О спариваниях на абелевых многообразиях p-ранга один и их криптографических приложениях Текст научной статьи по специальности «Математика»

УДК 511.6:519.7(075.8)

С. И. Алешников, М. В. Алешникова

О СПАРИВАНИЯХ НА АБЕЛЕВЫХ МНОГООБРАЗИЯХ р-РАНГА ОДИН И ИХ КРИПТОГРАФИЧЕСКИХ ПРИЛОЖЕНИЯХ

Описаны и проанализированы с точки зрения вычислительной эффективности различные виды спариваний на гиперэллиптических кривых, преимущественно на кривых рода 2 и p-ранга один для криптографических приложений.

Described and analyzed in terms of computational efficiency different types of pairings on hyperelliptic curves, especially on curves of genus 2 and p-rank one for the cryptographic applications.

© Алешников С. И., Алешникова М. В., 2014

Вестник Балтийского федерального университета им. И. Канта. 2014. Вып. 10. С. 155—161.

Ключевые слова: алгебраические кривые, гиперэллиптические кривые, якобианы кривых, абелевы многообразия, р-ранг, степень вложения, билинейные спаривания, спаривание Тэйта — Лихтенбаума, спаривание Ate, скрученное спаривание Ate, спаривание Вейля.

Key words: algebraic curves, hyperelliptic curves, Jacobians of curves, abelian varieties, p-rank, embedding degree, bilinear pairings, Tate-Lichtenbaum pairing, Ate pairing, twisted Ate pairing, Weil pairing.

Введение

Будем рассматривать алгебраические кривые родов g = 2, 3, 4.

156 Мы хотим выяснить соотношение между эффективностью вычисле-

ний в якобиане кривой и, в частности, эффективностью вычисления спариваний и криптостойкостью соответствующих криптосистем [1]. Криптостойкость определяется степенью вложения якобиана в расширение основного поля. Чем выше степень вложения, тем труднее решается задача дискретного логарифмирования, тем, соответственно, более стойка криптосистема [3; 5; 7; 9].

Эллиптические кривые условно делятся на два класса: суперсингулярные, для которых сложение точек выполняется быстро, но и степень вложения мала, так что соответствующие криптосистем не могут считаться стойкими, и обыкновенные (несуперсингулярные), для которых сложение точек вычисляется медленнее, но степень вложения высока и соответствующие криптосистемы надежны. Для кривых высших родов существует промежуточный класс кривых — кривые р-ранга 1, которые, возможно, сочетают в себе оба достоинства [11; 12]. Мы хотим исследовать пригодность таких кривых для криптографии с обеих точек зрения: эффективности вычислений и стойкости [2; 10].

Известно много различных спариваний на алгебраических кривых: Вейля, Тэйта, Ate и др. [4; 6; 8; 13]. Мы хотим проанализировать пригодность различных видов спариваний для рассматриваемых криптосистем.

1. Якобианы кривых

Пусть k — поле, K = k — его алгебраическое замыкание, C — гладкая проективная абсолютно неприводимая алгебраическая кривая над k.

Множество всех дивизоров кривой C, обозначаемое Div(C), образует аддитивную группу относительно этого сложения. Степенью дивизора

m

p ■

О называется целое число deg О = X

РеО

Множество всех дивизоров степени 0, обозначаемое 01у°(С), является подгруппой группы Огу(С). Дивизором рациональной функции / е К(С), /ф 0, (главным дивизором) называется

) = X ^ (/)Р,

РеО

где сР(/) — порядок функции / в точке Р е С. Множество всех главных дивизоров р образует подгруппу группы 01у°(С). Факторгруппа Зс = = Б1у°(С)/ р называется якобианом кривой С.

Пусть k = IF, — конечное поле, P = (и, v) — точка C и ст — автоморфизм K над k. Тогда P ст = (ст(и), ст (v)) — также точка кривой. Говорят, что дивизор D = Z mpP определен над k, если DCT = Z mpPCT равен D для любого автоморфизма ст расширения К/k. Рациональная функция f e K(C) определена над k тогда и только тогда, когда ее дивизор divf) определен над k. Ясно, что дивизоры, определенные над k, образуют подгруппу группы Div(C) всех дивизоров. Тогда множество 3c(k) всех классов дивизоров в 3, имеющих представителей, которые определены над k, является подгруппой группы 3С. При этом 3С(К) — конечная абелева группа. Ее называют k-рациональным якобианом кривой C.

2. Абелевы многообразия ^-ранга один

Проективная алгебраическая группа A называется абелевым многообразием. В частности, k-рациональный якобиан 3C(k) алгебраической кривой C является абелевым многообразием.

Пусть A и B — абелевы многообразия над k, ф: A ^ B — морфизм над k, такой, что ф(0) = 0, является гомоморфизмом групп. Множество Homk(A, B) таких гомоморфизмов образует абелеву группу.

Пусть ф — доминантный морфизм из A в B. Для функции f e k(B) полагаем ф*(/) = f ◦ ф. Тем самым определен инъективный гомоморфизм ф* : k(B) ^ k(A). Отображение ф e Homk(A, B) называется изогени-ей, если Im ф = B и ядро Ker ф конечно. Гомоморфизм ф e Homk(A, B) изогения тогда и только тогда, когда выполняется одно из эквивалентных условий:

• dimA = dimB и dim(Ke^)0 = 0, где (Кегф)0 — максимальное абсолютно неприводимое подмногообразие, содержащее 0;

• ф доминантен и k(A)^*(k(B)) — конечное алгебраическое расширение, степень изогении ф : A ^ B — число degф = [k(A) : ф*^^))].

Пусть A — абелево многообразие над k, n e Ж. Степень изогении [n] равна n2dimA. Если n = ps, где p = char k, то A[ps] = Ж/ptsZ,, где t ^ dimA и не зависит от s. Абелево многообразие A называется обыкновенным, если A[ps] = Z/ptsZ, где t = dimA. Говорят, что абелево многообразие A имеет р-ранг t, если A[ps] = Ж/ptsZ.

Если E — эллиптическая кривая, то есть абелево многообразие размерности 1 и его р-ранг равен 0, то говорят, что кривая E суперсингулярна. Известно, что абелево многообразие A суперсингулярно, если оно изогенно произведению суперсингулярных эллиптических кривых. В этом случае оно имеет р-ранг 0.

3. Спаривания на гиперэллиптических кривых

Гиперэллиптическая кривая C рода g ^ 1 над IF, есть несингулярная плоская кривая, определяемая аффинным уравнением y2 + h(x)y = f(x), где f(x) — унитарный многочлен степени 2g + 1; h(x) — многочлен степени, непревосходящей g. Зафиксируем подгруппу некоторого порядка r группы 3c(F9). Говорят, что эта подгруппа имеет степень вложения k,

если порядок r делит q* - 1, но не делит qi - 1 для всех i: 0 < i < k. Это влечет, что группа цг корней степени r из единицы содержится в Fqk, но не

содержится ни в каком меньшем расширении поля Fq.

Для криптографических приложений r должно быть большим простым, таким, что r I #3c(IFq) и НОД(г, q) = 1. Пусть Jc(F * )[r] есть r-я груп-

q

па кручения, Jc (F k) / rjc (F k) — факторгруппа. Тогда спаривание Тэйта — Лихтенбаума

< •, • >r: Jc (Fqk )[r] X Jc (Fqk) / rjc (Fq*) ^ Fq*k / (Fq*t )r

158 корректно определяется так: пусть D1 e Jc (F * )[r], D2 e Jc (F *), где -

D1 — дивизор, представляющий Dj; D2 — дивизор, представляющий D2, причем выполняется условие supp(D1) u supp(D2) = 0. Существует рациональная функция fr Dj e Fqk (c), такая, что div(fr Dj) = rDi - [r]Di= rDi.

Тогда по определению

<Dj, D2 >r = fr, Dj(D2) = П fr, Dl(P)°ldp (D2) .

Pec (K)

Это спаривание билинейно, невырожденно и определено с точностью до r-х степеней. Чтобы вычислять однозначно определенные значения,

используют редуцированное спаривание e(D1, D2) = <D^ D2 > -1)/r e цг с F*k.

q

Главная проблема вычисления <D1, D2 >r — построение рациональной функции fr Dj и ее значения fr Dj (D2), где div( fr Dj) = rDi. Миллер описал быстрый алгоритм вычисления fr Dj (D2) для дивизоров на эллиптических кривых. Этот алгоритм позднее был адаптирован для вычисления спаривания на гиперэллиптических кривых.

Пусть GiDj jDj — рациональная функция, такая, что div(GiDj jD ) = iDi +

+ jDi - (iDi © jDi), где © — групповой закон в 3c и (iDi © jDi) — редуцированный дивизор. Алгоритм Миллера для гиперэллиптических кривых строит рациональную функцию fr Dj на основе следующей рекуррентной формулы:

fi+j, D1 = fi, D1 fj, D1 GiD1,jD1 .

Опишем спаривание Ate на обыкновенной гиперэллиптической кривой. Пусть л — отображение Фробениуса степени q на кривой c и эндоморфизм Фробениуса якобиана 3c, c — гиперэллиптическая кривая над Щ r — большое простое число; r I #3c(Fq); Gi = 3c[r] u Кег(л - [1]) и G2 = 3c[r] u Кег(л - [q]). Тогда отображение a( • , • ) : G2 x G1 ^ ц, (D2, D1) ^ fq p2 (D1), где D2 = p(D) — единственный редуцированный

дивизор в D, D1 e D1 и supp(D1) u supp(D2) = 0, определяет невырожденное билинейное спаривание, называемое гиперэллиптическим спариванием Ate. Наиболее важным свойством спаривания ate является то, что для него не нужно заключительное возведение в степень.

Рассмотрим кручение гиперэллиптических кривых. Пусть C — кривая рода g, определенная над полем k. Кривая C над k, изоморфная C, назышается кручением C. Более того, кривая C назышается кручением степени d кривой C, если существует изоморфизм ф: C ^ C, определенный над kd, где kd — расширение k степени d и d минимально. Для всякой кривой C, определенной над k, множество ее кручений Twist(C / k) есть множество кривыгх C / k, изоморфных C над k.

Для построения кручения данной кривой C над полем k необходимо выгчислитъ группу автоморфизмов Aut(C) кривой C. Для гиперэллиптических кривых рода 2 над конечными полями характеристики 2, 3 и 5 возможными редуцированными группами автоморфизмов являются C2, V4, De, D12, 2D12, S4, C10, где Cn — циклическая группа порядка n; V4 — четверная группа Клейна; Dn — группа диэдра порядка n, 2D12 и S4 есть 2-накрыггия группы диэдра D12 и симметрической группы S4.

Степень d кручения кривой C зависит от порядка элемента из Aut(C), то есть если C — кручение C степени d, то группа Aut(C) должна содержать элемент порядка d. Однако если char(k) > 5, то Aut(C) всегда есть подгруппа одной из перечисленных групп. В таком случае для char(k) > 5 возможны лишь случаи d = 1, 2, 3, 4, 5, 6, 8, 10. Например, для конечного поля Fq, где q — большое простое число и q = 1 (mod 8) кривая C1 : y2 = x5 + ax имеет группу автоморфизмов C8 с S4 . Кручением C1 степени d = 8 является кривая C{: y2 = x5 + aXx, соответствующий изоморфизм есть (x, y) ^ (X1/4x, X5/8у), где X £ Fq и не является ¿-степенным

выгчетом в IFq для I £ {1, 2, 4, 8}.

Скрученное гиперэллиптическое спаривание Ate определяется так: пусть C — гиперэллиптическая кривая над IFq, которая имеет кручение C степени d, r — большое простое число, r \ #3C(IFq), k — степень вложения кривой, m = НОД(k, d), e = k/m, t,m — примитивный корень степени m из

единицы в F e . Имеем G2 = 3c|/] u Ker([|m]^ e - 1). Тогда равенство

q

t(Dl, D2) = fqe, Di(D2) ,

где D1 £ D1, D2 = p(D2) и supp(Dt) u supp(D2) = 0, определяет невыфож-денное билинейное спаривание, называемое гиперэллиптическим скрученным спариванием Ate.

Гиперэллиптическое спаривание Ate и скрученное спаривание Ate допускают обобщения. Во-первых, выгражения

f (D )(qk-i)/r f (D )(qk-1)/r

Jq (modr), D2 (D1 ) и Jqe (modr), D1 (D2)

задают спаривания, назышаемые оптимизированным гиперэллиптическим спариванием Ate и оптимизированным скрученным спариванием Ate соответственно. Во-вторых, выражения

(qk-1)/r (qk -1)/r

fq' (modr), D2 (D1 ) и Jqei (modr), D1 (D>2 )

159

задают спаривания, называемые обобщенным гиперэллиптическим спариванием Ate и обобщенным скрученным спариванием Ate соответственно. И то и другое спаривание не нуждаются в финальном возведении в степень для получения однозначного результата спаривания.

Спаривание Вейля есть невырожденное билинейное отображение

ew( • , • ) : 3cffk)[r]x3c(F,)[r] ^ ц , где ew(D,,D2) = (-1)r f ■

4 4 Jr, D2 (D1)

Это спаривание также не требует заключительного возведения в степень, однако нуждается в двух итерациях цикла Миллера. Для qej поло-

160 жим q(ef)a - 1 = Lr, r2 не делит q(ef)a - 1. Пусть qeJ = qej (mod r). Тогда

fe D (D2) _ _

1-= ew (D,, D2)c,

fj D2D1) 1 2

где c = L(aq(ei")(a-1))-1 - l (mod r), есть невырожденное билинейное спаривание, называние скрученным спариванием Вейля.

Разработаны алгоритмы вычисления спариваний и получены оценки эффективности этих алгоритмов.

Список литературы

1. Алешников С. И., Алешникова М. В., Горбачёв А. А. Протокол доверенного шифрования на основе модифицированного алгоритма вычисления спаривания Вейля на алгебраических кривых для облачных вычислений // Информационные технологии. 2013. № 9 (205). С. 36 — 39.

2. Barreto P. S. L. M., Galbraith S. et al. Efficient pairing computation on supersingular Abelian varieties // Designs, Codes and Cryptography, 2007. Vol. 42(3).

3. Freeman D., Stevenhagen D., Streng M. Abelian varieties with prescribed embedding degree //ANTS. 2008. Vol. 5011. P. 60 — 73.

4. Galbraith S. D., Hess F., Vercauteren F. Hyperelliptic pairing // Pairing 2007. LNCS 4575. 2007. P. 108 — 131.

5. Galbraith S. D., McKee J. F., Valenca P. C. Ordinary Abelian varieties having small embedding degree // J. Finite Fields and Their Applications. 2007. 13. P. 800 — 814.

6. Granger R., Hess F. et al. Ate pairing on hyperelliptic curves // Advance in Cryptology-EUR0CRYPT'2007. LNCS 4515. 2007. P. 430—447.

7. Granger R., Page D., Smart N. P. High security pairing-based cryptography revisited. Cryptology ePrint Archive. Report 2006/059. 2006.

8. Hess F., Smart N. P., Vercauteren F. The Ate pairing revisited // IEEE Transactions on Information Theory. 2006. Vol. 52. P. 4595 — 4602.

9. Koblitz N., Menezes A. Pairing-based cryptography at high seccurity levels // Cryptography and Coding. LNCS 3796. 2005. P. 235 — 249.

10. Matsuda S., Kanayama N., Hess F. et al. Optimized version of the Ate and twisted Ate pairing // The 11th Int. Conf. on Cryptography and Coding. LNCS 4887. 2007. P. 302—312.

11. O'Connor L. H., McGuire G., Naehrig M. et al. A CM construction for curves of genus 2 with p-rank 1. arXiv:0811.3434v3 [math.AG] 11 May 2010.

12. Oort F. Abelian varieties over finite fields / / Higher-dimensional varieties over finite fields. Summer school in Gottingen. 2007.

13. Zhang F. Twisted Ate pairing on hyperelliptic curves and applications. Cryptology ePrint Archive, Report 2008/274, 2008.

Спаривания на абелевых многообразиях и их криптографические приложения

Об авторах

Сергей Иванович Алешников — канд. техн. наук, доц., Балтийский федеральный университет им. И. Канта, Калининград. E-mail: elliptec@mail.ru

Марина Валерьевна Алешникова — ст. преп., Балтийский федеральный университет им. И. Канта, Калининград. E-mail: aleshnikova_m_v@mail.ru

About the authors

Sergey Aleshnikov — Ass. Prof., I. Kant Baltic Federal University, Kaliningrad. 161

E-mail: elliptec@mail.ru

Marina Aleshnikova — high instructor, I. Kant Baltic Federal University, Kaliningrad. E-mail: aleshnikova m v@mail.ru