La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Courbes elliptiques. Protocole de Diffie-Hellman Alice choisit x et envoie g x mod N à Bob Bob choisit y, calcule K=(g x ) y mod N quil conserve et envoie.

Présentations similaires


Présentation au sujet: "Courbes elliptiques. Protocole de Diffie-Hellman Alice choisit x et envoie g x mod N à Bob Bob choisit y, calcule K=(g x ) y mod N quil conserve et envoie."— Transcription de la présentation:

1 Courbes elliptiques

2 Protocole de Diffie-Hellman Alice choisit x et envoie g x mod N à Bob Bob choisit y, calcule K=(g x ) y mod N quil conserve et envoie g y mod N à Alice Alice calcule K=(g y ) x mod N Problème: les exponentiations coûtent chers en calcul et/ou en matériel

3 Analyse du protocole On utilise la notion de groupe des entiers modulo N. On a donc besoin dun groupe avec une exponentiation. Le groupe doit être commutatif K=(g x ) y mod N =(g y ) x mod N Le problème du logarithme discret doit être difficile

4 Courbes elliptiques dans R 2 y 2 =x 3 +ax+b

5 Corps de Galois Pour p premier et n entier supérieur ou égal à 1, on appelle GF(p n ) le corps de Galois à p n éléments. Un élément de cet ensemble est représenté comme un n- uplet de p éléments de Z/pZ: e=(e 1,…,e n ). Cet ensemble est muni dune addition et dune multiplication. En fait, cest un corps: tout élément non nul est inversible. Laddition est simple: cest laddition composantes à composantes dans Z/pZ. La multiplication est plus compliquée, mais plus simple quune multiplication modulo un nombre de la taille de p n. Pour p et n fixé, GF(p n ) est unique à un isomorphisme près.

6 Courbes elliptiques sur GF(2 n ) Soit a et b dans GF(2 n ) avec b non nul. La courbe elliptique E associée est lensemble des points (x,y) dans (GF(2 n )) 2 tels que y 2 +xy=x 3 +ax+b auquel on adjoint un point spécial O appelé point à linfini. La définition est différente pour p>2.

7 Addition dans les courbes elliptiques P+O=O+P=P pour tout P dans E Si P=(x,y), alors (x,y)+(x,x+y)=O dans P. Le point (x,x+y) est noté –P. Si P=(x,y) alors P+P=(x,y) avec x=x 2 +b/x 2, y=x 2 +(x+y/x)x+x. Si P=(x 1,y 1 ), Q=(x 2,y 2 ), P Q, alors P+Q=(x 3,y 3 ) avec x 3 =R 2 +R+x 1 +x 2 +a, y 3 =R.(x 1 +x 3 )+x 3 +y 1 où R=(y 2 +y 1 )/(x 2 +x 1 ). (E,+) est un groupe commutatif.

8 Composante homogène Afin déconomiser du temps de calcul, on utilise parfois une représentation homogène. (x,y,z) représente en fait (x/z,y/z) et on récrit les règles dadditions pour éviter les divisions qui sont plus coûteuses. Exemple: P=(x,y,z) alors 2P=(x,y,z) avec x=zx 5 +bz 5 x, y=(x 2 +yz)(x 4 +bz 4 )+bz 5 x, z=x 3 z 3.

9 Exponentielle et logarithme discret Soit E une courbe elliptique et P un point de E. On définit lexponentielle de P par 0.P=O, n.P=(n-1).P+P si n 1 et (-n).P = -(n.P) si n -1. En utilisant la duplication, on peut calculer n.P par la méthode binaire classique. Le problème du logarithme discret consiste à calculer n, étant donné les valeurs de P et n.P. Ce problème est réputé au moins aussi difficile que le problème du logarithme discret dans les entiers modulo. On pense même quil est plus compliqué.

10 Diffie-Hellman en courbes elliptiques Alice choisit un point P aléatoirement sur une courbe elliptique E et un entier n. Alice calcule n.P et lenvoie à Bob. Bob choisit un entier m, calcule K=m.(n.P) et envoie m.P à Alice. Alice calcule K=n.(m.P). Problèmes: déterminer une courbe elliptiques et choisir des points aléatoirement dans la courbe.

11 Choix dune courbe elliptique E est définie par léquation y 2 +xy=x 3 +ax+b. Si on choisit aléatoirement a et b, pour choisir un point sur E, il faut résoudre une équation du troisième degré sur GF(2 n ) Problème difficile. En fait, on choisit un point quelconque x 0, y 0 et on choisit a. b a alors une solution unique que lon peut calculer facilement. Si on doit choisir plusieurs points aléatoirement sur la courbes on calculera N.(x 0,y 0 ) avec n très grand aléatoire. En fait N>>2 n.

12 EC-DSA Problème: on a une fonction de hachage publique h (genre MD-5) et on veut signer des messages. EC-DSA est la contrepartie de lalgorithme DSA classique au niveau des courbes elliptiques.

13 EC-DSA (Description) On suppose que lordre de P est q (i.e. q.P=0) Alice choisit a aléatoire dans [0,q-1]. Elle calcule aP quelle publie et conserve secrètement a. Alice veut signer un message m. Elle calcule r=kP et s=k -1 (h(m)+ar) mod q. Alice envoit (m,r,s) à Bob. Bob vérifie que kP=h(m)s -1.P+rs -1 (aP). Si oui, le message m a bien été envoyé par Alice. Problème: Comment calculer lordre de P ? Est-ce quil existe toujours ?

14 Rappel sur les groupes Soit (G,+) un groupe fini de cardinal N et dont lunité pour laddition est 0. Soit x un élément de G, on définit la suite v 0 =0, v n+1 =v n +x. Alors il existe k>0 avec v k =0. La plus petite valeur pour laquelle v k =0 sappelle lordre de x. Lordre de x divise N (théorème de Lagrange).

15 Compter les points dune courbe elliptique Dans lEC-DSA, on a pas besoin nécessairement de lordre exact de lélément: un multiple suffit. On peut donc prendre q comme étant égal au cardinal de la courbe elliptique. Lalgorithme de Schoof permet de compter les points dune courbes elliptiques. Certaines courbes elliptiques ont par construction un nombre de points facile à calculer. Enfin les courbes elliptiques faisant partie de standards bien définis sont données dans les descriptions techniques avec leur nombre de points. Exemple: 2-change1.pdf

16 RSA en courbes elliptiques Il existe des définitions qui utilise des courbes elliptiques dites singulières (Demytko, Maurer). Ces systèmes sont définis sur des courbes elliptiques à coefficients dans des anneaux. Malheureusement, il existe des attaques contre ces systèmes. Pour éviter ces attaques, le choix des courbes doit suivre certaines règles.

17 Intérêt pratique Calculs plus simples quavec les systèmes à base de modulo. De plus la sécurité semble supérieure DES ECC RSA Comparaison: Taille de clés assurant le même niveau de sécurité

18 Conclusion La cryptographie à courbes elliptiques est une alternative à la cryptographie classique à clé publique. Les algorithmes sont moins gourmands en termes de temps de calcul et de matériel. Ils permettent aussi un débit de données plus élevés. La cryptographie à courbes elliptiques est sans doute une approche appelée à se répandre dans les applications pratiques. Il existe dautres constructions à bases de courbes (courbes hyper-elliptiques de Kobler).


Télécharger ppt "Courbes elliptiques. Protocole de Diffie-Hellman Alice choisit x et envoie g x mod N à Bob Bob choisit y, calcule K=(g x ) y mod N quil conserve et envoie."

Présentations similaires


Annonces Google