3.2 ( 1.8)Криптографічне парне ( білінійне) відображення

Під парним (білінійним) відображенням [103, 104] розуміється ізоморфне відображення деякої множини точок еліптичної кривої E(Fq) на підгрупу мультиплікативної групи розширення поля F(q^m). Таке відображення першими застосували Менезес-Окамото- Ваунстоун [157] для того, щоб показати клас слабких, у криптографічному змісті, еліптичних кривих. Причому під слабкістю розуміється існування відносно них менш складної атаки на підгрупу мультиплікативної групи розширення поля F(q^m), ніж на циклічну групу точок еліптичної кривої. У зв’язку з цим еліптичні криві, що отримали назву суперсингулярних, не застосовуються в криптографії. Існування такого ізоморфного відображення дозволяє звести розв’язок дискретного логарифму на еліптичній кривій до розв’язку дискретного логарифму в полі Галуа [157, 139, 161]. Вказане важливо, оскільки розв’язок дискретного логарифму в полі Галуа має субекспоненційний характер. Цим і пояснюється побоювання застосування суперсингулярних еліптичних кривих.

У цьому підрозділі наводяться елементарні відомості відносно парного відображення точок еліптичних кривих.

3.2.1 (1.8.1) Існування спарювання

У роботах [158, 159, 163] визнані криптографи Sakai, Ohgishi і Kasahara і Joux, незалежно один від одного, запропонували застосовувати суперсингулярні криві в криптографії для парного відображення (спарювання) точок еліптичних кривих, а також запропонували нові методи криптографічних перетворень і розробили на їх основі нові криптографічні системи та протоколи. Оскільки спарювання є ізоморфним відображенням підгрупи точок еліптичної кривої на підгрупу елементів кінцевого поля, то спочатку необхідно довести існування такого ізоморфізму, а потім розглядати властивості.

Нехай E(K₀) – еліптична крива, яка задана над кінцевим полем K₀. Нехай n буде простим числом – таким, що воно ділить порядок еліптичної кривої #E(K₀), причому n і характеристика поля Char(K), де K розширення поля, є взаємно простими між собою. Обмежимося розглядом випадку Char(K) Тоді відповідно до теореми Лагранжа [8] E(K₀) має точки порядку n, тобто точки , які задовольняють умові. Крім того, оскількиn просте, то підгрупа, яка має точноn точок.

Криптографічне парне відображення e_n (спарювання) реалізоване шляхом обмеження області спарювання Вейля або Тейта таким чином:

e_n : < G₁ > × < G₂ > µ_n.

Криптографічне парне відображення e_n задовольняє таким властивостям:

• білінійність: e_n (aG₁, bG₂) = e (G₁, G₂)^ab ( a, b [0, n–1]);

• невиродженість: e_n (G₁, G2) ≠ 1;

• обчислюваність, коли існує ефективний алгоритм для обчислення e_n.

Існує два типи спарювань:

• випадок G₁ = G₂;

• випадок G₁ ≠ G₂.

Нехай E є еліптичною кривою над F(q), де q = p^m, і нехай n буде простим числом для характеристики p функції F(q). Група n-крутіння генерується двома точками, коли n – просте число до p. E(F(q)) включає точку n-крутіння G1, тому що #E (F(q)) кратне простому n.

3.2.2 (1.8) Визначення спарювань Вейля і Тейта

Нехай E(F(q)) = E/F є еліптичною кривою, n є простим дільником порядку кривої #E (F(q)), і E[n] є групою n-крутіння. Вважатимемо, що n є відносно простим числом до q [104, 172]. Тоді E[n] містить дві точки G1 і G2 – такі, що E[n] = < G1> x < G2 >. Далі, нехай B є найменшим цілим числом – таким, що q^B – 1 кратне n. Тоді E[n] ⊆ E(F(q^B)).

За цих умов спарювання Вейля є спарюванням e_n вигляду : E[n] x E[n] → _n.

Спарювання Тейта є спарюванням E(F(q^B)) [n] × E(F(q^B)) / nE(F(q^B)) → _n.

Більш детальна інформація про спарювання Вейля і Тейта наведена в [32, 54, 55].

Спарювання Вейля і Тейта є не виродженими парними (білінійними) відображеннями, визначеними над еліптичною кривою E для _n. Спарювання Вейля визначається над групою n-крутіння E[n] і тому вимагає E(F(q^B)) такого, щоб E(F(qB)) ⊃ E[n]. З іншого боку, спарювання Тейта можливе тільки якщо E(F(q^B)) ∋ G₁ і F(q^B) ⊃ _n. Тому обчислення спарювань Тейта ефективніше, ніж обчислення спарювання Вейля.