Transcript Power Point

仙台数論小研究集会2000
東北大学
2000年12月1日(金)
代数体上で定義された楕円曲線の
素因数分解への応用
(株)富士通研究所
セキュアコンピューティング研究部
伊豆 哲也
概要
楕円曲線法の効率化手法
ある代数体上でねじれ部分群が既知な楕円曲線を構成し、
その曲線を楕円曲線法へ適用する。
•
•
•
•
素因数分解と楕円曲線法
Z/4Z×Z/4Z に同型なねじれ部分群を持つ楕円曲線の構成
Z/6Z×Z/6Z に同型なねじれ部分群を持つ楕円曲線の構成
楕円曲線法への適用
素因数分解
素因数分解問題：
入力された合成数の(素)因数を見つける問題
主な素因数分解法と分解記録
二次篩
QS
C129(P64) 1994年4月
RSA129
一般数体篩
GNFS
C155(P78) 1999年8月
RSA155
特殊数体篩 SNFS
楕円曲線法
ECM
C233(P93) 2000年11月 2773+1
(P54)
1999年12月
(643-1)42-1
公開鍵暗号
公開鍵暗号の原理
公開鍵から簡単に計算できる
平文
落とし戸付き
一方向性関数
暗号文
公開鍵を知っていても簡単には計算できない
(秘密鍵を知らなければ計算できない)
関数の例：素因数分解問題・離散対数問題
公開鍵暗号の例
素因数分解問題型
•ＲＳＡ暗号
•ＥＰＯＣ
•その他
n  pq
n  p2  q
n  pd  q
n  pqr
離散対数問題型
•楕円曲線暗号
etc…
CRYPTORECプロジェクト
http://www.ipa.go.jp/security/enc/CRYPTREC/index.html
楕円曲線法 (ECM)
アルゴリズムの概要
Input : 合成数
(1)
E : Fp
n
Output : 素因数
p
で定義される楕円曲線
P に対し # E  P  O
M P O
(3) # Eの倍数 M に対し
(4) Fp のかわりに Z / nZ で考える
途中で計算不能になったときに pが現れる
(2) 任意の点
p-1 法の拡張として Lenstra Jr. により提案（1987年）
ECMによる計算例 (1)
フェルマー数 F7  2 1 （39桁）
27
E : y  x  ax  b
a  275021727037939021929966331368637745912
2
M
3
e
p

p: prim e, p e 25000 p e1
p  59649589127497217 （17桁）
# E( Fp )  212  3137 739 827 57977
ECMによる計算例 (2)
n  (87541 1) / 35333198 （114桁）
E : y  x  ax  b
2
M
3
a  6025.... （114桁）
e
p

p: prim e, p e 100000
 p e1
p  946245326997772574146543757184
074761849292544326417 （51桁）
# E( Fp )  26  32  55  2083 7307 9479121493163847
195497 224813 550177 7569839
2000年5月14日発見 (Izu, ECMによる発見記録の第５位)
パラメータの設定
ECMが素因数を見つける条件は？
# EFp  M
M の設定（多くの約数を持って欲しい）
M
e
p

pe  LIMIT  pe1
pLIMIT
E の設定
# EFp 
は smooth であって欲しい
楕円曲線の生成
どのように楕円曲線を生成するか？
# EFp 
はランダムに動くので制御が難しい
d |# EFp 
となる曲線を使用すればランダムに
ふるまう部分は
1/d になる

ci
P(d )
e log p 

 pow d , 
log
P(1)
log LIMITi 
 i 1,2 log LIMITi
d  12,16
となる生成法が良く用いられている
ねじれ部分群の構造
定理（Mazur）
Z / Z (  1,2,...,10,12)
E(Q)tor  
Z / 2Z  Z / 2Z (  1,2,3,4)
定理（Kamienny-Kenku-Momose）
 Z / Z (  1,2,...,16,18)
 Z / 2Z  Z / 2Z (  1,2,3,4,5,6)

E Q m tor  
 Z / 3Z  Z / 3Z (  1,2)
 Z / 4Z  Z / 4Z
  
ねじれ部分群
E(K )tor  Z / d1Z  Z / d2 Z
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 18
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 18
2
4
3
4
8
9
12
16
20
24
18
16
  
E4 Q 1
E6 K tor  Z / 6Z  Z / 6Z
tor
 Z / 4Z  Z / 4Z
楕円曲線の構成
E(K )tor  Z / d1Z  Z / d2 Z
Kubert-form elliptic curve
Eb,c : y  (1  c) xy  by  x  bx
2
3
2
P  (0,0) 2P  (b, bc) 3P  (c, b  c)
4P  (r (r 1), r 2 (c  r  1)) b  cr
m
E( K )  Z / mZ  Z / mZ
 K 上で m が完全分解される
Division polynomial
d=16 となる曲線の構成
命題
（Izu）
8
4
12
8
4

s

14
s

1

s

33
s

33
s
1
2
3
E4 : y  x 
x
48
864
は
  上で Z / 4Z  Z / 4Z に同型なねじれ部分群
Q 1
を持つ
  s 4  5 3s 4  3 

P1  
,
16 
 12
  s 4  6s 2 1  6s(s 2 1) 1 s(s 2 1) s  1 2 

P2  
,


12
4




d=18 となる曲線の構成
定理（Yoshimura）
y 2  x3  2160 上の無限位数の点 P  (16,44) について
mP  ( xm , ym ) とする。
3
t  xm / 12, r  (t  8) / 9 とおけば
1
2
3
3
2
Et : y  x  3r  2 3r  6r  12r  8 x
3
2
2
4
2

3r 12r  8 9r  24r  24r  8
27
は Q  3 上で Z / 3Z  Z / 6Z に同型なねじれ部分群

 




を持つ。
命題 (Izu)
命題
（Izu）
(1) Et Q は
 
Z / 6Z に同型なねじれ部分群を持つ。
  t 6 16t 3  44  4t 6  28t 3  32 

Q1  
,
81
81


(2)
   は Z / 3Z  Z / 6Z に同型なねじれ部分群
Et Q  3
を持つ。
  t  6t  4t  18t  12t  4  6t  18t 12t
Q  

,
81
81

 6t 7  18t 5  24t 4  36t 2  24t  2t 7  6t 5  8t 4  36t 3 12t 2  8t 


243
243

6
'
1
4
3
2
4
2
d=36 となる曲線の構成
命題（Izu）
t (t 3  8)
とすると,
   3,  
9
Z / 6Z  Z / 6Z
Et Q ,  
に同型なねじれ部分群を持つ。
  t 6 16t 3  44  4t 6  28t 3  32 

Q1  
,
81
81


は
d=36 となる曲線の構成
  t 6  3t 5  3t 4  22t 3  24t 2  24t  4
Q2  
81

t 5  t 4  8t 2  8t
t 3  3t 2  6t  2
t 3  3t 2  2



 ,
27
9
9
t 8  5t 7  16t 5  44t 4  64t 2  32t
81
 t 8  5t 7  18t 6 16t 5  44t 4  144t 3  64t 2  32t


243
t 6  3t 5  22t 3  24t 2  4
 t 6  3t 5  22t 3  24t 2  36t  4 


 
27
81

ECMへの適用
E4 の適用
E4 (Fp )  Z / 4Z  Z / 4Z  p  1 (mod4)
 16にならない
従来の d  16 なる曲線の方が効果的
1/2 の確率でしか d
E6 の適用
E6 ( Fp )  Z / 6Z  Z / 6Z
 t (t 3  8) 
  1
 p  1 (mod6) and 
 p 
1/4 の確率でしか d  36にならない
FUJITSU logo
All Rights Reserved, Copyright (C) FUJITSU 2000