Les mod` eles alternatifs de Courbes Elliptiques

Comme nous l’avons vu pr´ec´edemment, le mod`ele de Weierstrass de courbes el- liptiques, tel que pr´esent´e dans la d´efinition 2.15, muni de la loi de groupe usuelle, admet des formules d’additions et de doublement de points diff´erents. De plus, nous ne pouvons pas appliquer ces formules `a tous les points de la courbe car certains points, tel que le point O, ne v´erifient pas les ´equations d’addition et de doublement.

Algorithme 2.8 Algorithme de l’´Echelle de Montgomery pour la multiplication scalaire d’un point P sur une courbe elliptique E

Entr´ees k un scalaire, P un point de E Sorties: kP R0 ← O R1 ← P n = log₂(k) Pour i = n − 1 `a 0 Faire Si ki = 0 alors R1 ← R0+ R1 R0 ← 2R0 Sinon R0 ← R0+ R1 R1 ← 2R1 Fin Si Fin Pour Retourner Q = kP

Cette particularit´e peut s’av´erer probl´ematique lorsque l’on consid`ere une impl´emen- tation de la multiplication scalaire d’un point en temps constant, i.e. pour tout point d’entr´ee P et tout scalaire k, le temps d’ex´ecution de l’algorithme calculant kP est constant. Comme les temps de calculs pour effectuer kP sont diff´erents, alors cela impliquent l’utilisation de branchements conditionnels dont le temps d’ex´ecution d´e- pend des entr´ees. Ainsi, il est commun d’utiliser des mod`eles alternatifs de courbes elliptiques qui admettent une loi de groupe compl`ete et uniforme. Notons que r´e- cemment Joost et al. [RCB16] ont construit une loi de groupe compl`ete pour les courbes de Weierstrass.

En pratique, consid´erer la n´ecessit´e d’une loi de groupe uniforme et compl`ete pour des applications cryptographiques des courbes elliptiques n’est pas un bon argument. En effet, pour toutes les lois de groupe sur courbe elliptique le calcul du doublement de point est beaucoup plus rapide que celui de l’addition, utiliser les formules d’additions pour calculer un doublement de point n’est pas efficace et risque de grandement ralentir les performances du calcul de kP . Dans ces conditions pour les applications r´eelles, nous n’utiliserons pas l’uniformit´e d’une loi de groupe. De plus, la compl´etude de la loi de groupe n’apporte aucune s´ecurit´e, car les points qui posent g´en´eralement probl`eme, comme dans le cas de la loi de groupe sur les courbes de Weierstrass, seront dans tous les cas ´evit´es. Comme nous le verrons dans le chapitre 3, ces points peuvent ˆetre utilis´es pour mener des attaques par canaux auxiliaires [GVY17a].

L’utilisation de mod`eles alternatifs permet cependant d’acc´el´erer les calculs sur les courbes elliptiques, car les lois de groupe alors consid´er´ees sont plus efficaces comme nous le verrons par la suite. Le premier exemple en ce sens est celui des courbes de Montgomery [Mon87] qui ont ´et´e construites afin d’acc´el´erer l’algorithme de factorisation utilisant les courbes elliptiques [Len87].

Comme nous l’avons vu `a la section 1.1, l’IoT que nous consid´erons dans cette ´

etude ne poss`ede pas de bit de contrˆole de la retenue. Ainsi, une impl´ementation bas´ee sur les courbes elliptiques d´efinies sur un corps de grande caract´eristique risque

d’ˆetre lourdement p´enalis´ee en termes de performances. En effet, l’arithm´etique sur Fpavec p impair n´ecessite de propager la retenue tout au long du calcul d’addition ou

de multiplication. Il s’en suit, que nous privil´egierons les mod`eles en caract´eristiques 2 afin d’´eviter toutes les contraintes relatives `a la propagation de la retenue. De plus, certaines attaques par canaux auxiliaires utilisent cette propagation de la retenue afin d’inf´erer de l’information sur la clef secr`ete k utilis´ee lors du calcul de kP , [DPN+16a]. Nous pr´esenterons bri`evement les mod`eles alternatifs dans le cas de la caract´eristique impair, car la majeure partie des mod`eles alternatifs de courbes elliptiques sur les corps binaires sont des adaptations de mod`eles d´ej`a existant sur Fp.

Mod`_{eles alternatifs de courbes elliptiques sur F}p

L’un des premiers mod`ele alternatif de courbes elliptiques a ´et´e introduit par Montgomery [Mon87], il a pour avantage de pouvoir ˆetre utilis´e efficacement avec l’algorithme 2.8 de multiplication scalaire de l’´Echelle de Montgomery. Il permet aussi de d’utiliser des formules d’additions et de doublement de points tr`es efficaces dans le cas de l’utilisation de l’´Echelle de Montgomery. Une courbe de Montgomery se pr´esente sous la forme suivante :

EA,B : By2 = x3+ Ax2 + x (2.9)

Les travaux de Joye [JQ01], de Doche-Icart-Kohel [DIK06] et d’Edwards [Edw07] qui pr´esentent une forme alternative de courbes elliptiques admettant une loi de groupe compl`ete et uniforme ont permis de consid´erer les mod`eles alternatifs pour des applications cryptographique. Le mod`ele d’Edwards est d´efini par l’´equation suivante :

Ed: x2+ y2 = 1 + dxy (2.10)

Les courbes d’Edwards et de Montgomery ont l’avantage d’ˆetre birationnelles `

a une courbe de Weierstrass, cette propri´et´e est importante dans le cadre d’appli- cations cryptographiques. En effet, une grande partie des IoT d´eploy´es utilisent le mod`ele de Weierstrass notamment au travers du standard du NIST [Gal13]. Ainsi, si nous voulons d´eployer un nouveau r´eseau IoT utilisant un mod`ele alternatif de courbes elliptiques, il est important que celui-ci puisse communiquer parfaitement avec un r´eseau pr´eexistant utilisant quant `a lui les courbes de Weierstrass. Fina- lement, le mod`ele de Weierstrass peut ˆetre consid´er´e comme un invariant dans un ´

ecosyst`eme IoT h´et´erog`ene, ce qui impose la n´ecessit´e de compatibilit´e entre les mod`eles.

La figure 2.5, donne la repr´esentation des courbes de Montgomery et d’Edwards sur R.

Les travaux de Bernstein et al. [BDL+_{11b, BCL14, BJL}+_{15] ont permis d’adopter}

les courbes d’Edwards sur un corps `a large caract´eristique pour des applications cryp- tographiques. Les courbes d’Edwards Curve22519 [BDL+11b] et Curve448 [Ham15] font l’objet de normes RFC [LHT16, NJ16, JL17].

Il existe de nombreux mod`_{eles alternatifs de courbes elliptiques sur F}p tels que :

la forme de Doche-Icart-Kohel [DIK06], les jacobiennes quadratiques [HWCD09], l’intersection de jacobienne [FNW10], les hessiennes [JQ01, FJ10] et les hessiennes

(a) 3y2 = x3+ 7x2+ x (b) x2+ y2= 1 − 30xy

Figure 2.5 – Courbe de Montgomery (A) et courbe d’Edwards (B) sur R. Mod`eles Addition Doublement Diff´erentielle Weierstrass [OLAR13, Sta02b] 8M + 2S 3M + 4S + 2m 5M + 3S + 1m Edwards [BLF08, KLN14, KAK15] 13M +3S + 2m 2M + 6S + 1m 5M + 4S + 1m Hessienne [FJ10] 8M + 3S + 2m 6M + 3S + 1m 5M + 4S + 1m

Huff [DJ11] 14M 6M + 2m 5M + 1m

µ4-normale [Koh17] 9M + 2S 2M +5S + 2m 4M + 4S + 3m

Table 2.2 – Nombres d’op´erations n´ecessaire pour additionner et doubler un point sur les mod`eles alternatifs de courbes elliptiques en caract´eristique 2.

tordues [BCKL15], les courbes d’Edwards [Edw07, BL07] et les courbes d’Edwards tordues [BBJ+_{08, HWCD08], les courbes de Huff [JTV10].}

Mod`_{eles alternatifs de courbes elliptiques sur F}2d

Les travaux sur les mod`eles alternatifs de courbes elliptiques dans le cas de la caract´eristique 2 sont bien moins importants. La majeure partie de ces mod`eles alternatifs sont une adaptation de mod`eles en grande caract´eristiques pr´eexistants. C’est le cas pour les courbes binaires d’Edwards [BLF08] que nous d´etaillerons dans la section 2.4 les propri´et´es math´ematiques et arithm´etiques.

Il existe d’autres mod`eles alternatifs de courbes elliptiques dans le cas de la caract´eristique 2 tel que : les hessiennes [JQ01, FJ10], les courbes binaires de Huff [DJ11] et les formes µ4-normales [Koh12, Koh17]. Ces diff´erents mod`eles ont des

propri´et´es math´ematiques similaires utiles pour une application cryptographique : ces mod`eles sont birationnels `a celui de Weierstrass et leur loi d’addition est compl`ete et uniforme. Notons que le mod`ele des hessiennes a l’avantage d’ˆetre ind´ependant de la caract´eristique du corps rendant l’impl´ementation de leur arithm´etique compatible pour la caract´eristique 2 et la caract´eristique impaire.

La table 2.2 pr´esente les meilleures performances d’addition et de doublement de points pour chaque mod`ele de courbe elliptique en caract´eristique 2. La colonne diff´e- rentielle de la table 2.2 donne la performance de calcul pour une ´etape de l’´Echelle de Montgomery en coordonn´ees diff´erentielles ou dans le cas du mod`ele de Weierstrass en utilisant seulement la coordonn´ee x d’un point.

Les performances des diff´erents mod`eles sont tr`es proches en coordonn´ees diff´e- rentielles, except´ees le mod`ele µ4-normal mais comme nous pourrons le voir par la

suite nous atteindrons les mˆemes performances avec le mod`ele binaire d’Edwards en optimisant le choix du point g´en´erateur, 4.3.3.

Notre choix s’est donc port´e sur le mod`ele de courbe binaire d’Edwards. De plus, il existe d´ej`a un grand nombre de travaux sur les impl´ementations mat´erielles de ce mod`ele, [KAK15, AR12, FSK16, RFS17, RSF17, FAB18, LDM19]. Les travaux de cette th`ese portent sur les impl´ementations logicielles des courbes binaires d’Ed- wards, cependant le nouvel ensemble de courbes elliptiques qui sera pr´esent´e lors du chapitre 4 pourra parfaitement ˆetre utilis´e pour des impl´ementations mat´erielles.