Chaˆınes d’additions euclidiennes et logarithme discret
IMATH, Universit´e de Nice, France
Department of Electrical and Computer Engineering, Universit´e de Waterloo, Canada
IMATH, Universit´e du Sud Toulon-Var, France
1. Introduction
En cryptographie, la principale op´eration sur une courbe elliptique est le calcul de kP o`u k
est un entier et Pun point de la courbe. De nombreuses m´ethodes ont ´et´e d´evelopp´ees pour
am´eliorer la vitesse de cette op´eration [3, 4, 5]. Cependant la plupart d’entre elles ne tiennent
pas compte des attaques de type SPA. R´ecemment, un nouvel algorithme efficace pour le calcul
de kP et r´esistant `a ces attaques SPA a ´et´e d´evelopp´e [2]. Ce dernier repose sur l’existence d’une
chaˆıne d’addition euclidienne suffisamment “courte” calculant l’entier k.
DEFINITION 1. Une chaˆıne d’addition euclidienne (CAE) de longueur sest une suite (bi)i=1...s
avec bi∈ {0,1}. L’entier kassoci´e `a cette chaˆıne est obtenu en consid´erant la suite (vi, ui)i=0..s
telle que v0= 1,u0= 2 et ∀i>1,(vi, ui) = (vi−1, vi−1+ui−1)si bi= 1 (petit pas), ou
(vi, ui) = (ui−1, vi−1+ui−1)si bi= 0 (grand pas). L’entier kvaut vs+us.
Exemple : la suite (10110) calcule l’entier 23 de la fa¸con suivante : (1,2) →(1,3) →(3,4) →
(3,7) →(3,10) →(10,13) →23.
Cependant il subsiste essentiellement deux probl`emes dans la m´ethode d´ecrite dans [2] :
1. tout entier kde 160 bits n’admet pas forc´ement de CAE de taille voulue (environ 260 bits
pour que l’algorithme d´ecrit dans [2] soit performant),
2. la recherche d’une CAE de petite taille n´ecessite de nombreux calculs ce qui p´enalise les
performances g´en´erales de l’algorithme.
Dans ce papier nous abordons le probl`eme sous un autre angle. Nous proposons de remplacer
dans tout protocole la g´en´eration d’un entier al´eatoire kpour le calcul de kP par la g´en´eration
d’une CAE al´eatoire ce qui permet d’utiliser directement l’algorithme propos´e dans [2]. De ce
fait les points obtenus sont de la forme kP o`u kappartient `a un certain sous-ensemble de Zpce
qui nous am`ene `a consid´erer le probl`eme du logarithme discret restreint (CDLP) :
Donn´ees :pun entier premier, gun g´en´erateur d’un groupe G,S⊂Zp,y∈G.
Probl`eme : Trouver x∈Stel que y=gx.
D’apr`es [1] la complexit´e de cette recherche n´ecessite Ω(p|S|) op´erations de groupe.
2. CAE et CDLP
L’id´ee d’utiliser des sous-ensembles d’entiers particuliers pour lesquels le calcul de l’exponentiation
est plus rapide en moyenne a ´egalement ´et´e propos´ee dans [6, 7]. Dans notre cas, nous consid´erons
les sous-ensembles d’entiers obtenus `a partir de CAE devant satisfaire les contraintes suivantes :
1. Le nombre d’entiers g´en´er´es doit ˆetre suffisamment grand (de l’ordre de 2160).
2. Les entiers obtenus doivent ˆetre bien distribu´es par rapport au tirage des CAE. En effet des
CAE distinctes peuvent engendrer un mˆeme point Qvia l’algorithme [2] (exemple : 1000110,
1001001, 1011000, 1100100 aboutissent au mˆeme point 41P).