ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΥΛΟΠΟΙΗΣΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ ΒΑΣΙΣΜΕΝΗΣ ΣΕ ΕΛΛΕΙΠΤΙΚΕΣ ΚΑΜΠΥΛΕΣ ΠΑΝΩ ΣΕ BINARY EXTENSION GALOIS FIELDS GF(2 N )

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΕΡΓΑΣΤΗΡΙΟ ΣΧΕΔΙΑΣΜΟΥ ΟΛΟΚΛΗΡΩΜΕΝΩΝ ΚΥΚΛΩΜΑΤΩΝ ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΥΛΟΠΟΙΗΣΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ ΒΑΣΙΣΜΕΝΗΣ ΣΕ ΕΛΛΕΙΠΤΙΚΕΣ ΚΑΜΠΥΛΕΣ ΠΑΝΩ ΣΕ BINARY EXTENSION GALOIS FIELDS GF(2 N ) Διπλωματική Εργασία ΧΑΛΛΟΥΜΗ ΚΩΝΣΤΑΝΤΙΝΟΥ του ΚΥΡΙΑΚΟΥ ΦΟΙΤΗΤΗ ΤΟΥ ΤΜΗΜΑΤΟΣ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΕΠΙΒΛΕΠΩΝ: ΚΑΘΗΓΗΤΗΣ Ο. ΚΟΥΦΟΠΑΥΛΟΥ ΑΡΙΘΜΟΣ ΔΙΠΛΩΜΑΤΙΚΗΣ ΕΡΓΑΣΙΑΣ: /2007 ΜΑΙΟΣ

2 2

3 ΠΙΣΤΟΠΟΙΗΣΗ Πιστοποιείται ότι η διπλωματική εργασία με θέμα: ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΥΛΟΠΟΙΗΣΗ ΑΡΧΙΤΕΚΤΟΝΙΚΗΣ ΒΑΣΙΣΜΕΝΗΣ ΣΕ ΕΛΛΕΙΠΤΙΚΕΣ ΚΑΜΠΥΛΕΣ ΠΑΝΩ ΣΕ BINARY EXTENSION GALOIS FIELDS GF(2 N ) του φοιτητή του τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών Χαλλουμή Κωνσταντίνου του Κυριάκου (Α.Μ. 5223) Παρουσιάστηκε δημόσια και εξετάσθηκε στο Τμήμα Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών στις Ο Επιβλέπων Ο Διευθυντής του Τομέα Καθηγητής Καθηγητής Ο. Κουφοπαύλου Ε. Χούσος 3

4 ΕΥΧΑΡΙΣΤΙΕΣ Ευχαριστώ θερμά τον Καθηγητή κ. Ο. Κουφοπαύλου για τη βοήθεια του στην εκπόνηση της διπλωματικής μου εργασίας. Ευχαριστώ θερμά τον Καθηγητή κ. Θ. Στουραϊτη για τις πολύτιμες επισημάνσεις του. Επίσης τους ευχαριστώ για την συμμετοχή τους στην εξέταση της διπλωματικής μου εργασίας. Ευχαριστώ τον υποψήφιο Διδάκτορα κ. Α. Φούρναρη για τις πολύτιμες υποδείξεις του. 4

5 Περιεχόμενα Περιεχόμενα: Κεφάλαια σελ. 11 Πρόλογος σελ. 12 Κεφάλαιο 1: ΘΕΩΡΙΑ ΓΙΑ ΤΗΝ ΚΡΥΠΤΟΓΡΑΦΙΑ σελ Βασική ιδέα της Κρυπτογραφίας σελ Στόχοι Ασφάλειας σελ Κρυπτογράφηση συμμετρικού-κλειδιού σελ Κρυπτογράφηση δημοσίου-κλειδιού σελ Συστήματα RSA σελ Σχήμα κρυπτογραφίας του RSA σελ Σχήμα υπογραφής RSA σελ Συστήματα Διακριτού Λογαρίθμου (Δ.Λ.) σελ Κλειδί παραγωγής Διακριτού Λογαρίθμου σελ Σχήμα κρυπτογραφίας Διακριτού Λογαρίθμου σελ Σχήμα Υπογραφής Διακριτού Λογαρίθμου σελ Συστήματα ελλειπτικών καμπυλών σελ Γενικευμένο πρόβλημα Διακριτού Λογαρίθμου σελ. 28 Περιεχόμενα 5

6 Περιεχόμενα Ομάδες ελλειπτικών καμπυλών σελ Κλειδί παραγωγής των ελλειπτικών καμπυλών σελ Σχήμα κρυπτογράφησης ελλειπτικών καμπυλών σελ Συνολική ιδέα σελ Επιλογή συστήματος κρυπτογραφίας σελ. 36 Κεφάλαιο 2: ΜΑΘΗΜΑΤΙΚΟ ΥΠΟΒΑΘΡΟ σελ Η ιδέα των πολυωνύμων σελ Άθροιση μεταξύ πολυωνύμων σελ Διαίρεση μεταξύ πολυωνύμων σελ Αριθμητικά υπόλοιπα πολυωνύμων σελ Συνταύτιση υπολοίπου σε πολυώνυμο σελ Πεδία σελ Πεπερασμένα Πεδία σελ Αριθμητική των Πεπερασμένων Πεδίων σελ Κανονικοποιημένες Βάσεις σελ Ιδέα των Βέλτιστα Κανονικοποιημένων Βάσεων σελ. 45 Περιεχόμενα 6

7 Περιεχόμενα Βέλτιστα Κανονικοποιημένες Βάσεις σελ Θεωρία των Πεπερασμένων Πεδίων για Βέλτιστα Κανονικοποιημένες Βάσεις (Β.Κ.Β) σελ Β.Κ.Β. τύπου Ι (Βέλτιστα Κανονικοποιημένες Βάσεις τύπου Ι) σελ Β.Κ.Β. τύπου ΙΙ (Βέλτιστα Κανονικοποιημένες Βάσεις τύπου ΙΙ) σελ Μαθηματικά των ελλειπτικών καμπυλών με πραγματικούς αριθμούς σελ Μαθηματικά των ελλειπτικών καμπυλών πάνω σε πεδία πρώτων αριθμών σελ Μαθηματικά των ελλειπτικών καμπυλών πάνω από Galois πεδία σελ Αριθμητική των ελλειπτικών καμπυλών σελ Βέλτιστα Κανονικοποιημένες Βάσεις ελλειπτικών καμπυλών σελ Πολλαπλασιασμός πάνω σε ελλειπτικές καμπύλες σελ Παρουσίαση σημείου και ομάδα κανόνων σελ Αλγόριθμος Lopez-Dahab (LD) σελ. 57 Περιεχόμενα 7

8 Περιεχόμενα Κεφάλαιο 3: ΑΡΧΙΤΕΚΤΟΝΙΚΗ σελ Αρχιτεκτονική του συστήματος σελ Κεντρική μονάδα του πολλαπλασιαστή Massey-Omura σελ Καταχωρητής Περιστροφής Ψηφίων σελ Καταχωρητής Μετατόπισης Ψηφίων σελ Πολλαπλασιαστής Massey-Omura σελ Παράλληλη διάταξη πυλών XOR σελ Α.Μ. (Αριθμητική Μονάδα) σελ Καταχωρητής σελ Λογική των μονάδων του αποπολυπλέκτη, των καταχωρητών και του πολυπλέκτη σελ Μετρητής για τη Μ.Ε. (Μονάδα Ελέγχου) σελ Μ.Ε. (Μονάδα Ελέγχου) σελ. 82 A) Πίνακες και διάγραμμα για την Μονάδα Ελέγχου σελ. 82 B) Καταστάσεις για τον διπλασιασμό σημείου και της πρόσθεσης σημείου σελ Αρχιτεκτονική για όλο το σύστημα σελ Πίνακας αποτελεσμάτων σελ. 91 Περιεχόμενα 8

9 Περιεχόμενα Αρχιτεκτονική του συστήματος (Εναλλακτική περίπτωση) σελ Παράλληλος Πολλαπλασιαστής σελ. 97 Επίλογος σελ. 98 Παραρτήματα σελ. 99 Παράρτημα Α: VHDL σελ ΠΑ.1 Κεντρική μονάδα του πολλαπλασιαστή Massey- Omura [κώδικας (vhdl)] σελ ΠΑ.2 Καταχωρητής Περιστροφής Ψηφίων [κώδικας (vhdl)] σελ ΠΑ.3 Καταχωρητής Μετατόπισης Ψηφίων [κώδικας (vhdl)] σελ ΠΑ.4 Πολλαπλασιαστής Massey-Omura [κώδικας (vhdl)] σελ ΠΑ.5 Παράλληλη διάταξη πυλών XOR [κώδικας (vhdl)] σελ ΠΑ.6 Α.Μ. (Αριθμητική Μονάδα) [κώδικας (vhdl)] σελ ΠΑ.7 Καταχωρητής [κώδικας (vhdl)] σελ. 147 Περιεχόμενα 9

10 Περιεχόμενα -ΠΑ.8 Λογική των μονάδων του αποπολυπλέκτη, των καταχωρητών και του πολυπλέκτη [κώδικας (vhdl)] σελ ΠΑ.9 Μετρητής για τη Μ.Ε. (Μονάδα Ελέγχου) [κώδικας (vhdl)] σελ ΠΑ.10 Μ.Ε. (Μονάδα Ελέγχου) [κώδικας (vhdl)] σελ ΠΑ.11 Αρχιτεκτονική για όλο το σύστημα [κώδικας (vhdl)] σελ. 179 Παράρτημα Β: MATLAB σελ ΠΒ.1 Κώδικας Matlab σελ ΠΒ.2 Πίνακας από Matlab σελ. 184 Περιεχόμενα 10

11 Κεφάλαια Κεφάλαια: Περιεχόμενα: -ΠΡΟΛΟΓΟΣ σελ. 12 -Κεφάλαιο 1: ΘΕΩΡΙΑ ΓΙΑ ΤΗΝ ΚΡΥΠΤΟΓΡΑΦΙΑ σελ. 16 -Κεφάλαιο 2: ΜΑΘΗΜΑΤΙΚΟ ΥΠΟΒΑΘΡΟ σελ. 38 -Κεφάλαιο 3: ΑΡΧΙΤΕΚΤΟΝΙΚΗ σελ. 60 Κεφάλαια 11

12 Πρόλογος ΠΡΟΛΟΓΟΣ Οι Ελλειπτικές Καμπύλες (Ε/Κ) αποτελούν μια καινούργια και πολλά υποσχόμενη ιδέα για κρυπτογράφηση δεδομένων, αφού επιτυγχάνουν υψηλό βαθμό ασφάλειας με πολύ μικρό κλειδί. Στα πλαίσια της Διπλωματικής εργασίας θα γίνει μελέτη της θεωρίας των Ελλειπτικών Καμπυλών και των βασικών αρχών κλειστών πεδίων GF (2 n ) που ορίζονται πάνω σε Κανονικοποιημένες Βάσεις. Επίσης θα σχεδιαστούν και υλοποιηθούν σε υλικό (hardware), αρχιτεκτονικές που να βοηθούν την κρυπτογραφία πάνω σε ελλειπτικές καμπύλες, όπως άθροισμα σημείων, διπλασιασμός αλλά και πολλαπλασιασμός αριθμού με σημείο. Σκοπός είναι να επιτευχθεί μια κατάλληλη αρχιτεκτονική, τέτοια ώστε να επιτυγχάνεται ένα κατάλληλο σύστημα με μεγάλη ταχύτητα, δηλαδή υψηλή συχνότητα λειτουργίας και μικρό όγκο. Για να επιτευχθεί μια τέτοια αρχιτεκτονική, ξεκινάμε από μαθηματικό επίπεδο. Δηλαδή, χρησιμοποιούμε μαθηματικά πεπερασμένων πεδίων, έτσι ώστε να απαλειφθούν όλα τα κρατούμενα μ αποτέλεσμα να έχουμε πολύ μεγαλύτερη ταχύτητα και πολύ μικρότερο όγκο. Ακολούθως για να υλοποιηθούν κατάλληλα χρησιμοποιούνται για την ακρίβεια Βέλτιστες Κανονικοποιημένες Βάσεις (Β.Κ.Β.). Ακολούθως μέσω κατάλληλων αλγορίθμων γίνονται πράξεις επί των ελλειπτικών καμπυλών. Έτσι, με βάση τα παραπάνω και κατάλληλη εφαρμογή σε γλώσσα περιγραφής υλικού μπορεί να σχεδιαστεί η κατάλληλη αρχιτεκτονική που θα χρησιμοποιηθεί ακολούθως από το κατάλληλο κρυπτογραφικό πρωτόκολλο (σχήμα π.1): Στόχος Μεγάλη Ταχύτητα (υψηλή συχνότητα λειτουργίας) Μικρός όγκος (λίγα CLB s) Κρυπτογραφία Αρχιτεκτονική Πράξεις επί της ελλειπτικής καμπύλης Πράξεις μεταξύ σημείων του ορισμένου πεδίου Μαθηματικό Υπόβαθρο Σχήμα π.1: Στόχος προς υλοποίηση Πρόλογος 12

13 Πρόλογος Ακολούθως με βάση τα παραπάνω στοιχεία, πρέπει η συνολική εργασία να βασιστεί σε μια υποδομή, σύμφωνα με την οποία θα γίνει η διαστρωμάτωση και εκπόνηση αυτής της εργασίας. Έτσι πρώτα παρατίθεται η θεωρία για την κρυπτογραφία, όπου αναφέρονται κατάλληλα κρυπτογραφικά πρωτόκολλα που χρησιμοποιούν κατάλληλο μαθηματικό υπόβαθρο για την εξυπηρέτηση τους καθώς και μια σειρά κατάλληλων αλγορίθμων. Έτσι περνάμε στο μαθηματικό υπόβαθρο, όπου αναφέρονται εκείνα τα μαθηματικά σχήματα, που θα εξυπηρετήσουν κατάλληλα εκείνη την αρχιτεκτονική, που σε συνδυασμό με την κατάλληλη κρυπτογραφική λογική θα αποφέρουν τα επιθυμητά αποτελέσματα. Ακολούθως όσο αφορά το επίπεδο της αρχιτεκτονικής του συστήματος, παρουσιάζονται συστηματικά όλες οι επιμέρους μονάδες με τα κατάλληλα σήματα ελέγχου που τις διέπουν,είτε αυτά είναι εσωτερικά σήματα, είτε εξωτερικά σήματα, που μπορεί να είναι απλά σήματα ή σήματα ελέγχου. Βέβαια όλη αρχιτεκτονική χρησιμοποιεί κάποια ψηφία εισόδου που προέρχονται ύστερα από την κατάλληλη μαθηματική λογική και εφαρμόζονται κατάλληλα στη γλώσσα προγραμματισμού MATLAB (η γλώσσα Μatlab δεν παρουσιάζει προβλήματα στον υπολογισμό μεγάλου πλήθους πράξεων, όπως και το Mathematica, σ αντίθεση με τη C, που μόνο με δυναμική διαχείριση μνήμης μπορεί να διαχειριστεί τέτοιο πλήθος ψηφίων). Ώστε, να δώσει τα κατάλληλα αποτελέσματα που θα χρησιμοποιηθούν ως είσοδοι στην αρχιτεκτονική που θα υλοποιηθεί σε γλώσσα περιγραφής υλικού, τη VHDL. H VHDL είναι γλώσσα περιγραφής υλικού κατάλληλη για την περιγραφή της αρχιτεκτονικής του συστήματος. Στο σχήμα π.2 που παρατίθεται παρακάτω, φαίνεται η παραπάνω δομή. Θεωρία για την Κρυπτογραφία Μαθηματικό Υπόβαθρο VHDL MATLAB Αρχιτεκτονική Σχήμα π.2: Υλοποίηση της δομής του συστήματος Πρόλογος 13

14 Θεωρία για την Κρυπτογραφία - Περιεχόμενα Κεφάλαιο 1: ΘΕΩΡΙΑ ΓΙΑ ΤΗΝ ΚΡΥΠΤΟΓΡΑΦΙΑ Περιεχόμενα: -1.1 Βασική ιδέα της Κρυπτογραφίας σελ Στόχοι Ασφάλειας σελ Κρυπτογράφηση συμμετρικού-κλειδιού σελ Κρυπτογράφηση δημοσίου-κλειδιού σελ Συστήματα RSA σελ Σχήμα κρυπτογραφίας του RSA σελ Σχήμα υπογραφής RSA σελ Συστήματα Διακριτού Λογαρίθμου (Δ.Λ.) σελ Κλειδί παραγωγής Διακριτού Λογαρίθμου σελ Σχήμα κρυπτογραφίας Διακριτού Λογαρίθμου σελ Σχήμα Υπογραφής Διακριτού Λογαρίθμου σελ Συστήματα ελλειπτικών καμπυλών σελ Γενικευμένο πρόβλημα Διακριτού Λογαρίθμου σελ Ομάδες ελλειπτικών καμπυλών σελ. 29 Κεφάλαιο 1 - Περιεχόμενα 14

15 Θεωρία για την Κρυπτογραφία - Περιεχόμενα Κλειδί παραγωγής των ελλειπτικών καμπυλών σελ Σχήμα κρυπτογράφησης ελλειπτικών καμπυλών σελ Συνολική ιδέα σελ Επιλογή συστήματος κρυπτογραφίας σελ. 36 Κεφάλαιο 1 - Περιεχόμενα 15

16 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.1 Βασική ιδέα της Κρυπτογραφίας Η ιδέα της κρυπτογραφίας βασίζεται στο γεγονός ότι χρειάζεται να προστατεύονται τα δεδομένα που στέλνονται μεταξύ του πομπού και του δέκτη, από την παραβίαση τους από τρίτους (σχήμα 1.1α). A Κανάλι χωρίς ασφάλεια B C Σχήμα 1.1α: Κανάλι επικοινωνίας χωρίς ασφάλεια Δηλαδή αν έχουμε επικοινωνία μεταξύ του Α και του Β είτε αυτή αφορά την περίπτωση επικοινωνίας μεσώ διαδικτύου με , είτε την περίπτωση επικοινωνίας μέσω τηλεφωνικού δικτύου, στην παραπάνω περίπτωση είναι απροστάτευτη η μεταξύ τους επικοινωνία. Η επικοινωνία μεταξύ του Α και Β, μπορεί να παραβιαστεί από τον C. Ο C μπορεί να μάθει στοιχεία για τον Α ή τον Β. Γι αυτό πρέπει να τεθούν κάποιοι κανόνες προστασίας, ώστε να μπορεί να επικοινωνήσει ο Α με τον Β, χωρίς να υφίστανται παραβίαση από την περίπτωση εξωτερικής παραβίασης, από τον C. Δηλαδή, -Πρέπει να κρατιούνται τα δεδομένα υπό μυστικότητα, ώστε να μην είναι δυνατή η παραβίαση τους από τρίτους. -Ο δέκτης Β πρέπει να έχει την δυνατότητα να διακρίνει αν έχει παραβιαστεί η πληροφορία που έχει αποσταλεί από τον A. -O δέκτης Β πρέπει να έχει τη δυνατότητα να μπορεί να διακρίνει αν η πληροφορία που έχει αποσταλεί από τον Α έχει τη σωστή δομή και οργάνωση με την οποία αποστάλθηκε, δηλαδή να μην έχει υποστεί παραβίαση. -Ο δέκτης Β θα πρέπει να μπορεί να επιβεβαιώσει την ταυτότητα για την πηγή της πληροφορίας, δηλαδή τον Α. -Θα πρέπει ο αποστολέας Α να μην μπορεί να αρνηθεί ότι έστειλε μήνυμα στον Β. Γι αυτό χρησιμοποιούμε λύσεις όπως, αυτή της κρυπτογραφίας συμμετρικού κλειδιού ή της κρυπτογραφίας δημόσιου κλειδιού. Παρακάτω, στο σχήμα 1.1β, φαίνονται οι δυνατές επιλογές, ανάμεσα κρυπτογραφία δημόσιου κλειδιού και στην κρυπτογραφία συμμετρικού κλειδιού. Κεφάλαιο 2 - Περιεχόμενα 16

17 Μαθηματικό Υπόβαθρο - Περιεχόμενα Κρυπτογραφία Κρυπτογράφηση Συμμετρικού Κλειδιού Κρυπτογράφηση Δημόσιου Κλειδιού Σχήμα 1.1β: Κρυπτογραφία 1.2 Στόχοι Ασφάλειας Παρακάτω παρουσιάζονται βασικοί στόχοι στους οποίους πρέπει να στηρίζεται θεμελιακά, οι ασφάλεια των επικοινωνιών: 1. Εμπιστευτικότητα: Κρατώντας τα δεδομένα μυστικά από όλους. Δηλαδή, τα δεδομένα που στέλνονται από τον Α στον Β πρέπει να μην μπορούν να διαβαστούν από τον C. 2. Ακεραιότητα των δεδομένων: Πρέπει να εγκυάται ότι τα δεδομένα πρέπει να παραμένουν αμετάβλητα από αναρμόδιους. Δηλαδή, ο Β πρέπει να μπορεί να ανιχνεύσει αν τα δεδομένα που στάλθηκαν από τον Α, έχουν τροποποιηθεί από τον C. 3. Γνήσια πηγή των δεδομένων: Επιβεβαίωση για την πηγή των δεδομένων. Δηλαδή, ο Β θα πρέπει να μπορεί να επιβεβαιώσει ότι τα δεδομένα δίνονται από τον Α και οργανώνονται από τον Α. 4. Γνησιότητα εισόδου: Πρέπει να επιβεβαιώνει την εγκυρότητα της εισόδου. Δηλαδή, ο Β θα πρέπει να αποδεικνύει την ταυτότητα εισόδου επικοινωνίας. 5. Μη-αποκηρύξιμο: Εμποδίζει στην είσοδο να απαρνηθεί προηγούμενες αποστολές και ενέργειες. Δηλαδή, ο Β λαμβάνει ένα δεδομένο που έχει δοθεί από τον Α, τότε όχι μόνο ο Β αποδεικνύει ότι το μήνυμα προέρχεται από τον Α, αλλά μπορεί να το επιβεβαιώσει και σε τρίτη διεπαφή, ώστε ο Α να μην μπορεί να αρνηθεί ότι το μήνυμα στάλθηκε απ αυτόν. Κάποιες εφαρμογές παρέχουν και άλλες δικλίδες ασφαλείας όπως αυτήν της ανωνυμίας των εισόδων επικοινωνίας, ή έλεγχο εισόδου. Κεφάλαιο 2 - Περιεχόμενα 17

18 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.3 Κρυπτογράφηση συμμετρικού-κλειδιού Τα κρυπτογραφικά συστήματα διακρίνονται σε 2 ειδών κατηγορίες. Σε σχήμα συμμετρικού-κλειδιού, όπου οι είσοδοι επικοινωνίας πρώτον συμφωνούν ότι το κλειδί που χρησιμοποιείται συνδυάζει μυστικότητα και αυθεντικότητα. Ακολούθως, χρησιμοποιούν σχήμα συμμετρικού κλειδιού απόκρυψης πληροφοριών, όπως αυτό του Data Encryption Standard (DES), RC4, ή το Advanced Encryption Standard (AES), ώστε να επιτευχθεί εμπιστευτικότητα. Μπορεί επίσης να χρησιμοποιηθεί ο Message Authentication Code (MAC). O αλγόριθμος αυτός, όπως και ο HMAC υποστηρίζει την αυθεντικότητα των δεδομένων και την αυθεντικότητα προέλευσης των δεδομένων. Αν επιθυμούμε εμπιστευτικότητα και το μυστικό κλειδί που μοιράζεται από τον Α και τον Β, είναι το k, θα κρυπτογραφήσει τα μήνυμα m, χρησιμοποιώντας λειτουργία κρυπτογράφησης ENC και το k θα μεταφέρει το αποτέλεσμα της κρυπτογράφησης c = ENC k (m) στο Β. Στην παραλαβή το c, θα χρησιμοποιήσει τη λειτουργία αποκρυπτογράφησης DEC και το κλειδί k για να επαναφέρει το m = DEC k (c). Αν επιθυμούμε την ακεραιότητα των δεδομένων, δηλαδή την γνήσια ταυτότητα των δεδομένων, τότε τα Α και Β πρέπει να συμφωνούν για το μυστικό κλειδί k, ακολούθως το Α να υπολογίζει την αυθεντικότητα tag(t) = MAC k (m) του μη αποκρυπτογραφημένου μηνύματος m, χρησιμοποιώντας τον αλγόριθμο MAC και το κλειδί k. To Α θα στείλει το m και το t στο Β. Στην παραλαβή το m και το t, που θα ληφθούν από τον Β, θα χρησιμοποιηθούν από τον αλγόριθμο MAC και το ίδιο κλειδί k, για τη διαδικασία υπολογισμού του tag(t) = MAC k (m) του m και έτσι λαμβάνει το μήνυμα από τον Α αν το t = t. Στην κρυπτογραφία με συμμετρικό κλειδί, χρησιμοποιείται αποκλειστικά και μόνο, ένα κλειδί το οποίο πρέπει να γνωρίζει ο πομπός αλλά και ο δέκτης ώστε να μπορεί να κρυπτογραφηθεί το μήνυμα από τον πομπό, αλλά και να αποκρυπτογραφηθεί από τον δέκτη. Έτσι με τη χρήση του κλειδιού επιτυγχάνεται μυστικότητα και αυθεντικότητα του μηνύματος. Αναμασά στον κάθε πομπό και δέκτη πρέπει να υπάρχει ένα ξεχωριστό κλειδί το οποίο θα γνωρίζουν μόνο αυτοί οι δύο, ώστε να μπορέσει να μεταβιβαστεί το μήνυμα από τον πρώτο στον δεύτερο με ασφάλεια. Παρακάτω φαίνεται το σχήμα για την κρυπτογραφία με συμμετρικό κλειδί [Κρυπτογραφία με συμμετρικό κλειδί (σχήμα 1.1γ)]: Κεφάλαιο 2 - Περιεχόμενα 18

19 Μαθηματικό Υπόβαθρο - Περιεχόμενα Κανάλι με μυστικότητα και αυθεντικότητα A Κ ανάλι χωρίς ασ φάλεια B C Σχήμα 1.1γ: Κρυπτογραφία με συμμετρικό κλειδί 1.4 Κρυπτογράφηση δημοσίου-κλειδιού Στην προκειμένη περίπτωση χρησιμοποιείται η περίπτωση της κρυπτογραφίας δημόσιου κλειδιού, στην οποία χρησιμοποιείται μόνο η ιδιότητα της αυθεντικότητας των στοιχείων και όχι και της μυστικότητας, όπως συμβαίνει με τη κρυπτογραφία συμμετρικού κλειδιού. Δηλαδή σ αυτή την περίπτωση επιβεβαιώνεται μόνο η αυθεντικότητα στις επικοινωνιακές μονάδες, που ανταλλάσσουν κλειδιά τα οποία είναι αυθεντικά. Χρησιμοποιούν ένα ζευγάρι από keys (c,d), όπου το c αντιστοιχεί σε δημόσιο κλειδί και το d σε ιδιωτικό κλειδί. Το d χρησιμοποιείται για να πιστοποιεί ότι η μονάδα κρατά μυστικό. Τα κλειδιά έχουν το προτέρημα ότι, το ιδιωτικό κλειδί μπορεί να εισχωρήσει σε πληροφορίες του δημοσίου κλειδιού: 1. Εμπιστευτικότητα: Αν η είσοδος Α επιθυμεί να στείλει στην είσοδο Β ένα εμπιστευτικό μήνυμα m, αποκτά ένα αυθεντικό αντίγραφο του Β με δημόσιο κλειδί e b και χρησιμοποιεί τον κρυπτογραφικό μηχανισμό του σχήματος ENC για δημόσιο-κλειδί του Α, που χρησιμοποιείται για την κρυπτογράφηση και υπολογίζει στο κρυπτογραφημένο μήνυμα ότι, c = ENC eb (m). Το α μεταβιβάζει στο Β το c, όπου με τη σειρά του το Β χρησιμοποιεί λειτουργία αποκρυπτογράφησης DEC και το ιδιωτικό κλειδί του d B, για να επαναφέρει, το μη κρυπτογραφημένο μήνυμα μέσω του, m = DEC db (c). Τo τεκμήριο είναι ότι το e b μόνο του δεν μπορεί να αποκρυπτογραφήσει το c. 2. Μη - αποκηρύξιμο: Στο σχήμα ψηφιακής υπογραφής μπορεί να μεταβιβάσει την προέλευση αυθεντικότητας των και την ακεραιότητα των δεδομένων, Κεφάλαιο 2 - Περιεχόμενα 19

20 Μαθηματικό Υπόβαθρο - Περιεχόμενα καθώς επίσης και να διευκολύνει την διάταξη των μη αποκηρύξιμων διεργασιών. Μία είσοδος Α θα χρησιμοποιήσει μια υπογραφή παραγωγής αλγορίθμου SIGN ενός ψηφιακού σχήματος υπογραφής και το ιδιωτικό κλειδί d A για να υπολογίσει την υπογραφή ενός μηνύματος, s = SIGN da (m). Λαμβάνοντας m και s, η είσοδος Β που έχει ένα αυθεντικό αντίγραφο του A δημόσιου κλειδιού e A, χρησιμοποιεί την υπογραφή του α, για να εξακριβώσει αλγοριθμικά ότι το s πράγματι προέρχεται από το m και το d A. Όσο το d A πιθανώς είναι γνωστό μόνο από το Α και το B είναι βέβαιο ότι το μήνυμα πράγματι προέρχεται από το Α. Όσο αναγκάζεται να επαληθεύσει μη μυστικά τα στοιχεία m και e, τότε η υπογραφή s και m, μπορούν να A χρησιμοποιηθούν από τρίτη συμμετοχή που θα αποκαταστήσει επικοινωνία, αν ο Α αρνηθεί να υπογράψει μήνυμα m. Διαφορετικά με τις υπογραφές όπου, η υπογραφή του Α εξαρτάται από το μήνυμα m που έχει υπογραφεί, σταματώντας την πλαστογραφία από απλά προσαρτούμενο s σε διαφορετικό μήνυμα m, όπου απαιτεί το Α να έχει υπογράψει το m. Ακόμα και αν δεν υπάρχει ανάγκη για μυστικότητα στο δημόσιο κλειδί e A, είναι απαραίτητο οι δέκτες να έχουν αυθεντικό αντίγραφο του e A όταν επαληθεύουν υπογραφές διαδιδόμενες από την παραγωγή του Α. H δημοσίου κλειδιού κρυπτογραφία λύνει μια σειρά από προβλήματα: -Το πρόβλημα της παραγωγής ακεραίου, που είναι σημαντικό για την ασφάλεια του RSA δημόσιου κλειδιού κρυπτογράφισης. -To πρόβλημα του Διακριτού Λογαρίθμου, που είναι σημαντικό για την ασφάλεια του ElGamal δημόσιου κλειδιού κρυπτογράφισης και των μέθοδος υπογραφής και τις παραλλαγές τους, όπως την DSA (Digital Signature Algorithm). -To πρόβλημα του Διακριτού Λογαρίθμου των Ελλειπτικών Καμπυλών, που είναι σημαντικό για την ασφάλεια όλων των μεθόδων κρυπτογράφισης ελλειπτικών καμπυλών. Εμείς επιλέξαμε το δρόμο των ελλειπτικών καμπυλών, όπου και λόγω της χρήσης του μαθηματικού υποβάθρου, προσφέρουν μεγάλη προστασία σε εφαρμογές υψηλών προδιαγραφών ασφαλείας. Επίσης και τα τρία συστήματα, δηλαδή το RSA,το DL και τα EC protocols, δίνουν έμφαση στη δυσκολία που παρουσιάζεται με το μαθηματικό υπόβαθρο, άλλωστε αυτό απαιτείται σε επίλυση προβλημάτων ασφάλειας. Όσο αφορά την κρυπτογράφηση δημόσιου κλειδιού, ο πομπός για να στείλει το μήνυμα χρειάζεται να γνωρίζει το δημόσιο κλειδί, ώστε να κρυπτογραφήσει το μήνυμα ενώ για την αποκρυπτογράφηση χρειάζεται και το ιδιωτικό κλειδί, ώστε να αποκρυπτογραφηθεί το μήνυμα. Έτσι, με τον συνδυασμό και των δύο κλειδιών επιτυγχάνεται η αυθεντικότητα του μηνύματος. Παρακάτω φαίνεται το σχήμα για την κρυπτογραφία με δημόσιο κλειδί (σχήμα 1.1δ): Κεφάλαιο 2 - Περιεχόμενα 20

21 Μαθηματικό Υπόβαθρο - Περιεχόμενα Κανάλι με αυθεντικότητα A Κ ανάλι χωρίς ασ φάλεια B C Σχήμα 1.1δ: Κρυπτογραφία με δημόσιο κλειδί 1.5 Συστήματα RSA Τα συστήματα RSA, πήραν το όνομα τους από τους εφευρέτες Rivest, Shamir και Adleman, από την ανακάλυψη τους πάνω στο κρυπτογραφία με δημόσιο-κλειδί. Το RSA κλειδί παραγωγής: To ζευγάρι κλειδιών RSA μπορεί να παραχθεί χρησιμοποιώντας τον Αλγόριθμο 1.1. Το δημόσιο κλειδί αποτελείται από ένα ζευγάρι ακεραίων (n,e), όπου το RSA υπόλοιπο n είναι αποτέλεσμα δύο τυχαία παραγόμενων πρώτων αριθμών p και q. Η εκθετική απόκρυψη e είναι ένας ακέραιος που πρέπει να καλύπτει την συνθήκη 1 < e < φ και gcd (e,φ) = 1 όπου, φ = (p-1) (q-1). To ιδιωτικό κλειδί d, επίσης καλείται εκθετικό αποκρυπτογράφησης, αν ο ακέραιος καλύπτει τη συνθήκη 1 < d < φ και ed 1(mod( )). Έχει αποδειχθεί ότι το πρόβλημα της αποτροπής του ιδιωτικού κλειδιού, από το δημόσιο κλειδί του (n,e), έγκειται στον υπολογισμό της ισοδυναμίας στο πρόβλημα της αποτροπής των στοιχείων p και q του n. Δηλαδή, το θέμα ανάγεται στο πρόβλημα παραγωγής ακεραίου [Integer Factorization Problem (IFP)]. Αλγόριθμος 1.1: RSA ζευγάρι κλειδιών παραγωγής ΕΙΣΟΔΟΣ: Παράμετρος ασφάλειας l. ΕΞΟΔΟΣ: RSA δημόσιο κλειδί (n,e) και ιδιωτικό κλειδί d. 1.Τυχαία επιλέγουμε 2 πρώτους αριθμούς p και q με το ίδιο μέγεθος l/2 2. Υπολογίζουμε το n=pq και φ=(p-1) (q-1) Κεφάλαιο 2 - Περιεχόμενα 21

22 Μαθηματικό Υπόβαθρο - Περιεχόμενα 3. Επιλέγουμε αυθαίρετα έναν ακέραιο e, σύμφωνα με τη συνθήκη 1 < e < φ και gcd(e,φ) = 1 4. Υπολογίζουμε τον ακέραιο d επιβεβαιώνοντας τη συνθήκη 1< d < φ και ed 1(mod( )) 5. Επιστρέφεται ( n,e,d) 1.6 Σχήμα κρυπτογραφίας του RSA Η RSA κρυπτογράφηση και το σχήμα υπογραφής της χρησιμοποιούν κατ ουσία την παρακάτω ισοδυναμία, δηλαδή: m ed m(mod(n)) (1.6.1) Όπου, χρησιμοποιείται για όλους τους ακέραιους του m. H διαδικασία της κρυπτογράφησης και αποκρυπτογράφησης, χρησιμοποιούνται για τη (βασική) RSA δημόσιου κλειδιού σχήματος κρυπτογράφησης και παρουσιάζεται από τους Αλγόριθμους 1.2 και 1.3. Η αποκρυπτογράφηση λειτουργεί επειδή, ισχύει η σχέση, d e d c ( m ) m(mod( n)), όπως φαίνεται και από την έκφραση (1.6.1). Η ασφάλεια ενισχύεται από τη δυσκολία υπολογισμού του μη κωδικοποιημένου m, από το e κωδικοποιημένο c m mod(n) και των δημόσιων παραμέτρων n και e. Αυτό είναι το πρόβλημα της εύρεσης e στην νιοστή ρίζες mod(n) και θεωρείται τόσο δύσκολο, όσο το Πρόβλημα Παραγωγής Ακεραίου [Integer Factorization Problem (IFP)]. Αλγόριθμος 1.2: Βασική κρυπτογράφηση RSA ΕΙΣΟΔΟΣ: RSA δημόσιο κλειδί (n,e) και μη-αποκρυπτογραφημένο m [ 0, n 1] ΕΞΟΔΟΣ: Κρυπτογράφηση c e 1. Υπολογισμός του c m mod(n) 2. Επιστροφή (c) Αλγόριθμος 1.3: Βασική αποκρυπτογράφηση RSA ΕΙΣΟΔΟΣ: RSA δημόσιο κλειδί (n,e), RSA ιδιωτικό κλειδί d, κρυπτογραφημένο c. ΕΞΟΔΟΣ: Μη-αποκρυπτογραφημένο m d 1. Υπολογισμός του m c mod(n) 2. Επιστροφή (m) Κεφάλαιο 2 - Περιεχόμενα 22

23 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.7 Σχήμα υπογραφής RSA H RSA υπογραφή και η επαλήθευση των διαδικασιών της φαίνονται στον Αλγόριθμο 1.4 και 1.5. Ο υπογράφον του μηνύματος m πρώτα υπολογίζει το μήνυμα ταξινομώντας το h = H(m), χρησιμοποιώντας την κρυπτογραφική λειτουργία του Η, όπου το h εξυπηρετεί αυτή την λειτουργία, χρησιμοποιώντας το ως ένα μικρό αποτύπωμα του m. Ακολούθως ο υπογράφων χρησιμοποιεί το ιδιωτικό του κλειδί d, d για να υπολογίσει την e στην νιοστή ρίζα του s, του h mod(n): s h mod(n). Πρέπει να σημειωθεί ότι η εξίσωση αυτή: s e d h mod(n), προέρχεται από την έκφραση (1.1). Ο υπογράφων μεταβιβάζει το μήνυμα m και την υπογραφή του για την εφαρμογή διασύνδεσης επικοινωνίας. Ακολούθως υπολογίζεται ξανά το μήνυμα, με e το h =H(m). Επαναφέροντας το μήνυμα h' s mod( n) από το s και αποδέχεται την υπογραφή, θεωρώντας το m αποδεκτό και δίνει h =h. Αλγόριθμος 1.4: Βασική RSA παραγωγή υπογραφής ΕΙΣΟΔΟΣ: RSA δημόσιο κλειδί (n,e), RSA ιδιωτικό κλειδί d, μήνυμα m ΕΞΟΔΟΣ: Υπογραφή s 1. Υπολογισμός h = H(m), όπου το Η είναι λειτουργία d 2. Υπολογισμός s h mod(n) 3. Επιστροφή(s) Αλγόριθμος 1.4: Βασική RSA υπογραφή επαλήθευσης ΕΙΣΟΔΟΣ: RSA δημόσιο κλειδί (n,e), μήνυμα m,υπογραφή s ΕΞΟΔΟΣ: Αποδοχή ή απόρριψη της υπογραφής 1.Υπολογισμός h = H(m) e 2.Υπολογισμός του h' s mod( n) 3. Αν το h = h τότε επέστρεψε ( Αποδοχή της υπογραφής ); Αλλιώς επέστρεψε ( Απόρριψη της υπογραφής ) O υπολογισμός του εκθετικού υπόλοιπου είναι ένα ακριβό βήμα για κάθε RSA λειτουργία. Για παράδειγμα ο υπολογισμός του m e mod(n), για την κρυπτογράφηση και c d mod(n), για την αποκρυπτογράφηση. Κατ ουσία για την αύξηση της αποτελεσματικότητας της κρυπτογράφησης και της επαληθευσιμότητας της υπογραφής, είναι η επιλογή ενός μικρού εκθετικού e για την κρυπτογράφηση. Πρακτικά επιλέγεται το e=3 ή e Η αποκρυπτογράφηση επιλέγεται να έχει το ίδιο μήκος ψηφίων, με το n. Κεφάλαιο 2 - Περιεχόμενα 23

24 Μαθηματικό Υπόβαθρο - Περιεχόμενα Έτσι, η RSA κρυπτογράφηση και υπογραφή επαλήθευσης με μικρό εκθετικό είναι αισθητά πιο γρήγορα από την RSA αποκρυπτογράφηση και παραγωγής υπογραφής. 1.8 Συστήματα Διακριτού Λογαρίθμου (Δ.Λ.) Το πρώτο Διακριτό Λογαριθμικό Σύστημα ήταν το κλειδί συμφωνίας του πρωτόκολλο προτάθηκε από τον Diffie και Hellman. Αργότερα από τον ElGamal περιγράφηκε το Δ.Λ. δημόσιο κλειδί κρυπτογραφίας και σχήμα υπογραφής. Από τότε πολλά διαφορετικά τέτοια σχήματα προτάθηκαν. Εδώ παρουσιάζονται βασικά, το ElGamal δημόσιο κλειδί κρυπτογράφησης σχήματος και η Ψηφιακή Αλγοριθμική Μορφή (Ψ.Α.Μ.) [Digital Signature Algorithm (DSA)]. 1.9 Κλειδί παραγωγής Διακριτού Λογαρίθμου Σε διακριτά λογαριθμικά συστήματα, ένα ζευγάρι κλειδιών συνεργάζεται με δημόσιες παραμέτρους (p,q g). Εδώ το p είναι πρώτος αριθμός και το q είναι πρώτος διαιρέτης του p-1 και το g [ 1, p 1] έχει βαθμό q (t) = q είναι ο μικρότερος θετικός ακέραιος που επιβεβαιώνει τη συνθήκη g t 1(mod( p)) ). Το ιδιωτικό κλειδί είναι ένας ακέραιος x, που έχει επιλεγεί από το διάστημα [1,q-1] (αυτή η εφαρμογή αναφέρεται ως x R :[1, q 1] και η αντιστοιχία του δημόσιου κλειδιού είναι x y g mod ulo( p). Το πρόβλημα προσδιορισμού του x, από τις παραμέτρους (p,q,g) και y, είναι ένα Διακριτό Λογαριθμικό Πρόβλημα (Δ.Λ.Π.) [Discrete Logarithm Problem (DLP)]. Συνοψίζονται οι κύριες Δ.Λ. παράμετροι παραγωγής και ζεύγους κλειδιών παραγωγής, ως διαδικασίες που περιγράφονται από τους Αλγόριθμους 1.6 και 1.7. Αλγόριθμος 1.6: Κύριες Δ.Λ. Παράμετροι Παραγωγής ΕΙΣΟΔΟΣ: Παράμετροι ασφάλειας l,t. ΕΞΟΔΟΣ: Κύριες Δ.Λ. Παράμετροι (p,q,g) 1. Διάλεξε έναν t-bits πρώτο q και έναν l-bit πρώτο p, τέτοιο ώστε το q να διαιρεί το p-1 2. Διάλεξε ένα στοιχείο g βαθμού q: ( p 1) / q 2.1 Διάλεξε ένα αυθαίρετο h [ 1, p 1] και υπολόγισε το g h mod( p) 2.2 Αν το g = 1 τότε επέστρεψε στο βήμα Επέστρεψε (p,q,g) Κεφάλαιο 2 - Περιεχόμενα 24

25 Μαθηματικό Υπόβαθρο - Περιεχόμενα Αλγόριθμος 1.7: Δ.Λ. ζευγάρι κλειδιών παραγωγής ΕΙΣΟΔΟΣ: Κύριες Δ.Λ. παράμετροι (p,q,g) ΕΞΟΔΟΣ: Δημόσιο κλειδί y και ιδιωτικό κλειδί x. 1. Επιλογή x R :[1, q 1] x 2. Υπολογισμός y g mod( p) 3. Επιστροφή (y,x) 1.10 Σχήμα κρυπτογραφίας Διακριτού Λογαρίθμου Παρακάτω φαίνονται οι διαδικασίες της κρυπτογράφησης και της αποκρυπτογράφησης για το ElGamal δημόσιο κλειδί σχήμα κρυπτογραφίας των Αλγορίθμων 1.8 και 1.9. Αν το y είναι ο παραλήπτης του δημόσιου κλειδιού, τότε το μη αποκρυπτογραφημένο m, κρυπτογραφείται, πολλαπλασιάζοντας το, με το y k mod ulo( p), όπου το k επιλέχθηκε τυχαία από τον αποστολέα. Ο αποστολέας k k μεταβιβάζει το προϊόν του, c2 my mod( p) και επίσης το c1 g mod( p) στον παραλήπτη του που χρησιμοποιεί το δημόσιο κλειδί για να υπολογίσει το c kx k g y mod( ) (1.10.1) x 1 p και διαιρεί το c 2 με αυτή την ποσότητα για να επαναφέρει το m. Οποιοσδήποτε άλλος επιθυμήσει να παραβιάσει αυτή τη λειτουργία και να επαναφέρει το m, τότε θα πρέπει να υπολογίσει το y k mod( p) από τις κύριες παραμέτρους (p,q,g) και το k c1 g mod( p) καλείται Diffie-Hellman problem (DHP). To DSP κατατάσσεται στο ίδιο επίπεδο δυσκολίας με το Διακριτό Λογαριθμικό Πρόβλημα (Δ.Λ.Π.). Αλγόριθμος 1.8: Βασική κρυπτογράφηση Elgamal ΕΙΣΟΔΟΣ: Κύριες Δ.Λ. παράμετροι (p,q,g),δημόσιο κλειδί y και το μηαποκρυπτογραφημένο m [ 0, p 1] ΕΞΟΔΟΣ: Κρυπτογράφηση c, ) 1. Επιλογή k R : [1, q 1] ( c 1 2 k 2. Υπολογισμός c g mod( ) 1 p k 3. Υπολογισμός c m* y mod( ) 4. Επιστροφή ) 2 p ( c 1, c 2 Κεφάλαιο 2 - Περιεχόμενα 25

26 Μαθηματικό Υπόβαθρο - Περιεχόμενα Αλγόριθμος 1.9: Βασική αποκρυπτογράφηση Elgamal ΕΙΣΟΔΟΣ: Κύριες Δ.Λ. παράμετροι (p,q,g), ιδιωτικό κλειδί x, κρυπτογράφηση ( c, c 1 2) ΕΞΟΔΟΣ: Μη-κρυπτογραφημένο m x 1. Υπολογισμός m c 2 * c 1 mod ulo( p) 2. Επιστροφή (m) 1.11 Σχήμα Υπογραφής Διακριτού Λογαρίθμου H Ψηφιακή Αλγοριθμική Υπογραφή (Ψ.Α.Υ.) [Digital Signature Algorithm (DSA)] προτάθηκε για την επίλυση Διακριτών Λογαριθμικών προβλημάτων. Μια είσοδος Α με ιδιωτικό κλειδί x υπογράφει μήνυμα α με την επιλογή ενός τυχαίου ακεραίου k από το διάστημα [1,q-1] και υπολογισμό του T = g k mod(p), r =T mod(q) και του 1 s k ( h xr)mod( q) (1.11.1) Όπου το h = H (m) είναι το ψηφιακό μήνυμα. Μια υπογραφή στο m είναι ένα ζευγάρι (r,s). Για επιβεβαίωση της υπογραφής πρέπει να ελεγχθεί ότι η είσοδος (r,s) επιβεβαιώνει την εξίσωση (1.11.1). Εφ όσον ο παραλήπτης γνωρίζει ότι το ιδιωτικό κλειδί του Α, είναι το x και όχι το k, δεν μπορεί να επιβεβαιώσει άμεσα την εξίσωση. Αυτή η εξίσωση ισοδυναμεί με την εξίσωση, k 1 s ( h xr)mod( q) (1.11.2) Χρησιμοποιώντας το g και στις δύο πλευρές, τότε έχουμε την ακόλουθη ισοδυναμία, T 1 1 hs rs g y mod( p) (1.11.4) Ο υπεύθυνος για την επαλήθευση, ακολούθως μπορεί να υπολογίσει το Τ και να ελέγξει ότι r = T mod(q). Αλγόριθμος 1.10: Ψ.Α.Υ υπογραφής παραγωγής ΕΙΣΟΔΟΣ: Κύριοι Δ.Λ. παράμετροι (p,q,g), ιδιωτικό κλειδί x, μήνυμα m. ΕΞΟΔΟΣ: Υπογραφή (r,s) 1. Επιλογή k R :[1, q 1] k 2. Υπολογισμός T g mod( p) 3.Υπολογισμός του r = T mod(q). Aν το r = 0 τότε πήγαινε στο 1 ο βήμα Κεφάλαιο 2 - Περιεχόμενα 26

27 Μαθηματικό Υπόβαθρο - Περιεχόμενα 4. Υπολογισμός h=h(m) 5. Υπολογισμός s k 1 ( h xr)mod( q). Αν το σ = 0 τότε πήγαινε στο 1 ο βήμα 6. Επιστροφή (r,s) Αλγόριθμος 1.11: Ψ.Α.Υ υπογραφής επαλήθευσης ΕΙΣΟΔΟΣ: Κύριες Δ.Λ. παράμετροι (p,q,g), δημόσιο κλειδί y, μήνυμα m, υπογραφή (r,s) ΕΞΟΔΟΣ: Αποδοχή ή απόρριψη της υπογραφής 1. Επαλήθευση ότι r και το s είναι ακέραιοι στο διάστημα [1,q-1]. Aν οποιαδήποτε υπογραφή αποτύχει τότε επέστρεψε ( Απόρριψη της υπογραφής ) 2. Υπολογισμός h = H(m) 1 3. Υπολογισμός w s mod( q) 4. Υπολογισμός u hwmod( ) και u rwmod( ) 1 q 2 q u 5. Υπολογισμός 1 u2 T g y mod( p ) 6. Υπολογισμός r = T mod (q) 7. Aν το r = r τότε επέστρεψε ( Αποδοχή της υπογραφής ), αλλιώς επέστρεψε ( Απόρριψη της υπογραφής ) 1.12 Συστήματα ελλειπτικών καμπυλών Τα διακριτά λογαριθμικά συστήματα μπορούν να περιγραφούν από ένα κομμάτι ομάδας πεπερασμένων κύκλων. Οι ελλειπτικές καμπύλες μπορούν να χρησιμοποιηθούν σε διακριτά λογαριθμικά συστήματα. Ομάδες: Μια ομάδα (G,*), συμπεριλαμβάνει το G με την δυαδική λειτουργία *: G x G G, ικανοποιώντας τις παρακάτω ιδιότητες: (i) Συσχετισμός: a*(b*c) = (a*b)*c για όλα τα a, b, c G (ii) Ύπαρξη ταυτότητας: Υπάρχει ένα στοιχείο e G τέτοιο ώστε a*e = e*a = a για όλα τα a G (iii) Ύπαρξη της αντιστροφής: Για κάθε a G, υπάρχει ένα στοιχείο b G, που λέγεται η αντιστροφή του α, τέτοιο ώστε a*b = b*a = e (iv) Μεταβατικότητα: a*b = b*a για όλα τα a, b G Η ομάδα λειτουργιών καλείται πρόσθεση (addition = + ) ή πολλαπλασιασμός (multiplication = * ). Στην πρώτη περίπτωση, η ομάδα λέγεται, ομάδα πρόσθεσης (additive group). Το στοιχείο ταυτότητας (πρόσθεσης), συχνά δηλώνεται από το 0. Ενώ, η αντιστροφή για το α (όσο αφορά την πρόσθεση) αναφέρεται ως το α. Στην δεύτερη περίπτωση, ομάδα καλείται, ομάδα πολλαπλασιασμού. To στοιχείο ταυτότητας (του πολλαπλασιασμού) συχνά Κεφάλαιο 2 - Περιεχόμενα 27

28 Μαθηματικό Υπόβαθρο - Περιεχόμενα αναφέρεται από το 1 και η αντιστροφή του α (όσο αφορά τον πολλαπλασιασμό) 1 αναφέρεται από το a. Η ομάδα είναι ορισμένη, αν το G είναι πεπερασμένο. Σε κάθε περίπτωση, ο αριθμός των στοιχείων του G, καλείται ως βαθμός του G. Για παράδειγμα αν το p είναι πρώτος αριθμός και το { 0,1,2,..., p 1} αναφέρεται ως ένα σύνολο mod(p). Τότε ( F p, ), όπου το + αναφέρεται για την πρόσθεση ακεραίων mod(p), είναι μια ομάδα πρόσθεσης, με βαθμό p και ταυτότητα στοιχείου πρόσθεσης το 0. Επίσης, ( ( F *, ), όπου το F αναφέρεται στα μη μηδενικά p στοιχεία του F p και η πράξη c στον πολλαπλασιασμό ακεραίων mod(p). Είναι ομάδα πολλαπλασιασμού βαθμού p-1, με στοιχείο ταυτότητας πολλαπλασιασμού 1. Η μορφή ( F,+, ) είναι ένα πεπερασμένο πεδίο, όπου λακωνικά αναφέρεται ως F. p Aν το G είναι μια ορισμένη ομάδα πολλαπλασιασμού με τάξη n και το g G, t τότε ο μικρότερος θετικός ακέραιος είναι ο t, τέτοιος ώστε g 1, βαθμός του g. Στο g πάντα υπάρχει και είναι διαιρέτης του n. To σύνολο <g> = { g i : 0 i t 1} όλων των δυνάμεων του g, είναι το ίδιο μία ομάδα κάτω από την ίδια λειτουργία, όπως το G και καλείται κυκλική υποομάδα του G, παραγόμενη από το g. Ανάλογες καταστάσεις ισχύουν όταν το G γραφτεί προσθετικά. Σ αυτή την περίπτωση ο βαθμός του g G είναι ο μικρότερος δυνατός διαιρέτης t του n τέτοιος ώστε tg = 0 και <g> = {ig: 0 I t-1}. Εδώ, το tg αναφέρεται ως ένα στοιχείο που λαμβάνεται προσθέτοντας t αντίγραφα του g. Aν το G έχει ένα στοιχείο g με βαθμό n, τότε το G λέγεται ότι είναι μια κυκλική ομάδα και το g καλείται δημιουργός του G. * p F p p 1.13 Γενικευμένο πρόβλημα Διακριτού Λογαρίθμου Υποθέτοντας ότι ( G, ) είναι μια κυκλική ομάδα πολλαπλασιασμού με βαθμό n και βάση g. Oι κύριες παράμετροι είναι το g και το n, το ιδιωτικό κλειδί είναι ένας ακέραιος x, που έχει επιλεγεί τυχαία από το διάστημα [1, n-1] και το δημόσιο κλειδί x είναι y g. Το πρόβλημα προσδιορισμού του x, δεδομένου των g, n και y είναι ένα Διακριτό Λογαριθμικό Πρόβλημα στο G. Ο βαθμός για ένα διακριτό λογαριθμικό σύστημα βασίζεται στην αποτελεσματικότητα του G, όπου κατάλληλοι ( γρήγοροι ) αλγόριθμοι πρέπει να είναι γνωστοί για τον υπολογισμό της λειτουργίας της ομάδας. Οποιεσδήποτε δύο κυκλικές ομάδες με τον ίδιο βαθμό n είναι ουσιαστικά το ίδιο. Αυτό επειδή ουσιαστικά έχουν την ίδια δομή, εκτός και αν τα στοιχεία έχουν γραφτεί διαφορετικά. Οι διαφορετικές παρουσιάσεις των ομάδων των στοιχείων μπορούν να επηρεάσουν την αποτελεσματικότητα των αλγορίθμων ως προς την ταχύτητα υπολογισμού ομάδας λειτουργιών και της επίλυσης του διακριτού λογαριθμικού προβλήματος. Οι πιο συνηθισμένες ομάδες εφαρμογής διακριτών λογαριθμικών συστημάτων είναι οι κυκλικές υποομάδες των ομάδων πολλαπλασιασμού των πεπερασμένων πεδίων. Επίσης βρίσκουν πολλές εφαρμογές σε κυκλικές υποομάδες της ομάδας ελλειπτικών καμπυλών. Κεφάλαιο 2 - Περιεχόμενα 28

29 Μαθηματικό Υπόβαθρο - Περιεχόμενα Αλγόριθμοι για Διακριτά Λογαριθμικά Προβλήματα Ελλειπτικών Καμπυλών (Δ.Λ.Π.Ε.Κ.) [Algorithms for the Elliptic Curve Discrete Logarithm Problem (ECDLP)]: Στο ECDLP χρησιμοποιείται ένας ακέραιος d [1,n-1], στο Q = d P, όπου το n είναι t-ψηφίων αριθμός, όπου το P είναι ένα σημείο τάξης n σε ελλειπτική καμπύλη που ορίζεται πάνω σε πεπερασμένο πεδίο F p και το Q <P>. Αν θεωρήσουμε ότι n p, όπως συνηθίζεται και στις περισσότερες περιπτώσεις, τότε το μέγεθος εισόδου είναι O(t) ψηφία. Ο ταχύτερος αλγόριθμος για επιλύσεις που αφορούν τον ECDLP είναι ο Pollard s rho algorithm, όπου έχει αναμενόμενο χρόνο επεξεργασίας * n. Έχει πολλές εφαρμογές στα Διακριτά Λογαριθμικά Προβλήματα Ομάδες ελλειπτικών καμπυλών Έστω ότι το p είναι ένας πρώτος αριθμός και το F p δηλώνει ένα πεδίο ακεραίων mod(p). Μια ελλειπτική καμπύλη ορίζεται από την εξίσωση της μορφής: y 2 x 3 ax b (1.14.1) 3 2 Όπου, το a, b F ικανοποιώντας τη συνθήκη 4a 27b 0 mod(p). To ζευγάρι (x, p y), όπου το x, y F p, είναι 1 σημείο πάνω στην καμπύλη, αν το (x,y) ικανοποιεί την εξίσωση (1.14.1). Το σημείο στο άπειρο, αναφέρεται με το και μπορεί να βρίσκεται επί της καμπύλης. Το σύνολο όλων των σημείων πάνω στην Ε, αναφέρεται με το Ε( F p ). Για παράδειγμα, αν το Ε είναι μια ελλειπτική καμπύλη πάνω από το F 7, με την εξίσωση: Τότε, τα σημεία στο Ε είναι, 2 3 y x 2x 4 (1.14.2) Ε( F 7 )={,(0,2),(0,5),(1,0),(2,3),(2,4),(3,3),(3,4),(6,1),(6,6)}. Είναι γνωστή η μέθοδος πρόσθεσης δύο σημείων ελλειπτικών καμπυλών ( x, y 1 1) και ( x, y ) 2 2 για να προκύψει ένα τρίτο σημείο πάνω στην ελλειπτική καμπύλη. Ο κανόνας της πρόσθεσης χρειάζεται μερικές αριθμητικές πράξεις (πρόσθεση, αφαίρεση, πολλαπλασιασμός και αντιστροφή) στο F με τις συντεταγμένες x 1, x2, y1, y2. O κανόνας της πρόσθεσης με το σύνολο των σημείων Ε( F p ) μια ομάδα με αποτέλεσμα, όπως το στοιχείο ταυτότητας. Οι κυκλικές υποομάδες τέτοιων ελλειπτικών ομάδων μπορούν να χρησιμοποιηθούν για την εφαρμογή τους σε διακριτά λογαριθμικά συστήματα. p Κεφάλαιο 2 - Περιεχόμενα 29

30 Μαθηματικό Υπόβαθρο - Περιεχόμενα Η μαθηματική εξίσωση που χρησιμοποιούμε, στην περίπτωση μας, περιγράφεται από την παρακάτω μαθηματική έκφραση: y a1xy a3 y x a2x a4x a6 (1.14.3) Οι μεταβλητές x και y είναι μπορεί να είναι μιγαδικοί, ή πραγματικοί, ή ακέραιοι, ή πολυωνυμική βάση, ή Βέλτιστα Κανονικοποιημένες Βάσεις, ή οποιουδήποτε είδους πεδίου στοιχείων. Όσο αφορά βασικές έννοιες περιγράφονται καλύτερα με την περίπτωση των πραγματικών αριθμών. Δηλαδή, μια άλλη μορφή της παραπάνω εξίσωσης, που περιγράφει καλύτερα την παραπάνω εξίσωση, είναι η εξής: y 2 x 3 a 2 x 2 a x a 4 6 Έτσι, σύμφωνα με τα παραπάνω μπορούμε να κάνουμε τους εξής διαχωρισμούς, για τις ομάδες των ελλειπτικών καμπυλών πιο συγκεκριμένα. Έτσι, έχουμε ότι: - Ελλειπτικές καμπύλες (Ε/Κ) σύμφωνα με τη συνάρτηση: y 2 =x 3 +ax+b, όπου K 2,3, ισχύει ότι: 1. Tαυτότητα: P+ = +P = P για κάθε P E(K) (1.14.4) 2. Αρνητικοί: Αν P = (x,y) E(K), τότε (x,y) + (x,-y) =. Το σημείο P, λέγεται αρνητικό του P και ανήκει και αυτό στην καμπύλη Ε (Κ). Επίσης, ισχύει ότι, - =. (1.14.5) 3. Άθροιση σημείων: Θεωρούμε P = (x 1,y 1 ) E(K), Q= (x 2,y 2 ) E(K), όπου P Q και P + Q = (x 3, y 3 ), όπου: y y x 3= ( ) x1 x2 x2 x1 y y1, y 3 = ( ( 2 )( x ) 1 x3 y1 (1.14.6) x x 4. Διπλασιασμός σημείων: Θεωρούμε P = (x 1,y 1 ) E(K), όπου 2P = (x 3,y 3 ): x 2 x 1 a 3= ( ) 2x1 2y 1 2 3x1 a, y 3 = ( ( )( x1 x3) y1 2y 1 (1.14.7) - Ελλειπτικές καμπύλες (Ε/Κ) για υπεριδιάζουσες καμπύλες Ε/ F (2 m ): y 2 =cy + x 3 +ax+b, ισχύει ότι: 1. Ταυτότητα: P+ = +P = P για κάθε P E[F(2 m )] (1.14.8) 2. Αρνητικοί: Αν P = (x,y) E[F(2 m )], τότε (x,y) + (x,y+c) =. Το σημείο (x,y+c) συμβολίζεται με P, ονομάζεται αρνητικό του P και ανήκει και αυτό στην καμπύλη E[F(2 m )]. Επίσης - =. (1.14.9) Κεφάλαιο 2 - Περιεχόμενα 30

31 Μαθηματικό Υπόβαθρο - Περιεχόμενα 3. Άθροιση σημείων: Θεωρούμε P = (x 1,y 1 ) E[F(2 m )], Q= (x 2,y 2 ) E[F(2 m )], όπου P Q και P + Q = (x 3, y 3 ), όπου: y x 3 = 2 y y y ( ) x1 x2, y 3 = ( ( 2 )( x1 x3 y1 c x x x x ) ( ) Διπλασιασμός σημείου: Θεωρούμε P = (x 1,y 1 ) E[F(2 m )], όπου 2 P = (x 3,y 3 ) και P P: x 2 2 x 1 a 3= ( ) c 2 x, y 3 = ( 1 a ( )( x1 x3) y1 c ( ) c - Ελλειπτικές καμπύλες (Ε/Κ) για μη υπεριδιάζουσες καμπύλες Ε/ F (2 m ): y 2 +xy =x 3 +ax 2 +b, ισχύει ότι: 1. Ταυτότητα: P+ = +P = P για κάθε P E[F(2 m )] ( ) 2. Αρνητικοί: Αν P = (x,y) E[F(2 m )], τότε (x,y) + (x,y+y) =. Το σημείο (x,y+y) συμβολίζεται με P, ονομάζεται αρνητικό του P και ανήκει και αυτό στην καμπύλη E[F(2 m )]. Επίσης - =. ( ) 3. Άθροιση σημείων: Θεωρούμε P = (x 1,y 1 ) E[F(2 m )], Q = (x 2,y 2 ) E[F(2 m )], όπου P Q και P + Q = (x 3, y 3 ), όπου: x 3 =λ 2 +λ+x 1 +x 2 +α=x 2 b1 1 + x 2 και y3 =λ (x 1 +x 3 )+x 3 +y 1, 1 με λ=(y 1 +y 2 )/(x 1 +x 2 ) ( ) 4. Διπλασιασμός σημείου: Θεωρούμε P= (x 1,y 1 ) E[F(2 m )], όπου 2P= (x 3,y 3 ) και P P: x 3 = λ 2 +λ+α = x 2 b1 1 + x 2 και y3 = x 2 1 +λx 3 +x 3 1 με λ = x 1 +y 1 /x 1 ( ) υπεριδιάζουσες Δημόσιο κλειδί Ελλειπτικές Καμπύλες μη υπυριδιάζουσες RSA Σχήμα 1.2: Επιλογή μαθηματικού υπόβαθρου Κεφάλαιο 2 - Περιεχόμενα 31

32 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.15 Κλειδί παραγωγής των ελλειπτικών καμπυλών Έστω, ότι το Ε είναι μια ελλειπτική καμπύλη, που ορίζεται πάνω από το πεδίο F. Έστω ότι το P είναι ένα σημείο του Ε( F ) και υποτίθεται ότι το P έχει πρώτο p αριθμό βαθμού n. Τότε η κυκλική υποομάδα του Ε( F ) παράγεται από το P <P> = {,P,2P,3P,,(n-1)P} (1.15.1) O πρώτος p, η εξίσωση της ελλειπτικής καμπύλης Ε και το σημείο P καθώς και ο βαθμός n, είναι οι κύριες δημόσιες παράμετροι. Το ιδιωτικό κλειδί είναι ένας ακέραιος που επιλέχθηκε από το διάστημα [1,n-1] και το αντίστοιχο δημόσιο κλειδί είναι Q = d P. To πρόβλημα για το d με βάση τις κύριες παραμέτρους και το Q είναι το Διακριτό Λογαριθμικό Πρόβλημα των Ελλειπτικών Καμπυλών (Δ.Λ.Π.Ε.Κ.) [Elliptic Curve Discrete Logarithm Problem (ECDLP)]. p p Αλγόριθμος 1.12: Ζευγάρι κλειδιών παραγωγής των ελλειπτικών καμπυλών ΕΙΣΟΔΟΣ: Κύριες παράμετροι ελλειπτικών καμπύλων (p,e,p,n) ΕΞΟΔΟΣ: Δημόσιο κλειδί Q και ιδιωτικό κλειδί d 1. Επιλογή d R:[1,n-1] 2. Υπολογισμός Q=d P 3. Επιστροφή (Q,d) 1.16 Σχήμα κρυπτογράφησης ελλειπτικών καμπυλών Παρουσιάζονται παρακάτω οι διαδικασίες κρυπτογράφησης και αποκρυπτογράφησης για τις ελλειπτικές καμπύλες της βασικής ElGamal σχήματος κρυπτογραφίας, με τους Αλγόριθμους 1.13 και Το κωδικοποιημένο m, πρώτα παρουσιάζεται ως ένα σημείο M και ακολούθως κρυπτογραφείται προσθέτοντας το στο k Q, όπου το k επιλέχθηκε τυχαία ως ακέραιος και το Q αποδέχεται το δημόσιο κλειδί. Ο αποστολέας μεταβιβάζει τα σημεία C1 kp και C2 M kq στον παραλήπτη που χρησιμοποιεί το ιδιωτικό της κλειδί για τον υπολογισμό dc1 d( kp) k( dp) kq (1.16.1) Και ακολούθως μεταφέρει το M= C2 kq. Αν κάποιος επιθυμήσει να παραβιάσει το σύστημα και να επαναφέρει το Μ, πρέπει να υπολογίσει το kq. Αυτός ο τρόπος υπολογισμού του kq από τις κύριες παραμέτρους, Q και C1 kp, είναι ελλειπτική καμπύλη του προβλήματος Diffie-Hellman. Κεφάλαιο 2 - Περιεχόμενα 32

33 Μαθηματικό Υπόβαθρο - Περιεχόμενα Αλγόριθμος 1.13: Βασική ElGamal κρυπτογράφηση ελλειπτικών καμπυλών ΕΙΣΟΔΟΣ: Κύριες παράμετροι ελλειπτικών καμπυλών (p,e,p,n), δημόσιο κλειδί Q, μη-κωδικοποιημένο m. ΕΞΟΔΟΣ: Κρυπτογράφηση ( C,C ) Παρουσίαση του μηνύματος m, ως σημείου Μ στην E (F p ) 2. Επιλογή του k R :[1, n 1] 3. Υπολογισμός C1 kp 4. Υπολογισμός C M kq 5. Επιστροφή ( C,C ) Αλγόριθμος 1.14: Βασική ElGamal αποκρυπτογράφηση ελλειπτικών καμπυλών ΕΙΣΟΔΟΣ: Κύριες παράμετροι (p, E, P, n), ιδιωτικό κλειδί d, κρυπτογράφηση( C,C ) 1 2 ΕΞΟΔΟΣ: Μη-κωδικοποιημένο m 1.Υπολογισμός Μ= C2 dc1 και το προκύπτον m από το Μ 2. Επιστροφή (m) Βέβαια υπάρχει η περίπτωση της ψηφιακής υπογραφής, όπου για την εκπλήρωση της πράξης του πολλαπλασιασμού δεν χρησιμοποιείται, η σχέση C2 M kq, παρά μόνο η πράξη C1 kp. Έτσι, παρακάτω παρατίθεται ο Αλγόριθμος 1.15 δημιουργίας ψηφιακής υπογραφής, ECDSA. Δηλαδή, έχουμε ότι: Αλγόριθμος 1.15: Αλγόριθμος δημιουργίας ψηφιακής υπογραφής ECDSA ΕΙΣΟΔΟΣ: Παράμετροι τομέα της ελλειπτικής καμπύλης (p,e,p,n), με ιδιωτικό κλειδί (private key), d, δημόσιο κλειδί Q, μήνυμα m. ΕΞΟΔΟΣ: Υπογραφή (r,s) 1. Διάλεξε το k R: [1,n-1] 2. Υπολόγισε kp = (x 1,y 1 ) 3. Υπολόγισε r = x 1 mod n. Αν r = 0 τότε επέστρεψε στο βήμα 1 4. Υπολόγισε το k -1 mod(n) 5. Υπολόγισε h = H (m) 6. Υπολόγισε k -1 (h+dr) mod(n). Αν s = 0 τότε πήγαινε στο βήμα 1 Κεφάλαιο 2 - Περιεχόμενα 33

34 Μαθηματικό Υπόβαθρο - Περιεχόμενα 7. Επέστρεψε στην έξοδο το (r,s) Παρακάτω ακολουθεί, ο αλγόριθμος επιβεβαίωσης ψηφιακής υπογραφής ECDSA. Δηλαδή, έχουμε ότι: Αλγόριθμος επιβεβαίωσης ψηφιακής υπογραφής ECDSA ΕΙΣΟΔΟΣ: Παράμετροι τομέα της ελλειπτικής καμπύλης (p,e,p,n), δημόσιο κλειδί Q Αποστολέα, μήνυμα m, υπογραφή (r,s) ΕΞΟΔΟΣ: Αποδοχή ή Απόρριψη της υπογραφής 1. Επιβεβαίωση ότι οι r και s είναι ακέραιοι στο διάστημα [1, n-1]. Αν η επιβεβαίωση αποτύχει, τότε επέστρεψε Απόρριψη της υπογραφής 2. Υπολόγισε h = H (m) 3. Υπολόγισε w = s -1 mod(n) 4. Υπολόγισε u 1 = hw mod(n) και u 2 = rw mod(n) 5. Υπολόγισε X = u 1 P + u 2 Q 6. Υπολόγισε r = T mod(q) 7. Αν Χ= τότε επέστρεψε Απόρριψη της υπογραφής αλλιώς Υπολόγισε v= x 1 mod(n) (όπου x 1 η x συνιστώσα του X) 9. Επέστρεψε Αποδοχή της υπογραφής αν και μόνο αν n =r Κεφάλαιο 2 - Περιεχόμενα 34

35 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.17 Συνολική ιδέα Η συνολική ιδέα της όλης αρχιτεκτονικής που έχει σχεδιαστεί αφορά την περίπτωση, όπως παρουσιάζεται και στο σχήμα 1.3 της Α.Μ. (Αριθμητικής Μονάδας) μονάδας με τον επεξεργαστή: Επεξεργαστής Αριθμητική Μονάδα Σχήμα 1.3: Επικοινωνία επεξεργαστή με την Αριθμητική Μονάδα Η επικοινωνία ανάμεσα στη μονάδα της Αριθμητικής Μονάδας και του επεξεργαστή εξασφαλίζει την υλοποίηση της πράξης του πολλαπλασιασμού επί των ελλειπτικών καμπυλών. Δηλαδή, η Αριθμητική Μονάδα έχει την δυνατότητα να κάνει πράξεις πάνω σε ελλειπτικές καμπύλες μέσω της υλοποίησης του αλγορίθμου του Lopez-Dahab (L- D), που αφορά την περίπτωση του πρόσθεσης σημείου και του διπλασιασμού σημείου. Δηλαδή, της πράξης της πρόσθεσης και του διπλασιασμού πάνω σε ελλειπτική καμπύλη. Αυτό, επιτυγχάνεται μέσω των αλγορίθμων του L-D. Δηλαδή, ο πολλαπλασιασμός αφορά μια διαδοχική αλληλουχία προσθέσεων με αλγοριθμικό τρόπο της εξίσωσης dc1 d( kp) k( dp) kq, μέσω της υλοποίησης κατάλληλου αλγορίθμου. Χρησιμοποιώντας ουσιαστικά επαναλαμβανόμενα την πράξη του διπλασιασμού σημείου και της πρόσθεσης σημείου. Όμως, η ιδέα της πράξης πάνω σε ελλειπτικές καμπύλες επιτυγχάνεται μέσω της Αριθμητικής Μονάδας που είναι υπεύθυνη για 3 ων ειδών πράξεις σύμφωνα με τον τρόπο που υλοποιήθηκε. Την πράξη της πρόσθεσης μέσα από μια σειρά πυλών Xor διατεταγμένων παράλληλα μεταξύ τους. Του τετραγωνισμού, μέσω του καταχωρητή μετατόπισης ψηφίων, αφού, μια περιστροφή αντιστοιχεί σε τετραγωνισμό της πληροφορίας. Και τέλος στην πράξη του πολλαπλασιασμού, μέσα από μια σειρά από περιστροφές των εισόδων A και Β που δέχεται. O πολλαπλασιασμός επιτυγχάνεται μέσω της μονάδας του πολλαπλασιαστή Massey- Omura, όπου στη συγκεκριμένη αρχιτεκτονική έχει υλοποιηθεί για να εξυπηρετεί μια αλληλουχία κυκλωμάτων των 233 ων ψηφίων. Παρακάτω, στο σχήμα 1.4 φαίνεται η συνολική ιδέα, για το πέρασμα από το μαθηματικό υπόβαθρο, στην αρχιτεκτονική, για την υλοποίηση της θεωρίας περί κρυπτογραφία. Κεφάλαιο 2 - Περιεχόμενα 35

36 Μαθηματικό Υπόβαθρο - Περιεχόμενα Κ ρυπ τογραφ ία Συσ τήματα Δ ιακριτού Λ ογαρίθμου Κ ρυπ τογράφ ησ η Δ ημόσ ιου Κ λειδιού Ο μάδες Ε λλειπ τικώ ν Καμπυλώ ν A.M. (Αριθμητική Μ ονάδα ) Σχήμα 1.3: Συνολική ιδέα Όσο αφορά την συνολική ιδέα κρυπτογράφησης που χρησιμοποιούμε στην περίπτωση μας είναι οι Ελλειπτικές Καμπύλες που χρησιμοποιούνται ως μαθηματικό υπόβαθρο για την κρυπτογράφηση. Συνδέονται σε επίπεδο αρχιτεκτονικής χρησιμοποιώντας μια Αριθμητική Μονάδα και σε επίπεδο κρυπτογραφίας, χρησιμοποιώντας το δημόσιο κλειδί k=233, για την επίτευξη του κατάλληλου κρυπτογραφικού πρωτοκόλλου. Ο συνδυασμός δημόσιου κλειδιού με ιδιωτικό προσφέρει την αυθεντικότητα των δεδομένων που θέλουμε να μεταβιβάσουμε από τον πομπό στον δέκτη (Σχήμα 1.4). Πομπός Δέκτης Δημόσιο κλειδί c Κρυπτογράφηση Αυθεντικότητα Αποκρυπτογράφηση Ιδιωτικό κλειδί d Keys(c,d) k=233 Ελλειπτικές Καμπύλες Σχήμα 1.4: Πομπός και δέκτης Κεφάλαιο 2 - Περιεχόμενα 36

37 Μαθηματικό Υπόβαθρο - Περιεχόμενα 1.18 Επιλογή συστήματος κρυπτογραφίας Η επιλογή του συστήματος κρυπτογραφίας γίνεται με βάση το επίπεδο ασφαλείας που προσφέρουν, δηλαδή όσο αφορά την περίπτωση των ελλειπτικών καμπυλών προτιμώνται σε εφαρμογές υψηλών απαιτήσεων ασφαλείας. Το χαρακτηριστικό των ελλειπτικών καμπυλών είναι ότι προσφέρουν υψηλό επίπεδο ασφαλείας, χρησιμοποιώντας με μικρότερο κλειδί, σε σχέση με άλλα συστήματα κρυπτογραφίας. Αφού έχουν μικρότερο κλειδί έχουν και μεγαλύτερη ασφάλεια ανά bits. Το μικρότερο μήκος κλειδιού σημαίνει ταχύτερη ολοκλήρωση των αλγορίθμων κρυπτογράφησης, αποκρυπτογράφησης και ψηφιακής υπογραφής (στην δικιά μας περίπτωση χρησιμοποιούμε k = 233 για τους αλγορίθμους αυτούς), ώστε να χρησιμοποιούνται μικρότερα ορίσματα. Παρακάτω παρατίθεται ένας Πίνακας που επιβεβαιώνει τις δυνατότητες που έχουν οι ελλειπτικές καμπύλες, σύμφωνα με το μέγεθος κλειδιού παρέχει αυτού του είδους η κρυπτογραφία (Πίνακας 1.1): Πίνακας 1.1: Προτεινόμενα κλειδιά σύμφωνα με τη NIST (National Instituste of Standards and Technology) Μέγεθος Συμμετρικού κλειδιού (ψηφία) Μέγεθος κλειδιού για την RSA και Diffie Hellman (ψηφία) Μέγεθος κλειδιού Ελλειπτικών Καμπυλών (ψηφία) Η Κρυπτογραφία Ελλειπτικών Καμπυλών προσφέρει μεγαλύτερη ασφάλεια και είναι πιο αποτελεσματική απ ότι η κρυπτογραφία RSA και Diffie Hellman. Αυτό φαίνεται και στον Πίνακα 1.2: Πίνακας 1.2: Σύγκριση Ελλειπτικών Καμπυλών και Diffie Hellman Επίπεδο Ασφαλείας (ψηφία) Κόστος DH : Κόστος Ε/Κ 80 3: : : : :1 Έτσι, από τον παραπάνω Πίνακα φαίνεται πόσο φθηνότερο είναι το κόστος των Ελλειπτικών Καμπυλών έναντι άλλου κρυπρογραφικού συστήματος. Κεφάλαιο 2 - Περιεχόμενα 37

38 Μαθηματικό Υπόβαθρο - Περιεχόμενα Κεφάλαιο 2: ΜΑΘΗΜΑΤΙΚΟ ΥΠΟΒΑΘΡΟ Περιεχόμενα: -2.1 Η ιδέα των πολυωνύμων σελ Άθροιση μεταξύ πολυωνύμων σελ Διαίρεση μεταξύ πολυωνύμων σελ Αριθμητικά υπόλοιπα πολυωνύμων σελ Συνταύτιση υπολοίπου σε πολυώνυμο σελ Πεδία σελ Πεπερασμένα Πεδία σελ Αριθμητική των Πεπερασμένων Πεδίων σελ Κανονικοποιημένες Βάσεις σελ Ιδέα των Βέλτιστα Κανονικοποιημένων Βάσεων σελ Βέλτιστα Κανονικοποιημένες Βάσεις σελ Θεωρία των Πεπερασμένων Πεδίων για Βέλτιστα Κανονικοποιημένες Βάσεις (Β.Κ.Β) σελ Β.Κ.Β. τύπου Ι (Βέλτιστα Κανονικοποιημένες Βάσεις τύπου Ι) σελ. 47 Κεφάλαιο 2 - Περιεχόμενα 38

39 Μαθηματικό Υπόβαθρο - Περιεχόμενα Β.Κ.Β. τύπου ΙΙ (Βέλτιστα Κανονικοποιημένες Βάσεις τύπου ΙΙ) σελ Μαθηματικά των ελλειπτικών καμπυλών με πραγματικούς αριθμούς σελ Μαθηματικά των ελλειπτικών καμπυλών πάνω σε πεδία πρώτων αριθμών σελ Μαθηματικά των ελλειπτικών καμπυλών πάνω από Galois πεδία σελ Αριθμητική των ελλειπτικών καμπυλών σελ Βέλτιστα Κανονικοποιημένες Βάσεις ελλειπτικών καμπυλών σελ Πολλαπλασιασμός πάνω σε ελλειπτικές καμπύλες σελ Παρουσίαση σημείου και ομάδα κανόνων σελ Αλγόριθμος Lopez-Dahab (LD) σελ. 57 Θεωρία για την Κρυπτογραφία Μαθηματικό Υπόβαθρο Κεφάλαιο 2 - Περιεχόμενα 39

40 Μαθηματικό Υπόβαθρο 2.1 Η ιδέα των πολυωνύμων Το κεφάλαιο των πολυωνύμων είναι μια σειρά από πράξεις και υπολογισμούς με ακέραιους μαζί με πολυώνυμα. Τα πολυώνυμα αφορούν πράξεις με διαιρέτες κλπ. Όσο αφορά όμως την περίπτωση που χρησιμοποιούμε πολυώνυμα για την περίπτωση υλικού επικεντρώνουμε το ενδιαφέρον μας, στη χρησιμοποίηση τους, ως συντελεστές σε πεδίο. Tα πεδία που χρησιμοποιούμε γι αυτή την περίπτωση παίρνουν αντίστοιχα 1 από τα εξής γράμματα για το συμβολισμό τους: F, K ή L. H ιδέα των πολυωνύμων στηρίζεται στο γεγονός ότι έχουμε ένα πεδίο Κ, στο οποίο το p είναι πρώτος αριθμός. Τα πολυώνυμα πάνω σε πεδίο Κ, σ ένα ασαφές X είναι μια έκφραση της μορφής: a N 0 a1 X... a N X (2.1.1) Όπου, το n N, οι συντελεστές a a,..., a 0, 1 N K και το X είναι ασαφές. Δηλαδή, ουσιαστικά τα πολυώνυμα εκφράζονται μέσα από σειρές της μορφής: n N a0 a1 X... a N X ak X (2.1.2) k 0 k Ένα πολυώνυμο σε Χ συχνά εκφράζεται από ένα σύμβολο όπως αυτό του α, αλλά κάποιες άλλες φορές ως α (Χ) για να δοθεί έμφαση στην εξάρτηση του α από το ασαφές Χ. 2.2 Άθροιση μεταξύ πολυωνύμων Το άθροισμα μεταξύ πολυωνύμων εκφράζεται έστω μεταξύ ενός πολυωνύμου α και ενός πολυωνύμου b ως εξής: a b n k 0 k ( a b ) X (2.2.1) k k Δηλαδή, έχουμε μια πρόσθεση μεταξύ των δύο σειρών α και b, απ όπου παίρνουμε ουσιαστικά το εξής αποτέλεσμα: c k a (2.2.2) 0 bk a1bk 1... akb0 Επομένως, η σειρά μπορεί να γραφεί και με τον εξής τρόπο: a b n k 0 c k X k (2.2.3) Κεφάλαιο 2 40