Conclus˜ ao - Outros Tipos de Emparelhamentos

3.3 Outros Tipos de Emparelhamentos

3.3.2 Conclus˜ ao

Este cap´ıtulo apresentou alguns conceitos fundamentais para a compreensão da teoria dos emparelhamentos bilineares, como por exemplo, o cálculo a fun¸cão de Miller utilizando somas e duplica¸cões sucessivas de pontos de curvas el´ıpticas. Apresentou os principais tipos de emparelhamento, mostrando suas defini¸cões e formas de cálculo de cada um. Apresentou dois dos principais protocolos criptográficos baseados em emparelhamentos bilineares que são o Acordo

Triplo de Chaves de Diffie-Hellman e a Criptografia Baseada em Identidades. No próximo Cap´ıtulo, será apresentada uma avalia¸cão teórica de três emparelhamentos apresentados neste cap´ıtulo: Ate, R-Ate e Optimal Ate definidos sobre curvas Barreto-Naehrig.

Cap´ıtulo

4

An´alise de Custo do C´alculo de

Emparelhamentos Bilineares

Os n´ıveis 4 e 5 da Fig. 2.1 foram tratados em cap´ıtulos anteriores. Este cap´ıtulo dará ênfase aos n´ıveis 2 e 3, descrevendo as opera¸cões aritméticas envolvidas no cálculo dos emparelhamentos e seus respectivos custos. Na sequência, o custo de cálculo dos emparelhamentos Ate (Hess et al.; 2006), R-Ate (E. Lee and Park; 2008) e Optimal Ate (Vercauteren; 2010) será estimado em fun¸cão do número de opera¸cões de multiplica¸cão, quadrado, adi¸cão, inversão e redu¸cão modular no corpo finito Fp.

Na literatura, é poss´ıvel encontrar estimativas similares do cálculo de emparelhamentos bilineares (Beuchat et al.; 2010; Aranha et al.; 2010; Grewal et al.; 2012; Aranha et al.; 2013; A. J. Devegili and Dahab; 2007). Porém estas estimativas são independentes e apresentam algumas diferen¸cas, não fazendo uma compara¸cão destes três tipos de emparelhamentos sob as mesmas condi¸cões.

Para estimar o custo de cálculo destes emparelhamentos bilineares em rela¸cão ao número de opera¸cões aritméticas sobre corpos finitos, deve-se recordar (Cap. 3) que emparelhamentos bilineares são fun¸c˜_{oes que recebem como argumento elementos de dois grupos aditivos G}1 e G2

e os mapeiam em um grupo multiplicativo GT. Em nota¸c˜ao, um emparelhamento bilinear e ´e

uma fun¸c˜ao

e : G1XG2 → GT (4.1)

onde, G1 = E(Fp)[n], G2 ⊆ E0(Fpg)[n] e G_T = F∗

pk.

Durante o cálculo de emparelhamentos com caracter´ısticas similares as da fun¸cão (4.1) são necessárias opera¸cões aritm´_{eticas sobre o corpo finito F}_pk. Buscando maior eficiência na imple-

menta¸cão destas opera¸cões, o padrão IEEE P1363 propõe a utiliza¸cão de extensões de corpos finitos em torre (Tower Extension) que ´_{e uma forma de representar elementos de F}_pk como

polinˆomios de primeiro ou segundo grau e coeficientes em extens˜_{oes de F}p utilizando aritm´etica

sobre binˆomios irredut´ıveis (IEEE-P1363; 2008). Emparelhamentos bilineares definidos sobre curvas el´ıpticas do tipo Barreto-Naehrig s˜ao vistos como um mapeamento de estrutura seme- lhante a (4.1), com: G1 = E(Fp)[n], G2 ⊆ E0(Fp2)[n] e G_T ⊆ F∗

p12. Neste caso, busca-se por

extens˜oes de corpos finitos que possam possibilitar opera¸c˜oes aritm´_{eticas eficientes em F}p12.

4.1 Extens˜ao em Torre de Corpos Finitos

Teorema 4.1 Seja q = pm, onde p é um n´_{umero primo e m ∈ N}∗, tal que q ≡ 1 (mod 6). Seja ε ∈ Fq, tal que ε seja não-quadrado e não-cubo em Fq. Então, os polinômios (x2− ε), (x3− ε)

e (x6 _{− ε) ∈ F}

q[x] s˜ao irredut´ıveis sobre Fq (Naehrig; 2009).

Exemplo 4.1 Pelo Teorema 4.1 tem-se que pe _{≡ 1 (mod 6). Ent˜}_{ao, tomando ε ∈ F}

pe sendo

n˜ao-quadrado e n˜_{ao-cubo em F}pe, o elemento ε pode ser usado para representar as extens˜oes do

corpo finito Fpe contidas no corpo F_pe·h. Ou seja,

Fph·e = F_pe[x]/(xh− ε)

Considerando alguns casos particulares, como e = {1, 2, 6} e h = {2, 3}. Tem-se que,

com, (e, h) = (1, 2) obtem-se Fp2 = F_p[x]/(x2 − ε);

com, (e, h) = (1, 3) obtem-se Fp3 = F_p[x]/(x3 − ε);

com, (e, h) = (2, 2) obtem-se Fp4 = F_p2[x]/(x2− ε);

com, (e, h) = (2, 3) obtem-se Fp6 = F_p2[x]/(x3− ε); (4.2)

com, (e, h) = (6, 2) obtem-se Fp12 = F_p6[x]/(x2− ε);

com, (e, h) = (6, 3) obtem-se Fp18 = F_p6[x]/(x3− ε).

Pelas equa¸c˜_{oes da torre (4.2), tomando β, ε, v ∈ F}pe n˜ao-quadrados e n˜ao-cubos e i, v, w ∈

Fp2 = F_p[i]/(i2− β); onde i ∈ F_p2 e β ∈ F_p

Fp6 = F_p2[v]/(v3− ε); onde v ∈ F_p6 e ε ∈ F_p2 (4.3)

Fp12 = F_p6[w]/(w2− v); onde w ∈ F_p12

Com o esquema de representa¸c˜_{ao em torre (4.3) pode-se representar elementos de F}p12 como

polinˆomios de grau m´_{aximo 1 e coeficientes em F}p6. Da mesma forma, pode-se representar

elementos de Fp6 como polinˆomios de grau m´aximo 2 e coeficientes em F_p2. E um elemento de

Fp2 é representado como polinômio de grau máximo 1 e coeficientes em F_p.

4.1.1 Opera¸cões Aritméticas sobre Corpos de Extensão

A seguir, serão apresentados exemplos que possibilitam demonstrar as opera¸cões de adi¸cão, multiplica¸cão, quadrado e inversão sobre os corpos de extensão descritos em (4.3).

Sejam A, B e C ∈ Fp2. Ent˜ao, A = a₀ + a₁i, B = b₀ + b₁i e C = c₀ + c₁i, onde

a0, b0, c0, a1, b1, c1 ∈ Fp. As opera¸cões sobre Fp2 são realizadas módulo um binômio irredut´ıvel

(i2_{− β). Ou seja, C ´e um polinˆ}_{omio de grau m´}_{aximo um, caso a opera¸c˜}_{ao aritm´}_{etica envolvendo}

A e B gere um polinômio de grau maior ou igual a dois, este é reduzido módulo (i2 _{− β).}

Exemplo 4.2 Considerando A, B e C ∈ Fp2. Ent˜ao,

C = A + B ⇒ c0+ c1i = (a0+ a1i) + (b0+ b1i) ⇒ c0+ c1i = (a0+ b0) + (a1+ b1)i

A opera¸cão de subtra¸c˜_{ao sobre F}p2 é realizada de forma similar a adi¸cão.

Exemplo 4.3 Considerando A, B e C ∈ Fp2. Ent˜ao,

C = A · B ⇒ c0+ c1i = (a0+ a1i) · (b0+ b1i) ⇒ c0+ c1i = a0b0+ (a0b1+ a1b0)i + (a1b1)i2

Porém, o polinômio resultante da multiplica¸cão de A e B possui grau maior ou igual a dois, logo deve ser reduzido módulo (i2_{− β). Ent˜}_ao,

c0+ c1i = (a0b0+ βa1b1) + (a0b1+ a1b0)i (4.4)

Nos processadores atuais, o custo das opera¸c˜oes de multiplica¸c˜_{ao sobre um corpo finito F}p

apresentados no Cap. 5). Então, uma forma de reduzir o custo de algoritmos que envolvam multiplica¸cões é diminuir o número de ocorrências destas opera¸cões, mesmo que para isso seja necessário aumentar ponderadamente a quantidade de adi¸cões usando, por exemplo, o método Karatsuba de multiplica¸cão. Uma forma de efetuar a opera¸cão A · B utilizando o método Karatsuba de multiplica¸cão é descrito no Algoritmo 4.1.

Algoritmo 4.1 Multiplica¸c˜ao Karatsuba

1: _{function MultKaratsuba} 2: _{Entrada: A, B ∈ F}_p2. 3: _{Sa´ıda: C ∈ F}_p 4: t0 ←− a0b0 5: t1 ←− a1b1 6: t2 ←− (a0 + a1) 7: t3 ←− (b0+ b1) 8: c1 ←− t2t3 − t0− t1 9: t1 ←− βt1 10: c0 ←− t0+ t1 11: c0 ←− mod(c0) 12: c1 ←− mod(c1) 13: Retorna C = c0+ c1 14: end function

Repare que, o custo de cálculo da multiplica¸c˜_{ao sobre F}p2 descrito na Equa¸cão (4.4) é de:

quatro multiplica¸c˜_{oes em F}p, quatro adi¸cões em Fp e uma multiplica¸cão por β. Já o custo

da multiplica¸c˜_{ao sobre F}p2 utilizando o método Karatsuba é de: três multiplica¸cões em F_p,

oito adi¸c˜_{oes em F}p e uma multiplica¸cão por β. Mesmo o número de adi¸cões dobrando, a

utiliza¸cão dessa técnica ainda é vantajosa nos processadores onde uma multiplica¸c˜_{ao sobre F}p

tenha custo inferior ao de quatro adi¸cões sobre este mesmo corpo. Uma análise mais detalhada desta discussão será apresentada no Cap´ıtulo 5.

Opera¸cões como as adi¸cões (ou subtra¸cões) das linhas oito e dez do Algoritmo 4.1 são deno- minadas opera¸cões de dupla precis˜_{ao sobre F}p, pois seus operandos possuem tamanho até duas

vezes maior que dlog2pe bits. Estes operandos têm tamanho até 2dlog2pe bits pois são resul-

tados de opera¸cões anteriores, neste caso das multiplica¸cões das linhas quatro e cinco, que são armazenadas temporariamente em vetores de memória, sem ser reduzidos. O fato de armazenar temporariamente estes resultados permite que as opera¸cões de redu¸cão modular sejam postergadas para os últimos passos do algoritmo, neste caso para as linhas 11 e 12. Pela parametriza¸cão da subfam´ılia das curvas Barreto-Naehrig (Pereira; 2011), o número primo p é sempre dois bits menor que múltiplos de oito bits (tamanhos convencionais das palavras dos processadores). Este

fato permite que sejam efetuadas opera¸cões de soma e subtra¸cão envolvendo os inteiros que es- tão armazenados em memória também sem a necessidade de efetuar redu¸cões modulares, por exemplo, na linha oito do Algoritmo 4.1 (Beuchat et al.; 2010). Nas opera¸cões de quadrado e inversão, também há ocorrência de opera¸cões de dupla precis˜_{ao sobre F}p, pelo mesmo fato

descrito anteriormente.

Exemplo 4.4 Considerando A e C ∈ Fp2. Ent˜ao,

C = A · A ⇒ c0+ c1i = (a0+ a1i)2 ⇒ c0+ c1i = (a20+ βa 2

1) + 2a0a1i (4.5)

A opera¸c˜_{ao de quadrado sobre F}p2 é efetuada de forma similar à multiplica¸cão sobre este

mesmo corpo. Porém, não é utilizada a técnica de multiplica¸cão de Karatsuba. As redu¸cões modulares nesta opera¸cão também podem ser postergadas e, com isso, são efetuadas apenas duas redu¸cões.

Exemplo 4.5 Considerando A e C ∈ Fp2. Ent˜ao, A = a₀ + a₁i. Fazendo uma analogia da

representa¸cão de A com a representa¸cão de um número complexo, tem-se que o conjugado de A é A = a0 − a1i. Sobre os complexos, A · A = a20− a21i2.Voltando para Fp2, A · A = a2₀ − βa2₁

ent˜ao, A−1 = (a0 − a1i)/(a20 − βa21).

Os Exemplos 4.2, 4.3, 4.4 e 4.5 apresentam como efetuar opera¸cões de adi¸cão, multiplica¸cão, quadrado e inverso multiplicativo sobre o corpo Fp2. Esta mesma ideia pode ser estendida para

as outras extens˜_{oes de F}p descritas nas Equa¸c˜oes 4.3.

4.1.2 Custos das Opera¸c˜oes sobre a Torre

Considere as nota¸cões (a, m, s, r, i) e (ã, ˜m, ˜s, ˜s, ˜i) denotando as opera¸cões de adi¸cão, multiplica¸cão, quadrado, redu¸cão modular e invers˜_{ao em F}p e Fp2, respectivamente. Sejam (m_u,

su) e ( ˜mu, ˜su) as opera¸cões de multiplica¸cão sem redu¸cão e quadrado sem redu¸cão sobre Fp e

Fp2. Sejam m_β, m e m_v multiplica¸c˜oes pelas constantes β, e v. Estas opera¸c˜oes possuem

custo inferior ao de uma multiplica¸c˜_{ao sobre F}p, este custo ser´a discutido com mais detalhes no

decorrer deste cap´ıtulo.

A Tabela 4.1 descreve o custo das opera¸cões de adi¸cão, multiplica¸cão, quadrado e inversão sobre Fp2, F_p6 e F_p12, respectivamente.

Os resultados apresentados na Tabela 4.1 diferem de outras contagens presentes na literatura (Aranha et al.; 2010), (Aranha et al.; 2013), (Grewal et al.; 2012) pelo fato destes serem obtidos

Tabela 4.1: Custo das opera¸cões aritméticas sobre extensões em torre Fp2 Opera¸cão Custo Adi¸cão/Sub. a = 2a˜ Multiplica¸cão m = 3m˜ u+ 8a + 2r + mβ Quadrado s = m˜ u + 2su+ 4a + 2r + mβ Inversão ˜i = 2mu+ 2su+ 3a + i + 2r + mβ Fp6 Opera¸cão Custo Adi¸cão/Sub. 3ã Multiplica¸cão 6 ˜mu+ 24ã + 3˜r + 2m Quadrado 3 ˜mu+ 3 ˜su+ 12ã + 3˜r + 2m Inversão 10 ˜mu+ 3 ˜su+ 8ã + ˜i + 6˜r + 4m Fp12 Opera¸cão Custo Adi¸cão/Sub. 6ã Multiplica¸cão 18 ˜mu+ 96ã + 6˜r + 6m+ mv Quadrado 12 ˜mu+ 6 ˜su+ 60ã + 6˜r + 4m+ mv Inversão 28 ˜mu+ 9 ˜su+ 89ã + 16˜r + ˜i + 12m+ mv

com simples opera¸cões de soma e multiplica¸cão de polinômios (binômios ou trinômios), como apresentado nos Exemplos 4.2, 4.3, 4.4 e 4.5. Também não foi adotado de antemão nenhum valor para as constantes especiais β, e v (Pereira and Barreto; 2010). Elas estão explicitadas para que possam embasar contagens onde os valores dessas constantes possa variar, por exemplo, para outros tipos de curvas Barreto-Naehrig. Na literatura existem trabalhos que também se baseiam em somas e multiplica¸cões de polinômios, similares a nossa contagem (Beuchat et al.; 2010); porém ainda existem diferen¸cas nos resultados por considerarmos as opera¸cões de adi¸cão de precisão dupla sobre o corpo base.

No documento Avaliação do custo computacional de emparelhamentos bilineares sobre curvas elípticas Barreto-Naehrig (páginas 54-61)