Научная статья на тему 'Границы сбалансированной степени вложения для криптографии на билинейных спариваниях'

Границы сбалансированной степени вложения для криптографии на билинейных спариваниях Текст научной статьи по специальности «Математика»

CC BY
244
30
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
КРИПТОГРАФИЯ / ГИПЕРЭЛЛИПТИЧЕСКИЕ КРИВЫЕ / ЗАДАЧА ДИСКРЕТНОГО ЛОГАРИФМИРОВАНИЯ / БИЛИНЕЙНЫЕ СПАРИВАНИЯ / СТЕПЕНЬ ВЛОЖЕНИЯ / HYPERELLIPTIC CURVE CRYPTOGRAPHY / PAIRINGS / EMBEDDING DEGREE / DISCRETE LOGARITHM PROBLEM

Аннотация научной статьи по математике, автор научной работы — Новоселов Семен Александрович

Вводится формула для расчёта границ сбалансированной степени вложения гиперэллиптической кривой. Вычислены текущие границы для кривых рода 1-3. Для кривых с известными алгоритмами генерации, наименьшими р-значениями и степенями вложения от 1 до 10 вычислен диапазон значений, которому принадлежит уровень безопасности кривой.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

On bounds for balanced embedding degree

A generalized formula for calculating bounds for the balanced value of the hyperellip-tic curve embedding degree is proved. Using this formula we give bounds for curves of genus 1-3 over finite fields with the small, medium and big characteristic. We also compute possible range of security level for curves with known generation methods, minimal р-value and embedding degrees к = 1,2,..., 10.

Текст научной работы на тему «Границы сбалансированной степени вложения для криптографии на билинейных спариваниях»

2016 Математические методы криптографии №2(32)

УДК 512.772.7

ГРАНИЦЫ СБАЛАНСИРОВАННОЙ СТЕПЕНИ ВЛОЖЕНИЯ ДЛЯ КРИПТОГРАФИИ НА БИЛИНЕЙНЫХ СПАРИВАНИЯХ

С. А. Новоселов

Балтийский федеральный университет им. И. Канта, г. Калининград, Россия

Вводится формула для расчёта границ сбалансированной степени вложения гиперэллиптической кривой. Вычислены текущие границы для кривых рода 1-3. Для кривых с известными алгоритмами генерации, наименьшими р-значениями и степенями вложения от 1 до 10 вычислен диапазон значений, которому принадлежит уровень безопасности кривой.

Ключевые слова: криптография, гиперэллиптические кривые, задача дискретного логарифмирования, билинейные спаривания, степень вложения.

DOI 10.17223/20710410/32/5

ON BOUNDS FOR BALANCED EMBEDDING DEGREE

S. A. Novoselov Immanuel Kant Baltic Federal University, Kaliningrad, Russia E-mail: [email protected]

A generalized formula for calculating bounds for the balanced value of the hyperellip-tic curve embedding degree is proved. Using this formula we give bounds for curves of genus 1-3 over finite fields with the small, medium and big characteristic. We also compute possible range of security level for curves with known generation methods, minimal р-value and embedding degrees k = 1,2,..., 10.

Keywords: hyperelliptic curve cryptography, pairings, embedding degree, discrete logarithm problem.

Введение

Криптография, основанная на билинейных спариваниях, — активно развивающаяся в настоящее время область исследований. Впервые билинейные спаривания были использованы в криптографии А. Менезесом, Т. Окамото и С. А. Ванстоуном для проведения атаки на суперсингулярные эллиптические кривые путём сведения дискретного логарифма на эллиптической кривой к дискретному логарифму в конечном поле [1], в котором существуют более эффективные алгоритмы вычисления дискретного логарифма. Данный метод подходит также и для других классов кривых, на которых возможно эффективное вычисление спариваний.

Позже в 2000 г. были предложены первые конструктивные приложения спариваний — схема цифровой подписи и схема распределения ключей [2], трёхсторонний протокол Диффи — Хеллмана [3]. После этого было разработано большое число криптосистем, основанных на спариваниях, среди которых выделяется IBE [4]. Обзор таких криптосистем можно найти в работе [5].

Безопасность и эффективность данных криптосистем зависит от двух параметров — степени вложения к и минимальной степени вложения к'. Степень вложения к определяет размер поля, над которым вычисляется билинейное спаривание; соответственно от данного параметра зависит скорость работы криптосистемы. Минимальная степень вложения к', введённая в работе [6], определяет минимальный размер поля, к которому сводится задача вычисления дискретного логарифма в якобиане кривой и, следовательно, является параметром, размер которого определяет безопасность криптосистемы. Эти параметры совпадают в случае, если кривая задана над простым конечным полем. Для случая непростого поля некоторые условия даны в работе [7]. Если параметры совпадают, то к является характеристикой безопасности кривой.

Степень вложения должна быть достаточно большой, чтобы сведение к конечному полю не позволяло решить проблему за меньшее время. С другой стороны, размер степени вложения влияет на эффективность вычисления функции спаривания, которая является основой для криптосистем на спариваниях, поэтому для построения эффективных криптосистем степень вложения должна быть как можно меньше. В связи с этим необходимо выбирать сбалансированное значение к — такое, что сложность решения задачи вычисления дискретного логарифма в якобиане гиперэллиптической кривой равна сложности решения задачи в конечном поле.

Для эллиптических кривых в работе [8] есть асимптотическая оценка, рассчитанная для актуальных по состоянию на 2008 г. алгоритмов дискретного логарифмирования в конечном поле со сложностью ~ е(1п 9)1/3. В связи с появлением принципиально новых методов дискретного логарифмирования в конечном поле [9, 10] эта оценка больше не является верной в общем случае.

Целью данной работы является вывод более общей формулы для оценки размера сбалансированного значения к для гиперэллиптических кривых, включающей в себя оценки других авторов как частный случай. Кроме того, проводится сравнение размера сбалансированного значения для разных кривых, различных комбинаций используемых алгоритмов решения задачи вычисления дискретного логарифма и разных типов конечных полей.

Работа организована следующим образом. П. 1 содержит основные определения, предварительные сведения и оценки других авторов для сбалансированной степени вложения. В п. 2 проводится обзор алгоритмов решения задачи вычисления дискретного логарифма в исследуемых группах с выбором наилучших на момент написания работы. Оценки сложности данных алгоритмов и значения констант в них используются для расчётов и вывода формул в последующих пунктах. В п. 3 выводятся общие формулы для расчёта границ сбалансированной степени вложения, позволяющие получить диапазон значений, которому она принадлежит. В п. 4 вводится понятие уровня безопасности, которое необходимо для сравнения кривых. Выводятся формулы для расчёта сбалансированной степени вложения, размеров групп и полей, необходимых для обеспечения заданного уровня безопасности. В п. 5 на основе предыдущих результатов выводится формула для вычисления диапазона уровней безопасности, которому принадлежит уровень безопасности заданной эллиптической или гиперэллиптической кривой с некоторой фиксированной степенью вложения. Кроме того, по выведенной формуле рассчитываются диапазоны уровней безопасности для кривых, предложенных в литературе для использования в криптографии на билинейных спариваниях, и выделяются классы кривых, небезопасные для использования в настоящее время.

1. Предварительные сведения

Определение 1. Пусть Gi, G2, G3 — группы порядка n. Билинейным спариванием называется отображение

en • Gi х G2 ^ G3

со следующими свойствами:

1) билинейность:

VP е Gi VQ, R е G2 (en(P, Q + R) = en(P, QK(P, R)), VP, R е Gi VQ е G2 (en(P + R, Q) = en(P, Q)en(R, Q));

2) невырожденность:

VP е Gi \{0} 3Q е G2 (en(P,Q) = l), VQ е G2 \{0} 3P е Gi (en(P,Q) = l).

Пусть C — гиперэллиптическая кривая рода g; r — простое число, такое, что r|#Jacc (F,).

Большинство билинейных спариваний являются модификациями спаривания Тей-та — Лихтенбаума, которое определяется как невырожденное билинейное отображение:

Jaco(Fqk)[r] х Jaco(F,k)/rJaco(F,k) ^ Fj/(Fj)r.

Число k называется степенью вложения кривой C. Если r и q взаимно просты, то степень вложения определяется как наименьшее целое k, такое, что r|qk — 1. Если q не взаимно просто с r, то имеем r = p, и подгруппа порядка r не подходит для криптографии на спариваниях, так как задача вычисления дискретного логарифма в Jaco (Fqfc )[p] решается за полиномиальное время от log q [11].

В [6] введён второй параметр безопасности k', который называется минимальной степенью вложения. Если q = pm, то k' = ordrp/m е Q. Этот параметр определяет минимальное поле вложения Fqfc/, в котором содержится группа корней из единицы.

На практике спаривание вычисляется с помощью алгоритма Миллера [12] и его модификаций, которые имеют сложность O (log r). Так как спаривание вычисляется над полем Fqk, сложность операции в котором O(k log q), для эффективности вычислений k должно быть мало — асимптотически как полиномиальная функция от битового размера поля: k = O ((log q)ck).

Известно, что большая часть кривых имеет экспоненциальную степень вложения. Небольшую степень вложения имеют малые классы кривых, многие из которых специально подобраны для использования в криптосистемах на спариваниях. Обзор и методы построения таких кривых есть в работах [13, 14] и п. 5.5.

Так как с помощью спариваний дискретный логарифм в группе точек эллиптической кривой или в якобиане гиперэллиптической кривой сводится к дискретному логарифму в конечном поле, для безопасного использования криптосистем на спариваниях должно выполнятся неравенство

Cdlp(Fj) ^ CDLp(Jaco(F,)),

где Cdlp(G) —сложность решения дискретного логарифма в группе G. Вследствие того, что при увеличении k увеличивается время вычисления спаривания, для приложений необходимо, чтобы k было сбалансировано, т. е. выполнялось равенство

Cdlp (Fqj) « Cdlp (Jaco (F,)).

В случае эллиптических кривых в [8] есть оценка

k ~ а (с, р)

log r log log r

2

где р = log q/log r; а ~ 1/100р. Заметим, что эта оценка рассчитывалась для алгоритмов дискретного логарифмирования в конечном поле со сложностью Lq (1 /3, с).

В 2013 г. появилось улучшение метода исчисления индексов [9], на порядок уменьшающее сложность в случае малой характеристики с Lq(1/3) до Lq(1/4). Кроме того, появился новый теоретический квазиполиномиальный алгоритм [10]. Поэтому оценка k из формулы (1) больше не работает в общем случае.

2. Задача вычисления дискретного логарифма 2.1. Общий случай Пусть G — аддитивная группа порядка n; g,h — элементы этой группы. Задача вычисления дискретного логарифма (ВДЛ) состоит в следующем: по паре (g, h) найти такое число l, что h = lg, если такое число существует. В случае мультипликативной группы задача формулируется аналогично.

В общем случае задача ВДЛ решается за время O(y/n) с помощью алгоритма Шенкса или р-метода Полларда [15]. Если n = П p^ —разложение порядка группы на

простые множители, то задача решается за время O ^^ e»(log n + Jpi) j = O(max Jpi)

с помощью алгоритма Полига — Хеллмана [16]. Поэтому далее ограничимся случаем, когда порядок группы n — большое простое число, которое обозначим r; соответственно в данном случае сложность ВДЛ равна O(y/r).

2.2. К о н е ч н ы е п о л я Пусть Fq — конечное поле; q = pm; p — простое число.

В конечных полях существуют более эффективные алгоритмы решения задачи ВДЛ, основанные на методе исчисления индексов — метод решета числового поля (NFS), метод решета функционального поля (FFS) и их модификации. Сложность решения и выбор оптимального алгоритма зависят от соотношения между характеристикой p и степенью поля т. Для выражения сложности этих алгоритмов, а также соотношения между p и m используется L-нотация:

Lx(a,c) = e(ln x)a(lnln x)1-a(c+o(i)),

где 0 ^ а ^ 1; с > 0. При этом:

1) если а = 0, то сложность полиномиальная от ln q;

2) если а = 1, то сложность экспоненциальная;

3) если 0 < а < 1, то сложность субэкспоненциальная.

Параметр а наиболее важен, так как он определяет состояние между экспоненциальной сложностью и полиномиальной. Поэтому часто используется сокращенный вариант записи Lx(а), при котором константа с опускается.

Обозначим соотношение между p и m как p = Lpm (lp, с). Выделяют [17] три случая:

1) малая характеристика: lp ^ 1/3;

2) средняя характеристика: 1/3 ^ lp ^ 2/3;

3) большая характеристика: lp ^ 2/3.

В граничных случаях доступно несколько алгоритмов, и выбирается наилучший. Малая характеристика

В случае малой характеристики наилучший алгоритм имеет сложность Ьд (1/4 + + о(1), с) [9]. Существует также теоретический алгоритм [10], имеющий квазиполиномиальное время 2°((1о®1о§), который, однако, имеет большой размер константы. Данные алгоритмы основаны на недоказанных формально гипотезах, но получили подтверждение при вычислениях дискретных логарифмов на практике [18, 19]. Поэтому в настоящее время поля малой характеристики считаются небезопасными для криптографии, основанной на дискретном логарифмировании. С историей вопроса можно ознакомиться в работе [20].

Средняя и большая характеристика

В случае средней характеристики наилучшие алгоритмы имеют сложность Ья (1/3).

1 /3

Наиболее эффективные алгоритмы — М^ЕБ [21] с константой с = (8(9 + 4л/6)/15) ~ ^ 2,156 и ехТКЕБ [22] с константой с = ^48/9 = 1,747.

Для большой характеристики наилучший алгоритм — также МКЕБ [23] со сложностью в этом случае

( 1 /92 + 26^13Ч 1/3

М 3, ^ 27

Информация по алгоритмам решения задачи ВДЛ в конечных полях приведена в табл. 1.

Таблица 1 Алгоритмы дискретного логарифмирования в конечных полях

Алгоритм Характеристика Сложность

БШТ [10] Малая 20((1п1п q)2)

^их [9] Малая Ьд(1/4 + о(1), с)

М^Б [21] Средняя Ьч(1/3, 2,156)

ехТ^Б [22] Средняя Lq (1/3,1,747)

М^Б [23] Большая Ьч (1/3,1,901)

2.3. Эллиптические кривые Для эллиптических кривых в общем случае лучший алгоритм — р-метод Поллар-да, имеющий сложность 0(у/г). В специальных случаях возможно сведение проблемы к конечному полю [1, 24], изучаемое в данной работе, либо к кривым высокого рода с использованием спуска Вейля [25, 11]. Последний метод применим только для композитных полей с числом элементов д = рт, где т — составное число. При этом в общем случае методы, основанные на спуске Вейля, не обязательно ведут к более эффективному решению задачи, но для использования кривых над композитными полями в криптографии необходимо доказывать неприменимость данной атаки. Поэтому обычно требуется, чтобы т было простым числом. Заметим, что спуск Вейля также применим и к более общему случаю гиперэллиптических кривых. Для некоторых классов эллиптических кривых доступен метод исчисления индексов [26] с асимптотической сложностью

= Ьд(1/2, с 1п 2), с « 1,69.

2.4. Гиперэллиптические кривые

Пусть C — гиперэллиптическая кривая рода g над полем Fq, G С Jaca (Fq) —подгруппа простого порядка r.

В общем случае задача дискретного логарифмирования на гиперэллиптических кривых может быть решена с помощью р-метода Полларда, имеющего сложность O(y/r). Однако для кривых рода g ^ 3 существуют более эффективные методы, основанные на методе исчисления индексов.

Кривые рода 2

Для кривых рода 2 в общем случае наилучший алгоритм — р-метод Полларда со сложностью O( Jr) = O(q) (табл. 2). Поэтому гиперэллиптические кривые рода 2 и эллиптические кривые в настоящее время считаются наиболее подходящими для криптографии.

Таблица 2 Алгоритмы дискретного логарифмирования на гиперэллиптических кривых

Алгоритм Род g Сложность

р-метод Полларда Любой Lr (1,0,5)

Semaev [26] 1 Lr (1/2,1,171)

GTTD [27] g > 3, q > g! Lr (1, (2 — 2/g)p/g)

Enge - Gaudry [28] g > O (log q) Lr (1/2,1,414)

Enge — Gaudry — Thome [29] g > O (log q)2 Lr (1/3,1,922)

Кривые малого рода g ^ 3

В случае малого рода g ^ 3 существуют методы ВДЛ со сложностью O(q2-2/g), если q > g! [27]. Заметим, что данный алгоритм зависит от р-значения — соотношения между размером якобиана и размером подгруппы — и превосходит р-метод Полларда только при р < g2/(4(g — 1)).

Кривые большого рода

Если род g достаточно большой по сравнению с q, то задача решается за субэкспоненциальное время от qg с помощью метода исчисления индексов.

Теорема 1 (Enge — Gaudry [28]). Предположим, что g > $ log(q), где $ — константа. Тогда существует алгоритм, который решает задачу ВДЛ на гиперэллиптических кривых за время O(LqS (1/2,c($))), где q, g, $ стремятся к бесконечности, а c($) — функция, стремящаяся к J2.

3. Сбалансированное значение k

Пусть C — гиперэллиптическая кривая рода g над полем Fq, G С Jaca (Fq) —подгруппа простого порядка r.

Теорема 2 (Хассе — Вейль). Имеет место неравенство

(q1/2 — 1)2й ^ | Jaca (Fq )| ^ (q1/2 + if .

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Поэтому r ~ qg при q ^ то. Обозначим и зафиксируем р = g log q/log r. Это значение измеряет отношение между размером подгруппы, выбранной для криптосистемы, и размером якобиана кривой. Заметим, что р ^ 1. Для построения криптосистем на

практике это значение должно быть мало, чтобы уменьшить расходы на операции в группе.

Если (r, q) = 1, то степень вложения определяется как минимальное k, такое, что r|qk — 1. Поэтому выполняется

Утверждение 1. Пусть C — гиперэллиптическая кривая рода g над полем Fq; G — подгруппа Якобиана кривой простого порядка r; (r, q) = 1; k — степень вложения;

p = g log q/log r. Тогда выполняется следующее неравенство:

k > g/p.

Доказательство. Так как r|qk — 1, то qk — 1 ^ r. Значит, qk > r, k > log r/log q = = g/P. ■

Аналогично можно доказать утверждение для минимальной степени вложения: k > g/p.

Обозначим Lqk (a, ci) и Lr (в, c2) — сложности решения задачи дискретного логарифмирования в конечном поле и в подгруппе якобиана кривой соответственно.

В случае эллиптических кривых в [12, 30] указывается k < ln2 q как необходимое условие для субэкспоненциальности (от ln q) проблемы ВДЛ в конечном поле Fqk. Это условие верно для алгоритмов с a = 1/3. Обобщая условие на случай произвольного a £ (0,1), получаем

k < (lnq)1/a-i.

В случае гиперэллиптических кривых необходимо учитывать, что r ~ qg/p. Заметим, что при k = (g/p)1/a(ln q)1/a-i = (g/p)(ln r)1/a-i имеем

Lqk (a,C1) = Lr (1,aa-1C1)(lnln r)1-a,

что больше Lr (в, c2) для любого в. Соответственно сбалансированное значение k ограничено следующим образом:

g<k<g (ln r)1/a-1. (2)

pp

Следовательно, k = (g/p)(ln r)ck для некоторого 0 <ck < 1/a — 1. Таким образом, чтобы гарантировать стойкость кривой к MOV/FR-атаке, достаточно выбрать кривую со степенью вложения k ^ (g/p)(ln r)1/a-1. Для большинства кривых это условие выполняется, так как k в общем случае имеет размер, близкий к r.

Заметим, что на практике в настоящее время a = 1/3 или 1/4 для любых конечных полей [17]. Вследствие этого получаем гарантии безопасности криптосистемы при k ^ (g/p)(ln r)2 или k ^ (g/p)(ln r)3 соответственно. Однако кривые с такой степенью вложения не подходят для криптосистем на спариваниях, так как значения k слишком большие.

Для использования кривой в криптосистемах на спариваниях необходимо, чтобы сложности решения задачи вычисления дискретного логарифма в якобиане кривой и в конечном поле были сбалансированы:

Lqk(a,C1) w Lr(в,С2). (3)

Заметим, что по свойствам L-нотации [31] для любых констант c > 0, a и 5 выполняется (lnx)aLx(5, c) = Lx(5, c) и Lx(5, c)Lx(y, b) = Lx(5, c), если 5 > 7. Это связано

с тем, что Lx(5, с) — сокращение для Lx(5, с + o(1)) и множители (lnx)a и lx(y,6) при соответствующем преобразовании выражения попадают в o(1). При этом исходные константы с и 5 не изменяются, меняется только константа в o(1).

Поэтому в оценках сложности Lqk (a,ci) и Lr(в,с2) решения задачи вычисления дискретного логарифма все временные затраты на вспомогательные операции, такие как операции в конечном поле, сложность сведения задачи к конечному полю и другие, попадают в o(1) и не влияют на константы с1,с2,а,в, если совокупное время их выполнения при работе алгоритма асимптотически не больше чем Lqk(5,с), 5 < а, в первом случае и Lr(5, с), 5 < в, — во втором. Если эти условия выполняются, то можно считать, что сложности Lqk(а,с1) и Lr(в,с2) выражены в битовых операциях, а не в операциях в поле Fqk и якобиане кривой.

Покажем, что эти условия выполняются. Заметим, что групповая операция в якобиане кривой в общем случае вычисляется с помощью алгоритма Кантора [32] и его оптимизированных версий либо с помощью более быстрых явных формул при их наличии (например, если g =1 или 2).

Утверждение 2 [33, §2.6]. Если поле Fq имеет нечётную характеристику, то групповая операция в Jaco (Fq) может быть вычислена за 17g2 + O(g) операций в поле Fq. В случае чётной характеристики групповая операция может быть вычислена за 14g2 + O(g) операций.

Таким образом, операция в якобиане кривой имеет сложность O(g2) операций в поле Fq, или O(g2(log q)2) битовых операций. Необходимо также учитывать затраты на выполнение сведения задачи ВДЛ к конечному полю. Общий алгоритм сведения для эллиптических кривых можно найти в [34, IX.9], для гиперэллиптических кривых —

в [11].

Утверждение 3. Пусть C — гиперэллиптическая кривая рода g над полем Fq; G С JacC(Fq); |G| = r — простое число; k — степень вложения. Пусть Lqk(а, с1) — сложность решения задачи вычисления дискретного логарифма в поле Fqk, выраженная в операциях в этом поле. Тогда сведение задачи дискретного логарифмирования из якобиана кривой в конечное поле Fqk имеет сложность Lqk (а,с1) битовых операций.

Доказательство. Покажем, что при выражении сложности в битовых операциях вспомогательные операции не влияют на константы а, с в выражении для сложности алгоритма вычисления дискретного логарифма в конечном поле. Кроме того, на эти константы также не оказывает влияния род кривой g.

Для сведения задачи ВДЛ к конечному полю необходимо вычислять функцию спаривания над полем Fqk , затем вычислять дискретный логарифм в этом поле за время Lqk(а,с1). При этом процесс может завершиться неудачей, если результатом вычисления спаривания будет элемент меньшего порядка, чем нужно. В этом случае выбирается другая случайная вспомогательная точка, и процесс повторяется. Ожидаемое число попыток для успешного применения атаки — O(lnlnr) [1]. Сложность операций в конечном поле Fqk в общем случае — O((lnqk)2) битовых операций.

Сложность вычисления спаривания — O(ln r) операций в якобиане кривой Jacc (Fq) [12; 24, Prop. 3.2]. Применяя утверждение 2, получаем сложность вычисления спаривания в битовых операциях O(g2 ln r(ln qk)2). В итоге сложность атаки в битовых операциях составляет

(O(g2 ln r) + Lqk (a,C1))O((ln qk )2 lnln r). (4)

Заметим, что по теореме 2 имеем r ^ (Jq + 1)2g, то есть r = O(qg). Кроме того, так как k > g/p, то g = O(k). Следовательно, lnr = O(lnqk) и lnlnr = O(lnlnqk). Поэтому

выражение (4) можно записать в виде

(O(k2 ln qk) + Lqk (a,ci))O((ln qk )2 lnln qk). (5)

Имеем

O(k2 ln qk) = exp(ln C + ln k2 + ln ln qk) = exp ^ln ln qk ^ ^q + Ык + 1 + ) = = exp (blnq^ 1n]nq2+1 + 1 + °(1)jj = Lqk(0,c)

для некоторой константы c < 3. Подставляя это выражение в (5), получаем

(Lqk (0, c) + Lqk (a,ci))0((ln qk)2 lnln qk) = Lqk (a,Ci)O((ln qk)2 lnln qk) = Lqk (a,ci).

Утверждение доказано. ■

Аналогично можно записать в битовых операциях сложность Lr(в,с2), выраженную в операциях в якобиане кривой над полем Fq:

Lr (в, C2)O(g2 ln2 q) = Lr (в, C2)O((p ln r)2) = Lr (в, cfc). Таким образом, условие (3) можно записать не в приближённом, а в точном виде:

Lqk (a,Ci) = Lr (в,С2),

предполагая, что сложности выражены в битовых операциях, а все вспомогательные операции попадают в °(1) .

Введём теперь более точную границу для сбалансированного значения k. Теорема 3. Пусть C — гиперэллиптическая кривая рода g над полем Fq; G С С Jacc(F); |G| = r и r — простое число; Lqk(a,ci) —сложность решения задачи ВДЛ в конечном поле; Lr(в,с2) —сложность решения задачи ВДЛ в группе G. Тогда если

С2 + °(1) ( 1 ( 1 N ln ln ln r У-а

в < 1 или в =1 и -— <----1 ——-- , то для сбалансированной

ci + °(1) ) lnlnr )

степени вложения выполняется неравенство

/ i \ i/a-i

g g / ln r 4

- < k < - h

g / ln r \ i/a i p

Доказательство. Подставляя k = - -—-— и lnq = -lnr в Lqk(a,ci),

p p ln ln r

i/a-i

p lnln r J ^ g

получаем

e(Cl+o(i))lnr(i/a-(i/a-i)^)1-a = L( 1, (ci + °(1)^i - °(1^ i-a

а

Это выражение превосходит Ьг(в,с2), только если в < 1 или в =1 и 2 +—(—) <

с1 + о(1)

< (1/а - о(1))1-а. ■

При а = 0 или в = 0 кривая считается непригодной для криптографии, так как задача ВДЛ в этом случае имеет полиномиальную сложность. При а > в сложность

решения задачи в конечном поле асимптотически выше, и в этом случае для построения криптосистем лучше подходят конечные поля, так как вычисления в них проще при меньшей, в данном случае, необходимой длине ключа.

Следующая теорема позволяет вычислить асимптотические границы для величины k, при которых уровни безопасности в якобиане кривой и конечном поле сбалансированы.

Теорема 4. Пусть C — гиперэллиптическая кривая рода g и Lqk (a, ci), 0 < а < 1, Lr(в,с2),а ^ в ^ 1, — сложности решения задачи ВДЛ в конечном поле Fqk и подгруппе простого порядка r якобиана кривой Jaca (Fq) соответственно. Тогда уровни безопасности сбалансированы при

g / ln r \e/a 1 р \ ln ln r ) '

где c — некоторая константа, такая, что

ai/a-1 fCL+oCl)V/a <c< fd±?«V* (7)

Если выполняется неравенство (6) из теоремы 3, то имеет место

( \

a

ln ln ln r

V1 - (1 - а)шьт- У

1/a—1

C2 ± o(1) N 1/a < c < f c2 ± o(1) N 1/a C1 ± o(1)7 Vc1 ± o(1)7

Доказательство. Раскрывая условие Ьдк(а,^) = (в,с2), получаем

е(1п )а(1п1п дк}1-а(с! +о(1)) = е(1п г)в (1п1п г)1-в (с2+о(1))

Выразим из этого выражения к:

(1п дк )а(1п1п дк )1-а(с1 + о(1)) = (1п г)в (1п1п г)1-в (с2 + о(1)), ка(1п д)a(1n1og д + 1п ^)1-а(с1 + о(1)) = (1п г)в (1п1п г)1-в (с2 + о(1)),

_ / (1пг)в(1п 1пг)1-в(С2 + о(1)) \ ^ _ /С2 + о(1)\ 1/а (1пг)в/а(1п1пг)(1-в)/а у (1п д)а(1п 1п д + 1п к)1-а(с1 + о(1))/ \ С1 + о(1)/ 1п д(1п1п д + 1п к)1/а-1'

Так как 1п д = р 1п г/д, то

_ /с2 + о(1) д (1п г)в/а—1 (1п 1пг)(1-в)/с

гС -

c1 ± o(1)/ р (ln ln q ±ln k)1/a—1 g

Из неравенства (2) имеем k = - (ln r)ck, поэтому ln ln q ± ln k = (ck ± 1) ln ln r. Следова-

р

тельно, получаем

i hn 1/a / -< \ 1/a— 1 / i \ в/«_1

, i c2 ± o(1) \ i 1 \ g / ln r \ 7

k

c1 ± o(1)/ \cfc ±1/ р Так как 0 <c^ < 1/a — 1, получаем

ln r ln ln r

i \ 1/a—1

.1/a—1 <( —< 1. cfc ±1

Если выполняется неравенство (6), то на величину Ск можно наложить дополни-

для некоторой величины с'к, 0 < с'к <

7 д / г

тельные ограничения. Имеем к = —

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1п г

р \ 1п1п г

< 1/а — 1. Так как (1п г)^ = ——, получаем

! , 1п1п1п г к 1п1п г

1 Л Л 1п1п1п г а - - 1п 1п г

Отсюда следует, что

1

Ск + 1

1/а—1

(

1/а—1

>

V

1

— 1

а

1п1п1п г - 1п 1п г

(

\

1/а—1

а

1п 1п 1п г

V1 — (1 — а)шьт- У

Теорема доказана. ■

1п 1п 1п г

Выражение ——-- в неравенстве (8) при г ^ то стремится к нулю и соответ-

1п 1п г

ственно всё выражение стремится к а1/а—1, т.е. к выражению в неравенстве (7). В криптографии используются значения 280 < г < 210240, что означает

1п 1п 1п г

0,246 < —- < 0,346.

Следовательно,

а

0,246а + 0,753

1/а—1

(

<

1п 1п г

а

\

1/а—1

1п 1п 1п г

V1 — (1 — а)ШьТ~ /

<

а

0,346а + 0,653

1/а—1

Для а = 1/3 получаем

(

0,159 <

\

1/а—1

а

^ 1п1п1п г

V 1п 1п г '

< 0,187,

что больше, чем а1/а—1 ~ 0,111, и значит, граница (8) точнее.

Теорема 4 позволяет вычислить границы для сбалансированного значения к с точностью до бесконечно малых величин. Соответственно кривая со степенью вложения

к = (С2 + о(1) \ 1/а д (_1пг_\ в/а—1 \с1 + о(1)/ р \ 1п1пг)

+ о(1) р 1п 1п г является стойкой к МОУ/ЕИ,-атаке. В то же время если

к<а1/а—1( С2 + о(1Л а Ц ^

с1 + о(1) р 1п 1п г

в/а—1

1/а

+ о(1)У р

то уровень безопасности на кривой меньше, чем в конечном поле, и такая кривая небезопасна для использования в криптосистемах на спариваниях. Сбалансированное значение находится среди промежуточных значений.

1

4. Уровень безопасности

Определение 2. Группа О обладает уровнем безопасности /, если для решения задачи ВДЛ в этой группе требуется 21 битовых операций.

Для обеспечения одного и того же уровня безопасности в различных группах может требоваться разный размер группы; группы с меньшим требуемым размером имеют преимущество. Для выбора безопасного размера группы, удовлетворяющего заданному уровню безопасности, могут использоваться рекомендации ШБТ [35]. Расчёт степеней вложения на основе этих данных есть в работе [14]. В общем случае, для асимптотической оценки размера группы, необходимого для обеспечения уровня безопасности /, докажем следующую теорему.

Теорема 5. Пусть О — группа порядка п и сложность решения задачи ВДЛ в битовых операциях выражается в виде ¿п(а,с), где 0 ^ а ^ 1; с > 0. Тогда размер группы ^ п, необходимый для обеспечения уровня безопасности /, равен

( е11п2/(с+о(1))-1п 1п 2

*(а,с)=^ 11/а(1п 1)-(1-а)/а

(1п 2)1/(

а— 1

I

(с + о(1))1/а V1 - о(1)

а

(1-а)/а

1с + о(1)'

а = 0, 0 < а < 1, а =1.

Доказательство.

1) 1пс п = 21, 1п п = е11п2/(с+о(1)).

2) Последовательно запишем:

(1п п)а (1п 1п п)1-а(с + о(1)) = 11п 2,

(1п п)а/(1-а) 1п 1п

п

11п 2 с + о(1)

1/(1-а)

е 1-а1п1п п1 1п1п п

а

11п 2

1 — а \с + о(1)

1/(1-а)

а / а / 11п2

1п 1п п = Ш

1 — а \с + о(1)

1/(1-а)

где Ш — функция Ламберта. Далее, имеем

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1 — а а 1п п = ехр | -Ш

а

11п 2 \1/(1-а)Ч

1 — а \с + о(1)

По определению Ш-функции (х) = х/Ш(х). Кроме того,

Ш (ж) = 1п х — 1п1п х + о(1) = 1п х I 1 —

1п 1п х 1п х

+ о(1) = 1п(х)(1 — о(1))'

Соответственно получаем

(

1п п

а ( 11п 2 \1/(1-а) \ 1 — а ^с + о(1))

с ( 11п 2 \1/(1-а)

(1-а)/а

1 — а с + о(1)

а

l ln 2

1 — а \c + °(1)

i/(i-a)

(i-a)/a

ln

а

у \ 1 — а \c + °(1)

l ln 2

i/(i-a)

(1 — °(1))

= li/a

ln 2

c + °(1)

i/a

а

(i-a)/a

X

ln

а

+

1

ln l +

1

ln

ln 2

1 — а ' 1 — а ' 1 — а ^c + °(1)

/ о 4

li/a(ln l)-(i-a)/a

(1 — °(1))

- (i-a) /a

Ьп \ i/a / \ (i—a)/a

c + °(1)

1 — °(1)

si(а,c) = exp ( -—W

а

а

l ln 2

1 — а \c + °(1)

i/(i-a)N

- ln ln 2

(9)

3) nc+o(i) = 21, lnn = lln2/(c + °(1)).

Для определения размера группы в виде lg n необходимо поделить все полученные величины на ln 2. ■

Значение Si(а,^ при 0 < а < 1 получено аппроксимацией W-функции Ламберта с использованием только первых двух членов разложения функции в ряд и отбрасыванием остальных. Эту функцию можно вычислить с произвольной точностью [36]. Методы для вычисления W-функции есть в составе многих систем компьютерной алгебры, например Maxima или PARI/GP. Поэтому значение si (а, c) при 0 < а < 1 более точно можно вычислить по формуле

Следствие 1. Пусть С — гиперэллиптическая кривая рода д над полем ; I — уровень безопасности; О — подгруппа порядка г якобиана кривой /асе (^); р = = д 1п д/ 1п г — константа. Предположим, что сложность решения задачи ВДЛ в группе О выражается в виде (а, с) битовых операций. Тогда размер поля ^ д, необходимый для обеспечения уровня безопасности /, равен — зг(а,с).

д

В случае квазиполиномиальной сложности решения задачи ВДЛ имеет место

Утверждение 4. Пусть сложность решения задачи ВДЛ в группе О порядка п квазиполиномиальна — 20((1п1пп)с). Тогда размер группы ^ п, необходимый для обеспечения уровня безопасности /, равен е0(11/с).

Табл. 3 содержит необходимые размеры групп для обеспечения уровня безопасности /. Значения, обозначенные /1(О), рассчитаны по теореме 5 и утверждению 4; /2(О) обозначает размер группы О, найденный, где применимо, по более точной формуле (9). При этом значение р считалось равным 1; сложность алгоритмов взята из табл. 1 и 2.

Размер базового поля, требуемый для обеспечения уровня безопасности /, вычисленный по следствию 1, приведён в табл. 4; используемые сокращения: ЭК — эллиптическая кривая; ГЭК — гиперэллиптическая кривая.

При вычислении функции спаривания выполняются операции в поле ; в общем случае чем больше это поле, тем ниже эффективность вычисления функции спаривания. Размер поля также можно вычислить по теореме 5 либо использовать следующее эквивалентное утверждение.

Утверждение 5. Пусть С — ГЭК рода д над полем , к — её степень вложения, Ьдк(а,с1) и (в,с2) —сложности решения задачи ВДЛ в конечном поле и якобиане кривой /асе(^) соответственно, причём 0 < а ^ в. Если уровни безопасности

Таблица 3

Размеры групп для обеспечения уровня безопасности l

Группа G Алгоритм Размер группы, li(G) Размер группы, l2(G)

Любая Pollard 21 —

E(Fq), специальная Semaev 0,252l2/ln l 1,44 exp(W (0,35012))

Jaca(Fq), g > O(ln q) EG 0,17312/ln l 1,44 exp(w (0,24012))

Jaco(Fq), g > O(ln2 q) EGT 0,00713/ln2 l 1,44 exp(2W (0,10813/2))

Jaca (Fq), g = 3 GTTD 2,2501 —

Jaca (Fq), g = 4 GTTD 2,6661 —

Jaca (Fq), g = 5 GTTD 3,1251 —

F^, малое p Joux [9] 0,005 l4/(c4 ln3 l) 1,44 exp(3W (0,20414/3)/c4/3)

F^, малое p BGJT [10] exp(O(VT)) —

F^, среднее p exTNFS 0,01013/ln2 l 1,44 exp(2W (0,12413/2))

F^, большое p MNFS [23] 0,00713/ln2 l 1,44 exp(2W (0,11013/2))

Таблица 4

Размеры базового поля ГЭК для уровня безопасности I

Кривая C Алгоритм Размер поля, lg q

ЭК Pollard 2l

ЭК, специальная Semaev 0,25212/ln l

ГЭК рода 2 Pollard l

ГЭК рода 3 GTTD 0,751

ГЭК рода 4 GTTD 0,6661

ГЭК рода 5 GTTD 0,6251

в якобиане кривой и поле сбалансированы, то размер расширенного поля 1п равен

(1п г)в/а

(1п 1п г)в/а-1 ,

где с — константа из теоремы 4.

В [13] для балансирования уровней безопасности в случае эллиптических кривых используется следующий метод. Фиксируется безопасный размер подгруппы точек эллиптической кривой Ь1 и безопасный размер конечного поля Ь2, затем для балансирования уровней безопасности используется соотношение Ь2/Ь1 = рк. В случае гиперэллиптических кривых необходимо учитывать род кривой, и соотношение принимает следующий вид: Ь2/Ь1 = (р/д)к.

Для получения значений Ь1, Ь2 могут использоваться рекомендации из [35, 37] или их можно приближенно вычислить, используя теорему 5. В последнем случае получаем

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

к = д (а,с1) рвг(в,с2)"

Для расчёта границ сбалансированной степени вложения для заданного уровня безопасности I используем формулу из теоремы 4 с подстановкой вместо 1п г требуемого размера группы для данной кривой из табл. 3. Для удобства значения к и представлены в виде а/Л11пЛ21 = 0(/Л11пЛ2 /) = 0(/Л1), где а, Л1, Л2 — константы. Члены меньших порядков опускаются. Расчёт этих констант для различных полей и сбалансированного значения к представлен в табл. 5.

Заметим, что в случае малой характеристики существует теоретический квазиполиномиальный алгоритм. Из утверждения 4 следует, что в этом случае размер группы, необходимый для обеспечения безопасности, растёт экспоненциально от I. В то же время, по утверждению авторов алгоритма [10], константа в оценке сложности алгоритма большая и поэтому на практике он неприменим. Для табл. 5 были выбраны практические алгоритмы, но необходимо учитывать, что безопасность в полях малой характеристики остаётся под вопросом.

Таблица 5

Сбалансированная степень вложения для различных ГЭК и полей

g Р Р Алгоритмы Степень вложения, k Размер поля F„fc

a Ai A2 a Ai A2

1 1 2 Joux [9] / Semaev [26] 0,0025 — 0,1648 2 —2 0,0006 — 0,0416 4 —3

Малое Joux [9] / Pollard 0,0026 — 0,1665 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / Pollard 0,0050 — 0,0450 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / Pollard 0,0038 — 0,0349 2 —2 0,0077 — 0,0699 3 —2

2 Малое Joux [9] / Pollard 0,0013 — 0,0832 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / Pollard 0,0025 — 0,0225 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / Pollard 0,0019 — 0,0174 2 —2 0,0077 — 0,0699 3 —2

2 1 Малое Joux [9] / Pollard 0,0052 — 0,3330 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / Pollard 0,0100 — 0,0901 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / Pollard 0,0077 — 0,0699 2 —2 0,0077 — 0,0699 3 —2

2 Малое Joux [9] / Pollard 0,0026 — 0,1665 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / Pollard 0,0050 — 0,0450 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / Pollard 0,0038 — 0,0349 2 —2 0,0077 — 0,0699 3 —2

3 1 Малое Joux [9] / GTTD [27] 0,0069 — 0,4440 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / GTTD [27] 0,0133 — 0,1201 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / GTTD [27] 0,0103 — 0,0932 2 —2 0,0077 — 0,0699 3 —2

2 Малое Joux [9] / Pollard 0,0039 — 0,2497 3 —3 0,0052 — 0,3330 4 —3

Среднее ExTNFS / Pollard 0,0075 — 0,0675 2 —2 0,0100 — 0,0901 3 —2

Большое MNFS / Pollard 0,0058 — 0,0524 2 —2 0,0077 — 0,0699 3 —2

5. Сравнение кривых

Пусть l — некоторый фиксированный уровень безопасности. При сравнении учитываются следующие параметры — размер группы, размер базового поля, размер расширенного поля и сбалансированная степень вложения.

5.1. Размер группы От размера группы зависит скорость вычисления спаривания, так как алгоритм Миллера, используемый для вычисления спаривания, в общем случае имеет сложность O(log r).

Размер группы, необходимый для обеспечения уровня безопасности l, зависит от используемого алгоритма решения задачи ВДЛ в данной группе. Расчёт требуемых размеров групп представлен в табл. 3. Эллиптические кривые и гиперэллиптические кривые рода 2 имеют преимущество перед кривыми больших родов, так как требуют меньший размер группы.

5.2. Р а з м е р б а з о в о г о п о л я Кривые больших родов позволяют использовать меньший размер базового поля (см. табл. 4). Размер поля влияет на эффективность вычислений в якобиане кривой и на размер параметров и ключей криптосистемы. Однако, как замечено в [38], существуют методы сжатия точек эллиптической кривой, позволяющие достичь размеров

параметров, аналогичных гиперэллиптическим кривым рода 2. Для кривых рода g ^ 2 подобные методы не разработаны.

5.3. Сложность группового закона

Для эллиптических кривых и гиперэллиптических кривых рода 2 существуют быстрые явные формулы для вычисления группового закона. В общем случае чем больше род кривой, тем сложнее групповой закон на кривой. Для кривых рода g > 2 по утверждению 2 сложность вычисления группового закона растёт как O(g2) операций в базовом поле или O(g2 log2 q) битовых операций.

С другой стороны, кривые большего рода требуют меньший размер базового поля для обеспечения аналогичного уровня безопасности (см. табл.4).

5.4. Размер расширенного поля

Сбалансированная степень вложения определяет размер расширенного поля, над которым вычисляется функция спаривания (см. табл. 5). В общем случае чем больше это поле, тем менее эффективно вычисляется функция спаривания. Однако существуют методы, позволяющие минимизировать необходимое число операций в поле при вычислении спаривания. Кроме того, эффективность вычисления функции спаривания может быть улучшена с помощью использования кручений (кривых, изоморфных данной над Fq) при их наличии.

5.5. Алгоритмы генерации и ограничения на параметры

Так как для случайно выбранной эллиптической или гиперэллиптической кривой вероятность того, что её степень вложения мала, незначительна, кривые, подходящие для использования в криптографии на билинейных спариваниях, требуют специальных алгоритмов построения. Исключение составляют суперсингулярные кривые, которые всегда имеют малую степень вложения для любого рода (для эллиптических кривых k ^ 6 [1], для кривых больших родов границы рассчитаны в работе [39]).

Алгоритмы генерации наиболее разработаны для эллиптических кривых, в меньшей степени — для ГЭК рода 2, в отдельных случаях — для рода 3 и практически полностью не разработаны для рода 4 и больше. Классификация эллиптических кривых, подходящих для использования в криптографии на билинейных спариваниях, а также методы генерации таких кривых есть в [13]. Для сравнения из данной работы были выбраны кривые с наименьшими значениями р (см. [13, Table 8.2]).

В случае суперсингулярных эллиптических кривых возможны только степени вложения k = 1, 2, 3, 4, 6, причём значения k = 4 и 6 возможны только в случае p = 2 и 3 соответственно. Известно также, что при k =1 минимальное р-значение равно 2.

В случае обычных эллиптических кривых существует несколько семейств кривых, подходящих для криптографии на спариваниях, — MNT-кривые, кривые Кокса — Пин-ча и др. Алгоритмы генерации таких кривых позволяют строить кривые с произвольной степенью вложения.

Хороший обзор методов генерации гиперэллиптических кривых для криптографии на билинейных спариваниях приведён в [14]. В отличие от эллиптических кривых, в настоящее время не разработаны методы генерации, позволяющие получать ГЭК со значением р < 2.

В случае ГЭК рода 2 первый алгоритм для генерации обычных ГЭК рода 2 с произвольной степенью вложения предложен Фриманом [40]. Алгоритм основан на обобщении метода Кокса — Пинча и позволяет генерировать кривые с р ^^ 8. Позже было предложено обобщение метода Брезинга — Венга [41], позволяющее в частных случаях получать кривые с меньшим р-значением.

В случае кривых с разделённым якобианом существуют методы [42 - 45] для генерации кривых с р ~ 4. В частных случаях для определённых значений к возможны меньшие р-значения; например, в [45] для к = 3, 4, 6,12 получены кривые с р ~ 2.

Суперсингулярные гиперэллиптические кривые рода 2 имеют степень вложения к ^ 12. При этом степень вложения к =12 возможна только для кривой над полем характеристики 2, а степень вложения к = 4 — только для характеристики 3. Суперсингулярные кривые в настоящее время являются единственным известным классом ГЭК рода 2, для которых достигается значение р ~ 1.

В случае кривых рода 3 в работах [46, 41] предложены методы, позволяющие получить кривые в отдельных случаях с р ~ 12 при к = 7, р ~ 15 при к = 9,18, р ~ 8 при к = 13.

5.6. Диапазон уровней безопасности и результаты Если степень вложения к кривой С фиксирована, то, начиная с некоторого уровня безопасности /, эта степень становится меньше сбалансированного значения к, а такая кривая — непригодной для криптографии с уровнем безопасности больше I.

Для расчёта такого значения I введём следующий метод. Сначала сбалансированное значение к выражается в виде а/Л1 (1п/)Л2. Значения (а,Л1,Л2) можно брать из табл. 5 либо вычислять, используя теоремы 4 и 5. Далее, из равенства к = а/Л1 (1п/)Л2 выражаем I и получаем формулу

Л2™ Г^

1/Л

2

1 ^ Л2У

В настоящее время для криптографии требуется г > 2160 и в общем случае все алгоритмы ВДЛ в якобиане кривых экспоненциальны, поэтому введём следующую более точную теорему для данного частного случая.

Теорема 6. Пусть С — ГЭК рода 2; С С ) — подгруппа простого порядка

г > ее; к — степень вложения кривой; Ьдк(а,с1),Ьг(в,с2) —сложности решения задачи ВДЛ в конечном поле и группе С соответственно. Тогда если в = 1, то кривая удовлетворяет уровню безопасности

. = Ж—(й) 1п 2 й ,

где й = — (дс/кр)а/(в—а) и с — константа из теоремы 3.

Доказательство. По теореме 3 получаем сбалансированную степень вложения

/ -1 \ в/а—1 ^ д / 1п г 4

р 1п 1п г Выразим из данного выражения 1п г:

— = (1п г)в/а—1 (1п 1п г) —(в/а—1) = е(в/а—1)1п1п г п 1п ч — (в/а— 1) = / — 1п 1п г 1п 1п \ — (в/а—1) ,

дс '

— (д^] 1/(в/а 1) = е— 1п1пг (— 1п1п г), 1п1п г = — Ж(й), 1п г = е—^ = ^. \кр/ а

Здесь Ж-функция Ламберта определяется как решение уравнения Же^ = х. На интервале (—1/е, 0) уравнение имеет два вещественных решения, одно возрастает от — 1 до 0 при й ^ 0 и обозначается второе стремится к —то при й ^ 0.

Для имеем 1 < (Ж+(&))/& < е, то есть получаем 1 < 1п г < е, что противоречит условию г > ее. Поэтому остаётся решение и 1п г = (Ж_ (&))/&. Применяя теорему 5 для в = 1 , получаем

I = ^ 1п г = ^

1п 2 1п 2 & '

Теорема доказана. ■

Для сравнения были выбраны кривые со степенями вложения 1 ^ к ^ 10 по следующим правилам:

1) для кривой или семейства кривых должны быть известны алгоритмы генерации и явные примеры построения, которые указываются в графе «Источник»;

2) выбираются кривые с минимальным р-значением среди всех кривых с одинаковой степенью вложения, родом и полем;

3) в случае, если р-значения совпадают, выбирается любая из кривых;

4) если требуются дополнительные ограничения или кривая имеет специальный вид, то дополнительно указываются кривые с минимальным р-значением без ограничений, а кривая помечается знаком «+»;

5) указываются кривые, уровень безопасности которых не удовлетворяет современным требованиям [47, 48] (/ < 80). В этом случае кривая помечается знаком «*».

Результаты представлены в табл. 6; диапазон уровней безопасности рассчитан по теореме 6.

Заключение

В работе введена формула (теорема 4) для оценки границ сбалансированного значения степени вложения гиперэллиптических кривых.

Для гиперэллиптических кривых рода 1-3 вычислены текущие границы сбалансированной степени вложения для различных полей (табл.5). Кривые со степенями вложения, выходящими за эти границы, либо не безопасны, либо их степень вложения превосходит необходимую для заданного уровня безопасности.

Для кривых с известными алгоритмами генерации выбраны семейства с наименьшими р-значениями и произведены вычисления диапазона уровней безопасности, которому они могут соответствовать (табл. 6), что позволило определить некоторые кривые, небезопасные для использования в настоящее время.

Таблица 6

Уровни безопасности для гиперэллиптических кривых

k Кривая С g Р Р Источники l

1 ЭК, полная 1 2 Среднее [13, §6.6] 23-98

1 ЭК, полная 1 2 Большое [13, §6.6] 27-115

2 ЭК, суперсингулярная 1 1 Среднее [13, §3.2] 23-98

2 ЭК, суперсингулярная 1 1 Большое [13, §3.2] 27-115

2 ГЭК, обычная+ 2 3 Большое [45, Table 1] 36-147

2 ГЭК, обычная 2 8,135 Большое [40, Ex. 1] 69-271

3 ЭК, суперсингулярная 1 1 Среднее [13, §3.3] 30-126

3 ЭК, суперсингулярная 1 1 Большое [13, §3.3] 36-147

3 ГЭК, обычная+ 2 2 Большое [45, Ex. 24] 36-147

4 ЭК, полная 1 1,5 Среднее [13, §6.9] 48-193

4 ЭК, полная 1 1,5 Большое [13, §6.9] 57-225

4 ЭК, суперсингулярная* 1 1 2 [13, §3.4] 6-48

4 ЭК, суперсингулярная* 1 2 2 [13, §3.4] 9-65

4 ГЭК, суперсингулярная* 2 1 3 [14, §3.4] 3-35

4 ГЭК, обычная+ 2 2 Большое [45, Ex. 24] 43-176

4 ГЭК, обычная 2 8,139 Большое [40, Ex. 4] 108-410

5 ЭК, полная 1 1,5 Среднее [13, §6.6] 56-221

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

5 ЭК, полная 1 1,5 Большое [13, §6.6] 66-258

5 ГЭК, обычная+ 2 3 Большое [45, Table 1] 66-258

5 ГЭК, обычная 2 4 Большое [41, 5.2] 79-307

6 ЭК, суперсингулярная* 1 1 3 [13, §3.5] 7-57

6 ЭК, суперсингулярная* 1 2 3 [13, §3.5] 11-77

6 ЭК, Скотта — Баретто 1 1,25 Среднее [13, §6.16] 56-221

6 ЭК, Скотта — Баретто 1 1,25 Большое [13, §6.16] 66-258

6 ГЭК, суперсингулярная* 2 1 Большое [14, §3.4] 5-42

6 ГЭК, обычная+ 2 2 Большое [45, Ex. 24] 57-225

6 ГЭК, обычная 2 7,5 Большое [41, Table 1] 132-497

7 ЭК, циклотомическая 1 1,33 Среднее [13, §6.20] 64-252

7 ЭК, циклотомическая 1 1,33 Большое [13, §6.20] 75-294

7 ГЭК, обычная+ 2 2,5 Большое [45, Table 1] 73-283

7 ГЭК, обычная 3 12 Большое [41, 5.7] 151-565

8 ЭК, полная 1 1,25 Среднее [13, §6.6] 67-263

8 ЭК, полная 1 1,25 Большое [13, §6.6] 79-307

8 ГЭК, обычная+ 2 3 Большое [45, Ex. 25] 89-342

8 ГЭК, обычная 2 7,5 Большое [41, Table 1] 157-589

9 ЭК, полная 1 1,33 Среднее [13, §6.6] 75-293

9 ЭК, полная 1 1,33 Большое [13, §6.6] 89-341

9 ГЭК, обычная+ 2 2,33 Большое [45, Table 1] 81-315

9 ГЭК, обычная 3 15 Большое [41, 5.7] 202-747

10 ЭК, полная 1 1,5 Среднее [13, §6.5] 87-336

10 ЭК, полная 1 1,5 Большое [13, §6.5] 102-391

10 ГЭК, обычная+ 2 3 Большое [43, Th. 4] 102-391

10 ГЭК, обычная 2 6 Большое [41, 5.4] 157-589

ЛИТЕРАТУРА

1. Menezes A, Okamoto T., and Vanstone S. A. Reducing elliptic curve logarithms to logarithms in a finite field // IEEE Trans. Inform. Theory. 1993. V. 39. No. 5. P. 1639-1646.

2. Sakai R., Ohgishi K., and Kasahara M. Cryptosystems Based on Pairing. Okinawa, Japan, 2000.

3. JouxA. A one round protocol for tripartite Diffie — Hellman // ANTS-IV. LNCS. 2000. V. 1838. P. 385-393.

4. Boneh D. and Franklin M. K. Identity-based encryption from the Weil pairing // CRYPTO 2001. LNCS. 2001. V.2139. P. 213-229.

5. Paterson K. G. Cryptography from pairings // Advances in Elliptic Curve Cryptography. Cambridge University Press, 2005. P. 215-252.

6. HittL. On the minimal embedding field // LNCS. 2007. V.4575. P. 294-301.

7. Benger N., Charlemagne M., and Freeman D. M. On the security of pairing-friendly Abelian varieties over non-prime fields // LNCS. 2009. V.5671. P. 52-65.

8. Galbraith S. D., Hess F., and Vercauteren F. Aspects of pairing inversion // IEEE Trans. Inform. Theory. 2008. V. 54. No. 12. P. 5719-5728.

9. Joux A. A new index calculus algorithm with complexity L(1/4 + o(1)) in small characteristic // LNCS. 2014. V. 8282. P. 355-379.

10. Barbulescu R., Gaudry P., Joux A., and Thome E. A heuristic quasi-polynomial algorithm for discrete logarithm in finite fields of small characteristic // LNCS. 2014. V. 8441. P. 1-16.

11. Frey G. and LangeT. Transfer of discrete logarithms // Handbook of Elliptic and Hyperelliptic Curve Cryptography. Chapman and Hall/CRC, 2005. P. 529-545.

12. Miller V. S. The Weil pairing, and its efficient calculation // J. Cryptology. 2004. V. 17. No. 4. P. 235-261.

13. Freeman D., Scott M., and Teske E. A taxonomy of pairing-friendly elliptic curves // J. Cryptology. 2010. V. 23. No. 2. P. 224-280.

14. Balakrishnan J., Belding J., Chisholm S., et al. Pairings on hyperelliptic curves. http:// arxiv.org/abs/0908.373. 2009.

15. Pollard J. M. Monte Carlo methods for index computation (mod p) // Math. Comput. 1978. V. 78. No. 147. P. 918-924.

16. Pohlig S. C. and Hellman M. E. An improved algorithm for computing logarithms over GF(p) and its cryptographic significance (Corresp.) // IEEE Trans. Inform. Theory. 1978. V. 24. No. 1. P. 106-110.

17. Joux A., Odlyzko A., and Pierrot C. The past, evolving present, and future of the discrete logarithm // Open Problems in Mathematics and Computational Science. Springer International Publishing, 2014. P. 5-36.

18. Adj G., Menezes A., Oliveira T., and Rodríguez-Henríquez F. Computing discrete logarithms in F36.137 and F36 i63 using Magma // LNCS. 2015. V.9061. P. 3-22.

19. Adj G., Menezes A, Oliveira T., and Rodríguez-Henríquez F. Weakness of F36i429 and F24304i for discrete logarithm cryptography // Finite Fields and Their Applications. 2015. V. 32. P. 148-170.

20. Joux A. and Pierrot C. Technical history of discrete logarithms in small characteristic finite fields — The road from subexponential to quasi-polynomial complexity // Des. Codes Cryptography. 2016. V. 78. No. 1. P. 73-85

21. Pierrot C. The multiple Number Field Sieve with conjugation and generalized Joux — Lercier methods // LNCS. 2015. V.2056. P. 156-170.

22. Kim T. and Barbulescu R. Extended Tower Number Field Sieve: A New Complexity for Medium Prime Case. Cryptology ePrint Archive, Report 2015/1027. http://ia.cr/2015/ 1027.

23. Pierrot C. and Barbulescu R. The Multiple Number Field Sieve for Medium and High Characteristic Finite Fields. Cryptology ePrint Archive, Report 2014/147. http://ia.cr/ 2014/147.

24. Frey G. and Ruck H. G. A remark concerning m-divisibility and the discrete logarithm in the divisor class group of curves // Math. Comput. 1994. V.62. No. 206. P. 865-874.

25. Gaudry P., Hess F., and Smart N. P. Constructive and destructive facets of Weil descent on elliptic curves // J. Cryptology. 2002. V. 15. No. 1. P. 19-46.

26. Semaev I. A. New algorithm for the discrete logarithm problem on elliptic curves. Cryptology ePrint Archive, Report 2015/310. http://ia.cr/2015/310.

27. Gaudry P., Thome E., Thériault N., and Diem C. A double large prime variation for small genus hyperelliptic index calculus // Math. Comput. 2007. V. 76. No. 257. P. 475-492.

28. Enge A. and Gaudry P. A general framework for subexponential discrete logarithm algorithms // Acta Arith. 2000. V. 102. P. 83-103.

29. Enge A., Gaudry P., and Thome E. An L(1/3) discrete logarithm algorithm for low degree curves // J. Cryptology. 2011. V. 24. No. 1. P. 24-41.

30. Menezes A. The elliptic curve logarithm problem // Elliptic Curve Public Key Cryptosystems. Boston: Springer US, 1993. P. 61-81.

31. Lenstra A. K. L Notation // Encyclopedia of Cryptography and Security. Springer, 2011. P. 709-710.

32. Cantor D. G. Computing in the Jacobian of a hyperelliptic curve // Math. Comput. 1987. V. 48. No. 177. P. 95-101.

33. Jacobson M., Menezes A., and Stein A. Hyperelliptic curves and cryptography // Fields Institute Communications. 2004. V.41. P. 255-282.

34. Galbraith S. Pairings // Advances in Elliptic Curve Cryptography. Cambridge University Press, 2005. P. 183-212.

35. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4. pdf — NIST. Recommendation for Key Management, Part 1: General. 2016.

36. Corless R. M., Gonnet G. H., Hare D. E. G., et al. On the Lambert W function // Adv. Comput. Math. 1996. V.5. No. 1. P. 329-359.

37. http://www.ecrypt.eu.org/ecrypt2/documents/D.SPA.20.pdf — ECRYPT II. Yearly Report on Algorithms and Keysizes. 2012.

38. Galbraith S. D., Hess F., and Vercauteren F. Hyperelliptic pairings // LNCS. 2007. V. 4575. P. 108-131.

39. Galbraith S. D. Supersingular curves in cryptography // LNCS. 2001. V. 2248. P. 495-513.

40. Freeman D. Constructing pairing-friendly genus 2 curves with ordinary Jacobians // LNCS. 2007. V. 4575. P. 152-176.

41. Freeman D. A Generalized Brezing — Weng Algorithm for Constructing Pairing-Friendly Ordinary Abelian Varieties. Cryptology ePrint Archive, Report 2008/155. http://ia.cr/ 2008/155.

42. Kawazoe M. and Takahashi T. Pairing-friendly hyperelliptic curves with ordinary Jacobians of type y2 = x5 + ax // LNCS. 2008. V. 5209. P. 164-177.

43. Kachisa E. J. Generating more Kawazoe — Takahashi genus 2 pairing-friendly hyperelliptic curves // LNCS. 2010. V.6487. P. 312-326.

44. Freeman D. M. and Satoh T. Constructing pairing-friendly hyperelliptic curves using Weil restriction // J. Number Theory. 2011. V. 131. No. 5. P. 959-983.

45. Drylo R. Constructing pairing-friendly genus 2 curves with split Jacobian // LNCS. 2012. V. 7668. P. 431-453.

46. Freeman D., Stevenhagen P., and Streng M. Abelian varieties with prescribed embedding degree // LNCS. 2008. V.5011. P. 60-73.

47. Lenstra A. K. and Verheul E. R. Selecting cryptographic key sizes //J. Cryptology. 2001. V. 14. P. 255-293.

48. www.keylength.com — BlueKrypt: Cryptgraphic Key Length Recommendation. 2016.

REFERENCES

1. Menezes A., Okamoto T., and Vanstone S. A. Reducing elliptic curve logarithms to logarithms in a finite field. IEEE Trans. Inform. Theory. 1993, vol. 39, no. 5, pp. 1639-1646.

2. Sakai R., Ohgishi K., and Kasahara M. Cryptosystems Based on Pairing. Okinawa, Japan, 2000.

3. Joux A. A one round protocol for tripartite Diffie — Hellman. ANTS-IV, LNCS, 2000, vol. 1838, pp. 385-393.

4. Boneh D. and Franklin M. K. Identity-based encryption from the Weil pairing. CRYPTO 2001, LNCS, 2001, vol.2139, pp. 213-229.

5. Paterson K. G. Cryptography from pairings. Advances in Elliptic Curve Cryptography. Cambridge University Press, 2005, pp. 215-252.

6. HittL. On the minimal embedding field. LNCS, 2007, vol.4575, pp.294-301.

7. Benger N., Charlemagne M., and Freeman D. M. On the security of pairing-friendly Abelian varieties over non-prime fields. LNCS, 2009, vol. 5671, pp. 52-65.

8. Galbraith S. D., Hess F., and Vercauteren F. Aspects of pairing inversion. IEEE Trans. Inform. Theory. 2008, vol. 54, no. 12, pp. 5719-5728.

9. Joux A. A new index calculus algorithm with complexity L(1/4+o(1)) in small characteristic. LNCS, 2014, vol.8282, pp. 355-379.

10. Barbulescu R., Gaudry P., Joux A., and Thome E. A heuristic quasi-polynomial algorithm for discrete logarithm in finite fields of small characteristic. LNCS, 2014, vol.8441, pp. 1-16.

11. Frey G. and Lange T. Transfer of discrete logarithms. Handbook of Elliptic and Hyperelliptic Curve Cryptography. Chapman and Hall/CRC, 2005, pp. 529-545.

12. Miller vol. S. The Weil pairing, and its efficient calculation. J. Cryptology, 2004, vol. 17, no. 4, pp.235-261.

13. Freeman D., Scott M., and Teske E. A taxonomy of pairing-friendly elliptic curves. J. Cryptology, 2010, vol.23, no. 2, pp. 224-280.

14. Balakrishnan J., Belding J., Chisholm S., et al. Pairings on hyperelliptic curves. http:// arxiv.org/abs/0908.373, 2009.

15. Pollard J.M. Monte Carlo methods for index computation (mod p). Math. Comput., 1978, vol. 78, no. 147, pp. 918-924.

16. Pohlig S. C. and Hellman M. E. An improved algorithm for computing logarithms over GF(p) and its cryptographic significance (Corresp.). IEEE Trans. Inform. Theory, 1978, vol. 24, no. 1, pp.106-110.

17. Joux A., Odlyzko A., and Pierrot C. The past, evolving present, and future of the discrete logarithm. Open Problems in Mathematics and Computational Science. Springer International Publishing, 2014, pp. 5-36.

18. Adj G., Menezes A., Oliveira T., and Rodríguez-Henríquez F. Computing discrete logarithms in F36i37 and F36i63 using Magma. LNCS, 2015, vol.9061. pp. 3-22.

19. Adj G., Menezes A, Oliveira T., and Rodríguez-Henríquez F. Weakness of F36i429 and F24304i for discrete logarithm cryptography. Finite Fields and Their Applications, 2015, vol.32, pp.148-170.

20. Joux A. and Pierrot C. Technical history of discrete logarithms in small characteristic finite fields — The road from subexponential to quasi-polynomial complexity. Des. Codes Cryptography, 2016, vol. 78, no. 1, pp. 73-85

21. Pierrot C. The multiple Number Field Sieve with conjugation and generalized Joux — Lercier methods. LNCS, 2015, vol. 2056, pp. 156-170.

22. Kim T. and Barbulescu R. Extended Tower Number Field Sieve: A New Complexity for Medium Prime Case. Cryptology ePrint Archive, Report 2015/1027. http://ia.cr/2015/ 1027.

23. Pierrot C. and Barbulescu R. The Multiple Number Field Sieve for Medium and High Characteristic Finite Fields. Cryptology ePrint Archive, Report 2014/147. http://ia.cr/ 2014/147.

24. Frey G. and Ruck H. G. A remark concerning m-divisibility and the discrete logarithm in the divisor class group of curves. Math. Comput., 1994, vol.62, no.206, pp.865-874.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

25. Gaudry P., Hess F., and Smart N. P. Constructive and destructive facets of Weil descent on elliptic curves. J. Cryptology, 2002, vol. 15, no. 1, pp. 19-46.

26. Semaev I. A. New algorithm for the discrete logarithm problem on elliptic curves. Cryptology ePrint Archive, Report 2015/310. http://ia.cr/2015/310.

27. Gaudry P., Thome E., Thériault N., and Diem C. A double large prime variation for small genus hyperelliptic index calculus. Math. Comput., 2007, vol.76, no. 257, pp. 475-492.

28. Enge A. and Gaudry P. A general framework for subexponential discrete logarithm algorithms. Acta Arith., 2000, vol. 102, pp. 83-103.

29. Enge A., Gaudry P., and Thome E. An L(1/3) discrete logarithm algorithm for low degree curves. J. Cryptology, 2011, vol.24, no. 1, pp. 24-41.

30. Menezes A. The elliptic curve logarithm problem. Elliptic Curve Public Key Cryptosystems. Boston: Springer US, 1993, pp. 61-81.

31. Lenstra A. K. L Notation. Encyclopedia of Cryptography and Security. Springer, 2011, pp. 709-710.

32. Cantor D. G. Computing in the Jacobian of a hyperelliptic curve. Math. Comput., 1987, vol.48, no. 177, pp. 95-101.

33. Jacobson M., Menezes A., and Stein A. Hyperelliptic curves and cryptography. Fields Institute Communications, 2004, vol. 41, pp. 255-282.

34. Galbraith S. Pairings. Advances in Elliptic Curve Cryptography. Cambridge University Press, 2005, pp. 183-212.

35. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r4. pdf — NIST. Recommendation for Key Management, Part 1: General. 2016.

36. Corless R. M., Gonnet G. H., Hare D. E. G., et al. On the Lambert W function. Adv. Comput. Math., 1996, vol.5, no. 1, pp. 329-359.

37. http://www. ecrypt.eu.org/ecrypt2/documents/D.SPA.20.pdf — ECRYPT II. Yearly Report on Algorithms and Keysizes, 2012.

38. Galbraith S. D., Hess F., and Vercauteren F. Hyperelliptic pairings. LNCS, 2007, vol.4575, pp.108-131.

39. Galbraith S. D. Supersingular curves in cryptography. LNCS, 2001, vol.2248, pp. 495-513.

40. Freeman D. Constructing pairing-friendly genus 2 curves with ordinary Jacobians. LNCS, 2007, vol. 4575, pp. 152-176.

41. Freeman D. A Generalized Brezing — Weng Algorithm for Constructing Pairing-Friendly Ordinary Abelian Varieties. Cryptology ePrint Archive, Report 2008/155. http://ia.cr/ 2008/155.

42. Kawazoe M. and Takahashi T. Pairing-friendly hyperelliptic curves with ordinary Jacobians of type y2 = x5 + ax. LNCS, 2008, vol. 5209, pp. 164-177.

43. Kachisa E. J. Generating more Kawazoe — Takahashi genus 2 pairing-friendly hyperelliptic curves. LNCS, 2010, vol.6487, pp. 312-326.

44. Freeman D. M. and Satoh T. Constructing pairing-friendly hyperelliptic curves using Weil restriction. J. Number Theory, 2011, vol. 131, no. 5, pp. 959-983.

45. Drylo R. Constructing pairing-friendly genus 2 curves with split Jacobian. LNCS, 2012, vol. 7668, pp. 431-453.

46. Freeman D., Stevenhagen P., and Streng M. Abelian varieties with prescribed embedding degree. LNCS, 2008, vol.5011, pp.60-73.

47. Lenstra A. K. and Verheul E. R. Selecting cryptographic key sizes. J. Cryptology, 2001, vol. 14, pp. 255-293.

48. www.keylength.com — BlueKrypt: Cryptgraphic Key Length Recommendation, 2016.

i Надоели баннеры? Вы всегда можете отключить рекламу.