12.4 Крипто перетворення в гіпереліптичних кривих
Першими пропозиціями щодо застосування гіпереліптичних кривих вочевидь необхідно вважати пропозиції Neal Koblitz – професора математики Вашингтонського університету [144]. Він є визнаним математиком, у тому числі з алгебраїчної геометрії, що включає й розділи теорії еліптичних і гіпереліптичних кривих. Деякий час вважалося, що застосування перетворень на гіпереліптичних кривих в криптографії суттєво обмежено через складності необхідних обчислень і, як наслідок, незадовільний рівень швидкодії.
Значні результати у вирішенні цього протиріччя вніс професор Christof Paar (Германія). Ним вирішені задачі оптимізації обчислень на гіпереліптичних кривих 1–4 родів [146]. Так, він виконав оптимізацію формул складання та подвоєння дивізорів з використанням узагальненого метода Карацуби. Це дозволило підвищити швидкодії перетворень на гіпереліптичних кривих, досягти результатів, порівнюваних зі складністю перетворень на еліптичних кривих, а в деяких випадках і перевершити їх. Він також вів модифіковану метрику, більш точну. Останні дослідження значною мірою присвячені оптимізації складання та подвоєння за критерієм складності. В останні роки значні зусилля були спрямовані й на розробку теорії та практики криптографічної стійкості відносно криптографічних перетворень на гіпереліптичних кривих [145 - 150].
Таблиця 9.1 - Асиметричні криптографічні перетворення для реалізації направленого шифрування
|
Параметри НШ/ Математичний апарат |
Особистий ключ НРШ |
Відкритий ключ НЗШ (сертифікат) |
Асиметрична пара (ключ) |
Загальні параметри крипто перетворення |
Сертифікати |
Складність крипто аналізу |
|
НШ в кільці (RSA) |
Di |
Ei |
(Di , Ei) |
N = P Q |
Еi |
Субекспоненційна |
|
НШ в полі Галуа F(P) |
Хi |
Yi=gXi(mod P) |
(Xi, Yi) |
P, q, g |
Yi |
Субекспоненційна |
|
НШ в групі точок еліптичних кривих Е(F(q)) |
di |
Qi=di G(modq) |
(di, Qi) |
a, b, G, n, f(x)(P), h |
Qi |
Експоненційна |
|
НШ в гіпереліптичних кривих |
Сi |
D2= ci D1 |
(ci, D2) |
f(x), g(x), q, D1, g, J |
D2 |
Експоненційна |
|
НШ зі спарюванням точок еліптичних кривих |
diD =s QiD |
QiD=H1 (ID) |
(diD, QiD) |
G1, G2, e, H1, P, H2, H3, F2m, Pp |
QiD |
Експоненційна – субекспоненційна |
|
НШ в кільці зрізаних поліномів (NTRU) |
f = 1+pF (modq) |
h= f 1*g*p(modq) |
(f, h) |
N, q, p, f, g ,df, dg, c |
|
Експоненційна – субекспоненційна |
Визначено,
що основним
параметром, від значення якого залежить
криптографічна стійкість перетворень
на еліптичних кривих, є порядок групи
дивізорів гіпереліптичної кривої.
На сьогодні для визначення порядку
еліптичної кривої можуть бути застосовані
два класи методів – l - адичні та p -
адичні. В обох випадках теоретичною
основою є поняття Дзета-функції та
гіпотези Вейля. Чисельником Дзета-функції
є характеристичний поліном ендоморфізма
Фробеніуса. Далі, якщо гіпереліптична
крива визначена над кінцевим полем
,
то для визначення її порядку достатньо
знати число точок, які задовольняють
рівнянню кривої над усіма розширеннями
поля
до
включно, де g
рід кривої. Нині найбільше розповсюдження
отримали Р- адичні методи визначення
порядку гіпереліптичних кривих.
Наведемо деякі поняття й визначення, що стосуються гіпереліптичних кривих, орієнтуючись на [145 150].
Визначення
1.1
Нехай F
кінцеве поле та нехай
алгебраїчне замикання F. Тоді рівняння
вигляду
, (1.57)
де
поліном
степені не більше
,
нормований
поліном степені
і немає розв’язків
,
які одночасно задовольняли б рівнянню
,
і рівняння приватних похідних задовольняють
умовам
та
,визначає
гіпереліптичну криву C роду
(
)
над F.
Коли
g = 1, то ми маємо звичайну еліптичну
криву. У цьому випадку нормований поліном
у рівнянні (12.1) є поліномом третього
ступеню.
За цієї умови еліптична крива Е в канонічній формі Веєрштрасса в афінних координатах може бути подана в такому вигляді:
, (1.58
)
причому коефіцієнти a, b, c F. Також відомо, що гіпереліптична крива не має особливих точок.
Нехай
– кінцева точка на гіпереліптичній
кривій
.
Протилежною точці
є точка
.
Також точка на нескінченності
є протилежною сама собі, тобто
.
Якщо кінцева точка задовольняє умові
,
то така точка називається точкою
спеціального вигляду, усі інші називаються
звичайними.
На рис. 1.2 наведено приклад гіпереліптичної кривої над полем дійсних чисел.
Для
такої кривої точка на нескінченності
лежить у проективній площині
.
Це єдина точка, що лежить на прямій у
нескінченності, що задовольняє рівнянню,
однорідному рівнянню гіпереліптичної
кривої. Якщо
,
то
є єдиною особливою точкою.
Як групова структура для гіпереліптичних кривих розглядається якобіан кривої С. Кожен елемент якобіана – це клас еквівалентності дивізорів. Розглянемо поняття дивізорів та їх основні властивості.
Рис. 1.2. Гіпереліптична крива над полем дійсних чисел R
Визначення
1.2. Дивізор
– це кінцева формальна сума точок
гіпереліптичної кривої
,
яка визначається таким чином:
, (1.59
)
якщо
тільки кінцеве число
не дорівнює нулю.
Степінь
позначається як
.
Воно є цілим числом, яке визначається
як
.
Порядком
дивізора
в точці
є ціле число
– таке, що порядок дивізора в точці
є
.
Визначення 1.3. Кількість точок дивізора називається вагою дивізора.
Множина всіх дивізорів D формує адитивну групу з операцією складання:
. (1.60
)
Множина D0 позначає підгрупу D, яка складається з дивізорів нульового степеня.
Визначення
1.4. Нехай
.
Дивізором раціональної функції R є
.
(1.61 )
Тобто дивізор раціональної функції – це кінцева формальна сума, що має степінь 0.
При визначенні якобіану гіпереліптичної кривої використовується поняття «головний дивізор».
Визначення
1.5. Дивізор
називається головним дивізором, якщо
для певної раціональної функції
.
Множину всіх головних дивізорів
позначають як
.
Нехай
є функція. Дивізор
можна подати у вигляді різниці двох
дивізорів:
,
(1.62 )
де
відповідає
перетинанню С з кривою
і
– перетинанню
з кривою
.
Наведемо також визначення якобіана гіпереліптичної кривої.
Визначена згідно з 12.6 фактор-група
(1.63
1.35)
називається
якобіаном гіпереліптичної кривої
.
Якщо
і
,
то зазвичай позначають
.
У цьому випадку
і
називають еквівалентними дивізорами.
Тобто якобіан являє собою кінцеву
фактор-групу однієї нескінченної групи
за іншою нескінченною групою. Кожен
елемент якобіана є класом еквівалентності
дивізорів.
Розглянемо сутність геометричного закону складання дивізорів гіпереліптичної кривої [242].
Якобіан гіпереліптичної кривої другого роду включає дивізори, що утворені однією або двома точками. Виходячи з визначення якобіана, для того щоб побудувати групу, необхідно утворити фактор-групу сум точок на кривій за підмножиною сум тих точок, що лежать на функції.
В абелевій групі, якою є якобіан гіпереліптичної кривої, головною операцією, що визначає складність, є процес обчислення кратного cD для великих цілих чисел c:
.(Виправити
раз на разів
(1.64 )
Ця операція називається скалярним множенням дивізора на число і вимагає для її реалізації додавання та дублювання дивізорів.
Стійкість криптографічних систем ґрунтується на великій (експоненційній) складності вирішення зворотної задачі – дискретного логарифмування в якобіані гіпереліптичної кривої [ 11, 149].
Для виконання групових операцій в якобіані гіпереліптичної кривої застосовується базова ітераційна формула Кантора [149]. Вона є дійсною для гіпереліптичних кривих довільного роду і може бути заданою у вигляді такого двох крокового алгоритму.
Знаходиться
напів приведений дивізор
– такий, що
у групі
[ ]. (1.65)
Напів
приведений дивізор
зводиться до еквівалентного приведеного
дивізора
.
Детальні дані щодо складності виконання групових операцій в якобіані гіпереліптичної кривої можна знайти в [146, 147, 151 ].
Додаток А
ТаблицяА.1
– Параметри кривих над полем
,
що рекомендовані FIPS 186-2-2000
|
B-163 |
|
|
B-233 |
7d8f90ad
|
|
B-283 |
|
|
B-409 |
|
|
B-571 |
|
,
,
,
=
0х 2 0a601907 b8c953ca 1481eb10 512f7874 4a3205fd
=
0x 4 00000000 00000000 000292fe 77e70c12 a4234c33
=
0x 3 f0eba162 86a2d57e a0991168 d4994637 e8343e36
=
0x d51fbc6c 71a0094f a2cdd545 b11c5c0c 797324f1
,
,
,
=
0х 066 647ede6c 332c7f8c 0923bb58 213b333b 20e9ce42 81fe115f
=
0x 00000100 00000000 00000000 00000000 0013e974 e72f8a69 22031d26
03cfe0d7
=
0x 0fa c9dfcbac 8313bb21 39f1bb75 5fef65bc 391f8b36 f8f8eb73
71fd558b
=
0x 100 6a08a419 03350678 e58528be bf8a0bef f867a7ca 36716f7e
01f81052
,
,
,
=
0х 27b680a c8b8596d a5a4af8a 19a0303f ca97fd76 45309fa2 a581485a
f6263e31 3b79a2fa
=
0x 03ffffff ffffffff ffffffff ffffffff ffffef90 399660fc 938a9016
5b042a7c efadb307
=
0x 5f93925 8db7dd90 e1934f8c 70b0dfec 2eed25b8 557eac9c
80e2e198 f8cdbecd 86b12053
=
3676854 fe24141c b98fe6d4 b20d02b4 516ff702 350eddb0 826779c8
13f0df45 be8112f4
,
,
,
=
0х 021a5c2 c8ee9feb 5c4b9a75 3b7b476b 7fd6422e f1f3dd67 4761fa99
d6ac27c8 a9a197b2 72822f6c d57a55aa 4f50ae31 7b13545f
=
0x 01000000 00000000 00000000 00000000 00000000 00000000 000001e2
aad6a612 f33307be 5fa47c3c 9e052f83 8164cd37 d9a21173
=
0x 15d4860 d088ddb3 496b0c60 64756260 441cde4a f1771d4d b01ffe5b
34e59703 dc255a86 8a118051 5603aeab 60794e54 bb7996a7
=
0x 061b1cf ab6be5f3 2bbfa783 24ed106a 7636b9c5 a7bd198d 0158aa4f
5488d08f 38514f1f df4b4f40 d2181b36 81c364ba 0273c706
,
,
,
=
0х 2f40e7e 2221f295 de297117 b7f3d62f 5c6a97ff cb8ceff1 cd6ba8ce
4a9a18ad 84ffabbd 8efa5933 2be7ad67 56a66e29 4afd185a 78ff12aa
520e4de7 39baca0c 7ffeff7f 2955727a
=
0x 03ffffff ffffffff ffffffff ffffffff ffffffff ffffffff ffffffff
ffffffff ffffffff e661ce18 ff559873 08059b18 6823851e
c7dd9ca1 161de93d
=
303001d 34b85629 6c16c0d4 0d3cd775 0a93d1d2 955fa80a a5f40fc8
db7b2abd bde53950 f4c0d293 cdd711a3 5b67fb14 99ae6003 8614f139
4abfa3b4 c850d927 e1e7769c 8eec2d19
=
37bf273 42da639b 6dccfffe b73d69d7 8c6c27a6 009cbbca 1980f853
3921e8a6 84423e43 bab08a57 6291af8f 461bb2a8 b3531d2f 0485c19b
16e2f151 6e23dd3c 1a4827af 1b8ac15b