RFC 5639 - Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation 日本語訳

URL : https://tools.ietf.org/html/rfc5639
タイトル : RFC 5639 - 楕円曲線暗号（ECC）Brainpool標準曲線と曲線の生成
翻訳編集 : 自動生成

Independent Submission                                        M. Lochter
Request for Comments: 5639                                           BSI
Category: Informational                                        J. Merkle
ISSN: 2070-1721                                secunet Security Networks
                                                              March 2010

          Elliptic Curve Cryptography (ECC) Brainpool Standard
                      Curves and Curve Generation

Abstract

抽象

This memo proposes several elliptic curve domain parameters over finite prime fields for use in cryptographic applications. The domain parameters are consistent with the relevant international standards, and can be used in X.509 certificates and certificate revocation lists (CRLs), for Internet Key Exchange (IKE), Transport Layer Security (TLS), XML signatures, and all applications or protocols based on the cryptographic message syntax (CMS).

このメモは暗号アプリケーションで使用するための有限素体上のいくつかの楕円曲線ドメインパラメータを提案しています。ドメインパラメータは、関連する国際規格と一致している、そしてインターネット鍵交換（IKE）のために、X.509証明書と証明書失効リスト（CRL）で使用することができ、トランスポート層セキュリティ（TLS）、XML署名、およびすべてのアプリケーションまたは暗号メッセージ構文（CMS）に基づくプロトコル。

Status of This Memo

このメモのステータス

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。

This is a contribution to the RFC Series, independently of any other RFC stream. The RFC Editor has chosen to publish this document at its discretion and makes no statement about its value for implementation or deployment. Documents approved for publication by the RFC Editor are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

これは、独立して、他のRFCストリームの、RFCシリーズへの貢献です。 RFC Editorはその裁量でこの文書を公開することを選択し、実装や展開のためにその値についての声明を出すていません。 RFC編集者によって公表のために承認されたドキュメントは、インターネット標準の任意のレベルの候補ではありません。 RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5639.

このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5639で取得することができます。

著作権表示

著作権（C）2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント（http://trustee.ietf.org/license-info）に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。

Table of Contents

   1. Introduction ....................................................3
      1.1. Scope and Relation to Other Specifications .................4
      1.2. Requirements Language ......................................4
   2. Requirements on the Elliptic Curve Domain Parameters ............4
      2.1. Security Requirements ......................................5
      2.2. Technical Requirements .....................................6
   3. Domain Parameter Specification ..................................8
      3.1. Domain Parameters for 160-Bit Curves .......................8
      3.2. Domain Parameters for 192-Bit Curves .......................9
      3.3. Domain Parameters for 224-Bit Curves ......................10
      3.4. Domain Parameters for 256-Bit Curves ......................11
      3.5. Domain Parameters for 320-Bit Curves ......................12
      3.6. Domain Parameters for 384-Bit Curves ......................13
      3.7. Domain Parameters for 512-Bit Curves ......................14
   4. Object Identifiers and ASN.1 Syntax ............................15
      4.1. Object Identifiers ........................................15
      4.2. ASN.1 Syntax for Usage with X.509 Certificates ............16
   5. Security Considerations ........................................17
   6. Intellectual Property Rights ...................................18
   7. References .....................................................18
      7.1. Normative References ......................................18
      7.2. Informative References ....................................19
   Appendix A. Pseudo-Random Generation of Parameters ................22
     A.1. Generation of Prime Numbers ................................22
     A.2. Generation of Pseudo-Random Curves .........................24

1. Introduction

1. はじめに

Although several standards for elliptic curves and domain parameters exist (e.g., [ANSI1], [FIPS], or [SEC2]), some major issues have still not been addressed:

楕円曲線ドメインパラメータのいくつかの基準が存在するが（例えば、[ANSI1]、[FIPS]、または[SEC2]）、いくつかの主要な問題は依然として解決されていません。

o Not all parameters have been generated in a verifiably pseudo-random way. In particular, the seeds from which the curve parameters were derived have been chosen ad hoc, leaving out an essential part of the security proof.

Oすべてのパラメータは、検証可能、擬似ランダムに生成されているわけではありません。特に、曲線パラメータが由来した種子は安全性証明の本質的な部分を残して、アドホックを選択されています。

o The primes selected for the base fields have a very special form facilitating efficient implementation. This does not only contradict the approach of pseudo-random parameters, but also increases the risk of implementations violating one of the numerous patents for fast modular arithmetic with special primes.

ベースフィールドの選択された素数oを効率的な実装を容易にする非常に特殊な形状を有しています。これは、擬似ランダムパラメータのアプローチと矛盾しないだけでなく、特別な素数と高速剰余演算のための多数の特許のいずれかに違反する実装のリスクが増大します。

o No proofs are provided that the proposed parameters do not belong to those classes of parameters that are susceptible to cryptanalytic attacks with sub-exponential complexity.

Oいかなる証拠は、提案されたパラメータは、サブ指数複雑で暗号解読の攻撃を受けやすいパラメータのこれらのクラスに属していないことを提供されていません。

o Recent research results seem to indicate a potential for new attacks on elliptic curve cryptosystems. At least for applications with the highest security demands or under circumstances that complicate a change of parameters in response to new attacks, the inclusion of a corresponding security requirement for domain parameters (the class group condition, see Section 2) is justified.

O最近の研究結果は、楕円曲線暗号の新しい攻撃の可能性を示しているように見えます。少なくとも、最高のセキュリティ要求を持つか、新しい攻撃に応答したパラメータの変更を複雑な状況の下でのアプリケーションのために、ドメインパラメータに対応するセキュリティ要件を含める（クラスグループ条件は、第2節を参照）が正当化されます。

o Some of the proposed subgroups have a non-trivial cofactor, which demands additional checks by cryptographic applications to prevent small subgroup attacks (see [ANSI1] or [SEC1]).

提案されたサブグループのO一部は、小さなサブグループ攻撃を防ぐために、暗号化アプリケーションによって追加のチェックを要求する非自明な補因子を、（[ANSI1]参照または[SEC1]）を有します。

o The domain parameters specified do not cover all bit lengths that correspond to the commonly used key lengths for symmetric cryptographic algorithms. In particular, there is no 512-bit curve defined, but only one with a 521-bit length, which may be disadvantageous for some implementations.

対称暗号化アルゴリズムのために一般的に使用される鍵の長さに対応するすべてのビット長をカバーしていない指定されたドメインパラメータO。いくつかの実施にとって不利であり得る、特に、定義された512ビットの曲線は存在しないが、521ビット長の唯一。

Furthermore, many of the parameters specified by the existing standards are identical (see [SEC2] for a comparison). Thus, there is still a need for additional elliptic curve domain parameters that overcome the above limitations.

さらに、既存の規格によって指定されたパラメータの多くは、（比較のために[SEC2]を参照）に同一です。したがって、上記の制限を克服するため、追加の楕円曲線ドメインパラメータが依然として必要とされています。

1.1. Scope and Relation to Other Specifications

1.1. 他の仕様とスコープとの関係

This RFC specifies elliptic curve domain parameters over prime fields GF(p) with p having a length of 160, 192, 224, 256, 320, 384, and 512 bits. These parameters were generated in a pseudo-random, yet completely systematic and reproducible, way and have been verified to resist current cryptanalytic approaches. The parameters are compliant with ANSI X9.62 [ANSI1] and ANSI X9.63 [ANSI2], ISO/IEC 14888 [ISO1] and ISO/IEC 15946 [ISO2], ETSI TS 102 176-1 [ETSI], as well as with FIPS-186-2 [FIPS], and the Efficient Cryptography Group (SECG) specifications ([SEC1] and [SEC2]).

このRFCは、p 160、192、224、256、320、384、および512ビットの長さを有する素体GF（p）上の楕円曲線ドメインパラメータを指定します。これらのパラメータは、擬似ランダム、まだ完全に体系的かつ再現性のある、ようにして発生し、現在の暗号解読のアプローチに抵抗することが確認されています。パラメータは、ANSI X9.62 [ANSI1]とANSI X9.63 [ANSI2]、ISO / IEC 14888 [ISO1]及びISO / IEC 15946 [ISO2]、ETSI TS 102 176-1 [ETSI]に準拠している、ならびにFIPS-186-2 [FIPS]、効率的な暗号化グループ（SECG）仕様（[SEC1]及び[SEC2]）を有します。

Furthermore, this document identifies the security and implementation requirements for the parameters, and describes the methods used for the pseudo-random generation of the parameters.

また、この文書は、パラメータのセキュリティと実装要件を特定し、パラメータの擬似ランダム生成のために使用される方法を記載しています。

Finally, this RFC defines ASN.1 object identifiers for all elliptic curve domain parameter sets specified herein, e.g., for use in X.509 certificates.

最後に、このRFCは、X.509証明書で使用するために、例えば、本明細書で指定されたすべての楕円曲線ドメインパラメータセットのためのASN.1オブジェクト識別子を定義します。

This document does neither address the cryptographic algorithms to be used with the specified parameters nor their application in other standards. However, it is consistent with the following RFCs that specify the usage of elliptic curve cryptography in protocols and applications:

この文書は、指定されたパラメータや他の標準で自分のアプリケーションで使用する暗号化アルゴリズムに対処していないんどちらも。しかし、プロトコルおよびアプリケーションでの楕円曲線暗号の使用を指定し、次のRFCと一致しています。

o [RFC5753] for the cryptographic message syntax (CMS)

暗号メッセージ構文のO [RFC5753]（CMS）

o [RFC3279] and [RFC5480] for X.509 certificates and CRLs

X.509証明書とCRLのO [RFC3279]と[RFC5480]

o [RFC4050] for XML signatures

XML署名のためのO [RFC4050]

o [RFC4492] for TLS

TLSのO [RFC4492]

o [RFC4754] for IKE

IKEのためのO [RFC4754]

1.2. Requirements Language

1.2. 要件言語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。

2. Requirements on the Elliptic Curve Domain Parameters

楕円曲線ドメインパラメータ2.要件

Throughout this memo, let p > 3 be a prime and GF(p) a finite field (sometimes also referred to as Galois Field or GF(p)) with p elements. For given A and B with non-zero 4*A^3 + 27*B^2 mod p, the set of solutions (x,y) for the equation E: y^2 = x^3 + A*x + B mod p over GF(p) together with a neutral element O and well-defined laws for addition and inversion define a group E(GF(p)) -- the group of GF(p) rational points on E. Typically, for cryptographic applications, an element G of prime order q is chosen in E(GF(p)).

このメモを通して、P> 3プライム及びGF（p）はp個の要素を（時にはガロア体又はGF（P）と呼ばれる）有限体とします。非ゼロ4 * A ^ 3 + 27 * B ^ 2のmod PとAとB所与のために、式Eの溶液（x、y）の組：Y ^ 2 = X ^ 3 + A * X + B暗号化のために、典型的には、GF（p）のグループ有理点をE.オン - 中性素子O及び加算及び反転に明確に定義された法則と一緒にGF（p）上のmod pがグループE（GF（p））を定義しますアプリケーションは、素数位数qの要素Gは、E（GF（p））で選択されます。

A comprehensive introduction to elliptic curve cryptography can be found in [CFDA] and [BSS].

楕円曲線暗号の包括的な導入は、[BSS] [CFDA]に見出すことができます。

Note 1: We choose {0,...,p-1} as a set of representatives for the elements of GF(p). This choice induces a natural ordering on GF(p).

注1：我々は、選択{0、...、P-1} GF（p）の要素のための代表のセットとして。この選択は、GF（p）の上の自然順序付けを誘導します。

2.1. Security Requirements

2.1. セキュリティ要件

The following security requirements are either motivated by known cryptographic analysis or aim to enhance trust in the recommended curves. As this specification aims at a particularly high level of security, a restrictive position is taken here. Nevertheless, it may be sensible to slightly deviate from these requirements for certain applications (e.g., in order to achieve higher computational performance). More details on requirements for cryptographically strong elliptic curves can be found in [CFDA] and [BSS].

以下のセキュリティ要件は、いずれかの既知の暗号解析によって動機づけまたは推奨曲線の信頼性を高めることを目指しています。この仕様は、セキュリティの特に高いレベルを目指したように、制限位置がここで行われます。それにもかかわらず、わずかに（より高い計算性能を達成するために、例えば）特定の用途のために、これらの要件から逸脱し賢明であり得ます。暗号的に強い楕円曲線の要件の詳細は、[BSS] [CFDA]に見出すことができます。

1. Immunity to attacks using the Weil or Tate Pairing. These attacks allow the embedding of the cyclic subgroup generated by G into the group of units of a degree-l extension GF(p^l) of GF(p), where sub-exponential attacks on the discrete logarithm problem (DLP) exist. Here we have l = min{t | q divides p^t - 1}, i.e., l is the order of p mod q. By Fermat's Little Theorem, l divides q-1. We require (q-1)/l < 100, which means that l is close to the maximum possible value. This requirement is considerably stronger than those of [SEC2] and [ANSI2] and also excludes supersingular curves, as those are the curves of order p+1.

ワイルまたはテイトペアリングを使用した攻撃へ1.イミュニティ。これらの攻撃は、離散対数問題にサブ指数攻撃（DLP）が存在GF（p）の程度-L拡張GF（P ^ L）の単位のグループにGによって生成された巡回サブグループの埋め込みを可能にします。ここでは、L = {分トンを持っています| Qは、p ^ Tを分割 - 1}、即ち、LはP MOD Qの順です。フェルマーの小定理することで、Lは、Q-1を分割します。我々は、lが可能な最大値に近いことを意味する（Q-1）/ L <100を必要とします。この要件は、[SEC2]および[ANSI2]のものよりもかなり強く、それらは、次数p + 1の曲線はあるとしても、超特異曲線を除外する。

2. The trace is not equal to one. Trace one curves (or anomalous curves) are curves with #E(GF(p)) = p. Satoh and Araki [SA], Semaev [Sem], and Smart [Sma] independently proposed efficient solutions to the elliptic curve discrete logarithm problem (ECDLP) on trace one curves. Note that these curves are also excluded by requirement 5 of Section 2.2.

2.トレースは1に等しいではありません。 1つの曲線（又は異常な曲線）をトレース#E（GF（p））= pの曲線です。佐藤と荒木[SA]、Semaev [セム]、及びスマート[SMAは】独立トレース1曲線上の楕円曲線上の離散対数問題（ECDLP）への効率的なソリューションを提案しました。これらの曲線はまた、セクション2.2の要件5によって除外されていることに注意してください。

3. Large class number. The class number of the maximal order of the quotient field of the endomorphism ring End(E) of E is larger than 10^7. Generally, E cannot be "lifted" to a curve E' over an algebraic number field L with End(E) = End(E') unless the degree of L over the rationals is larger than the class number of End(E). Although there are no efficient attacks exploiting a small class number, recent work ([JMV] and [HR]) also may be seen as argument for the class number condition.

3.大規模なクラス番号。自己準同型環終了Eの（E）の商フィールドの最大順序のクラス数は10 ^ 7より大きい。有理数を超えるLの度合いが終了（E）のクラス数よりも大きい場合を除き、一般的に、E「は（エンド（E）=終了E）との代数的数のフィールドLを超える」曲線Eに「持ち上げられる」ことができません。小さなクラス番号、最近の研究（[JMV]および[HR]）を利用するいかなる効率的な攻撃はないが、クラス数条件の引数として見ることができます。

4. Prime group order. The group order #E(GF(p)) shall be a prime number in order to counter small-subgroup attacks (see [HMV]). Therefore, all groups proposed in this RFC have cofactor 1. Note that curves with prime order have no point of order 2 and therefore no point with y-coordinate 0.

4.プライム・グループの順序。グループ順序#E（GF（p））は、小サブグループ攻撃に対抗するために素数（[HMV]参照）でなければなりません。したがって、すべてのグループは、このRFCで提案プライム順序付き曲線がy座標0と順序2、したがってない点のない点を有していないことを補因子1注意を持っています。

5. Verifiably pseudo-random. The elliptic curve domain parameters shall be generated in a pseudo-random manner using seeds that are generated in a systematic and comprehensive way. The methods by which the parameters have been obtained are explained in Appendix A.

5.検証可能擬似ランダム。楕円曲線ドメインパラメータは、体系的かつ包括的な方法で生成された種子を使用して擬似ランダムに生成されなければなりません。パラメータが得られていることにより、方法は、付録Aで説明されています

6. Proof of security. For all curves, a proof should be given that all security requirements are met. These proofs are provided in [EBP].

セキュリティの6.証明。すべての曲線について、証拠はすべてのセキュリティ要件が満たされていることを与えられるべきです。これらの証明は、[EBP]で提供されています。

In [BG], attacks are described that apply to elliptic curve domain parameters where q-1 has a factor u in the order of q^(1/3). However, the circumstances under which these attacks are applicable can be avoided in most applications. Therefore, no corresponding security requirement is stated here. However, it is highly recommended that developers verify the security of their implementations against this kind of attack.

[BG]において、攻撃は、Q 1は、Q ^（1/3）の順に係数Uを有する楕円曲線ドメインパラメータに適用が記載されています。しかし、これらの攻撃が適用される状況は、ほとんどのアプリケーションでは避けることができます。そのため、対応するセキュリティ要件は、ここに記載されていません。しかし、非常に開発者がこの種の攻撃に対して、その実装のセキュリティを確認することをお勧めします。

2.2. Technical Requirements

2.2. 技術要件

Commercial demands and experience with existing implementations lead to the following technical requirements for the elliptic curve domain parameters.

商業需要と既存の実装との経験は、楕円曲線ドメインパラメータについては、以下の技術的要件につながります。

1. For each of the bit lengths 160, 192, 224, 256, 320, 384, and 512, one curve shall be proposed. This requirement follows from the need for curves providing different levels of security that are appropriate for the underlying symmetric algorithms. The existing standards specify a 521-bit curve instead of a 512-bit curve.

ビットの各々について1. 160、192、224、256、320、384、および512を長さ、1つの曲線を提案しなければなりません。この要件は、基礎となる対称アルゴリズムに適した異なるレベルのセキュリティを提供する曲線の必要から得られます。既存の標準ではなく、512ビットの曲線の521ビットの曲線を指定します。

2. The prime number p shall be congruent 3 mod 4. This requirement allows efficient point compression: one method for the transmission of curve points P=(x,y) is to transmit only x and the least significant bit LSB(y) of y. For p = 3 mod 4, we get (y^2)^((p+1)/4) = y*y^((p-1)/2), which is either y or -y by Fermat's Little Theorem; hence, y can be computed very efficiently using the curve equation. This requirement is not always met by the parameters defined in existing standards.

2.素数pが一致しなければならない3 MOD 4この要件は、効率的なポイント圧縮可能：曲線の点P =（x、y）の送信のための1つの方法は、唯一のxおよび最下位ビットLSB（y）を送信することですY。 P = 3 MOD 4のために、我々は、取得（Y ^ 2）^（（P + 1）/ 4）= Yの*のY ^（（P-1）/ 2）、フェルマーの小定理によりY又は-Yのいずれかであります;従って、yは非常に効率的に曲線の式を用いて計算することができます。この要件は、常に既存の規格で定義されたパラメータによって満たされていません。

3. The curves shall be GF(p)-isomorphic to a curve E': y^2 = x^3 + A'*x + B' mod p with A' = -3 mod p. This property permits the use of the arithmetical advantages of curves with A = -3, as shown by Brier and Joyce [BJ]. For p = 3 mod 4, approximately half of the isomorphism classes of elliptic curves over GF(p) contain a curve E' with A' = -3 mod p. Precisely, if a curve is given by E: y^2 = x^3 + A*x + B mod p with -3 = A*u^4 being solvable in GF(p) and u=Z is a solution to this equation, then the requirement is fulfilled by means of the quadratic twist E': y^2 = x^3 + Z^4*A*x + Z^6*B mod p, and the GF(p)-isomorphism is given by F(x,y) := (x*Z^2, y*Z^3). Due to this isomorphism, E(GF(p)) and E'(GF(p)) have the same number of points, share the same algebraic structure, and hence offer the same level of security. This constraint has also been used by [SEC2] and [FIPS].

'：Y ^ 2 = X ^ 3 + A' = -3 MOD P 'とMOD P' * X + B 3の曲線は、曲線Eに-isomorphic GF（P）でなければなりません。ブライヤーとジョイス[BJ]によって示されるように、このプロパティは、= -3と曲線の算術利点の使用を可能にします。 pの= 3 MOD 4、GF（p）上の楕円曲線の同型クラスの約半分は、= -3 MOD P「と」曲線Eを含みます。正確には、曲線は、Eによって指定された場合：y ^ 2 = X ^ 3 + A * X + Bのmod pである-3 = A * U ^ 4は、GF（p）に解けることとU = Zこれを解決します式は、その後の要件は次ねじれE 'によって満たされる：Y ^ 2 = X ^ 3 + Z ^ 4 * A * X + Z ^ 6 * B MOD P、及びGF（P）-isomorphismが与えられます。 F（X、Y）によって：=（Xの*のZ ^ 2、Yの*のZ ^ 3）。これにより同型、E（GF（p））とE '（GF（p））に点の数が同じで、同じ代数的構造を共有し、したがって同じレベルのセキュリティを提供します。この制約は、[SEC2]と[FIPS]で使用されてきました。

4. The prime p must not be of any special form; this requirement is met by a verifiably pseudo-random generation of the parameters (see requirement 5 in Section 2.1). Although parameters specified by existing standards do not meet this requirement, the need for such curves over (pseudo-)randomly chosen fields has already been foreseen by the Standards for Efficient Cryptography Group (SECG), see [SEC2].

4.素数pは、任意の特別な形であってはなりません。この要求は、パラメータ（セクション2.1における要件5を参照）の検証可能擬似乱数発生によって満たされます。既存の標準によって指定されたパラメータがこの要件を満たしていないが、（擬似）ランダムに選ばれた分野にわたり、そのような曲線の必要性はすでに効率的な暗号化グループ（SECG）の基準によって予見された、[SEC2]を参照してください。

5. #E(GF(p)) < p. As a consequence of the Hasse-Weil Theorem, the number of points #E(GF(p)) may be greater than the characteristic p of the prime field GF(p). In some cases, even the bit-length of #E(GF(p)) can exceed the bit-length of p. To avoid overruns in implementations, we require that #E(GF(p)) < p. In order to thwart attacks on digital signature schemes, some authors propose to use q > p, but the attacks described, e.g., in [BRS], appear infeasible in a well-designed Public Key Infrastructure (PKI).

5. #E（GF（p））<P。ハッセ - ヴァイル定理の結果として、点#E（GF（p））の数は、素体GF（p）の特性Pよりも大きくすることができます。いくつかのケースでは、＃E（GF（p））の偶数ビット長は、pのビット長を超えることができます。実装でオーバーランを回避するために、我々はその#E（GF（P））<Pを必要としています。デジタル署名方式への攻撃を阻止するために、何人かの著者は、Q> Pを使用することを提案するが、攻撃が記載さ、例えば、[BRS]に、適切に設計された公開鍵インフラストラクチャ（PKI）に不可能現れます。

6. B shall be a non-square mod p. Otherwise, the compressed representations of the curve-points (0,0) and (0,X), with X being the square root of B with a least significant bit of 0, would be identical. As there are implementations of elliptic curves that encode the point at infinity as (0,0), we try to avoid ambiguities. Note that this condition is stable under quadratic twists as described in condition 3 above. Condition 6 makes the attack described in [G] impossible. It can therefore also be seen as a security requirement. This constraint has not been specified by existing standards.

6. Bは、非正方形のmod Pでなければなりません。そうでない場合には、圧縮された曲線の点（0,0）の表現と（0、X）は、Xが0の最下位ビットとBの平方根であると、同一です。（0,0）として、無限遠点をコードする楕円曲線の実装が存在するように、我々は、曖昧さを回避しよう。上記条件3に記載したように、この条件は次ねじれ下で安定であることに留意されたいです。条件6は不可能[G]に記載の攻撃を行います。したがって、セキュリティ要件として見ることができます。この制約は、既存の規格によって指定されていません。

3. Domain Parameter Specification

3.ドメインパラメータ仕様

In this section, the elliptic curve domain parameters proposed are specified in the following way.

このセクションでは、提案された楕円曲線ドメインパラメータは以下のように規定されています。

For all curves, an ID is given by which it can be referenced.

全ての曲線のために、IDは、それが参照することができるで与えられます。

p is the prime specifying the base field.

pは基本フィールドを指定素数です。

A and B are the coefficients of the equation y^2 = x^3 + A*x + B mod p defining the elliptic curve.

A及びBは、式y楕円曲線を定義^ 2 = X ^ 3 + A * X + Bのmod Pの係数です。

G = (x,y) is the base point, i.e., a point in E of prime order, with x and y being its x- and y-coordinates, respectively.

G =（x、y）はxおよびyはそれぞれ、そのx座標とy座標、であるとの基点、すなわち、プライムためのE点、です。

q is the prime order of the group generated by G.

qはGで生成されたグループの素数次数であります

h is the cofactor of G in E, i.e., #E(GF(p))/q.

hはEにおけるGの補因子、すなわち、＃E（GF（p））/ Qです。

For the twisted curve, we also give the coefficient Z that defines the isomorphism F (see requirement 3 in Section 2.2).

ねじれた曲線のため、我々はまた、同型F（セクション2.2の要件3を参照）を定義する係数Zを与えます。

The methods for the generation of the parameters are given in Appendix A. Proofs for the fulfillment of the security requirements specified in Section 2.1 are given in [EBP].

パラメータを生成するための方法は、セクション2.1で指定されたセキュリティ要件が[EBP]に記載されているの履行については、付録A.証書に記載されています。

3.1. Domain Parameters for 160-Bit Curves

3.1. 160ビット曲線のドメインパラメータ

Curve-ID: brainpoolP160r1

カーブ-ID：brainpoolP160r1

p = E95E4A5F737059DC60DFC7AD95B3D8139515620F

P = E95E4A5F737059DC60DFC7AD95B3D8139515620F

A = 340E7BE2A280EB74E2BE61BADA745D97E8F7C300

B = 1E589A8595423412134FAA2DBDEC95C8D8675E58

x = BED5AF16EA3F6A4F62938C4631EB5AF7BDBCDBC3

X = BED5AF16EA3F6A4F62938C4631EB5AF7BDBCDBC3

y = 1667CB477A1A8EC338F94741669C976316DA6321

Y = 1667CB477A1A8EC338F94741669C976316DA6321

q = E95E4A5F737059DC60DF5991D45029409E60FC09

Q = E95E4A5F737059DC60DF5991D45029409E60FC09

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP160t1

カーブ-ID：brainpoolP160t1

Z = 24DBFF5DEC9B986BBFE5295A29BFBAE45E0F5D0B

A = E95E4A5F737059DC60DFC7AD95B3D8139515620C

B = 7A556B6DAE535B7B51ED2C4D7DAA7A0B5C55F380

x = B199B13B9B34EFC1397E64BAEB05ACC265FF2378

X = B199B13B9B34EFC1397E64BAEB05ACC265FF2378

y = ADD6718B7C7C1961F0991B842443772152C9E0AD

Y = ADD6718B7C7C1961F0991B842443772152C9E0AD

q = E95E4A5F737059DC60DF5991D45029409E60FC09

Q = E95E4A5F737059DC60DF5991D45029409E60FC09

h = 1

H = 1

3.2. Domain Parameters for 192-Bit Curves

3.2. 192ビット曲線のドメインパラメータ

Curve-ID: brainpoolP192r1

カーブ-ID：brainpoolP192r1

p = C302F41D932A36CDA7A3463093D18DB78FCE476DE1A86297

P = C302F41D932A36CDA7A3463093D18DB78FCE476DE1A86297

A = 6A91174076B1E0E19C39C031FE8685C1CAE040E5C69A28EF

B = 469A28EF7C28CCA3DC721D044F4496BCCA7EF4146FBF25C9

x = C0A0647EAAB6A48753B033C56CB0F0900A2F5C4853375FD6

X = C0A0647EAAB6A48753B033C56CB0F0900A2F5C4853375FD6

y = 14B690866ABD5BB88B5F4828C1490002E6773FA2FA299B8F

Y = 14B690866ABD5BB88B5F4828C1490002E6773FA2FA299B8F

q = C302F41D932A36CDA7A3462F9E9E916B5BE8F1029AC4ACC1

Q = C302F41D932A36CDA7A3462F9E9E916B5BE8F1029AC4ACC1

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP192t1

カーブ-ID：brainpoolP192t1

Z = 1B6F5CC8DB4DC7AF19458A9CB80DC2295E5EB9C3732104CB

A = C302F41D932A36CDA7A3463093D18DB78FCE476DE1A86294

B = 13D56FFAEC78681E68F9DEB43B35BEC2FB68542E27897B79

x = 3AE9E58C82F63C30282E1FE7BBF43FA72C446AF6F4618129 y = 097E2C5667C2223A902AB5CA449D0084B7E5B3DE7CCC01C9

X = Y = 097E2C5667C2223A902AB5CA449D0084B7E5B3DE7CCC01C9 3AE9E58C82F63C30282E1FE7BBF43FA72C446AF6F4618129

q = C302F41D932A36CDA7A3462F9E9E916B5BE8F1029AC4ACC1

Q = C302F41D932A36CDA7A3462F9E9E916B5BE8F1029AC4ACC1

h = 1

H = 1

3.3. Domain Parameters for 224-Bit Curves

3.3. 224ビット曲線のドメインパラメータ

Curve-ID: brainpoolP224r1

カーブ-ID：brainpoolP224r1

p = D7C134AA264366862A18302575D1D787B09F075797DA89F57EC8C0FF

P = D7C134AA264366862A18302575D1D787B09F075797DA89F57EC8C0FF

A = 68A5E62CA9CE6C1C299803A6C1530B514E182AD8B0042A59CAD29F43

B = 2580F63CCFE44138870713B1A92369E33E2135D266DBB372386C400B

x = 0D9029AD2C7E5CF4340823B2A87DC68C9E4CE3174C1E6EFDEE12C07D

X = 0D9029AD2C7E5CF4340823B2A87DC68C9E4CE3174C1E6EFDEE12C07D

y = 58AA56F772C0726F24C6B89E4ECDAC24354B9E99CAA3F6D3761402CD

Y = 58AA56F772C0726F24C6B89E4ECDAC24354B9E99CAA3F6D3761402CD

q = D7C134AA264366862A18302575D0FB98D116BC4B6DDEBCA3A5A7939F

Q = D7C134AA264366862A18302575D0FB98D116BC4B6DDEBCA3A5A7939F

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP224t1

カーブ-ID：brainpoolP224t1

Z = 2DF271E14427A346910CF7A2E6CFA7B3F484E5C2CCE1C8B730E28B3F

A = D7C134AA264366862A18302575D1D787B09F075797DA89F57EC8C0FC

B = 4B337D934104CD7BEF271BF60CED1ED20DA14C08B3BB64F18A60888D

x = 6AB1E344CE25FF3896424E7FFE14762ECB49F8928AC0C76029B4D580

X = 6AB1E344CE25FF3896424E7FFE14762ECB49F8928AC0C76029B4D580

y = 0374E9F5143E568CD23F3F4D7C0D4B1E41C8CC0D1C6ABD5F1A46DB4C

Y = 0374E9F5143E568CD23F3F4D7C0D4B1E41C8CC0D1C6ABD5F1A46DB4C

q = D7C134AA264366862A18302575D0FB98D116BC4B6DDEBCA3A5A7939F

Q = D7C134AA264366862A18302575D0FB98D116BC4B6DDEBCA3A5A7939F

h = 1

H = 1

3.4. Domain Parameters for 256-Bit Curves

3.4. 256ビット曲線のドメインパラメータ

Curve-ID: brainpoolP256r1

カーブ-ID：brainpoolP256r1

p = A9FB57DBA1EEA9BC3E660A909D838D726E3BF623D52620282013481D1F6E5377

P = A9FB57DBA1EEA9BC3E660A909D838D726E3BF623D52620282013481D1F6E5377

A = 7D5A0975FC2C3057EEF67530417AFFE7FB8055C126DC5C6CE94A4B44F330B5D9

= 7D5A0975FC2C3057EEF67530417AFFE7FB8055C126DC5C6CE94A4B44F330B5D9

B = 26DC5C6CE94A4B44F330B5D9BBD77CBF958416295CF7E1CE6BCCDC18FF8C07B6

x = 8BD2AEB9CB7E57CB2C4B482FFC81B7AFB9DE27E1E3BD23C23A4453BD9ACE3262

X = 8BD2AEB9CB7E57CB2C4B482FFC81B7AFB9DE27E1E3BD23C23A4453BD9ACE3262

y = 547EF835C3DAC4FD97F8461A14611DC9C27745132DED8E545C1D54C72F046997

Y = 547EF835C3DAC4FD97F8461A14611DC9C27745132DED8E545C1D54C72F046997

q = A9FB57DBA1EEA9BC3E660A909D838D718C397AA3B561A6F7901E0E82974856A7

Q = A9FB57DBA1EEA9BC3E660A909D838D718C397AA3B561A6F7901E0E82974856A7

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP256t1

カーブ-ID：brainpoolP256t1

Z = 3E2D4BD9597B58639AE7AA669CAB9837CF5CF20A2C852D10F655668DFC150EF0

A = A9FB57DBA1EEA9BC3E660A909D838D726E3BF623D52620282013481D1F6E5374

B = 662C61C430D84EA4FE66A7733D0B76B7BF93EBC4AF2F49256AE58101FEE92B04

x = A3E8EB3CC1CFE7B7732213B23A656149AFA142C47AAFBC2B79A191562E1305F4

X = A3E8EB3CC1CFE7B7732213B23A656149AFA142C47AAFBC2B79A191562E1305F4

y = 2D996C823439C56D7F7B22E14644417E69BCB6DE39D027001DABE8F35B25C9BE

Y = 2D996C823439C56D7F7B22E14644417E69BCB6DE39D027001DABE8F35B25C9BE

q = A9FB57DBA1EEA9BC3E660A909D838D718C397AA3B561A6F7901E0E82974856A7

Q = A9FB57DBA1EEA9BC3E660A909D838D718C397AA3B561A6F7901E0E82974856A7

h = 1

H = 1

3.5. Domain Parameters for 320-Bit Curves

3.5. 320ビット曲線のドメインパラメータ

Curve-ID: brainpoolP320r1

カーブ-ID：brainpoolP320r1

p = D35E472036BC4FB7E13C785ED201E065F98FCFA6F6F40DEF4F92B9EC7893EC 28FCD412B1F1B32E27

P = D35E472036BC4FB7E13C785ED201E065F98FCFA6F6F40DEF4F92B9EC7893EC 28FCD412B1F1B32E27

A = 3EE30B568FBAB0F883CCEBD46D3F3BB8A2A73513F5EB79DA66190EB085FFA9 F492F375A97D860EB4

B = 520883949DFDBC42D3AD198640688A6FE13F41349554B49ACC31DCCD884539 816F5EB4AC8FB1F1A6

x = 43BD7E9AFB53D8B85289BCC48EE5BFE6F20137D10A087EB6E7871E2A10A599 C710AF8D0D39E20611

X = 43BD7E9AFB53D8B85289BCC48EE5BFE6F20137D10A087EB6E7871E2A10A599 C710AF8D0D39E20611

y = 14FDD05545EC1CC8AB4093247F77275E0743FFED117182EAA9C77877AAAC6A C7D35245D1692E8EE1

Y = 14FDD05545EC1CC8AB4093247F77275E0743FFED117182EAA9C77877AAAC6A C7D35245D1692E8EE1

q = D35E472036BC4FB7E13C785ED201E065F98FCFA5B68F12A32D482EC7EE8658 E98691555B44C59311

Q = D35E472036BC4FB7E13C785ED201E065F98FCFA5B68F12A32D482EC7EE8658 E98691555B44C59311

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP320t1

カーブ-ID：brainpoolP320t1

Z = 15F75CAF668077F7E85B42EB01F0A81FF56ECD6191D55CB82B7D861458A18F EFC3E5AB7496F3C7B1

A = D35E472036BC4FB7E13C785ED201E065F98FCFA6F6F40DEF4F92B9EC7893EC 28FCD412B1F1B32E24

B = A7F561E038EB1ED560B3D147DB782013064C19F27ED27C6780AAF77FB8A547 CEB5B4FEF422340353

x = 925BE9FB01AFC6FB4D3E7D4990010F813408AB106C4F09CB7EE07868CC136F FF3357F624A21BED52

X = 925BE9FB01AFC6FB4D3E7D4990010F813408AB106C4F09CB7EE07868CC136F FF3357F624A21BED52

y = 63BA3A7A27483EBF6671DBEF7ABB30EBEE084E58A0B077AD42A5A0989D1EE7 1B1B9BC0455FB0D2C3

Y = 63BA3A7A27483EBF6671DBEF7ABB30EBEE084E58A0B077AD42A5A0989D1EE7 1B1B9BC0455FB0D2C3

q = D35E472036BC4FB7E13C785ED201E065F98FCFA5B68F12A32D482EC7EE8658 E98691555B44C59311

Q = D35E472036BC4FB7E13C785ED201E065F98FCFA5B68F12A32D482EC7EE8658 E98691555B44C59311

h = 1

H = 1

3.6. Domain Parameters for 384-Bit Curves

3.6. 384ビット曲線のドメインパラメータ

Curve-ID: brainpoolP384r1

カーブ-ID：brainpoolP384r1

p = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB711 23ACD3A729901D1A71874700133107EC53

P = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB711 23ACD3A729901D1A71874700133107EC53

A = 7BC382C63D8C150C3C72080ACE05AFA0C2BEA28E4FB22787139165EFBA91F9 0F8AA5814A503AD4EB04A8C7DD22CE2826

= 7BC382C63D8C150C3C72080ACE05AFA0C2BEA28E4FB22787139165EFBA91F9 0F8AA5814A503AD4EB04A8C7DD22CE2826

B = 04A8C7DD22CE28268B39B55416F0447C2FB77DE107DCD2A62E880EA53EEB62 D57CB4390295DBC9943AB78696FA504C11

x = 1D1C64F068CF45FFA2A63A81B7C13F6B8847A3E77EF14FE3DB7FCAFE0CBD10 E8E826E03436D646AAEF87B2E247D4AF1E

X = 1D1C64F068CF45FFA2A63A81B7C13F6B8847A3E77EF14FE3DB7FCAFE0CBD10 E8E826E03436D646AAEF87B2E247D4AF1E

y = 8ABE1D7520F9C2A45CB1EB8E95CFD55262B70B29FEEC5864E19C054FF99129 280E4646217791811142820341263C5315

Y = 8ABE1D7520F9C2A45CB1EB8E95CFD55262B70B29FEEC5864E19C054FF99129 280E4646217791811142820341263C5315

q = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B31F166E6CAC0425 A7CF3AB6AF6B7FC3103B883202E9046565

Q = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B31F166E6CAC0425 A7CF3AB6AF6B7FC3103B883202E9046565

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP384t1

カーブ-ID：brainpoolP384t1

Z = 41DFE8DD399331F7166A66076734A89CD0D2BCDB7D068E44E1F378F41ECBAE 97D2D63DBC87BCCDDCCC5DA39E8589291C

A = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB711 23ACD3A729901D1A71874700133107EC50

= 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B412B1DA197FB711 23ACD3A729901D1A71874700133107EC50

B = 7F519EADA7BDA81BD826DBA647910F8C4B9346ED8CCDC64E4B1ABD11756DCE 1D2074AA263B88805CED70355A33B471EE

x = 18DE98B02DB9A306F2AFCD7235F72A819B80AB12EBD653172476FECD462AAB FFC4FF191B946A5F54D8D0AA2F418808CC

X = 18DE98B02DB9A306F2AFCD7235F72A819B80AB12EBD653172476FECD462AAB FFC4FF191B946A5F54D8D0AA2F418808CC

y = 25AB056962D30651A114AFD2755AD336747F93475B7A1FCA3B88F2B6A208CC FE469408584DC2B2912675BF5B9E582928

Y = 25AB056962D30651A114AFD2755AD336747F93475B7A1FCA3B88F2B6A208CC FE469408584DC2B2912675BF5B9E582928

q = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B31F166E6CAC0425 A7CF3AB6AF6B7FC3103B883202E9046565

Q = 8CB91E82A3386D280F5D6F7E50E641DF152F7109ED5456B31F166E6CAC0425 A7CF3AB6AF6B7FC3103B883202E9046565

h = 1

H = 1

3.7. Domain Parameters for 512-Bit Curves

3.7. 512ビット曲線のドメインパラメータ

Curve-ID: brainpoolP512r1

カーブ-ID：brainpoolP512r1

p = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 717D4D9B009BC66842AECDA12AE6A380E62881FF2F2D82C68528AA6056583A48F3

P = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 717D4D9B009BC66842AECDA12AE6A380E62881FF2F2D82C68528AA6056583A48F3

A = 7830A3318B603B89E2327145AC234CC594CBDD8D3DF91610A83441CAEA9863 BC2DED5D5AA8253AA10A2EF1C98B9AC8B57F1117A72BF2C7B9E7C1AC4D77FC94CA

B = 3DF91610A83441CAEA9863BC2DED5D5AA8253AA10A2EF1C98B9AC8B57F1117 A72BF2C7B9E7C1AC4D77FC94CADC083E67984050B75EBAE5DD2809BD638016F723

x = 81AEE4BDD82ED9645A21322E9C4C6A9385ED9F70B5D916C1B43B62EEF4D009 8EFF3B1F78E2D0D48D50D1687B93B97D5F7C6D5047406A5E688B352209BCB9F822

X = 81AEE4BDD82ED9645A21322E9C4C6A9385ED9F70B5D916C1B43B62EEF4D009 8EFF3B1F78E2D0D48D50D1687B93B97D5F7C6D5047406A5E688B352209BCB9F822

y = 7DDE385D566332ECC0EABFA9CF7822FDF209F70024A57B1AA000C55B881F81 11B2DCDE494A5F485E5BCA4BD88A2763AED1CA2B2FA8F0540678CD1E0F3AD80892

Y = 7DDE385D566332ECC0EABFA9CF7822FDF209F70024A57B1AA000C55B881F81 11B2DCDE494A5F485E5BCA4BD88A2763AED1CA2B2FA8F0540678CD1E0F3AD80892

q = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 70553E5C414CA92619418661197FAC10471DB1D381085DDADDB58796829CA90069

Q = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 70553E5C414CA92619418661197FAC10471DB1D381085DDADDB58796829CA90069

h = 1

H = 1

#Twisted curve

#Twisted曲線

Curve-ID: brainpoolP512t1

カーブ-ID：brainpoolP512t1

Z = 12EE58E6764838B69782136F0F2D3BA06E27695716054092E60A80BEDB212B 64E585D90BCE13761F85C3F1D2A64E3BE8FEA2220F01EBA5EEB0F35DBD29D922AB

A = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 717D4D9B009BC66842AECDA12AE6A380E62881FF2F2D82C68528AA6056583A48F0

B = 7CBBBCF9441CFAB76E1890E46884EAE321F70C0BCB4981527897504BEC3E36 A62BCDFA2304976540F6450085F2DAE145C22553B465763689180EA2571867423E

x = 640ECE5C12788717B9C1BA06CBC2A6FEBA85842458C56DDE9DB1758D39C031 3D82BA51735CDB3EA499AA77A7D6943A64F7A3F25FE26F06B51BAA2696FA9035DA

X = 640ECE5C12788717B9C1BA06CBC2A6FEBA85842458C56DDE9DB1758D39C031 3D82BA51735CDB3EA499AA77A7D6943A64F7A3F25FE26F06B51BAA2696FA9035DA

y = 5B534BD595F5AF0FA2C892376C84ACE1BB4E3019B71634C01131159CAE03CE E9D9932184BEEF216BD71DF2DADF86A627306ECFF96DBB8BACE198B61E00F8B332

Y = 5B534BD595F5AF0FA2C892376C84ACE1BB4E3019B71634C01131159CAE03CE E9D9932184BEEF216BD71DF2DADF86A627306ECFF96DBB8BACE198B61E00F8B332

q = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 70553E5C414CA92619418661197FAC10471DB1D381085DDADDB58796829CA90069

Q = AADD9DB8DBE9C48B3FD4E6AE33C9FC07CB308DB3B3C9D20ED6639CCA703308 70553E5C414CA92619418661197FAC10471DB1D381085DDADDB58796829CA90069

h = 1

H = 1

4. Object Identifiers and ASN.1 Syntax

4.オブジェクト識別子とASN.1構文

4.1. Object Identifiers

4.1. オブジェクト識別子

The root of the tree for the object identifiers defined in this specification is given by:

本明細書で定義されたオブジェクト識別子のツリーの根は次式で与えられます。

      ecStdCurvesAndGeneration OBJECT IDENTIFIER::= {iso(1)
      identified-organization(3) teletrust(36) algorithm(3) signature-
      algorithm(3) ecSign(2) 8}

The object identifier ellipticCurve represents the tree for domain parameter sets. It has the following value:

オブジェクト識別子ellipticCurveは、ドメインパラメータセットのツリーを表します。それは次の値があります。

      ellipticCurve OBJECT IDENTIFIER ::= {ecStdCurvesAndGeneration 1}

The tree containing the object identifiers for each set of domain parameters defined in this RFC is:

このRFCに定義された領域パラメータのセットごとにオブジェクト識別子を含むツリーです。

      versionOne OBJECT IDENTIFIER ::= {ellipticCurve 1}

The following object identifiers represent the domain parameter sets defined in this RFC:

以下のオブジェクト識別子は、このRFCで定義されたドメインパラメータセットを表します。

      brainpoolP160r1 OBJECT IDENTIFIER ::= {versionOne 1}

      brainpoolP160t1 OBJECT IDENTIFIER ::= {versionOne 2}

      brainpoolP192r1 OBJECT IDENTIFIER ::= {versionOne 3}

      brainpoolP192t1 OBJECT IDENTIFIER ::= {versionOne 4}

      brainpoolP224r1 OBJECT IDENTIFIER ::= {versionOne 5}

      brainpoolP224t1 OBJECT IDENTIFIER ::= {versionOne 6}

      brainpoolP256r1 OBJECT IDENTIFIER ::= {versionOne 7}

      brainpoolP256t1 OBJECT IDENTIFIER ::= {versionOne 8}

      brainpoolP320r1 OBJECT IDENTIFIER ::= {versionOne 9}

      brainpoolP320t1 OBJECT IDENTIFIER ::= {versionOne 10}

      brainpoolP384r1 OBJECT IDENTIFIER ::= {versionOne 11}

      brainpoolP384t1 OBJECT IDENTIFIER ::= {versionOne 12} brainpoolP512r1 OBJECT IDENTIFIER ::= {versionOne 13}

      brainpoolP512t1 OBJECT IDENTIFIER ::= {versionOne 14}

4.2. ASN.1 Syntax for Usage with X.509 Certificates

4.2. X.509証明書による使用のためのASN.1構文

The domain parameters specified in this RFC SHALL be used with X.509 certificates in accordance with [RFC5480]. In particular,

このRFCで指定されたドメインパラメータは、[RFC5480]に従ってX.509証明書とともに使用されなければなりません。特に、

o the algorithm field of subjectPublicKeyInfo MUST be set to:

O SubjectPublicKeyInfoでのアルゴリズムフィールドに設定する必要があります。

* id-ecPublicKey, if the algorithms that can be used with the subject public key are not restricted, or

* ID-ecPublicKey、サブジェクトの公開鍵で使用することができるアルゴリズムが制限されていない場合、または

* id-ecDH to restrict the usage of the subject public key to Elliptic Curve Diffie-Hellman (ECDH) key agreement, or

* ID-ECDH楕円曲線ディフィ - ヘルマン（ECDH）キー合意の対象と公開鍵の使用を制限する、または

* id-ecMQV to restrict the usage of the subject public key to Elliptic Curve Menezes-Qu-Vanstone (ECMQV) key agreement, and

* ID-ECMQV楕円曲線メネゼス-ク-Vanstone著（ECMQV）キー合意の対象と公開鍵の使用を制限し、及び

o the field algorithm.parameter of subjectPublicKeyInfo MUST be of type:

O SubjectPublicKeyInfoでのフィールドalgorithm.parameterはタイプである必要があります：

* namedCurve to specify the domain parameters by one of the Object Identifiers (OIDs) defined in Section 4.1, or

セクション4.1で定義されたオブジェクト識別子（OID）のいずれかでドメインパラメータを指定する* namedCurve、又は

* specifiedCurve to specify the domain parameters explicitly as defined in [RFC5480], or

[RFC5480]で定義された明示的にドメインパラメータを指定する* specifiedCurve、または

* implicitCurve, if the domain parameters are found in an issuer's certificate.

* implicitCurve、ドメインパラメータが発行者の証明書で発見された場合。

If the domain parameters are explicitly specified using the type specifiedCurve in the field algorithm.parameter of subjectPublicKeyInfo, ANSI X9.62 [ANSI1] and [RFC5480] allow indicating whether or not a curve and base point have been generated verifiably in a pseudo-random way. Although the parameters specified in Section 3 have all been generated by the pseudo-random methods described in Appendix A, these algorithms deviate from those mandated in ANSI X9.62, A.3.3.1. Consequently, applications following ANSI X9.62 or [RFC5480] will not be able to verify the pseudo-randomness of the parameters. In order to avoid rejection of the parameters, the ASN.1 encoding SHOULD NOT specify that the curve or base point has been generated verifiably at random. In particular, certification authorities (CAs) SHOULD set the contents of specifiedCurve in the following way:

ドメインパラメータが明示的SubjectPublicKeyInfoでのフィールドalgorithm.parameterタイプのspecifiedCurveを使用して指定されている場合、ANSI [ANSI1]及び[RFC5480]許す曲線及びベースポイントは、検証可能に生成されたか否かを示す擬似ランダムX9.62仕方。セクション3で指定されたパラメータはすべて、付録Aに記載の擬似ランダム方法によって作製されてきたが、これらのアルゴリズムは、ANSI X9.62、A.3.3.1に義務付けられているものから逸脱します。したがって、ANSI X9.62または[RFC5480]以下のアプリケーションは、パラメータの擬似ランダム性を検証することはできません。パラメータの拒絶反応を回避するために、ASN.1符号化は、曲線またはベース点をランダムに検証可能に生成されたことを指定しないでください。具体的には、証明機関（CA）は、次のようにspecifiedCurveの内容を設定する必要があります。

o version is set to ecpVer1(1).

OバージョンがecpVer1に設定されている（1）。

o fieldId includes the fieldType prime-field and as parameter the value p of the selected domain parameters as specified in Section 3.

O fieldidは、セクション3で指定されるように選択された領域パラメータの値PをFIELDTYPEプライムフィールドを含み、パラメータとして。

o curve includes the values a and b of the selected domain parameters as specified in Section 3, but seed is absent.

Oセクション3で指定された曲線は、選択されたドメインパラメータの値aおよびbを含むが、シードは存在しません。

o base is the octet string representation of the base point G of the selected domain parameters as specified in Section 3.

Oベースは、セクション3で指定されるように選択された領域パラメータのベースポイントGのオクテット文字列表現です。

o order is set to q of the selected domain parameters as specified in Section 3.

O順序はセクション3で指定されるように選択された領域パラメータのQに設定されています。

o cofactor is set to 1.

Oコファクターは1に設定されています。

o hash is absent.

Oハッシュは存在しません。

5. Security Considerations

5.セキュリティについての考慮事項

The level of security provided by symmetric ciphers and hash functions used in conjunction with the elliptic curve domain parameters specified in this RFC should roughly match or exceed the level provided by the domain parameters. The following table indicates the minimum key sizes for symmetric ciphers and hash functions providing at least (roughly) comparable security.

このRFCで指定されたドメインパラメータがおおよそドメインパラメータによって提供されるレベルと一致または超えるべき楕円曲線と組み合わせて使用される対称暗号ハッシュ関数によって提供されるセキュリティのレベル。以下の表は少なくとも（約）同等のセキュリティを提供する対称暗号ハッシュ関数の最小キーサイズを示しています。

   +--------------------+--------------------+-------------------------+
   |   elliptic curve   |  minimum length of |      hash functions     |
   |  domain parameters |   symmetric keys   |                         |
   +--------------------+--------------------+-------------------------+
   |   brainpoolP160r1  |         80         |     SHA-1, SHA-224,     |
   |                    |                    |    SHA-256, SHA-384,    |
   |                    |                    |         SHA-512         |
   |                    |                    |                         |
   |   brainpoolP192r1  |         96         |    SHA-224, SHA-256,    |
   |                    |                    |     SHA-384, SHA-512    |
   |                    |                    |                         |
   |   brainpoolP224r1  |         112        |    SHA-224, SHA-256,    |
   |                    |                    |     SHA-384, SHA-512    |
   |                    |                    |                         |
   |   brainpoolP256r1  |         128        |    SHA-256, SHA-384,    |
   |                    |                    |         SHA-512         |
   |                    |                    |                         |
   |   brainpoolP320r1  |         160        |     SHA-384, SHA-512    |
   |                    |                    |                         |
   |   brainpoolP384r1  |         192        |     SHA-384, SHA-512    |
   |                    |                    |                         |
   |   brainpoolP512r1  |         256        |         SHA-512         |
   +--------------------+--------------------+-------------------------+

Table 1

表1

Security properties of the elliptic curve domain parameters specified in this RFC are discussed in Section 2.1. Further security discussions specific to elliptic curve cryptography can be found in [ANSI1] and [SEC1].

このRFCで指定された楕円曲線ドメインパラメータのセキュリティ特性は、セクション2.1に記載されています。楕円曲線暗号に固有のさらなるセキュリティの議論は[ANSI1]と[SEC1]に見出すことができます。

6. Intellectual Property Rights

6.知的財産権

The authors have no knowledge about any intellectual property rights that cover the usage of the domain parameters defined herein. However, readers should be aware that implementations based on these domain parameters may require use of inventions covered by patent rights.

著者は、本明細書に定義されたドメインパラメータの使用をカバーするすべての知的財産権に関する知識がありません。しかし、読者はこれらのドメインのパラメータに基づいて実装が特許権によってカバーされた発明の使用を必要とするかもしれないことに注意してください。

7. References

7.参考

7.1. Normative References

7.1. 引用規格

[ANSI1] American National Standards Institute, "Public Key Cryptography For The Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)", ANSI X9.62, 2005.

[ANSI1]米国規格協会、「金融サービス業界のための公開鍵暗号：楕円曲線デジタル署名アルゴリズム（ECDSA）」、ANSI X9.62、2005。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。

[RFC5480] Turner, S., Brown, D., Yiu, K., Housley, R., and T. Polk, "Elliptic Curve Cryptography Subject Public Key Information", RFC 5480, March 2009.

[RFC5480]ターナー、S.、ブラウン、D.、耀輝、K.、Housley氏、R.、およびT.ポーク、 "楕円曲線暗号件名公開鍵情報"、RFC 5480、2009年3月。

7.2. Informative References

7.2. 参考文献

[ANSI2] American National Standards Institute, "Public Key Cryptography For The Financial Services Industry: Key Agreement and Key Transport Using The Elliptic Curve Cryptography", ANSI X9.63, 2001.

[ANSI2]米国規格協会、「金融サービス業界のための公開鍵暗号：楕円曲線暗号を用いた秘密鍵共有とキー交通」、ANSI X9.63、2001。

[BJ] Brier, E. and M. Joyce, "Fast Multiplication on Elliptic Curves through Isogenies", Applied Algebra Algebraic Algorithms and Error-Correcting Codes, Lecture Notes in Computer Science 2643, Springer Verlag, 2003.

[BJ]ブライヤー、E.およびM.ジョイス、「同種写像による楕円曲線上の高速乗算」、アプライド・代数代数的アルゴリズムと誤り訂正符号、コンピュータサイエンス2643年、シュプリンガーフェアラーク、2003年の講義ノート。

[BG] Brown, J. and R. Gallant, "The Static Diffie-Hellman Problem", Centre for Applied Cryptographic Research, University of Waterloo, Technical Report CACR 2004-10, 2005.

[BG]ブラウン、J.とR.ギャラン、 "静的のDiffie-Hellmanの問題"、アプライド・暗号研究センター、ウォータールー大学、テクニカルレポートCACR 2004-10、2005。

[BRS] Bohli, J., Roehrich, S., and R. Steinwandt, "Key Substitution Attacks Revisited: Taking into Account Malicious Signers", International Journal of Information Security Volume 5, Issue 1, January 2006.

[BRS] Bohli、J.、Roehrich、S.、およびR. Steinwandt、 "キー置換攻撃再考：アカウント悪意のある署名者に撮りたい"、情報セキュリティ5巻、第1号の国際ジャーナル、2006年1月。

[BSS] Blake, I., Seroussi, G., and N. Smart, "Elliptic Curves in Cryptography", Cambridge University Press, 1999.

[BSS]ブレイク、I.、Seroussi、G.、およびN.スマート、 "暗号における楕円曲線"、ケンブリッジ大学出版局、1999年。

[EBP] ECC Brainpool, "ECC Brainpool Standard Curves and Curve Generation", October 2005, <http://www.ecc-brainpool.org/ download/Domain-parameters.pdf>.

[EBP] ECC Brainpool、 "ECC Brainpool標準曲線と曲線の生成"、2005年10月、<http://www.ecc-brainpool.org/ダウンロード/ドメインparameters.pdf>。

[ETSI] European Telecommunications Standards Institute (ETSI), "Algorithms and Parameters for Secure Electronic Signatures, Part 1: Hash Functions and Asymmetric Algorithms", TS 102 176-1, July 2005.

[ETSI]欧州電気通信標準化機構（ETSI）、「セキュア電子署名、パート1のためのアルゴリズムとパラメータ：ハッシュ関数および非対称アルゴリズム」、TS 102 176-1、2005年7月。

[FIPS] National Institute of Standards and Technology, "Digital Signature Standard (DSS)", FIPS PUB 186-2, December 1998.

[FIPS]米国国立標準技術研究所、 "デジタル署名標準（DSS）"、FIPS PUB 186-2の、1998年12月。

[G] Goubin, L., "A Refined Power-Analysis-Attack on Elliptic Curve Cryptosystems", Proceedings of Public-Key-Cryptography - PKC 2003, Lecture Notes in Computer Science 2567, Springer Verlag, 2003.

[G] Goubin、L.、「楕円曲線暗号の洗練されたパワー・分析・アタック」、公開鍵暗号の議事録 - PKC 2003、コンピュータサイエンス2567年、シュプリンガーフェアラーク、2003年の講義ノート。

[CFDA] Cohen, H., Frey, G., Doche, C., Avanzi, R., Lange, T., Nguyen, K., and F. Vercauteren, "Handbook of Elliptic and Hyperelliptic Curve Cryptography", Chapman & Hall CRC Press, 2006.

【CFDA]コーエン、H.、フレイ、G.、Doche、C.、Avanzi、R.、ランゲ、T.、グエン、K.、およびF. Vercauteren、 "楕円および超楕円曲線暗号のハンドブック"、チャップマン＆ホールCRCプレス、2006。

[HMV] Hankerson, D., Menezes, A., and S. Vanstone, "Guide to Elliptic Curve Cryptography", Springer Verlag, 2004.

[HMV] Hankerson、D.、メネゼス、A.、およびS. Vanstone著、 "楕円曲線暗号のガイド"、シュプリンガーフェアラーク、2004。

[HR] Huang, M. and W. Raskind, "Signature Calculus and the Discrete Logarithm Problem for Elliptic Curves (Preliminary Version)", Unpublished Preprint, 2006, <http://www-rcf.usc.edu/~mdhuang/mypapers/062806dl3.pdf>.

[HR]黄、M.およびW. Raskind、「楕円曲線（暫定版）のための署名微積分や離散対数問題」、未発表の予稿集、2006年、<http://www-rcf.usc.edu/~mdhuang/ mypapers / 062806dl3.pdf>。

[ISO1] International Organization for Standardization, "Information Technology - Security Techniques - Digital Signatures with Appendix - Part 3: Discrete Logarithm Based Mechanisms", ISO/IEC 14888-3, 2006.

標準化のための[ISO1]国際機関、「情報技術 - セキュリティ技術 - 付録付きデジタル署名 - 第3部：離散対数ベースのメカニズム」、ISO / IEC 14888から3、2006。

[ISO2] International Organization for Standardization, "Information Technology - Security Techniques - Cryptographic Techniques Based on Elliptic Curves - Part 2: Digital signatures", ISO/IEC 15946-2, 2002.

[ISO2]国際標準化機構、「情報技術 - セキュリティ技術 - 楕円曲線に基づいて暗号技術 - パート2：デジタル署名」、2002 ISO / IEC 15946から2。

[ISO3] International Organization for Standardization, "Information Technology - Security Techniques - Prime Number Generation", ISO/IEC 18032, 2005.

[ISO3]国際標準化機構、 "情報技術 - セキュリティ技術 - 素数生成"、ISO / IEC 18032、2005。

[JMV] Jao, D., Miller, SD., and R. Venkatesan, "Ramanujan Graphs and the Random Reducibility of Discrete Log on Isogenous Elliptic Curves", IACR Cryptology ePrint Archive 2004/312, 2004.

[JMV]ジャオ、D.、ミラー、SD、およびR. Venkatesan、 "ラマヌジャングラフとIsogenous楕円曲線上の離散対数のランダム還元性"、IACR暗号学ePrintのアーカイブ312分の2004、2004。

[RFC3279] Bassham, L., Polk, W., and R. Housley, "Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3279, April 2002.

[RFC3279] Bassham、L.、ポーク、W.、およびR. Housley氏、RFC 3279、2002年4月 "インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト（CRL）プロフィールのためのアルゴリズムと識別子"。

[RFC4050] Blake-Wilson, S., Karlinger, G., Kobayashi, T., and Y. Wang, "Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures", RFC 4050, April 2005.

[RFC4050]ブレイク・ウィルソン、S.、Karlinger、G.、小林、T.、およびY.ワング、RFC 4050、2005年4月 "XMLデジタル署名の楕円曲線署名アルゴリズム（ECDSA）の使用"。

[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., and B. Moeller, "Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)", RFC 4492, May 2006.

[RFC4492]ブレイク・ウィルソン、S.、Bolyard、N.、グプタ、V.、ホーク、C.、およびB.メラー、 "楕円曲線暗号（ECC）暗号スイートトランスポート層セキュリティ（TLS）のための"、RFC 4492 、2006年5月。

[RFC4754] Fu, D. and J. Solinas, "IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA)", RFC 4754, January 2007.

[RFC4754]フー、D.およびJ. Solinas、 "楕円曲線デジタル署名アルゴリズム（ECDSA）を使用してIKE及びIKEv2の認証"、RFC 4754、2007年1月。

[RFC5753] Turner, S. and D. Brown, "Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)", RFC 5753, January 2010.

[RFC5753]ターナー、S.およびD.ブラウン、RFC 5753、2010年1月 "暗号メッセージ構文における楕円曲線暗号（ECC）アルゴリズム（CMS）の使用"。

[SA] Satoh, T. and K. Araki, "Fermat Quotients and the Polynomial Time Discrete Log Algorithm for Anomalous Elliptic Curves", Commentarii Mathematici Universitatis Sancti Pauli 47, 1998.

[SA]佐藤、T.及びK.荒木、「フェルマー商と異常楕円曲線のための多項式時間離散対数アルゴリズム」、Commentarii Mathematici Universitatisサンチパウリ47、1998。

[SEC1] Certicom Research, "Elliptic Curve Cryptography", Standards for Efficient Cryptography (SEC) 1, September 2000.

[SEC1] Certicomの研究、 "楕円曲線暗号"、効率的な暗号化のための基準（SEC）1、2000年9月。

[SEC2] Certicom Research, "Recommended Elliptic Curve Domain Parameters", Standards for Efficient Cryptography (SEC) 2, September 2000.

[SEC2] Certicomの研究、 "推奨楕円曲線ドメインパラメータ"、効率的な暗号化のための基準（SEC）2、2000年9月。

[Sem] Semaev, I., "Evaluation of Discrete Logarithms on Some Elliptic Curves", Mathematics of Computation 67, 1998.

[セム] Semaev、I.、「いくつかの楕円曲線上の離散対数の評価」、計算67、1998の数学。

[Sma] Smart, N., "The Discrete Logarithm Problem on Elliptic Curves of Trace One", Journal of Cryptology 12, 1999.

[のSma]スマート、N.、「トレース一つの楕円曲線上の離散対数問題」、暗号学12、1999誌。

Appendix A. Pseudo-Random Generation of Parameters

パラメータの付録A.擬似乱数の生成

In this appendix, the methods used for pseudo-random generation of the elliptic curve domain parameters are described. A comprehensive description is given in [EBP].

この付録では、楕円曲線ドメインパラメータの擬似ランダム生成のために使用される方法が記載されています。包括的な説明は、[EBP]で与えられます。

Throughout this section the following conventions are used:

このセクションを通じて、次の規則が使用されています。

The conversion between integers x in the range 0 <= x <= 2^L - 1 and bit strings of length L is given by x <--> {x_1,...,x_L} and the binary expansion x = x_1 * 2^(L-1) + x_2 * 2^(L-2) + ... + x_(L-1)*2 + x_L, i.e., the first bit of the bit string corresponds to the most significant bit of the corresponding integer and the last bit to the least significant bit.

範囲の整数xとの間の変換0 <= X <= 2 ^ L - 長さL 1とビット列は次式で与えられ、X < - > {X_1、...、X_L}バイナリ膨張X = X_1 * 2 ^（L-1）+ X_2 * 2 ^（L-2）+ ... + X_（L-1）* 2 + X_L、すなわち、ビット列の最初のビットはの最上位ビットに対応します最下位ビットの整数と最後のビットに対応します。

For a real number x, let floor(x) denote the highest integer less than or equal to x.

実数xに対して、フロア（x）はx以下の最も高い整数を示すものとします。

For updating the seed s of 160-bit length we use the following function update_seed(s):

160ビット長のシードSを更新するために、我々は以下の関数update_seed（複数可）を使用します。

1. Convert s to an integer z.

1.変換の整数zに。

2. Convert (z+1) mod 2^160 to a bit string t and output t.

2.変換（Z + 1）MODビット列Tと出力T 2 ^ 160。

A.1. Generation of Prime Numbers

A.1。素数の生成

This section describes the systematic selection of the base fields GF(p) proposed in this specification. The prime generation method is similar to the method given in FIPS 186-2 [FIPS], Appendix 6.4, and ANSI X9.62 [ANSI1], A.3.2. It is a modification of the method "incremental search" given in Section 8.2.2 of [ISO3].

このセクションでは、本明細書で提案されたベース・フィールドGF（p）の系統的な選択を記述する。素数生成方法は、FIPS 186-2 [FIPS]、付録6.4、およびANSI X9.62 [ANSI1]、A.3.2で与えられた方法と同様です。これは、[ISO3]のセクション8.2.2で指定されたメソッド「インクリメンタルサーチ」の変形です。

For computing an integer x in the range 0 <= x <= 2^L - 1 from a seed s of 160-bit length, we use the following algorithm find_integer(s):

範囲0 <= xに整数xを計算するための<= 2 ^ L - 1種の160ビット長から、次のアルゴリズムfind_integer（複数可）を使用します。

1. Set v = floor((L-1)/160) and w = L - 160*v.

1.集合V =フロア（（L-1）/ 160）及びW = L - 160 *のV。

2. Compute h = SHA-1(s).

2.計算さh = SHA-1（S）。

3. Let h_0 be the bit string obtained by taking the w rightmost bits of h.

3. H_0は、H wの右端のビットを取ることによって得られるビット列とします。

4. Convert s to an integer z.

4.変換の整数zに。

5. For i from 1 to v do:

1からVへのiについて5.操作を行います。

A. Set z_i = (z+i) mod 2^160.

A.セットz_i =（Z + I）MOD 2 ^ 160。

B. Convert z_i to a bit string s_i.

B.ビット列S_Iにz_iを変換します。

C. Set h_i = SHA-1(s_i).

C.セットH_I = SHA-1（S_I）。

6. Let h be the string obtained by the concatenation of h_0,...,h_v from left to right.

6.時間は左から右にH_0、...、h_vの連結によって得られた文字列とします。

7. Convert h to an integer x and output x.

7.整数xと出力xにHを変換。

The following procedure is used to generate an L bit prime p from a 160-bit seed s.

以下の手順は、160ビットのシードSからLビットの素数pを生成するために使用されます。

1. Set c = find_integer(s).

1.集合C = find_integer（S）。

2. Let p be the smallest prime p >= c with p = 3 mod 4.

2. Pは、P = 3 MOD 4との最小の素数p> = Cとします。

3. If 2^(L-1) <= p <= 2^L - 1 output p and stop.

3.（L-1）^ 2の場合<= p <= 2 ^ L - 1出力Pと停止。

4. Set s = update_seed(s) and go to Step 1.

4.集合s = update_seed（S）と1に進みます。

For the generation of the primes p used as base fields GF(p) for the curves defined in this specification (and the corresponding twisted curves), the following values (in hexadecimal representation) have been used as initial seed s:

ベース分野本明細書に定義された曲線（および対応するねじれ曲線）のためのGF（P）として使用される素数pを生成するために、（16進表記で）以下の値が初期シードSとして使用されています。

Seed_p_160 for brainpoolP160r1: 3243F6A8885A308D313198A2E03707344A409382

brainpoolP160r1ためSeed_p_160：3243F6A8885A308D313198A2E03707344A409382

Seed_p_192 for brainpoolP192r1: 2299F31D0082EFA98EC4E6C89452821E638D0137

brainpoolP192r1ためSeed_p_192：2299F31D0082EFA98EC4E6C89452821E638D0137

Seed_p_224 for brainpoolP224r1: 7BE5466CF34E90C6CC0AC29B7C97C50DD3F84D5B

brainpoolP224r1ためSeed_p_224：7BE5466CF34E90C6CC0AC29B7C97C50DD3F84D5B

Seed_p_256 for brainpoolP256r1: 5B54709179216D5D98979FB1BD1310BA698DFB5A

brainpoolP256r1ためSeed_p_256：5B54709179216D5D98979FB1BD1310BA698DFB5A

Seed_p_320 for brainpoolP320r1: C2FFD72DBD01ADFB7B8E1AFED6A267E96BA7C904

brainpoolP320r1ためSeed_p_320：C2FFD72DBD01ADFB7B8E1AFED6A267E96BA7C904

Seed_p_384 for brainpoolP384r1: 5F12C7F9924A19947B3916CF70801F2E2858EFC1

brainpoolP384r1ためSeed_p_384：5F12C7F9924A19947B3916CF70801F2E2858EFC1

Seed_p_512 for brainpoolP512r1: 6636920D871574E69A458FEA3F4933D7E0D95748

brainpoolP512r1ためSeed_p_512：6636920D871574E69A458FEA3F4933D7E0D95748

These seeds have been obtained as the first 7 substrings of 160-bit length each of Q = Pi*2^1120, where Pi is the constant 3.14159..., also known as Ludolph's number, i.e.,

これらの種子は、すなわち、またLudolphの数として知られている160ビット長の第7ストリングPiが一定3.14159 * 2 ^ 1120 Q = Piを、各...、のように得られました

Q = Seed_p_160||Seed_p_192||...||Seed_p_512||Remainder, where || denotes concatenation.

Q = Seed_p_160 || || Seed_p_192 ... || || Seed_p_512余り、どこ||連結を示しています。

Using these seeds and the above algorithm the following primes are obtained:

これらの種子と、以下の素数が得られる上記のアルゴリズムを使用します：

p_160 = 1332297598440044874827085558802491743757193798159

p_192 = 4781668983906166242955001894344923773259119655253013193367

p_224 = 2272162293245435278755253799591092807334073214594499230443 5472941311

p_256 = 7688495639704534422080974662900164909303795020094305520373 5601445031516197751

p_320 = 1763593322239166354161909842446019520889512772719515192772 9604152886408688021498180955014999035278

p_384 = 2165927077011931617306923684233260497979611638701764860008 1618503821089934025961822236561982844534088440708417973331

p_512 = 8948962207650232551656602815159153422162609644098354511344 597187200057010413552439917934304191956942765446530386427345937963 894309923928536070534607816947

A.2. Generation of Pseudo-Random Curves

A.2。擬似ランダム曲線の生成

The generation procedure is similar to the procedure given in FIPS PUB 186-2 [FIPS], Appendix 6.4, and ANSI X9.62 [ANSI1], A.3.2.

生成手順のFIPS PUB 186-2 [FIPS]、付録6.4、およびANSI X9.62 [ANSI1]、A.3.2で与えられた手順と同様です。

For computing an integer x in the range 0 <= x <= 2^(L-1) - 1 from a seed s of 160-bit length, we use the algorithm find_integer_2(s), which slightly differs from the method used for the generation of the primes.

範囲0 <= xで<= 2 ^（L-1）の整数xを計算するための - 1種の160ビット長のから、我々は、わずかに使用される方法とは異なるアルゴリズムfind_integer_2（複数可）を使用します素数の世代。

1. Set v = floor((L-1)/160) and w = L - 160*v - 1.

1.集合V =フロア（（L-1）/ 160）及びW = L - 160 * V - 1。

2. Compute h = SHA-1(s).

2.計算さh = SHA-1（S）。

3. Let h_0 be the bit string obtained by taking the w rightmost bits of h.

3. H_0は、H wの右端のビットを取ることによって得られるビット列とします。

4. Convert s to an integer z.

4.変換の整数zに。

5. For i from 1 to v do:

1からVへのiについて5.操作を行います。

A. Set z_i = (z+i) mod 2^160.

A.セットz_i =（Z + I）MOD 2 ^ 160。

B. Convert z_i to a bit string s_i.

B.ビット列S_Iにz_iを変換します。

C. Set h_i = SHA-1(s_i).

C.セットH_I = SHA-1（S_I）。

6. Let h be the string obtained by the concatenation of h_0,...,h_v from left to right.

6.時間は左から右にH_0、...、h_vの連結によって得られた文字列とします。

7. Convert h to an integer x and output x.

7.整数xと出力xにHを変換。

The following procedure is used to generate the parameters A and B of a suitable elliptic curve over GF(p) and a base point G from a prime p of bit length L and a 160-bit seed s.

以下の手順は、ビット長Lと160ビットのシードSの素数pからGF上の適切な楕円曲線（P）のパラメータAとBとベースポイントGを生成するために使用されます。

1. Set h = find_integer_2(s).

1.集合H = find_integer_2（S）。

2. Convert h to an integer A.

整数A. 2.変換さh

3. If -3 = A*Z^4 mod p is not solvable, then set s = update_seed(s) and go to Step 1.

3.もし-3 = A * Z ^ 4 MOD pは、解決可能ではない、その後、S = update_seed（S）設定し、ステップ1に行きます。

4. Compute one solution Z of -3 = A*Z^4 mod p.

-3 = A * Z ^ 4 MOD P 4.計算一つの解決策のZ。

5. Set s = update_seed(s).

5.集合s = update_seed（S）。

6. Set B = find_integer_2(s).

6.セットB = find_integer_2（S）。

7. If B is a square mod p, then set s = update_seed(s) and go to Step 6.

7. Bは正方形のmod Pである場合、S = update_seed（複数可）を設定し、ステップ6に進みます。

8. If 4*A^3 + 27*B^2 = 0 mod p, then set s = update_seed(s) and go to Step 1.

8. 4 * A ^ 3 + 27 * B ^ 2 = 0 MOD pは、次にS = update_seed（複数可）を設定し、ステップ1に行く場合。

9. Check that the elliptic curve E over GF(p) given by y^2 = x^3 + A*x + B fulfills all security and functional requirements given in Section 3. If not, then set s = update_seed(s) and go to Step 1.

Y ^ 2 = X ^ 3 + A * X + Bは、その後、S = update_seed（S）設定され、そうでない場合、セクション3で与えられたすべてのセキュリティおよび機能要件を満たすことによって与えられる9チェックGF（p）上の楕円曲線Eそのそして1に進みます。

10. Set s = update_seed(s).

10.集合s = update_seed（S）。

11. Set k = find_integer_2(s).

11.セットK = find_integer_2（S）。

12. Determine the points Q and -Q having the smallest x-coordinate in E(GF(p)). Randomly select one of them as point P.

12.点Qを決定し、-Qは、最小E（GF（p））にx座標を有します。ランダムに点Pとしてそれらのいずれかを選択

13. Compute the base point G = k * P.

13.計算ベースポイントG = K * P.

14. Output A, B, and G.

14.出力A、B、およびG.

Note: Of course P could also be used as a base point. However, the small x-coordinate of P could possibly render the curve vulnerable to side-channel attacks.

注：もちろんPの、ベースポイントとして使用することができます。しかし、小さなx座標Pのは、おそらく攻撃チャネル側に脆弱な曲線を描画することができました。

For the generation of curve parameters A and B, and the base points G defined in this specification, the following values (in hexadecimal representation) have been used as initial seed s:

曲線パラメータA及びB、及びGは、本明細書で定義された基準点を生成するために、（16進表記で）以下の値が初期シードSとして使用されています。

Seed_ab_160 for brainpoolP160r1: 2B7E151628AED2A6ABF7158809CF4F3C762E7160

brainpoolP160r1ためSeed_ab_160：2B7E151628AED2A6ABF7158809CF4F3C762E7160

Seed_ab_192 for brainpoolP192r1: F38B4DA56A784D9045190CFEF324E7738926CFBE

brainpoolP192r1ためSeed_ab_192：F38B4DA56A784D9045190CFEF324E7738926CFBE

Seed_ab_224 for brainpoolP224r1: 5F4BF8D8D8C31D763DA06C80ABB1185EB4F7C7B5

brainpoolP224r1ためSeed_ab_224：5F4BF8D8D8C31D763DA06C80ABB1185EB4F7C7B5

Seed_ab_256 for brainpoolP256r1: 757F5958490CFD47D7C19BB42158D9554F7B46BC

brainpoolP256r1ためSeed_ab_256：757F5958490CFD47D7C19BB42158D9554F7B46BC

Seed_ab_320 for brainpoolP320r1: ED55C4D79FD5F24D6613C31C3839A2DDF8A9A276

brainpoolP320r1ためSeed_ab_320：ED55C4D79FD5F24D6613C31C3839A2DDF8A9A276

Seed_ab_384 for brainpoolP384r1: BCFBFA1C877C56284DAB79CD4C2B3293D20E9E5E

brainpoolP384r1ためSeed_ab_384：BCFBFA1C877C56284DAB79CD4C2B3293D20E9E5E

Seed_ab_512 for brainpoolP384r1: AF02AC60ACC93ED874422A52ECB238FEEE5AB6AD

brainpoolP384r1ためSeed_ab_512：AF02AC60ACC93ED874422A52ECB238FEEE5AB6AD

These seeds have been obtained as the first 7 substrings of 160-bit length each of R = floor(e*2^1120), where e denotes the constant 2.71828..., also known as Euler's number, i.e.,

これらの種子は、eは定数2.71828を示しR =フロア（E * 2 ^ 1120）、...、また、オイラー数として知られている、すなわち、160ビット長毎の第7サブストリングとして得られました

R = Seed_ab_160||Seed_ab_192||...||Seed_ab_512||Remainder, where || denotes concatenation.

R = Seed_ab_160 || || Seed_ab_192 ... || || Seed_ab_512余り、どこ||連結を示しています。

Authors' Addresses

著者のアドレス

Manfred Lochter Bundesamt fuer Sicherheit in der Informationstechnik (BSI) Postfach 200363 53133 Bonn Germany

情報技術セキュリティのためのマンフレッドLochter連邦庁（BSI）POSTFACH 200363 53133ボンドイツ

Phone: +49 228 9582 5643 EMail: manfred.lochter@bsi.bund.de

電話：+49 228 9582 5643 Eメール：manfred.lochter@bsi.bund.de

Johannes Merkle secunet Security Networks Mergenthaler Allee 77 65760 Eschborn Germany

ヨハネス・マークルsecunetセキュリティネットワークMergenthalerアリー77 65760エシュボルンドイツ

Phone: +49 201 5454 2021 EMail: johannes.merkle@secunet.com

電話：+49 201 5454 2021 Eメール：johannes.merkle@secunet.com