4月の技術講座

2014-04-04

テーマ: 楕円曲線暗号Ed25519とEdDSA

開催日時 2014年4月21日(月曜日)18:30 〜 19:45

場所:東京体育館第四会議室

楕円曲線暗号の最近のトピックスについて議論します。

Edwards形式を用いた楕円曲線Ed25519と電子署名のEdDSAを、特にOpenSSH や GnuPG での利用についての観点から考察します。

具体的な実装については、Ref10と呼ばれる参照実装、libgcryptでの実装、Gnukでの実装の3つを議論します。

話題提供

  • g新部 裕

概要

楕円曲線暗号は、一般に、同じくらいの強度であれば、DSAやRSAと比べて鍵長が短くてすむ、計算資源が少なくてすむ、計算時間が短いなどの利点があります。

これだけの利点がありながら、採用は進んできませんでした。米国政府が、その Cryptographic Modernization Program で楕円曲線暗号を利用した ECDSA, ECDH を推奨してきたにもかかわらずです(このプログラムの中で AES, SHA-2は広く普及しているのと対照的です)。

それでもようやく、先年、OpenSSHでは、米国標準機関NIST定義の楕円曲線が導入されてました。GnuPGでも開発版において導入が進んでいました。

ところが、2013年、米国諜報機関による広範な反社会的活動が明らかになり、社会問題となりました。米国諜報機関による活動には、技術規格が籠絡されたことも含まれていました。 そして技術規格の吟味の結果、NIST定義の楕円曲線のいくつかは、専門家から信頼できない、とされました。

現在では、2011年にDJB先生を中心に開発されたEdwards形式を用いた楕円曲線Ed25519と電子署名のEdDSAが注目されています。OpenSSH 6.5でも導入され、GnuPGでも検討されています。

まぁ、採用が進まなかったのは、理由もあるわけです。 資料を広く開示したり、配信などはしない、その場限りの話が可能なオフラインの集まりですから、 この辺の不満や批判も語られるかも知れません。

リンク

Ed25519: high-speed high-security signatures: http://ed25519.cr.yp.to/

Daniel J. Bernstein, Peter Birkner, Marc Joye, Tanja Lange, and Christiane Peters. "Twisted Edwards Curves". Avances in Cryptology:AFRICACRYPT 2008. Lecture Notes in Computer Science 5023. Springer-Verlag, Berlin 2008. : http://eprint.iacr.org/2008/013.pdf

Daniel J. Bernstein, Niels Duif, Tanja Lange, Peter Schwabe, and Bo-Yin Yang. "High-speed high-security signatures". Journal of Cryptographic Engineering 2 (2012), 77–89. : http://eprint.iacr.org/2011/368.pdf

Robert Ransom, Review of ECC topics: http://www.ietf.org/mail-archive/web/cfrg/current/msg04375.html

Watson Ladd, Additional Elliptic Curves for IETF protocols: http://tools.ietf.org/html/draft-ladd-safecurves-04

Cryptographic Modernization Program: https://en.wikipedia.org/wiki/Cryptographic_Modernization_Program

NSA Suite B Cryptography: https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography