修士論文要旨
(2013
年度)Strong Diffie-Hellman Problem を難しくする群位数の選び方に関 する考察
On the Distribution of Secure Strong Diffie-Hellman Parameters
電気電子情報通信工学専攻 恩田 泰則
Yasunori ONDA
1
序論近年,情報化社会の発展に伴い,インターネットを 利用した様々なサービスが提供され,我々の生活に不 可欠なものとなっている.その一方で,マルウェアな どのサイバー攻撃が大きな社会問題となっている.サ イバー攻撃に対する対策技術は広く研究されているが,
なかでも安全な暗号プロトコルの構築はその基礎とな る重要技術である.本研究では,安全な暗号プロトコ ルの構築を実現するために必要となる構成要素に関し,
3
つの研究を行った.本稿ではその1
つについて記述 する.楕円曲線暗号を含む公開鍵暗号方式や暗号プロトコル の中には,その安全性を
Strong Diffie-Hellman (SDH)
Problem
に依存しているものがある.そのような方式としては例えば
[1],[2]
などがある.しかし,SDH
に依 存する方式を使う場合,適切なパラメータ設定をしな いと安全性を大幅に落とすことになる.本稿ではSDH
を考慮した楕円曲線上のパラメータを求め,その中で 安全なパラメータの分布と割合を示す.本稿の構成は以下の通りである.2章では,Strong
Diffie-Hellman Problem
などについて説明する.3章 では,行ったパラメータの探索の内容とその結果につ いて述べ,4章でまとめる.2
数学的準備本章では数学的準備として,楕円曲線と
Strong Diffie-Hellman Problem,及び SDH
を難しくする条 件について簡単に述べる.2.1
楕円曲線1980
年代に開発された楕円曲線暗号は,RSA
暗号よ り短いビット長で同程度の安全性を持つ公開鍵暗号で あり,その研究や実用化が進められている.楕円曲線 暗号は,鍵長160bit
でRSA
暗号の鍵長1024bit
に相 当する安全性を持つ.楕円曲線暗号はDiffie-Hellman
鍵共有プロトコルやDSA
署名などの暗号方式を拡張し て構成されているため,楕円曲線暗号の安全性はベー スにしている楕円曲線上の問題の困難性に依存する.素体
F
pの楕円曲線を次のように定義する.定義
1 (楕円曲線).
方程式E : y
2= x
3+ ax + b (a, b ∈ F
p, ∆
E= 4a
3+ 27b
2̸ = 0) (1)
で定義される曲線を素体F
p上の楕円曲線という.また,楕円曲線
E
の有理点の数をN
とし,有理点G = [x, y]
の位数を
q
とする,楕円曲線においては,他の攻撃を避けるために以下 の条件を満たすことが推奨される.
• N ̸ = p
SSSA
攻撃[3]
を避けるための条件である.• p
i− 1(i
は100
未満)が有理点の位数q
で割り切 れないFR
帰着法及びMOV
帰着法[4]
を避けるための条 件である.2.2 Strong Diffie-Hellman Problem
ℓ-Strong Diffie-Hellman Problem
を次に示す.定義
2 (ℓ-Strong Diffie-Hellman Problem). G
を群位 数q
の可換群とし,gをG
の生成元とする.α∈ Z
qと し,gとg
αi(i = 1, 2, . . . , ℓ)
が与えられたとき,gαℓ+1 を求める問題である.[5]
では,SDH以外の問題も以下の問題が示されて いる.• Discrete Logarithm (DL) Problem
• Computation Diffie-Hellman (CDH) Problem
• Decisional Diffie-Hellman (DDH) Problem
• ℓ-weak Diffie-Hellman (ℓ-wDH) Problem
• ℓ-Bilinear Diffie-Hellman Inversion (ℓ-BDHI) Problem
• ℓ-Bilinear Diffie-Hellman Exponent (ℓ-BDHE) Problem
また,それぞれの問題の難しさの関係は以下のよう になっている.
DL ≥ CDH ≥ DDH ≥ ℓ-wDH ≥ ℓ-SDH ≥ ℓ-BDHI, (ℓ + 1)-BDHE
SDH
に関しては,次の定理が知られている[5].
定理
1. d
をp − 1
の 因 数 と し ,g,gα,gαd が 与えられたとき,α を求めるのに必要な計算量はO(log p · √
(p − 1)/d + √
d)
であり,必要なメモリ量 はO(max { √
(p − 1)/d, √
d } )
である.定理
2. d
をp+ 1
の因数とし,g, g
αi(i = 1, 2, . . . , 2d)
が与えられたとき,αを求めるのに必要な計算量はO(log p · ( √
(p + 1)/d + d))
であり,必要なメモリ量はO(max { √
(p + 1)/d, √
d } )
である.定理
1,2
よりα
が求まる.SDH
に基づく方式の例として,Gap-Diffie-Hellman 仮定のブラインド署名やElGamal
暗号がある[5].ま
た,[5]
では,楕円曲線の標準的なパラメータ[6]
を用い てブロードキャスト暗号[7]
を構成した場合,ユーザー の数が2
32人のときにSDH
を破る計算量はO(2
59)
で あり,264人のときにSDH
を破る計算量はO(2
42)
で あることが示されている.2013/12/9
1
q, (q-1)/2, (q+1)/2
の関係ݍ
ݍ + 1 2 ݍ − 1
qは素数なので 2 6m-1or 6m+1
6m-1
偶 3m-1
ݍ = 6m+1 6m-1 6m+1
3m 3m 3m+1
±ଵ ଶ=
奇 偶 奇 奇 偶 奇 偶
連続するため、両者は 偶数と奇数
m= 2m’+1 2m’ 2m’ 2m’+1 2m’+1 2m’ 2m’+1 2m’
2(3m’+1)
±ଵ
ଶ= 2x3m’ 2x3m’ 2(3m’+2)
6m’-1 3(2m’+1) 3(2m’+1) 6m’+1
ݍ = 12m’+5 12m’-1 12m’+1 12m’+7 12m’+5 12m’-1 12m’+1 12m’+7
・q を12で割った余りの値に応じて、(q-1)/2 , (q+1)/2 の因数は異なる。
・(q-1)/2 x (q+1)/2 は必ず6で割れる。
結論:
図
1: q, (q − 1)/2, (q + 1)/2
の関係2.3 Strong Diffie-Hellman Problem
を 難しくする条件Strong Diffie-Hellman Problem
を難しくするための 理想としては以下が考えられる.•
位数q, (q − 1)/2, (q + 1)/2
がすべて素数になる しかし,qに関しては次の定理が成り立つ.定理
3.
位数q
を12
で割った余りに応じて(q − 1)/2, (q + 1)/2
のどちらかに必ず2, 3
の因数が含ま れる.定理
3
より,上記の条件を満たすことは不可能で ある.q, (q − 1)/2, (q + 1)/2
の関係を図1
に示す.qが素 数の場合,q= 6m − 1
かq = 6m + 1
と表すことが でき,(q− 1)/2, (q + 1)/2
は偶数と奇数のペアになっ てそれぞれ(q − 1)/2 = 3m − 1
か(q − 1)/2 = 3m,
(q + 1)/2 = 3m
か(q + 1)/2 = 3m + 1
と表すことが できる.さらにm
はm = 2m
′ かm = 2m
′+ 1
のい ずれかで表すことができ,q,(q − 1)/2, (q + 1)/2
をm
′ を用いて表すことができる.そこで,qは素数であるものを選ぶとして,以下の 条件を満たすものを探す必要がある.
• (q − 1)/2, (q + 1)/2
に小さな素因数が少し含まれ,残りが大きな素因数
1
つになるここで,(q
− 1)/2, (q + 1)/2
の小さな素因数の積が2 × log
2q
ビット以下となるq
をAcceptable , (q −
1)/2, (q + 1)/2
の小さな素因数の積が8
以下のものをSemiperfect
と呼ぶことにし,(q− 1)/2, (q + 1)/2
の小 さな素因数がそれぞれ2
と3
のみであるq
をPerfect
と呼ぶことにする.Perfect
なパターンよりSDH
を難しくするパターン は理論上存在しない.3
章では,上記の条件を満たすパラメータを探索する.3
パラメータの探索本章では,行った探索の内容とその結果について述 べる.
3.1
内容楕円曲線
E
において,2.3章で述べた条件を満たす パラメータを探索した.探 索 に 用 い た プ ロ グ ラ ム は 数 値 計 算 ソ フ ト の
PARI/GP(http://pari.math.u-bordeaux.fr)
である.使用したパラメータの詳細は以下の通りである.
• p, a:[8]
の推奨パラメータ• x = 0
• b = y
2G = [x, y]
が楕円曲線上に必ず乗るようにするため.
• N :楕円曲線 E
上の有理点の数• q:楕円曲線 E
上の有理点G = [x, y]
の位数q
が素数になることが条件である.• h = N/q:有理点の数と位数の比
ハッシュ関数などを使って群に写像する場合,h が小さい方が群に写像されやすくなる.
3.1.1
探索の手順y = 1
からy = (q − 1)/2
まで,以下の手順を繰り 返す.1. b = y
2mod q
を計算する.2. (4a
3+ 27b
2) ̸ = 0
ならば次へ進む3.
楕円曲線E
上の有理点の数N
を求める.4.
楕円曲線E
上の有理点G
のオーダーq
を求める.5.
オーダーq
が素数ならば次へ進む.6. h = N/q
を求める.7.
素体上ではP
i− 1 mod q ̸ = 0
をチェックする(i は100
未満).GF(2
m)
上では2
i− 1 mod q ̸ = 0
をチェックする(iは100m
未満).3.2
結果3.2.1 GF (p)
上の160bit
位数探索した結果を表
1
に示す.ここで,Candidatesはq
が素数でh = 1
且つ安全な曲線の数を表す.表
1:
探索の結果(GF (p)
上の160bit
位数)Range(y) Candidates Acceptable Semiperfect Perfect
1-500000 2428 30 1 1
500000-1000000 2469 20 1 1
1000000-2000000 5039 44 1 0
2000000-3000000 4940 37 1 1
3000000-4000000 5010 24 2 0
4000000-5000000 5028 43 1 0
合計 24914 198 7 3
Perfect
なものの例として,次のものが見つかった.p =1461501637330902918203684832716283019 653785059327
a =1461501637330902918203684832716283019 653785059324
b =1111088889 y =33333
q =1461501637330902918203686034250499499 783141301797
(q − 1)/2 =2 × 3653754093327257295509215085626248 74945785325449
(q + 1)/2 =3 × 2435836062218171530339476723750832
49963856883633
3.2.2 GF (q)
上の192bit
位数探索した結果を表
2
に示す.表
2:
探索の結果(GF (q)
上の192bit
位数)Range(y) Candidates Acceptable SECver2 Semiperfect Perfect
1-8000000 26600 161 54 4 1
3.2.3 GF (2
163)
上の163bit
位数探索した結果を表
3
に示す.表
3:
探索の結果(GF (2
163)
上の163bit
位数)Range(y) Candidate Acceptable SECver2 Semiperfect Perfect
1-1000000 11581 75 21 2 0
1000000-2000000 11890 72 14 0 0
2000000-3000000 11665 62 11 0 0
3000000-4000000 11585 84 10 0 0
4000000-5000000 11674 84 15 1 0
4
まとめ本 稿 で は ,楕 円 曲 線 上 の
Strong Diffie-Hellman
Problem
を難しくする群位数の選び方について考察を行った.
Strong Diffie-Hellman Problem
を難しくす るための理想は,位数q, (q − 1)/2, (q + 1)/2
がすべて 素数になることである.しかし,それらを満たすこと は不可能であるため,(q− 1)/2, (q + 1)/2
にそれぞれ 小さな素因数が少し含まれ,残りが大きな素因数1
つ になるパラメータを探索した.その結果として,探索 した曲線の数における安全なパラメータの分布と割合 を示し,またPerfect
なパラメータが実在することを 示した.今後の課題として,より大きなサイズのパラメータ についても探索することが挙げられる.
謝辞
本研究は,産業技術総合研究所セキュアシステム研 究部門との共同研究として行われました.関係者の皆 様に深く感謝すると共にこの場を借りて厚く御礼申し 上げます.
研究業績
1. 恩田泰則,辛星漢,古原和邦,今井秀樹,“パスワードのオン ライン攻撃とミスタイプを切り分け可能な2要素認証方式,”
2010年暗号と情報セキュリティシンポジウム(SCIS2010),
2010年1月.
2. Y. Onda, S. Shin, K. Kobara, and H. Imai, “How to distinguish on-line dictionary attacks and password mis- typing in two-factor authentication,” Proc. of 2010 In- ternational Symposium on Information Theory and its Applications, pp.571–576, 2010.
3. 恩田泰則,辛星漢,古原和邦,今井秀樹,“クラウド環境に 適したオンラインデータ分散管理方式,” 2011年暗号と情報 セキュリティシンポジウム(SCIS2011),2011年1月.
4. 恩田泰則,辛星漢,古原和邦,今井秀樹,“ Strong Diffie- Hellman Problemを難しくする群位数の選び方に関する考察,”
2014年暗号と情報セキュリティシンポジウム(SCIS2014),
2014年1月.
参考文献
[1] D. Boneh and X. Boyen, “Short signatures without ran- dom oracles,” Eurocrypt 2004, LNCS, vol.3027, pp.56–73, Springer-Verlag, 2004.
[2] D. Boneh and X. Boyen, “Efficient selective-id secure identity-based encryption without random oracles,” Euro- crypt 2004, LNCS, vol.3027, pp.223–238, Springer-Verlag, 2004.
[3] T. Satoh and K. Araki, “Fermat quotients and the poly- nomial time discrete log algorithm for anomalous elliptic curves,” Commentarii Math. Univ Sancti Pauli, vol.47, pp.81–92, 1998.
[4] A. Menezes, T. Okamoto, and S. Vanstone, “Reducing el- liptic curve logarithms to logarithms in a finite field,” IEEE Transactions to Information Theory, vol.39, pp.1639–1646, 1993.
[5] J.H. Cheon, “Security analysis of the strong diffie-hellman problem,” Advances in Cryptology - EUROCRYPT 2006, Lecture Notes in Computer Science, vol.4004, pp.1–11, Springer-Verlag, 2006.
[6] D. Boneh, B. Lynn, and H. Shacham, “Short signatures from the weil pairing,” Journal of Cryptology, vol.17, no.4, pp.297–319, 2004.
[7] D. Boneh, C. Gentry, and B. Waters, “Collusion resis- tant broadcast encryption with short ciphertexts and pri- vate keys,” Advances in Cryptology - CRYPTO 2005, Lec- ture Notes in Computer Science, vol.3621, pp.258–275, Springer-Verlag, 2005.
[8] Standards for Efficient Cryptography Group (SECG), “Sec 2: Recommended elliptic curve domain parameters,” Sept.
2000. http://www.secg.org/collateral/sec2 final.pdf
