Miroslav Kureš. Aplikovaná matematika Ostravice workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice

O Weilovˇ e p´ arov´ an´ı na eliptick´ ych kˇ rivk´ ach Miroslav Kureˇs

Aplikovaná matematika Ostravice 2012 2. workshop A-Math-Net S´ıt’ pro transfer znalost´ı v aplikované matematice Abstrakt. Pracovn´ı semin´ arn´ı text, jehoˇ zu ´ˇ celem je poskytnout jen tu nejz´ akladnˇ ejˇs´ı pˇredstavu, s jak´ ymi algebraick´ ymi probl´ emy se lze setkat v eliptick´ e kryptografii a v kryptografii zaloˇ zen´ e na identitˇ e.

1. Kryptosyst´ emy s veˇ rejn´ ym kl´ıˇ cem ve srovn´ an´ı s kryptosyst´ emy zaloˇ zen´ ymi na identitˇ e. Kryptosystém s veˇrejným kl´ıˇcem: veˇrejn´ y kl´ıˇc KU , soukrom´ y kl´ıˇc KR . Kl´ıˇc KU je generov´ an jednosmˇernou funkc´ı z KR . Pokud je Bob offline, nelze komunikovat. Pokud Eva (man-in-the-middle) pˇresvˇedˇc´ı Alici, ˇze KU je jin´ y, snadno pak deˇsifruje zpr´ avy urˇcené Bobovi. Tento autentikaˇcn´ı problém (ovˇeˇren´ı identity) je ˇreˇsen certifik´ aty poskytovan´ ymi d˚ uvˇeryhodnou autoritou. Kryptosystém zaloˇzený na identitˇe: veˇrejn´ ym kl´ıˇcem KU je jednoznaˇcná identifikace Boba (napˇr. telefonn´ı ˇc´ıslo nebo e-mailová adresa). Certifikáty nejsou tˇreba. Je-li Bob offline, lze komunikovat (napˇr. zpráva m˚ uˇze ˇcekat v Short Message Service Center a b´ yt odesl´ ana pozdˇeji).

2. Eliptick´ e kˇ rivky.

Eliptickou kˇrivkou E nad polem F rozum´ıme algebraickou

kˇrivku tˇret´ıho stupnˇe s rovnic´ı y 2 + a1 xy + a3 y = x3 + a2 x2 + a4 x + a6 , 1

ˇ MIROSLAV KURES

2

kde a1 , a2 , a3 , a4 , a6 ∈ F a kde tzv. diskriminant ∆ eliptické kˇrivky E je nenulov´ y. Pˇritom −d22 d8 − 8d34 − 27d26 + 9d2 d4 d6

∆

=

d2

= a21 + 4a2

d4

=

2a4 + a1 a3

d6

=

a23 + 4a6

d8

=

a21 a6 + 4a2 a6 − a1 a3 a4 + a2 a23 + a24 .

Je-li Fq = Fpn (p prvoˇc´ıslo, n ∈ N koneˇcné pole s charakteristikou r˚ uznou od 2 a 3, pak vhodnou zmˇenou souˇradnic lze Weierstrassovu rovnici transformovat na rovnici y 2 = x3 + ax + b. Je-li Fq koneˇcné pole s charakteristikou 2, pak vhodnou zmˇenou souˇradnic lze Weierstrassovu rovnici transformovat na rovnici y 2 + xy = x3 + ax2 + b (tzv. nesupersingul´ arn´ı eliptická kˇrivka) nebo na rovnici y 2 + cy = x3 + ax + b (tzv. supersingul´ arn´ı eliptick´ a kˇrivka). Obdobná vˇeta plat´ı i pro pole charakteristiky 3. Bodem eliptické kˇrivky E rozum´ıme kaˇzd´ y bod [x, y] se souˇradnicemi x, y ∈ F splˇ nuj´ıc´ımi jej´ı rovnici a d´ ale bod ∞. Nad body eliptické kˇrivky (nadále jiˇz bereme ∞ ∈ E) lze zavést bin´ arn´ı operaci znaˇcenou + a nazvanou seˇcno-teˇcnové sˇc´ıt´ an´ı takto: jsou-li dva body P = [x1 , y1 ], Q = [x2 , y2 ] eliptické kˇrivky E r˚ uzné, vedeme skrze nˇe pˇr´ımku; ta protne E jeˇstˇe v dalˇs´ım bodˇe a R = P + Q vezmeme jako bod osovˇe soumˇern´ y s t´ımto tˇret´ım bodem podle osy x. (Je-li pˇr´ımka rovnobˇeˇzná s osou y, tˇret´ı bod E na n´ı jiˇz neexistuje, pak klademe P + Q = ∞.) Dále, pro souˇcet P + P vedeme bodem bodem P teˇcnu; ta protne E jeˇstˇe v dalˇs´ım bodˇe a R = P + P vezmeme jako bod osovˇe soumˇern´ y s t´ımto bodem podle osy x. (Opˇet, je-li pˇr´ımka rovnobˇeˇzn´ a s osou y, klademe P + P = ∞.) Souˇcet libovolného bodu P eliptické kˇrivky E s bodem ∞ poloˇz´ıme roven P .

ˇ PAROV ´ ´ Í NA ELIPTICKYCH ´ ˇ ´ O WEILOVE AN KRIVK ACH

3

Vzorce pro seˇcno-teˇcnové sˇc´ıtán´ı (pro pole s p r˚ uzn´ ym od 2 i od 3): (pˇr´ıpad R = P + Q; R = [r1 , r2 ], P = [p1 , p2 ], Q = [q1 , q2 ]) 2 q2 − p2 q2 − p2 r1 = − p1 − q1 r2 = (p1 − r1 ) − p2 q1 − p1 q1 − p1 (pˇr´ıpad R = 2P = P + P ; R = [r1 , r2 ], P = [p1 , p2 ]) 2 2 2 3p1 + a 3p1 + a − 2p1 r2 = r1 = (p1 − r1 ) − p2 2p2 2p2 ˇ adem eliptické kˇrivky E pak rozum´ıme ˇrád této grupy Nyn´ı je (E, +) grupa. R´ ˇcili poˇcet bod˚ u E; znaˇc´ıme ho #E. Je-li E eliptická kˇrivka nad koneˇcn´ ym polem Fq , pro jej´ı ˇr´ ad #E(Fq ) plat´ı odhad √ √ q + 1 − 2 q ≤ #E(Fq ) ≤ q + 1 + 2 q (Hasseho interval). Existuje tedy t ∈ Z takové, ˇze #E(Fq ) = q + 1 − t,

√ kde |t| ≤ 2 q.

ˇ ad eliptické kˇrivky lze pomoc´ı t a Legendrova symbolu urˇcit takto: R´ X x3 + ax + b t=− p x∈Fp

Pˇr´ımé uˇzit´ı tohoto vztahu se naz´ yvá naivn´ı algoritmus pro urˇcen´ı ˇrádu eliptické kˇrivky.

3. Torzn´ı podgrupy. Pro m ∈ N bod P kˇrivky E splˇ nuj´ıc´ı mP = ∞ nazveme m-tý torzn´ı bod. Mnoˇzina vˇsech m-t´ ych torzn´ıch bod˚ u se znaˇc´ı E[m], se zaveden´ ym sˇc´ıtán´ım bod˚ u je E[m] podgrupou grupy E, naz´ yváme ji m-t´ a torzn´ı grupa. Je-li m libovoln´ ym n´ asobkem ˇrádu bodu P , pak P ∈ E[m]. Prvn´ı torzn´ı podgrupa je evidenentˇe trivi´ aln´ı (obsahuje pouze bod ∞), zat´ımco #E-tá torzn´ı podgrupa uˇz je rovna E. (Nic nového nepˇrináˇs´ı, uvaˇzujeme-li m > #E.) Bod ∞ je prvkem vˇsech m-t´ ych torzn´ıch grup a dále je zˇrejmé, ˇze v pˇr´ıpadˇe nesoudˇelného m a #E je také m-t´ a torzn´ı podgrupa vˇzdy triviáln´ı. Jak vypad´ a druh´ a torzn´ı grupa eliptick´ ych kˇrivek? Pro jej´ı body plat´ı P + P = ∞, coˇz je moˇzné jen pro nulovou y-ovou souˇradnici bodu P . Tedy jde o to, zda existuje koˇren rovnice x3 + ax + b = 0 (v Fp ). Pokud ano, je ˇrád #E(Fp ) sud´ ya tedy t je sudé, neexistuje-li koˇren x3 + ax + b = 0 (v Fp ), je t je liché.

ˇ MIROSLAV KURES

4

Obecnˇe nejsou torzn´ı podgrupy grupy G cyklické, nebot’ sama grupa G nemus´ı b´ yt cyklick´ a; nejsou cyklické ani pro pˇr´ıpad m, které je menˇs´ı neˇz ˇrád grupy G: napˇr´ıklad druh´ a torzn´ı grupa grupy G = Z4 ⊕ Z6 je tvoˇrena body (0, 0), (2, 0), (0, 3), (2, 3) a evidentnˇe nen´ı generovaná jedin´ ym prvkem. Pokud jde o grupu E nad polem Fq , pak ta je vˇzdy izomorfn´ı grupˇ e Zn1 ⊕Zn2 , pˇ riˇ cemˇ z n2 dˇ el´ı jak n1 , tak q − 1 (Teorém 3.12, [2]). Pak ovˇsem #E = n1 n2 . Je-li n2 = 1, je grupa E cyklická. Je-li n2 > 1 malé pˇrirozené ˇc´ıslo (2, 3, 4, . . . ), ˇr´ık´ ame, ˇze grupa E je témˇeˇr cyklick´ a. V cyklické grupˇe existuje bod, jehoˇz ˇrád je roven jiˇz pˇr´ımo #E. Pro urˇcen´ı ˇrádu eliptické kˇrivky je ale také v´ yhodné, je-li témˇeˇr cyklick´ a, nebot’ v n´ı existuj´ı body dostateˇcnˇe vysokého ˇrádu, jejichˇz násobek patˇr´ı do Hasseho intervalu.

4. Eliptick´ a kryptografie.

Uvedeme nyn´ı, v ˇcem spoˇc´ıvá podstata eliptické

kryptografie s veˇrejn´ ym kl´ıˇcem (ECC). Pro jednoduchost vezmeme prvoˇc´ıselné poˇ adem bodu lem Fp , nad kter´ ym uvaˇzujeme eliptickou kˇrivku E a jej´ı bod P ∈ E. R´ ˇ ad kaˇzdého bodu P eliptické P rozum´ıme nejmenˇs´ı n ∈ N takové, ˇze nP = ∞. R´ kˇrivky E dˇel´ı ˇr´ ad této kˇrivky. (To je znám´ y Lagrange˚ uv teorém z teorie grup.) Bod P vyberme tak, aby jeho ˇr´ adem bylo prvoˇc´ıslo n. Dále vyberme nˇejaké k ∈ [1, n−1] ´ a spoˇctˇeme Q = kP . Udaje o poli a eliptické kˇrivce jsou tzv. definiˇcn´ı parametry a pokl´ adaj´ı se za zn´ amé. Veˇrejn´ ym kl´ıˇcem jsou body P a Q a soukrom´ ym kl´ıˇcem ˇc´ıslo k.

´ kladn´ı ElGamal ˇ ´ n´ı pomoc´ı elipticky ´ ch kr ˇiAlgoritmus. Za sifrova vek. ˇn´ı parametry, ver ˇejny ´ kl´ıc ˇ P , Q, zpra ´ va m. Vstup: Definic ˇ ´ stup: Sifrovan ´ zpra ´ va (C1 , C2 ). Vy a 1. Vyj´ adˇri m jako bod M eliptické kˇrivky. 2. Vyber a ∈ [1, n − 1]. 3. Spoˇcti C1 = aP . 4. Spoˇcti C2 = M + aQ. 5. Vrat’ (C1 , C2 ).

ˇ PAROV ´ ´ Í NA ELIPTICKYCH ´ ˇ ´ O WEILOVE AN KRIVK ACH

5

´ kladn´ı ElGamal deˇ ´ n´ı pomoc´ı elipticky ´ ch kr ˇiAlgoritmus. Za sifrova vek. ˇn´ı parametry, ver ˇejny ´ kl´ıc ˇ P , Q, soukromy ´ kl´ıc ˇ k, Vstup: Definic ˇ ´ zpra ´ va (C1 , C2 ). sifrovana ´ stup: Zpra ´ va m. Vy 1. Spoˇcti M = C2 − kC1 . 2. Pˇreved’ M na m. 3. Vrat’ m.

5. Biline´ arn´ı zobrazen´ı grup a Weilovo p´ arov´ an´ı.

Uvaˇzujme dvˇe grupy

G = (G, +), H = (H, ·H), k ∈ Z a zobrazen´ı φ : G × G → H splˇ nuj´ıc´ı φ(g1 + g2 , g3 )

=

φ(g1 , g3 ) · φ(g2 , g3 )

φ(kg1 , g2 )

=

(φ(g1 , g2 ))

φ(g1 , g2 + g3 )

=

φ(g1 , g2 ) · φ(g1 , g3 )

φ(g1 , kg2 )

=

(φ(g1 , g2 )) .

k

k

Takové zobrazen´ı nazveme biline´ arn´ı zobrazen´ı. (Uˇz´ıváme zde aditivn´ı notaci pro G a multiplikativn´ı notaci pro H.) V pˇr´ıpadˇe eliptick´ ych kˇrivek m˚ uˇzeme uvaˇzovat napˇr. G = (E, +) a H = (Fq − {0}, ·), pro d´ ale uvedené Weilova párován´ı je volba grup speciálnˇejˇs´ı. Weilovo p´ arov´ an´ı je zobrazen´ı e : E[m] × E[m] → Um , ¯ p (F ¯ p je algebraick´ kde Um = (Um , ·) je grupa m-t´ ych odmocnin jedniˇcky v F y uzávˇer Fq = Fpn ).

6. Weilovo p´ arov´ an´ı v kryptografii zaloˇ zen´ e na identitˇ e.

D˚ uvˇeryhodná

autorita je oznaˇcov´ ana jako PKG (private key generator). Ta zvol´ı univerzáln´ı tajn´ y kl´ıˇc s. Poté zveˇrejn´ı: rovnici eliptické kˇrivky, jej´ı základn´ı bod P , veˇrejn´ y kl´ıˇc systému sP a haˇsovac´ı funkci h. Kaˇzd´ y uˇzivatel má veˇrejn´ y kl´ıˇc KU = QID (bod eliptické kˇrivky vych´ azej´ıc´ı z identity) a soukrom´ y kl´ıˇc KR = sQID , kter´ y

ˇ MIROSLAV KURES

6

obdrˇz´ı od PKG. Odes´ılatel zprávy M vybere náhodnˇe ˇc´ıslo r a pos´ılá (U, V ) = (rP, M + h(e(QID , sP )r )) . Adres´ at pak za pouˇzit´ı svého soukromého kl´ıˇce sQID z (U, V ) spoˇcte M = V + h(e(sQID , U )).

7. Z´ avˇ ereˇ cn´ e pozn´ amky. Kryptografie zaloˇzená na identitˇe je vhodná zejména pro ˇsifrov´ an´ı mobiln´ımi telefony. Mezi eliptické kˇrivky doporuˇcené standardy patˇr´ı y 2 + xy = x3 + x2 + b nad bin´ arn´ımi poli F2163 , F2233 , F2409 (s´ıla ˇsifrován´ı roste). Napˇr. pro q = 2409 mus´ı n2 dˇelit jak n1 , tak nˇekteré z ˇc´ısel 4480666067023, 76025626689833, 3881196575913244673719425770871246487895686937951690944453838586764072695131586617955811936945129,

tzn. pro drtivou vˇetˇsinu kˇrivek (pro vˇsechny?) nad t´ımto polem je grupa eliptické kˇrivky cyklick´ a. Bezpeˇcnost kryptosystému zaloˇzeného na identitˇe pak plyne z obt´ıˇznosti tzv. Diffieho-Hellmanova problému pro cyklické grupy. Reference 1. J.-S. Hwu, R.J. Chen a Y.-B. Lin, An efficient identity-based cryptosystem for end-to-end mobile security, IEEE Transactions 5, 2586–2593 (2006) 2. D. Hankerson, A. Menezes a S. Vanstone, Guide to Elliptic Curve Cryptography, Springer 2004 3. R. Sakai a M. Kasahara, ID based cryptosystems with pairing on elliptic curve, Cryptology ePrint Archive, Report 2003/054 E-mail address: [email protected]

Miroslav Kureš. Aplikovaná matematika Ostravice workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice

Recommend Documents