Elliptiske kurver. kryptering, digital signatur og det diskrete logaritmeproblem. Bachelorprojekt i matematik Tobias Ansbak Louv

Transkript

1 Elliptiske kurver kryptering, digital signatur og det diskrete logaritmeproblem Bachelorprojekt i matematik Tobias Ansbak Louv Vejleder: Jørgen Brandt 7. oktober 2013 Institut for Matematiske Fag Aarhus Universitet

2

3 Abstract In this project, I will analyse and discuss cryptography and digital signature based on the discrete logarithm problem on elliptic curves. I will start by building up the setting, then I will discuss one method to use elliptic curves to create public key cryptography, and one method to use elliptic curves for digital signature. Thereafter, I will describe three algorithms to attack the discrete logarithm problem in the group of points on an elliptic curve. We shall see the Index Calculus algorithm, and how we can transform the discrete logarithm problem in the group of points on an elliptic curve to one in the multiplicative group of a finite field of order q, where q is a power of a prime. In this group, we can utilise the Index Calculus attack. To do the attack, we will need to build an algorithm to perform Gaussian elimination in an Euclidean domain which is not necessarily a field. The Index Calculus attack will show us, that we have to avoid super singular elliptic curves for cryptography or digital signature. Pollard ρ and λ attacks, together with the Pohling-Hellman attack will show us, that when we choose the point P to base our cryptography on, we will require it to at least have a big prime number in the prime factorisation of the order of P. iii

4

5 Indhold 1 Indledning 1 2 Grundlæggende definitioner Elliptiske kurver Addition af punkter på en elliptisk kurve Det projektive plan Gruppeegenskaben Weilparring Kryptering med Elliptiske Kurver Diffie-Hellman Nøgleudveksling ElGamal Digital Signatur Angreb mod krypteringen Det diskrete logaritmeproblem Den diskrete logaritme Index Calculus Pollards ρ- og λ-metoder Pohling-Hellman-metoden Konklusion 37 Bibliografi 39 v

6

7 KAPITEL 1 Indledning I dette bachelorprojekt vil jeg analysere kryptering, der er baseret på elliptiske kurver. Det skal vise sig, at punkterne på en elliptisk kurve udgør en gruppe, hvis man tilføjer et ekstra punkt, samt definerer en komposition på passende vis. Tilgangen til elliptiske kurver er fra en nybegynders perspektiv. Derfor vil jeg starte med at definere en elliptisk kurve, samt se på nogen grundlæggende egenskaber for denne herunder gruppeegenskaben. Kapitel 2 er derfor dedikeret til at fastlægge den verden, vi skal arbejde indenfor. Herefter vil jeg kigge på, hvordan man kan udnytte gruppeegenskaben for punkterne på en elliptisk kurve til at lave asymmetrisk kryptering, som er svær at bryde. Jeg vil i kapitel 3 beskrive to anvendelser. Den ene er nøgleudveksling, mens den anden er digital signatur. Der findes selvfølgelig mange andre anvendelser af kryptering via elliptiske kurver, men disse to er to af de vigtigste, da de åbner muligheden for 1. at man kan snakke fortroligt sammen, uden at andre kan lytte med, og 2. at man kan underskrive et digitalt dokument på en sådan måde, at modtageren er sikker på, at det er mig, der har skrevet under. For at kunne analysere sikkerheden af denne kryptering, er man nødt til at kende de angreb, der er på kryptering og digital signatur ved hjælp af elliptiske kurver, hvilket jeg derfor vil gøre i kapitel 4. Dette kapitel fylder næsten halvdelen af bachelorprojektet, fordi jeg har valgt at gå i dybden med de angreb, jeg skal diskutere og analysere. Overordnet set vil jeg diskutere tre typer angreb. Efter hver type, vil jeg kort beskrive nogen af de ting, man skal gøre for at beskytte sig mod angrebet. Selvom det det kunne have været interessant, vil jeg ikke lave tidskompleksitetsanalyser af angrebene. Jeg har i stedet valgt at fokusere på, hvordan angrebene udføres. Der har simpelthen ikke været plads i bachelorprojektet til at lave tidsanalyser. Det ville have været dejligt at have et kapitel med, hvor jeg diskuterede, hvordan man kan konstruere kurver, der er robuste mod de angreb, jeg diskuterer i kapitel 4, men da angrebene fik lov til at fylde rigtig meget, måtte denne idé droppes. Der er i Elliptic Curves: Number Theory and Cryptography, som også er hovedkilden til bachelorprojektet, diskuteret nogle algoritmer til at beregne størrelsen af gruppen af punkter på en elliptisk kurve, hvilket er interessant, fordi dette kan bruges til at analysere sikkerheden af den kryptering eller digitale signatur, man vil lave ud fra denne elliptiske kurve. 1

8

9 KAPITEL 2 Grundlæggende definitioner Med mindre andet bliver eksplicit nævnt, vil vi gennem hele opgaven lade K betegne et legeme, mens F q, for en primtalspotens q = p m, vil betegne det endelige legeme med q elementer. Når K er et legeme, vil vi lade K betegne den algebraiske lukning af K. Selvom det kunne være interessant at studere elliptiske kurver over legemer af karakteristik 2 eller 3, vil dette skabe problemer for nogle af beviserne, så alle legemer vil implicit blive antaget til at være af karakteristik > 3. I Elliptic Curves: Number Theory and Cryptography bliver mange af resultaterne også vist for elliptiske kurver over legemer af karakteristik 2 og Elliptiske kurver For a, b K kalder vi ligningen y 2 = x 3 + ax + b (2.1) for Weierstrass Ligningen. Som vi skal se senere, skal vi for at undgå singularitet kræve, at 4a b 2 0. Jævnfør Jantzen, 2005, s. 63 er diskriminanten for polynomiet x 3 + ax + b netop D = a a 3 4b0 3 27b ba0 = 4a 3 27b 2, dvs. når 4a b 2 0, fås tillige, at højresiden af ligningen ingen dobbeltrødder har. En elliptisk kurve defineres nu til at være grafen for Weierstrass Ligningen med den ovennævnte antagelse. Som vi også skal se senere, tilføjer vi et specielt ekstra punkt i uendelig. Gennem denne opgave, vil det fremover være implicit, at E betegner en elliptisk kurve. Hvis L K er et udvidelseslegeme, så vil vi lade E(L) betegne punkter på E med koordinater i L. Dette vil blive beskrevet lidt nærmere, når vi får defineret en addition på E(L) nedenfor. Læg mærke til, at ud fra definitionen er det klart, at en elliptisk kurve er symmetrisk over x-aksen i den forstand, at hvis (x, y) E(L), vil også (x, y) E(L). Der findes en generalisering af Weierstrass Ligningen, men som det vises i Washington, 2008, s , kan denne omskrives til en ligning på formen (2.1) for elliptiske kurver over legemer af karakteristik > 3, så for os er ligning (2.1) tilstrækkelig. 2.2 Addition af punkter på en elliptisk kurve Lad notationen være som ovenfor. Vi vil gerne kunne betragte punkterne på en elliptisk kurve E som en gruppe, hvilket vil sige, at vi skal finde en komposition på E(L), der opfylder de tre aksiomer. Desuden vil vi gerne have, at gruppen bliver abelsk. Det skal 3

10 4 Kapitel 2 Grundlæggende definitioner vise sig, som det også blev nævnt ovenfor, at det er tilstrækkeligt at inkludere et punkt i uendelig, hvilket vi simpelthen vil betegne med. Vi vil altså definere punkterne E(L) på E med koordinater i L K ved, at { } E(L) = (x, y) L L : y 2 = x 3 + ax + b { } Lad P 1, P 2 E(L). Det skal vise sig, at vi kan definere en komposition ud fra følgende idé: Tegn en linje gennem P 1 og P 2 og indse, at denne skærer kurven i netop ét tredje punkt, P 3 E(L). Spejl P 3 over x-aksen og opnå punktet P 3, samt indse, at P 3 E(L). Bemærk, som vi skal se nedenfor, at hvis der ikke er noget skæringspunkt P 3, er det fordi, linjen gennem P 1 og P 2 er lodret. Her definerer vi skæringspunktet mellem linjen og den elliptiske kurve til at være, samt at spejlingen af over x-aksen er selv. Hvis P 1 = P 2 vil linjen gennem P 1 og P 2 svare til tangenten gennem P 1 = P 2, som også skærer E i netop ét andet punkt (eller evt. i ). Det vil sige, at tangenten har to skæringer med E, hvor den ene evt. kunne være punktet. Ovenstående giver en idé om, hvordan punkter skal adderes. Vi vil nu forsøge at præcisere definitionen. Antag først, at P 1 P 2, og at P 1, P 2. Skriv P 1 = (x 1, y 1 ) og P 2 = (x 2, y 2 ), samt l for linjen gennem P 1 og P 2. Hvis x 1 = x 2, vil l være lodret, ellers vil den have hældningen m = y 2 y 1 x 2 x 1. Vi betragter først situationen, hvor x 1 x 2. Da er ligningen for l, y = m (x x 1 ) + y 1, så for at finde skæringerne mellem l og E kan vi indsætte og få, at (m (x x 1 ) + y 1 ) 2 = x 3 + ax + b, hvilket, ved at gange parenteserne ud og omskrive, giver ligningen ) 0 = x 3 m 2 x 2 + (a + 2m 2 x 1 2my 1 x + b m 2 x 2 1 y mx 1 y 1 = x 3 m 2 x 2 + (a + 2m (mx 1 y 1 )) x + b (mx 1 y 1 ) 2. Vi kan nu se, at førstekoordinaten for skæringerne mellem l og E er rødderne i tredjegradspolynomiet x 3 m 2 x 2 + (a + 2m (mx 1 y 1 )) x + b (mx 1 y 1 ) 2, hvor vi ved, at to af rødderne er x 1 og x 2. Kald nu den tredje rod for x 3. Da har vi, at polynomiet også er på formen (x x 1 )(x x 2 )(x x 3 ) = x 3 (x 1 + x 2 + x 3 ) x 2 + (x 1 x 2 + x 1 x 3 + x 2 x 3 ) x x 1 x 2 x 3, hvilket viser os, at der er en tredje skæring, P 3, mellem l og E, som har førstekoordinat x 3 = m 2 x 1 x 2. Indsæt nu x 3 i ligningen for l for at finde andenkoordinaten P 3, som vi vil kalde y 3. Dette giver, at y 3 = m(x 3 x 1 ) y 1. Når vi spejler P 3 i x-aksen opnår vi punktet P 3 = P 1 + P 2 = (x 3, y 3 ), hvor ( ) x 3 = m 2 y2 y 2 1 x 1 x 2 = x 1 x 2, og x 2 x 1 y 3 = m(x 1 x 3 ) y 1 = y 2 y 1 x 2 x 1 (x 1 x 3 ) y 1.

11 2.3 Det projektive plan 5 Hvis P 1 P 2 men x 1 = x 2, svarer det til, at l er lodret. I dette tilfælde siger vi, at linjerne skærer i, som vi derefter spejler i x-aksen og får P 3 = P 1 + P 2 =. Antag nu, at P 1 = P 2. I dette tilfælde er det mest naturligt at betragte linjen gennem P 1 og P 2 som tangenten til E i P 1. Bemærk, at i afsnit 2.3 vises det, at en tilstrækkelig antagelse for, at tangenten findes i ethvert punkt, er, at 4a b 2 0. Kald tangenten for l. Hvis y 1 = 0, må l være lodret, idet E er symmetrisk over x-aksen. I dette tilfælde sætter vi P 3 = P 1 + P 1 =. Antag derfor, at y 1 0. Implicit differentiation på ligning (2.1) giver os nu, at hvilket viser, at hældningen af l er m = dy 2y dy dx = 3x2 + a, dx = 3x2 +a 2y y = m(x x 1 ) + y 1. Da får l ligningen For at finde skæringerne mellem l og E sætter vi nu ligningerne lig hinanden og får, at (m(x x 1 ) + y 1 ) 2 = x 3 + ax + b x 3 m 2 x 2 + = 0, hvor der bag prikkerne kun gemmer sig led af grad én og nul. Bemærk, at pr. konstruktion er x 1 en dobbeltrod i 3.-gradspolynomiet, idet l er tangenten gennem x 1. Kald nu x 3 for den sidste rod. Da har vi, at polynomiet også kan skrives som (x x 1 )(x x 1 )(x x 3 ) = x 3 (2x 1 + x 3 )x 2 +, hvor der ligesom før gemmer sig led af grad ét og nul bag prikkerne. Vi kan på samme vis som i tilfældet med P 1 P 2 konkludere heraf, at den anden skæring mellem l og E har førstekoordinat x 3 = m 2 2x 1. Indsættes dette fås nu, at den anden skæringen ligger i P 3 = (x 3, m(x 3 x 1 ) + y 1 ), hvilket giver, at 2P 1 = P 3 = (x 3, y 3 ), hvor x 3 = m 2 2x 1, og y 3 = m(x 1 x 3 ) y 1. Vi har nu behandlet de tilfælde, hvor P 1 og P 2 er endelige punkter på E. Hvis enten P 1 eller P 2 er, vil linjen gemmen P 1 og P 2 være lodret. Antag uden tab af generalitet, at P 1. Da vil linjen gennem P 1 og P 2 skære E i spejlingen af P 1. Når vi så spejler, kommer vi tilbage til P 1 igen. Det vil sige, at virker som identiteten på alle endelige punkter. Dette udvider vi således til, at også + =. 2.3 Det projektive plan Lad K være et legeme. Da vil vi definere det to-dimentionelle projektive plan P 2 K over K ud fra ækvivalensklasser af tripletter (x, y, z), med x, y, z K ikke alle 0. To tripletter (x, y, z) og (x, y, z ) er ækvivalente, hvis λ 0, så (x, y, z) = λ(x, y, z ). Det er nu klart, at dette er en ækvivalensrelation, idet denne egenskab arves fra lighedstegnet og det faktum, at λ 0 kommer fra et legeme. Bemærk, at klassen af (x, y, z) kun afhænger af de indbyrdes forhold mellem x, y, z, hvorfor vi vil skrive (x : y : z) for klassen af (x, y, z). Lad (x : y : z) P 2 K med z 0. Da har vi, at z 1 K, 0, så (x : y : z) = z 1 (x : y : z) = (z 1 x : z 1 y : 1).

12 6 Kapitel 2 Grundlæggende definitioner Hvis vi omvendt har z = 0, kan vi på en måde sige, at det at dividere med z svarer til at sætte i enten x- eller y-koordinaten. Vi vil således kalde punkter (x : y : 1) PK 2 for de endelige punkter, mens vi vil kalde punkter (x : y : 0) PK 2 for punkter i uendelig. Et polynomium i m variabler kaldes homogent af grad n, hvis alle termerne er på formen a x j 1 1 x j 2 2 x jm m, hvor m i=1 j i = n. Bemærk, at ethvert polynomium i m variable kan gøres homogent ved at tilføje endnu en variabel og gange en passende potens af denne på alle termerne. Vi vil i dette set-up betragte parallelle linjer og give mening til et skæringspunkt mellem disse i PK 2. Lad derfor b 1, b 2, m K med m 0 og b 1 b 2. Da har vi, at linjerne med ligningerne y = mx + b 1, y = mx + b 2 netop er to forskellige parallelle linjer. Disse har den homogene form y = mx + b 1 z, y = mx + b 2 z. Vi sætter nu ligningerne lig hinanden og ser, at mx + b 1 z = mx + b 2 z b 1 z = b 2 z z = 0. Dette viser umiddelbart, at i skæringen er z = 0 og y = mx. Da (0 : 0 : 0) / PK 2, må x 0, hvilket giver os, at skæringen mellem de to parallelle linjer er (x : mx : 0) = (1 : m : 0). Disse punkter svarer hver især til et af punkterne i uendelig i PK 2. På tilsvarende vis har vi, at to lodrette linjer vil skære hinanden i (0:1:0), idet disse har de homogene ligninger x = b 1 z, x = b 2 z, hvilket giver z = 0 og dermed x = 0, så y 0. Hvis vi nu betragter polynomiet med homogen form f(x, y) = y 2 x 3 ax b (2.2) F (x, y, z) = y 2 z x 3 axz 2 bz 3, ser vi, at løsningsmængden til ligning (2.1) netop svarer til rødderne i polynomiet (2.2), samt at f(x, y) = F (x, y, 1). Bemærk desuden, at for λ K har vi, at F (λx, λy, λz) = λ 3 F (x, y, z), så rødderne i F er veldefinerede i PK 2. På denne måde giver det mening at tale om rødderne for f i PK 2, idet man leder efter rødder i F (x, y, z) med z 0. Dette viser, at alle de endelige punkter på en elliptiske kurve E svarer til endelige punkter i PK 2. Vi har ovenfor tillige set, at punktet svarer til punktet (0 : 1 : 0) i PK 2. På denne måde har vi fået beskrevet punkterne på E som en delmængde af PK 2. Ovenfor udnyttede vi, at en elliptiske kurve er differentialbel overalt. Vi skal nu se, under hvilket kriterium, dette er rigtigt. Betragt de partielt aflede for F F x = 3x2 az 2 F y = 2yz F z = y2 2axz 3bz 2. Hvis grafen for løsningsmængden F (x, y, z) = 0 er singulær i et punkt, er alle de partielt afledede lig med 0 i dette punkt. Vi løser nu de tre ligninger lig 0. Anden ligninger giver, at z = 0 eller y = 0.

13 2.4 Gruppeegenskaben 7 Antag først, at z = 0. Da giver første og anden ligning umiddelbart, at x = y = 0. Men punktet (0 : 0 : 0) ligger ikke på kurven (det ligger ikke engang i PK 2 ). Det vil sige, at for z = 0 er E ikke singulær, det vil sige, at E ikke er singulær i. Antag nu, at z 0. Da (x : y : z) = ( x z : y z : 1), kan vi antage, at z = 1. Anden ligning giver nu, at y = 0, mens første ligning giver, at 3x 2 = a. Bemærk, at i et generelt legeme er det ikke tilstrækkeligt at antage, at a er negativ (eksempler herpå er C eller endelige legemer). Vi får videre, at 27x 6 = a 3. Betragt nu tredje ligning. Vi får, at 0 = y 2 2axz 3bz 2 = 2( a)x 3b = 2 3x 2 x 3b, så 6x 3 = 3b, 2x 3 = b, 4x 6 = b 2 Det vil sige, at hvis F er singulær får vi, at 27b 2 = 4a 3. Vi ser derfor, at et tilstrækkeligt krav for, at løsningskurven til F = 0 ikke er singulær i noget punkt i P 2 K, er, at 27b2 +4a 3 0. I så tilfælde er E differentiabel overalt. 2.4 Gruppeegenskaben Det viser sig, at punkterne E(L) på en generel elliptisk kurve udgør en abelsk gruppe med hensyn til den addition, der står beskrevet ovenfor i afsnit 2.2, og som vi fremover blot vil betegne +. Bemærk, at da L K a, b, må E(L) være lukket under +, fordi L er lukket under alle de operationer, der bruges til at beregne P 1 + P 2. Desuden er det klart, at er identiteten i E(L) med hensyn til +. Ud fra den geometriske fortolkning af + er det klart, at givet et punkt P = (x, y) E(L), vil spejlingen af dette, P = (x, y) E(L) opfylde, at P + P =, det vil sige, at P er invers til P. Det er ligeledes oplagt, at P 1 + P 2 = P 2 + P 1 ud fra den geometriske fortolkning, idet linjen gemmen P 1 og P 2 er den samme, uanset hvilken vej, man tegner den. At + også er associativ er langt mere kompliceret at indse. Til dette kan man med fordel arbejde i det projektive plan PK 2, men det er ikke noget, vi vil gå ind i her. Det er bevist i Elliptic Curves: Number Theory and Cryptography, kapitel 2.4, s Alt i alt får vi følgende definition og sætning: Definition 2.1. En elliptisk kurve E er grafen for ligning (2.1), når 4a b 2 0. Punkterne på E er { } E(L) = (x, y) L L : y 2 = x 3 + ax + b { } (2.3) Sætning 2.2. Lad P 1, P 2 E(L), med P 1, P 2 og P 1 P 2. Skriv P 1 = (x 1, y 1 ) og P 2 (x 2, y 2 ). Da definerer E(L) med følgende additionsformler en gruppe: x 1 = x 2 : P 1 + P 2 =. x 1 x 2 : P 1 + P 2 = (x 3, y 3 ), hvor x 3 = m 2 x 1 x 2, y 3 = m(x 1 x 3 ) y 1 og m = y 2 y 1 x 2 x 1. y 1 = 0: 2P 1 =. y 1 0: 2P 1 = (x 3, y 3 ), hvor x 3 = m 2 2x 1, y 3 = m(x 1 x 3 ) y 1 og m = 3x2 1 +a 2y 1. : P 1 + = + P 1 = P 1, samt + =.

14 8 Kapitel 2 Grundlæggende definitioner 2.5 Weilparring Weilparringen er en parring, der blandt andet, som vi skal se senere, kan bruges til at oversætte det diskrete logaritmeproblem (se afsnit 4.1) i E(K) til et tilsvarende i F q m, hvor q er et primtal. Før vi definerer Weilparringen, vil vi lige betragte følgende Torsionspunkter Et torsionspunkt P i E(K) er et punkt, der opfylder, at der findes et heltal n > 1, så at np = (identiteten). Hvis np =, kalder vi P for et n te torsionspunkt. Endvidere definerer vi { } E[n] := P E(K) : np =, det vil sige, E[n] er mængden af alle n te torsionspunkter. Følgende vigtige sætning om E[n] er vist i Elliptic Curves: Number Theory and Cryptography, kapitel , s Sætning 2.3. Lad k = char K. Hvis k = 0 eller k n, er E[n] = Z n Z n. Hvis k 0 og k n, kan vi skrive n = k r m, hvor k m. Da er E[n] = Z m Z m eller E[n] = Z n Z m. Bemærk, at k = k 1 1, så E[k] = Z 1 Z 1 = {0} eller E[k] = Z k Z 1 = Z k. I første tilfælde kaldes E super singulær, mens E i andet tilfælde kaldes ordinær Endomorfier på E I forbindelse med Weilparringen skal vi betragte endomorfier på en elliptisk kurve E, som vi definerer til at være homomorfier på gruppen af punkter på E ind i sig selv, der kan udtrykkes som to rationelle funktioner. Definition 2.4. Lad E være en elliptisk kurve over et legeme K. En endomorfi på E er en funktion ϕ : E(K) E(K), som opfylder, at for alle P 1, P 2 E(K), er ϕ(p 1 + P 2 ) = ϕ(p 1 ) + ϕ(p 2 ), og der findes rationelle funktioner R 1, R 2 med koefficienter i K, så at for (x, y) E(K), er ϕ(x, y) = (R 1 (x, y), R 2 (x, y)). Bemærk, at for (x, y) E(K) gælder der, at y 2 = x 3 + ax + b, så hvis R er en rationel funktion, kan vi, ved at erstatte y 2 med x 3 + ax + b, skrive R(x, y) på formen R(x, y) = p(x) + y p(x) (p(x) + y p(x)) (q(x) y q(x)) = q(x) + y q(x) (q(x) + y q(x)) (q(x) y q(x)) = p(x)q(x) y2 p(x) q(x) y (q(x) p(x) p(x) q(x)) q(x) 2 y 2 q(x) 2 [ p(x)q(x) ( x 3 + ax + b ) ] [ ] p(x) q(x) + y p(x) q(x) q(x) p(x) = q(x) 2 (x 3 + ax + b) q(x) 2 = ρ 1(x) + yρ 2 (x), (2.4) ρ 3 (x) hvor alle p, p, q, q, ρ 1, ρ 2, ρ 3 er polynomier i x.

15 2.5 Weilparring 9 For (x, y) E(K) har vi jo, at (x, y) + (x, y) =, dette vil sige, at (x, y) = (x, y), så hvis vi betragter en endomorfi ϕ : E(K) E(K) givet ved rationelle funktioner R 1 og R 2, har vi, at (R 1 (x, y), R 2 (x, y)) = ϕ(x, y) = ϕ( (x, y)) = ϕ(x, y) = (R 1 (x, y), R 2 (x, y)) = (R 1 (x, y), R 2 (x, y)), hvilket viser, at R 1 (x, y) = R 1 (x, y), samt at R 2 (x, y) = R 2 (x, y). Sammenholdes indentiteten R 1 (x, y) = R 1 (x, y) med ligning (2.4) ses det, at det til R 1 hørende ρ 2 -polynomium, må være det konstante polynomium 0. Og på tilsvarende vis ses det ved at sammenholde identiteten R 2 (x, y) = R 2 (x, y) med ligning (2.4), at det til R 2 hørende ρ 1 -polynomium må være 0-polynomiet. Alt i alt kan det sluttes, at en endomorfi på en elliptisk kurve E er givet ved rationelle funktioner r 1, r 2 i x, sådan at ϕ(x, y) = (r 1 (x), yr 2 (x)). Skriv nu r 1 (x) = 1(x) 2 (x) og r 2(x) = 3(x) 4 (x), hvor 1 og 2 henholdsvis 3 og 4 ikke har nogen fællesrødder. Da (r 1 (x), yr 2 (x)) E(K) har vi, at (x 3 + ax + b) 3 (x) 2 ( 4 (x) 2 = y 3(x) 4 (x) ) 2 = r 2 (x) 2 = r 1 (x) 3 + ar 1 (x) + b = ( ) 1 (x) 3 + a 1(x) 2 (x) 2 (x) + b = 1(x) 3 + a 1 (x) 2 (x) 2 + b 2 (x) 3 2 (x) 3 = u(x) 2 (x) 3, hvor u ikke har nogen rødder tilfælles med 2. Antag nemlig for modstrid, at u(x 0 ) = 2 (x 0 ) = 0. Da har vi, at 0 = u(x 0 ) = 1 (x 0 ) 3 + a 1 (x 0 ) 2 (x 0 ) 2 + b 2 (x 0 ) 3 = 1 (x 0 ) 3, det vil sige, at en fællesrod for u og 2 vil også være en rod i 1, hvilket er i modstrid med, at 1 og 2 ikke har nogen fælles rod. Da må vi konkludere, at u og 2 ikke har nogen fælles rod. Ved at gange igennem med 2 4 og 3 2 fås, at (x 3 + ax + b) 3 (x) 2 2 (x) 3 = u(x) 4 (x) 2, hvor vi bemærker, at pr. konstruktion har 3 og 4 ingen fælles rødder, samt at (x 3 +ax+b) ikke har nogen dobbeltrødder. Dette giver os nu, at hvis x 0 er en rod i 4, må den dermed være en dobbeltrod i polynomiet på højresiden, og dermed også en dobbeltrod i venstresiden. Den kan maksimalt være en enkeltrod i (x 3 + ax + b), og den kan ikke være en rod i 3, så vi må dermed have, at 2 (x 0 ) = 0. Dette viser, at hvis 2 (x 0 ) 0, vil 4 (x 0 ) 0. Sagt på en anden måde viser ovenstående, at r 2 er defineret for alle de x, hvor r 1 også er det, og r 1 er defineret alle de steder, hvor 2 0. Nu vælger vi blot at sætte ϕ(x, y) = for de x, hvor 2 (x) = 0. Hvis K = R giver dette god mening i forhold til vores diskussion af punkterne på en elliptisk kurve ovenfor, idet vi pr. konstruktion har, at hvis 2 (x 0 ) = 0, vil 1 0 i en tilpas lille omegn U af x 0, og på U vil r 1 være ubegrænset, idet 2 nærmer sig 0, så ϕ må gå i mod punktet i uendelig. Denne intuition virker naturligvis ikke i generelle K, hvor vi ikke på samme måde kan snakke om omegne. På denne måde har vi nu givet mening til, hvad det vil sige, at ϕ er defineret ved rationelle funktioner også når de rationelle funktioner som udgangspunkt ikke var definerede i et punkt. Bemærk desuden, at ϕ( ) =, fordi ϕ er en homomorfi.

16 10 Kapitel 2 Grundlæggende definitioner Når ϕ er på formen ϕ(x, y) = (r 1 (x), yr 2 (x)), hvor r 1 (x) = 1(x) 2 (x), og 1 og 2 ikke har nogen fælles rødder, definerer vi graden af ϕ til at være deg(ϕ) = max {deg( 1 ), deg( 2 )}, hvor veldefineretheden følger af, at 1 og 2 antages til ikke at have nogen fælles rødder. Definition 2.5. Lad notationen være som i diskussionen ovenfor. Antag endvidere, at ϕ 0. Vi siger, at ϕ er separabel, hvis r 1 er forskellig fra 0-polynomiet. Eksempel 2.6. Lad P = (x, y) E(K) \ { } være et punkt på en elliptisk kurve. Fra sætning 2.2 ser vi, at når y 0, er 2P = (R 1 (x, y), R 2 (x, y)), hvor R 1 (x, y) = ( 3x 2 ) 2 + a 2x 2y = 9x4 + 6ax 2 8xy 2 + a 2 4y 2 R 2 (x, y) = 3x2 + a 2y = 3x2 + a 2y (x R 1 (x, y)) y ( x 9x4 + 6ax 2 8xy 2 + a 2 ) 4y 2 y = 27x6 27ax x 3 y 2 9a 2 x axy 2 8y 4 a 3 8y 3, hvor vi ser, at R 1 og R 2 begge er rationelle funktioner, det vil sige, at afbildningen P ϕ 2P er givet ved to rationelle funktioner, ϕ(x, y) = (R 1 (x, y), R 2 (x, y)). Hvis vi nu forlænger brøken i R 2 (x, y) med y og udnytter, at y 2 = x 3 + ax + b, fås, at R 1 (x, y) = x4 2ax 2 8bx + a 2 4x 3 + 4ax + 4b = r 1 (x) R 2 (x, y) = y x6 + 5ax bx 3 5a 2 x 2 4abx + a 3 8b 2 8x ax bx 3 + 8a 2 x abx + b 2 = yr 2 (x) Her ser vi, at ϕ er på formen ϕ(x, y) = (r 1 (x), yr 2 (x)). Hvis y = 0 eller P = fås, at 2P =, hvilket også passer med, at vi i disse tilfælde har, at ϕ(p ) = (hvis y = 0, vil tælleren 4x 3 + 4ax + 4b i r 1 (x) nemlig også være det). Bemærk desuden, at 2(P + Q) = 2P + 2Q på grund af, gruppestrukturen i E(K) er abelsk, så ϕ er en homomorfi. Alt i alt fås, at afbildningen P 2P er en endomorfi på E. Et andet vigtigt eksempel på en endomorfi på E er den såkaldte Frobeniusendomorfi. Lad E være defineret over det endelige legeme F p, hvor p er et primtal. Definer nu φ p : E(F p ) E(F p ) ved, at φ p (x, y) = (x p, y p ). Bemærk, at vi oplagt har, at hvis φ p er en homomorfi, så vil den også være en endomorfi af grad p. Sætning 2.7. Lad E være en elliptisk kurve, defineret over et endeligt legeme F p, hvor p er et primtal. Lad φ p : E(F p ) E(F p ) være defineret ved, at φ p (x, y) = (x p, y p ), da er φ p en ikke-separabel endomorfi på E af grad p.

17 2.5 Weilparring 11 Bevis. Som nævnt ovenfor mangler vi blot at vise, at φ p er en homomorfi. Lad til dette P 1, P 2 E(F p ), og betegn P 3 = P 1 + P 2. Antag først, at P 1, P 2. Skriv P 1 = (x 1, y 1 ) og P 2 = (x 2, y 2 ), og antag, at x 1 x 2. Da har vi fra sætning 2.2, at P 3 = P 1 + P 2 = (x 3, y 3 ), med x 3 = m 2 x 1 x 2, y 3 = m(x 1 x 3 ) y 1, og m = y 2 y 1 x 2 x 1. Vi må vise, at φ p (P 1 + P 2 ) = φ p (P 1 ) + φ p (P 2 ), altså at (x p 3, yp 3 ) = (xp 1, yp 1 ) + (xp 2, yp 2 ). Bemærk nu, at ovenstående sammen med Freshmans Dream 1 giver, at x p 3 = (m 2 x 1 x 2 ) p = m 2 x p 1 xp 2, y p 3 = (m(x 1 x 3 ) y 1 ) p = m(x p 1 xp 3 ) yp 1, ( ) hvor m = m p = y2 y p 1 x 2 x 1 = (y 2 y 1 ) p (x 2 x 1 ) p = yp 2 yp 1 x p, hvilket netop er det fra sætning 2.2 m, som 2 xp 1 passer til additionen φ p (P 1 ) + φ p (P 2 ). Dette viser præcis det ønskede, nemlig at φ p (P 1 + P 2 ) = φ p (P 3 ) = (x p 3, yp 3 ) = (xp 1, yp 1 ) + (xp 2, yp 2 ) = φ p(p 1 ) + φ p (P 2 ). Hvis P 1, P 2, samtidig med P 1 P 2, men x 1 = x 2, så er P 3 =. Da er det klart, at x p 1 = xp 2, så φ p(p 1 ) + φ p (P 2 ) = = φ p (P 3 ) (bemærk, at y 1 y 2 y p 1 yp 2 ). Hvis P 1 og/eller P 2 er (antag uden tab af generalitet, at P 1 = ) fås, at P 1 +P 2 = P 2, så φ p (P 1 ) + φ p (P 2 ) = + φ p (P 2 ) = φ p (P 2 ) = φ p (P 1 + P 2 ). Nu mangler vi blot tilfældet, hvor P 1 = P 2, det vil sige, der skal vises, at φ p (2P 1 ) = 2φ p (P 1 ). Igen går vi til sætning 2.2 og ser, at 2P 1 = P 3 = (x 3, y 3 ), hvor x 3 = m 2 2x 1, y 3 = m(x 1 x 3 ) y 1, med m = 3x2 1 + a 2y 1. Ligesom i første tilfælde opløfter vi nu alle ligningerne i p te potens og udnytter Freshmans Dream. Dette giver, at hvor m = x p 3 = m2 (2x 1 ) p = m 2 (x 1 + x 1 ) p = m 2 2x p 1, yp 3 = m(xp 1 xp 3 ) yp 1, ( 3x 2 1 +a 2y 1 ) p = 3 p x 2p 1 +ap 2y p 1 = 3(xp 1) 2 +a 2y p. Bemærk, at a F p, så det er Fermats Lille 1 Sætning, 2 der giver, at a p = a og 3 p = 3. Nu er det klart, at φ p (2P 1 ) = 2φ p (P 1 ) som ønsket. Alt i alt fås, at φ p er en homomorfi, og vi kan da konkludere, at det er en endomorfi på E. Vi ser videre, at d dx xp = px p 1 = 0, fordi char F p = p, så φ p er ikke separabel Weilparring Lad ζ K opfylde, at ζ n = 1. Da kalder vi ζ for en n te enhedsrod. Hvis der desuden gælder, at ζ k 1 for k = 1,..., n 1, kaldes ζ for en primitiv n te enhedsrod. For at gøre dette klart, skriver { vi af og til ζ n.} Lad nu µ n = ζ K : ζ n = 1 være mængden af alle n te enhedsrødder. Bemærk, at ( 1 n = 1, samt at for ζ (1), ζ (2) µ n har vi, at ζ (1) ζ (2)) n = ζ (1) n ζ (2)n = 1 1 = 1, hvilket viser, at µ n er en undergruppe af K = K \ {0}. Nu gælder følgende sætning, som vi postulerer uden at bevise den. Bevises findes i Elliptic Curves: Number Theory and Cryptography, kapitel Lauritzen, 2003, s Ibid., s. 26.

18 12 Kapitel 2 Grundlæggende definitioner Sætning 2.8. Lad K være et legeme, og lad E være en elliptisk kurve, defineret over K. Lad endvidere n N. Hvis char K n, findes der en parring der opfylder, at e n er bilineær. e n : E[n] E[n] µ n, ( T E[n] : e n (S, T ) = 1) S =, samt ( S E[n] : e n (S, T ) = 1) T =. e n (S, S) = 1 for alle S E[n]. hvis σ er en automorfi på K, der fikserer koefficienterne for E, dvs. a og b i ligning (2.1), så er e n (σs, σt ) = σ (e n (S, T )), hvor σs betyder, at vi anvender σ koordinatvis på S. hvis α er en separabel endomorfi på E, så er e n (α(s), α(t )) = e n (S, T ) deg α. hvis koefficienterne for E, dvs. a og b i ligning (2.1), begge kommer fra et endeligt legeme F q, og α er Frobeniusendomorfien, φ q, på E, så er e n (φ q (S), φ q (T )) = e n (S, T ) q. Det bør bemærkes, at der findes konstruktive beviser for eksistensen af Weilparringen, som giver en effektiv algoritme til at beregne den. Derfor vil vi fremover antage, at man kan finde Weilparringen. Da sætning 2.3 giver, at E[n] = Z n Z n, må der findes en basis for E[n] bestående af to elementer P, Q E[n] af orden n i E[n]. Lad ζ = e n (P, Q) og d Z opfylde, at ζ d = 1, som findes, fordi vi har, at ζ µ n. Vi har nu, at e n (P, dq) = e n (P, Q) d = ζ d = 1, og e n (Q, dq) = e n (Q, Q) d = 1 d = 1. Lad nu S E[n]. Da fås, at fordi {P, Q} er en basis for E[n], findes α, β Z, så S = αp + βq. Nu har vi, at e n (S, dq) = e n (αp + βq, dq) = e n (αp, dq) e n (βq, dq) = e n (P, dq) α e n (Q, dq) β = 1 α 1 β = 1. Det vil sige, e n (S, dq) = 1 for alle S E[n], hvilket giver, at dq =. Da Q har orden n, giver dette, at n d. Vi har nu vist, at for ζ µ n gælder, at ζ d = 1 n d. Dette betyder, at ζ er en primitiv n te enhedsrod. Vi opsummerer resultatet i et lemma: Lemma 2.9. Antag, at Weilparringen fra sætning 2.8 findes. Da findes en basis {P, Q} for E[n]. Hvis {P, Q} er en basis for E[n], så er e n (P, Q) en primitiv n te enhedsrod.

19 KAPITEL 3 Kryptering med Elliptiske Kurver Der findes overordnet to konceptuelt forskellige former for kryptering. Den formodentlig ældste af de to, der i øvrigt kan føres mere end 2500 år tilbage i tiden, 1 er symmetrisk kryptering, hvor den nøgle, der skal bruges til at kryptere en meddelelse er den samme, som den der skal bruges til at dekryptere meddelelsen (eller alternativt er det trivielt at finde dekrypteringsnøglen ud fra krypteringsnøglen). Denne type kryptering kræver, at man på fortrolig vis har udvekslet krypteringsnøglen, inden man starter kommunikationen, hvilket kan være rigtig upraktisk i for eksempel kommunikation via internettet, hvor man typisk sender informationerne gennem mange switche, før de når frem til modtageren. Den anden form for kryptering kaldes asymmetrisk kryptering eller offentlig nøglekryptering. Med denne form for kryptering konstruerer man to forskellige nøgler, en til at låse beskeden med og en til at låse den op igen. Det skal være sådan, at det er svært at deducere dekrypteringsnøglen ud fra krypteringsnøglen. Denne form for kryptering er specielt interessant, fordi den giver muligheden for at kommunikere fortroligt, uden man først skal mødes og aftale en nøgle. Man kan simpelthen tillade sig at skrive sin krypteringsnøgle i telefonbøgerne, hvorfor vi vil kalde denne for den offentlige nøgle. Dekrypteringsnøglen vil vi kalde den personlige nøgle eller den hemmelige nøgle. En variation af den asymmetriske krypteringsform bygger på at udveksle en nøgle til en symmetrisk krypteringsform på en sådan måde, at selvom man lytter med på linjen, er det svært at deducere nøglen ud fra de informationer, man opsnapper. Denne form for nøgleudveksling bliver behandlet i afsnit 3.1 nedenfor. Elliptiske kurver kan bruges til at lave asymmetrisk kryptering, hvis sikkerhed bygger på det diskrete logaritmeproblem (se afsnit 4.1), som under visse omstændigheder er et svært problem. Dette kapitel diskuterer to metoder til at benytte Elliptiske Kurver som grundlag for henholdsvis kryptering og digital signatur, nemlig Diffie Hellman Nøgleudveksling samt ElGamal Digital Signatur. 3.1 Diffie-Hellman Nøgleudveksling Antag, at vi har to personer, Alice og Bob, der ønsker at kommunikere fortroligt med hinanden, men at de ikke har mulighed for at mødes og på hemmelig vis aftale en krypteringsnøgle. Antag nemlig, at vi har en tredje person, Eve, der altid kan lytte med på samtalen mellem Alice og Bob. 1 Wikipedia, 2013, afsnittet Classical cryptography. 13

20 14 Kapitel 3 Kryptering med Elliptiske Kurver Alice kunne for eksempel være en kunde, mens Bob kunne repræsentere en webbutik. Eve kunne for eksempel være en fremmed person, der havde koblet sig på Alices internetforbindelse, så hun på den måde kan følge med i al trafik til og fra Alices computer. Det vil sige, at Alice og Bob skal finde en måde at aftale en krypteringsnøgle på, sådan at selvom Eve lytter med, vil det være rigtig svært for Eve at regne nøglen ud. Løsning, vi vil bruge, er at udveksle en hemmelig nøgle mellem Alice og Bob til brug med en symmetrisk kryptering. Fremgangsmåden er som følger: 1. Alice og Bob konstruerer en elliptisk kurve E over et endeligt legeme F p, sådan at det diskrete logaritmeproblem er svært (mere om dette i kapitel 4). 2. Alice og Bob bliver enige om et punkt P E(F p ), sådan at det diskrete logaritmeproblem er svært. Det vil ofte sige, at ordenen af P i E(F p ) er et stort primtal eller indeholder et stort primtal i sin faktorisering. 3. Alice vælger et (hemmeligt) tal a N og beregner punktet ap, som hun sender til Bob. 4. Bob vælger ligeledes et (hemmeligt) tal b N og beregner punktet bp, som han sender til Alice. 5. Bemærk, at E(F p ) er en abelsk gruppe, hvilket betyder, at både Alice og Bob nu kan beregne punktet abp = bap. 6. Sidste skridt for Alice og Bob er nu at udlede en krypteringsnøgle ud fra punktet abp, som kan bruges til en symmetriske kryptering. For eksempel kunne nøglen udledes fra af x-koordinaten, som jo er et element i F p. Bemærk, at al kommunikation mellem Alice og Bob foregår offentligt, forstået på den måde, at Eve kan lytte med. Det vil sige, at Eve kender det endelige legeme F p, den elliptiske kurve E, udgangspunket P samt de to beregnede punkter ap og bp. Diffie- Hellman-problemet er nu følgende: Problem 3.1. Givet et endeligt legeme F p, en elliptisk kurve E over F p, de tre punkter P, ap og bp, find punktet abp. 3.2 ElGamal Digital Signatur Når man indgår en aftale, skriver man oftest under på et dokument, hvorpå aftalen fremgår. Hvis det for eksempel er køb og salg af et hus, ville man skrive under på dokumentet med salgsaftalen. Hvis man skal overføre dette til den digitale verden, er det oplagt at indscanne sin underskrift og klistre den på dokumentet. Denne løsning er dog ikke specielt smart, da alle og enhver så kunne kopiere underskriften op klistre den på et vilkårligt dokument. Antag, at Alice skal underskrive et dokument, sådan at Bob er sikker på, at det er Alice, der har skrevet under. Dokumentet må gerne være offentligt tilgængeligt. Der findes en løsning til dette problem, der bygger på elliptiske kurver, sådan at Bob kan være sikker på, at Alice har underskrevet dokumentet. Først skal Alice lave en nøgle: 1. Alice vælger et endeligt legeme F p, en elliptisk kurve E over dette, samt et punkt P E(F p ), sådan at det diskrete logaritmeproblem er svært. Ligesom ovenfor vil det oftest sige, at ordenen af P indeholder et stort primtal. 2. Vælg et (hemmeligt) tal n Z og beregn Q = np. 3. Vælg nu en funktion f : E(F p ) Z, sådan at billedet f (E(F p )) er stort, samt at hvis man vælger to forskellige punkter fra E(F p ), vil de sandsynligvis give to forskellige

21 3.2 ElGamal Digital Signatur 15 værdier under afbildningen f. Hvis p er et primtal kan man for eksempel vælge f, så f(x, y) er repræsentanten for x, der ligger i {0, 1,..., p 1}. I så fald vil der for ethvert tal i billedmængden for f højst være to punkter fra E(F p ), der rammer det. Alices offentlige nøgle er nu (E, F p, f, P, Q), mens hendes private nøgle er tallet n. Lad d = ord P, det vil sige, d er det mindste tal fra N, så dp =. For at underskrive dokumentet vil Alice nu gøre følgende: 1. Lav en oversættelse af dokumentet, så det bliver repræsenteret som et tal m Z. Det kunne for eksempel gøres ved at anvende en hash-funktion. 2. Vælg et tilfældigt (hemmeligt) tal k Z, sådan at gcd(k, d) = 1. Beregn R = kp. 3. Beregn ydermere l = k 1 (m nf(r)), hvor k 1 Z skal forstås som invers i Z/dZ, det vil sige k 1 k = rd + 1 for et passende r Z, og kan findes i forbindelse med beregningen af gcd i skridt 2. Nu vil Alices underskrift være (m, l, R). Bemærk, at det kun er Alice, der kender k, som bruges til at konstruere både l og R. Sæt V 1 = f(r)q + lr. Bemærk, at V 1 = f(r)q + lr = f(r)np + lkp = nf(r)p + k 1 [k (m nf(r))] P = nf(r)p + kk 1 (m nf(r)) P = nf(r)p + (1 + rd) (m nf(r)) P = nf(r)p + mp nf(r)p + (m nf(r)) rdp = mp + nf(r)p nf(r)p + (m nf(r)) r = mp, Sæt nu V 2 = mp. Da V 1 kun beregnes ud fra Alices offentlige nøgle samt punktet R og tallet l, er Bob i stand til at beregne V 1. Tilsvarende er Bob i stand til at beregne V 2 ud fra Alices offentlige nøgle og dokumentet, der skal skrives under (som jo repræsenteres ved tallet m). Bemærk, at det er nok at angive l {0, 1,..., d 1}, hvor l l (mod d), idet der findes z Z, så z d, og l = l + z, hvilket giver, at l P = lp + zp = lp + = lp. Dette fortæller os, at vi kunne have brugt l i stedet for l i udregningen af V 1. V 2 afhænger kun af dokumentet samt Alices offentlige nøgle, mens udregningen af V 1 afhænger af Alices valg af k samt hendes offentlige og private nøgle. Hvis Alice har underskrevet dokumentet, er V 1 = V 2. Hvis Alice ikke har skrevet under, er det derfor usandsynligt, at Eve kan konstruere l og R, sådan at f(r)q + lr = mp, uden at løse det diskrete logaritmeproblem. Bob verificerer altså underskriften ved at beregne V 1 og V 2, samt checke, om V 1 = V 2. I bekræftende fald erklæres underskriften valid. Advarsel 3.2. Det er vigtigt, at Alice bruger forskellige (tilfældige) tal k, hver gang hun signerer et nyt dokument. Antag nemlig omvendt, at Alice bruger det samme k til at signere to forskellige dokumenter. Lad m, m repræsentere dokumenterne. Da vil underskriften på dokmenterne være de to tripletter (m, l, R) og (m, l, R ). Vi har nu, at R = kp = R, så vi indser, at k er blevet brugt to gange ved at se, at R = R. Da har vi, at kl m nf(r) (mod d), samt kl m nf(r) (mod d), hvilet giver, at k(l l ) m m (mod d). Lad δ = gcd (l l, d). Nu er der δ < d mulige værdier af k. Prøv dem alle sammen. Hvis d er et primtal, er δ = 1. Når Eve kender k, kan hun ud fra l finde nf(r) og derfor n, som hun kan bruge til at signere dokumenter i Alices navn.

22

23 KAPITEL 4 Angreb mod krypteringen For at kunne studere angreb på kryptering med elliptiske kurver (og for den sags skyld mange andre former for kryptering), skal vi have defineret hvilket problem, vi forsøger at løse. Lad os derfor betragte på det det diskrete logaritmeproblem samt den diskrete logaritme. 4.1 Det diskrete logaritmeproblem Antag, at a, b, p Z er kendte, hvor p er et primtal. Antag endvidere, at der findes et k Z, så a k b (mod p). (4.1) Det diskrete logaritmeproblem i klassiske forstand er opgaven at bestemme dette k. Bemærk, at da p er et primtal gælder der pr. Fermats lille sætning, 1 at a p 1 1 (mod p), så vi kan kun bestemme k modulo p 1. Bemærk også, at ligning (4.1) svarer til at løse følgende problem i specialtilfældet G = (Z/pZ) : Lad G være en gruppe, lad a, b G være kendte, sådan at der findes et k Z, så a k = b. Bestem k. Hvis G = n <, er det nok at bestemme k modulo n, og vi kan således nøjes med at lede efter ikke-negative k. Vi vil studere det diskrete logaritmeproblem i tilfældet, hvor G er den abelske gruppe E(F p ). I dette tilfælde formuleres det diskrete logaritmeproblem på følgende måde: Lad P, Q E(F p ), således, at der findes et k N, sådan at Bestem k. kp = Q (4.2) Bemærkning 4.1. Hvis Eve kan løse det diskrete logaritmeproblem, kan hun bryde krypteringen i ved både Diffie-Hellman Nøgleudveksling og ElGamal Digital Signatur. Ved Diffie-Hellman skal Eve blot finde enten a eller b for at kunne beregne abp og dermed kunne beregne krypteringsnøglen til den symmetriske kryptering. Ved ElGamal kan Eve finde k ud fra, at R = kp, hvorefter hun kan finde n, som det er nævnt i advarsel Hansen, 2012, sætning 8.10, s

24 18 Kapitel 4 Angreb mod krypteringen 4.2 Den diskrete logaritme Betragt en cyklisk gruppe G og lad g G være en generator for gruppen. Lad nu h G. Antag, at G = p. Da findes et unikt k {0, 1,..., p 1}, så h = g k. Ud fra dette k kan vi nu definere L : G {0, 1,..., p 1} ved, at L(h) = k. Vi kalder L(h) for den diskrete logaritme af h med hensyn til g i G. Bemærk, at hvis h 1, h 2 G, har vi, at g L(h 1h 2 ) = h 1 h 2 = g L(h 1) g L(h 2) = g L(h 1)+L(h 2 ). Bemærk endvidere, at hvis G = (Z/pZ), er h = g k det samme som at skrive h g k (mod p), når h og g opfattes som elementer fra Z. 4.3 Index Calculus Lad os betragte et angreb på det diskrete logaritmeproblem, der er designet på en sådan måde, at det som udgangspunk kun virker, når man arbejder i gruppen G = (Z/pZ), fordi man her kan udnytte primtalfaktorisering. Lad derfor g, h (Z/pZ), og antag, at der findes et k Z, så g k = h. Til Index Calculus-metoden skal man vælge en række primtal og så finde nogle potenser af g, som kan faktoriseres til et produkt af de valgte primtal. Herefter bruger man nogle lineær algebra-lignende metoder til at beregne den diskrete logaritme af de valgte primtal, hvorefter man bruger et lille trick for til sidst at finde L(h). Vi skal først se på algoritmen og derefter se på de lineær algebra-metoder, der skal bruges. Vi skal starte med at vælge en faktorbase B. Ofte er B mængden bestående af de første n N primtal, så vi lader altså B = {2, 3, 5, 7,..., q n } være mængden af de n første primtal. Nu beregner vi g x for nogle forskellige x N for at finde relationer på formen g x ± produkt af primtal fra B (mod p). Antag, at vi efter nogle beregninger har følgende relationer: g x 1 ( 1) r 1,0 q r 1,1 1 q r 1,2 2 q r 1,n n (mod p) g x 2 ( 1) r 2,0 q r 2,1 1 q r 2,2 2 q r 2,n n (mod p). g xm ( 1) r m,0 q r m,1 1 q r m,2 2 qn rm,n (mod p), som jævnfør bemærkningerne i afsnit 4.1 og 4.2 giver anledning til følgende relationer: x 1 r 1,0 L( 1) + r 1,1 L(q 1 ) + r 1,2 L(q 2 ) + + r 1,n L(q n ) (mod p 1) x 2 r 2,0 L( 1) + r 2,1 L(q 1 ) + r 2,2 L(q 2 ) + + r 2,n L(q n ) (mod p 1). x m r m,0 L( 1) + r m,1 L(q 1 ) + r m,2 L(q 2 ) + + r m,n L(q n ), (mod p 1). hvor m N og r i,j N 0 for alle (i, j) {1, 2,..., m} {0, 1, 2,..., n}. Mange af r i,j erne kan godt være lig med 0, men vi skal vælge relationer, sådan at der for alle j = 1, 2,..., n, findes et i {1, 2,..., m}, således r i,j 0. Bemærk, at vi vil ikke tillade, at der for noget i {1, 2,..., m} gælder, at r i,j = 0 for alle j = 0, 1, 2,..., n, fordi dette ville betyde, at g x i 1 (mod p). Dette betyder, at hvis vi opskriver matricen R = (r i,j ), vil den hverken have nul-rækker eller nul-søjler. Hvis nu m n, forsøger vi at løse ligningssystemet ved at bruge metoden fra afsnit og på denne måde finde L(q j ) for alle j = 1, 2,..., n.

25 4.3 Index Calculus 19 Nu beregner vi g k g y (mod p) for tilfældige y N, indtil vi støder på et tal, der kan faktoriseres til ± et produkt af primtal fra B. Dette giver os for et y N relationen g k g y ( 1) s0 q s 1 1 qs 2 2 qsn n (mod p), og vi får da, at L(g k ) s 0 L( 1) + s 1 L(q 1 ) + s 2 L(q 2 ) + + s n L(q n ) y (mod p 1), hvilket netop er den diskrete logaritme af h med hensyn til g. Der er nogle detaljer i dette angreb, vi ikke har fået kigget på. Man skal vælge en faktorbase, men størrelsen af B har blandt andet indflydelse på, hvor let det bliver at finde potenser af g, som kan faktoriseres til primtal i B. En stor faktorbase gør det lettere at finde kombinationerne. En stor faktorbase vil dog også gøre den lineær algebra, der skal bruges til at finde L(q i ) svær at regne på. Hvor stor, man skal vælge B, samt en beregning af den forventede kørselstid bliver kort behandlet i Elliptic Curves: Number Theory and Cryptography, s og især i nogen af de kilder, der henvises til på de pågældende sider. Den vigtigste pointe er, at algoritmens kørselstid er O ( exp ( 2 ln p ln ln p )), hvilket gør den hurtig i forhold til de andre angreb, vi skal studere nedenfor. Dog er det værd at bemærke, at Index Calculus-metoden ikke kan bruges direkte på E(F p ), fordi vi ikke på samme måde kan udnytte primtalsfaktorisering. Vi vil komme ind på, hvordan Index Calculus-algoritmen kan modificeres til at virke i vilkårlige endelige legemer karakteristik, men først vil vi betragte lineær algebra i Z/qZ, hvor q ikke nødvendigvis er et primtal Lineær algebra i Z/qZ Ovenfor var det nødvendigt at løse et ligningssystem modulo p 1, hvor p 1 ikke var et primtal, hvilket betyder, at et vilkårligt tal i Z/(p 1)Z ikke nødvendigvis har en invers. Som bekendt kan et ligningssystem skrives på matrixform, Ax = b, som har totalmatrix [A b]. Vi skal nedenfor se på en metode til at bringe totalmatricen på rækkeechelonform. Lad m, n, q N være naturlige tal. Lad A = (a i,j ) være en m n-matrix og b = (b i ) være en m-dimentionel vektor begge med indgange fra Z/qZ. Antag, at der findes en n-dimentionel vektor, x = (x j ) med indgange fra Z/qZ, sådan at Ax = b. Vi ønsker at løse følgende problem. Problem 4.2. Antag, at vi kender A og b. Find x. Hvis q er et primtal, er Z/qZ et legeme, og vi kan blot benytte Gaussisk elimination på matricen [A b] for at finde x. Denne tilgange virker imidlertid ikke generelt, fordi hvis q er et sammensat tal, findes der et r 1, sådan at r q. Da q = 0 i Z/qZ, vil r være en nuldivisor og dermed ikke en enhed i Z/qZ. Når vi i lineær algebra over et legeme sætter en matrix på rækkeechelonform, udnytter vi, at ethvert element har en invers. Vi skal altså opfinde en ny rækkeoperation, så vi kommer ud over problemet med nul-divisorer. Med inspiration fra lineær algebra over et legeme har vi følgende tre rækkeoperationer: Lad i, j {1, 2,..., m}, med i j, samt lad t Z/qZ og s (Z/qZ) : I: R i R j. II: R i sr i. III: R i R i + tr j.

26 20 Kapitel 4 Angreb mod krypteringen Bemærk, at som det er velkendt fra lineær algebra over legemer, kan disse operationer repræsenteres ved at gange en elementarmatrix på den oprindelige matrix. Disse elementarmatricer fremkommer ved at benytte den tilsvarende rækkeoperation på identitetsmatricen. Idet nedenstående rækkeoperationer kan ophæve ovenstående, har vi, at alle disse elementarmtricer er invertible. I: R i R j. II: R i s 1 R i. III: R i R i tr j. Når vi udfører Gausisk elimination på [A b], skal vi normalt lede igennem j te søjle efter en indgang, der ligger under plads j og er invertibel. Denne indgang skal vi først bringe til plads j, hvorefter vi skal gange dens inverse igennem på række j. Herefter skal vi introducere 0 er over og under. Denne strategi virker i et legeme, idet ethvert element forskelligt fra 0 er en enhed. I Z/qZ er det er ikke sikkert, der findes en indgang i søjle j, der ligger under plads j og er invertibel, selvom der skulle findes en, der er forskellig fra 0. Vi skal derfor følge en anden strategi, som også står nævnt i McCurley, 1990, s. 63. Find først en indgang i søjle j, der ligger under plads j, og som er forskellig fra 0. Bring denne til plads j med rækkeoperation I. Antag nu, at a j,j 0 og at a i,j 0. Nu ønsker vi at introducere et 0 på plads i, j. Brug Euklids Udvidede Algoritme 2 til at finde d, λ, µ Z, sådan at d = gcd (a i,j, a j,j ) = λa i,j + µa j,j. Foretag nu følgende to rækkeoperationer, som vi fremover vil kalde den euklidiske rækkeoperation: R j λr i + µr j R i a i,j d R j a j,j d R i. Det er klart, at hvis den delmatrix af A, som ligger til venstre for søjle j er på REF, vil den også være det efter denne rækkeoperation, når bare i > j. Lemma 4.3. Den euklidiske rækkeoperation svarer netop til at gange m m-matricen E = (e l,k ) på A fra venstre, hvor µ (l, k) = (j, j) λ (l, k) = (j, i) a i,j e l,k = d (l, k) = (i, j) a j,j d (l, k) = (i, i) 1 l = k, og (l, k) (i, i), (j, j) 0 l k, og (l, k) (j, i), (i, j) som er invertibel med invers E 1 = (e l,k ), hvor a j,j d (l, k) = (j, j) λ (l, k) = (j, i) a i,j e l,k = d (l, k) = (i, j) µ (l, k) = (i, i) 2 Hansen, 2012, sætning 2.3, s l = k, og (l, k) (i, i), (j, j) 0 l k, og (l, k) (j, i), (i, j)

27 4.3 Index Calculus 21 Bevis. Lad os starte med at vise, at EE 1 = I (identitetsmatricen). Vi har, at m (EE 1 ) = e l,h e h,k h=1 e j,j e j,j + e j,i e i,j (l, k) = (j, j) e j,j e j,i + e j,i e i,i (l, k) = (j, i) e i,j e j,j = + e i,i e i,j (l, k) = (i, j) e i,j e j,i + e i,i e i,i (l, k) = (i, i) e l,l l = k, og (l, k) (i, i), (j, j) 0 l k, og (l, k) (j, i), (i, j) µ aj,j d + λ ai,j d (l, k) = (j, j) µ λ + λ ( µ) (l, k) = (j, i) a i,j = d aj,j d a j,j d ai,j d (l, k) = (i, j) ( µ) (l, k) = (i, i) a i,j d λ a j,j d 1 l = k, og (l, k) (i, i), (j, j) 0 l k, og (l, k) (j, i), (i, j) hvor vi nu udnytter, at µ aj,j d + λ ai,j d = λa i,j+µa j,j d = d d = 1, og dermed kan konkludere, at EE 1 = I. Tilsvarende beregninger kan laves for at indse, at E 1 E = I. Skriv nu E og A på henholdsvis rækkeform og søjleform: E = e 1 e 2. e m, A = a 1 a 2 a m. For l i, j, er e l = (0,..., 0, 1, 0,..., 0), hvor 1-tallet står på plads l, så matrixproduktet a 1,1 a 1,2 a 1,m a j 1,1 a j 1,2 a j 1,m e e 1 a 1 e 1 a 2 e 1 a m j a 1 e j a 2 e j a m e 2 a 1 e 2 a 2 e 2 a m a j+1,1 a j+1,2 a j+1,m EA =..... = , e m a 1 e m a 2 e m a a i 1,1 a i 1,2 a i 1,m m e i a 1 e i a 2 e i a m a i+1,1 a i+1,2 a i+1,m a m,1 a m,2 a m,m hvor vi ser, at de eneste to rækker i A der ændres, netop er række j og række i.

28 22 Kapitel 4 Angreb mod krypteringen Betragt nu henholdsvis række j og række i, og indse, at ) ) (e j a 1 e j a 2 e j a m = (e j,i a i,1 + e j,j a j,1 e j,i a i,2 + e j,j a j,2 e j,i a i,m + e j,j a j,m ( ) ( ) = e j,i a i,1 a i,2 a i,m + e j,j a j,1 a j,2 a j,m ) ) = λ (a i,1 a i,2 a i,m + µ (a j,1 a j,2 a j,m, ) ) (e i a 1 e i a 2 e i a m = (e i,j a j,1 + e i,i a i,1 e i,j a j,2 + e i,i a i,2 e i,j a j,m + e i,i a i,m ( ) ( ) = e i,j a j,1 a j,2 a j,m + e i,i a i,1 a i,2 a i,m = a ) i,j (a j,1 a j,2 a j,m a ) j,j (a i,1 a i,2 a i,m, d d hvor vi nu ser, at E netop virker på A på den ønskede måde. Advarsel 4.4. Apriori kan vi ikke være sikre på, at man kan finde en indgang i søjle j, der ligger under plads j, og som er forskellig fra 0. Faktisk kunne man forestille sig, at søjle j var en 0-søjle. Man skal dog være opmærksom på, at den måde, hvorpå vi har konstrueret matricen, som vi i beviset har kaldt A, sørger for, at der ikke vil forekomme 0-søjler. Vi har nemlig konstrueret den ud fra Index Calculus-algoritmen, som den står beskrevet i afsnit 4.3. Her har vi sikret os, at ingen søjler bliver 0-søjler. Hvis vi skulle risikere, at der er en søjle j, hvor der er lutter 0-indgange under indgang j, skal vi blot lave finde endnu en relation, hvor primtal nr. j i faktorbasen B indgår. Vi kan nu tilføje denne som sidste række i matricen. Da vil der være en indgang under plads j i søjle j, som er forskellig fra 0. Det er klart, at der ikke er nogen forskel på, om vi tilføjer rækken før eller efter, vi har udført nogen rækkeoperationer, da rækkeoperationer, netop som navnet antyder, kun virker på én eller to udvalgte rækker ad gangen. Er man i et generelt tilfælde, hvor man ikke på samme måde kan undgå problemer med 0-søjler eller søjler, hvor alle indgange i søjle j, som ligger under plads j, er lig med 0, kan man stadig bruge metoden, som er beskrevet i dette afsnit. Tilgangen til problemet er præcis den samme som ved lineær algebra over et legeme: Man gør ikke mere ved søjle j og forsøger i stedet at få 0 er under plads j i søjle j + 1. Lad os nu betragte et eksempel, der viser flere ting. Det viser, hvordan man skal bruge Index Calculus-algoritmen til at finde den diskrete logaritme. Endvidere viser det, hvorfor det er vigtigt, at grundelementet er en generator for den multiplikative gruppe (Z/pZ), og det viser, hvordan man skal bruge den euklidiske rækkeoperation til at sætte matricen på rækkeechelonform. Eksempel 4.5. Lad p = 283, g = 28 og h = 281. Find k. Vælg B = {2, 3, 5, 7, 11, 13}. Vi regner i Z/pZ og beregner følgende relationer g 5 = 6 = 2 3 g 8 = 117 = g 17 = 110 = g 18 = 250 = g 35 = 49 = 7 2 g 59 = 24 = 2 3 3,