Niech r´ownanie Y2 = X3 + aX + b definiuje krzyw¸a eliptyczn¸a V nad cia lem Fq charakterystyki p &gt

(1)

ALGEBRAICZNE ASPEKTY KRYPTOGRAFII LISTA 3: Kryptosystemy na bazie krzywych eliptycznych.

Krzywe eliptyczne nad cia lem skończonym. Niech równanie Y² = X³ + aX + b definiuje krzyw¸a eliptyczn¸a V nad cia lem F_q charakterystyki p > 3 (w przypadku charakterystyki ≤ 3 rozpatrujemy równanie w postaci jej odpowiadaj¸acej¹ ). Punkty cia la F_q^r spe lniaj¸ace podane równanie nazywamy punktami F_q^r-wymiernymi krzywej V i oznaczamy przez V (F_q^r). Niech N_r := |V (F_q^r)|.

Przedstawiaj¸ac funkcje e^x jako szereg 1 + x + x²/(2!) + ... + xⁿ/(n!)+ wyliczamy szereg generuj¸acy (=funkcj¸e dzeta krzywej): Z(V /F_q; T ) := e^P^N^r^T^r^/r.

Twierdzenie (Hasse). Niech c := q + 1 − N₁. Wtedy c² ≤ 4q i Z(V /Fq; T ) · (1 − T )(1 − qT ) = 1 − cT + qT².

Wniosek. (a) Niech α b¸edzie pierwiastkiem zespolonym wielomianu q − cT + T². Wtedy N_r = |α^r− 1|² = q^r+ 1 − α^r− ¯α^r.

(b) (”Twierdzenie Hassego”). q + 1 − 2√

q ≤ |V (F_q)| ≤ q + 1 + 2√ q.

Zad.1. Niech V /F_p ma r´ownanie Y² + Y = X³− X + 1, gdzie p ≤ 3. Pokaza´c,

˙ze N₁ = 1. Znale´z´c prosty wz´or na N_r.

Zad.2. Znale´zć krzyw¸a eliptyczn¸a V /F4 z |V (F4)| = 1. Znale´zć prosty wzór na N_r. Pokazać, ˙ze (2^r− 1)P = 0 dla P ∈ V (F₄^r).

Zad.3. Niech q = 2^r i V /F_q ma równanie Y² + Y = X³. Pokazać, ˙ze V (F₁₆) = V (F4) i elementy grupy V (F16) maj¸a rz¸ad 3. Znale´zć |V (F16)|.

Przedstawienie kryptogram´ow przez punkty F_q-wymierne krzywej eliptycznej. Niech p > 2, q = p^r i k jest liczb¸a naturaln¸a ≥ 30.

Niech M = max{m : m jest kryptogramem } + 1. Zak ladamy, ˙ze M k + 1 < q.

Kryptogram m przedstawiamy jako kod pewnej liczby postaci mk + j, 1 ≤ j ≤ k, w ciele F_q. Liczb¸e mk + j o p-adycznym rozk ladzie a_r−1p^r−1+ ... + a₁p + a₀ kodujemy przez wielomian a_r−1X^r−1+ ... + a₁X + a₀ nad F_p (i przez odpowiedni element cia la F_q= F_p[X]/I).

Wybór elementu z := mk + j odbywa si¸e w sposób nast¸epuj¸acy. Niech j b¸edzie minimalnym i ≤ k, ˙ze dla odpowiedniego kodu x ∈ F_p[X]/I elementu mk + i warto´sć w := x³+ ax + b ma pierwiastek kwadratowy w F_q.

Zad.4. Pokazać, ˙ze wystarczy po prostu wyliczyć w^(q−1)/2; pot¸ega ta jest równa

−1 lub 1, i ostatni przypadek zachodzi dok ladnie gdy w jest kwadratem.

Wtedy m mo˙zna zrekonstruować jako cz¸e´sć ca lkowit¸a u lamka (z − 1)/k. Dla wybranego z = mk + j i odpowiedniego x ∈ F_q znajdujemy y ∈ F_q spe lniaj¸acy równanie y² = x³+ ax + b. Para (x, y) jest punktem krzywej koduj¸acym m. Na mocy twierdzenia Hassego prawdopodobieństwo, ˙ze mk + j jak wy˙zej nie istnieje, wynosi oko lo 2^−k.

1Y²= X³+a2X²+a4X +a6dla char 3; Y²+a3Y = X³+a4X +a6lub Y²+XY = X³+a2X²+a6

dla char 2

1

(2)

Zad.5. Niech V b¸edzie krzyw¸a eliptyczn¸a y²+ y = x³− x nad cia lem F₇₅₁. Wtedy

|V | = 727. Niech k = 20, M = 35. Zakodowa´c komunikat ’20’. Deszyfrowa´c punkty krzywej (361,383),(241,605),(201,380), (461,467),(581,395).

Wybór cia la F_q, krzywej i punktu generuj¸acego nad F_q. Niech V b¸edzie krzyw¸a eliptyczn¸a nad Q i B ∈ V (Q). Wybieraj¸ac liczb¸e pierwsz¸a p wzgl¸ednie pierwsz¸a z mianownikami wspó lczynników V i wystarczaj¸acej ilo´sci krotno´sci kB punktu B, przypisujemy q := p i rozpatrujemy B i V jako punkt i zbiór punktów nad F_q.

Zad.6. Niech V jest okre´slona nad Q przez y² + y = x³ − x i niech B = (0, 0).

Wybra´c p tak, ˙zeby wystarczaj¸aco wiele krotno´sci 2ⁱB znalaz lo si¸e w grupie gen- erowanej przez B nad F_p.

Problem logarytmu dyskretnego na krzywej eliptycznej V nad F_q: dla punktów P i Q ∈ V (F_q) okre´slić, czy istnieje z ∈ Z takie, ˙ze zP = Q; znale´zć takie z je´sli istnieje.

Problem ten ma du˙z¸a z lo˙zono´s´c obliczeniow¸a.

Wymiana kluczy (Diffie-Hellman). Niech V b¸edzie krzyw¸a eliptyczn¸a nad Fq i Q ∈ V b¸edzie publicznie znanym punktem. Nadawca A i odbiorca B wybieraj¸a sekretne liczby k_A i k_B i wysy laj¸a do siebie nawzajem punkty k_AQ i k_BQ. Wtedy ka˙zdy z nich posiada wsp´olny klucz P = kAkBQ. Z drugiej strony wyznaczenie P przez publicznie znane Q, k_AQ i k_BQ wymaga rozwi¸azania pewnej postaci problemu logarytmu dyskretnego.

Szyfrowanie (ElGamal): Dla przesy lania wiadomo´sci R ∈ V nadawca A wybiera tajn¸a liczb¸e losow¸a l i wysy la par¸e punkt´ow lQ i R+lk_BQ. Dla deszyfrowania odbiorca B wymna˙za pierwszy punkt przez k_B i wynik odejmuje od drugiego punktu.

System Massey’a-Omura. Niech V b¸edzie krzyw¸a eliptyczn¸a nad Fq. Niech |V | = N . Niech e_B< N b¸edzie liczb¸a naturaln¸a wybran¸a przez B i niech d_Bspe lnia r´owno´s´c d_Be_B = 1(modN ).

Nadawca A r´ownie˙z ustala eA < N i dA z dAeA = 1(modN ). Dla wysy lania wiadomo´sci P ∈ V nadawca najpierw wysy la e_AP . Odbiorca B odsy la e_Ae_BP do A.

Wtedy nadawca oblicza e_BP jako d_Ae_Ae_BP i wysy la e_BP do B. Odbiorca B oblicza P jako dBeBP . Zlo˙zono´s´c obliczenia P z publicznie znanych eAP , eBP i eAeBP jest bardzo du˙za.

System ECDSA. Niech V b¸edzie krzyw¸a eliptyczn¸a nad F_pi P ∈ V b¸edzie punktem rz¸edu liczby pierwszej N . Nadawca A wybiera klucz prywatny x < N − 1 i wylicza klucz publiczny Q = xP .

Aby podpisać wiadomo´sć m nadawca A wybiera losowo k < N − 1 i wylicza kP = (x1, y2). Liczba k ma być wybrana tak, ˙zeby N W D(N, x1) = 1. Niech r := x1modN i s := k⁻¹(H(m) + xr)modN , gdzie H(m) jest skrótem wiadomo´sci. W przypadku gdy s 6= 0, podpisem wiadomo´sci m jest para (r, s).

˙Zeby sprawdzi´c podpis odbiorca B wylicza H(m), w = s⁻¹modN , u1 = H(m)wmodN i u₂ = rwmodN . Niech (x₀, y₀) = u₁P + u₂Q i v := x₀modN .

Zad.7. Pokaza´c, ˙ze podpis ma by´c zaakceptowany wtedy i tylko wtedy gdy v = r.

2

(3)

Zad. 8. Pokaza´c, ˙ze w przypadku char > 3 r´ownanie Y² = X³+ aX + b okre´sla krzyw¸a eliptyczn¸a wtedy i tylko wtedy gdy 4a³+ 27b² 6= 0.

Zad. 9. Niech r´ownanie Y² = X³ + aX + b okre´sla krzyw¸a eliptyczn¸a nad Q.

Wybieramy du˙z¸a liczb¸e pierwsz¸a p, ˙zeby mie´c krzyw¸a eliptyczn¸a nad F_p.

Pokazać, ˙ze je´sli prawa cz¸e´sć rozk lada si¸e na czynniki liniowe w F_p, to grupa zdefiniowana na krzywej nie jest cykliczna. Je´sli prawa cz¸e´sć ma pierwiastki w Fp, to rz¸ad grupy zdefiniowanej na krzywej jest parzysty.

Zad. 10. Niech krzywa eliptyczna E jest zdefiniowana nad F_p, gdzie p jest pierwsza. Niech Nr := |E(Fp^r)|. Pokaza´c, ˙ze dla p > 3 i r > 1 liczba Nr nie jest pierwsza. Pokaza´c, ˙ze w przypadku p ≤ 3 krzywa z Zadania 1 stanowi przyklad z pierwszymi liczbami N_r, dla r > 1.

Algorytm logarytmu dyskretnego Silvera, Pohlinga i Hellmana.

Niech G b¸edzie grup¸a abelow¸a. Zak ladamy, ˙ze rz¸ad |G| jest znany i nie posiada dzielnik´ow pierwszych wi¸ekszych ni˙z B (tzn. |G| jest B-g ladki), gdzie B jest pewn¸a ma l¸a liczb¸a rzeczywist¸a.

Niech g ∈ G, y ∈ G i y = M · g dla pewnej liczby naturalnej M .

Dla ka˙zdej liczby pierwszej p < B szukamy najwi¸ekszej l_p z warunkiem

|G|

p^l^pg = 0.

Dziel¸ac |G| przez iloczyn otrzymanych p^l^p, znajdziemy rz¸ad |g|. Niech N = |g|.

Dla ka˙zdej liczby pierwszej p znajdujemy najwi¸ekszy dzielnik p^r liczby N . Oznaczamy reszt¸e u lamka M/p^r jako x₀+ x₁p + ... + x_r−1p^r−1, 0 ≤ x_i ≤ p − 1 i szukamy x₀, x₁, ..., x_r−1 rekurencyjnie:

wyznaczamy x0 z warunku x0· (N/p)g = (N/p)y;

wyznaczamy x₁ z warunku (x₀+ x₁p) · (N/p²)g = (N/p²)y;

- - - -

Gdy b¸edziemy znać wszystkie reszty u lamków M/p^r, znajdujemy M z chińskiego twierdzenia o resztach.

Zad. 11. Niech q = 2^r, gdzie r jest nieparzysta . Funkcja ´sladu z F_q do F₂ jest zdefiniowana nast¸epuj¸aco:

T r(z) = z + z²+ ... + z²ⁱ + ... + z²^r−1.

(a) Pokazać, ˙ze T r(z) jest addytywna i przyjmuje warto´sć 1 dok ladnie dla q/2 ele- mentów cia la F_q.

(b) Pokaza´c, ˙ze je´sli z ∈ F_q, to r´ownanie Y²+ Y = z ma rozwi¸azanie w F_q wtedy i tylko wtedy, gdy T r(z) = 0.

(c) Niech g(z) = z + z⁴+ ... + z²²ⁱ+ ... + z²^r−1. Pokaza´c, ˙ze g(z) + g(z)² = z + T r(z).

(d) Niech E b¸edzie krzyw¸a eliptyczn¸a nad F_q. Opisa´c probabilistyczny algorytm znajdowania punkt´ow na E.

3