WO2010024401A1

WO2010024401A1 - ペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラム

Info

Publication number: WO2010024401A1
Application number: PCT/JP2009/065099
Authority: WO
Inventors: 保之野上; 正剛赤根; 由美酒見; 良孝森川
Original assignee: Okayama University NUC
Current assignee: Okayama University NUC
Priority date: 2008-08-29
Filing date: 2009-08-28
Publication date: 2010-03-04
Anticipated expiration: 2011-02-28
Also published as: EP2360659A4; US20110179471A1; CN102308326B; EP2360659A1; CN102308326A; JP5360836B2; JPWO2010024401A1; US8625777B2

Abstract

　高速なペアリング演算を可能としたペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラムを提供する。　曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数とし、有理関数ｆ_χ,Q(Ｓ)を演算する演算手段と、所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算する演算手段と、これらの演算手段の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算する演算手段と、有理関数f'_χ,Q(Ｓ)を用いて式（１）としてペアリング演算を行う演算手段と有するものとする。

Description

ペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラム

　本発明は、ペアリング演算を高速に実行可能としたペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラムに関する。

　従来、個人ユーザがインターネットなどのネットワーク上において提供されている各種のサービスを利用する場合に、その個人ユーザが正規のユーザであることを確認する認証処理が行われていることがある。このような認証処理では、一般的に、個人ユーザごとにあらかじめ設定されたＩＤ及びパスワード等を用いて認証している。そのために、ネットワークには、認証処理を実行するための認証サーバが設けられている。

　最近では、ディジタル署名技術を用いることにより、個々のデータ自体に個人ユーザに固有のディジタル署名データを付加している。このディジタル署名データによって、個人ユーザが利用するデータが第三者によって改ざんされていないこと、あるいは第三者に漏洩していないことを保証可能として、秘匿性の高い情報もネットワーク上で安全に取り扱い可能となってきている。

　一方、ディジタル署名では、認証サーバでの認証処理にともなって個人ユーザが特定されるため、認証処理のたびに認証サーバに個々の個人ユーザの履歴が情報として逐次蓄積されることとなっている。したがって、認証サーバには、個人ユーザが、どのようなサイトにアクセスしたかとか、どのようなサービスを利用したかなどの個人情報が蓄積されることとなるので、個人情報保護の点からこれらの情報の漏洩が生じないように、十分な注意が払われている。

　このようなディジタル署名を用いることによって生じる個人ユーザの履歴情報の蓄積を解消するために、ディジタル署名を拡張したディジタルグループ署名を用いることが提案されている。

　ディジタルグループ署名を用いた場合には、個人ユーザは、認証サーバに対して匿名で所定のグループに属していることのみを証明する署名データを送信し、認証サーバでは、受信した署名データから個人ユーザを特定することなく個人ユーザが所定のグループに属していることを認証している。したがって、認証サーバでは、グループに属さない個人ユーザによる不正利用を阻止する一方で、個人ユーザごとの履歴情報を蓄積することなく個人ユーザを認証している。

　このようなディジタルグループ署名における匿名認証には、ペアリング演算が用いられている。

　ペアリング演算は、２入力１出力の関数を用いた演算であって、たとえば、Ｓを素体Ｆ_p上の有理点、Ｑをｋ次拡大体Ｆ_p ^k上の有理点として、２つの有理点ＳとＱを入力することにより拡大体Ｆ^* _p ^kの元ｚが出力されるものである。しかも、ペアリング演算は、有理点Ｓのａ倍と、有理点Ｑのｂ倍を入力した場合に、ｚのab乗が算出されるという双線形性を有している。この双線形性を利用して認証を行っている。ここで、「ｋ」は埋込み次数であり、「Ｆ^* _p ^k」は、数学における表記上、正しくは、

であるが、表示の制限上、「Ｆ^* _p ^k」と表示している。

　一般的に、有理点Ｓ，Ｑにはそれぞれ楕円曲線上の点が用いられている。このような楕円曲線上の有理点のペアリング演算は、ミラーのアルゴリズムを用いて演算するステップと、その演算結果に対してべき乗算を行うステップとで構成されている。

　ディジタルグループ署名では、グループに所属する個人ユーザのアクセス権の認証処理を行う際に、まず、アクセス権が失効している個人ユーザを除外するためのペアリング演算を行っている。次いで、ディジタルグループ署名では、所定の個人ユーザのペアリング演算を行って認証処理を行うことにより、個人ユーザごとのアクセス権の発行または失効の属性変更に柔軟に対応可能としている。

　したがって、たとえば、10,000人の個人ユーザで構成されるグループのディジタルグループ署名の場合に、アクセス権が失効している個人ユーザが100人いれば、100回のペアリング演算が必要となっている。現時点での一般的な電子計算機による１回のペアリング演算には約0.1秒を要していることから、100回のペアリング演算には約10秒を要することとなっている。したがって、現状では、ディジタルグループ署名は実用的な技術とは考えられておらず、広く利用されるものとはなっていなかった。

　現状では、ディジタルグループ署名を実用化するために、ペアリング演算の演算速度を向上させる研究が行われている。たとえば、ペアリング演算の高速化の技術として、楕円曲線上で定義されるＴａｔｅペアリング演算を用い、演算負荷を低減させて高速化を図る技術が提案されている（例えば、特許文献１参照。）。
特開２００５－３１６２６７号公報

　しかしながら、現在提案されているペアリング演算の高速化の技術では未だに十分ではなく、さらなる高速化が求められていた。

　本発明者らは、このような現状に鑑み、ペアリング演算を高速化すべく研究開発を行って、本発明を成すに至ったものである。

　本発明のペアリング演算装置では、曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてペアリングｅ(Ｑ,Ｓ)を演算して演算結果を出力するペアリング演算装置であって、フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算する代わりに、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、有理関数ｆ_χ,Q(Ｓ)を演算する演算手段と、所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算する演算手段と、これらの演算手段の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算する演算手段と、有理関数f'_χ,Q(Ｓ)を用いて

としてペアリング演算を行う演算手段とによりペアリング演算を行うこととした。

　さらに、本発明のペアリング演算装置では、有理関数ｆ_χ,Q(Ｓ)を演算する演算手段では、χＱを演算して演算結果を所定のレジスタに記憶し、χＱの演算結果を用いて所定の有理点を演算する演算手段を有することにも特徴を有する。

　しかも、本発明のペアリング演算装置では、埋込み次数ｋ＝12の場合に、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを、整数変数χを用いて
　ｒ(χ)＝３６χ⁴－３６χ³＋１８χ²－６χ＋１,
　ｔ(χ)＝６χ²＋１
とし、χＱ＝Ｒとして、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、有理点ｐ¹⁰χＱ、χＱ＋ｐ¹⁰χＱ、ｐχＱ＋ｐ³χＱをそれぞれ演算し、有理点(χＱ,ｐ¹⁰χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁と、有理点(χＱ＋ｐ¹⁰χＱ,ｐχＱ＋ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₂をそれぞれ演算し、有理点(ｐχＱ,ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₃を用いて

として有理関数f'_χ,Q(Ｓ)を演算することにも特徴を有する。

　そのうえ、本発明のペアリング演算装置では、有理関数f_χ,Q(Ｓ)のフロベニウス自己準同型写像φ_pがφ_p(f_χ,Q(Ｓ))＝f_χ,Q(Ｓ)^pであることを用いて

を演算するとともに、Ｑ₁,Ｑ₂∈Ｇ₂である有理点(Ｑ₁,Ｑ₂)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値lのフロベニウス自己準同型写像φ_pが有理点(pＱ₁,pＱ₂)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値であることを用いて

となる

を演算して有理関数f'_χ,Q(Ｓ)を演算することにも特徴を有する。

　また、本発明のペアリング演算方法では、曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてＣＰＵを備えた電子計算機でペアリングｅ(Ｑ,Ｓ)を演算するペアリング演算方法であって、フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算する代わりに、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、電子計算機のＣＰＵを演算手段として機能させて、有理関数ｆ_χ,Q(Ｓ)を演算するステップと、電子計算機のＣＰＵを演算手段として機能させて、所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算するステップと、電子計算機のＣＰＵを演算手段として機能させて、前記の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算するステップと、電子計算機のＣＰＵを演算手段として機能させて、有理関数f'_χ,Q(Ｓ)を用いて

として演算するステップとを有するものである。

　さらに、本発明のペアリング演算方法では、有理関数ｆ_χ,Q(Ｓ)を演算するステップの後、電子計算機のＣＰＵを演算手段として機能させて、χＱを演算し、このχＱの演算結果を用いて所定の有理点を演算するステップを有することにも特徴を有する。

　また、本発明のペアリング演算プログラムでは、曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてＣＰＵを備えた電子計算機にペアリングｅ(Ｑ,Ｓ)を演算させるペアリング演算プログラムであって、フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算させる代わりに、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、電子計算機を、有理関数ｆ_χ,Q(Ｓ)を演算する演算手段と、所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算する演算手段と、これらの演算手段の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算する演算手段と、この有理関数f'_χ,Q(Ｓ)を用いて

として演算する演算手段として機能させることとした。

　さらに、本発明のペアリング演算プログラムでは、電子計算機を、χＱを演算する演算手段と、このχＱの演算結果を用いて所定の有理点を演算する演算手段として機能させることにも特徴を有する。

　本発明によれば、ペアリング演算の際にミラーのアルゴリズムを用いて計算される有理関数を、整数変数χの関数とすることにより、有理関数の計算を高速に行うことができ、ペアリング演算を高速化することができる。したがって、実用性のあるディジタルグループ署名のサービスを提供できる。

図１は、本発明の実施形態にかかるペアリング演算装置の概略模式図である。図２は、本発明の実施形態にかかるペアリング演算プログラムのフローチャートである。図３は、有理関数f_χ,Q(Ｓ)を演算するためのフローチャートである。図４は、本発明の他の実施形態にかかるペアリング演算プログラムのフローチャートである。

　10　電子計算機
　11　ＣＰＵ
　12　記憶装置
　13　メモリ装置
　14　バス
　15　入出力制御部
　20　電気通信回線
　30　クライアント装置

　本発明のペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラムでは、ペアリング演算におけるミラーのアルゴリズムを用いて有理関数を演算する第１のステップと、その演算結果に対してべき乗算を行う第２のステップのうち、第１のステップにおいて整数変数χを用いて有理関数を演算することにより、演算を高速化している。

　すなわち、従来のペアリング演算では、曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、Ｓ∈Ｇ₁、Ｑ∈Ｇ₂、フロベニウス自己準同型写像φ_pのトレースをｔとして、ミラーのアルゴリズムで計算される有理関数f_t-1,Q(Ｓ)を用いて、ペアリングｅ(Ｑ,Ｓ)を、Ａｔｅペアリングとして知られている次式により演算していた。

　これに対して、本発明者らは、楕円曲線の整数変数χを用いることにより、より高速に演算が可能なペアリングを見い出した。このペアリングを、「Ｘａｔｅペアリング」と呼ぶこととする。

　すなわち、本発明のペアリング演算装置、ペアリング演算方法、及びペアリング演算プログラムでは、ＡｔｅペアリングではなくＸａｔｅペアリングを用いることにより、高速な演算を可能としているものである。

　特に、ペアリング演算に用いられる楕円曲線は、組み込み次数に応じてそれぞれペアリングフレンドリ曲線として知られており、例えば組み込み次数ｋ＝12の場合には、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔが、整数変数χを用いて次のように表せることが知られている。
　ｒ(χ)＝３６χ⁴－３６χ³＋１８χ²－６χ＋１,
　ｔ(χ)＝６χ²＋１.

　また、組み込み次数ｋ＝10の場合には、次のように表せることが知られている。
　ｒ(χ)＝２５χ⁴＋２５χ³＋１５χ²＋５χ＋１,
　ｔ(χ)＝１０χ²＋５χ＋３.
　あるいは、次のようにも表せることが知られている。
　ｒ(χ)＝χ⁸－１,
　ｔ(χ)＝－χ⁶＋χ⁴－χ²＋２.

　また、組み込み次数ｋ＝８の場合には、次のように表せることが知られている。
　ｒ(χ)＝９χ⁴＋１２χ³＋８χ²＋４χ＋１,
　ｔ(χ)＝－９χ³－３χ²－２χ.
　あるいは、次のようにも表せることが知られている。
　ｒ(χ)＝χ⁴－８χ²＋２５,
　ｔ(χ)＝(２χ³－１１χ＋１５)／１５.
　あるいは、次のようにも表せることが知られている。
　ｒ(χ)＝χ⁸－χ⁴＋１,
　ｔ(χ)＝χ⁵－χ＋１.

　また、組み込み次数ｋ＝18の場合には、次のように表せることが知られている。
　ｒ(χ)＝(χ⁶＋３７χ³＋３４３)／３４３,
　ｔ(χ)＝(χ⁴＋１６χ＋７)／７.

　以下において、組み込み次数ｋ＝12の場合を一例としてＸａｔｅペアリングを説明する。

　なお、組み込み次数ｋ＝12の場合には、曲線の式がｙ²＝ｘ³＋ｂ,ｂ∈Ｆ_pで与えられ、Ｆ_p ¹²を定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ¹²/(Ｆ^* _p ¹²)^r
である非退化な双線形写像としてペアリングｅを定義している。

　この場合、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、上述したように整数変数χを用いて次のように表せる。
　ｒ(χ)＝３６χ⁴－３６χ³＋１８χ²－６χ＋１　・・・（式１）
　ｔ(χ)＝６χ²＋１　・・・（式２）

　（式２）は次のように式変形できる。なお、特に必要でない場合には、便宜上、（χ）の表記を省略する。
　６χ²≡ｔ－１≡ｐ　（mod r）　・・・（式３）
　ここで、標数ｐには次の関係式があることを用いている。
　ｐ＝ｒ＋ｔ－１　・・・（式４）

　したがって、標数ｐは整数変数χを用いて次のように表せる。
　ｐ(χ)＝３６χ⁴－３６χ³＋２４χ²－６χ＋１・・・（式５）

　（式３）を用いて、（式５）は次のように式変形できる。
　ｐ≡ｐ²－６χ（ｐ＋１）＋４ｐ＋１　（mod r）　・・・（式６）

　この（式６）は、次のように式変形できる。
　６χ(１＋ｐ)≡ｐ²＋３ｐ＋１　（mod r）　・・・（式７）

　ここで、既に知られているｐ⁴－ｐ²＋１≡０（mod r）の関係式から、次の式が得られる。
　ｐ²(１－ｐ)(１＋ｐ)≡１　（mod r）　・・・（式８）

　この（式８）は、次のように式変形できる。
　(１＋ｐ)^-1≡ｐ²(１－ｐ)　（mod r）　・・・（式９）

　（式９）を用いるとともに、ｐ⁶≡－１（mod r）の関係式から、（式７）は次のように式変形できる。
　６χ≡(１＋ｐ)^-1{(１＋ｐ)²＋ｐ}
　　　≡１＋ｐ＋ｐ³＋ｐ¹⁰　（mod r）　・・・（式１０）

　次に、Ａｔｅペアリングの有理関数f_t-1,Q(・)について考える。特に、（式３）によって有理関数f_t-1,Q(・)は次のように表すことができる。ここで、ｔ－１＝Ｔとしている。

　ここで、Ｑ∈Ｇ₂であり、∀Ｓ∈Ｇ₁に対して、以下の式とする。

　（式１０）を用いることにより次の式が得られる。

　ここで、有理関数は、次の関係式を満たすこととなっている。

　したがって、（式１３）は次のように式変形できる。

　なお、g_aQ,bQ＝l_aQ,bQ／v_aQ+bQであって、l_aQ,bQは２つの有理点ａＱとｂＱを通る直線の値、v_aQ+bQは有理点ａＱ＋ｂＱの鉛直線の値である。組み込み次数が偶数の場合には、v_aQ+bQの計算は省略できる。

　また、（式１７）中の

は、双線形性を有していることから、次のように式変形できる。

　したがって、（式３）と（式１３）と（式１９）を用いて（式１７）を式変形することにより、次のようになる。

　ここで、本発明者らは、（式２０）の左辺が双線形性を有していることから、（式２０）の右辺も双線形性を有していることに思い至り、この（式２０）の右辺を新たな有理関数をf'_χ,Q(・)とすることとした。

　すなわち、次の式によりペアリングｅ(Ｑ,Ｓ)の演算を行うこととするものである。

　本発明者らは、このペアリングｅ(Ｑ,Ｓ)をＸａｔｅペアリングと呼んでいる。

　さらに、（式２０）の右辺は、次のように式変形できる。

　すなわち、組み込み次数ｋ＝12の場合には、有理点(χＱ,ｐ¹⁰χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁と、有理点(χＱ＋ｐ¹⁰χＱ,ｐχＱ＋ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₂と、有理点(ｐχＱ,ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₃をそれぞれ演算して特定しておくことにより、次の式に基づいてミラーのアルゴリズムを用いた演算を高速化できる。

　しかも、（式２０）の右辺は、次のように式変形できるので、f'_χ,Q(Ｓ)の演算をより高速化できる。

　以上のように、Ｘａｔｅペアリングを用いることによって、ペアリング演算を行う場合には、有理関数f_χ,Q(Ｓ)と、所定の有理点を通る直線の値を用いて得られた新たな有理関数f'_χ,Q(Ｓ)を用いて演算でき、特に、特に有理関数f'_χ,Q(Ｓ)が、ｔ－１よりもサイズの小さいχを用いて演算できることによって、ペアリング演算を高速化できる。

　ここまでは、組み込み次数ｋ＝12の場合について説明してきたが、組み込み次数ｋ＝8,10,18の場合にも基本的に同様であるので詳細な説明は省略する。

　以下において、組み込み次数ｋ＝12の場合の実施形態について詳説する。なお、本実施形態では、ディジタルグループ署名を想定しており、所要の電子計算機で構成された認証サーバをペアリング演算装置としている。ただし、ペアリング演算装置は、認証サーバで構成する場合に限定されるものではなく、少なくともＣＰＵなどの演算手段を備えてペアリング演算が実行可能となった装置であれば、どのような装置であってもよい。

　図１に示すように、認証サーバを構成する電子計算機10は、演算処理を実行するＣＰＵ11と、ペアリング演算プログラムなどの各種プログラム、及びペアリング演算プログラムで使用するデータなどを記憶したハードディスクなどの記憶装置12と、ペアリング演算プログラムを展開して実行可能とするとともに、ペアリング演算プログラムの実行にともなって生成されたデータを一時的に記憶するＲＡＭなどで構成されたメモリ装置13を備えている。図４中、14はバスである。

　また、電子計算機10は、インターネットなどの電気通信回線20に接続して、この電気通信回線20に接続されたクライアント装置30から送信されたディジタルグループ署名の署名データを受信可能としている。図１中、15は電子計算機10の入出力制御部である。

　電子計算機10では、クライアント装置30からディジタルグループ署名の署名データが送信されると、送信された署名データをメモリ装置13に一旦記憶する。次いで、電子計算機10では、ペアリング演算プログラムを実行するすることによりペアリング演算を行っている。

　すなわち、電子計算機10では、ペアリング演算プログラムの実行にともなって、図２に示すフローチャートに基づいてペアリング演算を行い、ディジタルグループ署名を実現している。なお、ディジタルグループ署名における認証処理については詳説せず、認証処理におけるサブルーチン処理としてのペアリング演算についてのみ詳説する。

　ペアリング演算プログラムによって、電子計算機10では、図２に示すようにステップＳ１として、ＣＰＵ11を入力手段として機能させて、必要なデータの入力を行っている。すなわち、電子計算機10では、メモリ装置13にあらかじめ記憶している整数変数χのデータと有理点ＱのデータをＣＰＵ11の内部に設けている所定のレジスタに入力し、さらに、署名データとしてメモリ装置13に一旦記憶された有理点ＳのデータをＣＰＵ11の内部に設けている所定のレジスタに入力している。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＳ２として、ＣＰＵ11を第１演算手段として機能させて、ミラーのアルゴリズムによる有理関数f_χ,Q(Ｓ)の演算を行っている。

　この有理関数f_χ,Q(Ｓ)の演算は、具体的には図３のフローチャートに示すように実行している。特に、ステップＳ２では、有理関数f_χ,Q(Ｓ)の演算とともにχＱの演算を行い、χＱの演算結果をＣＰＵ11の内部に設けている所定のレジスタの記憶している。

　すなわち、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２１として、初期設定を行っている。すなわち、電子計算機10では、ｆ←１、Ｔ←Ｑとする処理を行い、さらにｉ←［log₂(χ)］として、整数変数χを２進数表示とした場合のビット数をｉとしている

　次いで、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２２として、有理関数f_χ,Q(Ｓ)部分の所定の演算を行っている。

　次いで、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２３として、χＱ部分の所定の演算を行っている。

　次いで、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２４として、整数変数χのｉ番目のビットの値ｕ_iが「１」であるか「０」であるかを判定している。

　ｕ_i＝１の場合には、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２５として、有理関数f_χ,Q(Ｓ)部分の所定の演算を行い、さらに、ステップＳ２６として、χＱ部分の所定の演算を行っている。

　次いで、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２７として、終了判定を行っている。

　ステップＳ２７においてｉ≠１の場合には、図３のフローチャートに基づいて、電子計算機10は、ステップＳ２８として、ｉのデクリメントを行ってステップＳ２２に戻り、ステップＳ２７においてｉ＝１となるまで有理関数f_χ,Q(Ｓ)及びχＱの演算を繰り返し行っている。

　ステップＳ２７においてｉ＝１の場合には、電子計算機10は、有理関数f_χ,Q(Ｓ)の演算結果、及びχＱの演算結果をそれぞれ所定のレジスタに記憶して、図３のフローチャートに基づくサブルーチンを終了している。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＳ３として、ＣＰＵ11を第２演算手段として機能させて、有理点ｐ¹⁰χＱ、χＱ＋ｐ¹⁰χＱ、ｐχＱ＋ｐ³χＱをそれぞれ演算している。

　特に、第２演算手段では、ステップＳ２において所定のレジスタに記憶されたχＱ＝Ｒとし、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、各有理点ｐ¹⁰χＱ＝ｐ¹⁰Ｒ、χＱ＋ｐ¹⁰χＱ＝Ｒ＋ｐ¹⁰Ｒ、ｐχＱ＋ｐ³χＱ＝ｐＲ＋ｐ³Ｒとして演算を行っている。

　具体的には、Ｔ＝χＱ＝Ｒであって、Ｘ＝ｐ¹⁰Ｒ、Ｙ＝Ｒ＋ｐ¹⁰Ｒ、Ｚ＝ｐＲ＋ｐ³Ｒとし、電子計算機10では、次のように演算している。
　　Ｘ←φ_p ¹⁰(Ｔ),
　　Ｙ←Ｔ＋Ｘ,
　　Ｚ←φ_p ³(Ｙ).

　したがって、ステップＳ３において、電子計算機10は、乗算処理をすることなく演算を実行できるので、演算を高速化することができる。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＳ４として、ＣＰＵ11を第３演算手段として機能させて、有理点(χＱ,ｐ¹⁰χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁と、有理点(χＱ＋ｐ¹⁰χＱ,ｐχＱ＋ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₂をそれぞれ演算している。

　具体的には、電子計算機10では、l₁＝l_T,X(Ｓ)を次のように演算している。
　　λ_T,X←(ｙ_X－ｙ_T)/(ｘ_X－ｘ_T),
　　l_T,X(Ｓ)←(ｘ_S－ｘ_X)λ_T,X－(ｙ_S－ｙ_X).

　また、電子計算機10では、l₂＝l_Y,Z(Ｓ)を次のように演算している。
　　λ_Y,Z←(ｙ_Z－ｙ_Y)/(ｘ_Z－ｘ_Y),
　　l_Y,Z(Ｓ)←(ｘ_S－ｘ_Z)λ_Y,Z－(ｙ_S－ｙ_Z).

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＳ５として、ＣＰＵ11を第４演算手段として機能させて、第１演算手段での演算結果と、第３演算手段での演算結果と、有理点(ｐχＱ,ｐ³χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₃を用いて、次のように有理関数f'_χ,Q(Ｓ)を演算している。

　特に、この場合に、電子計算機10では、有理関数f_χ,Q(Ｓ)のフロベニウス自己準同型写像φ_pが、φ_p(f_χ,Q(Ｓ))＝f_χ,Q(Ｓ)^pであって、φ_p ¹⁰(f_χ,Q(Ｓ))＝f_χ,Q(Ｓ)^p⌒10（ここで、p⌒10はｐ¹⁰であることを表している）を用いて

を演算している。

　さらに、電子計算機10では、Ｑ₁,Ｑ₂∈Ｇ₂である有理点(Ｑ₁,Ｑ₂)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値lのフロベニウス自己準同型写像φ_pが、有理点(pＱ₁,pＱ₂)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値であることを用いて

となる

を演算して有理関数f'_χ,Q(Ｓ)を演算している。

　具体的には、電子計算機10は、次のように演算を行っている。ここで、p⌒3はｐ³であることを表している。
　　1.　Ｃ←ｆ^p⌒10
　　2.　Ｃ←Ｃ・ｆ
　　3.　Ａ←Ｃ・l_T,X(Ｓ)
　　4.　Ｂ←Ａ^p⌒3
　　5.　returnＡ,Ｂ

　したがって、

は、
　　f'←Ａ・Ｂ・l_Y,Z(Ｓ)
として演算できる。

　このように、Ｘａｔｅペアリングを用いることによって演算量を大きく削減することができ、ペアリング演算を高速化できる。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＳ６として、ＣＰＵ11を第５演算手段として機能させて、ペアリングｅ(Ｑ,Ｓ)における最終べきのべき乗算を行っている。

　具体的には、電子計算機10は、次のように演算を行っている。
　　1.　f'←f'^p⌒6・f'^-1
　　2.　f'←f'^p⌒2・f'
　　3.　ａ←(f'⁶)^χ・(f'⁵)^p⌒6
　　4.　ｂ←ａ^p
　　5.　ｂ←ａ・ｂ
　　6.　compute f'^p,f'^p⌒2,andf'^p⌒3
　　7.　ｃ←ｂ・(f'^p)²・f'^p⌒2
　　8.　f'←f'^p⌒3・(ｃ⁶)^χ⌒2・ｃ・ｂ・(f'^p・f')⁹・ａ・f'⁴
　　9.　Return f'

　認証サーバを構成する電子計算機10では、上述したようにして得られたペアリングの演算結果を用いて認証処理を行っている。

　本実施形態では、組み込み次数ｋ＝12の場合について説明したが、例えば組み込み次数ｋ＝10の場合でも、同様に演算できる。

　なお、組み込み次数ｋ＝10の場合には、曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数が10で、Ｆ_p ¹⁰を定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ¹⁰/(Ｆ^* _p ¹⁰)^r
である非退化な双線形写像としてペアリングｅを定義している。

　この場合、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、整数変数χを用いて次のように表せる。
　ｒ(χ)＝２５χ⁴＋２５χ³＋１５χ²＋５χ＋１,
　ｔ(χ)＝１０χ²＋５χ＋３.

　また、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　５χ＝ｐ⁴＋ｐ⁵＋ｐ⁷＋ｐ⁸＝ｐ⁴(１＋ｐ＋ｐ³＋ｐ⁴)　（mod ｒ(χ)）.

　そして、有理点(χＱ,ｐχＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₄と、有理点(χＱ＋ｐχＱ,ｐ³χＱ＋ｐ⁴χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₅をそれぞれ演算し、さらに、有理点(ｐ³χＱ,ｐ⁴χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₆を用いることにより、有理関数f'_χ,Q(Ｓ)を次の式により演算している。

　埋め込み次数ｋ＝12の場合と同様に、埋め込み次数ｋ＝10の場合でも、認証サーバでは、ペアリング演算プログラムを実行することにより、図４に示すフローチャートに基づいてペアリング演算を行っている。

　ペアリング演算プログラムによって、電子計算機10では、図４に示すようにステップＴ１として、ＣＰＵ11を入力手段として機能させて、必要なデータの入力を行っている。すなわち、電子計算機10では、メモリ装置13にあらかじめ記憶している整数変数χのデータと有理点ＱのデータをＣＰＵ11の内部に設けている所定のレジスタに入力し、さらに、署名データとしてメモリ装置13に一旦記憶された有理点ＳのデータをＣＰＵ11の内部に設けている所定のレジスタに入力している。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＴ２として、ＣＰＵ11を第１演算手段として機能させて、ミラーのアルゴリズムによる有理関数f_χ,Q(Ｓ)の演算を行っている。

　なお、このステップＴ２では、図３に示したフローチャートのステップＳ２２における１番目の式を、次のようにしている。
　　1.　λ_T,T←(３ｘ_T ²＋ａ）／（２ｙ_T）

　ここで、「ａ」は、ｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられた楕円曲線における１次の係数であり、この１番目の式以外は、図３に示したフローチャートと同様に有理関数f_χ,Q(Ｓ)の演算を行っている。

　また、電子計算機10は、ステップＴ２でも、有理関数f_χ,Q(Ｓ)とともにχＱを演算して、演算結果を所定のレジスタに記憶している。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＴ３として、ＣＰＵ11を第２演算手段として機能させて、有理点ｐχＱ、χＱ＋ｐχＱ、ｐ³χＱ＋ｐ⁴χＱをそれぞれ演算している。

　特に、第２演算手段では、ステップＴ２において所定のレジスタに記憶されたχＱ＝Ｒとし、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、各有理点ｐχＱ＝ｐＲ、χＱ＋ｐχＱ＝Ｒ＋ｐＲ、ｐ³χＱ＋ｐ⁴χＱ＝ｐ³Ｒ＋ｐ⁴Ｒとして演算を行っている。

　具体的には、Ｔ＝χＱ＝Ｒであって、Ｘ＝ｐＲ、Ｙ＝Ｒ＋ｐＲ、Ｚ＝ｐ³Ｒ＋ｐ⁴Ｒとし、電子計算機10では、次のように演算している。
　　Ｘ←φ_p(Ｔ),
　　Ｙ←Ｔ＋Ｘ,
　　Ｚ←φ_p ³(Ｙ).

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＴ４として、ＣＰＵ11を第３演算手段として機能させて、有理点(χＱ,ｐχＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₄と、有理点(χＱ＋ｐχＱ,ｐ³χＱ＋ｐ⁴χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₅をそれぞれ演算している。

　具体的には、電子計算機10では、l₄＝l_T,X(Ｓ)を次のように演算している。
　　λ_T,X←(ｙ_X－ｙ_T)/(ｘ_X－ｘ_T),
　　l_T,X(Ｓ)←(ｘ_S－ｘ_X)λ_T,X－(ｙ_S－ｙ_X).

　また、電子計算機10では、l₅＝l_Y,Z(Ｓ)を次のように演算している。
　　λ_Y,Z←(ｙ_Z－ｙ_Y)/(ｘ_Z－ｘ_Y),
　　l_Y,Z(Ｓ)←(ｘ_S－ｘ_Z)λ_Y,Z－(ｙ_S－ｙ_Z).

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＴ５として、ＣＰＵ11を第４演算手段として機能させて、第１演算手段での演算結果と、第３演算手段での演算結果と、有理点(ｐ³χＱ,ｐ⁴χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₆を用いて、次のように有理関数f'_χ,Q(Ｓ)を演算している。

　特に、この場合に、電子計算機10では、有理関数f_χ,Q(Ｓ)のフロベニウス自己準同型写像φ_pが、φ_p(f_χ,Q(Ｓ))＝f_χ,Q(Ｓ)^pであることを用いて

を演算している。

となる

を演算して有理関数f'_χ,Q(Ｓ)を演算している。

　具体的には、電子計算機10は、次のように演算を行っている。ここで、p⌒3はｐ³であることを表している。
　　1.　Ｃ←ｆ^p
　　2.　Ｃ←Ｃ・ｆ
　　3.　Ａ←Ｃ・l_T,X(Ｓ)
　　4.　Ｂ←Ａ^p⌒3
　　5.　returnＡ,Ｂ

　さらに、電子計算機10は、
　　1.　f'←Ａ・Ｂ・l_Y,Z(Ｓ)
　　2.　f'←f'^p⌒4
として演算することにより、

を演算している。

　次いで、ペアリング演算プログラムによって、電子計算機10では、ステップＴ６として、ＣＰＵ11を第５演算手段として機能させて、ペアリングｅ(Ｑ,Ｓ)における最終べきのべき乗算を行っている。

　また、組み込み次数ｋ＝10の場合には、ミラーのアルゴリズムを用いて計算される有理関数をf_χ⌒2,Q(Ｓ)（χ⌒2はχ²であることを示す）としてペアリングｅ(Ｑ,Ｓ)を演算することもできる。

　この場合、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、整数変数χを用いて次のように表せる。
　ｒ(χ)＝χ⁸－１,
　ｔ(χ)＝－χ⁶＋χ⁴－χ²＋２.

　また、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　ｐχ²＝－ｐ　（mod ｒ(χ)）.

　そして、電子計算機10では、有理関数f'_χ,Q(Ｓ)を次の式により演算している。

　したがって、ペアリング演算プログラムによって、電子計算機10では、ペアリングｅ(Ｑ,Ｓ)を

として演算することができる。

　また、組み込み次数ｋ＝8の場合には、曲線の式がｙ²＝ｘ³＋ａｘ,ａ∈Ｆ_pで与えられ、Ｆ_p ⁸を定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ⁸/(Ｆ^* _p ⁸)^r
である非退化な双線形写像としてペアリングｅを定義している。

　この場合、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、整数変数χを用いて次のように表せる。
　ｒ(χ)＝９χ⁴＋１２χ³＋８χ²＋４χ＋１,
　ｔ(χ)＝－９χ³－３χ²－２χ.

　また、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　３χ＝－１－ｐ²＋ｐ³　（mod ｒ(χ)）.

　そして、有理点(χＱ,χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₇と、有理点(２χＱ,χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₈と、有理点(ｐ²Ｑ,(３χ＋１)Ｑ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₉と、有理点(３χＱ,Ｑ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁₀を用いることにより、電子計算機10では、有理関数f'_χ,Q(Ｓ)を次の式により演算している。

　すなわち、ペアリング演算プログラムによって、電子計算機10では、上述したようにミラーのアルゴリズムによる有理関数f_χ,Q(Ｓ)の演算を行い、有理関数f_χ,Q(Ｓ)とともにχＱを演算して、演算結果を所定のレジスタに記憶している。

　次いで、電子計算機10では、所定のレジスタに記憶されたχＱ＝Ｒとし、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、各有理点２χＱ、ｐ²χ、３χＱ、(３χ＋１)Ｑを演算して、この演算結果を用いて各値l₇,l₈,l₉,l₁₀を演算し、有理関数f'_χ,Q(Ｓ)を演算している。

　そして、電子計算機10では、ペアリングｅ(Ｑ,Ｓ)を

として演算することができる。

　なお、組み込み次数ｋ＝8の場合には、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを、整数変数χを用いて次のように表すこともできる。
　ｒ(χ)＝χ⁴－８χ²＋２５,
　ｔ(χ)＝(２χ³－１１χ＋１５)／１５.

　この場合、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　χ＝－ｐ＋２ｐ³　（mod ｒ(χ)）.

　この場合には、有理点(ｐＱ,χＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁₁を用いて有理関数f'_χ,Q(Ｓ)を次の式により演算することもできる。

　あるいは、組み込み次数ｋ＝8の場合において、ミラーのアルゴリズムを用いて計算される有理関数をf_χ⌒2,Q(Ｓ)（χ⌒2はχ²であることを示す）及びf_χ,Q(Ｓ)としてペアリングｅ(Ｑ,Ｓ)を演算することもできる。

　このとき、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、整数変数χを用いて次のように表すことができる。
　ｒ(χ)＝χ⁸－χ⁴＋１,
　ｔ(χ)＝χ⁵－χ＋１.

　この場合、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　ｐχ＋χ²＝－ｐ²　（mod ｒ(χ)）

　この場合には、有理点(χ²Ｑ,ｐχＱ)を通る直線における有理点Ｓ(ｘ_s,ｙ_s)の値l₁₂を用いて有理関数f'_χ,Q(Ｓ)を次の式により演算することができる。

　ここで、電子計算機10では、上述したようにミラーのアルゴリズムによる有理関数f_χ⌒2,Q(Ｓ)及び有理関数f_χ,Q(Ｓ)の演算を行うとともにχＱを演算して、演算結果を所定のレジスタに記憶している。

　そして、電子計算機10では、所定のレジスタに記憶されたχＱ＝Ｒとし、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、有理点ｐχＱを演算して、この演算結果を用いて前記の値l₁₂を演算し、有理関数f'_χ,Q(Ｓ)を演算し、ペアリングｅ(Ｑ,Ｓ)を

として演算することができる。

　また、組み込み次数ｋ＝18の場合には、曲線の式がｙ²＝ｘ³＋ｂ,ｂ∈Ｆ_pで与えられ、Ｆ_p ¹⁸を定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ¹⁸/(Ｆ^* _p ¹⁸)^r
である非退化な双線形写像としてペアリングｅを定義している。

　この場合、位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔは、整数変数χを用いて次のように表せる。
　ｒ(χ)＝(χ⁶＋３７χ³＋３４３)／３４３,
　ｔ(χ)＝(χ⁴＋１６χ＋７)／７.

　この場合、整数変数χの標数ｐによるｐ進数展開は次のように表される。
　χ＝－３ｐ＋ｐ⁴　（mod ｒ(χ)）.

　そして、有理点(３ｐＱ,χＱ)を通る直線の有理点Ｓ(ｘ_s,ｙ_s)の値l₁₃、電子計算機10では、有理関数f'_χ,Q(Ｓ)を次の式により演算している。

　次いで、電子計算機10では、有理関数f_χ,Q(Ｓ)とχＱの演算結果を用いて前記の値l₁₃を演算し、有理関数f'_χ,Q(Ｓ)を演算して、ペアリングｅ(Ｑ,Ｓ)を

として演算することができる。

　以上のように、Ｘａｔｅペアリングによってペアリング演算を行うことにより、ペアリング演算を高速化でき、ペアリング演算を用いたグループ署名を実用化させることができる。

　本発明によれば、高速なペアリング演算装置を提供でき、実用性のあるディジタルグループ署名のサービスを提供できる。

Claims

　曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、
　Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてペアリングｅ(Ｑ,Ｓ)を演算して演算結果を出力するペアリング演算装置であって、
　フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算する代わりに、
　位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、
　有理関数ｆ_χ,Q(Ｓ)を演算する演算手段と、
　所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算する演算手段と、
　これらの演算手段の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算する演算手段と、
　前記有理関数f'_χ,Q(Ｓ)を用いて

としてペアリング演算を行う演算手段と
によりペアリング演算を行うペアリング演算装置。
　前記有理関数ｆ_χ,Q(Ｓ)を演算する演算手段では、χＱを演算して演算結果を所定のレジスタに記憶し、
　前記χＱの演算結果を用いて前記所定の有理点を演算する演算手段を有する請求項１に記載のペアリング演算装置。
　前記埋込み次数ｋ＝12の場合に、
　位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを、前記整数変数χを用いて
　ｒ(χ)＝３６χ⁴－３６χ³＋１８χ²－６χ＋１,
　ｔ(χ)＝６χ²＋１
とし、χＱ＝Ｒとして、このＲのフロベニウス自己準同型写像φ_pがφ_p(Ｒ)＝ｐＲである関係を用いて、有理点ｐ¹⁰χＱ、χＱ＋ｐ¹⁰χＱ、ｐχＱ＋ｐ³χＱをそれぞれ演算し、
　有理点(χＱ,ｐ¹⁰χＱ)を通る直線における前記有理点Ｓ(ｘ_s,ｙ_s)の値l₁と、有理点(χＱ＋ｐ¹⁰χＱ,ｐχＱ＋ｐ³χＱ)を通る直線における前記有理点Ｓ(ｘ_s,ｙ_s)の値l₂をそれぞれ演算し、
　有理点(ｐχＱ,ｐ³χＱ)を通る直線における前記有理点Ｓ(ｘ_s,ｙ_s)の値l₃を用いて

として前記有理関数f'_χ,Q(Ｓ)を演算する請求項２に記載のペアリング演算装置。
　前記有理関数f_χ,Q(Ｓ)のフロベニウス自己準同型写像φ_pがφ_p(f_χ,Q(Ｓ))＝f_χ,Q(Ｓ)^pであることを用いて

を演算するとともに、
　Ｑ₁,Ｑ₂∈Ｇ₂である有理点(Ｑ₁,Ｑ₂)を通る直線における前記有理点Ｓ(ｘ_s,ｙ_s)の値lのフロベニウス自己準同型写像φ_pが有理点(pＱ₁,pＱ₂)を通る直線における前記有理点Ｓ(ｘ_s,ｙ_s)の値であることを用いて

となる
を演算して前記有理関数f'_χ,Q(Ｓ)を演算する請求項３に記載のペアリング演算装置。
　曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、
　Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてＣＰＵを備えた電子計算機でペアリングｅ(Ｑ,Ｓ)を演算するペアリング演算方法であって、
　フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算する代わりに、
　位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、
　前記電子計算機のＣＰＵを演算手段として機能させて、有理関数ｆ_χ,Q(Ｓ)を演算するステップと、
　前記電子計算機のＣＰＵを演算手段として機能させて、所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算するステップと、
　前記電子計算機のＣＰＵを演算手段として機能させて、前記の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算するステップと、
　前記電子計算機のＣＰＵを演算手段として機能させて、前記有理関数f'_χ,Q(Ｓ)を用いて

として演算するステップと
を有するペアリング演算方法。
　前記有理関数ｆ_χ,Q(Ｓ)を演算するステップの後、
　前記電子計算機のＣＰＵを演算手段として機能させて、χＱを演算し、このχＱの演算結果を用いて前記所定の有理点を演算するステップを有する請求項５に記載のペアリング演算方法。
　曲線の式がｙ²＝ｘ³＋ａｘ＋ｂ,ａ∈Ｆ_p,ｂ∈Ｆ_pで与えられ、埋込み次数がｋで、Ｆ_p ^kを定義体とするペアリング可能な楕円曲線上の有理点のなす加法群をＥ、素数位数ｒの有理点の集合をＥ[r]とし、φ_pをフロベニウス自己準同型写像として、
　　Ｇ₁＝Ｅ[r]∩Ker(φ_p－[１]),
　　Ｇ₂＝Ｅ[r]∩Ker(φ_p－[ｐ])
により、
　　ｅ：Ｇ₂×Ｇ₁→Ｆ^* _p ^k/(Ｆ^* _p ^k)^r
である非退化な双線形写像としてペアリングｅを定義し、
　Ｓ∈Ｇ₁、Ｑ∈Ｇ₂としてＣＰＵを備えた電子計算機にペアリングｅ(Ｑ,Ｓ)を演算させるペアリング演算プログラムであって、
　フロベニウス自己準同型写像φ_pのトレースをｔとして、ペアリングｅ(Ｑ,Ｓ)をミラーのアルゴリズムを用いて計算される有理関数ｆ_t-1,Q(Ｓ)を用いて

として演算させる代わりに、
　位数ｒと、フロベニウス自己準同型写像φ_pのトレースｔを整数変数χの関数として、
　前記電子計算機を、
　有理関数ｆ_χ,Q(Ｓ)を演算する演算手段と、
　所定の有理点を通る直線の有理点Ｓ(ｘ_s,ｙ_s)における値を演算する演算手段と、
　前記の演算結果を用いて有理関数f'_χ,Q(Ｓ)を演算する演算手段と、
　前記有理関数f'_χ,Q(Ｓ)を用いて

として演算する演算手段
として機能させるペアリング演算プログラム。
　前記電子計算機を、
　χＱを演算する演算手段と、
　このχＱの演算結果を用いて前記所定の有理点を演算する演算手段
として機能させる請求項７に記載のペアリング演算プログラム。