6. Grupowe struktury dwuliniowe

Podobne dokumenty
SKRYPT SYSTEMY KRYPTOGRAFICZNE

Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Wyższa Szkoła Informatyki Stosowanej i Zarządzania. Kryptologia Bankowa

Działania Definicja: Działaniem wewnętrznym w niepustym zbiorze G nazywamy funkcję działającą ze zbioru GxG w zbiór G.

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Podstawowe struktury algebraiczne

Matematyka dyskretna

Algorytmy asymetryczne

Algebra abstrakcyjna

4. Waluacje dyskretne

Dr inż. Robert Wójcik, p. 313, C-3, tel Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska

1.1 Definicja. 1.2 Przykład. 1.3 Definicja. Niech G oznacza dowolny, niepusty zbiór.

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Wybrane zagadnienia teorii liczb

Treść wykładu. Pierścienie wielomianów. Dzielenie wielomianów i algorytm Euklidesa Pierścienie ilorazowe wielomianów

Wykład 4. Określimy teraz pewną ważną klasę pierścieni.

Zadania z algebry liniowej - sem. I Struktury algebraiczne

1 Określenie pierścienia

Macierze. Rozdział Działania na macierzach

Parametry systemów klucza publicznego

Geometria analityczna

1 Macierz odwrotna metoda operacji elementarnych

5. Algebra działania, grupy, grupy permutacji, pierścienie, ciała, pierścień wielomianów.

Spis treści. Przedmowa... 9

Struktury danych i złożoność obliczeniowa Wykład 7. Prof. dr hab. inż. Jan Magott

Rozdział 5. Macierze. a 11 a a 1m a 21 a a 2m... a n1 a n2... a nm

Problem logarytmu dyskretnego i protokół Diffiego-Hellmana. Mateusz Paluch

W. Guzicki Próbna matura, grudzień 2014 r. poziom rozszerzony 1

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

Algorytmy w teorii liczb

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

Uwaga 1.2. Niech (G, ) będzie grupą, H 1, H 2 < G. Następujące warunki są równoważne:

Matematyka dyskretna dla informatyków

Definicja i własności wartości bezwzględnej.

0 + 0 = 0, = 1, = 1, = 0.

19 Własności iloczynu skalarnego: norma, kąt i odległość

Wykład z równań różnicowych

DB Algebra liniowa semestr zimowy 2018

Matematyka dyskretna

Bezpieczeństwo systemów komputerowych

Zegar ten przedstawia reszty z dzielenia przez 6. Obrazuje on jak kolejne liczby można przyporządkować do odpowiednich pokazanych na zegarze grup.

Dystrybucje, wiadomości wstępne (I)

, A T = A + B = [a ij + b ij ].

1 Metody rozwiązywania równań nieliniowych. Postawienie problemu

Matematyka dyskretna

Zestaw 2. Definicje i oznaczenia. inne grupy V 4 grupa czwórkowa Kleina D n grupa dihedralna S n grupa symetryczna A n grupa alternująca.

1. Wykład NWD, NWW i algorytm Euklidesa.

Równania Pitagorasa i Fermata

Wyk lad 4 Warstwy, dzielniki normalne

Efektywność Procedur Obliczeniowych. wykład 5

1 Grupy. 1.1 Grupy. 1.2 Podgrupy. 1.3 Dzielniki normalne. 1.4 Homomorfizmy

PRÓBNA NOWA MATURA z WSiP. Matematyka dla klasy 2 Poziom podstawowy. Zasady oceniania zadań

Algebra Liniowa 2 (INF, TIN), MAP1152 Lista zadań

Chcąc wyróżnić jedno z działań, piszemy np. (, ) i mówimy, że działanie wprowadza w STRUKTURĘ ALGEBRAICZNĄ lub, że (, ) jest SYSTEMEM ALGEBRAICZNYM.

Podstawowe struktury algebraiczne

Rozszerzone protokoły Diffiego Hellmana

Przestrzenie liniowe

Wykład VIII. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Liczby pierwsze na straży tajemnic

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Funkcja kwadratowa. f(x) = ax 2 + bx + c = a

Struktury danych i złożoność obliczeniowa Wykład 5. Prof. dr hab. inż. Jan Magott

ZAGADNIENIA PROGRAMOWE I WYMAGANIA EDUKACYJNE DO TESTU PRZYROSTU KOMPETENCJI Z MATEMATYKI DLA UCZNIA KLASY II

Algebra liniowa z geometrią

Ciała i wielomiany 1. przez 1, i nazywamy jedynką, zaś element odwrotny do a 0 względem działania oznaczamy przez a 1, i nazywamy odwrotnością a);

Krzywe Freya i Wielkie Twierdzenie Fermata

Zaawansowane metody numeryczne

Recenzja rozprawy doktorskiej mgr Anny Lauks Dutki. pt. Applied Cryptographic Schemes based on Discrete logarithm Problem

Przykładowe rozwiązania

1. Określenie pierścienia

SIMR 2016/2017, Analiza 2, wykład 1, Przestrzeń wektorowa

Przykładowe rozwiązania zadań. Próbnej Matury 2014 z matematyki na poziomie rozszerzonym

Przykładowe zadania z teorii liczb

0.1 Pierścienie wielomianów

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Ciała skończone. 1. Ciała: podstawy

Wielomiany. dr Tadeusz Werbiński. Teoria

Algorytmy i struktury danych. Wykład 4

A,B M! v V ; A + v = B, (1.3) AB = v. (1.4)

Matematyka dyskretna

Funkcja kwadratowa. f(x) = ax 2 + bx + c,

V Międzyszkolny Konkurs Matematyczny

Matura próbna 2014 z matematyki-poziom podstawowy

2) R stosuje w obliczeniach wzór na logarytm potęgi oraz wzór na zamianę podstawy logarytmu.

Z52: Algebra liniowa Zagadnienie: Zastosowania algebry liniowej Zadanie: Operatory różniczkowania, zagadnienie brzegowe.

Rachunek prawdopodobieństwa Rozdział 3. Prawdopodobieństwo warunkowe i niezależność zdarzeń.

2. LICZBY RZECZYWISTE Własności liczb całkowitych Liczby rzeczywiste Procenty... 24

Matematyka dyskretna

. : a 1,..., a n F. . a n Wówczas (F n, F, +, ) jest przestrzenią liniową, gdzie + oraz są działaniami zdefiniowanymi wzorami:

LXI Olimpiada Matematyczna

Baza w jądrze i baza obrazu ( )

Funkcje wymierne. Jerzy Rutkowski. Działania dodawania i mnożenia funkcji wymiernych określa się wzorami: g h + k l g h k.

LICZBY PIERWSZE. 14 marzec Jeśli matematyka jest królową nauk, to królową matematyki jest teoria liczb. C.F.

Wymagania edukacyjne z matematyki klasa II technikum

Transkrypt:

6. Grupowe struktury dwuliniowe 6.1 Grupowe struktury dwuliniowe G 1,G 2 - grupy skończone cykliczne o rzędzie będącym zadanym liczbą pierwszą Działanie dwuliniowe (iloczyn dwuliniowy) e:g 1 G 2 G 2 spełniający warunki: G 1 =G 1, + G 2 =G 2, * 1)dwuliniowość eap,bp =ep,q ab a,b Z P,Q G 1 2)nietrywialność (niezdegenerowalność) to oznacza, że eg 1 G 1 1 G 2, gdzie 1 oznacza element neutralny grupy multiplikatywnej. 3)obliczalność e P, Q P,Q G 1 istnieje efektywny obliczeniowo algorytm pozwalający obliczyć Wniosek 1 Jeśli P jest generatorem G 1 to element e P, P jest generatorem G 2 Każdy element G 1 jest postaci ap. Zatem niech Q, R takie punkty G 2, że eq, R 1 G2, e P, P ab 1 G2 e P, P 1 G2. Zatem e P, P - generuje nietrywialną podgrupę w G 2 rzędu dzielącego liczbę pierwszą P. Zatem jest całą grupą G 2. Trójkę G 1, G 2, e nazywamy strukturą z działaniem dwuliniowym Protokół Difiego-Helmana w strukturze dwuliniowej P,Q G 1 punkty znane publicznie A ap - publ. B bp publ.

aq prywatne a,b losowe bq prywante Każda strona wyznacza wspólny klucz wymiany obliczając ebp, aq=eap, bq - klucz wymiany ep,q ba =e P,Q ab =k AB Analiza złożoności protokołu Niech T operacja transmisji, O operacja obliczeniowa Złożoność protokołu D-H dla struktury dwuliniowej wynosi 2T + 6O Teraz możemy wykorzystać klucz k AB =e P,Q a, b do szyfrowania i deszyfrowania wiadomości m co daje łącznie 3T +8O operacji 6.2 System szyfrowanie ze wskazówką (odpowiada kryptosystemowi ElGamala) A m B rp - publ. bp publ. rq prywatne bq prywante (2O+1T) r losowe 1. [e bp, rq m, rp] otrzymuje dzieląc pierwszą współrzędną przekazu przez erp, bq - koszt 4O+1T + 2O B oblicza erp, bq Łączny koszt to 8O +2T 6.3 Podpis cyfrowy w strukturze dwuliniowej A B ap - publ. rp publ. aq prywatne rq prywante r losowe Podpis a, r m=[mr a,rp ] [m, a, r m] B

Weryfikacja Strona B sprawdza czy : e mra Q, P =e mq, rp eq, ap Poprawność wynika z własności iloczynu Uzasadnienie Iloczyn ma własność epq, R=eP, ReQ, R bo emrq, P eaq, P =eq, P mr eq, P a =emq, rp eq, ap ckd 6.3.1 Podpis Schnorra w strukturze dwuliniowej A m B składa podpis weryfikuje podpis Podpisywanie wiadomości m (wybieramy losowe r i obliczamy) r, a m=[rah, rp ] gdzie h=h m, rp jest publicznie znaną funkcją haszującą. Weryfikacja polega na sprawdzeniu czy zachodzi równość: (*) erahq, P=eQ, rp eq, r ap h Poprawność: jeśli podpis przebiega prawidłowo to weryfikacja powiedzie się. Sprawdzamy (*) Na mocy własności dzielenia (dwuliniowości) mamy: lewa= rahq, P = rq, P ahq, P = a,rp Q, P ah = Q,rP Q, ap h = prawa Bezpieczeństwo podpisu r, a m sprowadza się odpowiednio do trudności obliczenia wartości a lub r, mając dane punkty ap lub rp na krzywej eliptycznej jest to problem logarytmu dyskretnego w grupie punktów wymiernych na krzywej eliptycznej E K, gdzie K ciało skończone. 6.4 System szyfrowania oparty na identyfikacji A m m k B k=k Id B E publicznie znana krzywa PKG (private key generator) dostarcza klucz deszyfrujący m k

P, Q zadane punkty na E H 1, H 2 publicznie znane funkcje haszujące A B r - losowe Q ID =H 1 Id B [r, rp] sq poufne sq klucz deszyfrujący dla B sp klucz publiczny dla B s master key PKG Szyfrogram wiadomości m generowany przez A jest parą: r c=[rp, m H 2 g ID ] gdzie g ID = Q ID, sp ; - dodawanie mod 2 c = [X, Y] Odbiorca używający kluczy sq oraz c=[ X, Y ], najpierw oblicza H 2 g r ID potem dodaje H 2 ty=m H 2 H 2 =m. Wystarczy pokazać, że R może obliczyć g ID, mianowicie r = Q ID, sp r = sq ID, rp co kończy wnioskowanie. g ID 7. Problemy obliczeniowe w strukturze dwuliniowej 7.1 Problem Diffie-Hellmana Struktura (grupowa) dwuliniowa G 1, G 2, e, e:g 1 G 1 G 2,

ord G 1 =ord G 2 =q, q liczba pierwsza. Problemy: 1) Problem logarytmu dyskretnego DLG (ang. Discrete Logarithm Problem) 2) Problem obliczeniowy Diffie-Hellmana CDH (ang. Computational Diffie- Hellman Problem) 3) Problem decyzyjny Diffie-Hellmana DDH (ang. Decisional Diffie-Hellman Problem) Założenia 1) Problem DDL w G 2 jest trudny 2) Problem CDH w G 1 jest trudny Problemy CDH w G 1 : Dane [P,aP, bp ], obliczyć Q = abp Problemy CDH w G 2 : Dane [g, g a, g b ], obliczyć g ab Problem DDH w G 2 : Czy czwórka [g, g a, g b, g c ] jest czwórka Diffiego Hellmana tzn. taką, że g c =g ab Problem DDH w G 1 : Czy czwórka [P, ap, bp, cp] jest czwórką Diffiego Hellmana tzn. taką, że abp=cp 7.2 Redukcje MOV Twierdzenie Redukcja MOV (Menezes, Okamoto, Vanstone) Niech G 1, G 2, e - struktura dwuliniowa. Wtedy problem DLG w G 1 nie jest trudniejszy niż problem DLG w G 2 Niech P,Q G 1. Szukamy a : ap=q. Niech g=e P, P, h=ep,q. P,a generatory G 2. Pokażemy, że rozwiązując problem DLG w G 2, rozwiązujemy DLG w G 1. Dane : g, h G 2 Znajdź : :g =h

Niech będzie rozwiązaniem tego problemu w G 2 tzn. g =h. Zauważmy, że a= jest rozwiązaniem problemu DLG w G 1, bo jeśli Q= P to h=ep, P=e P, P =g, cnd. 7.3 Problem jednokierunkowości Twierdzenie 2 Odwzorowania Q :G 1 G 2 zadane wzorem: Q P=e P,Q jest homomorfizmem jednokierunkowym o ile problem DDH w G 2 jest trudny. Załóżmy, że odwróciliśmy Q P tzn. Mając dany iloczyn e(p, Q) możemy wyznaczyć P. Pokażemy, że wtedy DDH w G 2 jest łatwy. Zauważmy, że DDH w G 1 jest łatwy bo dla stwierdzenia czy czwórka [ P, ap, bp, cp ] jest właściwą czwórką D-H wystarczy sprawdzić czy ep,cp =eap, bp=ep, P c =e P, P ab. Niech g, g a, g b, g c będzie dane. Mamy stwierdzić czy jest to czwórka D- H w G 2 wiadomo, że jeśli g-generator G 1 to e P,bP =g c =e P, cp. Korzystając z założenia można obliczyć ap,bp, cp. Jeśli [ P, ap, bp, cp ] jest czwórką D-H w G 1 to stwierdzić można, że [ g, g a, g b, g c ] jest właściwą czwórką D-H w G 2. A zatem rozwiązanie problemu DDH w G 2 jest niemożliwe bo założyliśmy, że jest on trudny. A zatem jest jednokierunkowe c.k.d. Problem BDH (dwuliniowy Diffie-Hellman) Niech P generator w G 1 rzędu q Dane: [P, ap, bp, cp] gdzie a, b, c Z q Obliczyć: e P, P abc Algorytm A ma przewagę ε w rozwiązaniu problemu BDH jeśli Pr [ A P, ap, bp, cp =e P, P abc ] ε gdzie prawodopodobieństwo jest wyznaczane po losowych wyborach a, b, c Z q i losowych bitach algorytmu A. Generatorem parametrów (IG) dla struktury G 1, G 2, e nazywamy algorytm zrandomizowany spełniający warunki: 1. Na wyjściu dane k N 2. (IG) działa w czasie Ok c

3. (IG) daje na wyjściu strukturę G 1, G 2, e taką, że G i =q dla i = 1, 2. oznacza ze generator parametrów ma na wyjściu parametr bezpieczeństwa złożony z k jedynek. IG 1 k Definicja (IG) spełnia założenia BDH jeśli dowolny zrandomizowany i działający w czasie wielomianowym (od k) algorytm A rozwiązuje problem BDH z przewagą co najwyżej 1/f(k) dla dowolnego wielomianu f. 8. Iloczyn WEILA 8.1 Wprowadzenie W tym rozdziale zdefiniujemy działanie dwuliniowespełniające warunki: nietrywialności i obliczalności. Definicja 1 Niech E=E / K ( K algebraicznie domknięte ciało) Wtedy E [n]={p E :np=} nazywamy grupą punktów n-torsyjnych na krzywej E / K ( punkt neutralny w grupie). Dalej zakładamy, że e: E [n] E [n] K Definicja 2 Iloczynem Weila nazywamy działanie dwuliniowe trywialne na przekątnej tzn. spełniające warunek : ep, P =1 dla dowolnego P E n. Twierdzenie 1 Niech e : H H G będzie nietrywialnym działaniem dwuliniowym takim, że ep, P =1 dla dowolnego P H oraz niech : H H G homomorfizm taki, że grupa P,P generowana przez P i P

jest równa H. Wtedy odwzorowanie e=h H G określone następująco: ep, Q=e P,Q jest działaniem dwuliniowym nietrywialnym na przekątnej. Niech Q H takie, że P, Q 1 Ponieważ < P, P>=H to Q=aPb P. Zatem 1 e P,Q=eP, apb P=e P, P a e P, P b =e P, P b c.k.d. 8.2 Grupa klas dywizorów krzywej eliptycznej Przypomnienie Niech E / K D iv 0 E /Prin E. Zatem, każdy punkt P na krzywej E będziemy identyfikować z dywizorem (P) - (Q) stopnia 0 z dokładnością do dywizorów głównych. Co więcej A= a P P jest dywizorem głównym, wtedy i tylko tedy gdy : { a P =0 oraz a P P= w sensie struktury grupowej na E. Dywizor główny nazywamy często - dywizorem funkcji i oznaczamy f = ord P f P Dywizory funkcji liniowych Niech l: ax + by + c = 0 i niech P, Q, R będą punktami przecięcia krzywej E z prostą l, wtedy D ivl = P Q PQ 3 Jeśli b=0 to l : xc=0 wtedy dywizor D ivl =P P 2 Definicja Jeśli f jest funkcja na krzywej E oraz A= a P P jest dywizorem to f A= P A f P a P Przykład: f x, y=x x R A= P Q f A= x P x R 1 x Q x R 1 = x P x R x Q x R

f P Q= f P 1 = f P 8.3 Określenie iloczynu Weila Definicja Iloczynem Weila e: E [n ] E [n ] K wzorem: e n = P, Q= f n p A Q f n Q A Q nazywamy przekształcenie zadane, gdzie f p n ~np n A Q ~Q n ~nq n A P ~P Wnioski Wartość e n P,Q nie zależy od wyboru reprezentantów klas dywizorów modulo dywizory główne. Niech A P będzie dywizorem równoważnym A P tzn. A P = A P g g funkcja wymierna na krzywej E oraz f P n = f P n g n div f n P g n =div f n P n divg oraz A P ~ P g ( bo f n P ~ n A P ~ n[p g ]=n P n ng= f n P g n ). Zatem mamy : e n P,Q= f n A P Q f n Q A P = f P A Q g A Q n A P g = f P A Q A P gn A Q g = f P A Q bo A P g f n Q g = f A P Q A P ostatnia równość zachodzi na mocy wzoru wzajemności f g=g f Lemat Istnieje efektywny algorytm D, który dla danych wejściowych f b A Q, f c A q oraz bp, cp,bc P b, c N oblicza wartość f bc A Q gdzie f a a {b, c, bc} jest funkcją wymierną której dywizor jest równoważny dywizorowi. A Q =a PR 1 a R 1 ap Zdefiniujemy dwie funkcje liniowe g 1, g 2 g 1 : g 1 =bpcp bc P 3 na krzywej E

g 2 : g 2 =bcp bc P 2 Zatem g 1 jest prostą przechodzącą przez punkty bp, cp. Jeżli b=c to g 1 jest styczną do krzywej E w punkcie bp. Niech g 1 x, y=a 1 xb 1 yc 1. Dalej g 2 jest prostą pionować przechodzącą przez punkt bcp. Niech g 2 x, y=xc 2. Zdefinicji mamy, że A b =b PR 1 b R 1 bp A c =cpr 1 cr 1 cp A cb =bc P R 1 bc P R 1 [bc PR 1 ] Zatem otrzymujemy, że A cb =A b A c g 1 g 2 f bc A Q = f b A Q f c A Q g 1 g 2 skąd Wniosek Jeśli p jest punktem n-torsyjnym, to dywizory funkcji równoważne. f n i f P n są f n p ~n A P ~n P n. Z definicji A n wiemy, że f n jest dywizorem równoważnym A n ~npr 1 n P 1 np, który jest równoważny dywizorowi n P n. Wniosek 2 Dla rekurencyjnego obliczenia f bc rozpoczniemy do obliczenia f 1 takiego,że f 1 =PR 1 R 1 P ; taka funkcja jest ilorazem funkcji g 2 ` x, y/ g 1 ` x, y gdzie g 2 `x, y jest prostą pionową przchodzącą przez PR 1 natomiast g 1 `x, y jest prostą przechodzącą przez punkty P i R 1. Wniosek 3 Obliczanie iloczynu Weila e n P,Q wykonuje się w czasie Olog c n gdzie c jest pewną stałą dodatnią.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres