Семинар 6 - MIPT...Аналог системы RSA на э.к.В варианте RSA на эллиптических кривых используется кривая у2

Семинар 6

Самохина Марина

Эллиптические кривые

• Определение элиптической кривой Ɛ –

гладкая кривая, удовлетворяющая

уравнению:

y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 ,

а также бесконечно удаленная точка О

Пример э. к. над полем

действительных чиселy2=x3+ax+b

b=-1 b=-0 b=1 b=2

а=-2

а=-1

а=0

а=1

Эллиптические кривые

• Элиптическая кривая Ɛ не должна иметь

особых точек

• Геометрически это значит, что график не

должен иметь точек возврата и

самопересечений

• Алгебраически это значит, что дискриминант

Δ = − 16(4a3 + 27b2)

не должен быть равен нулю

Эллиптические кривые

• Если кривая не имеет особых точек, то еѐ

график имеет две части, если дискриминант

положителен, и одну — если отрицателен

• Для первого графика Δ= 64, для второго

Δ = -368

Эллиптические кривые

• Сложение точек кривой

• Точка О – единица по сложению

Канонические уравнения с

выражениями арифметических

операцийТип поля и вариант кривой

Каноническое уравнение кривой

Формула сложения

Формула удвоения

Поле характеристики, отличной от 2 и 3

y2=x3+ax+b

Поле характеристики3

y2=x3+ax2+bx+c

Поле характиристики2, суперсинуглярнаякривая

y2+ay=x3+bx+c

Поле характиристики2, несуперсинуглярнаякривая

y2+axy=x3+bx2+c

Порядок эллиптической кривой

• Порядок эллиптической кривой - порядок

группы точек эллиптической кривой (число

различных точек на Ɛ, включая точку O)

• Для эллиптической кривой Ɛ заданной над

простым полем Fp, порядок m группы точек

данной кривой зависит от размера поля,

определяемого простым числом p, и

удовлетворяет неравенству:

p+1-2√p≤m ≤ p+1+2√p

Порядок точек эллиптической

кривой

• Каждая точка P эллиптической кривой над простым

полем Ɛ(Fp) образует циклическую подгруппу G

группы точек эллиптической кривой

• Порядок циклической подгруппы группы точек

эллиптической кривой (число точек в подгруппе)

называется порядком точки эллиптической кривой

• Точка P на Ɛ(Fp) называется точкой порядка q, если:

q P=O

где q – наименьшее натуральное число, при котором

выполняется данное условие

Алгоритмы, использующие

эллиптические кривые• Э. к. над конечными полями используются в некоторых

криптографических приложениях и факторизации

• Основная идея, заложенная в этих приложениях,

заключается в том, что известный алгоритм,

используемый для конкретных конечных групп

переписывается для использования групп рациональных

точек эллиптических кривых

1. DSA с эллиптическими кривыми

2. ГОСТ Р 34.10-2001

3. Факторизация c помощью эллиптических кривых

Ленстры

Модификации существующих

криптосистем

• Большинство криптосистем современной криптографии естественным

образом можно "переложить" на эллиптические кривые

• Далее рассмотрим варианты некоторых наиболее распространенных

криптосистем

• Во всех описаниях стороны считаются законными участниками

информационного процесса

• В обоих случаях эллиптическая кривая рассматривается над кольцом

вычетов по составному модулю n

• Параметры b и а не задаются пользователем, а "стихийно складываются"

при выборе отправителем сообщения случайного числа у

• Для операций с точками кривой знать параметр b не нужно

• Параметр а легко находится с помощью расширенного алгоритма Евклида

по заданной точке (х, у) из уравнения y2 = x3 + ax

Аналог системы RSA на э.к.В варианте RSA на эллиптических кривых используется кривая у2 = х3 + b с

условием p = q = 5(mod 6) или кривая у2 = x3 + ax с условием p=q= 3(mod 4)

Шаг алгоритма Исходный алгоритм Случай э.к.

1 Определение рабочего модуля n Алиса заранее выбирает два простых больших числа p и q и вычисляет n=pq

2 Генерация случайным образом открытого ключа e. Алисаотправляет Бобу пару (n,e)

e взаимно просто c p-1и q -1.Также 1<e<n

e взаимно просто c p+1и q +1.Также 1<e<n

3 Алиса вычисляет закрытый ключ d d=e-1mod(p-1 )(q -1) e-1mod(p+1 )(q +1)

4 Боб вычисляет шифротекст C и отправляет его Алисе

C=Memod(n) C=e(M,y), y – случ. число, (M,y) – точка элиптич.кривой

5 Алиса расшифровывает шифротекст

M=Cdmod(n) (M,y)=dC

Аналог системы DH на э.к.Шаг алгоритма Исходный алгоритм Случай э.к.

1 Определение рабочей группы (кривой) и базового элемента. Алиса отправляет Бобу :

Большое простое p ислучайное g: 1<g<p

Элептич. кривую и случайную точку Gна ней

2 Алиса выбирает случ. число a иотправляет Бобу :

Число ga=gamod(p) Точку Ga=aG

3 Боб выбирает случ. число b иотправляет Алисе :

Число gb=gbmod(p) Точку Gb=bG

4 Алиса вычисляет: Секретное число k=ga

hmod(p)Секретную точку K=aGb

5 Боб вычисляет: Секретное число k=gb

amod(p)Секретную точку K=bGa

6 Алиса и Боб обладают одним секретом, так как:

gahmod(p)=(gb) amod(p)

=gabmod(p) (ga) bmod(p)=gb

amod(p)

aGb=a(bG)=(ab)G=b(aG)=bGa

Квантовый взлом

• Алгоритм Шора можно модифицировать так,

чтобы он взламывал описанные выше

протоколы и другие аналоги классических

криптосистем, основанные на эллиптических

кривых