Moyennesetgrandescaractéristiques.CécilePierrot Logarithmediscretdanslescorpsﬁnis:NFSSpécialetMultiple.

(1)

Logarithme discret dans les corps finis : NFS Spécial et Multiple.

Moyennes et grandes caractéristiques.

Cécile Pierrot

Laboratoire d’Informatique de Paris 6 Institut Mathématique de Jussieu & INRIA

UPMC, Paris, France Financée par : DGA/CNRS

Journées C2 2014, Les Sept Laux

(2)

Log Discret dans les corps finis Multiple Number Field Sieve (MNFS) Special Number Field Sieve (SNFS)

Le Problème du Logarithme Discret Algorithmes par Calcul d’Indice Number Field Sieve (NFS)

Le Problème du Logarithme Discret (DLP)

Groupe multiplicatif G engendré parg :

résoudre le problème du logarithme discret dans G, c’est inverser la fonctionx 7→g^x

Un problème difficile en général

(et considéré comme tel en cryptographie) Deux familles d’algorithmes :

Algorithmes généraux Algorithmes spécifiques

(3)

Calcul d’Indice

NFS appartient à cette famille Phase de Crible

→ Crée de nombreuses relations multiplicatives creuses entre certains éléments spécifiques (la base de lissité)

Y(gi)^eⁱ =^Y(g_i⁰)^eⁱ⁰

→ Donc de nombreuses équations linéaires Phase d’Algèbre Linéaire

→ Retrouve les log discrets des éléments de la base de lissité Phase de Logarithme Individuel

→ Retrouve le log discret d’un élément arbitraire

(4)

Préliminaires à la Phase de Crible

Comment obtenir des relations ? E

E1 E2

G

g1

g2

h1

h2

Pour toutx appartenant àE, nous avons : h₁(g₁(x)) =h₂(g₂(x)).

"Bonnes" relations = écriture via les éléments de la base de lissité uniquement.

(5)

Préliminaires à la Phase de Crible

Comment obtenir des relations ? E

E1 E2

G

g1

g2

h1

h2

Pour toutx appartenant àE, nous avons : h₁(g₁(x)) =h₂(g₂(x)).

"Bonnes" relations = écriture via les éléments de la base de lissité uniquement.

(6)

Crible par Corps de Nombres / Number Field Sieve (NFS)

Résout le DLP pour (tous) les corps finis Fpⁿ

de caractéristiques moyennes ou grandes.

Préliminaires :

Trouver deux polynômesf1etf2de pgcd irréductible et de degrénmodulop.

DéfinitFpⁿ comme le plus petit corps où les deux polynômes ont une racine commune.

(7)

Crible par Corps de Nombres / Number Field Sieve (NFS)

Résout le DLP pour (tous) les corps finis Fpⁿ

de caractéristiques moyennes ou grandes.

Préliminaires :

Trouver deux polynômesf1etf2de pgcd irréductible et de degrénmodulop.

DéfinitFpⁿ comme le plus petit corps où les deux polynômes ont une racine commune.

(8)

Diagramme Commutatif

Avecmune racine de ces polynômes dans Fpⁿ :

Z[X]

Q[X]/(f₁(X))≈Q(θ₁) Q(θ₂)≈Q[X]/(f₂(X))

Fpⁿ X 7→θ1

X 7→θ2

θ17→m

θ27→m

Base de lissité: objets de normes (dans les corps de nombres) plus petites qu’une certaineborne de lissité B.

(9)

Complexités des Algorithmes par Calcul d’Indice

Notation : L_Q(α,c) =exp c(logQ)^α(log logQ)^1−α

Complexités

0 ¹₃ ²₃ 1 l_p

Quasi-PolynomialFFS NFS

LQ 1 3

L_Q

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

L_Q(α+o(1)) whenp=L_Q(α)

moyenp grandp

petitp

(10)

Complexités des Algorithmes par Calcul d’Indice

Notation : L_Q(α,c) =exp c(logQ)^α(log logQ)^1−α Dans FQ de caractéristiquep =L_Q(l_p,c) :

Complexités

0 ¹₃ ²₃ 1 lp

Quasi-PolynomialFFS NFS

LQ 1 3

L_Q

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

L_Q(α+o(1)) whenp=L_Q(α)

moyenp grandp

petitp

(11)

The Multiple Number Field Sieve, Co-écrit avec Razvan Barbulescu.

Résout le DLP pour tousles corps finisFpⁿ de caractéristiques moyennes et grandes.

TheSpecial Number Field Sieve, Co-écrit avec Antoine Joux, publié à Pairing 2013.

Résout le DLP pour certainsles corps finis de caractéristiques moyennes et grandes.

(12)

L’algorithme

Complexités asymptotiques

Idée qui provient de la factorisation d’entiers [Cop93]et du DLP dans les corps premiers[Mat03].

Avecm une racine commune de f₁, . . . ,f_V dansFpⁿ : Z[X]

Q(θ₁) Q(θ₂) Q(θ_i) Q(θ_V−1) Q(θ_V)

Fpⁿ X7→θi

θi7→m

Choix des polynômes f₁ et f₂ avec une racine communem dans Fpⁿ ⇒ combinaison linéaire⇒fi =αf1+βf2.

(13)

Moyenne VS Grande Caractéristique

Moyenne Caractéristique:

Sélection polynomiale : f₁ etf₂ ont même degrés, même tailles de coeffs.⇒ même normes dans tous les Q(θ_i).

Crible : on conserve les polynômes de hauts degrés qui

donnent des normes inférieures à B dans (au moins)une paire de corps de nombres.

(14)

L’algorithme

Moyenne VS Grande Caractéristique

Grande Caractéristique:

Sélection polynomiale : f₁ et f₂ même tailles de coeffs mais degf2 >degf1 ⇒ normes plus grandes dans Q(θ2). . .Q(θV).

Crible : on conserve les polynômes de degré 1qui donnent une norme inférieure àB dansle premier corps de hombre et une norme inférieure à B⁰ dans (au moins) l’un des autres corps de nombres.

(15)

Complexités asymptotiques : NFS

2ndecstedelacomplexité

1 3

2

3 1 lp

FFS NFS

LQ 1 3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42

(64/9)^1/3≈1.92

moyenp grandp

(16)

L’algorithme

Complexités asymptotiques : NFS et MNFS

1 3

2

3 1 lp

FFS NFS

MNFS LQ

1 3,²₃¹³6

1/3

LQ

1 3,

92+26√ 13 27

^1/3

LQ 1 3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42 (2¹³/3⁶)^1/3≈2.24

(64/9)^1/3≈1.92 (92+26√

13)/27))^1/3≈1.90

moyenp grandp

(17)

Complexités asymptotiques : NFS et MNFS

1 3

2

3 1 lp

FFS NFS

?

MNFS LQ

1 3,²₃¹³6

1/3

LQ

1 3,

92+26√ 13 27

^1/3

LQ 1 3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42 (2¹³/3⁶)^1/3≈2.24

(64/9)^1/3≈1.92 (92+26√

13)/27))^1/3≈1.90

moyenp grandp

(18)

L’algorithme

Complexités asymptotiques : NFS et MNFS

1 3

2

3 1 lp

FFS NFS

MNFS LQ

1 3,²₃¹³6

1/3

LQ

1 3,

92+26√ 13 27

^1/3

LQ 1 3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42 (2¹³/3⁶)^1/3≈2.24

(64/9)^1/3≈1.92 (92+26√

13)/27))^1/3≈1.90

moyenp grandp

(19)

Corps finis de caractéristique creuse Choix des Polynômes

Corps finis de caractéristique creuse

The Special Number Field Sieve in Fpⁿ

Application to Pairing-Friendly Constructions.

Résout le DLP pour (certains) corps finis Fpⁿ

de caractéristique moyenne à grande.

Dès lors que p=P(u)

oùP a petit degré et petits coeffs

u petit (en comparaison avecp) ⇒ représentation creuse. Application aux corps finis liés aux couplages (MNT ou courbes de Barreto-Naehrig...)

(20)

Corps finis de caractéristique creuse

Certains ? ⇒ meilleurs polynômes lorsquep est spécial.

u petit (en comparaison avecp) ⇒ représentation creuse. Application aux corps finis liés aux couplages (MNT ou courbes de Barreto-Naehrig...)

(21)

Corps finis de caractéristique creuse

Certains ? ⇒ meilleurs polynômes lorsquep est spécial.

u petit (en comparaison avecp) ⇒ représentation creuse.

Application aux corps finis liés aux couplages (MNT ou courbes de Barreto-Naehrig...)

(22)

Choix des Polynômes

Paramètres qui régissent la complexité de NFS : Degré des polynômes sur lesquels on crible.

Degré des polynômesf1 et f2 et taille deleurs coefficients.

Nouvelle construction (SNFS):

Construction unique que p soit moyen ou grand. f₁(x) =h(x)−u avec h de degrén et à petits coeffs tel quef1 soit irréductible sur Fp.

f₂(x) =P(h(x))de degrén·deg(P) et à petits coeffs f₂(X) =P(f₁(X) +u)≡P(u) =p,

où≡représente l’équivalence modf₁(X).

⇒pgcd(f1,f2)est de degré n et irréductible sur Fp.

(23)

Choix des Polynômes

Construction unique que p soit moyen ou grand.

tel quef1 soit irréductible sur Fp.

(24)

Choix des Polynômes

f₁(x) =h(x)−u avec h de degrén et à petits coeffs tel quef1 soit irréductible sur Fp.

f₂(x) =P(h(x))de degrén·deg(P) et à petits coeffs

f₂(X) =P(f₁(X) +u)≡P(u) =p, où≡représente l’équivalence modf₁(X).

(25)

Choix des Polynômes

f₁(x) =h(x)−u avec h de degrén et à petits coeffs tel quef1 soit irréductible sur Fp.

(26)

Complexités asymptotiques : NFS et MNFS

1 3

2

3 1 lp

FFS NFS

MNFS L_Q

1 3,²₃¹³6

1/3

LQ

1 3,

92+26√ 13 27

1/3

LQ 1 3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42 (2¹³/3⁶)^1/3≈2.24

(64/9)^1/3≈1.92 (92+26√

13)/27))^1/3≈1.90

moyenp grandp

(27)

Complexités asymptotiques : NFS, MNFS et SNFS

1 3

2

3 1 lp

FFS NFS

MNFS

SNFS L_Q

1 3,²₃¹³6

1/3

LQ

1 3,

92+26√ 13 27

1/3 LQ

1

3, ⁶⁴₉ ·^deg_deg^P+1_P 1/3 LQ

1

3, ³²₉1/3 LQ 1

3

LQ

1

3,¹²⁸₉ ^1/3

LQ

1

3,⁶⁴₉^1/3

(128/9)^1/3≈2.42 (2¹³/3⁶)^1/3≈2.24

(64/9)^1/3≈1.92 (92+26√

13)/27))^1/3≈1.90 (32/9))^1/3≈1.5

moyenp grandp

(28)

Merci pour votre attention !

(29)

(30)

An Example ?

The Barreto-Naehrig family is optimal for a 128 bits security level with :

P(x) =36x⁴+36x³+24x²+6x+1 R(x) =36x⁴+36x³+18x²+6x+1 Y(x) =6x²+4x+1

Choose u such thatP(u) andR(u)are primes and of convenient size. For u=b2^62.5c+54525 we have :

E :Y²=X³+3

overF65133050195992538051524258355272021564060086092744501919128354661463478504083. MOV Attack :E[R(u)]×E[R(u)]→Fp¹²

(31)

Consequences for pairing-friendly constructions ?

The best choice ? Balance DLPs !

⇒√

p =Lpⁿ(1/3, γ) ⇔p=Lpⁿ(1/3,2γ) Complexities in this boundary case ?

Before :L_pn(1/3,c^1/3)withc >128/9 New analysis of NFS :c =128/9 SNFS :c= (64/9)·(degP+1)/(degP) Consequences :

Correct a mistake about generation of pairing-friendly curves (confusion Discrete Logs in high characteristic≈factorisation) Confirm the current choices of parameters.

(32)

Extension of NFS in the boundary case p = L

_pⁿ

(1/3)

We want to upper-bound the resultant :

| det Sylv(h,f)|6Θkfk^deg^hkhk^deg^f withΘ = number of permutations with non zero contributions in the sum.

Θ? Let deg (h) =n and deg (f) =t.

Before :Θ6n^ttⁿ. Kalkbrener gives :Θ6 ^n+t_n · ^n+t−1_t . Because of the following inequalities :

n+t n

· ^n+t−1_t = _n+tⁿ ^(n+t)!_n!t! ²

≤ _n+tⁿ (n+1)···(n+t) t!

2

≤ _n+tⁿ ^Q^t_i=1⁽ⁿ⁺ⁱ⁾_i ²

≤ _n+tⁿ ^Q^t_i=1 ⁿ_i +1² we obtain that Θ6(n+1)^2t.

(33)

Generic Algorithms

Pohlig-Hellman :

Given a groupG of order ^Qp_i^eⁱ,

reduces the DLP in G to DLPs in groups of prime orderp_i. Baby Step/Giant Step, Pollard’s rho :

Baby Step/Giant Step : LetT =d√ pe

1 Create lista,a/g,· · ·,a/g^T−1

2 Create list 1,g^T,g^2T,· · ·,g^T(T−1)

3 Find collision

Pollard’s rho : improved memoryless algorithm.

⇒ Discrete logs in G of prime orderp in O(√

p) operations.

(34)

Choice of Polynomials

Previously (NFS):

For mediump :f₁ irreducible of degreen over Fp and f2 =f1+p

Small degrees but high coeffs for f₂ For highp : based on lattice reduction of (f₁,Xf₁,· · · ,X^d−nf₁,p,Xp,· · · ,X^dp)

⇒ f₂ is a multiple off₁ modulop but with smaller coeffs f1 with not too small coeffs (otherwise we get trivial multiples)

(35)

Some Obstructions Coming from Number Fields and its Solutions

How to go down ? Q[θ]

Fpⁿ

No unique factorization over elements ⇒ we consider ideals in the ring of integers of Q[θ].

Ideals are not principal ⇒we (virtually) raise them to the power of the class number ofQ[θ].

Generators are not unique ⇒ Schirokauers maps.

(36)

SNFS Complexities for the boundary case p = L

_pⁿ

(2/3, c

_p

)

1.6 1.7 1.8 1.9 2 2.1 2.2 2.3

0 2 4 6 8 10

SecondconstantoftheComplexityintheLQnotation

cp Sieving on Linear Polynomials

t=2

Algorithm for largerp– see [JLSV06]

t=3 t=4 t→∞

Lower bound C C2

C4

(37)

SNFS Asymptotic Complexities

p=L_pn(l_p,c_p) NFS SNFS

medium

characteristicp L_pn

1 3,

128 9

1/3! L_pn

1 3,

64

9 .degP+1 degP

1/3!

1/36lp<2/3 high

characteristicp Lpⁿ

1 3,

64 9

1/3!

Lpⁿ

1 3,

32 9

1/3!

∗

2/3<lp

∗. As soon as deg(P) = ¹ ^{2 log}^Q 1/3

(38)

Consequences for pairing-friendly constructions ?

The best choice ? Balance DLPs !

⇒√

p =L_pⁿ(1/3) ⇔p =L_pⁿ(1/3) Complexities in this boundary case ?

Before :Lpⁿ(1/3,c^1/3)withc >128/9 New analysis of NFS :c =128/9 ? ? SNFS :c= (64/9)·(degP+1)/(degP)

(39)

New analysis of NFS in the boundary case p = L

_pⁿ

(1/3)

Until now [NFS by JLSV 2006] :

Computing the norm ofhinQ[X]/f(X)is computing the resultant :

| det Sylv(h,f)| = |P

σj∈SDsign(σj)QD

k=1Sylv_k,σ_j_(k)|.

Can be upper bounded by :

Θkfk^deg^hkhk^deg^f

withΘ =number of permutations with non zero contributions in the sum.

Now : new bound on Θ⇒ negligible again⇒ restore the analysis ⇒ extend the 128/9 to this boundary case.

(40)

New analysis of NFS in the boundary case p = L

_pⁿ

(1/3)

σj∈SDsign(σj)QD

Whenp>Lpⁿ(1/3),Θwas negligible, but no more in the boundary case :⇒complexity raises.

(41)

New analysis of NFS in the boundary case p = L

_pⁿ

(1/3)

σj∈SDsign(σj)QD

Whenp>Lpⁿ(1/3),Θwas negligible, but no more in the boundary case :⇒complexity raises.

(42)

What about the quasi-polynomial algorithm ? Algorithm in exp(O(logqlogk))for Fq^k.

Id est : in n^O(logⁿ⁾ wheren is the bitsize of the cardinality of the field.

More precisely, for F_q^k, ifq can be written asq =L_q^k(c), the complexity is in L_qk(c+o(1)).

How ? Modification in the descent phase.

Really works ? No implementation at the moment.