Degree Extensions of Finite Fields with Odd Characteristic

(1)

奇標数有限体の素数次拡大体上 GHS 攻撃の対象となる楕円曲線に関する解析 Analysis on Elliptic Curves Subjected to GHS Attack over Prime

Degree Extensions of Finite Fields with Odd Characteristic

情報工学専攻細萱隆之

Takayuki Hosogaya

1

はじめに

楕円曲線暗号とは有限体上の楕円曲線の有理点を用いた離散対数問題(ECDLP)の困難性を利用した公開鍵暗号である. 他の公開鍵暗号より鍵長を短く取れることで実装面などで優位性をもつ. 特にソフトウェア実装においては,奇標数有限体の拡大体上定義した楕円曲線を用いる高速化手法が知られている.

一方で拡大体上定義された楕円曲線に対する攻撃方法としてGHS攻撃が知られている. この攻撃は, 条件によっては鍵長を160bitとして設計された楕円曲線暗号系の安全性を鍵長が107bit程度のそれの安全性と同等にするなど現存暗号系に対して非常に強力に働く場合がある. この攻撃を受ける奇標数有限体上の楕円曲線の従来の分類はある条件下で行われたものであった.

そこで本研究では, 奇標数有限体の素数次拡大体上 GHS攻撃を受けうる曲線の完全な分類を行い, それらの曲線に対してGHS攻撃への耐性を考察する.

2

楕円曲線暗号と

ECDLP

2.1 楕円曲線

pを3より大きい素数とし,正整数nをつかいpⁿ=q とする. 有限体Fq =k上の楕円曲線とは,

E:y²=x³+Ax+B (A, B∈k) で表される. このとき右辺は重根を持たない.

このときEのk上有理点に無限遠点∞^{を加えた集} 合に,楕円曲線暗号特有の加算を定義することでこの集合は有限アーベル群をなす.

2.2 ECDLP

E 上の離散対数問題(ECDLP)とは, B をE上の点として,与えられた点P ∈EについてxB=Pなる整数x∈Z^{が存在するとき},これを求める問題である. 楕円曲線暗号は, xとBからPを求めるのは容易だが , P とBからxを求めるのは困難なことを利用しており, 楕円曲線暗号に対する攻撃はこのxを求めるためのものである.

3 GHS

攻撃

k_d をkのd次拡大体とする. ここで, k_d/kのフロベニウス自己同型写像σk_d/k から拡張した, kd(x)の分離閉包での位数dの自己同型σを仮定する. その様な写像の存在条件は[3]等で与えられている. この仮定の下, kd(C0)/k(x)のガロア閉包はK:=kd(C0)· σ(kd(C0))· · ·σ^d⁻¹(kd(C0))であり,自己同型写像σによる固定体はK⁰ := {ζ ∈K|σ(ζ) =ζ} ' k(C)であ

る. もともとのGHS攻撃は,標数2の楕円曲線に対し, 下記に示すようなconorm-norm写像の合成

NK/K0◦ConK/k_d(C₀):Cl⁰(kd(C0))→Cl⁰(K⁰) を使い, Cl⁰(k_d(C₀)) ' J(C₀)(k_d) 上 DLP を, Cl⁰(K⁰) ' J(C)(k)上DLPへと写像する[1]. この攻撃は様々な種類の曲線へ拡張されており, Frey と Diemによって被覆攻撃へと一般化されている.

本論文ではC0を標数が3より大きい奇標数有限体k とそのd次拡大体kd上定義されている超楕円曲線とする. C₀が以下の形で与えられているとする. ここで, d は素数とする.

C₀/k_d : y²=c·f(x) (1) ここで,c ∈k^×_d かつf(x)∈k_d[x]はモニック多項式とする. するとC₀は下記の様なk_d上の2次の被覆写像を持っている.

C0

2 //P¹(x) (2)

これ以降, 被覆写像 π/k_d : C → P¹(x)が存在すると仮定する. そのとき, n ≤ dで

z }| {n

(2,· · · ,2)型の関数体の拡大 kd(x, y,^σy,· · ·,^σⁿ⁻¹y) ' kd(C)が得られ, cov(C/P¹) := Gal(kd(C)/kd(x))' Fⁿ2 となる. このとき, d ≥ 11 の素数に関しては被覆曲線C の種数 g(C)が大きくなりすぎて GHS攻撃がうまく働かないことが知られている. そこで本研究では, まずk上 d= 2,3,5,7次の奇標数拡大体k_dに関してGHS攻撃の対象となりうる被覆曲線C を持つような楕円曲線 C0を完全に分類する. 4章ではC0の分類とその分類方法について述べる.

4 GHS

攻撃を受けうる楕円曲線の分類 4.1 cov(C/P¹)上のガロア表現の分類

下記のような次数 2 の被覆 C0/P¹ ^{を伴う全ての} z }| {n

(2,· · · ,2) 被覆曲線C/P¹^{の分類を考える}. z }| {n

(2,· · · ,2)

z }| {

C→C₀→P¹(x)

| {z }

2

(3)

そのために, cov(C/P¹) ' Fⁿ2 に作用している Gal(kd/k)の表現を考える.

Gal(kd/k)×cov(C/P¹)→cov(C/P¹) (4) (σ_kⁱ

d/k, φ)7→^σⁱφ:=σⁱφσ⁻ⁱ (5)

(2)

簡単のため,今後このσ_k_d_/kをσと表記する. σはFⁿ2

の間の対応を与えているため,

Gal(kd/k),→Aut(cov(C/P¹))'GLn(F2) (6) となる. 例として,d= 2, n= 2の場合のσの表現を以下に示す.

• d= 2, n= 2 σ=

( 1 1 0 1

)

∈M2(F2), F(x) =x²+ 1 また, σ の最小多項式F(x) ∈ F2[x] を用いて, C が kd 上のモデルとなるための必要十分条件はガロア群 Gal(kd/k)の y に対する作用から以下のように導かれる.

∀G(x)|F(x), G(x)6=F(x)に対して,

F(σ)y²≡1 mod (kd(x)^×)² かつ

G(σ)y²6≡1 mod (k_d(x)^×)² (7) 続いて, (7) が成立していると仮定してC₀ : y² = c·f(x)を求めていく.

4.2 (2, . . . ,2)被覆を持つ楕円曲線の分類法これ以降, ˆF(x)∈F2[x]を以下の様な多項式として定義する.

x^d+ 1 =F(x) ˆF(x)∈F2[x]

(7)のもとで, cが満たすべき条件として以下が知られている(Lemma 6.1[3]).

• Fˆ(1) = 0のとき, c∈(k_d^×)²

• Fˆ(1) = 1のとき, c∈k_d^×

次に, (7)のもとでf(x)を求めていく. まず, d, n, σ を与えて, C₀/P¹ の分岐点の候補を求める. いま, Φ(x) := a(x) ˆF(x) = bd−1x^d⁻¹ +· · · +b1x+ b0, F2[x]3a(x), dega(x)<degF(x), (a(x), F(x)) = 1, N:= #{(F2[x]/(F(x)))^×}/dと定義する.

1. a(x) = 1とする. Φ(x) := ˆF(x)は, C0/P¹^の分岐点の候補の1つ{(α^qⁱ,0)|i= 0,· · ·, d−1 s.t. bi= 1}^{を与えている}. ここで, α ∈ kd\kv, v|₆=d or α∈k_dτ\k_v, v|₆=dτ, τ ∈N>1としてよい. ただし, 後者の場合, f(x)がkd 上α^qⁱ ∈ kdτ の全ての共役元を含む必要がある. もしN = 1ならば, 終了. N ≥2ならば, Step2へ.

2. (a(x), F(x)) = 1 かつ dega(x) < degF(x) となるような別の a(x) ∈ F2[x] を選び, Φ(x) :=

a(x) ˆF(x)とする.

3. 今までに選んだ全てのΦ(x)が互いに異なるかどうかを調べる. ここで,互いに異なったΦ(x)とは, その係数(b0, b1,· · ·, bd−1)が

(bj,· · ·, bd−1, b0,· · ·, bj−1)

の様な巡回置換になっていない事を意味する. もし選んだΦ(x)が互いに異なるならば,分岐点の候補に{(α^qⁱ,0)|bi = 1}^を加える. そうでないなら, そのΦ(x)を捨ててStep2へ.

4. N個の候補が見つかったならば,終了. そうでないならば, Step2へ戻る.

SをC/P¹^{の分岐点の数},S0をC0/P¹^{の分岐点の数と} すると, Riemann-Hurwitzのgenus formulaより

S= 4 +d·g(C0) +e−1

2ⁿ⁻² (8)

が得られる. また, Abhyankar’s lemmaにより, dS0 ≥ S≥max{d,2g0+ 3} (9) となる. リストアップした分岐点を, 上記のSに関する制約条件の下で全ての組み合わせを試すことでf(x) を見つけ, cを決定しC₀/k_dを求める. 例として, 再び d = 2, n = 2の場合を述べる. この場合, 上記の方法により分岐点の候補が(α,0)のみであることが分かる. また,式(8)と式(9)より以下の不等式が成り立つ.

8 ≥ S = 4 +2·1 +e−1

2⁰ ≥5

3 ≥ e ≥ 0

この例では, e = 3 の場合を取り上げる. (8) より g(C0) = 1なのでS = 8となり, 上記分岐点の候補を含むように f(x)のすべての組み合わせを考慮すると f(x) = (x−α1)(x−α2)(x−α3)(x−α4)しかないことが分かる. 最後に, ˆF(1) = 1なのでc ∈k₂^×としてよい. 以上のことから, d= 2, n= 2, e = 3の場合の GHS攻撃を受けうる被覆曲線Cを持つ楕円曲線C0は y²=c(x−α1)(x−α2)(x−α3)(x−α4) (10) である. d = 2 の場合, GHS 攻撃の対象となる, k 上被覆曲線 C を持つ C₀ と C の種数 g(C) は表 1 の通りである. ただし, C0 : y² = f(x) = c · hd(x)h(x), deg(f(x)) = 4, hd(x) ∈ kd[x] \ k[x], h(x) ∈ k[x] とする. c については, 平方元と非平方元どちらでも構わないため省略する. ま

表1 d= 2^の場合のk^{上被覆曲線}C^を持つk2上楕円曲線C0

hCasei hd(x)

n,e,g(C) degh[x]

h1i (x−α1)

2 , 0 , 2 3

h2i (x−α1)(x−α2)

2 , 1 , 3 2

h3i (x−α₁)(x−α₂)(x−α₃)

2 , 2 , 4 1

h4i (x−α1)(x−α2)(x−α3)(x−α4)

2 , 3 , 5 0

hsubi -

- 4

た, αi ∈ k2 \ k, βi ∈ k, i ∈ {1,2,3,4} ^{である}. ただし Case 2, 3, 4 の曲線は, α_i ∈ k₂ \ k or

(3)

α_i ∈ k_2τ \k_v, v|₆=2τ, τ ∈ N>1 である. 後者の場合は, hd(x)がkd上α^qⁱ∈kdτ の全ての共役元を含む.

本研究では, 上記の例を含めg0 = 1, S0= 4として d= 2,3,5,7についてC を持つ楕円曲線C0/kd に関する完全な分類をおこなった. 5章ではその分類された楕円曲線のうち, d= 2の曲線に対してP¹(k₂)上の

PGL(2, k2)により誘導される同型写像による軌道分解

を求め,各軌道における被覆曲線の種数全体を示す.

5 GHS

攻撃に対する耐性の考察

4章では, 被覆曲線Cを持つ楕円曲線C0を分類し, 各被覆曲線Cの種数を示した. 以下では, P¹(kd)上の PGL(2, k_d)により誘導されるk_d 上の楕円曲線C₀の同型写像

x7→ ax+b

cx+d (11)

a, b, c, d∈kd かつad−bc6= 0

の作用について考察する. 同型写像(11)によって, 異なる種数の被覆曲線C⁰を持つような楕円曲線C₀⁰ へと写像されることがある. そのため,C0の被覆曲線Cの種数g(C)に関する分類は, GHS攻撃に対する安全性を保証するためには不十分である. よって(11)により移されるg(C⁰)のとりうる値を示す必要がある. 本章では, 4章で分類した曲線のうち拡大次数d= 2の曲線に対し(11)の作用による軌道分解を求め, それぞれの軌道における全ての被覆曲線の種数を求める.

5.1 k_d上の楕円曲線の分岐パターン

k_d 上定義されている 4 次楕円曲線 C₀ : y² = f(x), f(x) ∈ k_d[x] は, f(x)の分岐の様子に合わせて表2の5つのパターンに分類できる.

表2 f(x)の分岐パターン

PatternA (x−a₁)(x−a₂)(x−a₃)(x−a₄) PatternB (x−a1)(x−a2)F2(x) PatternC (x−a1)F3(x) PatternD F₂(x) ´F₂(x)

PatternE F4(x)

ai ∈kd, i∈ {1,2,3,4}, Fdはkd上d次既約多項式この分岐パターンは, (11) の作用に対して不変である.

補題1. PGL(2, kd)により誘導される同型写像(11)の作用によって, kd上楕円曲線の分岐パターンは不変である.

表1の各曲線は, (11)によって互いに移りあう場合

があるが, (11)に対して楕円曲線の分岐パターンは補

題1より不変である. つまり,表1の各曲線の(11)による各軌道は, 同一の分岐パターンを持つ楕円曲線のみで構成されている. よって,分岐パターンごとに表1 の曲線の(11)による軌道を考察していく. そこで, 各分岐パターンに存在する表1の曲線とそのときのf(x) の形をまとめたものが,表3である. 5つの分岐パターンのうち, 3次のf(x)を持つ楕円曲線に(11)によって

表3 d= 2^の場合のk2上のC0の分岐パターンが持つCase

分岐パターン hCasei f(x)

PatternA h1i (x−α1)(x−β1)(x−β2)(x−β3) (x−α1)(x−α2)(x−α^q₂)(x−β1) h2i (x−α₁)(x−α₂)(x−β₁)(x−β₂) (x−α₁)(x−α₂)(x−α₃)(x−α₃^q) h3i (x−α₁)(x−α₂)(x−α₃)(x−β₁) h4i (x−α1)(x−α2)(x−α3)(x−α4) hsubi (x−β1)(x−β2)(x−β3)(x−β4) PatternB h2i F₂(x)(x−β₁)(x−β₂)

F2(x)(x−α1)(x−α^q₁) h3i F2(x)(x−α1)(x−β1) h4i F2(x)(x−α1)(x−α2) PatternC h1i G3(x)(x−α1)

h3i F3(x)(x−β1) h4i F3(x)(x−α1) hsubi G3(x)(x−β1) PatternD h4i F2(x)F₂⁰(x)

hsubi G2(x)G⁰₂(x)

PatternE h4i F₄

α_i∈k₂\k, β_i∈k, i∈ {1,2,3,4}

F_d(x)はk₂上既約d次多項式, G_d(x)はk上既約d次多項式

変換可能なパターンはPatternA, B, Cである. それ以外の分岐パターンを持つ楕円曲線は, (11)によって3 次のf(x)へ変換できない. 一般的に楕円曲線暗号に用いられる楕円曲線のf(x)は3次であるため, 本研究では軌道の考察をPatternA, B, Cのf(x)を持つ楕円曲線に限定して行った.

5.1.1 Pattern A の場合 (11) の性質として, P¹(kd)上の任意の相異なる3点の組 P1, P2, P3 と Q1, Q2, Q3 を選んだとき, これらの3点の対応を与えるk_d 上の(11)がただ一つ存在することが知られている. この性質を利用し,例えばCase 4の楕円曲線の k₂\k上の分岐点4つのうち3つをCase 1の楕円曲線の3つのk上の分岐点へと対応させる(11)を取る. するとj不変量がk2\kの値の場合はCase 4からCase 1の楕円曲線への同型写像となる. j不変量がkの値の場合も

aα1+b

cα₁+d 6= a^qα^q₁+b^q c^qα^q₁+d^q

となるように a, b, c, dをとることによって得られる. その他のCase間の同型写像も同様にして得られる. 以上より, Pattern Aの楕円曲線Case 1, 2, 3, 4( j不変量がkの元ならhsubi^{が含まれる場合がある})は, 全て同一の(11)による軌道に含まれ, この軌道の被覆曲線の種数は2, 3, 4, 5である.

5.1.2 Pattern B の場合 (11)によってF2(x)が一次式の積に分解されることはないため, 残りの2つの根の間の対応を考えればよい. (11)は相異なる3点の組同士の対応を与えるため, Pattern B の場合全て

(4)

のCaseの間に同型写像が存在することは自明である. よってPatternBの楕円曲線Case 2, 3, 4は全て同一の(11)による軌道に含まれ, この軌道の被覆曲線の種数は3, 4, 5である.

5.1.3 Pattern Cの場合 PatternCの場合, f(x) は3次既約多項式と一次式の積であらわされる. 拡大次数d= 2の場合, 3次既約多項式はk上既約である G3(x)とk2\k上既約であるF3(x)が存在する. G3(x) の分解体はk3であり,k3上で

G₃(x) = (x−γ)(x−γ^q)(x−γ^q²) γ∈k₃\k

と表される. F3(x)の分解体はk6であり,k6上で F3(x) = (x−δ)(x−δ^q²)(x−δ^q⁴)

δ∈k₆\ {k₂∪k₃}

と表される. あるγに対し,

∃A= ( a b

c d

)∈GL(2, k2), s.t. aγ+b

cγ+d =δ (12) となることが知られており, PGL(2, k₂)の作用によってF₃(x)とG₃(x)が対応する.

補題 2. G₃(x)同士の対応はPGL(2, k)の作用によって与えられる.

hsubi^の一次式(x−β)とCase 1の一次式(x−α) の対応はα∈ k2\kよりPGL(2, k2)で与えられるため,hsubi^とCase 1の間にPGL(2, k2)によって誘導される同型写像は存在しない. 次に, 残りの各ケース間同士に同型写像が存在するかを考察していく.

• hsubi, Case 1からCase 3, 4

この場合, G₃(x)同士の対応がPGL(2, k₂)ではつかないため,一次式同士の対応をPGL(2, k₂)でとることで, 自然にG3(x)とF3(x)との対応が誘導される.

• Case 3, 4からhsubi, Case 1

F3(x)をG3(x)へ対応させるPGL(2, k2)は(12)の逆写像である. G3(x)同士の対応がPGL(2, k2)ではつかないため, そのPGL(2, k2)によってCase 3, 4の一次式はk2[x]\k[x]の一次式のみかk[x]の一次式のみに対応づけられる. Case 3, 4 の楕円曲線のj 不変量が k₂\k上の値の場合,前者のみである.

• Case 3, 4からCase 3, 4

Case 3とCase 4の間の対応は, Case 3, 4からhsubi, あるいはCase 1への写像と,hsubi, Case 1からCase 3, 4への写像の合成によって実現できる.

以上より, (11)に対するPattern C の楕円曲線の (11)による軌道に含まれる楕円曲線は, j 不変量が k2\k の値の場合, Case 1, 3, 4であり, その軌道の g(C)は2, 4, 5である. j不変量がkの値の場合, Case 1, 3, 4またはhsubi^とCase 3, 4であり,その軌道の g(C)は2, 4, 5または4, 5である.

6

まとめ

4章では,奇標数の有限体kのd次拡大体k_dのうち, d = 2,3,5,7においてGHS攻撃を受けうる楕円曲線を求めた. 5章では, 4章でまとめた楕円曲線のうち, d= 2の場合についてk2上の同型写像の作用による軌道分解を求め,各軌道のとりうる種数全体を示した(表 4). 表4より,全ての軌道のg(C)に4または5が含

表4 f(x)の分岐パターン毎の軌道とそのg(C)

分岐パターン軌道に含まれる曲線 g(C) PatternA h1i,h2i,h3i,h4i,とhsubi 2, 3, 4, 5 PatternB h2i,h3i,h4i 3, 4, 5 PatternC h1i,h3i,h4i 2, 4, 5 hsubi^と h3i,h4i 4, 5

まれる. C上のDLPを解くIndex calculus algorithm 等はg(C)>3に対し作用し(3にも一部有効ではあるが),計算量は原則g(C)の値によって評価される. つまり, 上記軌道は全てGHS攻撃の対象となる. また, 分岐パターンA, B, Cを持つ任意の楕円曲線はいずれかのhCasei^{に該当している}. つまり, それらの曲線は表 4のいずれかの軌道に含まれていることとなる. よって d= 2の場合3次に変換できる楕円曲線全てがGHS攻撃の対象となり,奇標数有限体の偶数次拡大体上定義された楕円曲線はGHS攻撃により破れることが明らかとなった. これは,楕円曲線暗号系の設計に新たな安全指標を与えることとなる.

謝辞

本研究を進めるにあたり，適切な御指導,御助言, 御検討を頂いた中央大学理工学部趙晋輝教授,趙研究室共同研究員, 飯島努氏, 東海大学理学部情報数理学科, 志村真帆呂准教授に深く感謝いたします.