WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
maximize
Machine translation
1. (WO2005004383) METHOD FOR THE CONSTRUCTION OF ELLIPTIC CURVES OVER FINITE FIELDS
Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

VERFAHREN ZUR KONSTRUKTION

ELLIPTISCHER KURVEN ÜBER ENDLICHEN KÖRPERN

Die vorliegende Erfindung liegt allgemein auf dem Gebiet sicherer

Informations- bzw. Datenübertragung. Insbesondere betrifft die vorliegende Erfindung Kryptographie- Verfahren im Public-Key-Bereich in Gestalt von Algorithmen auf Basis von ECC (Elliptic Curve Cryptography)

Kryptographie nutzt zur Verschlüsselung und Entschlüsselung von Information bzw. Daten einen Kryptographie-Schl üssel. Symmetrische Verschl üsselungsverfahren nutzen auf der Sender- und der Empfängerseite denselben Schl üssel, der deshalb über einen hinreichend sicheren Kanal übertragen werden muss. Das symmetrische Verfahen bedingt, dass f ür jede mögliche Kombination von Kommunikationspartnern ein separater Schl üssel erzeugt und verwaltet werden muss. In einem Netz mit einer großen Anzahl von Teilnehmern ist diese Prozedur problematisch, weil die Anzahl der Schi üssel quadratisch wächst. Eine Abhilfe dieses Problems stellen sogenannte asymmmetrische Verfahren bzw. Public-Key- Verfahren dar. Bei diesen Algorithmen wird der eigentliche Schi üssel eines Benutzers in zwei Teile aufgespalten, in den öffentlichen Schlüssel (public key) , der möglichst allgemein bekannt sein sollte, und in den geheimen Schi üssel (private key), der nur dem rechtm äßigen Besitzer bekannt ist. Beide Schlüsselbestandteile hängen üblicherweise über eine mathematische Beziehung zusammen, die in einer Richtung leicht auswertbar, in der anderen Richtung praktisch jedoch nicht berechenbar ist. Es muss n ämlich vermieden werden, dass der private Teil des Schlüssels aus dem Public Key berechnet werden kann. Der Vorteil der asymmetrischen Verfahren ist, dass anstelle eines Schi üssels pro möglicher Verbindung, der bei dem symmetrischen Verfahren ben ötigt wird, pro Benutzer nur noch ein Schlüsselpaar erforderlich ist. Hierdurch wird die Anzahl von Schi üssel-paaren drastisch reduziert. Der bekannteste Vertreter asymmetrischer Verfahren ist der nach seinen Entdeckern Ron Rivest, Adi Shamir und Leonard Adleman benannte RSA- Algorithmus. Das zugrunde liegende mathematische Problem bei diesem Verfahren ist die Faktorisierung von zusammengesetzten Zahlen So ist aus zwei gegebenen Primzahlen p und q deren Produkt n = p · q leicht zu berechnen: die Umkehrung dieser Prozedur, d. h. die Berechnung von p und q bei gegebenem n. ist jedoch ungleich schwieriger. Um im Fall des RSA- Algorithmus tatsächlich Sicherheit zu gew ährleisten, müssen die Werte von p und q im Bereich von jeweils 150 Dezimalstellen L ange gewählt werden. Der Wert von n liegt damit in der Größenordnung von 300 Dezimalstellen, was 1.024 Bit entspricht. Um mit dem RSA-Algorithmus die notwendige Sicherheit zu erzielen, werden größere Ressourcen benötigt (Rechenaufwand, Speicherplatz, Bandbreite usw.).

Eine Alternative zum RSA-Algorithmus stellt Kryptographie auf der Grundlage elliptischer Kurven dar. Dieses Verfahren wird auch als ECC (Elliptic Curve Cryptography) bezeichnet. Diese Verfahren sind dadurch gekennzeichnet, dass die zur Verschlüsselung und Entschlüsselung notwendigen Berechnungen nicht

direkt mit Zahlen, sondern mit Punkten auf sogenannten elliptischen Kurven durchgeführt werden Dadurch, dass in der damit zugrunde hegenden mathematischen Struktur einem potentiellen Angreifer bestimmte Angriffsmethoden nicht zur Verfugung stehen, lassen sich die verwendeten Schi ussel- und Parameterlangen ohne Sicherheitseinbuße deutlich verringern Dies macht die Algorithmen besonders interessant für einen Einsatz innerhalb von Umgebungen mit beschrankten Rechen- oder Speicherkapazit äten, wie beispielsweise Smartcards

In der Punktgruppe elliptischer Kurven l asst sich ein Gruppengesetz formulieren welches es erm öglicht dass man mit diesen Objekten im Prinzip wie mit normalen Zahlen rechnen kann F ur die auf einem Computer zur Verschl usselung und Entschlüsselung durchzuführenden Berechnungen wird ein Punkt auf solch einer Kurve durch zwei Werte, die x- und ^-Koordinate des Punktes, dargestellt Die Lange dieser Zahlenwerte h angt von der gewünschten Sicherheit ab Orientiert man sich dabei beispielsweise an der Sicherheit eines 1024-Bit-RSA-Schlussels, so sind diese Parameter im Bereich von 160 Bits zu w ahlen Diese deutlich kleineren Zahlen sind auch der Grund f ür den sich einstellenden Leistungsgewinn Auch wenn die durchzuführenden Berechnungen im Fall elliptischer Kurven etwas komplizierter sind als beim Einsatz von RSA- Algorithmen, zeichnet sich ECC durch deutlich k urzere Rechenzeit als RSA aus Verfahren auf der Grundlage von ECC bzw elliptischen Kurven über endlichen Korpern sind also RSA-Verfahren deutlich überlegen und kommen zunehmend in "Embedded Systems" und anderen Umgebungen zum Einsatz, in denen die Ressourcen beschrankt sind wie etwa bei Chipkarten und in der Mobiltelefonie

Es besteht aktuell Bedarf an einem Verfahren, kryptographisch geeignete elliptische Kurven schnell zu erzeugen Der Einsatz mehrerer unterschiedlicher elliptischer Kurven fuhrt dabei zu erhöhter Sicherheit der Kryptosysteme, weil f ür den Fall dass sich eine bestimmte elliptische Kurve als unsicher herausstellen sollte, nui diejenigen betroffen sind, die mit dieser speziellen Kurve arbeiten Gerade in diesem Zusammenhang ist der Aspekt eines schnellen Ablaufs des Verfahrens zur Bestimmung geeigneter elliptischer Kurven von entscheidender Bedeutung Dieses Ziel soll durch die vorhegende Erfindung erreicht werden

Ein weiteies Einsatzgebiet elliptischer Kurven betrifft Protokolle zur ldentitatsbasierten Kryptographie, die auf den Täte- und Weil-Paarungen elliptischer Kurven basieren Geeignete Kurven lassen sich im wesentlichen nur mit CM-Verfahren (CM steht für " komplexe Multiplikation, der Theorie der singul aren Werte von elliptischen Funktionen und Modulfunktionen) bestimmen Schließlich besteht ein Einsatzgebiet elliptischer Kurven in Primzahltests

Im folgenden soll n aher auf den Stand der Technik bez uglich elliptischer Kurven über endlichen Korpern eingegangen werden Seien P eine Primzahlpotenz und E eine elliptische Kurve über dem Korper
mit P Elementen Dann ist die Anzahl M der Punkte auf der Kurve von der Form


Es gibt eine Darstellung der Form


mit y∈ℕ und der Diskriminante D = ƒ2D0 der Ordnung zum Fuhrer ƒ im imaginär-quadratischen Zahlkörper K der Diskriminante D0

Der Schlüssel zur Konstruktion aller gew ohnlichen elliptischen Kurven über endlichen Korpern ist die j-Invariante der Ordnung zur Diskriminante D,

,
.


Sie ist Nullstellc der sog Klassengleichung

,


in der [A, B, C] ein Vertretersystem von Klassen primitiver quadratischer Formen der Disknminante D durchlauft Die Klassengleichung hat Koeffizienten in Z und zerfallt im vorliegenden Fall in
in ein Produkt von Linearfaktoren,

,


wobei h die Idealklassenzahl der Ordnung von K zur Diskriminante D bezeichnet Die hierin auftretenden Elemente
sind dann j-Invarianten elliptischer Kurven über
, deren Elementzahl gegebenenfalls nach einem einfachen quadratischen Twist gleich M ist.

Das Problem, das diesen Zugang bei großen Diskrimmantenbetragen |D| völlig unpi aktikabel macht, ist die Tatsache, dass die Koeffizienten von JD (X) astronomisch groß sind Die bisherigen Methoden bewältigen dieses Problem durch die Verwendung geeigneter Modulfunktionen g höherer Stufe mit der Eigenschaft, dass j eine rationale Funktion von g ist,

j = R(g) .

Der sogenannte singulare Wert g(α) ist bei den bisher verwendeten Funktionen ganz algebraisch von einem
Die Konjugierten von g(α) liefern in den Fallen, in denen sie bekannt sind, explizit die Minimalgleichung mg(α) (X) von g(α) überℚ, die in der Regel wesentlich kleinere Koeffizienten hat als die Klassengleichung In einem Erweiterungsk örper von
zerfallt dann mg(α) (X) in ein Produkt von Linearfaktoren X— gv., und aus den Nullstellen gv gewinnt man dann vermöge jv -= P(gv) die gesuchten j-Invarianten elliptischer Kurven über
.

Die vorstehenden Verfahren sind jedoch mit den folgenden drei Problemen behaftet

a) Bei allen bisherigen Verfahren ist der Grad von g(α) im gunstigsten Fall gleich h, In der Regel aber ein ganzzahliges Vielfaches von h Hierzu ist zunächst festzustellen, dass mit dem Grad von g(α) das Faktoπsierungsproblem aufwendiger wird Weiterhin w achst mit dem Grad auch die Große der Koeffizienten, was wiederum eine höhere Fließkommagenauigkeit bei der Berechnung von mg(α) erfordert Insbesondere, wenn M prim ist, was für einige Anwendungen von Vorteil ist, liefern alle bekannten Funktionen bei ungeradem P Polynome, deren Grad hoher als h ist oder die sehr große Koeffizienten haben Die bisherigen Verfahren zur Bestimmung elliptischer Kurven sind also durch eine verl angerte Rechenzeit gekennzeichnet b) Wenn g(α) nicht in dem von j(α) erzeugten Korper hegt (Grad g(α) > h) zerfallt mg (α) (X) erst über einer endlichen Erweiterung von
m Linearfaktoren, wodurch eine Verl ängerung der Rechenzeit entsteht c) Für die Berechnung der Konjugierten ist nur in wenigen F allen wie etwa für die Weber-Funktionen, ein effizientes Verfahren vorhanden

Eine Aufgabe der vorliegenden Erfindung besteht deshalb dann, ein Verfahren zur beschleunigten Konstruktion elliptischer Kurven über endlichen Korpern zu schaffen

Gelost wird diese Aufgabe durch die Merkmale des Anspruchs 1 Vorteilhafte Weiterbildungen der Erfindung sind in den Untei ansprachen angegeben

Demnach sieht die Erfindung zur Konstruktion elliptischer Kurven über endlichen Korpern vor, dass die Modulfunktionen g die Eigenschaften aufweisen dass der Grad von g(α) ein echter Teiler von h (h ist die Ordnung der Ideal-klasscngruppe der Ordnung von K zur Disknminante D) ist und die Koeffizienten der zugeordneten Minimalpolynome klein sind Der erfindungsgemäße Losungsansatz erlaubt also die Konstruktion neuer Funktionen g derart, dass die vorstehend unter a) und b) beschriebenen Rechenzeiten deutlich verk urzt werden

Der erfindungsgemäße Losungsansatz beinhaltet auch die Bereitstellung einer effektiven Technik zur Berechnung der Konjugierten der spater definierten singulären Werte
als Elemente des Ringklassenk orpers modulo ƒ

Die erfindungsgemäße Losung der Aufgabe ist im folgenden unter Darstellung sämtlicher Rechenschritte, ausgehend \ om Stand der Technik n aher erläutert

Mit Hilfe der η-Funktion


werden Quotienten der Form


mit einer natürlichen Zahl p und hiermit die für die Lösung der Aufgabe benutzten Funktionen


mit zwei natürlichen Zahlen p, q definiert. Die so definierten Funktionen haben einmal den Vorteil kleiner w -Entwicklungskoeffizienten, was sich in der Kleinheit der Koeffizienten der Minimalgleichungen ihrer singulären Werte auswirkt. Zum anderen wird durch die zweifache Quotientenbildung erreicht, dass der Grad dieser Minimalgleichungen unterhalb der Klassenzahl h liegt. Dieses Verfahren kann man natürlich fortsetzen, etwa durch


mit drei natürlichen Zahlen p. q. r. Analog definiert man mit endlich vielen natürlichen Zahlen p1 , .., pn rekursiv


(Anstelle der Quotientenbildung in (pqr) und (∞) kann man auch mit dem Produkt der Funktionen fortfahren. Der Vorteil bei der Quotientenbildung besteht in der Tatsache, dass die definierten Funktionen dann nicht von der Reihenfolge der Zahlen p, q und r bzw. p1, .., pn abhängen.)

Anwendung von (pq) zur Lösung von a):

Es wird angenommen, dass p und q zwei zum Führer ƒ teilerfremde ungerade Primzahlen sind, die in K verzweigt oder zerlegt sind. Es seien weiter p bzw. q über p bzw. q gelegene Primideale der Maximalordnung, so dass p zu
, dem zu q konjugierten Ideal, teilerfremd ist. Dann kann man B* so wählen, dass das zu pq gehörige Ideal der Ordnung zum Führer ƒ gegeben ist durch


Wenn weiter noch

(p - 1) (q - 1)≡ 0 (mod 24) ist, so ist ∈p q(α) nach [5] ganz algebraisch vom Grad ≤ h. Um einen Grad zu erhalten, der echt kleiner als h ist, wird weiter vorausgesetzt, dass p und q verschieden und in K verzweigt sind, d. h. die Diskriminante D0 von der Form

D0 = -pqm, m∈ℕ,

ist, und dass (pq)/ kein Hauptideal ist. Wie in [3] gezeigt, ist dann ep q (α) ganz algebraisch vom Grad


Das Minimalpolynom von ∈p q(α) über K hat Koeffizienten inℤ und zerfällt über
in Linearfaktoren . Um hieraus die gesuchten j-Invarianten

elliptischer Kurven über
zu bestimmen, verwendet man die zwischen∈p q und j bestehende Modulargleichung (vgl. [1,2])


vom Grad


Einsetzen von (∈p q)v in die Gleichung Φ = 0 liefert dann eine algebraische Gleichung für die gesuchten jv vom
, mit Hilfe derer man die jv leicht bestimmen kann.

Anwendung von (pqr) und (∞) zur Lösung von a):

Die Anwendung der Funktionen (pqr) und ( oo) erfolgt ganz analog. Für (pqr) betrachtet man Diskriminanten D0 von der Form

D0 = -pqrm, m∈ℕ, mit drei verschiedenen zu ƒ teilerfremden ungeraden Primzahlen p. q. r mit darüber liegenden Primidealen p, q, r. Dann ist das zu pqr gehörige Ideal der Ordnung zum Führer ƒ gegeben durch


mit B' = -D. Unter der Voraussetzung


mod 3 ist dann

G


Natürlich kann man das Verfahren auf beliebig viele paarweise verschiedene ungerade Primzahlen pι , ..., pn analog verallgemeinern und erh ält so unter der Voraussetzung

(p1 - 1) · ... · (Pn - 1)≡ 0 mod 3 einen singulären Wert
vom Grad≤
. Durch Faktorisieren seiner Minimalgleichung gewinnt man dann über eine entsprechende Modulargleichung die gesuchten Invarianten elliptischer Kurven über
.

Angabe eines effizienten Verfahrens zur Berechnung der Konjugierten für die singulären Werte der Funktionen
zur Lösung des vorstehend genannten Problems c):

Die betrachteten singul ären Werte von∈p q (und∈p q r sowie der verallgemeinerten Funktionen) liegen in Ω/, dem Ringklassenkörper modulo ƒ von K. Zur Bestimmung der Konjugierten m üssen daher die Bilder von ∈p q(α) unter den verschiedenen Automorphismen von Ωƒ/K berechnet werden. Setzt man N = pq

(bzw. N = pqr bzw. N = p1 ... pn), so sind diese Bilder nach dem Theorem 4 in [4] gegeben durch

,


wobei die Fi := [Ai, Bi, Ci] ein sogenanntes N-System durchlaufen. Hierbei handelt es sich um ein Vertretersystem quadratischer Formen der Diskriminante D, das die Bedingungen


B' ( d 2N) erfüllt. Ein solches Vertretersystem gewinnt man leicht aus einem reduzierten System quadratischer Formen der Diskriminante -D, wenn man die Vertreter in geeigneter Weise (vgl- [4]) durch St ürzen und Translatieren verändert.

Man betrachte nun die über p und q gelegenen eigentlichen Ideale p, q der Ordnung zum Führer ƒ, wähle dann eine zur Idealklasse von pq gehörige quadratische Form F und bezeichne mit = die übliche Äquivalenz quadratischer Formen. Die Berechnung der Konjugierten wird dann dadurch weiter vereinfacht, dass für
die zugehörigen singulären Werte zueinander konjugiert-komplex sind, so dass es genügt, einen der zugehörigen singulären Werte zu berechnen. Ein entsprechendes Ergebnis gilt für (pqr) und (∞).

Wenn p und q in K verzweigt sind, liegt, wie bemerkt, der singul äre Wert∈p q(α) genauer in dem zu pq im Sinne der Klassenk örpertheorie gehörigen Teilkörper L von Ω/ vom Relativgrad [Ωƒ : L] = 2, so dass es gen ügt, die Wirkung der Automorphismen von L/K auf ∈p q(α) zu berechnen. Dazu bestimme man in dem pq-System ein Vertretersystem bez üglich der Äquivalenzrelation


.

Die mit einem solchen Vertretersystem gebildeten Konjugierten sind dann die Bilder von∈p q(α) unter den verschiedenen Automorphismen von L/K. Weiterhin erhält man in diesem Fall für zueinander konjugiert-komplexe

singuläre Werte.

Für die Funktionen vom Typ (pqr) benutze man entsprechend ein Vertretersystem bzgl.


, wobei F und G quadratische Formen bedeuten, die, wie oben beschrieben, mit den über pq bzw. pr gelegenen primitiven Idealen der Ordnung zum F ührer ƒ zusammenh ängen.

Für (oo) wird das Verfahren analog fortgesetzt.

Im folgenden werden Anwendungsbeispiole f ür das erfindungsgemäße Verfahren dargestellt.

1. Anwendungsbeispiel zur Berechnung des Minimalpolynoms mittels eines N-Systems.

Als Diskriminante wird D = D0 = -2555 = -5 . 7 . 73 gewählt. Die Klassenzahl beträgt h = 12, ein Vertretersystem reduzierter quadratischer Formen ist wie folgt gegeben:


Wir wählen p1 = 5 und p2 = 7, die die Bedingung erfüllen, dass (p1 - 1) (p2 -1) durch 24 teilbar ist; also N = 35. Eine Form oberhalb von 35 ist durch [35. -35, 27] gegeben, dessen äquivalenter reduzierter Vertreter F = [27, 19, 27] ist Äquivalenz von Formen ist im Folgenden durch das Symbol ≡ gekennzeichnet.

Falls F- ambig ist. also
. ist die zugehörige Konjugierte reell, und dieselbe Konjugierte wird mit
erhalten. Im Beispiel erh ält man als (Fi, Fj (i)) die Paare (F1 , F12) und (F4, F5).

Falls
, ist die zugehörige Konjugierte ebenfalls reell, und dieselbe Konjugierte wird für
erhalten. Im Beispiel treten keine solchen Paare auf.

Andernfalls ist die zugeh örige Konjugierte komplex. Dieselbe Konjugierte wird für
erhalten. Die zu
und zu
gehörenden Konjugierten sind identisch und zu den beiden vorgenannten komplex-konjugiert. Im Beispiel werden für (Fi, Fj(i) , Fk(i), Fl(i)) die Quadrupel von Formen (F2, F6. F3, F7) und (F8, F10 , F9, F 1 1) erhalten.

Aus jedem dieser Tupel bzw. Quadrupel wird je eine Form gew ählt, etwa Fi , F4, F2 und Fg. Zu den gewählten F, bestimmt man äquivalente Formen F[, deren erster Eintrag zu 35 teilerfremd und deren zweiter Eintrag kongruent zu B* ≡ 35 modulo 70 ist Im Beispiel erh ält man F1' = [1 , -35, 945], F4' = [129. -1295, 3255], F2' = [3, -35. 315] und F8' = [43, -1295, 9765].

Der zu einer Form Fi' = [Ai, Bi, Ci] gehörige singuläre Wert wird durch Auswerten der Funktion
mit dem Argument
berechnet Im Beispiel erh alt man (mit jeweils 4 signifikanten Dezimalstellen) die reellen Konjugierten g(α1) = -92.44 und g(α4) = 0.01082 und die komplexen Konjugierten g(α2) = 3.360 + 3.438J und g(α8) = -0.1454 - 0.14887.

Multiplizieren aller X - g(αi) für die reellen g(αi) und

für die komplexen g(αi), wobei die komplexe Konjugation bezeichnet, und

Runden der erhaltenen Koeffizienten auf ganzrationale Zahlen liefert das Mini-malpolvnom


Der konventionelle Ansatz mit Hilfe der Weber-Funktion berechnet das folgende Klassenpolynom zur (nicht fundamentalen) Disknminante 4 D = - 10220 mit Klassenzahl 3 h = 36


Der größte Koeffizient dieses Polynomes hat 10 Dezimalziffern anstelle von 4 im Falle unseres Ansatzes Zur Konstruktion einer zugeh oπgen elliptischen Kurv e mittels der Weber-Funktion muss eine Nullstelle dieses Polynomes dessen Grad sechsmal so hoch ist wie in unserem Verfahren, über einer Korpererweiterung von
vom Grad 3 anstelle von
selbst bestimmt werden

2 Anwendungsbeispiel zur Bestimmung einer elliptischen Kurve von Primzahlordnung über einem endlichen K orper von kryptographisch sicherer Kardinahtat

Man wählt die Disknminante D = D0 = - 1170195 = -3 · 5 13 · 17 · 353 mit h = 208, p1 = 3 und p2 = 13 Man findet dass für


die Gleichung 4 P = x2 + 1170195y2 mit ganzen Zahlen losbar ist und zu einer elliptischen Kurve über Fp fuhrt, deren Kardinalitat durch die Primzahl

gegeben ist

Die folgenden Laufzeiten wurden auf einem Pentium III mit 700 MHz gemessen

In unserem Verfahren gen ügt es mit einer Genauigkeit von 84 Dezimalstellen zu rechnen, um ein Minimalpolynom zu erhalten, dessen gr ößter Koeffizient 79 Dezimalstellen hat, die Laufzeit dieses Schrittes betr agt 0 3 s Die Nullstelle

dieses Polynomes vom Grad 104 über dem endlichen Korper Fp wird in 61 s berechnet

Die Modulgleichung Φ(∈3,13,j) = 0 ist durch folgenden Ausdruck für Φ(X,j) definiert


Einsetzen von (∈3,13)1 für X liefert eine quadratische Gleichung für j, deren zwei Nullstellen in Fp,


und


,

in 0.01 s bestimmt werden und zwei m ögliche j-Invarianten darstellen, Aus der j-Invariante j\ wird die elliptische Kurve Y2 = X 3 + aX + b mit


berechnet, die die gesuchte Kardinalit ät hat.

Im üblichen Verfahren mittels der Weber-Funktionen verwenden wir eine Rechengenauigkeit von 650 Dezimalstellen, um ein λlinimalpolynom zu erhalten, dessen größter Koeffizient 643 Dezimalstellen hat. Die Laufzeit hierfür beträgt 14 s. Die anschließende Bestimmung einer Nullstelle dieses Polynomes vom Grad 624 über dem Körper Fp3 und derselben Kurve wie oben dauert 382 s.

In diesem Fall mit kryptographisch relevanten Parametern ist demnach das erfindungsgemäße Verfahren um mehr als den Faktor 60 schneller als das bisherige Verfahren.