RU2574826C2 - Криптография на упрощенной эллиптической кривой - Google Patents

Abstract

Изобретение относится к области шифрования сообщений на основе использования точек на эллиптической кривой. Технический результат - повышение надежности криптографического шифрования за счет выполнения аутентификации и идентификации за одно и то же время. Способ выполнения аутентификации пароля или идентификации идентификатора с использованием криптографического преобразования включает этапы, на которых выполняют криптографическое преобразование в электронном компоненте для получения точки Р (Х, Y) на эллиптической кривой исходя из по меньшей мере одного параметра t, связанного с указанным паролем или идентификатором; выполняют аутентификацию пароля или идентификацию идентификатора с использованием значений абсциссы (X) и ординаты (Y) полученной точки Р. 2 н. и 5 з.п. ф-лы, 3 ил.

Description

Настоящее изобретение касается шифрования сообщении на основе использования точек на эллиптической кривой, а более конкретно, упомянутого шифрования детерминированной природы.

Для применения криптографического преобразования к сообщению, для вставления произвольных чисел в математические структуры применяют обычные алгоритмы. Для этой цели эллиптические кривые являются математическими структурами, которые способны упростить применение таких криптографических преобразований и одновременно уменьшить потребности в памяти по сравнению со случаем использования других криптографических преобразований.

Тем не менее, эффективные алгоритмы, предназначенные для вставки произвольных чисел с использованием эллиптических кривых, являются вероятностными. Следовательно, время выполнения таких алгоритмов не является постоянным, оно зависит от шифруемого сообщений. Таким образом, если нарушитель определит, что при применении алгоритма время его работы было различным, он может получить информацию о зашифрованном сообщении.

Для маскировки времени, нужного для вероятностного алгоритма вставки, возможно обеспечить добавление ненужных этапов в этот алгоритм, чтобы его применение всегда занимало одинаковый период времени, независимо от обрабатываемого сообщения.

Точка Р эллиптической кривой определяется ее абсциссой X и ординатой Y, при этом X и Y удовлетворяют следующему выражению:

$$\text{f(X)}={\text{Y}}^{\text{2}}\text{,}\text{ (1)}$$

где f(X) - это многочлен f(X)=X³+аХ+b.

Известно семейство многочленов, которые удовлетворяют равенству Скальба, которое дает возможность определить такую точку на эллиптической кривой, как описано в документе «Construction of Rational Points on Elliptic curves over finite fields» (Построение рациональных точек эллиптических кривых над конечными полями), авторы Эндрю Шаллуе (Andrew Shallue) и Кристиан ван де Вустейне (Christiaan van de Woestijne).

Многочлены X₁(t), X₂(t), X₃(t) и U(t) удовлетворяют равенству Скальба, если они удовлетворяют следующему выражению:

$$f(X_1(t)).f(X_2(t)).f(X_3(t))=U^2(t),\left(2\right)$$

где f - это функция, которая определяет рассматриваемую эллиптическую кривую, а t - параметр.

Многочлены, которые удовлетворяют равенству Скальба, могут иметь два параметра u и t. В этом случае равенство Скальба записывается следующим образом:

f(X₁(t, u)).f(X₂(t, u)).f(X₃(t, u))=U²(t, u)

Выражения такого типа могут использовать два параметра u и t. Тем не менее, в рассматриваемых приложениях целесообразно предусмотреть присвоение любого значения параметру u или в качестве альтернативы параметру t. Таким образом, остается выбрать значение единственного параметра.

При выбранных параметрах t и u, заметим, что X₁=X₁(t, u), X₂=X₂(t, u), X₃=X₃(t, u), U=U(t, u), при этом X₁, X₂, X₃ и U являются элементами F_q. Это выражение (2) означает, что, по меньшей мере, одно из чисел f(X₁), f(X₂) и f(X₃) соответствует квадрату элемента в конечном поле F_q.

Тогда, когда определен квадрат элемента, f(X₁), в поле F_q, мы можем получить точку на эллиптической кривой $$P(X_i,\sqrt{f(X_i})$$

.

Вычисление $$\sqrt{f(X_i)}$$

можно осуществить с помощью вычисления возведения в степень, когда характеристика q поля F_q удовлетворяет равенству:

q=3 mod 4.

В этом случае известно, что

$$\sqrt{f(X_i)}=f{(X_i)}^{\left(q+1\right)/4}.\left(3\right)$$

Следовательно, для определения точки на эллиптической кривой (1) необходимо определить, какое число среди трех чисел f(X₁), f(X₂) и f(X₃) соответствует квадрату элемента в конечном поле F_q. Для этой цели мы можем предусмотреть сначала проверку того, является ли элемент f(X₁) квадратом элемента в конечном поле F_q, далее, если это не так, применить ту же проверку для элемента f(X₂) и, наконец, если это тоже не правильно, аналогично проверить элемент f(X₃). Тем не менее, при такой процедуре определение точки на эллиптической кривой не всегда занимает одинаковое время, так как это определение выполняется быстрее, если квадратом является первый элемент, по сравнению со случаем, когда только третий элемент является квадратом.

Потенциальный нарушитель может использовать эту разницу в затраченном времени для определения точки на эллиптической кривой для взлома секретности, связанной с параметром, который позволит сгенерировать эту точку. А в области криптографии эти параметры должны оставаться секретными.

Эти параметры могут, в частности, соответствовать паролям. Таким образом, важно, чтобы определение этих точек не давало информации, предоставляющей возможность взлома секретности параметра и, соответственно, должны быть исключены атаки на основе анализа времени, затраченного на определение точки на кривой.

Для преодоления этого недостатка возможно методично проверять три элемента f(X_i) для всех i от 1 до 3. Таким образом, время определения точки на кривой не будет зависеть от определенной точки.

Тем не менее, проверка, является ли элемент выражения (2) квадратом в конечном поле F_q, является сложной операцией, в частности, предполагающей возведение в степень, реализация которого затратна с точки зрения времени. В случае, когда мы хотим определить точку на эллиптической кривой на основе равенств Скальба и осуществлять эти определения за постоянное время, в описанном выше случае требуется четыре операции возведения в степень, одно возведение в степень для проверки каждого из членов в выражении (2) Скальба и одно возведение в степень для вычисления квадратного корня, как описано в выражении (3).

Цель настоящего изобретения состоит в улучшении этой ситуации.

Согласно первому аспекту настоящего изобретения предложен способ выполнения криптографического преобразования в электронном компоненте, включающий в себя этап получения точки P(X, Y) исходя по меньшей мере из одного параметра t на эллиптической кривой, удовлетворяющей выражению

Y²=f(X); и

исходя из многочленов X₁(t), X₂(t) и U(t), удовлетворяющих следующему равенству:

f(X₁(t)).f(X₂(t))=U(t)²

в конечном поле F_q, независимо от параметра t, при этом q удовлетворяет равенству q=3 mod 4;

упомянутый способ включает в себя следующие этапы:

/1/ получают значение параметра t;

/2/ определяют точку P путем выполнения следующих подэтапов:

/i/ вычисляют X₁=X₁(t), Х₂=X₂(t) и U=U(t);

/ii/ проверяют, является ли элемент f(X₁) квадратом в конечном поле F_q, и если является, вычисляют квадратный корень из элемента f(X₁), абсциссой точки P является X₁, а квадратный корень f(X₁) является ординатой точки P;

/iii/ иначе вычисляют квадратный корень элемента f(X₂), абсциссой точки P является X₂, а квадратный корень из f(X₂) является ординатой точки P;

/3/ используют упомянутую точку P в следующих криптографических приложениях: при шифровании, или хешировании, или подписывании, или аутентификации или идентификации.

Заметим здесь, что определение точки на эллиптической кривой осуществляют на основе подходящего выражения:

$${\text{-f(X}}_{\text{1}}\text{)}{\text{.f(X}}_{\text{2}}\text{)}={\text{U}}^{\text{2}}\text{.}\text{ (4)}$$

Это выражение следует из равенства (2) Скальба. Фактически это выражение можно получить, выполнив следующее присваивание:

f(X₃)=-1.

Далее в конечном коле F_q, в котором q=3 mod 4, элемент -1 не является квадратом. Следовательно, только два элемента выражения (4) осталось проверить для того, чтобы решить, какой из двух элементов соответствует квадрату в F_q.

Благодаря этим конструкциям возможно определить точку на эллиптической кривой образом, подходящим для использования в области криптографии, так как, с одной стороны, это определение требует одного и того же времени независимо от входного параметра t и, с другой стороны, эффективно, так как уменьшается количество требуемых операций.

Это определение занимает постоянное время, которое не зависит от входного параметра или параметров. Фактически, даже если этот способ подразумевает различные варианты обработки в зависимости от элемента, который соответствует квадрату в равенстве Скальба, независимо от определяемой точки на кривой осуществляют одинаковое количество операций одинакового типа. Более конкретно, независимо от определяемой точки на кривой, выполняют следующий список операций:

- проверка на то, что элемент является квадратом в F_q;

- определение квадратного корня.

Следовательно, невозможно осуществить атаку, основанную на затратах времени.

Более того, это определение эффективно, так как ограничено количество выполняемых затратных операций. Фактически, благодаря выражению (4) вместо трех элементов в выражении (2) необходимо проверить только два элемента, чтобы определить соответствуют ли они квадратам в конечном поле F_q, при этом реализуется максимум две операции типа возведения в степень.

Этот вариант осуществления изобретения является общим и может быть легко применен к любому семейству многочленов, которые удовлетворяют равенству (4).

В одном варианте осуществления настоящего изобретения предложено на этапе /2/-/ii/ осуществлять следующие этапы:

- вычисляют такой R₁, что

$$R_1={(f(X_1).f(X_2))}^{\frac{q+1}{4}}$$

,

- если R₁ равен 1, то

- решают, что элемент f(X₁) является квадратом в поле F_q и

- вычисляют $$Y_1=f{(X_1)}^{\frac{q+1}{4}}$$

,

- иначе вычисляют $$Y_2=f{(X_2)}^{\frac{q+1}{4}}$$

.

Здесь выполняют только два возведения в степень, независимо от используемого варианта обработки.

В другом варианте осуществления изобретения также возможно уменьшить количество операций возведений в степень, которые являются наиболее затратными выполняемыми операциями в этом способе. Фактически на этапе /2/-/ii/ осуществляют следующие этапы:

- вычисляют такой $$R_1^{\text{'}}$$

, что

$$R_1^{\text{'}}=f{(X_1)}^{q-1-\frac{q+1}{4}}$$

,

- вычисляют такой

, что

$$R_2^{\text{'}}=R_1^{\text{'}2}$$

,

- вычисляют такой $$R_3^{\text{'}}$$

, что

$$R_3^{\text{'}}=R_2^{\text{'}}.f(X_1)$$

.

Если $$R_3^{\text{'}}$$

не равен 1, то на этапе /2/-/iii/ квадратный корень f(X₂) получают в соответствии со следующим выражением:

$$\sqrt{f(X_2)}=R_0.R_1^{\text{'}}$$

,

где R₀ удовлетворяет следующему выражению:

$$R_0=U(t).{(-1)}^{q-1-\frac{q+1}{4}}$$

.

Здесь заметим, что целесообразно, что в этом случае осуществляют одно возведение в степень при реализации способа, соответствующего одному варианту осуществления настоящего изобретения.

Фактически остроумно использован тот факт, что в конце концов мы нашли квадратный корень f(X₂) в случае, когда элемент f(X₂) соответствует квадрату, без реализации дополнительного возведения в степень. Фактически квадратный корень из f(X₂) получен следующим образом:

$$\sqrt{f(X_2)}=R_0.R_1^{\text{'}}$$

,

где элемент R₀ в конечном счете получен посредством операции умножения, которая менее затратив по сравнению с реализацией возведения в степень. Более того, в этом варианте осуществления изобретения необходимо вычислить только элемент U(t), так как элемент

$${(-1)}^{q-1-\frac{q+1}{4}}$$

получается мгновенно. Следовательно, не нужно предварительно вычислять этот последний элемент и хранить его в памяти. Следовательно, может быть уменьшен нужный объем памяти.

Далее, если $$R_3^{\text{'}}$$

равен 1, то на этапе /2/-/iii/ квадратный корень f(X₁) можно получить в соответствии со следующим выражением:

$$\sqrt{f(X_1)}=R_3^{\text{'}}.f\left(X_1\right)$$

.

Этот также соответствует умножению.

При выполнении таких вычислений в соответствии с одним вариантом осуществления настоящего изобретения, время, затрачиваемое на выполнение операций, отличающихся от возведения в степень, пренебрежимо мало по сравнению со временем выполнения возведения в степень. Далее, благодаря характеристикам настоящего изобретения, вместо четырех возведений в степень, как описано выше в обычном случае, самое большее нужно выполнить два возведения в степень. Такое уменьшение количества возведений в степень очень полезно.

В одном варианте осуществления настоящего изобретения многочлены, удовлетворяющие выражению (4) в соответствии с одним вариантом осуществления настоящего изобретения в Х и Y, выражаются в координатах Якоби через X′, Y′ и Z следующим образом:

Х′=Х.Z²,

Y′=Y.Z³,

и операции обращения преобразуются в операции умножения.

Преобразование в координаты Якоби позволяет преобразовать операции обращения в умножение при надлежащем выборе элемента Z.

В одном варианте осуществления настоящего изобретения многочлены выражены в координатах Якоби, в соответствии с чем точка P(X,Y) записывается как P(X′, Y′, Z), где

Х′=Х.Z²,

Y′=Y′Z³,

при этом функция f записана как f_z(X′) и удовлетворяет следующему равенству:

f_Z(X′)=X′³+а.X′.Z⁴+b.Z⁶,

а эллиптическая кривая удовлетворяет выражению

Y′²=f_Z(X′),

в котором многочлены, выраженные в координатах Якоби, представляют собой $${\text{X}}_{\text{1}}^{\text{'}}\text{(t)}$$

, $${\text{X}}_{\text{2}}^{\text{'}}\text{(t)}$$

, Z(t) и U′(t) и удовлетворяют следующему равенству в координатах Якоби:

$$U\text{'}{(t)}^2=-f_{Z(t)}(X_1^{\text{'}}(t)).f_{Z(t)}(X_2^{\text{'}}(t))$$

,

и где Z(t) определен таким образом, что операции обращения преобразованы в операции умножения.

На этапе /1/ значение параметра t может быть получено как функция пароля или идентификатора. Таким образом, возможно предусмотреть использование в качестве параметра непосредственно пароля или производной от пароля.

В одном варианте осуществления настоящего изобретения криптографическое приложение представляет собой аутентификацию или идентификацию путем проверки целостности и

на этапе /1/ осуществляют следующие этапы:

/а/ генерируют случайное число;

/б/ получают зашифрованное число путем шифрования упомянутого случайного числа на основе функции шифрования с использованием ключа шифрования, определенного из пароля или идентификатора, соответствующего параметру; и

/в/ передают зашифрованное число для проверки целостности.

С помощью этой процедуры, при проверке целостности возможно получить случайное число, являющееся функцией зашифрованного числа, полученного из пароля. Далее осуществляют восстановление значения параметра t путем применения подходящей функции.

Согласно второму аспекту настоящего изобретения предложено электронное устройство, содержащее подходящее средство применения способа выполнения криптографического преобразования в соответствии с первым аспектом настоящего изобретения.

Другие аспекты и достоинства изобретения будут ясны после прочтения описания одного из вариантов осуществления изобретения.

Также изобретение будет лучше понятно из следующих чертежей,

где фиг.1 - вид, показывающий основные этапы способа выполнения криптографического преобразования в соответствии с одним вариантом осуществления настоящего изобретения;

фиг.2 - вид, подробно показывающий способ выполнения криптографического преобразования в соответствии с одним вариантом осуществления настоящего изобретения; и

фиг.3 - вид, подробно показывающий способ выполнения криптографического преобразования в соответствии с одним вариантом осуществления настоящего изобретения.

На фиг.1 показаны основные этапы способа выполнения криптографического преобразования в соответствии с одним вариантом осуществления настоящего изобретения.

Эти основные этапы подходят для определения точки на эллиптической кривой, причем упомянутая точка предназначена для использования в криптографическом приложении. Криптографическое преобразование такого типа может быть выполнено электронным компонентом безопасным образом, то есть без определения этой точки, что не дает никакой информации об определенной точки и, следовательно, о параметре t.

Это преобразование содержит в конечном поле F_q, где характеристика q равна 3 mod 4, этап получения точки P(X, Y) на эллиптической кривой, удовлетворяющей выражению

Y²=f(X).

Абсцисса Х точки P(X, Y) соответствует или X₁(t) или X₂(t) для полученного значения t, так что

$$\text{-f(X1(t))}\text{.t(X2(t))}={\text{U}}^{\text{2}}\text{(t)}\text{ (4)}$$

в конечном поле F_q.

Такие многочлены могут быть функцией двух параметров u и t. В контексте настоящего изобретения одному из параметров целесообразно придать значение и, следовательно, многочлены, удовлетворяющие выражению (4), являются функциями одного параметра t.

В общем для определения точки на кривой при входных параметрах u и t мы попытаемся определить те числа из чисел X₁=X₁(t, u) и Х₂=X₂(t, u), которые соответствуют квадрату элемента в конечном поле F_q. Для этой цели на этапе 11 с учетом параметра t вычисляют

X_i=X_i(t) для i, равного 1 и 2,

и

U=U(t).

На этапе 12 мы определяем, является ли элемент f(X₁) квадратом на основе определенных вычислений. Если элемент f(X₁) является квадратом, то вычисляют квадратный корень с целью получения на этапе 13 точки P, абсцисса X₁ и ордината Y₁ которой получены из вычисления предыдущего квадратного корня.

В противном случае на этапе 14 получают точку P с абсциссой X₂ и ординатой Y₂. Для этого мы предусматриваем вычисление квадратного корня элемента f(X₂).

Заметим, что достижение этапов 13 или 14 с целью получения точки на эллиптической кривой в соответствии с одним вариантом осуществления настоящего изобретения требует аналогичных операций. Таким образом, независимо от входного параметра или параметров t и u, невозможно осуществить атаку на основе затраченного времени.

Тогда точку P(X_i, Y_i) для I, равного 1 или 2, можно целесообразно использовать в следующих криптографических приложениях: при шифровании, или хешировании, или подписывании, или аутентификации, или идентификации, так как определение этой точки не предоставляет никаких элементов, которые могут помочь взломать секретность этой точки.

В поле F_q, в котором q соответствует 3 mod 4, возможно различными путями проверить, является ли элемент квадратом.

На фиг.2 показано применение способа, соответствующего одному варианту осуществления настоящего изобретения.

На этапе 21 мы вычисляем

$$R_1=f{(X_1)}^{\frac{q-1}{2}}$$

Далее на этапе 22 можно выполнить проверку, является ли элемент f(X₁) квадратом в F_q, что делают посредством сравнения R₁ с 1. Фактически в поле F_q, если R₁ равен 1, то f(X₁) является квадратом. В этом случае на этапе 24 следующим образом вычисляют квадратный корень этого элемента:

$$\sqrt{f(X_1)}=f{(X_1)}^{\frac{q+1}{4}}$$

В другом случае элемент f(X₂) является квадратом элемента. В этом случае на этапе 23 вычисляют квадратный корень следующим образом:

$$\sqrt{f(X_2)}=f{(X_2)}^{\frac{q+1}{4}}$$

В этом варианте осуществления изобретения заметим, что количество и тип выполняемых операций, предназначенных для определения точки P, одинаковы независимо от варианта обработки, то есть независимо от того, какой элемент соответствует квадрату в выражении (4).

На фиг.3 показан другой вариант осуществления способа выполнения, соответствующего одному варианту осуществления настоящего изобретения, в котором применяется только одно возведение в степень.

Здесь предпочтительно, что количество возведений в степень может быть дополнительно уменьшено путем неиспользования одинакового теста, направленного на проверку того, является ли элемент квадратом 12 с фиг.1.

В одном варианте осуществления настоящего изобретения, когда пытаются определить, является ли элемент А квадратом в F_q, могут выполнить следующие этапы:

$$W_1=\frac{1}{A^{\frac{q+1}{4}}}=A^{q-1-\frac{q+1}{4}},(i)$$

$$W_2=W_1^2,\left(ii\right)$$

$$W_3=W_2.A.\left(iii\right)$$

Наконец, если элемент А является квадратом, то

- W₁ соответствует обратному элементу для квадратного корня из А, то есть $$1/\sqrt{A}$$

, так как возведение в степень (q-1) соответствует нахождению обратного элемента, а возведение в степень (q+1)/4 соответствует квадратному корню в конечном поле F_q;

- W₂ соответствует обратному элементу А; и

- W₃ соответствует значению 1.

Таким образом, когда W₃ равен 1, из этого следует, что элемент А является квадратом в конечном поле F_q. Если А не является квадратом, то W₃ не равен 1.

В следующих разделах описан вариант осуществления изобретения, основанный на этом типе проверки. В одном варианте осуществления настоящего изобретения на этапе 311 осуществляют следующее возведение в степень:

$$R_1^{\text{'}}=f{(X_1)}^{q-1-\frac{q+1}{4}}$$

Далее, как указано ранее, проверяют, является ли элемент R₀ квадратом. Таким образом, на этапе 312 мы вычисляем

$$R_2^{\text{'}}=R_1^{\text{'}2}$$

Далее на этапе 313 мы вычисляем

$$R_3^{\text{'}}=R_2^{\text{'}}.f(X_1)$$

Далее на этапе 314 мы определяем, равен ли 1 элемент $$R_3^{\text{'}}$$

. Если это так, то следующий элемент соответствует квадратному корню элемента f(X₁):

$$R_4^{\text{'}}=R_3^{\text{'}}.f(X_1)$$

Если проверка 314 не проходит, то элемент f(X₂) является квадратным корнем в F_q. Таким образом, квадратный корень этого элемента получают на этапе 316 в соответствии со следующим выражением:

$$R_4^{\text{'}\text{'}}=R_0.R_1^{\text{'}}$$

,

где R₀ удовлетворяет следующему выражению:

$$R_0=U(t).{(-1)}^{q-1-\frac{q+1}{4}}$$

Заметим, что приведенное выше выражение дает возможность получать квадратный корень f(X₂), не выполняя операцию возведения в степень, такую как операция, выполняемая на этапе 23 или также на этапе 311. Фактически здесь осуществляют умножение вместо возведения в степень.

Далее мы получаем $$R_4^{\text{'}\text{'}}$$

, который соответствует элементу f(X₂). Таким образом, была определена точка P на эллиптической кривой, в которой абсциссой является X₂, а ординатой - $$R_4^{\text{'}\text{'}}$$

.

В описанном ранее со ссылкой на фиг.3 варианте осуществления изобретения, аналогично варианту осуществления, описанному со ссылкой на фиг.2, независимо от определения точки P, то есть основано ли это определение на числе X₁ или Х₂, применяются аналогичные вычисления, таким образом обеспечивается определение точки на эллиптической кривой за постоянное время.

В одном варианте осуществления настоящего изобретения возможно выбрать многочлены, которые удовлетворяют выражению (4) в соответствии с одним вариантом осуществления изобретения, на основе многочленов Уласа, как определено в документе «Рациональные точки на определенных гиперэллиптических кривых над конечными полями» («Rational points on certain hyperelliptic curves over finite fields»), автор Масие Улас (Macie Ulas), 11 июня 2007 года.

В этом документе описаны многочлены, удовлетворяющие равенству (2) Скальба:

$$X_1(t,u)=-\frac{b}{a}\left(1+\frac{1}{t^{4}f(u)+t^{2}f(u)}\right)$$

,

X₂(t, u)=t²f(u)X₁(t, u),

X₃(t, u)=u,

U(t, u)=t³f(u)⁴f(X₁(t, u)),

где f(u)=u³+аu+b,

а и b - такие элементы F_q, что их произведение не равно нулю.

Таким образом, выражения могут быть переписаны при присваивании

f(u)=-1

без необходимости вычислять значение параметра и для которого выполняется это последнее равенство. Далее мы получаем

$$X_1(t)=-\frac{b}{a}\left(1+\frac{1}{t^4-t^2}\right)$$

,

X₂(t)=-t²X₁(t), и

U(t)=t³f(X₁(t)).

Эти многочлены удовлетворяют следующему равенству:

-f(X₁(t)).f(X₂(t)=U(t))².

В одном варианте осуществления настоящего изобретения предпочтительно предусматривают использование координат Якоби. Это преобразование в координаты Якоби дает возможность преобразовать операции обращения в операции умножения, которые быстрее и легче применять.

Уравнение эллиптической кривой

X³+aX+b=Y²

может быть записано в координатах Якоби следующим образом:

X′³+aX′Z⁴+bZ⁶=Y′².

Заметим, что координаты точки (X, Y) могут быть записаны в координатах (X′, Y′, Z′) Якоби следующим образом:

Х′=Х.Z²

Y′=Y.Z³.

Следовательно, мы должны определить многочлен Z(t, u) таким образом, чтобы координаты X′, Y′ и Z Якоби могли быть записаны без обращения.

В следующих разделах это преобразование в координаты Якоби применяют в определенном случае многочленов, как указано выше.

В этом контексте любую операцию обращения исключают с учетом следующего выражения:

Z(t)=a(t⁴-t²).

Фактически многочлены могут быть записаны в следующей форме в координатах Якоби:

$$X_1^{\text{'}}(t)=-b.Z(t)(t^4-t^2+1)$$

,

$$X_2^{\text{'}}(t)=-t^2.X_2^{\text{'}}(t)$$

.

Следовательно, заметим, что не требуется никакого обращения в координатах Якоби. Так как эта операция может быть такой же затратной, как и возведение в степень, эти координаты дают возможность значительно улучшить время вычисления.

Далее для получения координаты Y′ Якоби, желательно вычислить U′(t, u), эквивалент U(t, u) в координатах Якоби.

Далее мы можем записать в координатах Якоби

$$U\text{'}(t)=t^3.f_Z(X_2^{\text{'}}(t))$$

,

где

$$f_{Z(t)}=X{\text{'}}^3+a.X\text{'}.Z{(t)}^4+b.Z{(t)}^6$$

.

Только для примера выражения ниже позволяют больше не выполнять операции обращения. При таких условиях получаем способ выполнения, который более эффективен и быстр при одновременном обеспечении выполнения за постоянное время.

Целесообразно, что настоящее изобретение может быть реализовано в криптографическом преобразовании любого типа, в котором используют эллиптические кривые. Оно может быть особенно полезно в протоколах аутентификации пароля, таких как «Установка соединения с аутентификацией пароля». В этом случае оно позволяет улучшить эффективность вычисления, не давая возможности проводить атаку, связанную со временем выполнения криптографического преобразования.

Также настоящее изобретение может быть применено для протоколов сохранения конфиденциальности, таких как протоколы, используемые для проверки электронных документов удостоверения личности, таких как электронные паспорта.

Claims (7)

1. Способ выполнения аутентификации пароля или идентификации идентификатора с использованием криптографического преобразования, включающий этапы, на которых выполняют криптографическое преобразование в электронном компоненте для получения точки Р (Х, Y) на эллиптической кривой исходя из по меньшей мере одного параметра t, связанного с указанным паролем или идентификатором, и
выполняют аутентификацию пароля или идентификацию идентификатора с использованием значений абсциссы (X) и ординаты (Y) полученной точки Р, при этом указанную точку Р определяют на эллиптической кривой, удовлетворяющей выражению

и
исходя из многочленов X₁(t), X₂(t) и U(t), удовлетворяющих следующему равенству:

в конечном поле F_q, независимо от параметра t, при этом q удовлетворяет равенству q=3 mod 4,
причем для определения точки Р выполняют этапы, на которых
/1/ получают значение параметра t как функцию указанных пароля или идентификатора и
/2/ определяют точку Р путем выполнения следующих подэтапов:
/i/ вычисляют (11) X₁=X₁(t), Х₂=X₂(t) и U=U(t),
/ii/ проверяют (12), является ли элемент f(X₁) квадратом в конечном поле F_q, и если является, вычисляют (13) квадратный корень из элемента f(X₁), абсциссой точки Р является Х₁, а квадратный корень из элемента f(X₁) является ординатой Y₁ точки Р;
/iii/ если указанное условие не выполняется, вычисляют (14) квадратный корень из элемента f(X₂), абсциссой точки Р является Х₂, а квадратный корень из f(X₂) является ординатой точки Р.

2. Способ выполнения криптографического преобразования по п. 1, в котором на этапе /2/-/ii/ выполняют следующие этапы:
- вычисляют (21) R₁, так что

- если R₁ равен 1 (22), то
- решают, что элемент f(X₁) является квадратом в поле F_q, и
- вычисляют (24)

- в ином случае вычисляют (23)

3. Способ выполнения криптографического преобразования по п. 1, в котором на этапе /2/-/ii/ осуществляют следующие этапы:
- вычисляют (311) R₁′, так что

- вычисляют (312) R₂′, так что

- вычисляют (313) R₃′, так что

причем, если R₃′ не равен 1, то на этапе /2/-/iii/ получают (316) квадратный корень из f(X₂) в соответствии со следующим выражением:

где R₀ удовлетворяет следующему выражению:

4. Способ выполнения криптографического преобразования по п. 3, в котором, если R₃′ равен 1, то на этапе /2/-/iii/ получают (315) квадратный корень из f(X₁) в соответствии со следующим выражением:

5. Способ выполнения криптографического преобразования по п. 1, в котором многочлены выражают в координатах Якоби, при этом точку Р (Х, Y) записывают как Р (X′, Y′, Z), причем

где функция f выражена как f_z(Х′) и удовлетворяет следующему выражению:

а эллиптическая кривая удовлетворяет выражению

в котором многочлены, выраженные в координатах Якоби, представляют собой X′₁(t), X′₂(t), Z(t) и U′ (t) и удовлетворяют следующему равенству в координатах Якоби:

и где Z(t) определен таким образом, что операции обращения преобразуются в операции умножения.

6. Способ выполнения криптографического преобразования по любому из пп. 1-5, в котором выполняют аутентификацию пароля или идентификацию идентификатора путем проверки целостности, при этом
на этапе /1/ осуществляют следующие этапы:
/a/ генерируют случайное число;
/б/ получают зашифрованное число путем шифрования упомянутого случайного числа на основе функции шифрования с использованием ключа шифрования, определенного из пароля или идентификатора, соответствующего параметру; и
/в/ передают зашифрованное число для проверки целостности.

7. Электронное средство для выполнения криптографического преобразования, характеризующееся тем, что выполнено с возможностью реализации этапов криптографического преобразования в способе по п. 1.

Images