楕円曲線セキュリティー

10
楕円曲線セキュリティーについて 作:アンダーウッド・ジョナサン

Transcript of 楕円曲線セキュリティー

Page 1: 楕円曲線セキュリティー

楕円曲線セキュリティーについて

作:アンダーウッド・ジョナサン

Page 2: 楕円曲線セキュリティー

概要

・楕円曲線の基本、秘密鍵と公開鍵の関係

・署名時のアルゴリズム

・乱数への依存について

・攻撃ベクトルの事例

・対策

・結論

Page 3: 楕円曲線セキュリティー

楕円曲線1

・y2 = x3 + ax + b mod p という方程式を満たす曲線で、素数に限った平面の点が存在する数が order n に縛られます。

・ビットコインが使う曲線は「 SECp256k1」・定数は a = 0 ; b = 7・p = 2256 - 232 - 29 - 28 - 27 - 26 - 24 -1 (大きな素数)・n = 115,792,089,237,316,195,423,570,985,008,687,907,852,837,564,279,074,904,382,605,163, 141,518,161,494,337・見た目は ⇒ ・でも本当はこうなる⇒

Page 4: 楕円曲線セキュリティー

楕円曲線2

・曲線上に存在する2つの点を通過する直線は必ず 3つ目の点を通過する。

・曲線上に存在する1つの点を通過し、接線となる場合、その接線は必ず 2つ目の点を通過する。

・よって、擬似的な足し算を定義できます。  ー「点Aと点Bを足し合わせて出来る点はその 2つの点をつなぐ直線が通過する 3つ目の点の反転」

・例えば A + B = C の場合: ・A + A = 2A の場合:

*しかし、通過する直線が縦線となった場合、できる点は「インフィニティポイント」と呼ばれ、無効です。

Page 5: 楕円曲線セキュリティー

楕円曲線3

・定数として、ジェネレーターポイント (点)を決めます。

  -SECp256k1の場合: G = (x, y)    x = 55066263022277343669578718895168534326250603453777594175500187360389116729240

    y = 32670510020758816978083085130507043184471273380659243275938904335757337482424

・ G + G + G + G = 4G のようにGを複数回足し合わせると擬似的な掛け算ができます。

・秘密鍵の整数をGに掛けるとできる点が公開鍵である。

・例:秘密鍵=3 G = 緑の点と想定

* 2G + G = 3G

Page 6: 楕円曲線セキュリティー

署名時のアルゴリズム

・楕円曲線の場合、 r と s という2つの値を合わせて「デジタル署名」と言います。

・生成アルゴリズム: (楕円曲線の方程式は基本的に大文字=点、小文字=整数を表します。

  - r = Rx = kG mod p  - s = k-1(z + dr) mod n      -G, p, n は定数、 z は署名したいメッセージのハッシュ、  d は秘密鍵(整数)      -k が秘密鍵のような乱数で全ての取引ごとに新しく生成する必要があります。

・この2つの値と公開鍵 (Q)を使って確認したい場合は下記のように確認します。

  - w = s-1 mod n  - u1 = zw mod n  - u2 = rw mod n  - R = u1G + u2Q  - Rx == r ならば OK、 違えば NG

Page 7: 楕円曲線セキュリティー

乱数の依存について

・秘密鍵生成時

  ー弱い乱数を当てられる=秘密鍵当てられる= アウト

・署名時

  ー署名のr, sを知るだけで、乱数である kが当てられれば、秘密鍵が強くても計算できます。

      - d = r-1(sk - z) mod n  -さらに、k を知らなくても、2つの異なる方程式で同じ k (よって同じ r )使っていれば計算できます。

      - s1 - s2 = k-1(z1 + dr) - k-1(z2 + dr) mod n  *(k と r に1と2は付かない、同じなので )      - s1 - s2 = k-1(z1 - z2) mod n      ー k = (s1 - s2)

-1(z1 - z2) mod n

・乱数の依存を少なくすることが重要

Page 8: 楕円曲線セキュリティー

攻撃ベクトルの事例 (架空)

・社内プログラマーが乱数を出す関数に分かりづらいバグを仕込む。

・社外の人がサーバーの保管されたルームに侵入し、OS自体の乱数を当てられるように改ざん。

・アホなプログラマーのタイプミスで乱数は0~255の間でしか取らないようにしてしまった。(blockchain.info)

Page 9: 楕円曲線セキュリティー

対策

・署名時は決定性署名(RFC6979)を使う。

  -kを生成するために z と d を複数回ハッシュをかけることで、    メッセージか秘密鍵のどっちかがちっとでも変われば異なる kになる。

・秘密鍵生成時はセキュアなカーネルレベルの乱数 を取得すると同時に、ユーザの操作などを読み取って蓄積していき、それらのランダムさを混ぜてハッシュ取ると更に良い。 (マウスの位置が一番手っ取り早い )・秘密鍵はできれば乱数に依存する回数を 少なくしたいので、BIP32の決定性ウォレットを使用すれば、乱数に依存する回数は1ユーザーごとに1回のみ。

Page 10: 楕円曲線セキュリティー

結論

・安全な乱数を出せるようにしないといけません。

・しかし、安全な乱数かどうかはテストができないので、100%乱数に依存しないように仕組みを作るといい。

・ユーザーの動きなどでランダムさを取得して、念のために乱数と合わせてハッシュを取ると良い。

・決定性ウォレットや決定性署名のテストベクトルを実装して、実行してください。(それぞれのコードが悪意ある人に改ざんされていたら終わり。)


平面上の曲線【2次曲線】 - izumi-math.jpizumi-math.jp/S_Yoshida/matome/H31R1heimenjounokyokusen.pdf · 円と楕円 円 [ \ u を,[ 軸をもとにして \ 軸方向に縮小または拡大すると,どのような曲線になるか調べてみよう。

平面上の曲線【2次曲線】 - izumi-math.jpizumi-math.jp/S_Yoshida/matome/H31R1heimenjounokyokusen.pdf · 円と楕円 円 [ \ u を,[ 軸をもとにして \ 軸方向に縮小または拡大すると,どのような曲線になるか調べてみよう。

大学受験 数学 III - XREA(エクスリア)kumamoto.s12.xrea.com/ruihi/math3_pro_demo.pdf第1 章 式と曲線 1.1 2次曲線 1.1 楕円 x2 3 +y2 = 1上の点 ˆ 1; p 6 3!

大学受験 数学 III - XREA(エクスリア)kumamoto.s12.xrea.com/ruihi/math3_pro_demo.pdf第1 章 式と曲線 1.1 2次曲線 1.1 楕円 x2 3 +y2 = 1上の点 ˆ 1; p 6 3!

VMware vSphereとプラットフォーム・セキュリティー

VMware vSphereとプラットフォーム・セキュリティー

円錐曲線mixedmoss.com/GraphicMath/conic/chapter3/conic.pdf円錐曲線 「幾何再入門 G.ジェニングス著」を参考にしました. 1.楕円,放物線,双曲線

円錐曲線mixedmoss.com/GraphicMath/conic/chapter3/conic.pdf円錐曲線 「幾何再入門 G.ジェニングス著」を参考にしました. 1.楕円,放物線,双曲線

自由曲面を表現する - ocw.nagoya-u.jp · 有理ベジェ曲線 zベジェ曲線(n 次の多項式)では表現できる曲線 の精度に制限がある. z例えば,円錐や楕円などはベジェ曲線では正確に表

自由曲面を表現する - ocw.nagoya-u.jp · 有理ベジェ曲線 zベジェ曲線(n 次の多項式)では表現できる曲線 の精度に制限がある. z例えば,円錐や楕円などはベジェ曲線では正確に表

暗号と楕円曲線 - Hiroshima Universitym-mat/TEACH/elliptic.pdf · 一番ポピュラーなのがgを有限体上の楕円曲線の有理点のなす群とするものである。(楕円

暗号と楕円曲線 - Hiroshima Universitym-mat/TEACH/elliptic.pdf · 一番ポピュラーなのがgを有限体上の楕円曲線の有理点のなす群とするものである。(楕円

Bézier 曲线曲面

Bézier 曲线曲面

Title 楕円曲線暗号 (離散可積分系の応用数理) 数理解析研究所 ...楕円曲線暗号 Elliptic curve cryptosystems 宮地充子 Atsuko Miyaji 北陸先端科学技術大学院大学

Title 楕円曲線暗号 (離散可積分系の応用数理) 数理解析研究所 ...楕円曲線暗号 Elliptic curve cryptosystems 宮地充子 Atsuko Miyaji 北陸先端科学技術大学院大学

彝族舞曲 (琵琶曲)

彝族舞曲 (琵琶曲)

Pythonによる楕円曲線・ペアリング暗 号ライブラリの実装とア …elliptic-shiho.github.io/slide/lab_youth_5th.pdf · Pythonによる楕円曲線・ペアリング暗

Pythonによる楕円曲線・ペアリング暗 号ライブラリの実装とア …elliptic-shiho.github.io/slide/lab_youth_5th.pdf · Pythonによる楕円曲線・ペアリング暗

楕円関数入門 - 福岡大学nyamada/Tokuron2012/...1 楕円の弧長 平面上の楕円の方程式は x2 a2 y2 b2 = 1 である。パラメータθ を用いて x = acosθ, y

楕円関数入門 - 福岡大学nyamada/Tokuron2012/...1 楕円の弧長 平面上の楕円の方程式は x2 a2 y2 b2 = 1 である。パラメータθ を用いて x = acosθ, y

UHQCD ワーナー・クラシックス(旧EMI...交響曲 交響曲 管弦楽曲 交響曲 管弦楽曲 交響曲 管弦楽曲 交響曲 ブルックナーの音楽は彼の生地に行くとより一層の理解

UHQCD ワーナー・クラシックス(旧EMI...交響曲 交響曲 管弦楽曲 交響曲 管弦楽曲 交響曲 管弦楽曲 交響曲 ブルックナーの音楽は彼の生地に行くとより一層の理解

セキュリティー機能(TPM)設定ガイドjpe-aws-s3-004.s3-website-ap-northeast-1.amazonaws.com/...セキュリティー機能(TPM)設定ガイド 本書では、セキュリティーチップ(以降、TPM)のセキュリティー機能の設定方法

セキュリティー機能(TPM)設定ガイドjpe-aws-s3-004.s3-website-ap-northeast-1.amazonaws.com/...セキュリティー機能(TPM)設定ガイド 本書では、セキュリティーチップ(以降、TPM)のセキュリティー機能の設定方法

平面曲線の曲率 - Hiroshima Universityr2 t2) を考える(ただしt2 (r;r) ).このときの曲率 (t) を求めよ. 問題1.2.4 楕円x2=a2 + y2=b2 = 1 の曲率を計算し,曲率の絶対値が最大になる点と最

平面曲線の曲率 - Hiroshima Universityr2 t2) を考える(ただしt2 (r;r) ).このときの曲率 (t) を求めよ. 問題1.2.4 楕円x2=a2 + y2=b2 = 1 の曲率を計算し,曲率の絶対値が最大になる点と最

二次曲線 - 九州大学(KYUSHU UNIVERSITY)snii/Calculus/02.pdf二次曲線 [定理]二次方程式 ax2 +bxy +cy2 = d の表す図形は、判別式 b2 −4ac が正のとき双曲線(直線)、負のとき楕円(一点、図形を表さ

二次曲線 - 九州大学(KYUSHU UNIVERSITY)snii/Calculus/02.pdf二次曲線 [定理]二次方程式 ax2 +bxy +cy2 = d の表す図形は、判別式 b2 −4ac が正のとき双曲線(直線)、負のとき楕円(一点、図形を表さ

応用解析 第5回 三角関数・双曲線関数 - Nanzan …...v=−sintsinhb>0ゆえ,楕円の上半平面側(1,2象限) ,b>0でv=−sintsinhb

応用解析 第5回 三角関数・双曲線関数 - Nanzan …...v=−sintsinhb>0ゆえ,楕円の上半平面側(1,2象限) ,b>0でv=−sintsinhb

円錐曲線 - plala.or.jp円錐[定義は後述]をある平面で切断したときに切断面に現れる曲線を総称して円錐曲線という。 円錐曲線には楕円,円,放物線,双曲線がある。(1)

円錐曲線 - plala.or.jp円錐[定義は後述]をある平面で切断したときに切断面に現れる曲線を総称して円錐曲線という。 円錐曲線には楕円,円,放物線,双曲線がある。(1)

公開鍵暗号7: 楕円曲線の数理

公開鍵暗号7: 楕円曲線の数理

情報セキュリティー報告書2019...1 目次・編集方針 1 情報セキュリティーの考え方 統括責任者メッセージ 2 情報セキュリティーガバナンス

情報セキュリティー報告書2019...1 目次・編集方針 1 情報セキュリティーの考え方 統括責任者メッセージ 2 情報セキュリティーガバナンス

楕円曲線素数証明 (ECPP)

楕円曲線素数証明 (ECPP)