Эллиптические кривые
advertisement
Семинар 6 Самохина Марина Эллиптические кривые • Определение элиптической кривой Ɛ – гладкая кривая, удовлетворяющая уравнению: y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 , а также бесконечно удаленная точка О Пример э. к. над полем действительных чисел b=-1 а=-2 а=-1 а=0 а=1 b=-0 b=1 y2=x3+ax+b b=2 Эллиптические кривые • Элиптическая кривая Ɛ не должна иметь особых точек • Геометрически это значит, что график не должен иметь точек возврата и самопересечений • Алгебраически это значит, что дискриминант Δ = − 16(4a3 + 27b2) не должен быть равен нулю Эллиптические кривые • Если кривая не имеет особых точек, то еѐ график имеет две части, если дискриминант положителен, и одну — если отрицателен • Для первого графика Δ= 64, для второго Δ = -368 Эллиптические кривые • Сложение точек кривой • Точка О – единица по сложению Канонические уравнения с выражениями арифметических операций Тип поля и вариант кривой Поле характеристики, отличной от 2 и 3 Каноническое уравнение кривой y2=x3+ax+b Поле характеристики 3 y2=x3+ax2+bx+c Поле характиристики 2, суперсинуглярная кривая y2+ay=x3+bx+c Поле характиристики 2, несуперсинуглярная кривая y2+axy=x3+bx2+c Формула сложения Формула удвоения Порядок эллиптической кривой • Порядок эллиптической кривой - порядок группы точек эллиптической кривой (число различных точек на Ɛ, включая точку O) • Для эллиптической кривой Ɛ заданной над простым полем Fp, порядок m группы точек данной кривой зависит от размера поля, определяемого простым числом p, и удовлетворяет неравенству: p+1-2√p≤m ≤ p+1+2√p Порядок точек эллиптической кривой • Каждая точка P эллиптической кривой над простым полем Ɛ(Fp) образует циклическую подгруппу G группы точек эллиптической кривой • Порядок циклической подгруппы группы точек эллиптической кривой (число точек в подгруппе) называется порядком точки эллиптической кривой • Точка P на Ɛ(Fp) называется точкой порядка q, если: q P=O где q – наименьшее натуральное число, при котором выполняется данное условие Алгоритмы, использующие эллиптические кривые • Э. к. над конечными полями используются в некоторых криптографических приложениях и факторизации • Основная идея, заложенная в этих приложениях, заключается в том, что известный алгоритм, используемый для конкретных конечных групп переписывается для использования групп рациональных точек эллиптических кривых DSA с эллиптическими кривыми 2. ГОСТ Р 34.10-2001 3. Факторизация c помощью эллиптических кривых Ленстры 1. Модификации существующих криптосистем • Большинство криптосистем современной криптографии естественным образом можно "переложить" на эллиптические кривые • Далее рассмотрим варианты некоторых наиболее распространенных криптосистем • Во всех описаниях стороны считаются законными участниками информационного процесса • В обоих случаях эллиптическая кривая рассматривается над кольцом вычетов по составному модулю n • Параметры b и а не задаются пользователем, а "стихийно складываются" при выборе отправителем сообщения случайного числа у • Для операций с точками кривой знать параметр b не нужно • Параметр а легко находится с помощью расширенного алгоритма Евклида по заданной точке (х, у) из уравнения y2 = x3 + ax Аналог системы RSA на э.к. В варианте RSA на эллиптических кривых используется кривая у2 = х3 + b с условием p = q = 5(mod 6) или кривая у2 = x3 + ax с условием p=q= 3(mod 4) Шаг алгоритма Исходный алгоритм Случай э.к. 1 Определение рабочего модуля n Алиса заранее выбирает два простых больших числа p и q и вычисляет n=pq 2 Генерация случайным образом открытого ключа e. Алиса отправляет Бобу пару (n,e) e взаимно просто c p-1 и q -1. Также 1<e<n 3 Алиса вычисляет закрытый ключ d d=e-1mod(p-1 )(q -1) e-1mod(p+1 )(q +1) 4 Боб вычисляет шифротекст C и отправляет его Алисе C=Memod(n) C=e(M,y), y – случ. число, (M,y) – точка элиптич.кривой 5 Алиса расшифровывает шифротекст M=Cdmod(n) (M,y)=dC e взаимно просто c p+1 и q +1. Также 1<e<n Аналог системы DH на э.к. Шаг алгоритма Исходный алгоритм Случай э.к. 1 Определение рабочей группы (кривой) и базового элемента. Алиса отправляет Бобу : Большое простое p и случайное g: 1<g<p Элептич. кривую и случайную точку G на ней 2 Алиса выбирает случ. число a и отправляет Бобу : Число ga=gamod(p) Точку Ga=aG 3 Боб выбирает случ. число b и отправляет Алисе : Число gb=gbmod(p) Точку Gb=bG 4 Алиса вычисляет: Секретное число k=gahmod(p) Секретную точку K=aGb 5 Боб вычисляет: Секретное число k=gbamod(p) Секретную точку K=bGa 6 Алиса и Боб обладают одним секретом, так как: gahmod(p)=(gb) amod(p) aGb=a(bG)=(ab)G =gabmod(p) (ga) bmod(p) =b(aG)=bG a =gbamod(p) Квантовый взлом • Алгоритм Шора можно модифицировать так, чтобы он взламывал описанные выше протоколы и другие аналоги классических криптосистем, основанные на эллиптических кривых
