[要約] RFC 5091は、Identity-Based Cryptography Standard (IBCS) #1として、BF(Boneh-Franklin)およびBB1(Boneh-Boyen)暗号システムの実装に関する標準を定めています。この文書の目的は、特にスーパーシンギュラー曲線を使用したアイデンティティベースの暗号(IBC)技術の実装に焦点を当てることにあります。IBCは、公開鍵の生成にユーザーの公開情報(例えば、メールアドレス)を使用することで、証明書の管理が不要になるなど、キー管理の簡素化を実現します。このRFCは、セキュアな通信やデータ保護を必要とする様々なアプリケーションでの利用を想定しています。関連するRFCには、IBCの他の側面を扱うRFCが含まれる可能性がありますが、RFC 5091は特にスーパーシンギュラー曲線に基づく実装に特化しています。
Network Working Group X. Boyen Request for Comments: 5091 L. Martin Category: Informational Voltage Security December 2007
Identity-Based Cryptography Standard (IBCS) #1: Supersingular Curve Implementations of the BF and BB1 Cryptosystems
アイデンティティベースの暗号化標準(IBCS)#1:BFおよびBB1暗号システムの上位曲線実装
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
IESG Note
IESGノート
This document specifies two mathematical algorithms for identity based encryption (IBE). Due to its specialized nature, this document experienced limited review within the IETF. Readers of this RFC should carefully evaluate its value for implementation and deployment.
このドキュメントは、IDベースの暗号化(IBE)の2つの数学アルゴリズムを指定します。その特殊な性質のため、この文書はIETF内で限定的なレビューを経験しました。このRFCの読者は、実装と展開の価値を慎重に評価する必要があります。
Abstract
概要
This document describes the algorithms that implement Boneh-Franklin (BF) and Boneh-Boyen (BB1) Identity-based Encryption. This document is in part based on IBCS #1 v2 of Voltage Security's Identity-based Cryptography Standards (IBCS) documents, from which some irrelevant sections have been removed to create the content of this document.
このドキュメントでは、Boneh-Franklin(BF)とBoneh-Boyen(BB1)IDベースの暗号化を実装するアルゴリズムについて説明します。このドキュメントは、電圧セキュリティのIDベースの暗号標準(IBCS)ドキュメントのIBCS#1 V2に基づいています。このドキュメントのコンテンツを作成するために、いくつかの無関係なセクションが削除されました。
Table of Contents
目次
1. Introduction ....................................................4 1.1. Sending a Message That Is Encrypted Using IBE ..............5 1.1.1. Sender Obtains Recipient's Public Parameters ........6 1.1.2. Construct and Send an IBE-Encrypted Message .........6 1.2. Receiving and Viewing an IBE-Encrypted Message .............7 1.2.1. Recipient Obtains Public Parameters from PPS ........8 1.2.2. Recipient Obtains IBE Private Key from PKG ..........8 1.2.3. Recipient Decrypts IBE-Encrypted Message ............9 2. Notation and Definitions ........................................9 2.1. Notation ...................................................9 2.2. Definitions ...............................................12 3. Basic Elliptic Curve Algorithms ................................12 3.1. The Group Action in Affine Coordinates ....................13 3.1.1. Implementation for Type-1 Curves ...................13 3.2. Point Multiplication ......................................14 3.3. Operations in Jacobian Projective Coordinates .............17 3.3.1. Implementation for Type-1 Curves ...................17 3.4. Divisors on Elliptic Curves ...............................19 3.4.1. Implementation in F_p^2 for Type-1 Curves ..........19 3.5. The Tate Pairing ..........................................21 3.5.1. Tate Pairing Calculation ...........................21 3.5.2. The Miller Algorithm for Type-1 Curves .............21 4. Supporting Algorithms ..........................................24 4.1. Integer Range Hashing .....................................24 4.1.1. Hashing to an Integer Range ........................24 4.2. Pseudo-Random Byte Generation by Hashing ..................25 4.2.1. Keyed Pseudo-Random Bytes Generator ................25 4.3. Canonical Encodings of Extension Field Elements ...........26 4.3.1. Encoding an Extension Element as a String ..........26 4.3.2. Type-1 Curve Implementation ........................27 4.4. Hashing onto a Subgroup of an Elliptic Curve ..............28 4.4.1. Hashing a String onto a Subgroup of an Elliptic Curve .....................................28 4.4.2. Type-1 Curve Implementation ........................29 4.5. Bilinear Mapping ..........................................29 4.5.1. Regular or Modified Tate Pairing ...................29 4.5.2. Type-1 Curve Implementation ........................30 4.6. Ratio of Bilinear Pairings ................................31 4.6.1. Ratio of Regular or Modified Tate Pairings .........31 4.6.2. Type-1 Curve Implementation ........................32 5. The Boneh-Franklin BF Cryptosystem .............................32 5.1. Setup .....................................................32 5.1.1. Master Secret and Public Parameter Generation ......32 5.1.2. Type-1 Curve Implementation ........................33 5.2. Public Key Derivation .....................................34
5.2.1. Public Key Derivation from an Identity and Public Parameters ..................................34 5.3. Private Key Extraction ....................................35 5.3.1. Private Key Extraction from an Identity, a Set of Public ......................................35 5.4. Encryption ................................................36 5.4.1. Encrypt a Session Key Using an Identity and Public Parameters ..................................36 5.5. Decryption ................................................37 5.5.1. Decrypt an Encrypted Session Key Using Public Parameters, a Private Key ...................37 6. The Boneh-Boyen BB1 Cryptosystem ...............................38 6.1. Setup .....................................................38 6.1.1. Generate a Master Secret and Public Parameters .....38 6.1.2. Type-1 Curve Implementation ........................39 6.2. Public Key Derivation .....................................41 6.2.1. Derive a Public Key from an Identity and Public Parameters ..................................41 6.3. Private Key Extraction ....................................41 6.3.1. Extract a Private Key from an Identity, Public Parameters and a Master Secret ..............41 6.4. Encryption ................................................42 6.4.1. Encrypt a Session Key Using an Identity and Public Parameters ..................................42 6.5. Decryption ................................................45 6.5.1. Decrypt Using Public Parameters and Private Key ....45 7. Test Data ......................................................47 7.1. Algorithm 3.2.2 (PointMultiply) ...........................47 7.2. Algorithm 4.1.1 (HashToRange) .............................48 7.3. Algorithm 4.5.1 (Pairing) .................................48 7.4. Algorithm 5.2.1 (BFderivePubl) ............................49 7.5. Algorithm 5.3.1 (BFextractPriv) ...........................49 7.6. Algorithm 5.4.1 (BFencrypt) ...............................50 7.7. Algorithm 6.3.1 (BBextractPriv) ...........................51 7.8. Algorithm 6.4.1 (BBencrypt) ...............................52 8. ASN.1 Module ...................................................53 9. Security Considerations ........................................58 10. Acknowledgments ...............................................60 11. References ....................................................60 11.1. Normative References .....................................60 11.2. Informative References ...................................60
This document provides a set of specifications for implementing identity-based encryption (IBE) systems based on bilinear pairings. Two cryptosystems are described: the IBE system proposed by Boneh and Franklin (BF) [BF], and the IBE system proposed by Boneh and Boyen (BB1) [BB1]. Fully secure and practical implementations are described for each system, comprising the core IBE algorithms as well as ancillary hybrid components used to achieve security against active attacks. These specifications are restricted to a family of supersingular elliptic curves over finite fields of large prime characteristic, referred to as "type-1" curves (see Section 2.1). Implementations based on other types of curves currently fall outside the scope of this document.
このドキュメントは、双線形のペアリングに基づいて、IDベースの暗号化(IBE)システムを実装するための一連の仕様を提供します。BonehとFranklin(BF)[BF]によって提案されたIBEシステムと、BonehとBoyen(BB1)[BB1]によって提案されたIBEシステムの2つの暗号システムが記載されています。Core Ibe Algorithmsと、アクティブな攻撃に対するセキュリティを達成するために使用される補助ハイブリッドコンポーネントを含む、各システムについて完全に安全で実用的な実装が説明されています。これらの仕様は、「タイプ-1」曲線と呼ばれる、大きなプライム特性の有限フィールド上の上顎楕円曲線のファミリーに限定されています(セクション2.1を参照)。現在、他のタイプの曲線に基づく実装は、現在、このドキュメントの範囲外です。
IBE is a public-key technology, but one which varies from other public-key technologies in a slight, yet significant way. In particular, IBE keys are calculated instead of being generated randomly, which leads to a different architecture for a system using IBE than for a system using other public-key technologies. An overview of these differences and how a system using IBE works is given in [IBEARCH].
IBEは公開キーテクノロジーですが、他のパブリックキーテクノロジーからわずかでありながら重要な方法で異なります。特に、IBEキーはランダムに生成される代わりに計算されます。これにより、他のパブリックキーテクノロジーを使用するシステムよりもIBEを使用するシステムの異なるアーキテクチャが生成されます。これらの違いの概要と、IBEを使用したシステムが[Ibearch]に与えられている方法の概要。
Identity-based encryption (IBE) is a public-key encryption technology that allows a public key to be calculated from an identity, and the corresponding private key to be calculated from the public key. Calculation of both the public and private keys in an IBE-based system can occur as needed, resulting in just-in-time key material. This contrasts with other public-key systems [P1363], in which keys are generated randomly and distributed prior to secure communication commencing. The ability to calculate a recipient's public key, in particular, eliminates the need for the sender and receiver in an IBE-based messaging system to interact with each other, either directly or through a proxy such as a directory server, before sending secure messages.
IDベースの暗号化(IBE)は、公開キーをIDから計算できるようにする公開キー暗号化テクノロジーであり、対応する秘密鍵を公開キーから計算することができます。IBEベースのシステムでのパブリックキーとプライベートキーの両方の計算は、必要に応じて発生する可能性があり、その結果、ジャストインタイムキーマテリアルが生まれます。これは、安全な通信が開始される前にキーがランダムに生成され、分布する他のパブリックキーシステム[P1363]とは対照的です。特に、受信者の公開キーを計算する機能により、安全なメッセージを送信する前に、IBEベースのメッセージングシステム内の送信者と受信機が直接またはディレクトリサーバーなどのプロキシを介して相互作用する必要性を排除します。
This document describes an IBE-based messaging system and how the components of the system work together. The components required for a complete IBE messaging system are the following:
このドキュメントでは、IBEベースのメッセージングシステムと、システムのコンポーネントがどのように連携するかについて説明します。完全なIBEメッセージングシステムに必要なコンポーネントは次のとおりです。
o a Private-key Generator (PKG). The PKG contains the cryptographic material, known as a master secret, for generating an individual's IBE private key. A PKG accepts an IBE user's private key request, and after successfully authenticating them in some way, returns the IBE private key.
o プライベートキージェネレーター(PKG)。PKGには、個人のIBE秘密鍵を生成するためのマスターシークレットとして知られる暗号化資料が含まれています。PKGはIBEユーザーの秘密キー要求を受け入れ、何らかの方法でそれらを正常に認証した後、IBE秘密キーを返します。
o a Public Parameter Server (PPS). IBE System Parameters include publicly sharable cryptographic material, known as IBE public parameters, and policy information for the PKG. A PPS provides a well-known location for secure distribution of IBE public parameters and policy information for the IBE PKG.
o パブリックパラメーターサーバー(PPS)。IBEシステムパラメーターには、IBEパブリックパラメーターとして知られる公開された共有可能な暗号化資料、およびPKGのポリシー情報が含まれます。PPSは、IBEパラメーターの安全な分布とIBE PKGのポリシー情報を提供するためのよく知られた場所を提供します。
A logical architecture would be to have a PKG/PPS per name space, such as a DNS zone. The organization that controls the DNS zone would also control the PKG/PPS and thus the determination of which PKG/PSS to use when creating public and private keys for the organization's members. In this case the PPS URI can be uniquely created by the form of the identity that it supports. This architecture would make it clear which set of public parameters to use and where to retrieve them for a given identity.
論理的なアーキテクチャは、DNSゾーンなどの名前のスペースごとにPKG/PPSを持つことです。DNSゾーンを制御する組織は、PKG/PPSを制御するため、組織のメンバーのパブリックキーおよびプライベートキーを作成する際に使用するPKG/PSSの決定を決定します。この場合、PPS URIは、それがサポートするアイデンティティの形式によって独自に作成できます。このアーキテクチャは、どのパブリックパラメーターを使用するか、特定のアイデンティティに対してそれらを取得する場所を明確にすることになります。
IBE-encrypted messages can use standard message formats, such as the Cryptographic Message Syntax (CMS) [CMS]. How to use IBE with CMS is described in [IBECMS].
IBE暗号化されたメッセージは、暗号化メッセージの構文(CMS)[CMS]などの標準のメッセージ形式を使用できます。CMSでIBEの使用方法は[IBECMS]で説明されています。
Note that IBE algorithms are used only for encryption, so if digital signatures are required, they will need to be provided by an additional mechanism.
IBEアルゴリズムは暗号化にのみ使用されるため、デジタル署名が必要な場合は、追加のメカニズムによって提供される必要があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [KEYWORDS].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[キーワード]で説明されていると解釈されます。
In order to send an encrypted message, an IBE user must perform the following steps:
暗号化されたメッセージを送信するには、IBEユーザーは次の手順を実行する必要があります。
1. Obtain the recipient's public parameters.
1. 受信者の公開パラメーターを取得します。
The recipient's IBE public parameters allow the creation of unique public and private keys. A user of an IBE system is capable of calculating the public key of a recipient after he obtains the public parameters for their IBE system. Once the public parameters are obtained, IBE-encrypted messages can be sent.
受信者のIBEパブリックパラメーターにより、ユニークなパブリックキーとプライベートキーが作成されます。IBEシステムのユーザーは、IBEシステムの公開パラメーターを取得した後、受信者の公開鍵を計算できます。パブリックパラメーターが取得されると、IBE暗号化されたメッセージを送信できます。
2. Construct and send an IBE-encrypted message.
2. IBE暗号化されたメッセージを作成して送信します。
All that is needed, in addition to the IBE public parameters, is the recipient's identity in order to generate their public key for use in encrypting messages to them. When this identity is the same as the identity that a message would be addressed to, then no more information is needed from a user to send someone a secure message than is needed to send them an unsecured message. This is one of the major benefits of an IBE-based secure messaging system. Examples of identities can be an individual, group, or role identifiers.
必要なのは、IBEパブリックパラメーターに加えて、メッセージを暗号化する際に使用する公開キーを生成するために受信者のIDです。このアイデンティティがメッセージに宛てられるアイデンティティと同じ場合、ユーザーから誰かに安全なメッセージを送信するために、無担保メッセージを送信するために必要な情報を送信する必要はありません。これは、IBEベースの安全なメッセージングシステムの主要な利点の1つです。アイデンティティの例は、個人、グループ、または役割識別子です。
The sender of a message obtains the IBE public parameters that he needs for calculating the IBE public key of the recipient from a PPS that is hosted at a well-known URI. The IBE public parameters contain all of the information that the sender needs to create an IBE-encrypted message except for the identity of the recipient. [IBEARCH] describes the URI where a PPS is located, the format of IBE public parameters, and how to obtain them. The URI from which users obtain IBE public parameters MUST be authenticated in some way; PPS servers MUST support Transport Layer Security (TLS) 1.1 [TLS] to satisfy this requirement and MUST verify that the subject name in the server certificate matches the URI of the PPS. [IBEARCH] also describes the way in which identity formats are defined and a minimum interoperable format that all PPSs and PKGs MUST support. This step is shown below in Figure 1.
メッセージの送信者は、よく知られているURIでホストされているPPSから受信者のIBE公開キーを計算するために必要なIBEパブリックパラメーターを取得します。IBEパブリックパラメーターには、受信者のIDを除いて、送信者がIBE暗号化されたメッセージを作成するために必要なすべての情報が含まれています。[IBearch]は、PPSがあるURI、IBEパブリックパラメーターの形式、およびそれらの取得方法について説明します。ユーザーがIBEパブリックパラメーターを取得するURIは、何らかの方法で認証されなければなりません。PPSサーバーは、この要件を満たすためにトランスポートレイヤーセキュリティ(TLS)1.1 [TLS]をサポートする必要があり、サーバー証明書のサブジェクト名がPPSのURIと一致することを確認する必要があります。[IBearch]は、ID形式の定義方法と、すべてのPPSとPKGがサポートする必要がある最小の相互運用可能な形式も説明しています。この手順を図1に示します。
IBE Public Parameter Request -----------------------------> Sender PPS <----------------------------- IBE Public Parameters
Figure 1. Requesting IBE Public Parameters
図1. IBEパブリックパラメーターの要求
The sender of an IBE-encrypted message selects the PPS and corresponding PKG based on his local security policy. Different PPSs may provide public parameters that specify different IBE algorithms or different key strengths, for example, or require the use of PKGs that require different levels of authentication before granting IBE private keys.
IBE暗号化されたメッセージの送信者は、ローカルセキュリティポリシーに基づいてPPSと対応するPKGを選択します。異なるPPSSは、たとえば、異なるIBEアルゴリズムまたは異なる重要な強度を指定するパブリックパラメーターを提供したり、IBEプライベートキーを付与する前に異なるレベルの認証を必要とするPKGの使用を必要とする場合があります。
To IBE-encrypt a message, the sender chooses a content encryption key (CEK) and uses it to encrypt his message and then encrypts the CEK with the recipient's IBE public key (for example, as described in [CMS]). This operation is shown below in Figure 2. This document describes the algorithms needed to implement two forms of IBE. [IBECMS] describes how to use the Cryptographic Message Syntax (CMS) to encapsulate the encrypted message along with the IBE information that the recipient needs to decrypt the message.
IBE-RECRYPTメッセージを暗号化するために、送信者はコンテンツ暗号化キー(CEK)を選択し、それを使用してメッセージを暗号化し、CEKを受信者のIBE公開キーで暗号化します(たとえば、[CMS]で説明されています)。この操作を図2に示します。このドキュメントは、2つのフォームのIBEを実装するために必要なアルゴリズムを説明しています。[IBECMS]は、暗号化メッセージの構文(CMS)を使用して、受信者がメッセージを解読する必要があるIBE情報とともに暗号化されたメッセージをカプセル化する方法について説明します。
CEK ----> Sender ----> IBE-encrypted CEK
^ | |
^ ||
Recipient's Identity and IBE Public Parameters
受信者の身元とIBEパブリックパラメーター
Figure 2. Using an IBE Public-Key Algorithm to Encrypt
図2. IBEパブリックキーアルゴリズムを使用して暗号化します
In order to read an encrypted message, a recipient of an IBE-encrypted message parses the message (for example, as described in [IBECMS]). This gives him the URI he needs to obtain the IBE public parameters required to perform IBE calculations as well as the identity that was used to encrypt the message. Next, the recipient must carry out the following steps:
暗号化されたメッセージを読むために、IBE暗号化されたメッセージの受信者はメッセージを解析します(たとえば、[IBECMS]で説明されているように)。これにより、IBE計算を実行するために必要なIBEパブリックパラメーターと、メッセージの暗号を暗号化するために使用されたアイデンティティを取得するために必要なURIが得られます。次に、受信者は次の手順を実行する必要があります。
1. Obtain the recipient's public parameters.
1. 受信者の公開パラメーターを取得します。
An IBE system's public parameters allow it to uniquely create public and private keys. The recipient of an IBE-encrypted message can decrypt an IBE-encrypted message if he has both the IBE public parameters and the necessary IBE private key. The PPS can also provide the URI of the PKG where the recipient of an IBE-encrypted message can obtain the IBE private keys.
IBEシステムの公開パラメーターにより、パブリックキーとプライベートキーを独自に作成できます。IBE暗号化されたメッセージの受信者は、IBEパリメーターと必要なIBE秘密キーの両方を持っている場合、IBE暗号化されたメッセージを復号化できます。PPSは、IBE暗号化されたメッセージの受信者がIBEプライベートキーを取得できるPKGのURIを提供することもできます。
2. Obtain the IBE private key from the PKG.
2. PKGからIBE秘密キーを取得します。
To decrypt an IBE-encrypted message, in addition to the IBE public parameters, the recipient needs to obtain the private key that corresponds to the public key that the sender used. The IBE private key is obtained after successfully authenticating to a private key generator (PKG), a trusted third party that calculates private keys for users. The recipient receives the IBE private key over an HTTPS connection. The URI of a PKG MUST be authenticated in some way; PKG servers MUST support TLS 1.1 [TLS] to satisfy this requirement.
IBEで暗号化されたメッセージを復号化するには、IBEパブリックパラメーターに加えて、受信者は、送信者が使用した公開キーに対応する秘密鍵を取得する必要があります。IBEの秘密鍵は、ユーザー向けのプライベートキーを計算する信頼できるサードパーティである秘密キージェネレーター(PKG)を正常に認証した後に取得されます。受信者は、HTTPS接続を介してIBE秘密キーを受け取ります。PKGのURIは何らかの方法で認証されなければなりません。PKGサーバーは、この要件を満たすためにTLS 1.1 [TLS]をサポートする必要があります。
3. Decrypt the IBE-encrypted message.
3. IBE暗号化されたメッセージを復号化します。
The IBE private key decrypts the CEK, which is then used to decrypt encrypted message.
IBE秘密キーはCEKを復号化し、暗号化されたメッセージを復号化するために使用されます。
The PKG may allow users other than the intended recipient to receive some IBE private keys. Giving a mail filtering appliance permission to obtain IBE private keys on behalf of users, for example, can allow the appliance to decrypt and scan encrypted messages for viruses or other malicious features.
PKGは、意図した受信者以外のユーザーがIBEプライベートキーを受け取ることを許可する場合があります。たとえば、ユーザーに代わってIBEプライベートキーを取得するためのメールフィルタリングアプライアンスの許可を与えると、アプライアンスがウイルスやその他の悪意のある機能の暗号化されたメッセージを復号化およびスキャンすることができます。
Before he can perform any IBE calculations related to the message that he has received, the recipient of an IBE-encrypted message needs to obtain the IBE public parameters that were used in the encryption operation. This operation is shown below in Figure 3.
彼が受信したメッセージに関連するIBE計算を実行する前に、IBE暗号化されたメッセージの受信者は、暗号化操作で使用されたIBEパラメーターを取得する必要があります。この操作を図3に示します。
IBE Public Parameter Request -----------------------------> Recipient PPS <----------------------------- IBE Public Parameters
Figure 3. Requesting IBE Public Parameters
図3. IBEパブリックパラメーターの要求
To obtain an IBE private key, the recipient of an IBE-encrypted message provides the IBE public key used to encrypt the message and their authentication credentials to a PKG and requests the private key that corresponds to the IBE public key. Section 4 of this document defines the protocol for communicating with a PKG as well as a minimum interoperable way to authenticate to a PKG that all IBE implementations MUST support. Because the security of IBE private keys is vital to the overall security of an IBE system, IBE private keys MUST be transported to recipients over a secure protocol. PKGs MUST support TLS 1.1 [TLS] for transport of IBE private keys. This operation is shown below in Figure 4.
IBEの秘密鍵を取得するために、IBE暗号化されたメッセージの受信者は、メッセージとその認証資格情報をPKGに暗号化するために使用されるIBE公開キーを提供し、IBE公開キーに対応する秘密鍵を要求します。このドキュメントのセクション4では、PKGとの通信のためのプロトコルと、すべてのIBE実装がサポートしなければならないPKGに認証するための最小限の相互運用可能な方法を定義しています。IBEプライベートキーのセキュリティはIBEシステムの全体的なセキュリティに不可欠であるため、IBEプライベートキーは安全なプロトコルを介して受信者に輸送する必要があります。PKGは、IBEプライベートキーの輸送のためにTLS 1.1 [TLS]をサポートする必要があります。この操作を図4に示します。
IBE Private Key Request ----------------------------> Recipient PKG <---------------------------- IBE Private Key
Figure 4. Obtaining an IBE Private Key
図4. IBE秘密鍵の取得
After obtaining the necessary IBE private key, the recipient uses that IBE private key, and the corresponding IBE public parameters, to decrypt the CEK. This operation is shown below in Figure 5. He then uses the CEK to decrypt the encrypted message content (for example, as specified in [IBECMS]).
必要なIBE秘密鍵を取得した後、受信者はIBE秘密鍵と対応するIBEパブリックパラメーターを使用してCEKを復号化します。この操作を図5に示します。次に、CEKを使用して暗号化されたメッセージコンテンツを復号化します(たとえば、[IBECMS]で指定されているように)。
IBE-encrypted CEK ----> Recipient ----> CEK
^ | |
^ ||
IBE Private Key and IBE Public Parameters
IBE秘密キーとIBEパブリックパラメーター
Figure 5. Using an IBE Public-Key Algorithm to Decrypt
図5. IBEパブリックキーアルゴリズムを使用して復号化します
This section summarizes the notions and definitions regarding identity-based cryptosystems on elliptic curves. The reader is referred to [ECC] for the mathematical background and to [BF], [IBEARCH] regarding all notions pertaining to identity-based encryption.
このセクションでは、楕円曲線のアイデンティティベースの暗号システムに関する概念と定義をまとめたものです。読者は、数学的背景については[ECC]、およびIDベースの暗号化に関連するすべての概念に関して[BF]、[iBearch]に紹介されます。
F_p denotes finite field of prime characteristic p; F_p^2 denotes its extension field of degree 2.
F_Pは、プライム特性pの有限フィールドを示します。f_p^2は、次数の拡張フィールドを示します。
Let E/F_p: y^2 = x^3 + a * x + b be an elliptic curve over F_p. For an extension of degree 2, the curve E/F_p defines a group (E(F_p^2), +), which is the additive group of points of affine coordinates (x, y) in (F_p^2)^2 satisfying the curve equation over F_p^2, with null element, or point at infinity, denoted as 0.
e/f_p:y^2 = x^3 a * x bをf_pよりも楕円曲線にします。学位2の拡張の場合、曲線E/f_pはグループ(E(f_p^2))を定義します。これは、(f_p^2)^2のアフィン座標(x、y)のポイントの加算グループです。null要素を持つf_p^2の曲線方程式、または無限のポイントは0として示されます。
Let q be a prime such that E(F_p) has a cyclic subgroup G1' of order q.
qをプライムとし、e(f_p)がqの周期的なサブグループG1 'を持っているようにしますq。
Let G1'' be a cyclic subgroup of E(F_p^2) of order q, and G2 be a cyclic subgroup of (F_p^2)* of order p.
G1 ''は、次数qのE(f_p^2)の環状サブグループとし、g2を順序pの(f_p^2)*の循環サブグループとします。
Under these conditions, a mathematical construction known as the Tate pairing provides an efficiently computable map e: G1' x G1'' -> G2 that is linear in both arguments and believed hard to invert [BF]. If an efficiently computable non-rational endomorphism phi: G1' -> G1'' is available for the selected elliptic curve on which the Tate pairing is computed, then we can construct a function e': G1' x G1'' -> G2, defined as e'(A, B) = e(A, phi(B)), called the modified Tate pairing. We generically call a pairing either the Tate pairing e or the modified Tate pairing e', depending on the chosen elliptic curve used in a particular implementation.
これらの条件下では、Tateペアリングとして知られる数学的構造は、効率的に計算可能なマップe:g1 'x g1' ' - > g2を提供します。効率的に計算可能な非合理的内膜Phi:g1 ' - > g1' 'が、テートペアリングが計算される選択された楕円曲線で利用可能である場合、関数e'を構築できます:g1 'x g1' ' - > g2、e '(a、b)= e(a、phi(b))として定義され、修正されたテートペアリングと呼ばれます。特定の実装で使用される選択された楕円曲線に応じて、テートペアリングEまたは修正されたテートペアリングE 'のペアリングを一般的に呼び出します。
The following additional notation is used throughout this document.
このドキュメント全体で、次の追加表記が使用されています。
p - A 512-bit to 7680-bit prime, which is the order of the finite field F_p.
P-A 512ビットから7680ビットプライム、これは有限フィールドF_Pの順序です。
F_p - The base finite field of order p over which the elliptic curve of interest E/F_p is defined.
F_P-関心のある楕円曲線E/F_Pが定義されている順序Pのベース有限フィールド。
#G - The size of the set G.
#G-セットGのサイズ。
F* - The multiplicative group of the non-zero elements in the field F; e.g., (F_p)* is the multiplicative group of the finite field F_p.
f* - フィールドFの非ゼロ要素の乗算グループ。たとえば、(F_P)*は、有限フィールドF_Pの乗法グループです。
E/F_p - The equation of an elliptic curve over the field F_p, which, when p is neither 2 nor 3, is of the form E/F_p: y^2 = x^3 + a * x + b, for specified a, b in F_p.
e/f_p-フィールドF_P上の楕円曲線の方程式。これは、pが2または3でもない場合、e/f_p:y^2 = x^3 a * x b、指定されたa、bの形式です。f_p。
0 - The null element of any additive group of points on an elliptic curve, also called the point at infinity.
0-無限のポイントとも呼ばれる楕円曲線上のポイントの添加剤グループのヌル要素。
E(F_p) - The additive group of points of affine coordinates (x, y), with x, y in F_p, that satisfy the curve equation E/F_p, including the point at infinity 0.
E(f_p) - f_pのx、yを含むアフィン座標のポイント(x、y)の加算群(x、y)、無限のポイントを含む曲線方程式e/f_pを満たします。
q - A 160-bit to 512-bit prime that is the order of the cyclic subgroup of interest in E(F_p).
Q- E(F_P)の関心のある周期的なサブグループの順序である160ビットから512ビットプライム。
k - The embedding degree of the cyclic subgroup of order q in E(F_p). For type-1 curves this is always equal to 2.
k- e(f_p)の順序qの周期サブグループの埋め込み度。タイプ1曲線の場合、これは常に2に等しくなります。
F_p^2 - The extension field of degree 2 of the field F_p.
F_P^2-フィールドF_Pの次数2の拡張フィールド。
E(F_p^2) - The group of points of affine coordinates in F_p^2 satisfying the curve equation E/F_p, including the point at infinity 0.
E(f_p^2) - f_p^2のアフィン座標のグループのグループは、インフィニティ0のポイントを含む曲線方程式E/f_pを満たしています。
Z_p - The additive group of integers modulo p.
Z_P -Integers modulo pの添加剤グループ。
lg - The base 2 logarithm function, so that 2^lg(x) = x.
LG -2^lg(x)= xのbase 2対数関数。
The term "object identifier" will be abbreviated "OID." A Solinas prime is a prime of the form 2^a (+/-) 2^b (+/-) 1.
「オブジェクト識別子」という用語は、「oid」という略されます。ソリナプライムは、フォーム2^a( / - )2^b( / - )1のプライムです。
The following conventions are assumed for curve operations.
曲線操作については、次の規則が想定されています。
Point addition - If A and B are two points on a curve E, their sum is denoted as A + B.
ポイント添加-aとbが曲線eの2つのポイントである場合、それらの合計はBとして示されます。
Point multiplication - If A is a point on a curve, and n an integer, the result of adding A to itself a total of n times is denoted [n]A.
ポイント乗算 - aが曲線上の点であり、nの場合、それ自体を追加した結果、合計n回は[n] a。
The following class of elliptic curves is exclusively considered for pairing operations in the present version of this document, which are referred to as "type-1" curves.
次のクラスの楕円曲線は、「タイプ1」曲線と呼ばれるこのドキュメントの現在のバージョンのペアリング操作についてのみ考慮されます。
Type-1 curves - The class of curves of type-1 is defined as the class of all elliptic curves of equation E/F_p: y^2 = x^3 + 1 for all primes p congruent to 11 modulo 12. This class forms a subclass of the class of supersingular curves. These curves satisfy #E(F_p) = p + 1, and the p points (x, y) in E(F_p) \ {0} have the property that x = (y^2 - 1)^(1/3) (mod p). Type-1 curves always have an embedding degree k = 2.
Groups of points on type-1 curves are plentiful and easy to construct by random selection of a prime p of the appropriate form. Therefore, rather than to standardize upon a small set of common values of p, it is henceforth assumed that all type-1 curves are freshly generated at random for the given cryptographic application (an example of such generation will be given in Algorithm 5.1.2 (BFsetup1) or Algorithm 6.1.2 (BBsetup1)). Implementations based on different classes of curves are currently unsupported.
タイプ1曲線上のポイントのグループは、適切なフォームのプライムPをランダムに選択することにより、豊富で簡単に構築できます。したがって、pの共通値の小さなセットを標準化するのではなく、すべてのタイプ1曲線が特定の暗号化アプリケーションでランダムに生成されたばかりであると想定されています(そのような生成の例は、アルゴリズム5.1.2で示されます。(bfsetup1)またはアルゴリズム6.1.2(bbsetup1))。さまざまなクラスの曲線に基づく実装は、現在サポートされていません。
We assume that the following concrete representations of mathematical objects are used.
数学的オブジェクトの次の具体的な表現が使用されていると想定しています。
Base field elements - The p elements of the base field F_p are represented directly using the integers from 0 to p - 1.
ベースフィールド要素 - ベースフィールドF_Pのp要素は、0からp -1の整数を使用して直接表されます。
Extension field elements - The p^2 elements of the extension field F_p^2 are represented as ordered pairs of elements of F_p. An ordered pair (a_0, a_1) is interpreted as the complex number a_0 + a_1 * i, where i^2 = -1. This allows operations on elements of F_p^2 to be implemented as follows. Suppose that a = (a_0, a_1) and b = (b_0, b_1) are elements of F_p^2. Then a + b = ((a_0 + b_0)(mod p), (a_1 + b_1)(mod p)) and a * b = ((a_1 * b_1 - a_0 * b_0)(mod p), (a_1 * b_0 + a_0 * b_1)(mod p)).
Elliptic curve points - Points in E(F_p^2) with the point P = (x, y) in F_p^2 x F_p^2 satisfying the curve equation E/F_p. Points not equal to 0 are internally represented using the affine coordinates (x, y), where x and y are elements of F_p^2.
The following terminology is used to describe an IBE system.
次の用語は、IBEシステムを記述するために使用されます。
Public parameters - The public parameters are a set of common, system-wide parameters generated and published by the private key generator (PKG).
パブリックパラメーター - パブリックパラメーターは、秘密キージェネレーター(PKG)によって生成および公開される一般的なシステム全体のパラメーターのセットです。
Master secret - The master secret is the master key generated and privately kept by the key server and used to generate the private keys of the users.
マスターシークレット - マスターシークレットは、キーサーバーによって生成され、個人的に保持され、ユーザーのプライベートキーを生成するために使用されるマスターキーです。
Identity - An identity is an arbitrary string, usually a human-readable unambiguous designator of a system user, possibly augmented with a time stamp and other attributes.
アイデンティティ - アイデンティティは任意の文字列であり、通常はシステムユーザーの人間が読み取れない明確な指定者であり、おそらくタイムスタンプやその他の属性で拡張されます。
Public key - A public key is a string that is algorithmically derived from an identity. The derivation may be performed by anyone, autonomously.
公開鍵 - 公開鍵は、アイデンティティからアルゴリズム的に導出される文字列です。派生は、誰でも自律的に実行できます。
Private key - A private key is issued by the key server to correspond to a given identity (and the public key that derives from it) under the published set of public parameters.
秘密鍵 - 公開されている公開パラメーターのセットの下で、特定のID(およびそれに由来する公開鍵)に対応するために、秘密鍵がキーサーバーによって発行されます。
Plaintext - Plaintext is an unencrypted representation, or in the clear, of any block of data to be transmitted securely. For the present purposes, plaintexts are typically session keys, or sets of session keys, for further symmetric encryption and authentication purposes.
Plantext-プレーンテキストは、暗号化されていない表現、または明確なデータのブロックを安全に送信するものです。現在の目的のために、プレーンテキストは通常、より対称的な暗号化と認証のために、セッションキー、またはセッションキーのセットです。
Ciphertext - Ciphertext is an encrypted representation of any block of data, including plaintext, to be transmitted securely.
ciphertext -ciphertextは、平文を含むデータブロックの暗号化された表現であり、安全に送信されます。
This section describes algorithms for performing all needed basic arithmetic operations on elliptic curves. The presentation is specialized to the type of curves under consideration for simplicity of implementation. General algorithms may be found in [ECC].
このセクションでは、楕円曲線で必要なすべての基本算術操作を実行するためのアルゴリズムについて説明します。プレゼンテーションは、実装の単純さのために検討中の曲線の種類に特化しています。一般的なアルゴリズムは[ECC]に記載されている場合があります。
Algorithm 3.1.1 (PointDouble1): adds a point to itself on a type-1 elliptic curve.
アルゴリズム3.1.1(PointDouble1):タイプ-1楕円曲線にそれ自体にポイントを追加します。
Input:
入力:
o A point A in E(F_p^2), with A = (x, y) or 0
o e(f_p^2)のポイントA、a =(x、y)または0で
o An elliptic curve E/F_p: y^2 = x^3 + 1
o 楕円曲線e/f_p:y^2 = x^3 1
Output:
出力:
o The point [2]A = A + A
o ポイント[2] a = a a
Method:
方法:
1. If A = 0 or y = 0, then return 0
1. a = 0またはy = 0の場合、0を返します
2. Let lambda = (3 * x^2) / (2 * y)
2. lembda =(3 * x^2) /(2 * y)
3. Let x' = lambda^2 - 2 * x
3. x '= lambda^2-2 * x
4. Let y' = (x - x') * lambda - y
4. let y '=(x -x') * lambda -y
5. Return (x', y')
5. return(x '、y')
Algorithm 3.1.2 (PointAdd1): adds two points on a type-1 elliptic curve.
アルゴリズム3.1.2(PointADD1):タイプ1楕円曲線に2つのポイントを追加します。
Input:
入力:
o A point A in E(F_p^2), with A = (x_A, y_A) or 0
o e(f_p^2)のポイントA、a =(x_a、y_a)または0
o A point B in E(F_p^2), with B = (x_B, y_B) or 0
o e(f_p^2)のポイントB、b =(x_b、y_b)または0
o An elliptic curve E/F_p: y^2 = x^3 + 1
o 楕円曲線e/f_p:y^2 = x^3 1
Output:
出力:
o The point A + B
o ポイントa b
Method:
方法:
1. If A = 0, return B 2. If B = 0, return A
1. a = 0の場合、b 2を返します。b= 0の場合、
3. If x_A = x_B:
3. x_a = x_bの場合:
(a) If y_A = -y_B, return 0
(a) y_a = -y_bの場合、0を返します
(b) Else return [2]A computed using Algorithm 3.1.1 (PointDouble1)
(b) それ以外の場合は[2]アルゴリズム3.1.1(PointDouble1)を使用して計算された[2]
4. Otherwise:
4. さもないと:
(a) Let lambda = (y_B - y_A) / (x_B - x_A)
(b) Let x' = lambda^2 - x_A - x_B
(c) Let y' = (x_A - x') * lambda - y_A
(d) Return (x', y')
(d) return(x '、y')
Algorithm 3.2.1 (SignedWindowDecomposition): computes the signed m-ary window representation of a positive integer [ECC].
アルゴリズム3.2.1(SignedWindowDecomposition):正の整数[ECC]の署名されたm-aryウィンドウ表現を計算します。
Input:
入力:
o An integer k > 0, where k has the binary representation k = {Sum(k_j * 2^j, for j = 0 to l} where each k_j is either 0 or 1 and k_l = 0
o integer k> 0、kにはバイナリ表現k = {sum(k_j * 2^j、j = 0からl}のバイナリ表現があります。ここで、各k_jは0または1、k_l = 0のいずれかです
o An integer window bit-size r > 0
o 整数ウィンドウビットサイズr> 0
Output:
出力:
o An integer d and the unique d-element sequence {(b_i, e_i), for i = 0 to d - 1} such that k = {Sum(b_i * 2^(e_i), for i = 0 to d - 1}, each b_i = +/- 2^j for some 0 < j <= r - 1 and each e_i is a non-negative integer
o integer dと一意のd -elementシーケンス{(b_i、e_i)、i = 0からd -1}の場合、k = {sum(b_i * 2^(e_i)、i = 0からd -1}の場合}、各b_i = /-2^jの場合は0 <j <= r-1で、各e_iは非陰性整数です
Method:
方法:
1. Let d = 0
1. d = 0とします
2. Let j = 0
2. j = 0とします
3. While j <= l, do:
3. J <= l、do:
(a) If k_j = 0, then:
(a) k_j = 0の場合、次の場合:
i. Let j = j + 1
i. j = j 1とします
(b) Else:
(b) それ以外:
i. Let t = min{l, j + r - 1}
ii. Let h_d = (k_t, k_(t - 1), ..., k_j) (base 2)
iii. If h_d > 2^(r - 1), then:
iii。h_d> 2^(r -1)の場合、
A. Let b_d = h_d - 2^r
B. Increment the number (k_l, k_(l-1),...,k_j) (base 2) by 1
B.数字(k_l、k_(l-1)、...、k_j)(base 2)by 1を増やす
iv. Else:
IV。それ以外:
A. Let b_d = h_d
A. b_d = h_dとします
v. Let e_d = j
v. e_d = jとします
vi. Let d = d + 1
vi。d = d 1とします
vii. Let j = t + 1
vii。j = t 1とします
4. Return d and the sequence {(b_0, e_0), ..., (b_(d - 1), e_(d - 1))}
4. dとsequence {(b_0、e_0)、...、(b_(d -1)、e_(d -1))}
Algorithm 3.2.2 (PointMultiply): scalar multiplication on an elliptic curve using the signed m-ary window method.
アルゴリズム3.2.2(PointMultiply):署名されたm-aryウィンドウ法を使用した楕円曲線上のスカラー乗算。
Input:
入力:
o A point A in E(F_p^2)
o EのポイントA(f_p^2)
o An integer l > 0
o 整数l> 0
o An elliptic curve E/F_p: y^2 = x^3 + a * x + b
o 楕円曲線e/f_p:y^2 = x^3 a * x b
Output:
出力:
o The point [l]A
o ポイント[l] a
Method:
方法:
1. (Window decomposition)
1. (ウィンドウ分解)
(a) Let r > 0 be an integer (fixed) bit-wise window size, e.g., r = 5
(a) r> 0を整数(固定)ビットワイズワイズウィンドウサイズ、例えばr = 5とします
(b) Let l' = l where l = {Sum(l_j * 2^j), for j = 0 to len_l} is the binary expansion of l, where len_l = Ceiling(lg(l))
(c) Compute (d, {(b_i, e_i), for i = 0 to d - 1} = SignedWindowDecomposition(l, r), the signed 2^r-ary window representation of l using Algorithm 3.2.1 (SignedWindowDecomposition)
2. (Precomputation)
2. (事前計算)
(a) Let A_1 = A
(a) a_1 = aとします
(b) Let A_2 = [2]A, using Algorithm 3.1.1 (PointDouble1)
(c) For i = 1 to 2^(r - 2) - 1, do:
(c) i = 1〜2^(r -2)-1の場合、do:
i. Let A_(2 * i + 1) = A_(2 * i - 1) + A_2 using Algorithm 3.1.2 (PointAdd1)
(d) Let Q = A_(b_(d - 1))
3. Main loop
3. メインループ
(a) For i = d - 2 to 0 by -1, do:
(a) i = d -2から0 x -1の場合、do:
i. Let Q = [2^(e_(i + 1) - e_i)]Q, using repeated applications of Algorithm 3.1.1 (PointDouble1) e_(i + 1) - e_i times
ii. If b_i > 0, then:
ii。B_I> 0の場合、次のとおりです。
A. Let Q = Q + A_(b_i) using Algorithm 3.1.2 (PointAdd1)
A.アルゴリズム3.1.2を使用してq = q a_(b_i)
iii. Else:
iii。それ以外:
A. Let Q = Q - A_(-(b_i)) using Algorithm 3.1.2 (PointAdd1)
(b) Calculate Q = [2^(e_0)]Q using repeated applications of Algorithm 3.1.1 (PointDouble1) e_0 times
4. Return Q.
4. q。
Algorithm 3.3.1 (ProjectivePointDouble1): adds a point to itself in Jacobian projective coordinates for type-1 curves.
アルゴリズム3.3.1(ProjectivePointDouble1):タイプ1曲線のヤコビアン射影座標にそれ自体を追加します。
Input:
入力:
o A point (x, y, z) = A in E(F_p^2) in Jacobian projective coordinates
o ポイント(x、y、z)= a in e(f_p^2)jacobian射影座標
o An elliptic curve E/F_p: y^2 = x^3 + 1
o 楕円曲線e/f_p:y^2 = x^3 1
Output:
出力:
o The point [2]A in Jacobian projective coordinates
o ヤコビアの射影座標のポイント[2] a
Method:
方法:
1. If z = 0 or y = 0, return (0, 1, 0) = 0, otherwise:
1. z = 0またはy = 0の場合、return(0、1、0)= 0、それ以外の場合:
2. Let lambda_1 = 3 * x^2
2. lambda_1 = 3 * x^2とします
3. Let z' = 2 * y * z
3. z '= 2 * y * zとします
4. Let lambda_2 = y^2
4. lambda_2 = y^2とします
5. Let lambda_3 = 4 * lambda_2 * x
5. lambda_3 = 4 * lambda_2 * xとしましょう
6. Let x' = lambda_1^2 - 2 * lambda_3
6. x '= lambda_1^2-2 * lambda_3と
7. Let lambda_4 = 8 * lambda_2^2
7. lambda_4 = 8 * lambda_2^2とします
8. Let y' = lambda_1 * (lambda_3 - x') - lambda_4
8. let y '= lambda_1 *(lambda_3 -x')-lambda_4
9. Return (x', y', z')
9. return(x '、y'、z ')
Algorithm 3.3.2 (ProjectivePointAccumulate1): adds a point in affine coordinates to an accumulator in Jacobian projective coordinates, for type-1 curves.
アルゴリズム3.3.2(ProjectivePointAcCumulate1):タイプ1曲線のために、ヤコビの射影座標のアキュムレータにアフィン座標のポイントを追加します。
Input:
入力:
o A point (x_A, y_A, z_A) = A in E(F_p^2) in Jacobian projective coordinates
o ポイント(xa、ya、za)= a in e(f_p^2)jacobian射影座標
o A point (x_B, y_B) = B in E(F_p^2) \ {0} in affine coordinates
o ポイント(x_b、y_b)= b in e(f_p^2)\ {0} in affine座標
o An elliptic curve E/F_p: y^2 = x^3 + 1
o 楕円曲線e/f_p:y^2 = x^3 1
Output:
出力:
o The point A + B in Jacobian projective coordinates
o ヤコビアの射影座標のポイントA B
Method:
方法:
1. If z_A = 0, return (x_B, y_B, 1) = B, otherwise:
1. z_a = 0の場合、return(x_b、y_b、1)= b、それ以外の場合:
2. Let lambda_1 = z_A^2
2. lambda_1 = z_a^2とします
3. Let lambda_2 = lambda_1 * x_B
3. lambda_2 = lambda_1 * x_bとしましょう
4. Let lambda_3 = x_A - lambda_2
4. lambda_3 = x_a -lambda_2とします
5. If lambda_3 = 0, then return (0, 1, 0), otherwise:
5. lambda_3 = 0の場合、(0、1、0)を返します。
6. Let lambda_4 = lambda_3^2
6. lambda_4 = lambda_ 3^2とします
7. Let lambda_5 = lambda_1 * y_B * z_A
7. lembda_5 = lambda_1 * y_b * z_a
8. Let lambda_6 = lambda_4 - lambda_5
8. Lembda_6 = lambda_4 -lambda_5
9. Let lambda_7 = x_A + lambda_2
9. lambda_7 = x_a lambda_2とします
10. Let lambda_8 = y_A + lambda_5
10. lambda_8 = y_a lambda_5としましょう
11. Let x' = lambda_6^2 - lambda_7 * lambda_4
11. x '= lambda_6^2 -lambda_7 * lambda_4
12. Let lambda_9 = lambda_7 * lambda_4 - 2 * x'
12. let lambda_9 = lambda_7 * lambda_4-2 * x '
13. Let y' = (lambda_9 * lambda_6 -
13. let y '=(lambda_9 * lambda_6-
lambda_8 * lambda_3 * lambda_4) / 2
14. Let z' = lambda_3 * z_A
14. z '= lambda_3 * z_aとします
15. Return (x', y', z')
15. return(x '、y'、z ')
Algorithm 3.4.1 (EvalVertical1): evaluates the divisor of a vertical line on a type-1 elliptic curve.
アルゴリズム3.4.1(evaltervertical1):タイプ-1楕円曲線上の垂直線の除数を評価します。
Input:
入力:
o A point B in E(F_p^2) with B != 0
o b!= 0のe(f_p^2)のポイントB
o A point A in E(F_p)
o e(f_p)のポイントA
o A description of a type-1 elliptic curve E/F_p
o タイプ-1楕円曲線e/f_pの説明
Output:
出力:
o An element of F_p^2 that is the divisor of the vertical line going through A evaluated at B
o Bで評価されたAを通過する垂直線の除数であるf_p^2の要素
Method:
方法:
1. Let r = x_B - x_A
1. r = x_b -x_aとします
2. Return r
2. rを返します
Algorithm 3.4.2 (EvalTangent1): evaluates the divisor of a tangent on a type-1 elliptic curve.
アルゴリズム3.4.2(Evaltangent1):タイプ1楕円曲線の接線の除数を評価します。
Input:
入力:
o A point B in E(F_p^2) with B != 0
o b!= 0のe(f_p^2)のポイントB
o A point A in E(F_p)
o e(f_p)のポイントA
o A description of a type-1 elliptic curve E/F_p
o タイプ-1楕円曲線e/f_pの説明
Output:
出力:
o An element of F_p^2 that is the divisor of the line tangent to A evaluated at B
o Bで評価されたAに接した線の除数であるf_p^2の要素
Method:
方法:
1. (Special cases)
1. (特殊なケース)
(a) If A = 0, return 1 (b) If y_A = 0, return EvalVertical1(B, A) using Algorithm 3.4.1 (EvalVertical1)
(a) a = 0の場合、y_a = 0の場合は1(b)を返します。アルゴリズム3.4.1(evalvertical1)を使用してevaltervertical1(b、a)を返します。
2. (Line computation)
2. (ライン計算)
(a) Let a = -3 * (x_A)^2
(b) Let b = 2 * y_A
(b) b = 2 * y_aとします
(c) Let c = -b * y_A - a * x_A
3. (Evaluation at B)
3. (Bでの評価)
(a) Let r = a * x_B + b * y_B + c
4. Return r
4. rを返します
Algorithm 3.4.3 (EvalLine1): evaluates the divisor of a line on a type-1 elliptic curve.
アルゴリズム3.4.3(Evalline1):タイプ-1楕円曲線上の線の除数を評価します。
Input:
入力:
o A point B in E(F_p^2) with B != 0
o b!= 0のe(f_p^2)のポイントB
o Two points A', A'' in E(F_p)
o 2ポイントa '、a' in e(f_p)
o A description of a type-1 elliptic curve E/F_p
o タイプ-1楕円曲線e/f_pの説明
Output:
出力:
o An element of F_p^2 that is the divisor of the line going through A' and A'' evaluated at B
o bで評価された 'とa' 'を通過するラインの除数であるf_p^2の要素
Method:
方法:
1. (Special cases)
1. (特殊なケース)
(a) If A' = 0, return EvalVertical1(B, A'') using Algorithm 3.4.1 (EvalVertical1)
(a) a '= 0の場合、アルゴリズム3.4.1(eververtical1)を使用してevalvertical1(b、a' ')を返します
(b) If A'' = 0, return EvalVertical1(B, A') using Algorithm 3.4.1 (EvalVertical1)
(b) a '' = 0の場合、アルゴリズム3.4.1(evalvertical1)を使用してevaltervertical1(b、a ')を返します
(c) If A' = -A'', return EvalVertical1(B, A') using Algorithm 3.4.1 (EvalVertical1)
(c) a '= -a' 'の場合、アルゴリズム3.4.1(evalvertical1)を使用してevaltervertical1(b、a')を返します。
(d) If A' = A'', return EvalTangent1(B, A') using Algorithm 3.4.2 (EvalTangent1)
(d) a '= a' 'の場合、アルゴリズム3.4.2(evaltangent1)を使用してevaltangent1(b、a')を返します
2. (Line computation)
2. (ライン計算)
(a) Let a = y_A' - y_A''
(a) a = y_a '-y_a' '
(b) Let b = x_A'' - x_A'
(b) b = x_a '' -x_a '
(c) Let c = -b * y_A' - a * x_A'
3. (Evaluation at B)
3. (Bでの評価)
(a) Let r = a * x_B + b * y_B + c
4. Return r
4. rを返します
Algorithm 3.5.1 (Tate): computes the Tate pairing on an elliptic curve.
アルゴリズム3.5.1(TATE):楕円曲線でテートペアリングを計算します。
Input:
入力:
o A point A of order q in E(F_p)
o e(f_p)の次数qのポイントa
o A point B of order q in E(F_p^2)
o e(f_p^2)の次数qのポイントB
o A description of an elliptic curve E/F_p such that E(F_p) and E(F_p^2) have a subgroup of order q
o e(f_p)とe(f_p^2)がqのサブグループがあるように、楕円曲線e/f_pの説明
Output:
出力:
o The value e(A, B) in F_p^2, computed using the Miller algorithm
o Millerアルゴリズムを使用して計算されたf_p^2の値e(a、b)
Method:
方法:
1. For a type-1 curve E, execute Algorithm 3.5.2 (TateMillerSolinas)
1. タイプ1曲線eの場合、アルゴリズムを実行する3.5.2(Tatemillersolinas)
Algorithm 3.5.2 (TateMillerSolinas): computes the Tate pairing on a type-1 elliptic curve.
アルゴリズム3.5.2(Tatemillersolinas):タイプ-1楕円曲線でTateペアリングを計算します。
Input:
入力:
o A point A of order q in E(F_p)
o e(f_p)の次数qのポイントa
o A point B of order q in E(F_p^2) o A description of a type-1 supersingular elliptic curve E/F_p such that E(F_p) and E(F_p^2) have a subgroup of Solinas prime order q where q = 2^a + s * 2^b + c, where c and s are limited to the values +/-1
o E(f_p^2)の次数qのポイントb o e(f_p)とe(f_p^2)がソリナスプライムオーダーqのサブグループを持つように、タイプ-1上位肺胞楕円曲線e/f_pの説明= 2^a s * 2^b c、ここでcとsは値 /-1に制限されています
Output:
出力:
o The value e(A, B) in F_p^2, computed using the Miller algorithm
o Millerアルゴリズムを使用して計算されたf_p^2の値e(a、b)
Method:
方法:
1. (Initialization)
1. (初期化)
(a) Let v_num = 1 in F_p^2
(a) f_p^2でv_num = 1とします
(b) Let v_den = 1 in F_p^2
(b) f_p^2でv_den = 1とします
(c) Let V = (x_V , y_V , z_V ) = (x_A, y_A, 1) in (F_p)^3, being the representation of (x_A, y_A) = A using Jacobian projective coordinates
(d) Let t_num = 1 in F_p^2
(d) f_p^2でt_num = 1とします
(e) Let t_den = 1 in F_p^2
(e) f_p^2でt_den = 1とします
2. (Calculation of the (s * 2^b) contribution)
2. ((s * 2^b)貢献の計算)
(a) (Repeated doublings) For n = 0 to b - 1:
(a) (繰り返し二重)n = 0からb -1の場合:
i. Let t_num = t_num^2
i. t_num = t_num^2とします
ii. Let t_den = t_den^2
ii。t_den = t_den^2とします
iii. Let t_num = t_num * EvalTangent1(B, (x_V / z_V^2, y_V / z_V^3)) using Algorithm 3.4.2 (EvalTangent1)
iv. Let V = (x_V , y_V , z_V ) = [2]V using Algorithm 3.3.1 (ProjectivePointDouble1)
v. Let t_den = t_den * EvalVertical1(B, (x_V / z_V^2, y_V / z_V^3)using Algorithm 3.4.1 (EvalVertical1)
(b) (Normalization)
(b) (正規化)
i. Let V_b = (x_(V_b) , y_(V_b))
= (x_V / z_V^2, s * y_V / z_V^3) in (F_p)^2,
resulting in a point V_b in E(F_p)
E(f_p)でポイントV_Bになります
(c) (Accumulation) Selecting on s:
(c) (蓄積)Sで選択:
i. If s = -1:
i. s = -1の場合:
A. Let v_num = v_num * t_den
A. let v_num = v_num * t_den
B. Let v_den = v_den * t_num * EvalVertical1(B, (x_V / z_V^2, y_V / z_V^3))) using Algorithm 3.4.1 (EvalVertical1)
ii. If s = 1:
ii。s = 1の場合:
A. Let v_num = v_num * t_num
A. let v_num = v_num * t_num
B. Let v_den = v_den * t_den
B. v_den = v_den * t_denをletします
3. (Calculation of the 2^a contribution)
3. (2^a貢献の計算)
(a) (Repeated doublings) For n = b to a - 1:
(a) (繰り返し二重)n = bからa -1:
i. Let t_num = t_num^2
i. t_num = t_num^2とします
ii. Let t_den = t_den^2
ii。t_den = t_den^2とします
iii. Let t_num = t_num * EvalTangent1(B, (x_V / z_V^2, y_V / z_V^3))) using Algorithm 3.4.2 (EvalTangent1)
iv. Let V = (x_V , y_V , z_V) = [2]V using Algorithm 3.3.1 (ProjectivePointDouble1)
v. Let t_den = t_den * EvalVertical1(B, (x_V / z_V^2, y_V / z_V^3))) using Algorithm 3.4.1 (EvalVertical1)
(b) (Normalization)
(b) (正規化)
i. Let V_a = (x_(V_a) , y_(V_a)) =
(x_V /z_V^2, s * x_V / z_V^3) in (F_p)^2,
(x_v / z_v^2、s * x_v / z_v^3)in(f_p)^2、
resulting in a point V_a in E(F_p)
E(f_p)のポイントV_Aになります
(c) (Accumulation)
(c) (累積)
i. Let v_num = v_num * t_num
i. v_num = v_num * t_numとします
ii. Let v_den = v_den * t_den
ii。v_den = v_den * t_denとします
4. (Correction for the (s * 2^b) and (c) contributions)
4. ((s * 2^bの修正)および(c)貢献)
(a) Let v_num = v_num * EvalLine1(B, V_a, V_b) using Algorithm 3.4.3 (EvalLine1)
(a) アルゴリズム3.4.3(evalline1)を使用して、v_num = v_num * evalline1(b、v_a、v_b)
(b) Let v_den = v_den * EvalVertical1(B, V_a + V_b) using Algorithm 3.4.1 (EvalVertical1)
(c) If c = -1, then:
(c) c = -1の場合、次のとおりです。
i. Let v_den = v_den * EvalVertical1(B, A) using Algorithm 3.4.1 (EvalVertical1)
i. let v_den = v_den * evalvertical1(b、a)アルゴリズム3.4.1(evaltervertical1)を使用してください
5. (Correcting exponent)
5. (指数の修正)
(a) Let eta = (p^2 - 1) / q
6. (Final result)
6. (最終結果)
(a) Return (v_num / v_den)^eta
(a) return(v_num / v_den)^eta
This section describes a number of supporting algorithms for encoding and hashing.
このセクションでは、エンコードとハッシュのための多くのサポートアルゴリズムについて説明します。
HashToRange(s, n, hashfcn) takes a string s, an integer n, and a cryptographic hash function hashfcn as input and returns an integer in the range 0 to n - 1 by cryptographic hashing. The input n MUST be less than 2^(hashlen), where hashlen is the number of octets comprising the output of the hash function hashfcn. HashToRange is based on Merkle's method for hashing [MERKLE], which is provably as secure as the underlying hash function hashfcn.
Hashtorange(s、n、hashfcn)は、文字列s、整数n、および暗号化ハッシュ関数hashfcnを入力として採用し、暗号化により0からn -1の範囲0からn -1の整数を返します。入力nは2^(ハッシュレン)未満でなければなりません。ここで、ハッシュレンはハッシュ関数ハッシュFCNの出力を含むオクテットの数です。Hashtorangeは、[Merkle]をハッシュするためのMerkleの方法に基づいています。これは、基礎となるハッシュ関数Hashfcnと同じくらい安全です。
Algorithm 4.1.1 (HashToRange): cryptographically hashes strings to integers in a range.
アルゴリズム4.1.1(ハッシュトランジュ):範囲内の整数に暗号化された弦を挿入します。
Input:
入力:
o A string s of length |s| octets
o 長さの文字列s | s |オクテット
o A positive integer n represented as Ceiling(lg(n) / 8) octets.
o 天井(Lg(n) / 8)オクテットとして表される正の整数n。
o A cryptographic hash function hashfcn
o 暗号化ハッシュ関数Hashfcn
Output:
出力:
o A positive integer v in the range 0 to n - 1
o 0からn -1の範囲の正の整数V
Method:
方法:
1. Let hashlen be the number of octets comprising the output of hashfcn
1. Hashfcnの出力を含むオクテットの数をHashlenとする
2. Let v_0 = 0
2. V_0 = 0とします
3. Let h_0 = 0x00...00, a string of null octets with a length of hashlen
3. H_0 = 0x00 ... 00、ハッシュレンの長さのヌルオクテットの文字列
4. For i = 1 to 2, do:
4. i = 1〜2の場合、do:
(a) Let t_i = h_(i - 1) || s, which is the (|s| + hashlen)- octet string concatenation of the strings h_(i - 1) and s
(b) Let h_i = hashfcn(t_i), which is a hashlen-octet string resulting from the hash algorithm hashfcn on the input t_i
(b) let h_i = hashfcn(t_i)は、入力t_iのハッシュアルゴリズムhashfcnに起因するハッシュレンオクテット文字列です。
(c) Let a_i = Value(h_i) be the integer in the range 0 to 256^hashlen - 1 denoted by the raw octet string h_i interpreted in the unsigned big-endian convention
(c) a_i = value(h_i)を0〜256^hashlen -1の範囲の整数とします。
(d) Let v_i = 256^hashlen * v_(i - 1) + a_i
5. Let v = v_l (mod n)
5. v = v_l(mod n)とします
HashBytes(b, p, hashfcn) takes an integer b, a string p, and a cryptographic hash function hashfcn as input and returns a b-octet pseudo-random string r as output. The value of b MUST be less than or equal to the number of bytes in the output of hashfcn. HashBytes is based on Merkle's method for hashing [MERKLE], which is provably as secure as the underlying hash function hashfcn.
Hashbytes(B、P、HashFCN)は、整数B、文字列P、および暗号化ハッシュ関数HasHFCNを入力として採取し、B-OCTET擬似ランダム文字列rを出力として返します。Bの値は、HasHFCNの出力のバイト数以下でなければなりません。Hashbytesは、[Merkle]をハッシュするためのMerkleの方法に基づいています。これは、基礎となるハッシュ関数Hashfcnと同じくらい安全です。
Algorithm 4.2.1 (HashBytes): keyed cryptographic pseudo-random bytes generator.
アルゴリズム4.2.1(ハッシュバイト):キー付き暗号化擬似ランダムバイトジェネレーター。
Input:
入力:
o An integer b
o 整数b
o A string p
o 文字列p
o A cryptographic hash function hashfcn
o 暗号化ハッシュ関数Hashfcn
Output:
出力:
o A string r comprising b octets
o bオクテットを含む文字列r
Method:
方法:
1. Let hashlen be the number of octets comprising the output of hashfcn
1. Hashfcnの出力を含むオクテットの数をHashlenとする
2. Let K = hashfcn(p)
2. k = hashfcn(p)とします
3. Let h_0 = 0x00...00, a string of null octets with a length of hashlen
3. H_0 = 0x00 ... 00、ハッシュレンの長さのヌルオクテットの文字列
4. Let l = Ceiling(b / hashlen)
4. L =天井(b / hashlen)
5. For each i in 1 to l, do:
5. 1からlの各iについて、do:
(a) Let h_i = hashfcn(h_(i - 1))
(b) Let r_i = hashfcn(h_i || K), where h_i || K is the (2 * hashlen)-octet concatenation of h_i and K
(b) r_i = hashfcn(h_i || k)、ここでh_i ||kは(2 *ハシュレン)-octetのh_iとkの連結です
6. Let r = LeftmostOctets(b, r_1 || ... || r_l), i.e., r is formed as the concatenation of the r_i, truncated to the desired number of octets
6. r = left momptimeTets(b、r_1 || ... || r_l)、すなわち、rはr_iの連結として形成され、必要な数のオクテットに切り捨てられます
Canonical(p, k, o, v) takes an element v in F_p^k, and returns a canonical octet string of fixed length representing v. The parameter o MUST be either 0 or 1, and specifies the ordering of the encoding.
標準(p、k、o、v)はf_p^kに要素Vを取得し、vを表す固定長の標準的なオクテット文字列を返します。パラメーターoは0または1でなければならず、エンコードの順序を指定します。
Algorithm 4.3.1 (Canonical): encodes elements of an extension field F_p^2 as strings.
アルゴリズム4.3.1(正規):拡張フィールドF_P^2の要素を文字列としてエンコードします。
Input:
入力:
o An element v in F_p^2
o F_P^2の要素V
o A description of F_p^2
o f_p^2の説明
o An ordering parameter o, either 0 or 1
o 順序付けパラメーターo、0または1のいずれか
Output:
出力:
o A fixed-length string s representing v
o vを表す固定長文字列s
Method:
方法:
1. For a type-1 curve, execute Algorithm 4.3.2 (Canonical1)
1. タイプ-1曲線の場合、アルゴリズム4.3.2を実行します(canonical1)
Canonical1(p, o, v) takes an element v in F_p^2 and returns a canonical representation of v as an octet string s of fixed size. The parameter o MUST be either 0 or 1, and specifies the ordering of the encoding.
canonical1(p、o、v)は、f_p^2で要素Vを取得し、固定サイズのオクテット文字列としてvの標準表現を返します。パラメーターoは0または1のいずれかでなければならず、エンコードの順序付けを指定します。
Algorithm 4.3.2 (Canonical1): canonically represents elements of an extension field F_p^2.
アルゴリズム4.3.2(Canonical1):拡張フィールドF_P^2の要素をカノニックに表す。
Input:
入力:
o An element v in F_p^2
o F_P^2の要素V
o A description of p, where p is congruent to 3 modulo 4
o Pの説明。ここで、Pは3モジュロ4と一致します
o A ordering parameter o, either 0 or 1
o 順序付けパラメーターo、0または1のいずれか
Output:
出力:
o A string s of size 2 * Ceiling(lg(p) / 8) octets
o サイズ2 *天井(LG(P) / 8)オクテットの文字列
Method:
方法:
1. Let l = Ceiling(lg(p) / 8), the number of octets needed to represent integers in Z_p
1. L =天井(LG(P) / 8)、Z_Pの整数を表すために必要なオクテットの数を
2. Let v = a + b * i, where i^2 = -1
2. v = a b * iを、ここでi^2 = -1
3. Let a_(256^l) be the big-endian zero-padded fixed-length octet string representation of a in Z_p
3. A_(256^l)を、Z_PのAのAのBig-Endian Zero-Padded固定長弦表現とします
4. Let b_(256^l) be the big-endian zero-padded fixed-length octet string representation of b in Z_p
4. B_(256^l)を、Z_PのBのBのBig-Endian Zero-Padded固定長弦表現とします
5. Depending on the choice of ordering o:
5. 注文の選択に応じてO:
(a) If o = 0, then let s = a_(256^l) || b_(256^l), which is the concatenation of a_(256^l) followed by b_(256^l)
(b) If o = 1, then let s = b_(256^l) || a_(256^l), which is the concatenation of b_(256^l) followed by a_(256^l)
6. Return s
6. 戻り値
HashToPoint(E, p, q, id, hashfcn) takes an identity string id, the description of a subgroup of prime order q in E(F_p) or E(F_p^2), and a cryptographic hash function hashfcn and returns a point Q_id of order q in E(F_p) or E(F_p^2).
Hashtopoint(e、p、q、id、hashfcn)は、ID文字列ID、e(f_p)またはe(f_p^2)のプライムオーダーqのサブグループの説明、および暗号化ハッシュ関数hashfcnを取り、ポイントを返しますe(f_p)またはe(f_p^2)の注文qのq_id。
Algorithm 4.4.1 (HashToPoint): cryptographically hashes strings to points on elliptic curves.
アルゴリズム4.4.1(Hashtopoint):楕円曲線のポイントに暗号化された文字列をハッシュします。
Input:
入力:
o An elliptic curve E
o 楕円曲線e
o A prime p
o プライムp
o A prime q
o プライムQ
o A string id
o 文字列ID
o A cryptographic hash function hashfcn
o 暗号化ハッシュ関数Hashfcn
Output:
出力:
o A point Q_id = (x, y) of order q n E(F_p)
o 注文q n e(f_p)のポイントq_id =(x、y)
Method:
方法:
1. For a type-1 curve E, execute Algorithm 4.4.2 (HashToPoint1)
1. タイプ1曲線eの場合、アルゴリズム4.4.2(hashtopoint1)を実行します
HashToPoint1(p, q, id, hashfcn) takes an identity string id and the description of a subgroup of order q in E(F_p), where E: y^2 = x^3 + 1 with p congruent to 11 modulo 12, and returns a point Q_id of order q in E(F_p) that is calculated using the cryptographic hash function hashfcn. The parameters p, q and hashfcn MUST be part of a valid set of public parameters as defined in Section 5.1.2 or Section 6.1.2.
Hashtopoint1(P、Q、ID、Hashfcn)は、ID文字列IDとE(F_P)の順序Qのサブグループの説明を取得します。暗号化ハッシュ関数hashfcnを使用して計算されるe(f_p)の順序qのポイントq_idを返します。パラメーターp、q、およびhashfcnは、セクション5.1.2またはセクション6.1.2で定義されているように、有効なパブリックパラメーターの一部でなければなりません。
Algorithm 4.4.2 (HashToPoint1): cryptographically hashes strings to points on type-1 curves.
アルゴリズム4.4.2(hashtopoint1):暗号化された文字列をタイプ1曲線のポイントにハッシュします。
Input:
入力:
o A prime p
o プライムp
o A prime q
o プライムQ
o A string id
o 文字列ID
o A cryptographic hash function hashfcn
o 暗号化ハッシュ関数Hashfcn
Output:
出力:
o A point Q_id of order q in E(F_p)
o e(f_p)の注文qのポイントq_id
Method:
方法:
1. Let y = HashToRange(id, p, hashfcn), using Algorithm 4.1.1 (HashToRange), an element of F_p
1. y = hashtorange(id、p、hashfcn)を、f_pの要素であるアルゴリズム4.1.1(ハッシュトランジュ)を使用してください。
2. Let x = (y^2 - 1)^((2 * p - 1) / 3) modulo p, an element of F_p
2. x =(y^2-1)^((2 * p -1) / 3)modulo p、f_pの要素と
3. Let Q' = (x, y), a non-zero point in E(F_p)
3. q '=(x、y)、e(f_p)の非ゼロポイントとします
4. Let Q = [(p + 1) / q ]Q', a point of order q in E(F_p)
4. q = [(p 1) / q] q '、e(f_p)の注文qポイントq
Pairing(E, p, q, A, B) takes two points A and B, both of order q, and, in the type-1 case, returns the modified pairing e'(A, phi(B)) in F_p^2 where A and B are both in E(F_p).
ペアリング(e、p、q、a、b)は、次数qの両方で2つのポイントaとbを取得し、タイプ1の場合、f_p^の修正ペアリングe '(a、phi(b))を返します。2ここで、aとbは両方ともE(f_p)です。
Algorithm 4.5.1 (Pairing): computes the regular or modified Tate pairing depending on the curve type.
アルゴリズム4.5.1(ペアリング):曲線タイプに応じて、通常または修正されたテートペアリングを計算します。
Input:
入力:
o A description of an elliptic curve E/F_p such that E(F_p) and E(F_p^2) have a subgroup of order q
o e(f_p)とe(f_p^2)がqのサブグループがあるように、楕円曲線e/f_pの説明
o Two points A and B of order q in E(F_p) or E(F_p^2)
o e(f_p)またはe(f_p^2)の次数qの2つのポイントaとb
Output:
出力:
o On supersingular curves, the value of e'(A, B) in F_p^2 where A and B are both in E(F_p)
o 控えめな曲線では、f_p^2のe '(a、b)の値は、aとbが両方ともe(f_p)です。
Method:
方法:
1. If E is a type-1 curve, execute Algorithm 4.5.2 (Pairing1)
1. Eがタイプ1曲線の場合、アルゴリズム4.5.2を実行します(ペアリング1)
Algorithm 4.5.2 (Pairing1): computes the modified Tate pairing on type-1 curves. The values of p and q MUST be part of a valid set of public parameters as defined in Section 5.1.2 or Section 6.1.2.
アルゴリズム4.5.2(Pailing1):タイプ1曲線で修正されたテートペアリングを計算します。PとQの値は、セクション5.1.2またはセクション6.1.2で定義されている有効なパブリックパラメーターの一部でなければなりません。
Input:
入力:
o A curve E/F_p: y^2 = x^3 + 1 where p is congruent to 11 modulo 12 and E(F_p) has a subgroup of order q
o 曲線e/f_p:y^2 = x^3 1ここで、pは11測度12とe(f_p)に一致しますqのサブグループがあります
o Two points A and B of order q in E(F_p)
o e(f_p)の次数qの2つのポイントaとb
Output:
出力:
o The value of e'(A, B) = e(A, phi(B)) in F_p^2
o f_p^2のe '(a、b)= e(a、phi(b))の値
Method:
方法:
1. Compute B' = phi(B), as follows:
1. 次のように、b '= phi(b)を計算します。
(a) Let (x, y) in F_p x F_p be the coordinates of B in E(F_p)
(a) f_p x f_pの(x、y)とe(f_p)のbの座標とします
(b) Let zeta = (a_zeta , b_zeta), where a_zeta = (p - 1) / 2 and b_zeta = 3^((p + 1) / 4) (mod p), an element of F_p^2
(c) Let x' = x * zeta in F_p^2
(d) Let B' = (x', y) in F_p^2 x F_p
2. Compute the Tate pairing e(A, B') = e(A, phi(B)) in F_p^2 using the Miller method, as in Algorithm 3.5.1 (Tate) described in Section 3.5
2. セクション3.5で説明されているアルゴリズム3.5.1(TATE)のように、Millerメソッドを使用して、F_P^2のf_p^2でtateペアリングe(a、b ')= e(a、phi(b))を計算します。
PairingRatio(E, p, q, A, B, C, D) takes four points as input and computes the ratio of the two bilinear pairings, Pairing(E, p, q, A, B) / Pairing(E, p, q, C, D), or, equivalently, the product, Pairing(E, p, q, A, B) * Pairing(E, p, q, C, -D).
Pailingratio(E、P、Q、A、B、C、D)は入力として4つのポイントを獲得し、2つの双線形ペアリング、ペアリング(E、P、Q、A、B) /ペアリング(E、P、q、c、d)、または、同等に、製品、ペアリング(e、p、q、a、b) *ペアリング(e、p、q、c、-d)。
On type-1 curves, all four points are of order q in E(F_p), and the result is an element of order q in the extension field F_p^2 .
タイプ1曲線では、4つのポイントはすべてe(f_p)の順序qであり、結果は拡張フィールドF_p^2の順序qの要素です。
The motivation for this algorithm is that the ratio of two pairings can be calculated more efficiently than by computing each pairing separately and dividing one into the other, since certain calculations that would normally appear in each of the two pairings can be combined and carried out at once. Such calculations include the repeated doublings in steps 2(a)i, 2(a)ii, 3(a)i, and 3(a)ii of Algorithm 3.5.2 (TateMillerSolinas), as well as the final exponentiation in step 6(a) of Algorithm 3.5.2 (TateMillerSolinas).
このアルゴリズムの動機は、2つのペアリングを個別に計算して他方に分割するよりも効率的に2つのペアリングの比をより効率的に計算できることです。一度。このような計算には、手順2(a)I、2(a)II、3(a)i、および3(a)IIのアルゴリズム3.5.2(Tatemillersolinas)の繰り返しの倍増と、ステップ6の最終指数が含まれます。(a)アルゴリズム3.5.2(Tatemillersolinas)。
Algorithm 4.6.1 (PairingRatio): computes the ratio of two regular or modified Tate pairings depending on the curve type.
アルゴリズム4.6.1(Pailingratio):曲線タイプに応じて、2つの通常または修正されたテートペアリングの比を計算します。
Input:
入力:
o A description of an elliptic curve E/F_p such that E(F_p) and E(F_p^2) have a subgroup of order q
o e(f_p)とe(f_p^2)がqのサブグループがあるように、楕円曲線e/f_pの説明
o Four points A, B, C, and D, of order q in E(F_p) or E(F_p^2)
o E(f_p)またはE(f_p^2)のオーダーqの4つのポイントa、b、c、d、d
Output:
出力:
o On supersingular curves, the value of e'(A, B) / e'(C, D) in F_p^2 where A, B, C, D are all in E(F_p)
o 控えめな曲線では、f_p^2のe '(a、b) / e'(c、d)の値はすべてe(f_p)です。
Method:
方法:
1. If E is a type-1 curve, execute Algorithm 4.6.2 (PairingRatio1)
1. eがタイプ1曲線の場合、アルゴリズム4.6.2を実行します(ペアリングラティオ1)
Algorithm 4.6.2 (PairingRatio1): computes the ratio of two modified Tate pairings on type-1 curves. The values of p and q MUST be part of a valid set of public parameters as defined in Section 5.1.2 or Section 6.1.2.
アルゴリズム4.6.2(PailingRatio1):タイプ1曲線上の2つの修正されたTATEペアリングの比を計算します。PとQの値は、セクション5.1.2またはセクション6.1.2で定義されている有効なパブリックパラメーターの一部でなければなりません。
Input:
入力:
o A curve E/F_p: y^2 = x^3 + 1, where p is congruent to 11 modulo 12 and E(F_p) has a subgroup of order q
o 曲線e/f_p:y^2 = x^3 1、ここでpは11測度12とe(f_p)と一致しますqのサブグループがあります
o Four points A, B, C, and D of order q in E(F_p)
o E(f_p)の次数qの4つのポイントa、b、c、およびd
Output:
出力:
o The value of e'(A, B) / e'(C, D) = e(A, phi(B)) / e(C, phi(D)) = e(A, phi(B)) * e(-C, phi(D)), in F_p^2
o e '(a、b) / e'(c、d)= e(a、phi(b)) / e(c、phi(d))= e(a、phi(b)) * eの値(-c、phi(d))、f_p^2
Method:
方法:
1. The step-by-step description of the optimized algorithm is omitted in this normative specification
1. 最適化されたアルゴリズムの段階的な説明は、この規範的仕様で省略されています
The correct result can always be obtained, although more slowly, by computing the product of pairings Pairing1(E, p, q, A, B) * Pairing1(E, p, q, -C, D) by using two invocations of Algorithm 4.5.2 (Pairing1).
ペアリングペアリング1(e、p、q、a、b) *ペアリング1(e、p、q、-c、d)の積を計算することにより、よりゆっくりと正しい結果を得ることができますが、アルゴリズムの2つの呼び出しを使用してペアリング1(e、p、q、-c、d)を計算できます。4.5.2(ペアリング1)。
This chapter describes the algorithms constituting the Boneh-Franklin identity-based cryptosystem as described in [BF].
この章では、[BF]で説明されているように、骨 - フランクリンのアイデンティティベースの暗号システムを構成するアルゴリズムについて説明します。
Algorithm 5.1.1 (BFsetup): randomly selects a master secret and the associated public parameters.
アルゴリズム5.1.1(bfsetup):マスターシークレットと関連するパブリックパラメーターをランダムに選択します。
Input:
入力:
o An integer version number
o 整数バージョン番号
o A security parameter n (MUST take values either 1024, 2048, 3072, 7680, 15360)
o セキュリティパラメーターn(1024、2048、3072、7680、15360のいずれかを取得する必要があります)
Output:
出力:
o A set of public parameters (version, E, p, q, P, P_pub, hashfcn)
o パブリックパラメーターのセット(バージョン、E、P、Q、P、P_Pub、Hashfcn)
o A corresponding master secret s
o 対応するマスターシークレットs
Method:
方法:
1. Depending on the selected type t:
1. 選択したタイプtに応じて:
(a) If version = 2, then execute Algorithm 5.1.2 (BFsetup1)
(a) バージョン= 2の場合、アルゴリズム5.1.2(bfsetup1)を実行します
2. The resulting master secret and public parameters are separately encoded as per the application protocol requirements
2. 結果のマスターシークレットとパブリックパラメーターは、アプリケーションプロトコル要件に従って個別にエンコードされます
BFsetup1 takes a security parameter n as input. For type-1 curves, the scale of n corresponds to the modulus bit-size believed [BF] of comparable security in the classical Diffie-Hellman or RSA public-key cryptosystems.
bfsetup1は、セキュリティパラメーターnを入力として取得します。タイプ1曲線の場合、Nのスケールは、古典的なDiffie-HellmanまたはRSA Public-Key Cryptosystemsの同等のセキュリティの[BF]と信じられているモジュラスビットサイズに対応しています。
Algorithm 5.1.2 (BFsetup1): establishes a master secret and public parameters for type-1 curves.
アルゴリズム5.1.2(bfsetup1):タイプ1曲線のマスターシークレットとパブリックパラメーターを確立します。
Input:
入力:
o A security parameter n, which MUST be either 1024, 2048, 3072, 7680 or 15360
o 1024、2048、3072、7680、または15360でなければならないセキュリティパラメーターn
Output:
出力:
o A set of common public parameters (version, p, q, P, Ppub, hashfcn)
o 共通のパブリックパラメーターのセット(バージョン、p、q、p、ppub、hashfcn)
o A corresponding master secret s
o 対応するマスターシークレットs
Method:
方法:
1. Set the version to version = 2.
1. バージョンをバージョン= 2に設定します。
2. Determine the subordinate security parameters n_p and n_q as follows:
2. 次のように、下位のセキュリティパラメーターN_PおよびN_Qを決定します。
(a) If n = 1024, then let n_p = 512, n_q = 160, hashfcn = 1.3.14.3.2.26 (SHA-1 [SHA]
(b) If n = 2048, then let n_p = 1024, n_q = 224, hashfcn = 2.16.840.1.101.3.4.2.4 (SHA-224 [SHA])
(c) If n = 3072, then let n_p = 1536, n_q = 256, hashfcn = 2.16.840.1.101.3.4.2.1 (SHA-256 [SHA])
(d) If n = 7680, then let n_p = 3840, n_q = 384, hashfcn = 2.16.840.1.101.3.4.2.2 (SHA-384 [SHA])
(e) If n = 15360, then let n_p = 7680, n_q = 512, hashfcn = 2.16.840.1.101.3.4.2.3 (SHA-512 [SHA])
3. Construct the elliptic curve and its subgroup of interest, as follows:
3. 次のように、楕円曲線と関心のあるサブグループを構築します。
(a) Select an arbitrary n_q-bit Solinas prime q
(a) 任意のn_q-bit solinas prime qを選択しますq
(b) Select a random integer r such that p = 12 * r * q - 1 is an n_p-bit prime
4. Select a point P of order q in E(F_p), as follows:
4. 次のように、e(f_p)の順序qのポイントpを選択します。
(a) Select a random point P' of coordinates (x', y') on the curve E/F_p: y^2 = x^3 + 1 (mod p)
(b) Let P = [12 * r]P'
(c) If P = 0, then start over in step 3a
(c) p = 0の場合、ステップ3aでやり直します
5. Determine the master secret and the public parameters as follows:
5. 次のように、マスターシークレットとパブリックパラメーターを決定します。
(a) Select a random integer s in the range 2 to q - 1
(a) 範囲2からQ -1のランダム整数を選択します
(b) Let P_pub = [s]P
6. (version, E, p, q, P, P_pub) are the public parameters where E: y^2 = x^3 + 1 is represented by the OID 2.16.840.1.114334.1.1.1.1.
6. (バージョン、e、p、q、p、p_pub)は、e:y^2 = x^3 1がOID 2.16.840.1.114334.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.
7. The integer s is the master secret
7. 整数はマスターシークレットです
BFderivePubl takes an identity string id and a set of public parameters, and it returns a point Q_id. The public parameters used MUST be a valid set of public parameters as defined by Section 5.1.2.
bfderivePublは、ID文字列IDとパブリックパラメーターのセットを取得し、ポイントQ_IDを返します。使用される公開パラメーターは、セクション5.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 5.2.1 (BFderivePubl): derives the public key corresponding to an identity string.
アルゴリズム5.2.1(bfderivepubl):ID文字列に対応する公開キーを導出します。
Input:
入力:
o An identity string id
o ID文字列ID
o A set of public parameters (version, E, p, q, P, P_pub, hashfcn)
o パブリックパラメーターのセット(バージョン、E、P、Q、P、P_Pub、Hashfcn)
Output:
出力:
o A point Q_id of order q in E(F_p) or E(F_p^2)
o e(f_p)またはe(f_p^2)の注文qのポイントq_id
Method:
方法:
1. Q_id = HashToPoint(E, p, q, id, hashfcn), using Algorithm 4.4.1 (HashToPoint)
1. q_id = hashtopoint(e、p、q、id、hashfcn)、アルゴリズム4.4.1(hashtopoint)を使用して
BFextractPriv takes an identity string id, a set of public parameters, and corresponding master secret, and it returns a point S_id. The public parameters used MUST be a valid set of public parameters as defined by Section 5.1.2.
bfextractPrivは、ID文字列ID、パブリックパラメーターのセット、および対応するマスターシークレットを取得し、ポイントs_idを返します。使用される公開パラメーターは、セクション5.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 5.3.1 (BFextractPriv): extracts the private key corresponding to an identity string.
アルゴリズム5.3.1(bfextractPriv):ID文字列に対応する秘密鍵を抽出します。
Input:
入力:
o An identity string id
o ID文字列ID
o A set of public parameters (version, E, p, q, P, P_pub, hashfcn)
o パブリックパラメーターのセット(バージョン、E、P、Q、P、P_Pub、Hashfcn)
Output:
出力:
o A point S_id of order q in E(F_p)
o e(f_p)の注文qのポイントs_id
Method:
方法:
1. Let Q_id = HashToPoint(E, p, q, id, hashfcn) using Algorithm 4.4.1 (HashToPoint)
1. アルゴリズム4.4.1(Hashtopoint)を使用して、q_id = hashtopoint(e、p、q、id、hashfcn)
2. Let S_id = [s]Q_id
2. s_id = [s] q_idとします
BFencrypt takes three inputs: a public parameter block, an identity id, and a plaintext m. The plaintext MUST be a random symmetric session key. The public parameters used MUST be a valid set of public parameters as defined by Section 5.1.2.
BFENCRYPTは、publicパラメーターブロック、ID ID、およびプレーンテキストmの3つの入力を取得します。プレーンテキストは、ランダムな対称セッションキーでなければなりません。使用される公開パラメーターは、セクション5.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 5.4.1 (BFencrypt): encrypts a random session key for an identity string.
アルゴリズム5.4.1(BFENCRYPT):ID文字列のランダムセッションキーを暗号化します。
Input:
入力:
o A plaintext string m of size |m| octets
o サイズ| m |のプレーンテキスト文字列mオクテット
o A recipient identity string id
o 受信者ID文字列ID
o A set of public parameters (version, E, p, q, P, P_pub, hashfcn)
o パブリックパラメーターのセット(バージョン、E、P、Q、P、P_Pub、Hashfcn)
Output:
出力:
o A ciphertext tuple (U, V, W) in E(F_p) x {0, ... , 255}^hashlen x {0, ... , 255}^|m|
o e(f_p)x {0、...、255}^hashlen x {0、...、255}^| | m |
Method:
方法:
1. Let hashlen be the length of the output of the cryptographic hash function hashfcn from the public parameters.
1. ハッシュレンを、パブリックパラメーターから暗号化ハッシュ関数ハッシュフクンの出力の長さとします。
2. Q_id = HashToPoint(E, p, q, id, hashfcn), using Algorithm 4.4.1 (HashToPoint), which results in a point of order q in E(F_p)
2. q_id = hashtopoint(e、p、q、q、id、hashfcn)、アルゴリズム4.4.1(hashtopoint)を使用します。
3. Select a random hashlen-bit vector rho, represented as (hashlen / 8)-octet string in big-endian convention
3. ビッグエンディアンコンベンションで(ハッシュレン / 8)-OCTET文字列として表されるランダムハッシュビットベクトルRhoを選択します
4. Let t = hashfcn(m), a hashlen-octet string resulting from applying the hashfcn algorithm to the input m
4. Hashfcnアルゴリズムを入力mに適用した結果、t = hashfcn(m)とします。
5. Let l = HashToRange(rho || t, q, hashfcn), an integer in the range 0 to q - 1 resulting from applying Algorithm 4.1.1 (HashToRange) to the (2 * hashlen)-octet concatenation of rho and t
5. l = hashtorange(rho || t、q、hashfcn)、アルゴリズム4.1.1(ハッシュトランジュ)を(2 *ハシュレン)-octet連合に適用した結果、q -1の範囲0からq -1の整数とします。
6. Let U = [l]P, which is a point of order q in E(F_p)
6. e(f_p)の順序qであるu = [l] pとしましょう
7. Let theta = Pairing(E, p, q, P_pub, Q_id), which is an element of the extension field F_p^2 obtained using the modified Tate pairing of Algorithm 4.5.1 (Pairing)
7. let theta = pailing(e、p、q、p_pub、q_id)。これは、アルゴリズム4.5.1(ペアリング)の変更されたテートペアリングを使用して取得された拡張フィールドf_p^2の要素であるf_p^2の要素です。
8. Let theta' = theta^l, which is theta raised to the power of l in F_p^2
8. let theta '= theta^l、これはf_p^2でlの力に掲げられています
9. Let z = Canonical(p, k, 0, theta'), using Algorithm 4.3.1 (Canonical), the result of which is a canonical string representation of theta'
9. z = canonical(p、k、0、theta ')、アルゴリズム4.3.1(標準)を使用して、その結果は標準的な文字列表現です。
10. Let w = hashfcn(z) using the hashfcn hashing algorithm, the result of which is a hashlen-octet string
10. hashfcnハッシュアルゴリズムを使用してw = hashfcn(z)とします。その結果はハッシュレンオクテット文字列です
11. Let V = w XOR rho, which is the hashlen-octet long bit-wise XOR of w and rho
11. v = w xor rhoとします。
12. Let W = HashBytes(|m|, rho, hashfcn) XOR m, which is the bit-wise XOR of m with the first |m| octets of the pseudo-random bytes produced by Algorithm 4.2.1 (HashBytes) with seed rho
12. w = hashbytes(| m |、rho、hashfcn)xor m、これは最初の| m |のビットごとのxorです。アルゴリズム4.2.1(ハッシュバイト)によって生成された擬似ランダムバイトのオクテット(ハッシュバイト)
13. The ciphertext is the triple (U, V, W)
13. 暗号文はトリプル(u、v、w)です
BFdecrypt takes three inputs: a public parameter block, a private key block key, and a ciphertext parsed as (U', V', W'). The public parameters used MUST be a valid set of public parameters as defined by Section 5.1.2.
BFDECRYPTは、パブリックパラメーターブロック、秘密キーブロックキー、および(u '、v'、w ')として解析された暗号文の3つの入力を取ります。使用される公開パラメーターは、セクション5.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 5.5.1 (BFdecrypt): decrypts an encrypted session key using a private key.
アルゴリズム5.5.1(BFDECRYPT):秘密鍵を使用して暗号化されたセッションキーを復号化します。
Input:
入力:
o A private key point S_id of order q in E(F_p)
o e(f_p)の注文qの秘密キーポイントs_id
o A ciphertext triple (U, V, W) in E(F_p) x {0, ... , 255}^hashlen x {0, ... , 255}*
o e(f_p)x {0、...、255}^hashlen x {0、...、255}のciphertextトリプル(u、v、w)x {0、...、255}*
o A set of public parameters (version, E, p, q, P, P_pub, hashfcn)
o パブリックパラメーターのセット(バージョン、E、P、Q、P、P_Pub、Hashfcn)
Output:
出力:
o A decrypted plaintext m, or an invalid ciphertext flag Method:
o 復号化されたプレーンテキストM、または無効な暗号形フラグメソッド:
1. Let hashlen be the length of the output of the hash function hashlen measured in octets
1. ハッシュレンをハッシュ関数の出力の長さとして、ハッシュレンをオクテットで測定します
2. Let theta = Pairing(E, p ,q, U, S_id) by applying the modified Tate pairing of Algorithm 4.5.1 (Pairing)
2. アルゴリズム4.5.1(ペアリング)の修正されたテートペアリングを適用して、theta =ペアリング(e、p、q、q、u、s_id)とします
3. Let z = Canonical(p, k, 0, theta) using Algorithm 4.3.1 (Canonical), the result of which is a canonical string representation of theta
3. z = canonical(p、k、0、theta)をアルゴリズム4.3.1(標準)を使用して、その結果はシータの標準文字列表現です
4. Let w = hashfcn(z) using the hashfcn hashing algorithm, the result of which is a hashlen-octet string
4. hashfcnハッシュアルゴリズムを使用してw = hashfcn(z)とします。その結果はハッシュレンオクテット文字列です
5. Let rho = w XOR V, the bit-wise XOR of w and V
5. wとvのビットワイズxor、rho = w xor vと
6. Let m = HashBytes(|W|, rho, hashfcn) XOR W, which is the bit-wise XOR of m with the first |W| octets of the pseudo-random bytes produced by Algorithm 4.2.1 (HashBytes) with seed rho
6. m = hashbytes(| w |、rho、hashfcn)xor wとします。アルゴリズム4.2.1(ハッシュバイト)によって生成された擬似ランダムバイトのオクテット(ハッシュバイト)
7. Let t = hashfcn(m) using the hashfcn algorithm
7. Hashfcnアルゴリズムを使用してt = hashfcn(m)とします
8. Let l = HashToRange(rho || t, q, hashfcn) using Algorithm 4.1.1 (HashToRange) on the (2 * hashlen)-octet concatenation of rho and t
8. l = hashtorange(rho || t、q、hashfcn)とします。
9. Verify that U = [l]P:
9. u = [l] p:
(a) If this is the case, then the decrypted plaintext m is returned
(a) この場合、復号化されたプレーンテキストMが返されます
(b) Otherwise, the ciphertext is rejected and no plaintext is returned
(b) それ以外の場合、ciphertextが拒否され、平文は返されません
This section describes the algorithms constituting the first of the two Boneh-Boyen identity-based cryptosystems proposed in [BB1]. The description follows the practical implementation given in [BB1].
このセクションでは、[BB1]で提案されている2つのBoneh-Boyenのアイデンティティベースの暗号システムの最初を構成するアルゴリズムについて説明します。説明は、[BB1]で与えられた実際の実装に従います。
Algorithm 6.1.1 (BBsetup). Randomly selects a set of master secrets and the associated public parameters.
アルゴリズム6.1.1(bbsetup)。マスターシークレットのセットと関連するパブリックパラメーターをランダムに選択します。
Input:
入力:
o An integer version number
o 整数バージョン番号
o An integer security parameter n (MUST take values either 1024, 2048, 3072, 7680, or 15360)
o 整数セキュリティパラメーターn(1024、2048、3072、7680、または15360のいずれかを取得する必要があります)
Output:
出力:
o A set of public parameters
o パブリックパラメーターのセット
o A corresponding master secret
o 対応するマスターシークレット
Method:
方法:
1. Depending on the version:
1. バージョンに応じて:
(a) If version = 2, then execute Algorithm 6.1.2 (BBsetup1)
(a) バージョン= 2の場合、アルゴリズム6.1.2(bbsetup1)を実行します
BBsetup1 takes a security parameter n as input. For type-1 curves, n corresponds to the modulus bit-size believed [BF] of comparable security in the classical Diffie-Hellman or RSA public-key cryptosystems. For this implementation, n MUST be one of 1024, 2048, 3072, 7680 or 15360, which correspond to the equivalent bit security levels of 80, 112, 128, 192 and 256 bits respectively.
bbsetup1は、セキュリティパラメーターnを入力として取得します。タイプ1曲線の場合、Nは、古典的なDiffie-HellmanまたはRSA Public-Key Cryptosystemsの同等のセキュリティの[BF]と信じられている弾性ビットサイズに対応しています。この実装では、Nは、それぞれ80、112、128、192、および256ビットの同等のビットセキュリティレベルに対応する1024、2048、3072、7680、または15360のいずれかでなければなりません。
Algorithm 6.1.2 (BBsetup1): randomly establishes a master secret and public parameters for type-1 curves.
アルゴリズム6.1.2(bbsetup1):タイプ1曲線のマスターシークレットとパブリックパラメーターをランダムに確立します。
Input:
入力:
o A security parameter n, either 1024, 2048, 3072, 7680, or 15360
o セキュリティパラメーターn、1024、2048、3072、7680、または15360
Output:
出力:
o A set of public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn)
o パブリックパラメーターのセット(バージョン、K、E、P、Q、P、P_1、P_2、P_3、V、HashFCN)
o A corresponding triple of master secrets (alpha, beta, gamma)
o マスターシークレットの対応するトリプル(アルファ、ベータ、ガンマ)
Method:
方法:
1. Determine the subordinate security parameters n_p and n_q as follows: (a) If n = 1024, then let n_p = 512, n_q = 160, hashfcn = 1.3.14.3.2.26 (SHA-1 [SHA]
1. 次のように、下位のセキュリティパラメーターN_PおよびN_Qを決定します。(a)n = 1024の場合、N_P = 512、N_Q = 160、HashFCN = 1.3.14.3.2.26(SHA-1 [SHA]
(b) If n = 2048, then let n_p = 1024, n_q = 224, hashfcn = 2.16.840.1.101.3.4.2.4 (SHA-224 [SHA])
(c) If n = 3072, then let n_p = 1536, n_q = 256, hashfcn = 2.16.840.1.101.3.4.2.1 (SHA-256 [SHA])
(d) If n = 7680, then let n_p = 3840, n_q = 384, hashfcn = 2.16.840.1.101.3.4.2.2 (SHA-384 [SHA])
(e) If n = 15360, then let n_p = 7680, n_q = 512, hashfcn = 2.16.840.1.101.3.4.2.3 (SHA-512 [SHA])
2. Construct the elliptic curve and its subgroup of interest as follows:
2. 次のように、楕円曲線と関心のあるサブグループを構築します。
(a) Select a random n_q-bit Solinas prime q
(a) ランダムN_QビットソリナプライムQを選択します
(b) Select a random integer r, such that p = 12 * r * q - 1 is an n_p-bit prime
3. Select a point P of order q in E(F_p), as follows:
3. 次のように、e(f_p)の順序qのポイントpを選択します。
(a) Select a random point P' of coordinates (x', y') on the curve E/F_p: y^2 = x^3 + 1 (mod p)
(b) Let P = [12 * r]P'
(c) If P = 0, then start over in step 3a
(c) p = 0の場合、ステップ3aでやり直します
4. Determine the master secret and the public parameters as follows:
4. 次のように、マスターシークレットとパブリックパラメーターを決定します。
(a) Select three random integers alpha, beta, gamma, each of them in the range 1 to q - 1
(a) 3つのランダムな整数アルファ、ベータ、ガンマを選択します。
(b) Let P_1 = [alpha]P
(c) Let P_2 = [beta]P
(d) Let P_3 = [gamma]P
(e) Let v = Pairing(E, p, q, P_1, P_2), which is an element of the extension field F_p^2 obtained using the modified Tate pairing of Algorithm 4.5.1 (Pairing)
(e) v =ペアリング(e、p、q、p_1、p_2)は、アルゴリズム4.5.1(ペアリング)の変更されたテートペアリングを使用して取得した拡張フィールドf_p^2の要素です。
5. (version, E, p, q, P, P_1, P_2, P_3, v, hashfcn) are the public parameters
5. (バージョン、e、p、q、p、p_1、p_2、p_3、v、hashfcn)はパブリックパラメーターです
6. (alpha, beta, gamma) constitute the master secret
6. (アルファ、ベータ、ガンマ)マスターシークレットを構成する
Takes an identity string id and a set of public parameters and returns an integer h_id. The public parameters used MUST be a valid set of public parameters as defined by Section 6.1.2.
ID文字列IDとパブリックパラメーターのセットを取得し、整数H_IDを返します。使用される公開パラメーターは、セクション6.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 6.2.1 (BBderivePubl): derives the public key corresponding to an identity string. The public parameters used MUST be a valid set of public parameters as defined by Section 6.1.2.
アルゴリズム6.2.1(bbderivepubl):ID文字列に対応する公開キーを導出します。使用される公開パラメーターは、セクション6.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Input:
入力:
o An identity string id
o ID文字列ID
o A set of common public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn)
o 共通のパブリックパラメーターのセット(バージョン、k、e、p、q、p、p_1、p_2、p_3、v、hashfcn)
Output:
出力:
o An integer h_id modulo q
o 整数H_IDモジュロQ
Method:
方法:
1. Let h_id = HashToRange(id, q, hashfcn), using Algorithm 4.1.1 (HashToRange)
1. h_id = hashtorange(id、q、hashfcn)、アルゴリズム4.1.1(ハッシュトランジュ)を使用してください
BBextractPriv takes an identity string id, a set of public parameters, and corresponding master secrets, and it returns a private key consisting of two points D_0 and D_1. The public parameters used MUST be a valid set of public parameters as defined by Section 6.1.2.
BbextractPrivは、ID文字列ID、パブリックパラメーターのセット、および対応するマスターシークレットを取得し、D_0とD_1の2つのポイントで構成される秘密鍵を返します。使用される公開パラメーターは、セクション6.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 6.3.1 (BBextractPriv): extracts the private key corresponding to an identity string.
アルゴリズム6.3.1(bbextractPriv):ID文字列に対応する秘密鍵を抽出します。
Input:
入力:
o An identity string id
o ID文字列ID
o A set of public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn)
o パブリックパラメーターのセット(バージョン、K、E、P、Q、P、P_1、P_2、P_3、V、HashFCN)
Output:
出力:
o A pair of points (D_0, D_1), each of which has order q in E(F_p)
o 一対のポイント(d_ 0、d_ 1)、それぞれがe(f_p)にqを注文しています
Method:
方法:
1. Select a random integer r in the range 1 to q - 1
1. 範囲1からQ -1のランダム整数Rを選択します
2. Calculate the point D_0 as follows:
2. 次のようにポイントd_0を計算します。
(a) Let hid = HashToRange(id, q, hashfcn) using Algorithm 4.1.1 (HashToRange)
(a) アルゴリズム4.1.1(ハッシュトランジュ)を使用して、hid = hashtorange(id、q、hashfcn)
(b) Let y = alpha * beta + r * (alpha * h_id + gamma) in F_q
(c) Let D_0 = [y]P
3. Calculate the point D_1 as follows:
3. 次のようにポイントd_1を計算します。
(a) Let D_1 = [r]P
4. The pair of points (D_0, D_1) constitutes the private key for id
4. ポイントのペア(D_0、D_1)はIDの秘密鍵を構成します
BBencrypt takes three inputs: a set of public parameters, an identity id, and a plaintext m. The plaintext MUST be a random session key. The public parameters used MUST be a valid set of public parameters as defined by Section 6.1.2.
BbenCryptは、パブリックパラメーターのセット、ID ID、およびプレーンテキストmの3つの入力を取得します。平文はランダムなセッションキーでなければなりません。使用される公開パラメーターは、セクション6.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 6.4.1 (BBencrypt): encrypts a session key for an identity string.
アルゴリズム6.4.1(BBENCRYPT):ID文字列のセッションキーを暗号化します。
Input:
入力:
o A plaintext string m of size |m| octets
o サイズ| m |のプレーンテキスト文字列mオクテット
o A recipient identity string id o A set of public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn)
o 受信者ID文字列ID oパブリックパラメーターのセット(バージョン、K、E、P、Q、P、P_1、P_2、P_3、V、Hashfcn)
Output:
出力:
o A ciphertext tuple (u, C_0, C_1, y) in F_q x E(F_p) x E(F_p) x {0, ... , 255}^|m|
o f_q x e(f_p)x e(f_p)x {0、...、255}^| m | f_q x e(f_p)x e(f_p)x e(f_p、c_0、c_1、y)の暗号文(u、c_0、c_1、y)
Method:
方法:
1. Select a random integer s in the range 1 to q - 1
1. 範囲1からQ -1のランダム整数を選択します
2. Let w = v^s, which is v raised to the power of s in F_p^2, the result is an element of order q in F_p^2
2. w = v^sとします。これは、f_p^2のsのパワーに上げられるvで、結果はf_p^2の順序qの要素です。
3. Calculate the point C_0 as follows:
3. 次のようにポイントC_0を計算します。
(a) Let C_0 = [s]P
4. Calculate the point C_1 as follows:
4. 次のようにポイントC_1を計算します。
(a) Let _hid = HashToRange(id, q, hashfcn) using Algorithm 4.1.1 (HashToRange)
(a) アルゴリズム4.1.1(ハッシュトランジュ)を使用して、_hid = hashtorange(id、q、hashfcn)とします
(b) Let y = s * h_id in F_q
(b) f_qでy = s * h_idとします
(c) Let C_1 = [y]P_1 + [s]P_3
5. Obtain canonical string representations of certain elements:
5. 特定の要素の標準文字列表現を取得します。
(a) Let psi = Canonical(p, k, 1, w) using Algorithm 4.3.1 (Canonical), the result of which is a canonical octet string representation of w
(a) アルゴリズム4.3.1(標準)を使用してpsi = canonical(p、k、1、w)とします。
(b) Let l = Ceiling(lg(p) / 8), the number of octets needed to represent integers in F_p, and represent each of these F_p elements as a big-endian zero-padded octet string of fixed length l:
(b) L =天井(LG(P) / 8)、F_Pの整数を表すために必要なオクテットの数を、これらのF_P要素のそれぞれを、固定長の大規模なゼロパッドのオクテット文字列として表します。
(x_0)_(256^l) to represent the x coordinate of C_0
(x_0)_(256^l)c_0のx座標を表す
(y_0)_(256^l) to represent the y coordinate of C_0
(y_0)_(256^l)c_0のy座標を表す
(x_1)_(256^l) to represent the x coordinate of C_1
(x_1)_(256^l)c_1のx座標を表す
(y_1)_(256^l) to represent the y coordinate of C_1
(y_1)_(256^l)c_1のy座標を表す
6. Encrypt the message m into the string y as follows:
6. 次のように、メッセージmを文字列yに暗号化します。
(a) Compute an encryption key h_0 as a two-pass hash of w via its representation psi:
(a) 暗号化キーH_0を表現PSIを介してWの2パスハッシュとして計算します。
i. Let zeta = hashfcn(psi) using the hashing algorithm hashfcn
i. ハッシュアルゴリズムhashfcnを使用してzeta = hashfcn(psi)とします
ii. Let xi = hashfcn(zeta || psi) using the hashing algorithm hashfcn
ii。ハッシュアルゴリズムhashfcnを使用してxi = hashfcn(zeta || psi)とします
iii. Let h' = xi || zeta, the concatenation of the previous two hashfcn outputs
iii。h '= xi ||としますZeta、前の2つのHasHFCN出力の連結
(b) Let y = HashBytes(|m|, h', hashfcn) XOR m, which is the bit-wise XOR of m with the first |m| octets of the pseudo-random bytes produced by Algorithm 4.2.1 (HashBytes) with seed h'
(b) y = hashbytes(| m |、h '、hashfcn)xor mを、これは最初の| m |のビットワイズxorです。アルゴリズム4.2.1(ハッシュバイト)によって生成された擬似ランダムバイトのオクテットH '
7. Create the integrity check tag u as follows:
7. 整合性チェックタグuを次のように作成します。
(a) Compute a one-time pad h'' as a dual-pass hash of the representation of (w, C_0, C_1, y):
(a) (w、c_0、c_1、y)の表現のデュアルパスハッシュとして、1回限りのパッドH ''を計算します。
i. Let sigma = (y_1)_(256^l) || (x_1)_(256^l) || (y_0)_(256^l) || (x_0)_(256^l) || y || psi be the concatenation of y and the five indicated strings in the specified order
ii. Let eta = hashfcn(sigma) using the hashing algorithm hashfcn
ii。ハッシュアルゴリズムhashfcnを使用して、eta = hashfcn(sigma)
iii. Let mu = hashfcn(eta || sigma) using the hashfcn hashing algorithm
iii。Hashfcnハッシュアルゴリズムを使用して、Mu = Hashfcn(ETA || SIGMA)とします
iv. Let h'' = mu || eta, the concatenation of the previous two outputs of hashfcn
IV。let h '' = mu ||ETA、Hashfcnの前の2つの出力の連結
(b) Build the tag u as the encryption of the integer s with the one-time pad h'':
(b) タグUを1回限りのパッドH ''で整数の暗号化として構築します。
i. Let rho = HashToRange(h'', q, hashfcn) to get an integer in Z_q
i. rho = hashtorange(h ''、q、hashfcn)をz_qで整数を取得します
ii. Let u = s + rho (mod q)
ii。u = s rho(mod q)
8. The complete ciphertext is given by the quadruple (u, C_0, C_1, y)
8. 完全な暗号文は四重層によって与えられます(u、c_0、c_1、y)
BBdecrypt takes three inputs: a set of public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn), a private key (D_0, D_1), and a ciphertext (u, C_0, C_1, y). It outputs a message m, or signals an error if the ciphertext is invalid for the given key. The public parameters used MUST be a valid set of public parameters as defined by Section 6.1.2.
BBDECRYPTには、パブリックパラメーターのセット(バージョン、K、E、P、Q、Q、P、P_1、P_2、P_3、V、HasHFCN)、秘密鍵(D_0、D_1)、およびcifhertext(u、c_00)の3つの入力が必要です。、c_1、y)。メッセージmを出力するか、特定のキーに対して暗号文が無効である場合、エラーを信号します。使用される公開パラメーターは、セクション6.1.2で定義されている有効な公開パラメーターのセットでなければなりません。
Algorithm 6.5.1 (BBdecrypt): decrypts a ciphertext using public parameters and a private key.
アルゴリズム6.5.1(bbdecrypt):パブリックパラメーターと秘密鍵を使用して暗号文を復号化します。
Input:
入力:
o A private key given as a pair of points (D_0, D_1) of order q in E(F_p)
o e(f_p)の注文qの一対のポイント(d_0、d_1)として与えられた秘密鍵
o A ciphertext quadruple (u, C_0, C_1, y) in Z_q x E(F_p) x E(F_p) x {0, ... , 255}*
o z_q x e(f_p)x e(f_p)x {0、...、255}の暗号文(u、c_0、c_1、y)
o A set of public parameters (version, k, E, p, q, P, P_1, P_2, P_3, v, hashfcn)
o パブリックパラメーターのセット(バージョン、K、E、P、Q、P、P_1、P_2、P_3、V、HashFCN)
Output:
出力:
o A decrypted plaintext m, or an invalid ciphertext flag
o 復号化されたプレーンテキストM、または無効な暗号形フラグ
Method:
方法:
1. Let w = PairingRatio(E, p, q, C_0, D_0, C_1, D_1), which computes the ratio of two Tate pairings (modified, for type-1 curves) as specified in Algorithm 4.6.1 (PairingRatio)
1. w = pailingratio(e、p、q、q、c_0、d_0、c_1、d_1)を、アルゴリズム4.6.1(ペアリングラティオ)で指定されている2つのテートペアリング(タイプ1曲線の変更)の比を計算します。
2. Obtain canonical string representations of certain elements:
2. 特定の要素の標準文字列表現を取得します。
(a) Let psi = Canonical(p, k, 1, w) using Algorithm 4.3.1 (Canonical); the result is a canonical octet string representation of w
(a) アルゴリズム4.3.1(canonical)を使用して、psi = canonical(p、k、1、w)を使用します。結果は、wの標準的なオクテット文字列表現です
(b) Let l = Ceiling(lg(p) / 8), the number of octets needed to represent integers in F_p, and represent each of these F_p elements as a big-endian zero-padded octet string of fixed length l:
(b) L =天井(LG(P) / 8)、F_Pの整数を表すために必要なオクテットの数を、これらのF_P要素のそれぞれを、固定長の大規模なゼロパッドのオクテット文字列として表します。
(x_0)_(256^l) to represent the x coordinate of C_0 (y_0)_(256^l) to represent the y coordinate of C_0
(x_1)_(256^l) to represent the x coordinate of C_1
(x_1)_(256^l)c_1のx座標を表す
(y_1)_(256^l) to represent the y coordinate of C_1
(y_1)_(256^l)c_1のy座標を表す
3. Decrypt the message m from the string y as follows:
3. 次のように、文字列yからメッセージmを復号化します。
(a) Compute the decryption key h' as a dual-pass hash of w via its representation psi:
(a) 表現psiを介して、wのデュアルパスハッシュとして復号化キーH 'を計算します。
i. Let zeta = hashfcn(psi) using the hashing algorithm hashfcn
i. ハッシュアルゴリズムhashfcnを使用してzeta = hashfcn(psi)とします
ii. Let xi = hashfcn(zeta || psi) using the hashing algorithm hashfcn
ii。ハッシュアルゴリズムhashfcnを使用してxi = hashfcn(zeta || psi)とします
iii. Let h' = xi || zeta, the concatenation of the previous two hashfcn outputs
iii。h '= xi ||としますZeta、前の2つのHasHFCN出力の連結
(b) Let m = HashBytes(|y|, h', hashfcn)_XOR y, which is the bit-wise XOR of y with the first |y| octets of the pseudo-random bytes produced by Algorithm 4.2.1 (HashBytes) with seed h'
(b) m = hashbytes(| y |、h '、hashfcn)_xor yとします。アルゴリズム4.2.1(ハッシュバイト)によって生成された擬似ランダムバイトのオクテットH '
4. Obtain the integrity check tag u as follows:
4. 整合性チェックタグuを次のように取得します。
(a) Recover the one-time pad h'' as a dual-pass hash of the representation of (w, C_0, C_1, y):
(a) (w、c_0、c_1、y)の表現のデュアルパスハッシュとして1回限りのパッドH ''を回収します。
i. Let sigma = (y_1)_(256^l) || (x_1)_(256^l) || (y_0)_(256^l) || (x_0)_(256^l) || y || psi be the concatenation of y and the five indicated strings in the specified order
ii. Let eta = hashfcn(sigma) using the hashing algorithm hashfcn
ii。ハッシュアルゴリズムhashfcnを使用して、eta = hashfcn(sigma)
iii. Let mu = hashfcn(eta || sigma) using the hashing algorithm hashfcn
iii。ハッシュアルゴリズムHashfcnを使用して、Mu = Hashfcn(ETA || Sigma)とします
iv. Let h'' = mu || eta, the concatenation of the previous two hashfcn outputs
IV。let h '' = mu ||ETA、前の2つのHasHFCN出力の連結
(b) Unblind the encryption randomization integer s from the tag u using h'':
(b) h ''を使用してタグuから暗号化ランダム化整数をblindします:
i. Let rho = HashToRange(h'', q, hashfcn) to get an integer in Z_q
i. rho = hashtorange(h ''、q、hashfcn)をz_qで整数を取得します
ii. Let s = u - rho (mod q)
ii。s = u -rho(mod q)と
5. Verify the ciphertext consistency according to the decrypted values:
5. 復号化された値に従って、暗号文の一貫性を確認します。
(a) Test whether the equality w = v^s holds
(a) 平等がw = v^sを保持するかどうかをテストします
(b) Test whether the equality C_0 = [s]P holds
6. Adjudication and final output:
6. 裁定と最終出力:
(a) If either of the tests performed in step 5 fails, the ciphertext is rejected, and no decryption is output
(a) ステップ5で実行されたテストのいずれかが失敗した場合、暗号文は拒否され、復号化は出力されません
(b) Otherwise, i.e., when both tests performed in step 5 succeed, the decrypted message is the output
(b) それ以外の場合、つまり、ステップ5で実行された両方のテストが成功すると、復号化されたメッセージは出力です
The following data can be used to verify the correct operation of selected algorithms that are defined in this document.
次のデータを使用して、このドキュメントで定義されている選択されたアルゴリズムの正しい操作を検証できます。
Input:
入力:
q = 0xfffffffffffffffffffffffffffbffff
p = 0xbffffffffffffffffffffffffffcffff3
E/F_p: y^2 = x^3 + 1
A = (0x489a03c58dcf7fcfc97e99ffef0bb4634, 0x510c6972d795ec0c2b081b81de767f808)
l = 0xb8bbbc0089098f2769b32373ade8f0daf
Output:
出力:
[l]A = (0x073734b32a882cc97956b9f7e54a2d326, 0x9c4b891aab199741a44a5b6b632b949f7)
Input:
入力:
s = 54:68:69:73:20:41:53:43:49:49:20:73:74:72:69:6e:67:20:77:69:74 :68:6f:75:74:20:6e:75:6c:6c:2d:74:65:72:6d:69:6e:61:74:6f:72 ("This ASCII string without null-terminator")
n = 0xffffffffffffffffffffefffffffffffffffffff
hashfcn = 1.3.14.3.2.16 (SHA-1)
hashfcn = 1.3.14.3.2.16(sha-1)
Output:
出力:
v = 0x79317c1610c1fc018e9c53d89d59c108cd518608
Input:
入力:
q = 0xfffffffffffffffffffffffffffbffff
p = 0xbffffffffffffffffffffffffffcffff3
E/F_p: y^2 = x^3 + 1
A = (0x489a03c58dcf7fcfc97e99ffef0bb4634, 0x510c6972d795ec0c2b081b81de767f808)
B = (0x40e98b9382e0b1fa6747dcb1655f54f75, 0xb497a6a02e7611511d0db2ff133b32a3f)
Output:
出力:
e'(A, B) = (0x8b2cac13cbd422658f9e5757b85493818, 0xbc6af59f54d0a5d83c8efd8f5214fad3c)
Input:
入力:
id = 6f:42:62 ("Bob")
version = 2
p = 0xa6a0ffd016103ffffffffff595f002fe9ef195f002fe9efb
q = 0xffffffffffffffffffffffeffffffffffff
P = (0x6924c354256acf5a0ff7f61be4f0495b54540a5bf6395b3d, 0x024fd8e2eb7c09104bca116f41c035219955237c0eac19ab)
P_pub = (0xa68412ae960d1392701066664d20b2f4a76d6ee715621108, 0x9e7644e75c9a131d075752e143e3f0435ff231b6745a486f)
Output:
出力:
Q_id = (0x22fa1207e0d19e1a4825009e0e88e35eb57ba79391498f59, 0x982d29acf942127e0f01c881b5ec1b5fe23d05269f538836)
Input:
入力:
s = 0x749e52ddb807e0220054417e514742b05a0
version = 2
p = 0xa6a0ffd016103ffffffffff595f002fe9ef195f002fe9efb
q = 0xffffffffffffffffffffffeffffffffffff
P = (0x6924c354256acf5a0ff7f61be4f0495b54540a5bf6395b3d, 0x024fd8e2eb7c09104bca116f41c035219955237c0eac19ab)
P_pub = (0xa68412ae960d1392701066664d20b2f4a76d6ee715621108, 0x9e7644e75c9a131d075752e143e3f0435ff231b6745a486f)
Output:
出力:
Q_id = (0x8212b74ea75c841a9d1accc914ca140f4032d191b5ce5501, 0x950643d940aba68099bdcb40082532b6130c88d317958657)
Note: the following values can also be used to test Algorithm 5.5.1 (BFdecrypt).
注:次の値を使用して、アルゴリズム5.5.1(BFDECRYPT)をテストすることもできます。
Input:
入力:
m = 48:69:20:74:68:65:72:65:21 ("Hi there!")
id = 6f:42:62 ("Bob")
version = 2
p = 0xa6a0ffd016103ffffffffff595f002fe9ef195f002fe9efb
q = 0xffffffffffffffffffffffeffffffffffff
P = (0x6924c354256acf5a0ff7f61be4f0495b54540a5bf6395b3d, 0x024fd8e2eb7c09104bca116f41c035219955237c0eac19ab)
P_pub = (0xa68412ae960d1392701066664d20b2f4a76d6ee715621108, 0x9e7644e75c9a131d075752e143e3f0435ff231b6745a486f)
Output:
出力:
Using the random value rho = 0xed5397ff77b567ba5ecb644d7671d6b6f2082968, we get the following output:
ランダム値RHO = 0XED5397FF77B567BA5ECB644D7671D6B6F2082968を使用して、次の出力を取得します。
U = (0x1b5f6c461497acdfcbb6d6613ad515430c8b3fa23b61c585e9a541b199e 2a6cb, 0x9bdfbed1ae664e51e3d4533359d733ac9a600b61048a7d899104e826a0ec 4fa4)
u =(0x1b5f6c461497acdfcbb6d6613ad515430c8b3fa23b61c585e9a541b199e2a6cb、0x9bdfbed1ae664e51e3d4533333359D73AC9A60048PED8488A BA6004848484848A]
V = e0:1d:ad:81:32:6c:b1:73:af:c2:8d:72:2e:7a:32:1a:7b:29:8a:aa
W = f9:04:ba:40:30:e9:ce:6e:ff
Input:
入力:
alpha = 0xa60c395285ded4d70202c8283d894bad4f0
beta = 0x48bf012da19f170b13124e5301561f45053
gamma = 0x226fba82bc38e2ce4e28e56472ccf94a499
version = 2
p = 0x91bbe2be1c8950750784befffffffffffff6e441d41e12fb
q = 0xfffffffffbfffffffffffffffffffffffff
P = (0x13cc538fe950411218d7f5c17ae58a15e58f0877b29f2fe1, 0x8cf7bab1a748d323cc601fabd8b479f54a60be11e28e18cf)
P_1 = (0x0f809a992ed2467a138d72bc1d8931c6ccdd781bedc74627, 0x11c933027beaaf73aa9022db366374b1c68d6bf7d7a888c2)
P_2 = (0x0f8ac99a55e575bf595308cfea13edb8ec673983919121b0, 0x3febb7c6369f5d5f18ee3ea6ca0181448a4f3c4f3385019c)
P_3 = (0x2c10b43991052e78fac44fdce639c45824f5a3a2550b2a45, 0x6d7c12d8a0681426a5bbc369c9ef54624356e2f6036a064f)
v = (0x38f91032de6847a89fc3c83e663ed0c21c8f30ce65c0d7d3, 0x44b9aa10849cc8d8987ef2421770a340056745da8b99fba2)
id = 6f:42:62 ("Bob")
Output:
出力:
Using the random value r = 0x695024c25812112187162c08aa5f65c7a2c, we get the following output:
ランダム値r = 0x695024C25812112187162C08AA5F65C7A2Cを使用して、次の出力を取得します。
D_0 = (0x3264e13feeb7c506493888132964e79ad657a952334b9e53, 0x3eeaefc14ba1277a1cd6fdea83c7c882fe6d85d957055c7b)
D_1 = (0x8d7a72ad06909bb3bb29b67676d935018183a905e7e8cb18, 0x2b346c6801c1db638f270af915a21054f16044ab67f6c40e)
Note: the following values can also be used to test Algorithm 5.5.1 (BFdecrypt).
注:次の値を使用して、アルゴリズム5.5.1(BFDECRYPT)をテストすることもできます。
Input:
入力:
m = 48:69:20:74:68:65:72:65:21 ("Hi there!")
id = 6f:42:62 ("Bob")
version = 2
E: y^2 = x^3 + 1
p = 0x91bbe2be1c8950750784befffffffffffff6e441d41e12fb
q = 0xfffffffffbfffffffffffffffffffffffff
P = (0x13cc538fe950411218d7f5c17ae58a15e58f0877b29f2fe1, 0x8cf7bab1a748d323cc601fabd8b479f54a60be11e28e18cf)
P_1 = (0x0f809a992ed2467a138d72bc1d8931c6ccdd781bedc74627, 0x11c933027beaaf73aa9022db366374b1c68d6bf7d7a888c2)
P_2 = (0x0f8ac99a55e575bf595308cfea13edb8ec673983919121b0, 0x3febb7c6369f5d5f18ee3ea6ca0181448a4f3c4f3385019c)
P_3 = (0x2c10b43991052e78fac44fdce639c45824f5a3a2550b2a45, 0x6d7c12d8a0681426a5bbc369c9ef54624356e2f6036a064f)
v = (0x38f91032de6847a89fc3c83e663ed0c21c8f30ce65c0d7d3, 0x44b9aa10849cc8d8987ef2421770a340056745da8b99fba2)
hashfcn = 1.3.14.3.2.26 (SHA-1)
hashfcn = 1.3.14.3.2.26(sha-1)
Output:
出力:
Using the random value s = 0x62759e95ce1af248040e220263fb41b965e, we get the following output:
ランダム値S = 0x62759E95CE1AF248040E220263FB41B965Eを使用して、次の出力を取得します。
u = 0xad1ebfa82edf0bcb5111e9dc08ff0737c68
C_0 = (0x79f8f35904579f1aaf51897b1e8f1d84e1c927b8994e81f9, 0x1cf77bb2516606681aba2e2dc14764aa1b55a45836014c62) C_1 = (0x410cfeb0bccf1fa4afc607316c8b12fe464097b20250d684, 0x8bb76e7195a7b1980531b0a5852ce710cab5d288b2404e90)
y = 82:a6:42:b9:bb:e9:82:c4:57
This section defines the ASN.1 module for the encodings discussed in this document.
このセクションでは、このドキュメントで説明したエンコーディングのASN.1モジュールを定義します。
IBCS { joint-iso-itu-t(2) country(16) us(840) organization(1) identicrypt(114334) ibcs(1) module(5) version(1) }
DEFINITIONS IMPLICIT TAGS ::= BEGIN
-- -- Identity-based cryptography standards (IBCS): -- supersingular curve implementations of -- the BF and BB1 cryptosystems -- -- This version only supports IBE using -- type-1 curves, i.e., the curve y^2 = x^3 + 1. --
ibcs OBJECT IDENTIFIER ::= { joint-iso-itu-t(2) country(16) us(840) organization(1) identicrypt(114334) ibcs(1) }
-- -- IBCS1 -- -- IBCS1 defines the algorithms used to implement IBE --
ibcs1 OBJECT IDENTIFIER ::= { ibcs ibcs1(1) }
-- -- An elliptic curve is specified by an OID. -- A type1curve is defined by the equation y^2 = x^3 + 1. --
type1curve OBJECT IDENTIFIER ::= { ibcs1 curve-types(1) type1-curve(1) }
-- -- Supporting types --
---サポートタイプ -
-- -- Encoding of a point on an elliptic curve E/F_p -- An FpPoint can either represent an element of -- F_p^2 or an element of (F_p)^2.
FpPoint ::= SEQUENCE { x INTEGER, y INTEGER }
-- -- The following hash functions are supported: -- -- SHA-1 -- -- id-sha1 OBJECT IDENTIFIER ::= { -- iso(1) identified-organization(3) oiw(14) -- secsig(3) algorithms(2) hashAlgorithmIdentifier(26) -- } -- -- SHA-224 -- -- id-sha224 OBJECT IDENTIFIER ::= { -- joint-iso-itu-t(2)country(16) us(840) -- organization(1) gov(101) -- csor(3) nistAlgorithm(4) hashAlgs(2) sha224(4) -- } -- -- SHA-256 -- -- id-sha256 OBJECT IDENTIFIER ::= { -- joint-iso-itu-t(2)country(16) us(840) -- organization(1) gov(101) -- csor(3) nistAlgorithm(4) hashAlgs(2) sha256(1) -- } -- -- SHA-384 -- -- id-sha384 OBJECT IDENTIFIER ::= { -- joint-iso-itu-t(2)country(16) us(840) -- organization(1) gov(101) -- csor(3) nistAlgorithm(4) hashAlgs(2) sha384(2) -- } --
-- SHA-512 -- -- id-sha512 OBJECT IDENTIFIER ::= { -- joint-iso-itu-t(2) country(16) us(840) -- organization(1) gov(101) -- csor(3) nistAlgorithm(4) hashAlgs(2) sha512(3) -- } -- -- -- Algorithms --
ibe-algorithms OBJECT IDENTIFIER ::= { ibcs1 ibe-algorithms(2) }
--- --- Boneh-Franklin IBE ---
-----ボーン・フランクリン・イベ---
bf OBJECT IDENTIFIER ::= { ibe-algorithms bf(1) }
-- -- Encoding of a BF public parameters block. -- The only version currently supported is version 2. -- The values p and q define a subgroup of E(F_p) of order q. --
BFPublicParameters ::= SEQUENCE { version INTEGER { v2(2) }, curve OBJECT IDENTIFIER, p INTEGER, q INTEGER, pointP FpPoint, pointPpub FpPoint, hashfcn OBJECT IDENTIFIER }
-- -- A BF private key is a point on an elliptic curve, -- which is an FpPoint. -- The only version supported is version 2. --
BFPrivateKeyBlock ::= SEQUENCE { version INTEGER { v2(2) }, privateKey FpPoint }
-- -- A BF master secret is an integer. -- The only version supported is version 2. --
BFMasterSecret ::= SEQUENCE { version INTEGER {v2(2) }, masterSecret INTEGER }
-- -- BF ciphertext block -- The only version supported is version 2. --
BFCiphertextBlock ::= SEQUENCE { version INTEGER { v2(2) }, u FpPoint, v OCTET STRING, w OCTET STRING }
-- -- Boneh-Boyen (BB1) IBE --
---ボーン・ボイエン(BB1)IBE-
bb1 OBJECT IDENTIFIER ::= { ibe-algorithms bb1(2) }
-- -- Encoding of a BB1 public parameters block. -- The version is currently fixed to 2. -- --
BB1PublicParameters ::= SEQUENCE { version INTEGER { v2(2) }, curve OBJECT IDENTIFIER, p INTEGER, q INTEGER, pointP FpPoint, pointP1 FpPoint, pointP2 FpPoint, pointP3 FpPoint, v FpPoint, hashfcn OBJECT IDENTIFIER }
-- -- BB1 master secret block -- The only version supported is version 2. --
BB1MasterSecret ::= SEQUENCE { version INTEGER { v2(2) }, alpha INTEGER, beta INTEGER, gamma INTEGER }
-- -- BB1 private Key block -- The only version supported is version 2. --
BB1PrivateKeyBlock ::= SEQUENCE { version INTEGER { v2(2) }, pointD0 FpPoint, pointD1 FpPoint }
-- -- BB1 ciphertext block -- The only version supported is version 2. --
BB1CiphertextBlock ::= SEQUENCE { version INTEGER {v2(2) }, pointChi0 FpPoint, pointChi1 FpPoint, nu INTEGER, y OCTET STRING }
END
終わり
This document describes cryptographic algorithms. We assume that the security provided by such algorithms depends entirely on the secrecy of the relevant private key, and for an adversary to defeat the security provided by the algorithms, he will need to perform computationally-intensive cryptanalytic attacks to recover the private key.
このドキュメントでは、暗号化アルゴリズムについて説明します。このようなアルゴリズムによって提供されるセキュリティは、関連する秘密鍵の秘密に完全に依存していると仮定し、敵がアルゴリズムによって提供されるセキュリティを打ち負かすために、彼は秘密鍵を回復するために計算集中的な暗号化攻撃を実行する必要があります。
We assume that users of the algorithms described in this document will require one of five levels of cryptographic strength: the equivalent of 80 bits, 112 bits, 128 bits, 192 bits or, 256 bits. The 80-bit level is suitable for legacy applications and SHOULD NOT be used to protect information whose useful life extends past the year 2010. The 112-bit level is suitable for use in key transport of Triple-DES keys and should be adequate to protect information whose useful life extends up to the year 2030. The 128-bit levels and higher are suitable for use in the transport of Advanced Encryption Standard (AES) keys of the corresponding length or less and are adequate to protect information whose useful life extends past the year 2030.
このドキュメントで説明されているアルゴリズムのユーザーには、50ビット、112ビット、128ビット、192ビット、または256ビットの5つのレベルの暗号強度のいずれかが必要になると想定しています。80ビットレベルはレガシーアプリケーションに適しているため、2010年以降に耐用年数が延長される情報を保護するために使用しないでください。112ビットレベルは、トリプルデスキーのキー輸送での使用に適しており、保護するのに適している必要があります。耐用年数が2030年までまで及ぶ情報。128ビットレベル以上は、対応する長さ以下の高度な暗号化標準(AES)キーの輸送における使用に適しており、耐用年数が過ぎている情報を保護するのに適しています2030年。
Table 1 summarizes the security parameters for the BF and BB1 algorithms that will attain these levels of security. In this table, |p| represents the number of bits in a prime number p, and |q| represents the number of bits in a subprime q. This table assumes that a Type-1 supersingular curve is used.
表1は、これらのレベルのセキュリティを達成するBFおよびBB1アルゴリズムのセキュリティパラメーターをまとめたものです。この表では、| p |プライムナンバーPのビット数を表し、| Q |サブプライムqのビット数を表します。この表は、タイプ-1上部筋類の曲線が使用されていることを前提としています。
Bits of Security |p| |q| 80 512 160 112 1024 224 128 1536 256 192 3840 384 256 7680 512
Table 1: Sizes of BF and BB1 Parameters Required to Attain Standard Levels of Bit Security [SP800-57].
表1:ビットセキュリティの標準レベルのレベルを達成するために必要なBFおよびBB1パラメーターのサイズ[SP800-57]。
If an IBE key is used to transport a symmetric key that provides more bits of security than the bit strength of the IBE key, users should understand that the security of the system is then limited by the strength of the weaker IBE key. So if an IBE key that provides 112 bits of security is used to transport a 128-bit AES key, then the security provided is limited by the 112 bits of security of the IBE key.
IBEキーを使用して、IBEキーのビット強度よりも多くのセキュリティを提供する対称キーを輸送する場合、ユーザーはシステムのセキュリティが弱いIBEキーの強度によって制限されることを理解する必要があります。したがって、112ビットのセキュリティを提供するIBEキーが128ビットAESキーを輸送するために使用される場合、提供されたセキュリティはIBEキーの112ビットのセキュリティによって制限されます。
Note that this document specifies the use of the National Institute of Standards and Technology (NIST) hashing algorithms [SHA] to hash identities to either a point on an elliptic curve or an integer. Recent attacks on SHA-1 [SHA] have discovered ways to find collisions with less work than the expected 2^80 hashes required based on the size of the output of the hash function alone. If an attacker can find a collision, then they could use the colliding preimages to create two identities that have the same IBE private key. The practical use of such a SHA-1 [SHA] collision is extremely unlikely, however.
このドキュメントは、国立標準技術研究所(NIST)ハッシュアルゴリズム[SHA]が楕円曲線上のポイントまたは整数のポイントのいずれかに対するハッシュアイデンティティの使用を指定していることに注意してください。SHA-1 [SHA]に対する最近の攻撃は、ハッシュ関数のみの出力のサイズに基づいて必要な予想される2^80ハッシュよりも少ない作業で衝突を見つける方法を発見しました。攻撃者が衝突を見つけることができる場合、衝突するプリイメージを使用して、同じIBE秘密キーを持つ2つのIDを作成できます。ただし、そのようなSHA-1 [SHA]衝突の実際の使用は非常にありそうもない。
Identities are typically not random strings like the preimages of a hash collision would be. In particular, this is true if IBE is used as described in [IBECMS], in which components of an identity are defined to be an e-mail address, a validity period, and a URI. In this case, the unpredictable results of a collision are extremely unlikely to fit the format of a valid identity, and thus, are of no use to an attacker. Any protocol using IBE MUST define an identity in a way that makes collisions in a hash function essentially useless to an attacker. Because random strings are rarely used as identities, this requirement should not be unduly difficult to fulfill.
通常、アイデンティティは、ハッシュ衝突のプリイメージのようなランダムな文字列ではありません。特に、これは[IBECMS]で説明されているようにIBEが使用される場合に当てはまります。この場合、アイデンティティのコンポーネントは電子メールアドレス、有効期間、およびURIと定義されます。この場合、衝突の予測不可能な結果は、有効なアイデンティティの形式に適合する可能性が非常に低いため、攻撃者には役に立ちません。IBEを使用するプロトコルは、攻撃者にとって本質的に役に立たないハッシュ関数の衝突を行う方法でアイデンティティを定義する必要があります。ランダムな文字列がアイデンティティとして使用されることはめったにないため、この要件を満たすのが不当に難しくはありません。
The randomness of the random values that are required by the cryptographic algorithms is vital to the security provided by the algorithms. Any implementation of these algorithms MUST use a source of random values that provides an adequate level of security. Appropriate algorithms to generate such values include [FIPS186-2] and [X9.62]. This will ensure that the random values used to mask plaintext messages in Sections 5.4 and 6.4 are not reused with a significant probability.
暗号化アルゴリズムで必要なランダム値のランダム性は、アルゴリズムによって提供されるセキュリティにとって不可欠です。これらのアルゴリズムの実装は、適切なレベルのセキュリティを提供するランダム値のソースを使用する必要があります。このような値を生成するための適切なアルゴリズムには、[FIPS186-2]および[x9.62]が含まれます。これにより、セクション5.4および6.4のプレーンテキストメッセージをマスクするために使用されるランダム値が、有意な確率で再利用されないようになります。
The strength of a system using the algorithms described in this document relies on the strength of the mechanism used to authenticate a user requesting a private key from a PKG, as described in step 2 of Section 1.2 of this document. This is analogous to the way in which the strength of a system using digital certificates [X.509] is limited by the strength of the authentication required of users before certificates are granted to them. In either case, a weak mechanism for authenticating users will result in a weak system that relies on the technology. A system that uses the algorithms described in this document MUST require users to authenticate in a way that is suitably strong, particularly if IBE private keys will be used for authentication.
このドキュメントで説明されているアルゴリズムを使用したシステムの強度は、このドキュメントのセクション1.2のステップ2で説明されているように、PKGから秘密鍵を要求するユーザーを認証するために使用されるメカニズムの強度に依存しています。これは、デジタル証明書[X.509]を使用したシステムの強度が、証明書が付与される前にユーザーに必要な認証の強度によって制限される方法に類似しています。どちらの場合でも、ユーザーを認証するための弱いメカニズムは、テクノロジーに依存する弱いシステムになります。このドキュメントで説明されているアルゴリズムを使用するシステムは、特にIBEプライベートキーを認証に使用する場合、ユーザーが適切に強力な方法で認証することを要求する必要があります。
Note that IBE systems have different properties than other asymmetric cryptographic schemes when it comes to key recovery. If a master secret is maintained on a secure PKG, then the PKG and any administrator with the appropriate level of access will be able to create arbitrary private keys, so that controls around such administrators and logging of all actions performed by such administrators SHOULD be part of a functioning IBE system.
IBEシステムは、重要な回復に関しては、他の非対称暗号化スキームとは異なる特性を持っていることに注意してください。マスターシークレットが安全なPKGで維持されている場合、適切なレベルのアクセスを持つPKGと管理者が任意のプライベートキーを作成できるようになるため、そのような管理者が実行するすべてのアクションのそのような管理者の周りのコントロールとロギングは一部でなければなりません。機能するIBEシステムの。
On the other hand, it is also possible to create IBE private keys using a master secret and to then destroy the master secret, making any key recovery impossible. If this property is not desired, an administrator of an IBE system SHOULD require that the format of the identity used by the system contain a component that is short-lived. The format of identity that is defined in [IBECMS], for example, contains information about the time period of validity of the key that will be calculated from the identity. Such an identity can easily be changed to allow the rekeying of users if their IBE private key is somehow compromised.
一方、Master Secretを使用してIBEプライベートキーを作成し、マスターシークレットを破壊して、重要な回復を不可能にすることも可能です。このプロパティが望ましくない場合、IBEシステムの管理者は、システムで使用されるIDの形式に短命のコンポーネントが含まれることを要求する必要があります。たとえば、[IBECMS]で定義されているアイデンティティの形式には、アイデンティティから計算されるキーの妥当性の期間に関する情報が含まれています。このようなアイデンティティは、IBEの秘密鍵が何らかの形で侵害された場合、ユーザーの再キーを許可するために簡単に変更できます。
This document is based on the IBCS #1 v2 document of Voltage Security, Inc. Any substantial use of material from this document should acknowledge Voltage Security, Inc. as the source of the information.
このドキュメントは、IBCS#1 V2 Voltage Security、Incのドキュメントに基づいています。このドキュメントからの資料の実質的な使用は、情報のソースとしてVoltage Security、Inc。を確認する必要があります。
[KEYWORDS] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[TLS] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[TLS] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.1」、RFC 4346、2006年4月。
[BB1] D. Boneh and X. Boyen, "Efficient selective-ID secure identity based encryption without random oracles," In Proc. of EUROCRYPT 04, LNCS 3027, pp. 223-238, 2004.
[BB1] D. BonehおよびX. Boyen、「ランダムオラクルなしの効率的な選択的IDセキュアなアイデンティティベースの暗号化」、Proc。EuroCrypt 04、LNCS 3027、pp。223-238、2004。
[BF] D. Boneh and M. Franklin, "Identity-based encryption from the Weil pairing," in Proc. of CRYPTO 01, LNCS 2139, pp. 213-229, 2001.
[Bf] D. BonehおよびM. Franklin、「Weilペアリングからのアイデンティティベースの暗号化」、Proc。Crypto 01、LNCS 2139、pp。213-229、2001。
[CMS] Housley, R., "Cryptographic Message Syntax (CMS)", RFC 3852, July 2004.
[CMS] Housley、R。、「暗号化メッセージ構文(CMS)」、RFC 3852、2004年7月。
[ECC] I. Blake, G. Seroussi, and N. Smart, "Elliptic Curves in Cryptography", Cambridge University Press, 1999.
[ECC] I. Blake、G。Seroussi、およびN. Smart、「暗号化の楕円曲線」、ケンブリッジ大学出版局、1999。
[FIPS186-2] National Institute of Standards and Technology, "Digital Signature Standard," Federal Information Processing Standard 186-2, August 2002.
[FIPS186-2]国立標準技術研究所、「デジタル署名標準」、連邦情報処理標準186-2、2002年8月。
[IBEARCH] G. Appenzeller, L. Martin, and M. Schertler, "Identity-based Encryption Architecture", Work in Progress.
[Ibearch] G. Appenzeller、L。Martin、およびM. Schertler、「アイデンティティベースの暗号化アーキテクチャ」は、進行中の作業。
[IBECMS] L. Martin and M. Schertler, "Using the Boneh-Franklin and Boneh-Boyen identity-based encryption algorithms with the Cryptographic Message Syntax (CMS)", Work in Progress.
[Ibecms] L. MartinおよびM. Schertler、「Boneh-FranklinおよびBoneh-Boyenのアイデンティティベースの暗号化アルゴリズムを暗号化メッセージ構文(CMS)で使用する」、進行中の作業。
[MERKLE] R. Merkle, "A fast software one-way hash function," Journal of Cryptology, Vol. 3 (1990), pp. 43-58.
[Merkle] R. Merkle、「高速ソフトウェアの一方向のハッシュ機能」、Journal of Cryptology、vol。3(1990)、pp。43-58。
[P1363] IEEE P1363-2000, "Standard Specifications for Public Key Cryptography," 2001.
[P1363] IEEE P1363-2000、「公開キー暗号化の標準仕様」、2001年。
[SP800-57] E. Barker, W. Barker, W. Burr, W. Polk and M. Smid, "Recommendation for Key Management - Part 1: General (Revised)," NIST Special Publication 800-57, March 2007.
[SP800-57] E. Barker、W。Barker、W。Burr、W。PolkおよびM. Smid、「キー管理の推奨 - パート1:一般(改訂)、Nist Special Publication 800-57、2007年3月。
[SHA] National Institute for Standards and Technology, "Secure Hash Standard," Federal Information Processing Standards Publication 180-2, August 2002, with Change Notice 1, February 2004.
[SHA]国立標準技術研究所、「Secure Hash Standard」、連邦情報処理基準出版180-2、2002年8月、2004年2月。
[X9.62] American National Standards Institute, "Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)," American National Standard for Financial Services X9.62-2005, November 2005.
[X9.62] American National Standards Institute、「金融サービス業界向けの公開キー暗号:The Elliptic Curve Digital Signature Algorithm(ECDSA)」、American National Standard for Financial Servindation X9.62-2005、2005年11月。
[X.509] ITU-T Recommendation X.509 (2000) | ISO/IEC 9594-8:2001, Information Technology - Open Systems Interconnection - The Directory: Public-key and Attribute Certificate Frameworks.
[X.509] ITU-T推奨X.509(2000)|ISO/IEC 9594-8:2001、情報技術 - オープンシステムの相互接続 - ディレクトリ:パブリックキーおよび属性証明書フレームワーク。
Authors' Addresses
著者のアドレス
Xavier Boyen Voltage Security 1070 Arastradero Rd Suite 100 Palo Alto, CA 94304
Xavier Boyen Voltage Security 1070 Arastradero Rd Suite 100 Palo Alto、CA 94304
EMail: xavier@voltage.com
Luther Martin Voltage Security 1070 Arastradero Rd Suite 100 Palo Alto, CA 94304
Luther Martin Voltage Security 1070 Arastradero Rd Suite 100 Palo Alto、CA 94304
EMail: martin@voltage.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78 and at www.rfc-editor.org/copyright.html, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78およびwww.rfc-editor.org/copyright.htmlに含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。