楕円曲線DSA

楕円曲線DSA（だえんきょくせんDSA、Elliptic Curve Digital Signature Algorithm、Elliptic Curve DSA、楕円DSA、ECDSA）は、Digital Signature Algorithm (DSA) について楕円曲線暗号を用いるようにした変種である。

DSAとの比較

楕円曲線暗号で一般的に言われるように、ECDSAにおいて必要とされる公開鍵のサイズはセキュリティビット数のおよそ2倍であると考えられている。例えば、80ビットのセキュリティビット数（攻撃者が秘密鍵を取得するために ${\displaystyle 2^{80}}$ 回の計算を必要とする）を得るために、DSAでは最低でも1024ビットの公開鍵が必要であるが、ECDSAでは160ビットの公開鍵で十分である。一方、署名のサイズはDSAでもECDSAでも同じであり、必要とするビット安全性の4倍のビット長を要する（80ビットのビット安全性を保つためには320ビットの長さの署名が必要）。

署名生成

パラメーター	説明
E	${\displaystyle \mathbb {R} ^{2}}$ 上で定義される楕円曲線 ${\displaystyle y^{2}=x^{3}+ax+b}$ (ワイエルシュトラスの標準形)
p	E 上の有理点を還元する素数。E は${\displaystyle \mathbf {F} _{p}\times \mathbf {F} _{p}}$ 上の楕円曲線に写される
G	${\displaystyle \mathbf {F} _{p}\times \mathbf {F} _{p}}$ 上のベースポイント
n	G の位数（${\displaystyle n*G=O}$ を満たす）
${\displaystyle d_{A}}$	秘密鍵：${\displaystyle [1,n-1]}$の範囲からランダムに選択され保持される整数
${\displaystyle Q_{A}}$	公開鍵：${\displaystyle d_{A}*G}$ (${\displaystyle \mathbf {F} _{p}\times \mathbf {F} _{p}}$ 上の点)
m	送信されるメッセージ

(注)「${\displaystyle *}$」は楕円曲線上での掛け算 (scalar multiplication) を意味する。

アリスが署名したメッセージをボブに送る場合を考える。最初に、使用する楕円曲線のパラメータ ${\displaystyle (E,p,G,n)}$ を決めておく必要がある。

アリスは ${\displaystyle [1,n-1]}$ の範囲からランダムに選択された秘密鍵 ${\displaystyle d_{A}}$ と、公開鍵 ${\displaystyle Q_{A}=d_{A}*G}$ から成る鍵ペアを生成する。${\displaystyle d_{A}}$ と ${\displaystyle Q_{A}}$ の対応は1対1であり、${\displaystyle d_{A}}$ から ${\displaystyle Q_{A}}$ を計算することは比較的容易だが、 ${\displaystyle Q_{A}}$ から ${\displaystyle d_{A}}$ を計算することは実質的に不可能(離散対数問題)である。つまり ${\displaystyle d_{A}}$ と ${\displaystyle Q_{A}}$ の対応は一方向性関数になっている。

アリスがメッセージ ${\displaystyle m}$ に署名する場合、以下の計算を行う。

1. ${\displaystyle e=H(m)}$ を計算する。ここで H はSHA-1のような暗号学的ハッシュ関数を指す。
2. ${\displaystyle z}$ を、${\displaystyle e}$ の最上位側の ${\displaystyle L_{n}}$ ビットとする。ここで ${\displaystyle L_{n}}$ は位数 ${\displaystyle n}$ のビット長とする。
3. ${\displaystyle [1,n-1]}$ の範囲から整数 ${\displaystyle k}$ を任意に選択する。
4. 曲線上の点 ${\displaystyle (x_{1},y_{1})=k*G}$ を計算する。
5. ${\displaystyle r=x_{1}\,{\bmod {\,}}n}$ を計算する。${\displaystyle r=0}$ となる場合には ${\displaystyle k}$ の選択に戻る。
6. ${\displaystyle s=k^{-1}(z+rd_{A})\,{\bmod {\,}}n}$ を計算する(${\displaystyle k^{-1}}$は有限体${\displaystyle \mathbf {F} _{n}}$における${\displaystyle k}$の逆元である)。${\displaystyle s=0}$ となる場合には ${\displaystyle k}$ の選択に戻る。
7. ${\displaystyle (r,s)}$ が ${\displaystyle m}$ に対する署名となる。

${\displaystyle s}$ を計算する際に、${\displaystyle H(m)}$ から得られる ${\displaystyle z}$ は整数に変換される。${\displaystyle z}$ は ${\displaystyle n}$ より「大きい」ことは許されるが、「長い」ことは許されない^[1]。

DSAと同様に、署名ごとに異なる ${\displaystyle k}$ を選択することは極めて重要である。さもないと、ステップ6の式から秘密鍵 ${\displaystyle d_{A}}$ を得ることが可能となってしまう。メッセージ ${\displaystyle m}$ および ${\displaystyle m'}$ に対して、未知だが同じ ${\displaystyle k}$ から得られた2つの署名 ${\displaystyle (r,s)}$ および ${\displaystyle (r,s')}$ がある場合、攻撃者は ${\displaystyle z}$ および ${\displaystyle z'}$ を計算することが可能であり、${\displaystyle s-s'=k^{-1}(z-z')}$ であることから、${\displaystyle k={\frac {z-z'}{s-s'}}}$ が得られる。${\displaystyle s=k^{-1}(z+rd_{A})}$ であるから、攻撃者は秘密鍵 ${\displaystyle d_{A}={\frac {sk-z}{r}}}$ を得ることができる。このように単一の ${\displaystyle k}$ を用いることは不適切な実装であり、PlayStation 3のソフトウェア署名鍵が漏洩したのはこれが原因であった^[2]。

署名検証

ボブがアリスの署名を検証するためには、アリスの公開鍵 ${\displaystyle Q_{A}}$ が必要である。公開鍵 ${\displaystyle Q_{A}}$ が正当なものであるかの検証は以下のとおりである。

1. ${\displaystyle Q_{A}}$ が ${\displaystyle O}$ でないことを確認する。
2. ${\displaystyle Q_{A}}$ が曲線上にあることを確認する。
3. ${\displaystyle n*Q_{A}=O}$ であることを確認する。

メッセージ ${\displaystyle m}$ と署名 ${\displaystyle (r,s)}$ の検証は以下のように行われる。

1. ${\displaystyle r}$ および ${\displaystyle s}$ がいずれも ${\displaystyle [1,n-1]}$ の範囲にある整数であることを確認する。これを満たさない場合には署名は不正なものである。
2. ${\displaystyle e=H(m)}$ を計算する。ここで H は署名生成に用いられたハッシュ関数と同一のものである。
3. ${\displaystyle z}$ を、${\displaystyle e}$ の最上位側の ${\displaystyle L_{n}}$ ビットとする。
4. ${\displaystyle w=s^{-1}\,{\bmod {\,}}n}$ を計算する。
5. ${\displaystyle u_{1}=zw\,{\bmod {\,}}n}$ および ${\displaystyle u_{2}=rw\,{\bmod {\,}}n}$ を計算する。
6. 曲線上の点 ${\displaystyle (x_{1},y_{1})=u_{1}*G+u_{2}*Q_{A}}$ を計算する。
7. ${\displaystyle r\equiv x_{1}{\pmod {n}}}$ であれば署名は正当なものである。

Straus's algorithm（Shamir's trickとも）を用いることで、2つの楕円曲線上での掛け算の和 ${\displaystyle u_{1}*G+u_{2}*Q_{A}}$ を、2つの楕円曲線上での掛け算よりも速く計算することができる^[3]。

アルゴリズムの正当性

ここで ${\displaystyle C}$ は署名検証のステップ6で得られた点とする。

${\displaystyle C=u_{1}*G+u_{2}*Q_{A}}$

公開鍵が ${\displaystyle Q_{A}=d_{A}*G}$ と定義されることより

${\displaystyle C=u_{1}*G+u_{2}d_{A}*G}$

楕円曲線上での掛け算より

${\displaystyle C=(u_{1}+u_{2}d_{A})*G}$

署名検証のステップ4より ${\displaystyle u_{1}}$ および ${\displaystyle u_{2}}$ の定義を拡張すると

${\displaystyle C=(zs^{-1}+rd_{A}s^{-1})*G}$

${\displaystyle s^{-1}}$ を外に出して

${\displaystyle C=(z+rd_{A})s^{-1}*G}$

署名のステップ6より ${\displaystyle s}$ の定義を拡張すると

${\displaystyle C=(z+rd_{A})(z+rd_{A})^{-1}(k^{-1})^{-1}*G}$

逆数の逆数は元と同じであることと、逆数と元の積は ${\displaystyle O}$ であることから

${\displaystyle C=k*G}$

${\displaystyle r}$ の定義より、これは署名検証のステップ6と等しい。

これは正しく署名されたメッセージは正しく検証されることのみを示しており、セキュアな署名アルゴリズムであるための他の要素については考慮していない。

セキュリティ

2010年12月、fail0verflowと名乗るグループが、ソニーがPlayStation 3のソフトウェア署名に用いていたECDSA秘密鍵の回復に成功したと発表した。しかし、これは ${\displaystyle k}$ をランダムではなく固定値としていたソニーの不適切な実装によるものであり、アルゴリズム自体の脆弱性ではない。署名生成のセクションで述べたように、${\displaystyle k}$ を固定値で用いることは秘密鍵 ${\displaystyle d_{A}}$ を計算可能とし、アルゴリズムを破綻させるものである^[4]。

2011年3月29日、2人の研究者による論文がIACR（英語版）に発表された。この論文では、サイドチャネル攻撃の一つであるタイミング攻撃によって、ECDSAを認証に利用し、OpenSSLを用いたサーバのTLS秘密鍵を入手可能であることが示された^[5]。この脆弱性はOpenSSL 1.0.0eで修正された^[6]。

2013年8月、Java class SecureRandomのいくつかの実装において、${\displaystyle k}$ のコリジョンが発生することがあるバグが明らかとなった。前述のように、これにより秘密鍵を得ることが可能であり、Javaを利用しECDSAを認証に用いていたAndroidアプリからBitcoinが盗まれる危険性があった^[7]。この問題は、RFC 6979にあるように、秘密鍵とメッセージハッシュから決定論的に ${\displaystyle k}$ を導くことで回避できる。

このアルゴリズムは楕円曲線をパラメータとして必要とするが、多くの場合NISTによって定められた楕円曲線（P-256、P-384、P-521など）^[8]が用いられる。これらの曲線は特定のシード値からSHA-1を基盤としたアルゴリズムを用いて算出されている^[8]が、シード値の根拠が不明であること^[9][10]、また同じく固定の楕円曲線を用いたアルゴリズムであるDual_EC_DRBG（英語版）にNSAがバックドアを仕込んだ上でRSAセキュリティ社のセキュリティ製品に採用させたと報道されたこと^[11]から、疑いの目で見られることがある^[12][13]。

実装ライブラリ

ECDSAをサポートしているライブラリは以下の通りである。

• Botan
• Bouncy Castle（英語版）
• cryptlib（英語版）
• Crypto++（英語版）
• libgcrypt（英語版）
• OpenSSL
• GnuTLS
• wolfCrypt

脚注

1. FIPS 186-3, pp. 19 and 26
2. Console Hacking 2010 - PS3 Epic Fail, page 123–128
3. The Double-Base Number System in Elliptic Curve Cryptography
4. Bendel, Mike (2010年12月29日). “Hackers Describe PS3 Security As Epic Fail, Gain Unrestricted Access”. Exophase.com. http://exophase.com/20540/hackers-describe-ps3-security-as-epic-fail-gain-unrestricted-access/ 2013年12月26日閲覧。
5. Vulnerability Note VU#536044 - OpenSSL leaks ECDSA private key through a remote timing attack
6. OpenSSL: News, ChangeLog
7. “Android bug batters Bitcoin wallets”. The Register (2013年8月12日). 2013年12月26日閲覧。
8. “RECOMMENDED ELLIPTIC CURVES FOR FEDERAL GOVERNMENT USE” (1999年7月). 2015年7月11日閲覧。
9. “SafeCurves: Rigidity”. 2015年7月11日閲覧。
10. 例えばMD5やSHA-2で撹拌のために用いられる定数テーブルは整数ラジアンの三角関数の値や素数の平方根や立方根の値を特定の形で用いており、意図的な操作の余地が少ない。
11. “Exclusive: Secret contract tied NSA and security industry pioneer”. Reuters (2013年12月20日). 2015年7月11日閲覧。
12. Daniel J. Bernstein, Tanja Lange (2013年5月31日). “Security dangers of the NIST curves”. 2015年7月11日閲覧。
13. Maxwell, Gregory (2013年9月8日). “[tor-talk NIST approved crypto in Tor?]”. 2015年7月11日閲覧。

参考文献

• Accredited Standards Committee X9, American National Standard X9.62-2005, Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA), November 16, 2005.
• Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 2.0, May 21, 2009.
• López, J. and Dahab, R. An Overview of Elliptic Curve Cryptography, Technical Report IC-00-10, State University of Campinas, 2000.
• Daniel J. Bernstein, Pippenger's exponentiation algorithm, 2002.
• Daniel R. L. Brown, Generic Groups, Collision Resistance, and ECDSA, Designs, Codes and Cryptography, 35, 119–152, 2005. ePrint version
• Ian F. Blake, Gadiel Seroussi, and Nigel P. Smart, editors, Advances in Elliptic Curve Cryptography, London Mathematical Society Lecture Note Series 317, Cambridge University Press, 2005.
• . (2004). doi:10.1007/b97644.

関連項目

• 楕円曲線暗号
• Digital Signature Algorithm

外部リンク

• Digital Signature Standard; includes info on ECDSA