Digitale Signaturen mit Elliptischen Kurven

Transkript

1 Gottfried Wilhelm Leibniz Universität Hannover Fakultät für Elektrotechnik und Informatik Institut für Theoretische Informatik Digitale Signaturen mit Elliptischen Kurven Diplomarbeit im Studiengang Mathematik mit Studienrichtung Informatik von Donka Todorova Prüfer: Prof. Dr. Heribert Vollmer Zweitprüfer: Prof. Dr. Kurt Schneider

2 Erklärung Hiermit versichere ich, dass ich die vorliegende Diplomarbeit selbstständig und ohne fremde Hilfe verfasst habe und keine anderen als die in der Arbeit angegebenen Quellen und Hilfsmittel verwendet habe. Hannover, den Donka Todorova 1

3 Inhaltsverzeichnis 1 Einleitung 5 2 Kryptographische Grundlagen 7 3 Digitale Signaturen Grundprinzip ElGamal Signaturverfahren Hashfunktionen Digitale Signatur Algorithmus Mathematische Grundlagen Mathematische Strukturen Der endliche Körper F p Der endliche Körper F 2 m Repräsentation von F 2 m durch Polynombasen Repräsentation von F 2 m durch Normalbasen Elliptische Kurven Kurvengleichung Elliptische Kurve über reellen Zahlen Elliptische Kurven über F p Elliptische Kurven über F 2 m ECDLP Algorithmen für den diskreten Logarithmus Domainparameter für Elliptische Kurven Domainparameter für Elliptische Kurven über F p Domainparameter für Elliptische Kurven über F 2 m

4 INHALTSVERZEICHNIS Generierung eine zufällige Elliptische Kurve Generierung von Domainparametern für Elliptische Kurven Validierung von Domainparametern für Elliptische Kurven Schlüsselpaare bei Elliptischen Kurven Elliptic Curve Digital Signature Algorithm Übersicht der Normung Konfiguration Schlüsselaustausch ECDSA Signieralgorithmus ECDSA Verifizieralgorithmus ECDSA und DSA Zusammenfassung 58 A Datentypen und Konvertierung 60

5 Abbildungsverzeichnis 2.1 Symmetrisches Kryptosystem Asymmetrisches Kryptosystem Formen Elliptischer Kurven y 2 = x 3 4x Addition von zwei Punkten auf einer Elliptischen Kurve Punktverdoppelung P+P=R Elliptische Kurve über F y 2 + xy = x 3 + g 4 x über F P, eine Vereinfachung

6 Kapitel 1 Einleitung Die Verwendung Elliptischer Kurven in der Kryptographie (engl. Elliptic Curve Cryptosystems, ECC) wurde erstmalig im Jahre 1985 unabhängig voneinander von Neil Koblitz [10] und Victor Miller [14] vorgeschlagen. Im Laufe der inzwischen vergangenen 20 Jahre wurden, aufbauend auf den Ideen von Koblitz und Miller, viele kryptographische Verfahren auf der Basis Elliptischer Kurven zur Erzeugung digitaler Signaturen, zum sicheren Schlüsselaustausch und Verschlüsselung entwickelt. Der größte Vorteil von ECC ist die wesentlich kürzere Schlüssellänge im Vergleich zu Kryptosystemen die auf endlichen Körpern operieren. Die Konsequenzen die sich daraus ergeben sind einfachere Implementierung der Arithmetik, geringere Bandbreite und geringere Speicheranforderungen. Die am weitesten verbreiteten Signatur-Algorithmen sind RSA und DSA. Beide haben den Nachteil, dass die mathematischen Probleme, auf deren Schwierigkeit die Sicherheit der Verfahren beruht, in subexponentieller Zeit lösbar sind. Dies macht sich bei den notwendigen Schlüssellängen und den daraus resultierenden Ausführungszeiten bemerkbar. Eine gute Alternative dazu ist die Elliptische Kurven Kryptographie mit dem ECDSA (Elliptic Curve Digital Signature Algorithm). Er benötigt für vergleichbare Sicherheit nur einen Bruchteil der Schlüssellänge von DSA bzw. RSA, da für das zugrunde liegende Problem (engl. Elliptic Curve Discrete Logarithm Problem, ECDLP) kein subexponentieller Algorithmus existiert - zumindest ist keiner bekannt. Der auf elliptischen Kurven basierende Signaturalgorithmus ECDSA wurde 1998 als ISO (International Standards Organization) Standard (ISO ), 1999 als ANSI (American National Standards Institute) Standard (ANSI X9.62), und 2000 als IEEE (Institute of Electrical and Electronics Engineers) Standard (IEEE P1363), als SEC (Standards for Efficient Cryptography) Standard (SEC 1) und FIPS (Federal Information Processing Standards) Standard (FIPS 186-2) ak- 5

7 KAPITEL 1. EINLEITUNG 6 zeptiert. Im Folgenden soll noch ein kurzer Überblick über die in den einzelnen Kapiteln behandelten Themen gegeben werden. Das 2. Kapitel (Kryptographische Grundlagen) führt in die notwendigen kryptographischen Grundlagen ein. In Kapitel 3 (Digitale Signaturen) wird das Grundprinzip der Digitalen Signaturen beschrieben. Dabei wird das klassische ElGamal-Signaturverfahren betrachtet, sowie die Notwendigkeit der Verwendung von Hashfunktionen erläutert. Anschließend wird das DSA-Verfahren (Digital Signature Algorithm) vorgestellt. Für den Einstieg in der Thematik der Elliptischen Kurven werden in Kapitel 4 (Mathematische Grundlagen) einige mathematische Grundbegriffe beschrieben. Darauf aufbauend stellt Kapitel 5 (Elliptische Kurven) einen kleinen Ausschnitt der Theorie und Arithmetik der Elliptischen Kurven dar. Elliptische Kurven werden dazu mit reellen Zahlen eingeführt und dann auf endlichen Körper übertragen. Anschließend wird das Problem des diskreten Logarithmus auf Elliptischen Kurven, und Algorithmen um diesen zu berechnen, vorgestellt. In Kapitel 6 (Domainparameter für Elliptische Kurven) werden die Domainparameter für Elliptische Kurven betrachten. Es werden Methoden für die Generierung und Verifizierung der Domainparameter vorgestellt. In Kapitel 7 (Elliptic Curve Digital Signature Algorithm) wird das Signaturverfahren ECDSA auf der Basis der Standards for Efficient Cryptography (SEC) spezifiziert. Dabei werden die Konfigurationsprozedur, die Schlüsselaustauschprozedur, Signieralgorithmus sowie Verifizieralgorithmus vorgestellt. Das achte und letzte Kapitel schließt mit einer Zusammenfassung.

8 Kapitel 2 Kryptographische Grundlagen In diesem Kapitel sollen die wichtigsten kryptographischen Begriffe, Anforderungen und Verfahren kurz erläutert werden. Kryptographie kommt vor allem bei der Übertragung von Geheimnissen zum Einsatz, oder anders ausgedrückt, bei der Übertragung von Daten. Man spricht dabei von einem Sender (meist Alice genannt), einem Empfänger (meist Bob genannt) und einem Sendeoder Übertagungskanal. Daten, die ohne besondere Entschlüsselungsmethoden gelesen werden können, werden Klartext (engl. plaintext) genannt. Das Verfahren zum Chiffrieren von Klartext, so dass dessen Inhalt unerkannt bleibt, wird Verschlüsselung genannt. Verschlüsseln von Klartext ergibt ein unleserliches Zeichengewirr, das dann Verschlüsselungstext (engl. chiphertext) genannt wird. Mit der Verschlüsselung bleiben Informationen unbefugten Personen verborgen, selbst wenn ihnen die Daten im verschlüsselten Zustand vorliegen. Das Verfahren des Zurückführens von chiffriertem Text in den ursprünglichen Klartext wird als Entschlüsselung bezeichnet. In der modernen Kryptographie werden zwei Arten von Verschlüsselungsverfahren unterschieden. Auf der einen Seite stehen die symmetrischen Verfahren, auch Private-Key- Verfahren genannt. Das sind die klassischen Vertreter der Verschlüsselungsmethoden. Hier ist nur ein Schlüssel in Verwendung. Dieser wird sowohl zur Verschlüsselung als auch zur Entschlüsselung benötigt. Daher ist es wichtig, eine sichere Möglichkeit zu finden, um den Schlüssel an beide Kommunikationsteilnehmer zu verteilen. Die Abbildung 2.1 [13] zeigt das Prinzip der symmetrischen Verfahren. Dabei sind die Elemente m M die Plaintexte, c ist die Menge der Chiphertexte und K ist die Menge der Schlüssel. E e ist def die Verschlüsselungsfunktion für den Schlüssel e K und D e = Ee 1 ist die dazugehörige Entschlüsselungsfunktion. Im Gegensatz zu der oben genannten Klasse verwenden die asymmetrischen Verfahren 7

9 KAPITEL 2. KRYPTOGRAPHISCHE GRUNDLAGEN 8 Abbildung 2.1: Symmetrisches Kryptosystem zwei verschiede Schlüssel. Einer dient lediglich dem Verschlüsseln von Nachrichten und kann öffentlich zugänglich gemacht werden, der andere Schlüssel wird zum Entschlüsseln verwendet und sollte nur dem Empfänger bekannt sein. Diese Verfahren tragen deshalb auch die Bezeichnung Public-Key-Verfahren. Der zur Dekodierung benutzte Schlüssel kann aus dem anderen nicht hergeleitet werden. Die Arbeitsweise des asymmetrischen Verfahrens ist in Abbildung 2.2 [13] zu sehen. Dabei sind auch hier die Elemente m M die Plaintexte, c ist die Menge der Chiphertexte, e ist der öffentliche Schlüssel und d der private Schlüssel. E e ist die Verschlüsselungsfunktion und D d die Entschlüsselungsfunktion. Das bekannteste asymmetrische Verschlüsselungsverfahren ist das RSA Verfahren [19], das nach seinen Erfindern Ronald L. Rivest, Adi Shamir und Leonard M. Adleman benannt wurde. Es verwendet eine so genannte Falltür-Funktion (Trapdoor-Function). Informell ist dies eine Einwegfunktion, die mit vertretbarem Aufwand schwer umzukehren ist, es sei denn, man besitzt eine zusätzliche (geheime) Information, nämlich die Falltür. Die üblicherweise verwendeten Falltürfunktionen sind die Integer-Faktorisierung (IFP = Integer Faktorisierungs Problem), der diskrete Logarithmus (DLP = Diskreter Logarithmus Problem) und der diskrete Logarithmus auf Elliptischen Kurven (ECDLP). Das Integer Faktorisierung Problem nutzt aus, dass es einfach ist, zwei ganze Zahlen zu multiplizieren, aber sehr viel aufwändiger, aus einer Zahl z = p q (mod n) deren ganzzahligen

10 KAPITEL 2. KRYPTOGRAPHISCHE GRUNDLAGEN 9 Abbildung 2.2: Asymmetrisches Kryptosystem Faktoren p und q zu bestimmen. Der schnellste derzeit bekannte Algorithmus zur Faktorisierung ( ( ist das Zahlkörpersieb (NFS = number field sieve) mit einer Laufzeit von O exp (1, o (1)) ( log n ) 1 ( 3 log log n ) )) 3 2 [11]. Bei dem diskreten Logarithmus Problem wird ausgenutzt, dass das Potenzieren b = a x (mod n) einfach zu berechnen ist, nicht aber der diskrete Logarithmus, also die Berechnung von x bei gegebenem a, b, n. Der schnellste zurzeit bekannte Algorithmus zur Berechnung des diskreten Logarithmus ist ebenfalls das Zahlkörpersieb mit derselben Laufzeit wie bei der Faktorisierung. Somit besitzen beide Verfahren dieselbe Verschlüsselungsstärke und sind subexponentiell. Ein drittes Verfahren, die Berechnung des diskreten Logarithmus auf Elliptischen Kurven, erfordert zur Umkehrung dagegen einen exponentiellen Algorithmus (Pollard-ρ) mit der Laufzeit O ( πn/2r ) bei der Verwendung von r parallelen Prozessoren [16]. Der Schlüsselaustausch bei den asymmetrischen Verfahren ist unproblematischer als bei den symmetrischen Verfahren. Diesem Vorteil an Sicherheit steht der Nachteil gegenüber, dass die asymmetrischen Verfahren etwa 100- bis mal langsamer als vergleichbare symmetrische Verfahren sind. Sie werden daher in der Regel nur für Anwendungen, wie zur Authentifizierung und zum Schlüsselaustausch für den symmetrischen Schlüssel, eingesetzt.

11 Kapitel 3 Digitale Signaturen 3.1 Grundprinzip Ein wesentlicher Vorteil der Verschlüsselung mit öffentlichen Schlüsseln besteht in der Verwendung von digitalen Signaturen. Idee und Begriff der digitalen Signatur erschienen zum ersten Mal als digital signature bei Whitfield Dieffie und Martin Hellman [2]. Bei dem Signaturverfaren wird der private Schlüssel zur Signaturerzeugung und der öffentliche Schlüssel zur Signaturverifikation verwendet. Ist es nun praktisch unmöglich den privaten Schlüssel aus dem öffentlichen Schlüssel und den signierten Nachrichten zu berechnen oder aber anderweitig korrekt signierte Nachrichten zu erzeugen, so ist damit die Authentizität der Nachricht und ebenso die Identität des Absenders festgelegt. Ein Signaturverfahren lässt sich abstrakt durch folgende Algorithmen beschreiben [29]: 1. Ein Schlüsselerzeugungsalgorithmus Generate erzeugt ein Schlüsselpaar (sk, pk). 2. Ein Signieralgorithmus Sign berechnet mit Hilfe des privaten Schlüssels sk zu einem Dokument m die Signatur s = S ign (sk, m). 3. Ein Verifizieralgorithmus Veri f y stellt mit Hilfe des zugehörigen öffentlichen Schlüssels pk fest, ob die Signatur s zum Dokument m gehört oder nicht: Veri f y (pk, m, s) {true, f alse}. Die Signatur s gehört genau dann zu m, wenn Veri f y (pk, m, s) = true ist. Ist Veri f y (pk, m, s) = f alse, muss die Signatur abgewiesen werden. Gegebenenfalls rekonstruiert der Algorithmus Veri f y auch das Dokument m. Die folgende Abbildung zeigt das Prinzip eines digitalen Signaturverfahrens. 10

12 KAPITEL 3. DIGITALE SIGNATUREN 11 m s = S ign (sk, m) m s m wird akzeptiert true Veri f y (pk, m, s) m s m wird nicht akzeptiert f alse A signiert m B verifiziert die Signatur s von m Abbildung 2.1: Prinzip eines digitalen Signaturverfahrens Es gibt zwei Arten von Signaturverfahren: 1. mit Appendix: Der Signierer verschickt die Nachricht und die Signatur zusammen. Die Nachricht ist nicht aus der Signatur wiederherstellbar. 2. mit messege-recovery: Der Signierer verschickt nur die Signatur, da die Nachricht aus der Signatur wieder gewonnen werden kann. Das in dieser Arbeit behandelte Verfahren ECDSA gehört zu der ersten Kategorie. Für die Erzeugung von Signaturen werden verschiedene Public-Key-Algorithmen verwendet. Im Folgenden werden einige in der Praxis häufig eingesetzte Algorithmen kurz vorgestellt: Das RSA-Verfahren wurde 1978 von Ronald Rivest, Adi Shamir und Leonard Adleman entwickelt. Seine Sicherheit basiert auf dem Faktorisierungsproblem großer, natürlicher Zahlen in Körpern. Es kann sowohl zum Verschlüsseln als auch zum Signieren von Nachrichten eingesetzt werden. Aufgrund seiner großen Verbreitung und Akzeptanz wird das RSA-Verfahren häufig als de-facto- Standard für asymmetrische Verschlüsselung bezeichnet. Im Jahre 1984 wurde in [3] ein weiteres Verfahren von Taher ElGamal vorgestellt (ElGamal- Verfahren), dessen Sicherheit auf der Schwierigkeit, diskrete Logarithmen in Gruppen Modulo einer Primzahl zu berechnen, basiert. Das DSA-Verfahren (Digital Signature Algorithm) ist ein Algorithmus speziell zum Signieren, das sich nicht zum Verschlüsseln eignet und ebenso auf dem Diskreten Logarithmus Problem basiert. Es ist eine vom amerikanischen National Institute of Standards and

13 KAPITEL 3. DIGITALE SIGNATUREN 12 Technologie (NIST) vorgeschlagene und von der National Security Agency (NSA) entwickelte Variante des ElGamal-Signatursystems wurde der Algorithmus schließlich als Digital Signature Standard standardisiert. Das ECDSA-Verfahren (Elliptic Curve Digital Signature Algorithm) ist das Analogon von DSA bezüglich diskreter Logarithmen auf Elliptischen Kurven. Bedeutsame Varianten sind ECDSA basierend auf Gruppen E ( ) F p und auf Gruppen E (F2 m). Der Vorteil von ECDSA gegenüber DSA sind die kleineren erforderlichen Schlüssellängen, was geringere Anforderungen an Bandbreite und Hardware gegenüber RSA und DSA darstellt. 3.2 ElGamal Signaturverfahren Im Folgenden soll nun der ElGamal-Signaturalgorithmus näher vorgestellt werden. System Parametern Sei p eine große Primzahl. Sei G die zyklische multiplikative Gruppe des Körpers Z p mit Generator g, d.h. G = {g n n N}. Schlüsselerzeugung Wähle zufällig eine Zahl x {1,..., p 1}. Berechne y g x (mod p). Der öffentliche Schlüssel ist (p, g, y). Der private Schlüssel ist x. Signatur und Verifikation A signiert m: Wähle zufällig eine Zahl k, wobei 0 < k < p 1 und ggt (k, p 1) = 1. Berechne r g k (mod p). Berechne s (m xr) k 1 (mod (p 1)). B verifiziert die Signatur (r,s) von m:

14 KAPITEL 3. DIGITALE SIGNATUREN 13 Prüfe, ob 0 < r < p 1 und 0 < s < p 1. (*) Berechne g m y r r s (mod p). (**) Gelten (*) und/oder (**) nicht, so ist das Dokument oder die Signatur verändert worden. 3.3 Hashfunktionen In der Praxis wird das vorgestellte ElGamal-Signaturverfahren nicht in dieser Form verwendet, denn es ist einfach möglich, Signaturen zu fälschen. Ein möglicher Angriff auf das Verfahren ist, wenn der Angreifer eine legitime Signatur für eine Nachricht kennt, dann kann er andere legitime Signaturen und Nachrichten generieren [3]. Sind also (r, s) für die Nachricht (m) gegeben, dann gilt g m y r r s (mod p). Werden dazu drei zufällige ganze Zahlen A, B und C benötigt, wobei ggt((ar Cs), (p 1)) = 1 erfüllt sein muss. Mit diesen wird ein r r A g B y C (mod p) berechnet, woraus sich die Signatur s sr / (Ar Cs) (mod (p 1)) der Nachricht m r (Am + Bs) / (Ar Cs) (mod (p 1)) ergibt. Also gilt, dass (r, s ) die Signatur von m ist. Beweis: Es gilt y r r s y ( r r A g B y C) sr /(Ar Cs) ( y r Ar r Cs+r Cs r Asr g Bsr ) 1/(Ar Cs) ( (y r r s ) Ar g Bsr ) 1/(Ar Cs) g (mar +Bsr )/(Ar Cs) g m (alle Berechnungen sind (mod p)) Um diese Form der Fälschung zu verhindern, werden kryptographische Hashfunktionen verwendet und nicht die Nachricht selbst signiert. (Kryptographische) Hashfunktionen sind Abbildungen der Form h : Σ Σ n, welche also Strings beliebiger Länge auf Strings fester Länge abbilden. Eine derart definierte Funktion besitzt offensichtlich Kollisionen, was bedeutet, dass es eine Nachricht m und eine weitere Nachricht m gibt, für welche die Hashfunktion einen identischen Hashwert erzeugt, so dass also die Bedingung h (m) = h (m ) erfüllt ist. Ist es praktisch unmöglich zu einer gegebenen Nachricht m die Nachricht m zu finden, für die diese Bedingung erfüllt ist, so heißt die Hashfunktion

15 KAPITEL 3. DIGITALE SIGNATUREN 14 schwach kollisionsresistent (second-preimage resistant). Ist es dagegen praktisch unmöglich irgendein Paar (m, m ) mit m m zu finden, für das h (m) = h (m ) gilt, heißt die Hashfunktion stark kollisionsresistent (collision resistant). Lediglich die Hashfunktionen, welche als stark kollisionsresistent angenommen werden, sind für Signaturverfahren geeignet, denn bei diesen kann davon ausgegangen werden, dass tatsächlich die Nachricht m signiert wurde. Eine weitere Bedingung die an Hashfunktionen gestellt wird, ist, dass es praktisch unmöglich sein sollte, zu einem gegebenen Hashwert x eine Nachricht m zu finden, für die h (m) = x erfüllt ist (preimage resistant). Die Qualität einer kryptographischen Hashfunktion beurteilt man vor allem nach ihrer Widerstandsfähigkeit gegen zwei Typen von Angriffen: Preimage-Angriff: Wie schwer ist es, zu einem vorgegebenen Hashwert eine Nachricht zu erzeugen, die denselben Hashwert ergibt? Kollisionsangriff: Wie schwer ist es, zwei verschiedenen Nachrichten mit gleichem Hashwert zu finden? Eine t-bit Hashfunktion wird als ideal sicher bezeichnet, falls der Preimage-Angriff ungefähr 2 t Operationen benötigt und der Kollisionsangriff ungefähr 2 t/2 Operationen benötigt. Nahezu alle sicherheitsrelevanten Anwendungen nutzen derzeit die Hashfunktion SHA-1 (Secure Hash Algorithm) mit einem Hashwert von 160-Bit Länge. Sie kommt auch bei digitalen Signaturen zum Einsatz. Im Februar 2005 wurde bekannt gemacht, dass die Wissenschaftler Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu an der Shandong University in China erfolgreich SHA-1 gebrochen haben [30]. Sie haben ein Verfahren entwickelt, eine Kollision statt mit 2 80 bereits mit 2 69 Operationen zu ermitteln. Trotzdem gehen Krypto-Experten davon aus, dass man SHA-1 durchaus noch recht unbesorgt einsetzen kann. Das rührt daher, dass auch 2 69 noch eine recht große Zahl ist und der zweite Grund ist: um beispielsweise einen digital signierten Vertrag nachträglich zu fälschen, müsste der Angreifer einen Preimage-Angriff durchführen. Verfahren, die die Anzahl der benötigten Operationen für Preimage-Angriffe deutlich reduzieren, sind bisher nicht bekannt. Zurzeit sind die folgenden Hashfunktionen standardisiert: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512. Diese sind mit einem Hashwert von 160-, 224-, 256-, 384- und 512-Bit Länge und bilden Octet-Strings mit Länge kleiner als eine bestimmte Zahl in Hashwerte mit fester Länge ab. Die Hashwerte werden wie folgt berechnet: Konfiguration: Wähle eine der zugelassenen Hashfunktionen. Sei Hash die gewählte Hashfunktion, dann bezeichnen wir mit hashlen die Länge des Hashwertes in Octets, der

16 KAPITEL 3. DIGITALE SIGNATUREN 15 mit Hash produziert wird. Und mit hashmaxlen bezeichnen wir die maximale Länge der Nachricht in Octets, die von Hash berechnet werden kann. Algorithmus 3.1 Eingabe: die Nachricht M als Octet-String. Ausgabe: der Hashwert H, ein Octet-String mit der Länge hashlen oder invalid. Ablauf: 1. Überprüfe, dass die Länge der Nachricht M kleiner als hashmaxlen Octets ist. Ist das nicht der Fall, dann gib invalid aus und beende den Vorgang. 2. Konvertiere M in Bit-String M mit Algorithmus A.2 aus dem Anhang. 3. Berechne mit der während der Konfigurationsphase festgelegten Hashfunktion den Hashwert: H = Hash ( M ). 4. Konvertiere H in Octet-String H mit Algorithmus A.1 aus dem Anhang. 5. Gib H aus. 3.4 Digitale Signatur Algorithmus Im Folgenden soll nun der Digitale Signatur Algorithmus näher vorgestellt werden. Das National Institute of Standards and Technology, welches DSA für die NSA im Rahmen des Digital Signature Standard veröffentlichte, gab als Hashfunktion den SHA-1- Algorithmus vor. Schlüsselerzeugung 1. Wähle Primzahl q, wobei < q < Wähle t aus dem Intervall [0, 8] und eine Primzahl p aus dem Intervall [ t, t] mit der Eigenschaft, dass q (p 1). 3. Wähle ein Element h Z p und berechne g = h (p 1)/q (mod p), so dass g Wähle eine ganze Zufallszahl x mit 1 x q Berechne y = g x (mod p).

17 KAPITEL 3. DIGITALE SIGNATUREN Der öffentliche Schlüssel ist (p, q, g, y) und der geheime Schlüssel ist x. Signatur und Verifikation A signiert m: 1. Wähle eine geheime ganze Zufallszahl k, mit 0 < k < q Berechne r = ( g k (mod p) ) (mod q). Falls r = 0 gehe zu Schritt Berechne k 1 (mod q). 4. Berechne e = SHA-1(m). 5. Berechne s = k 1 (e + xr) (mod q). Falls s = 0 gehe zu Schritt Die Signatur für m ist (r, s) B verifiziert die Signatur (r, s) von m 1. Prüfe, ob 1 r q 1 und 1 s q Berechne e = SHA-1(m). 3. Berechne w = s 1 (mod q). 4. Berechne u 1 = ew (mod q) und u 2 = rw (mod q). 5. Berechne v = (g u 1 y u 2 ( mod p)) (mod q). 6. Nur wenn v = r ist die Signatur zu akzeptieren.

18 Kapitel 4 Mathematische Grundlagen Dieses Kapitel führt in die notwendigen mathematischen Grundlagen ein. Den Anfang machen einige Definitionen für grundlegende mathematische Strukturen wie Gruppen und Körper. Danach wird einen Blick auf die verschiedenen Körper, deren Repräsentation und der Arithmetik in ihnen gegeben. 4.1 Mathematische Strukturen Definition 4.1. Eine Menge G bildet bzgl. einer Verknüpfung eine Gruppe (G, ), wenn die Axiome (G1) bis (G4) erfüllt sind. Ist zusätzlich (G5) erfüllt, so liegt eine kommutative oder abelsche Gruppe vor: (G1) a, b c : c = a b, mit a, b, c G G abgeschlossen bzgl. (G2) a, b, c G : (a b) c = a (b c) Asssoziativgesetz (G3) e G : a G : a e = e a = a Neutrales Element (G4) a G : a 1 G : a a 1 = e, mit a 1, e G Inverses Element (G5) a, b G : (a b) = (b a) Kommutativgesetz Die Ordnung einer Gruppe ist gleich der Anzahl der Elemente in G und wird mit #G bezeichnet. Die Ordnung eines Gruppenelemets g G ist die kleinste natürliche Zahl m, mit g m = g g g = e, sofern ein solches m existiert. 17

19 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 18 Definition 4.2. Sei G eine endliche Gruppe der Ordnung m. Ein Element g G heißt Erzeuger von G, falls G = { g j j = 0...m 1 }. Definition 4.3. Ein Körper (K, +, ) ist eine Menge mit mindestens zwei Elementen und zwei Verknüpfungen + und mit folgenden Eigenschaften: (K1) (K, +) ist eine abelsche Gruppe mit neutralem Element 0. (K2) (K \ {0}, ) ist eine abelsche Gruppe mit neutralem Element 1. (K3) Es gelten die Distributivgesetze: a (b + c) = (a b) + (a c) (a + b) c = (a c) + (b c), für a, b, c K. Beispiele für Körper sind die rationalen Zahlen Q, die reellen Zahlen R, die komplexen Zahlen C und die ganzen Zahlen modulo einer Primzahl p (Bezeichnung: Z p ). Ist die Anzahl der Elemente in einem Körper beschränkt, handelt es sich um einen endlichen Körper. Dabei wird die Anzahl der Elemente als Ordnung des Körpers bezeichnet. Die Ordnung eines endlichen Körpers ist von der Form p m mit p Primzahl und m positive ganze Zahl (p heißt die Charakteristik von K). Diesen Körper nennt man auch Galois Field und schreibt dafür GF (p m ). Für GF (p m ) gibt es zwei, für die Kryptographie interessante, Spezialfälle. Einmal ist m = 1, wodurch GF (p) entsteht und im anderen Fall ist die Charakteristik p = 2, dabei erhält man GF (2 m ). Beide Klassen von Körpern lassen sich einheitlich durch F q mit q = p m bezeichnen, wobei p eine Primzahl repräsentiert und m = 1 für p 2. In 4.2 und in 4.3 werden die Elemente und die Operationen in den endlichen Körpern F p und F 2 m beschrieben. Bei der Darstellung von Elementen der Körper F 2 m spielen Polynome eine bedeutende Rolle. Daher werden hier die wichtigsten Begriffe eingeführt. Definition 4.4. Ein Polynom über einem Körper K ist ein Ausdruck der Form b (x) = b n x n + b n 1 x n b 2 x 2 + b 1 x + b 0.

20 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 19 Dabei ist x die Unbekannte des Polynoms und die b i K heißen die Koeffizienten des Polynoms. Die kleinste Zahl l mit der Eigenschaft: j > l gilt b j = 0 heißt der Grad des Polynoms. Definition 4.5. Ein Polynom über einem endlichen Körper heißt reduzibel, falls es das Produkt zweier Polynome kleineren Grades des selben Körpers ist, ansonsten heißt das Polynom irreduzibel. Anmerkung: Ein Polynom, das über einem Körper irreduzibel ist, kann über einem anderen Körper reduzibel sein. 4.2 Der endliche Körper F p Der endliche Körper F p, mit p Primzahl, ist wohl der bekannteste Körper. Seine Elemente werden als ganzen Zahlen {0, 1, 2,..., p 1} dargestellt. Die Addition und Multiplikation sind wie folgt definiert: Addition: Seien a, b F p, dann ist a + b = r, wobei r [ 0, p 1 ] der Rest bei der Division von a + b mit p ist. Diese Operation ist bekannt als Addition modulo p mit Schreibweise a + b r (mod p). Multiplikation: Seien a, b F p, dann ist a b = s, wobei s [ 0, p 1 ] der Rest bei der Division von a b mit p ist. Diese Operation ist bekannt als Multiplikation modulo p mit Schreibweise a b s (mod p). Es ist günstig auch die Subtraktion und Division von Körperelementen zu definieren. Um das zu machen, sollen zuerst die additiven und die multiplikativen Inversen beschrieben werden. Additives Inverse: Sei a F p, dann ist die additive Inverse ( a) von a in F p die eindeutige Lösung der Gleichung a + x 0 (mod p). Multiplikatives Inverse: Sei a F p und a 0, dann ist die multiplikative Inverse a 1 von a in F p die eindeutige Lösung der Gleichung a x 1 (mod p). Die additiven und die multiplikativen Inversen in F p können effektiv berechnet werden. Die Multiplikative Inverse kann zum Beispiel mit dem erweiterten Euklidischen Algorithmus berechnet werden. Die Subtraktion und die Division sind dann wie folgt definiert: a b ( mod p) ist a + ( b) ( mod p) und a/b ( mod p) ist a (b 1) ( mod p).

21 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN Der endliche Körper F 2 m F 2 m wird auch als Erweiterungskörper von F 2 bezeichnet mit m als Erweiterungsgrad. F 2 m kann auch als m-dimensionaler Vektorraum über F 2 interpretiert werden. Wie für jeden Vektorraum kann dann eine Basis B = {β 0,..., β m 1 } definiert werden, wobei die β i linear unabhängig über F 2 m sind. Jedes Element α F 2 m lässt sich dann eindeutig als Linerkombination dieser Basiselemente darstellen, also α = m i=1 a i β i mit a 1,..., a m F 2. Der endliche Körper F 2 m hat Charakteristik 2 und besteht aus 2 m Elementen. Obwohl es nur ein endlicher Körper F 2 m mit Charakteristik 2 für jede Potenz 2 m von 2 mit m 1 gibt, existieren mehrere verschiedene Möglichkeiten die Elemente von F 2 m zu repräsentieren. Es gibt zwei gängige Repräsentationen für F 2 m, die ANSI X9.62 erlaubt: Polynombasen und Normalbasen. Die Addition von Körperelementen erfolgt stets durch XOR-Verknüpfung der Vektorrepräsentation. Die restlichen arithmetischen Operationen sind abhängig von der gewählten Repräsentation Repräsentation von F 2 m durch Polynombasen In der Polynombasen-Darstellung werden die Polynome in Restklassen modulo eines irreduziblen Reduktopnspolynoms eingeteilt. Ein Reduktionspolynom entspricht der Primzahl p in F p. Die Elemente von dem endlichen Körper F 2 m werden als Menge von binären Polynomen (d.h. Polynomen mit Koeffizienten 0 oder 1) mit Grad (m 1) oder kleiner realisiert: F 2 m = { a m 1 x m 1 + a m 2 x m a 1 x + a 0 : a i {0, 1} } Definition 4.6. Sei f (x) = x n + f n 1 x n f 1 x + f 0 ein irreduzibles Polynom und f i F 2 für i = 0,..., n 1, dann heißt f (x) Körper- oder Reduktionspolynom von F 2 m. Die Addition und die Multiplikation sind mit Hilfe eines Reduktionspolynoms wie folgt definiert: Addition: Sei a = a m 1 x m a 0, b = b m 1 x m b 0 F 2 m a + b = r in F 2 m, wobei r = r m 1 x m r 0 und r i a i + b i (mod 2)., dann ist Multiplikation: Sei a = a m 1 x m a 0, b = b m 1 x m b 0 F 2 m, dann ist a b = s in F 2 m, wobei s = s m 1 x m s 0 und s ist der Rest bei der Division von dem Polynom ab mit f (x) über F 2.

22 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 21 Der Grad des Reduktionspolynoms und die Ordnung des endlichen Körpers sind identisch. Für die Kryptographie sind nur irreduzible Polynome mit einem Grad größer einhundert interessant. Wieder ist es günstig die Subtraktion und Division von Körperelementen zu definieren. Um das zu machen, sollen zuerst die additiven und die multiplikativen Inversen beschrieben werden. Additives Inverse: Sei a F 2 m, dann ist die additive Inverse ( a) von a in F 2 m die eindeutige Lösung der Gleichung a + x = 0 in F 2 m. Multiplikatives Inverse: Sei a F 2 m, a 0 dann ist die multiplikative Inverse a 1 von a in F 2 m die eindeutige Lösung der Gleichung a x = 1 in F 2 m. Die additiven und die multiplikativen Inversen in F 2 m können effektiv mit dem erweiterten Euklidischen Algorithmus berechnet werden. Die Subtraktion und die Division sind wie folgt definiert: a b in F 2 m ist a + ( b) in F 2 m und a/b in F 2 m ist a (b 1) in F 2 m. Dazu als Beispiel die Elemente von F 2 4 als Bitfolge und in der Koeffizientenschreibweise: Beispiel 4.1: 0000 = = x = x = x 3 + x = = x = x = x 3 + x = x 0110 = x 2 + x 1010 = x 3 + x 1110 = x 3 + x 2 + x 0011 = x = x 2 + x = x 3 + x = x 3 + x 2 + x + 1 Anmerkung: Der Generator des Körpers F ist das Element g = (0010). 2 4 Beweis: g 0 = (0001) g 4 = (0011) g 8 = (0101) g 12 = (1111) g 1 = (0010) g 5 = (0110) g 9 = (1010) g 13 = (1101) g 2 = (0100) g 6 = (1100) g 10 = (0111) g 14 = (1001) g 3 = (1000) g 7 = (1011) g 11 = (1110) g 15 = (0001) Beispiel 4.2: Multiplikation in F 2 4 Sei f (x) = x 4 + x + 1 das Reduktionspolynom. ( x 3 + x ) (x 3 + x + 1 ) = ( x 6 + x 5 + x 4 + x 3 + x 2 + x + 1 ) und ( x 6 + x 5 + x 4 + x 3 + x 2 + x + 1 ) mod ( x 4 + x + 1 ) = x 3 + x.

23 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 22 Auswahl des Reduktionspolynoms Die Reduktion von Polynomen ist besonders effizient, wenn das Reduktionspolynom dünn besetzen ist, d.h. eine kleine Zahl von Termen bzw. eine kleine Anzahl von Koeffizienten ungleich Null besitzt. Die irreduziblen Polynome mit der geringsten Anzahl von Termen bzw. mit dem geringsten Hamminggewicht, nämlich drei, sind die Trinome der Form f (x) = x m + x k + 1 mit m > k 1. Daher werden Trinome, sofern sie existieren, häufig als Reduktionspolynome gewählt. Existiert kein irreduzibles Trinom vom Grad m, dann sind die nächstbesten Polynome die Pentanome der Form f (x) = x m + x k 3 + x k 2 + x k mit m > k 3 > k 2 > k 1 1. Die folgenden Regeln zur Auswahl des Reduktionspolynoms zur Darstellung von Elementen von F 2 m sind spezifiziert: 1. Wenn es ein irreduzibles Trinom vom Grad m über F 2 gibt, dann muss das Reduktionspolynom ein solches sein. Es wird empfohlen, das Trinom mit dem kleinsten Exponenten k zu wählen. 2. Existiert kein irreduzibles Trinom vom Grad m über F 2, dann muss das Reduktionspolynom ein irreduzibles Pentanom vom Grad m über F 2 sein. Es wird empfohlen, die Auswahl des Pentanoms nach folgenden Kriterien zu treffen: 2.1 k 3 ist möglichst klein, 2.2 für diesen bestimmten Wert von k 3 ist k 2 möglichst klein, 2.3 für diese speziellen Werte von k 3 und k 2 ist k 1 möglichst klein Repräsentation von F 2 m durch Normalbasen Definition 4.7. Eine Normalbasis von F 2 m über F 2 ist eine Menge der Form B = { θ, θ 2, θ 22,..., θ 2m 1}, wobei die Elemente von B linear unabhängig sind und θ F 2 m.

24 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 23 Eine solche Basis existiert für jedes m. Ein Element α aus F 2 m lässt sich darstellen als: m 1 α = a i θ 2i, mit a i F 2. i=0 Das neutrale Element bezüglich der Addition ist (0,0,..,0,0), das neutrale Element bezüglich der Multiplikation ist (1,1,...,1,1). Normalbasisdarstellungen haben den Vorteil, dass die Quadrierung eines Elements sehr effizient ist. Die Multiplikation hingegen kann im allgemein sehr mühselig sein. Daher fordern die Standards IEEE P1363 und ANSI X9.62, Gauss sche Normalbasen (GNB) zu benutzen, wodurch die Multiplikation einfacher und effizienter ist. Eine GNB für F 2 m existiert immer dann, wenn m nicht durch 8 teilbar ist. Der Typ einer GNB ist eine positive ganze Zahl T, die die Komplexität der Multiplikation angibt. Sei m eine natürliche Zahl, die nicht durch 8 teilbar ist und T eine natürliche Zahl. Dann existiert eine Typ T GNB für F 2 m genau dann, wenn p = Tn + 1 prim ist und ggt (Tn/k, n) = 1 ist, wobei k die multiplikative Ordnung von 2 modulo p ist. Im Folgenden werden die arithmetischen Operationen von Elementen in F 2 m definiert, wenn eine GNB vom Typ T verwendet wird. Addition: Seien a = (a 0, a 1,..., a m 1 ) und b = (b 0, b 1,..., b m 1 ) F 2 m, dann ist a + b = c = (c 0, c 1,.., c m 1 ) mit c i = (a i + b i ) (mod 2). Quadrierung: Unter Ausnutzung von a 2 = a für a F 2 und α F 2 m folgende Rechenregel: m 1 a 2 = a i β 2i i=0 2 m 1 m 1 = a i β 2i+1 = a i 1 β 2i = ( ) a m 1, a 0, a 1,..., a m 2 Eine Quadrierung entspricht daher einer Rotation der a i. i=0 i=0 ergibt sich Multiplikation: Sei p = Tm + 1 und sei u F p ein Element der Ordnung T, dann definiere die Folge F(1), F(2),..., F(p-1) durch: F ( 2 i u j ( mod p) ) = i für 0 i m 1, 0 j T 1. Seien a = (a 0, a 1,..., a m 1 ) und b = (b 0, b 1,..., b m 1 ) F 2 m, dann a b = c = (c 0, c 1,.., c m 1 ), wobei: Wenn T gerade ist, dann gilt c l = p 2 k=1 a F(k+1)+lb F(p k)+l, mit 0 < l < m 1.

25 KAPITEL 4. MATHEMATISCHE GRUNDLAGEN 24 Wenn T ungerade ist, dann gilt c l = m/2 ( ) k=1 ak+l 1 b m/2+k+l 1 + a m/2+k+l 1 b k+l 1 + p 2 k=1 a F(k+1)+lb F(p k)+l, mit 0 < l < m 1. Invertierung: Sei a ein Element in F 2 m, die Inverse von a in F 2 m, bezeichnet mit a 1, ist die eindeutige Lösung der Gleichung a x = 1. Die Normalbasisdarstellung hat den Vorteil, dass das Quadrieren eines Körperelements sehr effizient ist. Im Gegensatz dazu ist die Multiplikation zweier unterschiedlicher Elemente wesentlich langsamer als in Polynombasisdarstellung. Ähnlich verhält es sich auch mit der Invertierung. Da diese beiden Operationen wesentliche Bestandteile einer Addition zweier Punkte einer Elliptischen Kurve sind, ist die Polynombasisdarstellung vorzuziehen.

26 Kapitel 5 Elliptische Kurven Elliptische Kurven werden seit über 100 Jahren in der Zahlentheorie und der algebraischen Geometrie wissenschaftlich untersucht. Entstanden aus dem Problem den Umfang einer Ellipse zu berechnen, haben Elliptische Kurven heute einen weiten Anwendungsbereich in der Mathematik und der Kryptographie gefunden. In der Kryptographie werden sie unter anderem dazu benutzt große Zahlen zu faktorisieren, Primzahlbeweise durchzuführen oder dienen als Basis für Public-Key-Algorithmen. Einer der Public-Key- Algorithmen, ECDSA wird im Kapitel 7 näher erläutert. In diesem Kapitel wollen wir die Theorie und die Arithmetik der Elliptischen Kurven betrachten. Elliptische Kurven werden dazu mit reellen Zahlen eingeführt und dann auf endlichen Körper übertragen. Anschließend wird das Problem des diskreten Logarithmus Elliptischer Kurven, und Algorithmen um diesen zu berechnen, vorgestellt. 5.1 Kurvengleichung Definition 5.1. Eine Elliptische Kurve über dem (beliebigen) Körper K ist eine glatte projektive Kurve E von Grad 3 über K, die durch eine Gleichung der Form E : y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6. mit Koeffizienten a 1, a 2, a 3, a 4, a 5, a 6 K gegeben ist. So eine Gleichung heißt (verallgemeinerte) Weierstraß-Gleichung. Durch die Anwendung der Elliptischen Kurve auf den endlichen Körpers F p m mit der 25

27 KAPITEL 5. ELLIPTISCHE KURVEN 26 Charakteristik p {2, 3} kann die Gleichung zu E1 : y 2 = x 3 + a 4 x + a 6 vereinfacht werden. Wenn die Charakteristik dagegen p = 2 ist, wird die Weierstraß-Normalform zu E2 : y 2 + xy = x 3 + a 2 x 2 + a 6 oder E3 : y 2 + a 3 y = x 3 + a 4 x + a 6. vereinfacht. Zu dieser Menge von Punkten wird noch der spezielle Punkt O (engl. point at infinity), der im Unendlichen liegt, dazugenommen. Per Definition gilt P + ( P) = O. Damit Elliptische Kurven für kryptographische Zwecke eingesetzt werden können, muss sichergestellt sein, dass die Kurve keine Knickpunkte, keine Schnittpunkte mit sich selbst und keine isolierten Punkte aufweist, also eine Kurve, die an jedem Punkt eine eindeutig bestimmte Tangente besitzt. In der Abbildung 5.1 sind die Formen der Elliptischen Kurven zu sehen. Abbildung 5.1: Formen Elliptischer Kurven

28 KAPITEL 5. ELLIPTISCHE KURVEN Elliptische Kurve über reellen Zahlen Ist E eine Elliptische Kurve über den Körper der reellen Zahlen R, so lässt sich E durch eine Gleichung der Form y 2 = x 3 + ax + b, mit x, y, a, b R beschreiben Mit der Wahl der reellen Zahlen a und b ergeben sich verschiedene Elliptische Kurven. Zum Beispiel seien a = 4 und b = 1, dann ergibt sich die Elliptische Kurve mit der Gleichung y 2 = x 3 4x + 1. In Abbildung 5.2 ist diese Elliptische Kurve wiedergegeben. In diesem Beispiel hat die Kurve drei verschiedene Nullstellen. Damit wir solche Fälle Abbildung 5.2: y 2 = x 3 4x + 1 vermeiden, soll 4a b 2 0 sein. Die Menge aller Punkte auf einer Elliptischen Kurve über R enthält alle Punkte (x,y), mit x R und y R, die die Gleichung y 2 = x 3 + ax + b genügen, zusammen mit dem speziellen Punkt O, der im Unendlichen liegt. Elliptische Kurven besitzen auf Grund ihrer Symmetrie zur x-achse folgende Eigenschaft. Wenn eine Gerade eine Elliptische Kurve schneidet entstehen immer genau 3 Schnittpunkte. Dabei muss man zwischen verschiedenen Fällen unterscheiden: eine Gerade die parallel zur y-achse liegt, hat sie einen Schnittpunkt im Punkt O,

29 KAPITEL 5. ELLIPTISCHE KURVEN 28 wenn eine Gerade die Kurve tangiert, wird dieser Punkt als doppelter Schnittpunkt gezählt, bei Geraden die anders verlaufen, ist es offensichtlich, dass 3 Schnittpunkte existieren. Auf der Elliptischen Kurven lässt sich eine Addition erklären. Die Formeln für die Addition ergeben sich aus der geometrischen Anschauung, siehe z.b. Abbildungen 5.3 und 5.4 und für eine Erläuterung Silverman [21]. Die Addition von zwei Punkten auf einer Elliptischen Kurve ist wie folgt definiert: Sind P = (x 1, y 1 ) und Q = (x 2, y 2 ) Punkte auf einer Elliptischen Kurve E, gegeben durch die Gleichung y 2 = x 3 + ax + b, dann definieren wir den dritten Punkt R wie folgt: Bestimme den dritten Schnittpunkt ( R) der Geraden L durch P und Q mit E und spiegele diesen Punkt an der x- Achse. Dieser Punkt liegt wieder auf E und soll R heißen. Schreibweise P + Q = R. Dazu Abbildung 5.3: Falls P = Q, dann ist R = (x 3, y 3 ) wie folgt definiert: Zuerst bestimme die Tangente der Abbildung 5.3: Addition von zwei Punkten auf einer Elliptischen Kurve Elliptischen Kurve in P, diese schneidet die Kurve im zweiten Punkt ( R). Dann spiegele

30 KAPITEL 5. ELLIPTISCHE KURVEN 29 diesen Punkt an der x-achse. Dieser Punkt liegt wieder auf E und ist der gesuchte Punkt R. Dazu Abbildung 5.4: Die folgenden algebraischen Formeln für die Addition von zwei Punkten sind aus der Abbildung 5.4: Punktverdoppelung P+P=R geometrischen Beschreibung abgeleitet. Sei E eine Elliptische Kurve, die durch y 2 = x 3 + ax + b definiert ist. Seien P 1 = (x 1, y 1 ) und P 2 = (x 2, y 2 ) Punkte auf E, wobei P 1, P 2 O. Dann ist P 1 + P 2 = P 3 = (x 3, y 3 ) wie folg definiert: 1. Falls x 1 x 2, dann x 3 = y 2 y 1 x 2 x 1 x 1 x 2, y 3 = y 2 y 1 x 2 x 1 (x 1 x 3 ) y Falls x 1 = x 2 und y 1 y 2, dann P 1 + P 2 = O. 3. Falls P 1 = P 2 und y 1 0, dann ( ) 3x1 + a x 3 = 2x 1, 2y 1 y 3 = 3x 1 + a 2y 1 (x 1 x 3 ) y Falls P 1 = P 2 und y 1 = 0, dann P 1 + P 2 = O. Zusätzlich gilt für alle Punkte P auf E: P + O = O + P = P.

31 KAPITEL 5. ELLIPTISCHE KURVEN Elliptische Kurven über F p Sei F p endlicher Körper, mit p ungerade Primzahl, seien a, b F p mit 4a b 2 0 (mod p), dann ist die Elliptische Kurve E ( ) F p über Fp eine Menge von Punkten in einer Ebene, deren Koordinaten durch die folgende Gleichung erfüllt werden: y 2 x 3 + ax + b (mod p), x, y, a, b F p zusammen mit dem speziellen Punkt O. Hier ist die Anzahl der Elemente beschränkt und die Elemente sind ganzzahlig, wodurch nun keine kontinuierliche Kurve mehr gezeichnet werden kann. Im Koordinatensystem erscheinen jetzt nur einzelne Punkte, deren Anzahl durch den endlichen Körper eindeutig begrenzt ist. Die Anzahl der Punkte auf E ( ) F p wird bezeichnet mit #E ( ) F p und nach dem Theorem von Hasse gilt: #E ( ) F p = p + 1 t, mit t 2 p. Die Punktezahl #E ( ) F p heißt Ordnung von E und die Größe t heißt Spur von E. Die Abbildung 5.5: Elliptische Kurve über F 23 Punktoperationen sind hier nicht mehr geometrisch definiert. Die Rechenregeln der Algebra sind aber weiterhin anwendbar und die Additionsregeln sind wie folgt definiert: 1. O + O = O

32 KAPITEL 5. ELLIPTISCHE KURVEN P + O = O + P = P für alle P E ( F p ) 3. Falls P = (x, y) E ( F p ), dann: (x, y) + (x, y) = O Bemerkung: die Inverse des Punktes (x, y) ist (x, y) = (x, y). 4. Addition von zwei Punkten mit verschiedenen x - Koordinaten (Punktaddition): Seien (x 1, y 1 ) E ( F p ) und (x2, y 2 ) E ( F p ) mit x1 x 2. Dann gilt (x 1, y 1 ) + (x 2, y 2 ) = (x 3, y 3 ), mit: x 3 m 2 x 1 x 2 (mod p), y 3 m (x 1 x 3 ) y 1 (mod p), mit m y 2 y 1 x 2 x 1 (mod p). 5. Addition von einem Punkt zu sich selbst (Punktverdoppelung): Sei (x 1, y 1 ) E ( F p ) mit y1 0. Dann gilt (x 1, y 1 ) + (x 1, y 1 ) = (x 3, y 3 ), mit : x 3 m 2 2x 1 (mod p), y 3 m (x 1 x 3 ) y 1 (mod p), mit m 3x2 1 + a 2y 1 (mod p). Die Menge aller Punkte auf E ( F p ) bildet mit den obigen Definitionen der Addition eine additive abelsche Gruppe. Beispiel 5.1: Sei p = 29 und damit F 29 = {0, 1, 2,...28} und eine Elliptische Kurve in reduzierter Weierstraß-Normalform durch die Parameter a = 1 und b = 6 als y 2 = x 3 + x+6 gegeben. Aus dem Theorem von Hasse erhält man für die Punktanzahl der Elliptischen Kurve das Intervall #E (F 29 ) [20, 40]. Tatsächlich besitzt diese Kurve neben dem Punkt O die folgenden 37 Punkte: (0, 8) (0, 21) (2, 4) (2, 25) (4, 4) (4, 25) (8, 2) (8, 27) (16, 0) (3, 6) (2, 23) (6, 5) (6, 24) (12, 8) (12, 21) (14, 3) (14, 26) (28, 2) (28, 27) (27, 5) (27, 24) (25, 5) (25, 24) (26, 11) (26, 18) (23, 4) (23, 5) (17, 8) (17, 21) (5, 7) (5, 22) (10, 1) (10, 28) (20, 14) (20, 15) (22, 2) (22, 27), womit also #E (F 29 ) = 38. Werden nun die Punkte P 1 =(8,27) und P 2 =(17,21) addiert, so erhält man als Resultat den Punkt P 3 =(27,5), wie die folgende Rechnung zeigt: ( ) 2 ( ) 2 y2 y x 3 = x 1 x 2 = 8 17 x 2 x = (23 13) = ( mod 29) ( ) ( ) y2 y y 3 = (x 3 x 1 ) y 1 = (27 8) 27 x 2 x = = ( mod 29)

33 KAPITEL 5. ELLIPTISCHE KURVEN 32 Soll das Resultat dieser Addition verdoppelt werden, so erhält man P 3 = 2P 1 =(17,8) mit P 1 =(27,5), wie die folgende Rechnung zeigt: ( ) ( 3x1 + a 3 (27) 2 ) x 3 = 2x 1 = y = (13 3) = ( mod 29) ( 3x 2 1 y 3 = y 1 (x 3 x 1 ) + a ) ( 3 (27) 2 ) + 1 = 5 (17 27) 2y = = ( mod 29) 5.4 Elliptische Kurven über F 2 m Sei F 2 m ein endlicher Körper mit der Charakteristik 2 und seien a, b F 2 m, mit b 0. Dann ist die Elliptische Kurve E (F 2 m) über F 2 m eine Menge von Punkten in einer Ebene, deren Koordinaten durch die folgende Gleichung erfüllt werden: y 2 + xy = x 3 + ax 2 + b, x, y, a, b F 2 m zusammen mit dem speziellen Punkt O, der im Unendlichen liegt. Die Anzahl der Punkte auf E (F 2 m) wird bezeichnet mit #E (F 2 m) und nach dem Theorem von Hasse gilt: #E (F 2 m) = 2 m + 1 t, mit t 2 2 m. Auch hier heißt die Punktezahl #E (F 2 m) Ordnung von E und die Größe t heißt Spur von E. Die Punkte auf der Elliptischen Kurve E (F 2 m) über F 2 m treten völlig zufällig in der Darstellung auf. Dieses zeigt auch die Abbildung 5.6 (s.u.). Die Additionsregeln sind wie folgt definiert: 1. O + O = O 2. (x, y) + O = O + (x, y) = (x, y) für alle (x, y) E (F 2 m) 3. (x, y) + (x, x + y) = O für jedes (x, y) E (F 2 m) Bemerkung: die Inverse des Punktes (x, y) ist (x, y) = (x, x + y) 4. Addition von zwei Punkten mit verschiedenen x - Koordinaten (Punktaddition): Seien (x 1, y 1 ) E (F 2 m) und (x 2, y 2 ) E (F 2 m) mit x 1 x 2. Dann gilt (x 1, y 1 ) + (x 2, y 2 ) = (x 3, y 3 ), mit: x 3 = m 2 +m+x 1 +x 2 +a in F 2 m, y 3 = m (x 1 + x 3 )+x 3 +y 1 in F 2 m, und m = y 1 + y 2 x 1 + x 2 in F 2 m.

34 KAPITEL 5. ELLIPTISCHE KURVEN Addition von einem Punkt zu sich selbst (Punktverdoppelung): Sei (x 1, y 1 ) E (F 2 m) mit y 1 0. Dann gilt (x 1, y 1 ) + (x 1, y 1 ) = (x 3, y 3 ), mit : x 3 = x b ( in F x 2 2 m, y 3 = x x 1 + y ) 1 x 3 + x 3 in F 2 m. x 1 1 Unter diesen Additionsregeln bildet die Menge der Punkte auf E (F 2 m) eine additive abelsche Gruppe. Beispiel 5.2: Sei über den Körper F 2 4 eine Elliptische Kurve mit den Parametern a = (0011) = g 4 und b = (0001) = g 0 als y 2 + xy = x 3 + g 4 x gegeben, wobei g = (0010) der Generator des Körpers F 2 4 ist (siehe Beispiel 4.1). Mit dem Reduktionspolynom r (x) = x 4 + x + 1 hat die Kurve die folgenden #E (F 2 4) = 16 Punkte: (1, g 13 ) (g 9, g 13 ) (g 3, g 8 ) (g 10, g) (g 3, g 13 ) (g 10, g 8 ) (g 5, g 3 ) (g 12, 0) (g 5, g 11 ) (g 12, g 12 ) (g 6, g 8 ) (0, 1) (g 6, g 14 ) (1, g 6 ) (g 9, g 10 ) O In Abbildung 5.6 ist diese Elliptische Kurve wiedergegeben. Abbildung 5.6: y 2 + xy = x 3 + g 4 x über F 2 4 Werden nun die Punkte P 1 =(g 9,g 13 ) und P 2 =(g 5,g 3 ) addiert, so erhält man als Resultat

35 KAPITEL 5. ELLIPTISCHE KURVEN 34 den Punkt P 3 =(g 3,g 13 ), wie die folgende Rechnung zeigt: x 3 = = ( ) 2 ( ) y1 + y 2 y1 + y x 1 + x 2 + a x 1 + x 2 x 1 + x 2 ( ) 2 (1000) + (1101) (1000) + (1101) + + (1010) + (0110) + (0011) (0110) + (1010) (0110) + (1010) = (0100) 2 + (1111) + (0100) = (1011) + (0011) = (1000) = g 3 ( ) y1 + y 2 y 3 = (x 1 + x 3 ) + x 3 + y 1 x 1 + x 2 ( ) (1000) + (1101) = ((1000) + (1010)) + (1000) + (1101) (0110) + (1010) = (0010) (0100) + (0101) = (0101) + (1000) = (1101) = g 13 Soll das Resultat dieser Addition verdoppelt werden, so erhält man P 3 = 2P 1 = ( g 5, g 11) mit P 1 = ( g 3, g 13), wie die folgende Rechnung zeigt: x 3 = x b = (1000) 2 + (0001) x 2 1 (1000) 2 = (1100) + (0001) = (1100) + (1010) = (0110) = g5 (1100) ( y 3 = x x 1 + y ) 1 x 3 + x 3 x 1 ( = (1000) 2 + (1000) + (1101) ) (0110) + (0110) (1000) = (1010) + (0110) (1111) = (1010) + (0100) = (1110) = g 11 In der Kryptographie wird die eben beschriebene Addition eher für eine Addition eines Punktes zu sich selbst, als für eine Addition zweier unterschiedlicher Punkte benutzt. Dazu ein Beispiel: P + P P = k P Darunter versteht man auch die Skalarmultiplikation bei Elliptischen Kurven. Da es sich hier nicht um eine gewöhnliche Addition handelt, ist die herkömmliche Multiplikation des Punktes P mit k nicht möglich. Dadurch kann man die Multiplikation auch nicht mit der Skalarmultiplikation eines Vektors mit einem Skalar vergleichen. Die beschriebene Addition muss also schrittweise durchgeführt werden. Je größer k wird, umso größer wird auch der Rechenaufwand. Es gibt aber eine Vereinfachung, um den Rechenaufwand in Grenzen zu halten. Als Beispiel soll hierfür k = 25 sein. Abbildung 5.7 zeigt, wie sich das

36 KAPITEL 5. ELLIPTISCHE KURVEN 35 Abbildung 5.7: 25 P, eine Vereinfachung Addieren der einzelnen Punkte in mehrere Teilprobleme zerlegen lässt. Die Zerlegung in Teilprobleme ist auf Grund der Assoziativität der Gruppe zulässig. So ist in der zweiten Zeile nur noch 12 (P + P) + P statt 24 mal P zu addieren. (P + P) kann man mit einer Addition berechnen, d.h. es werden 24 ( ) = 10 Additionen eingespart. Die weiteren Zeilen folgen dem gleichen Schema. Im Endeffekt werden nur noch 6 statt 24 Additionen benötigt. Definition 5.2. Die Ordnung eines Punktes einer elliptischen Kurve ist die kleinste positive Zahl r, so dass r P = O. Die Ordnung eines Punktes existiert immer und ist ein Teiler der Kurvenordnung #E ( ) F q. Zusätzlich gilt: falls k, l N, dann kp = lp gdw. k l (mod r). 5.5 ECDLP In diesem Abschnitt wird das Problem des diskreten Logarithmus auf Elliptischen Kurven vorgestellt (ECDLP). Zur Lösung dieses Problems auf einer beliebigen Elliptischen Kurve ist bisher kein subexponentieller Algorithmus bekannt. Unter dem Problem des diskreten Logarithmus auf der Elliptischen Kurve versteht man die folgende Fragestellung: Sei q N oder q = 2 m für ein m N. Seien eine Elliptische Kurve E über F q, ein Punkt P E ( ) ( ) F q der Ordnung n und ein Punkt Q E Fq gegeben. Bestimme die natürliche Zahl l, 0 l n 1, sodass Q = lp, vorausgesetzt, eine solche Zahl l existiert. l wird dann diskreter Logarithmus genannt.