PSEC-KEM
NTT
小林 鉄太郎
設計指針
• 実用上様々な特長を持つ楕円曲線暗
号関数の利点を引き継ぐ
• 最も高いレベルの安全性(*)をもつこと
が証明された暗号方式
(* 適応的選択暗号文攻撃に対して強秘匿）
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
2
鍵形式
• 秘密鍵
SK = ( s )
• 公開鍵
PK = ( E , W , MGF , hLen )
E:
楕円曲線パラメータ
W: Eのベースポイント , W = sP
MGF: MGFの選択
hLen: MGF関数の出力ビット長
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
3
仕様の構成図
Key encapsulation mechanisms
•ES-PSEC-KEM
•EME-PSEC-KEM-A
•EME-PSEC-KEM-B
•EME-PSEC-KEM-C
•EME-PSEC-KEM-D
•KGP-PSEC
•EP-PSEC
•DP-PSEC
Cryptograhic primitives
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
Encoding methods
4
Cryptographic Primitives
• EP-PSEC [encryption]
Q = W
C1 = P
• DP-PSEC [decryption]
Q = sC1
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
5
Encoding Methods
• EME-PSEC-A
32 bit
hLen bit
0000…0000
乱数 r
MGF変換
t
k
keyLen bit
pLen + 128 bit
• EME-PSEC-B
P
32 bit
0000…0001
qmLen bit
C1
( α = t mod p )
W
qmLen bit
Q
MGF変換
hLen bit
2001/10/10
r
c2
hLen bit
hLen bit
CRYPTREC 2001 <PSEC-KEM>
c0 = C1 || c2
6
楕円DH問題
• 与えられた楕円曲線上の
点 P , aP , bP から
abP
を求める問題
→ 難しいと考えられる
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
7
安全性の比較
方式
安全性
(最強の意味で)
整数論的
仮定
ランダム
関数仮定
帰着の効率
PSEC-KEM
安全性証明つき
楕円 DH
真にランダム
ほぼ optimal
楕 円 CramerShoup
安全性証明つき
楕円 DDH
UOWHF
optimal よ り
効率悪
ECIES
安全性証明つき
楕円 GDH
真にランダム
ほぼ optimal
楕円 ElGamal
攻撃可
―
―
―
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
8
楕円曲線暗号の利点
鍵サイズ（丨p丨）
Diffie-Hellman
1024 ビット
楕円Diffie-Hellman
160 ビット
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
9
処理量の比較
暗号化
復号化
(乗算演算回数)
(乗算演算回数)
PSEC-KEM
2
2
楕円 Cramer-Shoup
5
3 (+1*)
ECIES
2
1 (+1*)
楕円 ElGamal
2
1
方式
* 部分群検証演算
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
10
パラメータ
• 基準値
– パラメータ
• 推奨値
– パラメータ
• pLen = 160
• hLen = 160
• keyLen = 256
• pLen ≧ 160
• hLen ≧ 128
– 関数
• 指定せず
2001/10/10
– 関数
• MGF: MGF1-SHA1
• R:
Compressed
CRYPTREC 2001 <PSEC-KEM>
11
実装評価
• 実装環境
–
–
–
–
–
CPU：
RAM：
OS：
Compiler：
Language：
Pentium‐III 600MHz (FSB 100MHz)
128MB
Windows2000 5.0 (Build 2195) SP2
Visual Studio 6 Enterprise SP5
C
• パラメータ設定
– 推奨値と同じ
– 素体
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
12
実装評価結果
種別
処理速度
[msec]
メモリ使用量
[Kbyte]
鍵生成
5.64
7.30
暗号化
11.09
2.64
復号化
10.97
2.39
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
13
公開状況
• PSEC基本特許
– ライセンスフリーを宣言
[平成13年4月17日]
• ISO JTC1 SC27 WG2 draft
2001/10/10
CRYPTREC 2001 <PSEC-KEM>
14

Keysight Technologies N28xxA/B | Tastköpfe