ECDLP

Эллиптической кривой E над конечным полем F_p называется кривая вида (форма Вейерштрасса):

${\displaystyle E:Y^2=X^3+aX+b}$ , где a, b ∈ F_p.

Набор точек на эллиптической кривой в поле F_p, включающий точку «бесконечность» (обозначается как Ο), образует конечную абелеву группу и обозначается как E(F_p).

Точка Q ∈E (F_p) называется обратной точкой к P ∈ E(F_p), если P + Q = Ο и обозначается как Q = -P.

Для натурального числа n и P ∈ E(F_p) будем считать:

${\displaystyle [n]P=\underset{n}{\underset{⏟<!--\; ⏟\; -->}{P+P+...+P}}}$ 

Записи [n]P и nP эквиваленты. Определение можно расширить для любого целого числа n, если использовать -P.

Порядком группы точек называется число N равное мощности множества E(F_p) и обозначается как |E(F_p)| = N. Обычно в эллиптической криптографии берутся кривые такие, что N = h * l, где h = 1, 2 или 4, а l — большое простое число.

Порядком точки P ∈ E(Fp) называется минимальное число s такое, что [s]P = Ο. При этом образуется подгруппа ${\displaystyle ⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->=\{[k]P:k=\stackrel{¯<!--\; ¯\; -->}{1,s}\}}$  и точка P называется генератором ${\displaystyle ⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->}$ .

Полный переборПравить

Является самой просто атакой в реализации. Необходимо только уметь делать операцию R = [k]P.

АлгоритмПравить

1. ${\displaystyle k:=1}$ 
2. ${\displaystyle R:=[k]P}$ 
3. if ${\displaystyle R=Q}$ , then ${\displaystyle k}$  — решение
4. else ${\displaystyle k:=k+1}$ ; перейти к [2].

Сложность алгоритма: Ο(N).

Алгоритм Полига — ХеллманаПравить

ОписаниеПравить

Пусть G — подгруппа E(F_p), ${\displaystyle N=|G|=\underset{i=1}{\overset{t}{\prod <!--\; \prod \; -->}}{p_i}^{e^i}}$  (то есть предполагается, что число N может быть факторизовано), ${\displaystyle P,Q\in <!--\; \in \; -->G}$  и ${\displaystyle \mathrm{\exists <!--\; \exists \; -->}k:Q=[k]P}$ .

Будем решать задачу о поиске k по модулю ${\displaystyle {p_i}^{e_i}}$ , затем, используя китайскую теорему об остатках, найдем решение k по модулю N.

Из теории групп известно, что существует изоморфизм групп:

${\displaystyle \mathrm{\varphi <!--\; \varphi \; -->}:G\to <!--\; \to \; -->C_{{p_1}^{e_1}}\otimes <!--\; \otimes \; -->...\otimes <!--\; \otimes \; -->C_{{p_t}^{e_t}}}$ 

где ${\displaystyle C_{{p_i}^{e_i}}}$  — циклическая подгруппа G, ${\displaystyle |C_{{p_i}^{e_i}}|={p_i}^{e_i}}$ 

Тогда проекция ${\displaystyle \mathrm{\varphi <!--\; \varphi \; -->}}$  на ${\displaystyle C_{p^e}}$ :

${\displaystyle {\mathrm{\varphi <!--\; \varphi \; -->}}_p=\{\begin{array}{l}G\to <!--\; \to \; -->C_{p^e}\\ R⟼<!--\; ⟼\; -->[\frac{N}{p^e}]R\end{array}}$ 

Следовательно, ${\displaystyle {\mathrm{\varphi <!--\; \varphi \; -->}}_p(Q)=[k]{\mathrm{\varphi <!--\; \varphi \; -->}}_p(P)}$  в ${\displaystyle C_{p^e}}$ .

Покажем, как решить задачу в ${\displaystyle C_{p^e}}$ , сведя её к решению ECDLP в ${\displaystyle C_p}$ .

Пусть ${\displaystyle P,Q\in <!--\; \in \; -->C_{p^e}}$  и ${\displaystyle \mathrm{\exists <!--\; \exists \; -->}k:Q=[k]P}$ .

Число ${\displaystyle k}$  определено по модулю ${\displaystyle p^e}$ . Тогда можно записать k в следующем виде:

${\displaystyle k=k_0+k_{1}p+...+k_{e-<!--\; -\; -->1}{p}^{e-<!--\; -\; -->1}}$ 

Найдем значения ${\displaystyle k_0,k_1,...}$  по индукции. Предположим, известно ${\displaystyle k^{\prime }}$  — значение ${\displaystyle kmod{p}^t}$ , то есть

${\displaystyle k^{\prime }=k_0+...+k_{t-<!--\; -\; -->1}{p}^{t-<!--\; -\; -->1}}$ 

Теперь хотим определить ${\displaystyle k_t}$  и таким образом вычислить ${\displaystyle kmod{p}^{t+1}}$ :

${\displaystyle k=k^{\prime }+p^t{k}^{″}}$ 

Тогда ${\displaystyle Q=[k^{\prime }]P+[k^{″}]([p^t]P)}$ .

Пусть ${\displaystyle Q^{\prime }=Q-<!--\; -\; -->[k^{\prime }]P}$  и ${\displaystyle P^{\prime }=[p^t]P}$ , тогда ${\displaystyle Q^{\prime }=[k^{″}]P^{\prime }}$ 

Теперь ${\displaystyle P^{\prime }}$  — элемент порядка ${\displaystyle p^{e-<!--\; -\; -->t}}$ , чтобы получить элемент порядка ${\displaystyle p}$  и, следовательно, свести задачу в ${\displaystyle C_p}$  необходимо умножить предыдущее выражение на ${\displaystyle s=p^{e-<!--\; -\; -->t-<!--\; -\; -->1}}$ . Т.о.

${\displaystyle Q^{″}=[s]Q^{\prime }}$  и ${\displaystyle P^{″}=[s]P^{\prime }}$ 

Получили ECDLP в поле ${\displaystyle C_p}$  в виде ${\displaystyle Q^{″}=[k_t]P^{″}}$ .

Предполагая, что можно решить эту задачу в ${\displaystyle C_p}$ , находим решение ${\displaystyle k}$  в ${\displaystyle C_{p^e}}$ . Используя китайскую теорему об остатках, получаем решение ECDLP в ${\displaystyle E(F_p)}$ .

Как говорилось выше, на практике берутся эллиптические кривые такие, что ${\displaystyle N=hl}$ , где ${\displaystyle l}$  — очень большое простое число, что делает данный метод малоэффективным.

ПримерПравить

${\displaystyle Q=[k]P(mod1009)}$ 

${\displaystyle E:y^2\equiv <!--\; \equiv \; -->x^3+71x+602(mod1009)}$ 

${\displaystyle P=(1,237),Q=(190,271)}$ 

${\displaystyle N=1060=2^2\ast <!--\; \ast \; -->5\ast <!--\; \ast \; -->53}$ 

${\displaystyle |⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->|=530=2\ast <!--\; \ast \; -->5\ast <!--\; \ast \; -->53}$ 

Шаг 1. Найти ${\displaystyle kmod2}$ 

• Находим проекции точек на ${\displaystyle C_2}$ :

${\displaystyle P_2=265P=(50,0)}$ 

${\displaystyle Q_2=265Q=(50,0)}$ 

• Решаем ${\displaystyle Q_2=[k]P_2}$ 

${\displaystyle k\equiv <!--\; \equiv \; -->1(mod2)}$ 

Шаг 2. Найти ${\displaystyle kmod5}$ 

• Находим проекции точек на ${\displaystyle C_5}$ :

${\displaystyle P_5=106P=(639,160)}$ 

${\displaystyle Q_5=106Q=(639,849)}$ 

• Решаем ${\displaystyle Q_5=[k]P_5}$ 

Заметим, что ${\displaystyle Q_5=-<!--\; -\; -->P_5}$ , тогда ${\displaystyle k\equiv <!--\; \equiv \; -->4(mod5)}$ 

Шаг 3. Найти ${\displaystyle kmod53}$ 

• Находим проекции точек на ${\displaystyle C_{53}}$ :

${\displaystyle P_{53}=10P=(32,737)}$ 

${\displaystyle Q_{53}=10Q=(592,97)}$ 

• Решаем ${\displaystyle Q_{53}=[k]P_{53}}$ 

${\displaystyle k\equiv <!--\; \equiv \; -->48(mod53)}$ 

Шаг 4. Найти ${\displaystyle kmod530}$ 

• Из китайской теоремы об остатках для значений, полученных на предыдущих шагах 1-3, имеем, что

${\displaystyle k\equiv <!--\; \equiv \; -->419(mod530)}$ 

Алгоритм Шенкса (Baby-Step/Giant-Step method)Править

ОписаниеПравить

Пусть ${\displaystyle G=⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->}$  — циклическая подгруппа ${\displaystyle E(F_p);|⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->|=l;Q\in <!--\; \in \; -->G}$ .

Представим ${\displaystyle k}$  в виде:

${\displaystyle k=k_0+k_1\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->}$ 

Так как ${\displaystyle k\le <!--\; \le \; -->l}$ , то  .

Вычисляем список «маленьких шагов» ${\displaystyle P_i=[i]P}$ ,   и сохраняем пары ${\displaystyle (P_i,i)}$ .

Сложность вычислений: ${\displaystyle O(\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->)}$ .

Теперь вычисляем «большие шаги». Пусть ${\displaystyle P^{\prime }=[\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->]P}$ , найдём ${\displaystyle Q_j=Q-<!--\; -\; -->[j]P^{\prime }}$ ,  .

Во время поиска ${\displaystyle Q_j}$  пробуем найти среди сохранённых пар ${\displaystyle (P_i,i)}$  такую, что ${\displaystyle P_i=Q_j}$ . Если удалось найти такую пару, то ${\displaystyle k_0=i,k_1=j}$ .

Или, что то же самое:

${\displaystyle [i]P=Q-<!--\; -\; -->[j\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->]P,}$ 

${\displaystyle [i+j\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->]P=Q}$ .

Сложность вычислений «больших шагов»:${\displaystyle O(\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->)}$ .

В таком случае общая сложность метода ${\displaystyle O(\sqrt{l})}$ , но также требуется ${\displaystyle S(\sqrt{l})}$  памяти для хранения, что является существенным минусом алгоритма.

АлгоритмПравить

1. ${\displaystyle m:=\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->}$ 
2. ${\displaystyle \mathbf{f}\mathbf{o}\mathbf{r}i:=1\mathbf{t}\mathbf{o}m\mathbf{d}\mathbf{o}}$ 

   ${\displaystyle R:=[i]P}$ 

   сохранить ${\displaystyle (R,i)}$ 

3. ${\displaystyle \mathbf{f}\mathbf{o}\mathbf{r}j:=1\mathbf{t}\mathbf{o}m\mathbf{d}\mathbf{o}}$ 

   ${\displaystyle T:=Q-<!--\; -\; -->[j\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->]P}$ 

   проверить ${\displaystyle T}$  в списке [2]

4. ${\displaystyle \mathbf{i}\mathbf{f}T=R\mathbf{t}\mathbf{h}\mathbf{e}\mathbf{n}}$ 

   ${\displaystyle k:=i+j\lceil <!--\; \lceil \; -->\sqrt{l}\rceil <!--\; \rceil \; -->(modl)}$ 

   ${\displaystyle \mathbf{r}\mathbf{e}\mathbf{t}\mathbf{u}\mathbf{r}\mathbf{n}k}$ 

ρ-метод ПоллардаПравить

ОписаниеПравить

Пусть ${\displaystyle G=⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->}$  — циклическая подгруппа ${\displaystyle E(F_p);|G|=r;Q\in <!--\; \in \; -->G}$ .

Основная идея метода — найти различные пары ${\displaystyle (c^{\prime },d^{\prime })}$  и ${\displaystyle (c^{″},d^{″})}$  по модулю ${\displaystyle r}$  такие, что ${\displaystyle [c^{\prime }]P+[d^{\prime }]Q=[c^{″}]P+[d^{″}]Q}$ .

Тогда ${\displaystyle [c^{\prime }-<!--\; -\; -->c^{″}]P=[d^{″}-<!--\; -\; -->d^{\prime }]Q}$  или ${\displaystyle Q=\frac{c^{\prime }-<!--\; -\; -->c^{″}}{d^{″}-<!--\; -\; -->d^{\prime }}P(modr)}$ . Следовательно, ${\displaystyle k\equiv <!--\; \equiv \; -->\frac{c^{\prime }-<!--\; -\; -->c^{″}}{d^{″}-<!--\; -\; -->d^{\prime }}(modr)}$ .

Чтобы реализовать эту идею, выберем случайную функцию для итераций ${\displaystyle f:G\to <!--\; \to \; -->G}$ , и случайную точку ${\displaystyle P_0}$  для начала обхода. Следующая точка вычисляется как ${\displaystyle P_{i+1}=f(P_i)}$ .

Так как ${\displaystyle G}$  — конечная, то найдутся такие индексы  , что ${\displaystyle P_i=P_j}$ .

Тогда ${\displaystyle P_{i+1}=f(P_i)=f(P_j)=P_{j+1}}$ .

На самом деле ${\displaystyle P_{i+l}=P_{j+l}}$ , для ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}l\ge <!--\; \ge \; -->0}$ .

Тогда последовательность ${\displaystyle \{P_i\}}$  — периодична с периодом ${\displaystyle j-<!--\; -\; -->i}$  (см. рис).

Так как f случайная функция, то, согласно парадоксу дней рождения, совпадение случится примерно через ${\displaystyle \sqrt{\frac{\mathrm{\pi <!--\; \pi \; -->}r}{2}}}$  итераций. Для ускорения поиска коллизий используется метод, придуманный Флойдом для поиска длины цикла: вычисляется сразу пара значений ${\displaystyle (P_i,P_{2i})}$  для ${\displaystyle i=1,2,...}$ , пока не найдется совпадение.

АлгоритмПравить

1. Инициализация.

   Выбрать число ветвей L (обычно берётся 16)

   Выбрать функцию ${\displaystyle H:⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->\to <!--\; \to \; -->1,2,...,L}$ 

2. Вычисление ${\displaystyle [a_i]P+[b_i]Q}$ .

   ${\displaystyle \mathbf{f}\mathbf{o}\mathbf{r}i:=1\mathbf{t}\mathbf{o}L\mathbf{d}\mathbf{o}}$ 

   Взять случайные ${\displaystyle a_i,b_i\in <!--\; \in \; -->[0,r-<!--\; -\; -->1]}$ 

   ${\displaystyle R_i:=[a_i]P+[b_i]Q}$ 

3. Вычисление ${\displaystyle [c^{\prime }]P+[d^{\prime }]Q}$ .

   Взять случайные ${\displaystyle c^{\prime },d^{\prime }\in <!--\; \in \; -->[0,r-<!--\; -\; -->1]}$ 

   ${\displaystyle X^{\prime }:=[c^{\prime }]P+[d^{\prime }]Q}$ 

4. Подготовка к циклу.

   ${\displaystyle X^{″}:=X^{\prime },c^{″}:=c^{\prime },d^{″}:=d^{\prime }}$ 

5. Цикл.

   ${\displaystyle \mathbf{r}\mathbf{e}\mathbf{p}\mathbf{e}\mathbf{a}\mathbf{t}}$ 

   ${\displaystyle j:=H(X^{\prime })}$ 

   ${\displaystyle X^{\prime }:=X^{\prime }+R_j}$ 

   ${\displaystyle c^{\prime }:=c^{\prime }+a_j(modr)}$ 

   ${\displaystyle d^{\prime }:=d^{\prime }+b_j(modr)}$ 

   ${\displaystyle \mathbf{f}\mathbf{o}\mathbf{r}i:=1\mathbf{t}\mathbf{o}2\mathbf{d}\mathbf{o}}$ 

   ${\displaystyle j:=H(X^{″})}$ 

   ${\displaystyle X^{″}:=X^{″}+R_j}$ 

   ${\displaystyle c^{″}:=c^{″}+a_j(modr)}$ 

   ${\displaystyle d^{″}:=d^{″}+b_j(modr)}$ 

   ${\displaystyle \mathbf{u}\mathbf{n}\mathbf{t}\mathbf{i}\mathbf{l}{X}^{\prime }=X^{″}}$ 

6. Выход.

   ${\displaystyle \mathbf{i}\mathbf{f}{d}^{\prime }\ne <!--\; \ne \; -->d^{″}\mathbf{t}\mathbf{h}\mathbf{e}\mathbf{n}}$ 

   ${\displaystyle k\equiv <!--\; \equiv \; -->\frac{c^{\prime }-<!--\; -\; -->c^{″}}{d^{″}-<!--\; -\; -->d^{\prime }}(modr)}$ 

   ${\displaystyle \mathbf{e}\mathbf{l}\mathbf{s}\mathbf{e}}$  ОШИБКА или запустить алгоритм ещё раз.

Сложность алгоритма: ${\displaystyle O(\sqrt{r})}$ .

ПримерПравить

${\displaystyle Q=[k]P(mod229)}$ 

${\displaystyle E:y^2\equiv <!--\; \equiv \; -->x^3+x+44(mod229)}$ 

${\displaystyle P=(5,116),Q=(155,166)}$ 

${\displaystyle |⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->|=239}$ 

Шаг 1.Определить функцию.

• ${\displaystyle H:⟨<!--\; ⟨\; -->P⟩<!--\; ⟩\; -->\to <!--\; \to \; -->1,2,3,4}$ 
• ${\displaystyle H(x,y)=(xmod4)+1}$ 
• ${\displaystyle (a_1,b_1,R_1)=(79,163,(135,117))}$ 
• ${\displaystyle (a_2,b_2,R_2)=(206,19,(96,97))}$ 
• ${\displaystyle (a_3,b_3,R_3)=(87,109,(84,62))}$ 
• ${\displaystyle (a_4,b_4,R_4)=(219,68,(72,134))}$ 

Шаг 2. Итерации.

 

Шаг 3. Обнаружение коллизии.

• При ${\displaystyle i=12}$ : ${\displaystyle [192]P+[24]Q=[213]P+[104]Q=(57,105)}$ 
• Получаем, что ${\displaystyle k\equiv <!--\; \equiv \; -->\frac{192-<!--\; -\; -->213}{104-<!--\; -\; -->24}\equiv <!--\; \equiv \; -->176(mod229)}$ 

Болотов, А. А., Гашков, С. Б., Фролов, А. Б., Часовских, А. А. Элементарное введение в эллиптическую криптографию: Алгебраические и алгоритмические основы. — М. : КомКнига, 2006. — С. 328. — ISBN 5-484-00443-8.

Болотов, А. А., Гашков, С. Б., Фролов, А. Б., Часовских, А. А. Элементарное введение в эллиптическую криптографию: Протоколы криптографии на эллиптических кривых. — М. : КомКнига, 2006. — С. 280. — ISBN 5-484-00444-6.

Galbraith, S.D., Smart, N.P. EVALUATION REPORT FOR CRYPTREC: SECURITY LEVEL OF CRYPTOGRAPHY — ECDLP MATHEMATICAL PROBLEM.

Song Y. Yan Quantum Attacks on ECDLP-Based Cryptosystems. — Springer US, 2013 — ISBN 978-1-4419-7721-2