MỞ ĐẦU Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin, truyền thông nói chung và Internet nói riêng đã giúp cho việc trao đổi thông tin nhanh chóng, dễ dàng, E-mail cho phép người ta nhận hay gửi thư ngay trên máy tính của mình, E- business cho phép thực hiện các giao dịch trên mạng. Do vậy một vấn đề phát sinh là thông tin có thể bị trộm cắp, có thể là sai lệch, có thể giả mạo. Điều đó có thể ảnh hưởng tới các tổ chứa, các công ty hay cả một quốc gia. Những bí mật kinh doanh, tài chính là mục tiêu của các đối thủ cạnh tranh. Những tin tức về an ninh quốc gia là mục tiêu của các tổ chức tình báo trong và ngoài nước. Để giải quyết tình hình trên an toàn thông tin được đặt ra cấp thiết. Kỹ thuật mật mã là một trong những giải pháp của an toàn truyền thông. Kỹ thuật này có từ ngàn xưa nhưng nó đơn giản, ngày nay khi có mạng máy tính người ta dùng mật mã hiện đại. Các nhà khoa học đã phát minh ra những hệ mật mã nhằm che dấu thông tin cũng như là làm rõ chúng để tránh sự dòm ngó của những kẻ cố tình phá hoại như các hệ mật: RSA, Elgamal… mặc dù cũng rất an toàn nhưng có độ dài khoá lớn nên trong một số lĩnh vực không thể ứng dụng được. Chính vì vậy người ta đã phát minh một hệ mật đó là hệ mật trên đường cong elliptic, hệ mật này được đánh giá là hệ mật có độ bảo mật an toàn cao và hiệu quả hơn nhiều so với hệ mật công khai khác, nó đã được ứng dụng trên nhiều lĩnh vực và được sử dụng nhiều nơi trên thế giới tuy nhiên còn mới mẻ ở Việt Nam. Trong tương lai gần Hệ mật trên đường cong Elliptic sẽ được sử dụng một cách phổ biến và thay thế những hệ mật trước nó. Bài tập lớn của chúng em nghiên cứu về Chữ ký số trên đường cong Elliptic ECDSA. Thông qua quá trình nghiên cứu, nội dung được tóm tắt trong 4 chương như sau: Chương 1: Cơ sở toán học  Chương 2: Đường cong Elliptic Chương 3: Thuật toán chữ ký số trên đường cong Elliptic  Chương 4: Giới thiệu chương trình  CHƯƠNG 1 CƠ SỞ TOÁN HỌC 1.1. Phương trình đồng dư bậc hai và thặng dư bậc hai Ta xét phương trình đồng dư bậc hai có dạng như sau: x2 ≡ a (mod n) Trong đó n là số nguyên dương, a là số nguyên với gcd(a, n) ≡ 1, và x là ẩn số. Phương trình đó không phải bao giờ cũng có nghiệm, khi nó có nghiệm thì ta gọi a là thặng dư bậc hai mod n. Ngược lại thì a gọi là một bất thặng dư bậc hai mod n. Tập các số nguyên nguyên tố với n được phân hoạch thành hai tập con. Tập Qn các thặng dư bậc hai mod n, và tập các bất thặng dư bậc hai mod n. Tiêu chuẩn Euler Khi p là số nguyên tố, số a là thặng dư bậc 2 mod p nếu và chỉ nếu a(p- 1)/2 ≡ 1 (mod p) 1.2. Nhóm 1.2.1. Nhóm Định nghĩa 1. 2.1 (Nhóm) Nhóm (G, ° ) là một tập hợp G cùng với một phép toán hai ngôi, ký hiệu ° (là một ánh xạ từ tập G × G → G) thỏa mãn các tiên đề sau: G1. Tính đóng: Nếu a, b ∈ G, thì a ° b ∈ G. G2. Tính kết hợp: (a ° b) ° c = a ° (b ° c), với ∀a, b, c ∈ G. G3. Phần tử đơn vị (trung hòa): Trong G tồn tại một phần tử được gọi là phần tử đơn vị e sao cho với ∀a ∈ G thì a ° e = e ° a = a. G4. Phần tử nghịch đảo: Với mỗi phần tử a ∈ G tồn tại một phần tử a -1 , gọi là phần tử nghịch đảo của a, sao cho: a -1 ° a = a ° a -1 = e. Chú ý: toán tử ° là ký hiệu chung và có thể đại diện cho toán tử cộng, nhân hoặc các toán tử toán học khác. Định lý 1.2.1: Với ∀a ∈ G, a -1 ° a = e. Chứng minh: Khai triển a -1 ° a, có: o a -1 ° a = a -1 ° a ° e (theo G3) o a -1 ° a ° e = a -1 ° a ° (a -1 ° (a -1 ) -1 ) (theo G4, a -1 có một nghịch đảo ký hiệu là (a -1 ) -1 ) o a -1 ° a ° (a -1 ° (a -1 ) -1 ) = a -1 ° (a ° a -1 ) ° (a -1 ) -1 = a -1 ° e ° (a -1 ) -1 (theo G2 và G4) o a -1 ° e ° (a -1 ) -1 = a -1 ° (a -1 ) -1 = e (theo G3 và G4) ⇒ a -1 ° a = e Định lý 1.2.2: Với ∀a ∈ G, e ° a = a. Chứng minh: Khai triển e ° a, có: o e ° a = (a ° a -1 ) ° a (theo G4) o (a ° a -1 ) ° a = a ° (a -1 ° a) = a ° e (theo G2 và định lý 1.1.1) o a ° e = a (theo G3) ⇒ e ° a = a Định lý 1.2.3: Với ∀a, b ∈ G, tồn tại duy nhất x ∈ G sao cho a ° x = b. Chứng minh: Chắc chắn, tồn tại ít nhất một phần tử x như vậy, chẳng hạn đặt x = a -1 ° b, thì x ∈ G (theo G1) và do đó: o a ° x = a ° (a -1 ° b) (thế x) o a ° (a -1 ° b) = (a ° a -1 ) ° b (theo G2). o (a ° a -1 ) ° b= e ° b = b (theo G3). Như vậy x này luôn tồn tại và thỏa mãn a ° x = b. Để chỉ ra tính duy nhất, nếu a ° x = b, thì: o x = e ° x o e ° x = (a -1 ° a) ° x o (a -1 ° a) ° x = a -1 ° (a ° x) o a -1 ° (a ° x) = a -1 ° b ⇒ x = a -1 ° b Định lý 1.2.4: Phần tử đơn vị của một nhóm (G, ° ) là duy nhất. Chứng minh: Giả sử G có hai phần tử đơn vị là e và f. Vậy thì e ° f = e (theo G3), nhưng cũng có e ° f = f (theo định lý 1.1.2) ⇒ e = f. Như vậy, có thể nói phần tử đơn vị của (G, ° ) thay vì một phần tử đơn vị. Khi đề cập những nhóm khác nhau, sẽ thường ký hiệu e G cho phần tử đơn vị của nhóm (G, ° ). Định lý 1.2.5: Phần tử nghịch đảo của mỗi phần tử thuộc (G, ° ) là duy nhất, hay với ∀a ∈ G, a ° x = e nếu và chỉ nếu x = a -1 . Chứng minh: Giả sử một phần tử g ∈ G có hai phần tử nghịch đảo, h và k. Thì h = h ° e = h ° (g ° k) = (h ° g) ° k = e ° k = k (các đẳng thức nhận được theo G3, G4, G2, định lý 1.1.1 và định lý 1.1.2, theo thứ tự). Như vậy, có thể nói phần tử nghịch đảo của một phần tử x, thay vì một phần tử nghịch đảo. Định lý 1.2.6: Với ∀a ∈ (G, ° ), (a -1 ) -1 = a. Chứng minh: Ta có a -1 ° a = e, đi đến kết luận dựa vào định lý 1.1.4. Định lý 1.2.7: Với ∀a, b∈ (G, ° ), (a ° b) -1 = b -1 ° a -1 . Chứng minh: Ta có (a ° b) ° (b -1 ° a -1 ) = a ° (b ° b -1 ) ° a -1 = a ° e ° a -1 = a * a -1 = e, có kết luận dựa vào định lý 1.4. Định lý 1.2.8: Với ∀a, x, y ∈ (G, ° ), nếu a ° x = a ° y, thì x = y và nếu x ° a = y ° a, thì x = y. Chứng minh: Nếu a ° x = a ° y thì: o a -1 ° (a ° x) = a -1 ° (a ° y) o (a -1 ° a) ° x = (a -1 ° a) ° y o e ° x = e ° y ⇒ x = y Nếu x ° a = y ° a thì o (x ° a) ° a -1 = (y ° a) ° a -1 o x ° (a ° a -1 ) = y ° (a ° a -1 ) o x ° e = y ° e ⇒ x = y Ví dụ 1.2.1 (Nhóm) 1. Tập số thực (R) là một nhóm dưới phép cộng (+): a. Tổng của hai số thực bất kỳ là một số thực (tính đóng). b. Với ∀ a, b, c ∈ R: (a + b) + c = a + (b + c) (tính kết hợp). c. Với ∀ a ∈ R: a + 0 = a (0 là phần tử đơn vị). d. Với ∀ a ∈ R: –a + a = 0 (tồn tại phần tử đối lập). 2. Tập số thực khác không (R # ) là một nhóm dưới phép nhân (*): a. Tích của hai số thực luôn là một số thực (tính đóng). b. Với ∀ a, b, c ∈ R: (a * b) * c = a * (b * c) (tính kết hợp). c. Với ∀ a ∈ R: a * 1 = a (1 là phần tử đơn vị). d. Với ∀ a ∈ R: a * a -1 = 1 (tồn tại phần tử đối lập). 3. Tập Z 5 = {0, 1, 2, 3, 4} là một nhóm theo phép cộng modulo 5. Vì theo bảng tính toán dưới đây, nó hoàn toàn thỏa mãn 4 tiên đề của nhóm. 1 2 1 2 2 3 3 4 4 0 0 1 4. Tương tự có thể chứng minh rằng tập Z n = {0, 1, 2, 3, …, n – 1} là nhóm đối với phép cộng theo modulo n, ký hiệu + n Z . Định nghĩa 1. 2. 2 (Nhóm hữu hạn và vô hạn) Nhóm G gọi là hữu hạn nếu như tập G có số lượng phần tử hữu hạn, và trường hợp ngược lại gọi là vô hạn. Định nghĩa 1. 2 .3 (Nhóm abel hay nhóm giao hoán) Nhóm G gọi là giao hoán nếu như với ∀a, b ∈ G thì a ° b = b ° a. Nói cách khác, nhóm abel là nhóm giao hoán. Sau này sẽ không khảo sát các nhóm không giao hoán, vì vậy mọi nhóm đều là nhóm abel, cho nên thuật ngữ “abel” thường bỏ qua. Ví dụ 1.2.2 1. Tập hợp của các số nguyên Z là nhóm đối với toán tử (+), tức là cặp (G, +) – là nhóm, ở đây e = 0 và a –1 = – a. Đây là nhóm cộng, vô hạn và abel. (Theo G4: a -1 + a = 0 → a -1 = -a). Tập hợp của các số hữu tỷ Q, tập hợp của các số thực R, tập hợp của các số phức C cũng là nhóm cộng và vô hạn, trong đó phần tử đơn vị và ngược được xác định theo cùng quy tắc. 2. Các phần tử khác không của tập hợp Q , R và C đối với phép nhân – là các nhóm, trong đó e = 1 và a –1 là phần tử nghịch đảo, được xác định theo quy tắc thông thường. Ký hiệu các nhóm này là (Q, * ), (R, *) và (C, *). Các nhóm này được gọi là các nhóm nhân và vô hạn. 3. Đối với số nguyên bất kỳ n ≥ 1, tập hợp các số nguyên theo modulo n hình thành lên nhóm hữu hạn, bao gồm từ n phần tử. Phần tử đơn vị của nhóm này là số 0, đối với phần tử a bất kỳ sẽ thực hiện điều kiện a –1 = n – a. Nhóm này được ký hiệu là Z n và ký hiệu đầy đủ của nhóm này là (Z n , + (mod n)). (Theo G4: a -1 + a = 0 mod n → a –1 = n – a). Định nghĩa 1. 2. 4 (Bậc của nhóm) Số lượng phần tử của tập hữu hạn G được gọi là bậc của G, được kí hiệu là #G. 1.1.1Nhóm con Định nghĩa 1. 2. 5 (Nhóm con) Một tập con H của G được gọi là một nhóm con của một nhóm (G, ° ) nếu H thỏa mãn các tiên đề về nhóm và sử dụng cùng các toán tử ° . Như vậy, nếu H là một nhóm con của (G, ° ), thì (H, ° ) cũng là một nhóm, và đồng thời thỏa mãn các định lý trên. Kí hiệu GH ⊆ . Ví dụ 1.2.3 (Nhóm con) 1. Đối với phép cộng CRQZ ⊆⊆⊆ . 2. Tập { } e là nhóm con của mọi nhóm. 3. Tất cả các nhóm con của + 6 Z là {0}, {0, 3}, {0, 2, 4} và chính nó. Định nghĩa 1 . 2.6 (Nhóm con tách biệt và nhóm con không tầm thường) Một nhóm con tách biệt của một nhóm G là một nhóm con khác G (H ≠ G), ký hiệu H ⊂ G. Một nhóm con không tầm thường của G là bất kỳ nhóm con tách biệt nào của G chứa một phần tử khác e. Định lý 1.2.9: Nếu H là một nhóm con của (G, ° ), thì phần tử đơn vị e H của H giống với phần tử đơn vị e của nhóm (G, ° ). Chứng minh: Nếu h ∈ H, thì h ° e H = h; vì h cũng phải thuộc G, h ° e = h; do đó theo định lý 1.1.4, e H = e. Định lý 1.2.10: Nếu H là một nhóm con của G, và h là một phần tử của H, thì nghịch đảo của h trong H giống với nghịch đảo của h trong G. Chứng minh: Gọi h và k là các phần tử của H, sao cho h ° k = e, bởi vì h cũng thuộc G, h ° h -1 = e do đó theo định lý 1.1.5, k = h -1 . Định lý 1.2.11: Nếu S là một tập con không rỗng của G, thì S là một nhóm con của G nếu và chỉ nếu với ∀a, b ∈ S, a ° b -1 ∈ S. Chứng minh: 1. Nếu với ∀a, b ∈ S, a ° b -1 cũng thuộc S, thì o e ∈ S, vì a ° a -1 = e ∈ S. o Với ∀a ∈ S, e ° a -1 = a -1 ∈ S o Với ∀a, b ∈ S, a ° b = a ° (b -1 ) -1 ∈ S Do đó, các tiên đề về tính đóng, phần tử đơn vị, phần tử nghịch đảo, và tính kết hợp được kế thừa do đó S là một nhóm con. 2. Ngược lại, nếu S là một nhóm con của G, thì nó tuân theo các tiên đề về nhóm. o Như đã nói, phần tử đơn vị của S chính là phần tử đơn vị e của G. o Theo G4, với ∀b ∈ S, b -1 ∈ S o Theo G1, a ° b -1 ∈ S. Định lý 1.2.12: Giao của các nhóm con của nhóm G là một nhóm con. Chứng minh: 1. Gọi {H i } là một tập các nhóm con của G, và K = ∩{H i }. 2. e là phần tử của mọi H i theo định lý 1.1.9, do đó K không rỗng. 3. Nếu h và k là các phần tử của K, thì với ∀i, có: o h và k ∈ H i . o Theo định lý trước, h ° k -1 ∈ H i o Do đó, h ° k -1 ∈ ∩{H i }. o Do đó với ∀h, k ∈ K, h ° k -1 ∈ K. o ⇒ K = ∩{H i } là một nhóm con của G và hơn nữa K là một nhóm con của mỗi H i . Định lý 1.2.13: Gọi a là một phần tử của một nhóm (G, ° ), khi đó tập hợp {a n : n nguyên} là một nhóm con của G. Định nghĩa 1. 2 .7 (Liên tập, hay liền kề) Cho G là nhóm abel, H ⊆ G và Ga ∈ thì tập hợp {a ° hh ∈ H} gọi là liên tập trái (left coset) của nhóm con H trong G và ký hiệu là a ° H, và tập hợp {h ° ah ∈ H} gọi là liên tập phải (right coset) của nhóm con H trong G và ký hiệu là H ° a Định lý 1.2.14: Nếu H là một nhóm con của G, và x, y là các phần tử của G, thì x ° H = y ° H, hoặc x ° H và y ° H không giao nhau. Định lý 1.2.15: Nếu H là một nhóm con của G, thì mọi liên tập trái (phải) của H trong G chứa cùng số phần tử. Định lý 1.2.16: Nếu H là một nhóm con của G, thì số liên tập trái phân biệt của H bằng với số liên tập phải phân biệt của H. Định lý Lagrange: Nếu H là một nhóm con của một nhóm hữu hạn G, thì GH |## , tức là số lượng phần tử của H là ước số của #G. Chứng minh: Giả sử G là nhóm hữu hạn và H là nhóm con của nó. Nếu G = H, thì điều cần chứng minh là hiển nhiên đúng. Giả sử { } n hhH ,, 1 = nhỏ hơn nhóm G và giả sử HGx \ ∈ . Lúc này tất cả các phần tử của tập { } xhxhHx n ,, 1 = khác nhau và không trùng với các phần tử của H. Vì từ xhxh ji = dẫn đến ji hh = , nhưng ji hxh = dẫn đến Hhhx ji ∈= −1 là không thể. Nếu như GHxH =∪ , thì định lý được chứng minh. Nếu như H ∪ Hx nhỏ hơn G, thì có thể chọn )(\ HxHGy ∪∈ và thành lập nên tập { } yhyhHy n ,, 1 = . Tương tự các phần tử của tập này cũng khác nhau và không trùng với các phần tử của tập HxH ∪ . Cứ tiếp tục như thế, nhận kết quả như sau ∪∪∪= HyHxHG . Từ đây có || G chia hết cho n. 1.2.2. Bậc phần tử của nhóm Định nghĩa 1.2.8 (Bậc phần tử của nhóm) Cho G là một nhóm và Ga∈ . Bậc của phần tử a là số dương nhỏ nhất Zi ∈ , thỏa mãn điều kiện ea i = . Số này ký hiệu là ord(a). Nếu như số i không tồn tại thì a là phần tử có bậc vô hạn. Chú ý: biểu thức a i được sử dụng để chỉ toán tử lặp (a ° a ° … ° a) i lần (i nguyên, dương). Khi ° = +, thì a ° a ° … ° a = a . i, còn khi ° = *, thì a ° a ° … ° a = a i . [...]... của điểm G thuộc E là số k dương bé nhất sao cho kG = O; khi k = #E(Fq) thì G là điểm cơ sở của E CHƯƠNG 3 CHỮ KÝ SỐ ĐƯỜNG CONG ELLIPTIC ECDSA 3.1 3.2 Giới thiệu về chữ ký số: o Chữ ký số (digital signature) là ứng dụng quan trọng nhất của mật mã khóa công khai o Chữ ký số cung cấp các khả năng an toàn mà sẽ rất khó được thực hiện theo các phương pháp khác o CKS không được sử dụng nhằm bảo mật thông... Thuật toán chữ ký số trên đường cong Elliptic ECDSA trên trường Fq Năm 1976, Diffie và Hellman giới thiệu hệ mã hoá khoá công khai đầu tiên mà sự an toàn của nó dựa trên độ khó của bài toán DLP Họ đưa ra khái niệm hàm cửa sập một chiều (TOF) Năm 1985, Lenstra thành công trong việc sử dụng các đường cong elliptic cho các số nguyên Kết quả này mang lại khả năng áp dụng các đường cong elliptic trong các... trên các đường cong Elliptic ngày càng thu hút nhiều sự chú ý và một số thuật toán đã được đưa thành chuẩn trong các RFC Sơ đồ chữ ký ECDSA được xây dựng tương tự như sơ đồ chữ ký ElGamal tuy nhiên các thuật toán ký và thuật toán kiểm thử được xây dựng dựa trên đường cong Elliptic Để thiết lập sơ đồ chữ ký ECDSA, cần xác định các tham số: lựa chọn đường cong E trên trường hữu hạn Fq với đặc số p sao... (x, ∞ ) Số lượng điểm của E(Fp) là #E(Fp) thỏa mãn định lý Hasse Chú ý: Độ phức tạp của thuật toán xây dựng trên nhóm đường cong Elliptic phụ thuộc vào số điểm trên đường cong đó, và xét định lý Hasse về số điểm trên đường cong Elliptic Định lý 2.1.1 (Định lý Hasse): Số các điểm trên đương cong Elliptic thỏa mãn bất đẳng thức sau: p + 1 − 2 p ≤# E ( Fp ) ≤ p + 1 + 2 p Định nghĩa 2.1.2 (Bậc của điểm)... cong Elliptic 2.1.1 Công thức Weierstrasse và đường cong elliptic Gọi K là một trường hữu hạn hoặc vô hạn Một đường cong elliptic được định nghĩa trên trường K bằng công thức Weierstrass: y2 + axy + by = x3 + cx2 + dx + e, ở đây a, b, c, d, e là các số thỏa mãn một vài điều kiện đơn giản nào đó và thuộc K Hình 1: Các ví dụ về đường cong elliptic 2.1.2 Đường cong elliptic trên trường hữu hạn Đường cong. .. toàn của sơ đồ ký ECDSA dựa trên bài toán logarit rời rạc đường cong elliptic Cho đến nay độ an toàn của các hệ mã hoá đường cong elliptic đã được chỉ ra là rất an toàn và hiệu quả Đối với bài toán logarit rời rạc đường cong elliptic thì có nhiều thuật toán giải nó Tuy nhiên chưa có thuật toán nào có độ phức tạp tính toán trong thời gian đa thức Thuật toán giải bài toán logarit rời rạc đường cong elliptic. .. hạn Đường cong elliptic được xây dựng trên các trường hữu hạn Có hai trường hữu hạn thường được sử dụng: trường hữu hạn Fq với q là số nguyên tố p hoặc q là 2m (m là số nguyên) Tùy thuộc vào trường hữu hạn Fq, với mỗi bậc của q, tồn tại nhiều đường cong elliptic Do đó, với một trường hữu hạn cố định có q phần tử và q lớn, có nhiều sự lựa chọn nhóm đường cong elliptic 2.1.3 Đường cong elliptic trên trường... có là các số tự nhiên trong khoảng [ 2, n-1 ] không 2 Tính w = mod n 3 Tính u1 = mw mod n và u2 = rw mod n 4 Tính X = u1G + u2Q = (XX, YX) 5 Nếu X = O thì phủ nhận chữ ký Ngược lại tính v = XX mod n 6 Chữ ký chỉ được chấp nhận nếu v = r 3.6 Độ an toàn của sơ đồ chữ ký ECDSA Các hệ mã hoá đường cong elliptic đầu tiên được phát minh năm 1985 bởi Neal Kobliz và Victor Miller Tuy nhiên sơ đồ chữ ký ECDSA... công MOV và đề xuất một ứng dụng thực tế của các đường cong elliptic cho các sơ đồ chữ ký và định danh trên Smart Card Năm 1993, Demytko đưa ra một thuật toán mới tương tự như RSA cho các đường cong Elliptic trên vành Zn vượt qua các hạn chế của các phiên bản trước, và Menezes và Vanstone đã đưa ra phương pháp thực thi trên các thiết bị cứng có thể cài thiện các tính toán trên elliptic trên một trường... nghiệm của phương trình q nên phương trình trên trong trường Fq n xq − x = 0 x q − x = 0 thuộc không là phần tử của Fqn Fq n , thỏa mãn điều kiện Thấy rằng bậc của đa thức bằng không thể có số nghiệm lớn hơn q kể cả 0 Từ phần 1 của định lý, trường F là trường con của phương trình * Fq n , mà các nghiệm của về F Nên không một nghiệm của đa thức xq − x = 0 CHƯƠNG 2 ĐƯỜNG CONG ELLIPTIC 2.1 Giới thiệu về đường . Nam. Trong tương lai gần Hệ mật trên đường cong Elliptic sẽ được sử dụng một cách phổ biến và thay thế những hệ mật trước nó. Bài tập lớn của chúng em nghiên cứu về Chữ ký số trên đường cong Elliptic. nhiều sự lựa chọn nhóm đường cong elliptic. 2.1.3. Đường cong elliptic trên trường F p (p là số nguyên tố) Định nghĩa 1.1 .1 (Đường cong elliptic trên trường F p ) Cho p là số nguyên tố (p >. b, c, d, e là các số thỏa mãn một vài điều kiện đơn giản nào đó và thuộc K. Hình 1: Các ví dụ về đường cong elliptic 2.1.2. Đường cong elliptic trên trường hữu hạn Đường cong elliptic được xây