[发明专利]最终幂计算装置、配对运算装置、加密处理装置、最终幂计算方法和最终幂计算程序

说明书

分解部(211)针对由多项式r(x)、多项式p(x)、多项式t(x)、嵌入次数k和整数u表示的椭圆曲线中的配对运算的最终幂计算部分，通过多项式将指数部分分解成简单部分和困难部分。因数分解部(212)使用齐次分圆多项式Ψ_n(x，p)对困难部分进行因数分解。幂计算部(22)使用简单部分和被因数分解后的困难部分进行最终幂的计算。

技术领域

本发明涉及配对运算中的最终幂的计算技术。

背景技术

配对运算是使用在函数型加密和隐匿检索这样的加密方式的内部被处理的椭圆曲线的运算。将适合于配对运算的高效计算的椭圆曲线称作配对友好曲线。迄今为止，作为与128比特安全性相当的配对友好曲线，公知有BN(Barret-Naehrig)曲线。但是，从2016年左右开始，进行安全性的重新评估，针对使用BLS(Barreto-Lynn-Scott)曲线和KSS(Kachisa-Schaefer-Scott)曲线等各种配对友好曲线的配对运算的关心度提高。

配对运算大致分成Miller函数的计算和最终幂的计算。Miller函数的计算和最终幂的计算均需要复杂的计算过程，对函数型加密和隐匿检索这样的加密方式整体的计算量造成较大影响。

在非专利文献1、2中记载有在大量的配对友好曲线中配对运算整体的效率也良好的BLS曲线。在非专利文献1、2中记载有作为嵌入次数k，k＝24、27、42、48的BLS曲线中的配对运算。此外，在专利文献1和非专利文献2中记载有KSS曲线。在任何文献中，均示出最终幂的计算量比Miller函数的计算量大这样的结果。

配对友好曲线是由多项式r(x)、多项式p(x)、多项式t(x)、嵌入次数k、整数D和整数u决定的椭圆曲线。多项式r(x)、多项式p(x)和多项式t(x)根据嵌入次数k而采取不同的形式。

嵌入次数k的配对友好曲线E是在由p＝p(x)个元素构成的有限域F_p上定义的椭圆曲线。r＝r(x)是对椭圆曲线E的部分群E(F_p)的位数进行除法的最大素数。t＝t(x)是椭圆曲线E的轨迹。

关于椭圆曲线E上的配对运算，将椭圆曲线E上的某2点P、Q作为输入，在计算被称作Miller函数的有理函数f后，计算(p(x)^k-1)/r(x)次方。即，椭圆曲线E上的配对运算通过数学式11来计算。

【数学式11】

在非专利文献3中记载有如下技术：为了高效地进行最终幂的计算，使用多项式Φ_k(p(x))将指数部分(p(x)^k-1)/r(x)分解成简单部分和困难部分来进行计算。

关于简单部分的幂乘计算，能够使用高速的p(x)ⁱ次方高效地进行计算。在困难部分的幂乘计算中，如数学式12所示，困难部分的指数部分被转换为p(x)ⁱ的线性和，计算基于各系数λ_i(x)的幂乘。

【数学式12】

现有技术文献

专利文献

专利文献1：日本特开2018-205511号公报

非专利文献

非专利文献1：X.Zhang,D.Lin,“Analysis of Optimum Pairing Products atHigh Security Levels”,INDOCRYPT 2012,p.412～430