楕円曲線上のパラメータ化による暗号法
パスワード(π)に基づくコントローラ(11)による装置(10)の制御を利用する。そのために、装置又はコントローラのレベルで、式:Ea,b(x,y):x3+ax+b=y2(数1)の有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定する(21)。次に、P(X,Y)=F(K,k’)(数35)(式中、Fは、FqにおけるFq×Fqの全射関数である)であるような、第1及び第2パラメータk及びk’を求める(22)。次いで、パスワードに応じた暗号化による暗号化形式で第1及び第2パラメータを求める(23)。最後に、暗号化された第1及び第2パラメータをコントローラに伝送する(24)。制御中、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないように関数Fを使用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、楕円曲線の点の使用、特にはEKE(英語で「Encrypted Key Exchanged(暗号化鍵交換)」)タイプのアルゴリズムの分野におけるこの使用に基づくメッセージの暗号法に関する。
【背景技術】
【0002】
パスワードによる認証方法は、EKEタイプのアルゴリズムの使用に基づく。図1は、このタイプのアルゴリズムを示す。
【0003】
装置D10は、パスワードπに基づき、コントローラC11に認証されることを望む。その構成要素の各々は、パスワードπを知っている。その上、楕円曲線Ea,b及び楕円曲線の点の集合の生成元Gを、パブリックパラメータとして考慮する。楕円曲線は、次式:
【数1】
を満たす。
【0004】
ステップ12において、装置D10は、乱数r1を発生させる。次に装置は、コントローラ11にこの乱数を楕円曲線の点の形式で伝送する。そのために装置は:
【数2】
を満たす、伝送する値Vを決定する。
【0005】
この結果は、次にパスワードによりEπ(r1.G)(Eπは、パスワードによる暗号化関数である)の形式で暗号化される。
【0006】
次に装置は、値Eπ(r1.G)を示してコントローラ宛てにメッセージ13を発信する。
【0007】
メッセージ13の受信後に、今度はコントローラ11が、乱数値r2をステップ14で発生させる。次にコントローラは、この値を楕円曲線の点の形式で伝送し、結果:
【数3】
を示して、メッセージ15を装置10に伝送する。
【0008】
乱数値r1及びr2の暗号化形式でのこの交換に続き、装置10は、ステップ16で、パスワードDπによる復号関数を用いて、メッセージ15に含まれる情報:
【数4】
を復号して、コントローラによって発生した乱数値r2を回復し、
コントローラ11は、ステップ17で、メッセージ13に含まれる情報:
【数5】
を復号して、装置10によって発生した乱数値r1を回復する。
【0009】
このようにして、保護された交換に続き、各構成要素は、共通の鍵Kを計算できる:
【数6】
【0010】
このタイプのアルゴリズムは、パスワード又はパスワードから派生した鍵により、値を暗号化形式で交換することを目的とする。しかしながら、有限対Fqに対して(数1)を満たす楕円曲線の古典的な表示によれば、図1に関して記載される交換により、潜在的な攻撃者が、パスワードπに関連して情報を推論できるようになることに注意すべきである。実際、2つのメッセージ13及び15を介して、上記のように乱数値を暗号化形式で交換することは、パスワードの秘密の侵入を許し得る情報冗長性を提供する。更に正確には、盗聴の度に、攻撃者は、メッセージ13及び15において交換された情報を復号するためのパスワードをテストできる。次に、2つのケースが攻撃者に対して現れる。第1のケースにおいて、復号された情報は、曲線の点に対応し、従ってパスワードは、正しい。第2のケースにおいて、復号された情報は、楕円曲線の点に対応せず、パスワードは、発見されない。盗聴及び別個のパスワードを繰り返すと、攻撃者にとり、要素の有限集合に属するパスワードを見出すことがこのようにして可能になる。
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明は、状況を改善することを目的とする。
【課題を解決するための手段】
【0012】
本発明の第1の態様は、パスワードに基づく、コントローラによる装置の制御方法を提案し、前記方法は、装置又はコントローラのレベルで、次の:
/1/
【数1】
の有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定するステップと、
/2/
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めるステップと、
/3/ パスワードに応じた暗号化による暗号化形式で第1及び第2パラメータを求めるステップと、
/4/ 暗号化された前記第1及び第2パラメータをコントローラに伝送するステップとを含み、
関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている。
【0013】
この措置のために、先行技術に対して、以上に記載したような攻撃を回避することが可能である。実際、これらの条件において、入力で供給されたパラメータが、いかなるものであれ、関数Fが、出力で楕円曲線の点を常に提供し、入力パラメータが、楕円曲線の古典的な式を満たさないので、求めた結果が、楕円曲線Ea,bの点(X,Y)に対応するか決定して、パスワードをテストすることは、もはや可能でない。従って巧妙に、潜在的な攻撃者に、使用されるパスワードを推論できるようにし得るいかなる情報も提供しないように、この全射関数Fを使用して、楕円曲線の点を異なった方法で示すことが予想される。
【0014】
(数1)と異なるパラメータ化による楕円曲線の点P(X,Y)を示すことを可能にするかかる関数Fを決定するために、逆関数fa,b−1が、入力パラメータから、(数1)を満たさない2つのパラメータにより曲線の点を回復することを可能にする、逆関数fa,bによることも可能である。
【0015】
関数Fは:
【数8】
(式中、fa,bは、入力パラメータを取り、かつ楕円曲線の点を提供する、楕円曲線の係数a及びbに基づく逆関数であり、f’は、パラメータに応じて楕円曲線の点を発生させる関数である)
と書き表すことができ、ステップ/2/で、次の:
− パラメータk’の値をランダムに発生させるステップと、
− f’(k’)の値を計算するステップと、
− 次式:
【数9】
によりパラメータkの値を決定するステップとにより、パラメータk及びk’を求める。
【0016】
好適には、乱数値のパラメータk’に基づき、楕円曲線の点を発生させ得る関数f’と、可逆的な、楕円曲線の係数a及びbに基づく関数fa,bとを組み合わせると、記載した攻撃を回避しながら、曲線の点をパラメータ化できるようにする関数Fを求めることができる。
【0017】
特に関数f’は:
【数10】
(式中、Gは、楕円曲線の点の集合の生成元である)
と書き表すことができ、パラメータkの値は、次式:
【数11】
により決定される。
【0018】
これらの条件において、関数Fは、次の:
【数12】
ように書き表せる。
【0019】
あるいは、関数f’は:
【数13】
のように書き表せ、
パラメータkの値は、次式:
【数14】
により決定される。
【0020】
これらの条件において、関数Fは、次の:
【数15】
ように書き表せる。
【0021】
このように、一般的に本発明による曲線の点P(X,Y)をパラメータ化するために、第1ステップで、パラメータk’の値のための曲線の点を求めることが予想される。次に、表すべき点P(X,Y)及び第1ステップで求めた点の減算に対応する曲線の点を決定する。そこで、楕円曲線の別の点を求める。次いで、この点に対して、fa,bの逆関数を適用し、パラメータkの値を求める。点Pは、そこで(数1)を満たさないパラメータk及びk’の対の形式で示される。
【0022】
本発明の実施態様において、関数Fは、
【数16】
(式中、Lは、楕円曲線(数1)の点の数に対して比較的小さい値を有する整数である)
のような少なくとも1つの逆関数fa,bを含む。
【0023】
関数Fが、関数fa,bを含むこととは、関数Fを第1及び第2パラメータに適用することが、この関数fa,bを第1及び第2パラメータの少なくとも1つに適用することに対応することを意味する。このようにして一方で、第1パラメータに基づき曲線の点を発生させること、及び他方で第2パラメータを求めるために、fa,bの逆関数を適用することを予想できる。このように実行しながら、これら2つのパラメータにより楕円曲線の点を示すことができる。
【0024】
このようにして、関数Fを第1及び第2パラメータに適用することは、
【数17】
(式中、Lは、楕円曲線(数1)の点の数に対して比較的小さい値を有する整数である)
のような関数fa,bの2つのパラメータの少なくとも1つに適用することに対応し得る。
【0025】
換言すると、本明細書で考慮される関数fa,bは、楕円曲線の点の数に対して著しく小さい最大値によって抑えられる楕円曲線Ea,bの点Pの集合に対応する原像を有する。実際、これが当てはまらない場合、単純に、ある数をランダムに引き出して、関数fa,bを逆にすることが可能である。この状況において、例えばLが、曲線の点の数の1/280倍よりも小さいと考えることができる。
【0026】
条件(数17)を満たす逆関数を使用して、上記のように暗号化するために使用されるパスワードの攻撃を可能にしない、パラメータk及びk’を介して曲線上の点を示すことを可能にする関数Fを容易に求めることができる。
【0027】
本発明の実施態様において、関数fa,bは、xが次式:
【数18】
の唯一の解であり、:
【数19】
を満たすように、パラメータuに、パラメータ対(x,y)を対応させる。
【0028】
この(数18)は、(数1)中のyを項ux+Q(u,a,b)によって置換して求められる。項Q(u,a,b)は、変数u、a及びbの有理分数を指す。
【0029】
この(数18)が、唯一の根しか認めないことは、パラメータuがいかなるものであれ、次項の表された判別式Δ(u,a,b)が、2乗でないことを意味する:
【数20】
【0030】
q=2 mod 3に関して:
【数21】
(式中、Rは、有理分数である)と書き表せる。
【0031】
実際、p=2 mod 3に関して、−3は、2乗でなく、従って−3R(u,a,b)2は、決して2乗の項ではない。
【0032】
(数18)が、唯一の根しか認めないので、次項は、1次の多項式である:
【数22】
(式中、gcdは、最大公約数である)。
【0033】
XPと表されるこの多項式の根は、楕円曲線上の点の横座標である。最後に、横座標XP及び縦座標u.XP+Q(u,a,b)の点は、曲線上の点である。
【0034】
実施例において、次式:
【数23】
を満たす有理分数Q(u,a,b)を考慮できる。
【0035】
実施態様において、関数fa,bは、好適にはFq(qは、2 mod 3に等しい)において以下のように定義できる。関数fa,bは:
【数24】
かつ
【数25】
(式中、
【数26】
かつfa,b(0)=0)
であるように、パラメータuに、パラメータ対(x,y)を対応させる。
【0036】
かかる関数は、可逆である。実際、楕円曲線のP(X,Y)とすると、関数fa,bによる点の原像は、次式:
【数27】
の解である。
【0037】
しかるに、かかる多項式は、容易に逆にできる。
【0038】
更に、この関数fa,bの原像の点Pの集合は、楕円曲線の点の数の前では小さいLによって抑えられる。
【0039】
このようにして、この関数は、以上に定義した特性を満たす。
【0040】
関数Fの基礎を、スカルバ(Skalba)の式を満たす多項式から定義される関数fa,bの使用に置くことも予想できる。
【0041】
スカルバの等式を満たす多項式が、2007年6月11日に出版されたMaciej Ulasの文献「Rational points on certain hyperlliptic curves over finite fields」において定義されることに注意すべきである。これらの関数は、可逆である。実際、多項式X1(k)、X2(k)、X3(k)、及びU(k)がスカルバの等式を満たすので、すなわち:
【数28】
(式中、fは、楕円曲線Ea,bを定義する多項式である)
を満たすので。
【0042】
更に正確には、fは、式:
【数29】
(式中、x及びyは、Fq2の要素であり、対(x,y)は、Ea,bの点を示す)
を満たす。
【0043】
fa,b(k)は、点P=(Xi(k),f(Xi(k))1/2)(式中、iは、f(Xi(k))がFqにおいて2乗であるようになっている)として定義される。従って、この関数fa,bを逆にするために、点P=(X,Y)なので、3つの多項式:
【数30】
の解ksを計算する。
【0044】
これらの解の各々は、fa,bによるPの原像である。
【0045】
F(k,k’)が:
【数31】
と書き表される場合。
【0046】
好適には、入力値の一様分布に関して、fa,bの出力値の点の一様分布を求められる。この場合に、入力値が、ランダムに決定されるならば、出力値は、ランダム分布を同様に示す。
【0047】
このように実行しながら、情報を提供し得る、使用されるパラメータの値の統計的研究に基づく攻撃を回避できる。実際、楕円曲線の点P上のこの関数fa,bの逆数が、この逆関数の入力パラメータの複数の値に対応する場合、統計的法則によりこれらの値の幾つかが、他の値よりも頻繁に再び現れることが可能である。従って、攻撃者が、交換された情報に対してパスワードをテストして、この統計的法則を知っているならば、交換されたパラメータの値が、この法則に従っているか否かを決定できる。それにより攻撃者は、テストされたパスワードが、正しいか否かをこのように推論できる。
【0048】
このタイプの攻撃を回避するために、以下に記載するようなアルゴリズムを利用することが好適であり得る。
【0049】
Diを、関数fa,bによる原像数iを正確に有する楕円曲線Ea,bの点の集合と仮定する。以下に記載する実施例において、5つの集合D1、D2、D3、D4及びD5を定義する。
【0050】
楕円曲線の点をランダムに、一様分布させて発生させる関数のGENに注目する。
【数32】
を、集合D1に関連した確率とする。
【0051】
t=0からT−1(式中、Tは、整数である)に関して、
− 関数GENにより点Ptを発生させる、
− Ptが、D0の要素ならば、最初に行く、
− Ptが、Diの要素ならば、
○ 0〜1に含まれ、かつ
【数33】
を満たす値bをランダムに選択する、
○ bが1に等しいならば、ステップ(1)に行く、
○ そうでない場合、
− 集合
【数34】
中で、要素uをランダムに選択する、
− u戻す。
【0052】
成功確率1−1/2kを求めるために、kで算定される1次の多項式に等しいT、換言すればkの倍数のTを有すれば、十分であることに注目すべきである。
【0053】
次の:
− 第1及び第2パラメータを暗号化形式で、パスワードによって示すメッセージを受信するステップと、
− 第1及び第2パラメータを復号し、パラメータp及びp’を求めるステップと、
− 次式:
【数35】
(式中、r1は、ステップ/1/で使用される乱数値である)によりコントローラによって共通の秘密の値Kを計算するステップとを更に利用できる。
【0054】
従って、装置及びコントローラは、パスワードの秘密を危険な状態に置く情報を交換せずに、最終的に共通鍵を持つことができる。
【0055】
本発明の第2の態様は、本発明の第1の態様による制御方法を利用するために適した手段を含む電子構成要素を提案する。
【0056】
本発明の第3の態様は、コントローラとして第2の態様による第1電子構成要素と、制御する装置として第2の態様による第2電子構成要素とを少なくとも含む、パスワードによる制御システムを提案する。
【0057】
本発明の他の態様、目的及び利点は、実施態様の1つの記載を読めば、現れるであろう。
【0058】
本発明は同様に、図を用いてより良く理解されるであろう。
【図面の簡単な説明】
【0059】
【図1】すでに記載した、先行技術による制御方法の主要なステップを示す図である。
【図2】本発明の実施態様による制御方法の主要なステップを示す図である。
【図3】本発明の実施態様による装置と、コントローラとの間の制御方法の利用を示す図である。
【図4】本発明の実施態様による装置及びコントローラを示す図である。
【発明を実施するための形態】
【0060】
図2は、本発明の実施態様による制御方法の主要なステップを示す。
【0061】
ステップ21で、有限体Fq(qは、整数である)において、乱数値r1に基づき楕円曲線の点P=(X,Y)を決定する。次に、ステップ22で、
【数7】
(式中、Fは、FqにおけるFq×Fqのような全射関数である)
であるような第1及び第2パラメータk及びk’を求める。
【0062】
このようにして求めたパラメータにより、装置と、コントローラとの間の交換中に、パスワードの秘密を保護するように、点Pを巧妙に示せるようになる。
【0063】
ステップ23で、パスワードπ Eπ(k,k’)に応じた暗号化による暗号化形式で第1及び第2パラメータを求める。
【0064】
この巧妙な形式で、秘密の共通鍵を発生させるように、乱数値r1が、ステップ24で、制御する装置からコントローラに、コントローラから制御する装置にそれぞれ好適には伝送できる。
【0065】
関数Fは、Fqの要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、要素z及びz’が(数1)を満たさないようになっている。
【0066】
図3は、本発明の実施態様による制御する装置10と、コントローラ11との間のメッセージ交換を示す。
【0067】
制御する装置D10は、最初にステップ31で、乱数値r1を発生させる。楕円曲線の点の集合の次数が、整数Nである時、r1は、値の集合:[0,N−1]によって任意に取ることができる。
【0068】
次に、この乱数値から、生成元Gを使用して、楕円曲線Ea,bの点P=(X,Y)を発生させる。かかる生成元は、楕円曲線のいかなる点Pに関しても:
【数36】
のような値hが存在するようになっている。
【0069】
従って:
【数37】
のような点P1を求める。
【0070】
次にステップ33で、式(2)を満たす、そのX及びY座標と異なるパラメータにより点P1を示すために、パラメータk1及びk1’の値を決定する。
【0071】
これらのパラメータk1及びk1’を決定するために、最初にパラメータの乱数値k1’を発生させることができる。次に曲線の点のx、y座標のパラメータに対応させる関数fa,bを適用するか、楕円曲線の点の生成元Gを使用して、この乱数値k1’に、楕円曲線の点Pk1が対応する。
【0072】
次に、fa,bの逆適用を、楕円曲線の点の群における減算:P(X,Y)−Pk1に対応する点に適用して、パラメータk1の値を求める。
【0073】
パラメータk1及びk1’は、点P(X,Y)を示す。次に、パスワードπに基づく暗号化関数Eπによって、以上で求めた第1及び第2パラメータを暗号化し、メッセージ34を介してコントローラに伝送する。
【0074】
対称的に、コントローラは、ステップ35で乱数値r2を発生させる。次に、ステップ36でこの値を楕円曲線の点P2に変換する。次いで、以前にステップ33で記載したように、コントローラは、ステップ37で第1及び第2パラメータk2及びk2’のそれぞれの値を求める。次に、コントローラは、メッセージ38を介してこれらの値を制御する装置10に伝送する前に、これらの値を暗号化する。
【0075】
従って、制御する装置10は、乱数値r1と、値k2及びk2’と、関数Fとを持つ。
【0076】
従ってステップ39で、装置は、点P2:
【数38】
を回復する。
【0077】
従って、装置は、コントローラと共有される秘密鍵Kを求めるが、それにもかかわらず
【数6】
を満たすパスワードに関する何らかの情報を提供することはない。
【0078】
コントローラは、対称的にステップ301で秘密鍵Kを回復する。
【0079】
以上に定義したような関数Fは、異なる形式で書き表せる。以下の部分で、乱数値の暗号化された交換の際に、好適には情報冗長性を提供しないことを可能にする、この点Pの異なる表示を記載する。
【0080】
関数Fは:
【数7】
であるような、かつ(数1)がk及びk’によって満たされることなく、あらゆる値の対(k,k’)に関して、Pが楕円曲線の点であるような、FqにおけるFq×Fqの全射である。
【0081】
かかる状況において、好適にはいかなる情報も、先行技術とは反対に、交換される乱数値の交換に基づいて、パスワードに関して推論され得ない。実際、値の対(k,k’)は、その場合装置と、コントローラとの間で暗号化されて交換される。しかし、この値の対を回復するために、攻撃者となり得る者によって試みられるパスワードがいかなるものであれ、(数1)がk及びk’によって満たされることなく、求められたあらゆる結果が楕円曲線上の点に対応するので、このパスワードが、正しいか否かを決定することは、不可能である。
【0082】
かかる表示は、次の特性:
【数39】
(式中、Lは、整数である)
を示す関数fa,b(U)の好適な特性に基づくことができる。
【0083】
換言すると、この関数の原像の集合の大きさは、楕円曲線の点の数の前では小さい数Lによって抑えられる。
【0084】
次の関数fa,b(U)を考慮すると、fa,b(0)=0と仮定して:
【数40】
かつ
【数41】
のように、Fq2におけるパラメータ対(x,u.x+v)をFqにおけるパラメータuに対応させる、本発明の実施態様による関数Fを好適には決定できる。
【0085】
この場合、関数Fは:
【数42】
又は
【数43】
と書き表せる。
【0086】
fa,bが、スカルバの等式:
【数28】
(式中、X1(k)、X2(k)、X3(k)、及びU(k)は、例えば、2007年6月11日に出版されたMaciej Ulasの文献「Rational points on certain hyperlliptic curves over finite fields」において定義されたようなスカルバの等式を満たす多項式である)
を満たす多項式から生じた関数であることも考慮できる。
ここでfa,b(k)は、(Xi(k),f(Xi(k))1/2)(式中、iは、f(Xi(k))がFqにおいて2乗であるようになっている)として定義される。
【0087】
図4は、本発明の実施態様による制御する装置と、コントローラとを含む制御システムを示す。
【0088】
かかる制御システムは、制御する装置10として電子構成要素と、本発明の実施態様による制御構成要素又はコントローラ11とを少なくとも含む。かかる電子構成要素は、制御する装置として、又はコントローラとして使用されるとしても:
− 有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定することに適しており、楕円曲線が、
【数1】
を満たす、決定装置41と、
−
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めることに適した取得装置42と、
− パスワードに応じた暗号化による暗号化形式で第1及び第2パラメータを求めることに適した暗号化装置43と、
− 暗号化された前記第1及び第2パラメータをコントローラに伝送することに適したインタフェース装置44とを含むことができ、
関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている。
【0089】
パスワードEπによる暗号化関数は、異なる方法で定義できる。暗号化関数は、入力パラメータでビット列を取り、出力でビット列を戻す。それにもかかわらず、パスワードの機密性を保証するために、戻された値が、パスワードに関する情報を与えないことが必要である。従って、2つのケース:
− パスワードが、古典的な暗号化関数の暗号化鍵として使用されるケースか、
− パスワードが、データベースにおいて楕円曲線のパブリックパラメータの値を示す指数であるケースを区別できる。両方のケースにおいて、暗号化アルゴリズムは、以下のように展開でき、パラメータの値k又はk’をビット列に変換するために、次の方法を適用できる:
【0090】
乱数値rを選択する。次に:
【数44】
(式中、q’は、qか、Nに対応し、qは、基礎体Fqの要素数であり、Nは、楕円曲線の点の数である)
を計算して、パラメータの値vをビット列に変化する。次いでビット列によりv’を示すことができる。
パスワードπが指数である場合に、パブリックパラメータ(q又はN)を知る唯一の人が、vの値を見出せるので、v’は、パスワードの形式でvの暗号化された値である。
【0091】
パスワードが、古典的な暗号化関数の暗号化鍵として使用される場合、暗号化関数Eπを使用して、v’を暗号化すれば十分である。
【0092】
このように受信面では、第1のケースにおいて、v’ mod q’を計算してvを回復できる。第2のケースにおいて、v’を見出し、最後にv’ mod Nを計算してvを計算し得るために、復号関数によって送信されたビット列を復号せねばならない。
【0093】
本発明は、好適には楕円曲線を使用するあらゆるタイプの暗号計算において利用できる。特に本発明は、好適にはPACE(英語で「Password Authenticated Connection Establishment(パスワード認証された接続確立)」)のような、パスワードによる認証プロトコル中にあり得る。この場合に本発明は、暗号計算の実行時間に関連したいかなる攻撃も許さずに、計算性能の改善を可能にする。
【0094】
本発明は、好適には、電子パスポートのような、電子識別文書の検査のために使用されるような、私生活を尊重するプロトコルの状況でも適用できる。実際、先行技術とは反対に、提示されたプロトコルを盗聴しても、使用される楕円曲線のパブリックパラメータを見出せない。
【技術分野】
【0001】
本発明は、楕円曲線の点の使用、特にはEKE(英語で「Encrypted Key Exchanged(暗号化鍵交換)」)タイプのアルゴリズムの分野におけるこの使用に基づくメッセージの暗号法に関する。
【背景技術】
【0002】
パスワードによる認証方法は、EKEタイプのアルゴリズムの使用に基づく。図1は、このタイプのアルゴリズムを示す。
【0003】
装置D10は、パスワードπに基づき、コントローラC11に認証されることを望む。その構成要素の各々は、パスワードπを知っている。その上、楕円曲線Ea,b及び楕円曲線の点の集合の生成元Gを、パブリックパラメータとして考慮する。楕円曲線は、次式:
【数1】
を満たす。
【0004】
ステップ12において、装置D10は、乱数r1を発生させる。次に装置は、コントローラ11にこの乱数を楕円曲線の点の形式で伝送する。そのために装置は:
【数2】
を満たす、伝送する値Vを決定する。
【0005】
この結果は、次にパスワードによりEπ(r1.G)(Eπは、パスワードによる暗号化関数である)の形式で暗号化される。
【0006】
次に装置は、値Eπ(r1.G)を示してコントローラ宛てにメッセージ13を発信する。
【0007】
メッセージ13の受信後に、今度はコントローラ11が、乱数値r2をステップ14で発生させる。次にコントローラは、この値を楕円曲線の点の形式で伝送し、結果:
【数3】
を示して、メッセージ15を装置10に伝送する。
【0008】
乱数値r1及びr2の暗号化形式でのこの交換に続き、装置10は、ステップ16で、パスワードDπによる復号関数を用いて、メッセージ15に含まれる情報:
【数4】
を復号して、コントローラによって発生した乱数値r2を回復し、
コントローラ11は、ステップ17で、メッセージ13に含まれる情報:
【数5】
を復号して、装置10によって発生した乱数値r1を回復する。
【0009】
このようにして、保護された交換に続き、各構成要素は、共通の鍵Kを計算できる:
【数6】
【0010】
このタイプのアルゴリズムは、パスワード又はパスワードから派生した鍵により、値を暗号化形式で交換することを目的とする。しかしながら、有限対Fqに対して(数1)を満たす楕円曲線の古典的な表示によれば、図1に関して記載される交換により、潜在的な攻撃者が、パスワードπに関連して情報を推論できるようになることに注意すべきである。実際、2つのメッセージ13及び15を介して、上記のように乱数値を暗号化形式で交換することは、パスワードの秘密の侵入を許し得る情報冗長性を提供する。更に正確には、盗聴の度に、攻撃者は、メッセージ13及び15において交換された情報を復号するためのパスワードをテストできる。次に、2つのケースが攻撃者に対して現れる。第1のケースにおいて、復号された情報は、曲線の点に対応し、従ってパスワードは、正しい。第2のケースにおいて、復号された情報は、楕円曲線の点に対応せず、パスワードは、発見されない。盗聴及び別個のパスワードを繰り返すと、攻撃者にとり、要素の有限集合に属するパスワードを見出すことがこのようにして可能になる。
【発明の概要】
【発明が解決しようとする課題】
【0011】
本発明は、状況を改善することを目的とする。
【課題を解決するための手段】
【0012】
本発明の第1の態様は、パスワードに基づく、コントローラによる装置の制御方法を提案し、前記方法は、装置又はコントローラのレベルで、次の:
/1/
【数1】
の有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定するステップと、
/2/
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めるステップと、
/3/ パスワードに応じた暗号化による暗号化形式で第1及び第2パラメータを求めるステップと、
/4/ 暗号化された前記第1及び第2パラメータをコントローラに伝送するステップとを含み、
関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている。
【0013】
この措置のために、先行技術に対して、以上に記載したような攻撃を回避することが可能である。実際、これらの条件において、入力で供給されたパラメータが、いかなるものであれ、関数Fが、出力で楕円曲線の点を常に提供し、入力パラメータが、楕円曲線の古典的な式を満たさないので、求めた結果が、楕円曲線Ea,bの点(X,Y)に対応するか決定して、パスワードをテストすることは、もはや可能でない。従って巧妙に、潜在的な攻撃者に、使用されるパスワードを推論できるようにし得るいかなる情報も提供しないように、この全射関数Fを使用して、楕円曲線の点を異なった方法で示すことが予想される。
【0014】
(数1)と異なるパラメータ化による楕円曲線の点P(X,Y)を示すことを可能にするかかる関数Fを決定するために、逆関数fa,b−1が、入力パラメータから、(数1)を満たさない2つのパラメータにより曲線の点を回復することを可能にする、逆関数fa,bによることも可能である。
【0015】
関数Fは:
【数8】
(式中、fa,bは、入力パラメータを取り、かつ楕円曲線の点を提供する、楕円曲線の係数a及びbに基づく逆関数であり、f’は、パラメータに応じて楕円曲線の点を発生させる関数である)
と書き表すことができ、ステップ/2/で、次の:
− パラメータk’の値をランダムに発生させるステップと、
− f’(k’)の値を計算するステップと、
− 次式:
【数9】
によりパラメータkの値を決定するステップとにより、パラメータk及びk’を求める。
【0016】
好適には、乱数値のパラメータk’に基づき、楕円曲線の点を発生させ得る関数f’と、可逆的な、楕円曲線の係数a及びbに基づく関数fa,bとを組み合わせると、記載した攻撃を回避しながら、曲線の点をパラメータ化できるようにする関数Fを求めることができる。
【0017】
特に関数f’は:
【数10】
(式中、Gは、楕円曲線の点の集合の生成元である)
と書き表すことができ、パラメータkの値は、次式:
【数11】
により決定される。
【0018】
これらの条件において、関数Fは、次の:
【数12】
ように書き表せる。
【0019】
あるいは、関数f’は:
【数13】
のように書き表せ、
パラメータkの値は、次式:
【数14】
により決定される。
【0020】
これらの条件において、関数Fは、次の:
【数15】
ように書き表せる。
【0021】
このように、一般的に本発明による曲線の点P(X,Y)をパラメータ化するために、第1ステップで、パラメータk’の値のための曲線の点を求めることが予想される。次に、表すべき点P(X,Y)及び第1ステップで求めた点の減算に対応する曲線の点を決定する。そこで、楕円曲線の別の点を求める。次いで、この点に対して、fa,bの逆関数を適用し、パラメータkの値を求める。点Pは、そこで(数1)を満たさないパラメータk及びk’の対の形式で示される。
【0022】
本発明の実施態様において、関数Fは、
【数16】
(式中、Lは、楕円曲線(数1)の点の数に対して比較的小さい値を有する整数である)
のような少なくとも1つの逆関数fa,bを含む。
【0023】
関数Fが、関数fa,bを含むこととは、関数Fを第1及び第2パラメータに適用することが、この関数fa,bを第1及び第2パラメータの少なくとも1つに適用することに対応することを意味する。このようにして一方で、第1パラメータに基づき曲線の点を発生させること、及び他方で第2パラメータを求めるために、fa,bの逆関数を適用することを予想できる。このように実行しながら、これら2つのパラメータにより楕円曲線の点を示すことができる。
【0024】
このようにして、関数Fを第1及び第2パラメータに適用することは、
【数17】
(式中、Lは、楕円曲線(数1)の点の数に対して比較的小さい値を有する整数である)
のような関数fa,bの2つのパラメータの少なくとも1つに適用することに対応し得る。
【0025】
換言すると、本明細書で考慮される関数fa,bは、楕円曲線の点の数に対して著しく小さい最大値によって抑えられる楕円曲線Ea,bの点Pの集合に対応する原像を有する。実際、これが当てはまらない場合、単純に、ある数をランダムに引き出して、関数fa,bを逆にすることが可能である。この状況において、例えばLが、曲線の点の数の1/280倍よりも小さいと考えることができる。
【0026】
条件(数17)を満たす逆関数を使用して、上記のように暗号化するために使用されるパスワードの攻撃を可能にしない、パラメータk及びk’を介して曲線上の点を示すことを可能にする関数Fを容易に求めることができる。
【0027】
本発明の実施態様において、関数fa,bは、xが次式:
【数18】
の唯一の解であり、:
【数19】
を満たすように、パラメータuに、パラメータ対(x,y)を対応させる。
【0028】
この(数18)は、(数1)中のyを項ux+Q(u,a,b)によって置換して求められる。項Q(u,a,b)は、変数u、a及びbの有理分数を指す。
【0029】
この(数18)が、唯一の根しか認めないことは、パラメータuがいかなるものであれ、次項の表された判別式Δ(u,a,b)が、2乗でないことを意味する:
【数20】
【0030】
q=2 mod 3に関して:
【数21】
(式中、Rは、有理分数である)と書き表せる。
【0031】
実際、p=2 mod 3に関して、−3は、2乗でなく、従って−3R(u,a,b)2は、決して2乗の項ではない。
【0032】
(数18)が、唯一の根しか認めないので、次項は、1次の多項式である:
【数22】
(式中、gcdは、最大公約数である)。
【0033】
XPと表されるこの多項式の根は、楕円曲線上の点の横座標である。最後に、横座標XP及び縦座標u.XP+Q(u,a,b)の点は、曲線上の点である。
【0034】
実施例において、次式:
【数23】
を満たす有理分数Q(u,a,b)を考慮できる。
【0035】
実施態様において、関数fa,bは、好適にはFq(qは、2 mod 3に等しい)において以下のように定義できる。関数fa,bは:
【数24】
かつ
【数25】
(式中、
【数26】
かつfa,b(0)=0)
であるように、パラメータuに、パラメータ対(x,y)を対応させる。
【0036】
かかる関数は、可逆である。実際、楕円曲線のP(X,Y)とすると、関数fa,bによる点の原像は、次式:
【数27】
の解である。
【0037】
しかるに、かかる多項式は、容易に逆にできる。
【0038】
更に、この関数fa,bの原像の点Pの集合は、楕円曲線の点の数の前では小さいLによって抑えられる。
【0039】
このようにして、この関数は、以上に定義した特性を満たす。
【0040】
関数Fの基礎を、スカルバ(Skalba)の式を満たす多項式から定義される関数fa,bの使用に置くことも予想できる。
【0041】
スカルバの等式を満たす多項式が、2007年6月11日に出版されたMaciej Ulasの文献「Rational points on certain hyperlliptic curves over finite fields」において定義されることに注意すべきである。これらの関数は、可逆である。実際、多項式X1(k)、X2(k)、X3(k)、及びU(k)がスカルバの等式を満たすので、すなわち:
【数28】
(式中、fは、楕円曲線Ea,bを定義する多項式である)
を満たすので。
【0042】
更に正確には、fは、式:
【数29】
(式中、x及びyは、Fq2の要素であり、対(x,y)は、Ea,bの点を示す)
を満たす。
【0043】
fa,b(k)は、点P=(Xi(k),f(Xi(k))1/2)(式中、iは、f(Xi(k))がFqにおいて2乗であるようになっている)として定義される。従って、この関数fa,bを逆にするために、点P=(X,Y)なので、3つの多項式:
【数30】
の解ksを計算する。
【0044】
これらの解の各々は、fa,bによるPの原像である。
【0045】
F(k,k’)が:
【数31】
と書き表される場合。
【0046】
好適には、入力値の一様分布に関して、fa,bの出力値の点の一様分布を求められる。この場合に、入力値が、ランダムに決定されるならば、出力値は、ランダム分布を同様に示す。
【0047】
このように実行しながら、情報を提供し得る、使用されるパラメータの値の統計的研究に基づく攻撃を回避できる。実際、楕円曲線の点P上のこの関数fa,bの逆数が、この逆関数の入力パラメータの複数の値に対応する場合、統計的法則によりこれらの値の幾つかが、他の値よりも頻繁に再び現れることが可能である。従って、攻撃者が、交換された情報に対してパスワードをテストして、この統計的法則を知っているならば、交換されたパラメータの値が、この法則に従っているか否かを決定できる。それにより攻撃者は、テストされたパスワードが、正しいか否かをこのように推論できる。
【0048】
このタイプの攻撃を回避するために、以下に記載するようなアルゴリズムを利用することが好適であり得る。
【0049】
Diを、関数fa,bによる原像数iを正確に有する楕円曲線Ea,bの点の集合と仮定する。以下に記載する実施例において、5つの集合D1、D2、D3、D4及びD5を定義する。
【0050】
楕円曲線の点をランダムに、一様分布させて発生させる関数のGENに注目する。
【数32】
を、集合D1に関連した確率とする。
【0051】
t=0からT−1(式中、Tは、整数である)に関して、
− 関数GENにより点Ptを発生させる、
− Ptが、D0の要素ならば、最初に行く、
− Ptが、Diの要素ならば、
○ 0〜1に含まれ、かつ
【数33】
を満たす値bをランダムに選択する、
○ bが1に等しいならば、ステップ(1)に行く、
○ そうでない場合、
− 集合
【数34】
中で、要素uをランダムに選択する、
− u戻す。
【0052】
成功確率1−1/2kを求めるために、kで算定される1次の多項式に等しいT、換言すればkの倍数のTを有すれば、十分であることに注目すべきである。
【0053】
次の:
− 第1及び第2パラメータを暗号化形式で、パスワードによって示すメッセージを受信するステップと、
− 第1及び第2パラメータを復号し、パラメータp及びp’を求めるステップと、
− 次式:
【数35】
(式中、r1は、ステップ/1/で使用される乱数値である)によりコントローラによって共通の秘密の値Kを計算するステップとを更に利用できる。
【0054】
従って、装置及びコントローラは、パスワードの秘密を危険な状態に置く情報を交換せずに、最終的に共通鍵を持つことができる。
【0055】
本発明の第2の態様は、本発明の第1の態様による制御方法を利用するために適した手段を含む電子構成要素を提案する。
【0056】
本発明の第3の態様は、コントローラとして第2の態様による第1電子構成要素と、制御する装置として第2の態様による第2電子構成要素とを少なくとも含む、パスワードによる制御システムを提案する。
【0057】
本発明の他の態様、目的及び利点は、実施態様の1つの記載を読めば、現れるであろう。
【0058】
本発明は同様に、図を用いてより良く理解されるであろう。
【図面の簡単な説明】
【0059】
【図1】すでに記載した、先行技術による制御方法の主要なステップを示す図である。
【図2】本発明の実施態様による制御方法の主要なステップを示す図である。
【図3】本発明の実施態様による装置と、コントローラとの間の制御方法の利用を示す図である。
【図4】本発明の実施態様による装置及びコントローラを示す図である。
【発明を実施するための形態】
【0060】
図2は、本発明の実施態様による制御方法の主要なステップを示す。
【0061】
ステップ21で、有限体Fq(qは、整数である)において、乱数値r1に基づき楕円曲線の点P=(X,Y)を決定する。次に、ステップ22で、
【数7】
(式中、Fは、FqにおけるFq×Fqのような全射関数である)
であるような第1及び第2パラメータk及びk’を求める。
【0062】
このようにして求めたパラメータにより、装置と、コントローラとの間の交換中に、パスワードの秘密を保護するように、点Pを巧妙に示せるようになる。
【0063】
ステップ23で、パスワードπ Eπ(k,k’)に応じた暗号化による暗号化形式で第1及び第2パラメータを求める。
【0064】
この巧妙な形式で、秘密の共通鍵を発生させるように、乱数値r1が、ステップ24で、制御する装置からコントローラに、コントローラから制御する装置にそれぞれ好適には伝送できる。
【0065】
関数Fは、Fqの要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、要素z及びz’が(数1)を満たさないようになっている。
【0066】
図3は、本発明の実施態様による制御する装置10と、コントローラ11との間のメッセージ交換を示す。
【0067】
制御する装置D10は、最初にステップ31で、乱数値r1を発生させる。楕円曲線の点の集合の次数が、整数Nである時、r1は、値の集合:[0,N−1]によって任意に取ることができる。
【0068】
次に、この乱数値から、生成元Gを使用して、楕円曲線Ea,bの点P=(X,Y)を発生させる。かかる生成元は、楕円曲線のいかなる点Pに関しても:
【数36】
のような値hが存在するようになっている。
【0069】
従って:
【数37】
のような点P1を求める。
【0070】
次にステップ33で、式(2)を満たす、そのX及びY座標と異なるパラメータにより点P1を示すために、パラメータk1及びk1’の値を決定する。
【0071】
これらのパラメータk1及びk1’を決定するために、最初にパラメータの乱数値k1’を発生させることができる。次に曲線の点のx、y座標のパラメータに対応させる関数fa,bを適用するか、楕円曲線の点の生成元Gを使用して、この乱数値k1’に、楕円曲線の点Pk1が対応する。
【0072】
次に、fa,bの逆適用を、楕円曲線の点の群における減算:P(X,Y)−Pk1に対応する点に適用して、パラメータk1の値を求める。
【0073】
パラメータk1及びk1’は、点P(X,Y)を示す。次に、パスワードπに基づく暗号化関数Eπによって、以上で求めた第1及び第2パラメータを暗号化し、メッセージ34を介してコントローラに伝送する。
【0074】
対称的に、コントローラは、ステップ35で乱数値r2を発生させる。次に、ステップ36でこの値を楕円曲線の点P2に変換する。次いで、以前にステップ33で記載したように、コントローラは、ステップ37で第1及び第2パラメータk2及びk2’のそれぞれの値を求める。次に、コントローラは、メッセージ38を介してこれらの値を制御する装置10に伝送する前に、これらの値を暗号化する。
【0075】
従って、制御する装置10は、乱数値r1と、値k2及びk2’と、関数Fとを持つ。
【0076】
従ってステップ39で、装置は、点P2:
【数38】
を回復する。
【0077】
従って、装置は、コントローラと共有される秘密鍵Kを求めるが、それにもかかわらず
【数6】
を満たすパスワードに関する何らかの情報を提供することはない。
【0078】
コントローラは、対称的にステップ301で秘密鍵Kを回復する。
【0079】
以上に定義したような関数Fは、異なる形式で書き表せる。以下の部分で、乱数値の暗号化された交換の際に、好適には情報冗長性を提供しないことを可能にする、この点Pの異なる表示を記載する。
【0080】
関数Fは:
【数7】
であるような、かつ(数1)がk及びk’によって満たされることなく、あらゆる値の対(k,k’)に関して、Pが楕円曲線の点であるような、FqにおけるFq×Fqの全射である。
【0081】
かかる状況において、好適にはいかなる情報も、先行技術とは反対に、交換される乱数値の交換に基づいて、パスワードに関して推論され得ない。実際、値の対(k,k’)は、その場合装置と、コントローラとの間で暗号化されて交換される。しかし、この値の対を回復するために、攻撃者となり得る者によって試みられるパスワードがいかなるものであれ、(数1)がk及びk’によって満たされることなく、求められたあらゆる結果が楕円曲線上の点に対応するので、このパスワードが、正しいか否かを決定することは、不可能である。
【0082】
かかる表示は、次の特性:
【数39】
(式中、Lは、整数である)
を示す関数fa,b(U)の好適な特性に基づくことができる。
【0083】
換言すると、この関数の原像の集合の大きさは、楕円曲線の点の数の前では小さい数Lによって抑えられる。
【0084】
次の関数fa,b(U)を考慮すると、fa,b(0)=0と仮定して:
【数40】
かつ
【数41】
のように、Fq2におけるパラメータ対(x,u.x+v)をFqにおけるパラメータuに対応させる、本発明の実施態様による関数Fを好適には決定できる。
【0085】
この場合、関数Fは:
【数42】
又は
【数43】
と書き表せる。
【0086】
fa,bが、スカルバの等式:
【数28】
(式中、X1(k)、X2(k)、X3(k)、及びU(k)は、例えば、2007年6月11日に出版されたMaciej Ulasの文献「Rational points on certain hyperlliptic curves over finite fields」において定義されたようなスカルバの等式を満たす多項式である)
を満たす多項式から生じた関数であることも考慮できる。
ここでfa,b(k)は、(Xi(k),f(Xi(k))1/2)(式中、iは、f(Xi(k))がFqにおいて2乗であるようになっている)として定義される。
【0087】
図4は、本発明の実施態様による制御する装置と、コントローラとを含む制御システムを示す。
【0088】
かかる制御システムは、制御する装置10として電子構成要素と、本発明の実施態様による制御構成要素又はコントローラ11とを少なくとも含む。かかる電子構成要素は、制御する装置として、又はコントローラとして使用されるとしても:
− 有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定することに適しており、楕円曲線が、
【数1】
を満たす、決定装置41と、
−
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めることに適した取得装置42と、
− パスワードに応じた暗号化による暗号化形式で第1及び第2パラメータを求めることに適した暗号化装置43と、
− 暗号化された前記第1及び第2パラメータをコントローラに伝送することに適したインタフェース装置44とを含むことができ、
関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている。
【0089】
パスワードEπによる暗号化関数は、異なる方法で定義できる。暗号化関数は、入力パラメータでビット列を取り、出力でビット列を戻す。それにもかかわらず、パスワードの機密性を保証するために、戻された値が、パスワードに関する情報を与えないことが必要である。従って、2つのケース:
− パスワードが、古典的な暗号化関数の暗号化鍵として使用されるケースか、
− パスワードが、データベースにおいて楕円曲線のパブリックパラメータの値を示す指数であるケースを区別できる。両方のケースにおいて、暗号化アルゴリズムは、以下のように展開でき、パラメータの値k又はk’をビット列に変換するために、次の方法を適用できる:
【0090】
乱数値rを選択する。次に:
【数44】
(式中、q’は、qか、Nに対応し、qは、基礎体Fqの要素数であり、Nは、楕円曲線の点の数である)
を計算して、パラメータの値vをビット列に変化する。次いでビット列によりv’を示すことができる。
パスワードπが指数である場合に、パブリックパラメータ(q又はN)を知る唯一の人が、vの値を見出せるので、v’は、パスワードの形式でvの暗号化された値である。
【0091】
パスワードが、古典的な暗号化関数の暗号化鍵として使用される場合、暗号化関数Eπを使用して、v’を暗号化すれば十分である。
【0092】
このように受信面では、第1のケースにおいて、v’ mod q’を計算してvを回復できる。第2のケースにおいて、v’を見出し、最後にv’ mod Nを計算してvを計算し得るために、復号関数によって送信されたビット列を復号せねばならない。
【0093】
本発明は、好適には楕円曲線を使用するあらゆるタイプの暗号計算において利用できる。特に本発明は、好適にはPACE(英語で「Password Authenticated Connection Establishment(パスワード認証された接続確立)」)のような、パスワードによる認証プロトコル中にあり得る。この場合に本発明は、暗号計算の実行時間に関連したいかなる攻撃も許さずに、計算性能の改善を可能にする。
【0094】
本発明は、好適には、電子パスポートのような、電子識別文書の検査のために使用されるような、私生活を尊重するプロトコルの状況でも適用できる。実際、先行技術とは反対に、提示されたプロトコルを盗聴しても、使用される楕円曲線のパブリックパラメータを見出せない。
【特許請求の範囲】
【請求項1】
パスワード(π)に基づく、コントローラ(11)による装置(10)の制御方法であって、
前記装置又は前記コントローラのレベルで、次の:
/1/
【数1】
の有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定するステップと、
/2/
【数45】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めるステップと、
/3/ 前記パスワードに応じた暗号化による暗号化形式で前記第1及び第2パラメータを求めるステップと、
/4/ 暗号化された前記第1及び第2パラメータをコントローラに伝送するステップとを含み、
前記関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、前記入力要素が(数1)を満たさないようになっている制御方法。
【請求項2】
前記関数Fは:
【数8】
(式中、fa,bは、入力パラメータを取り、かつ楕円曲線の点を提供する、楕円曲線の係数a及びbに基づく逆関数であり、f’は、パラメータに応じて楕円曲線の点を発生させる関数である)
と書き表され、前記ステップ/2/で、次の:
− パラメータk’の値をランダムに発生させるステップと、
− f’(k’)の値を計算するステップと、
− 次式:
【数9】
によりパラメータkの値を決定するステップにより、パラメータk及びk’を求める請求項1に記載の制御方法。
【請求項3】
前記関数f’は:
【数10】
(式中、Gは、楕円曲線の点の集合の生成元である)
と書き表され、パラメータkの値は、次式:
【数11】
により決定される請求項2に記載の制御方法。
【請求項4】
前記関数f’は:
【数13】
ように書き表され、
パラメータkの値は、次式:
【数14】
により決定される請求項2に記載の制御方法。
【請求項5】
前記関数Fが、スカルバの等式:
【数28】
(式中、fは、楕円曲線Ea,bを定義する多項式である)
を満たす多項式X1(k)、X2(k)、X3(k)、及びU(k)を用いて得られた、少なくとも1つの逆関数fa,bを含む請求項1から4のいずれかに記載の制御方法。
【請求項6】
前記関数fa,bは:
【数24】
かつ
【数25】
(式中、
【数41】
かつfa,b(0)=0)
であるように、Fqにおけるパラメータuに、Fq2(式中、qは、2 mod 3に等しい)におけるパラメータ対(x,y)を対応させる請求項5に記載の制御方法。
【請求項7】
次の:
− 第1及び第2パラメータを暗号化形式で、パスワードによって示すメッセージを受信するステップと、
− 第1及び第2パラメータを復号し、パラメータp及びp’を求めるステップと、
− 次式:
【数35】
(式中、r1は、前記ステップ/1/で使用される乱数値である)
によりコントローラによって共通の秘密の値Kを計算するステップとを更に利用できる請求項1から6のいずれかに記載の制御方法。
【請求項8】
パスワードによる制御システムにおける電子構成要素であって、
− 有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定することに適しており、前記楕円曲線が、式:
【数1】
である、決定装置(41)と、
−
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めることに適した取得装置(42)と、
− パスワードに応じた暗号化による暗号化形式で前記第1及び第2パラメータを求めることに適した暗号化装置(43)と、
− 暗号化された前記第1及び第2パラメータをコントローラに伝送することに適したインタフェース装置(44)とを含み、
前記関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている電子構成要素。
【請求項9】
請求項1から7のいずれかに記載の制御方を利用することに適した手段を含む請求項8に記載の電子構成要素。
【請求項10】
コントローラとして請求項8又は9に記載の第1電子構成要素と、制御する装置として請求項8又は9に記載の第2電子構成要素とを少なくとも含む、パスワードによる制御システム。
【請求項1】
パスワード(π)に基づく、コントローラ(11)による装置(10)の制御方法であって、
前記装置又は前記コントローラのレベルで、次の:
/1/
【数1】
の有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定するステップと、
/2/
【数45】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めるステップと、
/3/ 前記パスワードに応じた暗号化による暗号化形式で前記第1及び第2パラメータを求めるステップと、
/4/ 暗号化された前記第1及び第2パラメータをコントローラに伝送するステップとを含み、
前記関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、前記入力要素が(数1)を満たさないようになっている制御方法。
【請求項2】
前記関数Fは:
【数8】
(式中、fa,bは、入力パラメータを取り、かつ楕円曲線の点を提供する、楕円曲線の係数a及びbに基づく逆関数であり、f’は、パラメータに応じて楕円曲線の点を発生させる関数である)
と書き表され、前記ステップ/2/で、次の:
− パラメータk’の値をランダムに発生させるステップと、
− f’(k’)の値を計算するステップと、
− 次式:
【数9】
によりパラメータkの値を決定するステップにより、パラメータk及びk’を求める請求項1に記載の制御方法。
【請求項3】
前記関数f’は:
【数10】
(式中、Gは、楕円曲線の点の集合の生成元である)
と書き表され、パラメータkの値は、次式:
【数11】
により決定される請求項2に記載の制御方法。
【請求項4】
前記関数f’は:
【数13】
ように書き表され、
パラメータkの値は、次式:
【数14】
により決定される請求項2に記載の制御方法。
【請求項5】
前記関数Fが、スカルバの等式:
【数28】
(式中、fは、楕円曲線Ea,bを定義する多項式である)
を満たす多項式X1(k)、X2(k)、X3(k)、及びU(k)を用いて得られた、少なくとも1つの逆関数fa,bを含む請求項1から4のいずれかに記載の制御方法。
【請求項6】
前記関数fa,bは:
【数24】
かつ
【数25】
(式中、
【数41】
かつfa,b(0)=0)
であるように、Fqにおけるパラメータuに、Fq2(式中、qは、2 mod 3に等しい)におけるパラメータ対(x,y)を対応させる請求項5に記載の制御方法。
【請求項7】
次の:
− 第1及び第2パラメータを暗号化形式で、パスワードによって示すメッセージを受信するステップと、
− 第1及び第2パラメータを復号し、パラメータp及びp’を求めるステップと、
− 次式:
【数35】
(式中、r1は、前記ステップ/1/で使用される乱数値である)
によりコントローラによって共通の秘密の値Kを計算するステップとを更に利用できる請求項1から6のいずれかに記載の制御方法。
【請求項8】
パスワードによる制御システムにおける電子構成要素であって、
− 有限体Fq(qは、整数である)において、乱数値r1に基づき、楕円曲線の点P(X,Y)を決定することに適しており、前記楕円曲線が、式:
【数1】
である、決定装置(41)と、
−
【数7】
(式中、Fは、FqにおけるFq×Fqの全射関数である)
であるような、第1及び第2パラメータk及びk’を求めることに適した取得装置(42)と、
− パスワードに応じた暗号化による暗号化形式で前記第1及び第2パラメータを求めることに適した暗号化装置(43)と、
− 暗号化された前記第1及び第2パラメータをコントローラに伝送することに適したインタフェース装置(44)とを含み、
前記関数Fは、Fqの入力要素z及びz’がいかなるものであれ、F(z,z’)が楕円曲線の点であり、入力要素が(数1)を満たさないようになっている電子構成要素。
【請求項9】
請求項1から7のいずれかに記載の制御方を利用することに適した手段を含む請求項8に記載の電子構成要素。
【請求項10】
コントローラとして請求項8又は9に記載の第1電子構成要素と、制御する装置として請求項8又は9に記載の第2電子構成要素とを少なくとも含む、パスワードによる制御システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2012−531634(P2012−531634A)
【公表日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願番号】特願2012−518114(P2012−518114)
【出願日】平成22年6月28日(2010.6.28)
【国際出願番号】PCT/FR2010/051339
【国際公開番号】WO2011/001093
【国際公開日】平成23年1月6日(2011.1.6)
【出願人】(510171966)
【Fターム(参考)】
【公表日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願日】平成22年6月28日(2010.6.28)
【国際出願番号】PCT/FR2010/051339
【国際公開番号】WO2011/001093
【国際公開日】平成23年1月6日(2011.1.6)
【出願人】(510171966)
【Fターム(参考)】
[ Back to top ]