Efficient Computations in GLS Curves and FHE over the Integers

Abstract

Modern cryptography has made great strides with innovative works such as elliptic curve cryptography (ECC) and lattice based cryptography. ECC has been mainstream of cryptography since Joux's [26] breakthrough work of constructing the first one round tripartite key agreement protocol using elliptic curves and bilinear pairings. Lattice based cryptography has received much attention since Regev [34] introduced lattice problems for cryptographic uses. Then the first construction of fully homomorphic encryption (FHE), by Gentry [22], was made using those lattice problems. After all the advancement of cryptographic technology, we have always made great efforts to improve their security and efficiency. This is the main concern of the present thesis. Among them, we focus on elliptic curve scalar multiplication, which is one of the key determinants of efficiency and security of ECC, and FHE over the integers, which is a simple examples of Gentry's blueprint of constructing FHE. To be more specific, we propose a simple and secure way of computing scalar multiplication quickly on elliptic curves called GLS curves. And then we discuss an efficient way of homomorphic mod-Q multiplication along with ciphertext refresh operation ("bootstrapping") for any constant prime Q. The well-known GLV/GLS technique makes scalar multiplication faster on elliptic curves endowed with an efficiently computable endomorphism. To apply this technique, two competing approaches have been suggested in the literature: decomposition and recomposition. Both approaches are done typically fast, but the former tends to leak a lot of side-channel information about scalar. This can be very threatening when we use cryptographic schemes in which the scalar should be kept secret like ECDSA signatures schemes. To avoid this issue, Aranha et al. [1] proposed to use "recomposition" instead. However, they obtained secure recomposition result only for GLS curves of prime order using very special properties of prime number, and hence it is not easy to generalize to other settings. As the first main result of the thesis, we extend their proof to GLS curves having a cofactor which can be written as a sum of two squares of integers, using algebraic number theoretic techniques. This means that the efficient GLV/GLS technique can be securely applied when computing scalar multiplications on those GLS curves. This is particularly interesting since our result shows how to achieve secure recomposition for (twisted) Edwards GLS curves and the fast binary curve GLS254 of Oliveira et al. [31], as these curves have cofactor 4 = 2^2 + 0^2 and 2 = 1^2 + 1^2, respectively. FHE over the integers originally supported ciphertext refresh operations (bootstrapping) for binary messages since all the proposed schemes essentially have message space {0,1}. It was not easy, but Nuida and Kurosawa [30] settled an interesting open problem of extending ciphertext refresh operations for message space Z/QZ. As a result of their work, we can do ciphertext refresh operations for mod-Q messages with an FHE scheme over the integers in two different ways: one could either use their method with message space Z/QZ directly, or one could fi rst convert the relevant arithmetic circuit to a Boolean one, and then evaluate that converted circuit using an FHE scheme with binary message space. For the next main result, we compare both approaches when one homomorphic mod-Q multiplication is executed followed by ciphertext refresh operation, and show that the latter is more efficient than the former for every prime Q > 2.;현대 암호학은 타원곡선암호 및 격자기반암호와 같은 혁신적인 기술과 함께 큰 발전을 이뤄왔다. 2000년 Joux [26]가 타원곡선과 겹선형 함수를 이용해 세 명의 사용자가 한 번에 공통키를 교환할 수 있는 프로토콜을 제안한 이후, 타원곡선암호는 암호학 연구의 주류가 되었다. 마찬가지로 Regev [34]가 2005년에 격자문제를 암호학적으로 이용할 수 있음을 증명한 후 격자기반암호 역시 암호학의 주요 연구주제로 각광을 받으며, 2009년에는 Gentry [22]가 이를 이용해 첫 완전준동형암호(fully homomorphism encryption, FHE)와 이를 위한 청사진을 제시하였다. 본 논문에서는 타원곡선암호와 격자기반암호를 효율적으로 사용할 수 있도록 기초 연산 및 중요 계산의 효율성에 대한 연구를 진행하였다. 특히, GLS 곡선 상의 상수곱(scalar multiplication)의 효율적 계산 방법과 정수 상의 완전준동형암호를 이용해 효율적인 메시지의 함수 값을 암호문상에서 동형적으로 계산하는 방법에 대해 연구하였다. 타원곡선이 빠르게 계산 가능한 자기 사상(endomorphism)을 가지고 있는 경우, GLV/GLS 기법을 이용해 상수곱 계산 속도를 높일 수 있다. 이 기법을 이용하기 위해서는 상수의 분해 (decomposition) 또는 재구성 (recomposition) 단계를 거쳐야 하는데, 이 둘 모두 빠르게 구현할 수 있지만 상수를 분해하는 과정에서는 상수에 대한 정보가 유출될 수 있다. 이 정보는 상수를 비밀로 하고 상수곱 만을 공개하는 ECDSA 서명 등의 스킴에서는 서명에 사용되는 비밀키를 찾아내는데 사용될 수 있다. 따라서 상수의 분해 방법을 이용한 구현은 굉장히 위험하다. 반면에 재구성 방법을 이용해 구현을 하게 되면 상수의 정보 유출을 피할 수 있다는 측면에서 안전하다고 할 수 있다. 이를 더욱 뒷받침하기 위해 재구성된 상수가 전체 범위에서 균등하게 분포되어 있음을 보여야 하는데, Aranha 등 [1]은 소수 위수를 갖는 GLS 곡선을 이용할 경우에는 재구성된 상수들이 균등하게 분포한다고 증명하였다. 본 논문에서는 이들의 증명을 가우시안 정수의 성질을 이용해 확장하여, 위수가 두 정수의 제곱의 합과 큰 소수의 곱으로 이루어진 GLS 곡선에서도 재구성된 상수가 균등하게 분포한다고 증명하였다. 이를 통해 위수가 4=2^2+0^2와 큰 소수의 곱인 twisted Edwards GLS 곡선과, 위수가 2=1^2+1^2와 큰 소수의 곱인 GLS254 [31] 곡선에서 재구성 방법을 이용한 상수곱 계산을 빠르고 간단하게 구현할 수 있다. 기존 정수 상의 완전준동형암호는 0 또는 1 (mod 2) 의 메시지를 갖는 경우에만 암호문 재부팅 (ciphertext refresh operation)이 가능하였다. 2015년 Nuida와 Kurosawa [30]는 처음으로 {0,1,2,…,Q}의 mod Q (Q는 소수) 메시지에 대한 암호문 재부팅 방법을 제안하였다. 이를 통해 mod Q 메시지를 갖는 정수 상의 완전준동형암호를 이용해 크게 두 가지 방법으로 암호문을 재부팅 할 수 있다. mod Q 메시지를 2진법으로 표현한 후 기존의 재부팅 방법을 이용하거나 Nuida와 Kurosawa의 mod Q 메시지에 대한 암호문 재부팅 방법을 이용하면 된다. 본 논문에서는 이 두 가지 방법을 비교하여 매우 큰 소수 Q 뿐만 아니라 2 보다 큰 모든 소수 Q에 대하여 2진법으로 바꾼 후 암호문 재부팅 방법을 이용하는 것이 더 효율적임을 증명하였다.