Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Podobne dokumenty
Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Parametry systemów klucza publicznego

Spis treści. Przedmowa... 9

6. Grupowe struktury dwuliniowe

Algorytmy asymetryczne

Dr inż. Robert Wójcik, p. 313, C-3, tel Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Matematyka dyskretna

1. Wykład NWD, NWW i algorytm Euklidesa.

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

PRZEWODNIK PO PRZEDMIOCIE

Zarys algorytmów kryptograficznych

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

Bezpieczeństwo systemów komputerowych

φ(x 1,..., x n ) = a i x 2 i +

Kompresja punktów na krzywych eliptycznych

Od Wydawcy Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE... 9

Spis treści. Od Wydawcy

1 Macierz odwrotna metoda operacji elementarnych

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Struktury danych i złożoność obliczeniowa Wykład 7. Prof. dr hab. inż. Jan Magott

Estymacja kosztów łamania systemu kryptograficznego

urządzenia: awaria układów ochronnych, spowodowanie awarii oprogramowania

Kryptografia na procesorach wielordzeniowych

1 Pochodne wyższych rzędów

1 Wyrażenia potęgowe i logarytmiczne.

Copyright by K. Trybicka-Francik 1

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

Copyright by K. Trybicka-Francik 1

Uzasadnienie tezy. AB + CD = BC + AD 2

PRÓBNA NOWA MATURA z WSiP. Matematyka dla klasy 2 Poziom podstawowy. Zasady oceniania zadań

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Podstawy systemów kryptograficznych z kluczem jawnym RSA

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

Działania Definicja: Działaniem wewnętrznym w niepustym zbiorze G nazywamy funkcję działającą ze zbioru GxG w zbiór G.

Problem logarytmu dyskretnego i protokół Diffiego-Hellmana. Mateusz Paluch

Krzywe Freya i Wielkie Twierdzenie Fermata

Wykład VIII. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

4. Waluacje dyskretne

KLUCZ PUNKTOWANIA ODPOWIEDZI

Zależności funkcyjne

Pierwiastki pierwotne, logarytmy dyskretne

Estymacja kosztów łamania systemu kryptograficznego

O MACIERZACH I UKŁADACH RÓWNAŃ

Elementy teorii liczb i kryptografii Elements of Number Theory and Cryptography. Matematyka Poziom kwalifikacji: II stopnia

Matematyka dyskretna

A,B M! v V ; A + v = B, (1.3) AB = v. (1.4)

Jarosław Wróblewski Matematyka Elementarna, zima 2013/14. Czwartek 21 listopada zaczynamy od omówienia zadań z kolokwium nr 2.

Algebra abstrakcyjna

Zadania egzaminacyjne

Matematyka dyskretna

DB Algebra liniowa semestr zimowy 2018

x = 1 t2 1 + t 2 y = 2t

LICZBY PIERWSZE. 14 marzec Jeśli matematyka jest królową nauk, to królową matematyki jest teoria liczb. C.F.

Algorytm. Krótka historia algorytmów

1 Grupy. 1.1 Grupy. 1.2 Podgrupy. 1.3 Dzielniki normalne. 1.4 Homomorfizmy

Piotr Majkowski. Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych Instytut Telekomunikacji

Wykład 4. Określimy teraz pewną ważną klasę pierścieni.

Baza w jądrze i baza obrazu ( )

Zadania z analizy matematycznej - sem. I Granice funkcji, asymptoty i ciągłość

PLAN WYNIKOWY Z MATEMATYKI DLA KLASY IV TECHNIKUM 5 - LETNIEGO

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Estymacja parametrów w modelu normalnym

Bezpieczeństwo danych, zabezpieczanie safety, security

Podstawowe struktury algebraiczne

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

WYMAGANIA Z WIEDZY I UMIEJĘTNOŚCI NA POSZCZEGÓLNE STOPNIE SZKOLNE DLA KLASY CZWARTEJ H. zakres rozszerzony. Wiadomości i umiejętności

KLUCZ PUNKTOWANIA ODPOWIEDZI

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Systemy baz danych. Notatki z wykładu

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Jarosław Wróblewski Matematyka Elementarna, lato 2012/13. Czwartek 28 marca zaczynamy od omówienia zadań z kolokwium nr 1.

Algebra Liniowa 2 (INF, TIN), MAP1152 Lista zadań

n := {n} n. Istnienie liczb naturalnych gwarantują: Aksjomat zbioru pustego, Aksjomat pary nieuporządkowanej oraz Aksjomat sumy.

Wybrane zagadnienia teorii liczb

Wyższa Szkoła Informatyki Stosowanej i Zarządzania. Kryptologia Bankowa

domykanie relacji, relacja równoważności, rozkłady zbiorów

Paweł Gładki. Algebra. pgladki/

SKRYPT SYSTEMY KRYPTOGRAFICZNE

ANALIZA MATEMATYCZNA Z ELEMENTAMI STATYSTYKI MATEMATYCZNEJ

Szyfrowanie RSA (Podróż do krainy kryptografii)

Definicja pochodnej cząstkowej

5. Algebra działania, grupy, grupy permutacji, pierścienie, ciała, pierścień wielomianów.

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

OLIMPIADA MATEMATYCZNA

Metody przybliżonego rozwiązywania równań różniczkowych zwyczajnych

cx cx 1,cx 2,cx 3,...,cx n. Przykład 4, 5

Wykład IV. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

7. Estymacja parametrów w modelu normalnym( ) Pojęcie losowej próby prostej

Bukiety matematyczne dla gimnazjum

Szybka transformata Fouriera w kryptografii klucza publicznego

Kodowanie i kompresja Streszczenie Studia dzienne Wykład 6

Sylabus do programu kształcenia obowiązującego od roku akademickiego 2012/13

FUNKCJE. (odwzorowania) Funkcje 1

Transkrypt:

Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej Andrzej Chmielowiec Centrum Modelowania Matematycznego Sigma, andrzej.chmielowiec@cmmsigma.eu 26maja2010

Podstawy matematyczne Zastosowanie w kryptografii Definicja Działanie grupowe Iloczyn Tate Algorytm Millera

Logarytm dyskretny Spis treści Niech G będzie grupą cykliczną, w której element g jest generatorem. Logarytmem dyskretnym z elementu h G nazywamy taką liczbę x, dla której spełnione jest równanie g x =h. Znalezienie logarytmu dyskretnego jest w ogólności zadaniem obliczeniowo trudnym. W szczególności najszybsza metoda pozwalająca na jego wyznaczenie w grupie punktów krzywej eliptycznej ma złożoność 2 r/2, gdzie r jest największym dzielnikiem pierwszym rzędu generatora.

Uzgadnianie klucza metodą Diffiego-Hellmana A B g a g b h = ( g b) a =g ab h = (g a ) b =g ab

Problem Diffiego-Hellmana Z problemem logarytmu dyskretnego związany jest problem Diffiego-Hellmana.Polegaonnaznalezieniuwielkościg ab na podstawieg,g a ig p.możnawykazać,żedladowolnejgrupy problem logarytmu dyskretnego jest wielomianowo redukowalny do problemu Diffiego-Hellmana(problem logarytmu dyskretnego nie jest łatwiejszy obliczeniowo niż problem Diffiego-Hellmana). Odwrotna redukowalność została wykazana tylko w niektórych przypadkach.

Trójstronne uzgadnianie klucza Runda pierwsza A,a,g a g a B,b,g b g c C,c,g c g b Runda druga A,a,g a,g c g ac B,b,g b,g a g bc C,c,g c,g b g ab

Podstawy matematyczne Zastosowanie w kryptografii Definicja odwzorowania dwuliniowego Odwzorowaniemdwuliniowymna (G 1,G T )nazywamytakie przekształcenie ê :G 1 G 1 G T, które spełnia następujące warunki: 1.(Dwuliniowość)DlakażdegoR,S,T G 1 mamy ê(r +S,T) =ê(r,t)ê(s,t), ê(r,s +T) =ê(r,s)ê(r,t). 2.(Niezdegenerowanie) ê(p, P) 1. 3.(Obliczalność) Wartość ê(p, R) może być efektywnie wyznaczona.

Podstawy matematyczne Zastosowanie w kryptografii Własności odwzorowania dwuliniowego(1) Można wykazać, że odwzorowania dwuliniowe mają następujące własności: 1.ê(S, ) =1iê(,S) =1. 2.ê(S, T) =ê( S,T) =ê(s,t) 1. 3.ê(aS,bT) =ê(s,t) ab dlawszystkicha,b Z. 4.ê(S,T) =ê(t,s). 5.Jeśliê(S,R) =1dlawszystkichR G 1,toS=.

Podstawy matematyczne Zastosowanie w kryptografii Własności odwzorowania dwuliniowego(2) Jedną z konsekwencji istnienia odwzorowania dwuliniowego jest to, żeproblemlogarytmudyskretnegowgrupieg 1 możebyć efektywnie zredukowany do problemu logarytmu dyskretnego wgrupieg T.Jeślibowiemszukamyrozwiązaniarównania Q =xp wgrupieg 1,toszukanaliczbaxjestrównieżrozwiązaniem równania ê(p,q) =ê(p,xp) =ê(p,p) x wgrupieg T.

Podstawy matematyczne Zastosowanie w kryptografii Dwuliniowy problem Diffiego-Hellmana Jeśli ê jest odwzorowaniem dwuliniowym, to dwuliniowy problem Diffiego-Hellmana definiujemy następująco: MającdaneP,aP,bPicPnależywyznaczyćê(P,P) abc.

Podstawy matematyczne Zastosowanie w kryptografii Własności dwuliniowego problemu DH Trudność obliczeniowa dwuliniowego problemu DH implikuje trudnośćproblemudhzarównowgrupieg 1 jakig T. JeżelinapodstawieaPibPmożemywyznaczyćabP,tomożemy również wyznaczyć ê(abp,cp) =ê(p,p) abc. Jeżelinapodstawig ab =ê(ap,bp)ig c =ê(p,cp)możemy wyznaczyćg abc toznajdziemy g abc =ê(p,p) abc.

Podstawy matematyczne Zastosowanie w kryptografii Jednorundowe uzgodnienie klucza przez trzy strony(1) 1.StronaAlosujeliczbęa [0,n 1],wyznaczaaPiwysyła stronomb,c. 2.StronaBlosujeliczbęb [0,n 1],wyznaczabPiwysyła stronoma,c. 3.StronaClosujeliczbęc [0,n 1],wyznaczacPiwysyła stronom A, B.

Podstawy matematyczne Zastosowanie w kryptografii Jednorundowe uzgodnienie klucza przez trzy strony(2) Strona A Strona B Strona C Posiada a,bp,cp b,ap,cp c,ap,bp Wyznacza K =ê(bp,cp) a K =ê(ap,cp) b K =ê(ap,bp) c =ê(p,p) abc =ê(p,p) abc =ê(p,p) abc

Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(1) W roku 1984 Shamir przedstawił koncepcję kryptografii opartej na identyfikatorach: 1. Kluczem publicznym użytkownika będzie jego identyfikator (na przykład adres e-mail). 2. Będzie istniała zaufana trzecia strona odpowiedzialna za tworzenie kluczy prywatnych dla użytkowników. 3. Szyfrowanie będzie można wykonać nawet przed wygenerowaniem klucza prywatnego użytkownika(operacja szyfrowania wymagać będzie jedynie identyfikatora użytkownika i klucza publicznego zaufanej trzeciej strony).

Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(2) Schemat Boneha-Franklina zakłada, że: 1.Dysponujemydwuliniowymodwzorowaniemê:G 1 G T. 2.IstniejąfunkcjeskrótuH 1 ih 2 takie,że: H 1 : {0,1} G 1 \ { } i H 2 :G T {0,1} l. gdzie l jest liczbą bitów tekstu jawnego. 3. Zaufana trzecia strona dysponuje swoim kluczem prywatnym t [0,n 1]orazkluczempublicznymT =tp. Kluczprywatnyd A,wyznaczanyjestnapodstawieidentyfikatora ID A : d A =tq A =th 1 (ID A ).

Podstawy matematyczne Zastosowanie w kryptografii Kryptografia oparta na identyfikatorach(3) Szyfrowaniewiadomościm {0,1} l : 1.WyznaczamykluczpublicznyQ A =H 1 (ID A ). 2.Wybieramylosowoliczbęr [0,n 1]iobliczamyR=rP. 3.Tworzymyszyfrogramc=m H 2 (ê(q A,T) r ). 4. Wysyłamy parę (R, c) do odbiorcy. W celu odszyfrowania wiadomości użytkownik wykorzystuje swój kluczprywatnyd A iwyznaczatekstjawnym =c H 2 (ê(d A,R)). Proces deszyfrowania wiadomości działa poprawnie, ponieważ prawdziwa jest następująca równość: ê(d A,R) =ê(tq A,rP) =ê(q A,P) tr =ê(q A,tP) r =ê(q A,T) r.

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Krzywa eliptyczna Jednorodne równanie Weierstrassa: E :Y 2 Z +a 1 XYZ +a 3 YZ 2 =X 3 +a 2 X 2 Z +a 4 XZ 2 +a 6 Z 3

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Grupa punktów krzywej eliptycznej Punkty krzywej eliptycznej tworzą grupę.

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Metody rozwiązywania logarytmu dyskretnego na krzywej eliptycznej Aktualnie najlepszą metodą rozwiązywania tego problemu jest algorytm ρ-pollarda, którego oczekiwany czas działania jest rzędu O( n). Istnieją również metody rozwiązywania problemu logarytmu dyskretnego, które mają zastosowanie dla konkretnych rodzajów krzywych. W szczególności można zastosować iloczyn Weila i Tate, aby przenieść problem z grupy punktów krzywej, do grupy multyplikatywnejciałaskończonego F q k. Stopniem osadzenia P E nazywamy najmniejszą liczbę całkowitąk,dlaktórejzachodzin q k 1.

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Iloczyn Tate- definicja NiechP,Q E[n]iniechf P będziefunkcjąspełniającąwarunek div(f P ) =n(p) n( ).Przyjmijmyponadto,żeR E[n]jest punktemspełniającymwarunekr {,P, Q,P Q}orazD Q jestdywizoremzdefiniowanymnastępującod Q = (Q +R) (R). Przez iloczyn Tate rozumiemy odwzorowanie: zdefiniowane następująco: e :E[n] E[n] µ n ( e(p,q) =f P (D Q ) (qk 1)/n fp (Q +R) = f P (R) ) (q k 1)/n.

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Algorytm Millera(1) JeśliP E[n],ljestliniąprzechodzącąprzezpunktyiP,jP,av jest linią pionową przechodzącą przez punkt ip + jp, to f i+j =f i f j l v.

Definicja Działanie grupowe Iloczyn Tate Algorytm Millera Algorytm Millera(2) 1.n = (n t,...,n 1,n 0 ) 2,R E[n] \ {,P, Q,P Q}. 2.Przyjmujemyf 1,T P. 3.Dlaiodtdo0wykonujemy: 3.1Wyznaczamyprostąl,stycznądokrzywejwT. 3.2 Wyznaczamy pionową prostą v przechodzącą przez 2T. 3.3T 2T. 3.4f f 2 l(q+r) v(q+r) v(r) l(r). 3.5Jeślin i =1to 3.5.1 Wyznaczamy prostą l przechodzącą przez T i P. 3.5.2 Wyznaczamy pionową prostą v przechodzącą przez T + P. 3.5.3 T T +P. 3.5.4 f f l(q+r) v(q+r) v(r) l(r). 4.Obliczamyf (qk 1)/n.

Pytania Czy mają Państwo pytania?