Groupe de Travail "Butte aux Cailles"

Vendredi 17 février 2012 à 14h30 en salle B555
Luca De Feo / Jérôme Plût (Laboratoire PRiSM, Université de Versailles)

Titre : Encore un cryptosystème basé sur les isogénies

Résumé :
Il est bien connu que les graphes de courbes elliptiques isogènes ont une structure de graphe de Ramanujan, ce qui garantit des bonnes propriétés de mixage pour les marches aléatoires. Cette observation a été utilisée à plusieurs reprises pour construire des cryptosystèmes basés sur la difficulté supposée de calculer explicitement une isogénie entre deux courbes elliptiques données.
Rostovstev et Sotlbunov on proposé un protocole à la Diffie Hellman où les clefs secrètes sont des chemins d'isogénies de petit degré et la clef partagée est formée en composant la deux chemins secrets. La raison pour laquelle ce protocole marche est que le groupe des classes agit fidèlement et transitivement sur le graphe des courbes elliptiques isogènes. Le protocole de Rostovstev et Stolbunov est peu efficace et présente un intérêt purement théorique ; les auteurs ont suggéré qu'il pourrait être utilisée dans un contexte post-quantique, cependant Childs, Jao et Soukharev ont montré qu'il existe un algorithme quantique qui calcule une isogénie entre courbes elliptiques ordinaires en temps sous-exponentiel.
L'attaque de Childs et al. repose justement sur l'action du groupe de classes, qui est commutatif. Dans ce travail, en commun avec Jao, nous proposons un cryptosystème basé sur la difficulté de calculer une isogénie entre courbes elliptiques supersingulières. Dans le cas supersingulier, l'anneau d'endomorphismes n'est pas commutatif et le groupe des classes n'est plus bien défini, par conséquent l'attaque de Childs et al. ne s'applique plus. En l'absence de l'action du groupe des classes, notre protocole d'échange de clef doit passer de l'information en plus par rapport à celui de Rostovstev et Stolbunov ; ceci permet d'établir une action des groupes de torsion des courbes elliptiques sur le graphe, il n'est cependant pas clair que cette information en plus puisse aider à attaquer le protocole.
Notre protocole, déjà dans une implantation naïve en Magma, est sensiblement plus performant que celui de Rostovstev et Stolbunov. Nous avons étudié en détail le problème de son optimisation : avec un mélange de techinques classiques et nouvelles, nous présentons maintenant une implantation mixte en Sage/Cython/C qui a des performances comparables à celles de nombreux protocoles à base de couplages. En particulier, nous présentons un algorithme efficace pour le calcul d'isogénies de degré composé, ayant une structure combinatoire intéressante et parfois même étonnante.