Miroslav Kureš. Aplikovaná matematika Ostravice 2012 2. workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice



Podobné dokumenty
ELIPTICKÉ KRYPTOGRAFIE S VYBRANÝMI ALGORITMY,

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Pokročilá kryptologie

1 Báze a dimenze vektorového prostoru 1

ElGamal, Diffie-Hellman

Karel Klouda c KTI, FIT, ČVUT v Praze 28. února, letní semestr 2010/2011

ALGEBRA. Téma 4: Grupy, okruhy a pole

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

asymetrická kryptografie

MPI - 5. přednáška. 1.1 Eliptické křivky

Eliptické křivky a RSA

Matematika IV - 3. přednáška Rozklady grup

Matematika IV - 5. přednáška Polynomy

FUNKCE POJEM, VLASTNOSTI, GRAF

0.1 Úvod do lineární algebry

Základní pojmy teorie množin Vektorové prostory

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky. 7.přednáška. Kryptosystémy veřejného klíče II

grupa těleso podgrupa konečné těleso polynomy komutativní generovaná prvkem, cyklická, řád prvku charakteristika tělesa

Funkce - pro třídu 1EB

Věta o dělení polynomů se zbytkem

Teorie grup 1 Příklad axiomatické teorie

Jak pracovat s absolutními hodnotami

FAKULTA STROJNÍHO INŽENÝRSTVÍ ÚSTAV MATEMATIKY

Kapitola 1: Reálné funkce 1/20

Matematika IV - 3. přednáška Rozklady grup

Diskrétní logaritmus

Algebra 2 KMI/ALG2. Zpracováno podle přednášek prof. Jiřího Rachůnka a podle přednášek prof. Ivana Chajdy. slidy k přednáškám

Algebraické struktury s jednou binární operací

Inovace a zkvalitnění výuky prostřednictvím ICT

7. Funkce jedné reálné proměnné, základní pojmy

MFF UK Praha, 22. duben 2008

Funkce a lineární funkce pro studijní obory

Základy teorie grupoidů a grup

6. Vektorový počet Studijní text. 6. Vektorový počet

Přednáška 1: Reálná funkce jedné reálné proměnné

Bakalářská matematika I

1 Vektorové prostory.

Matematika pro informatiku 2

0.1 Úvod do lineární algebry

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

Vektorové podprostory, lineární nezávislost, báze, dimenze a souřadnice

INVESTICE DO ROZVOJE VZDĚLÁVÁNÍ. Modernizace studijního programu Matematika na PřF Univerzity Palackého v Olomouci CZ.1.07/2.2.00/28.

1 Připomenutí vybraných pojmů

Matematika IV - 2. přednáška Základy teorie grup

Matematika IV - 5. přednáška Polynomy

7 Analytické vyjádření shodnosti

6 Samodružné body a směry afinity

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Učební texty k státní bakalářské zkoušce Matematika Algebra. študenti MFF 15. augusta 2008

Charakteristika tělesa

Kryptografie založená na problému diskrétního logaritmu

V předchozí kapitole jsme podstatným způsobem rozšířili naši představu o tom, co je to číslo. Nadále jsou pro nás důležité především vlastnosti

Diffieho-Hellmanův protokol ustanovení klíče

DEFINICE Z LINEÁRNÍ ALGEBRY

Funkce, elementární funkce.

Polynomy. Mgr. Veronika Švandová a Mgr. Zdeněk Kříž, Ph. D. 1.1 Teorie Zavedení polynomů Operace s polynomy...

Vektory a matice. Obsah. Aplikovaná matematika I. Carl Friedrich Gauss. Základní pojmy a operace

Teoretická informatika Tomáš Foltýnek Algebra Struktury s jednou operací

Složitost a moderní kryptografie

(1) Dokažte, že biprodukt je součin (a tím pádem i součet). Splňují-li homomorfismy. A B je izomorfismus stejně jako A B i+j

MATICE. a 11 a 12 a 1n a 21 a 22 a 2n A = = [a ij]

Šifrová ochrana informací věk počítačů KS - 5

Matematická funkce. Kartézský součin. Zobrazení. Uspořádanou dvojici prvků x, y označujeme [x, y] Uspořádané dvojice jsou si rovny, pokud platí:

Lineární algebra Kapitola 1 - Základní matematické pojmy

Matematika (CŽV Kadaň) aneb Úvod do lineární algebry Matice a soustavy rovnic

SOFTWAROVÁ PODPORA VÝUKY KRYPTOSYSTÉMŮ ZALOŽENÝCH NA ELIPTICKÝCH KŘIVKÁCH

Definice Tečna paraboly je přímka, která má s parabolou jediný společný bod,

Státní závěrečná zkouška z oboru Matematika a její použití v přírodních vědách

Permutační grupy Cykly a transpozice Aplikace. Permutace. Rostislav Horčík: Y01DMA 11. května 2010: Permutace 1/17

ELIPTICKÉ KŘIVKY V KRYPTOGRAFII

Matematická analýza III.

1 LIMITA FUNKCE Definice funkce. Pravidlo f, které každému x z množiny D přiřazuje právě jedno y z množiny H se nazývá funkce proměnné x.

Úvod do kryptologie. 6. března L. Balková (FJFI ČVUT v Praze) Primality Testing and Factorization 6. března / 41

Michal Zamboj. January 4, 2018

[1] x (y z) = (x y) z... (asociativní zákon), x y = y x... (komutativní zákon).

Poznámka. Je-li f zobrazení, ve kterém potřebujeme zdůraznit proměnnou, píšeme f(x) (resp. f(y), resp. f(t)) je zobrazení místo f je zobrazení.

Adam Beran. Eliptické křivky nad konečnými tělesy

17 Kuželosečky a přímky

Matematika I (KMI/5MAT1)

1 Řešení soustav lineárních rovnic

Co je to univerzální algebra?

Základy matematiky pro FEK

0.1 Úvod do matematické analýzy

REÁLNÁ FUNKCE JEDNÉ PROMĚNNÉ

y = 1/(x 3) - 1 x D(f) = R D(f) = R\{3} D(f) = R H(f) = ( ; 2 H(f) = R\{ 1} H(f) = R +

15. Moduly. a platí (p + q)(x) = p(x) + q(x), 1(X) = id. Vzniká tak struktura P [x]-modulu na V.

CZ.1.07/1.5.00/

Kapitola 1: Reálné funkce 1/13

Předmluva k šestému číslu časopisu Kvaternion

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Problematika převodu zprávy na body eliptické křivky

Matematika I (KMI/PMATE)

Michal Zamboj. December 23, 2016

Operace s maticemi. 19. února 2018

KOMPLEXNÍ ČÍSLA INVESTICE DO ROZVOJE VZDĚLÁVÁNÍ

Funkce pro učební obory

VEKTOR. Vymyslete alespoň tři příklady vektorových a skalárních fyzikálních veličin. vektorové: 1. skalární

)(x 2 + 3x + 4),

Transkript:

O Weilově párování na eliptických křivkách Miroslav Kureš Aplikovaná matematika Ostravice 2012 2. workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice Abstrakt. Pracovní seminární text, jehož účelem je poskytnout jen tu nejzákladnější představu, s jakými algebraickými problémy se lze setkat v eliptické kryptografii a v kryptografii založené na identitě. 1. Kryptosystémy s veřejným klíčem ve srovnání s kryptosystémy založenými na identitě. Kryptosystém s veřejným klíčem: veřejný klíč K U, soukromý klíč K R. Klíč K U je generován jednosměrnou funkcí z K R. Pokud je Bob offline, nelze komunikovat. Pokud Eva (man-in-the-middle) přesvědčí Alici, že K U je jiný, snadno pak dešifruje zprávy určené Bobovi. Tento autentikační problém (ověření identity) je řešen certifikáty poskytovanými důvěryhodnou autoritou. Kryptosystém založený na identitě: veřejným klíčem K U je jednoznačná identifikace Boba (např. telefonní číslo nebo e-mailová adresa). Certifikáty nejsou třeba. Je-li Bob offline, lze komunikovat (např. zpráva může čekat v Short Message Service Center a být odeslána později). 2. Eliptické křivky. Eliptickou křivkou E nad polem F rozumíme algebraickou křivku třetího stupně s rovnicí y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6, 1

2 MIROSLAV KUREŠ kde a 1, a 2, a 3, a 4, a 6 F a kde tzv. diskriminant eliptické křivky E je nenulový. Přitom = d 2 2d 8 8d 3 4 27d 2 6 + 9d 2 d 4 d 6 d 2 = a 2 1 + 4a 2 d 4 = 2a 4 + a 1 a 3 d 6 = a 2 3 + 4a 6 d 8 = a 2 1a 6 + 4a 2 a 6 a 1 a 3 a 4 + a 2 a 2 3 + a 2 4. Je-li F q = F p n (p prvočíslo, n N konečné pole s charakteristikou různou od 2 a 3, pak vhodnou změnou souřadnic lze Weierstrassovu rovnici transformovat na rovnici y 2 = x 3 + ax + b. Je-li F q konečné pole s charakteristikou 2, pak vhodnou změnou souřadnic lze Weierstrassovu rovnici transformovat na rovnici y 2 + xy = x 3 + ax 2 + b (tzv. nesupersingulární eliptická křivka) nebo na rovnici y 2 + cy = x 3 + ax + b (tzv. supersingulární eliptická křivka). Obdobná věta platí i pro pole charakteristiky 3. Bodem eliptické křivky E rozumíme každý bod [x, y] se souřadnicemi x, y F splňujícími její rovnici a dále bod. Nad body eliptické křivky (nadále již bereme E) lze zavést binární operaci značenou + a nazvanou sečno-tečnové sčítání takto: jsou-li dva body P = [x 1, y 1 ], Q = [x 2, y 2 ] eliptické křivky E různé, vedeme skrze ně přímku; ta protne E ještě v dalším bodě a R = P + Q vezmeme jako bod osově souměrný s tímto třetím bodem podle osy x. (Je-li přímka rovnoběžná s osou y, třetí bod E na ní již neexistuje, pak klademe P + Q =.) Dále, pro součet P +P vedeme bodem bodem P tečnu; ta protne E ještě v dalším bodě a R = P +P vezmeme jako bod osově souměrný s tímto bodem podle osy x. (Opět, je-li přímka rovnoběžná s osou y, klademe P + P =.) Součet libovolného bodu P eliptické křivky E s bodem položíme roven P.

O WEILOVĚ PÁROVÁNÍ NA ELIPTICKÝCH KŘIVKÁCH 3 Vzorce pro sečno-tečnové sčítání (pro pole s p různým od 2 i od 3): (případ R = P + Q; R = [r 1, r 2 ], P = [p 1, p 2 ], Q = [q 1, q 2 ]) ( ) 2 ( ) q2 p 2 q2 p 2 r 1 = p 1 q 1 r 2 = (p 1 r 1 ) p 2 q 1 p 1 q 1 p 1 (případ R = 2P = P + P ; R = [r 1, r 2 ], P = [p 1, p 2 ]) ( ) 3p 2 2 ( ) r 1 = 1 + a 3p 2 2p 1 r 2 = 1 + a (p 1 r 1 ) p 2 2p 2 2p 2 Nyní je (E, +) grupa. Řádem eliptické křivky E pak rozumíme řád této grupy čili počet bodů E; značíme ho #E. Je-li E eliptická křivka nad konečným polem F q, pro její řád #E(F q ) platí odhad q + 1 2 q #E(F q ) q + 1 + 2 q (Hasseho interval). Existuje tedy t Z takové, že #E(F q ) = q + 1 t, kde t 2 q. Řád eliptické křivky lze pomocí t a Legendrova symbolu určit takto: t = ( x 3 ) + ax + b p x F p Přímé užití tohoto vztahu se nazývá naivní algoritmus pro určení řádu eliptické křivky. 3. Torzní podgrupy. Pro m N bod P křivky E splňující mp = nazveme m-tý torzní bod. Množina všech m-tých torzních bodů se značí E[m], se zavedeným sčítáním bodů je E[m] podgrupou grupy E, nazýváme ji m-tá torzní grupa. Je-li m libovolným násobkem řádu bodu P, pak P E[m]. První torzní podgrupa je evidenentě triviální (obsahuje pouze bod ), zatímco #E-tá torzní podgrupa už je rovna E. (Nic nového nepřináší, uvažujeme-li m > #E.) Bod je prvkem všech m-tých torzních grup a dále je zřejmé, že v případě nesoudělného m a #E je také m-tá torzní podgrupa vždy triviální. Jak vypadá druhá torzní grupa eliptických křivek? Pro její body platí P + P =, což je možné jen pro nulovou y-ovou souřadnici bodu P. Tedy jde o to, zda existuje kořen rovnice x 3 + ax + b = 0 (v F p ). Pokud ano, je řád #E(F p ) sudý a tedy t je sudé, neexistuje-li kořen x 3 + ax + b = 0 (v F p ), je t je liché.

4 MIROSLAV KUREŠ Obecně nejsou torzní podgrupy grupy G cyklické, nebot sama grupa G nemusí být cyklická; nejsou cyklické ani pro případ m, které je menší než řád grupy G: například druhá torzní grupa grupy G = Z 4 Z 6 je tvořena body (0, 0), (2, 0), (0, 3), (2, 3) a evidentně není generovaná jediným prvkem. Pokud jde o grupu E nad polem F q, pak ta je vždy izomorfní grupě Z n1 Z n2, přičemž n 2 dělí jak n 1, tak q 1 (Teorém 3.12, [2]). Pak ovšem #E = n 1 n 2. Je-li n 2 = 1, je grupa E cyklická. Je-li n 2 > 1 malé přirozené číslo (2, 3, 4,... ), říkáme, že grupa E je téměř cyklická. V cyklické grupě existuje bod, jehož řád je roven již přímo #E. Pro určení řádu eliptické křivky je ale také výhodné, je-li téměř cyklická, nebot v ní existují body dostatečně vysokého řádu, jejichž násobek patří do Hasseho intervalu. 4. Eliptická kryptografie. Uvedeme nyní, v čem spočívá podstata eliptické kryptografie s veřejným klíčem (ECC). Pro jednoduchost vezmeme prvočíselné polem F p, nad kterým uvažujeme eliptickou křivku E a její bod P E. Řádem bodu P rozumíme nejmenší n N takové, že np =. Řád každého bodu P eliptické křivky E dělí řád této křivky. (To je známý Lagrangeův teorém z teorie grup.) Bod P vyberme tak, aby jeho řádem bylo prvočíslo n. Dále vyberme nějaké k [1, n 1] a spočtěme Q = kp. Údaje o poli a eliptické křivce jsou tzv. definiční parametry a pokládají se za známé. Veřejným klíčem jsou body P a Q a soukromým klíčem číslo k. Algoritmus. Základní ElGamal šifrování pomocí eliptických křivek. Vstup: Definiční parametry, veřejný klíč P, Q, zpráva m. Výstup: Šifrovaná zpráva (C 1, C 2 ). 1. Vyjádři m jako bod M eliptické křivky. 2. Vyber a [1, n 1]. 3. Spočti C 1 = ap. 4. Spočti C 2 = M + aq. 5. Vrat (C 1, C 2 ).

O WEILOVĚ PÁROVÁNÍ NA ELIPTICKÝCH KŘIVKÁCH 5 Algoritmus. Základní ElGamal dešifrování pomocí eliptických křivek. Vstup: Definiční parametry, veřejný klíč P, Q, soukromý klíč k, šifrovaná zpráva (C 1, C 2 ). Výstup: Zpráva m. 1. Spočti M = C 2 kc 1. 2. Převed M na m. 3. Vrat m. 5. Bilineární zobrazení grup a Weilovo párování. Uvažujme dvě grupy G = (G, +), H = (H, H), k Z a zobrazení φ: G G H splňující φ(g 1 + g 2, g 3 ) = φ(g 1, g 3 ) φ(g 2, g 3 ) φ(kg 1, g 2 ) = (φ(g 1, g 2 )) k φ(g 1, g 2 + g 3 ) = φ(g 1, g 2 ) φ(g 1, g 3 ) φ(g 1, kg 2 ) = (φ(g 1, g 2 )) k. Takové zobrazení nazveme bilineární zobrazení. (Užíváme zde aditivní notaci pro G a multiplikativní notaci pro H.) V případě eliptických křivek můžeme uvažovat např. G = (E, +) a H = (F q {0}, ), pro dále uvedené Weilova párování je volba grup speciálnější. Weilovo párování je zobrazení e: E[m] E[m] U m, kde U m = (U m, ) je grupa m-tých odmocnin jedničky v F p ( F p je algebraický uzávěr F q = F p n). 6. Weilovo párování v kryptografii založené na identitě. Důvěryhodná autorita je označována jako PKG (private key generator). Ta zvolí univerzální tajný klíč s. Poté zveřejní: rovnici eliptické křivky, její základní bod P, veřejný klíč systému sp a hašovací funkci h. Každý uživatel má veřejný klíč K U = Q ID (bod eliptické křivky vycházející z identity) a soukromý klíč K R = sq ID, který

6 MIROSLAV KUREŠ obdrží od PKG. Odesílatel zprávy M vybere náhodně číslo r a posílá (U, V ) = (rp, M + h(e(q ID, sp ) r )). Adresát pak za použití svého soukromého klíče sq ID z (U, V ) spočte M = V + h(e(sq ID, U)). 7. Závěrečné poznámky. Kryptografie založená na identitě je vhodná zejména pro šifrování mobilními telefony. Mezi eliptické křivky doporučené standardy patří y 2 + xy = x 3 + x 2 + b nad binárními poli F 2 163, F 2 233, F 2 409 (síla šifrování roste). Např. pro q = 2 409 musí n 2 dělit jak n 1, tak některé z čísel 4480666067023, 76025626689833, 3881196575913244673719425770871246487895686937951690944453838586764072695131586617955811936945129, tzn. pro drtivou většinu křivek (pro všechny?) nad tímto polem je grupa eliptické křivky cyklická. Bezpečnost kryptosystému založeného na identitě pak plyne z obtížnosti tzv. Diffieho-Hellmanova problému pro cyklické grupy. Reference 1. J.-S. Hwu, R.J. Chen a Y.-B. Lin, An efficient identity-based cryptosystem for end-to-end mobile security, IEEE Transactions 5, 2586 2593 (2006) 2. D. Hankerson, A. Menezes a S. Vanstone, Guide to Elliptic Curve Cryptography, Springer 2004 3. R. Sakai a M. Kasahara, ID based cryptosystems with pairing on elliptic curve, Cryptology eprint Archive, Report 2003/054 E-mail address: kures@fme.vutbr.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář