Software de Telecomunicações. Curvas elípticas

(1)

Software de Telecomunicações

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 1/42

Curvas elípticas

Curvas elípticas sobre corpos (1)

• Curvas elípticas têm sido estudadas há quase 2 séculos

• A dificuldade torna-as pouco “apetecíveis” para os planos

de estudos (básico e universitário)

Problema: qual o número de bolas de

uma pirâmide, onde cada andar tem

o quadrado da distância ao topo, i.e.

uma pirâmide, onde cada andar tem

o quadrado da distância ao topo, i.e.

1

2

_{, 2}

2

_{, 3}

2

_{, 4}

2

_{, … n}

2

Resposta

• Problema: que alturas da pirâmide formam quadrado

perfeito?

• 6y

2

_=2x

3

_+3x

2

_{+x tem apenas 2 soluções em N: (1,1) e}

(24,70)-4900 bolas!

6 )

1

2 )(

1 (

1 2

₌

+

∑

=

n

i

n i

(2)

Curvas elípticas sobre corpos (2)

Definição: Uma curva elíptica sobre o corpo F é

definida por:

– pares de valores que (x,y) satisfazem a equação

Y2 _{+ a}

1XY + a3Y = X3 + a2X2 + a4X + a5(ai∈F)

– ponto no infinito O

Na criptografia são de interesse dois tipos de corpos finitos:

– F(p), com p primo

– F(2

m

₎

Curvas elípticas sobre corpos (3)

A. Curvas elípticas sobre corpos finitos primos, com p>3

A equação da curva elíptica é simplificada com as substituições X → X - a₃/3

Y → Y - (a₁X+a₃) /2

Y2 _{= X}3 _{+ aX + b (forma normal de Weierstrass)}

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 4/42 Y2 _{= X}3 _{+ aX + b (forma normal de Weierstrass)}

Para um dado x, a equação tem 2 raízes se o discriminante não for nulo

4a3_+27b2_{≠ 0}

Nota1: a igualdade é módulo p

Nota2: curva elíptica de função característica ≠ 3 pode ser

reescrita na forma normal Legendre Y

2

= X(X-1)(X-λ)

(3)

Curvas elípticas sobre corpos (4)

Y

2

_{= X}

3

(a=0, b=0)

6

Exemplo A

-6 0

0 1 2 3 4

Nota: não é curva elíptica,

porque 4*(0)

3

_+27*(0)

2

₌₀

ponta (“cusp”)

Curvas elípticas sobre corpos (5)

Y

2

_{= X}

3

_-1

(a=0, b=-1)

6

Exemplo B

-6 0 0 1 2 3 4

(4)

Curvas elípticas sobre corpos (6)

Y

2

_{= X}

3

_-3X+3

(a=-3, b=3)

6

Exemplo C

(a=-3, b=3)

-6 0

-3 -2 -1 0 1 2 3 4

Curvas elípticas sobre corpos (7)

6

Y

2

= X

3

-3X+2 = (X-1)

2

(X+2)

(a=-3, b=2)

nó

Exemplo D

-6 0

-3 -2 -1 0 1 2 3 4

Nota: não é curva elíptica,

porque 4*(-3)

3

_+27*(2)

2

₌₀

(5)

Curvas elípticas sobre corpos (8)

Y

2

_{= X}

3

_-X

(a=-1, b=0)

6

Exemplo E

(a=-1, b=0)

-6 0

-2 -1 0 1 2 3 4

Curvas elípticas sobre corpos (9)

B. Curvas elípticas sobre corpos finitos binários F(2

m

₎

Para a₁≠0 (curvas não “supersingulares”), a equação da curva elíptica é simplificada com as substituições

X → a₁2_{X - a} 3/a1 Y → a₁3_{Y - (a} 12a4+a32) /a13 1 1 4 3 1 Y2 _{+ XY = X}3 _{+ aX + b}

Nota: Curvas “supersingulares” descritas pela equação Y2_+Y=X3_+aX+b.

A computação é fácil, mas o problema do logaritmo discreto é resolvido de forma eficiente pelo que não são usadas na criptografia.

(6)

CE como grupo (1)

Uma CE é um grupo abeliano: vejamos graficamente para

F(p)

6

Q

-(P+Q) 1. Inverso: negação da coordenada y

{se P=(x,y), então –P=(x,-y)} 2. Soma: três pontos colineares (i.e.,

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 11/42 -6 0 -2 -1 0 1 2 3 4 P Q (P+Q) 2. Soma: três pontos colineares (i.e.,

intersectam a mesma recta) somam sempre O. Logo, P+Q é o inverso do 3º ponto de intersecção da linha que cruza os pontos P e Q

CE como grupo (2)

3. Duplicação: desenhar tangente, que corta curva no ponto -2P 4. Elemento neutro: ponto no infinito O

O

P + (-P) = O

6

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 12/42 P -P

P + (-P) = O

-6 0 -2 -1 0 1 2 3 4

(7)

Analiticamente para F(p)

– A recta que une pontos P e Q tem por equação y = λx+β • λ = (y₂-y₁)/(x₂-x₁)

• β = y₁-λx₁

– O ponto (x₃, λx₃+β) satisfaz a eq. (λx₃+β)2_{= x}

33+ax3+b

módulo p

CE como grupo (3)

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 13/42 F(p): Y2 _{= X}3_{+aX+b F(2}m_{): Y}2_{+XY = X}3_+aX+b

P+Q x₃= λ2 _{- x} 1 - x2 y₃= λ(x₁-x₃) - y₁ λ = (y₂-y₁)/(x₂-x₁) x₃= λ2 + λ + x 1 + x2 + a y₃= λ(x₁+x₃) + x₃+ y₁ λ = (y₂+y₁)/(x₂+x₁) 2P x₃= λ2 _{- x} 1 - x2 y₃= λ(x₁-x₃) - y₁ λ = (3x₁2_+a)/(2y 1) x₃= λ2 + λ + a y₃= x₁2 + (λ + 1)x 3 λ = x₁+ y₁/x₁ -P (x, -y) (x, x+y)

– O ponto (x₃, x₃+ ) satisfaz a eq. ( x₃+ ) = x₃ +ax₃+b

Nota: demonstração

da associatividade

de + não é trivial

módulo p

Em GF(2m₎

Curvas elípticas sobre F

_p

(1)

Definição: A curva elíptica sobre Z

_p

, E

_p

(a,b), é formada

pelos elementos (x,y), com x,y∈Z

_p

, que satisfazem a

equação

y

2

_{= x}

3

_{+ ax + b mod p}

Nota: Para x≠0 existem dois pontos simétricos ao eixo y=p/2.

• Teorema Poincaré (1900): E

_p

(a,b) é um sub-grupo de E,

i.e.

– existe elemento neutro,

– + e * realizam-se dentro de E_p(a,b),

(8)

Curvas elípticas sobre F

_p

(2)

• Os cálculos do valor de -P, P+Q e 2P são os mesmos da

CE sobre reais, módulo p!

• O valor real do número de elementos #E

_p

(a,b) é dado pelo

algoritmo SEA “Schoof- Elkies –Atkin”.

• Teorema Hasse (1922): #E

_p

(a,b)=p+1-t,

|

t

|

≤

2√p.

Para p elevado, #E

_p

(a,b) ≈ p.

Nota: a curva diz-se supersingular sse t

2

_{=nq, 0≤n≤4}

10 12 14 16 18 20 22

Exemplo; E

₂₃

(1,1)

7

2

_{= 9}

3

_{+ 1*9 +1 mod 23}

49 mod 23 = 739 mod 23 (=3)

Curvas elípticas sobre Fp (3)

0 2 4 6 8 10 0 2 4 6 8 10 12 14 16 18 20 22

• Negação de (9,7):

(9,-7) mod 23=(9,-7+23)=(9,16)

• Soma de (9,7) com (5,4):

λ = ((4-7)/(5-9) mod 23=(-3/-4) mod 23 = (-3).(-4)-1_{mod 23=20.(19)}-1_{mod 23} = 20.17 mod 23=18 x₃= (182_{-9-5)mod 23=310 mod 23=11} y₃= (18(9-11)-7)mod 23=-43 mod 23=3

(9)

Curvas elípticas sobre F

_p

(4)

• Duplicação de (9,7)

λ = (3.9

2

_{)/(2.7) mod 23 = 13.(14)}

-1

_{mod 23}

= 13.5 mod 23 = 19

x

₃

= 19

2

_{-9-9 mod 23 = 323 mod 23 = 1}

y

₃

= 19.(9-1)-7 mod 23 = 145 mod 23 = 7

y

₃

= 19.(9-1)-7 mod 23 = 145 mod 23 = 7

Logo, 2*(9,7)=(1,7)

Curvas elípticas sobre F

₂

m

(1)

Definição: A curva elíptica sobre GF(2

m

_{), E}

2

m(a,b), é

formada pelos elementos (x,y) x,y∈

∈

∈2

∈

m

_{que satisfazem a}

equação

y

2

_{+ xy = x}

3

+ ax + b com a,b∈

∈

∈2

∈

n

_(b≠0)

• Por agora usamos representação polinomial de x,y (operações • Por agora usamos representação polinomial de x,y (operações

artiméticas mais simples, embora menos eficientes)

• Todos os cálculos de avaliações de –P, P+Q e 2P (P,Q∈∈∈∈2m_{) são feitos}

na aritmética do corpo GF(2m_{) - ver álgebra linear}

– A soma em GF(2m_{) trivial}

– A multiplicação e a inversa não são triviais

(10)

Curvas elípticas sobre F

₂

m

(2)

Exemplo: Seja E

₂₄

(g

4

_{,1) e a equação y}

2

_{+ xy = x}

3

_+g

4

_x

2

_+g

0

_.

Os elementos de F(2

4

_{), gerados pela base g=(0010) e pelo}

polinómio irredutível f(x) = x

4

_{+ x}

3

_{+ 1 são:}

g0_=g15_{=(0001), g}1_{=(0010), g}2_{=(0100), g}3_{=(1000), g}4_{=(1001), g}5_=(1011),

g6_{=(1111), g}7_{=(0111), g}8_{=(1110), g}9_{=(0101), g}10_{=(1010), g}11_=(1101),

g12_{=(0011), g}13_{=(0110), g}14_{=(1100), O=(0000)}

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 19/42 g12_{=(0011), g}13_{=(0110), g}14_{=(1100), O=(0000)}

– Para x=0, apenas y=g0_{satisfaz a equação. (0,g}0_{) é denominado ponto}

singular

– Para x=g0_{=1, que y=g}i_{satisfaz a equação (g}i₎2_+g0_gi_=(g0₎3_+g4_(g0₎2₊_g0 _?

g2i_+gi_=g0_+g4_(g0₎2₊_g0 ∴ g2i_+gi_=g4 _{Resposta, nenhum!}

– Para x=g3_{, que y=g}i_{satisfaz a equação (g}i₎2_+g3_gi_=(g3₎3_+g4_(g3₎2₊_g0 _?

g2i_+gi+3_=g9_+g10_+g0 ∴ g2i_+gi+3_=g6 _{Resposta, i=8 e i=13}

i g2i _g(i+3) _g2i_+g(i+3) 0 0001 1000 1001 1 0100 1001 1101 2 1001 1011 0010 3 1111 1111 0000 4 1110 0111 1001 5 1010 1110 0100

x=g

3 8 10 12 14 16

Curvas elípticas sobre F

₂

m

(3)

5 1010 1110 0100 6 0011 0101 0110 7 1100 1010 0110 8 0010 1101 1111 9 1000 0011 1011 10 1011 0110 1101 11 0111 1100 1011 12 0101 0001 0100 13 1101 0010 1111 14 0110 0100 0010 15 0001 1000 1001

Nota: uma vez que g

15

_{=1, g}

(a+15)

_=g

a

0 2 4 6 8 0 2 4 6 8 10 12 14 16

(11)

Definição: Dada uma curva elíptica E

_q

(a,b), q primo ou

2

m

, e um ponto base G=(x,y)∈

∈

∈E

q

(a,b) a ordem é o

menor inteiro n tal que nG = O.

Exemplo: seja E₂₃(1,1) e G=(9,7)

Ordem de um elemento (1)

n λ x₃ y₃ nP 1 (9,7) 2 19 1 7 (1,7) 3 0 13 16 (13,16) 4 8 19 5 (19,5) 5 9 7 11 (7,11) 6 21 11 20 (11,20) 7 18 5 19 (5,19) n λ x₃ y₃ nP 8 20 18 20 (18,20) 9 4 12 4 (12,4) 10 22 3 10 (13,10) 11 11 17 20 (17,20)

Ordem de um elemento (2)

11 11 17 20 (17,20) 12 9 7 11 (7,11) 13 6 4 0 (4,0) … 26 (9,16)

27P = 26P+P = (9,16)+(9,7) = O

(12)

• A multiplicação “espalha” os pontos no plano!

3 8 7 6 20

Ordem de um elemento (3)

1 2 3 4 5 9 10 0 5 10 15 0 5 10 15 20

Parâmetros de uma curva elíptica

• Curva elíptica sobre GF(p) definida por T(p,a,b,G,n,h)

– p é número primo e função característica – a,b são coeficientes da curva base sobre reais – G=(x,y) é ponto base, que pertende a E_p(a,b) – n é ordem do ponto G, i.e. nG=O

– h = #E(F(p))/n é o co-factor

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 24/42 – h = #E(F(p))/n é o co-factor

• Curva elíptica sobre GF(2

m

_{) definida por}

T(m,f(x),a,b,G,n,h)

– f(x) é polinómio binário irredutível, que gera F(2m₎

Exemplo: Para E₂₄(g4_{,1) com g=x e polinómio irredutível f(x) =}

x4_+x3_{+1, #E=32 e n=16 [}_Nota_{: (g}8_,g0_)=(b8_,g15)] ∴ h=2

(13)

Representação de elementos

F

₂

m

(1)

Definição: Base é um conjunto de elementos {β

₀

,β

₁

, …,β

_m-1

}

tais que, para cada A∈GF(2

m

_{), existe uma única}

representação (um vector de elementos a

_i

∈Z

₂

) tais que:

0 0 1 1 1 1 1 0 − − − = + + + = =

∑

m _i _m _m i i a a a a A β β _L β β

Curiosidade, não faz parte da avaliação

[

0 1 −1

]

, =

[

0 1 −1

]

= = = m m T T a a a a a a A β β β β β β L L

Conhecidas duas bases de representação

1. Polinomial (0 e 1): mais intuitiva, operações aritméticas mais simples.

2. Normal optimizada (ONB-”Optimal Normal Basis”): mais eficiente para cálculo de quadrados/produtos/inversos, mas os elementos β_inão são independentes.

Representação de elementos

F

₂

m

(2)

1. Base polinomial 0:

β=[ω

0

ω

1

… ω

m-1

_]

(β

_i

=ω

i

, ω∈ GF(2

m

_{) é raíz do polinómio irredutível)}

Exemplo: seja GF(24_{) sobre polinómio irredutível: f(x) = x}4_{+ x}3_{+ 1}

– Elementos: []=O, [0]=1, [1], … , [3,2,1,0]

– Adição: somar termos correspondentes, módulo 2 [2,1]+[3,1] = [3,2]

– Multiplicação: Multiplicar termos e calcular resíduo (i.e., resto) do polinómio irredutível

[3,1,0]*[3,0] = (x3_+x+1)*(x3_{+1) mod f(x) =}

(x6_+x4_+2x3_{+x+1) mod f(x) = (x}6_+x4_{+x+1) mod f(x) = [2,0]}

(14)

Representação de elementos

F

₂

m

(3)

– Gerador: [1] é um possível ponto base

g0_=g15_=[0],g1_{= [1],g}2_=[2],g3_=[3],g4_=[3,0],g5_=[3,1,0],g6_=[3,2,1,0],

g7_=[2,1,0],g8_=[3,2,1],g9_=[2,0],g10_=[3,1],g11_=[3,2,0],g12_=[1,0],

g13_=[2,1],g14_=[3,2]

– Exponenciação: multiplicar sucessivamente [1]2_{= x*x mod f(x) = x}2 _{mod f(x) = [2]}

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 27/42 [1]2_{= x*x mod f(x) = x}2 _{mod f(x) = [2]} x2 _{= (x}4_+x3_{+1)0 + (x}2₎ [1]4_{= [2]}2_[2]2_{= x}2_*x2_{mod f(x) = [3,0]} x4 _{= (x}4_+x3_+1)1+(x3₊₁₎ [1]5_{= [1]}4_{[1] = (x}3_{+1)*x mod f(x) = [3,1,0]} (x4_{+x) = (x}4_+x3_+1)0+(x3_+x+1)

Representação de elementos

F

₂

m

(4)

– Inverso multiplicativo: inverter a potência do número gerado [1,0]-1 _{= (g}12₎-1 _{= g}-12 _{= g}3 _{[3] : -12 mod 15 = 3 mod 15}

Nota: outro polinómio irredutível corresponde a um

isomorfismo.

Exemplo: seja f(x) = x

4

_{+ x + 1}

[3,1,0]*[3,0] = (x3_+x+1)*(x3_{+1) mod f(x) =}

(x6_+x4_+2x3_{+x+1) mod f(x) = (x}6_+x4_{+x+1) mod f(x) = [3,2]}

(15)

Representação de elementos

F

₂

m

(5)

2. Base polinomial 1:

β=[ω ω

2

… ω

m

_]

(β

_i

=ω

i+1

,ω∈GF(2

m

_{) é raíz do polinómio primitivo)}

– Como representar 1 na base polinomial 1, uma vez que não faz parte de β_i?

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 29/42 parte de β_i?

Resposta: 1 é representado por f(x)+1 mod f(x). Exemplo: seja GF(24_{) gerado por f(x) = x}4_{+ x}3_{+ 1.}

• f(x)+1=(x4_{+ x}3_+1)+1=x4_+x3_{. Logo, 1 é representado por [3,2]}

• Qual a representação de x3_+1?

x3_+1=x3_+(x4_+x3_{) = [2]+[3,2]=[3]}

– Todas as operações (soma, multiplicação, inversão) são feitas na mesma forma que na base polinomial 0.

3. Base normal:

β = [α α

21

… α

2m-1

] = [α α

2

α

4

α

8

…α

2m-1

_]

(β

_i

= α

2i

,α∈GF(2

m

₎₎

O polinómio irredutível tem de ser primitivo, para gerar de GF*₍₂m₎

i. Quadrado de um elemento de GF(2

m

₎

Representação de elementos F

₂

m

(6)

[

]

[

1 0 2

]

2 2 2 0 2 1 2 1 0 2 2 2 1 0 2 1

)

(

− − − − − = − =

=

∑

+ m m m m m i i m i i

a

A

i i

L

α

i. Quadrado de um elemento de GF(2

m

₎

Implementado em HW por uma simples rotação!

0

2

_{=0, 1}

2

₌₁

(16)

ii. Produto de dois elemento de GF(2

m

₎

j i j m i m j i

b

a

B

A

C

2 2 1 0 1 0

α

∑∑

− = − =

=

⋅

=

i j i j

_M

_x

k m k 2 1 ) ( 2 2

∑

−

=

α

Representação de elementos F

₂

m

(7)

Normalizando o produto α

2i

α

2j

_para

ficamos com

k j i

x

M

k k j i 2 0 ) ( , 2 2

∑

=

α

) ( , 1 0 1 0 k j i j m i m j i k

a

b

M

c

∑ ∑

− = − =

=

Cálculo de x

2i

_x

2j

_{normalizado é simplificado elevando}

ambos os lados à potência de 2

-m

m k m k k j i m k k m j m i

M

k m j m i m j i − ₋ = − = − −

∑

=

− − − 1 ₂ 0 ) ( , 2 1 0 ) ( , 2 2 2 2 2

)

(

α

Representação de elementos F

₂

m

(8)

k k=0 =0

da igualdade tira-se que

) ( , ) 0 ( , m j i m j m i

M

₋ ₋

=

) 0 ( , 1 0 1 0 ) 0 ( , 1 0 1 0 j i k j m i m j k i k j k i j m i m j i k

a

b

M

a

b

M

c

₊ − = − = + − − − = − =

∑∑

=

Soma módulo m

(17)

• Para tornar o cálculo de c_ko mais rápido possível, interessa que M-matrix n × n de elementos de GF(2m_{)- tenha o maior número possível}

de entradas nulas.

Teorema: valor mínimo de entradas não nulas é 2n-1

• Dois tipos de matrizes M(0)_{óptimas: ONB1 e ONB2}

Tabela ONB1 ONB2

Representação de elementos F

₂

m

(9)

Tabela ONB1 ONB2

Condições • m+1 é primo, e

• 2 é primitivo em GF(m+1)

• 2m+1 é primo, e

• 2 é primitivo em Z2m+1, ou 2(m+1)=3 mod 4

e 2 gera resíduos quadrátricos em Z2m+1

M(0) i,j= 1 • 2i+ 2j= 1 mod (m+1), ou • 2i_{+ 2}j_{= 0 mod (m+1)} • 2i_{+ 2}j_{= +1 mod (m+1), ou} • 2i_{+ 2}j_{= -1 mod (m+1), ou} • 2i_{- 2}j_{= +1 mod (m+1), ou} • 2i_{- 2}j_{= -1 mod (m+1)} Exemplos de m: 80,134,179,230,330,386

• Exemplo: GF(2

4

_{) permite representação ONB1}

– (20₊₂0_{) mod 5 =2} – (20₊₂1_{) mod 5 =3} – (20₊₂2_{) mod 5 =0} – (20₊₂3_{) mod 5 =4} M(0) ₀ ₁ ₂ ₃

Representação de elementos F

₂

m

(10)

– (20₊₂3_{) mod 5 =4} – (21₊₂1_{) mod 5 =4} – (21₊₂2_{) mod 5 =1} – (21₊₂3_{) mod 5 =0} – (22₊₂2_{) mod 5 =3} – (22₊₂3_{) mod 5 =2} – (23₊₂3_{) mod 5 =1} 0 0 0 1 0 1 0 0 1 1 2 1 1 0 0 3 0 1 0 1

(18)

Produto implementado em HW a partir de rotações das

variáveis envolvidas!

a0 a1 am-1

Representação de elementos F

₂

m

(11)

b0 b1 bm-1

Função

lógica

c₀, c₁, …, c_m-1 c₀=a₀b₂+ a₁(b₂+ b₃) + a₂(b₀+ b₁) + a₃(b₁+ b₃) c₁=a₁b₃+ a₂(b₃+ b₀) + a₃(b₁+ b₂) + a₀(b₂+ b₀) c₂=a₂b₀+ a₃(b₀+ b₁) + a₀(b₂+ b₃) + a₁(b₃+ b₁) c₃=a₃b₁+ a₀(b₁+ b₂) + a₁(b₃+ b₀) + a₂(b₀+ b₂)

Representação de elementos F

₂

m

(12)

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 36/42 Exemplo: multiplicar [1] por [3,1,0] (apenas a₁é positivo)

• c0 = b2 + b3= 1

• c1 = b3= 1

• c2 = b3 + b1= 1 + 1 = 0

• c3 = b3 + b0= 1 + 1 = 0

(19)

iii. Inverso de um elemento de GF(2

m

₎

) 1 2 ( 2 2 2 1 − 1− −

₌

n

₌

n−

a

Para calcular o inverso, primeiro calcula-se a

(2n-1-1)

_{, que}

Representação de elementos F

₂

m

(13)

Para calcular o inverso, primeiro calcula-se a

(2 -1)

_{, que}

é elevado ao quadrado.

0

2 %

,

1 )

1

2 )(

1

2 (

2

1

2

1

2 %

),

1

2 )(

1

2 (

1

2

2 ) 2 ( 2 ) 2 ( 1 2 ) 1 ( 2 ) 1 ( 1

=

+

−

+

=

−

=

−

+

=

−

− − − − − −

n

n n n n n n

• Se n é ímpar, basta uma multiplicação depois de calcular a2(n-1)/2-1

• Se n é par, bastam duas multiplicações depois de calcular a2(n-2)/2-1

Conversão entre bases (1)

• Dois sistemas distintos trabalham na mesma curva elíptica

e com a mesma chave, mas podem possuir representações

distintas.

• Vários mecanismos foram desenvolvidos para conversão

dos elementos de GF(2

n

_).

dos elementos de GF(2

n

_).

Aqui descrevemos a conversão matricial

– Simples

(20)

• Pretende-se converter elemento representado em ONB1

para base polinomial 1, para GF(2

4

_{) gerado por x}

4

_+x+1

• O problema reside na conversão dos elementos de base com potências









⋅









=









ω

α

3 4 4 8

0

1

0

1

Conversão entre bases (2)

Prof RG Crespo Software de Telecomunicações Curvas elípticas : 39/42 elementos de base com potências superiores à da base destino. • Para 1, tem-se que ω é raíz do

polinómio primitivo ∴ ω4+ω+1=0. α8 _{= x}8 _{mod x}4+x+1 = ω2_{+1 =} ω2+(ω4+ω) Nota: α8 é dependente de α4, α2e α









⋅









=









ω

α

2 2

1

0

1

0

1 • ONB1 e base polinomial 1 são isomórficas para GF(2

4

₎

gerado por x

4

_+x+1.

ONB1 Base polinomial 1

[0] w = [0] [1] w2 _{= [1]}

[2] w3 _{= [2]}

[3] w4_+w2_{+w = [3,1,0]}

[1,0] [1]+[0] = [1,0]

• Para a base polinomial 0, a matriz de conversão seria               ⋅             =               1 0 1 0 0 0 0 1 0 1 1 0 0 1 0 1 0 2 3 2 4 8 ω ω ω α α α α

Conversão entre bases (3)

[1,0] [1]+[0] = [1,0] [2,0] [2]+[0] = [2,0] [2,1] [2]+[1] = [2,1] [3,0] [3,1,0]+[0] = [3,1] [3,1] [3,1,0]+[1] = [3,0] [3,2] [3,1,0]+[2] = [3,2,1,0] [3,1,0] [3,1,0]+[1]+[0] = [3] [3,2,0] [3,1,0]+[2]+[0] = [3,2,1] [3,2,1] [3,1,0]+[2]+[1] = [3,2,0] [3,2,1,0] [3,1,0]+[2]+[1]+[0] = [3,2]      α 0 0 1 0 1

• A não independência dos membros da base de ONB1 leva a que a conversão não seja homomórfica: