有しない2/5の確率がある。したがって、楕円曲線の点の3/5が画像点Im(fa,b)の集合内にあり、したがって、それらは本発明の一実施形態による暗号化計算において使用されることが可能であると考えることが可能である。
【0094】
本発明の一実施形態では、qがIの素数pi,...,pIの積である環Z/qZに関する楕円曲線を使用することが可能である。中国の剰余定理、合同の解決システムを取り扱う合同算術の結果は、Z/qZはZ/p1Zx...xZ/pIZと同型であると断言する。したがって、これは、Z/piZのそれぞれに関する楕円曲線を調べることに相当する。次に、各piは素数なので、Z/piZは、実際、Fpiとして示されることが可能である体である。さらに、各piは厳密には3より大きいので、Fpiに関する楕円曲線の等式は、ワイエルシュトラス型のものである。
【0095】
したがって、等式(4)および(5)は、Fpiごとに示されるが、Fp1x...xFpI=Z/qZにも当てはまる。
【0096】
さらに、Fpiごとに、
pi/4≦#Im(fa,b)≦pi
を得る。
【0097】
したがって、これは、Z/qZに関して、
【0098】
【数13】
を得ることを証明することを可能にする。
【0099】
本発明の一実施形態では、以下の等式を満たす特性2の楕円曲線を使用することも可能であり、
Y2+XY=X3+aX2+b (15)
ここで、aおよびbは、有限ガロア体A=F2nの要素である。
【0100】
数nは、可能な攻撃を制限するために奇数の素数でよい。
【0101】
ここで、
2nmod3=2
を得る。
【0102】
3乗するための関数、および1/3乗するための関数は、ここでも、この有限ガロア体上でそれが適用される値が何であっても、一定の時間で計算可能な全単射である。
【0103】
我々は、以下の等式を満たすF2nの要素であるパラメータを、uおよびwによって示す。
【0104】
w=a+u2+u
それぞれ以下の等式を満たす座標XおよびYを有する点Pは、楕円曲線(15)上にある。
【0105】
【数14】
【0106】
したがって、暗号化計算の実行のために使用される楕円曲線が特性2のものである場合は、決定論的なやり方で、等式(16)および(16’)によって、パラメータuの関数として楕円曲線の点Pを得ることが有利に可能である。
【0107】
実際、等式(16)および(16’)を満たす座標を有する点Pは、等式(16’)による直線の考察される楕円曲線(15)との交点が以下の等式のシステムを満たすので、等式(15)による楕円曲線の一意の点に対応する。
【0108】
Y2+XY=X3+aX2+b (15)
および
Y=uX+w2(16’)
【0109】
この等式システムは、以下のように書かれることが可能である。
【0110】
X3+(a+u+u2)X2+w2X+b+w4=0 (17)
および
Y=uX+w2 (16’)
【0111】
後者の等式は、以下のようにさらに簡約されることが可能である。
【0112】
X3+wX2+w2X+b+w4=0 (18)
および
Y=uX+w2 (16’)
したがって、この等式のシステムは、最終的に、
(X+w)3+b+w3+w4=0 (19)
および
Y=uX+w2 (16’)
と書かれることが可能である。
【0113】
等式(19)は、等式(16)に対応し、そのことから、Pは考察される楕円曲線の点であることが推定される。
【0114】
したがって、その座標XおよびYが等式(16)および(16’)を満たす点Pは、等式(15)による楕円曲線の点である。
【0115】
ワイエルシュトラス型の楕円曲線の場合のように、ここでも、faの画像Im(fa)に含まれる点の数を制限することが可能である。この集合Im(fa)は、これは開始集合F2nの要素の数なので、多くても2nの要素を有する。
【0116】
等式(16’)は、
0=Y+a+uX+u2+u4 (17)
と書かれることが可能である。
【0117】
上記等式を解くuの値に関して、
fa(u)=(x,y)
を得る。
【0118】
等式(17)は4次のものである。したがって、パラメータuの少なくとも4つのそれぞれ異なる値が、この等式を解く。したがって、faの少なくとも2n/4=2n−2の画像点がある。したがって、画像点Im(fa)の集合には、少なくとも2n―1の要素がある。
【0119】
本発明の特性によって、決定論的関数fが利用可能にされ、考察される楕円曲線の型に応じてfa,bまたはfaとして示され、その画像集合は楕円曲線上の点の集合であり、これらの点の数は、ワイエルシュトラス型の楕円曲線の場合は最小でも数q(考察される有限体の基数)の1/4に等しいか、または特性2の楕円曲線の場合は最小でも2n−2に等しいので、高い。この決定論的関数fは、それが適用される考察される有限ガロア体における3乗(および1/3乗)の関数の全単射特性に基づく。
【0120】
以下では、本発明の一実施形態によるこのような決定論的関数は、楕円曲線に関するハッシュ関数の実行のために使用される。
【0121】
本発明の一実施形態による関数fa,bをハッシュ関数hから生じるビットの列に適用することにより、以下のような関数が得られる。
【0122】
fa,b(h) (18)
【0123】
楕円曲線に関するこの関数(18)は、以下の特性を有利に示す。
【0124】
− ハッシュ関数hが一方向である場合は、一方向であり、
− 衝突耐性がある。
【0125】
そのような関数は、多数の暗号化計算に適用される。
【0126】
本発明の一実施形態では、楕円曲線に適用されたランダム関数から微分可能でない楕円曲線に関するハッシュ関数を得るために、本発明の一実施形態による関数fa,bを2つのハッシュ関数と組み合わせるための規定が行われることが可能である。
【0127】
2つのランダムハッシュ関数hおよびh’を考察する。ハッシュ関数hは、Aへの集合{0,1}*に適用される。関数h’は、有限体FNへの集合{0,1}*に適用され、ここで、Nは使用される曲線の点の群の位数である。
【0128】
これらの条件の下で、以下の関数は、楕円曲線に関するランダム関数から微分可能でない楕円曲線に関するハッシュ関数である。
【0129】
【数15】
本発明の一実施形態による関数fa,bは、楕円曲線上の点を決めるために使用される。G、使用される点の群の生成点、すなわち、本発明の実施形態の状況におけるfa,bの画像点は、決められた点の一様分布を保証するために使用される。
【0130】
本発明は、楕円曲線を使用するいかなるタイプの暗号化計算においても有利に実施されることが可能である。本発明は、PACE(「パスワード認証接続確立」を表す)などのパスワードベースの認証プロトコルの中で特に有利であり得る。この場合、本発明は、関数(18)の使用によって演算の改善を可能にし、一方、暗号化計算の実行時間に関するいかなる攻撃をも可能にしない。
【0131】
本発明はまた、電子パスポートなどの電子識別文書をチェックするために使用されるものなど、プライバシに関するプロトコルの関連で有利に適用されることが可能である。
【0132】
実際、そのようなプロトコルに従うことにより、http://www.larc.usp.br/~pbarreto/talesl.htmlにおいて入手可能な文書「Why public elliptic curve parameters are public」に記載されているように、使用される楕円曲線のパラメータを決めることが可能である。
【0133】
次に、これらのパラメータは、これらの電子文書を有する人の国籍を決めることを可能にする。
【0134】
ランダム関数で微分不可能なやり方で適用可能であり得る関数(19)を使用することにより、楕円曲線の公開パラメータに関係のない点の表示を得ることが可能である。
【0135】
識別ベースの暗号化方式の関連においても、本発明は有利に適用されることが可能である。ボネ−フランクリン暗号化方式(Dan Boneh and Matthew K.Franklin,Proceedings of the Crypto 2001 conference)は、そのような構成を使用する例である。実際、安全な条件の下で使用されることが可能であるために、この方式は、ランダム関数がそれに関して存在する楕円曲線を必要とする。本発明は、通常のランダム関数に基づいて楕円曲線に関するランダム関数を返す構成を提供する。それにもかかわらず、ボネ−フランクリンによる暗号化に適した楕円曲線は、特定の関数、すなわち点結合関数を必要とする。結合関数は、2つの点を入力とみなし、有限体に関する値を返す関数
【0136】
【数16】
である。この結合は、注目すべき数学的特性を有するので興味深い。以下の等式が満たされる。
【0137】
【数17】
ここで、gはマップされた有限体の生成元であり、
ここで、cおよびdは、Gを底とするcGおよびdGの離散対数であり、
ここで、Gは、使用される点の群の生成元である。
【0138】
ボネ−フランクリン方式の著者たちは、彼らの方式のために単一のタイプの楕円曲線しか提案していない。本発明は、彼らの暗号化方式が実施されることが可能な楕円曲線の数を増やすことを可能にする。実際、本発明の規定によって、結合を効率よく計算でき等式(2)が満たされるすべての曲線上で、この暗号化方式が実施されることが可能である。
【0139】
本発明の一実施形態では、点の座標の圧縮を行うことが有利に可能である。実際、本発明の規定は、パラメータuによって点Pの座標XおよびYを表すことを可能にする。したがって、その場合uは半分の情報で点P(X,Y)を表すので、圧縮を行うためにパラメータuを使用することが可能である。
【特許請求の範囲】
【請求項1】
以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ パラメータ(11)を決めるステップと、
/b/ 前記パラメータに関数(12)を適用することにより点P(13)の座標XおよびYを得るステップであって、
Aのオイラー関数φが、等式
φp(A) mod 3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表される可逆的決定論的関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記点Pを使用するステップと
を有する方法。
【請求項2】
AがF2nと異なり、関数(1)が、
Y2=X3+aX+b
と書かれ、
ここで、a=a2、およびb=a6であり、
前記決定論的関数が、以下のそれぞれの関数による楕円曲線の点の座標を提供し、
【数1】
ここで、uはステップ/a/において決められたパラメータであり、
ここで、
v=(3a−u4)/(6u) (6)
である、
請求項1に記載の計算を実行する方法。
【請求項3】
qが等式、
q=2n
を満たし、
ここで、nは奇数の整数であり、
式(1)が、
Y2+XY=X3+aX2+b
と書かれ、
ここで、a=a2、およびb=a6であり、
前記決定論的関数が以下のそれぞれの等式による楕円曲線の点の座標を提供し、
【数2】
ここで、uはステップ/a/において決められたパラメータであり、
ここで、w=a+u2+uである、
請求項1に記載の計算を実行する方法。
【請求項4】
ステップ/a/において、前記パラメータがハッシュ関数を適用することによって得られる、請求項1から3のいずれか一項に記載の計算を実行する方法。
【請求項5】
前記ハッシュ関数が一方向である、請求項4に記載の計算を実行する方法。
【請求項6】
ステップ/a/において、前記パラメータが第1のハッシュ関数hおよび第2の関数h’を適用することにより得られ、
前記暗号化計算が以下の関数の適用を備え、
f(h)+h’.G
ここで、fは、決定論的関数であり、
ここで、Gは、楕円曲線の点の群の生成元である、
請求項1から5のいずれか一項に記載の計算を実行する方法。
【請求項7】
請求項1から6のいずれか一項に記載の暗号化計算を実行する方法を実施する、少なくとも1つのパスワードによる認証の方法であって、ステップ/a/において、前記パラメータが前記パスワードの関数として決められ、前記パスワードが前記パラメータに含まれ、認証ステップが、前記点Pに基づいて実行される、認証の方法。
【請求項8】
データを暗号化する方法であって、前記暗号化が、結合演算を許容する楕円曲線に関するボネ−フランクリン識別に基づき、
前記識別が、エンティティを識別する数値であり、
前記方法が、
/a/ 請求項6に記載の暗号化計算を実行する方法を前記識別に適用することにより、点を得るステップと、
/b/ 前記点、ランダムパラメータおよびデータを組み合わせることにより、暗号化されたデータを得るステップと
を有する、データを暗号化する方法。
【請求項9】
以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ 楕円曲線上の座標XおよびYを有する点Pを決めるステップと、
/b/ 関数を点Pに適用することによりパラメータを得るステップであって、
Aのオイラー関数φが、等式
φ(A)mod3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された可逆的決定論的関数の逆関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記パラメータを使用するステップと
を有する、電子構成部品において暗号化計算を実行する方法。
【請求項10】
データ圧縮の方法であって、圧縮されるべきデータが、それぞれ以下の等式を満たす楕円曲線の点Pの座標に対応するデータXおよびYの対に対応し、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
請求項9に記載の暗号化計算を実行する方法のステップ/a/から/c/が、データの前記対のそれぞれに適用され、
データの前記対が、それぞれステップ/c/において得られたパラメータによって表される、
データ圧縮の方法。
【請求項11】
請求項1から6のいずれか一項に記載の暗号化計算を実行する方法の実施に適応された手段を有するデバイス。
【請求項12】
請求項9に記載の暗号化計算を実行する方法の実施に適応された手段を有する電子デバイス。
【請求項1】
以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ パラメータ(11)を決めるステップと、
/b/ 前記パラメータに関数(12)を適用することにより点P(13)の座標XおよびYを得るステップであって、
Aのオイラー関数φが、等式
φp(A) mod 3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表される可逆的決定論的関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記点Pを使用するステップと
を有する方法。
【請求項2】
AがF2nと異なり、関数(1)が、
Y2=X3+aX+b
と書かれ、
ここで、a=a2、およびb=a6であり、
前記決定論的関数が、以下のそれぞれの関数による楕円曲線の点の座標を提供し、
【数1】
ここで、uはステップ/a/において決められたパラメータであり、
ここで、
v=(3a−u4)/(6u) (6)
である、
請求項1に記載の計算を実行する方法。
【請求項3】
qが等式、
q=2n
を満たし、
ここで、nは奇数の整数であり、
式(1)が、
Y2+XY=X3+aX2+b
と書かれ、
ここで、a=a2、およびb=a6であり、
前記決定論的関数が以下のそれぞれの等式による楕円曲線の点の座標を提供し、
【数2】
ここで、uはステップ/a/において決められたパラメータであり、
ここで、w=a+u2+uである、
請求項1に記載の計算を実行する方法。
【請求項4】
ステップ/a/において、前記パラメータがハッシュ関数を適用することによって得られる、請求項1から3のいずれか一項に記載の計算を実行する方法。
【請求項5】
前記ハッシュ関数が一方向である、請求項4に記載の計算を実行する方法。
【請求項6】
ステップ/a/において、前記パラメータが第1のハッシュ関数hおよび第2の関数h’を適用することにより得られ、
前記暗号化計算が以下の関数の適用を備え、
f(h)+h’.G
ここで、fは、決定論的関数であり、
ここで、Gは、楕円曲線の点の群の生成元である、
請求項1から5のいずれか一項に記載の計算を実行する方法。
【請求項7】
請求項1から6のいずれか一項に記載の暗号化計算を実行する方法を実施する、少なくとも1つのパスワードによる認証の方法であって、ステップ/a/において、前記パラメータが前記パスワードの関数として決められ、前記パスワードが前記パラメータに含まれ、認証ステップが、前記点Pに基づいて実行される、認証の方法。
【請求項8】
データを暗号化する方法であって、前記暗号化が、結合演算を許容する楕円曲線に関するボネ−フランクリン識別に基づき、
前記識別が、エンティティを識別する数値であり、
前記方法が、
/a/ 請求項6に記載の暗号化計算を実行する方法を前記識別に適用することにより、点を得るステップと、
/b/ 前記点、ランダムパラメータおよびデータを組み合わせることにより、暗号化されたデータを得るステップと
を有する、データを暗号化する方法。
【請求項9】
以下の等式を満たす楕円曲線上の点Pを得るステップを有する、電子構成部品において暗号化計算を実行する方法であって、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である、有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
前記方法が、
/a/ 楕円曲線上の座標XおよびYを有する点Pを決めるステップと、
/b/ 関数を点Pに適用することによりパラメータを得るステップであって、
Aのオイラー関数φが、等式
φ(A)mod3=1
を満たし、
前記関数が、al、a2、a3、a4およびa6において、およびAの中の前記パラメータにおいて有理分数によって表された可逆的決定論的関数の逆関数であり、Iが有限体Fqに関する1に等しい、少なくともq/4I個の点Pを得るステップと、
/c/ 暗号法的暗号化またはハッシュまたは署名または認証または識別アプリケーションにおいて前記パラメータを使用するステップと
を有する、電子構成部品において暗号化計算を実行する方法。
【請求項10】
データ圧縮の方法であって、圧縮されるべきデータが、それぞれ以下の等式を満たす楕円曲線の点Pの座標に対応するデータXおよびYの対に対応し、
Y2+a1XY+a3Y=X3+a2X2+a4+X+a6 (1)
ここで、al、a2、a3、a4およびa6は、要素の集合Aの要素であり、
ここで、Aは、qが数Iの厳密には3より大きい異なる素数の正の整数積であり、Iが2より大きいか等しい整数である、モジュラ整数Z/qZの環であるか、あるいはAは、qが素数の整数の累乗である有限体Fqであり、
ここで、XおよびYは、点Pの座標であり、かつAの要素であり、
請求項9に記載の暗号化計算を実行する方法のステップ/a/から/c/が、データの前記対のそれぞれに適用され、
データの前記対が、それぞれステップ/c/において得られたパラメータによって表される、
データ圧縮の方法。
【請求項11】
請求項1から6のいずれか一項に記載の暗号化計算を実行する方法の実施に適応された手段を有するデバイス。
【請求項12】
請求項9に記載の暗号化計算を実行する方法の実施に適応された手段を有する電子デバイス。
【図1】
【公表番号】特表2012−515489(P2012−515489A)
【公表日】平成24年7月5日(2012.7.5)
【国際特許分類】
【出願番号】特願2011−545781(P2011−545781)
【出願日】平成22年1月8日(2010.1.8)
【国際出願番号】PCT/FR2010/050023
【国際公開番号】WO2010/081980
【国際公開日】平成22年7月22日(2010.7.22)
【出願人】(509069906)
【Fターム(参考)】
【公表日】平成24年7月5日(2012.7.5)
【国際特許分類】
【出願日】平成22年1月8日(2010.1.8)
【国際出願番号】PCT/FR2010/050023
【国際公開番号】WO2010/081980
【国際公開日】平成22年7月22日(2010.7.22)
【出願人】(509069906)
【Fターム(参考)】
[ Back to top ]