Today, Tani's Claw finding algorithm is the fastest method of isogeny kernel problem. However, We don't use the property of elliptic curves and isogeny to solve the problem by Tani's algorithm. We suggest new method of computing for isogeny kernel problem by Velu's formula and Groebner basis.

1. Groebner基底を用いた
同種写像核計算
JSIAM2018 FAIS session, 9/5(wed)

2. 楕円曲線と同種写像
◼ 楕円曲線とは
• 𝑦2 = 𝑥3 + 𝑎𝑥 + 𝑏 で表される曲線
➢ 𝑎, 𝑏 ∈ 有限体 𝔽 𝑞
• 有理点の間に加法が定まる
➢ 有理点全体 𝐸(𝔽 𝑞) は有限群
◼ （楕円曲線間の）同種写像
• 加法を保存（群準同型）
• 有理式で表せる (Veluの公式)
➢ 𝐸(𝔽 𝑞) ∋ (𝑥, 𝑦) →
𝑁 𝑙(𝑥)
𝐷 𝑙(𝑥)
, 𝑦
𝑁 𝑙(𝑥)
𝐷 𝑙(𝑥)
′ ∈ ෨𝐸(𝔽 𝑞)
• 楕円曲線 𝐸, 自然数 𝑙 に対し、
同種写像 𝝓
𝐸
෨𝐸
位数 𝑙 の部分群 𝐾 𝐾 を核とする 𝑙-同種写像
1対1
1/12

3. 暗号における同種写像の活用例
① 楕円曲線の位数計算
• 有理点の個数を計算
• 1995年Schoof, Elkies：
同種写像を用いたアルゴリズムを提案[1]
➢ 𝑙-同種写像の核を表す多項式 𝐹𝑙(𝑥) を計算
② 同種写像暗号
• 2011年Jaoらが提案した暗号方式[2]
➢ ker 𝜙 が巡回群となる同種写像を利用
• 同種写像核計算問題の計算困難性に依拠
• 耐量子暗号として期待
●
●
●
●
●
●
●
●
●
𝐸
ker 𝜙 の生成元 𝑆
秘密鍵
𝜙 𝑃 , 𝜙 𝑄 , 𝜙(𝑅)
公開鍵
同種写像暗号
[1] Schoof, R., ”Counting points on elliptic curves over finite fields”,
Theor. Nombres Bordeaux 7:219-254, 1995.
[2] Feo, L.D., Jao, D. and Plut, J., “Towards quantum resistant cryptosystems from supersingular
elliptic curve Isogenies”, PQCrypto 2011, Lecture Notes in Compututer Science, 7071, pp.19-34,
Springer, 2011.
2/12

4. 同種写像核計算問題
• 通常の楕円曲線 → 準指数時間アルゴリズム[3]
(隠れ部分群を用いたアルゴリズム)
• 超特異楕円曲線 → 指数時間アルゴリズムのみ[4]
➢ CSSI(Computational SuperSingular Isogeny)問題 と呼ぶ
➢ 𝐸/𝔽 𝑞: 超特異楕円曲線
def
#𝐸(𝔽 𝑞) − 𝑞 − 1 ≡ 0 (mod 𝑝)
容易
困難
同種写像核計算問題
同種写像の核となる
𝐸 の部分群
𝑙-同種な楕円曲線
𝐸, ෨𝐸
[3] Kuperberg, G., “A subexponential-time quantum algorithm for the dihedral hidden subgroup problem”, SIAM Journal of Computing,
35(1):170–188, 2005.
[4] Tani, S., “Claw finding algorithms using quantum walk”, Theoretical Computer Science, 410, pp.5285-5297, 2008.
3/12

5. 本研究概要
◼ 研究目的：CSSI問題に対する新しい求解法の提案
• 既存の求解法：谷のClaw探索アルゴリズム[4]
➢ 関数 𝑓 𝑥 , 𝑔(𝑦) の値が等しくなる引数対 (𝑥, 𝑦) を探索
• 楕円曲線や同種写像の性質を用いたアルゴリズムの提案
◼ 本研究：Veluの公式を用いたCSSI問題求解法の提案
• 位数計算における同種写像核計算ステップを利用
➢ 連立方程式求解を利用したSEA法の高速化が存在[5]
➢ この手法を利用したCSSI問題の求解手法を提案
[4] Tani, S., “Claw finding algorithms using quantum walk”, Theoretical Computer Science, 410, pp.5285-5297, 2008.
[5] 横山和弘，野呂正行「楕円曲線の同種写像の公式計算」数理解析研究所講究録第1955 巻，pp.146-157，2015
4/12
𝐸 ෨𝐸

6. 数学的準備
• 𝑙-同種写像 𝜙 ∶ 𝐸 → ෨𝐸 に対し、 𝑥 𝑃 は 𝑃 の 𝑥座標とし、
𝐹𝑙 𝑥 = ς 𝑃 ∈ ker 𝜙 ∖𝒪 𝑥 − 𝑥 𝑃 = 𝑥 𝑑 + 𝑡1 𝑥 𝑑−1 + 𝑡2 𝑥 𝑑−2 + ⋯ + 𝑡 𝑑 とする
➢ 𝐹𝑙(𝑥) は ker 𝜙 の全ての元の 𝑥座標を根とする多項式
◼ 用いる数学的事実：
• 𝐹𝑙(𝑥) の性質[5]： 𝑡2, … , 𝑡 𝑑 は 𝑡1, 𝑎, 𝑏, ෤𝑎, ෨𝑏 の多項式で表せる
• Veluの公式[6]： 𝜙 𝑥, 𝑦 =
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
,
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
とすると、
𝐷𝑙,1, 𝑁𝑙,1, 𝐷𝑙,2, 𝑁𝑙,2 は 𝑎, 𝑏, ෤𝑎, ෨𝑏 と 𝐹𝑙(𝑥) で表せる
◼ CSSI問題の入力と出力：
• Input：自然数 𝑙 (今回は3の冪とする)、
𝑙-同種な超特異楕円曲線 𝐸, ෨𝐸 のパラメータ 𝑎, 𝑏, ෤𝑎, ෨𝑏
• Output : 多項式 𝐹𝑙 𝑥 の係数 𝑡1
[5] 横山和弘，野呂正行「楕円曲線の同種写像の公式計算」数理解析研究所講究録第1955 巻，pp.146-157，2015
[6] Velu, J., “Isogenies entre courbes elliptiques”, Communications de I‘Academie Royale des Sciences de Paris, 273, pp.238-241, 1971.
5/12

7. • 𝐹𝑙 𝑥 = 𝑥 𝑑
+ 𝑡1 𝑥 𝑑−1
+ ⋯ + 𝑡 𝑑
• 𝑎, 𝑏, ෤𝑎, ෨𝑏, 𝑡1 を変数として考える
提案手法①
① 𝑡2, … , 𝑡 𝑑 を 𝑎, 𝑏, ෤𝑎, ෨𝑏, 𝑡1 の5変数多項式として表す
② Veluの公式から有理式
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
,
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
を計算
③
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
2
=
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
3
+ ෤𝑎
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
+ ෨𝑏 を 𝑥 変数とみなし、
その係多項式から5変数連立方程式を作成
事前に
計算可能
④ 与えられた 𝐸, ෨𝐸 の係数を代入し， 𝑡1 の1変数連立方程式を解く
6/12

8. 提案手法①によるCSSI求解実験
◼ 使用パラメータ
• SIKE-p503のパラメータ
• SIKE[7] (Supersingular Isogeny Key Encapsulation )：
2011年Jaoらが提案した同種写像暗号方式
（耐量子暗号としてNIST投稿済）
➢ 𝑝 = 22503159 − 1, 𝔽 𝑞 = 𝔽 𝑝2, 𝐸: 𝑦2 = 𝑥3 + 𝑥
( #𝐸(𝔽 𝑞) = 22503159 2, i.e., 𝐸 は超特異）
◼ 実験結果 (環境： Intel Core i7-6600U@2.60GHz, MAGMA Ver. 2.20.10 )
• 𝑙 = 3 𝑒 としどれだけ大きい 𝑙 について 𝑡1 (i.e. 𝐹𝑙) を計算できるか実験
• 𝑙 = 9 は 1.156 s で求解 (𝑙 = 27 は10時間かけても計算不可)
➢ 変数が多すぎることが原因
➢ 𝑎, 𝑏, ෤𝑎, ෨𝑏 は与えられたものを代入するよう改良
→ 提案手法②へ
[7] http://sike.org/
David Jao and Luca De Feo. Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies. In B.-Y. Yang (ed.),
7/12

9. 提案手法②
• 与えられた 𝐸, ෨𝐸 の係数 𝑎, 𝑏, ෤𝑎, ෨𝑏 を利用
① 𝑡2, … , 𝑡 𝑑 を 𝑡1 の１変数多項式として表す
② Veluの公式から有理式
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
,
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
を計算
事前に
計算不可
④ 𝑡1 の1変数連立方程式を解く
③
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
2
=
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
3
+ ෤𝑎
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
+ ෨𝑏 を 𝑥 変数とみなし、
その係多項式から1変数連立方程式を作成
8/12

10. 提案手法②によるCSSI求解実験
◼ 実験結果
• パラメータ、実験環境は前と同じ (SIKE-p503)
• 𝑙 = 81 まで求解（𝑙 = 35 は10時間計算しても求解不可）
• 𝑙 : 増大 → 連立方程式作成時間 : 増大
➢ 少ない連立方程式で求解したい
→ 提案手法③へ
𝒍
Total
Time (s)
(A) 𝒕𝒊 step (s)
(A)の割合
(%)
(B) 連立方程式
step (s)
(B)の割合
(%)
9 0.094 0.000 - 0.047 50.0
27 5.781 0.016 0.277 4.906 84.9
81 506.594 0.360 0.07 438.328 86.5
9/12

11. 提案手法③
① 𝑡2, … , 𝑡 𝑑 を 𝑡1 の１変数多項式として表す
② Veluの公式から有理式
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
,
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
を計算
④ 𝑡1 の1変数連立方程式を解く
③
𝑁 𝑙,2(𝑥,𝑦)
𝐷 𝑙,2(𝑥,𝑦)
2
=
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
3
+ ෤𝑎
𝑁 𝑙,1(𝑥)
𝐷 𝑙,1(𝑥)
+ ෨𝑏 を 𝑥 変数多項式とみなし、
その0~4次の係多項式から1変数連立方程式を作成
➢ 即ち 𝑓𝑚 𝑡1 ⋅ 𝑥 𝑚 + 𝑓 𝑚−1 𝑡1 ⋅ 𝑥 𝑚−1 + ⋯ + 𝑓1 𝑡1 ⋅ 𝑥 + 𝑓0 𝑡1 = 0 の
0~4次の係多項式 𝑓0 𝑡1 , … , 𝑓4 𝑡1 を使用
10/12

12. 提案手法③によるCSSI求解実験
◼ 実験結果
• パラメータは前と同じ (SIKE-p503)
• 𝑙 = 35
まで求解（𝑙 = 36 は10時間計算しても求解不可）
• 𝑙 : 増加 → 𝑡𝑖 たちを 𝑡1 で表す時間 : 増加
➢ 𝑡𝑖 たちは逐次的に計算される
➢ この手法による求解はこれが限界？
（0次の係多項式のみを用いると 𝑙 = 36 までは計算可能）
𝒍
Total
Time (s)
(A) 𝒕𝒊 step (s)
(A)の割合
(%)
(B) 連立方程式
step (s)
(B)の割合
(%)
9 0.047 0.000 - 0.032 68.1
27 0.516 0.016 3.10 0.453 87.8
81 5.406 0.391 7.23 4.468 82.6
243 83.078 31.546 38.0 46.25 55.7
11/12

13. まとめ・今後の課題
◼ まとめ
• Veluの公式を用いたCSSI問題求解法を提案
• 一部最適化を行い、求解時間を短縮
➢ 𝑙 = 35 に対し 83.078 s で求解
• CSSI問題における自明でない性質を発見
➢ 小さな次数の係多項式から 𝑡1 を計算可能
◼ 今後の課題
• 𝑡𝑖 たちを 𝑡1 で表す手法の高速化
• Claw 探索アルゴリズムとの組合せ
• 小さい次数の係多項式だけで済む理由は？
➢ 0次の係多項式だけでも解の候補は8つ以下に絞れる
➢ どんな 𝑙 に対してもそうか？
➢ どんな楕円曲線に対してもそうか？
12/12

14. 参考： 𝑡𝑖 を 𝑡1 で表すのにかかる時間
• 𝑙 = 36 に対する 𝐹𝑙 を計算
→ 𝑑 =
𝑙−1
2
= 364 より 𝐹𝑙 は364次多項式
→ 𝑡1, … , 𝑡364 を求める計算時間： 2644.907 s
13/12

15. 参考：𝑡𝑖 の計算
◼ 𝑡𝑖 の計算方法
① ℎ1, … , ℎ𝑙−1 は 𝑎, 𝑏, ෤𝑎, ෨𝑏 を用いて計算可能
② 𝐷𝑙 𝑥 = ς 𝑆∈𝐾∖𝒪(𝑥 − 𝑥 𝑆) = 𝑥 𝑙−1 − 𝑠1 𝑥 𝑙−2 + 𝑠2 𝑥 𝑙−3 − ⋯ + 𝑠𝑙−1,
𝑁 𝑙 𝑥
𝐷 𝑙 𝑥
= 𝑙𝑥 − 𝑠1 −
3𝑥2+𝑎 𝐷′
𝑙 𝑥
𝐷 𝑙 𝑥
− 2 𝑥3 + 𝑎𝑥 + 𝑏
𝐷′
𝑙 𝑥
𝐷 𝑙 𝑥
= 𝑥 +
ℎ1
𝑥
+
ℎ2
𝑥2 +
ℎ3
𝑥3 + ⋯
を用いて 𝑠1, … , 𝑠𝑙 を計算
③ 𝐷𝑙 𝑥 = 𝐹𝑙
2
(𝑥) より 𝑡1, … , 𝑡 𝑑 を計算
➢ 𝑃𝐿 𝑧 =
1
𝑧
+ σ 𝑘=1
∞
𝑑 𝑘 𝑧 𝑘 としたとき，
➢ 𝑧 𝑙−1 𝐹𝑙 𝑃𝐿(𝑧) = exp(𝑡1 𝑧2 − σ 𝑘=1
∞ ෨𝑑 𝑘−𝑙𝑑 𝑘
(2𝑘+1)(2𝑘+2)
𝑧2𝑘+2) の計算
➢ 𝑃𝐿 𝑧 −
1
𝑧
𝑖
(𝑖 = 1, … , 𝑑) の計算
14/12

16. • 𝐹𝑙 𝑥 = 𝑥 𝑑
+ 𝑡1 𝑥 𝑑−1
+ ⋯ + 𝑡 𝑑 とする
• 𝑡2, … , 𝑡 𝑑 を 𝑡1 の1変数多項式としてあらわさない
参考：提案手法④
④ 𝑡1, … 𝑡 𝑑 の 𝑑 変数連立方程式を解く
① 𝑡2, … , 𝑡 𝑑 を 𝑡1 の1変数多項式としてあらわす
② 有理式を計算 (変数 : 𝑡1, … , 𝑡 𝑑)
③ 𝜙(𝑃) を計算し，𝜙(𝑃) ∈ 𝐸 から連立方程式を作成
15/12

17. 参考：提案手法④によるCSSI求解実験
◼ 求解時間を測定
• Groebner計算には次数付き逆辞書式順序を利用
𝒍 提案手法③Time (s) 提案手法④Time (s)
9 0.047 0.031
27 0.516 8.906
81 5.406 Out of memory
243 83.078 ‐
• 提案手法③ (𝑡1 のみ1変数) よりも提案手法④ (𝑡1, … , 𝑡 𝑑 の 𝑑変数)
の方が求解時間が大きくなる？
16/12

18. 参考：少ない係多項式による 𝒕 𝟏 の計算
使用した
係多項式の
最大次数
各 𝒍 における 𝒕 𝟏 の候補数
𝑙 = 3 𝑙 = 9 𝑙 = 27 𝑙 = 81 𝑙 = 243 𝑙 = 729
０ 5 7 8 5 4 5
1 3 5 4 3 2 3
2 3 5 4 3 2 3
3 3 5 4 3 2 3
4 2 1 1 1 1 1
17/12
• 𝑙 = 36
までに限れば、0次の係多項式のみでも
𝑡1 の候補数は8個以下しか出てこない

19. 参考：0次の係多項式のみを用いた場合
𝒍
Total
Time (s)
(A) 𝒕𝒊 step (s)
(A)の割合
(%)
(B) 連立方程式
step (s)
(B)の割合
(%)
3 1 0 0 0 0
9 1.406 0 0 0.016 1.138
27 1.562 0.015 0.9603 0.063 4.0333
81 4.156 0.422 10.154 0.156 3.7536
243 35.891 27.328 76.1417 1.265 3.5246
729 2440.157 2385.704 97.7685 11.671 0.4783
• 𝑙 = 36
まで求解
• 𝑙 = 37 においてはそもそも 𝑡𝑖 を 𝑡1 で表すのに時間がかかる
18/12