Elliptische Kurven. dp := P P. als die d-fache Skalarmultiplikation von P, so erhalten wir alle Gruppenelemente aus G mittels

Transkript

1 Elliptische Kurven Mitte der 1980 ern schlugen Miller 11 und Koblitz 12 unabhängig voneinander vor elliptische Kurven für die Kryptographie einzusetzen. Analog zu den Diskreten-Logarithmus-Verfahren, bei denen in der zyklischen multiplikativen Gruppe F ú p gerechnet wird, so wird bei einem elliptischen-kurven-system (ECC-System) eine zyklische additive Gruppe G verwendet, die von einem Punkt P einer gegebenen elliptischen Kurve E erzeugt wird, indem P wiederholt mit sich selbst addiert wird. Definieren wir dp := P P d-mal als die d-fache Skalarmultiplikation von P, so erhalten wir alle Gruppenelemente aus G mittels 11 V. S. Miller. Use of Elliptic Curves in Cryptography. In Advances in Cryptology CRYPTO 85,volume 218 of Lecture Notes in Computer Science, pages , N. Koblitz. Elliptic Curve Cryptosystems. Mathematics of Computation, 48(177): , http: // mcom/ / S / S pdf G = ÈP Í = {P,2P,3P,...}. Ist nun Q œ G ein Punkt gegeben, so existiert eine natürliche Zahl k mit Q = dp. Diese Zahl k ist definiert als der diskrete Logarithmus von Q zur Basis P auf der elliptischen Kurve E. Ist die elliptische Kurve E geschickt gewählt, so ist für Berechnung von k aus Q und P kein e zienter Algorithmus bekannt. Jedoch kann die d-fache Skalarmultiplikation in O(log 2 (d)) Operationen im zugrunde liegenden Körper F q (über den die Kurve E definiert ist) durchgeführt werden. Im folgenden werden wir nun kurz die wichtigsten mathematischen Grundlagen von elliptischen Kurve zusammenstellen, welche für eine erste Betrachtung aus Sicht der Kryptographie relevant sind. In den anschließenden Kapiteln werden wir auf die e ziente

2 64 michael braun Arithmetik eingehen. Auf eine ausführliche Behandlung von elliptischen Kurven und deren e zienten Implementierung verweisen wir auf das exzellente Buch Guide to Elliptic Curve Cryptography von den Autoren Hankerson, Menezes und Vanstone 13. Allgemein ist eine elliptische Kurve E über einen Körper F definiert als die Menge alle Paare (x, y) œ F 2,welchedie Gleichung 13 D. Hankerson, A. Menezes, and S. Vanstone. Guide to Elliptic Curve Cryptography. Springer, 2003 y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 erfüllen für die gegebenen Werte a 1, a 2, a 3, a 4, a 6 œ F. Diese Gleichung heißt allgemeine Weierstraß sche Gleichung. Um Singularitäten auszuschließen, müssen die Parameter die Diskriminante D = 0 erfüllen. In diesem Fall ist die Kurve E also glatt, d.h.es gibt keine Punkte auf der Kurve, an die verschiedene Tangenten angelegt werden können. Die Diskriminante D ist gegeben durch D = d 2 2d 8 8d d d 2 d 4 d 6 d 2 = a a 2 d 4 = 2a 4 + a 1 a 3 d 6 = a a 6 d 8 = a 2 1a 6 + 4a 2 a 6 a 1 a 3 a 4 + a 2 a 2 3 a 2 4. In Abbildung 14 ist die elliptische Kurve über den reellen Zahlen mit der Gleichung y 2 = x 3 x zu sehen. Zusätzlich neben den Punktenpaaren, welche die allgemeine Weierstraß sche Gleichung erfüllen, legen wir per Definition fest, dass ein weiterer Punkt, abgekürzt durch Œ, auf der Kurve liegt. Dieser Punkt Œ kann nicht auf der Kurve eingezeichnet werden. Es ist ein rein virtueller Punkt, welcher auch als der unendlich ferne Punkt bezeichnet wird. Auf der elliptischen Kurve E lässt sich nun eine Addition + der Punkte definieren. Dazu seien P =(x P, y P ) und Q =(x Q, y Q ) zwei Punkte auf der Kurve E. 1. Wir setzen P := (x P, y P a 1 x P a 3 ).

3 public-key-algorithmen 65 y Abbildung 14: y 2 = x 3 x x 1 2 : 2 = 3 2. Für P = ±Q setzen wir R =(x R, y R ) := P + Q mit := y Q y P x Q x P µ := y P x Q y Q x P x Q x P x R := 2 + a 1 a 2 x P x Q y R := ( + a 1 )x R µ a Für P = P setzen wir R =(x R, y R ) := 2P := P + P mit := 3x2 P + 2a 2x P + a 4 a 1 y P 2y P + a 1 x P + a 3 µ := x3 P + a 4x P + 2a 6 a 3 y P 2y P + a 1 x P + a 3 x R := 2 + a 1 a 2 x P x Q y R := ( + a 1 )x R µ a Wir setzen P +( P ) := ( P )+P := Œ. 5. Wir setzen P + Œ := Œ + P := P. Theorem 8. Sei E eine elliptische Kurve über dem Körper F. Dann bildet E bzgl. der Additionsvorschrift + eine kommutative Gruppe mit dem neutralen Element Œ.

4 66 michael braun Durch Transformation der Variablen kann die allgemeine Weierstraß sche Kurvengleichung vereinfacht werden. Dabei ergeben sich je nach zugrunde liegendem Körper F verschiedene Fälle. Wir betrachten zunächst den Fall F = R, d.h.elliptische Kurven über den reellen Zahlen. Die Gleichung ist nun y 2 = x 3 + ax + b mit Diskriminantenbedingung D = 16(4a b 2 ) = 0. Die Additionsvorschrift ergibt sich nach folgenden Regeln für Punkte P =(x P, y P ), Q =(x Q, y Q ) und R =(x R, y R ): 1. Der zu P inverse Punkt ist P =(x P, y P ). 2. Für P = ±Q ergibt sich R = P + Q mit 3 4 yq y 2 P x R := x P x Q x Q x P y R := y Q y P x Q x P (x P x R ) y P. 3. Für P = P ergibt sich R = 2P = P + P mit 3 3x x R := P + a 2x P 2y P y R := 3x2 P + a 2y P (x P x R ) y P. Geometrisch kann man die Addition sowie die Verdoppelung wie folgt beschreiben (siehe Abbildung 15): Addition R = P + Q: 1. Bilden eine Gerade g durch P und Q. 2. Ermitteln des Schnittpunktes S der Geraden g mit der elliptischen Kurve E. 3. Spiegeln des Punktes S an der x-achse. Der entsprechende Punkt ist die gesuchte Summe R = P + Q. Verdoppelung R = 2P = P + P :

5 public-key-algorithmen Bilden der Tangente g an den Punkt P. 2. Ermitteln des Schnittpunktes S der Geraden g mit der elliptischen Kurve E. 3. Spiegeln des Punktes S an der x-achse. Der entsprechende Punkt ist die gesuchte Summe R = 2P = P + P. y y Abbildung 15: Addition und Verdoppelung auf einer elliptischen Kurve Q = (x 2, y 2 ) P P = (x 1, y 1 ) Q x P = (x 1, y 1 ) P x R = (x 3, y 3 ) R R = (x 3, y 3 ) R + = + = Für kryptographische Anwendungen werden elliptische Kurven über einem endlichen Körper F q mit q Elementen betrachtet. Über einem Primkörper F p = Z p mit einer Primzahl p>3 ergeben sich dieselbe Kurvengleichung und Additionsvorschrift wie im bereits beschriebenen reellen Fall. Beispiel 11. Wir betrachten die elliptische Kurve E mit der Gleichung y 2 = x 3 + 2x + 4 über dem Körper F p = Z 7 und ermitteln alle Punkte auf E. Dazu gehen wir in zwei Schritten vor. Zuerst berechnen wir y 2 für alle möglichen Werte y œ F p, um die möglichen Quadrate zu bestimmen. Da die Gleichung y 2 =( y) 2 =(p y) 2 = gilt, können wir aus auf die Werte kleiner

6 68 michael braun gleich  p 2 Ê = 3 beschränken: 0 2 = = 1 = = 4 = = 2 = 4 2. Mögliche Quadrate sind also 0, 1, 2 und 4. Im nächsten Schritt berechnen wir x 3 + 2x + 4 für alle möglichen Werte x œ F p. Es gilt: = = = = = = = 1. Bis auf die x-werte 4 und 5 können mit den anderen x-werten passende Quadrate 0, 1, 2 oder 4 konstruiert werden. Entsprechend erhalten wir folgende Punkte auf der Kurve: (0, 2), (0, 5) (1, 0) (2, 3), (2, 4) (3, 3), (3, 4) (6, 1), (6, 6). Per Definition ist natürlich noch der Punkt Œ in E enthalten. Für die Addition R =(x R, y R )=P + Q der Punkte P =(0, 2)

7 public-key-algorithmen 69 und Q =(6, 1) gilt nach der angegebenen Additionsformel 3 4 yq y 2 P x R = x P x Q x Q x P = 0 6 = 1 6 = yq y P y R = (x P x R ) y R x Q x P Wir erhalten somit R =(2, 3). = 1( 2) 2 = 4 = 3. Neben den Primkörpern Z p spielen die binären Erweiterungskörper F 2 m = Z 2 [x] f(x) eine wichtige Rolle in der Kryptographie. Transformation der allgemeinen Weierstraß schen Gleichung (für a 1 = 0) liefert im Fall F 2 m folgende Kurvengleichung y 2 + xy = x 3 + ax 2 + b. Die Additionsvorschrift ergibt sich nach folgenden Regeln für Punkte P =(x P, y P ), Q =(x Q, y Q ) und R =(x R, y R ): 1. Der zu P inverse Punkt ist P =(x P, x P + y P ). 2. Für P = ±Q ergibt sich R = P + Q mit 3 4 yq + y 2 P x R := + y Q + y P + x x Q + x P x Q + P + x Q + a x P y R := y Q + y P x Q + x P (x P + x R )+x R + y P. 3. Für P = P ergibt sich R = 2P = P + P mit x R := x 2 P + b x 2 P 3 y R := x 2 P + x P + y 4 P x R + x R. x P Im weiteren Verlauf dieses Manuskriptes werden wir uns auf die Implementierung von elliptischen Kurven über den binären Erweiterungskörper beschäftigen. Die Anzahl der Punkte auf einer elliptischen Kurve über einem endlichen Körper lässt sich mit nach dem Theorem von Hasse abschätzen.

8 70 michael braun Theorem 9 (Hasse, 1933). Für die Anzahl der Punkte auf einer elliptischen Kurve E über F q gilt: E = q + 1 t mit t Æ2 Ô q. Ist die Ordnung q hinreichend groß, so können wir die Anzahl der Punkte auf E mit q abschätzen: E q.

9 Montgomery-Skalarmultiplikation In diesem Abschnitt betrachten wir die Skalarmultiplikation nach Montgomery und verfeinern diesen Ansatz für binäre elliptische Kurven. Algorithmus 20 (Montgomery-Leiter (allgemein)). Input: Punkt P und Skalar k = k 1...k 0 Output: kp, (k + 1)P 1 Q := Œ, R := P 2 for i := 1 downto 0 do 3 if k i = 1 then Q := Q + R, R := 2R 4 else R := R + Q, Q := 2Q 5 return Q, R Beweis. Die Korrektheit des Algorithmus kann man mittels Induktion nach der Anzahl n der bereits verarbeiten Stellen des Skalars zeigen. Sei dazu der Skalar k = k 1 k 2...k n k (n+1)...k 0 gegeben. Der Induktionsanfang beträgt n = 1. In diesem Fall ergibt sich der Skalar d = k 1. Falls k 1 = 1, so ergibt sich nach dem angegebenen Algorithmus das Ergebnis: Falls k 1 = 0, so ergibt sich: [Q, R] =[P,2P ]=[dp, (d + 1)P ]. [Q, R] =[Œ, P ]=[dp, (d + 1)P ]. In beiden Fällen berechnet der Algorithmus bei Eingabe des Skalars d die geforderten Werte [dp, (d + 1)P ].

10 72 michael braun Für den Induktionsschritt n æ n + 1 nehmen wir an, dass der Algorithmus bereits für den Skalar d = k 2...k n die geforderten Punkte [Q, R] =[dp, (d + 1)P ] berechnet hat. Wir nehmen nun ein weiteres Bit k (n+1) hinzu, d.h. wir betrachten den Skalar d Õ = k 2...k n k (n+1). Falls k (n+1) = 1, so gilt d Õ = 2d + 1 und es ergibt sich nach dem Algorithmus von Montgomery: [Q, R] =[dp +(d + 1)P,2(d + 1)P ] =[(2d + 1)P, (2d + 2)P ] =[d Õ P, (d Õ + 1)P ] Falls k (n+1) = 0, so gilt d Õ = 2d und es ergibt sich: [Q, R] =[2(dP ), (d + 1)P + dp ] =[(2d)P, (2d + 1)P ] =[d Õ P, (d Õ + 1)P ] Folglich berechnet der Algorithmus bei Eingabe des Skalars d Õ die geforderten Werte [d Õ P, (d Õ + 1)P ]. Insgesamt ist damit gezeigt, dass der Algorithmus nach Montgomery korrekt rechnet. Wir setzen nun die Formeln für die Addition und Verdoppelung auf binäre elliptische Kurven in den Algorithmus nach Montgomery ein und vereinfachen die Berechnung so weit wie möglich. Dazu setzen wir folgende Punkte voraus: P =(x P, y P ) Q =(x Q, y Q ) Q =(x Q, x Q + y Q ) R =(x R, y R )=P + Q S =(x S, y S )=2P D =(x D, y D )=P Q = P +( Q).

11 public-key-algorithmen 73 Aus der Formel für die Punktaddition ergibt sich 3 4 yp + x Q + y 2 Q x D = + y P + x Q + y Q + + a 3 4 yp + y 2 Q = + = x R + 3 xq 3 xq bzw. nach Auflösen nach x R : x R = x D y P + y Q + x Q +x x P + P +x Q +a x Q x Q 3 xq x Q. Kennt man also die x-koordinate der Di erenz P Q, so kann man die x-koordinate der Summe P + Q aus den x-koordinaten von P und Q bestimmen. Es werden keine y-koordinaten benötigt. Ersetzen wir nun jede x-koordinate durch zwei Werte (X, Z) mit der Eigenschaft x = X/Z = XZ 1 (diese Koordinaten werden projektive Koordinaten genannt), so erhalten wir x Q = X Q Z Q (X Q /Z Q + X P /Z P ) X Q = Z Q (X Q Z P + X P Z Q )/Z P Z Q X Q Z P = X Q Z P + X P Z Q bzw. nach Einsetzen in die Formel für x R : 3 4 X R X Q Z 2 P X Q Z P = x R = x D + + Z R X Q Z P + X P Z Q X Q Z P + X P Z Q 3 4 X Q Z 2 P = x D + + X QZ P (X Q Z P + X P Z Q ) X Q Z P + X P Z Q (X Q Z P + X P Z Q ) 2 = x D + X P Z Q X Q Z P (X Q Z P + X P Z Q ) 2 = x D(X Q Z P + X P Z Q ) 2 + X P Z Q X Q Z P (X Q Z P + X P Z Q ) 2. Trennen von Zähler und Nenner liefert X R = x D (X Q Z P + X P Z Q ) 2 + X P Z Q X Q Z P Z R =(X Q Z P + X P Z Q ) 2.

12 74 michael braun Für die beiden Formel verwenden wir im folgenden kurz die Schreibweise (X R, Z R ) := P ADD(x D, X P, Z P, X Q, Z Q ). Aus der Formel für die Punktverdoppelung erhalten wir X S Z S = x S = x 2 P + b x 2 P = X2 P Z 2 P + Z2 P b X 2 p = X4 P + Z4 P b XP 2. Z2 P Trennen von Zähler und Nenner liefert die Formeln X S = X 4 P + Z4 P b Z S = X 2 P Z2 P. Wir verwenden hierfür die Schreibweise (X S, Z S ) := PDOUBLE(b, X P, Z P ). Wir betrachten nun die Montgomery-Leiter: Wie wir bereits gezeigt haben, erfüllen die beiden Werte Q und R in jedem Schritt die Bedingung Q = dp und R =(d + 1)P. Demnach gilt für die Di erenz R Q =(d + 1)P dp = P bzw. die x-koordinate von R Q sowie von Q R ist genau x P. Folglich kennen wir in jeden Schritt der Algorithmus nach Montgomery die Di erenz von Q und R, so dass wir die P ADD-Formeln zur Addition von Q und R verwenden können. Wir erhalten folgende Version des Montgomery-Algorithmus. Algorithmus 21 (Montgomery-Leiter (projektiv)). Input: Punkt P =(x P, ), x P = 0 und Skalar k = k 1...k 0 Output: X kp, Z kp, X (k+1)p, Z (k+1)p mit x kp = X kp Z kp, x (k+1)p = X (k+1)p Z (k+1)p

13 public-key-algorithmen 75 1 X Q := 1, Z Q := 0, X R := x P, Z R := 1 2 for i := 1 downto 0 do 3 if k i = 1 then 4 (X Q, Z Q ) := P ADD(x P, X Q, Z Q, X R, Z R ) 5 (X R, Z R ) := PDOUBLE(b, X R, Z R ) 6 else 7 (X R, Z R ) := P ADD(x P, X R, Z R, X Q, Z Q ) 8 (X Q, Z Q ) := PDOUBLE(b, X Q, Z Q ) 9 return X Q, Z Q, X R, Z R Es ist zu bemerken, dass der unendlich ferne Punkt mit den projektiven Koordinaten X Q = 1 und Z Q = 0 initialisiert wird. Allgemeiner setzt man X Q = = 0 und Z Q = 0. Um nun zu überprüfen, dass diese Initialisierung sinnvoll und korrekt ist, müssen alle möglichen Fälle, bei denen der unendlich ferne Punkt während der Montgomery-Leiter auftreten kann, betrachtet werden. Es gilt frei Fälle. (1) Q ist der unendliche ferne Punkt, (2) R ist der unendlich ferne Punkt, oder (3) die Summe Q + R liefert den unendlich fernen Punkt. Es gilt immer Q = dp und Q =(d + 1)P für eine natürliche Zahl. Desweiteren sei n die Ordnung des Punktes P, d.h. es gilt np = Œ. 1. Im ersten Fall ist Q = Œ und R = P.DieSummeT muss dann also T = Q + R = P erfüllen. Die projektiven Koordinaten von Q und R sind von der Form X Q =, Z Q = 0, X R = x P µ, Z R = µ für Körperelemente, µ = 0. Nach den P ADD-Formeln ergibt sich für die projektiven Koordinaten X T = x P (X Q Z R + X R Z Q ) 2 + X R Z Q X Q Z R = x P ( µ) 2 Z T =(X Q Z R + X R Z Q ) 2 =( µ) 2. Folglich gilt x T = X T /Z T = x P, d.h. die Formel berechnet wirklich eine korrekte projektive x-koordinate für T = P. 2. Im zweiten Fall gilt Q =(n 1)P = P und R = np = Œ. Die Summe muss also T = Q + R = P erfüllen. Die

14 76 michael braun projektiven Koordinaten von Q und R sind von der Form X Q = x P, Z Q =, X R = µ, Z R = 0 für Körperelemente, µ = 0. Nach den P ADD-Formeln ergibt sich für die projektiven Koordinaten X T = x P (X Q Z R + X R Z Q ) 2 + X R Z Q X Q Z R = x P (x P µ) 2 Z T =(X Q Z R + X R Z Q ) 2 =(x P µ) 2. Da x P = 0 erhalten wir x T = X T /Z T = x P, d.h. die Formel berechnet wirklich eine korrekte projektive x-koordinate für T = P. 3. Im dritten Fall gilt T = Q + R = dp +(d + 1)P =(2d + 1)P = Œ. Dies gilt genau dann, wenn 2d + 1 = n für eine natürliche Zahl >0. Auflösen nach d ergibt d =( n 1)/2. DiePunkte Q und R erfüllen dann Q =[( n 1)/2]P =(1/2)( P ) und R =[( n + 1)/2]P =(1/2)P bzw. T = Q + R = 1 2 P P = Œ Sei nun P Õ ein Punkt auf der elliptischen Kurve mit 2P Õ = P bzw. P Õ = 1 2 P, dann gilt Q = P Õ und R = P Õ,bzw.in projektiven x-koordinaten X Q = x P Õ, Z Q =, X R = x P Õµ, Z R = µ für, µ = 0. Nach den P ADD-Formeln ergibt sich für die projektiven Koordinaten X T = x P (X Q Z R + X R Z Q ) 2 + X R Z Q X Q Z R =(x P Õ µ) 2 = 0 Z T =(X Q Z R + X R Z Q ) 2 = 0. Dies entspricht einer korrekten projektiven x- Koordinate für den unendlich fernen Punkt T = Œ. Wir haben gezeigt, dass der Algorithmus nach Montgomery projektive Koordinaten X kp, Z kp, X (k+1)p, Z (k+1)p für die Punkte kp und (k + 1)P berechnet und zwar aus der x-koordinate x P des Punktes P = (x P, y P ).Mitx kp = X kp /Z kp kann

15 public-key-algorithmen 77 aus diesen Koordinaten die x-koordinate von kp =(x kp, y kp ) berechnet werden. Abschließend werden wir nun zeigen, wie man die entsprechende y-koordinate aus den anderen gegebenen Werten berechnen kann. Grundlage für diese Berechnung ist das folgende Lemma. Lemma 7. Für Punkte P =(x P, y P ) und Q =(x Q, y Q ) gilt für die x-koordinate von R =(x R, y R )=P + Q die Gleichung x R = x P y Q + x Q y P + x P x 2 Q + x Qx 2 P ( ) 2. Beweis. Wir skizzieren kurz die Beweisidee. Dazu betrachen wir die Ausgangskurvengleichung y 2 + xy + x 3 = ax 2 + b und setzen die beiden Punkte P und Q ein y 2 P + x P y P + x 3 P = ax2 P + b y 2 Q + x Qy Q + x 3 Q = ax2 Q + b. Die Addition beider Gleichungen und Auflösen nach a ergibt a = y2 P + y2 Q + x P y P + y Q y Q + x 3 P + x3 Q ( ) 2 Einsetzen für a in die Additionsformel 3 4 yp + x Q + y 2 Q x R = + y P + x Q + y Q + + a bilden des Hauptnenners ( ) 2 ergibt die Behauptung. Verwenden wir nun diese Additionsformel und setzen x kp = X kp /Z kp und x (k+1)p = X (k+1)p /Z (k+1)p ein, so erhalten wir x (k+1)p = x P y kp + x kp y P + x P x 2 kp + x kp x 2 P (x P + x kp ) 2. Auflösen nach y kp und Umformen ergibt die y-koordinate von kp y kp = (x kp + x P )[(x kp + x P )(x (k+1)p + x P )+x 2 P + y P ] x P + y P.

16