![Page 1: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/1.jpg)
Семинар 6
Самохина Марина
![Page 2: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/2.jpg)
Эллиптические кривые
• Определение элиптической кривой Ɛ –
гладкая кривая, удовлетворяющая
уравнению:
y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 ,
а также бесконечно удаленная точка О
![Page 3: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/3.jpg)
Пример э. к. над полем
действительных чиселy2=x3+ax+b
b=-1 b=-0 b=1 b=2
а=-2
а=-1
а=0
а=1
![Page 4: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/4.jpg)
Эллиптические кривые
• Элиптическая кривая Ɛ не должна иметь
особых точек
• Геометрически это значит, что график не
должен иметь точек возврата и
самопересечений
• Алгебраически это значит, что дискриминант
Δ = − 16(4a3 + 27b2)
не должен быть равен нулю
![Page 5: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/5.jpg)
Эллиптические кривые
• Если кривая не имеет особых точек, то еѐ
график имеет две части, если дискриминант
положителен, и одну — если отрицателен
• Для первого графика Δ= 64, для второго
Δ = -368
![Page 6: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/6.jpg)
Эллиптические кривые
• Сложение точек кривой
• Точка О – единица по сложению
![Page 7: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/7.jpg)
Канонические уравнения с
выражениями арифметических
операцийТип поля и вариант кривой
Каноническое уравнение кривой
Формула сложения
Формула удвоения
Поле характеристики, отличной от 2 и 3
y2=x3+ax+b
Поле характеристики3
y2=x3+ax2+bx+c
Поле характиристики2, суперсинуглярнаякривая
y2+ay=x3+bx+c
Поле характиристики2, несуперсинуглярнаякривая
y2+axy=x3+bx2+c
![Page 8: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/8.jpg)
Порядок эллиптической кривой
• Порядок эллиптической кривой - порядок
группы точек эллиптической кривой (число
различных точек на Ɛ, включая точку O)
• Для эллиптической кривой Ɛ заданной над
простым полем Fp, порядок m группы точек
данной кривой зависит от размера поля,
определяемого простым числом p, и
удовлетворяет неравенству:
p+1-2√p≤m ≤ p+1+2√p
![Page 9: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/9.jpg)
Порядок точек эллиптической
кривой
• Каждая точка P эллиптической кривой над простым
полем Ɛ(Fp) образует циклическую подгруппу G
группы точек эллиптической кривой
• Порядок циклической подгруппы группы точек
эллиптической кривой (число точек в подгруппе)
называется порядком точки эллиптической кривой
• Точка P на Ɛ(Fp) называется точкой порядка q, если:
q P=O
где q – наименьшее натуральное число, при котором
выполняется данное условие
![Page 10: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/10.jpg)
Алгоритмы, использующие
эллиптические кривые• Э. к. над конечными полями используются в некоторых
криптографических приложениях и факторизации
• Основная идея, заложенная в этих приложениях,
заключается в том, что известный алгоритм,
используемый для конкретных конечных групп
переписывается для использования групп рациональных
точек эллиптических кривых
1. DSA с эллиптическими кривыми
2. ГОСТ Р 34.10-2001
3. Факторизация c помощью эллиптических кривых
Ленстры
![Page 11: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/11.jpg)
Модификации существующих
криптосистем
• Большинство криптосистем современной криптографии естественным
образом можно "переложить" на эллиптические кривые
• Далее рассмотрим варианты некоторых наиболее распространенных
криптосистем
• Во всех описаниях стороны считаются законными участниками
информационного процесса
• В обоих случаях эллиптическая кривая рассматривается над кольцом
вычетов по составному модулю n
• Параметры b и а не задаются пользователем, а "стихийно складываются"
при выборе отправителем сообщения случайного числа у
• Для операций с точками кривой знать параметр b не нужно
• Параметр а легко находится с помощью расширенного алгоритма Евклида
по заданной точке (х, у) из уравнения y2 = x3 + ax
![Page 12: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/12.jpg)
Аналог системы RSA на э.к.В варианте RSA на эллиптических кривых используется кривая у2 = х3 + b с
условием p = q = 5(mod 6) или кривая у2 = x3 + ax с условием p=q= 3(mod 4)
Шаг алгоритма Исходный алгоритм Случай э.к.
1 Определение рабочего модуля n Алиса заранее выбирает два простых больших числа p и q и вычисляет n=pq
2 Генерация случайным образом открытого ключа e. Алисаотправляет Бобу пару (n,e)
e взаимно просто c p-1и q -1.Также 1<e<n
e взаимно просто c p+1и q +1.Также 1<e<n
3 Алиса вычисляет закрытый ключ d d=e-1mod(p-1 )(q -1) e-1mod(p+1 )(q +1)
4 Боб вычисляет шифротекст C и отправляет его Алисе
C=Memod(n) C=e(M,y), y – случ. число, (M,y) – точка элиптич.кривой
5 Алиса расшифровывает шифротекст
M=Cdmod(n) (M,y)=dC
![Page 13: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/13.jpg)
Аналог системы DH на э.к.Шаг алгоритма Исходный алгоритм Случай э.к.
1 Определение рабочей группы (кривой) и базового элемента. Алиса отправляет Бобу :
Большое простое p ислучайное g: 1<g<p
Элептич. кривую и случайную точку Gна ней
2 Алиса выбирает случ. число a иотправляет Бобу :
Число ga=gamod(p) Точку Ga=aG
3 Боб выбирает случ. число b иотправляет Алисе :
Число gb=gbmod(p) Точку Gb=bG
4 Алиса вычисляет: Секретное число k=ga
hmod(p)Секретную точку K=aGb
5 Боб вычисляет: Секретное число k=gb
amod(p)Секретную точку K=bGa
6 Алиса и Боб обладают одним секретом, так как:
gahmod(p)=(gb) amod(p)
=gabmod(p) (ga) bmod(p)=gb
amod(p)
aGb=a(bG)=(ab)G=b(aG)=bGa
![Page 14: Семинар 6 - MIPT · 2014-03-24 · криптосистем •Большинство криптосистем современной криптографии естественным](https://reader034.vdocuments.mx/reader034/viewer/2022050422/5f91c55167c10e5ba329e1e2/html5/thumbnails/14.jpg)
Квантовый взлом
• Алгоритм Шора можно модифицировать так,
чтобы он взламывал описанные выше
протоколы и другие аналоги классических
криптосистем, основанные на эллиптических
кривых