타원곡선
타원곡선(elliptic curve)은 형태의 방정식으로 나타나는 곡선으로서, 첨점이나 교차점 등의 특이점이 없는 것으로 중근을 갖지 않는 임의의 3차 혹은 4차 다항식 P에 대해 y2 = P(x)는 곡면 종수 1의 비특이 평면 곡선의 방정식이며, 보다 일반적으로는 종수가 1인 임의의 비특이 대수 곡선을 타원 곡선이라 한다.
개요
타원곡선은 타원하고 별로 상관이 없고, 형태상으로는 타원보다는 중괄호에 가까운 모양 으로서 '타원곡선'이란 이름이 붙은 이유는 타원의 둘레를 구하기 위한 적분에서 유래했던 역사적 이유 지만, 현재는 그것과 전혀 상관없이 사용 되고 있으며, 항목이 등재된 이유는 이름이 혼동스러워서인 것은 아니고, 수학 전반에서 엄청난 중요성을 갖고 있기 때문이다. 같은 대상을 실해석학에서, 복소해석학에서, 대수기하학에서, 정수론에서 모두 이야기할 수 있는 경우는 그렇게 많지 않다. 보통 y좌표가 무한대라는 설정인 무한점을 추가하는데, 이 무한점은 매우 중요하다.
정의
- 실수 위에서의 타원곡선은 a와 b가 고정된 실수일 경우에 방정식 y2=x3+ax+b 을 만족하는 (x, y)점들의 집합을 의미한다. 우변인 x3+ax+b가 중근을 갖지 않으면, 즉 4a3+27b2 ≠ 0 이면타원곡선은 군을 정의 할 수 있는 대수적 특성을 제공하는 것이다. 원점이 주어진 대수곡선 이란 순서쌍 M은 대수곡선)을 의미한다. 임의의 체의 표수에서, 타원곡선은 일반적으로 다음과 같은 같은 꼴의 식의 해의 집합으로 나타낼 수 있다.
- 만약 체의 표수가 2나 3이 아닌 경우, 타원곡선은 다음과 같은 꼴의 식의 해의 집합으로 나타낼 수 있다.
여기서(1,x,y) (1,x,y)는 사영 평면의 동차좌표이고, 원점은(0,0,1) (0,0,1)이 된다. 이 점은(x,y) (x,y)평면에서의 무한대에 해당하며, (x,y) (x,y) 평면에 무한대를 추가하여 사영 평면을 취한 뒤, 타원곡선을 사영 평면 속의 곡선으로 간주한다. 체의 표수가 3인 경우, 일반적인 타원곡선은 다음과 같은 꼴의 식의 해의 집합으로 나타낼 수 있어
- 체의 표수가 2인 경우는 위의 일반적인 표현을 사용하여야 한다.[1]
특징
- 그림 1은 y2=x3-9x-1 인 타원곡선이다. 실수 위에서의 타원곡선 군은 해당 타원곡선 위의 모든점들과 무한대 점이라고 명명된 특수 점으로 구성되고 여기에 덧셈이 정의된다. 점 P(x1 , y1)과 점 Q(x2, y2)를 더하기 위해서 P와 Q를 잇는 선을 그으면 타원곡선 위의 다른점 R과 교차한다. 만약 P=Q이면 점 P에 대한 접선을 그으면 된다. 계산한 점 R을 X축에 대칭을시킨 다른 점 S가 P+Q로 정의된다.
- 타원곡선 군에서의 덧셈의 특성
- 무한대 점은 O로 표기하며 타원곡선 위의 임의의 점 P에 대해서 P+O=P가 성립 되며, 무한대 점은 덧셈상의 항등원이 된다.
- 타원곡선 위의 임의의 점 P에 대해서 P+Q=O를 만족하는 점 Q가 존재하는데 Q=-P로 나타내며 뺄셈 R-S는 R+(-S)로 정의 되고, 점 -P는 점 P의 X축의 대칭점이 되기 때문에 점 P의좌표가 (x, y)이면 점 -P의 좌표는(x, -y)이 된다.
- 타원곡선 위의 임의의 점 P, Q와 R에 대해서 P+(Q+R)=(P+Q)+R이 성립한다. 타원곡선 위의 임의의 점 P와 Q에 대해서 P+Q=Q+P가 성립 하므로 타원곡선 군은'가환군'이 된다.
- 타원곡선 위에서의 기하학적 연산
- 타원곡선 위에서의 기하학적 연산은 그대로 대수적인 연산으로도 설명 이 된다. (x1, y1), (x2, y2), (x3, y3)을 각각 점 P, Q, S=P+Q의 좌표라 한다면, 점 P+Q의 좌표(x3, y3)을 통해서 표현 하고자 x1, x2, y1, y2 을 통해서 표현하고자 한다. R = (x3, y3)=-S 가 성립 되므로 y=αx+β 를 점 P와 Q를 지나는 선의 방정식이라 하면 이렇게된다.
만약, (αx+β)2 = x3+ax+b가 성립 하면 점 P와 Q를 지나는 선 위의 점(x, αx+β)는 타원곡선위의 점이 되고, 3차 방정식 x3 - (αx+β)2 + ax+b의 각각의 근에 대하여 한 개의 교차점 이 존재하게 된다. (x1, αx1+β)와 (x2, αx2+β)는 타원곡선 위의 두 점 P와 Q이기 때문에 이미 x1, x2가 근임을 알고 있다. 차수가 가장 높은 항의 계수가 1인 다항식에서 그 다항식에 존재하는 모든 근들의 합은 차수가두 번째로 높은 항의 계수에‘-’를 붙은 값과 동일하기 때문에 x1+ x2 + x3 = α2 이 된다. 나머지 근은 x3 = α2 - x1 - x2와 y3 = αx3+β = y1 + α(x3 - x1)이 된다. 그러므로 P+Q는 이렇다. P+Q에서 P=Q가 되며 는 점 P에서의 미분 값이 되기 때문에 음함수 미분을 하면 2yy'=3x2 / 2y1 가 된다.[2]
< 예제 >
- y2 = x3-17x+16 에 의해서 정의되는 타원곡선 위의 두 점 P=(0, -4), Q=(1, 0) 이 주어졌을 때, P+Q는 다음과 같이 구할 수 있다. 즉, x1=0 , y1 =-4, x2 =1, y2 =0 을 식-1에 대입을 하면 을 얻게 됨으로 P+Q=(15, -56) 이 된다.실수 계산은 일반적으로 느리며 또한 반올림에 따른 오차로 인하여 정확하지가 않기 때문에암호 응용에는 적합하지 않아서, 암호시스템 구축을 위해서는 유한체위에서 정의된 타원곡선 군이 이용된다.P가 소수일 때 유한체 GF(P)상에서의 타원곡선은 a,b∈GF(P)의 경우에 방정식 y2 mod p =x3+ax+b mod p을 만족하는(x, y)점들의 집합과 무한대 점 O를 의미 하고 x,y∈GF(P)이며, 4a3 + 27b ≠0 (mod p)이면 타원곡선 군이 정의 된다.[2]
- 타원곡선 이산대수 문제
- 소수 p에 대해서 GF(p)를 p개의 원소로 구성된 유한체라 하면, 타원곡선 위의 점 P의 위수 t는 tP=O를 만족하는 가장 작은 정수 t로 정의 되고, GF(P)상에서 정의된 타원곡선과 점Q, 그리고위수가 t인 타원곡선 위의 점 P가 주어졌을 때 Q=xP를 만족하는 정수 x∈[0, t-1]을 구하는 것을 타원곡선 이산대수 문제 이다. 타원곡선 이산대수 문제의 가장 직접적인 해결방법은 Q를 구할 때까지 단순히 P, 2P=P+P, 3P=P+P+P, …를 연속적으로 계산하는 것이지만 t의 값이 매우 클 경우에는 실효성이 게 되어 현재까지 알려진 가장 효율적인 알고리즘은 Pollard의 rho알고리즘 으로서 번의타원곡선 덧셈이 소요된다. Pohlig-Hellman알고리즘 역시 적용이 가능하지만 t가 소수일경우에는 실효성이 없어지게 되면, 대부분의 학자들에 의해서 타원곡선 이산대수 문제는 소인수 분해나 이산대수 문제보다 훨씬더 어려운 문제로 인식이 되어진다. 타원곡선 이산대수 문제에 대한 좀 더 적극적인 공격은Pollard의 rho알고리즘에 기반을 두고 병렬처리를 가능하게 하는 특수목적의 하드웨어를 구축하는 것이다. 하지만 이런 공격도 t < 2160 인 경우에는 불가능하게 된다. 현재 타원곡선 암호에 적용 가능한 타원곡선 이산대수의 t값은 단기적으로 150비트, 장기적으로 180비트 이상이 권고 된다.[2]
- 다른 공개키 암호와 비교
- RSA공개키 암호나 DSA디지털 서명의 경우에 법 n과 p의 크기가 각각 1024비트 이상이 되고, 타원곡선 암호의 경우에는 160비트 이상이 요구 되므로 타원곡선 암호의 경우에는 RSA나 DSA보다 짧은 키를 가지고도 높은 수준의 안전성이 보장되기 때문에 실제 구현에있어서 안전성과 효율성이 모두 뛰어난 암호로 인식 되고 있다.[2]
- < 타원곡선 이산대수와 소인수 분해에 소요되는 계산량 >
- 타원곡선 공개키 암호
- 이산대수에 기반을 둔 ElGamal 공개키 암호는 타원곡선 이산대수에 기반을 둔 공개키 암호로 전환된다. 두 시스템에서의 암호화 및 복호화 그리고 공개키 및 개인키를비교하면, 타원곡선 공개키 암호에서는 공개키 G와 Y 그리고 평문 M과 암호문C1과 C2는모두 타원곡선 위의 점으로 두 시스템간의 기본적인 차이점은 ElGamal 공개키 암호에서의지수승과 곱셈작업이 타원곡선 공개키 암호에서는 각각 배수와 덧셈 작업으로 전환되어진다.[2]
- < ElGamal 공개키 암호와 타원곡선 공개키 암호 비교 >
각주
참고자료
- 코원동서, 〈타원곡선 암호 시스템(공개키 암호)〉
- 〈타원곡선〉, 《위키백과》