ECDLP

Шаблон:Нет ссылок

ECDLP (Elliptic Curve Discrete Logarithm Problem) — задача дискретного логарифмирования в группе точек эллиптической кривой.

Пусть даны эллиптическая кривая E, конечно поле F_p и точки P, Q ∈ E(F_p). Задача ECDLP: найти такое k, если оно существует, что Q = [k]P.

Эллиптической кривой E над конечным полем F_p называется кривая вида (форма Вейерштрасса):

${\displaystyle E:Y^2=X^3+aX+b}$, где a, b ∈ F_p.

Набор точек на эллиптической кривой в поле F_p, включающий точку «бесконечность» (обозначается как Ο), образует конечную абелеву группу и обозначается как E(F_p).

Точка Q ∈E (F_p) называется обратной точкой к P ∈ E(F_p), если P + Q = Ο и обозначается как Q = -P.

Для натурального числа n и P ∈ E(F_p) будем считать:

${\displaystyle [n]P=\underset{n}{\underbrace{P+P+...+P}}}$

Записи [n]P и nP эквиваленты. Определение можно расширить для любого целого числа n, если использовать -P.

Порядком группы точек называется число N равное мощности множества E(F_p) и обозначается как |E(F_p)| = N. Обычно в эллиптической криптографии берутся кривые такие, что N = h * l, где h = 1, 2 или 4, а l — большое простое число.

Порядком точки P ∈ E(Fp) называется минимальное число s такое, что [s]P = Ο. При этом образуется подгруппа ${\displaystyle ⟨P⟩=\{[k]P:k=\overline{1,s}\}}$ и точка P называется генератором ${\displaystyle ⟨P⟩}$.

Является самой просто атакой в реализации. Необходимо только уметь делать операцию R = [k]P.

1. ${\displaystyle k:=1}$
2. ${\displaystyle R:=[k]P}$
3. if ${\displaystyle R=Q}$, then ${\displaystyle k}$ — решение
4. else ${\displaystyle k:=k+1}$; перейти к [2].

Сложность алгоритма: Ο(N).

Пусть G — подгруппа E(F_p), ${\displaystyle N=|G|={\displaystyle \prod _{i=1}^t}{p_i}^{e^i}}$ (то есть предполагается, что число N может быть факторизовано), ${\displaystyle P,Q\in G}$ и ${\displaystyle \mathrm{\exists }k:Q=[k]P}$.

Будем решать задачу о поиске k по модулю ${\displaystyle {p_i}^{e_i}}$, затем, используя китайскую теорему об остатках, найдем решение k по модулю N.

Из теории групп известно, что существует изоморфизм групп:

${\displaystyle \varphi :G\to C_{{p_1}^{e_1}}\otimes ...\otimes C_{{p_t}^{e_t}}}$

где ${\displaystyle C_{{p_i}^{e_i}}}$ — циклическая подгруппа G, ${\displaystyle |C_{{p_i}^{e_i}}|={p_i}^{e_i}}$

Тогда проекция ${\displaystyle \varphi }$ на ${\displaystyle C_{p^e}}$:

${\displaystyle {\varphi }_p=\{\begin{array}{c}G\to C_{p^e}\\ R⟼[\frac{N}{p^e}]R\end{array}}$

Следовательно, ${\displaystyle {\varphi }_p(Q)=[k]{\varphi }_p(P)}$ в ${\displaystyle C_{p^e}}$.

Покажем, как решить задачу в ${\displaystyle C_{p^e}}$, сведя её к решению ECDLP в ${\displaystyle C_p}$.

Пусть ${\displaystyle P,Q\in C_{p^e}}$ и ${\displaystyle \mathrm{\exists }k:Q=[k]P}$.

Число ${\displaystyle k}$ определено по модулю ${\displaystyle p^e}$. Тогда можно записать k в следующем виде:

${\displaystyle k=k_0+k_{1}p+...+k_{e-1}{p}^{e-1}}$

Найдем значения ${\displaystyle k_0,k_1,...}$ по индукции. Предположим, известно ${\displaystyle k^{\prime }}$ — значение ${\displaystyle kmod{p}^t}$, то есть

${\displaystyle k^{\prime }=k_0+...+k_{t-1}{p}^{t-1}}$

Теперь хотим определить ${\displaystyle k_t}$ и таким образом вычислить ${\displaystyle kmod{p}^{t+1}}$:

${\displaystyle k=k^{\prime }+p^t{k}^{″}}$

Тогда ${\displaystyle Q=[k^{\prime }]P+[k^{″}]([p^t]P)}$.

Пусть ${\displaystyle Q^{\prime }=Q-[k^{\prime }]P}$ и ${\displaystyle P^{\prime }=[p^t]P}$, тогда ${\displaystyle Q^{\prime }=[k^{″}]P^{\prime }}$

Теперь ${\displaystyle P^{\prime }}$ — элемент порядка ${\displaystyle p^{e-t}}$, чтобы получить элемент порядка ${\displaystyle p}$ и, следовательно, свести задачу в ${\displaystyle C_p}$ необходимо умножить предыдущее выражение на ${\displaystyle s=p^{e-t-1}}$. Т.о.

${\displaystyle Q^{″}=[s]Q^{\prime }}$ и ${\displaystyle P^{″}=[s]P^{\prime }}$

Получили ECDLP в поле ${\displaystyle C_p}$ в виде ${\displaystyle Q^{″}=[k_t]P^{″}}$.

Предполагая, что можно решить эту задачу в ${\displaystyle C_p}$, находим решение ${\displaystyle k}$ в ${\displaystyle C_{p^e}}$. Используя китайскую теорему об остатках, получаем решение ECDLP в ${\displaystyle E(F_p)}$.

Как говорилось выше, на практике берутся эллиптические кривые такие, что ${\displaystyle N=hl}$, где ${\displaystyle l}$ — очень большое простое число, что делает данный метод малоэффективным.

${\displaystyle Q=[k]P(mod1009)}$

${\displaystyle E:y^2\equiv x^3+71x+602(mod1009)}$

${\displaystyle P=(1,237),Q=(190,271)}$

${\displaystyle N=1060=2^2*5*53}$

${\displaystyle |⟨P⟩|=530=2*5*53}$

Шаг 1. Найти ${\displaystyle kmod2}$

• Находим проекции точек на ${\displaystyle C_2}$:

${\displaystyle P_2=265P=(50,0)}$

${\displaystyle Q_2=265Q=(50,0)}$

• Решаем ${\displaystyle Q_2=[k]P_2}$

${\displaystyle k\equiv 1(mod2)}$

Шаг 2. Найти ${\displaystyle kmod5}$

• Находим проекции точек на ${\displaystyle C_5}$:

${\displaystyle P_5=106P=(639,160)}$

${\displaystyle Q_5=106Q=(639,849)}$

• Решаем ${\displaystyle Q_5=[k]P_5}$

Заметим, что ${\displaystyle Q_5=-P_5}$, тогда ${\displaystyle k\equiv 4(mod5)}$

Шаг 3. Найти ${\displaystyle kmod53}$

• Находим проекции точек на ${\displaystyle C_{53}}$:

${\displaystyle P_{53}=10P=(32,737)}$

${\displaystyle Q_{53}=10Q=(592,97)}$

• Решаем ${\displaystyle Q_{53}=[k]P_{53}}$

${\displaystyle k\equiv 48(mod53)}$

Шаг 4. Найти ${\displaystyle kmod530}$

• Из китайской теоремы об остатках для значений, полученных на предыдущих шагах 1-3, имеем, что

${\displaystyle k\equiv 419(mod530)}$

Пусть ${\displaystyle G=⟨P⟩}$ — циклическая подгруппа ${\displaystyle E(F_p);|⟨P⟩|=l;Q\in G}$.

Представим ${\displaystyle k}$ в виде:

${\displaystyle k=k_0+k_1\lceil \sqrt{l}\rceil }$

Так как ${\displaystyle k\le l}$, то ${\displaystyle 0\le k_0,k_1<\lceil \sqrt{l}\rceil }$.

Вычисляем список «маленьких шагов» ${\displaystyle P_i=[i]P}$, ${\displaystyle 0\le i<\lceil \sqrt{l}\rceil }$ и сохраняем пары ${\displaystyle (P_i,i)}$.

Сложность вычислений: ${\displaystyle O(\lceil \sqrt{l}\rceil )}$.

Теперь вычисляем «большие шаги». Пусть ${\displaystyle P^{\prime }=[\lceil \sqrt{l}\rceil ]P}$, найдём ${\displaystyle Q_j=Q-[j]P^{\prime }}$, ${\displaystyle 0\le j<\lceil \sqrt{l}\rceil }$.

Во время поиска ${\displaystyle Q_j}$ пробуем найти среди сохранённых пар ${\displaystyle (P_i,i)}$ такую, что ${\displaystyle P_i=Q_j}$. Если удалось найти такую пару, то ${\displaystyle k_0=i,k_1=j}$.

Или, что то же самое:

${\displaystyle [i]P=Q-[j\lceil \sqrt{l}\rceil ]P,}$

${\displaystyle [i+j\lceil \sqrt{l}\rceil ]P=Q}$.

Сложность вычислений «больших шагов»:${\displaystyle O(\lceil \sqrt{l}\rceil )}$.

В таком случае общая сложность метода ${\displaystyle O(\sqrt{l})}$, но также требуется ${\displaystyle S(\sqrt{l})}$ памяти для хранения, что является существенным минусом алгоритма.

1. ${\displaystyle m:=\lceil \sqrt{l}\rceil }$
2. ${\displaystyle 𝐟𝐨𝐫i:=1𝐭𝐨m𝐝𝐨}$

   ${\displaystyle R:=[i]P}$

   сохранить ${\displaystyle (R,i)}$

3. ${\displaystyle 𝐟𝐨𝐫j:=1𝐭𝐨m𝐝𝐨}$

   ${\displaystyle T:=Q-[j\lceil \sqrt{l}\rceil ]P}$

   проверить ${\displaystyle T}$ в списке [2]

4. ${\displaystyle 𝐢𝐟T=R𝐭𝐡𝐞𝐧}$

   ${\displaystyle k:=i+j\lceil \sqrt{l}\rceil (modl)}$

   ${\displaystyle 𝐫𝐞𝐭𝐮𝐫𝐧k}$

Пусть ${\displaystyle G=⟨P⟩}$ — циклическая подгруппа ${\displaystyle E(F_p);|G|=r;Q\in G}$.

Основная идея метода — найти различные пары ${\displaystyle (c^{\prime },d^{\prime })}$ и ${\displaystyle (c^{″},d^{″})}$ по модулю ${\displaystyle r}$ такие, что ${\displaystyle [c^{\prime }]P+[d^{\prime }]Q=[c^{″}]P+[d^{″}]Q}$.

Тогда ${\displaystyle [c^{\prime }-c^{″}]P=[d^{″}-d^{\prime }]Q}$ или ${\displaystyle Q=\frac{c^{\prime }-c^{″}}{d^{″}-d^{\prime }}P(modr)}$. Следовательно, ${\displaystyle k\equiv \frac{c^{\prime }-c^{″}}{d^{″}-d^{\prime }}(modr)}$.

Чтобы реализовать эту идею, выберем случайную функцию для итераций ${\displaystyle f:G\to G}$, и случайную точку ${\displaystyle P_0}$ для начала обхода. Следующая точка вычисляется как ${\displaystyle P_{i+1}=f(P_i)}$.

Так как ${\displaystyle G}$ — конечная, то найдутся такие индексы ${\displaystyle i<j}$, что ${\displaystyle P_i=P_j}$.

Тогда ${\displaystyle P_{i+1}=f(P_i)=f(P_j)=P_{j+1}}$.

На самом деле ${\displaystyle P_{i+l}=P_{j+l}}$, для ${\displaystyle \mathrm{\forall }l\ge 0}$.

Тогда последовательность ${\displaystyle \{P_i\}}$ — периодична с периодом ${\displaystyle j-i}$ (см. рис).

Так как f случайная функция, то, согласно парадоксу дней рождения, совпадение случится примерно через ${\displaystyle \sqrt{\frac{\pi r}{2}}}$ итераций. Для ускорения поиска коллизий используется метод, придуманный Флойдом для поиска длины цикла: вычисляется сразу пара значений ${\displaystyle (P_i,P_{2i})}$ для ${\displaystyle i=1,2,...}$, пока не найдется совпадение.

1. Инициализация.

   Выбрать число ветвей L (обычно берётся 16)

   Выбрать функцию ${\displaystyle H:⟨P⟩\to 1,2,...,L}$

2. Вычисление ${\displaystyle [a_i]P+[b_i]Q}$.

   ${\displaystyle 𝐟𝐨𝐫i:=1𝐭𝐨L𝐝𝐨}$

   Взять случайные ${\displaystyle a_i,b_i\in [0,r-1]}$

   ${\displaystyle R_i:=[a_i]P+[b_i]Q}$

3. Вычисление ${\displaystyle [c^{\prime }]P+[d^{\prime }]Q}$.

   Взять случайные ${\displaystyle c^{\prime },d^{\prime }\in [0,r-1]}$

   ${\displaystyle X^{\prime }:=[c^{\prime }]P+[d^{\prime }]Q}$

4. Подготовка к циклу.

   ${\displaystyle X^{″}:=X^{\prime },c^{″}:=c^{\prime },d^{″}:=d^{\prime }}$

5. Цикл.

   ${\displaystyle 𝐫𝐞𝐩𝐞𝐚𝐭}$

   ${\displaystyle j:=H(X^{\prime })}$

   ${\displaystyle X^{\prime }:=X^{\prime }+R_j}$

   ${\displaystyle c^{\prime }:=c^{\prime }+a_j(modr)}$

   ${\displaystyle d^{\prime }:=d^{\prime }+b_j(modr)}$

   ${\displaystyle 𝐟𝐨𝐫i:=1𝐭𝐨2𝐝𝐨}$

   ${\displaystyle j:=H(X^{″})}$

   ${\displaystyle X^{″}:=X^{″}+R_j}$

   ${\displaystyle c^{″}:=c^{″}+a_j(modr)}$

   ${\displaystyle d^{″}:=d^{″}+b_j(modr)}$

   ${\displaystyle 𝐮𝐧𝐭𝐢𝐥X^{\prime }=X^{″}}$

6. Выход.

   ${\displaystyle 𝐢𝐟d^{\prime }\ne d^{″}𝐭𝐡𝐞𝐧}$

   ${\displaystyle k\equiv \frac{c^{\prime }-c^{″}}{d^{″}-d^{\prime }}(modr)}$

   ${\displaystyle 𝐞𝐥𝐬𝐞}$ ОШИБКА или запустить алгоритм ещё раз.

Сложность алгоритма: ${\displaystyle O(\sqrt{r})}$.

${\displaystyle Q=[k]P(mod229)}$

${\displaystyle E:y^2\equiv x^3+x+44(mod229)}$

${\displaystyle P=(5,116),Q=(155,166)}$

${\displaystyle |⟨P⟩|=239}$

Шаг 1.Определить функцию.

• ${\displaystyle H:⟨P⟩\to 1,2,3,4}$
• ${\displaystyle H(x,y)=(xmod4)+1}$
• ${\displaystyle (a_1,b_1,R_1)=(79,163,(135,117))}$
• ${\displaystyle (a_2,b_2,R_2)=(206,19,(96,97))}$
• ${\displaystyle (a_3,b_3,R_3)=(87,109,(84,62))}$
• ${\displaystyle (a_4,b_4,R_4)=(219,68,(72,134))}$

Шаг 2. Итерации.

${\displaystyle \begin{array}{ccccccc}Iteration& c^{\prime }& d^{\prime }& [c^{\prime }]P+[d^{\prime }]Q& c^{″}& d^{″}& [c^{″}]P+[d^{″}]Q\\ 0& 54& 175& (39,159)& 54& 175& (39,159)\\ 1& 34& 4& (160,9)& 113& 167& (130,182)\\ 2& 113& 167& (130,182)& 180& 105& (36,97)\\ 3& 200& 37& (27,17)& 0& 97& (108,89)\\ 4& 180& 105& (36,97)& 46& 40& (223,153)\\ 5& 20& 29& (119,180)& 232& 127& (167,57)\\ 6& 0& 97& (108,89)& 192& 24& (57,105)\\ 7& 79& 21& (81,168)& 139& 111& (185,227)\\ 8& 46& 40& (223,153)& 193& 0& (197,92)\\ 9& 26& 108& (9,18)& 140& 87& (194,145)\\ 10& 232& 127& (167,57)& 67& 120& (223,153)\\ 11& 212& 195& (75,136)& 14& 207& (167,57)\\ 12& 192& 24& \mathbf{(}\mathrm{𝟓}\mathrm{𝟕},\mathrm{𝟏}\mathrm{𝟎}\mathrm{𝟓}\mathbf{)}& 213& 104& \mathbf{(}\mathrm{𝟓}\mathrm{𝟕},\mathrm{𝟏}\mathrm{𝟎}\mathrm{𝟓}\mathbf{)}\end{array}}$

Шаг 3. Обнаружение коллизии.

• При ${\displaystyle i=12}$: ${\displaystyle [192]P+[24]Q=[213]P+[104]Q=(57,105)}$
• Получаем, что ${\displaystyle k\equiv \frac{192-213}{104-24}\equiv 176(mod229)}$

Болотов, А. А., Гашков, С. Б., Фролов, А. Б., Часовских, А. А. Элементарное введение в эллиптическую криптографию: Алгебраические и алгоритмические основы. — М. : КомКнига, 2006. — С. 328. — ISBN 5-484-00443-8.

Болотов, А. А., Гашков, С. Б., Фролов, А. Б., Часовских, А. А. Элементарное введение в эллиптическую криптографию: Протоколы криптографии на эллиптических кривых. — М. : КомКнига, 2006. — С. 280. — ISBN 5-484-00444-6.

Galbraith, S.D., Smart, N.P. EVALUATION REPORT FOR CRYPTREC: SECURITY LEVEL OF CRYPTOGRAPHY — ECDLP MATHEMATICAL PROBLEM.

Song Y. Yan Quantum Attacks on ECDLP-Based Cryptosystems. — Springer US, 2013 — ISBN 978-1-4419-7721-2