CC BY
237
Разработка генератора псевдослучайных чисел на точках эллиптической кривой М.Г. Бабенко, Н.Н. Вершкова, Н.Н. Кучеров, В.А. Кучуков
Введение. Постановка задачи
Псевдослучайные последовательности используются для генерации секретных ключей шифрования, для вычисления цифровой подписи и для работы многих алгоритмов аутентификации. Одним из инструментов построения генераторов псевдослучайных чисел являются неприводимые многочлены над простым полем и эллиптическая кривая над конечным полем.
Поставим задачу проанализировать существующие генераторы псевдослучайных чисел на точках эллиптической кривой и построить генератор на эллиптической кривой с использование неприводимых кубических многочленов Е(с, х) = х3 - сх2 + срх -1 над Ер2.
Разобьем поставленную задачу на подзадачи.
1. Анализ генераторов псевдослучайных чисел, построенных на точках эллиптической кривой.
2. Анализ алгоритмов построения неприводимых многочленов Е(с, х) = х3 - сх2 + срх -1 над Ер2 и исследование свойств его корней.
3. Алгоритм генерации псевдослучайных чисел на точках эллиптической кривой с использованием неприводимого многочлена Е(с, х) = х3 - сх2 + срх -1 над Ер2.
Анализ генераторов псевдослучайных чисел, построенных на точках эллиптической
кривой
Генератор псевдослучайных последовательностей должен удовлетворять следующим двум требованиям, предложенным в работе[1]:
1. Статистической безопасности: последовательность, созданная генератором псевдослучайных чисел, должна статистически ничем не отличаться от абсолютно случайной последовательности.
2. Криптографической безопасности: зная к -битов последовательности, возможно предсказать следующий или к +1 -бит.
Эллиптическая кривая широко используется для построения криптосистем [2]. Одним из инструментов построения генераторов псевдослучайных последовательностей является эллиптическая кривая над конечным полем.
Эллиптическая кривая Е над простым полем , где д > 3, задается уравнением в
форме Вейерштрасса е(е): у2 = х3 + Ах + В, где 4А3 + 27 В2 Ф 0.
В работе [3] Ші^гєп S. предложил построение генераторов псевдослучайных чисел, которое называется арифметической прогрессией на Е с начальным членом Р0 є Е, разностью О є Е и которое задается следующим рекуррентным соотношением:
Рп = Рп-1 фО = пОфР0, п = 1,2,3,...,, (1)
где символом ф обозначена групповая операция в Е(Ер).
Выходными значениями генератора (1) являются либо точки Рп , либо только их абсциссы хп, либо только их ординаты уп.
Следует также отметить статистическую безопасность генератора псевдослучайных чисел, построенного на базе арифметической прогрессии на эллиптической кривой. Она обладает хорошими статистическими свойствами [4], а именно равномерностью
распределения элементов арифметической прогрессии для большого t. Порядок величины
' Р
отклонения от равномерности равен O
V У
Криптографическая безопасность арифметической прогрессии была исследована Gutierrez J. и Ibeas A. в работе [5]. В ней описан эффективный алгоритм нахождения Р0 для генераторов, построенных на базе арифметической прогрессий на эллиптической кривой,если известна разность G и старшие биты Рп и Рп-1. Однако при таком подходе алгоритм не обладает криптографической безопасностью.
Анализ алгоритмов построения неприводимых многочленов F(с, х) = х3 - сх2 + cpx -1 над
F 2 и исследование свойств его корней
Для построения псевдослучайных чисел воспользуемся неприводимым многочленом третьей степени F (с, х) = х3 - сх2 + cpx -1 над Fp2. Корни h многочлена F(с, х) обладают
следующими замечательными свойствами:
1. hp 2 - p+1 = 1
2. h -образующий элемент подгруппы F* порядка p - p +1
Для построения генератора псевдослучайных чисел нужно уметь находить неприводимые многочлены F (с, х) = х3 - сх2 + срх -1, причем вероятность того, что F(с, х)
окажется неприводимым многочленом при случайном выборе с из Fp2, равна 1. В работах
[6-8] приведено несколько алгоритмических тестов F(с, х) на неприводимость. Самый быстрый алгоритм работает за 1.8 log2 p умножений в Fp [8], но при использовании p
размером в 170 бит для вычисления потребуется 306 умножений с числами длиной в 170 бит, что приводит к большим временным затратам и затрудняет использование этого алгоритма. В работе [9] нами был предложен эффективный способ построения неприводимых многочленов F(с, х)= х3 - сх2 + стх -1 над Fp2, основанный на нахождении G^)= х3 - аґх2 + Ьх + а -
неприводимого многочлена в Fp [х], где t - квадратичный невычет в F*, и следующей теореме.
Теорема 1. Пусть t - квадратичный невычет по модулю p и G^) = х3 - ах + Ьх + <
F [
pL J " ' ' ' " 1 + tb
неприводимый многочлен в F [х]. Тогда F(с, х)= х3 - сх2 + с]?х -1, где с = 3—ttb + 4ata и t = a2
неприводим в Ер [х].
Алгоритм генерации псевдослучайных чисел на точках эллиптической кривой с использованием неприводимого многочлена Е (с, х) = х3 - сх2 + срх -1 над Ер2
Так как корень И неприводимого многочлена третьей степени Е(с, х) = х3 - сх2 + срх -1 над Ер2 обладает свойством Ир -р+1 = 1 и является порождающим
7—-* 2 . 1
элементом подгруппы в Рр6 порядка р - р +1, то его элементы можно представить в виде
(a, b, с, d, e, f), где h = (a, b, с, d, e, f) и a, b, с, d, e, f є F„.
Выберем шесть точек на эллиптической кривой р,Р2,Р3,Р4,Р5,Р6 є Е(^). Тогда
последовательность будет генерироваться по следующей формуле: Я = а Р + Ь Р2 + с Р3 + ё Р. + е Р5 + / Р6.
п «1 «2 п 3 п 4 п 5 ^ п 6
Выходными значениями генератора являются либо точки Яп, либо только их абсциссы х п, либо только их ординаты у п.
Для обеспечения криптографической безопасности эллиптическая кривая должна удовлетворять следующим требованиям международного стандарта КО/ІЕС СБ 15946-2:
1. д > 2256
2. # Е(Е ) = Ип, где п - простое число, п > 4л/^
+1)2
п
4. должно выполняться МОУ условие с целью исключения криптографически слабых кривых дк Ф 1шоёи, к = 1,2,3,...,В, В > 20.
Условие 4 позволяет добиться того, что нельзя эффективно применить метод дискретного логарифмирования из работы [10], а условие 2 обеспечивает неприменимость методом спуска Вейля [11] к взлому криптосистемы.
Результат компьютерного моделирования разработанной последовательности псевдослучайных чисел над полями размерностью 521 бит приведен в таблице 1.
Таблица № 1
Сравнительная оценка временных показателей генераторов псевдослучайных чисел при
№ Позиционная система счисления СОК
1 13170,07 989,09
Заключение
1. Анализируя полученные результаты, можно сделать вывод о том, что преимущество в скорости для алгоритма псевдослучайных чисел, построенного с использованием эллиптической кривой и неприводимого многочлена третьей степени F (с, х) = х3 - ex2 + cpx -1 над F 2, вычисления в которой производятся в системе остаточных
классов с использованием методов из работы [12], составляет 133% относительно метода, где вычисления производятся в позиционной системе счисления.
2. Работа выполнена при поддержке гранта ФЦП 14.В37.21.1128
Литература
1. Рябко Б. Я., Фионов А. Н. Криптографические методы защиты информации: Учебное пособие для вузов. - М.: Горячая линия-Телеком, 2005. - 229 с.
2. Koblitz N. Elliptic curve cryptosystems // Mathematics of Computation, 1987. Vol. 48. No. 177, P. 203-209.
3. Hallgren S. Linear congruential generators over elliptic curve. // Cornegie Mellon Univ., 1994, CS-94-M3, P. 1-10.
4. Nahassni E.E., Shparlinski I. On the uniformity of distribution of congruential generators over elliptic curves. // In: Sequences and their applications. - London: Springer, 2002, P. 257-261.
5. Gutierrez J., Ibeas A. Inferring sequences produced by a linear congruential generator on elliptic curves missing high-order bits // Designs, Codes and Cryptography, 41, 2007, P. 199-212.
6. Lenstra A.K., Verheul E.R. The XTR public key system // Proceedings of Crypto 2000, LNCS 1880, Springer-Verlag, 2000 - pp. 1-19
7. Lenstra A.K., Verheul E.R. Key improvements to XTR // Proceedings of Asiacrypt 2000, LNCS 1976, Springer-Verlag, 2000 - pp. 220-233
8. Lenstra A.K., Verheul E.R. Fast irreducibility and subgroup membership testing in XTR // Proceedings of PKC 2001, LNCS 1992,l Springer-Verlag, 2001 - pp. 73-86
9. Бабенко М.Г., Бабенко Н.А.О выборе неприводимых многочленов для криптосистемы XTR. Проблемы математики и радиофизики в области информационной безопасности: I Всероссийская конференция, г. Ставрополь, 17-19 октября 2012 г. Северо-Кавказский федеральный университет. - Ставрополь: Издательско-информационный центр «Фабула», 2012. - С.
10. Menezes A., Okamoto T., Vanstone S., Reducing elliptic curve logarithms to logarithms in a finite field // IEEE Transactions on Information Theory 39 - 1993. P. 1639-1660
11. Gordon M. D. A Survey of Fast Exponentiation Methods // Journal of Algorithms 27. -1998. P. 129-146..
12. Червяков Н. И. Методы, алгоритмы и техническая реализация основных проблемных операций, выполняемых в системе остаточных классов // Инфокоммуникационные технологии. - №4, 2011. - С. 4-12.
