Phép nhân đôi một đi m: Cho P1 là một điểm trên E. Nhân đôi điểm P1, ký hiệu là P1P12P1, được định nghĩa như sau: Kẻ qua P1 một tiếp tuyến của
E, tiếp tuyến này cắt E tại điểm thứ hai, ký hiệu là R. Kẻ đường thẳng đi qua R
và vng góc với trục x, đường thẳng này cắt E tại điểm thứ hai chính là 2P1.
Mệnh đề 3.1
Cho E là một đường cong elliptic xác định bởi phương trình
2 3
y x A x B . Gọi P1 ( , )x y1 1 và P2 ( ,x y2 2)là các điểm trên E với
1, 2
P P . Khi đó P P1 2 P3 x y3, 3vớix y3, 3được tính như sau:
1) (Cơng thức cộng điểm) Nếux1x2, thì 2 3 1 2 x x x , y3 x1x3 y1với 2 1 2 1 y y x x (3.6) Nếu x1 x2nhưng y1 y2 thì P1P2 .
2) (Cơng thức nhân đơi điểm) NếuP1 P2 vày1 0, thì 2 3 2 , 1 3 ( 1 3) 1, x x y x x y với 12 1 3 2 x A y . (3.7) NếuP1 P2 vày1 0, thì P1P2 . 1 1; 1 P P P E.
Phép cộng điểm trên đường cong Elliptic E thỏa mãn các tính chất sau:
(1). Tính giao hoán: P1P2 P2P1với mọi P P1, 2trên E.
(2). Tồn tại phần tử đơn vị: P + = P với mọi P trên E.
(3). Tồn tại phần tử nghịch đảo: Với điểm P cho trước trên E, tồn tại một điểm Ptrên E sao cho P + P'= . ĐiểmP'
thường được kí hiệu là -P.
(4). Tính kết hợp: (P1P2)P3 P1(P2 P3) P P P1, ,2 3E.
Nói cách khác, các điểm trên E cùng với phép cộng điểm tạo thành một nhóm abel với như là phần tử đơn vị.
3.1.3 Nhân vô hướng của một điểm trên đường cong Elliptic
Với n ∈ N\{0} định nghĩa phép nhân vô hướng của điểm P nằm trên đường cong E là phép cộng n lần chính bản thân điểm P:
...
P nP P P P
nlan
Q
Để tối ưu phép nhân vô hướng, có thể sử dụng phương pháp Nhân đôi-
và- cộng, đầu tiên biểu diễn số n dưới dạng:
2
0 2 1 2 2 2m
n
n n n n n với n0nm 0,1 (3.8) Không tồn tại phép nhân 2 điểm trên đường cong E, có nghĩa là khơng tồn tại P×Q với P, Q ∈ E.
Khơng tồn tại thuật tốn chia vơ hướng Q : n. Biết rằng Q = nP, bài tốn tìm số n là bài tốn Logarithm rời rạc.
Đây là bài tốn khó, thơng thường phải thử lần lượt n1,2...,n1phép cộng điểm P, cho đến khi tổng bằng Q, tuy nhiên có một số thuật tốn tối ưu hơn để tìm n nhưng vẫn khơng thể giải được bài tốn này trong thời gian đa thức vì thế dựa vào độ khó này có thể xây dựng ra hệ mật đường cong Elliptic với các giao thức cho mã hóa và trao đổi khóạ
3.1.4 Đường cong Elliptic trên trườnghữu hạnFq
Các ứng dụng về mật mã của đường cong Elliptic đa số chỉ sử dụng các đường cong trên trường hữu hạn.
XétFqlà một trường hữu hạn (hữu hạn số phần tử số nguyên dương): 0,1, 2, , q 1
q
F
(3.9) Trong đó: q là một số nguyên tố hoặc có dạng q p mvới p là một số
nguyên tố và m là một số nguyên dương. Khi này p được gọi là đặc số
ar
Trong thực tế và đặc biệt trong các thiết bị phần cứng [62], người ta thường sử dụng trường hữu hạn F m2 . Khi đó phép cộng trong trường này đơn giản chỉ là phép toán XOR. Nhiều tài liệu cho thấy làm việc với F m2 hiệu quả 40% so với làm việc với trường Fq.
3.2 Phương pháp trao đổi khố mã an tồn hệ mật dựa trên đường cong Elliptic
3.2.1 Bài toán logarit rời rạc
Bài toán logarit rời rạc (DLP) được quan tâm nghiên cứu kể từ khi xuất hiện mật mã khóa cơng khai năm 1975. Vấn đề được đặt ra là với nhóm cyclic G = <P> bậc n, tìm kiếm một số x0,n1 , thỏa mãn phương trình:
Q xP
Bài tốn này khó tính tốn và các nhóm như vậy thường là nhóm nhân trên trường hữu hạn và nhóm các điểm của đường cong Elliptic trên trường hữu hạn.
Bài toán Diffie-Hellman liên quan đến bài tốn logarit rời rạc. Đó là tìm kiếm đại lượng abP trên cơ sở P, aP, và bP. Có thể chỉ ra rằng đối với bất kỳ
nhóm nào, bài tốn logarit rời rạc có thể rút gọn về bài toán Diffie-Hellman. Bài toán ngược đã được chứng minh chỉ đúng trong một số trường hợp nhất định.
Độ khó của bài tốn Diffie-Helman là cơ sở cho độ an toàn của giao thức thỏa thuận khóạ Giả sử chúng ta có một nhóm cho G = <P> bậc n, q trình
thỏa thuận khóa như sau:
1. Bên A chọn ngẫu nhiên số a0,n1và tính aP, gửi cho Bên B. 2. Bên B chọn ngẫu nhiên số b0,n1 và tính bP, gửi cho Bên Ạ Bảng 3.1. Giá trị khóa thỏa thuận được là K = abP = ăbP) = b(aP).
Bên A Bên B
Đã có a, bP b, aP
Giao thức này được gọi một vịng, vì mỗi bên nhận dữ liệu từ đối tác của mình chỉ một lần.
Thỏa thuận về một khóa chung bởi ba bên thì phức tạp hơn và địi hỏi một giao thức thỏa thuận khóa hai vịng. Dưới đây là các bước thực hiện:
1. Vòng đầu tiên.
(a) Bên A chọn ngẫu nhiên số a0,n1 và tính aP, gửi cho Bên B. (b) Bên B chọn ngẫu nhiên số b0,n1 và tính bP, gửi cho Bên C. (c) Bên C chọn ngẫu nhiên số c0,n1 và tính cP, gửi cho Bên Ạ
2. Vòng thứ haị
(a) Bên A dựa vào giá trị a và cP tính acP, sau đó sẽ gửi cho Bên B. (b) Bên B dựa vào giá trị b và aP tính baP, sau đó sẽ gửi cho Bên C. (c) Bên C dựa vào giá trị c và bP tính bcP, sau đó sẽ gửi cho Bên Ạ
Bảng 3.2. Giá trị khóa thỏa thuận được sẽ là K = abcP
Bên A Bên B Bên C
Vòng 1 a, cP b, aP c, bP
Vòng 2 a, cP, bcP b, aP, acP c, bP, abP
Cần tính K = ăbcP) K = b(acP) K = c(abP)
Ở đây nảy sinh một câu hỏi tự nhiên là: có tồn tại giao thức một vịng nào phù hợp với ba bên? Câu hỏi vẫn mở cho đến khi Joux đề xuất giải pháp sử dụng biến đổi song tuyến [43]. Sau đó xuất hiện đề xuất thú vị dựa trên ánh xạ song tuyến mà cụ thể là kết hợp các cặp điểm trên đường cong Elliptic. Những đề xuất nổi tiếng nhất cho đến nay là sơ đồ mã hóa dựa trên định danh (Boneh và Franklin) [22] và sơ đồ chữ ký số ngắn (Boneh, Lynn và Shacham) [36].
3.2.2 Ánh xạ song tuyến
Giả sử rằng n là số nguyên tố. Cho G1 = <P> là một nhóm cyclic bậc n có tính chất cộng và một phần tử trung hịa ∞, GT là một một nhóm cyclic bậc
n có tính chất nhân và phần tử đơn vị 1. Khi đó biến đổi song tuyến có thể định
nghĩa như sau:
Định nghĩa 3.10: Biến đổi song tuyến trên (G1, GT) được gọi là biến đổi
ê: G1× G1 → GT,
thỏa mãn các điều kiện sau đây:
1.(Song tuyến tính - Bilinear) Cho mỗi R, S, T ∈ G1, ta có:
ê(R + S, T) = ê(R, T) ê(S, T) và ê(R,S + T) = ê(R, S) ê(R, T).
2. (Không suy biến Non-Degeneracy) ê(P,P) ≠ 1.
3. (Khả năng tính tốn) Giá trị ê(P,R) được xác định một cách hiệu quả. Có thể chứng minh rằng ánh xạ song tuyến có các tính chất sau:
1. ê(S, ∞) = 1, và ê(∞, S) = 1.
2. ê(S,-T) = ê(-S,T) = ê(S,T)-1.
3. ê(aS,bT) = ê(S,T)ab với mọi a, b ∈ ℤ
4. ê(S,T) = ê(T,S).
5. Nếu ê(S,R) = 1 thì đối với tất cả R∈G1 ta có S = ∞.
Một trong những kết quả từ một ánh xạ song tuyến là bài toán logarit rời rạc trong nhóm G1 có thể được đơn giản hóa một cách hiệu quả thành bài tốn logarit rời rạc trong một nhóm GT. Bởi vì, nếu chúng ta tìm kiếm một lời giải của phương trình Q = xP nhóm G1, số x cần tìm cũng là nghiệm của phương
trình ê(P,Q) = ê(P,xP) = ê(P,P)x trong nhóm GT.
Độ an toàn của nhiều giao thức dựa trên các ánh xạ song tuyến dựa vào độ khó tính tốn của bài tốn sau
Định nghĩa 3.11 Nếu ê là ánh xạ song tuyến, thì bài tốn song tuyến Diffie-Hellman ba bên được định nghĩa như sau: Với P, aP, bP và cP cho trước cần tính ê(P, P)abc.
Độ khó của việc tính tốn bài tốn song tuyến Diffie-Hellman dẫn đến độ khó của bài tốn Diffie-Hellman cả trong nhóm G1 và nhóm GT. Giả thiết
trên cơ sở aP và bP và ta có thể tính abP, dẫn đến việc tìm
abP cP, P P, abc
ª ª . Nếu biết phương pháp giải bài tốn Diffie-Hellman
hiệu quả trong nhóm GT, thì tính tốn g = ê(P,P), gab = ê(aP,bP), gc = ê(P,cP),
có thể xác định gabc =ê(P,P)abc.
Sự tồn tại của một ánh xạ song tuyến cho phép giải chính xác bài tốn Diffie-Hellman trong nhóm G1. Liên quan đến câu hỏi liệu bốn phần tử P, aP,
bP và cP có thỏa mãn đẳng thức abP = cP. Sử dụng ánh xạ song tuyến có thể
viết 1 ªP cP, ª P P, c, và 2 ªaP bP, ª P P, ab. Điều này có nghĩa đẳng thức abP = cP xảy ra khi và chỉ khi 1 2.
3.2.3 Đường cong Elliptic
Đường cong elliptic E trên trường K được xác định bởi phương trình Weierstrass khơng suy biến:
2 3 2
1 3 2 4 6
:
E Y a XY a Y X a X a X a (3.10)
trong đó, a a a a a a1, 2, 3, 4, 5, 6K. Tập E(K) là tập hợp các điểm K hữu tỷ
của đường cong và bao gồm một điểm ở vô cực ∞, và những điểm (x, y) ∈ K × K mà thỏa mãn phương trình đường cong Ẹ