Courbes elliptiques et cryptographie
Hägler Michael
Assistante responsable : Marusia Rebolledo
Professeur responsable : Eva Bayer Fluckiger
Date : 19 février 2006Table des matières
Introduction 1
1 Eléments théoriques 2
1.1 Propriétés générales des courbes elliptiques . . . . . . . . . . . . . . 2
1.2 Courbes elliptiques sur un corps fini . . . . . . . . . . . . . . . . . . 5
1.3 Courbes elliptiques sur Z/nZ . . . . . . . . . . . . . . . . . . . . . . 7
2 Cryptosystèmes basés sur les …afficher plus de contenu…

Alors (m′, R′, S′) est une signature valide. En effet,
V1 = f(R′)B + s′R′
= f(R′)aA+ sf(R′)f(R)−1kA
= f(R′)aA+ k−1(m− af(R))f(R′)f(R)−1kA
= mf(R′)f(R)−1A
= m′A
= V2.
Donc dans ce cas, il suffit que PGDC(f(R), n) = 1, pour qu’il soit possible de falsifier la signature. Par contre si Alice utilise une fonction de hâchage il est très difficile de trouver un nombre m′ tel que
H(m′) = H(m)f(R′)f(R)−1 (mod n), par la propriété 2 des fonctions de hâchage.
Exemple 2. Utilisons les mêmes notations que pour la signature ElGamal. Soient u, v deux entiers tels que PGDC(v, n) = 1 et R = uA+ vB. Posons s′ ≡ −v−1f(R) (mod n) et m′ ≡ su (mod n).
Alors (m′, R, s′) est une signature valide. En effet,
V1 = f(R)B + s′R
= f(R)B + …afficher plus de contenu…

1. Elle calcule QID = H1(ID) qui est un point sur E d’ordre l.
2. Elle calcule DID = sQID.
3. Après avoir vérifié que ID est bien l’identification de l’utilisateur avec qui elle communique, elle envoie DID à celui-ci.
Si Alice veut envoyer un message M à Bob elle fait ce qui suit.
1. Alice regarde l’identité de Bob, par exemple ID = bob@epfl.ch (écrit en bi- naire) et calcule QID = H1(ID).
2. Elle choisit un entier r mod l, avec r 6≡ 0 (mod l).
3. Elle calcule gID = el(QID, β(Ppub)).
4. Le message crypté est la paire c = (rP,M ⊕H2(gr
ID)),
où ⊕ signifie l’addition bit par bit mod 2.
On remarque, puisque E est supersingulière, E[l] ⊂ E(Fp2) (proposition 3.1).