Семинар 6 - MIPT...Аналог системы RSA на э.к.В варианте RSA на...
Transcript of Семинар 6 - MIPT...Аналог системы RSA на э.к.В варианте RSA на...
Семинар 6
Самохина Марина
Эллиптические кривые
• Определение элиптической кривой Ɛ –
гладкая кривая, удовлетворяющая
уравнению:
y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 ,
а также бесконечно удаленная точка О
Пример э. к. над полем
действительных чиселy2=x3+ax+b
b=-1 b=-0 b=1 b=2
а=-2
а=-1
а=0
а=1
Эллиптические кривые
• Элиптическая кривая Ɛ не должна иметь
особых точек
• Геометрически это значит, что график не
должен иметь точек возврата и
самопересечений
• Алгебраически это значит, что дискриминант
Δ = − 16(4a3 + 27b2)
не должен быть равен нулю
Эллиптические кривые
• Если кривая не имеет особых точек, то еѐ
график имеет две части, если дискриминант
положителен, и одну — если отрицателен
• Для первого графика Δ= 64, для второго
Δ = -368
Эллиптические кривые
• Сложение точек кривой
• Точка О – единица по сложению
Канонические уравнения с
выражениями арифметических
операцийТип поля и вариант кривой
Каноническое уравнение кривой
Формула сложения
Формула удвоения
Поле характеристики, отличной от 2 и 3
y2=x3+ax+b
Поле характеристики3
y2=x3+ax2+bx+c
Поле характиристики2, суперсинуглярнаякривая
y2+ay=x3+bx+c
Поле характиристики2, несуперсинуглярнаякривая
y2+axy=x3+bx2+c
Порядок эллиптической кривой
• Порядок эллиптической кривой - порядок
группы точек эллиптической кривой (число
различных точек на Ɛ, включая точку O)
• Для эллиптической кривой Ɛ заданной над
простым полем Fp, порядок m группы точек
данной кривой зависит от размера поля,
определяемого простым числом p, и
удовлетворяет неравенству:
p+1-2√p≤m ≤ p+1+2√p
Порядок точек эллиптической
кривой
• Каждая точка P эллиптической кривой над простым
полем Ɛ(Fp) образует циклическую подгруппу G
группы точек эллиптической кривой
• Порядок циклической подгруппы группы точек
эллиптической кривой (число точек в подгруппе)
называется порядком точки эллиптической кривой
• Точка P на Ɛ(Fp) называется точкой порядка q, если:
q P=O
где q – наименьшее натуральное число, при котором
выполняется данное условие
Алгоритмы, использующие
эллиптические кривые• Э. к. над конечными полями используются в некоторых
криптографических приложениях и факторизации
• Основная идея, заложенная в этих приложениях,
заключается в том, что известный алгоритм,
используемый для конкретных конечных групп
переписывается для использования групп рациональных
точек эллиптических кривых
1. DSA с эллиптическими кривыми
2. ГОСТ Р 34.10-2001
3. Факторизация c помощью эллиптических кривых
Ленстры
Модификации существующих
криптосистем
• Большинство криптосистем современной криптографии естественным
образом можно "переложить" на эллиптические кривые
• Далее рассмотрим варианты некоторых наиболее распространенных
криптосистем
• Во всех описаниях стороны считаются законными участниками
информационного процесса
• В обоих случаях эллиптическая кривая рассматривается над кольцом
вычетов по составному модулю n
• Параметры b и а не задаются пользователем, а "стихийно складываются"
при выборе отправителем сообщения случайного числа у
• Для операций с точками кривой знать параметр b не нужно
• Параметр а легко находится с помощью расширенного алгоритма Евклида
по заданной точке (х, у) из уравнения y2 = x3 + ax
Аналог системы RSA на э.к.В варианте RSA на эллиптических кривых используется кривая у2 = х3 + b с
условием p = q = 5(mod 6) или кривая у2 = x3 + ax с условием p=q= 3(mod 4)
Шаг алгоритма Исходный алгоритм Случай э.к.
1 Определение рабочего модуля n Алиса заранее выбирает два простых больших числа p и q и вычисляет n=pq
2 Генерация случайным образом открытого ключа e. Алисаотправляет Бобу пару (n,e)
e взаимно просто c p-1и q -1.Также 1<e<n
e взаимно просто c p+1и q +1.Также 1<e<n
3 Алиса вычисляет закрытый ключ d d=e-1mod(p-1 )(q -1) e-1mod(p+1 )(q +1)
4 Боб вычисляет шифротекст C и отправляет его Алисе
C=Memod(n) C=e(M,y), y – случ. число, (M,y) – точка элиптич.кривой
5 Алиса расшифровывает шифротекст
M=Cdmod(n) (M,y)=dC
Аналог системы DH на э.к.Шаг алгоритма Исходный алгоритм Случай э.к.
1 Определение рабочей группы (кривой) и базового элемента. Алиса отправляет Бобу :
Большое простое p ислучайное g: 1<g<p
Элептич. кривую и случайную точку Gна ней
2 Алиса выбирает случ. число a иотправляет Бобу :
Число ga=gamod(p) Точку Ga=aG
3 Боб выбирает случ. число b иотправляет Алисе :
Число gb=gbmod(p) Точку Gb=bG
4 Алиса вычисляет: Секретное число k=ga
hmod(p)Секретную точку K=aGb
5 Боб вычисляет: Секретное число k=gb
amod(p)Секретную точку K=bGa
6 Алиса и Боб обладают одним секретом, так как:
gahmod(p)=(gb) amod(p)
=gabmod(p) (ga) bmod(p)=gb
amod(p)
aGb=a(bG)=(ab)G=b(aG)=bGa
Квантовый взлом
• Алгоритм Шора можно модифицировать так,
чтобы он взламывал описанные выше
протоколы и другие аналоги классических
криптосистем, основанные на эллиптических
кривых