WikiDer > Криптография с гиперэллиптической кривой
Криптография с гиперэллиптической кривой похоже на криптография на основе эллиптических кривых (ECC), поскольку Якобиан из гиперэллиптическая кривая является абелева группа в котором выполняется арифметика, так же, как мы используем группу точек на эллиптической кривой в ECC.
Определение
An (мнимая) гиперэллиптическая кривая из род над полем дается уравнением куда является многочленом степени не выше и - монический многочлен степени . Из этого определения следует, что эллиптические кривые - это гиперэллиптические кривые рода 1. В криптографии гиперэллиптических кривых часто бывает конечное поле. Якобиан , обозначенный , это факторгруппа, поэтому элементы якобиана не являются точками, они являются классами эквивалентности делители степени 0 по отношению линейная эквивалентность. Это согласуется со случаем эллиптической кривой, поскольку можно показать, что якобиан эллиптической кривой изоморфен группе точек на эллиптической кривой.[1] Использование гиперэллиптических кривых в криптографии появилось в 1989 г. Нил Коблитц. Несмотря на то, что они были введены всего через 3 года после ECC, не многие криптосистемы реализуют гиперэллиптические кривые, поскольку реализация арифметики не так эффективна, как в криптосистемах, основанных на эллиптических кривых или факторизации (ЮАР). Эффективность реализации арифметики зависит от лежащего в основе конечного поля , на практике оказывается, что конечные поля характеристика 2 - хороший выбор для аппаратной реализации, в то время как программное обеспечение обычно быстрее по нечетным характеристикам.[2]
Якобиан на гиперэллиптической кривой является абелевой группой и, как таковой, может служить группой для задача дискретного логарифмирования (DLP). Короче говоря, предположим, что у нас есть абелева группа и элемент , DLP на влечет за собой нахождение целого числа учитывая два элемента , а именно и . Первым типом использованной группы была мультипликативная группа конечного поля, позже стали использоваться также якобианы (гипер) эллиптических кривых. Если гиперэллиптическая кривая выбрана с осторожностью, то Ро метод Полларда это самый эффективный способ решить проблему DLP. Это означает, что если в якобиане элементы, что время работы экспоненциально в . Это дает возможность использовать якобианы достаточно малого порядок, что делает систему более эффективной. Но если гиперэллиптическая кривая выбрана неудачно, DLP станет довольно легко решить. В этом случае известны атаки, которые более эффективны, чем универсальные решатели дискретного логарифмирования.[3] или даже субэкспоненциальный.[4] Следовательно, этих гиперэллиптических кривых следует избегать. Рассматривая различные атаки на DLP, можно перечислить особенности гиперэллиптических кривых, которых следует избегать.
Атаки на DLP
Все общие атаки на задача дискретного логарифмирования в конечных абелевых группах, таких как Алгоритм Полига – Хеллмана и Ро метод Полларда может использоваться для атаки на DLP в якобиане гиперэллиптических кривых. Атака Полига-Хеллмана снижает сложность DLP, глядя на порядок группы, с которой мы работаем. Предположим, что группа что используется элементы, где разложение на простые множители . Pohlig-Hellman снижает DLP в к DLP в подгруппах порядка за . Таким образом, для наибольший простой делитель , DLP в так же сложно решить, как DLP в подгруппе порядка . Поэтому мы хотели бы выбрать такой, что наибольший простой делитель из почти равно сам. Требуется обычно хватает.
В алгоритм расчета индекса - еще один алгоритм, который можно использовать для решения проблемы DLP при определенных обстоятельствах. Для якобианов (гипер) эллиптических кривых существует атака исчисления индексов на DLP. Если род кривой становится слишком высоким, атака будет более эффективной, чем ро Полларда. Сегодня известно, что даже род не может гарантировать безопасность.[5] Таким образом, у нас остаются эллиптические кривые и гиперэллиптические кривые рода 2.
Еще одно ограничение на гиперэллиптические кривые, которое мы можем использовать, связано с атакой Менезеса-Окамото-Ванстона / атаки Фрея-Рюк. Первый, часто называемый сокращенно MOV, был разработан в 1993 году, второй появился в 1994 году. Рассмотрим (гипер) эллиптическую кривую. над конечным полем куда это степень простого числа. Предположим, что якобиан кривой имеет элементы и является наибольшим простым делителем . За наименьшее положительное целое число такое, что существует вычислимая инъективный групповой гомоморфизм из подгруппы порядка к . Если маленький, мы можем решить DLP за с помощью атаки исчисления индекса в . Для произвольных кривых очень большой (размером с ); так что даже несмотря на то, что атака исчисления индекса довольно быстра для мультипликативных групп конечных полей, эта атака не представляет угрозы для большинства кривых. Инъективная функция, используемая в этой атаке, - это спаривание и есть некоторые приложения в криптографии, которые их используют. В таких приложениях важно сбалансировать жесткость DLP в и ; в зависимости от уровень безопасности ценности от 6 до 12. Подгруппа это тор. Существует независимое использование в криптография на основе тора.
У нас тоже есть проблема, если , наибольший простой делитель порядка якобиана, равен характеристике Затем с помощью другого инъективного отображения мы могли бы рассматривать DLP в аддитивной группе вместо DLP на якобиане. Однако, как легко видеть, DLP в этой аддитивной группе решить тривиально. Таким образом, эти кривые, называемые аномальными кривыми, не должны использоваться в DLP.
Орден якобиана
Следовательно, чтобы выбрать хорошую кривую и хорошее основное конечное поле, важно знать порядок якобиана. Рассмотрим гиперэллиптическую кривую рода над полем куда является степенью простого числа и определим в качестве но теперь над полем . Это можно показать [6] что порядок якобиана лежит в интервале , называемый интервалом Хассе-Вейля. Но есть еще кое-что, мы можем вычислить порядок, используя дзета-функцию на гиперэллиптических кривых. Позволять быть количеством очков на . Затем мы определяем дзета-функцию в качестве . Для этой дзета-функции можно показать [7] который куда является многочленом степени с коэффициентами в . более того факторы как куда для всех . Здесь обозначает комплексно сопряженный из . Наконец, у нас есть порядок равно . Следовательно, порядки якобианов можно найти, вычислив корни .
Рекомендации
- ^ Дешен, Изабель (2007). «Группа Пикард, или как построить группу из набора» (PDF). Учебное пособие по криптографии с эллиптическими и гиперэллиптическими кривыми, 2007 г..
- ^ Gaudry, P .; Любич, Д. (2009). «Арифметика характеристических поверхностей Куммера 2 и эллиптических линий Куммера». Конечные поля и их приложения. 15 (2): 246–260. Дои:10.1016 / j.ffa.2008.12.006.
- ^ Тьериолт, Н. (2003). "Атака индексного исчисления гиперэллиптических кривых малого рода". Достижения в криптологии - ASIACRYPT 2003. Нью-Йорк: Спрингер. ISBN 978-3540406747.
- ^ Энге, Андреас (2002). "Вычисление дискретных логарифмов гиперэллиптических якобианов высокого рода за доказуемо субэкспоненциальное время". Математика вычислений. 71 (238): 729–742. Дои:10.1090 / S0025-5718-01-01363-1.
- ^ Джаспер Шолтен и Фредерик Веркаутерен, Введение в криптографию на эллиптических и гиперэллиптических кривых и криптосистему NTRU, раздел 4
- ^ Альфред Дж. Менезес, И-Хонг Ву, Роберт Дж. Цуккерато, Элементарное введение в гиперэллиптические кривые, стр.30
- ^ Альфред Дж. Менезес, И-Хонг Ву, Роберт Дж. Цуккерато, Элементарное введение в гиперэллиптические кривые, стр.29
внешняя ссылка
- Colm Ó hÉigeartaigh Реализация некоторых алгоритмов гиперэллиптических кривых с помощью МИРАКЛ