Y - 座標復元を伴うモンゴメリ型 楕円曲線上のスカラー倍計算方法と 楕円曲線暗号における効率性の解析 桶屋 勝幸 (株)日立製作所 櫻井 幸一 九州大学 All Rights Reserved, Copyright © 2001, Hitachi, Ltd.

Slides:



Advertisements
Similar presentations
1 高速フーリエ変換 (fast Fourier transform). 2 高速フーリエ変換とは? – 簡単に言うとフーリエ変換を効率よく計算 する方法 – アルゴリズムの設計技法は分割統治法に基 づいている 今回の目的は? – 多項式の積を求める問題を取り上げ、高速 フーリエ変換のアルゴリズムを用いた解法.
Advertisements

授業展開#12 コンピュータの扱いにくい問 題. 扱いにくい問題  処理時間がかかる。  メモリを大量に必要とする。  プログラムの優劣、アルゴリズムの優劣 を比較するためには、標準的なコン ピュータで比較する必要がある。  処理時間を計るのに、コンピュータのモ デルとして、チューリングマシンを考え、
1 線形代数学. 2 履修にあたって 電子情報システム学科 必修 2005 年度1セメスタ開講 担当 草苅良至 (電子情報システム学科) 教官室: G I 511 内線: 2095 質問等は上記のいずれかに行なうこと。 注意計算用のノートを準備すること。
暗号技術の国際動向について ー AES 秘密鍵暗号, 楕円公開鍵暗号- 三菱電機株式会社情報技術総合研究所 松井 充.
Ibaraki Univ. Dept of Electrical & Electronic Eng. Keiichi MIYAJIMA
自動映像生成のための パーティクルフィルタによるボールの追 跡 2007 年 3 月 21 日 神戸大学大学院自然科学研究科 矢野 一樹.
あみだくじを数え上げる 省領域アルゴリズム ◯中嶋章裕,斎藤寿樹,山口一章,増田澄男 (神戸大学) 1.
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
2000年 3月 10日 日本電信電話株式会社 三菱電機株式会社
ラスタグラフィックス (raster graphics)
情報工学科 06A2055 平塚 翔太 Hiratsuka Shota
Problem J Tile Puzzle 原案:野田 担当:平野,吉田,泉,松本.
三重対角化アルゴリズムの性能評価 早戸拓也・廣田悠輔.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
研究集会 「超大規模行列の数理的諸問題とその高速解法」 2007 年 3 月 7 日 完全パイプライン化シフト QR 法による 実対称三重対角行列の 固有値並列計算 宮田 考史  山本 有作  張 紹良   名古屋大学 大学院工学研究科 計算理工学専攻.
Finger patternのブロック化による 陰的wavelet近似逆行列前処理の 高速化
3 二次方程式 1章 二次方程式 §2 二次方程式と因数分解         (3時間).
Q q 情報セキュリティ 第6回:2005年5月20日(金) q q.
楕円曲線暗号における マルチスカラー倍算の前計算での モンゴメリトリックの使用
時空間データからのオブジェクトベース知識発見
遺伝アルゴリズムによる NQueen解法 ~遺伝補修飾を用いた解探索の性能評価~
ブロック線図によるシミュレーション ブロック線図の作成と編集 ブロック線図の保存と読込み ブロック線図の印刷 グラフの印刷
第二回 連立1次方程式の解法 内容 目標 連立1次方程式の掃出し法 初期基底を求める 連立1次方程式を掃出し法を用いてExcelで解析する
香川大学工学部 富永浩之 情報数学1 第2-1章 合同式の性質と計算 香川大学工学部 富永浩之
透視投影(中心射影)とは  ○ 3次元空間上の点を2次元平面へ投影する方法の一つ  ○ 投影方法   1.投影中心を定義する   2.投影平面を定義する
暗号技術研究タスクフォースの研究開発動向
ML 演習 第 7 回 新井淳也、中村宇佑、前田俊行 2011/05/31.
※DES/RSA暗号に関する計算問題(演習・レポート課題)と似た問題は出題しません。
MPIによる行列積計算 情報論理工学研究室 渡邉伊織 情報論理工学研究室 渡邉伊織です。
暗号技術 ~公開鍵暗号方式の仕組み~ (3週目)
2001/10/10 PSEC-KEM NTT 小林 鉄太郎 CRYPTREC 2001
Q q 情報セキュリティ 第3回:2005年4月28日(金) q q.
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
高速剰余算アルゴリズムとそのハードウェア実装についての研究
第25章 単一始点最短路 3節 Bellman-Fordのアルゴリズム
スペクトル法の一部の基礎の初歩への はじめの一歩
情報セキュリティ  第4回 メッセージ認証コード.
第二章 インターネットで やり取りする情報を守る
情報セキュリティ  第11回 デジタル署名.
Online Decoding of Markov Models under Latency Constraints
「R入門」  5.7 行列に対する諸機能  10月23日 (木) 発表者 大城亜里沙.
情報セキュリティ  第8回 RSA暗号.
逐次伝達法による 散乱波の解析 G05MM050 本多哲也.
武藤研究室セキュリティー藩暗号犯メンバー 環境情報学部4年 櫻井 環境情報学部3年 秋本 環境情報学部3年 堀田 環境情報学部2年 卯野木
5.RSA暗号 素因数分解の困難性を利用した暗号.
Q q 情報セキュリティ 第8回:2005年6月3日(金) q q.
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
連続領域におけるファジィ制約充足問題の 反復改善アルゴリズムによる解法 Solving by heuristic repair Algorithm of the Fuzzy Constraint Satisfaction Problems with Continuous Domains 北海道大学.
ファジィ制約充足問題への 連続領域の導入 Introducing continuous domains to
暗号技術をとりまく最近の話題 ーAES秘密鍵暗号,楕円公開鍵暗号-
プログラミング 4 探索と計算量.
情報科学演習III --- 計算代数とその応用 ---
B03 量子論理回路の 最適化に関する研究 西野哲朗,垂井淳,太田和夫,國廣昇 電気通信大学 情報通信工学科.
代数体上で定義された楕円曲線の 素因数分解への応用
秘匿リストマッチングプロトコルとその応用
Diffie-Hellman 鍵共有 ElGamal 暗号 楕円曲線暗号,量子コンピュータ
Q q 情報セキュリティ 第5回:2006年5月19日(金) q q.
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
香川大学創造工学部 富永浩之 情報数学1 第2-1章 合同式の性質と計算 香川大学創造工学部 富永浩之
分枝カット法に基づいた線形符号の復号法に関する一考察
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
プログラミング演習I 数値計算における計算精度と誤差
Q q 情報セキュリティ 第8回:2004年5月28日(金) の補足 q q.
暗号技術・セキュリティ 情報工学科  04A1004 石川 真悟.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
目次 はじめに 収束性理論解析 数値実験 まとめ 特異値計算のための dqds 法 シフトによる収束の加速
※演習や小テスト(DES/RSA暗号に関する計算問題)と似た問題は出題しません。
Q q 情報セキュリティ 第7回:2005年5月27日(金) q q.
2008年 7月17日 応用数理工学特論 期末発表 鈴木綾華,程飛
弾力性 労働経済学.
Presentation transcript:

y - 座標復元を伴うモンゴメリ型 楕円曲線上のスカラー倍計算方法と 楕円曲線暗号における効率性の解析 桶屋 勝幸 (株)日立製作所 櫻井 幸一 九州大学 All Rights Reserved, Copyright © 2001, Hitachi, Ltd.

概要 ・ [LH00]: “Montgomery’s method CAN’ T compute the y -coordinate of kP” ・ P>2 の場合の y 座標復元方法の提案 P=2 既知 P>2 未解決 ・楕円 ElGamal 暗号の最高速実行が可能 ・モンゴメリ法の y 座標 復元 [LH00] Lim,C.H., Hwang,H.S., Fast Implementation of Elliptic Curve Arithmetic in GF(p m ), Proc. PKC’00, LNCS1751, (2000),

内容 はじめに 楕円曲線暗号におけ るy座標の必要性 y座標復元 モンゴメリ型 vs. ワイエルシュトラ ス型

内容 はじめに 楕円曲線暗号におけ るy座標の必要性 y座標復元 モンゴメリ型 vs. ワイエルシュトラ ス型

楕円曲線暗号 : 楕円曲線上の 離 散対数問題 の求解に対する困難性 に基づく公開鍵暗号 離散対数問題 : 楕円曲線上の点 と スカラー 倍 とから、 を求める問題スカラー 値 楕円曲線暗号

スカラー倍 : 楕円曲線上の 点 今までのところ特別なクラスの楕円曲 線以外に対しては準指数時間による解 法は見つかっていない。 に対して、スカ ラー値 その点を加える演算及びその結 果の点 の回数だけ 楕円曲線暗号

モンゴメリ型楕円曲線 楕円曲線法による因数分解の高速化 高速なスカラー倍計算アルゴリズ ム [Mon87] [Mon87] Montgomery,P.L., Speeding the Pollard and Elliptic Curve Methods of Factorizations, Math. Comp. 48, (1987) y座標を 用いないので ワイエル シュトラ ス型

y 座標を用いない 楕円曲線暗号への適用 ・伊豆 (1999), 竹内 - 小山 (1999), 大岸 - 境 - 笠原 (1999) y 座標復元 y 座標復元を伴うスカラー倍計算 ・ Lopez-Dahab(1999), 桶屋 - 櫻井 (2001)[ 本発表 ] モンゴメリ型楕円曲線の研究 高速演算可能 楕円曲線法による因数分解の高速化 ・ Montgomery(1987), 小山 (1987) 耐タイミング攻 撃 タイミング攻撃等への防御法 ・ Lopez-Dahab(1999), 桶屋 - 車谷 - 櫻井 (2000), Lim-Hwang(2000), 桶屋 - 櫻井 (2000)

高速スカラー倍計算方法の研究 定義体 ・素体, 標数2の有限体,OEF 座標系 ・ Affine 座標, 射影座標,Jacobian 座標, 混合座標系 楕円曲線の式 ・ Weierstrass 標準形 ( 標数 p, 標数 2),Koblitz 曲線, Montgomery-form スカラー値の表現 ・ binary 法, 符号付,NAF,Window 法 素体 射影座標 binary 法 Montgomery-form モンゴメリ 型 ワイエルシュトラ ス型 混合座標系 Window 法 Weierstrass 標準形 ( 標数 p) 素体

内容 はじめに 楕円曲線暗号におけ るy座標の必要性 y座標復元 モンゴメリ型 vs. ワイエルシュトラ ス型

でも楕円暗号には y 座標が必 要 問題と要望 モンゴメリ型は y 座標を計算 できない

y 座標を必要とするスキーム ECES( 暗号 ) ECDSA-S( 署 名 ) ・・・ ECDSA-V ( 署名検 証 ) ECElGamal( 暗 号 ) ・・・ y 座標不必要 y 座標必要 の演算が必要 の演算のみ必要 この違い は?

大岸 - 境 - 笠原の署名法の問題点 モンゴメリ型楕円曲線において y 座 標を 用いない ECDSA の署名検証方法 検証の為の計算式が2次式である 為 別の解が存在することによる [OSK99] [OSK99] 大岸 - 境 - 笠原, y 座標を必要としない楕円型署名の演算 法, Proc. SCIS’99, W4-1.3, (1999), ECDSA-V 実行の為の 一つの解決法 ハッシュ値が異なるメッセージ に対して同じ署名を受け入れる

y 座標復元 全ての楕円曲線スキームの実行が可能 モンゴメリ型の利点 ( 高速性・安全性 ) を享受できる スカラー倍計算後の y 座標を復元する のような演算が可能 耐タイミン グ攻撃など

内容 はじめに 楕円曲線暗号におけ るy座標の必要性 y座標復元 モンゴメリ型 vs. ワイエルシュトラ ス型

でも平方根は計算したくな い 要望と課題 楕円暗号に y 座標は必要 y 座標復元を 行なう時に スカラー倍計 算と比べて計 算量が大きい

y 座標復元 (P=2)[ 加算点利用法 ] 四則演算のみ モンゴメリ法による スカラー倍計算後の状 態 [LD99] スカラー倍 点 [LD99] Lopes,J., Dahab,R., Fast Multiplication on Elliptic Curves over GF(2 m ) without Precomputation, CHES’99, LNCS1717, (1999) この関係より 方程式を立て、求解 従来法

y 座標復元 (P>2)[ 加算点利用法 ] 四則演算のみ モンゴメリ法による スカラー倍計算後の状 態 スカラー倍 点 一般にy 1 の2次式となってしまう が・・・ 提案法 y 1 の2次式は消去できる

y 座標復元 (P>2)[ 差分点利用法 ] 四則演算のみ 差分点の x 座標も 既知の場合 モンゴメリ型楕円のスカラー倍にお いて 差分点は与えられない スカラー倍 点 方程式の差を取り y 1 の2次式を消去す る 提案法 この関係を 新たに追加

y 座標復元 (P>2)[ 差分点利用法 ] x 3 の計算 ( 四則演算のみ ) モンゴメリ法による スカラー倍計算後の状 態 y 座標復元 ( 差分点利用法 ) スカラー倍 点 提案法 モンゴメリの加算公式を利 用 差分点の x 座標

y 座標復元 (P>2) の計算量 加算点利用法 差分点利用法 ( 差分点が与えられた場合 ) 差分点利用法 ( 差分点も計算 ) 12M+S 10M+S 13M+2S M :乗算の計算 量 S :2乗算の計算 量 射影座標での計算量

内容 はじめに 楕円曲線暗号におけ るy座標の必要性 y座標復元 モンゴメリ型 vs. ワイエルシュトラ ス型

でも他の方法と比べて効率 的なの? y 座標復元とその効率性 y 座標復元は構成できたけ ど・・・

モンゴメリ型とワイエルシュトラス 型との高速性に関する比較 ワイエルシュトラス型 (w=4) ワイエルシュトラス型 (w=5) モンゴメリ型 (S/M)=0.8, (I/M)=30 ~ 295 ~ 391 ~ 481 ~ 2 nd 3 rd 1 st 3 rd 2 nd 1 st 3 rd 1 st 2 nd 1 st 3 rd ビット数 モンゴメリ型は 391 ビット未満のサイズでは 最高速 w : window size 各数字は高速性に関する順番を表 す ( スカラー倍計算方法 )

各種スキームにおける高速計算方法 Simultaneous-multi Montgomery with y Montgomery without y Window-Method ECES ECElGamal ECDSA-V 不必要 1 st 計算不可 2 nd 不必要 2 nd 1 st 3 rd 1 st 2 nd * 計算不可 3 rd * (160 ビット ) * : with comb method 各数字は高速性に関する順番を表 す y 座標復元はこういった 演算を要するスキームに 有効

結論 ・ [OS01]: “Montgomery’s method CAN compute the y -coordinate of kP” ・モンゴメリ法 P>2 の y 座標復元方法の 提案 ・楕円 ElGamal 暗号の最高速実行が可能 ( kP+Q の演算を含むスキーム) [OS01] 桶屋 - 櫻井, y - 座標復元を伴うモンゴメリ型楕円曲線 上のスカラー倍計算アルゴリズム, CHES2001, (2001)