Ứng dụng của đường cong elliptic trong chữ ký số

2 Nhóm hữu hạn và vô hạn Nhóm G gọi là hữu hạn nếu như tập G có số lượng phần tử hữu hạn, và trường hợp ngược lại gọi là vô hạn... Tập hợp của các số hữu tỷ Q, tập hợp của các số thực R

MỞ ĐẦU

Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin, truyền thông nói chung và Internet nói riêng đã giúp cho việc trao đổi thông tin nhanh chóng, dễdàng, E-mail cho phép người ta nhận hay gửi thư ngay trên máy tính của mình, E-business cho phép thực hiện các giao dịch trên mạng Do vậy một vấn đề phát sinh

là thông tin có thể bị trộm cắp, có thể là sai lệch, có thể giả mạo Điều đó có thể ảnh hưởng tới các tổ chứa, các công ty hay cả một quốc gia Những bí mật kinh doanh, tài chính là mục tiêu của các đối thủ cạnh tranh Những tin tức về an ninh quốc gia là mục tiêu của các tổ chức tình báo trong và ngoài nước

Để giải quyết tình hình trên an toàn thông tin được đặt ra cấp thiết Kỹ thuật mật mã là một trong những giải pháp của an toàn truyền thông Kỹ thuật này có từ ngàn xưa nhưng nó đơn giản, ngày nay khi có mạng máy tính người ta dùng mật

mã hiện đại Các nhà khoa học đã phát minh ra những hệ mật mã nhằm che dấu thông tin cũng như là làm rõ chúng để tránh sự dòm ngó của những kẻ cố tình phá hoại như các hệ mật: RSA, Elgamal… mặc dù cũng rất an toàn nhưng có độ dài khoá lớn nên trong một số lĩnh vực không thể ứng dụng được

Chính vì vậy người ta đã phát minh một hệ mật đó là hệ mật trên đường cong elliptic, hệ mật này được đánh giá là hệ mật có độ bảo mật an toàn cao và hiệu quả hơn nhiều so với hệ mật công khai khác, nó đã được ứng dụng trên nhiều lĩnh vực và được sử dụng nhiều nơi trên thế giới tuy nhiên còn mới mẻ ở Việt

Nam Trong tương lai gần Hệ mật trên đường cong Elliptic sẽ được sử dụng một

cách phổ biến và thay thế những hệ mật trước nó

Bài tập lớn của chúng em nghiên cứu về Chữ ký số trên đường cong Elliptic ECDSA Thông qua quá trình nghiên cứu, nội dung được tóm tắt trong 4 chương như sau:

Chương 1: Cơ sở toán học

CHƯƠNG 1

CƠ SỞ TOÁN HỌC1.1 Phương trình đồng dư bậc hai và thặng dư bậc hai

Ta xét phương trình đồng dư bậc hai có dạng như sau:

x2 ≡ a (mod n)

Trong đó n là số nguyên dương, a là số nguyên với gcd(a, n) ≡ 1, và x

là ẩn số Phương trình đó không phải bao giờ cũng có nghiệm, khi nó có

nghiệm thì ta gọi a là thặng dư bậc hai mod n Ngược lại thì a gọi là một bất

thặng dư bậc hai mod n

Tập các số nguyên nguyên tố với n được phân hoạch thành hai tập con

Tập Qn các thặng dư bậc hai mod n, và tập các bất thặng dư bậc hai mod n.

Tiêu chuẩn Euler

Khi p là số nguyên tố, số a là thặng dư bậc 2 mod p nếu và chỉ nếu a

1.2 Nhóm

Định nghĩa 1 2.1 (Nhóm)

Nhóm (G, °) là một tập hợp G cùng với một phép toán hai ngôi, ký hiệu ° (là

một ánh xạ từ tập G × G → G) thỏa mãn các tiên đề sau:

G1 Tính đóng: Nếu a, b ∈ G, thì a ° b ∈ G.

G2 Tính kết hợp: (a ° b) ° c = a ° (b ° c), với ∀a, b, c ∈ G.

G3 Phần tử đơn vị (trung hòa): Trong G tồn tại một phần tử được gọi là phần tử

đơn vị e sao cho với ∀a ∈ G thì a ° e = e ° a = a

G4 Phần tử nghịch đảo: Với mỗi phần tử a ∈ G tồn tại một phần tử a-1, gọi là

phần tử nghịch đảo của a, sao cho: a-1 ° a = a ° a -1 = e

Chú ý: toán tử ° là ký hiệu chung và có thể đại diện cho toán tử cộng, nhân hoặccác toán tử toán học khác

Định lý 1.2.1: Với ∀a ∈ G, a -1 ° a = e.

Chứng minh: Khai triển a -1 ° a, có:

o a -1 ° a = a -1 ° a ° e (theo G3)

o a -1 ° a ° e = a -1 ° a ° (a -1 ° (a -1) -1) (theo G4, a -1 có một nghịch đảo ký hiệu là

(a -1) -1)

o a -1 ° a ° (a -1 ° (a -1) -1) = a -1 ° (a ° a -1) ° (a -1) -1 = a -1 ° e ° (a -1) -1 (theo G2 vàG4)

Định lý 1.2.3: Với ∀a, b ∈ G, tồn tại duy nhất x ∈ G sao cho a ° x = b.

Chứng minh: Chắc chắn, tồn tại ít nhất một phần tử x như vậy, chẳng hạn đặt x

Chứng minh: Giả sử G có hai phần tử đơn vị là e và f Vậy thì e ° f = e (theo

G3), nhưng cũng có e ° f = f (theo định lý 1.1.2) ⇒ e = f Như vậy, có thể nói phần

tử đơn vị của (G, ° ) thay vì một phần tử đơn vị Khi đề cập những nhóm khác nhau,

sẽ thường ký hiệu e G cho phần tử đơn vị của nhóm (G, °).

Định lý 1.2.5: Phần tử nghịch đảo của mỗi phần tử thuộc (G, °) là duy nhất, hayvới ∀a ∈ G, a ° x = e nếu và chỉ nếu x = a -1

Chứng minh: Giả sử một phần tử g ∈ G có hai phần tử nghịch đảo, h và k Thì

h = h ° e = h ° (g ° k) = (h ° g) ° k = e ° k = k (các đẳng thức nhận được theo G3, G4,

G2, định lý 1.1.1 và định lý 1.1.2, theo thứ tự) Như vậy, có thể nói phần tử nghịch

đảo của một phần tử x, thay vì một phần tử nghịch đảo.

Định lý 1.2.6: Với ∀a ∈ (G, °), (a -1) -1 = a.

Chứng minh: Ta có a -1 ° a = e, đi đến kết luận dựa vào định lý 1.1.4

Định lý 1.2.7: Với ∀a, b∈ (G, °), (a ° b)-1 = b -1 ° a -1

Chứng minh: Ta có (a ° b) ° (b -1 ° a -1) = a ° (b ° b -1) ° a -1 = a ° e ° a -1 = a * a -1 =

e, có kết luận dựa vào định lý 1.4

Định lý 1.2.8: Với ∀a, x, y ∈ (G, °), nếu a ° x = a ° y, thì x = y và nếu x ° a = y °

d Với ∀a ∈ R: –a + a = 0 (tồn tại phần tử đối lập).

2. Tập số thực khác không (R#) là một nhóm dưới phép nhân (*):

a Tích của hai số thực luôn là một số thực (tính đóng)

b Với ∀a, b, c∈R: (a * b) * c = a * (b * c) (tính kết hợp).

c Với ∀a ∈ R: a * 1 = a (1 là phần tử đơn vị).

d Với ∀a ∈ R: a * a -1 = 1 (tồn tại phần tử đối lập)

3. Tập Z5 = {0, 1, 2, 3, 4} là một nhóm theo phép cộng modulo 5 Vì theo bảng

tính toán dưới đây, nó hoàn toàn thỏa mãn 4 tiên đề của nhóm

4. Tương tự có thể chứng minh rằng tập Z n = {0, 1, 2, 3, …, n – 1} là nhóm đối

với phép cộng theo modulo n, ký hiệu Z n+

Định nghĩa 1 2 2 (Nhóm hữu hạn và vô hạn)

Nhóm G gọi là hữu hạn nếu như tập G có số lượng phần tử hữu hạn, và trường

hợp ngược lại gọi là vô hạn

Định nghĩa 1 2 3 (Nhóm abel hay nhóm giao hoán)

Nhóm G gọi là giao hoán nếu như với ∀a, b ∈ G thì a ° b = b ° a.

Nói cách khác, nhóm abel là nhóm giao hoán Sau này sẽ không khảo sát cácnhóm không giao hoán, vì vậy mọi nhóm đều là nhóm abel, cho nên thuật ngữ

“abel” thường bỏ qua

Ví dụ 1.2.2

1. Tập hợp của các số nguyên Z là nhóm đối với toán tử (+), tức là cặp (G, +) –

là nhóm, ở đây e = 0 và a–1 = – a Đây là nhóm cộng, vô hạn và abel (Theo

G4: a-1 + a = 0 → a-1 = -a)

Tập hợp của các số hữu tỷ Q, tập hợp của các số thực R, tập hợp của các số phức C cũng là nhóm cộng và vô hạn, trong đó phần tử đơn vị và ngược

được xác định theo cùng quy tắc

2. Các phần tử khác không của tập hợp Q , R và C đối với phép nhân – là các nhóm, trong đó e = 1 và a–1 là phần tử nghịch đảo, được xác định theo quy

tắc thông thường Ký hiệu các nhóm này là (Q, * ), (R, *) và (C, *) Các

nhóm này được gọi là các nhóm nhân và vô hạn

3. Đối với số nguyên bất kỳ n ≥ 1, tập hợp các số nguyên theo modulo n hình thành lên nhóm hữu hạn, bao gồm từ n phần tử Phần tử đơn vị của nhóm này là số 0, đối với phần tử a bất kỳ sẽ thực hiện điều kiện a–1 = n – a Nhóm này được ký hiệu là Z n và ký hiệu đầy đủ của nhóm này là (Z n, + (mod n)).

(Theo G4: a-1 + a = 0 mod n → a–1 = n – a).

một nhóm con của (G, °), thì (H, °) cũng là một nhóm, và đồng thời thỏa mãn các

Định nghĩa 1 2.6 (Nhóm con tách biệt và nhóm con không tầm thường)

Một nhóm con tách biệt của một nhóm G là một nhóm con khác G (H ≠ G), ký

hiệu H ⊂ G Một nhóm con không tầm thường của G là bất kỳ nhóm con tách biệt nào của G chứa một phần tử khác e.

Định lý 1.2.9: Nếu H là một nhóm con của (G, °), thì phần tử đơn vị eH của H giống với phần tử đơn vị e của nhóm (G, °).

Chứng minh: Nếu h ∈ H, thì h ° e H = h; vì h cũng phải thuộc G, h ° e = h; do đó theo định lý 1.1.4, e H = e

Định lý 1.2.10: Nếu H là một nhóm con của G, và h là một phần tử của H, thì

nghịch đảo của h trong H giống với nghịch đảo của h trong G.

Chứng minh: Gọi h và k là các phần tử của H, sao cho h ° k = e, bởi vì h cũng

thuộc G, h ° h -1 = e do đó theo định lý 1.1.5, k = h -1

Định lý 1.2.11: Nếu S là một tập con không rỗng của G, thì S là một nhóm con

của G nếu và chỉ nếu với ∀a, b ∈ S, a ° b -1 ∈ S.

Do đó, các tiên đề về tính đóng, phần tử đơn vị, phần tử nghịch đảo, và tính kết

hợp được kế thừa do đó S là một nhóm con

2 Ngược lại, nếu S là một nhóm con của G, thì nó tuân theo các tiên đề về

1 Gọi {H i } là một tập các nhóm con của G, và K = ∩{H i}

2 e là phần tử của mọi H i theo định lý 1.1.9, do đó K không rỗng

3 Nếu h và k là các phần tử của K, thì với ∀i, có:

Định lý 1.2.14: Nếu H là một nhóm con của G, và x, y là các phần tử của G, thì

x ° H = y ° H, hoặc x ° H và y ° H không giao nhau.

Định lý 1.2.15: Nếu H là một nhóm con của G, thì mọi liên tập trái (phải) của H

trong G chứa cùng số phần tử.

Định lý 1.2.16: Nếu H là một nhóm con của G, thì số liên tập trái phân biệt của

H bằng với số liên tập phải phân biệt của H.

Định lý Lagrange: Nếu H là một nhóm con của một nhóm hữu hạn G, thì

G

H |#

# , tức là số lượng phần tử của H là ước số của #G

Chứng minh: Giả sử G là nhóm hữu hạn và H là nhóm con của nó Nếu G = H,

thì điều cần chứng minh là hiển nhiên đúng

Giả sử H={h1, , h n} nhỏ hơn nhóm G và giả sử x∈G\H Lúc này tất cả các phần

tử của tập Hx={h1x, , h n x} khác nhau và không trùng với các phần tử của H Vì từ

H∪ = , thì định lý được chứng minh Nếu như H ∪ Hx nhỏ hơn G, thì có thể

chọn y∈G (H∪Hx)và thành lập nên tập Hy={h1y, , h n y} Tương tự các phần tử củatập này cũng khác nhau và không trùng với các phần tử của tập H∪Hx Cứ tiếp tụcnhư thế, nhận kết quả như sau G=H∪Hx∪Hy∪ Từ đây có | G|chia hết cho n.

Đối với nhóm Z8*(nhóm với toán tử nhân, e = 1)

2. Nhóm Z+ gồm tất cả các số nguyên theo phép cộng – là một nhóm cyclic,

Chứng minh: Nếu như a = e, thì ord(a) = 1 và điều kiện ord(a)|#G là hiển

nhiên Ngược lại các phần tử a,a2, , a ord(a) =e , sẽ tạo nên nhóm con của G Theo

định lý Lagrange thì ord(a)|#G.

Định lý 1.2.17, dẫn ra từ định lý Lagrange, miêu tả sự liên hệ giữa bậc của

nhóm với các bậc của các phần tử của nhóm này Mối tương hỗ này có ứng dụng

quan trọng trong mật mã với khoá công khai: hệ mật nổi tiếng Rivest, Shamir và

Adleman (RSA), hoạt động trên cơ sở của nhóm, mà bậc của nó là khoá riêng, chỉ

được biết bởi chủ nhân của khoá Văn bản mã có thể xem xét như phần tử ngẫu

nhiên của nhóm nào đó Biết bậc của nhóm, chủ nhân của khoá có thể sử dụng sự

phụ thuộc giữa bậc của phần tử và bậc của nhóm để biến đổi văn bản mã thành vănbản rõ (tức là giải mã) Chúng ta sẽ nghiên cứu hệ mật RSA sau này.

Nói một cách không hình thức, nhóm có biểu diễn vòng, thì được gọi là nhómvòng (cyclic group) Các nhóm như thể có nhiều đặc tính rất hấp dẫn và chúngđược các ứng dụng rộng rãi trong mật mã học

Định nghĩa 1.2.10 (Nhóm cyclic, phần tử sinh của nhóm)

Nhóm G gọi là nhóm cyclic, nếu như tồn tại phần tử a∈G, sao cho đối với ∀

Các trường hữu hạn, bao gồm các phần tử nguyên tố

Các trường hữu hạn mà bậc của chúng (số lượng các phần tử) là số nguyên tố

có cấu trúc đơn giản nhất Các trường như vậy được ứng dụng rộng rãi trong mậtmã

Định nghĩa 1.3.2 (Trường nguyên tố)

Trường, không bao gồm các trường con riêng biệt, được gọi là trường nguyêntố.

Chẳng hạn, trường Q – trường nguyên tố, còn tập hợp R – không, bởi vì tập hợp

Q là trường con riêng biệt của trường R Tuy nhiên, Q là trường vô hạn Chúng ta

sẽ khẳng định sau này, trường nguyên tố hữu hạn bao gồm số nguyên tố của cácphần tử, tức là bậc của nó là số nguyên tố

Định nghĩa 1.3.3 (Trường hữu hạn)

Trường F gọi là trường hữu hạn, nếu như số phần tử của nó là hữu hạn, ký hiệu

là F q , q là số phần tử của trường hữu hạn.

Chú ý: Ở trên đã biết rằng, nếu p là số nguyên tố thì vành Z plà một trường,nhưng trên thực tế có nhiều trường hữu hạn khác không có dạng trên Ví dụ, xây

dựng trường hữu hạn q phần tử, với q= p n , với p là số nguyên tố, và n ≥1 là số

nguyên, một trường hữu hạn có số nguyên phần tử như vậy gọi là trường Galois

Định lý 1.3.1: Nhóm nhân Z*ncủa các phần tử không âm của một trường hữu

hạnF qlà nhóm cyclic Phần tử sinh α của nhóm cyclic gọi là phần tử nguyên thủy

của trường hữu hạn F q Tất cả các phần tử của trường hữu hạn có thể viết dướidạng sau:

Cho q là số lượng phần tử của trường hữu hạn F Ký hiệu F q n

cho trường hữu

hạn, được xây dựng trên cơ sở gồm n phần tử trên trường F.

Ví dụ 1.3.1 (Trường F2 8

)

Thấy rằng F2[ ]x / x8 + x4 + x3 + x + 1 là một trường bao gồm 28 phần tử Biết rằng

2 2

3 3

4 4

5 5

6 6

Nhận thấy việc tính toán trong trường F2 8

đơn giản hơn trong trường F2[ ]x / x8 +

x4 + x3 + x + 1 nhờ trực tiếp nhân hai thành phần và biểu diễn dưới dạng tổ hợp tuyến tính các thành phần 1, α, α2,…, α n-1

cho nên α13 + α11 + α9 + α8 + α6 + α5 + α4 + α3 + 1= α7 + α6 + 1 Và có nghĩa là

‘57’.’83’=’C1’ Nếu như dùng F2[ ]x / x8+x4+x3+x+1, thì cần phải thực hiện phép

chia và sẽ phức tạp hơn

Định lý 1.3.2: Cho F là trường hữu hạn bao gồm q phần tử, còn F q n

là trường

hữu hạn xây dựng trên đa thức cơ sở trường F Khi đó

1. Trường F là trường con của trường F q n

2. Bất kỳ thành phần a∈F q n thỏa mãn điều kiện a q =a khi và chỉ khi a∈F

Chứng minh:

Chứng minh khẳng định thứ nhất:

Cho 1, α, α2,…, α n-1 là đa thức cơ sở của trường F q n

trên trường F Bởi vì đa thức cơ sở này bao gồm phần tử đơn vị, bất kỳ phần tử nào của trường F đều có thể

biểu diễn dưới dạng tổ hợp tuyến tính của phần tử đơn vị, có nghĩa là dưới dạng tổhợp tuyến tính của phần tử cơ sở

Chứng minh khẳng định thứ hai:

Đặt F ={ }0 ∪F*, ở đây F* là nhóm nhân với các phần tử khác không Như vậyđiều kiện a∈F có thể là 0 hoặc có thể là thuộc F* Với khả năng đầu tiên thì điềukiện a q =a là hiển nhiên đúng Đối với khả năng thứ hai, nhóm sinh bởi phần tửsinh a, rõ ràng nhóm này là nhóm con của F*, thì theo định lý Lagrange có (a)|# F*

= q – 1, và có a q−1= 1 Nhờ vậy màa q =a

Chứng minh điều ngược lại: Bất kỳ phần tử a thuộc F q n

, thỏa mãn điều kiện

a

a q = phải là nghiệm của phương trình x q −x= 0

Thấy rằng bậc của đa thức bằng

q nên phương trình trên trong trường F q n

không thể có số nghiệm lớn hơn q kể cả

0 Từ phần 1 của định lý, trường F là trường con của F q n

, mà các nghiệm củaphương trình x q −x= 0thuộc về F Nên không một nghiệm của đa thức x q −x= 0

không là phần tử của F q n

CHƯƠNG 2ĐƯỜNG CONG ELLIPTIC

2.1. Giới thiệu về đường cong Elliptic

Gọi K là một trường hữu hạn hoặc vô hạn Một đường cong elliptic được định nghĩa trên trường K bằng công thức Weierstrass:

y 2 + axy + by = x 3 + cx 2 + dx + e,

ở đây a, b, c, d, e là các số thỏa mãn một vài điều kiện đơn giản nào đó và thuộc K.

Hình 1: Các ví dụ về đường cong elliptic

Đường cong elliptic được xây dựng trên các trường hữu hạn Có hai trường hữu

hạn thường được sử dụng: trường hữu hạn F q với q là số nguyên tố p hoặc q là 2 m

(m là số nguyên).

Tùy thuộc vào trường hữu hạn F q , với mỗi bậc của q, tồn tại nhiều đường cong elliptic Do đó, với một trường hữu hạn cố định có q phần tử và q lớn, có nhiều sự

lựa chọn nhóm đường cong elliptic

Định nghĩa 1.1 .1 (Đường cong elliptic trên trường F p)

Cho p là số nguyên tố (p > 3), cho a, b ∈ F p sao cho 4a3 + 27b2 ≠ 0 trong trường

F p Một đường cong elliptic E(F p ) trên F p (được định nghĩa bởi các tham số a và b)

là một tập hợp các cặp giá trị (x, y) (x, y ∈ F p) thỏa mãn công thức:

y 2 = x 3 + ax + b,

cùng với điểm O đặc biệt gọi là điểm vô cực và có thể biểu diễn dưới dạng O = (x,

∞).

Số lượng điểm của E(F p ) là #E(F p) thỏa mãn định lý Hasse

Chú ý: Độ phức tạp của thuật toán xây dựng trên nhóm đường cong Elliptic

phụ thuộc vào số điểm trên đường cong đó, và xét định lý Hasse về số điểm trênđường cong Elliptic

Định lý 2.1.1 (Định lý Hasse): Số các điểm trên đương cong Elliptic thỏa mãn

bất đẳng thức sau:

p p

F E p

Định nghĩa 2 1 2 (Bậc của điểm)

Cho điểm P(x, y) thuộc đường cong elliptic Bậc n của điểm P(x, y) là số

nguyên dương thỏa mãn biểu thức:

o Phần tử đơn vị: có một giá trị 0 ∈ G sao cho a + 0 = 0 + a = a, ∀a ∈ G

o Phần tử nghịch đảo: ∀a ∈ G,∃ –a ∈ G gọi là số nghich đảo của a, sao

cho

−a + a = a + (−a) = 0.