Twisted Edwards Curve 上の点 P と点 Q の加算は、P \neq Q のとき、「 x 軸と y 軸に平行な軸を持ち、P, Q, (0, -1) を通る双曲線が曲線と交わるもう一つの点の、 x 軸に対する対称点」を求めることを意味します。P = Q のときは「P, Q, (0, -1) を通る双曲線」の代わりに「P, (0, -1) を通り、 P で曲線に接する双曲線」とします。
一見さっきと同じように思えますが、重要な違いとして、こちらは場合分けが必要ありません。P \neq Q だろうが P = Q だろうが、
Ed25519 の実装を見てみると、前項で取り上げた高速化からさらに a = -1 という特殊性、キャッシュなどで計算回数を削り、乗算4回、加算7回で Twisted Edwards Curve 上の加算を実装しています。
この他にも、255 bit のデータの分割単位を CPU によって 25, 26 bit の組み合わせから 51 bit や 64 bit に変えるとか、入力によらず評価可能な値は前計算して埋め込んでおくとか、様々な泥臭い高速化テクニックが詰まっているのが見て取れます。私も完全に理解しているわけではありませんが、暇なときに眺めてみると面白いでしょう。
Discussion
楕円曲線暗号について大変よくまとまっている記事なのですが、記事の核心部分である「楕円曲線とはなんぞ」から「割った余りを高速に確認できる」までの節でEd25519と一般的な楕円曲線暗号を混同してしまっていたり、重要な事柄が抜けていたりして、Ed25519の事情とはかなり異なる不正確な記述になっているのではないかと見受けられます。
いくつか、私が気づいた範囲で訂正させていただきます。
Ed25519 に使われている楕円曲線について
「楕円曲線とはなんぞ」の節で提示されているy^2 \equiv x^3 + ax + b ax^2 + y^2 \equiv 1 + dx^2y^2 a = -1, d = -\frac{121665}{121666}
一見全然違う式に見えますが、「特殊な」と言う通り、適切な変数変換をしてやるとワイエルシュトラス型に帰着できます。しかし、後述する通り、この Twisted Edwards Curve は加算について一般の楕円曲線とは少々性質が異なり、その点で速度面やセキュリティ面での優位を得ているはずなので、Ed25519 が Twisted Edwards Curve 上の暗号アルゴリズムであることは特筆すべきだと思います。そもそも Ed25519 の Ed は Edwards の Ed です。
ワイエルシュトラス型の楕円曲線上の加算について
「どうやって暗号化してるの?」の節で説明されている楕円曲線上での加算の定義ですが、P \neq Q P = Q P Q
記事内で直後に出てくる「k P k G P P P = Q
幸いにも、修正はそれほど難しくないです。P = Q P Q P P Q
以上をまとめてゴリゴリ計算すると、
となります(加算後のx x_3 P \neq Q \lambda = \frac{y_2 - y_1}{x_2 - x_1} PQ P = Q \lambda = \frac{3x_1^2 + A}{2y_1}
Twisted Edwards Curve 上の加算について
Twisted Edwards Curve 上の点P Q P \neq Q x y P, Q, (0, -1) x P = Q P, Q, (0, -1) P, (0, -1) P
一見さっきと同じように思えますが、重要な違いとして、こちらは場合分けが必要ありません。P \neq Q P = Q
という一つの式で計算できます。
(ちなみにセキュリティ的には、場合分けが発生せず、どんな入力もほぼ同じクロック数で計算できることで、サイドチャネル攻撃への耐性を得ることができます。Ed25519の強みの一つです。)
読みやすさのために最適化などがほとんどされていない Ed25519 の Python リファレンス実装では、
edwards関数内でこの計算を愚直に実装していますね。なお、2^{255} - 19 a a \cdot a^{-1} \equiv 1 \mod p a^{-1}
射影座標への変換による高速化
逆元a^{-1} a^{-1} \equiv a^{p-2} \mod p a^{p-2} \mod p O(\log(p)) p = 2^{255} - 19 255 x, y 5000 k k \log(k) =
そこで、うまく変形して、逆元の計算を消し去ることができれば…と思いますが、なんとその方法があります。
Twisted Edwards Curves
タイトル通り Twisted Edwards Curve を導入したこの論文の6章で、もとの座標(x, y) x = X / Z, y = Y / Z (X, Y, Z) (X_3, Y_3, Z_3) = (X_1, Y_1, Z_1) + (X_2, Y_2, Z_2)
Twisted Edwards Curves Revisited
その後、この論文の3.1でさらに改善されて、もとの座標(x, y) x = X / Z, y = Y / Z, xy = T / Z (X, Y, T, Z) (X_3, Y_3, Z_3) = (X_1, Y_1, Z_1) + (X_2, Y_2, Z_2)
実際のライブラリの実装
アルゴリズムの開発者である Daniel J. Bernstein 氏が SUPERCOP というツールキットに Ed25519 のリファレンス実装を収録していますが、ここではリファレンス実装とだいたい同等の最適化がされており、なおかつ GitHub に公開されている OpenSSL の実装を見てみましょう。
Ed25519 の実装を見てみると、前項で取り上げた高速化からさらにa = -1
この他にも、255 bit のデータの分割単位を CPU によって 25, 26 bit の組み合わせから 51 bit や 64 bit に変えるとか、入力によらず評価可能な値は前計算して埋め込んでおくとか、様々な泥臭い高速化テクニックが詰まっているのが見て取れます。私も完全に理解しているわけではありませんが、暇なときに眺めてみると面白いでしょう。
さて、記事内でメインを張っている剰余の高速化ですが、これは多倍長整数の剰余の計算の際の一般的なテクニックというべきな気がして、Ed25519 に特有の手法かというと微妙な感じを受けます。2^{255} \equiv 19
OpenSSL の実装でも
fe_mul関数では記事と同じ考え方で 19 の掛け算が使われていたりして(255 bit からはみ出た項は最後に、超長文のコメント本当にすみません!!!!!!!!!!!!!!!!!!!!!!!!!!! 思わず筆が乗ってしまって、気づいたら朝だよ!!!!!!!!!!!!!!!!
助けてくれ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
躍動感のある鹿さん
非常に詳細かつ本質的なご指摘、本当にありがとうございます。
貴重なお時間を割いてくださり、深く感謝しております。
コメントを読んで、自分の理解がいかに表層的であったかを痛感させられました。P=Q P \neq Q
私は、ed25519の高速化はビットシフトによって作られているものだと思っていて、実はそれ自体は一般的な算術手法であり、メインのロジックは素数の選択が、エドワーズ曲線の公開パラメータや逆元計算を回避する工夫といった、システム全体の設計と密接に連携しているとは思い至っていませんでした。
そして何より、
Ed25519が「なぜ速いのか」という点と、「なぜ安全なのか」という点が、すべて一つの洗練された設計思想に集約されていくことに気づき、深く感銘を受けています。
ご指摘いただいた論文や実際のコードにも目を通し、この素晴らしい設計思想をより深く理解して、記事をより良いものにしていきたいと強く思いました。今回は、私の視野を大きく広げてくれる、本当に価値のあるご指摘をありがとうございました。
510 bit?
ありがとうございます!
修正しました!