Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Transkrypt

1 Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej Andrzej Chmielowiec Centrum Modelowania Matematycznego Sigma, Streszczenie Współczesna kryptografia daje duże możliwości zarówno w sferze ochrony danych jak i kontroli dostępu. Jej dynamiczny rozwój na przestrzeni ostatnich lat sprawił, że dziś dysponujemy ogromnym wachlarzem technik pozwalających na zabezpieczanie danych i autoryzację użytkowników. W artykule tym zostaną omówione nowe możliwości jakie daje kryptografia wykorzystująca mechanizm parowania punktów krzywej eliptycznej. 1 Wprowadzenie Problem logarytmu dyskretnego(dlp) jest bardzo dokładnie badany od czasu narodzin kryptografii klucza publicznego w 1975 roku. Przypomnijmy, że problem ten definiowany jest w grupie cyklicznej G = P rzędu njakoproblemznalezieniatakiejliczby x [0, n 1],któraspełniarównanie Q = xp. Uważa się, że w przypadku odpowiednio dobranej grupy, problem ten jest trudny obliczeniowo. Choć nie ma na to żadnego dowodu, to za takie odpowiednie grupy uważamy obecnie grupę multyplikatywną ciała skończonego i grupę punktów krzywej eliptycznej zdefiniowanej nad ciałem skończonym. Z problemem logarytmu dyskretnego związany jest problem Diffiego-Hellmana. Polega on na znalezieniuwielkości abpnapodstawie P, api bp.możnawykazać,żedladowolnejgrupyproblemlogarytmu dyskretnego jest wielomianowo redukowalny do problemu Diffiego-Hellmana(problem logarytmu dyskretnego nie jest łatwiejszy obliczeniowo niż problem Diffiego-Hellmana). Odwrotna redukowalność została wykazana tylko w niektórych przypadkach. Trudność problemu Diffiego-Helmana jest podstawą bezpieczeństwa klasycznego już protokołu uzgadniania kluczy. Zakładając, że mamy daną grupę G = P rzędu n, przebieg protokołu jest następujący: 1.Strona Alosujeliczbę a [0, n 1]iwyznacza ap,którewysyłastronie B. 2.Strona Blosujeliczbę b [0, n 1]iwyznacza bp,którewysyłastronie A. Strona A Strona B Posiada a, bp b, ap Wyznacza K = a(bp) = abp K = b(ap) = abp Zauzgodnionąwartośćprzyjmujesięelement K = abp = a(bp) = b(ap).tenprotokółuznawanyjest za jednorundowy, gdyż każda ze stron odbiera dane od swojego partnera tylko jeden raz. Uzgodnienie wspólnego klucza przez trzy strony jest już nieco bardziej skomplikowane i wymaga zastosowania protokołu dwurundowego. Oto jego przebieg: 1. Pierwsza runda. (a)strona Alosujeliczbę a [0, n 1]iwyznacza ap,którewysyłastronie B.

2 (b)strona Blosujeliczbę b [0, n 1]iwyznacza bp,którewysyłastronie C. (c)strona Closujeliczbę c [0, n 1]iwyznacza cp,którewysyłastronie A. 2. Druga runda. (a)strona Awyznaczanapodstawie aicpwartość acp,którewysyłastronie B. (b)strona Bwyznaczanapodstawie biapwartość abp,którewysyłastronie C. (c)strona Cwyznaczanapodstawie cibpwartość bcp,którewysyłastronie A. Strona A Strona B Strona C Runda1 a, cp b, ap c, bp Runda2 a, cp, bcp b, ap, acp c, bp, abp Wyznacza K = a(bcp) K = b(acp) K = c(abp) Za uzgodnioną wartość przyjmuje się element K = abcp. W tym miejscu rodzi się naturalne pytanie: czy istnieje protokół jednorundowy, który obsłużyłby trzy strony? Pytanie to pozostawało otwarte do 2000 roku, kiedy to Joux zaproponował nadzwyczaj proste rozwiązanie wykorzystujące odwzorowanie dwuliniowe[1]. Jego artykuł od razu znalazł się w centrum uwagi ludzi zajmujących się kryptografią. Niedługo po tym pojawiły się kolejne ciekawe propozycje oparte na odwzorowaniach dwuliniowych, a konkretnie na parowaniu punktów krzywej eliptycznej. Do najbardziej znanych należą dzisiaj 1. schemat szyfrowania oparty na identyfikatorach(boneh i Franklin)[2], 2. schemat krótkiego podpisu(boneh, Lynn i Shacham)[3]. 2 Odwzorowaniadwuliniowe Przyjmijmy,że njestliczbąpierwszą.niech G 1 = P będziegrupącyklicznąrzędu nozapisieaddytywnymielemencieneutralnym,ag T niechbędziegrupącyklicznąrzędu nozapisiemultyplikatywnym i elemencie neutralnym 1. Wtedy odwzorowanie dwuliniowe możemy zdefiniować następująco: Definicja1Odwzorowaniemdwuliniowymna (G 1, G T )nazywamytakieprzekształcenie które spełnia następujące warunki: ê : G 1 G 1 GT, 1.(Dwuliniowość)Dlakażdego R, S, T G 1, ê(r + S, T) = ê(r, T)ê(S, T)oraz ê(r, S + T) = ê(r, S)ê(R, T). 2.(Niezdegenerowanie) ê(p, P) 1. 3.(Obliczalność) Wartość ê(p, R) może być efektywnie wyznaczona. Można wykazać, że odwzorowania dwuliniowe mają następujące własności: 1. ê(s, ) = 1iê(, S) = ê(s, T) = ê( S, T) = ê(s, T) ê(as, bt) = ê(s, T) ab dlawszystkich a, b Z. 4. ê(s, T) = ê(t, S).

3 5.Jeśli ê(s, R) = 1dlawszystkich R G 1,to S =. Jedną z konsekwencji istnienia odwzorowania dwuliniowego jest to, że problem logarytmu dyskretnego wgrupie G 1 możebyćefektywniezredukowanydoproblemulogarytmudyskretnegowgrupie G T.Jeśli bowiemszukamyrozwiązaniarównania Q = xpwgrupie G 1,toszukanaliczba xjestrównieżrozwiązaniemrównania ê(p, Q) = ê(p, xp) = ê(p, P) x wgrupie G T. Bezpieczeństwo wielu protokołów opartych na odwzorowaniach dwuliniowych opiera się na trudności obliczeniowej następującego problemu. Definicja 2 Jeśli ê jest odwzorowaniem dwuliniowym, to dwuliniowy problem Diffiego-Hellmana definiujemynastępująco:mającdane P, ap, bpi cpnależywyznaczyć ê(p, P) abc. Zauważmy, że trudność obliczeniowa dwuliniowego problemu Diffiego-Hellmana implikuje trudność problemudiffiego-hellmanazarównowgrupie G 1 jakig T.Abytowykazaćzałóżmynajpierw,żepotrafimy efektywnierozwiązaćproblemdhwgrupie G 1.Jeżelitakjest,tonapodstawie api bpmożemywyznaczyć abp,coprowadzidoznalezienia ê(abp, cp) = ê(p, P) abc.jeślinatomiastznamyefektywnąmetodę rozwiązaniaproblemudhwgrupie G T,toobliczając g = ê(p, P), g ab = ê(ap, bp), g c = ê(p, cp)możemywyznaczyć g abc = ê(p, P) abc.niestetynicwięcejniewiadomonatematdwuliniowegoproblemu DH.Zakładasięjednak,żejestonwogólnościtaksamotrudnyjakproblemDHzarównowG 1,jakiwG T. Na koniec zauważmy jeszcze, że istnienie odwzorowania dwuliniowego pozwala rozwiązać decyzyjny problemdhwgrupie G 1.Polegaonnaodpowiedzinapytanie,czydanaczwórkaelementów P, ap, bpi cpspełniazależność abp = cp.wykorzystującodwzorowaniedwuliniowemożemyzapisać γ 1 = ê(p, cp) = ê(p, P) c i γ 2 = ê(ap, bp) = ê(p, P) ab.oznaczato,żerówność abp = cpzachodziwtedy itylkowtedy,gdy γ 1 = γ 2. 3 Protokoły wykorzystujące odwzorowania dwuliniowe 3.1 Jednorundowe uzgodnienie klucza przez trzy strony Załóżmy,żedysponujemyefektywnymobliczeniowoodwzorowaniemdwuliniowymnagrupach G 1 i G T, w którym dwuliniowy problem DH jest trudny. Takie odwzorowanie może stanowić podstawę następującego jednorundowego protokołu uzgadniania klucza dla trzech uczestników: 1.Strona Alosujeliczbę a [0, n 1],wyznacza apiwysyłastronom B, C. 2.Strona Blosujeliczbę b [0, n 1],wyznacza bpiwysyłastronom A, C. 3.Strona Closujeliczbę c [0, n 1],wyznacza cpiwysyłastronom A, B. Zobaczmy teraz, że po tej rundzie wszyscy uczestnicy są w stanie wygenerować wspólny sekret. Strona A Strona B Strona C Posiada a, bp, cp b, ap, cp c, ap, bp Wyznacza K = ê(bp, cp) a K = ê(ap, cp) b K = ê(ap, bp) c = ê(p, P) abc = ê(p, P) abc = ê(p, P) abc Naturalnym pytaniem, które nasuwa się po przeanalizowaniu powyższego schematu, jest pytanie o możliwośćzastosowaniaodwzorowańwieloliniowych ê l : G1 l 1 G T.Takieodwzorowaniadawałybymożliwość jednorundowego uzgodnienia klucza przez l uczestników protokołu. Kwestia istnienia odwzorowań wieloliniowych pozostaje nadal otwarta. 3.2 Kryptografia oparta na identyfikatorach W roku 1984 Shamir[4] przedstawił koncepcję kryptografii opartej na identyfikatorach, której zadaniem było rozwiązanie problemów powstających podczas zarządzania certyfikatami. Propozycja Shamira zakładała, że:

4 1. Kluczem publicznym użytkownika będzie jego identyfikator(na przykład adres ). 2. Będzie istniała zaufana trzecia strona odpowiedzialna za tworzenie kluczy prywatnych dla użytkowników. 3. Szyfrowanie będzie można wykonać nawet przed wygenerowaniem klucza prywatnego użytkownika (operacja szyfrowania wymagać będzie jedynie identyfikatora użytkownika i klucza publicznego zaufanej trzeciej strony). Koncepcja Shamira doczekała się praktycznej realizacji dopiero w roku 2001, kiedy to Boneh i Franklin[2] zaproponowali identyfikatorowy schemat szyfrowania oparty na odwzorowaniach dwuliniowych. Schemat ten zakłada, że: 1.Dysponujemydwuliniowymodwzorowaniem ê : G 1 G T,dlaktóregodwuliniowyproblemDHjest obliczeniowo trudny. 2.Istniejąfunkcjeskrótu H 1 i H 2 takie,że: gdzie l jest liczbą bitów tekstu jawnego. H 1 : {0, 1} G 1 \ { } i H 2 : G T {0, 1} l. 3. Zaufana trzecia strona dysponuje swoim kluczem prywatnym t [0, n 1] oraz kluczem publicznym T = tp(klucz T jest powszechnie dostępny). Gdyużytkownik Apotrzebujekluczaprywatnego d A,wtedyzaufanatrzeciastrona(ZTS)tworzyidentyfikator ID A,wyznaczaklucz d A = tq A = th 1 (ID A )iprzesyłagozabezpieczonymkanałemdoużytkownika.zauważmy,żekluczprywatny d A możnatraktowaćjakopodpisztspodidentyfikatorem ID A. Abyzaszyfrowaćwiadomość m {0, 1} l przyużyciuschematuboneha-franklinamusimywykonać następujące czynności: 1.Wyznaczamykluczpublicznynapodstawieidentyfikatora Q A = H 1 (ID A ). 2.Wybieramylosowoliczbę r [0, n 1]iobliczamy R = rp. 3.Tworzymyszyfrogram c = m H 2 (ê(q A, T) r ). 4. Wysyłamy parę (R, c) do odbiorcy. Wceluodszyfrowaniawiadomościużytkownikwykorzystujeswójkluczprywatny d A iwyznaczatekst jawny m = c H 2 (ê(d A, R)).Procesdeszyfrowaniawiadomościdziałapoprawnie,ponieważprawdziwa jest następująca równość: ê(d A, R) = ê(tq A, rp) = ê(q A, P) tr = ê(q A, tp) r = ê(q A, T) r. Abyodzyskaćwiadomość mzszyfrogramu (R, c)należywyznaczyć ê(q A, T) r napodstawie (P, Q A, T, R), a to jest dwuliniowy problem DH. Należy podkreślić, że opisana metoda zapewnia co prawda ochronę przed biernym atakiem, ale jest podatna na atak z wybranym szyfrogramem. Istnieją jednak modyfikacje, które eliminują ten problem. 4 Krzyweeliptyczne Krzywa eliptyczna E nad ciałem K zdefiniowana jest przez nieosobliwe równanie Weierstrassa: E : Y 2 + a 1 XY + a 3 Y = X 3 + a 2 X 2 + a 4 X + a 6, gdzie a 1, a 2, a 3, a 4, a 6 K.Zbiór E(K)jestzbiorempunktów K-wymiernychkrzywejiskładasięzpunktu wnieskończoności oraztychpunktów (x, y) K K,którespełniająrównaniekrzywej.Jeśli Kjest ciałemskończonym F q charakterystyki p,totwierdzeniehassegodajeograniczenienaliczbępunktów K-wymiernych: ( q 1) 2 E(K) ( q + 1) 2.

5 Rysunek 1: Przykłady krzywych eliptycznych na płaszczyźnie rzeczywistej Dlategomożemyprzyjąć,że E(K) = q + 1 t,gdzie t 2 q.jeśli p t,tomówimy,żekrzywa Ejest superosobliwa. W przypadku, gdy p > 3, to równanie Weierstrassa można uprościć stosując liniową zamianę zmiennych do postaci: E : Y 2 = X 3 + ax + b, gdzie a, b Ki 4a 3 +27b 2 0.Podobneuproszczoneformułymożnarównieżwyprowadzićdlaprzypadku p = 2ip = 3. Metoda siecznej i stycznej pokazuje w jaki sposób definiowane jest działanie grupowe na punktach krzywej eliptycznej. Działanie grupowe na punktach krzywej zdefiniowanej nad ciałem liczb rzeczywistych zostało zilustrowane na rysunku 2. Rysunek 2: Operacje na punktach krzywej eliptycznej Załóżmyteraz,żepunkt P E(F q )spełnianastępującewarunki: 1.jestpunktemrzędu n, 2. jego rząd jest liczbą pierwszą, 3. liczby n i q są względnie pierwsze. Wtedy problem logarytmu dyskretnego w grupie P definiujemy następująco: Mającdanypunkt Pipunkt Q P należyznaleźćtakąliczbęcałkowitą l,któraspełnia równanie lp = Q.

6 Aktualnie najlepszą metodą rozwiązywania tego problemu jest algorytm ρ-pollarda[5], którego oczekiwanyczasdziałaniajestrzędu O( n).jeśli n q,toczasdziałaniawspomnianegoalgorytmujest wykładniczy względem log q. Należy zauważyć, że istnieją również inne metody rozwiązywania problemu logarytmu dyskretnego, które mają zastosowanie dla konkretnych rodzajów krzywych. W szczególności można zastosować iloczyn Weila i Tatea, aby przenieść problem z grupy punktów krzywej, do grupy multyplikatywnejciałaskończonego F q k[6].liczbę knazywamywtedystopniemosadzeniakrzywejidefiniujemy ją następująco. Definicja3Załóżmy,że Ejestkrzywąeliptycznązdefiniowanąnadciałem F q,ap E(F q )jestpunktem o rzędzie pierwszym n. Jeśli nwd(n, q) = 1, to stopniem osadzenia P nazywamy najmniejszą liczbę całkowitą k,dlaktórejzachodzi n q k 1. Jeśli stopień osadzenia jest niski, to stosując iloczyn Weila możemy wykorzystać podwykładnicze algorytmyznajdowanialogarytmudyskretnego(metodaindeksu),któremogąokazaćsięszybszewf q kniż algorytm Pollarda w P. Z tego właśnie powodu w kryptografii opartej na problemie logarytmu dyskretnego na krzywej eliptycznej stosuje się tylko takie krzywe, których stopień osadzenia jest duży. Ostatnio krzywe eliptyczne o niewielkim stopniu osadzenia wracają do łask. Dzieje się tak dlatego, że dają one możliwość efektywnej realizacji iloczynu Weila i Tatea, co w efekcie prowadzi do odwzorowań dwuliniowych. 5 Iloczyn Tate i algorytm Millera Niech Ebędziekrzywąeliptycznąowspółczynnikachzciała K = F q zadanąprzezrównanieweierstrassa r(x, Y ) = 0.Niechponadto Kbędziedomknięciemalgebraicznymciała K. Dywizoremna Enazywamyformalnąsumępunktówkrzywej D = P E n P(P),wktórejconajwyżej skończonaliczbawspółczynników n P jestniezerowa.zbiórpunktów P Eoniezerowychwspółczynnikach n P nazywamynośnikiem D.Dywizornazwiemyzerowymjeślispełniawarunek P E n P = 0. Powiemy, że dywizor jest określony nad ciałem K jeśli D σ = P n P (P σ ) = D dla wszystkich automorfizmów σ ciała K będących identycznością na K. Przyjmujemy przy tym, że P σ = (σ(x), σ(y))jeśli P = (x, y)i σ =.Zbiórwszystkichdywizorówokreślonychnadciałem K oznaczamyprzezdiv K (E). Przez K(E)oznaczaćbędziemyciałoułamków K[X, Y ]/r(x, Y ).Dywizoremfunkcji f K(E)nazywamysumęformalnądiv(f) = P E m P(P),wktórej m P jestkrotnością,zjaką Pwchodzidorozkładu f na czynniki(ujemne wartości przyjmowane są w przypadku biegunów). Dywizory funkcji należących do K(E) nazywamy dywizorami głównymi. Poniższe twierdzenie pozwala na ich dokładne określenie. Twierdzenie1Dywizor D = P E n P(P)jestdywizoremgłównymwtedyitylkowtedy,gdy n P = 0 P E i n P (P) =. Powiemy,żedwadywizory D 1, D 2 Div K (E)sąrównoważne D 1 D 2 jeżeliistniejetakafunkcja wymierna f K(E),że D 1 = D 2 +div(f).jeśli f K(E)iD= n P (P) Div K (E)sątakie,żemają rozdzielne nośniki, to można zdefiniować f(d) jako P E f(d) = P E f(p) np. 5.1 IloczynTatea Załóżmy,że E(F q ) = hn,gdzie njestpewnąliczbąpierwszątaką,żenwd(n, q) = 1.Niechponadto k będzienajmniejsząliczbącałkowitą,dlaktórejzachodzi n q k 1.Zbiórwszystkichpunktów P E(K) spełniających zależność np = (punkty rzędu n) będziemy oznaczali przez E[n](można wykazać, że

7 E[n] Z n Z n ).Ponadtoprzez µ n oznaczymypodgrupęrzędu ngrupy F q k. Zanim zdefiniujemy iloczyn Tatea, dodamy jeszcze kilka dodatkowych założeń, które uproszczą opis. Przyjmijmy,że n q 1(czyli k > 1).Ponieważ E[n] E(F q k)i E[n] = n 2,to n 2 E(F q k) in E(F q k) /n 2. Definicja4Niech P, Q E[n]iniech f P będziefunkcjąspełniającąwarunekdiv(f P ) = n(p) n( ) (f ma n-krotnezerowp i n-krotnybiegunw ).Przyjmijmyponadto,że R E[n]jestpunktem spełniającymwarunek R {, P, Q, P Q}oraz D Q jestdywizoremzdefiniowanymnastępująco D Q = (Q + R) (R)(takiwybórpunktu Rgwarantuje,że D Q idiv(f P )będąmiałyrozłącznenośniki).przez iloczyn Tatea rozumiemy odwzorowanie zdefiniowane następująco: e : E[n] E[n] µ n ( ) (q e(p, Q) = f P (D Q ) (qk 1)/n fp (Q + R) k 1)/n =. f P (R) Możnawykazać,żetakokreśloneodwzorowaniejestdobrzeokreśloneiniezależyodwyborufunkcji f P oraz punktu R. Ponadto odwzorowanie to jest niezdegenerowanym odwzorowaniem dwuliniowym. 5.2 AlgorytmMillera W tej części opiszemy algorytm Millera[7], który pozwala efektywnie wyznaczyć iloczyn Tatea. Kluczowymelementemtegoalgorytmujestprocedurawyznaczaniafunkcji f P odywizorze n(p) n( ). Dlakażdego i 1,niech f i będziefunkcją,którejdywizorjestrówny div(f i ) = i(p) (ip) (i 1)( ). Przytakiejdefinicjimamy f 1 = 1if n = f P.Poniższylematpokazujewjakisposóbefektywniewyznaczyć f n. Lemat1Jeśli P E[n], ljestliniąprzechodzącąprzezpunkty ip, jp,avjestliniąpionowąprzechodzącąprzezpunkt ip + jp,to f i+j = f i f j l v. Dowód: Ponieważ linie l i v wyrażają działanie grupowe na punktach krzywej E, to możemy zapisać div(f i f j l v ) = div(f i) +div(f j ) +div(l) div(v) = (i(p) (ip) (i 1)( )) + (j(p) (jp) (j 1)( )) +((ip) + (jp) + ( (i + j)(p)) 3( )) (((i + j)(p)) + ( (i + j)(p)) 2( )) = (i + j)(p) (i + j)(p) (i + j 1)( ) = div(f i+j ). Niech n = (n t,...,n 1, n 0 ) 2 będziebinarnąreprezentacjąliczby n.funkcja f P możebyćefektywniewyznaczona metodą dodawań i podwojeń podczas przechodzenia kolejnych bitów liczby n od lewej do prawej. PodczaswyznaczaniailoczynuTeteakoniecznejestznalezieniejedyniewartościfunkcji f P wpunktach Q +RiR.DlategoteżalgorytmMillerawyznaczawkażdejswojejiteracjijedyniewartościfunkcji f i we wspomnianych punktach. 1.Niech n = (n t,...,n 1, n 0 ) 2 będziebinarnąreprezentacjąliczby n. 2.Wybieramypunkt R E[n] \ {, P, Q, P Q}.

8 3.Przyjmujemy f 1, T P. 4. Dla i od t do 0 wykonujemy: (a)wyznaczamyprostą l,stycznądokrzywejwpunkcie T. (b) Wyznaczamy pionową prostą v przechodzącą przez punkt 2T. (c) T 2T. (d) f f 2 l(q+r) v(q+r) v(r) l(r). (e)jeśli n i = 1to i.wyznaczamyprostą lprzechodzącąprzezpunkty Ti P. ii.wyznaczamypionowąprostą vprzechodzącąprzezpunkt T + P. iii. T T + P. iv. f f l(q+r) v(q+r) v(r) l(r). 5.Obliczamy f (qk 1)/n. Niestety iloczyn Tatea nie spełnia jednego z założeń, których wymagaliśmy od odwzorowania dwuliniowego grupa E[n] nie jest cykliczna. Aby rozwiązać ten problem należy znaleźć taki endomorfizm Ψ : E E,dlaktórego Ψ(P) P.Wtedyodwzorowanie ê(q, R) = e(q, Ψ(Q))będziespełniało wszystkie warunki definicji odwzorowania dwuliniowego. 6 Podsumowanie W artykule zaprezentowane zostały nowe mechanizmy kryptograficzne, które można uzyskać stosując parowanie punktów krzywej eliptycznej. Okazuje się, że możliwość parowania punktów krzywej pozwala na konstrukcję takich schematów, jak: 1. Jednorundowe uzgodnienie kluczy pomiędzy trzema stronami. 2. Szyfrowanie oparte na identyfikatorach. Należy podkreślić, że ta dziedzina kryptografii znajduje się obecnie w fazie bardzo intensywnego rozwoju. Efektem tego jest duża liczba publikacji dotyczących możliwości praktycznego wykorzystania iloczynu Tatea, algorytmu Millera oraz parowania puntów krzywej. Literatura [1] A. Joux, A one round protocol for tripartite Diffie-Hellman, Algorithmic Number Theory: 4th International Symposium, pp , [2] D. Boneh, M. Franklin, Identity-based encryption from the Weil pairing, Advances in Cryptology CRYPTO 2001, pp , [3] D. Boneh, B. Lynn, H. Shacham, Short signatures from the Weil pairing, Advances in Cryptology ASIACRYPT 2001, pp , [4] A. Shamir, Identity-based cryptosystems and signature schemes, Advances in Cryptology CRYPTO 84, pp , [5] J. Pollard, Monte Carlo methods for index computation mod p, Mathematics of Computation, pp , [6] A. Menezes, T. Okamoto, S. Vanstone, Reducing elliptic courve logarithms to logarithms in a finite field, IEEE Transactions on Information Theory, pp , [7] V. Miller, The Weil pairing, and its efficient calculation, Journal of Cryptology, pp , 2004.