Utilisation des modules de Drinfeld en cryptologie

HAL Id: hal-00863098

https://hal.archives-ouvertes.fr/hal-00863098

Submitted on 19 Sep 2013

HAL

is a multi-disciplinary open access archive for the deposit and dissemination of sci- entific research documents, whether they are pub- lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire

destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

Utilisation des modules de Drinfeld en cryptologie

Roland Gillard, Franck Leprévost, Alexei Panchishkin, Xavier-François Roblot

To cite this version:

Roland Gillard, Franck Leprévost, Alexei Panchishkin, Xavier-François Roblot. Utilisation des mod-

ules de Drinfeld en cryptologie. Comptes rendus de l’Académie des sciences. Série I, Mathématique,

Elsevier, 2003, 336 (11), pp.879-882. �hal-00863098�

C. R. Acad. Sci. Paris, t. , S´erie I Th´eorie des Nombres/Number Theory

Utilisation des modules de Drinfeld en cryptologie

Roland GILLARD, Franck LEPREVOST, Alexei PANCHISHKIN, Xavier-Fran¸cois ROBLOT

Institut Fourier, Universit´e de Grenoble I

UMR 5582 CNRS-UJF 38402 Saint-Martin-d’H`eres (France) E-mail : [email protected], [email protected], [email protected]

Institut Girard Desargues, Universit´e Claude Bernard (Lyon I) UMR 5028 CNRS-UCB 69622 Villeurbanne (France)

E-mail : [email protected]

R´esum´e . Nous pr´esentons dans cette note un nouveau et efficace cryptosyst`eme `a clef publique bas´e sur les modules de Drinfeld. Les d´etails apparaitront ailleurs.

Using Drinfeld modules in cryptology

Abstract . We present in this note a new and efficient public-key cryptosystem based on Drinfeld modules. The details will appear elsewhere.

Introduction . — La s´ecurit´e des cryptosyst`emes `a clef publique est bas´ee sur des probl`emes math´ematiques difficiles `a r´esoudre en pratique. Citons par exemple les cryptosyst`emes RSA et de Rabin, dont la s´ecurit´e est fond´ee sur le probl`eme de la factorisation des entiers, celui de El Gamal ou le protocole d’´echange de clefs de Diffie-Hellman bas´es sur le probl`eme du logarithme discret dans le groupe multiplicatif d’un corps fini, ou dans le groupe des points rationnels d’une courbe elliptique d´efinie sur un corps fini. Ces protocoles ont ´et´e longuement ´etudi´es et sont standardis´es (par exemple, voir [6] et les r´ef´erences incluses). N´eanmoins, il est utile de disposer d’autres cryp- tosyst`emes, dont la s´ecurit´e est bas´ee sur d’autres probl`emes, et qui, le cas ´ech´eant, peuvent ˆetre inclus dans de nouveaux standards. Dans [5], Scanlon montre que des analogues naturels dans le cadre des modules de Drinfeld (voir [1] et [2], ainsi que [4] pour ces objets) des cryptosyst`emes

´

evoqu´es plus haut sont particuli`erement faibles. Nous esquissons ici une approche diff´erente, qui contourne les faiblesses soulev´ees par Scanlon, en construisant une fonction sens unique `a trappe (FSUT). Les d´etails apparaitront dans un autre article (voir [3]), et une demande de brevet a ´et´e d´epos´ee sur ce nouveau cryptosyst`eme.

2 R.GILLARD, F.LEPREVOST, A. PANCHISHKIN, X.-F. ROBLOT

Fonctions sens unique `a trappe et applications `a la cryptographie . — Une fonction ψbijective d’un ensembleEdans un ensembleFest dite unefonction sens unique(FSU) si la seule donn´ee deψet dey∈ Fne permet pas de r´esoudre en pratique leprobl`eme d’inversionconsistant `a trouver l’uniquex∈ Etel quey=ψ(x). La fonctionψest ditefonction sens unique `a trappe(FSUT) si c’est une FSU telle que la connaissance d’une cl´e secr`ete K permette de r´esoudre le probl`eme d’inversion. Une application cryptographique est la suivante, sous une forme tr`es simplifi´ee, o`u Alice et Bob sont deux protagonistes cherchant `a ´echanger une information confidentielle sur un canal ouvert.Alicepublie la FSUTψdeE (messages en clair) dansF(messages crypt´es), et garde secr`ete la cl´e K. Pour transmettre un message x ∈ E, Bob calcule et envoie y = ψ(x) `a Alice.

Pour d´ecoder le messagey, il faut calculerx=ψ⁻¹(y). SeuleAlice, qui poss`edeK, est `a mˆeme de r´esoudre efficacement ce probl`eme.

Pr´esentation th´eorique du protocole. — Soitpun nombre premier. On noteA=Fp[T] l’anneau des polynˆomes `a une variable et `a coefficients dans le corps Fp. Puis, on pose A{τ}

l’anneau des polynˆomes `a coefficients dansAet en la variableτ avec les r`egles de l’addition usuelle et pour la multiplication, la r`egle de commutationτ^k×a=a^pk×τ^k pour a∈ Aetk≥1.

Nous d´efinissons un module de Drinfeld comme un morphisme de Fp-alg`ebre ϕ de A dans A{τ} tel que ϕ(T) est un polynˆome (enτ) de degr´e ≥ 1 et dont le terme constant est T. Soit a = Pm

i=0aiTⁱ un ´el´ement de A, on a donc ϕ(a) = ϕ Pm i=0aiTⁱ

= Pm

i=0aiϕ(T)ⁱ. Ainsi, le module de Drinfeld ϕ est compl`etement d´efini une fois que ϕ(T) a ´et´e choisi. L’exemple le plus simple de module de Drinfeld est le module de Carlitz d´efini par ϕ(T) =τ+T. Chaque ´el´ement de A{τ} d´efini une application de A dans lui-mˆeme en identifiant chaque ´el´ement a ∈ A avec l’application z 7→ az et τ avec l’application de Frobenius z 7→ z^p. La multiplication dans A{τ}

correspond alors `a la composition des fonctions. Ainsi, on obtient : Pm

i=0a_iτⁱ : z 7→Pm i=0a_iz^pi. Pour a∈ A, on noteϕ_a l’application deA dans lui-mˆeme d´efinie parϕ(a)∈ A{τ}. L’application ϕ₁est l’identit´e surA.

Soientd >1 un entier etf(T)∈ Aun polynˆome irr´eductible de degr´ed. On poseB=A/(f(T)).

AinsiBest isomorphe `a F_pd. Poura∈ A, on noteala classe deadansB. L’anneau finiBa donc une structure naturelle de A-module. Soit a ∈ A, on note ϕa l’application de B dans B d´efini par :ϕ_a :b7→ϕ_a(b). Ainsi, le module de Drinfeldϕpermet de munir Bd’une autre structure de A-module donn´ee par :a×ϕb=ϕ_a(b).

On note Bϕ l’ensemble B muni de la structure de A-module d´efini par ϕ. PuisqueBϕ est un A-module de cardinalp^d, il existe un polynˆome unitairefϕ∈ Ade degr´edtel queBϕ' A/(fϕ) commeA-module. En g´en´eral, fϕ n’est pas irr´eductible. Une remarque fondamentale pour notre propos est que deux ´el´ementsa1eta2deAdonnent la mˆeme applicationϕa₁ =ϕa₂ si et seulement sia1≡a2 (modfϕ). Ainsi, l’applicationϕa est bijective si et seulementaest premier avecfϕet, dans ce cas, l’application inverse estϕ_a⁰ o`u a⁰ ∈ Aest tel queaa⁰ ≡1 (modf_ϕ).

Nous pouvons `a pr´esent expliquer comment construire une FSUT deBdans lui-mˆeme en utilisant les modules de Drinfeld. Les aspects algorithmiques de cette construction seront succintement d´etaill´es dans la section suivante. On prendE =F =B. La cl´e secr`eteK est compos´ee de deux

´

el´ements c1 et c2 deA, tous les deux premiers avecfϕ, et d’une bijection σde B dans lui-mˆeme (voir la section suivante pour des exemples de choix deσ). La fonction ψest alors d´efinie par :

ψ(z) = (ϕc₁◦σ◦ϕc₂) (z)

donn´ee comme un polynˆome de B[z]. Cette fonction est bijective et sa r´eciproque est la fonction ψ⁻¹(z) = ϕ_c⁰

2◦σ⁻¹◦ϕ_c⁰

1

(z)

avec c⁰₁ et c⁰₂ deux ´el´ements de A tels que c1c⁰₁ ≡ 1 (modfϕ), et c2c⁰₂ ≡ 1 (mod fϕ). Cette fonction inverse ne peut ˆetre d´etermin´ee en pratique que si la cl´e secr`ete (c1, c2, σ) est connue.

Pr´esentation pratique du protocole. — Supposons choisis les diff´erents param`etresp,ϕ,d etf (les choix de ceux-ci seront discut´es dans la section suivante), nous montrons comment trouver c1,c2etσ, puis calculer les fonctionsψetψ⁻¹et s’en servir pour le chiffrement et le d´echiffrement.

Pour calculer dans B, nous repr´esentons chaque classe par l’unique polynˆome de degr´e < d contenu dans la classe. Soita=Pm

i=0a_iTⁱ∈ Aetβ =Pd−1

j=0b_jT^j ∈ B. Alors :

ϕa(β) =

m

X

i=0

aiϕ_Ti(β) =

m

X

i=0 d−1

X

j=0

aibjϕ_Ti(T^j).

Donc il suffit de savoir calculer ϕ_Ti(T^j) pour en d´eduire ϕa(β) par cette formule. De surcroˆıt, puisque ϕa =ϕa⁰ sia≡a⁰ (modfϕ), si on prend poura⁰ le reste de la division euclidienne dea parfϕ, on voit qu’il est suffisant de consid´erer uniquement les exposantsi tels que 0≤i≤d−1.

On ´ecrit ϕ(T) = Pd

k=0φ_kτ^k, avec φ_k ∈ A et, par d´efinition, φ₀ = T. Alors, on a, pour tout j ≥ 0 : ϕ1(T^j) =T^j et ϕT(T^j) =Pd

k=0φk×T^jpk, puis la formule de r´ecurrence ϕ_Ti+1(T^j) = ϕT

ϕ_Ti(T^j)

(i≥1) pour le calcul des autres valeurs.

Le calcul de f_ϕ s’obtient comme suit. En tant que F_p-espace vectoriel,B est de dimension d admettant la famille {1, T , . . . , T^d−1} pour base. L’application ϕT est en fait un endomorphisme de cette espace vectoriel dont on calcule facilement la matrice, puis le polynˆome caract´eristique C(T). Le calcul montre que fϕ=C(T).

Il convient `a pr´esent de choisir la cl´e secr`ete, i-e.les deux ´el´ements c1 etc2deA, de degr´e< d et premiers avecfϕ, et la bijectionσ. Pourc1 etc2, la meilleure m´ethode est de choisir au hasard un couple de deux polynˆomes distincts premiers avecfϕ. Des exprimentations montrent aussi qu’il vaut mieux choisirc1 et c2 sans coefficients nuls. On calcule aussi les deux polynˆomesc⁰₁ etc⁰₂ de degr´e< det tels que c1c⁰₁≡1 (modfϕ) etc2c⁰₂≡1 (mod fϕ) ; ces deux polynˆomes serviront pour le d´ecryptage. Pour la bijection σ, il faut une fonction simple et rapide `a calculer, donn´ee sous la forme d’un polynˆome. Soit e < p<sup>d</sup>−1 un entier non divisible parpet premier avecp<sup>d</sup>−1, on prendσ:z7→z<sup>e</sup>+δ, o`uδest un ´el´ement pris au hasard dansB. Si on notef un entier tel que ef ≡1 (mod p^d−1), alors on a σ⁻¹:z7→(z−δ)^f.

A pr´esent, on calcule la FSUTψ(z) = (ϕc₁◦σ◦ϕc₂) (z) sous la forme d’un polynˆome. Pour cela, on ´ecrit `a nouveau :a=Pd−1

i=0 aiTⁱ, avecai ∈ A, et donc ϕa(z) = Pd−1

i=0aiϕ_Ti(z), et les ϕ_Ti(z) sont reli´es par la relation de r´ecurrence d´ej`a mentionn´ee ci-dessus. Pour utiliser cette formule, on

´

ecrit ϕ(T) = Pd

k=0φkτ^k, avec φi ∈ A, et, par d´efinition, φ0 = T. Alors, pour tout polynˆome P(z) =Pm

i=0πizⁱ∈ B[z], on a

ϕ_T(P(z)) =

d

X

k=0 m

X

i=0

φ_kπ^p_i^kz^ipk.

Grˆace `a cette formule, on obtient une expression pourψ(z) donn´e comme un polynˆome enz et `a coefficients dansB. Il est `a noter que dans ce calcul, on doit remplacer les termes de la formeγz<sup>m</sup> avecm≥p<sup>d</sup> parγz<sup>r</sup>, o`urest le reste de la division euclidienne demparp^d−1, puisqueβ^m=β^r pour toutβ∈ B. On s’assure ainsi que tous les termes de ψ(z) restent de degr´e< p^d.

4 R.GILLARD, F.LEPREVOST, A. PANCHISHKIN, X.-F. ROBLOT

Le cardinal de B est p^d, donc la FSUT ψ permet de coder des messages donn´es sous la forme d’un nombreM v´erifiant 0≤M < p^d. En effet, ´etant donn´e un tel nombreM, on le transforme en un ´el´ement deBen utilisant l’´ecriture deM en basep: il existe des entiers uniquesm₀, . . . , m_d−1 v´erifiant 0≤m_i< pet tels queM =m₀+m₁p+m₂p²+· · ·+m_d−1p^d−1, ce qui permet d’associer de mani`ere unique `a l’entierM, l’´el´ement

µ=m₀+m₁T+· · ·+m_d−1T^d−1

deB. On calcule alors

χ=ψ(µ) =k0+k1T+· · ·+k_d−1T^d−1

et le message cod´e C est alors donn´e, comme nombre entre 0 et p^d, par le proc´ed´e inverse : C=k₀+k₁p+· · ·+k_d−1p^d−1. Inversement, pour d´ecrypter le messageC, on construit l’´el´ementχ deBcorrespondant, on appliqueψ⁻¹pour en d´eduireµet finalementM. Il est `a noter cependant que, plutˆot que calculer ψ⁻¹(z) sous forme d’un polynˆome pour effectuer le calcul de ψ⁻¹(µ), il est plus efficace de faire ce calcul en utilisant l’expression :ψ⁻¹(µ) =ϕ_c⁰

2 σ⁻¹ ϕ_c⁰

1(µ) .

Choix des param`etres. — Plusieurs attaques du cryptosyst`eme sont envisageables (calcul de cycle, factorisation, ´enum´eration, etc). La consid´eration de ces attaques montre que l’on doit pren- dreptr`es grand par rapport `ad. Cependant, par souci d’efficacit´e algorithmique et d’architecture d’ordinateur, il est souhaitable que p < 2³². Par ailleurs, la taille du polynˆome ψ(z) augmente avec l’exposant e, donce doit ˆetre petit. D’un autre cˆot´e, e doit ˆetre premier avec p^d−1, donc e est impair. Des choix raisonnables sonte= 5 oue = 7. Finalement, afin de pouvoir utiliser ce protocole pour crypter des cl´es AES, il faut que p^d > 2¹⁶⁰ ' 10¹⁸. En r´esum´e, des restrictions souhaitables sur les param`etres sont les suivantes :pest un grand nombre premier plus petit que 2<sup>32</sup> ;dest un entier tel quep<sup>d</sup>≥2<sup>160</sup> ;f est un polynˆome deF<sub>p</sub>[T] irr´eductible de degr´ed; eest petit et premier avecp<sup>d</sup>−1 ;ϕest le module de Carlitz ;c<sub>1</sub> et c<sub>2</sub> sont deux polynˆomes deF<sub>p</sub>[T] de degr´ed−1, premiers avec f<sub>ϕ</sub>, et sans coefficients nuls ;δ est un ´el´ement non nul de B. Nous avons impl´ement´e des exemples, et il en d´ecoule que le stockage des donn´ees de cryptage n´ecessite environ 26000 caract`eres. Sur un Pentium 700MHz, tournant sous Linux 2.4, une impl´ementation de ce protocole enC++avec la librairie NTL [7] donne un temps de codage de l’ordre de un centi`eme de seconde. Le temps de d´ecodage est n´egligeable.

R´ef´erences bibliographiques

[1] V.G.Drinfeld,1976. Elliptic modules,Math.USSR-Sbornik23, 561-592 [2] V.G.Drinfeld,1977. Elliptic modules,Math.USSR-Sbornik31, 159-170

[3] R. Gillard, F. Lepr´evost, A. Panchishkin, X.-F. Roblot,2002. A new public-key cryptosystem based on Drinfeld modules,(En pr´eparation)

[4] A.A.Panchishkin,1993-94. Algorithmes rapides pour factorisation des nombres et des polynˆomes, tests de primalit´e, courbes elliptiques et modules de Drinfeld,S´eminaire de Th´eorie des nombres (Caen),1-10 [5] T. Scanlon,2001. Public key cryptosystems based on Drinfeld modules are insecure,Journal of Cryptology

14, 225-230

[6] IEEE Standards,1999. Group P1363: Standard Specification for Public-Key Cryptography,page internet : http://grouper.ieee.org/groups/1363

[7] V. Shoup,2002. NTL: A Library for doing Number Theory,page internet :http://shoup.net/ntl/