博士

やあ、ロボ子。今日はDiffie-Hellman鍵交換の話をするのじゃ。

ロボ子

Diffie-Hellman鍵交換ですか、博士。なぜ楕円曲線が使われるんでしょう？モンスター群じゃダメなんですか？

博士

良い質問じゃな、ロボ子！Diffie-Hellmanには、群Gとその要素gが必要なのじゃ。そして、gの位数pは、g^p = e（単位元）を満たす最小の正の整数じゃ。

ロボ子

なるほど。秘密鍵sを使って公開鍵p = g^sを計算して、別の公開鍵q = g^rと共通鍵K = q^s = g^{rs}を計算するんでしたね。

博士

その通り！秘密鍵から公開鍵への写像は群準同型なのじゃ。でも全射ではない。ここがミソじゃ。

ロボ子

群準同型…ですか。有限単純群は分類されていて、無限系列の群と26個の散在型群があるんですよね。

博士

そうじゃ。秘密鍵から公開鍵への写像は群同型だから、群論者にとってはZ/pZと<g>は区別がつかないのじゃ。

ロボ子

圏論的にはどうなんでしょう？

博士

圏論の言葉を使うと、「任意の群が機能するはず」という考えがなぜ成り立たないのかがわかるのじゃ。Diffie-Hellmanは群ではなく、群対象で機能するのじゃ。

ロボ子

群対象…ですか。公開鍵空間は代数多様体の圏における群対象であるべきで、それらは代数群と呼ばれるんですね。

博士

そう！代数群には、線形群（加法群Gaと乗法群Gm）とアーベル多様体の2つの主要なタイプがあるのじゃ。

ロボ子

1次元のアーベル多様体が楕円曲線で、Diffie-Hellmanに適しているんですね。

博士

その通り！有限体Diffie-Hellmanは、楕円曲線Diffie-Hellmanの一種なのじゃ。

ロボ子

楕円曲線はj不変量によって分類されるんでしたね。Y^2 = X^3 - X^2のような特異点を持つ曲線もあるとか。

博士

そうじゃ。わずかにねじれた結節曲線は、乗法群を与えるのじゃ。結局、Diffie-Hellmanの選択肢は実際には楕円曲線しかないのじゃ。

ロボ子

なるほど、よくわかりました。つまり、モンスター群では鍵交換できないんですね。

博士

そういうことじゃ！…ところでロボ子、モンスター群って、なんだか強そうな名前じゃな。もしかして、ロボ子の隠し機能に関係あったり…？

ロボ子

博士、私は美少女ロボットです。モンスターは退治する対象です。