DOI QR코드

DOI QR Code

A new discrete logarithm problem with public parameter key-size reduction

공개 파라메터 키 크기를 줄인 새로운 이산대수문제

  • 박영호 (세종사이버대학교, 컴퓨터공학부) ;
  • 오상호 (시큐어웍스테크놀러지) ;
  • 주학수 (한국정보보호진흥원)
  • Published : 2003.04.01

Abstract

We introduce a new public key system based on the discrete logarithm Problem(DLP) in a quotient group of finite fields. This system achieves savings not only in communication overhead by reducing public key size and transfer data by half but also in computational costs by performing efficient exponentiation. In particular, this system takes about 50% speed-up, compared to DSA which has the same security.

본 논문은 유한체의 상군(quotient group)에서 이산대수문제를 고려한 새로운 공개키 시스템을 제안한다 이 시스템은 기존의 공개키의 크기와 전송 테이터 양을 반으로 줄여 통신량의 부담을 줄일 뿐만 아니라 효율적인 승연산을 통해 계산비용을 줄일 수 있다. 특별히 DSA와 비교해서 같은 안전도를 갖는 이 시스템의 속도는 대략 50%정도 향상된다.

Keywords

Ⅰ. 서론

엘가말(ElGamal) 암호시스템网과 DSA^디와 같이유한체의 곱세군에서 이산대수문제를 이용한 많은시스템들이 암호학적 응용으로 유용하게 제안되었다. 이들은 소수체 (prime field) 의 부분군을 사용하며, 이들 시스템의 안전성은 큰 소수 위수의 부분군에서의이산대수문제는 유한체의 전체 곱셈군의 이산대수문제만큼 어렵다는데 근거를 두고있다叫 하지만 최근에 소수체 대신에 확장체의 부분군을 사용하는 시스템들이 주목을 받고 있으며 LUC。"'와 XTRl이이 공개키 암호법으로 소개되었다. 이 암호법들은 공개키파라메터의 크기를 줄여 통신량을 절약하고 효율적인 연산방법들을 제시하였다. 유한체의 수열을 기반으로 하는 이 시스템들의 안전성은 확장체의 이산대수문제로 변형하여 이들의 안전성을 증명하였다 [wl. 예를 들어 XTR 시스템의 경우, 扪2 — 0+1 인 소수 위수 g를 갖는 확장체 GF36) 의 부분군에서의 이산대수문제만큼 XTR-DL 문제가 안전하다고증명하였다. 이들 시스템의 안전성은 확장체의 부분군에서의 이산대수문제는 그 부분군의 최소 포함체 (surrounding field) 의 것과 같다는 가정에 근거한다.

위 가정에 기반하여, 본 논문은 이차 확장체의 상군에서 이산대수문제를 기반한 새로운 공개키 암호시스템 (Quotient Group Cryptosystem : QGC) 을 제안한다. 이 QGC의 안전성은 LUC와 같으며 다음과 같은장점들을 갖고 있다. 첫째, LUC와 XTR 처럼 QGC 는 공개키의 크기와 전송 테이터 양을 반으로 줄여통신량의 감소시키는 이점이 있다. 공개키의 크기를줄이는 것은 무선 통신과 PKI같은 실용적인 적용에서 매우 중요하다. 둘째, Q*] GC 스킴들은 기존의유한체의 부분군 이산대수 시스템에서의 스킴들과거의 비슷하다. 따라서 기존의 ElGamal 암호시스템, DSA, DH 키교환 스킴들을 이용한 모든 프로토콜들에큰 수정없이 그대로 적용가능 하다. 또한 QGC는 LUC, XTR 에서는 수행하기 어려운, window방법과 선계산방법을 사용하여 효율적인 승연산 뿐만 아니라 다승연산(multi-exponentiation)을 수행할 수 있다. 결과적으로 1024비트 소수체위의 DSA와 비교해서 같은안전도를 갖는 QGC는 두 배나 효율적이다.

본 논문의 구성은 다음과 같다. II장에서 유한체의 2차 확장체에서의 상군을 설명한다. 그리고 III장에서상군에서 이산대수문제를 기반으로 하는 QGC를 소개한다. IV, V장에서 Q8C의 안전성을 분석하고 QGC와 LUC를 비교한다. 마지막으로 VI장에서는 QGC의 효율적인 구현에 대한 방법들을 살펴볼 것이다.

Ⅱ. 상군(Quotient Group)

양의 정수 &와 소수 에 대해 라 놓자. Fi 를 / 개의 원소를 갖는 유한체라하고, 를 Fl 에서 기약다항 x2 + Ax+B 의 근°로 확장한 유한체라 흐卜자. 이때 는 Fi 위에서 차수 2인 벡터공간으로 {l, <u}는 바탕이 된다. 따라서 의모든 원소는 다음과 같은 일차결합으로 표현된다:

#

F* , (s) 는 위수가 产一1인 곱셈군으로 부분군 F; 를 포함하며 丨 | = /+1이다. F* , (Q의 곱으로 유도된 연산을 갖는 F广의 상군(quotient group)를 G=F, (a))*/F 广라 흐)자 더 명확하게, 를 포함하는 류(class)를 言]라 표시하자. 여기서, [a] = [i]eG a* b~^F 임을 알 수 있다. 그리고 G에서 연산을 也][/>] = 言">]로 정의한다.

[정리 1]

⑴ G는 列(* <u)의 곱으로 유도된 연산을 갖는 위수가 Z+1 인 순환군이다.

(2) 만일 F&i) * 이고 a丰Fi 이면 유일한 원소 avF, 가 존재하여 [a]= [a + <u] 이다.

증명) ⑴은 유한체와 군이론으로부터 자명하다.

a= %+so 이면 awF: 이므로 a2=0이고 [a] = [a0+ ala>] = [al(aoaC1 + a>)] = [«0<Zj-1 + a>] 이다. 따라서 로 놓으면 (2)의 증명이 성립한다.

위 정리1로부터 일대일 대응함수。: G\[l] - Fi를정의할 수 있다.

#

또한。([ID =祝 로 정의하므로서 힘.수。는 G의 모든 원소로 확장된다. 따라서 함수。는 상군의 모든 원소를 Fl U id 로 표현할 수 있다.

Ⅲ. 상군 암호시스템 (QGC)

본 장에서는 상군 G*/* F=, F, (s) 에서 이산대수문제를 논하자. 상군에서 이산대수문제는 [6] = 言普 인 두 원소 [a], [仞eG에서 정수 k를 결정하는 문제이다. 앞으로 간단하게 상군 이산대수문제를 기반으로 하는 공개키 암호법을 QGC(quotient group cryptosystem) 이라 하자.

지금부터 본 논문을 통해 다음과 같은 기호들을 사용한다 g 를 /+1를 나누는 소수란禮고, G의 썼서원를 3라 하자. 또한 知 : =[刃 4 (또는 [厂厂])라놓고 [로 생성된 G의 부분군을 H라 흐卜자.

QGC는 파라메터 생성과정에서 주요한 네 개의 성분 F„ FM, q, 와 [5] 들을 포함한다. 이들 공개키 정보중에서 [S]는 표현함수。를 사용하여 [用 대신에 g :=©("])를 사용하므로 서 크기를 반으로 줄일 수 있다. 같은 방법으로로 생성된 모든 공개키들의 크기를 반으로 줄일 수 있다.

본 장에서 파라메터 선택을 언급하고, 상군의 몇 가지 암호학적 적용을 자세히 설명한다. 3.2에서 Diffie- Hellman key a*, greement 3.3에서 ElGamal encryption를 그리고, 3.4 에서 Digital Signature를 설명할 것이다.

3.1 파라메터 생성

먼저 »=1 또는 刀 = 2로 놓자. 이 제한은 단지설명의 편의를 위한 것이며 모든 儿으로 일반화 할수 있다. 1024비트 RSA와 같은 안전성을 얻기 위해 p는 初=1일 때는 약 512비트로, 如=2일 때는 약 256비트로 선택한다. 그리고, 작은 크기의 부분군 공격(small subgroup attack)를 피하기 위해 g는 160비트 이상으로 선택한다.

1) l=P인 경우

DSA에서와 같이 /와 q는 相+1를 만족하게 선택한다.》와 a를 선택하는 효율적인 방법 중 하나는 다음과 같다.

(알고리즘 2)

(1) 160비트 소수 g 를 선택한다.

(2) p=qk-l, 》m2mod3이면서 가 512비트 소수가 되는 为를 결정한다.

여 기서 />=2 mod 3 조건은 ;『 + *+1 이 3의 최소다항식 (minimal polynomial)을 주기 때문에, F a>) 에서 빠른 연산을 유도한다. (보조정리 6 참조.)

2) l=p2인 경우

여기서 如2 +1을 만족하는 0와 g를 선택하는 효율적인 알고리즘을 설명한다.

(알고리즘 3)

(1) 160비트 소수 qMmod4를 선택한다. 이 조건은 적당한》에 대해 6疾 + 1이기 위한 필요조건이다.

(2) 代의 원시원소, 를 찾아 다음을 계산한다.

#

(3) 》=人 汁 物가 256비트 소수이고, p=±2 mod 5인 为를 결정한다.

2와 q를 선택한 후에, />= ±2 mod 5 이므로 F/(s)를 정의하는 다항식으로 F, 위에서의 기약다항식 7(%) = 寸* + *3+%2+ 攵+1 를 취한다. 따라서 F庆(沥는 위에서 정규기저를 가지므로 효율적인 연산을 실행할 수 있다. (보조정리 9 참조.)

마지막으로, 위수가 0인 군H의 생성원 [S]를 찾자. 먼저 임의의 원소 作 F* , (s) 를 취하고 <5=/'+d/, 를계산한 후 3] = [1] 인지를 확인한 후 E]丰 [1] 이면 [15]를H의 생성원으로 찾는다.

3.2 Diffie-Hellman 키교환 (QGC-DH)

Alice와 Bob은 공개정보 l, q, g= ^([3]) eF;< 알고, K를 공동키로 공유하기를 원한다. 기존의 Diffie- Hellman 프로토콜은 그대로 QGC에 적용가능하다.

- Alice는 [2丄一1]에서 선택한 임의의 加에 대해 所 =。( [ (g+s) '* ]) 를 계산하여 Bob에게 보낸다.

- Bob도 [2, <?— 1]에서 선택한 임의의 知에 대해 幼=。(【伝+小如])를 계산하여 Alice에게 보낸다.

- Alice 와 Bob은 서로에게 받은 와 外를 사용하여 비밀키 K= ©([ (徊 +0)"]) =。( [ (知 + a>) 板]) 를 공유한다.

3.3 EIGamal 암호기법 (QGC-ELG)

Bob은 Alice의 비밀키 l<d<g에 대한 공개키 e=S([(g+s) 勺)를 가지고 자신의 메시지 m를 암호해서 Alice에게 보내기를 원한다고 가정하자. m F, 의 원소로 표현되었다고 가정하자. ElGamal 암호 프로토콜의 여러 형태들은 아래와 같은 QGC으로묘사될 수 있다.

- Bob은 左 ^ 畐2, (?—1]를 선택하여 c0 = S( [ (g+s) 勺), C] = ©([%+a)][(e+3)*]) 를 계산한다. 그리고 암호문 c=(c(), ci)를 Alice에게 보낸다.

- Bob의 암호문 c에서 메시지 徂를 얻기 위해 Alice 는。(Mi +湖 [(co + a>)']를 계산한다.

3.4 전자서명, QGC-DSA

Alice는 임의의 길이인 메시지 m에 서명을 하기원하고, Bob은 Alice의 공개키인 e로 서명을 확인하기 원한다.

- Alice는 임의로 선택한 1<为3에 대해

#

를 계산하여 서명 g)를 Bob에게 보낸다. 여기서 r, s는 g보다 작은 양의 정수이고, A( . )는 정수값을 갖는 해쉬함수이다.

- Bob은 t= s-1 mod g를 계 산한 후 ux = t ■ h(ni) mod q, u2 — r . t mod q, v= <f>( [ (g+ co) [(e+小勺)를 계산한 후 (, 技) 를 확인한다. v=r modq인 경우에만 서명을 받아들인다.

Ⅳ. QGC의 안전성

4.1 상군에서의 이산대수문제

현재까지 큰 소수체(prime field)의 모든 곱셈 군에 대해 이산대수문제를 푸는 다항식 시간의 알고리즘이 발견되지 않았으므로 이 문제를 기반으로 하는 공개키 시스템들은 안전성을 신뢰받을 수 있었다. 또한 Schnorr回는 충분히 큰 소수 위수의 순환 부분 군에서의 이산대수문제는 전체 곱셈군에서의 것만큼 어렵다고 지적하였다. 이에 근거한 ElGamal 암호 법이나 DSA와 같은 시스템들이 사용되고 있다. 최근에확장체의 부분군에서의 이산대수문제는 그 부분 군의 최소 포함체(surrounding field)의 것과 같다는 가정에 근거한 공개키 시스템들이 소개되었다阵”

F, 의 이차 확장체 F而)의 상군 #을고려히■자. 여기서 /+1이 큰 소인수 q(al60비트) 를 갖는다하자. l=p 또는 l=p2 경우

#

을 만족한다. 이 경우 상군 G는 위수가 z+i인 순환으로 F* , (s) 의 위수 J + 1인 순환부부군과 동형이다. 또한 위수 Z+1 인 부분군은 F, (a>)의 어떠한 부분 체에도 포함되지 않는다. 그러므로 G의 위수가 q 인 부분순환군 H에서 이산대수문제는 Schnorr 와 Lenstra 의 가정에 근거하여 안전하다. 추가적으로 160비트 소수 q의 선택은 H의 이산대수문제가 작은부분군 공격 (srmaH subgroup attack)을 피하게 한다.

아래의 정리 4는 G의 이산대수문제와 F* , (<y) 의 이산대수 문제 사이의 중요한 관계를 설명한다.

(정리 4) 만약 G에서의 이산대수문제를 효율적으로푼다면, F’(* cu) 의 이산대수문제를 F;■의 이산대수문제로 유도할 수 있다.

(증명)

a”=B라 하자. 상군의 연산정의에 의해 言]"=[词 를 얻는다. 가정에 의해 了三, I mod/+l을 만족하는 /M/+1 를 얻는다. 따라서 적당한 정수 /가 존재하여 勿 =(Z+l)t+z.를 만족하고, “니는 F/게 속하므로 a = al+i, b=Ba「‘로 놓는다면 疽 = b v F【를얻는다. 따라서 t를 구하면 "의 값을 알수 있다.

위의 정리 4의 역으로 만일 에서의 이산대수문제가취약하다고해서 반드시 F:(* s) 에서의 이산대수문제가취약한 것은 아니다. 다만 G에서의 이산대수문제를 푸는 효율적인 알고리즘이 주어지고 현재 공격에서에서의 이산대수문제가 취약하다면, F* , (<y) 은 안전하지 않다는 것이다.

또한 유한체 곱셈군의 이산대수문제의 강력한 공격법인 index-calculus 공격을 상군인 G에 직접 적용하는 것은 현재로서 효율적인 방법을 알 수가 없다.

4.2 상군에서의 Diffie-Heliman 문제

QGC-DH의 안전성은 이산대수문제에 의존하는 것이 아니라 생성자 E], [*' 3] 와 서가 주어졌을 때 知皿를 찾는 Diffie-Hellman 문제細] 기반 한다. 4.2절에서와 같은 방법으로 G와 에서의 Diffie-Hellman 문제 사이의 관계를 쉽게 유도할 수 있다.

(정리 5)

만약 QGC-DH 문제를 푸는 효율적인 알고리즘이 존재하면, F* , (s) 의 DH 문제를 玲의 이 DH 문제로 유도할 수 있다.

Ⅴ. QGC와 LUC의 비교

이 장에서 Lucas 수열을 간단히 살펴보고, QGC 와 LUC의 중요한 차이점을 논하자.

RQ을 정수, O 를 #위의 /一7次+。의근이라 흐E자. 여기서 £=戸一4。는 제곱수가 아닌 원소이고。는 이차체 K의 대수적정수 OK (the ring of integers) 의 원소이다. 그리고 #인 정수 〃= 认<7)와 "="(<?)가 존재한다. 비슷한 방법으로 정수”*=〃(</)= * 와" = =에 대해。#라 할 수 있다. "。= 0, 〃0 = 2인 순환하는 관계 z虹와 保를 Lucas 수열이라 부른다. 암호학적인 적용은 力의 법에서 정의된다. 즉, 의 정수계수는 Z/0Z의 원소로 고려되고, £는 Z〃>Z에서 제곱수가 아닌 것으로 가정된다.

먼저, Lucas 수열 기반의 시스템과 QGC를 비교하기 위해서, Lucas 시스템은 유한체의 확장체에서부분군에서 이 산대수시 스템으로 변형시키는 방법을고려하자响 더 정확하게 기저 a와 (技에서 이산대수문제와 같이 OK/p 스의 a와 Z/0Z의 保에서 々를 결정하는 문제를 고려하자. 이 두 문제들은 계산적으로 같은 복잡도를 갖는다叫 두 가지 추가되는조건, Q=1 mod/>와 2+1를 나누는 적당한 为에대해 保。) 羊2 mod》에 의해, 에서 k를 찾는 문제는 위에 위수가》+1인 순환부분군<。>에서이산대수문제로 변형된다. Lucas 시스템에서 개인키 为에 대응되는 공개키 保의 크기는 0보다 작다. 또한 키 크기를 줄이는 방법도 변형된 시스템으로사용할 수 있다. 예를 들어, Bob은 공개키 ok 대신에 <"+<厂*를 공개하고, Alice는 Z〃Z에서 이차방정식을 계산하여 공개키를 얻는다. 일반적으로 V k 계산량은 (产의 계산량 보다 적다. 그러나 기존의 군에서의 이산대수문제에 여러 가지 프로토콜㈣ 에 적용함에 있어 약간의 제약이나 변형이 필요하다.

QGC의 경우에, 통신량을 반으로 줄이는 이익은에서 한번의 역원과 한번의 곱셈의 추가적인 연산만으로 얻을 수 있다. 또한 계산량을 줄이기 위해 일반적인 효율적인 승연산 기법들이 모두 적용될 수 있다.

그러므로 QGC는 일반적인 부분군의 이산대수 문제에 기반한 반면에 LUC는 수열의 연산을 기반으로 하고 있으며 실제의 승연산을 수행하지 않는다. 따라서 QGC는 LUC, XTR 에서는 수행하기 어려운, window방법과 선계산방법을 사용하여 효율적인 승연산 뿐만 아니라 다승연산(multi-exponentiation)을, 예를들어 a板c%”등과 같은 연산, 수행할 수 있다.

개인적은 교류에서 Eric Verheul은 LUC은 QGC와같다고 지적했다. 왜냐하면, 앞에서 언급한 것처럼, LUC는 F/의 위수가 0+1인 순환부분군에서 암호 시스템이 설계될 수 있고, 군 연산의 측면에서, Fff 의 상군과 같은 계산량을 갖는다. 그러나 QGC는 앞에서 서술한 것과 같은 장점들을 지니고 있다.

Ⅵ. 효율적인 구현

본 장은 상군 G에서 수행할 수 있는 효율적인 승연산 방법을 논한다. F, (。)*에 있는 임의의 원소 a 와 임의의 정수 好베 대해 [* a]를 계산한다고 가정하자. 이기 때문0fl, G에 있는 원소의 승연산은 이차체 F, (c) 에 있는 원소의 승연산으로 변형할 수 있다. 우리는 상군을 기반으로 하는 공개키암호 시스템의 F, (<w)에서의 승연산 속도가 얼마나향상되는지 관심이 있다.

6.1 이차 확장체

512비트 소수 0=2 mod 3에 대해 소수체 F, 의 이차 확장체 F/Q)는 /七위의 기약다항식 X2 + X+l 를 사용한다. 확장체에서 효율적인 연산을 위해 다항식 기저(polynomial basis) 대신에 non-conventional 기저 棚, 捎를 사용할 것이다. F’S)위의 연산을 아래 보조정리 6에 의해 소수체위의 연산으로 유도할 수 있다(図참고).

(보조 정리 6)

戶, (0)에서 제곱과 곱은 각각 7"에서 두 번과 세번의 곱으로 얻을 수 있다. 또한 이 기저를 사용하면, 》승 연산으로 G의 원소의 역원을 쉽게 계산할수 있다. 사실,

#

이다. 따라서 아래의 결과를 얻는다.

(보조 정리 7)

[a] = [<zcu+術勺가 G의 원소라면, [a]의 역원은 [a] ~' = l&u+aa>2]에 의해 쉽게 얻는다.

보조 정리 7에 의해 상군 G의 원소의 역원은 원소의 성분을 바꾸는 것으로 얻을 수 있으므로 계산량이 없다. 보조 정리 7은 G에서 빠른 승연산을 위해 signed binary 방법을 사용할 수 있게 해준다. 보조정리 6와 함께 NAF window 방법을 사용하면 같은 안전도를 갖는 소수체에서의 원래 승연산 보다 40% 의 속도 향상을 이끈다.

6.2 사차 확장체

256비트 소수 奸±2 mod 5라 하자. 즉 乩에서 2는원시원소이다. 간단하게 />=2mod5라 가정하자. 다항식 (*5 — 1)/&一1)=:『+«3+/+%+1의 근의 집합 T={ 5, 侦《庆는 F, (§)에서 최적정규기저를 형성한다. 尸= 顼 "心 5 이므로, * 旦⑺는 기저 T에 대해 의 선형결합으로 표현할 수 있다.

#

여기서 a, .는 의 원소이다. 에서 효율적인곱셈연산을 위해 码위에서 码(S)의 다른 기저 S={l, ze々+ST, , §(, +, T)}를 소개한다. T에서 S로의 전환행렬이 non-singular 행렬이므로 S가기저임을 쉽게 보일 수 있다. 이 행렬의 0이 아닌 성분은 ±1이다. 두 기저 사이의 전환은 거의 무시할만큼의 시간에 가능하다. 라 하면, 勿는 F, 위의 기약다항식 / + %一1의 근이므로 山에 의해생성된 F»(s)는 旦위의 차수가 2인 중간체이다. 상군 G=F0(§*/F)M<o) 는 위수가 挤+ 1인 순환군이다. 에서 곱연산과 제곱연산은 다항식 전개와 理(。)를 경유한 K=1 를 사용하여 수행된다.

[9]에서 비슷한 접근으로 기저 {1, 싸를 사용하여 旦(企에서 곱연산과 제곱연산을 각각 에서 3번의 곱연산과 2번의 곱연산으로 계산할 수 있다. 그러므로 그러므로 아래의 보조정리를 얻는다.

(보조정리 8) F, (S)에서 곱연산과 제곱연산은 각각에서 12번의 곱연산과 7번의 곱연산으로 계산할 수 있다.

앞에서와 같이, F, (S)위에서 승연산은 기저 T를 사용하여 추가적인 비용을 들이지 않는다. 사실 이것은 尸成§)의 원소 표현 성분의 교환으로 얻을 수 있고, 아래와 같이 쉽게 증명된다.

(보조정리 9)

G에 있는 원소 [a] = §+a?? + 處3 + a:]에대해,

⑴[〃]'=Mz3, +《18+祐, +。頒]

(2) [«] -1 = [a4f+a3f2 + «2?3 + aif4]

상군 G에서 승연산의 속도를 향상하는 두가지 방법을 설명하기 위해 보조정리 9를 사용한다. 이차 체인 경우처럼, 보조정리 9(2)를 사용하여 signed binary method(NAF)를 G에 적용한다. 이것은 원래승연산보다 15%의 속도향상을 줄 수 있다.

또 다른 효율적인 방법은 타원곡선 위의 군 G 의위수가 q인 부분군 H 에 적용하는 [7]의 아이디어를변형한 것이다. 우선 /l:=fmodq를 만든다. a가 疥 + 1를 나누기 때문에 의 거의 모든 경우에 人는 160비트 수이다. H의 원소 [仞에 대하여, [伊] = [8勺 이므로 [倒, 를 계산하는 비용은 없다. [l, g]에서 균일하게 선택한 为에 대해 H안의 [仞“를 효율적으로계산하기 위해, 為를 人항에 대해 在의 길이의 반인 두성분으로 분해해서 사용한다. k를 [0, 万]의 적당한원소 如와 炳로 为=伍+ 刼人같이 표현할 수 있다고가정하자. 그때 [仞*= [8]如 +서七 [61"/扩产를 얻는다. 그래서 앞의 승연산을 병렬로 처리할 수 있다 同. 타원곡선(elliptic curves)에서처럼, />승연산의 비용이 없으므로 승연산의 속도향상이 기대된다. 계산실험으로 기존의 방법보다 50%의 개선을 확인할 수있었다. 마침내 이 방법의 효율성은 임의의 为에 대해 효율적이고 빠르게 4=屁 + 炳人로 표현하는 방법에 의존한다. 糸를 분해하는 문제는 [기에서 설명한알고리즘으로 효율적으로 해결된다. H위에서 승연산에 대한 앞의 분석은 동시에 두 방법을 사용하여 기존의 1024비트 소수체에서의 승연산 보다 거의 50 %향상시 킨다.

Ⅶ. 결론

[표 1]에서 F q, 와 巳에서 160비트 승연산을 비교하였다. 여기서 p0, 1入 와 02는 각각 256, 512 와 1024비트 소수들이고, § 는 각각 , 위의이차 기약다항식 > + *3+; 『+%+1와 卩力위의 기약다항식 / + *+1 의 근들이다. 소수체 연산은 NTL 4.0를 사용하였다』소스코드는 Visual C 5.0에서설계되었고, 연산속도는 Pentium III 650MHz에서측정되었다.

(표 1) 유한체에서 승연산

본 논문에서 확장체의 상군에 기반한 QGC라는새로운 공개키 시스템을 소개하고, 이 시스템들의 안전성을 분석하였다. 이 시스템들은 기존의 부분 군에서의 이산대수를 기반으로 하는 시스템에 비해 통신량과 계산량을 감소시키는 장점을 가지고 있다. 통신량의 관점에서 공개키 크기와 전송테이터 양을 반으로 감소시키며 이 과정에서 추가로 필요한 계산 비용은 무시할 만큼 적다. 계산량의 관점에서 QGC는 소수 체 위에서 이산대수 시스템과 비교하여 승연산이 30〜50%의 향상되었다. 특히, QGC가 LUC와 LUC 로 변형된시스템들과의 중요한 차이점들을 논하였다.

References

  1. Crypto'95 Some Remarks on Lucas-Based Cryptosysems D.Bleichenbacher;W.Bosma;A.Lenstra
  2. Proceedings Asiacrypt99, LNCS 1716 Doing more with fewer bits A.E.Brouwer;R.Rellikaan;E.R.Verheul
  3. London Mathematical Society Lecture Note Series. 265 Elliptic Curves in Cryptography Ian Blake;Gadiel Seroussi;Nigel Smart
  4. IEEE Trans. on Information Theory v.IT-22 New directions in cryptography W.Diffie;M.Hellman
  5. IEEE Trans. on Information Theory v.31 no.4 A Public Key Cryptosystem and a Signature scheme Based on Discrete Logarithms T.ElGamal
  6. IEEE Trans. on Information Theory v.31 no.4 A Subexponential-Time Algorithm for Computing Discrete Logarithms over GF(p²) T.ElGamal
  7. CRYPTO' 2001, LNCS 2139 Faster Point Multiplication on Elliptic Curves with Efficient Endomophisms R.Gallant;R.Lambert;S.Vanstone
  8. Proceedings ACISP97, LNCS 1270 Using Cyclotomic Polynomials to Construct Efficient Discrete Logarithm Cryptosystems over Finite Fields A.K.Lenstra
  9. Crypto 2000, LNCS 1880 The XTR public key system A.K.Lenstra;E.R.Verheul
  10. Handbook of applied cryptography A.J.Menezes;P.C.van Oorschot;S.A.Vanstone
  11. Journal of Cryptology v.4 Efficient signature generation by smart cards C.P.Schnorr
  12. Journal of symbolic computation v.17 Fast consturction of irreducible polynomials over finite fields V.Shoup
  13. NTL 4.0 V.Shoup
  14. Asiacrypt'94 A public-key cryptosystem and a digital signature system based on the Lucas function analogue discrete logarithms P.Smith;C.Skinner
  15. American National Standard