CENTRO DE INVESTIGACIÓN Y DE ESTUDIOS AVANZADOS DEL INSTITUTO POLITÉCNICO NACIONAL UNIDAD ZACATENCO DEPARTAMENTO DE COMPUTACIÓN Logaritmo discreto en campos finitos de característica pequeña: atacando la criptogrfía basada en emparejamientos de Tipo 1 Tesis Que presenta Gora Adj Para obtener el grado de Doctor en Ciencias en Computatión Directores de la Tesis: Dr. Francisco José Rambó Rodríguez Henríquez Dr. Alfred John Menezes Ciudad de México Julio, 2016 A ma famille, spécialement à mes deux mamans. Acknowledgements I would like to start by thanking my advisors Francisco Rodríguez-Henríquez and Alfred Menezes for their clear guidance and constant support. I also would like to thank all my friends and colleagues for having shared with me good times and hard times. I am grateful to the Consejo Nacional de Ciencia y Tecnologia – CONACyT for the scholarship they provided me during all the period I was a PhD candidate at Cinvestav, and also for their financial support for the year I spent at University of Waterloo in Canada. I thank the University of Waterloo, through Alfred Menezes, for their financial support during my visits the whole year of 2013 and in July 2014. Thanks to ABACUS Supercompter – Cinvestav for opening their doors to us, which was very helpful to our latest computation project. Part of Chapter 6 was realized while I was visiting Cinvestav in 2011-2012, from ISFA – Univerité Claude Bernard Lyon 1. I would like to thank the Direction des Relations Internationales of Université Claude Bernard Lyon 1 for providing me a “bourse d’execellence” for my six-month stay at Cinvestav. I also would like to thank Nareli Cruz-Cortés and the CONACyT (Project 132073) for their partial support. iii iv Resumen Los esquemas criptográficos basados en emparejamientos bilineales fueron propuestos en el área de criptografía asimétrica a principios de siglo, con la finalidad de dar solución a prob- lemas que estuvieron abiertos por décadas. Uno de estos problemas, por nombrar sólo uno, consiste en cómo compartir un secreto entre tres entidades mediante el intercambio de infor- mación pública, en una sola ronda. Estos esquemas criptográficos utilizan un emparejamiento bilineal entre subgrupos cíclicos definidos en curvas elípticas o hiperelípticas, y un subgrupo multiplicativo en una cierta extensión del campo finito sobre el que se construyen las curvas. Los emparejamientos bilineales simétricos conocidos como de Tipo 1 se definen sobre un campo base de característica 2 o 3, esto nos da la posibilidad de tomar ventaja de las características de la nueva generación de procesadores durante la fase de implementación debido a la naturaleza de la aritmética en estos campos, permitiendo así una implementación rápida y eficiente. Los emparejamientos de Tipo 1 brindan propiedades específicas que son aprovechadas en la construcción de novedosos protocolos basados en ellos. Una condición de seguridad indispensable en un esquema criptográfico basado en em- parejamientos, es que el problema del logaritmo discreto definido en los subgrupos de curvas y en el subgrupo del campo finito que componen el emparejamiento sea difícil de resolver. En los últimos años, ha habido avances significativos en el cálculo del logaritmo discreto en campos finitos de característica pequeña, lo que puso en una situación de incertidumbre e inestabilidad la seguridad de la criptografía basada en emparejamientos de Tipo 1. En esta tesis, se demuestra por primera vez que los nuevos algoritmos para el cálculo del logaritmo discreto impactan drásticamente la seguridad de los esquemas basados en em- parejamientos de Tipo 1. También, se muestra que los campos de característica pequeña 6 509 12 367 6 1429 4 3041 F3 · , F2 · , F3 · y F2 · que se pensaba ofrecían 128 y 192 bits de seguridad en re- alidad brindad niveles de seguridad significativamente más bajos. El análisis que llevo a estas conclusiones fue posible gracias al diseño de herramientas y un marco de trabajo que permiten realizar evaluaciones prácticas de estos nuevos algoritmos. Además, se presenta la primera implementación de los recientes algoritmos para el cálculo del logaritmo discreto 6 137 con el fin de atacar el campo finito F3 · , el cual es de interés criptográfico. Este cómputo ilustra la efectividad de los nuevos métodos para el cálculo del logaritmo discreto en campos finitos de característica pequeña que no sean de Kummer o twisted-Kummer. Debido a los refinamientos a los nuevos algoritmos, se realizó el primer cálculo de logaritmo discreto en 6 509 un campo finito de característica 3, F3 · , que se pensaba ofrecía 128 bits de seguridad. Además del trabajo realizado en el problema del logaritmo discreto, en esta tesis se presentan dos nuevos algoritmos que permiten calcular raíces cuadradas en extensiones de grado par de campos de característica grande. Uno de estos algoritmos supera a los algoritmos existentes en el estado del arte en varios escenarios criptográficos, mientras que el otro ofrece un mejor balance entre eficiencia y seguridad en comparación con los algoritmos existentes. v vi Abstract Pairing-based protocols appeared in public key cryptography, at the beginning of the century, as solutions to problems that remained unsolved for decades. One of these problems, to name but one, is the possibility for three parties to share a secret key by exchanging information via a public network in only one round. These protocols essentially use bilinear pairing maps defined from cyclic subgroups of elliptic or hyperelliptic curves, to a subgroup of the multiplicative group of some extension of the finite field, over which are defined the curves. In symmetric bilinear pairings, known as Type 1 pairings, the underlying finite field has characteristic 2 or 3. Besides the significant acceleration new generation processors can provide when performing operations in finite fields of characteristic 2 or 3, Type 1 pairings have the benefit of being equipped with specific properties that allow them to be employed in most pairing-based protocols. A necessary condition for the security of a pairing-based cryptosystem is that the discrete logarithm problem (DLP) in the subjacent curve subgroups and the field subgroup must be hard. In recent years, there have been several dramatic improvements in algorithms for computing discrete logarithms in small characteristic finite fields, that consequently placed the security of the Type 1 pairing-based cryptography in a state of uncertainty. In this thesis, we demonstrate for the first time that the new algorithms drastically impact the security of cryptosystems based on Type 1 pairings. We show that small characteristic 6 509 12 367 6 1429 4 3041 finite fields of cryptographic interest, such as F3 · , F2 · , F3 · , and F2 · that were assumed to enjoy 128 and 192 bits of security, in fact, find their security levels considerably lowered, and, at the same time, that of cryptographic protocols utilizing pairings derived from elliptic or hyperelliptic curves over these fields. The concrete analyses that led to these conclusions were made possible by designing a convenient framework and tools able to perform practical assessments of the new algorithms. The first implementation of the new DLP algorithms for attacking a cryptographically 6 137 interesting finite field, namely F3 · , is presented in this thesis. This computation illustrates the effectiveness of the new algorithms in small characteristic finite fields that are not Kummer or twisted-Kummer extensions. As a consequence of more recent refinements on the recent methods, we completed the first discrete logarithm computation in a characteristic-three finite field that was previously 6 509 believed to provide 128 bits of security, namely F3 · . In addition to the work on the DLP over small characteristic finite fields, we present two new algorithms for computing square roots in even-degree extension fields of large char- acteristic. One of these algorithms outperforms previously existing algorithms in several cryptographic settings, while the other one offers a better trade-off between efficiency and security than previous methods. vii viii Contents 1 Intoduction 1 1.1 Motivation..................................... 1 1.2 Contributions ................................... 2 1.3 Outline....................................... 4 2 Basic Concepts 5 2.1 Mathematicalbackground . .. 5 2.1.1 Groups,ringsandfields ......................... 5 2.1.2 Elliptic and hyperelliptic curves over finite fields . .......... 7 2.2 Type1pairings .................................. 12 2.2.1 Bilinearpairingtypes. 12 2.2.2 Type1pairing-basedprotocols . .. 13 2.3 Coppersmith’s index-calculus algorithm . ......... 15 2.3.1 Computing the logarithms of the base factor elements . ........ 16 2.3.2 Descentstage ............................... 17 2.4 Countingsmoothpolynomials . ... 19 2.5 Smoothnesstesting ............................... 21 2.5.1 Basic method for evaluating w(X) .................... 21 2.5.2 Improved method for evaluating w(X) ................. 22 3 Weakness of 6 509 and 4 3041 for Discrete Logarithm Cryptography F3 · F2 · 25 3.1 Introduction.................................... 25 3.2 On the asymptotic nature of the QPA algorithm . ...... 27 3.3 New DLP algorithm of Joux and Barbulescu et al. ...... 28 3.3.1 Setup ................................... 29 3.3.2 Finding logarithms of linear polynomials . ...... 30 3.3.3 Finding logarithms of irreducible quadratic polynomials........ 31 3.3.4 Continued-fraction descent . ... 31 3.3.5 Classicaldescent ............................. 31 3.3.6 QPAdescent