ES2159274T3 - Procedimiento de calculo para criptografiar una curva eliptica. - Google Patents

Abstract

Procedimiento de criptografía puesto en práctica entre dos entidades que intercambian informaciones a través de un canal de comunicación no seguro, del tipo que comprende, al menos, una fase operativa consistente en multiplicar un punto de orden impar de una curva elíptica no supersingular por un entero, caracterizado porque, con objeto de realizar el intercambio de informaciones a través del canal de comunicación no seguro, tal fase operativa comprende adiciones y divisiones por dos de puntos de la citada curva elíptica, en donde la adición de puntos es una operación conocida y la división por dos de un punto P se define como el punto único D de orden impar tal que [2] D=P, representándose dicho punto por [1/] P, y la operación de división por 2:[1/2].

Description

Procedimiento de cálculo para criptografiar una curva elíptica.

La invención se refiere a un procedimiento de criptografía puesto en práctica entre dos entidades que intercambian informaciones a través de un canal de comunicación no protegido, por ejemplo, una red cableada, o hertziana, y que permite asegurar la confidencialidad y la integridad de las transferencias de informaciones entre estas dos entidades. La invención se refiere, de modo más particular, a un perfeccionamiento de los sistemas de crioptografía que ponen en práctica cálculos en una curva elíptica. El perfeccionamiento permite, principalmente, reducir los tiempos de cálculo.

Se conoce un protocolo de criptografía, utilizado, de modo más particular, para realizar un intercambio de claves protegido entre dos entidades. Éste es conocido con la denominación de "Intercambio de Claves de Diffie-Hellmann" o "ECDH". Su puesta en práctica necesita la utilización de un grupo en el sentido matemático del término. Una curva elíptica del tipo:

y^{2} + xy = x^{3} + \alpha x^{2} + \beta

puede constituir un grupo utilizable en un procedimiento de este tipo.

Se sabe que si P = (x, y) pertenece a la curva elíptica E, puede definirse un "producto" o "multiplicación escalar" del punto P de E por un entero m. Esta operación se define como sigue:

[m] \ P = P + P + P +...+ P \ (m \ veces)

Se sabe que en un algoritmo del tipo "ECDH", se utiliza la multiplicación por 2 de un punto P elegido de una curva elíptica de este tipo. Esta operación se denomina "doblamiento de punto" y se inscribe en un proceso iterativo de doblamiento-y-adición. Una multiplicación por 2 de este tipo requiere tiempo.

La parte más lenta del protocolo de Intercambio de Claves de Diffie-Hellmann (ECDH) es la multiplicación de un punto de la curva no conocido de antemano por un escalar aleatorio. Se consideran aquí solamente las curvas elípticas definidas en un cuerpo de característica 2; ésta es una elección extendida para las implementaciones, porque la adición en un cuerpo de este tipo corresponde a la operación "o exclusivo".

Se sabe que la multiplicación por un escalar puede acelerarse en las curvas definidas en un cuerpo de baja cardinalidad utilizando el morfismo de Frobenius. Pueden elegirse las curvas de modo que ninguno de los ataques conocidos se aplique a ellas. Sin embargo, es preferible, eventualmente, al menos en el plano del principio, poder elegir la curva que se quiere utilizar en una clase de curvas tan general como sea posible. El método descrito en la invención se aplica, en su versión más rápida, a la mitad de las curvas elípticas. Además, desde un punto de vista criptográfico, este método es el mejor. Antes de dar el principio del método, se recuerdan los conceptos básicos.

Como ilustración simplemente, se toma la curva elíptica (E) representable geométricamente definida en el conjunto R de los números reales por la ecuación y^{2} + y = x^{3} - x^{2}, representada en la figura 1 en la que una línea horizontal representa un número entero m, una línea vertical representa un número entero n y cada intersección de tales líneas horizontal y vertical representa el par de coordenadas enteras (m, n).

(E) pasa por un número finito de puntos de coordenadas enteras, y cualquier secante a (E) procedente de un punto de este tipo corta a (E) en 2 puntos, eventualmente confundidos (caso de las tangentes a la curva).

La operación de adición entre dos cualesquiera de estos puntos A y B se define del modo siguiente: sea B_{1} el punto en que la recta (AB) corta a (E); la vertical de B_{1} corta a (E) en C = A + B.

En el caso particular en que (AB') sea tangente a (E), C' es la suma buscada.

El punto O, "intersección de todas las verticales", se denomina punto en el infinito de (E) y es el elemento neutro de la adición así definida, puesto que aplicando la construcción geométrica de definición de la adición, se tiene: A + O = O + A = A.

El doblamiento de A, indicado por [2]A se define como: A + A, es, por tanto, el punto B', siendo la recta (Ax) tangente en A a (E).

Aplicando al punto B' la construcción de adición de A, se obtendría el punto [3]A y así sucesivamente: ésta es la definición del producto [n]A de un punto por un entero.

La presente invención se refiere, de hecho, a una familia de curvas elípticas, no representables geométricamente, pero definidas como sigue:

Sea n un entero dado, F_{2^{n}} el cuerpo de 2^{n} elementos, y \overline{F}_{2^{n}}, su cierre algebraico. Sea O el punto en el infinito. Se denomina curva elíptica E no supersingular definida en F_{2^{n}}, el conjunto:

E = {(x,y) \in F_{2^{\ddot{n}}} x F_{2^{\ddot{n}}} ly^{2} + xy = x^{3} + \alpha x^{2} + \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

Los elementos de E se denominan, habitualmente, "puntos". Es bien conocido que E puede estar dotado de una estructura de grupo abeliano tomando el punto en el infinito como elemento neutro. En lo que sigue, se considera el subgrupo finito de los puntos racionales de E, definido por:

E(F_{2^{n}}) = {(x,y) \in F_{2^{n}} X F_{2^{n}} ly^{2} + xy = x^{3} + \alpha x ^{2} + \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

Siendo N el conjunto de los enteros naturales, para cualquier m \in N, se define en E la aplicación "multiplicación por m" por:

[m] : E \rightarrow E

P \rightarrow P + ..... + P \ (m \ veces) \ y \ \forall P \in E :[O]P = O

E[m] indica el núcleo de esta aplicación. Los puntos del grupo E[m] se denominan los puntos de torsión m de E. La estructura de grupo de los puntos de torsión m es bien conocida.

Limitándose al caso en que m es una potencia de 2, se tiene:

\forall k \in N:E[2^{k}] \cong Z/2^{k}Z

donde Z es el conjunto de los enteros relativos.

Como E(F_{2^{n}}) es un subgrupo finito de E, existe k'\geq 1 tal que E[2^{k}] está contenido en E(F_{2^{n}}) si, y sólo si, k \leq k'. Limitándose a las curvas elípticas E para las cuales k' = 1, la estructura de E(F_{2^{n}}) es:

E(F_{2^{n}}) = G \ x \ \{O, T_{2}\}

donde G es un grupo de orden impar y T_{2} designa el punto único de orden 2 de E. Se dice que una curva de este tipo tiene una torsión 2 mínima.

Se está ahora en condiciones de aplicar el objeto de la invención. La multiplicación por dos, no es inyectiva cuando ésta está definida en E o E(F_{2^{n}}), porque ésta tiene por núcleo: E[2] = {O, T_{2}).

Por otra parte, si se reduce el ámbito de la invención de la multiplicación por 2 a un subgrupo de orden impar G \subset E(F_{2^{n}}), la multiplicación por 2 se hace biyectiva.

Resulta, así, que la multiplicación por 2 admite en este subgrupo una aplicación inversa que se denominará división por 2:

[1/2]: G \rightarrow G

P \rightarrow Q \ tal \ que: [2]Q = P

[1/2]P indica el punto de G al cual la aplicación de doblamiento hace corresponder el punto P.

Para cualquier k \geq 1, se escribe:

\left[\frac{1}{2^{k}}\right]=\left[\frac{1}{2}\right]o\left[\frac{1}{2}\right]o . ........ o\left[\frac{1}{2}\right]

Para representar k composiciones de la aplicación de división por 2 consigo mismo.

De modo general, la invención se refiere, por tanto, a un procedimiento de criptografía puesto en práctica entre dos entidades que intercambian las informaciones a través de un canal de comunicación no protegido, del tipo que comprende, al menos, una fase operatoria consistente en multiplicar un punto de orden impar de una curva elíptica no supersingular por un entero, en coordenadas afines, caracterizado porque una fase operatoria de este tipo comprende adiciones y divisiones por dos de puntos de la citada curva elíptica; donde la adición de puntos es una operación conocida, y la división por dos de un punto P se define como el punto único D de orden impar tal que [2]D = P, estando indicado un punto de este tipo por

\left[\frac{1}{2}\right]P

y la operación de división por 2, por:

\left[\frac{1}{2}\right]

La aplicación de división por 2 es interesante para la multiplicación escalar de un punto de una curva elíptica por la razón siguiente: si se trabaja en coordenadas afines, es posible reemplazar todas las multiplicaciones de punto por 2 de una multiplicación escalar por divisiones de punto por 2.

La división por 2 de un punto es mucho más rápida de calcular que su multiplicación por 2. Desde un punto de vista criptográfico, es bueno tener que elegir entre el mayor número de curvas posible, y se tiene costumbre de utilizar una curva en la cual la torsión 2 de E(F_{2^{n}}) es mínima o isomórfica en Z/4Z. Para un cuerpo F_{2^{n}} dado, las curvas elípticas de torsión 2 mínima constituyen exactamente la mitad del conjunto de curvas elípticas definidas en F_{2^{n}}. Por esta razón, aunque el método descrito no sea totalmente general, se aplica, en su versión más rápida, a una gran parte de las curvas interesantes en criptografía. Ésta es siempre aplicable en el caso en que los elementos del cuerpo están representados en una base normal. En el caso de una base polinómica, el espacio de memoria requerido es del orden de O(n^{2}) bits.

A continuación se dan algunos ejemplos, refiriéndose a los dibujos anejos, en los cuales:

- la figura 1 es un gráfico que ilustra una curva elíptica muy particular pero representable geométricamente, que permite aclarar las operaciones elementales puestas en práctica en el marco de la invención, habiéndose explicado anteriormente estas operaciones;

- la figura 2 es un esquema que ilustra intercambios de informaciones de acuerdo con la invención, entre dos entidades;

- las figuras 3 a 6 son organigramas que explican algunas aplicaciones de acuerdo con la invención; y

- la figura 7 es un esquema de bloques de otro esquema de intercambio de informaciones entre dos entidades A y B, susceptible de poner en práctica un proceso de criptogrfía de acuerdo con la invención.

Se va a mostrar cómo calcular [1/2]P \in G a partir de P \in G. Después, se mostrará cómo reemplazar los doblamientos de puntos por divisiones por 2 para ejecutar una multiplicación por un escalar.

Se utilizará la representación afín habitual de un punto: P = (x,y) y la representación: (x, \lambda_{p}) con \lambda_{p} = x + y/x.

De la segunda representación, se deduce y = x(x +\lambda_{p}) que solamente utiliza una multiplicación.

Procediendo así, para multiplicar un punto por un escalar, se ahorran las multiplicaciones calculando los resultados con la ayuda de la representación (x,\lambda_{p}) y la coordenada de la representación afín se determina solamente al final del cálculo.

La división por dos de un punto P se obtiene del modo siguiente:

Sea calcular [1/2]P a partir de P. Se consideran para esto los dos puntos de E:

P = (x,y) = (x, x \ (x + \lambda_{p}))

y

Q = (u, v) = (u, u \ (u + \lambda_{Q}))

Tales que: [2]Q = P

Las fórmulas de multiplicación por 2 conocidas dan

(1)\lambda_{Q} = u + v/u

(2)x = \lambda_{Q}^{2} + \lambda_{Q} + \alpha

(3)y = (x + u) \lambda_{Q} + x + v

Multiplicando (1) por u y llevando el valor de v así obtenido a (3), este sistema pasa a ser:

v = u (u + \lambda_{Q})

\lambda_{Q}^{2} + \lambda_{Q} = \alpha + x

y = (x + u) \lambda_{Q} + x + u^{2} + u \lambda_{Q} = u^{2} + x(\lambda_{Q} + 1)

o, puesto que y = x(x + \lambda_{p}):

(i)\lambda_{Q}^{2} + \lambda_{Q} = \alpha + x

(ii)u^{2} = x(\lambda_{Q} + 1) + y = (\lambda_{Q} + \lambda_{p} + x + 1)

(iii)v = u \ (u + \lambda_{Q})

Partiendo de P = (x,y) = (x, x(x + \lambda_{p})) en coordenadas afines o en representación (x, \lambda_{p}), este sistema de ecuaciones determina los dos puntos:

[1/2]P\in G y [1/2]P + T_{2} \in E(F_{2^{n}}) \setminus G

que dan P por multiplicación por 2. La propiedad que sigue permite distinguirla.

Sea E una curva elíptica de torsión 2 mínima, y P \in E(F_{2^{n}}) = G x {O, T_{2}} uno de sus elementos de orden impar.

Sea Q \in {[1/2]P, [1/2]P + T_{2}} y Q_{1} uno de los dos puntos de E tales que [2]Q_{1} = Q.

Se tiene la condición necesaria y suficiente:

(a)Q + [1/2]P \Leftrightarrow Q1 \in E(F_{2^{n}})

Se deduce que es posible probar si Q = [1/2]P aplicando las fórmulas (i), (ii) y (iii) a Q y verificando si uno de los puntos obtenidos pertenece a E(F_{2^{n}}).

Este procedimiento puede extenderse a una curva elíptica arbitraria E (F_{2^{n}}) = G x E [2^{k}]. Para esto se aplican k veces las fórmulas (i), (ii) y (iii): la 1ª vez a Q, para, para obtener Q_{1}, tal que [2]Q_{1} = Q, la iésima vez a Q_{i-1} para obtener un punto Q_{i}, tal que [2]Q_{i} = Q_{i-1}. El punto resultado Q_{k} será de la forma

\newpage

\left[\frac{1}{2^{k+i}}\right]P + T_{2}

si, y solamente si, Q = [1/2]P + T2, y será de la forma

\left[\frac{1}{2^{k+i}}\right]P + T_{2^{i}}

con 0 \leq i \leq k si, y solamente si, Q = [1/2]P. Se tiene, por tanto, la condición necesaria y suficiente:

Q = [1/2]P \Leftrightarrow Q_{k} \in E(F_{2^{n}})

Este procedimiento es evidentemente largo si k es grande.

La relación (a) muestra que puede saberse si Q = [1/2]P o Q = [1/2]P + T_{2} observando si las coordenadas de Q_{1}, pertenecen a F_{2^{n}} o a un supercuerpo de F_{2}n. Como Q_{1} está determinado por las ecuaciones (i), (ii) y (iii), se tienen que estudiar las operaciones utilizadas en la resolución de estas ecuaciones que no son internas al cuerpo, pero tienen su resultado en un supercuerpo de F_{2^{n}}. El único caso posible es el de la resolución de la ecuación de 2º grado (i): se tiene que calcular, también, una raíz cuadrada para calcular la 1ª coordenada de Q_{1}, pero en característica 2 la raíz cuadrada es una operación interna al cuerpo. Se tiene, por tanto:

Q = (u, v) = [1/2]P \Leftrightarrow \exists\lambda\in F_{2^{n}}: \lambda^{2} + \lambda = \alpha + u

Esta condición necesaria y suficiente se escribe, también, puesto que la raíz cuadrada es interna al cuerpo:

Q = (u, v) = [1/2]P \Leftrightarrow\exists\lambda\in F_{2^{n}}: \lambda^{2} + \lambda = \alpha^{2} + u^{2}

La relación precedente permite optimizar el algoritmo enunciado seguidamente en el caso en que el tiempo de cálculo de la raíz cuadrada no sea despreciable.

Para P \in G, las 2 soluciones de (i) son \lambda_{[1/2]P} y \lambda_{[1/2]P} + 1, y se deduce de (ii) que las 1^{as} coordenadas de los puntos asociados son u y (u +\surdx). Por tanto, puede deducirse un algoritmo que permite calcular [1/2]P del modo siguiente:

Si F_{2^{n}} es un cuerpo finito de 2^{n} elementos, E(F_{2^{n}}) es el subgrupo de una curva elíptica E, definido por:

E(F_{2^{n}}) = \{(x,y) \in F_{2^{n}} \ X \ F_{2^{n}} \ ly^{2} + xy = x^{3} + \alpha x^{2} + \beta\} \cup \{O\} \alpha, \beta\in F_{2^{n}}, \beta \neq 0

y E[2^{k}] es el conjunto de los puntos P de la citada curva elíptica tales que P, adicionado 2^{k} veces a sí mismo da el elemento neutro O, con k entero superior o igual a 1, entonces, un punto P = (x, y) de la citada curva elíptica da por la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0}, v_{0})

de la citada curva elíptica, obtenido efectuando las operaciones siguientes ilustradas por el organigrama de la figura 3:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0}+ 1) + y

\bullet si k vale 1, se busca si la ecuación: \lambda^{2}+\lambda = \alpha^{2} + u_{o}^{2} tiene soluciones en F_{2^{n}},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v_{0} = u_{0} \ (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente;

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i} = u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u_{k-1}^{2}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v_{0} = u_{0} (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

Si se elige representar el punto

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

de la citada curva elíptica por (u_{0}, \lambda_{0}) con \lambda_{0} = u_{0} + v_{0}/u_{0}, entonces el algoritmo es de acuerdo con el organigrama de la figura 4, en el que:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u^{2}_{0} tal que u_{0}^{2} = x(\lambda_{0} + 1) + y

\bullet si k vale 1, se busca si la ecuación: \lambda^{2} + \lambda = \alpha^{2} + u_{0}^{2} tiene soluciones en F_{2^{n}},

\bullet en caso afirmativo se calcula la citada división por dos por

u_{0} = \sqrt{u_{0}{}^{2}}

y:

\left[\frac{1}{2}\right]P = (u_{0}, \lambda_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente;

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i} tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u_{i}^{2} tal que u_{i}^{2} = u_{i-1}(\lambda_{1} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y

\left[\frac{1}{2}\right]P = (u_{0},\lambda_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

Si se elige representar el punto P = (x, y) por (x, \lambda_{p}) con \lambda_{p} = x+y/x que da por la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

de la curva elíptica, entonces el algoritmo es de acuerdo con el organigrama de la figura 5, en el que:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u^{2}_{0} tal que u_{0}^{2} = x(\lambda_{0} + \lambda_{p} + x + 1)

\bullet si k vale 1, se busca si la ecuación: \lambda^{2} + \lambda = \alpha^{2} + u_{0}^{2} tiene soluciones en F_{2}^{n},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0}=\sqrt{u_{0}{}^{2}}

v_{0} = u_{0} (u_{0} + \lambda _{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u^{2}_{0} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente;

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i} = u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v_{0} = u_{0} (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u^{2}_{0} y se añade 1 al citado primer valor \lambda_{0} para calcular la citada división por dos como en la operación precedente.

Finalmente, si se elige representar el punto P = (x, y) por (x, \lambdap) con \lambda_{p} = x + y/x que da la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

de la curva elíptica representado por (u_{0}, \lambda_{0}) con \lambda_{0} = u_{0} + v_{0}/u_{0}, entonces el algoritmo es de acuerdo con el organigrama de la figura 6, en el que:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0} + \lambda_{p} + x + 1)

\bullet si k vale 1, se busca si la ecuación: \lambda^{2} + \lambda = \alpha^{2} + u_{0}^{2} tiene soluciones en F_{2}^{n},

en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y

\left[\frac{1}{2}\right]P = (u_{0}, \lambda _{0})

\bullet en caso negativo, se añade x al citado segundo valor u^{2}_{0} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente;

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i} = u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y:

\left[\frac{1}{2}\right]P = (u_{0}, \lambda _{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

Se va a describir ahora cómo efectuar rápidamente la prueba, la resolución de la ecuación de segundo grado, y el cálculo de la raíz cuadrada en el algoritmo de división de un punto por 2. Se considerarán los dos casos en base normal y polinómica.

Los resultados en base normal son conocidos. Puede considerarse F_{2^{n}} como espacio vectorial de n dimensiones en F_{2}. En una base normal, un elemento del cuerpo está representado por:

x = \sum\limits_{i = 0}^{n-1}x_{i} \ \beta^{2^{i}}

\hskip4cm

x_{i}\in\{0,1\}

donde \beta\in F_{2^{n}}, se elige tal que: {\beta, \beta^{2}, ..., \beta^{2n-1}} es una base F_{2^{n}}. En una base normal, la raíz cuadrada se calcula por un desplazamiento circular izquierdo, y la elevación al cuadrado por un desplazamiento circular derecho. Los tiempos de cálculo correspondientes son, por tanto, despreciables.

Si la ecuación de segundo grado: \lambda^{2} + \lambda = x tiene soluciones en F_{2^{n}}, una solución viene dada, entonces, por:

\lambda = \sum\limits_{i = 1}^{n-1}\lambda_{i} \ \beta^{2^{i}}

\hskip0,5cm

con: \lambda_{i} = \sum\limits_{k=1}^{i} x_{i}

\hskip1cm

con \ 1\leq i \leq n - 1

El tiempo de cálculo de \lambda es despreciable frente al tiempo de cálculo de una multiplicación o de una inversión dentro del cuerpo. Como el tiempo de cálculo de una solución de la ecuación de segundo grado es despreciable, puede efectuarse la prueba del modo siguiente: se calcula un candidato \lambda a partir de x y se prueba si \lambda^{2} + \lambda = x. Si este no es el caso, la ecuación no tiene solución en F_{2^{n}}.

En base polinómica, se utiliza la representación:

x = \sum\limits_{i = 0}^{n-1}x_{i} \ T^{i}

con x_{i} \in {0,1}. La raíz cuadrada de x puede calcularse almacenando el elemento \surdT si se observa que:

- en un cuerpo de característica 2, la raíz cuadrada es un morfismo del cuerpo,

\sqrt{\sum_{i \ par} x_{i}T^{i}} = \sum_{i \ par} x_{i} T^{\tfrac{i}{2}}

Reagrupando en x las potencias pares e impares de T y tomando la raíz cuadrada, se llega a:

\sqrt{x} = \sum\limits_{i \ impar} x_{i} T^{\tfrac{i}{2}} + \sqrt{T} \sum\limits_{i \ impar} x_{i} T^{\tfrac{i-1}{2}}

así, para calcular una raíz cuadrada, basta con "reducir" dos vectores a la mitad, y ejecutar después una multiplicación de un valor precalculado por un elemento de longitud n/2. Por este motivo, el tiempo de cálculo de una raíz cuadrada en una base polinómica es equivalente a la mitad del tiempo de cálculo de una multiplicación dentro del cuerpo.

Para la prueba y la resolución de la ecuación de segundo grado, se considera F_{2^{n}} como un espacio vectorial de n dimensiones en F_{2}. La aplicación F definida por:

F: F_{2^{n}}\rightarrow F_{2^{n}}

\lambda\rightarrow\lambda^{2} + \lambda

es entonces un operador lineal de núcleo {0,1}.

Para un x dado, la ecuación \lambda^{2} + \lambda = x tiene sus soluciones en F_{2^{n}} si, y sólo si, el vector x es la imagen de F. Im(F) es un subespacio de F_{2^{n}} de n-1 dimensiones. Para una base dada de F_{2^{n}} y el producto escalar correspondiente, existe un solo vector no trivial ortogonal a todos los vectores de Im(F). Sea w este vector. Se tiene:

\exists\lambda\in F_{2^{n}} : \lambda^{2} + \lambda = x \Leftrightarrow x . w = 0

Así, la ejecución de la prueba puede hacerse adicionando las componentes de x a las cuales corresponden componentes de w iguales a 1. El tiempo de ejecución de esta prueba es despreciable.

Para la resolución de la ecuación de 2º grado: F(\lambda) = \lambda^{2} + \lambda = x en una base polinómica, se propone un método simple y directo que impone el almacenaje de una matriz de n x n. Para eso, se busca un operador lineal G tal que:

\forall x \in Im(F):F(G(x)) = (G(x))^{2} + G(x) = x

Sea \gamma \inF_{2}^{n} un vector tal que \gamma \notinIm(F) y se define G por:

10

Dado que

x = \sum_{i = 1}^{n - 1} x_{1} F(T^{i})\in Im(F)

entonces G(x) es solución de la ecuación de 2º grado Una implementación consiste en precalcular la matriz que representa G en la base {1, T, ....., T^{n-1}). En característica 2, la multiplicación de una matriz por un vector se reduce a la adición de las columnas de la matriz a las cuales corresponden una componente del vector igual a 1. Se deduce que este método de resolución de una ecuación de 2º grado consume como media n/2 adiciones dentro del cuerpo F_{2^{n}}.

Se describe seguidamente la aplicación de los principios expuestos a la multiplicación escalar.

Sean P\in E (F_{2^{n}}) un punto de orden r impar, c un entero aleatorio y m la parte entera de log_{2} (r). Se calcula el producto [c]P de un punto por un escalar utilizando la aplicación de división de un punto por 2.

Se demuestra que:

Para cualquier entero c, existe un número racional de la forma:

\sum\limits_{i = 0}^{m}\frac{c_{i}}{2^{i}}

\hskip0,5cm

c_{i} = \in\{0,1\}

tal que:

C = \sum\limits_{i = 0}^{m} \frac{c_{i}}{2^{i}}

\hskip0,5cm

(mod \ r)

Sea <P> el grupo cíclico generado por P. Como se tiene el isomorfismo de anillos:

P = Z/rZ

k[P] \rightarrow k

La multiplicación escalar puede calcularse por:

[c]P = \sum\limits_{i = 0}^{m} \left[\frac{c_{i}}{2^{i}}\right]P

utilizando divisiones por 2 y adiciones. El algoritmo bien conocido de doblamiento-adición puede utilizarse para estos cálculos. Para esto basta reemplazar en el algoritmo los doblamientos por divisiones por 2. Hay que realizar log_{2}(r) divisiones por 2 y, como media, 1/2 log_{2}(r) adiciones. Existen mejoras del algoritmo de doblamiento-adición que solamente exigen 1/3 log_{2}(r) adiciones como media.

Por consiguiente, se obtiene una citada multiplicación escalar utilizando una división por dos tal como la definida anteriormente por las operaciones siguientes:

-

si el citado escalar de la multiplicación se indica por S_{i}, se eligen m+1 valores So...Sm \in {0,1} para definir S por:

S = \sum\limits_{i = 0}^{m} \ S_{i} \left(\frac{r+1}{2}\right)^{i}

-

siendo r el orden impar antes citado y m el entero único comprendido entre log_{2}(r) – 1 y log_{2} (r).

-

se calcula la multiplicación escalar [S]P de un punto P de la citada curva elíptica por el escalar S por aplicación de un algoritmo consistente en determinar la sucesión de puntos (Q_{m+1}, Q_{m}..., Q_{i}...Q_{o}) de la citada curva elíptica E tal que

Q_{m+1} = O (elemento neutro)

Q_{i} = [S_{i}]P + \left[{\frac{1}{2}}\right]Q_{i+1}

\hskip0,5cm

con \ 0 \leq i \leq m

-

el cálculo del último punto Q_{o} de la citada sucesión da el resultado [S]P de la citada multiplicación escalar.

Para adicionar el punto P inicial a un resultado intermedio

Q = \left[\frac{1}{2}\right]Q_{i}

se utiliza el algoritmo siguiente, que es el algoritmo tradicional, ligeramente modificado:

Entrada: P = (x,y) en coordenadas afines y Q = (u, u(u + \lambda_{Q})) representado por (u, \lambda_{Q})

Salida: P + Q = (s, t) en coordenadas afines

Algoritmo

1. Se calcula: \lambda = (y + u(u + \lambda_{Q}))/(x + u)

2. Se calcula: s = \lambda^{2} + \lambda + a + x + u

3. Se calcula: t = (s + x)\lambda + s + y

4. Resultado: (s, t)

Este algoritmo utiliza 1 inversión, 3 multiplicaciones, y 1 raíz cuadrada.

La ganancia de tiempo obtenida reemplazando las operaciones de multiplicación por 2 por divisiones por 2 es importante. En coordenadas afines, la multiplicación por 2 y la adición exigen, ambas: una inversión, dos multiplicaciones, y una raíz cuadrada. Si el escalar de la multiplicación por un escalar está representado por un vector de bits de longitud m y de k componentes no nulas, las operaciones para la multiplicación escalar exigen:

operación	doblamiento y adición	División por 2 y adición
inversiones	m + k	k
multiplicaciones	2m + 2k	m + 3k
cuadrados	m + k	k
resolución \lambda^{2} + \lambda = a + x	0	m
raíces cuadradas	0	m
pruebas	0	m

\newpage

Así, utilizando la división por 2, se ahorran m inversiones, m-k multiplicaciones, y m cuadrados, a costa de m resoluciones de 2º grado, m raíces cuadradas y m pruebas.

En base polinómica, puede obtenerse una mejora en tiempo de ejecución próxima al 50%.

En base normal, se estima el tiempo de cálculo de la raíz cuadrada, de la prueba y de la resolución de la ecuación de 2º grado despreciable frente al tiempo de cálculo de una multiplicación o de una inversión. Suponiendo, además, que el tiempo de cálculo de una inversión es equivalente al tiempo de cálculo de 3 multiplicaciones, se llega a una mejora en el tiempo de ejecución del 55%.

La figura 2 ilustra esquemáticamente una aplicación posible de los algoritmos descritos anteriormente, puestos en práctica entre dos entidades A y B que intercambian informaciones a través de un canal de comunicación no protegido. El citado canal de comunicación, puede resumirse aquí en simples conexiones eléctricas establecidas entre las dos entidades el tiempo de una transacción. Éste puede comprender, también, una red de telecomunicación, hertziana u óptica. En este caso, la entidad A es aquí una tarjeta de microcircuito y la entidad B es un servidor. Una vez puestas en relación una con otra por el citado canal de comunicación, las dos entidades van a aplicar un protocolo de construcción de una clave común. Para hacer esto:

-

la entidad A tiene una clave secreta a

-

la entidad B tiene una clave secreta b

Éstas tienen que elaborar una clave secreta x sólo conocida por ellas, a partir de una clave pública constituida por un punto P de orden impar r de una curva elíptica E elegida y no supersingular.

El protocolo puesto en práctica es del tipo de Diffie-Hellmann reemplazando las "multiplicaciones por dos" habituales, denominadas doblamientos de punto, por la operación denominada "división por dos", de acuerdo con la invención descrita anteriormente.

Para hacer esto, el algoritmo es el siguiente:

-

la primera entidad (por ejemplo A) calcula la multiplicación escalar [a]P y envía el punto resultado a la segunda entidad,

-

la segunda entidad (B) calcula la multiplicación escalar [b]P y envía el punto resultado a la primera entidad,

-

las dos entidades calculan, respectivamente, un punto común (C) = (x,y) de la citada curva elíptica (E) efectuando, respectivamente, las multiplicaciones escalares [a] ([b]P) y [b] ([a]P), ambas iguales a [a,b]P,

-

las dos entidades eligen como clave común la coordenada x del citado punto común (C) obtenido por la citada multiplicación escalar [a,b]P, efectuándose, al menos, una de las multiplicaciones escalares precedentes, y preferentemente todas, con la ayuda de divisiones por do predefinidas.

A título de ejemplo más preciso, la figura 7 representa un servidor B unido a una red de comunicación 1 por intermedio de una interfaz de comunicación 2, por ejemplo del tipo módem. De modo análogo, una estación de cálculo 3 está unida a la red 1 por una interfaz de comunicación 4. La estación 3 está equipada con un lector de tarjeta de microcircuto 5, en el cual está insertada la tarjeta de microcircuito A.

La memoria viva 6 del servidor B contiene un programa 7 capaz de ejecutar cálculos criptográficos en curvas elípticas y, en particular, el producto de un punto por un escalar y la división de un punto por 2.

La tarjeta A comprende una unidad central 11, una memoria viva denominada "RAM" 8, una memoria muerta denominada "ROM" 9 y una memoria reinscriptible denominada "EEPROM" 10. Una de las memorias 9 ó 10 contiene un programa 12 capaz de ejecutar cálculos criptográficos en curvas elípticas y, en particular, el producto de un punto por un escalar y la división de un punto por 2.

Los dos programas 7 y 12 tienen una referencia común constituida por una misma curva elíptica (E) y un mismo punto P = (x_{0}, y_{0}) de (E).

Cuando A desea construir en paralelo con B una clave secreta común para proteger un diálogo con B, elige un escalar a y envía a B el producto Q = [a,b]P = (x_{1},y_{1}). En respuesta a este envío, B elige un escalar b y devuelve a A el producto R = [b]P = (x_{2}, y_{2}).

A calcula, entonces, el producto [a]R = [ab]P = (x, y), mientras que B calcula el producto [b]Q = [ab]P = (x,y), y A y B adoptan x como clave secreta común.

\newpage

Estas operaciones pueden representarse por la tabla que seguidamente se indica. Las que se efectúan en el servidor B están indicadas en la columna de la derecha, mientras que las que se efectúan en la tarjeta A están indicadas en la columna de la izquierda, las flechas horizontales simbolizan las transferencias de informaciones a través de la red 1.

1

Otra aplicación posible que pone en juego la invención es susceptible de ser puesta en práctica entre las dos entidades A y B de la figura 7. Se trata de un protocolo de firma de un mensaje M transmitido entre A y B a través del canal no protegido, es decir, la red 1. El objeto de este protocolo, conocido en sus grandes líneas, es aportar la certeza de que el mensaje recibido por una de las entidades ha sido emitido bien por aquélla con la que ésta se corresponde.

Para hacer esto, la entidad emisora (por ejemplo A) tiene dos claves permanentes, una secreta a y otra pública Q = [a]P, siendo P un punto de una curva elíptica (E), siendo P y (E) conocidos y convenidos por A y B. Otra clave pública está constituida por el punto P de orden impar r de la curva elíptica E elegida, no supersingular. Las operaciones puestas en juego implican divisiones por dos, en el sentido definido anteriormente.

De acuerdo con un ejemplo posible:

-

la primera entidad (A) que tiene el citado par de claves permanentes construye un par de claves de utilización única, eligiéndose una (g) arbitrariamente y la otra, [g]P resultante de una multiplicación escalar de la citada clave (g) elegida arbitrariamente por el punto P público de la citada curva elíptica, indicándose las coordenadas de esta clave ([g]P) por (x, y), con 2 \leq g \leq r-2,

-

la primera entidad (A) convierte el polinomio x de la citada clave de utilización única [g]P = (x, y) en un entero i cuyo valor binario está representado por la secuencia de los coeficientes binarios del citado polinomio x,

-

la citada primera entidad (A) calcula una firma (c, d) del mensaje (M) del modo siguiente:

c = i módulo r

d = g^{-1} (M + ac) módulo r,

-

la citada primera entidad envía el citado mensaje (M) y la citada firma (c, d) a la segunda entidad; en recepción

-

la citada segunda entidad (B) verifica si los elementos de la citada firma (c, d) pertenecen cada uno al intervalo [1, r-1],

-

en caso negativo, declara la firma no válida y se detiene,

-

en caso afirmativo, la citada segunda entidad (B) calcula tres parámetros:

h = d^{-1} módulo r

h_{1} = Mh módulo r

h_{2} = ch módulo r

-

la citada segunda entidad calcula un punto T de la citada curva elíptica por la suma de las multiplicaciones escalares de los puntos P y Q por los dos últimos parámetros citados:

T = [h_{1}]P + [h_{2}]Q

si el punto resultante T es el elemento neutro, la citada segunda entidad declara la firma no válida y se detiene

si no, considerando el punto T de coordenadas x' e y': T = (x', y'),

la citada segunda entidad (B) convierte el polinomio x' de este punto en un entero i' cuyo valor binario está representado por la secuencia de los coeficientes binarios del citado polinomio x'

-

la citada segunda entidad (B) calcula c' = i' módulo r, y

-

verifica que c' = c para validar la citada firma o invalidarla en caso contrario, efectuándose, al menos, una citada operación de multiplicación escalar, y preferentemente todas, con la ayuda de divisiones por dos predefinidas.

Estas operaciones pueden representarse por la tabla que seguidamente se indica, donde las operaciones efectuadas en el servidor B están indicadas en la columna de la derecha mientras que las operaciones efectuadas en la tarjeta A están indicadas en la columna de la izquierda, simbolizando la flecha entre las dos columnas las transferencias de informaciones a través de la red 1.

2

Claims (10)

1. Procedimiento de criptografía puesto en práctica entre dos entidades que intercambian informaciones a través de un canal de comunicación no protegido, del tipo que comprende, al menos, una fase operatoria consistente en multiplicar un punto de orden impar de una curva elíptica no supersingular por un entero, en coordenadas afines, caracterizado porque, con objeto de realizar el intercambio de informaciones a través del canal de comunicación no protegido, una fase operatoria de este tipo comprende adiciones y divisiones por dos de puntos de la citada curva elíptica, donde la adición de puntos es una operación conocida, y la división por dos de un punto P se define como el punto único D de orden impar tal que [2]D = P, siendo indicado un punto de este tipo por:

\left[\frac{1}{2}\right]P,

y la operación de división por 2, por:

\left[\frac{1}{2}\right]

2. Procedimiento de acuerdo con la reivindicación 1, en el que: F_{2^{n}} es un cuerpo finito de 2^{n} elementos, E(F_{2^{n}}) es el subgrupo de una curva elíptica E, definido por:

E(F_{2^{n}}) = {(x,y) \in F_{2^{n}} X F_{2}^{n} ly^{2} + xy = x^{3} + \alphax^{2}+ \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

y E[2^{k}] es el conjunto de los puntos P de la citada curva elíptica tales que P, adicionado 2^{k} veces a sí mismo da el elemento neutro O, con k entero superior o igual a 1, caracterizado porque un punto P = (x, y) de la citada curva elíptica da por la citada división por dos el punto

\left[\frac{1}{2}\right]P=(u_{0}, v_{0})

de la citada curva elíptica, obtenido efectuando las operaciones siguientes:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0}+ 1) + y

\bullet si k vale 1, se busca si la ecuación: \lambda^{2}+\lambda = \alpha^{2} + u_{o}^{2} tiene soluciones en F_{2^{n}},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v = u_{0} \ (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P=(u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i} tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u_{1}^{2} tal que u_{1}^{2} = u_{i-1}(\lambda_{1} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n},

\bullet en caso afirmativo se calcula la citada división por dos por

u_{0} = \sqrt{u_{0}{}^{2}}

v = u_{0} (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

3. Procedimiento de acuerdo con la reivindicación 1, en el que: F_{2^{n}} es un cuerpo finito de 2^{n} elementos, E(F_{2^{n}}) es el subgrupo de una curva elíptica E, definido por:

E(F_{2^{n}}) = {(x,y) \in F_{2^{n}} X F_{2^{n}} ly^{2} + xy = x^{3} + \alphax^{2} + \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

y E[2^{k}] es el conjunto de los puntos P de la citada curva elíptica tales que P, adicionado 2^{k} veces a sí mismo da el elemento neutro O, con k entero superior o igual a 1, caracterizado porque un punto P = (x, y) de la citada curva elíptica da por la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0},\lambda_{0})

con \lambda_{0}= u_{0} + v_{0}/u_{0}, obtenido efectuando las operaciones siguientes:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0}+ 1) + y

\bullet si k vale 1, se busca si la ecuación: \lambda^{2}+\lambda = \alpha^{2} + u_{o}^{2} tiene soluciones en F_{2}^{n},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y

\left[\frac{1}{2}\right]P=(u_{0},\lambda_{0})

en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente:

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{1}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i}= u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i = 1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2^{n}}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}^{2}}

 \ 

y

 \ 

\left[\frac{1}{2}\right]P = (u_{0},\lambda_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

4. Procedimiento de acuerdo con la reivindicación 1, en el que: F_{2^{n}} es un cuerpo finito de 2^{n} elementos, E(F_{2^{n}}) es el subgrupo de una curva elíptica E, definido por:

E(F_{2^{n}}) = {(x,y)} \in F_{2^{n}} X F_{2^{n}} ly^{2} + xy = x^{3} + \alphax^{2} + \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

y E[2^{k}] es el conjunto de los puntos P de la citada curva elíptica tales que P, adicionado 2^{k} veces a sí mismo da el elemento neutro O, con k entero superior o igual a 1, caracterizado porque un punto P = (x, y) de la citada curva elíptica representado por (x, \lambda_{p}) con \lambda_{p} = x + y/x da por la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

de la citada curva elíptica obtenido efectuando las operaciones siguientes:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0}+ \lambda_{p} + x + 1)

\bullet si k vale 1, se busca si la ecuación: \lambda^{2}+\lambda = \alpha^{2}+u_{o}^{2} tiene soluciones en F_{2^{n}},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v_{0} = u_{0} (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente;

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{1-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i} = u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i=1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

v_{0} = u_{0} (u_{0} + \lambda_{0})

y

\left[\frac{1}{2}\right]P = (u_{0},v_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

5. Procedimiento de acuerdo con la reivindicación 1, en el que: F_{2^{n}} es un cuerpo finito de 2^{n} elementos, E(F_{2^{n}}) es el subgrupo de una curva elíptica E, definido por:

E(F_{2^{n}}) = {(x,y)} \in F_{2^{n}} X F_{2^{n}} ly^{2} + xy = x^{3} + \alphax^{2} + \beta} \cup {O} \alpha, \beta \in F_{2^{n}}, \beta \neq 0

y E[2^{k}] es el conjunto de los puntos P de la citada curva elíptica tales que P, adicionado 2^{k} veces a sí mismo da el elemento neutro O, con k entero superior o igual a 1, caracterizado porque un punto P = (x, y) de la citada curva elíptica representado por (x, \lambda_{p}) con \lambda_{p} = x + y/x da por la citada división por dos el punto

\left[\frac{1}{2}\right]P = (u_{0}, v_{0})

de la citada curva elíptica representado por (u_{0}, \lambda_{0}) con \lambda_{0} = u_{0} + v_{0}/u_{0} obtenido efectuando las operaciones siguientes:

\bullet se busca un primer valor \lambda_{0} tal que \lambda_{0}^{2} + \lambda_{0} = \alpha + x

\bullet se calcula un segundo valor u_{0}^{2} tal que u_{0}^{2} = x(\lambda_{0}+ \lambda_{p}+x +1)

\bullet si k vale 1, se busca si la ecuación: \lambda^{2}+ \lambda = \alpha^{2}+ u_{o}^{2} tiene soluciones en F_{2}^{n},

\bullet en caso afirmativo se calcula la citada división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y

\left[\frac{1}{2}\right]P=(u_{0}, \lambda_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente:

\bullet si k es mayor que 1, se efectúa un cálculo iterativo consistente en:

buscar un valor \lambda_{i}, tal que \lambda_{i}^{2} + \lambda_{i} = \alpha + u_{i-1}

calcular después el valor u^{2}_{i} tal que u^{2}_{i} = u_{i-1} (\lambda_{i} + \lambda_{i-1} + u_{i-1} + 1)

incrementando i a partir de i=1 hasta obtener el valor u^{2}_{k-1}

\bullet se busca si la ecuación \lambda^{2} + \lambda = \alpha^{2} + u^{2}_{k-1} tiene soluciones en F_{2}^{n}

\bullet en caso afirmativo se calcula la división por dos por:

u_{0} = \sqrt{u_{0}{}^{2}}

y

\newpage

\left[\frac{1}{2}\right]P = (u_{0}, \lambda_{0})

\bullet en caso negativo, se añade x al citado segundo valor u_{0}^{2} y se añade 1 al citado primer valor \lambda_{0}, para calcular la citada división por dos como en la operación precedente.

6. Procedimiento de acuerdo con una de las reivindicaciones precedentes, caracterizado porque se trata de un protocolo de construcción de una clave común a partir de dos claves secretas que pertenecen, respectivamente, a las dos citadas entidades y de una clave pública constituida por un punto P de orden impar r de una curva elíptica E elegida y no supersingular.

7. Procedimiento de acuerdo con la reivindicación 6, caracterizado porque, de modo en sí conocido, siendo a y b las claves secretas de una primera y de una segunda entidades, respectivamente:

-

la primera entidad calcula la multiplicación escalar [a]P y envía el punto resultado a la segunda entidad

-

la segunda entidad calcula la multiplicación escalar [b]P y envía el punto resultado a la primera entidad

-

las dos entidades calculan, respectivamente, un punto común C = (x,y) de la citada curva elíptica (E) efectuando, respectivamente, las multiplicaciones escalares [a] ([b]P) y [b] ([a]P), ambas iguales a [a.b]P,

-

las dos entidades eligen como clave común la coordenada (x) del citado punto común (C) obtenido por la citada multiplicación escalar [a.b]P, efectuándose, al menos, una de las multiplicaciones precedentes y, preferentemente, todas, con la ayuda de divisiones por dos predefinidas.

8. Procedimiento de acuerdo con una de las reivindicaciones 1 a 5, caracterizado porque se trata de un protocolo de firma entre dos entidades a partir de un par de claves permanentes que pertenecen a una de las entidades, una secreta (a) y la otra pública (Q), resultante de la multiplicación escalar de la clave secreta (a) por otra clave pública constituida por un punto (P) de orden impar r de una curva elíptica (E) elegida y no supersingular.

9. Procedimiento de acuerdo con la reivindicación 8, caracterizado por las operaciones siguientes:

-

la primera entidad (A) que tiene el citado par de claves permanentes construye un par de claves de utilización única, eligiéndose una (g) arbitrariamente, y la otra, [g]P resultante de una multiplicación escalar de la citada clave (g) elegida arbitrariamente por el punto P público de la citada curva elíptica, indicándose las coordenadas de esta clave ([g]P) por (x, y), con 2 \leq g \leq r-2,

-

la primera entidad (A) convierte el polinomio x de la citada clave de utilización única [g]P = (x, y) en un entero i cuyo valor binario está representado por la secuencia de los coeficientes binarios del citado polinomio x,

-

la citada primera entidad (A) calcula una firma (c, d) del mensaje (M) del modo siguiente:

c = i módulo r

d = g^{-1} (M + ac) módulo r,

-

la citada primera entidad envía el citado mensaje (M) y la citada firma (c, d) a la segunda entidad; en recepción

-

la citada segunda entidad (B) verifica si los elementos de la citada firma (c, d) pertenecen cada uno al intervalo [1, r-1],

-

en caso negativo, declara la firma no válida y se detiene,

-

en caso afirmativo, la citada segunda entidad (B) calcula tres parámetros:

h = d^{-1} módulo r

h_{1} = Mh módulo r

h_{2} = ch módulo r

-

la citada segunda entidad calcula un punto T de la citada curva elíptica por la suma de las multiplicaciones escalares de los puntos P y Q por los dos últimos parámetros citados:

T = [h_{1}]P + [h_{2}]Q

si el punto resultante T es el elemento neutro, la citada segunda entidad declara la firma no válida y se detiene

si no, considerando el punto T de coordenadas x' e y': T = (x', y'),

-

la citada segunda entidad (B) convierte el polinomio x' de este punto en un entero i' cuyo valor binario está representado por la secuencia de los coeficientes binarios del citado polinomio x'

-

la citada segunda entidad (B) calcula c' = i' módulo r, y

-

verifica que c' = c para validar la citada firma o invalidarla en caso contrario, efectuándose, al menos, una citada operación de multiplicación escalar, y preferentemente todas, con la ayuda de divisiones por dos predefinidas.

10. Procedimiento de acuerdo con las reivindicaciones 7 ó 9, caracterizado porque una citada multiplicación escalar que utiliza divisiones por dos se obtiene por las operaciones siguientes:

-

si el citado escalar de la multiplicación se indica por S_{i}, se eligen m+1 valores So...Sm \in {0,1} para definir S por:

S = \sum\limits_{i = 1}^{m} S_{i} \left(\frac{r+1}{2}\right)^{i}

-

siendo r el orden impar antes citado y m el entero único comprendido entre log_{2}(r) – 1 y log_{2} (r).

se calcula la multiplicación escalar [S]P de un punto P de la citada curva elíptica por el escalar S, por aplicación de un algoritmo consistente en determinar la sucesión de puntos (Q_{m+1}, Q_{m}..., Q_{i}...Q_{o}) de la citada curva elíptica E, tal que

Q_{m+1} = O \ (elemento \ neutro)

Q_{i} = [S_{i}]P + \left[\frac{1}{2}\right]Q_{i+1}

con 0 \leq l \leq m

dando el cálculo del último punto Q_{o} de la citada sucesión, el resultado [S] P de la citada multiplicación escalar.