1. Introduction (はじめに)

1. Introduction (はじめに)

[SEC1] における楕円曲線暗号 (ECC, Elliptic Curve Cryptography [RFC6090]) の最初の標準化以来, 曲線と実装の効率性とセキュリティの両方に関して大きな進展がありました。注目すべき例としては, 特定のサイドチャネル攻撃から保護されたアルゴリズム, より高速なモジュラー演算を可能にするさまざまな「特殊な」素数形状, および選択できるより大きな曲線モデルのセットがあります。また, コミュニティでは, NIST [NIST] によって定義された曲線の生成と潜在的な弱点に関する懸念もあります。

このメモは, タイミング攻撃やキャッシュ攻撃を含む幅広いサイドチャネル攻撃に耐性のある, 定数時間実装と例外のないスカラー倍算に適した2つの楕円曲線 ("curve25519" と "curve448") を規定します。これらはモンゴメリ曲線 (Montgomery curves) (v^2 = u^3 + Au^2 + u) であり, 双有理同値なエドワーズ版を持ちます。エドワーズ曲線は, 楕円曲線群演算の最速の (現在知られている) 完全な公式をサポートしており, 特に p = 3 mod 4 のとき素数 p のエドワーズ曲線 x^2 + y^2 = 1 + dx^2y^2, および p = 1 mod 4 のときのツイステッドエドワーズ曲線 -x^2 + y^2 = 1 + dx^2*y^2 があります。モンゴメリ曲線からそれらの (ツイステッド) エドワーズ同値物への写像も示されています。

このメモは, これらの曲線を鍵合意のためにDiffie-Hellmanプロトコルと共に使用する方法も規定しています。