「楕円曲線暗号」の版間の差分

楕円曲線暗号（だえんきょくせんあんごう、Elliptic Curve Cryptography、ECC）とは、楕円曲線上の離散対数問題 (EC-DLP) の困難性を安全性の根拠とする暗号。1985年頃にテンプレート:仮リンクとテンプレート:仮リンクが各々発明した。

具体的な暗号方式の名前ではなく、楕円曲線を利用した暗号方式の総称である。DSAを楕円曲線上で定義した楕円曲線DSA (ECDSA)、ディフィー・ヘルマン鍵共有（DH鍵共有）を楕円化した楕円曲線ディフィー・ヘルマン鍵共有 (ECDH) などがある。公開鍵暗号が多い。

EC-DLPを解く準指数関数時間アルゴリズムがまだ見つかっていないため、それが見つかるまでの間は、RSA暗号などと比べて、同レベルの安全性をより短い鍵で実現でき、処理速度も速いことをメリットとして、ポストRSA暗号として注目されている。ただしP=NPが成立した場合、EC-DLPを多項式時間で解くアルゴリズムが存在するということになり、ECCの安全性は崩壊する（公開鍵暗号自体が崩壊）。また、送信者が暗号化時に適当な乱数（公開鍵とは違うモノ）を使うので鍵が同じでも平文と暗号文の関係が1対1でない点にも注意（ElGamal暗号でも同様）。

一部の楕円曲線には、DLPを解く多項式時間アルゴリズムが見つかっているため、注意が必要である^[1]。

暗号理論に楕円曲線を利用しようというアイディアは、1985年にニール・コブリッツ^[2] と ビクター・S・ミラー^[3] によって独立に提案された。楕円曲線暗号は、2004～2005年ごろから広く使用されるようになっている。

実平面 ${\displaystyle {ℝ}^2}$ 上の点を ${\displaystyle P(x,y)}$ で表した場合、${\displaystyle {ℝ}^2}$ 上で定義される楕円曲線 ${\displaystyle E:y^2=x^3+\alpha x+\beta }$ (ワイエルシュトラスの標準形)では、${\displaystyle E}$ 上の点に接弦法(またはバシェ(Bachet)の方法)^[4] と呼ばれる加法的な2項演算により加群の構造を与えることができる(零元は通常は無限遠点(0,∞)と定義される。これを ${\displaystyle O}$ で表す)。

楕円曲線暗号で扱う楕円曲線とは、${\displaystyle E}$ 上の有理点を、ある素数 ${\displaystyle p}$ で還元した有限体 ${\displaystyle {𝐅}_p}$ 上の離散的楕円曲線 ${\displaystyle E({𝐅}_p)}$ であり、還元によって上記の加群の構造は ${\displaystyle E({𝐅}_p)}$ 上の加群の構造に写される。

楕円曲線${\displaystyle E}$ 上の異なる2点を ${\displaystyle P_1(x_1,y_1),P_2(x_2,y_2)}$とする場合、その接弦法の加法を ${\displaystyle P_1+P_2}$ で表すことにすると、これは以下の式で計算される^[5]。

まず、${\displaystyle P_1+O=O+P_1=P_1}$ である。すなわち、無限遠点 ${\displaystyle O}$ が零元であると定義する。

もし ${\displaystyle x_1=x_2,y_1=-y_2}$ ならば、${\displaystyle P_1+P_2=O}$ であると定義する。このとき ${\displaystyle P_2}$ を ${\displaystyle -P_1}$ と書き、 ${\displaystyle P_1}$ の逆元と呼ぶことにする。

${\displaystyle O+O=O}$ であるから、${\displaystyle O}$ の逆元は ${\displaystyle O}$ 自身である。これは通常の加群の零元の条件を満たしている。

それ以外の場合、${\displaystyle P_1+P_2}$ は、2点 ${\displaystyle P_1,P_2}$ を通る直線と ${\displaystyle E}$ との（${\displaystyle P_1}$ および ${\displaystyle P_2}$ と異なる）交点の、y座標の符号を反転したものであると定義する。つまり ${\displaystyle P_3(x_3,y_3)=P_1+P_2}$ と置けば、次のように計算される。 $${\displaystyle x_3={\varphi }^2-x_1-x_2,}$$ $${\displaystyle y_3=-\varphi x_3-\psi .}$$ ただし ${\displaystyle \varphi ,\psi }$ は $${\displaystyle \varphi =\frac{y_2-y_1}{x_2-x_1},}$$ $${\displaystyle \psi =\frac{y_1{x}_2-y_2{x}_1}{x_2-x_1}.}$$

上の方法で定義された2項演算は加法として必要な次の性質を備えている。

• 零元 ${\displaystyle O}$ の存在
• 各元${\displaystyle P_1}$に対する逆元${\displaystyle -P_1}$の存在
• 可換性： ${\displaystyle P_1+P_2=P_2+P_1}$ (定義式の対称性から明らか)
• 結合性： ${\displaystyle (P_1+P_2)+P_3=P_1+(P_2+P_3)}$ (煩雑であるが定義式を丁寧に解けば証明できる)

楕円曲線${\displaystyle E}$上の点 ${\displaystyle P_1(x_1,y_1)}$ に対し、さらに${\displaystyle P_1}$ を加算する場合、つまり ${\displaystyle P_1+P_1=2P_1}$ を求める場合、上記の方法は使えない。

この場合、まず ${\displaystyle y_1=0}$ のときは、${\displaystyle 2P_1=O}$ である。また、${\displaystyle 2O=O+O=O}$ である。

それ以外の場合は、${\displaystyle 2P_1}$ は、${\displaystyle P_1}$ での ${\displaystyle E}$ の接線が ${\displaystyle E}$ 自身と交わる（${\displaystyle P_1}$ とは異なる）交点の、${\displaystyle y}$座標の符号を反転したものである。すなわち ${\displaystyle P_4(x_4,y_4)=2P_1}$ と置けば、次のように計算される。 $${\displaystyle x_4={\varphi }^2-2x_1,}$$ $${\displaystyle y_4=-\varphi x_4-\psi .}$$ この式は異なる二点の加算の場合と同じであるが、${\displaystyle \varphi ,\psi }$ の計算式が次のように変わる。 $${\displaystyle \varphi =\frac{3x_1^2+\alpha }{2y_1},}$$ $${\displaystyle \psi =\frac{-3x_1^3-\alpha x_1+2y_1^2}{2y_1}.}$$

スカラー倍算（Scalar Multiplication）は楕円曲線上における掛け算である。楕円曲線上の点と点を掛けるのではなく、点に整数（スカラー）を掛けることに注意。

${\displaystyle E}$上のある点 ${\displaystyle P_1}$を始点として、これに順次 ${\displaystyle P_1}$ 自身を ${\displaystyle n-1}$ 回加算して得られる点を ${\displaystyle n{P}_1}$で表すことにする。この操作は ${\displaystyle O}$ に ${\displaystyle P_1}$ を ${\displaystyle n}$ 回加算することと同じである。${\displaystyle O}$ に ${\displaystyle -P_1}$ を ${\displaystyle n}$ 回加算すれば${\displaystyle -n{P}_1}$が得られる。 このようにして、${\displaystyle E}$上の点と整数の掛け算が定義できる。この操作をスカラー倍算（Scalar Multiplication）と呼ぶことにする。

${\displaystyle P_1}$を始点として、加法により生成される点列(つまり全ての整数についての${\displaystyle P_1}$のスカラー倍算の集合)は、${\displaystyle E}$ 上の巡回群を作っている(これを ${\displaystyle ⟨P_1⟩}$と表すことにする)。

楕円曲線のパラメーター ${\displaystyle \alpha ,\beta }$ が有理数の場合、2つの有理点(${\displaystyle x,y}$ が共に有理数の点)を加算して得られる点はやはり有理点である。つまり、${\displaystyle E}$ 上の全ての有理点の集合＋無限遠点 ${\displaystyle O}$ を ${\displaystyle E(\mathbb{Q})}$ と表すと、${\displaystyle E(\mathbb{Q})}$ は加法について ${\displaystyle E}$ の部分加群を成している。また、${\displaystyle E(\mathbb{Q})}$ 上のある有理点を始点として加法により生成される ${\displaystyle E(\mathbb{Q})}$ 上の点列は、${\displaystyle E(\mathbb{Q})}$ 上の全ての点が成す加群の部分加群(巡回群)を成している。さらに始点が整点(${\displaystyle x,y}$ が共に整数の点)でない場合、この巡回群の位数は無限大である(Nagell-Lutzの定理テンプレート:Sfn)。

また、${\displaystyle E(\mathbb{Q})}$ 全体が成す加群は、有限個の始点が生成する巡回群の直和になることが知られている(モーデルの定理)。

楕円曲線暗号で扱う楕円曲線とは、ある素数 p について、以下で説明する楕円曲線 ${\displaystyle E({\mathbb{Z}}_p)}$ を p で還元した有限体 ${\displaystyle {𝐅}_p}$ 上の離散的楕円曲線であり、これを ${\displaystyle E({𝐅}_p)}$ と表すことにする(無限遠点 ${\displaystyle O}$ も含む。誤解の恐れがないので無限遠点は ${\displaystyle E}$ または ${\displaystyle E(\mathbb{Q})}$ のものと同じ記号を使うことにする。)。以下、順を追って説明する。

0以外の全ての有理数は、2つの整数 u、v (u、vは互いに素な整数であり、v > 0)の分数 u/v の形で表すことができる。この形式を正規化された分数と呼ぶことにする(分数 0/1 を 0 の正規化された分数と見なすことにする)。正規化された分数 u/v の 分母 v が p を因数として含まない場合、u/v を p進整数 (または p-整数)と呼ぶテンプレート:Sfn。全てのp進整数の集合を ${\displaystyle {\mathbb{Z}}_p}$ とすれば、これは 有理数体 ${\displaystyle \mathbb{Q}}$ の部分環を成しており、p進整数環と呼ばれるテンプレート:Sfn。 p進整数環 ${\displaystyle {\mathbb{Z}}_p}$ から有限体 ${\displaystyle {𝐅}_p}$ 上への写像 ${\displaystyle f_p}$ を、次のように定義する。 $${\displaystyle f_p(u/v)=(umodp)(vmodp{)}^{-1}modp}$$ ただし、${\displaystyle (vmodp{)}^{-1}}$ は ${\displaystyle {𝐅}_p}$ の元 ${\displaystyle vmodp}$ の ${\displaystyle {𝐅}_p}$ における逆元とする。

${\displaystyle f_p}$ は環 ${\displaystyle {\mathbb{Z}}_p}$ から 有限体 ${\displaystyle {𝐅}_p}$ への環準同型写像であり、 ${\displaystyle {\mathbb{Z}}_p}$ 上の加法、乗法、逆元は ${\displaystyle {𝐅}_p}$ 上の加法、乗法、逆元に写される。特に ${\displaystyle {\mathbb{Z}}_p}$ における除算は、${\displaystyle {𝐅}_p}$ では逆元を乗ずる操作に写される。${\displaystyle f_p}$ の像が体であるから、その核は環 ${\displaystyle {\mathbb{Z}}_p}$ の極大イデアルであり、これは単項イデアル ${\displaystyle p{\mathbb{Z}}_p}$ に一致する。

有理数体${\displaystyle \mathbb{Q}}$ 上の楕円曲線 ${\displaystyle E(\mathbb{Q})}$ を ${\displaystyle {\mathbb{Z}}_p}$ 上に制限したものを ${\displaystyle E({\mathbb{Z}}_p)}$ と表すことにする(無限遠点 ${\displaystyle O}$ は含むものとにする)。

${\displaystyle E({\mathbb{Z}}_p)}$ の素数 p による還元とは、${\displaystyle E({\mathbb{Z}}_p)}$ に、次に定義する ${\displaystyle {{\mathbb{Z}}_p}^2}$ から ${\displaystyle {{𝐅}_p}^2}$ への写像 ${\displaystyle {\tilde{f}}_p}$ を作用させることであるとするテンプレート:Sfnテンプレート:R。

• ${\displaystyle {\tilde{f}}_p(O)=O}$
• ${\displaystyle {\tilde{f}}_p(x,y)=(f_p(x),f_p(y))}$

${\displaystyle {\tilde{f}}_p}$ は ${\displaystyle f_p}$ の性質から、${\displaystyle E({\mathbb{Z}}_p)}$ 上の接弦法による加法を ${\displaystyle E({𝐅}_p)}$ 上の加法に矛盾なく写す。つまり${\displaystyle {\tilde{f}}_p}$ は楕円曲線上の加法に関する準同型写像を成している。

${\displaystyle {\mathbb{Z}}_p}$ 上で定義された楕円曲線 ${\displaystyle E({\mathbb{Z}}_p):y^2=x^3+\alpha x+\beta }$ (${\displaystyle \alpha ,\beta }$ はp進整数) を素数 ${\displaystyle p}$ で還元した離散的楕円曲線 ${\displaystyle E({𝐅}_p)}$ は ${\displaystyle {𝐅}_p}$ 上では次の式で定義される。

${\displaystyle E({𝐅}_{𝕡}):y^2=x^3+ax+b(modp)}$

ただし、${\displaystyle x,y}$ は ${\displaystyle {𝐅}_p}$ の元であり、${\displaystyle a=f_p(\alpha ),b=f_p(\beta )}$ とする。このようにして定義された離散的楕円曲線は、グラフにすれば最早曲線ではなく、離散した点の集まりにしか見えない(ただし分布は直線 ${\displaystyle y=0}$ に対して対称である)。

上述の${\displaystyle E}$における接弦法の加法の計算式は、${\displaystyle E({𝐅}_{𝕡})}$では${\displaystyle x_2-x_1}$ または ${\displaystyle 2y_1}$ による除法が、 ${\displaystyle {𝐅}_p}$ における逆元 ${\displaystyle (x_2-x_1{)}^{-1}}$ または ${\displaystyle (2y_1{)}^{-1}}$ による乗法に置き換えられ、全体としては次のように書き換えられる。

${\displaystyle P_1(x_1,y_1),P_2(x_2,y_2)}$ を${\displaystyle E({𝐅}_{𝕡})}$上の任意の2点とする。

${\displaystyle x_1=x_2,y_1=-y_2}$ の場合、${\displaystyle P_1+P_2=O}$。

それ以外の場合、${\displaystyle P_3(x_3,y_3)=P_1+P_2}$ と置けば、 $${\displaystyle x_3={\varphi }^2-x_1-x_2(modp)}$$ $${\displaystyle y_3=-\varphi x_3-\psi (modp)}$$

ただし ${\displaystyle \varphi ,\psi }$ は ${\displaystyle P_1\ne P_2}$ の場合、 $${\displaystyle \varphi =(y_2-y_1)(x_2-x_1{)}^{-1}(modp)}$$ $${\displaystyle \psi =(y_1{x}_2-y_2{x}_1)(x_2-x_1{)}^{-1}(modp)}$$

${\displaystyle P_1=P_2}$ の場合、 $${\displaystyle \varphi =(3x_1^2+a)(2y_1{)}^{-1}(modp)}$$ $${\displaystyle \psi =(-3x_1^3-a{x}_1+2y_1^2)(2y_1{)}^{-1}(modp)}$$

上記の式で、${\displaystyle {𝐅}_p}$ の 0 以外の任意の元 ${\displaystyle v}$ の ${\displaystyle {𝐅}_p}$ における逆元 ${\displaystyle v^{-1}}$ は、フェルマーの小定理から ${\displaystyle v^{p-1}\equiv 1(modp)}$ であるから、${\displaystyle v^{-1}=v^{p-2}modp}$ によって計算できる。

なお、前述のように、${\displaystyle E(\mathbb{Q})}$ 上においては、始点が整点でない巡回加群の位数は無限大であるが、楕円曲線 ${\displaystyle E({\mathbb{Z}}_p)}$ の ${\displaystyle {\tilde{f}}_p}$ による像である ${\displaystyle {𝐅}_p}$ 上の楕円曲線 ${\displaystyle E({𝐅}_p)}$ は有限集合であり、当然位数も有限となる。

テンプレート:R

楕円曲線 ${\displaystyle E({𝐅}_p)}$ 上のある点 ${\displaystyle G}$ から、${\displaystyle 2G,3G,4G,\dots }$ を計算していくと、次々と異なる（楕円曲線上の）点が得られるが、上述のように ${\displaystyle E({𝐅}_p)}$ は有限集合であるから、この点列はいずれは無限遠点 ${\displaystyle nG=O}$ に到達する（ただし楕円曲線によってはそのようなGはG=Oしか無い事もある）。その後は、${\displaystyle (n+1)G=G,(n+2)G=2G,(n+3)G=3G,\dots }$ と繰り返される。このように ${\displaystyle G}$ からスカラー倍算によって得られる点の集合を ${\displaystyle ⟨G⟩=\{G,2G,3G,\dots ,O\}}$ と書くことにすると、${\displaystyle ⟨G⟩}$ は巡回群となる。 ${\displaystyle n}$ は巡回群の位数と呼ばれ、${\displaystyle ⟨G⟩}$ を生成する元 ${\displaystyle G}$ はベースポイントと呼ばれる。

${\displaystyle E({𝐅}_p)}$ 上の全ての点の個数を ${\displaystyle \mathrm{♯}E({𝐅}_p)}$ とすれば、これは高々 ${\displaystyle 2p+1}$ 個(無限遠点 ${\displaystyle O}$ を含む)であり、位数 ${\displaystyle n}$ はこれより小さくなるがテンプレート:Sfn、楕円曲線のパラメーター ${\displaystyle a,b,p}$に依存し、実際の値はSchoofのアルゴリズムまたはその改良版などを用いて計算しないと分からない( ${\displaystyle \mathrm{♯}E({𝐅}_p)}$ の値の範囲については、ハッセの定理という手掛かりがある)。${\displaystyle n}$ が素数の場合、巡回群 ${\displaystyle ⟨G⟩}$ の全ての元は ${\displaystyle ⟨G⟩}$ の生成元であり、それらの位数は全て ${\displaystyle n}$ になる。

${\displaystyle h=\frac{1}{n}\mathrm{♯}E({𝐅}_p)}$ で定義される値 ${\displaystyle h}$ はコファクターと呼ばれるが、この値は 1 に近いことが望ましい。 ${\displaystyle a,b,p,G}$ の取り方によっては、${\displaystyle h=1}$ とすることが可能である(後述の secp256k1 では ${\displaystyle h=1}$ である)。${\displaystyle h=1}$ の場合、${\displaystyle E({𝐅}_p)}$ 上の点は、ほぼ全て ${\displaystyle ⟨G⟩}$ の元であるので、ベースポイントを見つけることは容易になる。モーデルの定理が示唆するように ${\displaystyle h=1}$ 以外の場合も可能であり、${\displaystyle h=2}$ となる実用的楕円曲線の仕様もある。

楕円曲線暗号においては、巡回群の位数 ${\displaystyle n}$ が小さければ、次に説明する離散対数問題やディフィー・ヘルマン問題が比較的容易に解けてしまうため、セキュリティ強度(後述)を強くするためには、${\displaystyle n}$ がなるべく大きな素数となるように、パラメーター ${\displaystyle a,b,p,G}$ を決定する必要がある。これは、多数のパラメーターの候補について、Schoofのアルゴリズムまたはその改良版などを用いて実際に ${\displaystyle n}$ を計算するという試行錯誤により行われるテンプレート:Sfn。

楕円曲線のパラメーターの一例として、ビットコインで使われている楕円曲線暗号である secp256k1 のものを示す^[6]。

${\displaystyle p=2^{256}-2^{32}-2^9-2^8-2^7-2^6-2^4-1}$
${\displaystyle }$ = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F
${\displaystyle E:y^2=x^3+7}$
${\displaystyle G=(G_x,G_y)}$
${\displaystyle G_x}$ = 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798
${\displaystyle G_y}$ = 483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8
${\displaystyle n}$ = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141
${\displaystyle h}$ = 1

巡回群 ${\displaystyle ⟨G⟩}$ の任意の要素（楕円曲線上の点）${\displaystyle Q}$ に対し、${\displaystyle Q=dG}$ を満たす ${\displaystyle d}$ が ${\displaystyle \{0,1,\dots ,n-1\}}$ の中に常にただ一つ存在する。このような ${\displaystyle d}$ を ${\displaystyle Q}$ の離散対数と呼ぶ。また、${\displaystyle ⟨G⟩}$ から無作為に選ばれた ${\displaystyle Q}$ を与えられ、その離散対数を求めよという問題を、楕円曲線上の離散対数問題(EC-DLP) と呼ぶテンプレート:R。${\displaystyle d}$ と ${\displaystyle Q}$ の対応は1対1であり、${\displaystyle d}$ から ${\displaystyle Q}$ を計算することは比較的容易だが、${\displaystyle Q}$ から ${\displaystyle d}$ を計算することは実質的に不可能である。つまり ${\displaystyle d}$ と ${\displaystyle Q}$ の対応は一方向性関数になっている。この性質を利用して、${\displaystyle d}$ を秘密鍵とし、${\displaystyle Q}$ を公開鍵としたデジタル署名アルゴリズムが実用化されている(楕円曲線DSA (ECDSA))。

これの応用問題として、2者 A、B がそれぞれ秘密鍵 ${\displaystyle d_A,d_B}$ を保持し、これから生成された公開鍵 ${\displaystyle Q_A,Q_B}$ (${\displaystyle Q_A=d_{A}G,Q_B=d_{B}G}$) をそれぞれ公開しており、A、B は互いに相手の秘密鍵の値は知らない場合を考える。A は、公開されている ${\displaystyle Q_B}$ に自分が保持している ${\displaystyle d_A}$ をスカラー倍すれば ${\displaystyle Q_{AB}=d_A{d}_{B}G}$ の値を得られるし、B は同様に、${\displaystyle Q_A}$ に ${\displaystyle d_B}$ をスカラー倍すれば ${\displaystyle Q_{AB}=d_A{d}_{B}G}$ の値を得られる。では ${\displaystyle d_A,d_B}$ の両方の値を知らない第三者 C は ${\displaystyle Q_A}$ および ${\displaystyle Q_B}$ の値のみから ${\displaystyle Q_{AB}=d_A{d}_{B}G}$ の値を得る方法はあるかというのが 楕円曲線上のディフィー・ヘルマン問題 と呼ばれる問題である。現在のところ解法としては、${\displaystyle Q_A=d_{A}G}$ または ${\displaystyle Q_B=d_{B}G}$ についての離散対数問題を解く以外の方法は知られておらず、この問題を一方向性関数として使用することが可能である。つまり ${\displaystyle Q_{AB}=d_A{d}_{B}G}$ を A、B のみが知る共通鍵として使用可能である(ディフィー・ヘルマン鍵共有)。

暗号化・復号の過程において、${\displaystyle Q=dP}$（${\displaystyle P,Q}$ は楕円曲線上の点）というスカラー倍算を行う。 ナイーヴな実装としては ${\displaystyle Q=(\cdots ((P+P)+P)+\cdots )+P}$ というように Pを ${\displaystyle (d-1)}$ 回加算（1回目は2倍算となる）するが、これでは効率が悪い。

スカラー倍算はRSA暗号などにおけるべき乗剰余演算とリンクしており、これの高速化手法もそれから流用できるものが多い。例えば、そのひとつとして有名なBinary法では、dを2進数表記し、dの各ビット ${\displaystyle d_i}$ が "0" の場合は2倍算のみを行い、"1" の場合は2倍算と加算を行うことにより、ナイーブな実装と同じ計算をより高速に行なっている。この計算手法では、2倍算はべき乗剰余演算における自乗算、加算は掛け算にそれぞれ対応している。

この演算は楕円曲線暗号の根幹を成している部分であり、楕円曲線暗号を利用する際の時間の大半を占めている。ゆえに、ICカードなどハードウェア上に演算回路を実装する場合はサイドチャネル攻撃（特にSPA、DPA）のターゲットとなる箇所なので工夫が必要となる。

テンプレート:仮リンク(セキュリティ・レベル)は暗号の破られにくさを表す1つの指標(単位はビット)であり、セキュリティ強度が ${\displaystyle l}$ (ビット)であるとは、攻撃者が暗号から鍵(あるいは平文)を解読するために必要な単位操作の回数が ${\displaystyle 2^l}$ 回程度であることを表している^[7] 。例えば 共通鍵暗号である AES-128 (鍵長 128 ビット) は、攻撃者が必要な単位操作の回数が ${\displaystyle 2^{128}}$ 回になるように設計されている(つまり、全ての鍵について総当たり攻撃(Brute-force attack)を行わないと解読できないように設計されている。この場合はセキュリティ強度＝鍵長となる)。一方、RSA暗号の場合、これと同等のセキュリティ強度を得るには約 3072 ビットの鍵長が必要になる(つまり何らかの冗長性を利用して、攻撃者は必要な単位操作の回数を節約することが可能なことを意味している)^[8]。

離散対数問題(DLP)は、残念ながら総当たり攻撃によらなくても解読できることが分かっている。例えば、ポラード・ロー離散対数アルゴリズムを用いて離散対数を計算するのに必要な単位操作回数(この場合は楕円加算回数)はおよそ ${\displaystyle \sqrt{n\pi /4}}$ 回である^[9]。従って、離散対数問題(およびそれと同等なディフィー・ヘルマン問題)のセキュリティ強度 ${\displaystyle l}$ は、鍵長を ${\displaystyle m={\log }_{2}n}$ とした場合、${\displaystyle l={\log }_2\sqrt{n\pi /4}=\frac{1}{2}({\log }_{2}n+{\log }_2(\pi /4))}$ であるから、概略 ${\displaystyle l=\frac{1}{2}{\log }_{2}n=\frac{m}{2}}$ となる。つまり鍵長 256 ビットの楕円曲線暗号(secp256k1 など) は、鍵長 128 ビットのAESと同程度のセキュリティ強度を有するということになる。この ${\displaystyle l=\frac{m}{2}}$ という離散対数問題のセキュリティ強度の特性は、ワイエルシュトラスの標準形ではないエドワーズ曲線などの楕円曲線(Curve448、Curve25519など)を用いた場合も同様である。

また、前述のように、一部の「anomalous な楕円曲線」と呼ばれる ${\displaystyle {𝐅}_p}$ 上の離散的楕円曲線では、離散対数問題を解く多項式時間アルゴリズムが見つかっているため、これはセキュリティ上の脅威となり得る。anomalous な楕円曲線とは、ある素数 p について ${\displaystyle \mathrm{♯}E({𝐅}_p)=p}$ を満たす、かなり特殊な楕円曲線であり、この上の離散対数問題を ${\displaystyle ({\log }_{2}p{)}^3}$ 回程度の単位操作回数で解くアルゴリズムが提案されている^[1]。

アメリカ国立標準技術研究所(NIST)は、セキュリティ強度が 112 ビットの暗号は、2030年まで社会的な用途で使用を許容されるが、2031年以降はセキュリティ強度が 128 ビット以上の暗号のみが許容可能であると勧告している^[10]。

楕円曲線上で楕円加算 P + Q を行う場合、加算(P ≠ Q)と2倍算(P = Q)では演算プロセスが大きく異なる。そのため、サイドチャネル攻撃（例えば、タイミング攻撃や単純電力解析/差分電力解析）への対策（例えば ^[11] など）が必要である。あるいは、テンプレート:仮リンクを使うこともできる。この曲線は、加算と2倍算を同じ演算プロセスで実行できる特別な楕円曲線の族である。^[12]

離散対数問題を効率的に解くことのできるショアのアルゴリズムは、楕円曲線暗号の解読にも利用できる。256ビットの法を持つ楕円曲線暗号（128ビット安全）を破るためには、2330量子ビット、1,260億トフォリゲートのリソースを持つ量子コンピュータが必要であると見積もられている。^[13] 一方、アメリカ国立標準技術研究所の勧告（NIST SP 800-57）によりこれと同等のセキュリティレベルとされる3072ビット鍵のRSA暗号を破るためには、6146量子ビット、18.6兆トフォリゲートが必要であり^[13]、テンプレート:独自研究範囲いずれにせよ、これらのリソースは現在実存する量子コンピュータのリソースをはるかに超えており、このようなコンピュータの構築は10年以上先になると見られているテンプレート:要出典。

同種写像暗号は、楕円曲線の同種写像を用いた暗号方式であり、量子コンピュータに対して耐性がある（耐量子）と考えられている。同種写像暗号の例としてディフィー・ヘルマン鍵共有と同様に鍵共有を行うSIDHがある。従来の楕円曲線暗号と同じ体の演算を多く使用し、必要な計算量や通信量は現在使用されている多くの公開鍵システムと同程度である。 ^[14]

テンプレート:Reflist

• 2004年4月10日: ECC2 109ビットの解読に成功 (certicom)。
• 2009年7月8日: ECC 112ビットの解読に成功（SONY・PS3使用）[1]

テンプレート:Reflist

• テンプレート:Cite Book
• テンプレート:Cite Book
• テンプレート:Cite Book
• テンプレート:Cite book

（拡充予定）

和書

• 有田正剛、境隆一、只木孝太郎、趙晋輝、松尾和人：「暗号理論と楕円曲線」、森北出版、ISBN 978-4-627-84751-4 (2008年9月5日).
• 宮地充子：「代数学から学ぶ暗号理論：整数論の基礎から楕円曲線暗号の実装まで」、日本評論社、ISBN 978-4-535-78679-0 (2012年3月10日).

• 暗号理論
• 楕円曲線暗号の特許
• 楕円曲線ディフィー・ヘルマン鍵共有
• 楕円曲線DSA