Criptossistemas baseados em curvas elipticas : estudo de casos e implementação em processador de sinais digitais

UNIVERSIDADE ESTADUAL DE CAMPINAS

Faculdade de Engenharia El
etrica e de Computac~ao

Departamento de Engenharia de Computac~ao e

Automac~ao Industrial

Criptossistemas baseados em curvas el
pticas:

estudo de casos e implementac~ao em processador

de sinais digitais

Autor:

Arnaldo Jorge de Almeida J
unior

Orientador:

Prof. Dr. Marco Aur
elio Amaral Henriques

Disserta
c~ao apresentada a Faculdade de Engenharia Eletrica e de Computa
c~ao da Universidade Estadual de Campinas como parte dos requisitos necessarios para a obten
c~ao do ttulo de Mestre em Engenharia Eletrica.

Banca Examinadora:

Prof. Dr. Jose Raimundo de Oliveira (FEEC / UNICAMP) Prof. Dr. Reginaldo Palazzo Jr. (FEEC / UNICAMP) Prof. Dr. Ricardo Dahab (IC / UNICAMP)

Campinas, S~ao Paulo, Brasil Maio, 2002

Resumo

Recentemente a criptogra a baseada em curvas elpticas (ECC) tem recebido consideravel aten
c~ao, evidenciada pela sua inclus~ao em padr~oes ANSI, IEEE, ISO e NIST, sua especi- ca
c~ao para uso nas camadas de seguran
ca de protocolos como ATM e WAP, bem como sua implementa
c~ao em servi
cos como SET e IPSec. Apesar de toda a padroniza
c~ao, existem alguns aspectos relativos a adequa
c~ao entre a forma e plataforma de implemen-ta
c~ao que n~ao est~ao esclarecidos. Alem de discutir tais aspectos, este trabalho explora varias abordagens para a implementa
c~ao de algoritmos criptogra cos baseados em cur-vas elpticas em um processador de sinais digitais (DSP). E mostrado que, em ambientes restritos, e necessario fazer uma escolha bastante cuidadosa dos varios par^ametros e con-di
c~oes de opera
c~ao das curvas elpticas, para que sua caracterstica de prover seguran
ca com economia de recursos seja bem aproveitada. Por exemplo, apesar de corpos nitos binarios frequentemente serem adotados pelos projetistas quando a plataforma apre-senta recursos limitados, dados obtidos neste trabalho mostram que para plataformas limitadas e baseadas em DSPs esta n~ao e necessariamente a melhor op
c~ao.

Abstract

Recently, cryptography based on elliptic curves (ECC) has attracted some attention, due to its inclusion in some ANSI, IEEE, ISO and NIST standards, its application in some protocol security layers as ATM and WAP, and its implementations in services as SET and IPsec. Despite all standardization, there are some issues related to the matching between implementation and processing environment that are not clear enough. In addition to the dicussion of such issues, this work explores several techniques for imple-menting cryptographic algorithms based on ellipitc curves on digital signal processors (DSP). It was found that in such environments it is necessary to carefully select elliptic curve parameters and operating conditions, in order to explore its characteristic of pro-viding security with less computational resources. For example, binary elds frequently are chosen by designers when the processing environment has constrained resources. However, some results of this work show that, for constrained environments based in DSPs, this choice is not necessarily the best one.

Agradecimentos

Agrade
co o auxlio de algumas pessoas que foram fundamentais para que este trabalho se concretizasse:

a minha m~ae, pelo seu eterno apoio em tudo que decido fazer

a minha irm~a Iara Bianca, pela sua disposi
c~ao em cuidar de tantas coisas para

mim

ao prof. Dr. Marco Aurelio Amaral Henriques, meu orientador
aos professores da banca:

{

prof. Dr. Jose Raimundo de Oliveira

{

prof. Dr. Reginaldo Palazzo Jr.

{

prof. Dr. Ricardo Dahab.

aos professores Dr. Edmundo da Silva Braga e Dr. Marco Ant^onio Robert Alves,

DEMIC/FEEC/UNICAMP, pelo incentivo para iniciar o mestrado

ao Dr. Julio Cesar Lopez Hernandez, Universidad del Valle, Colombia, pelas

frutferas discuss~oes sobre curvas elpticas

ao Robson Geremias Macedo, aluno de gradua
c~ao em Engenharia Eletrica, FEEC/UNICAMP,

pelo auxlio na prepara
c~ao, testes e obten
c~ao de dados dos programas utilizados no trabalho.

Sum
ario

1 Introduc~ao

1

1.1 Criptogra a . . . 2

1.2 Contribui
c~oes da Disserta
c~ao . . . 3

1.3 Estrutura da Disserta
c~ao . . . 4

2 Uma Vis~ao Geral dos Criptossistemas Baseados em Curvas El
pticas 6

2.1 Curvas Elpticas . . . 6

2.1.1 Criptossistemas Baseados em Curvas Elpticas . . . 7

2.1.2 Seguran
ca de Criptogra a Baseada em Curvas Elpticas . . . 9

2.2 Alternativas de Implementa
c~ao de Criptossistemas Baseados em Curvas Elpticas . . . 12

2.2.1 Corpo Finito . . . 12

2.2.2 Representa
c~ao da Base em F2m . . . 13

2.2.3 Representa
c~ao das Coordenadas . . . 14

2.2.4 Algoritmos de Aritmetica Modular . . . 16

2.2.5 Algoritmos de Aritmetica Elptica . . . 16

2.2.6 Tipo de Curva Elptica . . . 16

2.2.7 Criptossistema . . . 16

2.3 Trabalhos Anteriores de Implementa
c~ao de Criptossistemas Baseados em Curvas Elpticas . . . 17

2.3.1 De Win, Mister, Preneel e Wiener - 1998 . . . 18

2.3.2 Bogdan Antonescu - 1999 . . . 18 v

2.3.3 Hasegawa, Nakajima e Matsui - 1998 . . . 21

2.3.4 Itoh, Takenaka, Torh, Temma e Kurihara - 1999 . . . 21

2.3.5 Julio Lopez - 2000 . . . 23

2.3.6 Woodbury, Bailey e Paar - 2000 . . . 24

2.3.7 Aydos, Yanik e Ko
c - 2000 . . . 24

2.3.8 Weimerskich, Paar e Shantz - 2001 . . . 29

2.4 Conclus~oes . . . 29

3 Implementac~ao de Curvas El
pticas em Processadores de Sinais

Digi-tais

31

3.1 Arquitetura de um Processador de Sinais Digitais . . . 31

3.2 Criptogra a de Chave Publica em DSPs . . . 32

3.3 ECC em DSPs para Aplica
c~oes Portateis . . . 34

3.4 Arquitetura Estruturada de Implementa
c~ao de ECC . . . 35

3.5 Implementa
c~ao de ECC em DSP . . . 38

3.6 Resultados . . . 40

3.7 Conclus~oes . . . 42

4 Proposta de Classicac~ao de ECC e An
alise dos Resultados

44

4.1 Metrica para Avalia
c~ao de Implementa
c~oes de ECC . . . 45

4.2 Analise de Resultados . . . 48

4.3 Conclus~oes . . . 49

5 Conclus~oes e Trabalhos Futuros

51

A Introduc~ao as curvas el
pticas

53

A.1 Grupos Algebricos . . . 53

A.2 Curvas Elpticas sobre os Numeros Reais . . . 54

A.3 Curvas Elpticas sobre Corpos Finitos . . . 58

A.3.1 Corpos Finitos . . . 58

A.3.2 Opera
c~oes de Curvas Elpticas sobre Corpos Finitos . . . 59 vi

A.3.3 Corpos Finitos na Forma Polinomial F2m . . . 60

A.3.4 Opera
c~oes sobre Corpos Finitos F2m . . . 61

B Coordenadas Projetivas

63

C Esquemas Criptogr
acos Baseados em Curvas El
pticas

67

C.1 Die-Hellman . . . 67

C.1.1 O Esquema Original . . . 67

C.1.2 Die-Hellman sobre Curvas Elpticas . . . 68

C.2 ElGamal . . . 69

C.2.1 O Esquema Original . . . 69

C.2.2 ElGamal sobre Curvas Elpticas . . . 69

C.3 DSA : Digital Signature Algorithm . . . 70

C.3.1 O Algoritmo Original . . . 70

C.3.2 A Prova do Teste . . . 71

C.4 Esquema de Assinatura Digital Baseado nas Curvas Elpticas . . . 72

C.4.1 O Algoritmo ECDSA . . . 72

C.4.2 A Prova do Teste . . . 74

D Curvas El
pticas Utilizadas

75

D.1 Sobre Corpos Finitos Primos . . . 75

D.2 Sobre Corpos Finitos Binarios . . . 77

E Publicac~oes derivadas deste trabalho

81

Lista de Figuras

3.1 Estrutura hierarquica de um criptossistema baseado em Curvas Elpticas 36 4.1 Normaliza
c~ao do tempo de uma opera
c~ao pelo numero de bits do corpo . 47 A.1 Curva elpticay2=x3

;4x+ 0:67 . . . 55

A.2 P+Q = R(3.89.-5,62) . . . 56

A.3 P+(-P) =

O

. . . 57

A.4 P+P=2P=R . . . 57

Notac~oes

a mod n resto da divis~ao inteira de a por n (l^e-se a modulo n. Quando n e um numero primo esta opera
c~ao e tambem chamada de redu
c~ao. O resultado desta opera
c~ao e comumente chamado de resduo)

ab (mod n) a e congruente ab modulon, signi ca quen divide a;b

ajb a e um divisor de b

G grupo

E curva elptica

F corpo

Fp corpo nito contendo p elementos, onde pe um primo

Fq corpo nito contendo q elementos, podendo serq =p ouq =pm, p sendo um

numero primo e m um inteiro positivo

F2m corpo nito contendo 2

m _{elementos, onde m e um inteiro positivo}

GF Galois Field (l^e-se Corpo de Galois)

GF(p) o mesmo que Fp

O Ponto no In nito. Este ponto e o elemento identidade do grupo aditivo for-mado pelos pontos de curvas elpticas sobre corpos nitos

E(Fq) conjunto de todos os pontos de uma curva elpticaEde nida sobreFqincluindo

o Ponto no In nito O

#E(Fq) se E e de nido sobre Fq, ent~ao #E(Fq) denota o numero de pontos na curva

elptica (incluindo o Ponto no In nitoO) e e chamado de ordem da curva E

F n f0g elementos de um corpo, exceto o zero. Nota
c~ao normalmente usada para

denotar grupo multiplicativo de F ix

Zp inteiros modulop

Z

p inteiros modulop excluindo o zero, se pfor primo

Zpx] conjunto de todos os polin^omios cujos coe cientes est~ao emZp

dNe menor inteiro que seja maior ou igual a N.

Abreviaturas

ANSI American National Standards Institute ATM Asynchronous Transfer Mode

DSA Digital Signature Algorithm DSP Digital Signal Processor ECC Elliptic Curve Cryptography ECDH Elliptic Curve Die-Hellman

ECDSA Elliptic Curve Digital Signature Algorithm IEEE Institute of Electrical and Electronics Engineers IPSec Internet Protocol Security

ISO International Organization for Standardization MD5 Message Digest, Vers~ao 5

NIST National Institute of Standards and Technology PDA Personal Digital Assistant

PGP Pretty Good Privacy OEF Optimal Extension Fields SET Secure Electronic Transaction SHA-1 Secure Hash Algorithm - Revis~ao 1 SSH Secure Shell

SSL Secure Sockets Layer RSA Rivest-Shamir-Adleman WAP Wireless Application Protocol WTSL Wireless Transport Security Layer

Cap
tulo 1

Introduc~ao

Tanto no dia a dia das pessoas quanto no mundo dos negocios, presencia-se de forma cada vez mais intensa a utiliza
c~ao de sistemas de computa
c~ao interconectados a taxas de comunica
c~ao cada vez mais altas. Existe uma busca constante pela mobilidade, bem como uma contnua migra
c~ao de varias tecnologias da forma analogica para a digital, trazendo inumeros benefcios. No entanto, surgem novos inconvenientes em conseq u^encia destas novas facilidades como, por exemplo, riscos de fraudes ate pouco tempo inexistentes. Neste sentido, os mecanismos que prov^eem seguran
ca aos sistemas de computa
c~ao e seus dados s~ao uma das quest~oes principais para o sucesso das novas formas eletr^onicas de intera
c~ao entre as pessoas.

A plataforma PC teve posi
c~ao de destaque durante a decada de 90, sendo uma das principais propulsoras da chamada economia digital. Recentemente, entretanto, muitas aplica
c~oes tendem a um outro tipo de plataforma: a de processamento embutido, na qual microprocessadores atuam de forma signi cativa (e as vezes transparente) nas fun
c~oes de telefonia sem o, computa
c~ao movel, cart~oes inteligentes, entre outras. Tais aplica
c~oes muitas vezes tratam dados sensveis e, portanto, se sustentam em mecanismos de seguran
ca, como a criptogra a.

Por motivos de requisitos de mercado (baixo custo), bem como para proporcionar portabilidade (baixo consumo, baixa dissipa
c~ao de pot^encia e uso de componentes inte-grados), estas plataformas de processamento embutido normalmente apresentam

ta
c~oes de recursos computacionais, o que di culta a implementa
c~ao dos algoritmos de criptogra a tradicionais para se prover os servi
cos de seguran
ca. Por este motivo, procu-ram utilizar as curvas elpticas como recurso matematico para prover criptogra a, pelo fato destas necessitarem de menos recursos computacionais para sua implementa
c~ao.

As tecnologias de comunica
c~ao emergentes, as tend^encias da tecnologia da infor-ma
c~ao, bem como as novas necessidades criadas pelo marketing tecnologico, apresentam uma demanda comum: processamento de dados em tempo real. Os Processadores de Sinais Digitais (DSPs) t^em-se mostrado uma boa solu
c~ao para tal processamento. Os DSPs foram desenvolvidos e otimizados para executarem certas opera
c~oes em alta ve-locidade e, por esse motivo, formam o nucleo de aparelhos de comunica
c~ao que ja s~ao parte do cotidiano, como os telefones celulares, faxes, pagers, modems, bem como sis-temas de telefonia sobre a Internet (VoIP) , entre outros. Assim como outros sissis-temas de comunica
c~ao, estes tambem demandam servi
cos de seguran
ca e a criptogra a baseada em curvas elpticas surge como uma boa solu
c~ao para atender esta demanda.

1.1 Criptograa

Criptogra a, do grego kryptos (escondido, oculto) + grapho (gra a, escrita), e a arte ou ci^encia de se escrever em cifra ou em codigo. A criptogra a e uma ci^encia que antecede seu uso em aplica
c~oes computacionais, tendo sido usada por exemplo, para cifrar mensagens por Julio Cesar ja na epoca do Imperio Romano.

Na criptogra a moderna, o processo de convers~ao da mensagem original para men-sagem cifrada e controlado por uma chave e. Esta chave e uma sequ^encia de bits que determina o efeito da fun
c~ao de cifragem. O processo reverso de convers~ao da mensagem cifrada para a mensagem original e chamado de decifragem e e controlado por uma chave

d.

Existem basicamente duas classes de criptogra a, conhecidas como criptogra a de chave simetrica (ou chave privada) e de chave assimetrica (ou chave publica). A rela
c~ao entre e e d diferencia estas duas classes.

Na criptogra a de chave simetrica e = d, ou seja, a mesma chave e usada para a 2

cifragem e decifragem. Sua principal vantagem e a velocidade para cifragem/decifragem e sua principal desvantagem e a di culdade na distribui
c~ao e manuten
c~ao de chaves secretas. Dentre os muitos algoritmos criptogra cos de chave simetrica est~ao o DES, RC6, FEAL, IDEA e o Rijndael.

Na criptogra a de chave assimetricae6=d, ou seja, utiliza-se uma chave para cifrar e

outra para decifrar, sua principal vantagem e a n~ao necessidade de se manter um segredo em comum entre as partes e sua principal desvantagem e o baixo desempenho, visto que esta tecnica lida com so sticadas fun
c~oes matematicas. Dentre os varios algoritmos criptogra cos de chave assimetrica est~ao o RSA, ElGamal e os baseados em curvas elpticas.

Os principais servi
cos de seguran
ca oferecidos pela criptogra a s~ao apresentados a seguir:

Privacidade (sigilo):

impede que pessoas n~ao autorizadas tenham acesso ao conteudo da mensagem, garantindo que apenas a origem e o destino tenham conhecimento do mesmo.

Integridade:

garante que o conteudo da mensagem n~ao e alterado.

Autenticidade da origem:

garante a identidade de quem envia a mensagem.

N~ao-rep
udio:

previne que alguem possa negar o envio ou recebimento de uma men-sagem efetivamente enviada ou recebida.

1.2 Contribuic~oes da Dissertac~ao

As principais contribui
c~oes desta disserta
c~ao s~ao:

Apresenta
c~ao de uma introdu
c~ao as curvas elpticas e alguns de seus

criptossis-temas (ECC).

Analise comparativa dos principais trabalhos acad^emicos que implementaram

crip-tossistemas baseados em curvas elpticas sobre diversas plataformas de processa-mento.

Proposta de implementa
c~ao modular de criptossistemas baseados em curvas elpticas.
Implementa
c~ao de uma biblioteca escrita em C (com abordagem de modulariza
c~ao)

para criptossistemas baseados em curvas elpticas.

Implementa
c~ao de criptossistema baseado em curvas elpticas para DSP tpico do

segmento de dispositivos portateis.

Implementa
c~ao de varias op
c~oes de criptossistemas baseados em curvas elpticas,

tais como corpos nitos binariosF2m, representados por coodernadas a ns, e corpos

nitosFp, representados por coordenadas a ns e por coordenadas projetivas, a m

de avaliar qual corpo nito melhor se adequa a arquitetura de um processador de sinais digitais.

Proposta de uma metrica para avalia
c~ao de criptossistemas baseados em curvas

elpticas, a m de permitir compara
c~oes entre diversas implementa
c~oes feitas sob condi
c~oes diversas.

Dois artigos foram derivados desta disserta
c~ao e apresentados em congressos de se-guran
ca de dados. Maiores detalhes a respeito destes artigos podem ser encontrados no Ap^endice E.

1.3 Estrutura da Dissertac~ao

O captulo 2 apresenta uma breve introdu
c~ao aos criptossitemas baseados em curvas elpticas, com ^enfase na apresenta
c~ao das varias alternativas de implementa
c~ao. Varios trabalhos acad^emicos que implementaram criptossitemas baseados em curvas elpticas bem como suas alternativas de implementa
c~ao tambem s~ao apresentados neste captulo. O captulo 3 descreve uma proposta de modulariza
c~ao de criptossitemas baseados em curvas elpticas em 5 camadas e sua implementa
c~ao em um processador de sinais digitais.

O captulo 4 apresenta uma proposta de classi ca
c~ao bem como uma avalia
c~ao de resultados de varios trabalhos que implementaram ECC.

O captulo 5 contem conclus~oes e sugest~oes de trabalhos futuros.

Os Ap^endices trazem detalhes adicionais, tais como a Introdu
c~ao as Curvas Elpticas (Ap^endice A), Coordenadas Projetivas (Ap^endice B), Esquemas Baseados em Cur-vas Elpticas (Ap^endice C), Exemplos de Curvas Elpticas (Ap^endice D) e Publica
c~oes Derivadas deste Trabalho (Ap^endice E).

Cap
tulo 2

Uma Vis~ao Geral dos

Criptossistemas Baseados em

Curvas El
pticas

2.1 Curvas El pticas

As curvas elpticas t^em sido estudadas intensamente nos ultimos 150 anos e desses estudos emergiu uma rica e profunda teoria 35]. A denomina
c~ao curvas elpticas esta associada ao fato de que no passado estas foram utilizadas para medir o permetro de elipses e os comprimentos das orbitas dos planetas 7]. As curvas elpticas t^em atrado muito interesse pelo fato de suas muitas aplica
c~oes em criptogra a: fatora
c~ao de inteiros, teste de primalidade (veri ca
c~ao se um numero qualquer e primo) e para constru
c~ao de criptossistemas. Recentemente as curvas elpticas foram utilizadas no encaminhamento da demosntra
c~ao do ultimo teorema de Fermat 53].

Criptossistemas baseados em curvas elpticas proporcionam seguran
ca equivalente a outros esquemas de criptogra a, como o RSA por exemplo, mas com a vantagem de precisar de chaves menores, o que implica em menores requisitos de velocidade do processador, de memoria e de largura de banda, facilitando sua implementa
c~ao tanto do ponto de vista de software como de hardware. Uma introdu
c~ao mais aprofundada sobre

curvas elpticas pode ser encontrada em 35], 7] e 22].

As principais propriedades das curvas elpticas podem ser encontradas no ap^endice A onde s~ao apresentados os conceitos necessarios para o uso de corpos nitos na forma
c~ao de curvas elpticas.

2.1.1 Criptossistemas Baseados em Curvas Elpticas

Varios servi
cos de seguran
ca necessarios em sistemas de informa
c~ao, como garantia de integridade, autentica
c~ao e n~ao-repudio, necessitam de mecanismos de criptogra a de chave publica para serem implementados. Uma das formas de se construir estes mecanismos e com a aplica
c~ao das curvas elpticas.

Criptograa de Chave P
ublica: Um Breve Hist
orico

Ate meados dos anos 70 os principais servi
cos que a criptogra a oferecia eram obtidos com a aplica
c~ao de algoritmos de chave simetrica, tambem chamados de algoritmos de chave secreta.

Em 1976, durante a National Computer Conference 13], Whit eld Die e Martin Hellman apresentaram um novo conceito de criptogra a: a criptogra a de chave publica. Eles propuseram um esquema baseado em duas chaves, uma publica e outra privada, onde uma mensagem, cifrada com uma chave, so poderia ser decifrada com a outra. No entanto, n~ao chegaram a apresentar uma implementa
c~ao pratica deste novo conceito. Ainda em 1976, Die e Hellman apresentaram um esquema de troca de chaves secretas, baseado na di culdade de se calcular logaritmos discretos 14].

Este novo conceito de criptogra a se sustentaria na teoria dos numeros, um ramo da matematica pura, mais especi camente nas fun
c~oes unidirecionais. Estas fun
c~oes s~ao relativamente faceis de serem computadas, mas suas inversas s~ao extremamente difceis ou inviaveis. Uma boa introdu
c~ao as fun
c~oes unidirecionais pode ser vista em 35] e varios exemplos de fun
c~oes unidirecionais s~ao apresentados no captulo 3 de 36].

Em 1978, Ron Rivest, Adi Shamir e Len Adleman apresentaram o primeiro algoritmo que efetivamente viabilizou as ideias de Die e Hellman: o RSA 43]. Este se baseou

na di cudade de se fatorar numeros inteiros e se tornou um dos principais esquemas de criptogra a desde ent~ao.

Em meados da decada de 80, Victor Miller 37] e Neal Koblitz 25] propuseram in-dependependente o uso das curvas elpticas para aplica
c~oes em criptogra a de chave publica, que apresenta como principal vantagem possuir seguran
ca equivalente aos es-quemas existentes, mas com chaves de menor tamanho.

Recentemente, o grupo de estudos de padroniza
c~ao IEEE P1363, concluiu a primeira vers~ao do Standard Specification for Public Key Cryptography, sendo que os metodos matematicos padronizados foram: fatora
c~ao de numeros inteiros, logaritmos discretos e as curvas elpticas 22].

Logaritmos Discretos

Varios esquemas de criptogra a de chave publica s~ao baseados nos logaritmos discretos, como por exemplo o DSA (Digital Signature Algorithm) 2], os varios esquemas de ElGamal 16], o esquema de assinatura digital de Schnorr 46], o esquema de assinatura digital de Nyberg-Rueppel 39], entre outros.

Para todos os esquemas baseados nos logaritmos discretos, existe um analogo uti-lizando curvas elpticas. Exemplos de esquemas criptogra cos baseados nos logaritmos discretos podem ser encontrados no ap^endice C.

O problema dos logaritmos discretos consiste na di culdade de se encontrar al-gum metodo computacionalmente viavel de se calcular logaritmos num dado grupo

G (Ap^endice A). Antes de se apresentar a de ni
c~ao de logaritmos discretos, se faz necessario apresentar o conceito de elemento gerador de um grupo.

Elemento gerador:

um elemento , e dito gerador ou primitivo de um grupo G se todos os elementos  n~ao nulos deste grupo puderem ser escritos sob a forma

 =k_{, onde k e um numero inteiro.}

Logaritmo discreto:

Considere G um grupo multiplicativo nito de ordem n e  o gerador de G. O logaritmo discreto do elemento de G na base, denotado por

log
 mod n, e o unico inteiro x, 0x < n, tal que  =x mod n.

Um algoritmo obvio para se calcular o logaritmo discreto consiste em computar pot^encias sucessivas k_{mod n ate que  seja encontrado (metodo da for
ca bruta). Este}

metodo e computacionalmente inviavel para n muito grande. Existem alguns metodos mais e cientes para se calcular logaritmos discretos como por exemplo Pollard's rho, Pohlig-Hellman e Index-calculus (uma apresenta
c~ao de todos estes metodos pode ser encontrada em 36]).

2.1.2 Seguranca de Criptograa Baseada em Curvas Elpticas

O problema dos logaritmos discretos sobre curvas elpticas, e considerado mais intratavel que o dos logaritmos discretos sobre corpos nitosZ

p 27] e 7]. Entretanto, nem todas

as curvas elpticas podem ser consideradas seguras, assim como nem todas as curvas elpticas s~ao e cientes (do ponto de vista da aritmetica elptica).

Esta se
c~ao discute a seguran
ca dos criptossistemas baseados em curvas elpticas e apresenta as classes de curvas elpticas que podem ser aplicadas para os propositos de criptogra a, bem como aquelas que devem ser evitadas.

C
alculo dos Logaritmos Discretos sobre Curvas El
pticas

Desde a inven
c~ao de cripto-sistemas de chave publica em 1976 por Die e Hellman, numerosos metodos para se implementar criptossistemas de chave publica foram pro-postos, todos baseados na di culdade de se resolver algum problema matematico. Ao longo dos anos, muitos destes metodos foram criptoanalisados e considerados fracos e muitos outros demonstraram ser impraticaveis. Os tr^es metodos de maior aceita
c~ao e padronizados pela IEEE P1363 22] s~ao aqueles baseados no problema dos logaritmos discretos, no problema da fatora
c~ao de inteiros e no problema dos logaritmos discretos sobre curvas elpticas.

Entre 1978 e 1984, varios algoritmos e cientes para resolver o problema dos loga-ritmos discretos foram propostos 31]. Os logaloga-ritmos discretos (LD) e a fatora
c~ao de inteiros (FI) s~ao problemas tais que muitos algoritmos desenvolvidos para resolver um problema podem ser modi cados para serem aplicados ao outro. Os melhores metodos conhecidos para se resolver os logaritmos discretos (LD) e a fatora
c~ao de inteiros pos-suem complexidade algortmica com tempo sub-exponencial. Isto elevou o problema dos logaritmos discretos sobre curvas elpticas (DLCE) a um status especial, pois os melhores metodos conhecidos para calcula-lo possuem complexidade algortmica com tempo exponencial 7]. E por esse motivo que a criptogra a baseada em curvas elpticas requer chaves menores para manter o mesmo nvel de seguran
ca de outros esquemas de criptogra a de chave publica.

Seguranca vs. Tamanhos de Chaves

Varias refer^encias apresentam compara
c~oes entre a seguran
ca dos criptossistemas basea-dos em curvas elpticas e os algoritmos tradicionais de criptogra a de chave publica 50],7]. No entanto, existem algumas diverg^encias entre as estimativas de tempo de processamento para se descobrir 1 uma chave, devido a di culdade de se estimar o

tempo de utiliza
c~ao do processador 2.

Na Tabela 2.1 e apresentada uma estimativa presente no anexo D da IEEE P1363 22] em MIPS-ano, onde MIPS-ano e a quantidade aproximada de computa
c~ao que uma maquina (capaz de executar um milh~ao de instru
c~oes por segundo), executaria em um ano (aproximadamente 310

13 instru
c~oes).

1Tempo de processamento necess
ario para se calcular o problema em quest~ao, por exemplo, no caso de ECC, o tempo necess
ario para calcular o logaritmo discreto sobre curvas el
pticas.

2Estimativa de quantas instruc~oes aritm
eticas um processador executa por segundo quando trabalha em um trecho de programa. Esta estimativa n~ao depende somente do clock, mas tamb
em da arquitetura do processador, da quantidade e velocidade das mem
orias cache e RAM e do trecho particular do programa em execuc~ao.

L.D. e F.I. C.E. Volume de processamento (MIPS-ano) 512 128 4010 5 1024 172 3010 12 2048 234 3010 21 4096 314 2010 33

Tabela 2.1: Tamanho de chaves dos esquemas de criptogra a e volume de processamento segundo norma P1363, anexo D 22].

Classes de Curvas El
pticas

Qualquer curva elpticaE pode ser representada como uma curva cubica plana ou seja, em P2, pela Eq. 2.1. y2+a 1xy+a3y=x 3+a 2x 2+a 4x+a6 (2.1)

Esta equa
c~ao e chamada de equa
c~ao de Weierstrass 35]. Dependendo da carac-terstica do corpo onde a curva e de nida, a Eq. (2.1) pode ser transformada e simpli- cada, como mostrado em 35] e 7].

Para corpos nitos primosFp comp >3, a equa
c~ao de Weierstrass apresenta a forma

da Eq. (2.2).

y2 =x3+a

4x+a6 (2.2)

Estas curvas elpticas s~ao consideradas seguras, desde que n~ao sejam an^omalas. Uma curva elptica sobreFp e dita an^omala se #E(Fp) =p, ou seja, se possui ordem (numero

de pontos) igual ap. Para esta classe de curvas existem varios ataques polinomiais 48], de forma que atualmente s~ao consideradas inseguras para sistemas de criptogra a.

Para corpos nitos de caracterstica dois, F2m, a equa
c~ao de Weierstrass pode

re-presentar curvas supersingulares, caso a1 = a2 = 0 e a3 = 1, tomando a forma da Eq.

(2.3)

y2+y=x3 +a

4x+a6 (2.3)

As curvas supersingulares foram consideradas inicialmente como muito promissoras para criptogra a em fun
c~ao de poderem ser calculadas rapidamente. Entretanto, no incio dos anos 90, Menezes, Okamoto e Vanstone 34], mostraram que o problema dos logaritmos discretos sobre as curvas supersingulares, poderia ser e cientemente reduzido ao problema dos logaritmos discretos sobre Fp, de forma que estas curvas deixaram de

ser aplicadas em criptogra a.

Existem tambem as curvas n~ao-supersingulares, que assumem a forma da Eq. ( 2.4)

y2+xy=x3+a 2x

2+a

6 (2.4)

Estas curvas s~ao consideradas seguras e existem combina
c~oes destas curvas (coe- cientes espec cos e corpos nitos espec cos), que proporcionam mais e ci^encia na aritmetica elptica, como e o caso, por exemplo, das Curvas de Koblitz 3 26].

2.2 Alternativas de Implementac~ao de

Criptossis-temas Baseados em Curvas El pticas

S~ao muitas as escolhas que devem ser feitas para se desenvolver um criptossistema baseado em curvas elpticas (ECC). Elas v~ao desde o tipo de curva elptica, passando por sua representa
c~ao, e chegando na escolha de algoritmos a serem aplicados. A seguir s~ao apresentadas as alternativas tpicas para a implementa
c~ao de criptossistemas baseados em curvas elpticas.

2.2.1 Corpo Finito

Ha pelo menos tr^es escolhas possveis :

3Curvas denidas em F 2m nas formas y 2+ xy=x 3+ 1 e y 2+ xy=x 3+ x 2+ 1. 12

Corpo Primo (Fp): ospelementos deste corpo s~ao inteiros menores que um primo

p e as opera
c~oes s~ao implementadas em termos de aritmetica de inteiros modulo

p.

Corpo Binario (F

2m): contem 2

m _{elementos para algum inteiro m (chamado de}

grau do corpo). Os elementos deste corpo s~ao uma cadeia de bits de tamanhom

e a aritmetica neste corpo e implementada em termos de opera
c~oes sobre bits.

Corpo de Extens~ao Otima (Fpm) (Optimal Extension Field - OEF): o smbolope

um numero primo de Mersenne 2nc, para nc inteiros positivos e arbitrarios e

o smbolome um inteiro positivo maior que zero.

2.2.2 Representac~ao da Base em

F2m

Para descrever a aritmetica de corpos nitos binarios, primeiro e necessario especi car como a cadeia de bits sera interpretada. Isto e normalmente referido como escolha da base. Uma base de um espa
co vetorial pode ser de nida como um conjunto linearmente independente de vetores que geram este espa
co vetorial. Para corpos nitos binarios (F2m), dependendo da base aplicada, existem tecnicas e cientes para a execu
c~ao das

opera
c~oes aritmeticas. Ha dois tipos comuns de base:

Base Polinomial: Numa representa
c~ao em base polinomial, cada elemento de F 2m

e representado por um polinomio de grau menor que m. Mais explicitamente, a sequ^encia de bits (am;1 a 2a1a0) representa o polin^omio: am;1t m;1+ +a 2t 2+a 1t+a0
Base Normal: E a base na forma:

f 22 2 :::2m ;1 g onde 2F

2m, ou seja, um elemento qualquer de F2m pode ser escrito na forma:

=m;1 X

i=0

ai2i

onde ai 2 f01g. A principal vantagem da representa
c~ao normal esta no fato de

que o calculo do quadrado de um elemento passa a ser uma opera
c~ao simples de deslocamento de um bit.

2.2.3 Representac~ao das Coordenadas

Como discutido anteriormente, a equa
c~ao das curvas elpticas e um caso especial da equa
c~ao de Weierstrass e os pontos pertencentes a esta curva podem ser representados por varios sistemas de coordenadas, como por exemplo coordenadas a ns, projetivas homog^eneas, projetivas jacobianas ou outros sistemas de coordenadas projetivas 35]. Em casos onde o calculo do inverso multiplicativo for signi cativamente mais complexo que o calculo da multiplica
c~ao, pode ser mais e ciente a implementa
c~ao de sistemas de coordenadas projetivas. Mais detalhes a respeito das coordenadas projetivas podem ser encontrados no ap^endice B.

Sistema de coordenadas a m: para Fp, p > 3, a equa
c~ao da curva elptica e

apresentada sob a forma E :y2 =x3+ax+b com ab

2 Fp e com a condi
c~ao

4a3 + 27b2

6

= 0. Assumindo que P1 = (x1y1) e P2 = (x2y2) sejam pontos

pertencentes aE(Fp), a somaP3 = (x3y3) =P1+P2 pode ser calculada conforme

as Eqs. (2.5) a (2.7). x3 = 2 ;x 1 ;x 2  (2.5) y3 =(x1 ;x 3) ;y 1 onde (2.6) = 8 > < > : y2 ;y 1 x2 ;x 1 se P 1 6 =P2 3x 1 2 +a 2y 1 se P 1 =P2: (2.7) ParaF2m, a equa
c~ao da curva elptica e apresentada sob a forma

E :y2+xy=x3+ax2+b com ab 2 F 2m e com a condi
c~ao b 6 = 0. Assumindo 14

que P1 = (x1y1) e P2 = (x2y2) sejam pontos pertencentes a E(F2m), a soma

P3 = (x3y3) =P1+P2 pode ser calculada conforme as Eqs. (2.8) a (2.10).

x3 = 2++x 1+x2+a  (2.8) y3 =(x1+x3) +x3+y1 onde (2.9) = 8 > < > : y2 +y 1 x2 +x 1 se P 1 6 =P2 x1+ y1 x1 se P 1 =P2: (2.10)

Sistema de coordenadas projetivas homog^eneas: um ponto projetivo (XYZ) na

curva, satisfaz a equa
c~ao de Weierstrass Y2Z = X3 +aXZ2 +bZ3 para F

p e a

equa
c~aoY2Z+XY Z =X3+aX2Z+bZ3 para F

2m . Quando Z

6

= 0, este ponto corresponde ao ponto a m (X=ZY=Z). As equa
c~oes para o calculo de soma e duplica
c~ao de pontos projetivos podem ser encontradas em 3] para o caso de Fp

e em 35] para o caso de F2m.

Sistema de coordenadas projetivas jacobianas: um ponto projetivo jacobiano (XYZ),

satisfaz a equa
c~ao de Weierstrass Y2 =X3+aXZ4+bZ6 paraF

p e Y2+XY Z =

X3+aX2Z2+bZ6 paraF

2m . QuandoZ

6

= 0, este ponto corresponde ao ponto a m (X=Z2Y=Z3). Este sistema de coordenadas e o recomendado pela norma IEEE

P1363 e as equa
c~oes para o calculo de soma e duplica
c~ao de pontos projetivos jacobianos paraF2m e Fp podem ser encontradas no ap^endice B.

Recentemente, outros sistemas de coordenadas projetivas est~ao sendo propostos co-mo o sistema de Chudnovsky e os sistemas combinados a m, Jacobianas-Chudnovsky e Jacobianas-Chudnovsky-a m apresentado em 8]. Em 31] e 32] e apresentado um novo sistema de coordenadas a m sobreF2m.

2.2.4 Algoritmos de Aritmetica Modular

S~ao os algoritmos que aplicam as opera
c~oes modulares tais como adi
c~ao, subtra
c~ao, multiplica
c~ao e sua opera
c~ao inversa, o inverso multiplicativo, que e normalmente a opera
c~ao mais custosa.

2.2.5 Algoritmos de Aritmetica Elptica

Estes algoritmos implementam a adi
c~ao e a duplica
c~ao de pontos, bem como a multipli-ca
c~ao escalar de pontos, ou seja, dado um pontoP e um escalark, realizam o calculo de

kP. A e ci^encia desta opera
c~ao pode de nir o desempenho de um sistema com ECC.

2.2.6 Tipo de Curva Elptica

Curvas Pseudo-aleatoriass~ao curvas geradas aleatoriamente. Deve ser veri cado se

estas de nem uma ordem #E(Fq) (numero de pontos) apropriada para aplica
c~oes

criptogra cas. Tambem deve ser veri cado se a curva gerada e segura contra os principais ataques conhecidos, como descrito no captulo 6 de 7].

Curvas especiais s~ao aquelas cujos coe cientes e o corpo nito foram escolhidos

para otimizar a e ci^encia das opera
c~oes da curva elptica, como por exemplo as curvas de Koblitz sobre F2m.

2.2.7 Criptossistema

Geralmente, qualquer esquema de criptogra a baseado nos logaritmos discretos, tera um analogo sobre as curvas elpticas, como por exemplo os esquemas de Die e Hellman 14], ElGamal 16], dentre outros. Os mais comuns s~ao aqueles padronizados pela IEEE P1363 22]:

ECDH : esquema de troca de chaves Die-Hellman baseado em curvas elpticas.

Este esquema e aplicado em conjunto com algum algoritmo de criptogra a simetrica 16

como por exemplo o triplo-DES ou Rijndael (AES), para se obter um criptossis-tema completo.

ECDSA : esquema de assinatura digital baseado em curvas elpticas (analogo ao

DSA). E composto por duas opera
c~oes: a gera
c~ao e a veri ca
c~ao de assinatura. Este esquema e aplicado em conjunto com os algoritmos de hash SHA-1 ou MD5. Conforme visto, s~ao muitas as alternativas e as tecnicas de implementa
c~ao que fazem parte do projeto de um criptossistema baseado em ECC. O criterio de escolha destes par^ametros e algoritmos normalmente est~ao relacionados ao desempenho e nvel de se-guran
ca desejados, disponibilidade de recursos computacionais e arquitetura de proces-samento.

2.3 Trabalhos Anteriores de Implementac~ao de

Crip-tossistemas Baseados em Curvas El pticas

Varias publica
c~oes apresentam algoritmos e metodos para computa
c~ao e ciente de crip-tossistemas baseados em curvas elpticas, mas normalmente tratam o assunto de forma parcial e isolada e somente algumas publica
c~oes chegam a apresentar implementa
c~oes completas de criptossistemas. Os sistemas apresentados neste captulo, s~ao implemen-ta
c~oes completas sobre alguma plataforma de processamento e que, consequentemente, tiveram um desempenho determinado pelos par^ametros e pelas tecnicas de implemen-ta
c~ao escolhidas pelos seus autores. Estes trabalhos apresentam uma boa variedade de alternativas de implementa
c~ao e de plataformas (microcontroladores, processadores di-gitais de sinais, processadores RISC e arquitetura Intel x86). Existem ainda iniciativas que implementam ECC em hardware espec cos como, por exemplo, as FPGAs, mas tais iniciativas n~ao foram abordadas neste trabalho.

2.3.1 De Win, Mister, Preneel e Wiener - 1998

Este artigo 11] e um dos mais referenciados. Foi um dos primeiros a tratar de forma completa um ECC, da aritmetica em corpo nito e corpo elptico ao criptossistema, para ambos os corposFp eF2m. A plataforma de processamento e um PC Pentium Pro200. A

implementa
c~ao emFpfoi feita em C/C++ e Assembly, utilizou as coordenadas projetivas

e teve o melhor desempenho. A implementa
c~ao em F2m foi feita em C++, utilizou um

polin^omio redutor (trin^omio) melhorado e obteve resultados mais e cientes na opera
c~ao de redu
c~ao (modulo p(x)). Ela tambem aplicou algoritmos para otimizar o inverso multiplicativo e a multiplica
c~ao escalar de pontos. Na Tabela 2.2 e apresentado o per l da implementa
c~ao deste trabalho.

2.3.2 Bogdan Antonescu - 1999

A disserta
c~ao de mestrado de Bogdan Antonescu 3], implementa aritmetica sobre Fp

e F2m bem como aritmetica de corpos elpticos em uma plataforma restrita

(microcon-trolador MC68302 - Motorola). O trabalho tambem apresenta uma implementa
c~ao em um Pentium 200 MHZ e compara seus resultados com o trabalho de DeWin et al. 11]. Como n~ao houve melhorias signi cativas nesta plataforma, optou-se por analisar aqui somente a implementa
c~ao sobre a plataforma restrita MC68302. Neste trabalho, ca evidente o melhor desempenho da aritmetica F2m em rela
c~ao a Fp sobre a plataforma

restrita. Certamente Fp leva desvantagem nesta plataforma visto que a instru
c~ao de

multiplica
c~ao no processador da Motorola utilizado leva aproximadamente 70 ciclos de maquina para ser executada. Neste trabalho, Bogdan Antonescu n~ao chega a implemen-tar um criptossistema completo mas somente a aritmetica acima citada. Na Tabela 2.3 e apresentado o per l da implementa
c~ao.

Software

Corpo nito Fp F2m

Tamanho do Corpo (bits) 191 191 Representa
c~ao de

Coorde-nadas Projetivas A m

Alg. Multiplica
c~ao Metodo classico 24] Metodo de Schroeppel 47]

Alg. Inverso Multiplicativo N~ao se aplica Almost Inverse Algo-rithm 47]

Alg. multiplica
c~ao escalar

(grupo elptico) Double and Add 22] Double and Add e Slid-ing Window ambos com Signed digit 7]

Tipos de curvas ANSI X9.62 ANSI X9.62

Linguagem ASM/C/C++ C++

Hardware

Processador PentiumPro 200 Arquitetura CISC - 32 bits

Clock 200 MHz

Criptossistemas DSA, RSA e ECDSA

Tabela 2.2: Detalhes da implementa
c~ao de De Win, Mister, Preneel e Wiener - 1998 11]

Software

Corpo nito Fp F2m

Tamanho do Corpo (bits) 192 191 e 167 Representa
c~ao de

Coorde-nadas Projetivas A m

Alg. Multiplica
c~ao Biblioteca aritmetica

GNUMP 17] Serial Multiplier : linearfeedback shift register 3] Alg. Inverso Multiplicativo N~ao se aplica Almost Inverse

Algo-rithm 47] Alg. multiplica
c~ao escalar

(grupo elptico) Double and Add 22] Double and Add e Slid-ing Window ambos com Signed digit 7]

Tipos de curvas ANSI X9.62 ANSI X9.62

Linguagem C C e ASM

Hardware

Processador Motorola - MC68302 Arquitetura CISC - 32 bits

Clock 25 MHz

criptossistema

N~ao implementou mas sugeriu ECDH e ECDSA

Tabela 2.3: Detalhes da implementa
c~ao de Bogdan Antonescu - 1999 - 3]

2.3.3 Hasegawa, Nakajima e Matsui - 1998

O artigo de Hasegawa, Nakajima e Matsui 21], um grupo da Mitsubishi, trata de uma implementa
c~ao completa de um ECC sobre Fp, em uma plataforma restrita

(microcon-trolador M16C, 10 MHz, CISC 16 bits) da propria Mitsubishi. E dado um enfoque especial ao compromisso (tamanho de codigo + dados) vs. velocidade , pois uma das premissas era desenvolver um sistema com ECC sobre esta plataforma com no maximo 4KBytes de codigo/dados. Em rela
c~ao ao apresentado na norma P1363 22], foram feitas melhorias no metodo de somar e duplicar pontos elpticos, representados por coordenadas projetivas, diminuindo-se o numero de variaveis temporarias necessarias. Para multiplica
c~ao escalar de pontos, foram implementados os algoritmos para pon-to aleatorio e ponpon-to xo, sendo que com o segundo obteve-se os melhores resultados. E importante salientar que o criptossistema foi escrito totalmente em Assembly. Na Tabela 2.4 e apresentado o per l desta implementa
c~ao.

2.3.4 Itoh, Takenaka, Torh, Temma e Kurihara - 1999

O artigo de Itoh, Takenaka, Torh, Temma e Kurihara 23], um grupo da Fujitsu, tra-ta de uma implementra-ta
c~ao completra-ta de um ECC sobre Fp, em um processador digital

de sinais topo de linha da Texas Instruments: TMS320C6201, 200MHz, 16 bits, 1600 MIPS e Pipeline (8 unidades funcionais em paralelo + 2 unidades de multiplica
c~ao). As contribui
c~oes deste trabalho foram melhorias ao metodo de multiplica
c~ao modu-lar de Montgomery 38], onde foi aproveitada a arquitetura de pipeline do DSP. Para aritmetica em corpo elptico, a contribui
c~ao foi diminuir o numero de instru
c~oes de adi
c~ao e multiplica
c~ao, representados por coordenadas projetivas, quando comparado ao metodo apresentado na norma P1363 22]. Deve-se salientar que este trabalho faz uma abordagem especial na tentativa em se diminuir o numero de instru
c~oes de adi
c~ao, considerando que em um DSP estas instru
c~oes n~ao t^em tempos de execu
c~ao desprezveis, quando comparados as instru
c~oes de multiplica
c~ao. As rotinas basicas foram escritas

Software

Corpo nito Fp

Tamanho do Corpo (bits) 160 Representa
c~ao de

Coorde-nadas Projetivas

Alg. Multiplica
c~ao N~ao mencionado no artigo Alg. Inverso Multiplicativo N~ao se aplica

Alg. multiplica
c~ao escalar

(grupo elptico) Tabela pre calculada para um pontoP xo Tipos de curvas Curva aleatoria

Linguagem ASM

Hardware

Processador Mitsubishi- MC16C Arquitetura CISC - 16 bits

Clock 10 MHz

criptossistema ECDSA

Tabela 2.4: Detalhes da implementa
c~ao de Hasegawa, Nakajima e Matsui - 1998 - 21]

Software

Corpo nito Fp

Tamanho do Corpo (bits) 160, 192 e 239 Representa
c~ao de

Coorde-nadas Projetivas

Alg. Multiplica
c~ao Montgomery melhorado e adaptado ao pipeline 38] Alg. Inverso Multiplicativo N~ao se aplica

Alg. multiplica
c~ao escalar

(grupo elptico) Double and Add otimizado ao pipeline Tipos de curvas Curva aleatoria

Linguagem C e ASM

Hardware

Processador Texas instruments - TMS320C6201 Arquitetura DSP - 32 bits

Clock 200 MHz

criptossistema

DSA (c/RSA) e ECDSA

Tabela 2.5: Detalhes da implementa
c~ao de Itoh, Takenaka, Torh, Temma e Kurihara -1998 - 23]

em Assembly e as demais em C. Na Tabela 2.5 e apresentado o per l da implementa
c~ao do trabalho.

2.3.5 Julio Lopez - 2000

Julio Lopes apresenta em sua tese de doutorado 31] metodos e cientes para a aritmetica sobre corpo nito F2m (multiplica
c~ao rapida 33]) , bem como para o grupo elptico

(metodos e cientes para duplica
c~oes de pontos elpticos e um novo sistema de coor-23

denadas projetivas 32]). Os melhores resultados foram obtidos com o uso de curvas de Koblitz. Em sua tese tambem s~ao apresentadas implementa
c~oes de ECC sobre a plataforma PentiumII 400 MHz, RIM pager (Intel 386, 10MHz, CISC 32 bits) e Palm Pilot (Mototola 68000, 16 MHz, CISC 16 bits). O codigo foi escrito em C e na Tabela 2.6 e apresentado o per l da implementa
c~ao.

2.3.6 Woodbury, Bailey e Paar - 2000

O artigo de Woodbury, Bailey e Paar 55] apresentado na CARDIS 2000 - Smart Card Research and Advanced Applications Conference - e uma implementa
c~ao de ECC so-bre o microcontrolador 8051, comumente usado como processador nos smart cards mais populares como o Siemens 44C200 e Philips 82C852. Este trabalho apresenta uma im-plementa
c~ao sobre Corpos de Extens~ao Otima (Optimal Extension Fields). O corpo OEF utilizado neste trabalho foi o F(2

8 ;17)

17 que e particulamente adequado para

pro-cessadores de 8 bits. Segundo os autores este corpo OEF tem seguran
ca equivalente a um corpo binario F2

134. Na Tabela 2.7 e apresentado o per l da implementa
c~ao.

2.3.7 Aydos, Yanik e Koc - 2000

Trabalho que trata de uma implementa
c~ao completa de um sistema com ECC sobreFp

em um processador ARM7TDMI (80MHz, RISC 32 bits) 5]. Nele foi utilizado o algo-ritmo de Montgomery 38] para multiplica
c~ao e ciente e foram usadas as coordenadas projetivas. O criptossistema implementado (ECDSA) e aplicado a um protocolo de au-tentica
c~ao - Wireless Authentication Protocol 4] - desenvolvido para telefonia movel, handhelds e smartcards. Na Tabela 2.8 e apresentado o per l da implementa
c~ao feita.

Software

Corpo nito F2m

Tamanho do Corpo (bits) 163, 233 e 283 Representa
c~ao de

Coorde-nadas Sistema proprio de coordenadas projetivas 32] Alg. Multiplica
c~ao Metodo proprio 33], sendo uma extens~ao ao metodo

de Lim/Lee's 30]

Alg. Inverso Multiplicativo Algoritmo estendido de Euclides 24] Alg. multiplica
c~ao escalar

(grupo elptico) Conjunto de metodos proprios 32] e metodos de Soli-nas propostos em 49] Tipos de curvas Curvas aleatorias e curvas de Koblitz (recomendadas

pelo NIST 40])

Linguagem C

Hardware

Processador RIM Pager

(In-tel - 386) Palm Pilot(Motorola 68000) Pentium II Arquitetura CISC 32 bits CISC 16 bits CISC 32 bits

Clock 10 MHz 16 MHz 400 MHz

criptossistema

PGP com ECAES 1] e ECDSA

Utilizou-se por
c~oes do OpenSSL 41] e do OpenPGP 42] para esta implementa
c~ao Tabela 2.6: Detalhes da implementa
c~ao de Julio Cesar Lopez Hernandez - 2000 - 31]

Software

Corpo nito Fpm, ondepe um pseudo primo de Mersenne (2nc)

Tamanho do Corpo (bits) F(2 8 ;17) 17 'F 2 134 Representa
c~ao de Coorde-nadas A m

Alg. Multiplica
c~ao espec co a OEF 55] Alg. Inverso Multiplicativo espec co a OEF 55] Alg. multiplica
c~ao escalar

(grupo elptico) metodo de precomputa
c~ao e cadeia de adi
c~ao de ve-tores (metodo de Rooij 10]) Tipos de curvas N~ao mencionado no artigo

Linguagem C e ASM

Hardware

Processador microcontrolador 8051 Arquitetura CISC - 8 bits

Clock 12 MHz

criptossistema

N~ao implementou, mas sugeriu ECDSA

Tabela 2.7: Detalhes da implementa
c~ao de Woodbury, Bailey e Paar - 2000 - 55]

Software

Corpo nito Fp

Tamanho do Corpo (bits) 160, 176, 192, 208 e 256 Representa
c~ao de

Coorde-nadas Coordenadas projetivas 9] Alg. Multiplica
c~ao Montgomery 38]

Alg. Inverso Multiplicativo N~ao se aplica Alg. multiplica
c~ao escalar

(grupo elptico) Metodo combinado com o uso de coordenadas jaco-bianas Tipos de curvas Curvas aleatorias

Linguagem N~ao consta Hardware

Processador ARM7TDMI

Arquitetura RISC - 32 bits

Clock 80 MHz

criptossistema

ECDSA + Wireless Authentication Protocol apresentado em 4]

Tabela 2.8: Detalhes da implementa
c~ao de Aydos, Yanik e Ko
c - 2000 - 5]

Software

Corpo nito F2m

Tamanho do Corpo (bits) 163 Representa
c~ao de

Coorde-nadas Sistema de coordenadas projetivas proposto porJulio Lopez 32] Alg. Multiplica
c~ao Metodo proposto em 33]

Alg. Inverso Multiplicativo N~ao se aplica Alg. multiplica
c~ao escalar

(grupo elptico) Sliding windows, Montgomery e metodo deLim/Lee's 30] para ponto xo Tipos de curvas Curvas aleatorias e curvas de Koblitz (recomendadas

pelo NIST 40])

Linguagem C

Hardware

Processador Motorala - Dragonball Arquitetura CISC - 32 bits

Clock 16 MHz

criptossistema N~ao implementou.

Tabela 2.9: Detalhes da implementa
c~ao de Weimerskich, Paar e Shantz - 2001 - 52]

2.3.8 Weimerskich, Paar e Shantz - 2001

O artigo de Weimerskich, Paar e Shantz 52] apresentado na ACISP 2001 - Australasian Conference on Information Security and Privacy - e uma implementa
c~ao de ECC so-bre Palm OS utilizando o PDA Handspring Visor com 2MB de memoria, dispositivo que utiliza a CPU DragonBall da Motorola (16MHz, CISC 32 bits). O programa foi totalmente escrito em C utilizando-se o ambiente de compila
c~ao Code Warrior. N~ao foi implementado um criptossistema completo mas somente a aritmetica necessaria para a implementa
c~ao de multiplica
c~ao em corpo elptico (opera
c~aoQ=kP,k um escalar eP

um ponto pertencente a curva elptica). Algumas tecnicas utilizadas por Weimerskich, Paar e Shantz neste trabalho foram praticamente as mesmas apresentadas no trabalho de Julio Lopez 32],33]. Duas abordagens de implementa
c~ao foram apresentadas: uma para ponto xo e outra para ponto aleatorio. Os melhores resultados foram conseguidos com a abordagem para ponto xo, devido ao uso da tecnica de tabelas pre-calculadas. Estas tabelas chegam a necessitar de cerca de 11000 bytes, o que para o PDA usado n~ao foi problema. Na Tabela 2.9 e apresentado o per l da implementa
c~ao feita.

2.4 Conclus~oes

O problema dos logaritmos discretos sobre curvas elpticas e o mecanismo algebrico que faz das curvas elpticas interessantes para aplica
c~ao em criptogra a de chave assimetrica. No entanto, para se implementar os criptossitemas baseados em curvas elpticas s~ao muitas as escolhas que devem ser feitas, desde o tipo de curva elptica, passando por sua representa
c~ao e chegando na escolha de algoritmos a serem aplicados. Neste captulo as principais alternativas de implementa
c~ao foram apresentadas.

Buscou-se analisar tambem as op
c~oes adotadas pelos principais trabalhos que im-plementaram criptossitemas baseados em curvas elpticas, a m de identi car algum direcionamento para uma boa escolha de op
c~oes e par^ametros. No entanto, esta analise e di cultada pelas diversidades nos cenarios de implementa
c~ao (plataformas de pro-cessamento, nveis de seguran
ca, etc.) bem como pela falta de uma padroniza
c~ao na

apresenta
c~ao de resultados.

Cap
tulo 3

Implementac~ao de Curvas El
pticas

em Processadores de Sinais Digitais

3.1 Arquitetura de um Processador de Sinais

Digi-tais

O Processador de Sinais Digitais (DSP) foi projetado para implementa
c~ao e ciente de algoritmos de processamento de sinais tais como ltragem e codi ca
c~ao, por exemplo. Os recursos comuns aos DSPs disponveis no mercado s~ao apresentados a seguir.

Multiplicac~ao r
apida:

uma das tarefas mais comuns dos DSPs e a implementa
c~ao de

ltros digitais, que normalmente s~ao expressos na forma de somatoria de produtos (convolu
c~ao). Esta opera
c~ao e acelerada com a instru
c~ao MAC (multiply and accumulate) que leva um ciclo de maquina para ser executada.

Unidades m
ultiplas de execuc~ao:

como as aplica
c~oes baseadas em DSPs manipu-lam dados amostrados em taxas elevadas e com requisitos de tempo-real, e comum haver uma ou mais unidades de execu
c~ao em paralelo para acelerar este proces-samento. Por exemplo, unidades logicas e aritmeticas (ULA), registradores de deslocamento em paralelo a unidade de MAC e uso de pipeline s~ao caractersticas comumente encontradas em um DSP para aumentar seu desempenho.

Acesso eciente a mem
oria:

para que uma instru
c~ao MAC seja executada em um ciclo de maquina, e necessario que ocorra busca da instru
c~ao MAC, do dado e do coe ciente neste unico ciclo. Por isso, e comum uma arquitetura baseada em multiplos bancos de memoria. Alem disso, considerando que o acesso a memoria dos algoritmos de DSPs tende a ter um padr~ao de repeti
c~ao e endere
camento circular, existem modos de endere
camento, como ponteiros auto-incrementados para acelerar e economizar instru
c~oes nestas situa
c~oes.

Custo computacional de laco igual a zero:

tipicamente os algoritmos de DSP gas-tam boa parte de seu tempo de processamento em se
c~oes relativamente pequenas de software que s~ao executadas repetidamente, ou seja, em la
cos (loops), de forma que a maioria dos DSPs fornecem um suporte a execu
c~ao e ciente de la
co, com um custo de controle do mesmo bastante reduzido.

3.2 Criptograa de Chave Publica em DSPs

O campo de implementa
c~ao de algoritmos criptogra cos em plataformas espec cas e muito ativo. Na criptogra a de chave simetrica, houve recentemente muitas implemen-ta
c~oes de algoritmos candidatos para substituir o DES (antigo algoritmo padr~ao ameri-cano 40]), como as descritas em 54] e 56]. Na criptogra a de chave assimetrica, varios trabalhos trataram o desa o de se implementar os so sticados mecanismos matematicos, necessarios a esse tipo de criptogra a, em ambientes de processamento com recursos computacionais limitados, como o caso do trabalho de J. F. Dhem 12] que implementa RSA em smart-cards sem o uso de coprocessador criptogra co. Entretanto, a pesquisa feita sobre implementa
c~ao de criptogra a de chave publica em Processadores de Sinais Digitais (DSP) e limitada. Um resumo de 3 trabalhos importantes e apresentado a seguir.

O primeiro e a refer^encia mais antiga (1986) de implementa
c~ao de algoritmos crip-togra cos em DSP 6]. Neste trabalho o autor prop~oe um novo algoritmo para execu-tar multiplica
c~ao modular que e a opera
c~ao basica usada para implemenexecu-tar esquemas

baseados no RSA. O autor argumenta que a plataforma DSP e uma boa escolha para sua implementa
c~ao, pois considera que a opera
c~ao basica do RSA e a exponencia
c~ao

xe _{mod m, onde x,ee ms~ao em geral inteiros em precis~ao multipla, envolvendo muitas}

multiplica
c~oes inteiras e por isso ela e particularmente adequada para hardware com arquitetura multiplicador/acumulador (MAC).

No segundo trabalho 15] (1990), os autores descrevem uma biblioteca criptogra ca desenvolvida para o DSP 56000 da Motorola que proporcionou velocidades comparaveis as implementa
c~oes em hardware do mesmo algoritmo. A biblioteca inclui aritmetica modular, uma implementa
c~ao do DES, um algoritmo de fun
c~ao hash e outras fun
c~oes. O artigo apresenta as tend^encias de uso e necessidades de ferramentas criptogra cas e enfatiza a import^ancia de se desenvolver solu
c~oes e aplica
c~oes criptogra cas baseadas em processadores de proposito geral, tais como os DSPs. Ele descreve ainda, em detalhes, a implementa
c~ao feita do algoritmo RSA. Em particular, foi focada a integra
c~ao da opera
c~ao de redu
c~ao modular e multiplica
c~ao em precis~ao multipla de acordo com o metodo de Montgomery 38]. Tal integra
c~ao resultou em uma signi cativa melhoria de desempenho em DSP, mas n~ao causou efeitos em uma implementa
c~ao para o processador Intel 80386.

No terceiro 23] (1999), os autores propuseram dois novos metodos de implementa
c~ao de algoritmos de chave publica no DSP TMS320C6201 da Texas Instruments (TI). Os autores sugerem o uso de DSPs como aceleradores criptogra cos para sistemas servi-dores, tais como aqueles encontrados em aplica
c~oes de comercio eletr^onico. Alem disso, eles salientam que os DSPs apresentam duas grandes vantagens: primeiro, os DSPs s~ao desenvolvidos com multiplicadores e cientes em hardware e podem executar em alta velocidade as multiplica
c~oes modulares, que s~ao as opera
c~oes basicas na maioria dos criptossistemas. A segunda vantagem dos DSPs e que eles podem ser usados como aceleradores criptogra cos para varios algoritmos ja que s~ao programaveis. O primeiro metodo proposto em 23] e uma implementa
c~ao modi cada do algoritmo de multipli-ca
c~ao modular de Montgomery 38]. Como a arquitetura do TMS320C6201 permite paralelismo de instru
c~oes, o algoritmo foi modi cado e adequado para tirar proveito dopipelining. A segunda abordagem relata metodos e cientes de implenta
c~ao de

tossistemas baseados em curvas elpticas. Os autores sugerem um metodo para reduzir o numero de multiplica
c~oes e adi
c~oes necessarios para se calcularkP, ondek e um escalar e P um ponto da curva elptica. E interessante observar que a plataforma TMS320C6201 utilizada em 23] e de uma famlia de alto desempenho e poder de processamento, mas que n~ao e atrativa para implementa
c~oes de dispositivos portateis visto seu alto consumo de energia e custo.

3.3 ECC em DSPs para Aplicac~oes Portateis

Para o conhecimento do autor, ate o momento n~ao ha na literatura nenhuma implemen-ta
c~ao de ECC em uma famlia de DSP que seja viavel para aplica
c~oes em dispositivos portateis. O unico trabalho de ECC em DSP e sobre a famlia da Texas Instruments (TI) TMS320C6000 23]. Entretanto, esta famlia apresenta serias desvantagens de custo e consumo de energia, o que inviabiliza seu uso ao segmento de dispositivos portateis e wireless.

Atualmente a TI mantem 3 famlias diferentes de DSPs baseadas em sua linha TMS320, sendo cada uma orientada a diferentes tipos de necessidades 51].

TMS320C2000 - Controle Digital :

e a mais indicada para implementa
c~ao de sis-temas de controle digital, tais como controle PID, algoritmos para controle sen-sorless, gera
c~ao de PWM, corre
c~ao de fator de pot^encia, etc. Ela e adequada para aplica
c~oes como eletrodomesticos, equipamentos medicos, impressoras e maquinas de venda automatica, por exemplo.

TMS320C5000 - Comunicac~ao Digital :

tem como principal caracterstica ser de baixo consumo de energia e de baixo custo. E a mais indicada para implemen-ta
c~ao de sistemas de comunica
c~ao digital, ltros FIR (Finit Impulse Response) e transformadas de Fourier, o que a torna recomendada para aplica
c~oes em telefonia celular, decodi cadores DVD, MP3 players, decodi cadores MPEG, interfaces de voz sobre IP, entre outras.

TMS320C6000 - DSP de alta performance :

possui arquitetura de 32 bits, alcan
ca de 1200 a 2400 MIPS, e suporta aritmetica em ponto "utuante. E indicada para esta
c~oes radio base, modems, cable modems e PBX (Private Branch Exchange). Considerando este cenario de poucas implementa
c~oes e poucas informa
c~oes sobre cur-vas elpticas em DSPs, optou-se por desenvolver um ECC sobre a famlia TMS320C5000 por ser a mais adequada para implementa
c~oes em equipamentos de comunica
c~ao portateis, onde a necessidade de criptogra a esta cada vez mais presente. Esta plataforma viabi-lizou um estudo de caso de implementa
c~ao de ECC em um ambiente restrito, visto ter a mesma um desempenho modesto e consideraveis limita
c~oes de espa
co de memoria de programa e de dados. Especi camente, o DSP utilizado foi o TMS320VC5402, cujas principais caractersticas s~ao: arquitetura 16 bits, 100 MHz (100 MIPS), 32KB RAM e 8KB ROM.

3.4 Arquitetura Estruturada de Implementac~ao de

ECC

Considerando a necessidade de implementar, integrar e testar facilmente as unidades funcionais de um ECC, utilizou-se a metodologia estruturada de programa
c~ao, o que simpli cou o trabalho devido a seus conceitos de hierarquia e modulariza
c~ao. Um ECC completo pode ser dividido em 5 camadas, como mostra a Fig. 3.1. Desta forma, os algoritmos que constituem a camada 1 formam a base do criptossistema e s~ao utilizados pelos algoritmos da camada 2 que, por sua vez, s~ao utilizados pelos algoritmos da camada 3 e assim sucessivamente. A m de testar novos tipos de algoritmos, cada camada pode ser trocada independentemente das demais. A seguir e apresentada uma descri
c~ao de cada camada, bem como algumas refer^encias para seus principais algoritmos. Sugere-se, como leitura complementar, o anexo A da norma IEEE P1363 22], que apresenta os algoritmos basicos e as refer^encias 20] e 8] para um aprofundamento teorico nos algoritmos para F2m eFp respectivamente.

CAMADA 5

Aplicac
~ao

PGP, SSH, WAP ...

CAMADA 4

Protocolo de PKC

ECDSA, ECDH, ECElGamal, ...

CAMADA 3

Aritmetica de pontos sobre Curvas Elpticas

RP +Q RP +P Q=kP

CAMADA 2

Aritmetica modular sobre

F p

ou

F2m

4 opera
c~oes basicas : A+B mod p, A-B mod p, A*B mod p e Inverso Multiplicativo

CAMADA 1

Aritmetica de inteiros de precis~ao arbitraria

A0ABC A+BA;B:::

Figura 3.1: Estrutura hierarquica de um criptossistema baseado em Curvas Elpticas

Camada 1 :

este modulo consiste de uma cole
c~ao de rotinas de proposito geral para manipula
c~ao de inteiros de tamanho arbitrario. Fun
c~oes de atribui
c~ao, adi
c~ao, multiplica
c~ao, divis~ao, bem como rotinas de suporte (como invers~ao de sinal e reset de variavel) tambem fazem parte desta cole
c~ao. Dependendo do corpo ni-to escolhido para o ECC - Fp ou F2m - a estrutura de dados que representa um

elemento numerico nesta camada e diferente. Para Fp sera necessaria uma

repre-senta
c~ao para inteiros grandes (na faixa de 0 ap;1) que e feita normalmente em

precis~ao multipla. Assim, tira-se proveito do tamanho da palavra do processador e a aritmetica e implementada em termos de opera
c~oes de palavras, utilizando as instru
c~oes primitivas do processador. Ja em F2m os elementos s~ao representados

como cadeias de bits de tamanho m e a aritmetica e implementada em termos de opera
c~oes de bits. Em 24] e 36] s~ao apresentados algoritmos para aritmetica em precis~ao multipla. Os algoritmos para F2m podem ser encontrados em 44] e

31]. Bibliotecas publicas podem ser utilizadas nesta camada, como GNUMP 17], FREELIP 29] e outras.

Camada 2 :

para o corpo Fp, as opera
c~oes desta camada s~ao a adi
c~ao modular

(a+b mod p) e sua opera
c~ao inversa, a subtra
c~ao modular (a;b mod p), bem

como a multiplica
c~ao modular (ab mod p) e a sua opera
c~ao inversa, o inverso

multiplicativo. O inverso multiplicativo de um elemento e denotado por a;1 e

tem a propriedade de aa ;1

 1 (mod p). Para o corpo F

2m as opera
c~oes s~ao as

mesmas, mas deve-se considerar que o calculo do modulo e feito por um polin^omio irredutvel. Normalmente o calculo do inverso multiplicativo e feito com o algo-ritmo estendido de Euclides ou outros com fun
c~ao similar como, por exemplo, o algoritmo binario de J. Stein apresentado em 24]. O inverso multiplicativo e uma opera
c~ao muito cara e por isso existe a alternativa de se utilizar as coordenadas projetivas. Para F2m o algoritmo AIA (Almost Inverse Algorithm) proposto por

Schroppel et al 47] tem se mostrado um e ciente metodo de se calcular o inverso multiplicativo.

Camada 3 :

de um ponto de vista pratico, o desempenho de um criptossistema baseado 37

em curvas elpticas (ECC), depende principalmente da e ci^encia no c^omputo da multiplica
c~ao escalar em corpo elptico 31]. Nesta camada ca uma importante opera
c~ao de um ECC, a multiplica
c~ao elpticaQ=kP, onde QeP s~ao pontos da curva elptica eke um escalar. Tambem nesta camada cam as opera
c~oes de adi
c~ao de 2 pontos diferentes e de duplica
c~ao de pontos, que podem ser representados por coordenadas a ns ou coordenadas projetivas. Maiores detalhes a respeito das coordenadas projetivas, bem como as equa
c~oes de soma e duplica
c~ao de pontos projetivos apresentados na norma IEEE P1363 podem ser encontrados no ap^endice B.

Camada 4 :

esta camada implementa o servi
co de criptogra a propriamente dito. Geralmente, qualquer esquema de criptogra a baseado nos logaritmos discretos tera um analogo sobre as curvas elpticas como, por exemplo, os esquemas de Die e Hellman 14], ElGamal 16], dentre outros. Os mais comuns s~ao aqueles padronizados pela IEEE P1363 22], e o ap^endice C fornece detalhes adicionais a respeito de alguns esquemas de criptogra a que podem ser implementados nesta camada.

Camada 5 :

e nesta camada que estara a aplica
c~ao que faz uso do servi
co de crip-togra a como por exemplo o PGP, SSL, WTSL (camada de seguran
ca do protoco-lo WAP) ou alguma outra camada de seguran
ca de um protocoprotoco-lo de comunica
c~ao. Bibliotecas publicas podem ser utilizadas nesta camada, como o OpenPGP 42], OpenSSL 41] e outras.

3.5 Implementac~ao de ECC em DSP

O desempenho de um ECC depende principalmente da e ci^encia das computa
c~oes e algoritmos para se calcularQ=kP, opera
c~ao esta que e utilizada na implementa
c~ao de todos os esquemas e protocolos de seguran
ca baseados em curvas elpticas, ou seja, caso uma implementa
c~ao de um ECC seja conforme a modulariza
c~ao apresentada na se
c~ao anterior, as camadas 1, 2 e 3 ser~ao as principais responsaveis pelo desempenho deste

ECC. Portanto, neste trabalho para avali
c~ao de ECC em DSP foram implementadas estas 3 camadas.

O desempenho do ECC pode ser acelerado tambem pela escolha adequada do corpo nito no qual a curva elptica esta contida, que podera ser primoFp ou binario F2m.

Corpos nitos binarios F2m t^em se mostrado bastante e cientes e normalmente s~ao

recomendados para ambientes computacionais onde exista restri
c~ao de recursos. Dentre os varios motivos dessa e ci^encia esta sua aritmetica carry-free (n~ao e necessario o \vai-um" na soma de dois numeros), bem como a disponibilidade de diferentes representa
c~oes para este corpo 7].

Outra caracterstica da aritmetica emF2m e que a multiplica
c~ao dos elementos neste

corpo dispensa a instru
c~ao de multiplica
c~ao primitiva do processador, pois pode ser uma seq u^encia de opera
c~oes de deslocamentos e somas. Isto e interessante, ja que a multiplica
c~ao costuma ser uma das mais caras instru
c~oes dos processadores CISC.

No entanto, a multiplica
c~ao nos DSPs e uma instru
c~ao rapida, normalmente execu-tada em somente um ciclo de maquina, visto ser usada intensamente nos calculos de ltros digitais.

Fica ent~ao caracterizada a seguinte quest~ao: corpos nitos binarios F2m se

compor-tam mais e cientemente em DSPs que corpos nitos primos Fp, considerando que nos

DSPs a instru
c~ao de multiplica
c~ao e rapida ?

Para esclarecer esta quest~ao, implementou-se um ECC sobre Fp e outro sobre F2m

usando a plataforma de DSP apresentada. Duas abordagens diferentes foram usadas para corpos nitos primos Fp. Se forem representados por coordenadas a ns, para

cada soma ou duplica
c~ao de pontos da curva elptica, sera necessaria uma opera
c~ao de inverso multiplicativo. Esta opera
c~ao e demasiadamente cara pois e baseada no algoritmo estendido de Euclides, que n~ao e um algoritmo e ciente. A representa
c~ao por coordenadas projetivas resolve este problema pois dispensa o calculo do inverso multiplicativo. Entretanto, demanda um maior numero de multiplica
c~oes, como pode ser visto na Tabela 3.1. Apesar da opera
c~ao inverso multiplicativo ser cara, e necessario conhecer bem a rela
c~ao entre seu custo e o de uma mulplica
c~ao. Embora a literatura 11] cite normalmente valores como por exemplo 23:1 paraFp e 3:1 paraF2m (utilizando

Opera
c~ao coordenadas a ns coordenadas projetivas Adi
c~ao geral (P+Q) 1 I + 3 M 16 M

Duplica
c~ao (2P) 1 I + 4 M 10 M

Tabela 3.1: Custo de adi
c~ao e duplica
c~ao de pontos, em Fp, para p > 3, onde I =

Invers~ao e M = Multiplica
c~oes

o algoritmo AIA para calculo da opera
c~ao inverso multiplicativo sobre corpos binarios 47]) deve ser ressaltado que estes valores s~ao signi cativos apenas dentro do contexto de uma dada plataforma. Se esta muda, estas rela
c~oes precisam ser reavaliadas e isto pode in"uenciar na escolha da representa
c~ao dos corpos nitos.

Para corpos nitos binariosF2m, utilizou-se a representa
c~ao polinomial na

represen-ta
c~ao da base.

O programa (camadas 1, 2 e 3) foi totalmente escrito em C utilizando o Code Compos-er Studio, ambiente de desenvolvimento da Texas Instruments, voltado para aplica
c~oes em DSPs. Apesar deste ambiente de desenvolvimento ser de alto nvel e moderno, houve di culdades na sua integra
c~ao com o kit de desenvolvimento do DSP utilizado (TMS320VC5402).

3.6 Resultados

A Tabela 3.2 apresenta os resultados das implementa
c~oes para os corpos Fp (p =

112,128,160,192,224) eF2m(m = 113,131,163,193,233). As curvas elpticas utilizadas nos

testes (detalhadamente descritas no ap^endice D) est~ao de acordo com a norma P1363 22] e s~ao recomendadas pelo Standards for Ecient Criptography - SEC1 18]. O padr~ao SEC1 foi criado por um consorcio de empresas do segmento de comunica
c~oes moveis tais como 3Com, Fujitsu, Motorola entre outras e prop~oe algumas curvas elpticas sobre cor-pos nitos com cardinalidades menores que as curvas elpticas apresentadas em outros padro~es como por exemplo o NIST. Por este motivo o padr~ao SEC1 e mais recomendado para ambientes computacionais restritos. Na Tabela 3.2 s~ao apresentados os tamanhos