@hakatashi
2021-08-05 / 2021-08-19
2000年以降に生まれた新しい暗号技術
IDベース暗号
検索可能暗号
プロキシ暗号
放送型暗号
属性ベース暗号
関数型暗号
準同型暗号
ゼロ知識証明
今日はこれらの暗号のベースとなる
楕円曲線のペアリングについて話す
$$e(aP,bQ)=e(P,Q)^{ab}$$
$$e\left(P_{1}+P_{2},Q\right)=e\left(P_{1},Q\right)e\left(P_{2},Q\right)$$
$$e\left(P,Q_1+Q_2\right)=e\left(P,Q_1\right)e\left(P,Q_2\right)$$
$$e(Q,P)=e(P,Q)^{-1}$$
ID鍵共有
MOVリダクションの紹介。
MOVリダクションはECDLPをDLPに帰着させる攻撃手法。
楕円曲線の点 \(P\) と \(Q=aP\) が与えられたとき
\[f:X\mapsto e(X,bP)\in F_{p}\]
を考えると、
\[f(P)=g^b,f(Q)=g^{ab}\]
※ただし \(g:=e(P,P)\)
ECDLPがDLPに帰着されている
ところで、\(P,aP,bP\) が与えられたとき、
を求めることができることがわかる。
\(g^a\)と\(g^b\)から\(g^{ab}\)を
求める問題をDH問題と呼んだ。
ペアリングを用いるとまるで
DH問題が解けたかのように
\(g^{ab}\)を求めることができる
をとる。
このとき、
$$\begin{aligned}\mathrm{Enc}\left(m\right) &:=\left(rP,m\oplus h_{2}\left(e\left(P_{A},sP\right)^{r}\right)\right)\\\mathrm{Dec}\left(U,v\right) &:=v\oplus h_{2}\left(e\left(K_{A},U\right)\right)\end{aligned}$$である。
ただし \(r\) は暗号化時に生成される乱数。
をとる。
時刻センターは時刻\(T\)に\(sH(T)\)を配信する。
このとき、
秘密鍵 \(s_{T_0}=e(H(T_0),rsP)\) を用いて暗号化し、
\(rP\)を同時に公開すると、
※ \(r\) は暗号化時に生成される乱数。
時刻\(T_0\)に時刻センターから送られる\(sH(T_0)\)を用いて
\(e(sH(T_0),rP)=e(H(T_0),rP)^{rs}=s_{T_0}\)を計算できる。
をとる。
$$S:=\frac{1}{x+m+yr}P$$として、\((S,r)\)を署名とする。
※ \(r\) は暗号化時に生成される乱数。
署名が正当ならば、$$e(S,Q+mP+rR)=e(P,P)$$が満たされる。