CC BY
41
58
УДК 511.6
А. В. Пузаков
ЭФФЕКТИВНЫЕ АЛГОРИТМЫ ВЫЧИСЛЕНИЙ НА СУПЕРЭЛЛИПТИЧЕСКИХ КРИВЫХ
Представлены базовые алгоритмы арифметики суперэллиптических кривых и оптимальные параметры суперэллиптических кривых пригодных для криптографии.
Represents basics algorithms of arithmetics superelliptic curves and optimal parameters superelliptic curve suitable for cryptography.
Ключевые слова: криптография, алгебраические кривые, суперэллиптические кривые, функциональные поля.
Key words: cryptography, algebraic curves, superelliptic curves, functional fields.
Современная криптография — это баланс между стойкостью и быстродействием при минимальных затратах памяти. Такие ограничения в первую очередь вводят чипированные банковские карты [1]. Больших успехов на этом направлении добилась криптография с открытым ключом основанная на эллиптической кривой ANSI X9.62 и X9.63 [2]. В 2000 году [3] был предложен новый тип кривых вида
С : yn = c(х). (1)
Такой вид кривых называют суперэллиптическими.
Развитие алгебры суперэллиптических кривых обусловлено большой степени свободы при задании кривой. Необходимо вычислять дивизоры точек и якобиан, а также иметь хорошее представление идеалов. Все это — мощный инструмент для разработки криптосистем. К сожалению, на сегодня практическая реализация криптосистемы на СЭК отсутствует, в печати даются лишь теоретические оценки, что свидетельствует о недостаточной разработке данного направления [5].
Суперэллиптические кривые обладают набором свойств [2]: 1. С не сингулярная аффинная кривая. 2. Существует только одна точка Рш .
з. Род кривой С 0,5(v-1 )(8-1). 4. Целое замыкание k[х] в функциональном поле k(С) О := к[|, у] /(yv-%(^)).
Хорошо известен факт из теории дедекиндовых колец, что любой целый идеал K [ С ] порождается полиномом из К [ S ] и вторым полиномом из К [ X ]. Таким образом, любой редуцированный К-рациональ-ный дивизор D можно записать в виде Д = 8vra (и, рТ2 + стТ + т), где
и, р, ст, т е К[^], 8еур, 8еуст, 8еут < 8еур< у, ух8(и, р, ст, т) = 1.
© А. В. Пузаков, 2015
Вестник Балтийского федерального университета им. И. Канта. 2015. Вып. 10. С. 58 — 61.
Согласно [4] между главными дивизорами Р из С и главными идеалами р из К[£] существует взаимно-однозначное соответствие — гомоморфизм: 2трР^Пр™р, 8гта(а1, ..., ) ^ ах, ...,
Всякий полуредудированный дивизор О может быть записан в виде О = 2щ (щ, V,) — (2щ ) = НОД (div а (х), div (Ь (х) — у)) = (и, У -и) главных
дивизоров div а (х) и div (Ь (х) — у), где а (х) и Ь (х) — многочлены,
а(х) = П(х — щ )щ . В гиперэллиптических кривых для каждой точки Р = (щ, VI) существует единственный многочлен Ь, е К [ х ], удовлетворяющий 1) degЬ <щ; 2) Ь, (щ ) = V,; 3) (х — щ )щ |Ь2 (х) + Ь, (х)к(х) — /(х).
Для ускорения вычислений используем рекуррентную процедуру вычисления многочленов. Если р = (и,, V,) — специальная точка, то Ьк (х ) = VI. Если Р =( щ, V,) — обыкновенная, то Ь, (х) ищем в виде
Ь (х) = с0 + с1 (х — и) + с2 (х—и )2 + ... + ск—1 (х — и )к—\ где к = щ, с0 = Ь (щ) = V.
Обозначим t = х — и;. Тогда х = t + и;. Положим, |( t ) = к(t + и;), Ф(t) = /(t + щ ) и р, (t) = Ьк (t + щ ). Тогда р ^) = со + с^ + С2^ + ... +Ck-lík-1 и из 3) следует р2 (t) + Р, (t)|(t) = ф(t)(modík ). Для с0,с1,с2,...ск—1:
С1 = Ф1 — |1С0 С2 = Ф2 — |1С1 — |2С0 — С1 Сз = Фз — |1С2 — |2С1 — |3С0 — 2с1с2 1 2С0 +10 ' 2 2С0 + Г|0 ' 3 2С0 +1 '
х = Ф4 — |1Хз — 12 %2 — |3Х1 — 14 %0 — 2%1%3 — %2
X 4 =-~-:-,
2%0 + |0
при ] > 4 , су считаются равными
_ Ф] — |1су—1 — |2С;—2 — ... — 1 ¡с0 — с1су—1 — С2С]—2 — ... — С]—2С2 — С]—1С1
С4 =-^-,
2С0 +10
где ] < к — 1. Подробнее с процедурой можно ознакомиться в статье [7].
Для суперэллиптической кривой приведенная процедура так же верна, но с рядом ограничений. Если к (х) = 0, то используем пункт 3):
(х — щ )щ |Ь" (х) — / (х), следовательно, р" ^ )(modík).
Для использования суперэллиптических кривых для цифровой криптографии необходимо, чтобы они обладали дополнительными свойствами. Для современных систем наибольший интерес представляют криптосистемы, имеющие хорошие показатели над полями с любой характеристикой. Если к(х) = 0, то |(t) = 0, откуда следует, что для кривой рода 2 и характеристикой поля 2 использование рекуррентной формулы не представляется возможным. Отсутствие эффективного алгоритма вычисления дивизоров divа (х) и div (Ь (х) — у) делает использование суперэллиптических кривых рода 2 невозможным. Это означает, что оптимально использовать кривые рода 3 и 4.
59
60
Определение походящих точек Р.■ = (щ, V,) можно ускорить использованием с (х) вида Ах" + Вх"--к + С . Большое количество нулевых коэффициентов сократит время поиска точек. (1) можно переписать в виде С : у" = Ахт + Вхт-к + С , где " е{3,4}, " < т, к е{1,2,...,т -1}.
Необходимо определить базовые арифметические операции над идеалами над суперэллиптическими кривыми.
Как и в гиперэллиптических кривых, произведение двух идеалов а1 = (м1,У - v1) и а2 = (м2,У - v2) проходит в два шага. На первом этапе вычисляется произведение а1а2 = (и,У - V), на втором — полученный идеал степени 2g редуцируется до степени не превышающую g.
Если а1 = (и1, У - v1) и а2 = (и2, У - v2) — редуцированные идеалы в К[ С ], щ, V, е К[ х], degVJ < degИJ < g и V3 - f = для некоторого е К[ х] предположим, что НОД (и1, и2,та2 +та1та2 + -та2 ) = 1 и б1,в2,э3 е К[ X] такие, что э1и1 + э2и2 + (V2 + v1v2 + VI) = 1.
Если и = и1и2, V = v1 + Б1и1 - v1)- 53^3 - V = V modи и а = (и,У - V), то а^2 = а и и | V3 - f .
1. Возведение в степень. Пусть а1 = (%, У - v1) — редуцированный идеал и V3 - f = щт{. Если НОД( и1, v1) = 1, то э1и1 + 3в3V2 = 1.
Если и = и2, t = -б3ш modи1, V = v1 + Ы-1, то а2 = и, У - V .
2. Произведение. Если а1 = (и1, У - V;!), а2 = (и2, У - v2) — идеалы и V3 - f = и.ш,, НОД (и1,и2 ) = 1, то Б1и1 + Б2и2 = 1.
Если и = и1и2, t = (v2 - v1) modи2, V = v1 + Ы1, то а1а2 = и, У - V .
3. Инвертирование. Если а = < и, У - v> редуцированный идеал и V3 - f = мш, НОД (и, ж) = 1, то (и) а-1 = (и, У2 + иУ + и2} .
4. Редуцирование. Вход: идеал а из К [ С ].
Выход: редуцированный идеал Ие й (а) эквивалентный а.
1) Выберем идеал р из а-1 такой, что р = а-1 для некоторого и еа.
2) Пусть е Ф 0 — минимальный.
1 е
3) Ие й (а) = еЬ = — а .
и
Доказательства приведенных алгоритмов можно посмотреть в [4].
Заключение
Полученные результаты дают возможность программной реализации вычислений якобиана суперэллиптических кривых, позволяющей определить реальные перспективы использования суперэллиптических кривых для криптографии. Остаются вопросы выбора подходящий точек и определения криптографических свойств получаемых якобианов.
В случае успешной реализации криптография на суперэллиптических кривых сможет заменить эллиптические кривые в криптосистемах с открытым ключом и в системах электронных цифровых подписей.
Список литературы
1. Koblitz N. Elliptic curve cryptosystems // Mathematics of Computation. 1987. № 48 (177). P. 203-209.
2. ANSI X9.63 Public Key Cryptography for the Financial Services Industry: Elliptic Curve Key Agreement and Key Transport Schemes. Working Draft -Version 2.0. 1998.
3. Galbraith S. D., Paulus S. M., Smart N. P. HPL-98-179, 1998.
4. Basiri A., Enge A., Faugere J. C., Gurel N. // Mathematics of Computation. 1998. № 74 (249). P. 389-410.
5. Galbraith S. D., Paulus S. M., Smart N. P. // Mathematics of Computation. 2002. № 71 (237). P. 393-405.
6. Ковтун В. Ю. Криптография с открытым ключом. URL: http: //www. nrjetix.com/ fileadmin/doc/publications/additional_info/ public_key_cryptography _-_lecture.pdf (дата обращения: 10.07.2015).
7. Алешников С. И. Рекуррентная процедура вычисления представляющих многочленов в алгоритме шифрования, основанном на гиперэллиптических кривых // Вестник Российского государственного университете им. И. Канта. 2007. Вып. 10. С. 65-69.
Об авторе
Александр Васильевич Пузаков — асп., Балтийский федеральный университет им. И. Канта, Калининград. E-mail: apuzakov@kantiana.ru
About the author
61
Alexandr Puzakov — PhD student, I. Kant Baltic Federal University, Kaliningrad. E-mail: apuzakov@kantiana.ru
