2,000 鍵長（ビット）

2,000

鍵長（ビット）

Pollard ρ

法が 最も効率が良い

改良版指数計算法 が最も効率が良い

改良指数計算法 攻

撃 時 間

Pollard ρ

法

安全性に対して脅威となる時期の予測 ³¹

■ 楕円曲線暗号（曲線タイプ２）の鍵長と危殆化時期^※を文献[2][3]のデータに 基づき予測

※該当する鍵長が世界最高のスーパーコンピュータを用いて1年間計算するとほぼ解読できると予想される時期

■

2000

ビットの鍵長が危殆化する時期は「

3031

年」と推定される

⇒

「

2012

年時点」では、直ちに脅威とはならないと考えられる

[2] 森川、下山、「暗号等価安全性」、電子情報通信学会誌, 2011年

[3] Yasuda, M., T. Shimoyama, T. Izu, and J. Kogure, “On the Strength comparison of ECC and RSA,” SCN2012

1950 2150 2350 2550 2750 2950 3150

100 200 300 400 500 600 700 800 900 1000 1100 1200 1300 1400 1500 1600 1700 1800 1900 2000 2100 2200

危殆化予想時期

3031

年

鍵長

2,000

ビット

鍵長（ビット）

危 殆 化 時 期

（年

）

推奨公開パラメータへの影響

■ NIST や SECG の推奨公開パラメータへの影響について

□ 改良版指数計算法の攻撃条件：



条件

1

：曲線タイプ

2

の公開パラメータを利用



条件

2

：鍵長が

2,000

ビット以上

□ 推奨公開パラメータを見てみると・・・



曲線タイプ１：攻撃の適用範囲外



曲線タイプ

2

に該当する公開パラメータ：

NIST

（

10

個）、

SECG

（

12

個）



各公開パラメータの鍵長は約

160

～

570

ビット

攻撃条件が成立しないため、現時点では影響なし

50 100 160 200 500 1000 2000 5000 10000

楕円曲線暗号とRSA暗号の強度比較 ³³

□

RSA

暗号に対する攻撃手法（数体ふるい法）

□ 改良指数計算法 攻撃の強さ：中

■ ２つの攻撃手法を比較

2,000

改良指数計算法

RSA

暗号への攻撃

（数体ふるい法）

鍵長（ビット）

攻撃時間には 大きな差がある

適切に鍵長を選択すれば、引き続き

RSA

暗号よりも短い鍵長で 同程度の安全性を達成可能と考えられる

攻 撃 時 間

Pollard ρ

法

改良版指数計算法の今後の影響

50 100 160 200 500 1000 2000 5000 10000

攻撃時間 の削減

改良指数計算法

しきい値の変化

2,000

？

今後の研究動向について、引き続き注視する必要あり

■ 攻撃手法の研究が進み、改良版指数計算法が「さらに」改良されると・・・

鍵長（ビット）

攻 撃 時 間

RSA

暗号への攻撃

（数体ふるい法）

Pollard ρ

法

おわりに ³⁵

■ RSA 暗号に代わる公開鍵暗号：「楕円曲線暗号」

□

RSA

暗号と比較して、短い鍵長で同程度の安全性を保証できる

□ 鍵長が短いため、暗号化処理も高速に行うことができる

□ デジタル放送等において既に利用されている

□

IC

カード（

EMV

仕様）や暗号通信プロトコル（

SSL/TLS

）等、金融 分野と関連の深い技術において、楕円曲線暗号の利用に向け た動きが進んでいる

■ 楕円曲線暗号を利用する際の留意点：

□ 楕円曲線の公開パラメータを適切に選ぶ必要がある

 NIST

や

SECG

の推奨公開パラメータの利用



鍵長の適切な選択の指針の利用

■ 今後も引き続き楕円曲線暗号の安全性評価に関する最新の 研究動向に注視する必要がある

[2] 森川、下山、「暗号等価安全性」、電子情報通信学会誌, 2011年

[3] Yasuda, M., T. Shimoyama, T. Izu, and J. Kogure, “On the Strength comparison of ECC and RSA,” SCN2012

ドキュメント内 Cylinder (ページ 30-36)