DE10329885A1 - Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern - Google Patents

Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern Download PDF

Info

Publication number
DE10329885A1
DE10329885A1 DE2003129885 DE10329885A DE10329885A1 DE 10329885 A1 DE10329885 A1 DE 10329885A1 DE 2003129885 DE2003129885 DE 2003129885 DE 10329885 A DE10329885 A DE 10329885A DE 10329885 A1 DE10329885 A1 DE 10329885A1
Authority
DE
Germany
Prior art keywords
discriminant
elliptic curves
functions
elliptic
over
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2003129885
Other languages
English (en)
Other versions
DE10329885B4 (de
Inventor
Reinhard Prof. Dr. Schertz
Andreas Dr. Enge
Michael Prof. Dr. Pohst
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Universitaet Augsburg
Original Assignee
Universitaet Augsburg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universitaet Augsburg filed Critical Universitaet Augsburg
Priority to DE2003129885 priority Critical patent/DE10329885B4/de
Priority to PCT/DE2004/001396 priority patent/WO2005004383A2/de
Priority to DE112004001634T priority patent/DE112004001634D2/de
Publication of DE10329885A1 publication Critical patent/DE10329885A1/de
Application granted granted Critical
Publication of DE10329885B4 publication Critical patent/DE10329885B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/724Finite field arithmetic
    • G06F7/725Finite field arithmetic over elliptic curves

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Error Detection And Correction (AREA)
  • Complex Calculations (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Konstruktion elliptischer Kurven E über endlichen Körpern, ausgehend von der Gleichung M = P + 1 + x (mit DOLLAR I1 2(P)·1/2·; P ist eine Primzahlpotenz und E ist eine elliptische Kurve über dem Körper F¶P¶ mit P Elementen), entsprechend 4P = x·2· + y·2· DOLLAR I2 (mit y epsilon N und der Diskriminante D = f·2·D¶0¶ der Ordnung im Führer f im imaginär-quadratischen Zahlkörper K der Diskriminante D¶0¶), unter Nutzung von Modulfunktionen g zum Gewinnen von Zugang zu großen Diskriminantenbeträgen DOLLAR I3. Erfindungsgemäß ist vorgesehen, dass die Modulfunktionen g die Eigenschaft aufweisen, dass der Grad von g(alpha) ein echter Teiler von h (h ist die Idealklassenzahl der Ordnung von K zur Diskriminante D) ist und die Koeffizienten der zugeordneten Minimalpolynome klein sind.

Description

  • Die vorliegende Erfindung liegt allgemein auf dem Gebiet sicherer Informations- bzw. Datenübertragung. Insbesondere betrifft die vorliegende Erfindung Kryptographie-Verfahren im Public-Key-Bereich in Gestalt von Algorithmen auf Basis von ECC (Elliptic Curve Cryptography)
  • Kryptographie nutzt zur Verschlüsselung und Entschlüsselung von Information bzw. Daten einen Kryptographie-Schlüssel. Symmetrische Verschlüsselungsverfahren nutzen auf der Sender- und der Empfängerseite denselben Schlüssel, der deshalb über einen hinreichend sicheren Kanal übertragen werden muss. Das symmetrische Verfahren bedingt, dass für jede mögliche Kombination von Kommunikationspartnern ein separater Schlüssel erzeugt und verwaltet werden muss. In einem Netz mit einer großen Anzahl von Teilnehmern ist diese Prozedur problematisch, weil die Anzahl der Schlüssel quadratisch wächst. Eine Abhilfe dieses Problems stellen sogenannte asymmmetrische Verfahren bzw. Public-Key-Verfahren dar. Bei diesen Algorithmen wird der eigentliche Schlüssel eines Benutzers in zwei Teile aufgespalten, in den öffentlichen Schlüssel (public key), der möglichst allgemein bekannt sein sollte, und in den geheimen Schlüssel (private key), der nur dem rechtmäßigen Besitzer bekannt ist. Beide Schlüsselbestandteile hängen üblicherweise über eine mathematische Beziehung zusammen, die in einer Richtung leicht auswertbar, in der anderen Richtung praktisch jedoch nicht berechenbar ist. Es muss nämlich vermieden werden, dass der private Teil des Schlüssels aus dem Public Key berechnet werden kann. Der Vorteil der asymmetrischen Verfahren ist, dass anstelle eines Schlüssels pro möglicher Verbindung, der bei dem symmetrischen Verfahren benötigt wird, pro Benutzer nur noch ein Schlüsselpaar erforderlich ist. Hierdurch wird die Anzahl von Schlüsselpaaren drastisch reduziert. Der bekannteste Vertreter asymmetrischer Verfahren ist der nach seinen Entdeckern Ron Rivest, Adi Shamir und Leonard Adleman benannte RSA-Algorithmus. Das zugrunde liegende mathematische Problem bei diesem Verfahren ist die Faktorisierung von zusammengesetzten Zahlen So ist aus zwei gegebenen Primzahlen p und q deren Produkt n = p·q leicht zu berechnen; die Umkehrung dieser Prozedur, d. h. die Berechnung von p und q bei gegebenem n, ist jedoch ungleich schwieriger. Um im Fall des RSA-Algorithmus tatsächlich Sicherheit zu gewährleisten, müssen die Werte von p und q im Bereich von jeweils 150 Dezimalstellen Länge gewählt werden. Der Wert von n liegt damit in der Größenordnung von 300 Dezimalstellen, was 1.024 Bit entspricht. Um mit dem RSA-Algorithmus die notwendige Sicherheit zu erzielen, werden größere Ressourcen benötigt (Rechenaufwand, Speicherplatz, Bandbreite usw.).
  • Eine Alternative zum RSA-Algorithmus stellt Kryptographie auf der Grundlage elliptischer Kurven dar. Dieses Verfahren wird auch als ECC (Elliptic Curve Cryptography) bezeichnet. Diese Verfahren sind dadurch gekennzeichnet, dass die zur Verschlüsselung und Entschlüsselung notwendigen Berechnungen nicht direkt mit Zahlen, sondern mit Punkten auf sogenannten elliptischen Kurven durchgeführt werden. Dadurch, dass in der damit zugrunde liegenden mathematischen Struktur einem potentiellen Angreifer bestimmte Angriffsmethoden nicht zur Verfügung stehen, lassen sich die verwendeten Schlüssel- und Parameterlängen ohne Sicherheitseinbuße deutlich verringern. Dies macht die Algorithmen besonders interessant für einen Einsatz innerhalb von Umgebungen mit beschränkten Rechen- oder Speicherkapazitäten, wie beispielsweise Smartcards.
  • In der Punktgruppe elliptischer Kurven lässt sich ein Gruppengesetz formulieren, welches es ermöglicht, dass man mit diesen Objekten im Prinzip wie mit normalen Zahlen rechnen kann. Für die auf einem Computer zur Verschlüsselung und Entschlüsselung durchzuführenden Berechnungen wird ein Punkt auf solch einer Kurve durch zwei Werte, die x- und y-Koordinate des Punktes, dargestellt. Die Länge dieser Zahlenwerte hängt von der gewünschten Sicherheit ab. Orientiert man sich dabei beispielsweise an der Sicherheit eines 1024-Bit-RSA-Schlüssels, so sind diese Parameter im Bereich von 160 Bits zu wählen. Diese deutlich kleineren Zahlen sind auch der Grund für den sich einstellenden Leistungsgewinn. Auch wenn die durchzuführenden Berechnungen im Fall elliptischer Kurven etwas komplizierter sind als beim Einsatz von RSA-Algorithmen, zeichnet sich ECC durch deutlich kürzere Rechenzeit als RSA aus. Verfahren auf der Grundlage von ECC bzw. elliptischen Kurven über endlichen Körpern sind also RSA-Verfahren deutlich überlegen und kommen zunehmend in "Embedded Systems" und anderen Umgebungen zum Einsatz, in denen die Ressourcen beschränkt sind, wie etwa bei Chipkarten und in der Mobiltelefonie.
  • Es besteht aktuell Bedarf an einem Verfahren, kryptographisch geeignete elliptische Kurven schnell zu erzeugen. Der Einsatz mehrerer unterschiedlicher elliptischer Kurven führt dabei zu erhöhter Sicherheit der Kryptosysteme, weil für den Fall, dass sich eine bestimmte elliptische Kurve als unsicher herausstellen sollte, nur diejenigen betroffen sind, die mit dieser speziellen Kurve arbeiten. Gerade in diesem Zusammenhang ist der Aspekt eines schnellen Ablaufs des Verfahrens zur Bestimmung geeigneter elliptischer Kurven von entscheidender Bedeutung. Dieses Ziel soll durch die vorliegende Erfindung erreicht werden.
  • Ein weiteres Einsatzgebiet elliptischer Kurven betrifft Protokolle zur identitätsbasierten Kryptographie, die auf den Tate- und Weil-Paarungen elliptischer Kurven basieren. Geeignete Kurven lassen sich im wesentlichen nur mit CM-Verfahren (CM steht für "komplexe Multiplikation, der Theorie der singulären Werte von elliptischen Funktionen und Modulfunktionen) bestimmen. Schließlich besteht ein Einsatzgebiet elliptischer Kurven in Primzahltests.
  • Im folgenden soll näher auf den Stand der Technik bezüglich elliptischer Kurven über endlichen Körpern eingegangen werden. Seien P eine Primzahlpotenz und E eine elliptische Kurve über dem Körper FP mit P Elementen. Dann ist die Anzahl M der Punkte auf der Kurve von der Form M = P + 1 + x mit |x| ≤ 2√P. (1)
  • Es gibt eine Darstellung der Form 4P = x2 + y2|D| (2)mit y ∈ N und der Diskriminante D = f2D0 der Ordnung zum Führer f im imaginär-quadratischen Zahlkörper K der Diskriminante D0.
  • Der Schlüssel zur Konstruktion aller gewöhnlichen elliptischen Kurven über endlichen Körpern ist die j-Invariante der Ordnung zur Diskriminante D,
    Figure 00030001
  • Sie ist Nullstelle der sog. Klassengleichung
    Figure 00030002
    in der [A,B,C] ein Vertretersystem von Klassen primitiver quadratischer Formen der Diskriminante D durchläuft. Die Klassengleichung hat Koeffizienten in Z und zerfällt im vorliegenden Fall in FP[X] in ein Produkt von Linearfaktoren,
    Figure 00030003
    wobei h die Idealklassenzahl der Ordnung von K zur Diskriminante D bezeichnet. Die hierin auftretenden Elemente jv ∈ FP sind dann j-Invarianten elliptischer Kurven über FP, deren Elementzahl gegebenenfalls nach einem einfachen quadratischen Twist gleich M ist.
  • Das Problem, das diesen Zugang bei großen Diskriminantenbeträgen |D| völlig unpraktikabel macht, ist die Tatsache, dass die Koeffizienten von JD(X) astronomisch groß sind. Die bisherigen Methoden bewältigen dieses Problem durch die Verwendung geeigneter Modulfunktionen g höherer Stufe mit der Eigenschaft, dass j eine rationale Funktion von g ist, j = R(g).
  • Der sogenannte singuläre Wert g(α) ist bei den bisher verwendeten Funktionen ganz algebraisch von einem
    Figure 00030004
    Die Konjugierten von g(α) liefern in den Fällen, in denen sie bekannt sind, explizit die Minimalgleichung mg(α)(X) von g(α) über Q, die in der Regel wesentlich kleinere Koeffizienten hat als die Klassengleichung. In einem Erweiterungskörper von FP zerfällt dann mg(α)(X) in ein Produkt von Linearfaktoren X – gv, und aus den Nullstellen gv gewinnt man dann vermöge jv = R(gv) die gesuchten j-Invarianten elliptischer Kurven über FP.
  • Die vorstehenden Verfahren sind jedoch mit den folgenden drei Problemen behaftet:
    • a) Bei allen bisherigen Verfahren ist der Grad von g(α) im günstigsten Fall gleich h, in der Regel aber ein ganzzahliges Vielfaches von h. Hierzu ist zunächst festzustellen, dass mit dem Grad von g(α) das Faktorisierungsproblem aufwendiger wird. Weiterhin wächst mit dem Grad auch die Größe der Koeffizienten, was wiederum eine höhere Fließkommagenauigkeit bei der Berechnung von mg(α) erfordert. Insbesondere, wenn M prim ist, was für einige Anwendungen von Vorteil ist, liefern alle bekannten Funktionen bei ungeradem P Polynome, deren Grad höher als h ist oder die sehr große Koeffizienten haben. Die bisherigen Verfahren zur Bestimmung elliptischer Kurven sind also durch eine verlängerte Rechenzeit gekennzeichnet.
    • b) Wenn g(α) nicht in dem von j(α) erzeugten Körper liegt (Grad g(α) > h), zerfällt mg(α)(X) erst über einer endlichen Erweiterung von FP in Linearfaktoren, wodurch eine Verlängerung der Rechenzeit entsteht.
    • c) Für die Berechnung der Konjugierten ist nur in wenigen Fällen, wie etwa für die Weber-Funktionen, ein effizientes Verfahren vorhanden.
  • Eine Aufgabe der vorliegenden Erfindung besteht deshalb darin, ein Verfahren zur beschleunigten Konstruktion elliptischer Kurven über endlichen Körpern zu schaffen.
  • Gelöst wird diese Aufgabe durch die Merkmale des Anspruchs 1. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.
  • Demnach sieht die Erfindung zur Konstruktion elliptischer Kurven über endlichen Körpern vor, dass die Modulfunktionen g die Eigenschaften aufweisen, dass der Grad von g(α) ein echter Teiler von h (h ist die Ordnung der Idealklassengruppe der Ordnung von K zur Diskriminante D) ist und die Koeffizienten der zugeordneten Minimalpolynome klein sind. Der erfindungsgemäße Lösungsansatz erlaubt also die Konstruktion neuer Funktionen g derart, dass die vorstehend unter a) und b) beschriebenen Rechenzeiten deutlich verkürzt werden.
  • Der erfindungsgemäße Lösungsansatz beinhaltet auch die Bereitstellung einer effektiven Technik zur Berechnung der Konjugierten der später definierten singulären Werte
    Figure 00040001
    als Elemente des Ringklassenkörpers modulo f.
    •
  • Die erfindungsgemäße Lösung der Aufgabe ist im folgenden unter Darstellung sämtlicher Rechenschritte, ausgehend vom Stand der Technik, näher erläutert.
  • Mit Hilfe der η-Funktion
    Figure 00040002
    werden Quotienten der Form
    Figure 00040003
    mit einer natürlichen Zahl p und hiermit die für die Lösung der Aufgabe benutzten Funktionen
    Figure 00050001
    mit zwei natürlichen Zahlen p,q definiert. Die so definierten Funktionen haben einmal den Vorteil kleiner w-Entwicklungskoeffizienten, was sich in der Kleinheit der Koeffizienten der Minimalgleichungen ihrer singulären Werte auswirkt. Zum anderen wird durch die zweifache Quotientenbildung erreicht, dass der Grad dieser Minimalgleichungen unterhalb der Klassenzahl h liegt. Dieses Verfahren kann man natürlich fortsetzen, etwa durch
    Figure 00050002
    mit drei natürlichen Zahlen p,q,r. Analog definiert man mit endlich vielen natürlichen Zahlen p1,...,pn rekursiv
    Figure 00050003
    (Anstelle der Quotientenbildung in (pqr) und (∞) kann man auch mit dem Produkt der Funktionen fortfahren. Der Vorteil bei der Quotientenbildung besteht in der Tatsache, dass die definierten Funktionen dann nicht von der Reihenfolge der Zahlen p, q und r bzw. p1,...,pn abhängen.)
  • Anwendung von (pq) zur Lösung von a):
  • Es wird angenommen, dass p und q zwei zum Führer f teilerfremde ungerade Primzahlen sind, die in K verzweigt oder zerlegt sind. Es seien weiter p bzw. q über p bzw. q gelegene Primideale der Maximalordnung, so dass p zu q, dem zu q konjugierten Ideal, teilerfremd ist. Dann kann man B* so wählen, dass das zu pq gehörige Ideal der Ordnung zum Führer f gegeben ist durch
    Figure 00050004
  • Wenn weiter noch (p – 1)(q – 1) ≡ 0 (mod 24)ist, so ist εpq(α) nach [5] ganz algebraisch vom Grad ≤ h. Um einen Grad zu erhalten, der echt kleiner als h ist, wird weiter vorausgesetzt, dass p und q verschieden und in K verzweigt sind, d. h. die Diskriminante D0 von der Form D0 = –pqm, m ∈ N,ist, und dass (pq)f kein Hauptideal ist. Wie in [3] gezeigt, ist dann εpq(α) ganz algebraisch vom Grad
    Figure 00050005
  • Das Minimalpolynom von εpq(α) über K hat Koeffizienten in Z und zerfällt über FP in Linearfaktoren X – (εpq)v. Um hieraus die gesuchten j-Invarianten elliptischer Kurven über FP zu bestimmen. verwendet man die zwischen εpq und j bestehende Modulargleichung (vgl. [1,2]) Φ(εpq,j) = 0vom Grad
    Figure 00060001
  • Einsetzen von (εpq)v in die Gleichung Φ = 0 liefert dann eine algebraische Gleichung für die gesuchten jv vom Grade
    Figure 00060002
    mit Hilfe derer man die jv leicht bestimmen kann.
  • Anwendung von (pqr) und (∞) zur Lösung von a):
  • Die Anwendung der Funktionen (pqr) und (∞) erfolgt ganz analog. Für (pqr) betrachtet man Diskriminanten D0 von der Form D0 = –pqrm, m ∈ N,mit drei verschiedenen zu f teilerfremden ungeraden Primzahlen p,q,r mit darüber liegenden Primidealen p,q,r. Dann ist das zu pqr gehörige Ideal der Ordnung zum Führer f gegeben durch (pqr)f = Zpqr + Zαmit B* = D. Unter der Voraussetzung (p – 1)(q – 1)(r – 1) ≡ 0 mod 3
    Figure 00060003
  • Natürlich kann man das Verfahren auf beliebig viele paarweise verschiedene ungerade Primzahlen p1,...,pn analog verallgemeinern und erhält so unter der Voraussetzung (p1 – 1)·...·(pn – 1) ≡ 0 mod 3einen singulären Wert
    Figure 00060004
    vom Grad
    Figure 00060005
    Durch Faktorisieren seiner Minimalgleichung gewinnt man dann über eine entsprechende Modulargleichung die gesuchten Invarianten elliptischer Kurven über FP.
  • Angabe eines effizienten Verfahrens zur Berechnung der Konjugierten für die singulären Werte der Funktionen
    Figure 00060006
    zur Lösung des vorstehend genannten Problems c):
    Die betrachteten singulären Werte von εpq (und εpqr sowie der verallgemeinerten Funktionen) liegen in Ωf, dem Ringklassenkörper modulo f von K. Zur Bestimmung der Konjugierten müssen daher die Bilder von εpq(α) unter den verschiedenen Automorphismen von Ωf/K berechnet werden. Setzt man N = pq (bzw. N = pqr bzw. N = p1...pn), so sind diese Bilder nach dem Theorem 4 in [4] gegeben durch
    Figure 00070001
    wobei die Fi ≔ [Ai,Bi,Ci] ein sogenanntes N-System durchlaufen. Hierbei handelt es sich um ein Vertretersystem quadratischer Formen der Diskriminante D, das die Bedingungen ggT(Ai,N) = 1, Ai > 0, Bi ≡ B* (mod 2N)erfüllt. Ein solches Vertretersystem gewinnt man leicht aus einem reduzierten System quadratischer Formen der Diskriminante D, wenn man die Vertreter in geeigneter Weise (vgl. [4]) durch Stürzen und Translatieren verändert.
  • Man betrachte nun die über p und q gelegenen eigentlichen Ideale p, q der Ordnung zum Führer f, wähle dann eine zur Idealklasse von pq gehörige quadratische Form F und bezeichne mit ≡ die übliche Aquivalenz quadratischer Formen. Die Berechnung der Konjugierten wird dann dadurch weiter vereinfacht, dass für Fi ≡ F –1 / jF die zugehörigen singulären Werte zueinander konjugiert-komplex sind, so dass es genügt, einen der zugehörigen singulären Werte zu berechnen. Ein entsprechendes Ergebnis gilt für (pqr) und (∞).
  • Wenn p und q in K verzweigt sind, liegt, wie bemerkt, der singuläre Wert εpq(α) genauer in dem zu pq im Sinne der Klassenkörpertheorie gehörigen Teilkörper L von Ωf vom Relativgrad [Ωf : L] = 2, so dass es genügt, die Wirkung der Automorphismen von L/K auf εpq(α) zu berechnen. Dazu bestimme man in dem pq-System ein Vertretersystem bezüglich der Äquivalenzrelation Fi ~ Fj: ⇔ (Fi ≡ Fj ∨ Fi ≡ FjF).
  • Die mit einem solchen Vertretersystem gebildeten Konjugierten sind dann die Bilder von εpq(α) unter den verschiedenen Automorphismen von L/K. Weiterhin erhält man in diesem Fall für Fi ≡ F –1 / j zueinander konjugiert-komplexe singuläre Werte.
  • Für die Funktionen vom Typ (pqr) benutze man entsprechend ein Vertretersystem bzgl: Fi ~ Fj: ⇔ (Fi ≡ Fj ∨ Fi ≡ FjF ∨ Fi ≡ FjG ∨ Fi ≡ FjFG),wobei F und G quadratische Formen bedeuten, die, wie oben beschrieben, mit den über pq bzw. pr gelegenen primitiven Idealen der Ordnung zum Führer f zusammenhängen.
  • Für (∞) wird das Verfahren analog fortgesetzt.
  • Im folgenden werden Anwendungsbeispiele für das erfindungsgemäße Verfahren dargestellt.
  • 1. Anwendungsbeispiel zur Berechnung des Minimalpolynoms mittels eines N-Systems.
  • Als Diskriminante wird D = D0 = –2555 = –5·7·73 gewählt. Die Klassenzahl beträgt h = 12, ein Vertretersystem reduzierter quadratischer Formen ist wie folgt gegeben:
    F1 = [1,1,639]
    F2 = [3,1,213]
    F3 = [3,–1,213]
    F4 = [5,5,129]
    F5 = [7,7,93]
    F6 = [9,1,71]
    F7 = [9,–1,71]
    F8 = [15,5,43]
    F9 = [15,–5,43]
    F10 = [21,7,31]
    F11 = [21,–7,31]
    F12 = [27,19,27]
  • Wir wählen p1 = 5 und p2 = 7, die die Bedingung erfüllen, dass (p1 – 1)(p2 – 1) durch 24 teilbar ist; also N = 35. Eine Form oberhalb von 35 ist durch [35,–35,27] gegeben, dessen äquivalenter reduzierter Vertreter F = [27,19,27] ist. Äguivalenz von Formen ist im Folgenden durch das Symbol ≡ gekennzeichnet.
  • Falls Fi ambig ist, also Fi = F –1 / j, ist die zugehörige Konjugierte reell, und dieselbe Konjugierte wird mit Fj(i) ≡ FFi erhalten. Im Beispiel erhält man als (Fi,Fj(i)) die Paare (F1,F12) und (F4,F5).
  • Falls Fi ≡ F –1 / j, ist die zugehörige Konjugierte ebenfalls reell, und dieselbe Konjugierte wird für Fj(i) ≡ F –1 / j erhalten. Im Beispiel treten keine solchen Paare auf.
  • Andernfalls ist die zugehörige Konjugierte komplex. Dieselbe Konjugierte wird für Fj(i) ≡ FFi erhalten. Die zu Fk(i) ≡ F –1 / j und zu Fl(i) ≡ F –1 / j gehörenden Konjugierten sind identisch und zu den beiden vorgenannten komplex-konjugiert. Im Beispiel werden für (Fi,Fj(i),Fk(i),Fl(i)) die Quadrupel von Formen (F2,F6,F3,F7) und (F8,F10,F9,F11) erhalten.
  • Aus jedem dieser Tupel bzw. Quadrupel wird je eine Form gewählt, etwa F1, F4, F2 und F8. Zu den gewählten Fi bestimmt man äquivalente Formen F ' / i, deren erster Eintrag zu 35 teilerfremd und deren zweiter Eintrag kongruent zu B* ≡ 35 modulo 70 ist. Im Beispiel erhält man F ' / 1 = [1,–35,945], F ' / 4 = [129,–1295,3255], F ' / 2 = [3,–35,315] und F ' / 8 = [43,–1295,9765].
  • Der zu einer Form F ' / i = [Ai,Bi,Ci] gehörige singuläre Wert wird durch Auswerten der Funktion
    Figure 00080001
    mit dem Argument
    Figure 00080002
    berechnet. Im Beispiel erhält man (mit jeweils 4 signifikanten Dezimalstellen) die reellen Konjugierten g(α1) = –92.44 und g(α4) = 0.01082 und die komplexen Konjugierten g(α2) = 3.360 + 3.438I und g(α8) = –0.1454 – 0.1488I.
  • Multiplizieren aller X – g(αi) für die reellen g(αi) und
    Figure 00080003
    für die komplexen g(αi), wobei
    Figure 00080004
    die komplexe Konjugation bezeichnet, und Runden der erhaltenen Koeffizienten auf ganzrationale Zahlen liefert das Minimalpolynom X6 + 86X5 – 574X4 + 1972X3 + 574X2 + 86X – 1.
  • Der konventionelle Ansatz mit Hilfe der Weber-Funktion berechnet das folgende Klassenpolynom zur (nicht fundamentalen) Diskriminante 4D = –10220 mit Klassenzahl 3h = 36:
    Figure 00090001
  • Der größte Koeffizient dieses Polynomes hat 10 Dezimalziffern anstelle von 4 im Falle unseres Ansatzes. Zur Konstruktion einer zugehörigen elliptischen kurve mittels der Weber-Funktion muss eine Nullstelle dieses Polynomes, dessen Grad sechsmal so hoch ist wie in unserem Verfahren, über einer Körpererweiterung von FP vom Grad 3 anstelle von FP selbst bestimmt werden.
  • 2. Anwendungsbeispiel zur Bestimmung einer elliptischen Kurve von Primzahlordnung über einem endlichen Körper von kryptographisch sicherer Kardinalität.
  • Man wählt die Diskriminante D = D0 = –1170195 = –3·5·13·17·353 mit h = 208, p1 = 3 und p2 = 13. Man findet, dass für
    Figure 00090002
    die Gleichung 4P = x2 + 1170195y2 mit ganzen Zahlen lösbar ist und zu einer elliptischen Kurve über FP führt, deren Kardinalität durch die Primzahl
    Figure 00090003
    gegeben ist.
  • Die folgenden Laufzeiten wurden auf einem Pentium III mit 700 MHz gemessen.
  • In unserem Verfahren genügt es, mit einer Genauigkeit von 84 Dezimalstellen zu rechnen, um ein Minimalpolynom zu erhalten, dessen größter Koeffizient 79 Dezimalstellen hat; die Laufzeit dieses Schrittes beträgt 0.3 s. Die Nullstelle
    Figure 00090004
    dieses Polynomes vom Grad 104 über dem endlichen Körper FP wird in 6.1 s berechnet.
  • Die Modulgleichung Φ(ε3,13,j) = 0 ist durch folgenden Ausdruck für Φ(X,j) definiert:
    Figure 00100001
  • Einsetzen von (ε3,13)1 für X liefert eine quadratische Gleichung für j, deren zwei Nullstellen in FP,
    Figure 00100002
    in 0.01 s bestimmt werden und zwei mögliche j-Invarianten darstellen. Aus der j-Invariante j1 wird die elliptische Kurve Y2 = X3 + aX + b mit
    Figure 00110001
    berechnet, die die gesuchte Kardinalität hat.
  • Im üblichen Verfahren mittels der Weber-Funktionen verwenden wir eine Rechengenauigkeit von 650 Dezimalstellen, um ein Minimalpolynom zu erhalten, dessen größter Koeffizient 643 Dezimalstellen hat. Die Laufzeit hierfür beträgt 14 s. Die anschließende Bestimmung einer Nullstelle dieses Polynomes vom Grad 624 über dem Körper
    Figure 00110002
    und derselben Kurve wie oben dauert 382 s.
  • In diesem Fall mit kryptographisch relevanten Parametern ist demnach das erfindungsgemäße Verfahren um mehr als den Faktor 60 schneller als das bisherige Verfahren.

Claims (6)

  1. Verfahren zur Konstruktion elliptischer Kurven E über endlichen Körpern, ausgehend von der Gleichung M = P + 1 + x (mit |x| ≤ 2√P; P ist eine Primzahlpotenz und E ist eine elliptische Kurve über dem Körper FP mit P Elementen), entsprechend 4P = x2 + y2|D| (mit y ∈ N und der Diskriminante D = f2D0 der Ordnung zum Führer f im imaginärquadratischen Zahlkörper K der Diskriminante D0), unter Nutzung von Modulfunktionen g zum Gewinnen von Zugang zu großen Diskriminantenbeträgen |D|, dadurch gekennzeichnet. dass die Modulfunktionen g die Eigenschaft aufweisen, dass der Grad von g(α) ein echter Teiler von h (h ist die Idealklassenzahl der Ordnung von K zur Diskriminante D) ist und die Koeffizienten der zugeordneten Minimalpolynome klein sind.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet. dass mit Hilfe der η-Funktion
    Figure 00120001
    mit endlich vielen natürlichen Zahlen p1,...,pn durch folgende Rekursion
    Figure 00120002
    gewonnene Funktionen
    Figure 00120003
    herangezogen werden.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Konjugierten der singulären Werte von
    Figure 00120004
    unter den Automorphismen eines Teilkörpers L des Ringlassenkörpers Ωf/K als
    Figure 00120005
    bestimmt werden, wobei die Fi ≔ [Ai,Bi,Ci] quadratische Formen in einem sogenannten N-System durchlaufen.
  4. Asymmetrisches Kryptographieverfahren auf der Basis elliptischer Kurven (ECC-Verfahren) unter Nutzung des Verfahrens nach einem der Ansprüche 1 bis 3 zur Konstruktion elliptischer Kurven über endlichen Körpern.
  5. Kryptographieverfahren nach Anspruch 4, dadurch gekennzeichnet, dass es identitätsbasierend oder basierend auf Paarungen eingesetzt wird.
  6. Verfahren zum Testen von Primzahlen unter Nutzung des Verfahrens nach einem der Ansprüche 1 bis 3 zur Konstruktion elliptischer Kurven über endlichen Körpern.
DE2003129885 2003-07-02 2003-07-02 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern Expired - Fee Related DE10329885B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE2003129885 DE10329885B4 (de) 2003-07-02 2003-07-02 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern
PCT/DE2004/001396 WO2005004383A2 (de) 2003-07-02 2004-07-01 Verfahren zur konstruktion elliptischer kurven über endlichen körpern
DE112004001634T DE112004001634D2 (de) 2003-07-02 2004-07-01 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2003129885 DE10329885B4 (de) 2003-07-02 2003-07-02 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern

Publications (2)

Publication Number Publication Date
DE10329885A1 true DE10329885A1 (de) 2005-01-27
DE10329885B4 DE10329885B4 (de) 2005-10-06

Family

ID=33546809

Family Applications (2)

Application Number Title Priority Date Filing Date
DE2003129885 Expired - Fee Related DE10329885B4 (de) 2003-07-02 2003-07-02 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern
DE112004001634T Expired - Fee Related DE112004001634D2 (de) 2003-07-02 2004-07-01 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE112004001634T Expired - Fee Related DE112004001634D2 (de) 2003-07-02 2004-07-01 Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern

Country Status (2)

Country Link
DE (2) DE10329885B4 (de)
WO (1) WO2005004383A2 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000014924A1 (en) * 1998-09-08 2000-03-16 Citibank, N.A. Elliptic curve cryptosystems for low memory devices
WO2002003607A1 (en) * 2000-06-29 2002-01-10 The State Of Oregon, Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Elliptic curve cryptographic methods and apparatus

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000014924A1 (en) * 1998-09-08 2000-03-16 Citibank, N.A. Elliptic curve cryptosystems for low memory devices
WO2002003607A1 (en) * 2000-06-29 2002-01-10 The State Of Oregon, Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Elliptic curve cryptographic methods and apparatus

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
GALLANT, R. u.a.: Faster Point Multiplication on Elliptic Curves with Efficient Endomorphisms. In: LNCS, Bd. 2139, Springer-Verlag, S. 190-200 *
HASEGAWA, T. u.a.: A Small and Fast Software Implementation of Elliptic Curve Cryptosystems over GF(p) on a 16-Bit Microcomputer. In: IEICE Trans. Fundamentals, Vol. E82-A, No. 1, Januar 1999, S. 98-106 *
MOON, S. u.a.: Fast VLSI arithmetic algorithms for high-security curve cryptographic applica- tions. In: IEEE Transactions on Consumer Elec- tronics, Vol. 47, No. 3, August 2001 *

Also Published As

Publication number Publication date
DE10329885B4 (de) 2005-10-06
DE112004001634D2 (de) 2006-05-18
WO2005004383A3 (de) 2005-04-21
WO2005004383A2 (de) 2005-01-13

Similar Documents

Publication Publication Date Title
DE69917592T2 (de) Gegen stromverbrauchsignaturanfall beständige kryptographie
DE69903854T2 (de) Verfahren zur beschleunigung kryptographischer operationen auf elliptischen kurven
DE69828787T2 (de) Verbessertes verfahren und vorrichtung zum schutz eines verschlüsselungsverfahrens mit öffentlichem schlüssel gegen angriffe mit zeitmessung und fehlereinspeisung
DE60005284T2 (de) Berechnungsverfahren für kryptographie mittels elliptischer kurven
DE69930334T2 (de) IC-Karte ausgerüstet mit einer Verarbeitungsanlage für Elliptische-Kurven-Verschlüsselung
EP2771782B1 (de) Effiziente primzahlprüfung
DE60223775T2 (de) Vorrichtung zum Konvertieren einer elliptischen Kurve
DE102005041102A1 (de) Verfahren zur Skalarmultiplikation von Punkten auf einer elliptischen Kurve
EP1922837B1 (de) Verfahren zum sicheren ver- oder entschlüsseln einer nachricht
DE102005024609A1 (de) Bestimmung einer modularen Inversen
DE10143728A1 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
DE69735290T2 (de) Verfahren zur unsymmetrischen kryptographischen kommunikation und zugehöriger tragbarer gegenstand
DE10024325B4 (de) Kryptographisches Verfahren und kryptographische Vorrichtung
DE602004006628T2 (de) Verfahren zur gesicherten ausführung eines rsa kryptographischen algorithmus, sowie diesbezüglicher baustein.
EP1346509B1 (de) Verfahren und Vorrichtung zum Ermitteln eines Schlüsselpaars und zum Erzeugen von RSA-Sclüsseln
DE60022770T2 (de) Gegenmassnahme in einem elektronischen baustein zur ausführung eines kryptoalgorithmus mit öffentlichem schlüssel vom rsa-typ
EP2641241B1 (de) Verfahren zur langzahldivision oder modulare reduktion
DE10151129B4 (de) Verfahren und Vorrichtung zum Berechnen eines Ergebnisses einer Exponentiation in einer Kryptographieschaltung
DE60210331T2 (de) Kryptographisches verfahren unter der benutzung öffentlicher schlüssel basierend auf den gruppen der zöpfe
DE10329885B4 (de) Verfahren zur Konstruktion elliptischer Kurven über endlichen Körpern
DE10161137A1 (de) Verfahren und System zum kryptographischen Bearbeiten von Daten
EP2587713B1 (de) Effiziente modulare Inversion mit Primzahltest
EP1504337B1 (de) Berechnung des modularen inversen eines wertes
DE60220918T2 (de) Verfahren zur ausführung einer kryptographischen berechnung unter verwendung eines öffentlichen schlüssels
EP1518165B1 (de) Berechnung eines vielfachen eines gruppenelements für kryptographische zwecke

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: ,

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130201