Goでの楕円曲線暗号の実装

Transcript

1. Goでの楕円曲線暗号の実装 matumoto

2. 自己紹介 • ハンドルネーム：matumoto • 本名：松本響輝 • 所属：会津大学 コンピュータ理工学部3年 • DMM.comの夏季インターン生でした

   • やってきた技術： ◦ バックエンド ◦ AtCoder 水💧 • Twitter：@matumoto_1234

3. 楕円曲線暗号の概要

4. 楕円曲線暗号とは？ • 楕円曲線暗号の説明 楕円曲線暗号（だえんきょくせんあんごう、 Elliptic Curve Cryptography、ECC）とは、楕円曲線上の離散対数問題 (EC-DLP) の困難性を安全性の根拠とする 暗号。

   具体的な暗号方式の名前ではなく、楕円曲線を利用した暗号方式の総称である。 (楕円曲線暗号 - Wikipediaより)

5. 楕円曲線暗号とは？ • 楕円曲線暗号の説明 楕円曲線暗号（だえんきょくせんあんごう、 Elliptic Curve Cryptography、ECC）とは、楕円曲線上の離散対数問題 (EC-DLP) の困難性を安全性の根拠とする 暗号。

   具体的な暗号方式の名前ではなく、楕円曲線を利用した暗号方式の総称 である。 (楕円曲線暗号 - Wikipediaより) → 楕円曲線は複数ある！

6. 楕円曲線 • 楕円曲線 数学における楕円曲線（だえんきょくせん、英: elliptic curve）とは種数 1 の非特異な射影代数曲線、さらに一般的には、特定 の基点 O

   を持つ種数 1 の代数曲線を言う[1]。 (楕円曲線 - Wikipedia より)

7. 楕円曲線 • 楕円曲線の説明 数学における楕円曲線（だえんきょくせん、英: elliptic curve）とは種数 1 の非特異な射影代数曲線、さらに一般的には、特定 の基点 O

   を持つ種数 1 の代数曲線を言う[1]。 (楕円曲線 - Wikipediaより) …?🤔

8. 楕円曲線（より具体的に） • 楕円曲線は以下の式で表される • また、ビットコインなどに用いられる楕円曲線は secp256k1 と呼ばれ、次の式になる ◦ これは、定数a=0, b=7の形

   ◦ パラメータはSEC 2: Recommended Elliptic Curve Domain Parametersという論文で公開されている

9. 楕円曲線の概形 • secp256k1 は以下のような楕円曲線

10. なぜsecp256k1なのか？ • 楕円曲線の形はパラメータ(a, b)で決まる • あるパラメータによって、解読が困難になることが知られている ◦ 逆に、適切でないパラメータにしてしまうと、解読が容易になることがある

11. 楕円曲線暗号がどこで使われてるのか • SSHやビットコインなどで鍵共有、署名などのために用いられる • ただ、電子政府推奨暗号リストには暗号化のために推奨されていないので注意 ◦ https://www.cryptrec.go.jp/list.html • 楕円曲線暗号が使われている場所は実は多い •

    署名にはECDSAといった方法がよく取られる ◦ 実はHTTPS通信の署名などでECDSAが使われていたりして身近

12. 楕円曲線暗号の使いみち

13. 鍵共有について • ECDSA(Elliptic Curve Digital Signature Algorithm)と呼ばれるデジタル署名方式を用いて鍵 共有ができる • これを知るためには、DH鍵共有を知る必要がある

14. DH鍵共有について • あらかじめ素数pと整数gを決めておく • アリスが秘密の値a, ボブが秘密の値bをもつ • A = g^a

    mod p • B = g^b mod p • を各自計算 • AとBを互いに渡す • A^b mod p ≡ B^a mod p が等しければ鍵共有が成立 • 数式的には g^ab mod p をお互い持っている状態

15. DH鍵共有について • 秘密の値：a • 素数：p • 整数：g 素数p, 整数g を共有

    • 秘密の値：b • 素数：p • 整数：g

16. DH鍵共有について • 秘密の値：a • 素数：p • 整数：g • アリス： •

    ボブ： A,B を計算して互いに共有 • 秘密の値：b • 素数：p • 整数：g • アリス： • ボブ：

17. DH鍵共有について • 秘密の値：a • 素数：p • 整数：g • アリス： •

    ボブ： を公開鍵として使用できる！ • 秘密の値：b • 素数：p • 整数：g • アリス： • ボブ：

18. DH鍵共有の安全性 • でも、攻撃者が通信を盗聴してp,g,A,Bを持っていれば、g^abを求められそうじゃない？ • →困難です • A = g^a から

    a を求めるのは難しい（離散対数問題 (ECDLP)の困難性） • A, B から g^ab を求めるのは難しい（DH問題と呼ばれる困難性） • ただ、掛け算やべき乗を行うこと自体は簡単！（非対称性）

19. ECDSA • ECDSAはどんなものか？ ◦ 楕円曲線暗号上の離散対数問題を使った署名方式 • ある点Pをa倍した、aPからaを求めるのは難しい（楕円曲線上の離散対数問題） • ある点Pをa倍、b倍したaP、bPからabPを求めるのは難しい（DHP） •

    ただ、楕円曲線上での掛け算、足し算は簡単！（非対称性）

20. 楕円曲線暗号の理論

21. 楕円曲線暗号について • 楕円曲線暗号は楕円曲線の形と言うより、点についての性質に注目 • 楕円曲線暗号で使う点は有限個の点からなる（点の集合） ◦ r個の点{P, 2P, 3P, …

    rP} ◦ ここで、P = rPになることに注意

22. 楕円曲線暗号について • 有限個の点ってどういうこと？

23. 楕円曲線暗号について • 楕円曲線上の全ての点を暗号で使用するわけではない • 最初に一つ基準点を決めて、そこから足し算などで導かれる点だけを使用する 基準点

24. 楕円曲線上の点の演算について • 楕円曲線上の点について演算を定義する ◦ 足し算（加法） ◦ 整数倍

25. 楕円曲線上の点の足し算 • 楕円曲線上のある点P1, P2があったとして、 P1(x1, y1) + P2(x2, y2) =

    P3(x3, y3) となるようなP3を求めたい

26. 楕円曲線上の点の足し算の定義 • P1,P2を通る直線を引く • 楕円曲線と交わる点をQとする • Qをx軸に対象に移動させた点をP3とする ◦ これは定義なのであまり意味とか考えな いほうがいい

    • （図が見にくいですが3次間数なのでほとんど の場合、P3が求まります） P1 P2 Q P3

27. ちなみに... • P1 = P2のときは、直線が接線になる P1 P2 Q P3

28. ちなみに... • P+P = 2P • 2P + 2P =

    4P • というのが実は成り立つ • →結合法則が成り立っているため ◦ 証明は難しいので省略 P Q 2P

29. さらにちなみに... • P, 2P, 3P, … 計算していくと、 nP = 無限遠点

    となる n が現れる nとなるような数はいくつかあるが、その中でも 最小の正整数を位数(Order)と呼ぶ • つまり、点は有限個 P Q 2P

30. 0との足し算 • P+0 = Pという操作はできるのか？ • →無限遠点という概念を導入するとできる • 無限遠点は果てしなく遠い点 •

    Pと無限遠点を結んだ直線がPと同じx座標にあ ればOK P Q はるか遠くにある無限遠点とつながっている

31. 0との足し算 • どんな点でも無限遠点と垂直に交わることがで きる ◦ 遠すぎて垂直になる P Q はるか遠くにある無限遠点とつながっている

32. 楕円曲線上の点の引き算の定義 • 足し算と0が使えるので、引き算も定義できる • P+X=0となるようなXを求めればOK ◦ つまり、PとXを結んで無限遠点になれば いい ◦ ということは、Pから垂直に線を下ろす

    P X はるか遠くにある無限遠点とつながっている

33. 楕円曲線上の点の引き算の定義 • Pと-Pの位置関係はx軸に対称になっている P -P はるか遠くにある無限遠点とつながっている

34. 楕円曲線上の整数倍 • 加法をたくさんすればOK • ただし、実際の実装では計算量を抑えるために、繰り返し 2乗法を応用したものを使用する • 2P = P

    + P • 4P = 2P + 2P • 8P = 4P + 4P • …を利用して nP を素早く計算するというもの • このテクニックにより、nPを求める際は O(log n) 程度の計算回数で求められる

35. 計算方法 • じゃあ、どうやって実際に点を計算するの？

36. 楕円曲線状の加法 • P1(x1, y1)+P2(x2, y2) = P3(x3, y3)をするためには、以下の式を使う • この式がなぜ現れるかは難しいので省略

    図は引用させていただきました： https://zenn.dev/herumi/articles/sd202203-ecc-2

37. 扱う数について • y^2 = x^3 + ax + b の

    y,x,a,bには実数とかが入るの？

38. 扱う数について • 実数とかは誤差が怖いので、そんなに使用しない (おそらく) • なんらかの数で割ったあまりの値（ mod）とかが使われる • 有限体というものがよく使用される

39. 有限体 • 有限体の定義 ◦ 有限個の数からなる集合と2つの演算+(加法)と・(乗法)が以下を満たす ▪ 集合内のa,bのa+bもa・bも集合内に存在する（閉じている） ▪ a+0=aとなるような、0が存在する（加法単位元） ▪

    a・1=aとなるような、1が存在する（乗法単位元） ▪ a+(-a)=0となるような、-aが存在する（加法逆元） ▪ a・a^(-1)=aとなるような、a^(-1)が存在する（乗法逆元） ◦ 簡単に言うと、四則演算ができる有限個の数の集合 ◦ mod Pの世界とか

40. 有限体を楕円曲線に • 楕円曲線の点はP(x, y)のような形式で表せる • 有限体は位数や素数などを適切に決めて、 mod上での演算とする ◦ この位数や素数は基本的にパラメータとして定義されている ◦

    secp256k1の場合だとこんな感じ

41. 実装

42. 全体の見通し • 有限体の構造体を作成 ◦ 四則演算など • 楕円曲線上の構造体を作成 ◦ 加法と整数倍

43. 実際のコードの紹介 • https://github.com/matumoto1234/secp256k1 にあるのでぜひ見てみてください！

44. ありがとうございました！