楕円だえん曲線きょくせんディフィー・ヘルマン鍵かぎ共有きょうゆう

楕円だえん曲線きょくせんディフィー・ヘルマン鍵かぎ共有きょうゆう（だえんきょくせんディフィー・ヘルマンかぎきょうゆう、英えい: Elliptic curve Diffie–Hellman key exchange, ECDH）は、事前じぜんの秘密ひみつの共有きょうゆう無なしに、盗聴とうちょうの可能かのう性せいのある通信つうしん路ろを使つかって、暗号あんごう鍵かぎの共有きょうゆうを可能かのうにする、公開こうかい鍵かぎ暗号あんごう方式ほうしきの暗号あんごうプロトコルである。両者りょうしゃで共有きょうゆうした秘密ひみつの値ねはそのまま、あるいは何なにかしらの変換へんかんをかけて、共通きょうつう鍵かぎ暗号あんごうの鍵かぎとして用もちいることができる。ディフィー・ヘルマン鍵かぎ共有きょうゆうを楕円だえん曲線きょくせんを使つかうように変更へんこうした、楕円だえん曲線きょくせん暗号あんごうの一ひとつである^[1]^[2]^[3]。

プロトコルの内容ないよう

アリスがボブとの間あいだに共通きょうつう鍵かぎを構築こうちくしたいが、2人ふたりの通信つうしんには第三者だいさんしゃに盗聴とうちょうされる危険きけんがある回線かいせんしかないものとする。まず、2人ふたりの間あいだで使用しようする楕円だえん曲線きょくせん（つまり、有限ゆうげん体たいK、曲線きょくせんを決定けっていする3次じ式しき、ベースポイント $G$ 、その位い数すう $n$ などのパラメータ）を決きめておく。そして、両者りょうしゃはこの楕円だえん曲線きょくせん上じょうで、秘密ひみつ鍵かぎの $d$ （ $[1,n-1]$ からランダムに選えらんだ整数せいすう）と公開こうかい鍵かぎの $Q$ （ $Q=dG$ 、つまり楕円だえん曲線きょくせん上じょうでの掛かけ算ざんを行おこなう）からなる鍵かぎ対たいを生成せいせいしておく。ここで、アリスの鍵かぎ対たいを $(d_{A},Q_{A})$ 、ボブのものを $(d_{B},Q_{B})$ とする。それから、公開こうかい鍵かぎを互たがいに交換こうかんする。

次つぎに、アリスは $(x_{k},y_{k})=d_{A}Q_{B}$ という計算けいさんを、ボブは $(x_{k},y_{k})=d_{B}Q_{A}$ という計算けいさんを行おこなう。 $d_{A}Q_{B}=d_{A}d_{B}G=d_{B}d_{A}G=d_{B}Q_{A}$ であるので、アリスもボブも同おなじ $x_{k}$ （楕円だえん曲線きょくせん上じょうのx座標ざひょう）を得えることができるので、これを共有きょうゆうする秘密ひみつとする。ECDHを元もとにしたほとんどの規格きかく化かプロトコルでは、この秘密ひみつを元もとに、ハッシュ関数かんすうなどを利用りようして共通きょうつう鍵かぎを生成せいせいする。

安全あんぜん性せい

鍵かぎ交換こうかんの過程かていで通信つうしん路上ろじょうにアリスが流ながす情報じょうほうは自身じしんの公開こうかい鍵かぎのみなので、（楕円だえん曲線きょくせん上じょうの離散りさん対数たいすう問題もんだいを解とけない限かぎり）本人ほんにん以外いがいがアリスの秘密ひみつ鍵かぎを知しることはできない。ボブについても同おなじく秘密ひみつ鍵かぎが第三者だいさんしゃに知しれることはない。また、楕円だえん曲線きょくせん上じょうのディフィー・ヘルマン問題もんだいが解とけない限かぎり、通信つうしん路ろを盗聴とうちょうしている第三者だいさんしゃには共有きょうゆうした $x_{k}$ を計算けいさんすることはできない。

公開こうかい鍵かぎは（何なにかしらの証明しょうめいを付つけた）静的せいてきなものであっても、一時いちじ的てきなもの（ephemeral、この場合ばあい特とくにECDHEと略記りゃっきされる）であってもかまわない。一時いちじ的てきな鍵かぎは、必かならずしも認証にんしょうされているわけではないため、認証にんしょうが必要ひつような場合ばあいは、別べつな方法ほうほうで認証にんしょうを行おこなうこととなる。もし認証にんしょうがなければ、通常つうじょうのディフィー・ヘルマン鍵かぎ共有きょうゆうと同様どうよう、中ちゅう間あいだ者しゃ攻撃こうげきに対たいして脆弱ぜいじゃくとなる（ディフィー・ヘルマン鍵かぎ共有きょうゆう#中間なかま者しゃ攻撃こうげき）。どちらか一方いっぽうの鍵かぎが静的せいてきなものであった場合ばあい、中間なかま者しゃ攻撃こうげきを受うけることはなくなるが、Forward secrecyのような、その他たの高度こうどなセキュリティに与あずかることはできなくなる。静的せいてきな鍵かぎを持もつ側がわでは、自身じしんの秘密ひみつ鍵かぎ漏洩ろうえいを防ふせぐため、相手あいての公開こうかい鍵かぎを確認かくにんして、安全あんぜんな共通きょうつう鍵かぎ生成せいせい関数かんすうを利用りようする必要ひつようがある。

共有きょうゆうした秘密ひみつをそのまま鍵かぎとして使つかうこともできなくはないが、ディフィー・ヘルマン鍵かぎ共有きょうゆうで生成せいせいしたことによってできる弱よわいビットの影響えいきょうを除去じょきょするため、秘密ひみつをハッシュに通とおすことが推奨すいしょうされる。^[4]

脚注きゃくちゅう

^ NIST, Special Publication 800-56A, Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography, March, 2006.
^ Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 1.0, September 20, 2000.
^ NSA Suite B Cryptography, Suite B Implementers' Guide to NIST SP 800-56A, July 28, 2009.
^ Law, Laurie; Menezes, Alfred; Qu, Minghua; Solinas, Jerry; Vanstone, Scott (1998-08-28). An Efficient Protocol for Authenticated Key Agreement. Certicom 2012年ねん1月がつ19日にち閲覧えつらん。.

[1] NIST, Special Publication 800-56A, Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography, March, 2006.

[2] Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 1.0, September 20, 2000.

[3] NSA Suite B Cryptography, Suite B Implementers' Guide to NIST SP 800-56A, July 28, 2009.

[4] Law, Laurie; Menezes, Alfred; Qu, Minghua; Solinas, Jerry; Vanstone, Scott (1998-08-28). An Efficient Protocol for Authenticated Key Agreement. Certicom 2012年ねん1月がつ19日にち閲覧えつらん。.

[1]

[2]

[3]

[4]