Slide presentata per l'esame di Crittografia

1. Elliptic Curve Method Giuseppe Specchio

3. La particolarità di tale algoritmo è dovuto dal fatto che la sua complessità di calcolo dipende fortemente dalle dimensioni del suo fattore primo più piccolo e non tanto dalla lunghezza del numero n da fattorizzare.

4. ECM è il terzo algoritmo di fattorizzazione in termini di velocità. Questi segue in ordine di efficienza il Quadratic Sieve (QS, c.d. Crivello Quadratico) ed il Number Field Sieve (NFS c.d. Crivello dei Campi dei Numeri).

5. ECM risulta essere il migliore algoritmo di fattorizzazione di numeri che hanno divisori d i 20 - 25 cifre (ovvero da 64 a 83 bits).

7. La lunghezza delle chiavi per l'utilizzo sicuro di RSA è aumentata nel corso degli ultimi anni e questo ha sottoposto alle applicazioni che utilizzano RSA ad un maggiore carico elaborativo.

8. Questo tipo di carico ha delle implicazioni, specialmente per siti di e -commerce e sistemi di strong authentication basati su Smart Card.

9. Il principale interesse di sistemi crittografici basati su Curve Ellittiche rispetto a RSA consiste nel fatto che queste sembrano offrire la stessa sicurezza con chiavi di minori dimensioni riducendo pertanto il carico di elaborazione.

11. L'efficienza computazionale dovuta all'utilizzo di tali strumeti è stata premiata anche da NSA ( National Security Agency ), la quale invita nell'adozione delle Curve Ellittiche nei sistemi di autenticazione in rete.

13. Sia n il numero da fattorizzare e p un suo fattore primo da trovare.

14. Una curva ellittica (in forma di Montgomery) è

15. Dove è il piano proiettivo su

16. L'elemento neutro è detto anche punto all'infinito.

17. L'idea chiave dell'algoritmo consiste nel proiettare in i calcoli svolti in , per ogni primo p divisore di n , tenendo particolare attenzione per le quantità che sono zero in ma non .

19. Calcoliamo il punto

20. ove B 1 è un bound prefissato.

22. La coordinata z del punto Q sarà

23. Il fattore incognito p potrà essere recuperato tramite

25. La seconda fase permette di trovare un fattore primo g 1 di g , tale che è un valore minore di un secondo bound B 2 .

26. L'idea consiste nel considerare due famiglie di punti (a i Q) e (b j Q ) della curva E , e verificare se tali punti sono uguali in E(Z/Z p ) .

27. Se (a i Q)=(x i : y i : z i ) e (b j Q )= (x' j : y' j : z' j ) , allora gcd(x i z' j -x' j z i ,n) sarà un fattore non banale quando g 1 divide un fattore non banale a i - b j

29. Continuazione paradosso del compleanno : si scelgono casualmente gli scalari dei punti (a i Q) e (b j Q ), con la speranza che la differenza a i - b j possa ricoprire la maggior parte dei primi minori del bound B 2 .

30. Continuazione standard : si scelgono gli scalari dei punti (a i Q) e (b j Q ), in modo tale che ogni primo minore del bound B 2 divide almeno una differenza a i - b j

31. Entrambe le continuazioni trovano un beneficio in termini computazionali se gestite tramite le estensioni della FFT.

33. dove:

34. p è il più piccolo divisore primo di n.

35. L(p) è

36. M(log n) rappresenta la complessità aritmetica modulo n

37. O(1) è un valore aggiunto per p che tende all'infinito.

38. La seconda fase decrementa il tempo di attesa di un fattore log p .

40. Un metodo efficiente per l'esecuzione di tale operazione è stato proposto da Montgomery nel 1987, conosciuto appunto come “Montgomery ladder algorithm”.

41. Tale algoritmo ha la peculiarità di poter essere applicato su diverse tipologie di curve, ed è indipendente dalla tipologia dei punti, infatti può utilizzare sia le coordinate affine che proiettive.

42. Come precedentemente anticipato, in seguito utilizzeremo solo coordinate proiettive, e mostreremo come tramite l'algoritmo di Montgomery sia possibile svincolarsi dalla coordinata y .

44. Sia k uno scalare espresso in base binaria di lunghezza s .

46. addh(R,Q,P) : effettua la somma di due punti diversi t.c.

48. addh(Q,R,P) richiede 6 moltiplicazioni

49. double(Q) richiede 5 moltiplicazioni

51. Suyama osservò che l'ordine di una curva ellittica in forma di Montgomery è divisibile per 4, o valori superiori come 8,12 o addirittura 16.

53. u = σ 2 -5 (mod n) e v = 4 σ (mod n)

56. La determinazione della curva E σ ed il punto di inizializzazione P σ sono del tutto dipendenti dal parametro casuale σ . Pertanto possiamo scegliere simultaneamente differenti σ per da cui generare altrettante curve E σ . Tale caratteristica comporta un parallelismo nella definizione delle curve, realizzabile tramite appositi thread.

57. La coordinata y è irrilevante nei calcoli sulla curva.

59. quindi |E(Z/Z p )| non è B1 -smooth (friabile).

60. Ma potrebbe accadere che

61. ove q è un primo maggiore del bound B 1 .

63. La condizione [p]Q=O implica che [ mD ± j]Q=O e che quindi [mD]Q=[ ± j]Q in E(Z/Z q ). Tale condizione è soddisfatta se e solo se

65. E' possibile ridurre ulteriormente il livello computazionale osservando che

66. x [j]Q , z [j]Q e x [j]Q z [j]Q sono valori precalcolati appartenenti alla lista breve S={[j]Q :1 ≤j≤(D/2) } , quindi per ogni [mD]Q appartenente alla sequenza T={[mD]Q : M min ≤ m ≤M max }, effettuiamo solo 2 moltiplicazioni (mod n )

67. Se il termine q è non banale abbiamo identificato il fattore primo del numero n , altrimenti scegliamo una nuova curva e ripartiamo dalla prima fase.

69. Nell'algoritmo p-1 abbiamo successo se, ovvero quando cioè p-1 è B-Smooth , ovvero # Z p * è B-friabile .

70. In modo identico il metodo di Lenstra ha successo quando # E(Z/Z p ) è B-friabile .

71. Differentemente dal metodo di Pollard, in cui il gruppo utilizzabile era soltanto uno, con il metodo di Lenstra, se la curva E non va bene, possiamo cambiare la curva ellittica E ed il punto il suo rispettivo punto P .

72. Quante curve dovremmo provare per avere successo?

73. Quanti sono i numeri B-smooth (friabili) ?

75. Per quantificare i numeri B-friabili , utilizziamo la funzione di Dickman-de Brujin Ψ (x,B) = #{n<=x | n è B-friabile} , da cui ricaviamo la probabilità che un numero intero casuale sia X (1/u) -friabile.

76. Come detto l'algoritmo ECM ha successo se #E(Z/Z p ) è B-friabile, quindi nel caso peggiore bisogna provare in media u u curve t.c. u = log(q)/log(B))

77. Il secondo bound B 2 , viene generalmente scelto tra 50B 1 e 100B 1 .

79. Bisogna svolgere al massimo B 2 /D per le operazioni svolte sull'insieme dei punti T .

80. La complessità totale delle operazioni è O(D+B 2 /D)

81. Scegliendo D ≈√ B 2 si minimizza la complessità O(D+B 2 /D)=O( √ B 2 )

83. I test sono stati realizzati tramite un applicativo scritto in linguaggio di programmazione Java il quale fa uso dei thread, in modo tale da poter gestire più curve espresse nella forma parametrizzata.

85. Fermat(10)=179769313486231590772930519078902473361797697894230657273430081157732675805500963132708477322407536021120113879871393357658789768814416622492847430639474124377767893424865485276302219601246094119453082952085005768838150682342462881473913110540827237163350510684586298239947245938479716304835356329624224137217

86. Bits: 1025, Digits: 309 - Bound: 150000

87. Fase 1 Precomputazione.. - Fase 2 Precomputazione..

88. Curve 1: 2937450992 -> Curve 2: 726875123 -> Curve 3: 3915612953 -> Curve 4: 2175638314

89. Fattorizzazione avvenuta nella Fase 2

90. 295760497253281793 *

91. 607820568181834328745927047401406785398975700821911559763928675076909152806525747797078707978021962487854849079350770968904705424125269800765765006449689562590686195386366153585734177565092347016126765195631310982002631912943551551593959032889971392442015624176361633631364310142874363629569

92. Tempo di Esecuzione: 00:04:27.331 (hh:mm:ss:ms)

94. Factorization of the tenth Fermat Number , di R. Brent

95. Implementing the Elliptic Curve Method of Factoring in Reconfigurable Hardware, di Kris Gaj + altri.

96. Appunti lezioni di Crittografia del prof. R. Schoof .