Phương pháp tấn công MOV

Một phần của tài liệu NGHIÊN CỨU, TÌM HIỂU VÀ TRÌNH BÀY VỀ CHỮ KÝ SỐ TRÊN ĐƯỜNG CONG Elliptic, ỨNG DỤNG CỦA ĐƯỜNG CONG Elliptic TRONG HỆ THỐNG BỎ PHIẾU ĐIỆN TỬ VÀ HỆ THỐNG TIỀN ĐIỆN TỬ (Trang 50 - 54)

Phương pháp tấn công MOV (tên của 3 nhà khoa học Menezes, Okamoto, và Vanstone) làm yếu bài toán logarit rời rạc trên đường cong elliptic E(Fq) thành bài toán logarith rời rạc trên trường m

q

F với m nào đó. Khi đó có thể tấn công bằng tấn công chỉ số, nhất là khi m nhỏ.

Chúng ta bắt đầu bằng định nghĩa cặp Weil cho các đường cong elliptic E(F).

Xét đường cong elliptic E(F) và N là một số nguyên không là ước của đặc số của F.

Đặt E[N] là tập hợp các điểm trên đường cong E.

  | 1

N

N x F x

. Như vậy, N là nhóm các nghiệm thứ N trong F. Vì đặc số của F không chia hết cho N, xN = 1 không có nghiệm kép, nghĩa là có N

nghiệm phân biệt trong F.

Định nghĩa

Một cặp Weil là một ánh xạ: eN :E[N]xE[N]  n thỏa mãn: 1. eN là song tuyến tính với mọi biến

2. eN là không suy biến với mọi biến. Nghĩa là, nếu eN(S, T) = 1 với mọi S, thì

T = O, và nếu eN(S, T) = 1 với mọi T thì S = O. 3. eN (T, T) = 1T 4. eN(T, S) = eN(S, T)-1S, T 5. Nếu à một phần tử đặc biệt của F đóng vai trò là các hệ số của E, thì eN( S, T) = (eN(S, T)) S, T 6. Nếu là một separable endomorphism của E thì eN( (S), (T)) = eN(S, T)deg S, T Bài toán Tìm k thỏa mãn kG = Q trên E(Fq) với #E(Fq) = N và giả sử k tồn tại. Sử dụng phép làm yếu bài toán logarith rời rạc trên đường cong E(Fq) thành bài

toán logarith rời rạc trên m

q F

51

Thuật toán

Khi (d1, d2, …,dk) = N, thực hiện các bước sau, sau mỗi bước tăng i lên 1 1. Chọn một điểm ngẫu nhiên ( m) q i E F S  . 2. Tính bậc Mi của Si 3. Đặt di = gcd(Mi, N) và Ti = (Mi/di)Si. 4. Đặt 1i = eN(G, Ti), 2i=eN(Q, Ti).

5. Giải bài toán logarith rời rạc ki

i 1 = 2itrong trường m q F và tìm được ki (mod di)

Sử dụng các giá trị ki (mod di) để tìm k (mod N) với k ki (mod di) i. Giá trịk chính là kết quả cần tìm.

Chng minh

Ở bước 1 và 2, chúng ta chọn một điểm và tính bậc của nó. Bước 3 tìm Ti .

Đặt eN(R,Ti)với R là một điểm tùy ý trên E( m

q F ) Khi đó: 1 ) , ( ) , ( ) , ( ) , (     e R T d eN R dTi eN R MiSi eN R O i N d , và vì 1,2 m q dF rồi giải ki i i 1 2  trong m q F Đặt kG = Q, và định nghĩa li thỏa mãn k li (mod di). Ta có: eN(kG, Ti) = eN(Q, Ti)eN(G, Ti)k = eN(Q, Ti) k i i 2 1  Vì 1di 1 nên ki i i 1 2

 (mod di) liki (mod di) và k phải bằng ki (mod di).

Như vậy, việc tìm ki sẽ phục vụ việc tìm k.

Độ phc tp thi gian

Khi có các ki việc tìm k là dễ dàng, vì vậy thời gian chạy của thuật toán phụ

thuộc vào việc tìm ki.

Thời gian tìm ki phụ thuộc vào độ lớn của trường m

q

F . Nếu m càng lớn thì tính toán càng phức tạp. Không có một tiêu chuẩn chung để chọn m phù hợp cho tất cả các đường cong elliptic.

52

Quay trở lại bài toán tính độ phức tạp, dựa trên đặc điểm E(F m

q )  2 1 n n Z Z  với n1, n2 thỏa mãn n1|n2. B1, B2 là các điểm trên E(F m q ) với các bậc n1

n2. Bất kỳ điểm Si nào tìm được cũng có thể biểu diễn dưới dạng a1B1 + a2B2 với

a1, a2 nào đó. Giả sử p là một số nguyên tố pe||N. Khi đó, pe|n2. Nếu p không nguyên tố cùng nhau với a2 thì pe|n2  pe|Mivới Mi là bậc của Si. Suy ra pe|di = gcd(Mi, N). Vì Si được chọn ngẫu nhiên nên a2 cho Si cũng ngẫu nhiên, do đó xác

suất để p không nguyên tố cùng nhau với a2 là 11/p. Suy ra, xác suất để :

pe|di11/p với mọi i và với mọi pe||N.

Xác suất này đủ thấp để chỉ có một vài di cần cho pe|lcm (d1, d2,…, dk) đúng

với mọi p. Vì vậy chúng ta không cần lặp các bước của thuật toán quá nhiều lần. MOV là thuật toán hàm mũ nhỏ đầu tiên để giải bài toán EDLP với k nhỏ. Nó dựa vào tính đẳng cấu giữa đường cong elliptic và trường hữu hạn khi

gcd(#E(Fq), q) = 1. Vì vậy, tính hiệu quả của nó giới hạn trong một lớp các

đường cong elliptic là lớp các đường cong supersingular vì tồn tại k  6 cho các

đường cong này. Với các đường cong elliptic khác (các đường cong nonsupersingular), k quá lớn để áp dụng tấn công MOV.

Miyaji chứng minh rằng phép làm yếu trên hiệu quả cho các đường cong

elliptic trên trường F2r . Còn các đường cong elliptic trên trường Fp (với p là số

nguyên tố lớn) tránh được cách tấn công này. Hơn nữa, Miyaji đề xuất một cách xây dựng một đường cong elliptic để việc làm yếu EDLP về DLP là không thể. Bởi vậy, không phải mọi hệ mật mã trên đường cong elliptic đều có thể bị tấn công bởi

53

Chương 4 . ỨNG DỤNG CHỮ KÝ SỐ TRÊN ĐƯỜNG CONG ELLIPTIC

Các hệ mật trên đường cong elliptic (ECC) có thể được sử dụng hiệu quả

trong các thiết bị không dây như là Cell phone , PDA , Smart card... Vì ECC có thể hoạt động trên các thiết bị nhỏ (bộ nhớ nhỏ, bộ tính toán bé, số “cổng” ít, ít năng

lượng). Mà vẫn đảm bảo độ mật cao. Với ECC chỉ cần sử dụng các khóa có độ dài

nhỏ, nhưng vẫn hiệu quả như các hệ mật khác có độ dài gấp nhiều lần. Ví dụ hệ mật RSA dùng khóa có độ dài 1024 bit , nhưng ECC chỉ cần khóa 160 bit đã mang lại

độ mật tương tự. Mặt khác, ECC còn tính nhanh hơn gấp 4 lần.

Khóa RSA 1024bit có thể thỏa đáng giao dịch ngày nay, nhưng đến cuối thập

kỷ này, để bảo đảm độ mật cần thiết, phải sử dụng khóa RSA 2048 bit. Trong khi

đó, để có được độ mật tương tự , ECC chỉ cần khóa 203 bit. Hơn thế nữa thời gian tính toán chỉ bằng 1/10 , chưa kể đến việc ECC sinh khóa nhanh hơn RSA.

Các hoạt động kinh tế xã hội (thanh toán, rút tiền, bỏ phiếu, đấu thầu , góp ý kiến) diễn ra mọi nơi mọi lúc. Các thiết bị cầm tay có kết nối an toàn từ xa (Smart card , E-token..). Chắc chắn sẽ được sử dụng nhiều để tiết kiệm thời gian và sức lực.

Khi đó không thể quên công nghệ ECC.

Hai ứng dụng là phổ biến trên thế giới có thể áp dụng ECC, đó là Bỏ phiếu điện tử và Hthng tiền điện tử.

54

4.1.ỨNG DỤNG TRONG BỎ PHIẾU ĐIỆN TỬ

Theo phương thức bỏ phiếu điện tử , mỗi lá phiếu phải có Thông tin định danh. Nó có thể là một con số x nào đó và phải khác nhau. Trên mỗi lá phiếu phải có chữ ký trên số định danh x , thì lá phiếu mới mới có giá trị để bầu cử. Nếu ctri

chuyển ngay Số định danh x cho ban kim phiếu ký thì lập tức họ xác định mối liên hệ giữa ctrix (ví dụ qua địa chỉ Internet nơi người gửi ).

Đó là điều ctri không mong muốn gây rắc rồi sau này. Để tránh tình huống này, cử tri đổi x thành y trước khi đưa cho ban kim phiếu ký xác nhận. Ban kim phiếu ký vào y, mà không biết đó là số định danh x đã che dấu (làm mù). Họ trao chữ ký trên yz cho cử tri. Cử tri xóa mù trên z sẽ được chữ ký ban kiểm phiếu trên số định danh x, như vậy ctri có quyền bầu cử.

Để phòng tránh sự gian lận thông đồng giữa một người nào đó trong ban kim phiếu với ctri. Hệ thống dùng “Đa chữ ký mù để bảo đảm sự nhất trí cao khi cấp quyền bỏ phiếu cho ctri.

Một phần của tài liệu NGHIÊN CỨU, TÌM HIỂU VÀ TRÌNH BÀY VỀ CHỮ KÝ SỐ TRÊN ĐƯỜNG CONG Elliptic, ỨNG DỤNG CỦA ĐƯỜNG CONG Elliptic TRONG HỆ THỐNG BỎ PHIẾU ĐIỆN TỬ VÀ HỆ THỐNG TIỀN ĐIỆN TỬ (Trang 50 - 54)

Tải bản đầy đủ (PDF)

(61 trang)