News Release


平成11年5月24日

日本電信電話株式会社



次世代暗号として期待される楕円暗号分野で新技術を開発
―安全性証明付き新方式と世界最速の楕円曲線暗号演算法―


 NTTは、次世代暗号として期待される楕円曲線暗号分野で、安全性証明付き楕円曲線暗号方式「PSEC(*1)」、および、世界最速の楕円曲線暗号演算法「OEF(*2)」、を開発しました。

 楕円曲線暗号は、現在主流の暗号方式と比べはるかに短い鍵長で同等の安全性強度を実現することから、電子商取引の時代を担う次世代暗号として注目を浴びています。しかし、従来の楕円曲線暗号方式は暗号化・復号化の処理速度や安全性の面で課題があり、世界中で高速化・安全性の研究が展開されてきました。「PSEC」および「OEF」は、その最先端に立つ新方式・新技術であり、楕円曲線暗号を実用化に導くものです。

 公開鍵暗号(*3)やディジタル署名の代表的方式として、現在、事実上の世界標準となっているRSA(*4)は、暗号鍵の鍵長をかなり大きくしなければ十分な安全性を確保できないと指摘されています。そのため、RSA1024ビット相当の安全性強度をわずか160ビットの鍵長で実現し少メモリで済む楕円曲線暗号(図1参照)が世界中で注目を浴びるようになりました。

 しかし、従来の楕円曲線暗号には、最強の安全性(*5)が証明されていない、複雑な演算を行うことから処理速度が遅い、という欠点があり、広く実用化されるには至っていませんでした。そこで、これらふたつの課題に応えるべく、安全性の証明が付きかつ高い実用性を持った新しい暗号アルゴリズムとして「PSEC」を、高速化技法として「OEF」を開発しました。

 「PSEC」は、安全性に根拠を与えている点で、楕円のデファクト暗号である楕円エルガマル(安全性の証明なし)を凌ぐものです。また、「OEF」は、高速処理が要求される暗号処理やディジタル署名において、実用上十分な速度を与えます。

<PSECの主な特徴>
最強の安全性の証明をした楕円曲線暗号方式
楕円曲線暗号では,従来多くの場合、楕円エルガマル暗号が使われてきましたが、この方式では安全性の証明がありません。このたび開発したPSECは、安全性の証明があり、かつ楕円エルガマル暗号と同等の性能を持ち合わせています。

<OEFの主な特徴>
1)従来の演算法に比べ一桁高速化(図2参照
2)ICカード実装時、コプロセッサが不要

 RSAでは、鍵長が長いため、ICカード実装時に各種演算を高速処理する付加プロセッサ(コプロセッサ)が不可欠でした。そのため、安全性強度の高い2048〜3072ビットの鍵長では、ICカードにコプロセッサを複数搭載することが難しいことから、運用が困難になります。一方、楕円暗号では、鍵長は160〜256ビットと短縮できるものの、演算が複雑なため、コプロセッサを使わないと実用に十分な速度を得られませんでしたが、高速演算のできる「OEF」を用いることで、コプロセッサが不要となります。
3)プロセッサのユニット長(ビット数)と比例して処理速度が向上

 組立演算やビット単位の処理を行っていた従来の演算法と異なり、プロセッサのユニット長に合うように楕円曲線演算を構成しているため、CPUのデータ処理単位が(例えばICカードの場合、8ビット→32ビットと)上がれば処理速度も向上します。

 

(用語解説)
*1 PSEC; Provably Secure Elliptic Curve encryption
*2 OEF; Optimal Extension Field operation method
*3 公開鍵暗号方式; 共通鍵暗号方式に代わるものとして、76年にW.DiffieとM.E.Hellmanが提唱した新しい暗号方式。暗号化と復号化を異なる鍵を用いて行うため、鍵の受け渡し問題を解消。不特定多数が情報をやりとりするネットワーク上での情報セキュリティに適する。また、復号化が復号鍵を有する本人にしかできないことを応用して個人の認証を行うシステムがディジタル署名。
*4 RSA; Rivest,Shamir,and Adleman scheme 78年に開発された世界で最初の公開鍵暗号。名称は、共同開発者3人の名前に由来する(R.Rivest,A.Shamir,L.Adleman)。
解読が事実上不可能とされる安全性の根拠に、素因数分解問題の困難性を応用。
*5 最強の安全性; 能動的攻撃を許したとしても、いかなる平文情報も漏らさないこと。暗号関数の構成に用いたランダム関数が理想的にランダムであるという仮定と楕円Diffie-Hellman問題が難しいという仮定の下で、最強の意味での安全性(適応的選択暗号文攻撃に対して強秘匿:つまり能動的攻撃を許したとしても、平文のいかなる部分情報さえも漏らさないこと)が保証される。
※ 参考情報:http://grouper.ieee.org/groups/1363/addendum.html




別紙
図1:楕円曲線暗号系と素因数分解系の比較
図2:OEFと従来法の速度比較





<お問い合せ先>
NTT武蔵野研究開発センタ
R&D広報担当 倉嶋、佐野、大崎
Tel : (0422)59-3650 Fax : (0422)59-4398



News Release Mark
NTT NEWS RELEASE