Phƣơng phỏp tấn cụng MOV (Menezes, Okamoto, và Vanstone) làm yếu bài toỏn logarit rời rạc trờn đƣờng cong elliptic E(Fq) thành bài toỏn logarith rời rạc trờn trƣờng Fqmvới m nào đú. Khi đú cú thể tấn cụng bằng tấn cụng chỉ số, nhất là khi m
nhỏ. Chỳng ta bắt đầu bằng định nghĩa cặp Weil cho cỏc đƣờng cong elliptic E(F). Xột đƣờng cong elliptic E(F) và N là một số nguyờn khụng là ƣớc của đặc số của F. Đặt E[N] là tập hợp cỏc điểm trờn đƣờng cong E. | N 1
N x F x
. Nhƣ
vậy, N là nhúm cỏc nghiệm thứ N trong F. Vỡ đặc số của F khụng chia hết cho N, xN = 1 khụng cú nghiệm kộp, nghĩa là cú N nghiệm phõn biệt trong F.
Định nghĩa
Một cặp Weil là một ỏnh xạ: eN :E[N]xE[N] nthỏa món: 1. eN là song tuyến tớnh với mọi biến
2. eN là khụng suy biến với mọi biến.
Nghĩa là, nếu eN(S, T) = 1 với mọi S, thỡ:
T = O, và nếu eN(S, T) = 1 với mọi T thỡ S = O. 3. eN (T, T) = 1 T
4. eN(T, S) = eN(S, T)-1 S, T
5. Nếu là một phần tử đặc biệt của F đúng vai trũ là cỏc hệ số của E, thỡ eN(S, T) = (eN(S, T)) S, T.
6. Nếu là separable endomorphism của E, thỡ
eN((S), (T)) = eN(S, T)deg S, T.
1/. Bài toỏn
Tỡm k thỏa món kG = Q trờn E(Fq) với #E(Fq) = N và giả sử k tồn tại. Sử dụng phộp làm yếu bài toỏn logarith rời rạc trờn đƣờng cong E(Fq) thành bài toỏn logarith rời rạc trờn Fqm
2/. Thuật toỏn
Khi (d1, d2, …,dk) = N, thực hiện cỏc bƣớc sau, sau mỗi bƣớc tăng i lờn 1 1. Chọn một điểm ngẫu nhiờn Si E(Fqm).
2. Tớnh bậc Mi của Si
3. Đặt di = gcd(Mi, N) và Ti = (Mi/di)Si. 4. Đặt 1i = eN(G, Ti), 2i=eN(Q, Ti). 5. Giải bài toỏn logarith rời rạc ki
i
1
= 2i trong trƣờng Fqm và tỡm đƣợc
Sử dụng giỏ trị ki(mod di) để tỡm k (mod N) với k ki (mod di) i. Giỏ trị k chớnh là kết quả cần tỡm. 3/. Chứng minh Ở bƣớc 1 và 2, ta chọn một điểm và tớnh bậc của nú. Bƣớc 3 tỡm Ti . Đặt ) , ( i N R T e
với R là một điểm tựy ý trờn E( Fqm ). Khi đú:
1 ) , ( ) , ( ) , ( ) , ( eN RTi d eN R dTi eN R MiSi eN R O d , 1,2 d Fqm rồi giải i k i i 1 2
trong Fqm. Đặt kG = Q, và định nghĩa li thỏa món k li (mod di).
Ta cú: eN(kG, Ti) = eN(Q, Ti) eN(G, Ti)k = eN(Q, Ti) k i i 2 1 . Vỡ 1d 1 i nờn ki i i 1 2
(mod di) li ki (mod di) và k phải bằng ki (mod di). Nhƣ vậy, việc tỡm ki sẽ giỳp cho việc tỡm k.
4/. Độ phức tạp thời gian
Khi cú cỏc ki việc tỡm k là dễ dàng, vỡ vậy thời gian chạy của thuật toỏn phụ thuộc vào việc tỡm ki. Thời gian tỡm ki phụ thuộc vào độ lớn của trƣờng Fqm.
Nếu m càng lớn thỡ tớnh toỏn càng phức tạp. Khụng cú một tiờu chuẩn chung để chọn m phự hợp cho tất cả cỏc đƣờng cong elliptic.
Quay trở lại bài toỏn tớnh độ phức tạp, dựa trờn đặc điểm E(Fqm )
2
1 n
n Z
Z với
n1, n2 thỏa món n1|n2. B1, B2 là cỏc điểm trờn E(Fqm ) với cỏc bậc n1 và n2. Bất kỳ điểm
Si nào tỡm đƣợc cũng cú thể biểu diễn dƣới dạng a1B1 + a2B2 với a1, a2 nào đú. Giả sử
p là một số nguyờn tố pe||N. Khi đú, pe|n2. Nếu p khụng nguyờn tố cựng nhau với a2 thỡ
pe|n2 pe|Mi với Mi là bậc của Si. Suy ra pe|di = gcd(Mi, N). Vỡ Si đƣợc chọn ngẫu nhiờn nờn a2 cho Si cũng ngẫu nhiờn, do đú xỏc suất để p khụng nguyờn tố cựng nhau với a2 là 1 – 1/p. Suy ra, xỏc suất để pe|di là 1 – 1/p với mọi i và với mọi pe||N. Xỏc suất này đủ thấp để chỉ cú một vài di cần cho pe|lcm(d1, d2,…, dk) đỳng với mọi p. Vỡ vậy chỳng ta khụng cần lặp cỏc bƣớc của thuật toỏn quỏ nhiều lần.
MOV là thuật toỏn hàm mũ nhỏ đầu tiờn để giải bài toỏn EDLP với k nhỏ. Nú dựa vào tớnh đẳng cấu giữa đƣờng cong elliptic và trƣờng hữu hạn khi gcd(#E(Fq), q) = 1. Vỡ vậy, tớnh hiệu quả của nú giới hạn trong một lớp cỏc đƣờng cong elliptic là lớp cỏc đƣờng cong supersingular vỡ tồn tại k 6 cho cỏc đƣờng cong này. Với cỏc đƣờng cong elliptic khỏc (cỏc đƣờng cong nonsupersingular), k quỏ lớn để ỏp dụng tấn cụng MOV.
Miyaji chứng minh rằng phộp làm yếu trờn hiệu quả cho cỏc đƣờng cong elliptic trờn trƣờng F2r . Cũn cỏc đƣờng cong elliptic trờn trƣờng Fp (với p là số nguyờn tố lớn) trỏnh đƣợc cỏch tấn cụng này. Hơn nữa, Miyaji đề xuất một cỏch xõy dựng một đƣờng cong elliptic để việc làm yếu EDLP về DLP là khụng thể. Bởi vậy, khụng phải mọi hệ mật mó trờn đƣờng cong elliptic đều cú thể bị tấn cụng bởi phƣơng phỏp MOV.