| 研究課題/領域番号 |
22300002
|
|---|
| 研究機関 | 筑波大学 |
|---|
研究代表者 |
岡本 栄司 筑波大学, システム情報系, 教授 (60242567)
|
|---|
| 研究分担者 |
金岡 晃 筑波大学, システム情報系, 助教 (00455924)
満保 雅浩 金沢大学, 電子情報学系, 教授 (60251972)
|
|---|
| キーワード | 公開鍵暗号 / ペアリング暗号 / 楕円曲線 / 合成数位数 / 最終べき乗 / Weilペアリング / Tateペアリング / Millerのアルゴリズム |
|---|
| 研究概要 |
暗号に用いられているペアリングにはWeilペアリングとTateペアリングの2つがあるが、現在はTateペアリングが主流である。Weilペアリング、Tateペアリングはそれぞれ、e_weil(P,Q)=f_P(D_Q)/f_Q(D_P)、e_tate(P,Q)=f_P(D_Q)dただしd=(q^k-1)/rで表されるのだが、Weilペアリングの計算ではMillerのアルゴリズムと呼ばれる「関数計算」を2回要するのに対しTateペアリングではそれが1回で済むため、Tateペアリングでは最後にd乗をする操作(最終べき乗と呼ばれる)が必要なものの、それを考えてもTateペアリングが高速とされている。
しかし、楕円曲線の係数体GF(q)のサイズと、埋込み次数と呼ばれるパラメータkが大きくなると、べき乗指数のdはそれに従い大きくなる。例えば、従来のペアリング暗号ではqは160ビットから256ビットの数、kは6から12程度の数で盛んに実装されているが、我々の研究対象である「合成数位数の楕円曲線」上でのペアリング計算においては、qは最低でも1024ビット(現在では2048ビットが推奨されている)であるので、dが飛躍的に大きくなることが予想される。そうなると、d乗にかかるコストと「関数計算」1回のコストのバランス次第ではWeilペアリングとTateペアリングの優劣が逆転する可能性もあり得る。逆転する場合は、その境界点にあたるqのビット長さやkの値がどの程度になるか把握しておくことが重要であると考える。
そこで、、本研究では、qのビット長とkをいくつか固定して合成数位数の楕円曲線を生成し、その曲線上でのTateペアリングの実装を行ない、関数計算とd乗の計算時間を実測した。その結果、d乗の計算は関数計算に比べ非常に少なく、実用レベルではTateペアリングが十分有効であることを検証できた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
初年度(22年度)にスカラー倍計算についての効率の検討、そして本年度にベアリング計算の検討が達成され、ペアリング暗号の主要2大処理とも言える操作についての検討を達成することが出来た。性能面についての当初の研究目標を2年目で達成できたので全体としても順調と判断できる。
|
| 今後の研究の推進方策 |
今まではペアリング暗号の性能面についての研究を主体にしてきて、それが目標をほほ達成できたと思うので、今後は安全性についての研究にウェイトをかけていく。特に、ベアリング暗号の安全性の根拠となっている幾つかの数学的問題の(計算量的)困難性についての検討を行う予定である。
|
