[发明专利]椭圆曲线变换装置、利用装置和利用系统

说明书

本申请以在日本申请的申请号为特愿平10-053204专利申请为基础，其内容在此作为参考。

本发明涉及作为信息保密技术的一种密码技术，特别涉及用椭圆曲线实现的加密·解密技术、数字署名·验证技术和键共有技术。

1．公开键密码

近年来，基于计算机技术和通信技术的数据通信正在广泛地普及起来，在这种数据通信技术中，使用秘密通信方式或数字署名方式。这里，所谓秘密通信方式是除特定的通信对方之外不透露通信内容的通信方式。所谓数字署名方式是对通信对方表示通信内容的正当性，同时证明发信者身份的通信方式。

这些秘密通信方式或数字署名方式中采用称之为公开键密码的密码方式，公开键密码是在通信对方多的时候容易管理每个通信对方不同的密码键的方式，是为与多个通信对方进行通信而必不可少的基本技术。在采用公开键密码的秘密通信中，虽然加密键和解密键不同，且解密键秘密，而加密键公开。

作为这种公开键密码的安全性的根据，是采用离散对数问题，在离散对数问题中，具代表性的有定义在有限体上的问题和定义在椭圆曲线上的问题。关于离散对数问题，在Neal Koblitz著的“数论和密码学教程”(“ACourse in Number theory and Cryptography”,Springer-Verlag,1987)一书中作了详细描述。

2．椭圆曲线上的离散对数问题

以下来描述关于椭圆曲线上的离散对数问题。

所谓椭圆曲线上的离散对数问题是在把E(GF(p))为在有限体GF(p)上定义的椭圆曲线，并在用大的素数除椭圆曲线E的位数的情况下，把包含在椭圆曲线E内的元G取为基点。这时，对于包含在椭圆曲线E内的分配的元Y，如果存在Y=x^*G(式1)的整数x，问题就是把x求出来。

这里，p是素数，GF(p)是具有p个元的有限体。在本说明书中，符号*表示把包含在椭圆曲线内的元多次相加的运算，如下式所示，x^*G表示对包含在椭圆曲线内的元G进行x次相加。

x^*G=G+G+G+…+G

把离散对数问题作为公开键密码的安全性的根据的原因是对于具有多元的有限体GF(p)来说，上述的问题是极为困难的。

3．应用椭圆曲线上的离散对数问题的エルガマル署名

以下用图1来说明根据应用上述椭圆曲线上的离散对数问题的エルガマル署名的数字署名方式。

该图是表示根据上述エルガマル署名的数字署名方式步骤的顺序图。

用网络把用户A110、管理中心120、用户B130连接起来。

把p取为素数，设有限体GF(p)上的椭圆曲线为E，把E的基点取为G,E的位数设为q。即q是满足(式2)q^*G=0的最小正整数。

把x坐标、y坐标都为∞的点(∞,∞,)称为无限远点，用0来表示。在把椭圆曲线看作群时，这个无限远点0的作用是加法运算中的「零元」。

(1)由管理中心120进行的公开键的生成

管理中心120根据式3用预先通知的用户A110的秘密键xA生成用户A110的公开键YA(步骤S141～S142)。

(式3)YA=xA^*G

此后，管理中心120把素数p、椭圆曲线E和基点G公开为系统参数，并对其他用户B130公开用户A110的公开键YA(步骤S143～S144)。

(2)由用户A110进行的署名生成

用户A110生成随机数k(步骤S145)。

然后，用户A110计算(式4)R1=(rx,ry)=k^*G(步骤S146)，并由(式5)s×k=m+rx×xA(modq)计算s(步骤S147)。这里，m是用户A110向用户B130发送的信息。

另外，用户A110把所得到的(R1、s)作为署名，并与信息m一起发送给用户B130(步骤S148)。

(3)由用户B130进行的署名验证

用户B130通过判定(式6)s^*R1=m^*G+rx^*YA是否成立来确认发送者即用户A110的身份(步骤S149)。这可以由(式7)弄清楚。

(式7)s^*R1={((m+rx×xA)/k)×k}^*G

    =(m=rx×xA)^*G