Научная статья на тему 'Эффективные алгоритмы вычислений на суперэллиптических кривых'

Эффективные алгоритмы вычислений на суперэллиптических кривых Текст научной статьи по специальности «Математика»

CC BY
104
42
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КРИПТОГРАФИЯ / АЛГЕБРАИЧЕСКИЕ КРИВЫЕ / СУПЕРЭЛЛИПТИЧЕСКИЕ КРИВЫЕ / ФУНКЦИОНАЛЬНЫЕ ПОЛЯ.

Аннотация научной статьи по математике, автор научной работы — Пузаков Александр Васильевич

Представлены базовые алгоритмы арифметики суперэллиптических кривых и оптимальные параметры суперэллиптических кривых пригодных для криптографии

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Пузаков Александр Васильевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Represents basics algorithms of arithmetics superelliptic curves and optimal parameters superelliptic curve suitable for cryptography

Текст научной работы на тему «Эффективные алгоритмы вычислений на суперэллиптических кривых»

58

УДК 511.6

А. В. Пузаков

ЭФФЕКТИВНЫЕ АЛГОРИТМЫ ВЫЧИСЛЕНИЙ НА СУПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ

Представлены базовые алгоритмы арифметики суперэллиптических кривых и оптимальные параметры суперэллиптических кривых пригодных для криптографии.

Represents basics algorithms of arithmetics superelliptic curves and optimal parameters superelliptic curve suitable for cryptography.

Ключевые слова: криптография, алгебраические кривые, суперэллиптические кривые, функциональные поля.

Key words: cryptography, algebraic curves, superelliptic curves, functional fields.

Современная криптография — это баланс между стойкостью и быстродействием при минимальных затратах памяти. Такие ограничения в первую очередь вводят чипированные банковские карты [1]. Больших успехов на этом направлении добилась криптография с открытым ключом основанная на эллиптической кривой ANSI X9.62 и X9.63 [2]. В 2000 году [3] был предложен новый тип кривых вида

С : yn = c(х). (1)

Такой вид кривых называют суперэллиптическими.

Развитие алгебры суперэллиптических кривых обусловлено большой степени свободы при задании кривой. Необходимо вычислять дивизоры точек и якобиан, а также иметь хорошее представление идеалов. Все это — мощный инструмент для разработки криптосистем. К сожалению, на сегодня практическая реализация криптосистемы на СЭК отсутствует, в печати даются лишь теоретические оценки, что свидетельствует о недостаточной разработке данного направления [5].

Суперэллиптические кривые обладают набором свойств [2]: 1. С не сингулярная аффинная кривая. 2. Существует только одна точка Рш .

з. Род кривой С 0,5(v-1 )(8-1). 4. Целое замыкание k[х] в функциональном поле k(С) О := к[|, у] /(yv-%(^)).

Хорошо известен факт из теории дедекиндовых колец, что любой целый идеал K [ С ] порождается полиномом из К [ S ] и вторым полиномом из К [ X ]. Таким образом, любой редуцированный К-рациональ-ный дивизор D можно записать в виде Д = 8vra (и, рТ2 + стТ + т), где

и, р, ст, т е К[^], 8еур, 8еуст, 8еут < 8еур< у, ух8(и, р, ст, т) = 1.

© А. В. Пузаков, 2015

Вестник Балтийского федерального университета им. И. Канта. 2015. Вып. 10. С. 58 — 61.

Согласно [4] между главными дивизорами Р из С и главными идеалами р из К[£] существует взаимно-однозначное соответствие — гомоморфизм: 2трР^Пр™р, 8гта(а1, ..., ) ^ ах, ...,

Всякий полуредудированный дивизор О может быть записан в виде О = 2щ (щ, V,) — (2щ ) = НОД (div а (х), div (Ь (х) — у)) = (и, У -и) главных

дивизоров div а (х) и div (Ь (х) — у), где а (х) и Ь (х) — многочлены,

а(х) = П(х — щ )щ . В гиперэллиптических кривых для каждой точки Р = (щ, VI) существует единственный многочлен Ь, е К [ х ], удовлетворяющий 1) degЬ <щ; 2) Ь, (щ ) = V,; 3) (х — щ )щ |Ь2 (х) + Ь, (х)к(х) — /(х).

Для ускорения вычислений используем рекуррентную процедуру вычисления многочленов. Если р = (и,, V,) — специальная точка, то Ьк (х ) = VI. Если Р =( щ, V,) — обыкновенная, то Ь, (х) ищем в виде

Ь (х) = с0 + с1 (х — и) + с2 (х—и )2 + ... + ск—1 (х — и )к—\ где к = щ, с0 = Ь (щ) = V.

Обозначим t = х — и;. Тогда х = t + и;. Положим, |( t ) = к(t + и;), Ф(t) = /(t + щ ) и р, (t) = Ьк (t + щ ). Тогда р ^) = со + с^ + С2^ + ... +Ck-lík-1 и из 3) следует р2 (t) + Р, (t)|(t) = ф(t)(modík ). Для с0,с1,с2,...ск—1:

С1 = Ф1 — |1С0 С2 = Ф2 — |1С1 — |2С0 — С1 Сз = Фз — |1С2 — |2С1 — |3С0 — 2с1с2 1 2С0 +10 ' 2 2С0 + Г|0 ' 3 2С0 +1 '

х = Ф4 — |1Хз — 12 %2 — |3Х1 — 14 %0 — 2%1%3 — %2

X 4 =-~-:-,

2%0 + |0

при ] > 4 , су считаются равными

_ Ф] — |1су—1 — |2С;—2 — ... — 1 ¡с0 — с1су—1 — С2С]—2 — ... — С]—2С2 — С]—1С1

С4 =-^-,

2С0 +10

где ] < к — 1. Подробнее с процедурой можно ознакомиться в статье [7].

Для суперэллиптической кривой приведенная процедура так же верна, но с рядом ограничений. Если к (х) = 0, то используем пункт 3):

(х — щ )щ |Ь" (х) — / (х), следовательно, р" ^ )(modík).

Для использования суперэллиптических кривых для цифровой криптографии необходимо, чтобы они обладали дополнительными свойствами. Для современных систем наибольший интерес представляют криптосистемы, имеющие хорошие показатели над полями с любой характеристикой. Если к(х) = 0, то |(t) = 0, откуда следует, что для кривой рода 2 и характеристикой поля 2 использование рекуррентной формулы не представляется возможным. Отсутствие эффективного алгоритма вычисления дивизоров divа (х) и div (Ь (х) — у) делает использование суперэллиптических кривых рода 2 невозможным. Это означает, что оптимально использовать кривые рода 3 и 4.

59

60

Определение походящих точек Р.■ = (щ, V,) можно ускорить использованием с (х) вида Ах" + Вх"--к + С . Большое количество нулевых коэффициентов сократит время поиска точек. (1) можно переписать в виде С : у" = Ахт + Вхт-к + С , где " е{3,4}, " < т, к е{1,2,...,т -1}.

Необходимо определить базовые арифметические операции над идеалами над суперэллиптическими кривыми.

Как и в гиперэллиптических кривых, произведение двух идеалов а1 = (м1,У - v1) и а2 = (м2,У - v2) проходит в два шага. На первом этапе вычисляется произведение а1а2 = (и,У - V), на втором — полученный идеал степени 2g редуцируется до степени не превышающую g.

Если а1 = (и1, У - v1) и а2 = (и2, У - v2) — редуцированные идеалы в К[ С ], щ, V, е К[ х], degVJ < degИJ < g и V3 - f = для некоторого е К[ х] предположим, что НОД (и1, и2,та2 +та1та2 + -та2 ) = 1 и б1,в2,э3 е К[ X] такие, что э1и1 + э2и2 + (V2 + v1v2 + VI) = 1.

Если и = и1и2, V = v1 + Б1и1 - v1)- 53^3 - V = V modи и а = (и,У - V), то а^2 = а и и | V3 - f .

1. Возведение в степень. Пусть а1 = (%, У - v1) — редуцированный идеал и V3 - f = щт{. Если НОД( и1, v1) = 1, то э1и1 + 3в3V2 = 1.

Если и = и2, t = -б3ш modи1, V = v1 + Ы-1, то а2 = и, У - V .

2. Произведение. Если а1 = (и1, У - V;!), а2 = (и2, У - v2) — идеалы и V3 - f = и.ш,, НОД (и1,и2 ) = 1, то Б1и1 + Б2и2 = 1.

Если и = и1и2, t = (v2 - v1) modи2, V = v1 + Ы1, то а1а2 = и, У - V .

3. Инвертирование. Если а = < и, У - v> редуцированный идеал и V3 - f = мш, НОД (и, ж) = 1, то (и) а-1 = (и, У2 + иУ + и2} .

4. Редуцирование. Вход: идеал а из К [ С ].

Выход: редуцированный идеал Ие й (а) эквивалентный а.

1) Выберем идеал р из а-1 такой, что р = а-1 для некоторого и еа.

2) Пусть е Ф 0 — минимальный.

1 е

3) Ие й (а) = еЬ = — а .

и

Доказательства приведенных алгоритмов можно посмотреть в [4].

Заключение

Полученные результаты дают возможность программной реализации вычислений якобиана суперэллиптических кривых, позволяющей определить реальные перспективы использования суперэллиптических кривых для криптографии. Остаются вопросы выбора подходящий точек и определения криптографических свойств получаемых якобианов.

В случае успешной реализации криптография на суперэллиптических кривых сможет заменить эллиптические кривые в криптосистемах с открытым ключом и в системах электронных цифровых подписей.

Список литературы

1. Koblitz N. Elliptic curve cryptosystems // Mathematics of Computation. 1987. № 48 (177). P. 203-209.

2. ANSI X9.63 Public Key Cryptography for the Financial Services Industry: Elliptic Curve Key Agreement and Key Transport Schemes. Working Draft -Version 2.0. 1998.

3. Galbraith S. D., Paulus S. M., Smart N. P. HPL-98-179, 1998.

4. Basiri A., Enge A., Faugere J. C., Gurel N. // Mathematics of Computation. 1998. № 74 (249). P. 389-410.

5. Galbraith S. D., Paulus S. M., Smart N. P. // Mathematics of Computation. 2002. № 71 (237). P. 393-405.

6. Ковтун В. Ю. Криптография с открытым ключом. URL: http: //www. nrjetix.com/ fileadmin/doc/publications/additional_info/ public_key_cryptography _-_lecture.pdf (дата обращения: 10.07.2015).

7. Алешников С. И. Рекуррентная процедура вычисления представляющих многочленов в алгоритме шифрования, основанном на гиперэллиптических кривых // Вестник Российского государственного университете им. И. Канта. 2007. Вып. 10. С. 65-69.

Об авторе

Александр Васильевич Пузаков — асп., Балтийский федеральный университет им. И. Канта, Калининград. E-mail: [email protected]

About the author

61

Alexandr Puzakov — PhD student, I. Kant Baltic Federal University, Kaliningrad. E-mail: [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.