Методы факторизации натуральных чисел. Ишмухаметов Ш.Т. - 95 стр.

Глава 3. Эллиптические кривые                                          96

очень большим простым числом. Точка G называется базовой точкой.
Параметры Ep (a, b) и координаты базовой точки криптосистемы являются
открытыми параметрами, известными всем участникам. Обмен ключами
между пользователями А и В производится по следующей схеме:

  1. Участник А выбирает целое число nA < n. Это число является
     закрытым ключом участника А. Затем участник А вычисляет
     открытый ключ PA = nA G, который представляет собой некоторую
     точку на Ep (a, b).

  2. Точно так же участник В выбирает закрытый ключ nB и вычисляет
     открытый ключ – точку на кривой PB = nB G.

  3. Участники обмениваются открытыми ключами, после чего вычисляют
     общий секретный ключ KA,B по следующей схеме:
     Участник A вычисляет точку эллиптической кривой ЭК KA,B = nA ·
     PB , являющуюся требуемым общим ключом. Участник B находит
     ключ по формуле KA,B = nB · PA . Равенство ключей обеспечивается
     соотношением KA,B = nA · PB = nA · (nB · G) = nB · (nA · G). Отметим,
     что поскольку точка на ЭК имеет две координаты, то можно в качестве
     ключа брать либо только координату x, либо только координату y ,
     либо их сумму x + y .

      Возможный противник, зная известные параметры nA , nB и G, не
сможет вычислить значение общего ключа, т.к. для этого ему надо решить
задачу дискретного логарифмирования на эллиптической кривой (т.е. найти
кратное k по координатам т. kG и G).
      Замечание. Для суперсингулярных кривых в 1993 году был найден
алгоритм Менезеса, Окатамо и Ванстоуна (так называемая MOV–атака)
([34]), основанный на преобразовании Вейля-Тейта, позволяющий свести
задачу дискретного логарифмирования на ЭК (ДЛЭК) к задаче дискретного
логарифмирования в конечном поле (ДЛКР), где эта задача может быть
решена намного эффективнее.