Khoá luận tốt nghiệp đường cong elliptic và ứng dụng trong mật mã
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (349.7 KB, 32 trang )
TRƯỜNG ĐẠI HỌC sư PHẠM HÀ NỘI 2 KHOA TOÁN
— 0O 0----------------------
KHÓA LUẬN TỐT NGHIỆP
ĐƯỜNG CONG ELLIPTIC VÀ ỨNG DỤNG TRONG MẬT MẢ
CHUYÊN NGÀNH: TOÁN ỨNG DỤNG
Giảng viên hướng dẫn:
Trần
Vĩnh
Đức.
Sinh viên: Lê Thị Thu Lớp: K37-sp Toán
HÀ NỘI, 5/2015
Bài khóa luận này được lioàn thành dưới sự hướng dẫn nhiệt tình của
T.s Trần Vĩnh Đức. Qua đây em xin gửi lời cảm ƠI1 sâu 8ắc tới các thầy cô
trong tổ Toán ứng dụng và các tliầy cô trong khoa Toán trường ĐHSP H à
Nội 2 đã giúp đỡ em trong quá trình học tập để thuận lợi cho việc nghiên
cứu. Đặc biệt, em xin gửi lời cảm ƠI1 cliân thành tới T.s Trần Vĩnh Đức
LỜI CẢM ƠN
người đã dành cho em sự hướng dẫn nhiệt tình, chu đáo và CỈ 1Ỉ bảo cho
em trong suốt quá trình liọc tập nghiên cứu và thực hiện khóa luận.
Dù đã hết sức cố gắng, nhưng do đây là lần đầu tiên làm quen với việc
nghiên cứu khoa liọc và do năng lực CÒI1 liạn cliế nên khó tránh, khỏi
những sai sót. Em mong muốn nhận được sự chỉ bảo, đóng góp của quí
thầy cô để cho bài khóa luận được tốt liơri.
Em xin chân thành cảm ơn!
Hà Nội, tháng 05 năm 2015 Sinh viên
Lê Thị Thu
Em xin cam đoan bài khóa luận là do bản thân nghiên cứu cùng với sự
hướng dẫn của T.s Trần Vĩnli Dức không hề trùng với bất cứ đề tài nào.
LỜIviên
CẢM ƠN
Hà Nội, tìiánq 05 năm 2015 Sinh
Lê Thị Thu
Muc luc • •
Lcfi cam dn
Leri cam doan
1 Cd sci? toan hoc
Pliep cliia va phep cliia co dit
1.3 So lijmven to
1.4 Nhom
1.5 Tnidng
1.6 Tnfdng lifiu han
5
5
89
1
0
1
Lenstra.
Kit luan
2
5
2
Tài liệu tham khảo
Khóa luận tốt nghiệp
2
GVHD: T.s Trần Vĩnh Đức
Chương 1 Cơ sở
toán học
1.1
Phép chia và phép chia có dư
Tập hợp cảc số nguyên được kí hiệu bằng kí tự z. Có tliể cộng , trừ, Iihân
các số nguyên theo cácli thông thường, và Ĩ 1Ó đáp ứng tất cả các quy tắc
thông thường của số học (luật giao hoán, luật kết hợp, luật phân phối, vv).
Nếu A và B là các số nguyên thì ta có thể cộng cliúng A + B và trừ chúng
A — B, và nhân chúng A.B. Trong mỗi trường hợp, ta có kết quả là một số
nguyên.
Nhưng nếu ta muốn giữa các số nguyên có phép chia thì không pliải lúc
nào cũng có tliể clỉia một số nguyên . Ví dụ, cliúng ta kliông thề chia 3
cho 2, vì không có số nguyên |.Diều này dẫn đến khái niệm cơ bản của
quan liệ cliia.
Định nghĩa 1.1.1. Clio A và B là các số nguyên, với B Ỷ O.Nếu có iriột số
nguyên C sao cho A = BC thì ta nói rằng B chia hết A hay B là ước của A
và kí liiệu là B I A.
Nếu B không cliia hết A thì ta kí hiệu B \ A.
Ví dụ 1. Ta có 847 I 485331, vì 485331 = 847.573. Mặt khác, 355 \
259943, vì khi chúng ta thử cliia 259943 cho 355 ta sẽ được 1 số dư là 83.
Chính xác hơn,259943 = 355.732 + 83 vì vậy 259943 không là bội của
355.
Mệnh đề
1.1.2. Cho a, 6, c € z là các số nguyên.
(a) Nếu a \
b và b \ c thì a I c .
(b) a I b và
b I a thì a = ± 6.
(c) Nếu a \
b và a \ c thì a I (b + c ) và a I
(6 — c ) .
Định lí 1.1.3. Clio các số nguyên dương A và B. Klii đó tồn tại và duy
nhất ợ, R sao cho:
a = b.q + r v ớ i 0 < r < b
Định nghĩa 1.1.4. (a) Một số nguyên được gọi là ước chung của nhiều số
ai,a- 2,^ 3,... klii nó là ước của mỗi số đó.
(b) Một ước chung D của các số ai, a 2 , D‘Ầ , CI N sao cho mọi ước chung của
A,Ị , ữ 2j A 3I •■■■> A N đều là ước của d, thì được gọi là ước chung 1ỚI1
nhất(ƯCLN) của ai, a 2 , D‘Ầ, a n . T a ký hiệu là D = (ai, a 2 , аз, A N ).
(c) Nếu 1 là UCLN của ữi, 02, аз, ...,Ữ N thì các số ữi, ữ 2, аз, A N được gọi là
nguyên tố cùng nhau.
1.2
Số học modun
Định nghĩa 1. 2. 1. Cho hai số nguyên A
và ò,
M > 0.
Ta
nói rằng
A ĐỒNG DƯ VỚI B THEO MODUN 772, nếu trong phép cilia A và
B clio M ta
được cùng số dư. Ta ký hiệu là
A = B mod M.
Ví dụ 2. 15 = 7 mod 2, 5 = —3 mod
8.
Đ ị n h l í 1. 2. 2. Cho m > 1 ÌÀ số nguyên. Các mệnh đề so,иỉà tương
đương.
(a) A = B mod RN.
(b) m I a — b.
(c) Có một số nguyên t sao cho a = b + mt.
1
CHỨNG MINH. (a)^=>-(b). Tlieo giả thiết, kill cilia A và B cho M ta
được cùng một số dư, như vậy có nghĩa là tồn tại một số tự nhiên r,
< R < M và các số nguyên Q và QB sao clio ta có
A
a = rn.q a + r
b = m.q b + r,
từ đó ta được
a-b = m(q a - q b ).
Dẳng thức này cliứng t ỎM I (A — B).
(b)
=^(c).
Vì M I (A — B) nên ta có T £ z sao cho A —
B = MT , hay A = B + MT.
KhóaLấy
luận
tốt nghiệp
GVHD: T.s Trần Vĩnh Đức
(c)
=^(a).
A chia
cho ra, giả sử ta được thương là Q A
và dư là r (0 < R < m), ngliĩa là A = M.Q A + R.
Thay a bởi A = B + MT ta được
b + mt = m.q a + r
hay
b = m(q a — t)r 0 < r < m.
Hệ tliức này clio ta thấy klii cliia B clio M, ta cũng được cùng một số dư R
như khi chia A cho ra, nghĩa là A = B mod M.
□
Chúng ta viết
Z/MZ = {0,l,2,...,ra — 1}.
và gọi Z/mZ là TẬP CÁC SỐ NGUYÊN MODUN ĨĨI. Lưu ý rằng bất cứ
klii nào chúng ta cũng thực hiện được phép cộng hoặc nhân trong Z/mZ, và
luôn pliải chia clio ĨĨ 1, số dư CÒĨ 1 lại là pliần tử trong Z/mZ.
Hìnli 1.1 Minh họa clio Z/mZ bằng cách thực hiện phép cộng và nhân
modun 5 cho bởi bảng
+
Hình 1.1. Bảng pliép cộng và pliép nliân modun 5
Định nghĩa 1.2.3. Tập hợp thương của tập hợp các số nguyên trên quan
hệ đồng dư theo modun m, được qọi là tập hợp các lớp thặnq dư modun
m, và ký hiệu là z m . Mỗi pỉiần tử của z m được gọi là một lớp thặng dư
modun m.
Định lí 1.2.4. Lớp thặng dư modun ra, A là pliần tử kliả nghịch của vành
Z m klii và chỉ khi A là lớp nguyên tố modun M.
Ta gọi là Ậ(M) Ĩ số cácKhóa
phầnluận
tử khả
dư T.s Trần Vĩnh Đức
tốt nghịcli
nghiệp của vành các lớp thặng
GVHD:
moduli M.
Định lí 1.2.5. (Dịnli lý Euler). Nếu a, M G z, M < 0, (a, ra) = 1 thì ta có:
NỶ(M) = 1 mod 777.
Định lí 1.2.6. (Dịnli lí Fermat). Nếu P là một số nguyên tố và A là một số
nguyên không cilia hết cho P thì ta có
P-i ^ ị moc Ị m _
a
1.3
số nguyên tố
Đ ị n h n g h ĩ a 1 . 3 . 1 . Một số tự nhiên lớn hơn 1 và khônq có ước
nào khác ngoài 1 và chính nó ( k h ô n g c ó ư ớ c t h ự c s ự ) được
gọi ÌÀ số nguyên tố.
M ệ n h đ ề 1 . 3 . 2 . Nếu p là số nquyên tố, và p chia ỉiết cho tích a.b
với a , b ỈÀ hai số nguyên. Thíp chia hết ít nhất cho một trong hai
số a và b.
Tổng quát hơn, nếu p chia hết cho tích của các số nguyên, thì
p I CL\Q>2 •
..CLf) 5 thì p chia hết cho ít nhất một
trong các dị.
Đ ị n h l í 1 . 3 . 3 . ( D ị n l i l ý c ơ b ả n ) . Mọi số tự nhiên lớn hơn ỉ
đều có thể phân tích được thành một tícìi của các thừa số nguyên tố
và sự pỉiân tích đó là duy nhất kỉiông kề thứ tự các thừa số.
CHỨNG MINH, a) Sự phân tícli được. Giả sử A là một số tự nhiên 1ỚĨ 1
hơn 1. Khi đó, a có ít nhất một số nguyên tố Pi nào đó và ta có: A =
PIAI,A,I E N.
Nếu CIỊ = Ì thì ta được A = PI và đó là sự phân tích A thành tliừa số
nguyên tố.
Nếu CHỊ > 1 thì DỊ có ước nguyên tố P-2 nào đó và ta có: A,Ị = Q>2
tố.
£ N nêll ữ = PÌP2^2Nếu Ü2 = I thì A = P1P2 là pliân tích của A thành tliừa số nguyên
Khóa luận tốt nghiệp
GVHD: T.s Trần Vĩnh Đức
Nếu A 2 > 1 tliì tlieo lý luận trên, A 2 có ước nguyên tố Рз,...
Quá trình này phải kết tliúc, nghĩa là sẽ có N sao cho A N = 1, A N _I =
P là một số nguyên tố, bỏi vì ta có: a,ai,ơ, 2,... là một dãy những số tự
nhiên giảm. Như vậy ta được A = PI.P2---PN là sự phân tích của А
tliànli tích những thừa số nguyên tố.
b) Sự duy Iiliất: Giả sử, ta có: А = P\.P2---PN =
là liai
dạng phân tích của A thành tích của những thừa số nguyên tố. Dẳng thức
trên cliứng tỏ PI là ước của QI.Q2---QM nên PI phải trùng với một QJ
nào đó (1 < J < M). Vì không kể đến thứ tự của các tliừa số liên có thể coi
PI = QỊ. Từ đó, ta có được P2---PN — Q2---QM- Ta lấy P-2 và lặp lại
cho đến khi ở một vế không CÒ 11 thừa số nguyên tố nào. Nhưng lúc đó ỏ
vế còn lại cũng không còn thừa số nguyên tố nào vì nếu ngược lại sẽ xảy
ra hoặc 1 = Q N + Ị.Q N + 2 ...Q M lioặc PM+IPM+2---PM = 1 là không thể
được. Vì vậy, ta pliải có M, = N và PI = QI, I = 1, 2, N.
Tínli duy Iihất đã được chứng minh.
□
1.4
Nhóm
Clio X là một tập hợp tùy ý khác 0, trên X có một pliép toán hai ngôi kí
hiệu là *. X cùng với pliép toán hai ngôi * là rriột nhóm nếu thỏa mãn các
điều kiện :
(a) TÍ 11I 1 kết hợp: ( A*B)*C = A*(B*C) với mọi a,ò, с G X.
(b) Phần tử đồng nliất: TỒ 11 tại E G X thỏa mãn A*E = E*A với mọi A G X
(E được gọi là phần tử trung hòa).
(c) Phần tử nghịch đảo: với mỗi A G X, tồn tại một phần tử B G X tliỏa mãn
A*B = B*A = E ( B là duy nhất và được gọi là pliần tử nghịch đảo của
A). Và người ta kí hiệu phần tử nghịch đảo của A là A~ L .
• X gọi là nhóm QIAO HOÁN{ Able) nếu A*B = B*A với mọi a, B G X.
Cấp của nhóm X là số pliần tử trong nhóm X. Một nhóm
có cấp hữu liạn được gọi là nhóm hữu liạn.
1.5
Trường
Định nghĩa 1.5.1. Ta gọi là trường một miền nguyên X trong đó iriọi phần
tử khác không đều có Khóa
một nghịch
luận tốt
đảo nghiệp
hoặc vành giới hạn có ít nhất
GVHD:
hai T.s Trần Vĩnh Đức
pliần tử.
Vành là một trường klii và chỉ klii P là số nguyên tố.
1.6
Trường hữu hạn
Trường gồm hữu hạn các phần tử được gọi là trường hữu hạn. Trường gồm
hữu liạn pliần tử có đặc số kliác không, và đặc số đó là một số nguyên tố
P.
Giả sử FQ là một trường hữu hạn gồm Q phần tử với đặc số P. Vì F Q
chứa pliần tử 1 nên Ĩ 1Ó sẽ cliứa trường F P như một trường con. Do F Q là
trường hữu hạn nên nó là rriở rộng hữu hạn của F P Ì nghĩa là một không
gian vecto R chiều trên F P . Từ đó, suy ra rằng F Q gồm P R phần tử, tức là
Q = PR.
Ngược lại, ta sẽ chứng tỏ rằng với P, R cho trước (P là số nguyên tố và
/ là số nguyên dương), tồn tại trường YỚi P R phần tử. Hơn nữa, các trường
hữu hạn với số phần tử như nhau sẽ đẳng cấu với nhau, nghĩa là có tương
ứng 1 — 1 giữa chúng, và tương ứng này bảo toàn các phép tính cộng và
nhân, phần tử 0 và phần tử nghịch đảo của trường.
Định lí 1.6.1. Giả sử F Q là trường hữu hạn với Q = P R pliần tử. Khi đó,
mọi phần tử của FQ đều thỏa mãn phương trình
xq -X = 0
và FQ chính là tập hợp các nghiệm của phương trình đó. Ngược lại,
trường nâng của Fp bởi đa thức xq — X là trường hữu hạn có Q pliần tử.
Chứng minh 1. 6. 2. Trường F Q có Q = P R phần tử. Khi đó các phần tử khác
0 của FQ lập thành một nhóm nhân cấp Q — 1. Bởi vậy mọi phần tử của
nó đều thỏa mãn phương trình X Q ~ L = 1. Vì vậy, mọi phần tử của F Q đều là
nghiệm của phương trình X Q — X = 0 và F Q là trường nghiệm của phương
trình.
Giả sử F là một trường có Q pliần tử. Ta kí hiệu F'*
tập hợp các phần tử khác không của trường FQ. Khi đó,
mọi phần tử của F* đều có nghịch đảo và F* lập thành
một Iihóm Abel. Vì
F* luận
có hữu
hạn phần tử, liên đối
Khóa
tốt nghiệp
GVHD: T.s Trần Vĩnh Đức
với rriột pliần tử tùy Ỷ A G F*, tồn tại số nguyên
không âm K sao cho A = 1. Số K bé nliất tliỏa mãn
tính cliất đó được gọi là bậc của phần tử A.
Q
K
Chương 2
Đường cong Elliptic và ứng dụng
trong mật mã
2.1
Đường cong Elliptic
Một đường cong Elliptic là tập hợp các nghiệm cho từ một phương trình:
Y 2 = X 3 + AX + B
Phương trình loại này được gọi là phương trình Weirerstrass được nghiên
mô tả Ehai
cứu rộng rãi trong thế kỷ tliứ 19. Ví dụ, liình đường cong 2.elliptic
UE2
dưới đây:
Y 2 = X 3 -3X + 3 Y 2 = £i
X 3 - 6X + 5
được thể hiện trên Hình: 2 A
E 2 : V 2 = X 3 - 6X + 5
Hình 2.1: Hai đường cong elliptic
Eị và E‘>
KI ì, ó a luận tốt nghiệp
GVHD: T..H Trần Vĩnh Đức
Hình 2.2: Quy tắc cộng trên đường cong elliptic.
Cho P và Q là hai điểm trên đường cong elliptic E như mô tả trên Ta vẽ
đường thẳng L qua P và Q. Dường L cắt E tại 3 điểrri
2.
Hình
P,Q và R. Từ điểm R, ta lấy đối xứng qua trục X (nghĩa là chúng ta Iihân
tọa độ Y bởi —1) ta được điểm R' mới. Điểm R! được gọi là “tổng của hai
điểm P và Q" mặc dù bạn có thể thấy, quá trình này kliác với những phép
cộng thông thường. Ta ký hiệu: R' = P © Q.
Ví dụ 3. Clio E là rriột đường cong elliptic
Y 2 = X 3 - 15X + 1 8 .
(2.
Clio P = (7, 16) và Q = (1,2) tlmộc đường cong E.
Dường thẳng L qua P và Q có phương trình
Y
L
(2.2)
Dể tìm những điểm rrià E cắt L, chúng ta thế ( 2. 2) vào ( 2. 1) và tìm X.
Nlní vậy,
(ỉ*-f
Phương trình này tương đương với
49 ,
14
= X 3 — 15X + 18,
1
,
—X 2 - —X + - = X 3 - 15X + 18, 4
9
9
KI ì, ó a luận tốt nghiệp
GVHD: T..H Trần Vĩnh Đức
Biến đổi ta được phương trình
0 = X« -
- ỊHi* + “ 1.
9
9
4
tương đương với
*3 ■ ?■ r ■ ~F
L
X
+
T
= (x
■7 Ị { X - L Ị { X + f} = 0
Vì vậy, giao điểm thứ ba của L và E có tọa độ
Cuối cùng, cliúng ta có
PBữ
Í 23
170 \
-(-?■-*)■
Hãy tưởng tượng nếu điểm Q chạy dài trên đường cong E và ngày càng
tiến lại gần p liơn. Thì đường L sẽ trở thành tiếp tuyến của E tại p. Do đó
để cộng điểm p với chính nó chúng ta chỉ cần lấy L là đường tiếp tuyến của
E tại p.
Ví dụ 4. Từ đường cong E và điềm P từ ví dụ [3Ị Chúng ta tính P ® P.
Tiếp tuyến của E tại P được tính bằng đạo hàm phương
trình (2.1). Ta có
DY 9 2 y-TT =2
d
3X
15, vì vậy
3X 2 - 15 2Ỹ
X
(2.3
dX
Thay tọa độ của P(7, 16) vào (2.3), ta tìm được hệ số góc của tiếp
,33
,
.
tuyến là A = —, do đó tiếp tuyến của E tại P cho bởi phương trình 8
L:Y=™X-™
88
(2.4
Thay ( Ị2.4Ị ) vào fl2.ip của E, ta có
33
103 .
—X - 1—
8 ĩ
2
0
= X 3 - lbX + 18,
1089 «
2919
v
9457
3
4
5-------------------------------------------------Ta
cua L đê có đươc
6____
7
8--------------------Y
9
223
=
512’
thay thê X =
vào phương trình (2.4)
64-
, liên ta có
10r,
1
^ r, /193 223
~~
("64"’512
Nhận xét 2. 1. 1. Nếu P(a, 6) và P'(a, — 6) đối xứng nhan qua trục X
thì ta có
12
o.
11
p©p =
Ví dụ 5. Tiếp tục với các đường cong E từ ví dụ [3Ị Ta nliận thấy
rằng điểm T = (3, 0) nằm trên đường cong E và tiếp tuyến của E tại T là
đường thẳng X = 3. Do đó, nếu chúng ta cộng T với chính nó, thì ta được
T ® T = O.
13
14
Tính chất của đường cong elliptic
•
Nếu hai điểm PỊ = (XỊ,ĨJI) và P 2 = (£ 2, 2/ 2) XỊ 7^ X 2 cùng nằm trên
đường cong elliptic thì đường thẳng qua hai điểm PỴ và P2 sẽ cắt một
điểm duy nliất P 3 = (£ 3, 2/ 3). Diểm này có tliể xác định thông qua PỊ
và P-2 trên E.
•
Tiếp tuyến của đường cong E tại điểm bất kỳ P = (X, Y) trên E cũng
cắt E tại một điểm duy nhất. Diểm Iiày có tliể xác địnli qua P.
2.2
Các phép toán trên đường cong elliptic
2.2.1
Phép cộng
Định nghĩa 2. 2. 1. Một đường cong Elliptic E là tập hợp các nghiệm
cho một phương trình Weirerstrass
15
Y 2 = X 3 + AX + B ,
sao clio A và B thỏa mãn
16
17
18
4 A 2 + 27 B Ỷ 0.
Nhận xét 2. 2. 2. Ta gọi A E = 4:A 2 -\-27B 7^ 0 là biệt thức của E.
Diều kiện Ỷ 0 là tương đương với điều kiện là đa tliức X 3 + AX + B không
có nghiệm kép. Nghĩa là,
19
20
X 3 + AX + B = (X -
ei
)(X - e 2 )(X - e 3 ).
trong đó 6i,e 2,e 3 là số, thì Ỷ 0 khi và chỉ klii ei,e 2,e 3 đôi một khác
21
nhau.
22
Vậy A E Ỷ 0 thì đường cong không có điểm kì dị.
Pliép cộng trên E được địnli ngliĩa Iihư sau. Nếu P và Q là liai
điểm trên E. L là đường thẳng Iiối P và ọ, hoặc là tiếp tuyến của E tại P
nếu P = Q. Thì L cắt L tại ba điểm p, Q và R. Khi đó tổng của P và Q là
điểm R'(A , — 6) bằng cách lấy đối xứng với điểm jR(a, B) qua trục X.TÃ
ký hiệu là P © Q hay P + Q.
24 Nếu P(a, 6) thì chúng ta kí hiệu điểm đối xứng của P là OP = (a, —
6), lioặc kí hiệu là —P.
23
Đ ị n h l í 2 . 2 . 3 . Cho E ỉà một đường cong elliptic. Khi đó
phép cộng trên E có các tính chất sau:
26
( a )P + 0 = 0 + P = P với mọi p G E [ T í n h đ ồ n g n l i ấ t ] .
27
( b )P + (-P) = 0 với mọi p £ E[ T í n h n g h ị c h đ ả o ] .
(c) (P
+ Q) + R = p + (Q + R) với mọi p, Q, R E E [Tính kết liỢp].
(d) P
+ Q = Q + P với mọi P,Q E E [Tính giao hoán].
28
Nói cách khác ỈÀ luật cộng các điểm của E trong nhóm Aben.
25
CHỨNG MINH. Luật đồng nhất (a) và luật nghịch đảo(b) là đúng
bởi vì O nằm trên tất cả các đường thẳng đứng. Luật giao hoán (d) là dễ
dàng chứng rriinli, vì một đường thẳng nối p và Q giống như đường thẳng
nối Q và p, vì vậy tliứ tự các điểm không quan trọng.
30 Có rất nhiều cách chứng rriinli tính kết hợp, nhưng không có cách
cliứng minh nào là dễ dàng. Sau klii chúng ta phát triển công tliức rõ ràng
cho các luật cộng trên E (Dịnli lý 2.2),chúng ta có thể sử dụng những công
tliức để kiểm tra các luật kết hợp bằng trực tiếp. □
29
31
Định lí 2.2.4. (Thuật toán Cộng trên đường cong elliptic). Dể clio
E : Y 2 = X 3 + AX + B
33
ỉà một đường cong ellvptic và đê Pị và P 2 là điểm
trên E. a ) Nếu P\ = o, thì Pị + P 2 = P 2.
32
(b) Cách khấc, nếu P 2 = o, tỉiìPị + P 2 = Pị
(c) Cácỉi kìiấc, viết Pị = (xi, yi) v à P 2 = ( í T -2, 2/ 2)
(d) Nếu Xị = x 2 v à ĩjị = -y 2 , t l i ì Pị + P 2 = o
(e) Cách khấc, định nqìiĩa X bởi
3
34
35
và để cho
36
37
Xs
= A2 —
Xị
—
X2
và
ys
= X(xị — X 3)
— ĩjị.
Thì Pị + p2 — (X‘3,7/3).
CHỨNG MINH. Phần (a), (b) là hiển nhiên, và (d) là các trường
hợp đường thẳng đi qua P\ và P2 để PỊ + P2 = O ( Lưu ý rằng nếu VÌ —
Y-2 — 0 thì đường thẳng là đường tiếp tuyến, vì vậy trường hợp này là quá
nhiều). Dể chứng minh (e), chúng ta chú ý rằng nếu P\ 7^ ? 2) thì À là hệ
số góc của đường thẳng đi qua PỊ và P-2, và nếu PI = P 2, thì À là hệ số
góc của đường tiếp tuyến tại PỊ = P2. Trong cả hai trường hợp đường L
được cho bởi phương trình Y = XX + V với V = Y 1 — ẰXị. Thay thế
phương trình của L vào phương trình của E
2
39 {XX + v) = X 3 + AX + B,
38
40
và
41
x3 - X 2 X 2 + {A- 2Xv)X + (B - V2) = 0 .
Chúng ta biết rằng phương trình này có X ị và X'2 là hai nghiệm của
nó. Nếu chứng ta gọi £3 là nghiệm thứ ba, sau đó nếu như
42
43
X 3 - X 2 X 2 + (A- 2Xv)X + (B- V2) = (X -
Xl
){X - x 2 )(X - x 3 ).
Bây giờ khai triển và nhìn hệ số của X 2 của cả hai vế. Hệ số của X 2 ỏ vế
phải là —X\ — X2 — £ 3, và bằng —À 2 là hệ số của X 2 ở vế trái. Diều Iiày
cho chúng ta tínli £3 = À 2 — XỊ — X2, và sau đó các Y- tọa độ của các
giao điểm thứ ba của E và L được cho bởi XX‘S + V. Cuối cùng, để có
được Pị + P2, cliúng ta pliải chiếu lên trục X có nghĩa là tliay thế các tọa
độ Y của Ĩ 1Ó.
□
2.2.2
Phép nhân
44
Pliép nliân một số nguyên K với một điểm P tliuộc đường cong
elliptic là điểm Q được xác định bằng cách cộng N lần điểm P và Q G E
45
46
2.3
nP = p + p + p + ... + p.
'
47-------------------^-----V---48 n số
Đường cong elliptic trên trường hữu hạn
49Chúng
ta đã pliát triển lý thuyết về đường cong elliptic hình học. Ví dụ,
tổng của hai điểm phân biệt P và Q trên một đường cong elliptic E được
địnli nghĩa bằng cách vẽ đường thẳng L nối P và Q và tìm điểm thứ ba mà
L và E giao nhau. Tuy nhiên, để áp dụng các lý thuyết về đường cong
elliptic để mật mã, chúng ta cần pliải tìm hiểu những
đường cong
elliptic có điểm có
tọa độ trong rriột trường
hữu
50
hạn Fp.
đơn
giản làxác địnli mộtđường cong elliptic
trên Fp là
51
iriột phương trình từ
52
E :Y 2 = X 3 + AX + B với A, B G FP điều kiện 4A 3 + 27 B 2 ^ 0,
53
và các điểm trên E có tọa độ trên FP , mà đươc biểu thị bởi
54
E(Fp) = {(x, y) : x,y e Fp, y 2 = X 3 + Ax + B u o} .
Cho P = (XI,YI) và Q = (# 2, 2/ 2) là liai điểm trên E(FP). Tổng
của PI + p 2 là điểm ( 3, 1/ 3) thu được bằng cách áp dụng các thuật
56
toán Cộng đường cong elliptic(Dịnli lý 2.2.4). Tuy nhiên, không tliể
nói (# 3, 2/ 3) là một điểm trong E(FP).
55
Đ ị n h l í 2 . 3 . 1 . Cho E ỉ,à một đường cong elìÁptìc trên
E(Fp) và cho hai điểm p và Q trên E(Fp).
(a) Các thuật toán Cộng trên đường cong elliptic( Dịnlỉ lý 2.2.4) áp
58
dụng
cho
p và Q mang lại một điểm trong E(Fp). Cỉiúng ta ký hiệu
59
điểm đó bởi p + Q.
(b) Ngoài ra luật này đáp ứng tất cả các thuộc tính E ( F p ) được liệt
60
Nói cácỉi khấc của luật bổ sunq này làm cho
61
kê trong định lý E(Fp)
ỉ à một nhóm hữu hạn.
62 2.2.3
57
63
Ví dụ 6. Clio đường cong elliptic
E :Y 2 = X 3 + 3X + 8 t r ê n F
64
65 13
chúng ta sử dụng các thuật toán Cộng (Dịnli lý 2.2.4) để cộng điểm
P = (9,7) và Q = (1,8) trong E(F Ĩ 3 )
ìl li
67 V ì p Ỷ Q ^
66
68
ĨJ2 - ìJĩ _ 8-7 _ 1
X
70
71
72
x2 —
69
X ị 1 — 9—8
Tiếp tlieo chúng ta tính
V = V ỉ - Xx l = 7 - 8.9 = -65 = 0. X s = X 2 — X ị — x 2 = 64 — 9
— 1 = 54 = 2,
73
2/3 = -(\x 3 + v) =
75
p + Q = ( 1, 8) + (9, 7) = ( 2, 10) trên E(F 1 3).
Tương tự ,tính p + p, ta có
2
76 + A _ 3.9 + 3 _ 246
77
79
-8. 2 = - 16 = 1 0.
Vậy
74
78
8,
27/1
2.7
2À và V = YI — XXỊ = 7—1.9 = 11.
14
Sau đó
X : I = X 2 — X ị — X 2 = 1—9—9 = 9 và 2/3 = — ( Ằ X s + v ) = —1.9—
11 = 6,
Vì P + P = (9,7) + (9,7) = (9,6) trong E(FIS). Chúng ta có tliể tính
tổng của rriỗi cặp điểrri trong E(FỊ‘ Ò ) .Các kết quả được liệt kê trong bảng
2. 1.
4
( 12
( 13
(
5
o 61,5) ( 71,8) ( 82,3) ( 92,10)( 10 9,6) ( 11
9,7)
12,11)
16
(
17
(
18
(
19
(
20
(
21
(
2212,2) (
23
(
14
o 15
o 1.5)
1,8)
2,3)
2,10)
9,6)
9,7)
12,2)
12,11)
24
( 25 ( 26 ( 27
( 30
( 31 ( 32
( 33
(
o 28 ( 29
1.5)
34
( 1,5)
35
( 36 2,10)o 37 ( 1.8)
38
( 9,7)
39
( 40 2,3) ( 12,2)
41
( 4212,11) ( 9,6)
43
(
1,8)
1,8)
2,3)
9,6)
1,5)
12,11)
2,10)
9,7)
12,2)
44
( 45 ( 46 ( 47 ( 48 ( 49
( 51 ( 52
( 53
(
o 50
2,3)
54
( 2,3)
55
( 1,8)
56
( 9,6)
57
( 58 12,11)o 59 ( 6012,2) ( 1,5)
61
( 622,10) ( 9,7)
63
(
2,10)
2,10)
9,7)
1,5)
12,2)
1.8)
12,11)
9,6)
2,3)
64
( 65 ( 66 ( 67 ( 68 ( 69 ( 70
( 71
( 73
(
o 72
9,6)
74
( 9,6)
75
( 2,3)
76
( 12,11)
77
( 12,2)
78
( 1,8)
79
( 80 9,7) ỡ 81 ( 82 1.5) ( 2,10)
83
(
9,7)
9,7)
12,2)
2,10)
1.5)
12,11)
9,6)
2,3)
1,8)
84
( 85 ( 86 ( 87 ( 88 ( 89 ( 90
( 91 ( 92
( 93
o
12,2)
94
( 12,2)
95
( 12,11)
96
( 9,7)
97
( 2,10)
98
( 9,6)
99
( 1001.5) ( 2,3)
101
( 1021.8) ỡ 103 (
12,11) 12,11) 9,6)
12,2)
9,7)
2,3)
2,10)
1,8)
1,5)
80
82
Bảng 2.1 : Bảng phép cộng của E: Y 2 = X 3 + 3X + 8 trên FI3
Y 2 = X s + AX + B Đ ị n h l í 2 . 3 . 2 . ( H a s s e ) . Cho E là đường
83
cong elliptic trên Fp. Thì $ E ( F p ) = p + 1 — tp v ớ i tp t h ỏ a
r n ã n | í p | < 2y/p.
84
85
Số lượng điểm của E(FP) là §E(FP) phải thỏa mãn địnli lý Hasse.
Định nghĩa 2.3.3. Bậc của đường cong elliptic là
số điểm trên đường cong đó. Bậc của điểm P E E
là số K thỏa mãn KP = ỡ, khi K = ỊE(FP) thì P là
điểm cơ sỏ của E.
86
Chương 3
87
Hệ mật mã đường cong elliptic
3.1
Mở đầu
Năm 1976, Diffie và Hellman giới thiệu liệ mật mã hóa công khai
đầu tiên mà sự an toàn của Ĩ 1Ó dựa trên độ khó của bài toán DLP. Họ đưa
ra khái niệm hàm cửa sập một cliieii(TOF). Năm 1985, Lenstra thành công
trong việc sử dụng đường cong elliptic trong các hệ Iiiật mã công khai.
89 Sau nhiều công trình nghiên cứu quan trọng thì các bài toán bài
toán phân tích số và bài toán logarit rời rạc tuy chưa giải được trong tliời
gian đa tliức nhưng cũng kliông cần đến tliời gian hàm III ũ để giải nó, mà
đã có các thuật toán dưới như thuật toán dùng tính chỉ số và thuật toán
dùng đường cong elliptic của Lenstra, được giới tliiệu năm 1985. Dù clio
những công trình này không làm các liệ mã sụp đổ, nhưng Ĩ 1Ó buộc phép
xây dựng các hệ mã pliải giảm hiệu quả vì phải dùng các klióa dài hơn để
đảm bảo an toàn. Công trình của Lenstra cũng đánh dấu lần đầu tiên lý
thuyết các đường cong elliptic được sử dụng vào mật mã, ở đây có vai trò
như phá mã. Diều thú vị là ngay sau đó thì lý thuyết các đường cong
elliptic đã được sử dụng cho việc lập mã. Koblitz và Miller cùng độc lập
đề nghị tliay tliế việc sử dụng nhóm trong trường hữu hạn bằng nhóm các
điểm trên đường cong elliptic vì ở đó, các thuật toán dưới mũ đã biết để
giải quyết bài toán logarit rời rạc có vẻ như không the áp dụng được. Từ
88
đó việc sử dụng đường cong elliptic dẫn tới dẫn đến những hệ mã hiệu quả
liơri (do không cần phải chọn khóa quá dài để chống lại các thuật toán
dưới 111 ũ).
90 Miller và Kobliz giới thiệu những hệ mật mã elliptic. Họ không
phát minli ra các thuật toán mới nhưng đã đóng góp 1ỚI1 là chỉ
ra viêc áp dụng elliptic cho các hệ khóa công khai. Miller đề xuất mọi
giao tliức trao đổi khóa tựa như Diffie - Heilman vào năm 1985. Kobliz
Khóa luận tốt nghiệp
GVHD: T.s Trần Vĩnh Đức
đưa ra thuật toán rriã hóa tương tự như hệ ElGamal và Massey-Orrmra
vào năm 1987. Sơ đồ đầu tiên tương tự như RSA và liàm một cliiều(có
cửa sập) rriới dựa trên đường cong elliptic được đưa vào năm 1991 bởi
Koyama, Maurer, Okamoto, và Vanstone(thuật toán này tốc độ tliực hiện
nhanh gấp 6 lần so với RSA). Cùng với thời điểrri đó, Kaliski chứng
minli rằng các liàĩn cửa sập một cliiều đòi liỏi thời gian là hàm mũ đế
thực hiện pliép tính nghịch đảo. Menezes, Okamoto và Vanstone đã đưa
ra một phương pháp tấn công MOV để giải bài toán EDLP trong một số
trường hợp riêng. Ngay sau đó, Miyaji đã tìm được các điều kiện để
tránh khỏi tấn công MOV và đề xuất rriột ứng dụng tliực tế của đường
cong elliptic.
92
Nărri 1993, Demytko đưa ra một thuật toán rriới tương tự như
RSA clio các đường cong elliptic trên vànli zn viĩỢt qua liạn cliế của các
phiên bản trước, và Menezens và Vanstone đã đưa ra phương pliáp tliực
tlii trên các thiết bị cứng có the cải thiện các tínli toán trên các đường
cong elliptic trên trường hữu hạn. Năm 1997,1998 việc tìm ra các hệ
mật mã trên đường cong elliptic ngày càng thu hút được nhiều sự chú ý
và một số các thuật toán đã được đưa ra.
91
3.2
Logarit rời rạc trên đường cong elliptic(ECDLP)
Định nghĩa 3.2.1. Cho E là rriột đường cong elliptic trên E(F P ),
và với P và Q là hai điểm trên E(FP). Klii đó bài toán logarit rời rạc
trên E(F P ), là bài toán tìm một số nguyên N sao cho Q = NP. Bằng
cách tương tự với bài toán logarit rời rạc trong FP , chúng ta ký hiệu số
nguyên N bởi
94
n log P (Q)
93
95
v à c h ú n g t a g ọ i n l à ỉoqarit rời rạc elliptic của Q đối với p.
Nhận xét 3.2.2. Tương tự với log bình thường ta có
96
97
log P (Qi + Q 2 ) = logp(Qi) + logp(Q 2 ) v ớ i Q i , Q 2 £ E{Fp)- ( 3 - 1 )
Tliực tế logarit rời rạc trong E(F P ) thỏa mãn (3.1) có Iigliĩa là
I1Ó tuân theo luật Cộng khi nliórri E(FP) ánh xạ vào nhóm Z/sZ.
Chúng
99
ta nói ánh xạ LOGP xác định được gọi là đồng cấu Iihóm
98
100
logp : E(Fp) —* Z/sZ.
3.3
Mật mã đường cong elliptic
Dó là tliời gian để áp dụng các đường cong trong mật mã. Cliíing ta bắt
đầu với các ứng dụng đơn
giản luận
nhất, tốt
Diffie-Hellman
trao đổi khóa, GVHD:
trong đó T.s
bao Trần Vĩnh Đức
Khóa
nghiệp
gồm thay thế các bài toán logarit rời rạc clio các trường hữu hạn FP bởi bài toán
logarit rời rạc cho một đường cong elliptic E(FP). Sau đó chúng tôi mô tả tương
tự hệ mật mã hóa ElGamal trên đường cong' elliptic
101
3.3.1
Diffie- Heilman elliptic trao đổi khóa
Giả sử Alice và Bob muốn thống Iihất một klióa chung để liên lạc có bảo
mật giĩta hai người bằng mật mã. Trước hết hai bên thống nhất công khai chọn
một trường hữu hạn F V và một đường cong elliptic E trên đó khóa chung của họ
sẽ được xây dựng từ rriột điểm ngẫu nhiên p từ đường cong vừa clio, họ làm
cách này bằng cácli chọn tọa độ X của P là ngẫu nhiên trong FP.
103 Dể tạo khóa, trước hết Alice đã chọn ngẫu nhiên một số nguyên TỈA. Số
ĨĨA dược giữ bí mật. Trên cơ sở đó, Alice tính N^P G E , UAP được công khai.
Đến lượt Bob cũng làm như vậy, anh ta chọn ngẫu nhiên số nguyên UJB là bí
mật, tính ĨIỴP G E và cũng được công khai. Khóa bí mật mà chỉ có hai người
mới có đó là
102
104
Q = (n A n B )P e E.
Eve không thể suy ra (ĨIATIB)P n ếu không giải bài toán logarit rời rạc
trên E của trường FP.
105
Ví dụ 7. Alice và Bob quyết địnli và sử dụng elliptic Diffie- Heilman với
các số nguyên , đường cong và điểm:
107
P = 3851, EĨ Y 1 = X 3 + 324X + 1287, P = (920,303) e £(F 3851 ). Alice và
Bob chọn các giá trị bí mật tương ứng ĨIA = 1194 và ĨIỊỊ = 1759, và sau đó:
108 Alice tính Q A = 1194P = (2067,2178) e E{F Z № Ì ) T
106
1
Thuật toán ElGamal Elip IĨIỞ rộng thông till 4-1 so
rộng 2-1 của ElGamal khi sử dụng Fp.
với tỉ lệmở
