| 研究概要 |
楕円曲線暗号実装にするサイドチャネル解析法を考案した.楕円曲線ドメインパラメータは,数学的安全条件を満たすように選ぶことは必須要件である.しかし,実際の情報セキュリティシステムへ楕円曲線暗号を適用するためには、数学的に安全であるだけでなく高い速度性能が得られるようなドメインパラメータを選択することが重要な要件となる.
Walterは,Montgomery乗算を用いてBrierらのunifled codeを実装した場合,左バイナリ法による楕円点倍算は単純電力解析に対して脆弱であることを示した.この結果はMontgomery乗算を用いたFp乗算であり,実際の情報セキュリティシステムで稼動している楕円曲線暗号は,pを一般化メルセンヌ素数など,高速処理向きな楕円曲線ドメインパラメータによる専用の高速アルゴリズムが実装されていることが多い.
本研究では,より一般的な楕円曲線暗号実装である一般化メルセンヌ素数など高速処理向けな定義体標数を用いた剰余算実装に対する単純電力解析を考察した.NIST推奨曲線のような一般化メルセンヌ素数を用いた高速剰余実装に対しても,unified codeのように,楕円点加算と2倍算とを同じ処理手順で実装するだけでは単純電力解析に対して安全ではないことを示した.特にNIST推奨の素体上楕円植生について,剰余算実装の単純電力解析に対する脆弱性を考案した.5つある推奨曲線のうち,192ビットの曲線に用いられる素数p=2^<192>-2^<64>-1による剰余算実装は,単純電力に対してより脆弱になりやすいことを示した。
|
