楕円曲線DSA

楕円曲線DSA（だえんきょくせんDSA、Elliptic Curve Digital Signature Algorithm、Elliptic Curve DSA、楕円DSA、ECDSA）は、Digital Signature Algorithm (DSA) について楕円曲線暗号を用いるようにした変種である。

楕円曲線暗号で一般的に言われるように、ECDSAにおいて必要とされる公開鍵のサイズはセキュリティビット数のおよそ2倍であると考えられている。例えば、80ビットのセキュリティビット数（攻撃者が秘密鍵を取得するために ${\displaystyle 2^{80}}$ 回の計算を必要とする）を得るために、DSAでは最低でも1024ビットの公開鍵が必要であるが、ECDSAでは160ビットの公開鍵で十分である。一方、署名のサイズはDSAでもECDSAでも同じであり、必要とするビット安全性の4倍のビット長を要する（80ビットのビット安全性を保つためには320ビットの長さの署名が必要）。

パラメーター	説明
E	${\displaystyle {ℝ}^2}$ 上で定義される楕円曲線 ${\displaystyle y^2=x^3+ax+b}$ (ワイエルシュトラスの標準形)
p	E 上の有理点を還元する素数。E は${\displaystyle {𝐅}_p\times {𝐅}_p}$ 上の楕円曲線に写される
G	${\displaystyle {𝐅}_p\times {𝐅}_p}$ 上のベースポイント
n	G の位数（${\displaystyle n*G=O}$ を満たす）
${\displaystyle d_A}$	秘密鍵：${\displaystyle [1,n-1]}$の範囲からランダムに選択され保持される整数
${\displaystyle Q_A}$	公開鍵：${\displaystyle d_A*G}$ (${\displaystyle {𝐅}_p\times {𝐅}_p}$ 上の点)
m	送信されるメッセージ

(注)「${\displaystyle *}$」は楕円曲線上での掛け算 (scalar multiplication) を意味する。

アリスが署名したメッセージをボブに送る場合を考える。最初に、使用する楕円曲線のパラメータ ${\displaystyle (E,p,G,n)}$ を決めておく必要がある。

アリスは ${\displaystyle [1,n-1]}$ の範囲からランダムに選択された秘密鍵 ${\displaystyle d_A}$ と、公開鍵 ${\displaystyle Q_A=d_A*G}$ から成る鍵ペアを生成する。${\displaystyle d_A}$ と ${\displaystyle Q_A}$ の対応は1対1であり、${\displaystyle d_A}$ から ${\displaystyle Q_A}$ を計算することは比較的容易だが、 ${\displaystyle Q_A}$ から ${\displaystyle d_A}$ を計算することは実質的に不可能(離散対数問題)である。つまり ${\displaystyle d_A}$ と ${\displaystyle Q_A}$ の対応は一方向性関数になっている。

アリスがメッセージ ${\displaystyle m}$ に署名する場合、以下の計算を行う。

1. ${\displaystyle e=H(m)}$ を計算する。ここで H はSHA-1のような暗号学的ハッシュ関数を指す。
2. ${\displaystyle z}$ を、${\displaystyle e}$ の最上位側の ${\displaystyle L_n}$ ビットとする。ここで ${\displaystyle L_n}$ は位数 ${\displaystyle n}$ のビット長とする。
3. ${\displaystyle [1,n-1]}$ の範囲から整数 ${\displaystyle k}$ を任意に選択する。
4. 曲線上の点 ${\displaystyle (x_1,y_1)=k*G}$ を計算する。
5. ${\displaystyle r=x_{1}modn}$ を計算する。${\displaystyle r=0}$ となる場合には ${\displaystyle k}$ の選択に戻る。
6. ${\displaystyle s=k^{-1}(z+r{d}_A)modn}$ を計算する(${\displaystyle k^{-1}}$は有限体${\displaystyle {𝐅}_n}$における${\displaystyle k}$の逆元である)。${\displaystyle s=0}$ となる場合には ${\displaystyle k}$ の選択に戻る。
7. ${\displaystyle (r,s)}$ が ${\displaystyle m}$ に対する署名となる。

${\displaystyle s}$ を計算する際に、${\displaystyle H(m)}$ から得られる ${\displaystyle z}$ は整数に変換される。${\displaystyle z}$ は ${\displaystyle n}$ より「大きい」ことは許されるが、「長い」ことは許されない^[1]。

DSAと同様に、署名ごとに異なる ${\displaystyle k}$ を選択することは極めて重要である。さもないと、ステップ6の式から秘密鍵 ${\displaystyle d_A}$ を得ることが可能となってしまう。メッセージ ${\displaystyle m}$ および ${\displaystyle m^{\prime }}$ に対して、未知だが同じ ${\displaystyle k}$ から得られた2つの署名 ${\displaystyle (r,s)}$ および ${\displaystyle (r,s^{\prime })}$ がある場合、攻撃者は ${\displaystyle z}$ および ${\displaystyle z^{\prime }}$ を計算することが可能であり、${\displaystyle s-s^{\prime }=k^{-1}(z-z^{\prime })}$ であることから、${\displaystyle k=\frac{z-z^{\prime }}{s-s^{\prime }}}$ が得られる。${\displaystyle s=k^{-1}(z+r{d}_A)}$ であるから、攻撃者は秘密鍵 ${\displaystyle d_A=\frac{sk-z}{r}}$ を得ることができる。このように単一の ${\displaystyle k}$ を用いることは不適切な実装であり、PlayStation 3のソフトウェア署名鍵が漏洩したのはこれが原因であった^[2]。

ボブがアリスの署名を検証するためには、アリスの公開鍵 ${\displaystyle Q_A}$ が必要である。公開鍵 ${\displaystyle Q_A}$ が正当なものであるかの検証は以下のとおりである。

1. ${\displaystyle Q_A}$ が ${\displaystyle O}$ でないことを確認する。
2. ${\displaystyle Q_A}$ が曲線上にあることを確認する。
3. ${\displaystyle n*Q_A=O}$ であることを確認する。

メッセージ ${\displaystyle m}$ と署名 ${\displaystyle (r,s)}$ の検証は以下のように行われる。

1. ${\displaystyle r}$ および ${\displaystyle s}$ がいずれも ${\displaystyle [1,n-1]}$ の範囲にある整数であることを確認する。これを満たさない場合には署名は不正なものである。
2. ${\displaystyle e=H(m)}$ を計算する。ここで H は署名生成に用いられたハッシュ関数と同一のものである。
3. ${\displaystyle z}$ を、${\displaystyle e}$ の最上位側の ${\displaystyle L_n}$ ビットとする。
4. ${\displaystyle w=s^{-1}modn}$ を計算する。
5. ${\displaystyle u_1=zwmodn}$ および ${\displaystyle u_2=rwmodn}$ を計算する。
6. 曲線上の点 ${\displaystyle (x_1,y_1)=u_1*G+u_2*Q_A}$ を計算する。
7. ${\displaystyle r\equiv x_1(\mathrm{mod}n)}$ であれば署名は正当なものである。

Straus's algorithm（Shamir's trickとも）を用いることで、2つの楕円曲線上での掛け算の和 ${\displaystyle u_1*G+u_2*Q_A}$ を、2つの楕円曲線上での掛け算よりも速く計算することができる^[3]。

ここで ${\displaystyle C}$ は署名検証のステップ6で得られた点とする。

${\displaystyle C=u_1*G+u_2*Q_A}$

公開鍵が ${\displaystyle Q_A=d_A*G}$ と定義されることより

${\displaystyle C=u_1*G+u_2{d}_A*G}$

楕円曲線上での掛け算より

${\displaystyle C=(u_1+u_2{d}_A)*G}$

署名検証のステップ4より ${\displaystyle u_1}$ および ${\displaystyle u_2}$ の定義を拡張すると

${\displaystyle C=(z{s}^{-1}+r{d}_A{s}^{-1})*G}$

${\displaystyle s^{-1}}$ を外に出して

${\displaystyle C=(z+r{d}_A)s^{-1}*G}$

署名のステップ6より ${\displaystyle s}$ の定義を拡張すると

${\displaystyle C=(z+r{d}_A)(z+r{d}_A{)}^{-1}(k^{-1}{)}^{-1}*G}$

逆数の逆数は元と同じであることと、逆数と元の積は ${\displaystyle O}$ であることから

${\displaystyle C=k*G}$

${\displaystyle r}$ の定義より、これは署名検証のステップ6と等しい。

これは正しく署名されたメッセージは正しく検証されることのみを示しており、セキュアな署名アルゴリズムであるための他の要素については考慮していない。

2010年12月、fail0verflowと名乗るグループが、ソニーがPlayStation 3のソフトウェア署名に用いていたECDSA秘密鍵の回復に成功したと発表した。しかし、これは ${\displaystyle k}$ をランダムではなく固定値としていたソニーの不適切な実装によるものであり、アルゴリズム自体の脆弱性ではない。署名生成のセクションで述べたように、${\displaystyle k}$ を固定値で用いることは秘密鍵 ${\displaystyle d_A}$ を計算可能とし、アルゴリズムを破綻させるものである^[4]。

2011年3月29日、2人の研究者による論文がテンプレート:仮リンクに発表された。この論文では、サイドチャネル攻撃の一つであるタイミング攻撃によって、ECDSAを認証に利用し、OpenSSLを用いたサーバのTLS秘密鍵を入手可能であることが示された^[5]。この脆弱性はOpenSSL 1.0.0eで修正された^[6]。

2013年8月、Java class SecureRandomのいくつかの実装において、${\displaystyle k}$ のコリジョンが発生することがあるバグが明らかとなった。前述のように、これにより秘密鍵を得ることが可能であり、Javaを利用しECDSAを認証に用いていたAndroidアプリからBitcoinが盗まれる危険性があった^[7]。この問題は独立提出のテンプレート:IETF RFCにあるように、秘密鍵とメッセージハッシュから決定論的に ${\displaystyle k}$ を導くことで回避できる。

2015年1月、Bitcoinのウォレットが完全にオフラインであっても、ECDSAを利用したトランザクションのデジタル署名を通して秘密鍵が漏洩される可能性があることを示す研究論文がarXivにて発表された^[8]。この論文では、利用ユーザー側がECDSAおよびビットコインの実装を完全に検証できない限り信頼できないことから、ソースコードの検証からコンパイルといったユーザー側の敷居が高くなるため、プライベートキー漏洩の攻撃を防ぐための実質的な解決策が現段階でないと結論付けている。

このアルゴリズムは楕円曲線をパラメータとして必要とするが、多くの場合NISTによって定められた楕円曲線（P-256、P-384、P-521など）^[9]が用いられる。これらの曲線は特定のシード値からSHA-1を基盤としたアルゴリズムを用いて算出されている^[9]が、シード値の根拠が不明であること^[10][11]、また同じく固定の楕円曲線を用いたアルゴリズムであるテンプレート:仮リンクにNSAがバックドアを仕込んだ上でRSAセキュリティ社のセキュリティ製品に採用させたと報道されたこと^[12]から、疑いの目で見られることがある^[13][14]。

ECDSAをサポートしているライブラリは以下の通りである。

• Botan
• テンプレート:仮リンク
• テンプレート:仮リンク
• テンプレート:仮リンク
• テンプレート:仮リンク
• OpenSSL
• GnuTLS
• wolfCrypt

テンプレート:Reflist

• Accredited Standards Committee X9, American National Standard X9.62-2005, Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA), November 16, 2005.
• Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 2.0, May 21, 2009.
• López, J. and Dahab, R. An Overview of Elliptic Curve Cryptography, Technical Report IC-00-10, State University of Campinas, 2000.
• Daniel J. Bernstein, Pippenger's exponentiation algorithm, 2002.
• Daniel R. L. Brown, Generic Groups, Collision Resistance, and ECDSA, Designs, Codes and Cryptography, 35, 119–152, 2005. ePrint version
• Ian F. Blake, Gadiel Seroussi, and Nigel P. Smart, editors, Advances in Elliptic Curve Cryptography, London Mathematical Society Lecture Note Series 317, Cambridge University Press, 2005.
• テンプレート:Cite journal

• 楕円曲線暗号
• Digital Signature Algorithm

• Digital Signature Standard; includes info on ECDSA

テンプレート:Cryptography navbox