Κρυπτοσυστήματα Διακριτού Λογαρίθμου

Transcript

1 Κρυπτοσυστήματα Διακριτού Λογαρίθμου Παναγιώτης Γροντάς - Άρης Παγουρτζής ΕΜΠ - Κρυπτογραφία ( ) 29/11/ / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

2 Περιεχόμενα Διακριτός Λογάριθμος: Προβλήματα και Αλγόριθμοι Το κρυπτοσύστημα ElGamal Το κρυπτοσύστημα Cramer Shoup Σχήματα Δέσμευσης με βάση το DLP Ελλειπτικές Καμπύλες 2 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

3 Προβλήματα Διακριτού Λογαρίθμου I DLP - Το πρόβλημα του Διακριτού Λογαρίθμου Δίνεται μια κυκλική ομάδα G =< g > τάξης q και ένα τυχαίο στοιχείο y G Να υπολογιστεί x Z q ώστε g x = y δηλ. το log g y Z q CDHP - Το υπολογιστικό πρόβλημα Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 Να υπολογιστεί το g x 1 x 2 3 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

4 Προβλήματα Διακριτού Λογαρίθμου II DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Να εξεταστεί αν y = g x 1 x 2 ή ισοδύναμα DDHP - Το πρόβλημα απόφασης Diffie Hellman Δίνεται μια κυκλική ομάδα G =< g >, δύο στοιχεία y 1 = g x 1, y 2 = g x 2 και κάποιο y G Μπορούμε να ξεχωρίσουμε τις τριάδες (g x 1, g x 2, g x 1x 2 ) και (g x 1, g x 2, y); 4 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

5 Σχέσεις Προβλημάτων CDHP DLP Αν μπορούμε να λύσουμε το DLP, τότε μπορούμε να υπολογίζουμε τα x 1, x 2 από τα y 1, y 2 και στην συνέχεια το g x 1 x 2 DDHP CDHP Αν μπορούμε να λύσουμε το CDHP, υπολογίζουμε το g x 1 x 2 ελέγχουμε ισότητα με το y και Δηλαδή: DDHP CDHP DLP 5 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

6 Επιλογή Ομάδας Καθορίζει τη δυσκολία του προβλήματος Δύο επιλογές: (Z p, ) με p πρώτο (σε υποομάδα) (E(F p ), +) Διαφορετική παράμετρος ασφάλειας Κατά τα άλλα ισοδύναμες 6 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

7 Αλγόριθμοι DLP Brute Force Για ομάδα G =< g > τάξης q λ bits Δοκιμή όλων των x Z q μέχρι να βρεθεί τέτοιο ώστε g x = y Πολυπλοκότητα O(2 λ ) 7 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

8 Αλγόριθμος Baby step - Giant Step (Shanks) Αλγόριθμος Meet-In-The Middle Ισχύει x = ak b, k Z, x Z y = g ak g b yg b = g ak Θα υπολογίζουμε yg b και g ak μέχρι να συναντηθούν Ξεκινάμε στη μέση : k = q Giant steps - μέγεθος k:υπολογίζουμε g ak, a {0 q 1} και αποθηκεύουμε σε πίνακα Baby steps - μέγεθος 1: Υπολογίζουμε yg b, b {0 q 1} μέχρι να βρούμε το αποτέλεσμα στον παραπάνω πίνακα x = ak b Πολυπλοκότητα χώρου και χρόνου: O(2 λ 2 ) Μείωση χώρου με αλγόριθμους Pollard (ρ, λ) 8 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

9 Παράδειγμα Baby step - Giant Step Θέλουμε το 2 x = 17 (mod 29) στο Z 29 =< 2 > 29 = = 1 (mod 29) = 6 (mod 29) = 7 (mod 29) = 13 (mod 29) = 20 (mod 29) = 4 (mod 29) = 17 (mod 29) = 5 (mod 29) = 10 (mod 29) = 20 (mod 29) Άρα x = 24 3 = 21 Πράγματι: 2 21 = 17 (mod 29) 9 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

10 Αλγόριθμος Pohlig-Hellman - Ιδέα Παρατήρηση Η δυσκολία του DLP σε μια ομάδα G εξαρτάται από τη δυσκολία του στις διάφορες υποομάδες της. Πώς Παραγοντοποίηση της τάξης Για παράδειγμα στο Z p p 1 = m i=1 pe i i με p i πρώτο Smooth Number Μπορεί να παραγοντοποιηθεί σε μικρούς πρώτους 10 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

11 Αλγόριθμος Pohlig-Hellman - Βήματα Για κάθε μικρότερη ομάδα (modp ei i ) Παρατηρούμε ότι x pi a j {0,, p i 1} ei 1 = a 0 + a 1 p i + + a ei 1pi (mod p ei i ) με Πχ. αν παράγοντας του p 1 είναι το 4: x 2 = a 0 + a 1 2 (mod 4) Αποδεικνύεται (εύκολα) ότι: y p 1 p i p 1 a0 p = g i (mod p) Υπολογισμός a 0 με δοκιμές ή με αλγόριθμο Shanks Δημιουργούμε ακολουθία y j με y 0 = y y j = y g (a0+a1pi + +aj 1pi j 1) (mod p) Γενικεύοντας: y p 1 p j+1 i j = g aj p 1 p i υπολογίζουμε το a j Υπολογισμός για κάθε p i : a 0, y 1, a 1, y 2, a ei 1 Συνδυασμός λύσεων με CRT 11 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

12 Παράδειγμα Pohlig-Hellman I Θέλουμε το 2 x = 17 (mod 29) στο Z 29 =< 2 > 28 = x 2 = a 0 + 2a 1 (mod 4) και x 7 = a 0 (mod 7) Υπολογισμός a 0 για το x 2 y p 1 2 = g a 0 p = 28 = 2 14a 0 (mod 29) Άρα a 0 = 1 Υπολογισμός y 1 για το x 2 y 1 = yg a 0 = = = 23 (mod 29) 12 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

13 Παράδειγμα Pohlig-Hellman II Υπολογισμός a 1 για το x 2 y p = g a 1 p = 1 = 2 14a 1 (mod 29) Άρα a 1 = 0 Άρα x 2 = 1 (mod 4) Υπολογισμός a 0 για το x 7 y p 1 7 = g a 0 p = 1 = 2 4a 0 (mod 29) Άρα a 0 = 0 Άρα x 7 = 0 (mod 7) Από CRT: x = 21 Πιο αναλυτικό παράδειγμα 13 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

14 Δυσκολία DDHP I Θεώρημα To DDHP δεν είναι δύσκολο στην Z p Μπορεί να κατασκευαστεί αποδοτικός αλγόριθμος διαχωρισμού τριάδας DH g a, g b, g ab από μια τυχαία τριάδα g a, g b, g c. Πώς: Χρησιμοποιώντας το σύμβολο Legendre. To σύμβολο Legendre διαρρέει το DLP parity Από τον ορισμό: ( g x p ) = (g x ) p 1 2 Όμως: g p 1 = 1 (mod p) Άρα: g p 1 2 = 1 (mod p) Δηλαδή: ( g x p ) = ( 1)x Αν x μονός τότε ( g x p ) = 1 (g x QR) Αν x ζυγός τότε ( g x p ) = 1 (g x QR) 14 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

15 Δυσκολία DDHP II Για τυχαία τριάδα Prob[( g c p ) = 1] = 1 2 Για τριάδα DH: Prob[( g ab p ) = 1] = 3 4 ανεξάρτητο από τα ( g a p ), ( g b p ) Ο αλγόριθμος Υπολόγισε g c p, g b p, g c p Αν g c p = 1 και ( g a p = 1 ή g b p Επιστροφή Diffie Hellman Αλλιώς Επιστροφή Τυχαία Πλεονέκτημα: 3 8 (γιατί;) ΜΗ ΑΜΕΛΗΤΕΟ = 1) τότε 15 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

16 Επιλογή του G Συνέπειες Δουλεύουμε σε μεγάλη υποομάδα του Z p με τάξη πρώτο q Για παράδειγμα: Επιλογή safe prime: p = 2q + 1 με q πρώτο Δουλεύουμε στην υποομάδα τετραγωνικών υπολοίπων τάξης q Επιλογή schnorr primes p = k q + 1 με q πρώτο Παρ όλα αυτά: Yποεκθετικοί αλγόριθμοι (index calculus) Μεγέθη Symmetric Security p q 80 bits bits bits Εναλλακτικά: Ελλειπτικές καμπύλες 16 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

17 Ορισμός ElGamal Δημιουργία Κλειδιών: KeyGen(1 λ ) = (y = g x, x) Επιλογή δύο μεγάλων πρώτων p, q ώστε q (p 1) Δουλεύουμε στην υποομάδα τάξης q του Z p G με γεννήτορα g Επιλογή τυχαίου x Z q Υπολογισμός y = g x mod p Επιστροφή (y, x) Κρυπτογράφηση Επιλογή τυχαίου r Z q Encrypt(y, r, m) = (g r mod p, m y r mod p) Αποκρυπτογράφηση Decrypt(x, (a, b)) = b a x Ορθότητα Decrypt(x, Encrypt(y, r, m)) = my r (g r ) x = m 17 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

18 Πρακτικά Θέματα Πιθανοτική Κρυπτογράφηση: Ένα μήνυμα έχει πολλά πιθανά κρυπτοκείμενα Message expansion Κρυπτοκείμενο διπλάσιο του μηνύματος Επιτάχυνση Κρυπτογράφησης Κόστος: 2 υψώσεις σε δύναμη - 1 πολλαπλασιασμός Ύψωση σε δύναμη:δεν εξαρτάται από το μήνυμα (precomputation) 18 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

19 Ασφάλεια Κρυπτογράφησης ElGamal CDHP Αντιστοιχία δημοσίων στοιχείων g x 1 g r g x 2 y = g x Υπολογισμός g x 1x 2 αποκρυπτογράφηση Αν δεν μπορώ να αποκρυπτογραφήσω (χωρίς το κλειδί) δεν μπορώ να λύσω το CDHP 19 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

20 Επανάληψη τυχαιότητας Επίθεση KPA KPA: Γνωρίζουμε ζεύγη μηνυμάτων - κρυπτοκειμένου Επίθεση (c r, c 1 ) = Encrypt(y, r, m 1 ) = (g r mod p, m 1 y r mod p) (c r, c 2 ) = Encrypt(y, r, m 2 ) = (g r mod p, m 2 y r mod p) Αν γνωρίζω το (m 1, c 1 ): c 1 = m 1 y r mod p y r = c 1 m 1 1 Μπορώ να υπολογίσω το m 2 ως: m 2 = c 2 y r = c 2 c 1 m / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

21 Ασφάλεια σε επιθέσεις CPA I Θεώρημα Αν το DDHP είναι δύσκολο, τότε το κρυπτοσύστημα El Gamal διαθέτει ασφάλεια IND-CPA. Απόδειξη: Έστω ότι το ElGamal δεν διαθέτει ασφάλεια IND-CPA. Άρα A, ο οποίος μπορεί να νικήσει στο παιχνίδι CPA με μη αμελητέα πιθανότητα. Κατασκευή B : Είσοδος: τριάδα στοιχείων Εσωτερικά: Προσομοίωση του C στο παιχνίδι CPA και χρήση A Αποτέλεσμα: Ξεχωρίζει DH τριάδα από τυχαία 21 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

22 Ασφάλεια σε επιθέσεις CPA II Είσοδος: g α, g β, g c Στο CPA-GAME δημόσιο κλειδί y = g α Ο B απαντά στις κρυπτογραφήσεις του A Όταν ο A προκαλέσει με δύο μηνύματα o C διαλέγει τυχαίο bit {0, 1}, κρυπτογραφεί το M b με τυχαιότητα το g β και πολλαπλασιάζει με g c Τελικά στέλνει το: (g β, M b g c ) O A επιστρέφει την τιμή του bit Ο B εξάγει το bit 22 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

23 Ασφάλεια σε επιθέσεις CPA III Ανάλυση Για τριάδα DH: g c = (g α ) β = y β ο A θα λάβει ένα έγκυρο κρυπτοκείμενο ElGamal. H πιθανότητα να μαντέψει σωστά είναι τουλάχιστον: 1/2 + non-negl(λ). Για τυχαία τριάδα: ο A θα πρέπει να μαντέψει τυχαία Πιθανότητα επιτυχίας: 1 2. Τελική πιθανότητα επιτυχίας για B τουλάχιστον non-negl(λ) Μπορεί να ξεχωρίσει μία DH τριάδα από μία τυχαία με μη αμελητέα πιθανότητα. 23 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

24 Ασφάλεια σε επιθέσεις CPA IV 24 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

25 Ομομορφικές Ιδιότητες I Πολλαπλασιαστικός Ομομορφισμός Encrypt(y, r 1, m 1 ) Encrypt(y, r 2, m 2 ) = (g1, r m 1 y r 1 ) (g2, r m 2 y r 2 ) = (g r 1+r 2, (m 1 m 2 ) y r 1+r 2 ) = Encrypt(y, r 1 + r 2, m 1 m 2 ) 25 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

26 Ομομορφικές Ιδιότητες II Reencryption Encrypt(y, r 1, m) Encrypt(y, r 2, 1) = (g r 1, my r 1 ) (g r 2, y r 1 ) = (g r 1+r 2, my r 1+r 2 ) = Encrypt(y, r 1 + r 2, m) Αλλαγή της τυχαιότητας - Αλλαγή της μορφής του μηνύματος...χωρίς γνώση του ιδιωτικού κλειδιού Malleability 26 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

27 Ομομορφικές Ιδιότητες III Προσθετικός Ομομορφισμός - Εκθετικό ElGamal Κρυπτογράφηση του g m Encrypt (y, r, m) = (g r, g m y r ) Encrypt (y, r 1, m 1 ) Encrypt (y, r 1, m 1 ) = (g r 1, g m 1 y r 1 ) (g r 2, g m 2 y r 2 ) = (g r 1+r 2, g m 1+m2 y r 1+r 2 ) = Encrypt(y, r 1 + r 2, (m 1 + m 2 )) Αποκρυπτογράφηση: Λαμβάνουμε το g m Επίλυση εύκολου διακριτού λογαρίθμου. 27 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

28 Ασφάλεια σε επιθέσεις CCA To παραδοσιακό ElGamal δεν διαθέτει CCA-security Έστω ότι ο A μπορεί να αποκρυπτογραφήσει μηνύματα επιλογής του, εκτός του c. Στόχος: Αποκρυπτογράφηση του c = (G, M) = (g r, m b y r ) Κατασκευή c = (G, M ) = (G g r, M ay r ) = (g r+r, a m b y r+r ), όπου a επιλέγεται από τον A H αποκρυπτογράφηση του M ( M G x ) δίνει το am b και κατά συνέπεια το m b Αν m b = m 0 επιστρέφει b = 0 αλλιώς επιστρέφει b = 1 28 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

29 ElGamal CCA2: Cramer-Shoup cryptosystem I Ronald Cramer, Victor Shoup, Crypto 1998 Επέκταση του ElGamal Χρηση συνάρτησης σύνοψης H με collision resistance (δεν είναι απαραίτητη) Αν ισχυει η υπόθεση DDH, τότε παρέχει IND-CCA2 Δημιουργία Κλειδιών 29 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

30 ElGamal CCA2: Cramer-Shoup cryptosystem II Επιλογή πρώτων p, q με p = 2q + 1 G ειναι η υποομάδα ταξης q στο Z p Επιλογή random generators g 1, g 2 Επιλογή τυχαίων στοιχείων x 1, x 2, y 1, y 2, z Z q Υπολογισμός c = g x1 1 g x2 2 d = g y1 1 g y2 2 h = g1 z Δημόσιο Κλειδί: (c, d, h) Μυστικό Κλειδί: (x 1, x 2, y 1, y 2, z) 30 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

31 ElGamal CCA2: Cramer-Shoup cryptosystem III Κρυπτογράφηση Κωδικοποίηση μηνύματος m στο G Επιλογή τυχαίου r Z q Υπολογισμός u 1 = g r 1, u 2 = g r 2 e = mh r α = H (u 1 u 2 e) v = c r d rα Κρυπτογράφημα: (u 1, u 2, e, v) 31 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

32 ElGamal CCA2: Cramer-Shoup cryptosystem IV Αποκρυπτογράφηση Υπολογισμός α = H (u 1 u 2 e) Έλεγχος αν u x 1 1 ux 2 2 (uy 1 1 uy 2 2 )α = v. Σε περίπτωση αποτυχίας έξοδος χωρίς αποκρυπτογράφηση Σε περιπτωση επιτυχίας υπολογισμός m = e u1 z 32 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

33 ElGamal CCA2: Cramer-Shoup cryptosystem V Ορθότητα e u z 1 = mhr u z 1 = m g 1 zr g1 rz = m h, z αντιστοιχούν σε δημόσιο - ιδιωτικό κλειδί ElGamal u 1, e αντιστοιχούν στο κρυπτογράφημα του ElGamal Παρατηρήσεις u 2, v λειτουργούν ως έλεγχος ακεραιότητας, ώστε να μπορεί να αποφευχθεί το malleability Διπλάσια πολυπλοκότητα από ElGamal τόσο σε μέγεθος κρυπτοκειμένου, όσο και σε υπολογιστικές απαιτήσεις 33 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

34 DLP-based Commitment Schemes Επανάληψη Coin Flipping over the telephone Λύση: Commitment Schemes Hiding - Προστατεύει αποστολέα - καθώς δεν μπορεί να διαρρεύσει η τιμή του Binding - Προστατεύει παραλήπτη - καθώς ο αποστολέας δεν μπορεί να αλλάξει την τιμή του εκ των υστέρων Χρήση randomisation για προστασία από brute-force επιθέσεις 34 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

35 Pedersen commitment Επιλογή ομάδας με δύσκολο DLP από TTP Επιλογή πρώτου q ώστε p = 2q + 1 πρώτος G =< g > υπομάδα τάξης q του Z p Επιλογή x Z q και h = g x Δημοσιοποίηση g, G, p, q, h Δέσμευση: c = commit(m, r) = g m h r mod p Αποκάλυψη: Αποστολή m, r Επαλήθευση: c =? g m h r 35 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

36 Ιδιότητες I Information Theoretically Hiding c = g m h r mod p = g m+xr mod p Ακόμα και ένας παντοδύναμος αντίπαλος να μπορεί να λύσει το DLP θα έχει μία εξίσωση της μορφής d = m + xr (mod q) (2 άγνωστοι m, r - 1 εξίσωση) 36 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

37 Ιδιότητες II Computationally Binding αν το DLP είναι δύσκολο Έστω c = commit(m, r) = commit(m, r ) με m m ΑΤΟΠΟ g m h r = g m h r g m+xr = g m +xr m + xr = m + xr (mod q) x = m m r r 37 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

38 Ελλειπτικές καμπύλες Γενικά Πλούσιο σε ιστορία μαθηματικό αντικείμενο (200 έτη) Κρυπτογραφία: 80s Βασίζονται στο πρόβλημα DLP Αντικατάσταση του Z p με σημεία τους Μόνο γενικευμένοι αλγόριθμοι DLP O(2 λ 2 ) - όχι υποεκθετικοί Ίδια επίπεδα ασφάλειας με μικρότερη παράμετρο ασφάλειας και καλύτερη απόδοση RSA EC / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

39 Γενική μορφή Έστω F ένα σώμα. Ορισμός E(F) Mια ελλειπτική καμπύλη E πάνω από το F είναι το σύνολο των σημείων (x, y) F, που ικανοποιούν την εξίσωση Weierstrass y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 a 1, a 2, a 3, a 4, a 5, a 6 F και ένα στοιχείο O, - σημείο στο άπειρο Πρακτικά y 2 = x 3 + ax + b, a, b F 39 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

40 Ελλειπτικές καμπύλες στο R I y 2 = x 3 1 y 2 = x y 2 = x 3 x y 2 = x x 40 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

41 Ελλειπτικές καμπύλες στο R II Παρατηρήσεις: Συμμετρία ως προς άξονα x Συμπίεση σημείου (x, 0) ή (x, 1) για πάνω ή κάτω από τον άξονα των x Προς αποφυγή Singular καμπύλες: Πολλαπλές ρίζες, σημεία τομής Πρέπει 4a b / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

42 Αντίθετο Σημείου P σημείο στην E(R). To αντίθετο σημείο P 1 Αν P = O, τότε P = O 2 Αλλιώς αν P = (x, y) τότε P = (x, y) (ανήκει στην E λόγω συμμετρίας) 42 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

43 (Γεωμετρική) Πρόσθεση Σημείων I Tο άθροισμα P + Q Αν P = O, τότε O + Q = Q Αν Q = P, τότε P + Q = O. Το σημείο O. υπάρχει σε κάθε κατακόρυφη 43 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

44 (Γεωμετρική) Πρόσθεση Σημείων II Αν P Q τότε: Θεωρούμε την PQ Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο 44 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

45 (Γεωμετρική) Πρόσθεση Σημείων III Αν P = Q τότε: Θεωρούμε την εφαπτομένη στο P Βρίσκουμε το σημείο τομής R με την E. Βρίσκουμε το αντίθετο Αλγεβρική αναπαράσταση: Τριτοβάθμιες εξισώσεις με συντεταγμένες 45 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

46 Ομάδα Σημείων Ελλειπτικής καμπύλης Τα σημεία μιας ελλειπτικής καμπύλης αποτελούν αβελιανή ομάδα ως προς την πρόσθεση ουδέτερο στοιχείο O αντίθετο στοιχείο P πρόσθεση προσεταιριστική και αντιμεταθετική 46 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

47 Πολλαπλασιασμός σημείου με ακέραιο np = P + P + + P 47 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

48 Double and add Υπολογισμός np Απαιτούνται n 1 προσθέσεις Λύση: Square and multiply - Double and add 17P = P + 16P 2P = P + P 4P = 2P + 2P 8P = 4P + 4P 16P = 8P + 8P 48 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

49 από Discrete Elliptic Curve Plotter 49 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου Ελλειπτικές καμπύλες πάνω από το F p Ορισμός E(F p ) E = O {y 2 = x 3 + ax + b (x, y) F 2 p, (a, b) F 2 p : 4a b 2 0 (mod p), (mod p)} Παράδειγμα: y 2 = x (mod 997)

50 Η ομάδα των σημείων E(F p ) I Εύρεση τάξης ομάδας Εκθετικός αλγόριθμος Δοκιμές όλων των x {0,, p 1} Έλεγχος ποια ικανοποιούν την εξίσωση της καμπύλης Θ. Hasse p p E(F p ) p p Υπολογισμός: αλγόριθμος Schoof P με βελτιώσεις Elkiens, Atkin (SEA) 50 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

51 Η ομάδα των σημείων E(F p ) II Κυκλικές υποομάδες Κάθε σημείο μιας καμπύλης E(F p ) παράγει μια κυκλική υποομάδα Υπολογισμός τάξης υποομάδας E(F p ) Θεώρημα Lagrange:Η τάξη κάθε υποομάδας διαιρεί την τάξη της ομάδας Τάξη υποομάδας με σημείο βάσης (γεννήτορα) P Εύρεση τάξη ομάδας με αλγόριθμο Schoof Εύρεση των διαιρετών της τάξης, d Για σημείο βάσης P εύρεση min{d : dp = O} 51 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

52 Η ομάδα των σημείων E(F p ) III Εύρεση σημείων βάσης Θέλουμε γεννήτορες μεγάλων υποομάδων Ευρεση μεγάλου πρώτου q E Υπολογισμός h = E q Επιλογή τυχαίου σημείου P Υπολογισμός G = hp Αν G = O επανάληψη 52 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

53 Πρόβλημα ECDLP Δίνονται: Μία ελλειπτική καμπύλη E ορισμένη πάνω από το F p (p, a, b, #E) Μία μεγάλη υποομάδα της με τάξη q ένα σημείο βάσης G και ένα σημείο Y. Ζητείται: Να βρεθεί, αν υπάρχει, ακέραιος x τέτοιος ώστε xg = Y. Εικασία Το πρόβλημα ECDLP είναι υπολογιστικά απρόσιτο (όχι σε κάθε καμπύλη) 53 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

54 Ανταλλαγή Κλειδιού ECDH I Στόχοι Κατασκευή κοινού κλειδιού πάνω από δημόσιο κανάλι επικοινωνίας Σε EC: Το κοινό κλειδί είναι σημείο της καμπύλης Δημόσια επικοινωνία και συμφωνία σε σημείο P μιας ελλειπτικής καμπύλης E Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) 54 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

55 Ανταλλαγή Κλειδιού ECDH II Πρωτόκολλο H Alice επιλέγει έναν ακέραιο a {1,, q 1} Υπολογίζει το ag E και το δημοσιοποιεί. Ο Bob επιλέγει έναν ακέραιο b {1,, q 1} και δημοσιοποιεί το bg E Το δημόσιο κλειδί που θα χρησιμοποιούν στη συνέχεια είναι το P = a(bg) = b(ag) E 55 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

56 Κρυπτογραφία Δημοσίου Κλειδιού Παραλλαγή Κρυπτοσυστήματος ElGamal Δημιουργία κλειδιών Δημόσια Διαθέσιμες Παράμετροι: (p, a, b, #E, q, G) Ιδιωτικό κλειδί: Ένας τυχαίος ακέραιος x {1,, q 1} Δημόσιο κλειδί: Το σημείο Y = xg E Κρυπτογράφηση Κωδικοποίηση μηνύματος ως σημείο P m της E Επιλέγεται ένας τυχαίος ακέραιος k {1,, q 1} Κρυπτογράφημα: Encrypt(Y, P m ) = (kg, P m + ky ) Αποκρυπτογράφηση Υπολογισμός P m + ky x(kg) = P m 56 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

57 Κωδικοποίηση μηνύματος σε σημείο Hashed Elgamal 1ος τρόπος Χρήση συνάρτησης H : E M Κρυπτογράφηση: Encrypt(Y, P m) = (kg, m H(kY )) 2oς τρόπος Επιλογή τυχαίου α και αντικατάσταση των bits χαμηλής τάξης του με το m Επιλογή ενός από τα δύο πιθανά σημεία της καμπύλης 57 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

58 Πρότυπες καμπύλες Πρότυπο NIST FIPS ελλειπτικές καμπύλες. Για παράδειγμα: NIST P-256 y 2 = x 3 3x mod( ) Χρήση στην γεννήτρια τυχαιότητας Dual_EC_DRBG. NIST P-384 y 2 = x 3 3x mod( ) Φόβοι για υπονόμευση Εναλλακτικά: Secp256k1 (OpenSSL, Bitcoin) y 2 = x 3 + 0x + 7 mod ( ) Curve25519 (OpenSSH) y 2 = x x 2 + x mod ( ) 58 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

59 Επιλογή Καμπύλης To ECDLP δεν είναι δύσκολο σε όλες τις καμπύλες Δίνεται μια καμπύλη (p, a, b, #E, q, G) Πρόβλημα: Είναι ασφαλής (;) Επαληθευσιμότητα Επιλογή τυχαίου αριθμού s Υπολογισμός h = H(s) Παραγωγή των a, b από το h Επαληθευσιμο, αλλιώς a, b από αντιστροφή της σύνοψης Αλλά: Πρέπει το s να είναι πραγματικά τυχαίο! Nothing up my sleeve Το s προέρχεται από ψηφία του π, e,τριγωνομετρικών αριθμών 59 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου

60 Βιβλιογραφία I St. Zachos and Aris Pagourtzis. Στοιχεία Θεωρίας Αριθμών και Εφαρμογές στην Κρυπτογραφία. Πανεπιστημιακές Σημειώσεις Jonathan Katz and Yehuda Lindell. Introduction to Modern Cryptography (Chapman and Hall/Crc Cryptography and Network Security Series). Chapman and Hall/CRC, 2007 Nigel Smart. Introduction to cryptography Paar, Christof, and Jan Pelzl. Understanding cryptography: a textbook for students and practitioners. Springer Science-Business Media, Kiayias, Aggelos Cryptography primitives and protocols, UoA, 2015 Dan Boneh, Introduction to cryptography, online course Neal Koblitz and Alfred J. Menezes, A riddle wrapped in an enigma Jeremy Kun Introducing Elliptic Curves Andrea Corbellini Elliptic Curve Cryptography: a gentle introduction Torben Pryds Pedersen. Non-interactive and information-theoretic secure verifiable secret sharing. In CRYPTO 91, pages , 1991 Victor Shoup Why chosen ciphertext security matters, 1998 DR Stinson The Pohlig - Hellman Algorithm 60 / 60 (ΕΜΠ - Κρυπτογραφία ( )) Κρυπτοσυστήματα Διακριτού Λογαρίθμου