cryptographie sur les courbes elliptiques jonathan tavernedelta.cs.cinvestav.mx › ~francisco ›...

Implementation Efficiente de la MultiplicationScalaire utilisant la ParallelisationCryptographie sur les Courbes Elliptiques

Jonathan Taverne

Universite Lyon 1 - CINVESTAV

24 Septembre 2010

Corps finisCourbes elliptiques

Implementation

Institution

Centre de Recherche et d’Etudes Avancees de l’InstitutPolytechnique National du Mexique

Departement d’Informatique, Mexico

Environ 100 publications par an

Maıtre de Stage : Francisco Rodrıguez-Henrıquez

Jonathan Taverne 2 / 34

Implementation

Cryptographie sur les courbes elliptiques

1985 : N. Koblitz et V. Miller introduisent (independamment)la cryptographie sur les courbes elliptiques (ECC)

Le passe : RSA, factorisation de grands nombresLe present : ECC, probleme du logarithme discret

taille clefsRSA > taille clefsECCexemple : 1024-bits (RSA) = 160-bits (ECC)

Implementation

ECDH : Elliptic Curve Diffie-Hellman

Implementation

Contexte

Operation majeure : multiplication scalaire sur les CE

kP = P + P + · · · + P︸︷︷︸k fois

1991 : les courbe de Koblitz permettent une implementationefficiente de cette operation en utilisant l’operateur τ

1999 : multiplication utilisant la bissection de points (general)

Implementation

Contexte

Type de [1] : AHR, Ce travail,courbes Koblitz-curves random-curves

τ doublementOperations τ−1 bissection

τ et τ−1 doub. et bis.

[1] : O. Ahmadi, D. Hankerson et F. Rodrıguez-Henrıquez, Parallelformulation of scalar multiplication on Koblitz curves., 2008

Implementation

Contexte

Implementation

1 Corps finis

2 Courbes elliptiques

3 Implementation

Implementation

1 Corps finis

3 Implementation

Implementation

Groupes et anneaux

Groupe :

Ensemble non vide G muni d’une loi de composition interne • tels que :

• est associative

• admet un element neutre e

tout element de G admet un inverse pour •

Anneau :

Ensemble A muni de deux lois de composition interne (+, •) tels que :

(A,+) est un groupe commutatif avec comme element neutre 0A

la loi . admet un element neutre different de 0A, note 1A

la loi . est associative et distributive a gauche et a droite pour +

Implementation

Corps finis

Corps :

Un corps est un anneau commutatif dans lequel tout element non nul estinversible. Une telle structure est en general notee (K,+, .), se resumanta un ensemble muni de deux operations.

Corps fini :

Un corps fini ou corps de Galois (Galois Field) est un corps a q elementsnote Fq ou GF (q).

Corps fini binaire :

Un corps fini binaire est un corps fini de caracteristique 2, note F2m ouGF (2m).

Implementation

Arithmetique sur les corps finis F2m

Representation :

Les elements de F2m peuvent etre representes en base polynomiale dedegre au plus m − 1 avec des coefficients issus du corps F2 = {0, 1} :

∀a ∈ GF (2m), a =m−1∑i=0

aixi , ai ∈ {0, 1}

Differentes operations definies sur sur F2m :

Addition

Multiplication

Inversion

Reduction

Elevation au carre

Racine carree

Demi-trace

Implementation

1 Corps finis

3 Implementation

Implementation

Equation de Weierstrass

Definition :

Une courbe elliptique E sur un corps K est une courbe definie par :

E : y2 + a1xy + a3y = x3 + a2x2 + a4x + a6

ou a1, a2, a3, a4, a6 ∈ K

Implementation

Equation simplifiee de Weierstrass

Si les courbes sont definies sur un corps fini de caracteristique 2 unchangement admissible de variable conduit a une forme simlifiee del’equation de Weierstrass.

Definition :

Une courbe elliptique E sur un corps F2m est definie par :

E/F2m : y2 + xy = x3 + ax2 + b

ou a, b ∈ F2m

Implementation

Addition de points

P = (x1, y1) ∈ E (F2m)Q = (x2, y2) ∈ E (F2m)Si P 6= −Q alors nous obtientR = P + Q = (x3, y3) grace auxformules suivantes :

x3 = λ2 + λ+ x1 + x2 + a

y3 = λ(x1 + x3) + x3 + y1

ou λ = (y1 + y2)/(x1 + x2)

Implementation

Doublement de point

P = (x1, y1) ∈ E (F2m)Si y1 6= 0 alors nous obtientR = 2P = (x3, y3) grace auxformules suivantes :

x3 = λ2 + λ+ a

y3 = x21 + λx3 + x3

ou λ = x1 + y1/x1

Implementation

Coordonnees projectives

Standard : le point projectif (X : Y : Z ), avec Z 6= 0,correspond au point affine (X/Z ,Y /Z )

Jacobian : le point projectif (X : Y : Z ), avec Z 6= 0,correspond au point affine (X/Z 2,Y /Z 3)

Lopez-Dahab : le point projectif (X : Y : Z ), avec Z 6= 0,correspond au point affine (X/Z ,Y /Z 2)

Coordonnees Addition Addition (mixte) Doublement

Affine I + 2M · · · I + 2MProj. Standard 13M 12M 7MProj. Jacobienne 14M 10M 5MProj. Lopez-Dahab 14M 8M 4M

Implementation

Bissection de point

1999, E. Knudsen et R. Schroeppel (independamment).

Operation inverse du doublement de point : etant donne unpoint Q = (u, v), on cherche le point P de coordonnees (x , y)tel que Q = 2P.

Cela consiste donc a resoudre

u = λ2 + λ+ a pour λ

v = x2 + u(λ+ 1) pour x

Implementation

Bissection de point

L’efficience de l’operation de bissection repose sur :

le calcul de la fonction trace

le calcul de la fonction demi-trace (equation quadratique)

le calcul de la fonction racine carree

Implementation

Multiplication scalaire

La multiplication scalaire sur les courbes elliptiques est noteekP ou k est un entier et P un point d’une courbe elliptique.

Cette operation ajoute un point P ∈ E (F2m) k fois :

kP = P + P + · · · + P︸︷︷︸k fois

Differentes methodes pour calculer cette operation :

utilisant le doublementutilisant la bissectionde gauche a droitede droite a gauche

Implementation

Multiplication scalaire : utilisant le doublement

Algorithme 1 Methode Addition-et-Doublement, de ”droite a gauche”

Entree: k = (kt−1, kt−2, ..., k1, k0)2, P ∈ E (F2m) ;Sortie: kP ;1: Q ← O ;2: for i = 0 to t − 1 do3: if ki = 1 then Q ← Q + P ;4: P ← 2P ;5: end for6: return (Q) ;

Cout : t doublements inconditionnels et moyenne de t2 additions

Representation ω-NAF : reduit la densite de 0 dans larepresentation binaire et donc la moyenne d’additions necessaires.

Implementation

Multiplication scalaire : utilisant la bissection

L’idee est de recoder l’entier k en une forme k ′ qui permetl’utilisation de la bissection plutot que du doublement.

Analogie sur les entiers :

”doubling”let x = 62x = 12

”halving”let x ′ = 4x = 24x ′

2 = 12

Implementation

Multiplication scalaire : utilisant la bissection

Recodification : k ′ = 2(t−1)k mod(n) ⇐⇒ k = k ′

2(t−1) mod(n)

Algorithme 2 Methode Addition-et-Bissection, de ”droite a gauche”

Entree: k ′ = (k ′t , ..., k′1, k′0)2 , P ∈ E (F2m).

Sortie: kP.1: Q ←∞.2: for i from 0 to t do3: if k ′i = 1 then Q ← Q + P.4: P ← P/2.5: end for6: return Q.

Implementation

Multiplication scalaire : formulation parallele

Entree: ω, INDEX , scalaire k, P ∈ E(F2m ) ;Sortie: kP ;1: recodifier le scalaire : k ′ = 2INDEX k mod n ;2: obtenir la representation ω − NAF de k ′ ;3: Q1 ← O ;4: DEBUT THREAD 0 DEBUT THREAD 15: pre-calculer Pi = iP initialiser Qi = O

pour i ∈ {1, 3, 5, . . . , 2ω−1 − 1} ; pour i ∈ {3, 5, . . . , 2ω−1 − 1} ;6: for i = t to INDEX + 1 do for i = INDEX to 0 do7: Q1 ← 2Q1 ; if k ′i > 0 then8: if k ′i > 0 then Qk′i

← Qk′i+ P ;

9: Q1 ← Q1 + Pki ; end if10: end if if k ′i < 0 then11: if k ′i < 0 then Q−k′i

← Q−k′i− P ;

12: Q1 ← Q1 − P−ki ; end if13: end if P ← P/2 ;14: end for end for15: FIN THREAD 0 FIN THREAD 116: Q ←

∑2ω−1−1i=1 iQi ;

17: return (Q) ;

Implementation

1 Corps finis

3 Implementation

Implementation

Parallelisation

Deux grandes tendances actuellement :

Vectorisation

Instruction SIMD = SSE pour Intel

Nouvelle instruction ”Carry-Less Multiplication”

Multithreading

Implementation

Vectorisation et Registres

Implementation

Resultats experimentaux

Plateforme : GCC version 4.5, Intel Core i5 (32nm), langage C.

Operation Ce travail Ce travail [1], 2008E (F2233) (ch) (µs) (µs)

Mul. (doublement ou τ) 277199 83 349 (τ)Mul. (bissection ou τ−1) 235538 71 345 (τ−1)

Mul. (parallele) 155363 47 187Acceleration 34 % 46 %

[1] : O. Ahmadi, D. Hankerson et F. Rodrıguez-Henrıquez, Parallelformulation of scalar multiplication on Koblitz curves., 2008

Implementation

CONCLUSION

Implementation

SSE = obligatoire

Carry-Less Multiplication = grand changement ?

Random-curves VS Koblitz-Curves ...

Implementation

Prolongements

ECDSA : Elliptic Curve Digital Signature Algorithm

Operation clef : kP + lQ

Methode : interleaving (reduire le nombre de doublements)

Breaking news : multiplication ... 125 cc ... 110 cc

Implementation

Annexe

Implementation

cryptographie sur les courbes elliptiques jonathan tavernedelta.cs.cinvestav.mx › ~francisco ›...

Documents

tfe jonathan lecroq

jonathan capdevielle - poppydog

loesberg, jonathan - bourdieu’s derrida’s kant

trace et réflexivité

jonathan hermosilla cortes

jonathan wertel

historia de new york jonathan

thierry henry par jonathan lage

croisiere sur jonathan du dimanche 13 mai 2017 au...

jonathan attias - lobby citoyen

jonathan b

swift,jonathan - instructions aux domestiques

plaquette goldigger - jonathan

régulateur p-adiques explicites pour le k2 des courbes...

ana maria + jonathan

jonathan kirk portfolio lr desktop

tarnation (jonathan caouette, 2003) : analyse

jonathan crary 24/7

dynacable trace - damrexelprod.blob.core.windows.net

par mon esprit (dr jonathan goforth) · par mon esprit (dr...