Дискретне логарифмування на еліптичній кривій

Дискретне логарифмування на еліптичній кривій — розв'язування рівняння ${\displaystyle S=nT(\mathrm{mod}m)}$ відносно ${\displaystyle n}$ за відомих ${\displaystyle S}$ і ${\displaystyle T}$, де ${\displaystyle S,T}$ — точки, що належать еліптичній кривій і є зашифрованим повідомленням і початковою точкою відповідно^[1]. Інакше кажучи, це метод злому системи безпеки, заснованої на даній еліптичній кривій (наприклад, російський стандарт ЕП ГОСТ Р 34.10-2012), та знаходження секретного ключа.

Еліптична криптографія відноситься до асиметричної криптографії, тобто шифрування відбувається за допомогою відкритого ключа. Вперше цей алгоритм 1985 року незалежно запропонували Шаблон:Нп та Шаблон:Не перекладено^[2]. Це було обґрунтовано тим, що дискретний логарифм на еліптичній кривій виявився складнішим від класичного дискретного логарифму на скінченному полі. Донині немає швидких алгоритмів зламу повідомлення, зашифрованого за допомогою еліптичної кривої, у загальному випадку. Вразливості таких шифрів пов'язані переважно з низкою недоліків при доборі початкових даних^[3].

Метод ґрунтується на зведенні дискретного логарифму на еліптичній кривій до дискретного логарифму в скінченному полі з деяким розширенням поля, на якому задано еліптичну криву. Це значно полегшує задачу, оскільки існують досить швидкі субекспоненційні алгоритми розв'язування дискретного логарифму, які мають складність ${\displaystyle O(\exp \left(c{(\ln p)}^k{(\ln \ln p)}^{k-1}\right))}$, або ${\displaystyle \rho }$ -алгоритм Полларда зі складністю ${\displaystyle O(\sqrt{\pi p/2})}$, розроблені для скінченних полів^[4].

Нехай ${\displaystyle E}$ — еліптична крива, задана у формі Веєрштраса, над скінченним полем ${\displaystyle F_q}$ порядку ${\displaystyle q}$: Шаблон:Рівняння

Припустимо, що коефіцієнти ${\displaystyle a_i\in F_q}$ такі, що крива немає особливостей. Точки кривої ${\displaystyle E}$ разом із нескінченно віддаленою точкою ${\displaystyle P_{\mathrm{\infty }}}$, яка є нульовим елементом, утворюють комутативну групу, записувану адитивно, тобто для ${\displaystyle \mathrm{\forall }A,B\in E(F_q),A+B=B+A=C\in E(F_q)}$. Також відомо, що якщо ${\displaystyle F_q}$ — скінченне поле, то порядок такої групи ${\displaystyle N_q}$ за теоремою Гассе задовольнятиме рівняння ${\displaystyle |N_q-q-1|\le 2\sqrt{q}}$.

Нехай ${\displaystyle E(F_{q^{\prime }})}$ — підгрупа точок ${\displaystyle E}$, визначених над ${\displaystyle F_{q^{\prime }}\supseteq F_q}$. Отже, ${\displaystyle E(F_{q^{\prime }})}$ — скінченна комутативна група. Візьмемо точку ${\displaystyle P\in E(F_q)}$, що породжує циклічну групу порядку ${\displaystyle m}$. Тобто ${\displaystyle |⟨P⟩|=m}$^[1].

Задача обчислення дискретних логарифмів ${\displaystyle ⟨P⟩}$ полягає в тому, щоб для цієї точки ${\displaystyle Q\in ⟨P⟩}$ знайти ${\displaystyle n(\mathrm{mod}m)}$ таке, що ${\displaystyle nP=Q}$.

Завдання обчислення дискретних логарифмів у скінченному полі ${\displaystyle F_q}$ полягає в такому. Нехай ${\displaystyle \alpha }$ — примітивний елемент поля ${\displaystyle F_q}$. Для даного ненульового ${\displaystyle \beta }$ знайти ${\displaystyle n(\mathrm{mod}(q-1))}$ таке, що ${\displaystyle {\alpha }^n=\beta }$^[5].

Нехай НСК ${\displaystyle (m,q)=1}$ та розширення поля ${\displaystyle F_{q^{\prime }}\supseteq F_q}$ таке, що ${\displaystyle E(F_{q^{\prime }})}$ містить підгрупу кручення ${\displaystyle E[m]}$, ізоморфну ${\displaystyle \mathbb{Z}/m\times \mathbb{Z}/m}$, тобто ${\displaystyle E[m]=\{P,T\in E(F_{q^{\prime }}):mP=0,mT=0\}}$. Відомо, що таке розширення існує^[6]. З цього випливає, що ${\displaystyle q^{\prime }=q^k}$ для деякого ${\displaystyle k⩾1}$. У цьому випадку виконуватиметься така теорема, що дозволяє перейти до дискретного логарифму в розширеному скінченному полі^[5]:

Нехай задано точку ${\displaystyle T\in E(F_{q^{\prime }})}$ таку, що ${\displaystyle ⟨P,T⟩=E[m]}$. Тоді складність обчислення дискретних логарифмів у групі ${\displaystyle ⟨P⟩}$ не вища від складності обчислення дискретних логарифмів у ${\displaystyle F_{q^{\prime }}}$.

Щоб скористатися цією теоремою, необхідно знати степінь ${\displaystyle k}$ розширення поля ${\displaystyle F_{q^{\prime }}}$ над ${\displaystyle F_q}$ і точку ${\displaystyle T}$, для якої ${\displaystyle ⟨P,T⟩=E[m]}$^[5].

Для суперсингулярної кривої ${\displaystyle E}$, ${\displaystyle k}$ і ${\displaystyle T}$ легко знайти, при цьому ${\displaystyle k\le 6}$. Це 1993 року встановили Шаблон:Нп, Окамото Тацуакі та Шаблон:Нп. У статті вони описали ймовірнісний алгоритм обчислення допоміжної точки ${\displaystyle T}$, середній час роботи якого обмежено поліномом від ${\displaystyle \log q^{\prime }}$^[3].

Нехай ${\displaystyle G}$ — максимальна підгрупа ${\displaystyle E(F_{q^{\prime }})}$ порядок елементів якої є добутком простих множників ${\displaystyle m}$. Таким чином, ${\displaystyle E[m]\subseteq G}$ і ${\displaystyle G=\mathbb{Z}/m_1\times \mathbb{Z}/m_2}$, де ${\displaystyle m}$ ділить ${\displaystyle m_1}$ і ${\displaystyle m_2}$. При цьому ${\displaystyle m_1\ne m_2}$ (в разі ${\displaystyle m_1=m_2}$, під знаходження точки ${\displaystyle T}$ можна адаптувати метод для суперсингулярних кривих^[5]). Нехай ${\displaystyle l}$ — найменше натуральне число, для якого виконується ${\displaystyle q^l\equiv 1(\mathrm{mod}m)}$.

Нехай НСК ${\displaystyle (m,q-1)=1}$. Тоді ${\displaystyle k=l}$ і, якщо відомий розклад ${\displaystyle m}$ на прості множники, то є ймовірнісний алгоритм обчислення точки ${\displaystyle T\in E(F_{q^{\prime }})}$, для якої ${\displaystyle ⟨P,T⟩=E[m]}$. Середній час роботи алгоритму дорівнює ${\displaystyle O(lo{g}^c{q}^{\prime })}$ операцій у полі ${\displaystyle F_{q^{\prime }}}$ для деякого сталого ${\displaystyle c}$ і ${\displaystyle m\to \mathrm{\infty }}$.

У випадках, коли НСК ${\displaystyle (m,q-1)\ne 1}$, алгоритм працює надто повільно, або не працює зовсім^[5].

• Дискретний логарифм
• Еліптична криптографія
• Теорія груп

Шаблон:Примітки

Теорія

• Шаблон:Стаття
  • Доповнення: Шаблон:Стаття
• Шаблон:Стаття

Історія

• Шаблон:Книга