В 1998 году Герхард Фрей впервые предложил использовать многообразия с нулевым следом для криптографических целей. Эти многообразия являются подгруппами группы класса делителей на гиперэллиптической кривой низкого рода, определенной над конечным полем . Эти группы могут быть использованы для установления асимметричной криптографии с использованием задачи дискретного логарифмирования в качестве криптографического примитива.
Разновидности Trace zero обладают лучшей производительностью скалярного умножения, чем эллиптические кривые. Это позволяет выполнять быструю арифметику в этих группах, что может ускорить вычисления в 3 раза по сравнению с эллиптическими кривыми и, следовательно, ускорить криптосистему.
Другое преимущество заключается в том, что для групп криптографически релевантного размера порядок группы можно просто вычислить с помощью характеристического полинома эндоморфизма Фробениуса. Это не так, например, в криптографии эллиптических кривых , когда группа точек эллиптической кривой над простым полем используется для криптографических целей.
Однако для представления элемента множества нулевого следа требуется больше битов по сравнению с элементами эллиптических или гиперэллиптических кривых. Другим недостатком является тот факт, что можно снизить безопасность TZV на 1/6 длины бита, используя атаку покрытия .
Гиперэллиптическая кривая C рода g над простым полем , где q = p n ( p prime) нечетной характеристики, определяется как
где f монична, deg( f ) = 2 g + 1 и deg( h ) ≤ g. Кривая имеет по крайней мере одну -рациональную точку Вейерштрасса.
Якобианское многообразие C для всех конечных расширений изоморфно группе идеальных классов . С помощью представления Мамфорда можно представить элементы с помощью пары многочленов [u, v] , где u , v ∈ .
Эндоморфизм Фробениуса σ применяется к элементу [u, v] для возведения каждого коэффициента этого элемента в степень q : σ( [u, v] ) = [ u q (x), v q (x)]. Характеристический многочлен этого эндоморфизма имеет следующий вид:
где я в
С помощью теоремы Хассе–Вейля можно получить групповой порядок любого поля расширения , используя комплексные корни τ i уравнения χ( T ):
Пусть D — элемент C , тогда можно определить эндоморфизм , так называемый след D :
На основе этого эндоморфизма можно свести якобиево многообразие к подгруппе G со свойством, что каждый элемент имеет нулевой след:
G является ядром эндоморфизма следа, и, таким образом, G является группой, так называемым (под)многообразием нулевого следа (TZV) группы .
Пересечение G и производится n -торсионными элементами . Если наибольший общий делитель, то пересечение пусто и можно вычислить групповой порядок G :
Фактическая группа, используемая в криптографических приложениях, является подгруппой G 0 группы G большого простого порядка l . Эта группа может быть самой G. [1] [2]
Существуют три различных случая криптографической значимости TZV: [3]
Арифметика, используемая в группе TZV G 0 , основана на арифметике для всей группы , Но можно использовать эндоморфизм Фробениуса σ для ускорения скалярного умножения. Это можно заархивировать, если G 0 генерируется D порядка l, тогда σ(D) = sD , для некоторых целых чисел s . Для данных случаев TZV s можно вычислить следующим образом, где a i берутся из характеристического многочлена эндоморфизма Фробениуса :
Зная это, можно заменить любое скалярное умножение mD (|m| ≤ l/2) на:
С помощью этого приема многократное скалярное произведение можно сократить примерно до 1/( n − 1) -го числа удвоений, необходимых для вычисления mD , если подразумеваемые константы достаточно малы. [3] [2]
Стойкость криптографических систем на основе подмногообразий с нулевым следом по результатам работ [2] [3] сопоставима со стойкостью гиперэллиптических кривых низкого рода g' над , где p' ~ ( n − 1)( g/g' ) для |G| ~128 бит.
Для случаев, когда n = 3, g = 2 и n = 5, g = 1, можно снизить безопасность максимум на 6 бит, где |G| ~ 2 256 , поскольку нельзя быть уверенным, что G содержится в якобиане кривой рода 6. Безопасность кривых рода 4 для подобных полей гораздо менее безопасна.
Атака, опубликованная в [4], показывает, что DLP в группах нулевого следа рода 2 над конечными полями характеристики, отличной от 2 или 3, и расширением поля степени 3 может быть преобразована в DLP в группе классов степени 0 с родом не более 6 над базовым полем. В этой новой группе классов DLP может быть атакована методами исчисления индексов. Это приводит к сокращению длины бита на 1 / 6 th .