Implentation Efficiente de la Multiplication Scalaire utilisant la Parallisation Cryptographie sur les Courbes Elliptiques

(1)

Scalaire utilisant la Parall´

elisation

Cryptographie sur les Courbes Elliptiques

Jonathan Taverne

Universit´e Lyon 1 - CINVESTAV

(2)

Institution

Centre de Recherche et d’´Etudes Avan¸c´ees de l’Institut Polytechnique National du Mexique

D´epartement d’Informatique, Mexico Environ 100 publications par an

(3)

Cryptographie sur les courbes elliptiques

1985 : N. Koblitz et V. Miller introduisent (ind´ependamment) la cryptographie sur les courbes elliptiques (ECC)

Le passé : RSA, factorisation de grands nombres Le présent : ECC, problème du logarithme discret

taille clefsRSA >taille clefsECC

(4)

(5)

Contexte

Op´eration majeure : multiplication scalaire sur les CE

kP =P+P + · · · +P

| {z }

k fois

1991 : les courbe de Koblitz permettent une implémentation efficiente de cette opération en utilisant l’opérateur τ

(6)

Contexte

Type de [1] : AHR, Ce travail,

courbes Koblitz-curves random-curves

τ doublement

Op´erations τ−1 bissection

τ et τ−1 _{doub. et bis.}

[1] : O. Ahmadi, D. Hankerson et F. Rodr´ıguez-Henr´ıquez,Parallel

(7)

(8)

Plan

1 Corps finis

2 Courbes elliptiques

(9)

Plan

1 Corps finis

(10)

Groupes et anneaux

Groupe :

Ensemble non videG muni d’une loi de composition interne• tels que :

• est associative

• admet un ´el´ement neutree

tout ´el´ement deG admet un inverse pour•

Anneau :

EnsembleAmuni de deux lois de composition interne (+,•) tels que : (A,+) est un groupe commutatif avec comme élément neutre 0A la loi .admet un élément neutre différent de 0A, noté 1A

(11)

Corps finis

Corps :

Un corps est un anneau commutatif dans lequel tout élément non nul est inversible. Une telle structure est en général notée (K,+, .), se résumant à un ensemble muni de deux opérations.

Corps fini :

Un corps fini ou corps de Galois (Galois Field) est un corps àqéléments notéFq ouGF(q).

Corps fini binaire :

Un corps fini binaire est un corps fini de caract´eristique 2, not´eF2m ou

(12)

Arithm´

etique sur les corps finis

_F

₂m

Repr´esentation :

Les éléments deF2m peuvent être représentés en base polynomiale de degré au plusm−1 avec des coefficients issus du corpsF2={0,1}:

∀a∈GF(2m₎_, _a₌ m−1

X

i=0

aixi , ai∈ {0,1}

Différentes opérations définies sur surF2m :

Addition Multiplication Inversion Reduction

´

Elévation au carré Racine carrée Trace

(13)

Plan

1 Corps finis

(14)

´

Equation de Weierstrass

Definition :

Une courbe elliptique E sur un corps K est une courbe d´efinie par :

E :y2+a₁xy+a₃y =x3+a₂x2+a₄x+a₆

(15)

´

Equation simplifi´

ee de Weierstrass

Si les courbes sont définies sur un corps fini de caractéristique 2 un changement admissible de variable conduit à une forme simlifiée de l’équation de Weierstrass.

Definition :

Une courbe elliptique E sur un corpsF2m est d´efinie par :

E/F2m:y2+xy =x3+ax2+b

(16)

Addition de points

P = (x1, y1)∈E(F2m)

Q= (x2, y2)∈E(F2m)

SiP 6=−Q alors nous obtient

R=P +Q = (x3,y3) grˆace aux

formules suivantes :

x3 =λ2+λ+x1+x2+a

y3=λ(x1+x3) +x3+y1

(17)

Doublement de point

P = (x1, y1)∈E(F2m) Siy16= 0 alors nous obtient R= 2P = (x₃,y₃) grˆace aux formules suivantes :

x3 =λ2+λ+a

y3 =x12+λx3+x3

(18)

Coordonn´

ees projectives

Standard : le point projectif (X :Y :Z), avec Z 6= 0, correspond au point affine (X/Z,Y/Z)

Jacobian : le point projectif (X :Y :Z), avec Z 6= 0, correspond au point affine (X/Z2,Y/Z3)

L´opez-Dahab : le point projectif (X :Y :Z), avec Z 6= 0, correspond au point affine (X/Z,Y/Z2)

Coordonn´ees Addition Addition (mixte) Doublement

Affine I+ 2M · · · I + 2M

Proj. Standard 13M 12M 7M

Proj. Jacobienne 14M 10M 5M

(19)

Bissection de point

1999, E. Knudsen et R. Schroeppel (ind´ependamment).

Opération inverse du doublement de point : étant donné un point Q = (u,v), on cherche le point P de coordonnées (x,y) tel queQ = 2P.

Cela consiste donc `a r´esoudre

u =λ2+λ+a pour λ

(20)

Bissection de point

L’efficience de l’op´eration de bissection repose sur :

le calcul de la fonction trace

le calcul de la fonction demi-trace (´equation quadratique)

(21)

Multiplication scalaire

La multiplication scalaire sur les courbes elliptiques est not´ee

kP o`u k est un entier et P un point d’une courbe elliptique.

Cette op´eration ajoute un pointP ∈E(F2m) k fois :

kP =P+P + · · · +P

| {z }

k fois

Différentes méthodes pour calculer cette opération :

(22)

Multiplication scalaire : utilisant le doublement

Algorithme 1Méthode Addition-et-Doublement, de ”droite à gauche” Entrée: k = (kt−1,kt−2, ...,k1,k0)2,P∈E(F2m) ;

Sortie: kP;

1: _Q _{← O}_;

2: _for _i_{= 0}_to _t₋₁ _do

3: _if _k_i _{= 1}_then _Q_←_Q₊_P_;

4: _P_←₂_P_;

5: _{end for} 6: _return ₍_Q_{) ;}

Coˆut : t doublements inconditionnels et moyenne de t

2 additions

Représentation ω-NAF: réduit la densité de 0 dans la

(23)

Multiplication scalaire : utilisant la bissection

L’id´ee est de recoder l’entier k en une forme k′ qui permet

l’utilisation de la bissection plutˆot que du doublement.

Analogie sur les entiers :

”doubling”

letx = 6

2x= 12

”halving” let x′= 4x = 24

(24)

Multiplication scalaire : utilisant la bissection

Recodification :k′ = 2(t−1)k mod(n) ⇐⇒ k = ₂(tk−′1) mod(n)

Algorithme 2Méthode Addition-et-Bissection, de ”droite à gauche” Entrée: k′_{= (}_k′

t, ...,k1′,k0′)2, P∈E(F2m). Sortie: kP.

1: _Q ← ∞.

2: _for _i _{from 0 to}_t _do

3: _if_k′

i = 1 thenQ←Q+P.

4: _P_←_P_/₂_.

(25)

Multiplication scalaire : formulation parall`

ele

Entr´ee: ω,INDEX, scalairek,P∈E(F2m) ;

Sortie: kP;

1: _{recodifier le scalaire :}k′_{= 2}INDEX_{k mod n}_;

2: _{obtenir la repr´}_esentation_ω₋NAFdek′_; 3: Q1← O;

4: _{DEBUT THREAD 0} _{DEBUT THREAD 1}

5: _pr´_e-calculer_P_i ₌_iP _initialiser_Q_i ₌_O pouri∈ {1,3,5, . . . ,2ω₋₁

−1}; pouri∈ {3,5, . . . ,2ω₋₁

−1}; 6: fori=ttoINDEX+ 1do fori=INDEX to0do

7: Q1←2Q1; ifki′>0then

8: _if _k′

i >0then Qk′

i ←Qki′+P;

9: _Q₁_←_Q₁₊_P_k

i; end if

10: end if ifk′

i <0then

11: if k′

i <0then Q−k′

i ←Q−ki′−P; 12: Q1←Q1−P−ki; end if

13: _{end if} _P_←_P_{/2 ;}

14: _{end for} _{end for}

15: _{FIN THREAD 0} _{FIN THREAD 1}

16: Q←P2

ω₋1

−1

i=1 iQi;

(26)

Plan

1 Corps finis

(27)

Parall´

elisation

Deux grandes tendances actuellement :

Vectorisation

Instruction SIMD = SSE pour Intel

Nouvelle instruction ”Carry-Less Multiplication”

(28)

(29)

R´

esultats exp´

erimentaux

Plateforme : GCC version 4.5, Intel Core i5 (32nm), langage C.

Op´eration Ce travail Ce travail [1], 2008

E(F2233) (ch) (µs) (µs)

Mul. (doublement ouτ) 277199 83 349 (τ)

Mul. (bissection ouτ−1₎ ₂₃₅₅₃₈ ₇₁ _{345 (}_τ−1₎

Mul. (parall`ele) 155363 47 187

Acc´el´eration 34 % 46 %

[1] : O. Ahmadi, D. Hankerson et F. Rodr´ıguez-Henr´ıquez,Parallel

(30)

(31)

Bilan

SSE = obligatoire

Carry-Less Multiplication = grand changement ?

(32)

Prolongements

ECDSA : Elliptic Curve Digital Signature Algorithm

Op´eration clef :kP +lQ

M´ethode : interleaving (r´eduire le nombre de doublements)

(33)

(34)