Krivky a kryptografie - A-Math-Net

Transkript

Křivky
Asymetrická kryptografie
ECC (& HECC)
Eliptické křivky na ÚM FSI VUT v Brně
Křivky a kryptografie
Miroslav Kureš
Pavlov, 6. června 2011
Miroslav Kureš
Křivky
ECC (& HECC)
Obsah
1
Křivky
Algebraické rovinné křivky
Eliptické křivky
Zjednodušenı́ Weierstrassovy rovnice
Eliptické křivky jako grupy
2
Principy
RSA (Rivest, Shamir a Adleman)
3
ECC (& HECC)
Úvod do ECC
Vizualizace eliptických křivek nad konečnými poli
Řád eliptické křivky
Hypereliptické křivky
4
Miroslav Kureš
Křivky
ECC (& HECC)
Uvažujeme množinu řešenı́ rovnice
P(x, y ) = 0
(P polynom)
Pak:
deg P = 1: přı́mky
deg P = 2: kuželosečky
deg P = 3: 78 typů (Newton: 72)
Miroslav Kureš
Křivky
ECC (& HECC)
Kubické rovinné křivky
Tedy: vhodnou transformacı́ souřadnic lze každou kubickou
křivku převést na jeden ze sedmdesáti osmi kanonických
typů. Tyto typy sdružujeme do čtyř skupin.
skupina čarodějnic Agnesiové:
xy 2 + ey = ax 3 + bx 2 + cx + d
Miroslav Kureš
Křivky
ECC (& HECC)
xy 2 + ey = ax 3 + bx 2 + cx + d
skupina Newtonových trojzubců:
xy = ax 3 + bx 2 + cx + d
Miroslav Kureš
Křivky
ECC (& HECC)
xy 2 + ey = ax 3 + bx 2 + cx + d
xy = ax 3 + bx 2 + cx + d
skupina rozbı́havých parabol:
y 2 = ax 3 + bx 2 + cx + d
Miroslav Kureš
Křivky
ECC (& HECC)
xy 2 + ey = ax 3 + bx 2 + cx + d
xy = ax 3 + bx 2 + cx + d
skupina rozbı́havých parabol:
y 2 = ax 3 + bx 2 + cx + d
skupina kubických parabol:
y = ax 3 + bx 2 + cx + d
Miroslav Kureš
Křivky
ECC (& HECC)
Podobně jako kvadratické křivky jsou řezy kužele rovinou,
bylo dokázáno (Clairaut), že kubické křivky jsou řezy tzv.
kubického kužele
zy 2 = ax 3 + bx 2 z + cxz 2 + dz 3
vhodnou rovinou.
Miroslav Kureš
Křivky
ECC (& HECC)
Eliptickou křivkou E nad polem F rozumı́me algebraickou
křivku třetı́ho stupně s rovnicı́
y 2 + a1 xy + a3 y = x 3 + a2 x 2 + a4 x + a6 ,
kde a1 , a2 , a3 , a4 , a6 ∈ F a kde tzv. diskriminant ∆ eliptické
křivky E je nenulový. Přitom
∆ = −d22 d8 − 8d43 − 27d62 + 9d2 d4 d6
d2 = a12 + 4a2
d4 = 2a4 + a1 a3
d6 = a32 + 4a6
d8 = a12 a6 + 4a2 a6 − a1 a3 a4 + a2 a32 + a42 .
Miroslav Kureš
Křivky
ECC (& HECC)
Mystické“ vlastnosti eliptických křivek:
”
řešenı́ eliptických rovnic, např.
y2 = x3 − 2
(Fermat)
Miroslav Kureš
Křivky
ECC (& HECC)
”
y2 = x3 − 2
(Fermat)
Tanijamova-Šimurova(-Weilova) hypotéza: eliptické
křivky odpovı́dajı́ modulárnı́m formám =⇒ Velká
Fermatova věta (Wiles 1993)
Miroslav Kureš
Křivky
ECC (& HECC)
”
y2 = x3 − 2
(Fermat)
Tanijamova-Šimurova(-Weilova) hypotéza: eliptické
křivky odpovı́dajı́ modulárnı́m formám =⇒ Velká
Fermatova věta (Wiles 1993)
r. 1985 navrhnut kryptosystém založený na eliptických
křivkách (Koblitz, Miller), od cca poloviny 90. let
prakticky využı́ván
Miroslav Kureš
Křivky
ECC (& HECC)
Je-li F konečné pole s charakteristikou různou od 2 a 3, pak
vhodnou změnou souřadnic lze Weierstrassovu rovnici
transformovat na rovnici
y 2 = x 3 + ax + b.
Miroslav Kureš
Křivky
ECC (& HECC)
Je-li F konečné pole s charakteristikou 2, pak vhodnou
změnou souřadnic lze Weierstrassovu rovnici transformovat
na rovnici
y 2 + xy = x 3 + ax 2 + b
(tzv. nesupersingulárnı́ eliptická křivka) nebo na rovnici
y 2 + cy = x 3 + ax + b
(tzv. supersingulárnı́ eliptická křivka).
Obdobná věta platı́ i pro pole charakteristiky 3.
Miroslav Kureš
Křivky
ECC (& HECC)
Bodem eliptické křivky E pak rozumı́me každý bod [x, y ] se
souřadnicemi x, y ∈ F splňujı́cı́mi jejı́ rovnici a dále bod ∞.
Řád eliptické křivky E potom definujeme jako počet jejı́ch
bodů a značı́me ho #E. Nad body eliptické křivky lze
zavést operaci + součtu bodů tak, že (E, +) je grupa.
(Jediný typ rovinných křivka, nad jejı́miž body lze
netriviálnı́m způsobem strukturu grupy zavést!)
Miroslav Kureš
Křivky
ECC (& HECC)
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
Principy asymetrické kryptografie
Alice a Bob si chtějı́ posı́lat zprávy tak, aby je Eva
nepřečetla. Převádějı́ proto otevřenou zprávu m na
šifrovanou zprávu c.
Kryptologie, kryptografie, kryptoanalýza.
Klı́č.
Asymetrická kryptografie = kryptografie s veřejným klı́čem
(veřejný klı́č pro šifrovánı́ zprávy, tajný klı́č pro dešifrovánı́
zprávy)
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
Každá zpráva je interpretovatelná numericky, např.
binárnı́m čı́slem daným ASCII tabulkou znaků (která má ve
své rozšı́řené verzi 256 znaků, tzn. 8 bitů = 1 Byte). V
kryptografii se pak zpráva transformuje na skupiny bitů o
pevné délce, tzv. bloky. Napřı́klad 128-bitové šifrovánı́
užı́vá bloky o délce 128 bitů, tzn. každých 16 znaků určı́
čı́slo, které budeme šifrovat. Sekvenci čı́sel, které budeme
šifrovat, nazýváme otevřená zpráva a značı́me m. Novou,
šifrovanou sekvenci čı́sel pak nazýváme šifrovaná zpráva a
značı́me c.
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
Asymetrická kryptografie se opı́rá o tzv. jednosměrné
funkce, které se obtı́žně invertujı́. K nalezanı́ inverze ale
mohou pomoci tzv. padacı́ vrátka: doplňková informace,
která efektivnı́ výpočet inverze umožnı́.
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
RSA
Vezměme čı́slo n = 769595379731, které je součinem dvou
prvočı́sel, necht’ pak X = {1, 2, . . . , n − 1}. Zvolme
exponent e, např. e = 7 a zadejme funkci f : X → X
předpisem
y = f (x) = x e mod n.
Tedy napřı́klad f (1111) = 17444456121. Při znalosti e a n
(veřejný klı́č) tedy otevřenou zprávu 1111 převedeme
snadno na zašifrovanou zprávu 17444456121.
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
RSA
Samotná znalost veřejného klı́če nestačı́ ovšem ke stejně
snadnému převedenı́ zašifrované zprávy na původnı́
otevřenou; f je jednosměrná funkce. Existujı́ ale padacı́
vrátka: těmi je faktorizace čı́sla n: n je součinem prvočı́sel
p1 = 876761 a p2 = 877771 (soukromý klı́č). Nynı́ pro
φ = (p1 − 1)(p2 − 1) = 769593625200 vezmeme d tak, že
1 < d < φ a ed mod φ = 1: takovým je
d = 659651678743. Nynı́ je
x = yd
mod n,
tedy 17444456121659651678743 mod 769595379731 = 1111.
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
RSA
Všimněme si: hledali jsme d, aby ed mod φ = 1.
Důležitou součastı́ většiny asymetrických kryptosystémů je
implementace rozšı́řeného Euklidova algoritmu (obecně:
nad Bezoutovými okruhy). Např. pro nalezenı́ho inverznı́ho
prvku k prvku e v Zφ (exponent e proto nutno vzı́t tak, aby
nedělil ani p1 − 1, ani p2 − 1; jinak je v Zφ dělitelem nuly!)
aplikujeme rozšı́řený Euklidův algoritmus na prvky e a φ a
pak je e −1 = x.
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
RSA
Algoritmus. Rozšı́řený Euklidův algoritmus.
Vstup: a, b ∈ R
Výstup: největšı́ společný dělitel d = gcd(a, b),
x, y splňujı́cı́ a × x + b × y = d
Miroslav Kureš
Křivky
ECC (& HECC)
Principy
RSA
1: if b = 0 then
2: d ← a; x ← 1; y ← 0;
3: else
4: x2 ← 1; x1 ← 0; y 2 ← 0; y 1 ← 1;
5: end if
6: while b 6= 0 do
7: q ← a div b; r ← a − q × b; x ← x2 − q × x1;
y ← y 2 − q × y 1;
8: a ← b; b ← r ; x2 ← x1; x1 ← x; y 2 ← y 1; y 1 ← y ;
9: end while
10: d ← a;
11: return x ← x2; y ← y 2
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Proč vlastně hledat nové kryptosystémy?
nedokázaná jednosměrnost funkcı́ (tedy nebezpečı́
prolomenı́ stávajı́cı́ho systému)
lepšı́ vlastnosti, efektivnějšı́ použitı́ (např. 160-bitový
ECC klı́č poskytuje tutéž úroveň bezpečnosti jako
1024-bitový RSA klı́č)
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Eliptická křivka nad prvočı́selným polem:
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Eliptická křivka nad prvočı́selným polem:
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Znázorněnı́ součtu na eliptické křivce nad prvočı́selným
polem:
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Znázorněnı́ eliptické křivky na toru:
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
Je-li E eliptická křivka nad polem Fq , pro jejı́ řád #E(Fq )
platı́ odhad
√
√
q + 1 − 2 q ≤ #E(Fq ) ≤ q + 1 + 2 q
(Hasseho interval). Existuje tedy t ∈ Z takové, že
#E(Fq ) = q + 1 − t,
Miroslav Kureš
√
kde |t| ≤ 2 q.
Křivky
ECC (& HECC)
Úvod do ECC
Legendrův symbol
m
n


1
= 0


−1
m
n
se zavádı́ následovně:
je-li m kvadratickým reziduem (modulo n)
je-li m nula (modulo n)
je-li m kvadratickým nereziduem (modulo n)
Potom řád eliptické křivky pomocı́ t a Legendrova symbolu
vyjádřı́me takto:
X x 3 + ax + b t=−
p
x∈Fp
Přı́mé užitı́ tohoto vztahu se někdy nazývá naivnı́
algoritmus pro určenı́ řádu eliptické křivky.
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Určeme nejdřı́ve tzv. řád bodu P eliptické křivky: je to
nejmenšı́ n ∈ N takové, že nP = ∞. Řád každého bodu P
eliptické křivky E dělı́ řád této křivky. (To je obecně známý
fakt z teorie grup.) Budeme uvažovat pole Fp , nad nı́m
eliptickou křivku křivku E a na nı́ nějaký jejı́ bod P s
prvočı́selným řádem n. Vyberme si nějaké k ∈ [1, n − 1] a
spočtěme Q = kP. Údaje o poli a eliptické křivce jsou tzv.
definičnı́ parametry a pokládajı́ se za známé.
Veřejným klı́čem jsou body P a Q a soukromým klı́čem
čı́slo k.
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Algoritmus. Základnı́ ElGamal šifrovánı́
pomocı́ eliptických křivek.
Vstup: Definičnı́ parametry, veřejný klı́č P, Q,
zpráva m.
Výstup: Šifrovaná zpráva (C1 , C2 ).
1. Vyjádři m jako bod M eliptické křivky.
2. Vyber a ∈ [1, n − 1].
3. Spočti C1 = aP.
4. Spočti C2 = M + aQ.
5. Vrat’ (C1 , C2 ).
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
ECC
Algoritmus. Základnı́ ElGamal dešifrovánı́
pomocı́ eliptických křivek.
Vstup: Definičnı́ parametry, veřejný klı́č P, Q,
soukromý klı́č k, šifrovaná zpráva (C1 , C2 ).
Výstup: Zpráva m.
1. Spočti M = C2 − kC1 .
2. Převed’ M na m.
3. Vrat’ m.
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
HECC
Zobecněnı́m eliptických křivek jsou tzv. hypereliptické
křivky. Hypereliptickou křivkou C rodu g nad polem F
rozumı́me algebraickou křivku
y 2 + h(x)y = f (x),
kde h(x) je polynom stupně nejvýše g a f (x) polynom
stupně 2g + 1 (plus dalšı́ podmı́nky).
Tzn. eliptické křivky jsou hypereliptickými křivkami s g = 1.
Miroslav Kureš
Křivky
ECC (& HECC)
Úvod do ECC
HECC
Roli bodů v hypereliptické kryptografii hrajı́ třı́dy
ekvivalence divizorů (divizor je formálnı́m součtem bodů
hypereliptické křivky); na těchto třı́dách lze opět zavést
grupovou operaci. Prakticky se to provádı́ tak, že se
využuje toho, že každá třı́da má jednoznačného
reprezentanta, tzv. redukovaný divizor a operace součtu se
realizuje na těchto redukovaných divizorech.
Náročné matematické pozadı́ (algebraická geometrie),
experimenty převážně jen s křivkami s g = 2.
Miroslav Kureš
Křivky
ECC (& HECC)
Závěrečné práce
Uvedeme práce studentů FSI vedené autorem, které souvisı́
s asymetrickou kryptografiı́:
Trchalı́ková, J., Algoritmy pro určenı́ řádu eliptické
křivky s využitı́m v kryptografii, 2008
Miroslav Kureš
Křivky
ECC (& HECC)
Zavı́ralová, L., Okruhy endomorfismů eliptických
křivek a Mestreho teorém, 2009
Miroslav Kureš
Křivky
ECC (& HECC)
Perzynová, K., Hypereliptické křivky a jejich aplikace v
kryptografii, 2010
Miroslav Kureš
Křivky
ECC (& HECC)
kryptografii, 2010
Bajko, J., Transfer elitptických křivek na torus, 2011?
Miroslav Kureš
Křivky
ECC (& HECC)
kryptografii, 2010
Havlı́čková, A., Algoritmy interpolace polynomy vı́ce
neurčitých, 2011?
Miroslav Kureš
Křivky
ECC (& HECC)
kryptografii, 2010
Havlı́čková, A., Algoritmy interpolace polynomy vı́ce
neurčitých, 2011?
Navrátilová, B., Kvadratické polynomy nad binárnı́mi
poli, 2011?
Miroslav Kureš
Křivky
ECC (& HECC)
AMathNet
V rámci sı́tě AMathNet plánujeme stáže studentů na
pracoviště zabývajı́cı́ se teoriı́ čı́sel, která ve studijnı́ch
programech studentů FSI chybı́. Může to být např.
Ostravská univerzita.
Miroslav Kureš
Křivky
ECC (& HECC)
Současnost
ID-kryprosystém BLMQ založený na Sakaiově-Kasaharově
konstrukci využı́vajı́cı́ Weilovo párovánı́ bodů P, Q torznı́
podgrupy eliptické křivky.
(V rámci spolupráce s LEADict Group.)
Miroslav Kureš

Krivky a kryptografie - A-Math-Net

Transkript

Podobné dokumenty

Rozvoj lidských zdrojů ve vědě a výzkumu

kv14_2_kures - Kvaternion - Vysoké učení technické v Brně

Diskove´ šifrovánı

Stahujte zde

Difúze a rozpustnost stabilizátorů v PP - A-Math-Net

Masarykova Univerzita Plošná fotometrie eliptických galaxi´ı

Práce s klávesnicí (soubor PDF)

Pravidla Sledge Hokeje 2014 – 2018

Bezpeˇcnost v OS