Arithmetik auf elliptischen Kurven

Transkript

1 Arithmetik auf elliptischen Kurven Christian enger, Dejan Lazich Institut für Algorithmen und Kognitive steme Fakultät für Informatik Universität Karlsruhe TH Karlsruhe, 2005

2 Elliptische Kurven EK über EK sind Teilmengen der Ebene, definiert durch a und b in Gleichungen der Form a + b Es gibt zwei Formen: Küste mit Insel und Kleiderbügel Beispiele:

3 Beispiel zur unktaddition Zwei Kurvenpunkte, können zueinander addiert werden: 4 - Ziehe Verbindungsgerade zwischen und 2 - Ermittle chnittpunkt der Verbindungsgerade mit der EK piegle diesen chnittpunkt an der -Achse 4 3

4 Beispiel zur unktverdopplung onderfall mit Verdopplung : - Zeichne Tangente der EK im unkt Ermittle chnittpunkt der Tangente mit der EK piegle diesen chnittpunkt an der -Achse 4 4

5 Der abstrakte unkt onderfall mit : - Ziehe Verbindungsgerade zwischen und ie ist senkrecht zur -Achse, hat keinen dritten chnittpunkt mit der EK Definiere: Die Verbindungsgerade schneidet die EK im Unendlichen, im abstrakten unkt. 5

6 Gruppenstruktur Man kann die unkte einer EK: - Addieren: Hierzu kann unktaddition und -Verdopplung beliebig kombiniert werden Additionsketten, Doubleand-Add, usw. - ubtrahieren: - Verdoppeln: - Und: > Mit ganzen Zahlen n multiplizieren: Das bedeutet: Wir können die unkte einer EK ganz normal addieren, subtrahieren und mit ganzen Zahlen n multiplizieren. 6

7 unktaddition: s,,,, 2 tanα s 4 Formeln für die unktarithmetik 7 unktverdopplung: s tanα s 2,, 2 σ σ a σ a

8 Elliptische Kurven über endlichen Körpern Als Grundkörper werden rimkörper p und binäre Erweiterungskörper 2 n verwendet. Anschaulich sind diese EK keine Kurven, sondern Mengen von 2-Tupeln über dem Grundkörper. Formeln für die unktarithmetik können jedoch trotzdem im Fall 2 n mit kleinen Anpassungen verwendet werden! Beispiel: Elliptische Kurve über dem Grundkörper 23 8

9 unktaddition: s s s,,,, : s Wiederholung: Formeln für die unktarithmetik 9 unktverdopplung: s : s 2,, σ σ σ 2 : 3 a σ Arithmetische Operationen im Grundkörper, hier p.

10 Arithmetik in endlichen Körpern p / 2 n / / / Leicht, unproblematische Realisierung. In rimkörpern treten Überträge Carries auf. In binären Erweiterungskörpern leicht, in rimkörpern aufgrund der Carries bei schwer. Ø Montgomer-Arithmetik zur Beschleunigung von / In beiden Körpertpen sehr schwer, da aus einer Vielzahl Multiplikationen aufgebaut. Ø Versuchen, zu vermeiden projektive unktdarstellungen Ø Besseres Verfahren verwenden, welches nicht so viele Multiplikationen benötigt bin. erw. Euklidischer Algorithmus. 10

11 roblem: Modulare Reduktion Große Zahl c œ soll modulo m œ reduziert, also auf eine kleine Zahl R m [c]œ {0,, m-1} abgebildet werden. Naive Vorgehensweise: ubtrahiere Modulus m solange von c, bis das Ergebnis œ {0,, m-1} ist bei negativem c entsprechend addieren. 11

12 Besser: Reduktion durch Division Besser wäre Reduktion durch Division: Berechne für ein geeignetes r die Division c/r, so dass das Ergebnis in der Nähe von {0,, m-1} liegt. Verbesserung, da c durch Division bedeutend verkleinert wird und abschließend nur noch eine kleine Korrektur notwendig ist. roblem 1: Wenn r F c, so erhält man durch die Division eine echt rationale Zahl. roblem 2: Welches r kann man verwenden, damit man aus R m [c/r] tatsächlich das gewünschte Ergebnis R m [c] einfach berechnen kann? 12

13 Lösung: atz von Montgomer atz von Montgomer: ei r œ mit r > m, c < m 2 und 1 ggtm, r r r -m m sowie d : c + mr r r [ cm ' ]. Division liefert stets ganzzahliges Ergebnis, löst also roblem 1. Dann gilt: R m [c/r] d, falls d < m d - m, sonst Es ist noch eine Transformation nötig, um schließlich R m [c] zu erhalten roblem 2: R m [c] R m [R m [c/r] r] Frage: Was kann man damit anfangen? 13

14 Montgomer-Arithmetik a, b œ m Inverse Montgomer-Transformation: a # inv a : R m [ar -1 ] Montgomer-Transformation: a # a : R m [ar] Eigenschaften: a R m [ar] R m [ar 2 r -1 ] inv ar 2 inv a inv a R m [a] Montgomer-rodukt: a, b # a ø b : R m [abr -1 ] Eigenschaften: a ø b R m [abr -1 ] inv ab a ø b R m [ab] inv a ø b R m [ab] ist Isomorphismus bzgl. der modularen Multiplikation! Nur für m rimzahl ist ferner definiert: Montgomer-Inverse: a # a -1 : R m [a -1 r 2 ] Eigenschaft: a ø a -1 R m [aa -1 r 2 r -1 ] R m [r] 1 14

15 Anwendungsbeispiel: a b in p 1 Montgomer-transformiere a und b -> a, b 2 Multipliziere a nicht-modular mit b -> a b 3 Montgomer-reduziere das rodukt -> inv a b a ø b a b 4 Wende inverse Montgomer-Transformation auf das Zwischenergebnis an -> a b Verfahren lohnt sich zur Berechnung von langen Operationsketten, der Overhead für die Transformation und die inverse Transformation tritt in den Hintergrund! 15

16 Geschickte Wahl von r Ist m ungerade, kann r als Zweierpotenz 2 k gewählt werden. Es gilt dann für a, b œ m: 16

17 Geschickte Realisierung roblem: otentiell ungerade Zähler im Kettenbruch, Halbierung darum nicht immer durch einfache hiftoperation möglich. Wenn Zähler gerade: Halbierung durch hift + m + m Wenn Zähler ungerade: Addition von ungeradem m und Halbierung durch hift Wert des Gesamtausdrucks ändert sich wegen R m [a+m] R m [a] nicht. Kann gezeigt werden, dass trotzdem 0 abr -1 < 2m gilt, die Reduktion also trivial bleibt. 17

18 Bekannt: Einfache Multiplikation in 2 n Multiplikation in binären Erweiterungskörpern 2 n ist durch eine einfache chaltung in linearer Zeit möglich. Ein eventuell auftretender Überlauf wird sofort wieder reduziert. R [ R [ a b ] 2 p 18

19 Bekannt: chwierige Multiplikation in p und m Carries erschweren die ituation. Multiplikation und Reduktion werden naiv nacheinander ausgeführt, im Zwischenschritt entsteht ein Überlauf. Überlauf ma. doppelte Länge ab Anschließende Reduktion R p [ab] oder R m [ab] 19

20 Neu: Einfaches Montgomer-rodukt in p und m a ø b Kein Überlauf des Arbeitsregisters w, da in jedem Takt implizit halbiert wird. Abschließend noch triviale Reduktion durch bedingte einmalige ubtraktion von m. chaltung kann bedingte ubtraktion von m nach der Trial-and-Error Methode durchführen, einige MUXe und Inverter zusätzlich nötig. 20

21 Rechnen in 2 n Für ø, und identische chaltung wie in p bzw. m, Volladdierer müssen jeweils durch XORs ausgetauscht werden. Erweiterter Volladdierer kann erweitert und entsprechend parametrisiert werden, also: Montgomer-rodukt, Addition und ubtraktion in p, m und 2 n können mit der gleichen chaltung berechnet werden! 21

22 Montgomer-Inverse a -1 R m [a -1 r 2 ] Literaturbekannte Variante des binären erw. Euklid. Updates der Variablen teilweise einfacher. Einfachere Updates werden ermöglicht durch verrauschte Berechnung des Inversen, nämlich R p [-2 l a -1 ]. Korrektur zu R p [a -1 r 2 ] R p [a k ] ist einfach und kann mit Hilfe von inv bzw. ø erledigt werden. Wir haben gezeigt: Funktioniert auch für 2 n. 22

23 Anwendung von EK in der Krptographie Als Grundlage für ublic-ke-krptographie benötigt man sog. Einwegfunktionen: - Berechnung des Funktionswertes einfach leichte Funktionen - Berechnung des ursprünglichen Arguments aus dem Funktionswert unmöglich schwere Funktionen Zwei Einwegfunktionen als Grundlage für ublic-ke-verfahren: 1 Multiplikation v. rimzahlen -> rimfaktorzerlegung RA? ->?? z 2 Diskrete Eponentation -> diskreter Logarithmus DH, EG, DA R p [ e ] R p [?] -> R p [? ] R p [z] R p [? e ] R p [z] 23

24 Diskrete Logarithmen Das diskrete Logarithmus roblem DL: Gegeben: Zahlen und mit R p [Ω Ω Ω ] R p [ k ]. k-mal Frage: Wie oft wurde modulo p mit sich selbst multipliziert, um zu erhalten? Gesucht: k Das DL auf elliptischen Kurven ECDL: Gegeben: EK-unkte und mit auf der EK. Frage: Wie oft wurde der unkt zu sich selbst addiert, um den unkt zu erhalten? k-mal Gesucht: k 24

25 chlüsselaustausch von Diffie-Hellman in zklischen Gruppen Generator g, rimzahl p R p [g a ] Alice : a R p [g b ] Bob : b XR p [g b a ]R p [g ab ] XR p [g a b ]R p [g ab ] Kennt g, p, R p [g a ], R p [g b ] aber nicht X! 25

26 chlüsselaustausch von Diffie-Hellman auf elliptischen Kurven unkt, EK Alice : u Bob : v X Kennt, EK,, aber nicht X! X 26

27 Zusammenfassung atz von Montgomer liefert verbessertes Reduktionsverfahren, abschließende Korrektur ist notwendig. Er lässt sich zur Definition der Montgomer-Arithmetik verwenden. Die Montgomer-Arithmetik kann wegen Isomorphie-Eigenschaft zur Arithmetik in rimkörpern, Restklassenringen und binären Erweiterungskörpern verwendet werden. Realisierbar durch ipeline mit hoher Taktung. Hardware für p und m lässt sich auch für 2 n verwenden: Universelle chaltung für beide Körpertpen und m mit ungeradem m! Geeignet als Grundlage für ECC und RA! 27