Линейные рекуррентные последовательности на эллиптической кривой Текст научной статьи по специальности «Математика»

3. Игнатова Е.И., Ростов Н.В. Компьютерное моделирование исполнительных систем роботов: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2009.

4. Игнатова Е.И., Ростов Н.В. Компьютерное моделирование систем управления роботами: Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2009.

5. Шахинпур М. Курс робототехники: Пер. с англ. / Под ред. С.Л. Зенкевича. М.: Мир, 1990.

6. Фу К., Гонсалес Р., Ли К. Робототехника: Пер. с англ. / Под ред. В.Г. Градецкого. М.: Мир, 1989.

7. Юревич Е.И. Основы робототехники: Учеб. для вузов. СПб.: БХВ-Петербург, 2005.

УДК 681.3.055

Н.И. Червяков, М.Г. Бабенко

ЛИНЕИНЫЕ РЕКУРРЕНТНЫЕ ПОСЛЕДОВАТЕЛЬНОСТИ НА ЭЛЛИПТИЧЕСКОЙ КРИВОЙ

Псевдослучайные последовательности используются для генерации секретных ключей шифрования, для вычисления цифровой подписи и для работы многих алгоритмов аутентификации. Для построения псевдослучайных последовательностей используются линейные рекуррентные последовательности на эллиптической кривой.

Поставим задачу проанализировать существующие генераторы на эллиптической кривой и построить генератор на эллиптической кривой, в котором арифметические операции будут выполняться в системе остаточных классов. Генератор псевдослучайных последовательностей должен удовлетворять следующим двум требованиям, предложенным в работе [9]:

1. Статистической безопасности: последовательность, созданная генератором псевдослучайных чисел, должна статистически ничем не отличаться от абсолютно случайной последовательности.

2. Криптографической безопасности: возможность, зная ¿-битов последовательности, предсказать следующий или к + 1 бит.

Эллиптическая кривая широко используется для построения криптосистем [4]. Одним из инструментов построения генераторов псевдослучайных последовательностей является эллиптическая кривая над конечным полем.

Эллиптическая кривая Е над простым полем Е , где ц > 3 , задаётся уравнением в форме Вейерш-трасса Е(Е):/ = х3 + Ах + Б, где 4А3 + 27В2 ф 0.

Халлгрен в 1994 г. в работе [2] рассмотрел датчик псевдослучайной последовательности, который называется арифметической прогрессией на Е с начальным членом Р0 е Е и разностью Ое Е и задаётся следующим рекуррентным соотношением:

Р = Р .©О = пО©Р, п = 1, 2, 3,

п п-1 0' ' ' '

(1)

где © - групповая операция в Е(Ер).

Выходными значениями датчика (1) могут быть либо точки Р , либо только их абсциссы х ,

пп

либо только их ординаты уп.

Следует отметить также статистическую безопасность генератора псевдослучайных чисел, построенного на базе арифметической прогрессии на эллиптической кривой. Она обладает хорошими статистическими свойствами, что показано в [5]: равномерностью распределения элементов арифметической прогрессии для большого также указан порядок величины отклонения от рав-

(4р1оё2 рл номерности О -

ч ^ ^

Для случая, при котором известна разность О,

старшие биты Рп и Р в работе [3] Гутиэррехом и Ибиасом предложен эффективный алгоритм нахождения Р0 для генераторов, построенных на базе арифметической прогрессии на эллиптической кривой. Он не обладает криптографической безопасностью. Секретным ключом в генераторе псевдослучайных чисел (1) должны являться Р0 и О . В этом случае неизвестны эффективные алгоритмы предсказания бит, и генератор (1) является криптографически безопасным.

В работе [1] в более общем виде рассмотрены генераторы псевдослучайных последовательностей типа арифметическая прогрессия на эллиптической кривой. Пусть порядок |Е(Ер)| группы Е(Ер) равен г.

Последовательность Р Р Р ... точек Е, удовлетворяющих рекуррентному соотношению:

т-1

Рп+к=1,сЛ+к®<2,к = 0Л,2,...,

(2)

¡=о

4

Математическое моделирование: методы, алгоритмы, технологии

называют .ЕС-последовательностью порядка m;

т—1

f(x) = xm— - характеристическим многоч-

i=0

леном над Z.

Последовательность, заданная формулой (1), может быть названа ЕС-последовательностью первого порядка и характеристическим многочленом fx) = x - 1.

Одной из важных характеристик генератора псевдослучайных чисел является скорость генерации последовательности: для увеличения скорости операций удвоения и сложения точек на эллиптической кривой используют проективные координаты, т. к. они позволяют избежать очень дорогой, с точки зрения процессорного времени, операции инверсии (деления) в конечном поле.

Для ускорения операции сложения и умножения с большими числами построим генератор

ЕС-последовательностей на эллиптической крит

вой над кольцом Z где q — J^J pt, p. - попарно

¿=1

различные простые числа и (q,6) = 1. Это позволяет использовать систему остаточных классов, что ускорит выполнение операций сложения и умножения над кольцом Zq.

С учётом всего вышесказанного эллиптическая кривая имеет вид: E(Z ):Y2Z=X3 + AXZ2 + BZ3, где A, BeZ . Точки на эллиптической кривой имеют вид: P(X, Y, Z)eE(Z\ X, Y, Ze Z. X, Y, Z заданы

4 4

в системе остаточных классов.

Программно реализуем алгоритмы сложения и удвоения точек на эллиптической кривой, заданной над полем и над кольцом. Сравнивая результат, при котором количество элементов в кольце одного и того же порядка, что и количество элементов в поле, получаем, что вычисления при использовании системы остаточных классов в среднем в два раза быстрее, чем при использовании операций в конечном поле.

Согласно [9], одним из важных свойств генератора псевдослучайной последовательности является длина периода.

Теорема 1 [1]. Период ЕС-последовательности (2) есть делитель периода её характеристического многочлена.

Для нахождения максимального периода характеристического многочлена воспользуемся следующей формулой из [6]:

Tfx)) = [rfx}), TJM, ..., Г(Дх))], (3) где Tq(fx)) - период многочлена над кольцом вычетов Z , [r, 5] - наименьшее общее кратное.

В [8] сформулирована теорема для нахождения периода многочлена в , если он равен степени неприводимого многочлена.

Теорема 2 [8]. Пусть те N и g(x) - неприводимый многочлен над конечным полем характеристики р, такой, что g(0) Ф 0. Тогда для многочлена вида У(х) = gm(x)

Тр(Ах}) = Тр( gn(x)) = р'Гр( g(x)), где t - наименьшее целое число, для которого р' > т.

Пусть g(x) - многочлен первой степени х - а, где а - образующий элемент в Zp>, тогда Т (x- а) = р. - 1. Используя формулу (3) и теорему 2, получим:

Tp(Ax)) = [р11 (Р1 - ^Р22 (Р2- 1), ...,р':{Рп- 1)]. (4)

При условии, что т > 2, получим, что '. > 1 для всех г е [1, ..., п]. Следовательно, для правой части равенства (4) будет выполняться неравенство

п

И (р1 - 1), р22 (р2 - 1), ..., р'яя(рп - 1)] > п р.

Для вычисления а воспользуемся теоремой П.Л. Чебышева

Теорема 3 [7]. Пусть простые числа р, д > 2, тогда справедливы следующие утверждения:

1. если р = 4д + 1, то 2 есть образующий элемент в Е *;

р

2. если р = 2д + 1, д = 4п + 1, то 2 есть образующий элемент в Е *;

3. если р = 2д + 1, д = 4п + 3, то -2 есть образующий элемент в Ер.

Использование в качестве основания системы остаточных классов простых чисел, удовлетворяющих первому или второму условию из вышеприведённой теоремы, и многочлена g(x) = x - 2 позволяет построить многочлен f(x) = ^ - 2)т большого периода, где т > 2 .

Рассмотрим задачу выбора точек для генератора типа арифметическая прогрессия на эллиптической кривой.

В случае, когда порядок группы точек |Е^д)|=к, где к - простое число, получим, что группа точек эллиптической кривой Е@д) - циклическая, и все точки, отличные от точки в бесконечности О, являются образующими элементами группы точек эллиптической кривой Е^д). Так как точка Q из формулы (2) тоже будет являться образующей

в группе точек эллиптической кривой Е(^), знаЧ

чит, точки Р. из формулы (2) можно представить в виде Р. = где к. е N. Тогда формула (2) примет вид:

Рп+(=^с1кшй®й,г = 0,\,2..... (5)

¡=0

где С(=(-1У+12'СЛ

п+!

cf =

и!

(л-*)*!

. Следователь-

но, формула (5) примет вид: Pn+t =

in-1

V;=o

С учётом того, что Aß = O, получим: ГГп-С ^"

+ 1

Р =

* n+t

+ 1

mod/г

ß-

ö.

(6)

VV<=o

В случае, когда А > Г((х - 2)m), период псевдослучайной последовательности равенства (6) вычисляется по формуле (4).

Так как для построения генератора необходимо умение быстро вычислять порядок группы точек эллиптической кривой E(Zq), то воспользуемся следующим методом:

Метод нахождение порядка группы точек эллиптической кривой, заданной уравнением над кольцом E(Zq).

Для этого рассмотрим сравнение y2 = х3 + ax + + ¿(mod p.).

1. Найдем количество решений n сравнения,

f ' Ъ 7 Л

, V"1 х +OX + D

используя формулу Щ— Pi + 2_,

где

(хг +ax + b^

Pi

- символ Лежандра.

/ \ п

2. Вычислим порядок 1 = +1.

¡=1

Замечание. Точка О, представленная в системе остаточных классов в виде (Р1, Р2, Р3, ..., Рп), содержит хотя бы одну точку Р , такую, что она является бесконечно удалённой точкой на кривой у2 = х3 + Ах + B(modр ) . Тогда точка О - бесконечно удалённая точка на эллиптической кривой Е(2)

На основе вышесказанного можно построить математическую модель генератора псевдослучайных чисел типа арифметической прогрессии на эллиптической кривой.

Описание. Секретными ключом является система оснований, точка Q, число т и числа к..

1. Выбираем основания системы остаточных классов: простые числа видар = 4 ц + 1 илир = 2 ц + 1, ц = 4п + 1 , где ц - простое число.

2. Количество оснований системы остаточных классов должно быть больше п > 100.

3. Выбираем два числа А и Б, принадлежащих 2, таких, чтобы 4А3 + 27В2 ф 0 для всех р, где /е [1, ..., п].

4. Выбираем т > 2.

5. Вычисляем Т ((х - 2)т).

6. Вычисляем |Е(2 )|, используя метод нахождения порядка группы точек эллиптической кривой Е(2)

7. Вычисляем точку Q порядка к, где к > ТД(х - 2)т).

8. Выбираем случайные числа к. е Ы, где /е [1, ..., т].

9. Используя формулу (6), вычисляем псевдослучайную последовательность точек эллиптической кривой Е(2ц).

10. За значения генератора псевдослучайных чисел берём или координату X, или координату У, оставляя её в системе остаточных классов.

Замечание. Если на шаге 9, мы получаем точку О, то пропускаем её и вычисляем следующие значения последовательности, заданной формулой (6).

Данная математическая модель генератора псевдослучайных чисел является криптостойкой и статистически безопасной. При выборе в качестве системы основания первых ста простых чисел, полученных по теореме 3 и удовлетворяющих или первому, или второму условию теоремы и характеристического многочлена Дх) = х2 - 4х + 4, период будет больше 10327, что позволяет зашифровать более 10284 терабайт информации.

СПИСОК ЛИТЕРАТУРЫ

1. Gong G., Lam C. Linear recursive sequences over elliptic curves / Sequences and their applications. London: Springer, 2002. P. 182-196.

2. Hallgren S. Linear congruential generators over elliptic curve // Cornegie Mellon Univ., 1994. P. 1-10.

3. Gutierrez J., Ibeas A. Inferring sequences produced by a linear congruential generator on elliptic curves missing high-order bits // Designs, Codes and Cryptography. 2007. Vol. 41. P. 199-212.

4. Koblitz N. Elliptic curve cryptosystems // Mathematics of Computation. 1987. Vol. 48. № 177. P. 203-209.

5. Nahassni E.E., Shparlinski I. On the uniformity of distribution of congruential generators over elliptic

curves // Sequences and their applications. London: Springer, 2002. P. 257-261.

6. Нечаев А.А. Цикловые типы линейных подстановок над конечными коммутативными кольцами // Матем. сб. 184:3, 1993. C. 21-56.

7. Болотов А.А., Гашков C^., Фролов А.Б. и др. Элементарное введение в эллиптическую криптографию: Алгебраические и алгоритмические основы. M.: КомКнига, 2006.

8. Лидл Р., Нидеррайтер Г. Конечные поля / Пер. с англ. В 2-х т.: Т.1. М.: Мир, 1988.

9. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: Учеб. пособие для вузов. М.: Горячая линия-Телеком, 2005. 229 с.