こんばんは!
GMOコネクトの名もなきエンジニアです。
よろしくお願いします!
IETF124が開催されており、Hackathonがはじまっています!
日刊IETFは、I-D AnnounceやIETF Announceに投稿されたメールをサマリーし続けるという修行的な活動です!!
今回は、2025-11-01(UTC基準)に公開されたInternet-DraftとRFCをまとめました。
- Internet-Draft: 0件
- RFC: 0件
参照先:
0件なんですよ...。
やったー、今日は休める!と思ったら、神のお告げが着弾しダメでした。
そんなわけで、「Pairing-Friendly Curves」を取り上げます!
その日のサマリー & Hot Topics
- 2025年11月1日は、新規のInternet-DraftおよびRFCの投稿がありませんでした。そこで今回は特別編として、現GMOコネクト所属の暗号のおねぇさんこと酒見さんが編集者を務める重要なドキュメント「Pairing-Friendly Curves」を取り上げます。
- このドキュメントは、ペアリングベース暗号における安全な楕円曲線パラメータを整理した informational な標準化提案です。暗号技術の安全性確保において極めて重要な位置づけにあります。
- 本ドキュメントが注目される理由は、2016年に提案されたexTNFS攻撃により、従来128ビットセキュリティレベルとされていたBN254などの曲線が実質100ビット程度の安全性しか持たないことが判明したためです。ZcashやEthereumなどの実用アプリケーションで既に採用されているBLS12_381、より保守的な選択肢としてのBN462、そして256ビットセキュリティレベルのBLS48_581という3つの推奨曲線パラメータを提示しています。ペアリングベース暗号は、IDベース暗号、属性ベース暗号、BLS署名、ゼロ知識証明など幅広い用途で利用されており、これらの安全性を支える基盤技術として、適切な曲線選択が不可欠です。本ドキュメントの再始動は、進化する暗号解析技術に対応した安全なパラメータ選定の重要性を改めて示すものといえます。
注目のInternet-Draft【特別編】
Pairing-Friendly Curves
本ドキュメントは、ペアリングベース暗号で使用する楕円曲線の安全なパラメータ選定に関する技術仕様を定めるものです。ペアリングは、楕円曲線上で定義される特殊な双線形写像であり、IDベース暗号、属性ベース暗号、BLS署名、ゼロ知識証明などの構成要素として広く活用されています。2016年にKimとBarbulescuが提案したexTNFS攻撃により、従来安全とされていた曲線の安全性評価が大幅に見直される必要が生じました。
本提案では、Barbulescu-Duquesneらの安全性評価研究に基づき、128ビットセキュリティレベルにはBLS12_381とBN462を、256ビットセキュリティレベルにはBLS48_581を推奨しています。BLS12_381は381ビット素体上の埋め込み次数12のBarreto-Lynn-Scott曲線で、Zcash、Ethereum 2.0、Chia Network、DFINITYなど多数のブロックチェーンプロジェクトで採用されており、実装効率と安全性のバランスに優れています。ただし厳密には126ビット相当の安全性であることに注意が必要です。BN462は462ビット素体上の埋め込み次数12のBarreto-Naehrig曲線で、BLS12_381より計算コストは高いものの、134ビットの安全性を提供し将来の攻撃改良に対してより保守的な選択肢となります。BLS48_581は581ビット素体上の埋め込み次数48のBLS曲線で、256ビットセキュリティレベルを達成します。
各曲線について、素体の特性p、位数r、基点座標、補因子、拡大体の構成方法などの詳細なパラメータが示されており、相互運用性を確保するための符号化規則も規定されています。さらに、サブグループ安全性の検証、サイドチャネル攻撃対策としてのMontgomery ladder適用、係数の範囲チェック、Cheon攻撃への配慮など、実装時のセキュリティ考慮事項も網羅的に解説されています。国際標準、暗号ライブラリ、実用アプリケーションにおけるペアリング対応曲線の採用状況調査も含まれており、技術選定の実務的指針としても価値の高いドキュメントです。本仕様の標準化により、exTNFS攻撃を考慮した安全なペアリングベース暗号システムの構築と相互運用性の向上が期待されます。
編集後記
-
本日は投稿がゼロという珍しい日でしたが、その機会を活かして、現GMOコネクトの暗号のおねぇさんの作品となるキュメントを特集しました。ペアリングベース暗号は、従来の公開鍵暗号では実現困難だった高度な機能を可能にする技術として、ブロックチェーンやゼロ知識証明など最先端分野で活用が広がっています。しかし2016年のexTNFS攻撃により、安全性の見直しが必要となりました。本ドキュメントは、この課題に対する業界の回答として、実用性と安全性のバランスを考慮した推奨パラメータを提示しています。
-
特に興味深いのは、「広く使われている」という観点と「安全性」という観点の両立を重視している点です。最も効率的なBLS12_381、より保守的なBN462、そして長期的な安全性を見据えたBLS48_581という選択肢を提供することで、様々な用途とリスク許容度に対応しています。実際のブロックチェーンプロジェクトでの採用実績や、実装ライブラリのサポート状況も詳細に調査されており、技術選定の際の貴重な資料となるでしょう。暗号技術の安全性は常に進化する攻撃手法との競争であり、このような標準化活動の継続的な更新が重要だと改めて実感します。
-
今回のIETF124で開催されるCFRGでの発表について、CFRG Chairから打診があったため、この眠れるI-Dが目覚める時がやってきました。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。