Дискретное логарифмирование на эллиптической кривой

Дискретное логарифмирование на эллиптической кривой — решение уравнения ${\displaystyle S=nT(\mathrm{mod}m)}$ относительно ${\displaystyle n}$ при известных ${\displaystyle S}$ и ${\displaystyle T}$, где ${\displaystyle S,T}$ — точки, принадлежащие эллиптической кривой и являющиеся зашифрованным сообщением и начальной точкой соответственно^[1]. Иначе говоря — это метод взлома системы безопасности, основанной на данной эллиптической кривой (например российский стандарт ЭП ГОСТ Р 34.10-2012^[2]), и нахождения секретного ключа.

Эллиптическая криптография относится к разряду асимметричной, то есть шифрование происходит с помощью открытого ключа. Впервые этот алгоритм был независимо предложен Нилом Коблицем и Шаблон:Iw в 1985 году^[3]. Это было обосновано тем, что дискретный логарифм на эллиптической кривой оказался сложнее классического дискретного логарифма на конечном поле. До сих пор не существует быстрых алгоритмов взлома сообщения, зашифрованного с помощью эллиптической кривой, в общем случае. В основном уязвимости таких шифров связаны с рядом недочетов при подборе начальных данных^[4].

Данный метод основан на сведении дискретного логарифма на эллиптической кривой к дискретному логарифму в конечном поле с некоторым расширением поля, на котором была задана эллиптическая кривая. Это значительно облегчает задачу, так как на данный момент существуют достаточно быстрые субэкспоненциальные алгоритмы решения дискретного логарифма, имеющие сложность ${\displaystyle O(\exp \left(c{(\ln p)}^k{(\ln \ln p)}^{k-1}\right))}$, или ${\displaystyle \rho }$-алгоритм Полларда со сложностью ${\displaystyle O(\sqrt{\pi p/2})}$, разработанные для конечных полей^[5].

Пусть ${\displaystyle E}$ — эллиптическая кривая, заданная в форме Вейерштрасса, над конечным полем ${\displaystyle F_q}$ порядка ${\displaystyle q}$:

Шаблон:Формула

Предположим, что коэффициенты ${\displaystyle a_i\in F_q}$ таковы, что кривая не имеет особенностей. Точки кривой ${\displaystyle E}$ вместе с бесконечноудаленной точкой ${\displaystyle P_{\mathrm{\infty }}}$, которая является нулевым элементом, образуют коммутативную группу, записывающуюся аддитивно, то есть для ${\displaystyle \mathrm{\forall }A,B\in E(F_q),A+B=B+A=C\in E(F_q)}$. Также известно, что если ${\displaystyle F_q}$ — конечное поле, то порядок такой группы ${\displaystyle N_q}$ по теореме Хассе будет удовлетворять уравнению ${\displaystyle |N_q-q-1|\le 2\sqrt{q}}$.

Пусть ${\displaystyle E(F_{q^{\prime }})}$ — подгруппа точек ${\displaystyle E}$, определённых над ${\displaystyle F_{q^{\prime }}\supseteq F_q}$. Следовательно, ${\displaystyle E(F_{q^{\prime }})}$ — конечная коммутативная группа. Возьмем точку ${\displaystyle P\in E(F_q)}$, порождающую циклическую группу порядка ${\displaystyle m}$. То есть ${\displaystyle |⟨P⟩|=m}$^[1].

Задача вычисления дискретных логарифмов в ${\displaystyle ⟨P⟩}$ заключается в следующем. Для данной точки ${\displaystyle Q\in ⟨P⟩}$ найти ${\displaystyle n(\mathrm{mod}m)}$ такое, что ${\displaystyle nP=Q}$.

Задача вычисления дискретных логарифмов в конечном поле ${\displaystyle F_q}$ заключается в следующем. Пусть ${\displaystyle \alpha }$ — примитивный элемент поля ${\displaystyle F_q}$. Для данного ненулевого ${\displaystyle \beta }$ найти ${\displaystyle n(\mathrm{mod}(q-1))}$ такое, что ${\displaystyle {\alpha }^n=\beta }$^[6].

Пусть НОК${\displaystyle (m,q)=1}$ и расширение поля ${\displaystyle F_{q^{\prime }}\supseteq F_q}$ такое, что ${\displaystyle E(F_{q^{\prime }})}$ содержит подгруппу кручения ${\displaystyle E[m]}$, изоморфную ${\displaystyle \mathbb{Z}/m\times \mathbb{Z}/m}$, то есть ${\displaystyle E[m]=\{P,T\in E(F_{q^{\prime }}):mP=0,mT=0\}}$. Известно, что такое расширение существует^[7]. Из этого следует, что ${\displaystyle q^{\prime }=q^k}$ для некоторого ${\displaystyle k⩾1}$. В этом случае будет выполняться следующая теорема, позволяющая перейти к дискретному логарифму в расширенном конечном поле^[6]:

Пусть задана точка ${\displaystyle T\in E(F_{q^{\prime }})}$ такая, что ${\displaystyle ⟨P,T⟩=E[m]}$. Тогда сложность вычисления дискретных логарифмов в группе ${\displaystyle ⟨P⟩}$ не больше сложности вычисления дискретных логарифмов в ${\displaystyle F_{q^{\prime }}}$.

Чтобы воспользоваться данной теоремой, необходимо знать степень ${\displaystyle k}$ расширения поля ${\displaystyle F_{q^{\prime }}}$ над ${\displaystyle F_q}$ и точку ${\displaystyle T}$, для которой ${\displaystyle ⟨P,T⟩=E[m]}$^[6].

Для суперсингулярной кривой ${\displaystyle E}$, ${\displaystyle k}$ и ${\displaystyle T}$ легко находятся, при этом ${\displaystyle k\le 6}$. Это было установлено Альфредом Менезесом, Окамото Тацуаки и Скоттом Ванстоуном в 1993 году. В своей статье они описали вероятностный алгоритм вычисления вспомогательной точки ${\displaystyle T}$, среднее время работы которого ограничено полиномом от ${\displaystyle \log q^{\prime }}$^[4].

Пусть ${\displaystyle G}$ — максимальная подгруппа ${\displaystyle E(F_{q^{\prime }})}$, порядок элементов которой является произведением простых множителей ${\displaystyle m}$. Таким образом, ${\displaystyle E[m]\subseteq G}$ и ${\displaystyle G=\mathbb{Z}/m_1\times \mathbb{Z}/m_2}$, где ${\displaystyle m}$ делит ${\displaystyle m_1}$ и ${\displaystyle m_2}$. При этом ${\displaystyle m_1\ne m_2}$ (в случае ${\displaystyle m_1=m_2}$, под нахождение точки ${\displaystyle T}$ можно адаптировать метод для суперсингулярных кривых^[6]). Пусть ${\displaystyle l}$ — минимальное натуральное число, для которого выполняется ${\displaystyle q^l\equiv 1(\mathrm{mod}m)}$.

Пусть НОК${\displaystyle (m,q-1)=1}$. Тогда ${\displaystyle k=l}$ и если известно разложение ${\displaystyle m}$ на простые множители, то имеется вероятностный алгоритм вычисления точки ${\displaystyle T\in E(F_{q^{\prime }})}$, для которой ${\displaystyle ⟨P,T⟩=E[m]}$. Среднее время работы алгоритма равно ${\displaystyle O(lo{g}^c{q}^{\prime })}$ операций в поле ${\displaystyle F_{q^{\prime }}}$ для некоторой постоянной ${\displaystyle c}$ и ${\displaystyle m\to \mathrm{\infty }}$.

В случаях, когда НОК${\displaystyle (m,q-1)\ne 1}$, алгоритм работает слишком медленно, либо не работает вовсе^[6].

• Дискретное логарифмирование
• Эллиптическая криптография
• Теория групп

Шаблон:Примечания

Теория

• Шаблон:Статья
  • Дополнение: Шаблон:Статья
• Шаблон:Статья

История

• Шаблон:Книга

Шаблон:Добротная статья