I cifrari a chiave pubblica: Introduzione alle curve ellittiche Monica Bianchini...

Click here to load reader

  • date post

    01-May-2015
  • Category

    Documents

  • view

    216
  • download

    0

Embed Size (px)

Transcript of I cifrari a chiave pubblica: Introduzione alle curve ellittiche Monica Bianchini...

  • Slide 1
  • I cifrari a chiave pubblica: Introduzione alle curve ellittiche Monica Bianchini [email protected]
  • Slide 2
  • Se luso di tecniche crittografiche per proteggere i documenti antico quanto la scrittura stessa, solo lavvento del computer ha permesso la realizzazione pratica dei sistemi crittografici di nuova concezione, basati su principi impossibili da applicarsi con sistemi manuali o meccanici Se luso di tecniche crittografiche per proteggere i documenti antico quanto la scrittura stessa, solo lavvento del computer ha permesso la realizzazione pratica dei sistemi crittografici di nuova concezione, basati su principi impossibili da applicarsi con sistemi manuali o meccanici Si tratta di una nuova classe di cifrari che godono di importanti propriet: Si tratta di una nuova classe di cifrari che godono di importanti propriet: sono molto sicuri, ma al contempo facili da gestiresono molto sicuri, ma al contempo facili da gestire sono immuni dai principali problemi dei sistemi di crittografia classici, primo fra tutti quello della gestione e distribuzione delle chiavisono immuni dai principali problemi dei sistemi di crittografia classici, primo fra tutti quello della gestione e distribuzione delle chiavi sono in grado di fornire servizi aggiuntivi quali la firma elettronica e la certificazione del mittentesono in grado di fornire servizi aggiuntivi quali la firma elettronica e la certificazione del mittente I cifrari a chiave pubblica 1
  • Slide 3
  • Tutti si basano sul concetto di chiave asimmetrica, del tutto assente nella crittografia classica Tutti si basano sul concetto di chiave asimmetrica, del tutto assente nella crittografia classica Infatti, lo svantaggio principale dei metodi a chiave privata che richiedono la comunicazione della chiave fra mittente e ricevente, su un canale sicuro, prima della trasmissione di qualsiasi messaggio cifrato Infatti, lo svantaggio principale dei metodi a chiave privata che richiedono la comunicazione della chiave fra mittente e ricevente, su un canale sicuro, prima della trasmissione di qualsiasi messaggio cifrato POTREBBE ESSERE MOLTO DIFFICILE DA REALIZZARE!POTREBBE ESSERE MOLTO DIFFICILE DA REALIZZARE! Per esempio, se i corrispondenti vivono lontani e decidono di comunicare via e mail, non avranno accesso a nessun canale ragionevolmente sicuro per lo scambio della chiave Per esempio, se i corrispondenti vivono lontani e decidono di comunicare via e mail, non avranno accesso a nessun canale ragionevolmente sicuro per lo scambio della chiave I cifrari a chiave pubblica 2
  • Slide 4
  • I cifrari a chiave pubblica 3 Cifrario simmetrico Cifrario asimmetrico
  • Slide 5
  • Le basi teoriche della crittografia moderna risalgono a meno di 40 anni fa, a partire dal 1969, con le prime ricerche di James Ellis, del quartier generale governativo delle comunicazioni britanniche (GCHQ) Le basi teoriche della crittografia moderna risalgono a meno di 40 anni fa, a partire dal 1969, con le prime ricerche di James Ellis, del quartier generale governativo delle comunicazioni britanniche (GCHQ) Lidea dei crittosistemi a chiave pubblica dovuta a Withfield Diffie e Martin Hellman (1976), mentre la prima realizzazione pratica si ha lanno successivo, ad opera di Ronald Rivest, Adi Shamir e Leonard Adleman, ricercatori al MIT (Massachusetts Institute of Technology) che formularono RSA Lidea dei crittosistemi a chiave pubblica dovuta a Withfield Diffie e Martin Hellman (1976), mentre la prima realizzazione pratica si ha lanno successivo, ad opera di Ronald Rivest, Adi Shamir e Leonard Adleman, ricercatori al MIT (Massachusetts Institute of Technology) che formularono RSA I cifrari a chiave pubblica 4
  • Slide 6
  • Diffie ed Hellman, pubblicarono un lavoro teorico fondamentale nel quale, ipotizzando di poter disporre di un cifrario asimmetrico, dimostravano la fattibilit di sistemi crittografici di nuovo tipo, adatti alla crittografia di massa, basati sullimpiego di chiavi pubbliche Diffie ed Hellman, pubblicarono un lavoro teorico fondamentale nel quale, ipotizzando di poter disporre di un cifrario asimmetrico, dimostravano la fattibilit di sistemi crittografici di nuovo tipo, adatti alla crittografia di massa, basati sullimpiego di chiavi pubbliche Con i cifrari a chiave pubblica si inizia a parlare distrong encryption, crittografia forte Con i cifrari a chiave pubblica si inizia a parlare di strong encryption, crittografia forte Nella pratica, un cifrario a chiave pubblica dotato di due chiavi distinte, che sono una l inversa dellaltra: se una viene usata per la cifratura, la seconda deve essere usata in decifratura, e viceversa Nella pratica, un cifrario a chiave pubblica dotato di due chiavi distinte, che sono una l inversa dellaltra: se una viene usata per la cifratura, la seconda deve essere usata in decifratura, e viceversa Punto fondamentale del crittosistema che le due chiavi devono essere indipendenti: ossia la conoscenza di una delle due chiavi non deve dare alcuna informazione utile alla ricostruzione dellaltra Punto fondamentale del crittosistema che le due chiavi devono essere indipendenti: ossia la conoscenza di una delle due chiavi non deve dare alcuna informazione utile alla ricostruzione dellaltra I cifrari a chiave pubblica 5
  • Slide 7
  • I crittosistemi a chiave pubblica rendono il calcolo di d k, a partire da e k, computazionalmente irrealizzabile e k pu essere resa pubblica I crittosistemi a chiave pubblica rendono il calcolo di d k, a partire da e k, computazionalmente irrealizzabile e k pu essere resa pubblica Il mittente potr inviare il messaggio cifrato utilizzando e k, ma solo il ricevente autorizzato sar in grado di decifrarlo, poich sar lunico a conoscere d k Il mittente potr inviare il messaggio cifrato utilizzando e k, ma solo il ricevente autorizzato sar in grado di decifrarlo, poich sar lunico a conoscere d k I cifrari a chiave pubblica 6
  • Slide 8
  • Vantaggi Vantaggi La chiave pubblica pu essere trasmessa tramite un canale insicuro, in quanto la sua conoscenza da parte di terzi non sufficiente a mettere in pericolo la sicurezza dei dati cifrati con essa; ciascuna chiave segreta resta sotto la responsabilit del solo utente proprietario La chiave pubblica pu essere trasmessa tramite un canale insicuro, in quanto la sua conoscenza da parte di terzi non sufficiente a mettere in pericolo la sicurezza dei dati cifrati con essa; ciascuna chiave segreta resta sotto la responsabilit del solo utente proprietario In un sistema a chiave segreta per ogni possibile coppia di utenti deve esistere una chiave: per n utenti occorrono n ( n 1)/2 chiavi In un sistema a chiave segreta per ogni possibile coppia di utenti deve esistere una chiave: per n utenti occorrono n ( n 1)/2 chiavi In un sistema a chiave pubblica, deve esistere una coppia di chiavi per ogni possibile utente, ovvero per n utenti occorrono 2 n chiavi In un sistema a chiave pubblica, deve esistere una coppia di chiavi per ogni possibile utente, ovvero per n utenti occorrono 2 n chiavi I cifrari a chiave pubblica 7
  • Slide 9
  • Svantaggi Svantaggi Gli algoritmi simmetrici e quelli asimmetrici necessitano di chiavi di lunghezza diversa per raggiungere lo stesso grado di sicurezza teorica Gli algoritmi simmetrici e quelli asimmetrici necessitano di chiavi di lunghezza diversa per raggiungere lo stesso grado di sicurezza teorica Generalmente, gli algoritmi asimmetrici sono molto pi lenti da eseguire, rispetto a quelli simmetrici, e pertanto di uso poco agevole per la cifratura di messaggi lunghi Generalmente, gli algoritmi asimmetrici sono molto pi lenti da eseguire, rispetto a quelli simmetrici, e pertanto di uso poco agevole per la cifratura di messaggi lunghi I cifrari a chiave pubblica 8
  • Slide 10
  • Dal 1977, sono stati formalizzati diversi crittosistemi a chiave pubblica, la cui sicurezza affidata alla difficolt di risoluzione di problemi matematici diversi Dal 1977, sono stati formalizzati diversi crittosistemi a chiave pubblica, la cui sicurezza affidata alla difficolt di risoluzione di problemi matematici diversi RSA (1977) la sicurezza basata sulla difficolt nella fattorizzazione di interi grandi RSA (1977) la sicurezza basata sulla difficolt nella fattorizzazione di interi grandi Merkle Hellman Knapsack (1978) la sicurezza del sistema basata sulla NP completezza del problema della somma di sottoinsiemi Merkle Hellman Knapsack (1978) la sicurezza del sistema basata sulla NP completezza del problema della somma di sottoinsiemi Dato un insieme di interi, possibile enucleare un sottoinsieme di somma nulla? Dato un insieme di interi, possibile enucleare un sottoinsieme di somma nulla? Tutti i crittosistemi di questo tipo si sono rivelati insicuri, tranne il crittosistema di Chor Rivest Tutti i crittosistemi di questo tipo si sono rivelati insicuri, tranne il crittosistema di Chor Rivest I cifrari a chiave pubblica 9
  • Slide 11
  • McEliece (1978) basato sulla teoria algebrica dei codici, ed a tuttoggi ritenuto sicuro; la sicurezza dovuta alla difficolt del problema di decodificare un codice lineare (che NP completo) McEliece (1978) basato sulla teoria algebrica dei codici, ed a tuttoggi ritenuto sicuro; la sicurezza dovuta alla difficolt del problema di decodificare un codice lineare (che NP completo) ElGamal (1984) la sicurezza basata sulla difficolt del calcolo del logaritmo discreto in campi finiti ElGamal (1984) la sicurezza basata sulla difficolt del calcolo del logaritmo discreto in campi finiti Curve ellittiche sono crittosistemi che traggono origine da sistemi tipo ElGamal, ma operano sulle curve ellittiche piuttosto che sui campi finiti; sono i sistemi pi sicuri, anche per chiavi piccole Curve ellittiche sono crittosistemi che traggono origine da sistemi tipo ElGamal, ma operano sulle curve ellittiche piuttosto che sui campi finiti; sono i sistemi pi sicuri, anche per chiavi piccole I cifrari a chiave pubblica 10
  • Slide 12
  • I sistemi a chiave pubblica non possono garantire la sicurezza incondizionata, poich una spia, essendo venuta in possesso di un testo cifrato y, pu codificare ogni possibile testo in chiaro x, utilizzando e k, che pubblica, fino a trovare lunico x tale che y=e k (x) I sistemi a chiave pubblica non possono garantire la sicurezza incondizionata, poich una spia, essendo venuta in possesso di un testo cifrato y, pu codificare ogni possibile testo in chiaro x, utilizzando e k, che pubblica, fino a trovare lunico x tale che y=e k (x) Per i sistemi a chiave pubblica sensato studiare la sicurezza computazionale Per i sistemi a chiave pubblica sensato studiare la sicurezza computazionale A questo scopo, pu essere concettualmente utile pensare ad un sistema a chiave pubblica, in termini astratti, come ad una funzione unidirezionale A questo scopo, pu essere concettualmente utile pensare ad un sistema a chiave pubblica, in termini astratti, come ad una funzione unidirezionale I cifrari a chiave pubblica 11
  • Slide 13
  • La funzione pubblica di codifica e k deve essere semplice da calcolare, ma difficile da invertire, per tutti tranne che per il ricevente: una funzione siffatta una funzione one way (unidirezionale) La funzione pubblica di codifica e k deve essere semplice da calcolare, ma difficile da invertire, per tutti tranne che per il ricevente: una funzione siffatta una funzione one way (unidirezionale) e k deve essere una funzione iniettiva e one way e k deve essere una funzione iniettiva e one way Le funzioni unidirezionali giocano un ruolo fondamentale nella costruzione di crittosistemi a chiave pubblica Le funzioni unidirezionali giocano un ruolo fondamentale nella costruzione di crittosistemi a chiave pubblica Sfortunatamente, anche se vi sono varie classi di funzioni che sono ritenute unidirezionali, non esiste per nessuna di esse una prova certa Sfortunatamente, anche se vi sono varie classi di funzioni che sono ritenute unidirezionali, non esiste per nessuna di esse una prova certa I cifrari a chiave pubblica 12
  • Slide 14
  • Sia n il prodotto di due numeri primi grandi, p e q, e sia b un intero positivo Sia n il prodotto di due numeri primi grandi, p e q, e sia b un intero positivo : Z n Z n definita da : Z n Z n definita da (x) = x b (mod n) (x) = x b (mod n) ritenuta essere una funzione unidirezionale (e, di fatto, la funzione di codifica in RSA) Tuttavia, lessere one way non una propriet sufficiente per, poich il ricevente autorizzato deve essere in grado di decifrare i messaggi in maniera efficiente Tuttavia, lessere one way non una propriet sufficiente per, poich il ricevente autorizzato deve essere in grado di decifrare i messaggi in maniera efficiente I cifrari a chiave pubblica 13
  • Slide 15
  • Il ricevente deve possedere una trapdoor una sorta di canale preferenziale, una scappatoia che gli permetta di accedere rapidamente allinformazione codificata, cio di decifrare facilmente il testo cifrato, grazie alla sua conoscenza di informazione aggiuntiva su k Il ricevente deve possedere una trapdoor una sorta di canale preferenziale, una scappatoia che gli permetta di accedere rapidamente allinformazione codificata, cio di decifrare facilmente il testo cifrato, grazie alla sua conoscenza di informazione aggiuntiva su k e k deve essere iniettiva, one way, trapdoor e k deve essere iniettiva, one way, trapdoor I cifrari a chiave pubblica 14
  • Slide 16
  • I principali problemi sui quali si basano i sistemi crittografici moderni sono: I principali problemi sui quali si basano i sistemi crittografici moderni sono: Il problema della fattorizzazione di interi grandi (Integer Factorization Problem IFP ) Il problema della fattorizzazione di interi grandi (Integer Factorization Problem IFP ) Il problema del calcolo del logaritmo discreto su campi finiti (Discrete Logarithm Problem DLP ) Il problema del calcolo del logaritmo discreto su campi finiti (Discrete Logarithm Problem DLP ) Il problema del calcolo del logaritmo discreto su curve ellittiche (Elliptic Curve Discrete Logarithm Problem ECDLP ) Il problema del calcolo del logaritmo discreto su curve ellittiche (Elliptic Curve Discrete Logarithm Problem ECDLP ) Riassumendo...
  • Slide 17
  • Un campo un insieme G che soddisfa le seguenti propriet: Un campo un insieme G che soddisfa le seguenti propriet: Sono definite due operazioni, genericamente indicate con + e (e che nel caso dei reali/complessi sono effettivamente la somma e il prodotto) Sono definite due operazioni, genericamente indicate con + e (e che nel caso dei reali/complessi sono effettivamente la somma e il prodotto) La somma ed il prodotto sono operazioni interne al campo La somma ed il prodotto sono operazioni interne al campo Valgono le propriet commutativa e associativa per somma e prodotto Valgono le propriet commutativa e associativa per somma e prodotto Vale la propriet distributiva tra prodotto e somma (sia destra che sinistra) Vale la propriet distributiva tra prodotto e somma (sia destra che sinistra) Esiste, ed unico, lelemento neutro, sia per la somma che per il prodotto (0 ed 1, rispettivamente) Esiste, ed unico, lelemento neutro, sia per la somma che per il prodotto (0 ed 1, rispettivamente) Per ciascun elemento del campo, esiste lelemento inverso relativamente a somma e prodotto (lopposto per la somma, il reciproco per il prodotto) Per ciascun elemento del campo, esiste lelemento inverso relativamente a somma e prodotto (lopposto per la somma, il reciproco per il prodotto) I campi vettoriali 1
  • Slide 18
  • La cardinalit dellinsieme G viene indicata con |G| ed chiamata ordine del campo: se questa finita allora G un campo finito La cardinalit dellinsieme G viene indicata con |G| ed chiamata ordine del campo: se questa finita allora G un campo finito Sia Z n ={0, 1, 2, 3,..., n 1} un campo finito Sia Z n ={0, 1, 2, 3,..., n 1} un campo finito Se n=p q, dove p un numero primo e q un intero positivo, p e q sono detti rispettivamente caratteristica e grado di estensione del campo Se n=p q, dove p un numero primo e q un intero positivo, p e q sono detti rispettivamente caratteristica e grado di estensione del campo g un generatore per il campo finito Z n se ogni elemento di Z n pu essere scritto come potenza di g (escluso lo 0) g un generatore per il campo finito Z n se ogni elemento di Z n pu essere scritto come potenza di g (escluso lo 0) I campi vettoriali 2
  • Slide 19
  • RSA realizzato in Z n, dove n il prodotto di due numeri primi distinti p e q (n)=(p 1)(q 1) (numero degli interi positivi minori di n primi con n) RSA realizzato in Z n, dove n il prodotto di due numeri primi distinti p e q (n)=(p 1)(q 1) (numero degli interi positivi minori di n primi con n) Sia n =pq, con p e q numeri primi. Siano P=C=Z n Sia K ={(n,p,q,a,b): n =pq, p,q primi, ab 1 (mod (n))} Per k=(n,p,q,a,b): e k (x) = x b (mod n) d k (y) = y a (mod n) x,y Z n I valori di n e b sono pubblici, p,q ed a segreti Il crittosistema RSA 1
  • Slide 20
  • Le operazioni di codifica e decodifica sono inverse Le operazioni di codifica e decodifica sono inverse Infatti, poich ab 1 (mod (n)), ab=t (n)+1, per qualche intero t 1 Infatti, poich ab 1 (mod (n)), ab=t (n)+1, per qualche intero t 1 Sia Z n * linsieme dei residui modulo n primi con n Sia Z n * linsieme dei residui modulo n primi con n Sia x Z n *, allora Sia x Z n *, allora (x b ) a x t (n)+1 (mod n) (x (n) ) t x (mod n) (x b ) a x t (n)+1 (mod n) (x (n) ) t x (mod n) 1 t x (mod n) x (mod n) 1 t x (mod n) x (mod n) (x (n) =1 per il teorema di Eulero che asserisce che Z n * un gruppo moltiplicativo di ordine (n)) Il crittosistema RSA 2
  • Slide 21
  • Supponiamo che siano p=101 e q=113 n=11413 e (n)=100 112=11200 Supponiamo che siano p=101 e q=113 n=11413 e (n)=100 112=11200 Poich 11200=2 6 5 2 7, un intero b pu essere utilizzato quale esponente di codifica se e solo se b non divisibile per 2, 5 o 7 Poich 11200=2 6 5 2 7, un intero b pu essere utilizzato quale esponente di codifica se e solo se b non divisibile per 2, 5 o 7 Il proprietario della chiave privata non fattorizzer (n), verificher solo che MCD( (n),b)=1 utilizzando lalgoritmo di Euclide Il proprietario della chiave privata non fattorizzer (n), verificher solo che MCD( (n),b)=1 utilizzando lalgoritmo di Euclide Supponiamo che scelga b=3533; allora lalgoritmo di Euclide calcola b 1 =6597 (mod 11200) lesponente di decodifica a=6597 Supponiamo che scelga b=3533; allora lalgoritmo di Euclide calcola b 1 =6597 (mod 11200) lesponente di decodifica a=6597 Esempio di sistema RSA insicuro 1
  • Slide 22
  • Il proprietario della chiave privata pubblica n=11413 e b=3533 Il proprietario della chiave privata pubblica n=11413 e b=3533 Supponiamo che il suo corrispondente voglia inviargli il testo 9726, egli calcoler Supponiamo che il suo corrispondente voglia inviargli il testo 9726, egli calcoler 9726 3533 (mod 11413)=5761 ed invier il testo cifrato 5761 sul canale Quando il proprietario della chiave privata riceve y=5761, utilizza lesponente di decifratura segreto a per calcolare Quando il proprietario della chiave privata riceve y=5761, utilizza lesponente di decifratura segreto a per calcolare 5761 6597 (mod 11413)=9726 Esempio di sistema RSA insicuro 2
  • Slide 23
  • La sicurezza del crittosistema RSA basata sulla speranza che e k (x)=x b (mod n) sia one way, cos da rendere computazionalmente impossibile, per una spia, decrittare il testo cifrato La sicurezza del crittosistema RSA basata sulla speranza che e k (x)=x b (mod n) sia one way, cos da rendere computazionalmente impossibile, per una spia, decrittare il testo cifrato La scappatoia (trapdoor) che permette al proprietario della chiave privata di decifrare il crittogramma costituita dalla conoscenza della fattorizzazione di n=pq La scappatoia (trapdoor) che permette al proprietario della chiave privata di decifrare il crittogramma costituita dalla conoscenza della fattorizzazione di n=pq Dato che il proprietario della chiave privata conosce p e q, pu calcolare (n)=(p 1)(q 1) e quindi lesponente di decifratura a, utilizzando lalgoritmo di Euclide esteso Dato che il proprietario della chiave privata conosce p e q, pu calcolare (n)=(p 1)(q 1) e quindi lesponente di decifratura a, utilizzando lalgoritmo di Euclide esteso Sicurezza di RSA
  • Slide 24
  • La potenza di un numero in aritmetica finita si definisce come La potenza di un numero in aritmetica finita si definisce come a b =x (mod n) Come nellaritmetica ordinaria, possibile definire unoperazione inversa rispetto allesponente: il logaritmo Come nellaritmetica ordinaria, possibile definire unoperazione inversa rispetto allesponente: il logaritmo Per definizione, il logaritmo lesponente a cui si deve elevare la base a per ottenere il valore x: Per definizione, il logaritmo lesponente a cui si deve elevare la base a per ottenere il valore x: b=log a x (mod n) Tale logaritmo si dice logaritmo discreto Se il calcolo della potenza relativamente semplice, il calcolo del logaritmo computazionalmente molto complesso, pu avere pi soluzioni o nessuna Se il calcolo della potenza relativamente semplice, il calcolo del logaritmo computazionalmente molto complesso, pu avere pi soluzioni o nessuna Il logaritmo discreto 1
  • Slide 25
  • Per esempio, in Z 7, si ha: Per esempio, in Z 7, si ha: 2 0 = 1 2 1 = 2 2 2 = 4 2 3 = 1 2 4 = 2 2 5 = 4 2 6 = 1 e quindi, il log 2 4 pari a 2 ma anche a 5; viceversa non esistono log 2 3, log 2 5, log 2 6 In generale, si ritiene che il problema del calcolo del logaritmo discreto sia difficile come il problema della fattorizzazione di numeri grandi, anche se non esiste attualmente una dimostrazione dellasserto In generale, si ritiene che il problema del calcolo del logaritmo discreto sia difficile come il problema della fattorizzazione di numeri grandi, anche se non esiste attualmente una dimostrazione dellasserto Il logaritmo discreto 2
  • Slide 26
  • realizzato in Z n, con n numero primo e g generatore di Z n, e si basa sulla difficolt di calcolo dellintero k tale che p=g k (mod n), noti p, g, ed n realizzato in Z n, con n numero primo e g generatore di Z n, e si basa sulla difficolt di calcolo dellintero k tale che p=g k (mod n), noti p, g, ed n Alice e Bob vogliono scambiarsi un messaggio Alice e Bob vogliono scambiarsi un messaggio Siano n e g due numeri interi che soddisfano le seguenti propriet:Siano n e g due numeri interi che soddisfano le seguenti propriet: n un numero primo grande (100 200 cifre) n un numero primo grande (100 200 cifre) g
  • Se P=Q, =dy/dx= [ f (x,y)/ x]/[ f (x,y)/ y]| P, con f (x,y)=y 2 (x 3 ax b), cio =(3x 1 2 a)/2y 1, da cuiSe P=Q, =dy/dx= [ f (x,y)/ x]/[ f (x,y)/ y]| P, con f (x,y)=y 2 (x 3 ax b), cio =(3x 1 2 a)/2y 1, da cui x 3 =[(3x 1 2 a)/2y 1 ] 2 2x 1 e y 3 = y 1 [(3x 1 2 a)/2y 1 ](x 1 x 3 ) I punti di una curva ellittica E formano un gruppo abeliano relativamente alloperazione di somma I punti di una curva ellittica E formano un gruppo abeliano relativamente alloperazione di somma Come in ogni gruppo abeliano, si user la notazione nP, per indicare loperazione di somma del punto P con se stesso effettuata n volte, se n>0, ovvero la somma di P con se stesso effettuata n volte, per n negativo Come in ogni gruppo abeliano, si user la notazione nP, per indicare loperazione di somma del punto P con se stesso effettuata n volte, se n>0, ovvero la somma di P con se stesso effettuata n volte, per n negativo Per definizione, il punto allinfinito O rappresenta il terzo punto di intersezione delle rette verticali con la curva E Per definizione, il punto allinfinito O rappresenta il terzo punto di intersezione delle rette verticali con la curva E Le curve ellittiche 7
  • Slide 38
  • Sia K il campo finito Z n, costituito da n = p q elementi Sia K il campo finito Z n, costituito da n = p q elementi Sia E una curva ellittica definita su Z n Sia E una curva ellittica definita su Z n E composta da al pi 2n 1 punti, il punto allinfinito O e 2n coppie (x,y) Z n Z n, ovvero per ciascuna delle n possibili ascisse x Z n esistono al pi 2n ordinate y Z n che soddisfano lequazione di E E composta da al pi 2n 1 punti, il punto allinfinito O e 2n coppie (x,y) Z n Z n, ovvero per ciascuna delle n possibili ascisse x Z n esistono al pi 2n ordinate y Z n che soddisfano lequazione di E In realt, vale il seguente o Teorema di Hasse Sia N il numero di punti in Z n appartenenti ad una curva ellittica E, definita su Z n ; vale la disuguaglianza |N (n 1)| 2 n Curve ellittiche su campi finiti
  • Slide 39
  • Supponiamo di codificare il plaintext x come un intero r Supponiamo di codificare il plaintext x come un intero r Sia E una curva ellittica definita su Z n, con n=p q, numero intero grande e dispari Sia E una curva ellittica definita su Z n, con n=p q, numero intero grande e dispari Un metodo probabilistico (non esistono algoritmi deterministici per risolvere questo problema!) per codificare r mediante P r pu essere schematizzato come segue: Un metodo probabilistico (non esistono algoritmi deterministici per risolvere questo problema!) per codificare r mediante P r pu essere schematizzato come segue: Si sceglie k (50 sufficiente); sia 0r RkSi sceglie k (50 sufficiente); sia 0r Rk Gli interi compresi fra 1 ed Rk possono essere scritti nella forma rk j, con 1j