Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Transkrypt

1 Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej Andrzej Chmielowiec Centrum Modelowania Matematycznego Sigma, 26maja2010

2 Podstawy matematyczne Zastosowanie w kryptografii Definicja Działanie grupowe Iloczyn Tate Algorytm Millera

3 Logarytm dyskretny Spis treści Niech G będzie grupą cykliczną, w której element g jest generatorem. Logarytmem dyskretnym z elementu h G nazywamy taką liczbę x, dla której spełnione jest równanie g x =h. Znalezienie logarytmu dyskretnego jest w ogólności zadaniem obliczeniowo trudnym. W szczególności najszybsza metoda pozwalająca na jego wyznaczenie w grupie punktów krzywej eliptycznej ma złożoność 2 r/2, gdzie r jest największym dzielnikiem pierwszym rzędu generatora.

4 Uzgadnianie klucza metodą Diffiego-Hellmana A B g a g b h = ( g b) a =g ab h = (g a ) b =g ab

5 Problem Diffiego-Hellmana Z problemem logarytmu dyskretnego związany jest problem Diffiego-Hellmana.Polegaonnaznalezieniuwielkościg ab na podstawieg,g a ig p.możnawykazać,żedladowolnejgrupy problem logarytmu dyskretnego jest wielomianowo redukowalny do problemu Diffiego-Hellmana(problem logarytmu dyskretnego nie jest łatwiejszy obliczeniowo niż problem Diffiego-Hellmana). Odwrotna redukowalność została wykazana tylko w niektórych przypadkach.

6 Trójstronne uzgadnianie klucza Runda pierwsza A,a,g a g a B,b,g b g c C,c,g c g b Runda druga A,a,g a,g c g ac B,b,g b,g a g bc C,c,g c,g b g ab

7 Podstawy matematyczne Zastosowanie w kryptografii Definicja odwzorowania dwuliniowego Odwzorowaniemdwuliniowymna (G 1,G T )nazywamytakie przekształcenie ê :G 1 G 1 G T, które spełnia następujące warunki: 1.(Dwuliniowość)DlakażdegoR,S,T G 1 mamy ê(r +S,T) =ê(r,t)ê(s,t), ê(r,s +T) =ê(r,s)ê(r,t). 2.(Niezdegenerowanie) ê(p, P) 1. 3.(Obliczalność) Wartość ê(p, R) może być efektywnie wyznaczona.

8 Podstawy matematyczne Zastosowanie w kryptografii Własności odwzorowania dwuliniowego(1) Można wykazać, że odwzorowania dwuliniowe mają następujące własności: 1.ê(S, ) =1iê(,S) =1. 2.ê(S, T) =ê( S,T) =ê(s,t) 1. 3.ê(aS,bT) =ê(s,t) ab dlawszystkicha,b Z. 4.ê(S,T) =ê(t,s). 5.Jeśliê(S,R) =1dlawszystkichR G 1,toS=.

9 Podstawy matematyczne Zastosowanie w kryptografii Własności odwzorowania dwuliniowego(2) Jedną z konsekwencji istnienia odwzorowania dwuliniowego jest to, żeproblemlogarytmudyskretnegowgrupieg 1 możebyć efektywnie zredukowany do problemu logarytmu dyskretnego wgrupieg T.Jeślibowiemszukamyrozwiązaniarównania Q =xp wgrupieg 1,toszukanaliczbaxjestrównieżrozwiązaniem równania ê(p,q) =ê(p,xp) =ê(p,p) x wgrupieg T.

10 Podstawy matematyczne Zastosowanie w kryptografii Dwuliniowy problem Diffiego-Hellmana Jeśli ê jest odwzorowaniem dwuliniowym, to dwuliniowy problem Diffiego-Hellmana definiujemy następująco: MającdaneP,aP,bPicPnależywyznaczyćê(P,P) abc.

11 Podstawy matematyczne Zastosowanie w kryptografii Własności dwuliniowego problemu DH Trudność obliczeniowa dwuliniowego problemu DH implikuje trudnośćproblemudhzarównowgrupieg 1 jakig T. JeżelinapodstawieaPibPmożemywyznaczyćabP,tomożemy również wyznaczyć ê(abp,cp) =ê(p,p) abc. Jeżelinapodstawig ab =ê(ap,bp)ig c =ê(p,cp)możemy wyznaczyćg abc toznajdziemy g abc =ê(p,p) abc.

12 Podstawy matematyczne Zastosowanie w kryptografii Jednorundowe uzgodnienie klucza przez trzy strony(1) 1.StronaAlosujeliczbęa [0,n 1],wyznaczaaPiwysyła stronomb,c. 2.StronaBlosujeliczbęb [0,n 1],wyznaczabPiwysyła stronoma,c. 3.StronaClosujeliczbęc [0,n 1],wyznaczacPiwysyła stronom A, B.

13 Podstawy matematyczne Zastosowanie w kryptografii Jednorundowe uzgodnienie klucza przez trzy strony(2) Strona A Strona B Strona C Posiada a,bp,cp b,ap,cp c,ap,bp Wyznacza K =ê(bp,cp) a K =ê(ap,cp) b K =ê(ap,bp) c =ê(p,p) abc =ê(p,p) abc =ê(p,p) abc

14 Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(1) W roku 1984 Shamir przedstawił koncepcję kryptografii opartej na identyfikatorach: 1. Kluczem publicznym użytkownika będzie jego identyfikator (na przykład adres ). 2. Będzie istniała zaufana trzecia strona odpowiedzialna za tworzenie kluczy prywatnych dla użytkowników. 3. Szyfrowanie będzie można wykonać nawet przed wygenerowaniem klucza prywatnego użytkownika(operacja szyfrowania wymagać będzie jedynie identyfikatora użytkownika i klucza publicznego zaufanej trzeciej strony).

15 Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(2) Schemat Boneha-Franklina zakłada, że: 1.Dysponujemydwuliniowymodwzorowaniemê:G 1 G T. 2.IstniejąfunkcjeskrótuH 1 ih 2 takie,że: H 1 : {0,1} G 1 \ { } i H 2 :G T {0,1} l. gdzie l jest liczbą bitów tekstu jawnego. 3. Zaufana trzecia strona dysponuje swoim kluczem prywatnym t [0,n 1]orazkluczempublicznymT =tp. Kluczprywatnyd A,wyznaczanyjestnapodstawieidentyfikatora ID A : d A =tq A =th 1 (ID A ).

16 Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(3) Szyfrowaniewiadomościm {0,1} l : 1.WyznaczamykluczpublicznyQ A =H 1 (ID A ). 2.Wybieramylosowoliczbęr [0,n 1]iobliczamyR=rP. 3.Tworzymyszyfrogramc=m H 2 (ê(q A,T) r ). 4. Wysyłamy parę (R, c) do odbiorcy. W celu odszyfrowania wiadomości użytkownik wykorzystuje swój kluczprywatnyd A iwyznaczatekstjawnym =c H 2 (ê(d A,R)). Proces deszyfrowania wiadomości działa poprawnie, ponieważ prawdziwa jest następująca równość: ê(d A,R) =ê(tq A,rP) =ê(q A,P) tr =ê(q A,tP) r =ê(q A,T) r.

17 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Krzywa eliptyczna Jednorodne równanie Weierstrassa: E :Y 2 Z +a 1 XYZ +a 3 YZ 2 =X 3 +a 2 X 2 Z +a 4 XZ 2 +a 6 Z 3

18 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Grupa punktów krzywej eliptycznej Punkty krzywej eliptycznej tworzą grupę.

19 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Metody rozwiązywania logarytmu dyskretnego na krzywej eliptycznej Aktualnie najlepszą metodą rozwiązywania tego problemu jest algorytm ρ-pollarda, którego oczekiwany czas działania jest rzędu O( n). Istnieją również metody rozwiązywania problemu logarytmu dyskretnego, które mają zastosowanie dla konkretnych rodzajów krzywych. W szczególności można zastosować iloczyn Weila i Tate, aby przenieść problem z grupy punktów krzywej, do grupy multyplikatywnejciałaskończonego F q k. Stopniem osadzenia P E nazywamy najmniejszą liczbę całkowitąk,dlaktórejzachodzin q k 1.

20 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Iloczyn Tate- definicja NiechP,Q E[n]iniechf P będziefunkcjąspełniającąwarunek div(f P ) =n(p) n( ).Przyjmijmyponadto,żeR E[n]jest punktemspełniającymwarunekr {,P, Q,P Q}orazD Q jestdywizoremzdefiniowanymnastępującod Q = (Q +R) (R). Przez iloczyn Tate rozumiemy odwzorowanie: zdefiniowane następująco: e :E[n] E[n] µ n ( e(p,q) =f P (D Q ) (qk 1)/n fp (Q +R) = f P (R) ) (q k 1)/n.

21 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Algorytm Millera(1) JeśliP E[n],ljestliniąprzechodzącąprzezpunktyiP,jP,av jest linią pionową przechodzącą przez punkt ip + jp, to f i+j =f i f j l v.

22 Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Algorytm Millera(2) 1.n = (n t,...,n 1,n 0 ) 2,R E[n] \ {,P, Q,P Q}. 2.Przyjmujemyf 1,T P. 3.Dlaiodtdo0wykonujemy: 3.1Wyznaczamyprostąl,stycznądokrzywejwT. 3.2 Wyznaczamy pionową prostą v przechodzącą przez 2T. 3.3T 2T. 3.4f f 2 l(q+r) v(q+r) v(r) l(r). 3.5Jeślin i =1to Wyznaczamy prostą l przechodzącą przez T i P Wyznaczamy pionową prostą v przechodzącą przez T + P T T +P f f l(q+r) v(q+r) v(r) l(r). 4.Obliczamyf (qk 1)/n.

23 Pytania Czy mają Państwo pytania?