トレースゼロ暗号

この記事には複数の問題があります。改善にご協力いただくか、トークページでこれらの問題について議論してください。（これらのメッセージを削除する方法とタイミングについてはこちらをご覧ください） この記事は検証のために追加の引用が必要です。（2011年3月）信頼できる情報源からの引用を追加して、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「トレースゼロ暗号」  - ニュース・新聞・書籍・学者・JSTOR     （このメッセージを削除する方法とタイミングについて） この記事のリード部分は書き直す必要があるかもしれません。（2019年6月）リードガイドを確認し、可能であればこの記事のリードの改善にご協力ください（このメッセージを削除する方法とタイミングについて） （このメッセージを削除する方法とタイミングについて）

1998年にゲルハルト・フライによって初めて提唱されたトレースゼロ暗号は、暗号目的にトレースゼロ多様体（TZV）を用いることを指します。トレースゼロ多様体は、有限体上に定義された低種数超楕円曲線上の因子類群の部分群です。これらの群は、離散対数問題を暗号プリミティブとして用いる非対称暗号を確立するために用いられます。

トレースゼロ多様体は、楕円曲線よりも優れたスカラー乗算性能を備えています。これにより、これらの群では高速演算が可能になり、楕円曲線と比較して計算速度が3倍になり、暗号システムの速度が向上します。

もう一つの利点は、暗号的に重要なサイズの群の場合、群の位数はフロベニウス準同型の特性多項式を用いて簡単に計算できることです。これは、例えば楕円曲線暗号において素体上の楕円曲線の点群を暗号目的に用いる場合には 当てはまりません。

しかし、トレースゼロ多様体の元を表現するには、楕円曲線や超楕円曲線の元に比べて多くのビット数が必要です。また、カバー攻撃によってTZVのセキュリティがビット長の1/6まで低下する可能性があること_も^欠点です。

奇標数の素体上の種数gの超楕円曲線 Cは、 q = p ⁿ ( pは素数)で、次のように定義されます ${\displaystyle \mathbb {F}_{q}}$

${\displaystyle C:~y^{2}+h(x)y=f(x),}$

ここで、 fはモニック、deg( f ) = 2 g  + 1、deg( h ) ≤ gである。曲線には少なくとも1つの有理ワイエルシュトラス点が存在する。 ${\displaystyle \mathbb {F}_{q}}$

Cのヤコビ多様体 は、すべての有限拡大に対してイデアル類群 と同型である。マンフォード表現を用いると、 の元を 一対の多項式[u, v]（ただしu , v ∈ ）で表すことができる 。 ${\displaystyle J_{C}(\mathbb{F}_{q^{n}})}$${\displaystyle \mathbb{F}_{q^{n}}}$${\displaystyle \operatorname {Cl} (C/\mathbb {F} _{q^{n}})}$${\displaystyle J_{C}(\mathbb{F}_{q^{n}})}$${\displaystyle \mathbb {F}_{q^{n}}[x]}$

フロベニウス準同型σ は、 の元[u, v]において、その元の各係数のべき乗をq乗するために使用されます。σ( [u, v] ) = [ u ^q (x), v ^q (x)]。この準同型の特性多項式は次のようになります。 ${\displaystyle J_{C}(\mathbb{F}_{q^{n}})}$

${\displaystyle \chi (T)=T^{2g}+a_{1}T^{2g-1}+\cdots +a_{g}T^{g}+\cdots +a_{1}q^{g-1}T+q^{g},}$

iが_​${\displaystyle \mathbb {Z} }$

ハッセ・ヴェイユの定理を用いると、χ( T )の複素根τiを用いて_任意の拡大体の群順序を得ることができる。 ${\displaystyle \mathbb {F} _{q^{n}}}$

${\displaystyle |J_{C}(\mathbb {F} _{q^{n}})|=\prod _{i=1}^{2g}(1-\tau _{i}^{n})}$

D をCのの要素とすると、の準同型、いわゆるD のトレースを定義することができます。 ${\displaystyle J_{C}(\mathbb {F} _{q^{n}})}$${\displaystyle J_{C}(\mathbb {F} _{q^{n}})}$

${\displaystyle \operatorname {Tr} (D)=\sum _{i=0}^{n-1}\sigma ^{i}(D)=D+\sigma (D)+\cdots +\sigma ^{n-1}(D)}$

この自己準同型に基づいて、ヤコビ多様体を、すべての要素がトレースゼロであるという性質を持つ 部分群Gに還元することができます。

${\displaystyle G=\{D\in J_{C}(\mathbb {F} _{q^{n}})~|~{\text{Tr}}(D)={\textbf {0}}\},~~~({\textbf {0}}{\text{ neutral element in }}J_{C}(\mathbb {F} _{q^{n}})}$

Gはトレース自己準同型の核であり、したがってGは のトレース零(部分)多様体(TZV)と呼ばれる群です。 ${\displaystyle J_{C}(\mathbb {F} _{q^{n}})}$

Gとの交差はのn -ねじれ元によって生成される。 が最大公約数であれば、交差は空であり、 Gの群位数を計算できる。 ${\displaystyle J_{C}(\mathbb {F} _{q})}$${\displaystyle J_{C}(\mathbb {F} _{q})}$${\displaystyle \gcd(n,|J_{C}(\mathbb {F} _{q})|)=1}$

${\displaystyle |G|={\dfrac {|J_{C}(\mathbb {F} _{q^{n}})|}{|J_{C}(\mathbb {F} _{q})|}}={\dfrac {\prod _{i=1}^{2g}(1-\tau _{i}^{n})}{\prod _{i=1}^{2g}(1-\tau _{i})}}}$

暗号アプリケーションで実際に用いられる群は、大きな素数位数lのGの部分群G ₀である。この群はG自身である場合もある。^{[ 1 ] [ 2 ]}

TZVの暗号関連には3つの異なるケースがある: ^{[ 3 ]}

• g = 1、n = 3
• g = 1、n = 5
• g = 2、n = 3

TZV群G ₀で使用される演算は、群全体の演算に基づいています。しかし、フロベニウス自己準同型σ を用いてスカラー乗算を高速化することも可能です。これは、 G ₀がl位のDによって生成される場合、 σ(D) = sD（ある整数sに対して）が成立することを意味します。TZV sの与えられたケースでは、a _iはフロベニウス自己準同型 の特性多項式から得られる ため、以下のように計算できます。${\displaystyle J_{C}(\mathbb {F} _{q^{n}})}$

• g = 1、n = 3の 場合:${\displaystyle s={\dfrac {q-1}{1-a_{1}}}{\bmod {\ell }}}$
• g = 1、n = 5の 場合:${\displaystyle s={\dfrac {q^{2}-q-a_{1}^{2}q+a_{1}q+1}{q-2a_{1}q+a_{1}^{3}-a_{1}^{2}+a_{1}-1}}{\bmod {\ell }}}$
• g = 2、n = 3の 場合:${\displaystyle s=-{\dfrac {q^{2}-a_{2}+a_{1}}{a_{1}q-a_{2}+1}}{\bmod {\ell }}}$

これを知っていれば、任意のスカラー乗算mD (|m| ≤ l/2) を次のように置き換えることができます 。

${\displaystyle m_{0}D+m_{1}\sigma (D)+\cdots +m_{n-1}\sigma ^{n-1}(D),~~~~{\text{where }}m_{i}=O(\ell ^{1/(n-1)})=O(q^{g})}$

このトリックを使うと、暗黙の定数が十分に小さければ、多重スカラー積はmDを計算するのに必要な倍加の約1/( n  −1)^倍に減らすことができます。 ^{[ 3 ] [ 2 ]}

論文^{[ 2 ] [ 3 ]}の結果によると、トレース零部分多様体に基づく暗号システムの安全性は、 |G|が約128ビット の場合、 p' ~ ( n  − 1)( g/g' )となる、低種数g'の超楕円曲線の安全性に匹敵します${\displaystyle \mathbb {F} _{p'}}$

n = 3、g = 2 およびn = 5、g = 1の場合、Gが種数 6 の曲線のヤコビアンに含まれているかどうかは確実ではないため、セキュリティを最大 6 ビット ( |G| ~ 2 ²⁵⁶⁾まで削減することが可能です。同様の体に対する種数 4 の曲線のセキュリティは、はるかに低くなります。

^{[ 4 ]}で発表された攻撃法 は、標数が2または3より多様である有限体上の種数2のトレース零群と3次体拡大におけるDLPが、基底体上の種数が最大6である次数0の類群におけるDLPに変換できることを示している。この新しい類群では^、 DLPは指数計算法を用いて攻撃可能である。これにより、ビット長が_1/6^に短縮される。

• Wienecke, Malte; Paar, Christof (2008年2月17日).トレースゼロ多様体における暗号(PDF) . ルール大学ボーフム
• サザーランド、アンドリュー・V. (2007). 「有用なトレースゼロ品種101選」マサチューセッツ工科大学.