ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6228940
(24)【登録日】2017年10月20日
(45)【発行日】2017年11月8日
(54)【発明の名称】標本装置、標本方法、およびプログラム
(51)【国際特許分類】
G09C 1/00 20060101AFI20171030BHJP
G06F 7/544 20060101ALI20171030BHJP
【FI】
G09C1/00 650A
G06F7/544 Z
G09C1/00 620A
【請求項の数】8
【全頁数】13
(21)【出願番号】特願2015-1453(P2015-1453)
(22)【出願日】2015年1月7日
(65)【公開番号】特開2016-126227(P2016-126227A)
(43)【公開日】2016年7月11日
【審査請求日】2017年1月5日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100121706
【弁理士】
【氏名又は名称】中尾 直樹
(74)【代理人】
【識別番号】100128705
【弁理士】
【氏名又は名称】中村 幸雄
(74)【代理人】
【識別番号】100147773
【弁理士】
【氏名又は名称】義村 宗洋
(72)【発明者】
【氏名】星野 文学
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特開2004−271792(JP,A)
【文献】
国際公開第2010/061951(WO,A1)
【文献】
星野 文学,Barret-Naehrig曲線に関して,2015年 暗号と情報セキュリティシンポジウム SCIS2015 [CD−ROM],日本,電子情報通信学会情報セキュリティ研究専門委員会(ISEC研),2015年 1月20日,1F2−4,pp.1−5
【文献】
Mehdi Tibouchi,A Note on Hashing to BN Curves,2012年 暗号と情報セキュリティシンポジウム予稿集,日本,電子情報通信学会情報セキュリティ研究専門委員会(ISEC研),2012年 1月30日,1B2−1E,pp.1−8
【文献】
Michael Scott, et al.,Fast hashing to G2 on pairing friendly curves,Cryptology ePrint Archive: Report 2008/530,[オンライン],2008年12月18日,Version: 20081219:223630,[検索日 平成29年 9月29日]、インターネット,URL,<https://eprint.iacr.org/2008/530.pdf>
【文献】
Diego F. Aranha, et al.,The Realm of the Pairings,Cryptology ePrint Archive: Report 2013/722,[オンライン],2014年 4月 7日,Version: 20140407:201234,[検索日 平成29年 9月28日]、インターネット,URL,<https://eprint.iacr.org/2013/722.pdf>
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
G06F 7/544
(57)【特許請求の範囲】
【請求項1】
有限体上で定義された第1楕円曲線の位数がnであり、前記有限体の拡大体上で定義された第2楕円曲線の位数がm×n>nであり、αがmと互いに素な整数であり、
入力された前記拡大体の元を前記第2楕円曲線上の対応点へ写す写像部と、
前記対応点の楕円α×m倍点を前記第2楕円曲線上のn等分点として得る楕円倍算部と、
を有する標本装置。
入力された前記拡大体の元を前記第2楕円曲線上の対応点へ写す写像部と、
前記対応点の楕円α×m倍点を前記第2楕円曲線上のn等分点として得る楕円倍算部と、
を有する標本装置。
【請求項2】
請求項1の標本装置であって、
α=1である標本装置。
α=1である標本装置。
【請求項3】
請求項1または2の標本装置であって、
α≠1であり、
前記楕円倍算部は、前記第2楕円曲線上のフロベニウス写像を用いて前記第2楕円曲線上の楕円α×m倍点を得、
前記第2楕円曲線上のフロベニウス写像を用いて前記第2楕円曲線上の楕円α×m倍点を得るための演算量は、前記第2楕円曲線上の楕円m倍算の演算量よりも小さい、標本装置。
α≠1であり、
前記楕円倍算部は、前記第2楕円曲線上のフロベニウス写像を用いて前記第2楕円曲線上の楕円α×m倍点を得、
前記第2楕円曲線上のフロベニウス写像を用いて前記第2楕円曲線上の楕円α×m倍点を得るための演算量は、前記第2楕円曲線上の楕円m倍算の演算量よりも小さい、標本装置。
【請求項4】
請求項1から3の何れかの標本装置であって、
前記第1および第2楕円曲線がBN曲線であり、
n=36u4+36u3+18u2+6u+1であり、
m=36u4+36u3+30u2+6u+1であり、
uが整数の媒介変数である標本装置。
前記第1および第2楕円曲線がBN曲線であり、
n=36u4+36u3+18u2+6u+1であり、
m=36u4+36u3+30u2+6u+1であり、
uが整数の媒介変数である標本装置。
【請求項5】
請求項4の標本装置であって、
前記楕円倍算部は、前記第2楕円曲線上のフロベニウス写像ψを用いた演算6u−ψ3+3ψ2−ψまたは前記演算6u−ψ3+3ψ2−ψに変更可能な前記フロベニウス写像ψを用いた演算によって、前記第2楕円曲線上の楕円α×m倍点を得る、標本装置。
前記楕円倍算部は、前記第2楕円曲線上のフロベニウス写像ψを用いた演算6u−ψ3+3ψ2−ψまたは前記演算6u−ψ3+3ψ2−ψに変更可能な前記フロベニウス写像ψを用いた演算によって、前記第2楕円曲線上の楕円α×m倍点を得る、標本装置。
【請求項6】
請求項4または5の標本装置であって、
前記拡大体の元がtであり、(x0,y0)が無限遠点を除く前記第2楕円曲線上のx0y0≠0なる任意の点であり、ξが1の原始3乗根であり、g(x)=x3+b’であり、b’が前記拡大体の元であり、χ(−t)=−χ(t)およびχ(0)=1を満たし、
であり、
前記写像部は、
t=0であれば、(x1(t),χ(t)g(x1(t))1/2)を前記対応点とし、
1+t2=0であれば、(x3(t),χ(t)g(x3(t))1/2)を前記対応点とし、
t≠0かつ1+t2≠0であれば、g(xj(t))1/2が前記拡大体の元となる最小のj∈{1,2,3}についての(xj(t),χ(t)g(xj(t))1/2)を前記対応点とする、標本装置。
前記拡大体の元がtであり、(x0,y0)が無限遠点を除く前記第2楕円曲線上のx0y0≠0なる任意の点であり、ξが1の原始3乗根であり、g(x)=x3+b’であり、b’が前記拡大体の元であり、χ(−t)=−χ(t)およびχ(0)=1を満たし、
【数5】
であり、
前記写像部は、
t=0であれば、(x1(t),χ(t)g(x1(t))1/2)を前記対応点とし、
1+t2=0であれば、(x3(t),χ(t)g(x3(t))1/2)を前記対応点とし、
t≠0かつ1+t2≠0であれば、g(xj(t))1/2が前記拡大体の元となる最小のj∈{1,2,3}についての(xj(t),χ(t)g(xj(t))1/2)を前記対応点とする、標本装置。
【請求項7】
有限体上で定義された第1楕円曲線の位数がnであり、前記有限体の拡大体上で定義された第2楕円曲線の位数がm×nであり、m×n>nであり、αがmと互いに素な整数であり、
写像部が、入力された前記拡大体の元を前記第2楕円曲線上の対応点へ写す写像ステップと、
楕円倍算部が、前記対応点の楕円α×m倍点を前記第2楕円曲線上のn等分点として得る楕円倍算ステップと、
を有する標本方法。
写像部が、入力された前記拡大体の元を前記第2楕円曲線上の対応点へ写す写像ステップと、
楕円倍算部が、前記対応点の楕円α×m倍点を前記第2楕円曲線上のn等分点として得る楕円倍算ステップと、
を有する標本方法。
【請求項8】
請求項1から6の何れかの標本装置としてコンピュータを機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、楕円曲線上の点からなる特定の群上の元を標本する技術に関する。
【背景技術】
【0002】
楕円曲線暗号において、平文やハッシュ値といった任意の文字列をどのように楕円曲線上の点へ写すかという問題について長い間関心が注がれてきた。重要なpairing-friendly楕円曲線の一つにBarreto-Naehrig曲線(BN曲線)がある(例えば、非特許文献1等参照)。代数閉体上では、同型となる次の2つの楕円曲線によってBN曲線が定義される。E/Fp:y2=x3+b
E’/Fρ:y2=x3+b’
ただし、E/Fpは位数p(ただしpは素数)の有限体Fp上で定義された楕円曲線であり、E’/Fρは位数ρ=p2の有限体Fρ(Fpを基礎体とした拡大体)上で定義された楕円曲線である。E/Fpの位数を#E/Fpと表記し、E’/Fρの位数を#E’/Fρと表記する。また、E/Fpのn等分点の集合をE/Fp[n]と表記し、E’/Fρのn等分点の有限集合をE’/Fρ[n]と表記する。これらの有限集合E/Fp[n]およびE’/Fρ[n]はそれぞれ郡をなし、それぞれを以下のように表記する。
G1=E/Fp[n]
G2=E’/Fρ[n]
【0003】
非特許文献2には、有限体上の任意の元をBN曲線上に写すアルゴリズムF’が開示されている。E/Fp全体がG1=E/Fp[n]となるように楕円曲線E/Fpを設定しておけば、アルゴリズムF’を用いて任意の元に対応する群G1上の元を標本できる。
【0004】
ここで強識別不可能性と許容符号化の概念を説明する。<強識別不可能性>
暗号学的理想原始関数hへの神託照会が許されるチューリング機械Cに関し、Cの理想原始関数Hへの神託照会が許される実行時間tsのhの模倣器Sが存在し、どのような最大実行時間tD,最大照会回数qDの識別器Dに対しても以下を満たすならば、ChはHと(tD,ts,qD,ε)−強識別不可能であるという。
【数1】
ただし、|β|はβの絶対値を表し、Pr[γ]は事象γの確率を表し、Dβ,γは識別器Dがβ,γを照会して1と判別する事象を表し、ChおよびSHはhを照会するCおよびHを照会するSをそれぞれ表し、εは安全変数kの関数値を表す。多項式限度のtD,ts,qDに対してεが無視可能関数であるならば、ChはHと強識別不可能であるという。
【0005】
<許容符号化>W,Uを有限集合とする。次の3つの性質を満たす関数F:W→Uをε−許容符号化という。
[計算可能性]Fは確定多項式時間で計算可能である。
[正規性]W上で一様に分布する確率変数wに対するF(w)がU上の一様分布とε−統計的識別不可能である。
[標本可能性]あらゆるu∈Uに対して効率的な乱択アルゴリズムIが存在し、入力uに対してアルゴリズムIが出力するI(u)の分布がF−1(u)とε−統計的識別不可能である。
なお、βがγとε−統計的識別不可能とは、無視可能関数εについてβとγとの間の統計的距離がε未満であることを意味する。また「β→γ」はβをγに写す(写像する)ことを意味する。
【0006】
<定理>次のような定理が成り立つ。h:{0,1}*→Wがランダムオラクル(暗号学的理想原始関数)であり、F:W→Uがε−許容符号化であるとする。tIをアルゴリズムIの最大実行時間とし、ts=2qD・tIとし、ε’=4qD・εとする。このときF(h(・)):{0,1}*→Uはランダムオラクル(理想原始関数)H:{0,1}*→Uと(tD,ts,qD,ε’)−強識別不可能である。
【0007】
<アルゴリズムF’の安全性>しかし、前述したアルゴリズムF’の出力には明らかな分布の偏りがあるため、上記のランダムオラクルhを使ってF’(h(・))を構成しても、εを無視可能関数とすることができない。すなわち、アルゴリズムF’は正規性および標本可能性を持たず、ε−許容符号化とはならない。そのため、アルゴリズムF’は上述の定理に基づく安全性を持たない。
【0008】
この問題を解決するため、非特許文献2では、h1,h2をランダムオラクルとした次のようなアルゴリズムF”:{0,1}*→E(Fq)が提案されている。F”:x→F’(h1(x))+F’(h2(x))
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】Paulo S. L. M. Barreto1 and Michael. Naehrig, “Pairing-Friendly Elliptic Curves of Prime Order,” In B. Preneel and S. E. Tavares, editors, Selected Areas in Cryptography, 12th International Workshop, SAC 2005, Kingston, ON, Canada, August 11-12, 2005, Revised Selected Papers, Volume 3897 of Lecture Notes in Computer Science, pages 319-331, Springer, 2005.
【非特許文献2】P. Fouque and M. Tibouchi, “Indifferentiable hashing to barreto-naehrig curves,” In A. Hevia and G. Neven, editors, Progress in Cryptography, LATINCRYPT 2012 - 2nd International Conference on Cryptography and Information Security in Latin America, Santiago, Chile, October 7-10, 2012, Proceedings, Volume 7533 of Lecture Notes in Computer Science, pages 1-17, Springer, 2012.
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上述のアルゴリズムF”ではF’を2回計算する必要があり、計算量が多い。
【0011】
本発明の課題は、安全かつ少ない演算量で楕円曲線上の等分点からなる群上の元を標本する技術を提供することである。
【課題を解決するための手段】
【0012】
有限体上で定義された第1楕円曲線の位数がnであり、当該有限体の拡大体上で定義された第2楕円曲線の位数がm×n>nであり、αがmと互いに素な整数であり、入力された拡大体の元を第2楕円曲線上の対応点へ写し、当該対応点の楕円α×m倍点を第2楕円曲線上のn等分点として得る。
【発明の効果】
【0013】
本発明では、安全かつ少ない演算量で楕円曲線上の等分点からなる群上の元を標本できる。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施形態を説明する。[概要]
まず実施形態の概要を説明する。
有限体上で定義された第1楕円曲線の位数がnであり、有限体の拡大体上で定義された第2楕円曲線の位数がm×n>nであり、αがmと互いに素な整数であるとする。n,m,αは正の整数である。各実施形態では、入力された当該拡大体の元を当該第2楕円曲線上の対応点へ写し、当該対応点の楕円α×m倍点を第2楕円曲線上のn等分点として得る。このように得られる第2楕円曲線上のn等分点は、それぞれ第2楕円曲線上のm個の互いに異なる対応点に対応する。すなわち、上述の楕円α×m倍算は、第2楕円曲線上の互いに異なるm個の対応点を同一のn等分点に写す。そのため、拡大体の元を第2楕円曲線上の対応点へ写すアルゴリズムに分布の偏りがあったとしても、最終的に得られるn等分点の偏りは小さくなり、安全性が向上する。特に大数の法則に従う場合には、正規性および標本可能性を満たし、良く知られた効率的な楕円倍算の手法を用いれば計算可能性も満たす。そのため、ε−許容符号化の要件を満たし、本形態の方式は全体としてランダムオラクルと(tD,ts,qD,ε’)−強識別不可能となる。また、拡大体の元を第2楕円曲線上の対応点へ写すための計算は1回だけでよく、非特許文献2に開示された方式よりも計算量が少ない。以上より、安全かつ少ない演算量で楕円曲線上の等分点からなる群上の元を標本できる。
【0016】
αはmと互いに素であるため、第2楕円曲線上での対応点の楕円α×m倍算は、当該対応点の楕円m倍算を行い、さらに第2楕円曲線のn等分点からなる群上でα倍算することと等しい。そのため、α≠1であったとしても、対応点の楕円α×m倍点は第2楕円曲線のn等分点からなる群の何れかの元となる。そのため、α=1であってもよいし、α≠1であってもよい。通常の楕円倍算ではα=1の場合の方がα≠1の場合よりも演算量が小さい。一方、α≠1とした場合でも、第2楕円曲線上のフロベニウス写像を用いて楕円α×m倍点を得ることで、通常の第2楕円曲線上の楕円m倍算よりも演算量を小さくできる場合もある。例えば、第1および第2楕円曲線がBN曲線であり、n=36u4+36u3+18u2+6u+1であり、m=36u4+36u3+30u2+6u+1であり、uが整数の媒介変数である場合、第2楕円曲線上のフロベニウス写像ψを用いた演算6u−ψ3+3ψ2−ψによって第2楕円曲線上の楕円α×m倍点を得てもよい。この演算量は、通常の楕円倍算を行って楕円m倍点を得るよりも少ない。また、フロベニウス写像ψはψ4−ψ2+1=0の関係を満たす。そのため、この関係を用いて6u−ψ3+3ψ2−ψに変更可能な他の演算によって、第2楕円曲線上の楕円α×m倍点を得てもよい。その他、α=1とし、第2楕円曲線上のフロベニウス写像を用いて楕円α×m倍点を得てもよい。
【0017】
[第1実施形態]次に第1実施形態を説明する。
本形態では、第1および第2楕円曲線が以下のBN曲線である場合を例示する。
E/Fp:y2=x3+b
E’/Fρ:y2=x3+b’
ただし、E/Fpは位数pの有限体Fp上で定義された楕円曲線(第1楕円曲線)であり、E’/Fρは位数ρ=p2の有限体Fρ(Fpを基礎体とした拡大体)上で定義された楕円曲線(第2楕円曲線)である。xおよびyは変数(座標値)であり、b∈Fpおよびb’∈Fρは定数である。E/Fpの位数を#E/Fpと表記し、E’/Fρの位数を#E’/Fρと表記する。n=#E/Fpとし、m=(#E’/Fρ)/(#E/Fp)とし、uを整数の媒介変数とすると、p,n,mは以下の関係を満たす。
p=36u4+36u3+24u2+6u+1
n=36u4+36u3+18u2+6u+1
m=36u4+36u3+30u2+6u+1
このようなmは位数の余因数と呼ばれ、#E’/Fρ=m×n>nとなる。pは素数であり、nおよびmは素数であってもよいし、素数以外の正整数であってもよい。
【0018】
<構成>図1Aに例示するように、本形態の標本装置1は、入力部11と写像部12と楕円倍算部13と出力部14とメモリ15を有する。図1Bに例示するように、本形態の写像部12は、第1判定部121と第2判定部122と第3判定部123と出力部124を有する。標本装置1は、例えば、CPU(central processing unit)等のプロセッサ(ハードウェア・プロセッサ)やRAM(random-access memory)・ROM(read-only memory)等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される装置である。このコンピュータは1個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めROM等に記録されていてもよい。また、CPUのようにプログラムが読み込まれることで機能構成を実現する電子回路(circuitry)ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。また、1個の装置を構成する電子回路が複数のCPUを含んでいてもよい。以降では説明を省略するが、標本装置1の各部に入出力される情報は、メモリ15に格納され、必要に応じて読み出される。
【0019】
<処理>図3Aを用いて本形態の処理を説明する。
まず、有限体Fρ(拡大体)の任意の元t∈Fρが入力部11に入力され、写像部12に送られる(ステップS11)。写像部12は、送られた元tに対して後述するアルゴリズムfを適用し、元tを楕円曲線E’/Fρ上の対応点f(t)=(tx,ty)∈E’/Fρへ写す。得られた対応点f(t)は楕円倍算部13に送られる(ステップS12)。楕円倍算部13は、送られた対応点f(t)に対し、楕円曲線E’/Fρ上の楕円m倍算(vx,vy)=[m]f(t)∈E’/Fρを行う。楕円曲線E’/Fρの位数#E’/Fρはn×mであるため、対応点f(t)の楕円m倍点(vx,vy)は#E’/Fρ上のn等分点となる。#E’/Fρ上のn等分点からなる有限集合#E’/Fρ[n]は群(本形態では巡回群)をなし、(vx,vy)はその群の元(vx,vy)∈#E’/Fρ[n]となる(ステップS13)。元(vx,vy)は出力部14に送られ、出力部14は元(vx,vy)を出力する(ステップS14)。
【0020】
≪アルゴリズムfの詳細の例示≫アルゴリズムfの詳細を例示する。無限遠点Oを除く楕円曲線E’/Fρ上のx0y0≠0なる任意の点を(x0,y0)∈(E’/Fρ)\Oとし、1の原始3乗根をξとする。この場合、元t∈Fρに対して以下のx1(t),x2(t),x3(t)∈Fρのうち、最低1つは楕円曲線E’/Fρ上のx座標となる。
【数2】
【0021】
写像部12は、元tに次のアルゴリズムfを適用することで楕円曲線E’/Fρ上の対応点f(t)を得る(図3B)。まず、写像部12の第1判定部121(図1B)に元tが入力され、第1判定部121がt=0∈Fρであるかを判定する(ステップS121)。t=0であれば、第1判定部121はi:=1に設定し(ステップS122)、処理をステップS126に進める。ただし、「β:=γ」は「βをγとする(γをβに代入する)こと」を意味する。t≠0であれば、元tが第2判定部122に入力され、第2判定部122が1+t2=0∈Fρであるかを判定する(ステップS123)。1+t2=0であれば、第2判定部122はi:=3に設定し(ステップS124)、処理をステップS126に進める。1+t2≠0であれば、元tが第3判定部123に入力され、第3判定部123はg(xj(t))1/2が有限体Fρの元となるようなj∈{1,2,3}のうち最小のjをiに設定し、処理をステップS126に進める。ただし、g(x)=x3+b’である(ステップS125)。ステップS126では、出力部124が【数3】
を楕円曲線E’/Fρ上の対応点f(t)として出力する。ただし、χ:Fρ→{−1,1}は、任意の元t∈Fρに対してχ(−t)=−χ(t)となり、χ(0)=1となる関数である(ステップS126)。
【0022】
<本形態の特徴>本形態の方式では、有限体Fρの元tを楕円曲線E’/Fρ上の対応点f(t)へ写すアルゴリズムfの計算回数は1回だけでよく、演算速度が非特許文献2に開示された方式のおよそ2倍となる。また、BN曲線上での効率的な楕円倍算方式が存在するため、本形態の方式は計算可能性を満たす。さらに以下の理由により、正規性および標本可能性も満たす。従って、本形態の方式はランダムオラクルと(tD,ts,qD,ε’)−強識別不可能である。
【0023】
≪正規性≫ステップS13の楕円m倍算は、楕円曲線E’/Fρ上のm個の互いに異なる対応点f(t)=(tx,ty)を同一のn等分点に写す。mは十分に大きく、この演算によって得られるn等分点からなる有限集合E’/Fρ[n]は大数の法則に従う。そのため、アルゴリズムfの個々の出力f(t)の分布に偏りがあったとしても、この楕円m倍算によって得られるn等分点の分布の偏りはほとんど無視でき、一様分布とε−統計的識別不可能となる。そのため、本形態の方式は正規性を満たす。
【0024】
≪標本可能性≫以下のアルゴリズムにより、有限集合E’/Fρ[n]の任意の元Λ∈E’/Fρ[n]を、それに対応する有限体Fρの元t∈Fρに写すことができる。
入力:Λ∈E’/Fρ[n]
出力:t∈Fρ
手続:
1−1)楕円曲線E’/Fρ上のm等分点からなる有限集合E’/Fρ[m]の任意の元Γ∈E’/Fρ[m]を選択する。
1−2)Ω=Λ+Γ∈E’/Fρを計算する。
1−3)有限体Fρの元を要素とする集合L=I’(Ω)を計算する。
1−4)集合{1,・・・,d}(dは正の整数)から任意の元μ∈{1,・・・,d}を選択する。
1−5)μ≦#Lなら集合Lの任意の元t∈Lを出力して終了する。ただし、#Lは集合Lの位数である。
1−6)μ≦#Lでないなら「1−1」に戻る。
【0025】
I’(Ω)としては、例えば、以下のようなアルゴリズムを用いることができる。入力:Ω=(x,y)∈E’/Fρ
出力:L⊂Fρ
手続:
2−1)Lを空集合にする。
2−2)tに関する方程式(x−ξ2x0)t2+(x−ξx0)=0が有限体Fρ上に根を持つなら、y=χ(t)g(t)1/2を満たす方の根をt1とし、L:=L∪{t1}とする。
2−3)tに関する方程式(x−ξx0)t2+(x−ξ2x0)=0が有限体Fρ上に根を持つなら、y=χ(t)g(t)1/2を満たす方の根をt2とし、g(x1(t2))1/2∈Fρでないならば、L:=L∪{t2}とする。
2−4)tに関する方程式
【数4】
が有限体Fρ上に4つの根を持つなら、y=χ(t)g(t)1/2を満たす2つの根をt3,t4とし、有限体Fρ上に2つの根を持つなら、y=χ(t)g(t)1/2を満たす方の根をt3とする。t3が存在し、g(x1(t3))1/2∈Fρでなく、かつ、g(x2(t3))1/2∈Fρでないならば、L:=L∪{t3}とする。t4が存在し、g(x1(t4))1/2∈Fρでなく、かつ、g(x2(t4))1/2∈Fρでないならば、L:=L∪{t4}とする。
2−5)Lを出力する。
【0026】
上述のアルゴリズムI’(Ω)は、入力値Ωによっては出力されるLが空集合となる場合がある。そのため、アルゴリズムI’(Ω)自身は乱択アルゴリズムIとε−統計的識別不可能ではない。しかしながら、各Λ∈E’/Fρはm個のE’/Fρの元Ωの何れかとされ、mは十分に大きい。そのため、大数の法則に従い、1−1)〜1−6)のアルゴリズムは乱択アルゴリズムIとε−統計的識別不可能となり、本形態の方式は標本可能性を満たす。
【0027】
なお、本形態のステップS13では楕円m倍算(vx,vy)=[m]f(t)∈E’/Fρを行ったが、これに代えて楕円α×m倍算(vx,vy)=[α×m]f(t)∈E’/Fρを行ってもよい。
【0028】
[第2実施形態]楕円曲線E’/Fρには、楕円曲線E’/Fρ上の演算を高速に行うことができるフロベニウス写像と呼ばれる線形演算ψ:E’/Fρ→E’/Fρが存在する。BN曲線の設定ではあるf1,f2∈Fρが存在し、
ψ:(X,Y)→(f1X*,f2Y*)
と計算できる。ただし、(X,Y)は楕円曲線E’/Fρ上の点であり、X*,Y*はそれぞれX,YのFρ上共役である。ψ4−ψ2+1=0の関係を満たす。本形態では、このフロベニウス写像ψを用いて楕円曲線E’/Fρ上の楕円α×m倍点(vx,vy)を得る。以下では第1実施形態との相違点を中心に説明し、既述の事項については同じ参照番号を流用して説明を省略する。
【0029】
<構成>図1Aに例示するように、本形態の標本装置2は、入力部11と写像部12と楕円倍算部23と出力部14とメモリ15を有する。標本装置2は、前述のコンピュータが所定のプログラムを実行することで構成される装置であってもよいし、電子回路を用いて一部またはすべての処理部が構成される装置であってもよい。
【0030】
<処理>図3Aを用いて本形態の処理を説明する。本形態では、第1実施形態で説明したステップS11,S12の処理が実行され、ステップS13に代えて以下のステップS23の処理が実行され、その後、第1実施形態で説明したステップS14の処理が実行される。ステップS23の処理を説明する。
【0031】
≪ステップS23≫楕円倍算部23は、送られた対応点f(t)に対し、フロベニウス写像ψを用いて楕円曲線E’/Fρ上の楕円α×m倍点[α×m]f(t)∈E’/Fρを得て出力する。α=1であってもよいし、α≠1であってもよく、フロベニウス写像ψを用いた楕円α×m倍点[α×m]f(t)の演算方法に限定はない。本形態の楕円曲線E’/Fρは位数n×mの巡回群をなし、フロベニウス写像ψの固有値λに関する固有空間となる(巡回群をなす楕円曲線に共通)。この場合、点Θ∈E’/Fρにフロベニウス写像ψを作用させることと、楕円曲線E’/Fρ上で点Θを楕円λ倍算することとが等しくなる(ψΘ=λΘ)。ここで固有値λに関する関数c(λ)がc(λ)≠0 (mod n)およびc(λ)=0 (mod m)を満たすのであれば、点Θの楕円c(λ)倍算は点Θのα×m倍算となる。このようなc(λ)のλをψに置換した形で表現される演算を対応点f(t)に作用させることが、フロベニウス写像ψを用いた楕円α×m倍点[α×m]f(t)を得るための演算Φである。ただし、フロベニウス写像ψを用いた楕円α×m倍点[α×m]f(t)の演算に必要な演算量が通常のf(t)の楕円m倍算の演算量よりも小さくなることが望ましい。例えば、楕円倍算部23は、以下のような演算Φによって楕円α×m倍点[α×m]f(t)を得ることが望ましい。
Φ:T→(6u−ψ3+3ψ2−ψ)T (1)
ただし、T∈E’/Fρであり、T=f(t)とすることで楕円α×m倍点[α×m]f(t)を計算できる。
【0032】
≪T→(6u−ψ3+3ψ2−ψ)Tの演算例≫図2に例示するように、式(1)の演算を行う楕円倍算部23は、演算部230〜238および出力部239を有する。この場合、図4に例示するように、演算部230は入力されたf(t)をTに代入し(T:=f(t)∈E’/Fρ),得たTを出力する(ステップS230)。演算部231は、入力されたTをRに代入し(R:=T)、得たRを出力する(ステップS231)。演算部232はTを入力としてQ:=(6u)Tを得て出力する(ステップS232)。演算部233はRを入力としてR:=ψRを得て出力する(ステップS233)。演算部234はQを入力としてQ:=Q−Rを得て出力する(ステップS234)。演算部235はRを入力としてR:=ψRを得て出力する(ステップS235)。演算部236はQを入力としてQ:=Q+3Rを得て出力する(ステップS236)。演算部237はRを入力としてR:=ψRを得て出力する(ステップS237)。演算部238はQを入力としてQ:=Q−Rを得て出力する(ステップS238)。出力部239はQを出力する(ステップS239)。
【0033】
<本形態の特徴>本形態では、フロベニウス写像ψを用いて楕円曲線E’/Fρ上の楕円α×m倍点[α×m]f(t)を計算するため、第1実施形態の方式よりも高速化できる場合がある。例えば、式(1)の方法を用いた場合には、第1実施形態の方式に比べて約4倍の高速化が実現できる。
【0034】
[その他の変形例等]なお、本発明は上述の実施の形態に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、前述した1−1)〜1−6)の各処理をそれぞれ実行する処理部31−1〜31−6を備え、入力Λから出力tを得る装置を構成してもよい。このような装置は、前述のコンピュータが所定のプログラムを実行することで構成される装置であってもよいし、電子回路を用いて一部またはすべての処理部が構成される装置であってもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
【0035】
上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な(non-transitory)記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。
【0036】
このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
【0037】
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記録装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。
【0038】
上記実施形態では、コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されたが、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。
【産業上の利用可能性】
【0039】
本発明は、例えばIDベース暗号方式や関数暗号方式等の楕円曲線を用いた暗号方式において、有限体上の任意値を楕円曲線上の点に安全かつ高速にマッピングするために利用できる。
【符号の説明】
【0040】
1,2 標本装置