Eliptické křivky a jejich využití v kryptografii
13. kvétna2010
()	Elipt	ické krivky a jejich využití v kryptografii	
13. kvétna2010
1 / 22
Motivace
Nalezení diskrétního logaritmu je výpoCetne velmi obtížné. Existuje domněnka, že umocnovaní v cýklicke grupe je jednosmernou funkcí.
()	Elipt	icke krivký a jejich využití v kryptografii	
13. kvetna2010 2/22
Motivace
Nalezení diskrétního logaritmu je výpoCetne velmi obtížné. Existuje domněnka, že umocnovaní v cýklicke grupe je jednosmernou funkcí. Cílem je nalezt takovou grupu, v níž je výpocet diskrétního logaritmu stejne obtížný jako jeho výpocet v grupe Zp (ElGamal) a pritom ma mensí velikost. Podobne je zadoucí nalezt takovou grupu, v níž je výpocet d.l. stejne obtížný, jako rozložení císla n (RSA) a přitom ma mnohem mene prvku.
	Elipt	icke krivký a jejich výužití v krýptografii	
13. kvetna2010 2/22
Projektivní prostor
Definice
Necht K je těleso, n přirozené číslo. Na K"n+1 definujme relaci ekvivalence ~ předpisem
(a0,..., a„) ~ (b0,..., b„) & 30 ^ A e K ■. Aa,- = b,
pro 1 < i < n.
Pak (K \ {0})/ ~ se nazývá projektivní prostor dimenze n nad K.
o
13. května2010 3/22
Eliptické křivky a jejich využití v kryptografii
Definice eliptických křivek
Úvodem několik nutných definic Definice
Necht K je těleso, Pn(K) n-rozměrný projektivní prostor nad K a F(ři,..., ŕ„+i) g K[U,..., r„+i] je homogenní polynom stupně k. Množina
C = {[Xi : ... : xn+1] g P^^IF^ ,... ,xn+1) = 0}
se nazývá nadplocha (projektivní varieta) stupně k v Pn(K). Pokud n = 2, hovoříme o křivce v P2(K). Pokud /c = 3, řekneme že F je kubický polynom.
Po našich nadplochách budeme požadovat jistou hladkost. K tomu využijeme (stejně jako v analýze) derivaci.
o
□       r5P        -        = ^ 13. května 2010
Eliptické křivky a jejich využití v kryptografii
Definice eliptických křivek Definice
Necht F(ři,..., řn+i) e K[U,..., řn+i] je homogenní polynom stupně k nad tělesem K a C nadplocha příslušející k F. Bod [x-\,...,xn] e C se nazývá singulární, jestliže pro každé i e {1,..., n + 1} platí
Fx,.(xi,...,xn+1) = 0.
Nadplocha C se nazývá singulární, existuje-li na ní alespoň jeden singulární bod.
o
13. května2010 5/22
Eliptické křivky a jejich využití v kryptografii
Definice eliptických křivek Definice
Necht F(ři,..., řn+i) e K[U,..., řn+i] je homogenní polynom stupně k nad tělesem K a C nadplocha příslušející k F. Bod [x-\,...,xn] e C se nazývá singulární, jestliže pro každé i e {1,..., n + 1} platí
Fx,.(xi,...,xn+1) = 0.
Nadplocha C se nazývá singulární, existuje-li na ní alespoň jeden singulární bod.
Poznámka - Bod [0,..., 0] £ Pn(K).
o
□ -      =      = o<^c
13. května2010 5/22
Eliptické křivky a jejich využití v kryptografii
Definice eliptických křivek Definice
Necht F(ři,..., řn+i) e K[U,..., řn+i] je homogenní polynom stupně k nad tělesem K a C nadplocha příslušející k F. Bod [x-\,...,xn] e C se nazývá singulární, jestliže pro každé i e {1,..., n + 1} platí
Fx,.(xi,...,xn+1) = 0.
Nadplocha C se nazývá singulární, existuje-li na ní alespoň jeden singulární bod.
Poznámka - Bod [0,..., 0] ^ Pn{K). Odtud již můžeme definovat eliptickou křivku
Definice
Eliptická křivka nad K je uspořádaná dvojice (£, O), kde £ je nesingulární kubická křivka v P2(K) a O e £.
Eliptické křivky a jejich využití v kryptografii
13. května2010 5/22
Úprava tvaru eliptické křivky
Je třeba si nyní uvědomit, že obecný homogenní kubický polynom F(x, y, z) je tvaru
F(x, y, z) = a^x3 + a2x2y + a3x2z + a4y3
+ a5y2x + a6y2z + a7z3 + a8z2y + a9z2x + a10*yz,
se kterým se pracuje pomerne obtížně. Naštěstí je možné ukázat, že se stačí omezit na křivky "lepšího tvaru", což popisuje následující věta (uvádíme bez důkazu).
Věta
Eliptické křivky a jejich využití v kryptografii
13. května 2010
Úprava tvaru eliptické křivky
Je třeba si nyní uvědomit, že obecný homogenní kubický polynom F(x, y, z) je tvaru
F(x, y, z) = a^x3 + a2x2y + a3x2z + a4y3
+ a5y2x + a6y2z + a7z3 + a8z2y + a9z2x + a10*yz,
se kterým se pracuje pomerne obtížně. Naštěstí je možné ukázat, že se stačí omezit na křivky "lepšího tvaru", což popisuje následující věta (uvádíme bez důkazu).
Věta
Libovolná eliptická křivka nad tělesem K je biracionálně ekvivalentní s nějakou eliptickou křivkou (£, O) zadanou polynomem F(x, y, z) (naše transformace převádí vyznačený bod původní křivky na bod O), kde
F(x,y,z) = y2z+a^xyz+a2yz2-x1,-a2,x2z-aAxz2-a5Z:i,0 = [0,1,0]
o
13. května2010 6/22
Eliptické křivky a jejich využití v kryptografii
Úprava tvaru eliptické křivky
Eliptická krivka v uvedeném tvaru ma jeden nevlastní bod (totiž O) a v afinní Časti je popsana vžtahem
F (x, y, z): y2 + ai xy + a2y - x3 - a3x2 - a^x - a5 = 0.
Tato rovnice se nažyva Weierstrassova rovnice. Pokud nyní navíc předpokladame char(K) = 2,3, snadno vidíme, že rovnici mUžeme algebraickými Úpravami dale žjednodusit:
	Elipt	icke křivky a jejich využití v kryptografii	
13. kvetna2010 7/22
Úprava tvaru elipticke křivky
Elipticka krivka v uvedenem tvaru ma jeden nevlastní bod (totiž O) a v afinní casti je popsana vžtahem
F (x, y, z): y2 + ai xy +     - x3 - a3x2 -     - as = 0.
Tato rovnice se nažyva Weierstrassova rovnice. Pokud nyní navíc předpokladame char(K) = 2,3, snadno vidíme, že rovnici mužeme algebraickymi upravami dale žjednodusit:nejdříve odstraníme cleny s y převodem na ctverec: (x, y) — (x, ^(y - a1x - a3)) a dostavame rovnici
G(x,y,z) : y2 = x3 + bix2 + b>x + Ů3.
	Elipt	icke krivky a jejich využití v kryptografii	
13. kvetna2010 7/22
Úprava tvaru eliptické křivky
Eliptická krivka v uvedeném tvaru ma jeden nevlastní bod (totiž O) a v afinní Časti je popsana vžtahem
F (x, y, z): y2 + ai xy + a2y - x3 - a3x2 - a^x - a5 = 0.
Tato rovnice se nažyva Weierstrassova rovnice. Pokud nyní navíc předpokladame char(K) = 2,3, snadno vidíme, že rovnici mUžeme algebraickými Úpravami dale žjednodusit:nejdříve odstraníme cleny s y převodem na ctverec: (x, y)    (x, ^(y - a1x - a3)) a dostavame rovnici
G(x,y,z) : y2 = x3 + bix2 + b>x + Ů3.
Nyní se žbavíme clenu s x2 tak, že položíme
(x, y) — ((x - 3b2)/36, (y/108)). Odkud dostavame casto užívanou
rovnici
H (x, y): y2 = x3 + Ax + B, kterou take nekdy nažývame Weierstrassova rovnice.
□       S"        -        =        = ^)c^O 13. kvetna2010 7/22
	Elipt	icke krivky a jejich využití v kryptografii	
Diskriminant eliptické křivky
Dále předpokládáme char(K) ^ 2,3. Užitečnou pomůckou pro určení, zda je křivka singulární, je její diskriminant:
Definice
o
13. května2010 8/22
Eliptické křivky a jejich využití v kryptografii
Diskriminant eliptické křivky
Dále předpokládáme char(K) ^ 2,3. Užitečnou pomůckou pro určení, zda je křivka singulární, je její diskriminant:
Definice
Bud £ kubická křivka zadaná v afinní části P2(K) rovnicí
y2 = x3 + Ax + B, A, B g K. Pak její diskriminant A = 4A3 + 27B2.
o
13. května2010 8/22
Eliptické křivky a jejich využití v kryptografii
Diskriminant eliptické křivky
Dále předpokládáme char(K) ^ 2,3. Užitečnou pomůckou pro určení, zda je křivka singulární, je její diskriminant:
Definice
Bud £ kubická křivka zadaná v afinní části P2(K) rovnicí
y2 = x3 + Ax + B, A, B g K. Pak její diskriminant A = A A3 + 27'B2.
Nenulovost diskrimantu funkce je pak znakem regularity křivky:
Věta
Rovnice F(x, y, z): x3 + Axz2 + Bz3 - y2z, (A, B e K) zadává nějakou eliptickou křivku, právě když platí A A3 + 21B2 ^ 0.
o
13. května2010 8/22
Eliptické křivky a jejich využití v kryptografii
Diskriminant eliptické křivky
Důkaz. Platí
Fx = -3x2
Az2, Fy = 2yz, Fz = y2- 2Axz - 3Bz2.
□ r5P
Eliptické křivky a jejich využití v kryptografii
13. května 2010
Diskriminant eliptické křivky
Důkaz. Platí
Fx = -3x2 - Az2, Fy = 2yz, Fz = y2 - 2Axz - 3Bz2.Předpokládejme, že [*, Y, A je singulární bod F. Pak z = 0==>x = y = 0, spor. Tedy z ž 0, čili y = 0. Pro Q = | platí 3Q2 = -4, 24Q = -36. Pokud -4 = 0, pak 6 = 0 a bod [0,0,1] je singulární a A = 0.
o
13. května2010 9/22
Eliptické křivky a jejich využití v kryptografii
Diskriminant eliptické křivky
Důkaz. Platí
Fx = -3x2 - Az2, Fy = 2yz, Fz = y2 - 2Axz - 3Bz2.Předpokládejme, že [x, y, z] je singulární bod F. Pak z = 0=>x = y = 0, spor. Tedy z ^ 0, čili y = 0. Pro Q = \ platí 3Q2 = -A, 2AQ = -3B. Pokud A = 0, pak B = 0 a bod [0,0,1] je singulární a A = 0. Necht A ^ 0. Pak nutně Q=^,Q2 = ^ = |J. Tedy 4/\2 + 27B3 = 0. Stačí pouze ověřit, že [Q, 0,1] leží na F :
Q3 + /\Q + e = |- ^ + e = o. □
o
13. května2010 9/22
Eliptické křivky a jejich využití v kryptografii
Binární operace * na £
Nyní bychom chteii na eliptické křivce £ zavest grupovou operaci + tak, aby (£, +) byla komutativní grupou. Potřebujeme tedy kaZdym dvema bodum na křivce přiřadit bod třetí. Nabízí se nasledující zpusob:
()	Elipt	icke krivky a jejich využití v kryptografii	
13. kvetna 2010 10/22
Binarní operace * na £
Nyní bychom chteli na elipticke křivce £ zavest grupovou operaci + tak, aby (£, +) byla komutativní grupou. Potřebujeme tedy kazdym dvema bodum na křivce přiradit bod třetí. Nabízí se nasledující zpusob:vezmeme prusecík prímky zadane temito dvema body s křivkou £. Prusecíky je ovsem potřeba pocítat vcetne jejich nasobností, abychom meli vzdy 3 body. V případe tecny ke krivce v nekterem jejím bode tedy takovy bod pocítame dvakrat.
()	Elipt	icke krivky a jejich vyuzití v kryptografii	
13. kvetna 2010 10/22
Binární operace * na £
Nyní bychom chtěli na eliptické křivce 8 zavést grupovou operaci + tak, aby (8, +) byla komutativní grupou. Potřebujeme tedy kaZdym dvěma bodum na křivce přiřadit bod třetí. Nabízí se nasledující zpusob:vezmeme pmsecík přímky zadane temito dvema body s křivkou 8. Prusecíky je ovsem potřeba pocítat vcetne jejich nasobností, abychom meli vzdy 3 body. V případe tecny ke křivce v nekterem jejím bode tedy takovy bod pocítame dvakrat. Dalsí nejasnost se tyka prímek kolmych na osu x. Intuitivne se zda, ze taková přímky mohou mít s eliptickou křivkou nejvyse 2 prusecíky. Třetím prusecíkem je ovsem bod v nekonecnu O = [0,1,0].
()	Elipt	icke krivky a jejich využití v kryptografii	
13. května 2010 10/22
Binární operace * na £ Definice
Necht/\, B e £, kde A = [xA,yA, 1], B = [xb,Yb, 1]. Přímku určenou body AaB označme p. Definujme binární operaci * následovně: _ í třetí průsečík přímky p a křivky f pro xA ^ xB
*   "í O = [0,1,0] pro xA = xB
o
13. května2010      11 / 22
Eliptické křivky a jejich využití v kryptografii
Binární operace * na £
Definice
Necht/\, B e £, kde A = [xA,yA, 1], B = [xb,Yb, 1]. Přímku určenou body AaB označme p. Definujme binární operaci * následovně: _ í třetí průsečík přímky p a křivky f pro xA ^ xB
[O = [0,1,0] proxA = xB
Bohužel, takto definovaná operace nemá neutrální prvek N. Aby totiž platilo A * N = A pro libolvolné Ae£, musela by přímka určená body A a N mít s křivkou £ dvojnásobný bod dotyku A, čili by se muselo jednat o tečnu v bodě A. Bod N by proto musel ležet na všech tečnách vedených libovolným bodem £, což nelze.
Je vhodné si uvědomit, že se jedná o komutativní operaci. Rovněž z definice vidíme, že eliptická křivka £ je na tuto operaci uzavřená.
o
13. května2010      11 /22
Eliptické křivky a jejich využití v kryptografii
Přímka určená dvěma body z S
Zde vidíme, že
1) P * Q = R (tři růžne body),
2) P * Q = Q (tečna v bode Q),
3) P * Q = O a
4) P * P = O (tečna v bode P).
			□      s       -       =       s *0<\<y	
()	Elipt	čkě křivky a jejičh vyuZití v kryptografii		13. května2010 12/22
Binární operace + na £
Uvedená operace * tedy nemá neutrální prvek, ale lze ji použít. Pro dva body P a Q vezměme onen třetí bod P * Q, bod O a jimi vedenou přímkou získáme opět bod na křivce. S pomocí operace * nyní zavedme konečně požadovanou operaci +.
Definice
Necht A, B e £, kde A = [xA,yA, 1], B = [xb,Yb, 1]. Definujme binární operaci + následovně:
A+B = (A*B)*0
o
13. května2010 13/22
Eliptické křivky a jejich využití v kryptografii
Komutativní grupa
Věta
Eliptická křivka (£, O) nad tělesem K s výše definovanou operací + tvoří komutativní grupu.
Idea důkazu.
Z vlastností operace * plyne komutativita + a uzavřenost křivky na tuto operaci. Pro lib. bod Ae£, kde A = [xA,yA, 1] označme -A ■= [xA, -yA, 1]. Takový bod dostaneme jako průsečík, vedeme-li přímku body A a O, tj. A * O = -A. Mějme Ae£ libovolný, pak platí: A + O = (A* O) * O = -A* O = -(-A) = A, tedy bod O je neutrálním prvkem grupy. Opačným prvkem k prvku Ae£\e již zmiňovaný bod -A, neboí A + (-A) = O. Zbývá dokázat asociativitu: to je již značně netriviální. □
o
13. května2010 15/22
Eliptické křivky a jejich využití v kryptografii
Věty platné pro eliptické křivky (£, O)
Věta
Necht (£, O) je eliptická křivka nad konečným tělesem (Z/pZ, +), kde p je kladná mocnina prvočísla. Pak (£, +) je cyklická grupa nebo součin dvou cyklických grup. Navíc, je-li (£', +) izomorfní se součinem cyklických grup od<\ ad2 prvcích ad<\\d2, potom platíd<\ \p - 1.
o
13. května2010 16/22
Eliptické křivky a jejich využití v kryptografii
Věty platné pro eliptické křivky (£, O)
Věta
Necht (£, O) je eliptická křivka nad konečným tělesem (Z/pZ, +), kde p je kladná mocnina prvočísla. Pak (£, +) je cyklická grupa nebo součin dvou cyklických grup. Navíc, je-li (£', +) izomorfní se součinem cyklických grup od<\ ad2 prvcích ad<\\d2, potom platíd<\ \p - 1.
V následujících dvou větách budeme potřebovat pro snazší formulaci pojem torzní podgrupy.
Definice
Podgrupa (£', +) grupy (£, +) se nazývá torzní podgrupa, jestliže obsahuje právě prvky konečného řádu z grupy (£, +).
o
13. května2010 16/22
Eliptické křivky a jejich využití v kryptografii
Věty platné pro eliptické křivky (£, O) Věta (Mordell)
Necht (£, O) je eliptická křivka nad Q. Pak (£, O) je konečně generovaná grupa. Pro každou torzní podgrupu (£', +) rovněž existuje jednoznačně určené r e No takové, že
{£,+)*{£',+) x{Z,+Y
Věta (Mazur)
Necht (£, O) je eliptická křivka nad Q. Pak je její torzní podgrupa
izomorfní s některou z následujících 15 grup:
(Z/mZ,+) pro 1 < m < 10 nebo m = 12
(Z/2Z,+) x (Z/2mZ,+) pro\<m<A
o
13. května2010 17/22
Eliptické křivky a jejich využití v kryptografii
Domain parameters
o definují eliptickou krivku,
			□     s      -      =      s *o<\<y	
()	Elipt	icke krivky a jejich využití v kryptografii		13. kvetna2010 18/22
Domain parameters
o definují eliptickou krivku,
o pokud je krivka nad Fp jsou tvaru (p, a, b, G, n, h),
0	Elipt	ické krivky a jejich využití v kryptografii	
13. kvétna 2010 18/22
Domain parameters
o definují eliptickou krivku,
o pokud je krivka nad Fp jsou tvaru (p, a, b, G, n, h), o pokud je krivka nad F2m jsou tvaru (m, f, a, b, G, n, h),
()	Elipt	ické krivky a jejich využití v kryptografii	
13. května 2010 18/22
Domain parameters
o definují eliptickou křivku,
o pokud je křivka nad Fp jsou tvařu (p, a, b, G, n, h), o pokud je křivka nad F2m jsou tvařu (m, f, a, b, G, n, h), kde
p      přvoCíslo, modul se kteřým pracujeme,
m     mocnina Císla 2 v binamím případe,
f       iředucibilní polynom stupne m nad Z2 (F2m = Z2[x]/(f)),
a      koeficient u x v řovnici křivký,
b      absolutní clen v řovnici křivký,
G      bod křivký, geneřatoř cýklicke podgřupý,
n      řad bodu G,
h      h = |E|/n.
()	Elipt	icke krivky a jejich využití v kryptografii	
13. kvetna2010
18/22
o Mejme křivku y2 = x3 + 1 nad Z13.
()	Elipt	icke křivky a jejich využití v kryptografii	
13. kvetna2010      19 / 22
o Mějme křivku y2 = x3 + 1 nad Z13.
bod	řád	bod	řád
[[0]13, [1]13]	3	[[5]13, [10]13]	6
[[0]13, [12]i3]	3	[[6]13, [3]]13	6
[[2]13, [3]13]	6	[[6]13, [10]13]	6
[[2]13, [10]13]	6	[[10]13, [0]13]	2
[[4]13, [0]13]	2	[[12]13, [0]13]	2
[[5]13, [3]13]	6		
()	Elipt	ck^ křivky a jejich využití v kryptografii	
13. kvetna 2010
19/22
o Mějme křivku y2 = x3 + 1 nad Z13.
bod	řád	bod	řad
[[0]13, [1]13]	3	[[5]13, [10]13]	6
[[0]13, [12]i3]	3	[[6]13, [3]]13	6
[[2]13, [3]13]	6	[[6]13, [10]13]	6
[[2]13, [10]13]	6	[[10]13, [0]13]	2
[[4]13, [0]13]	2	[[12]13, [0]13]	2
[[5]13, [3]13]	6		
o Domain parameters mohou vypadat následovně
(13,0,1, [2,10], 6,2).
()	Elipt	ckě křivky a jejich využití v kryptografii	
13. kvetna2010
19/22
Vytvoření klíce
o Alice
soukromý klíc dA = 3,
veřejný klíc QA = dA • G = 3 • [2,10] = [12,0].
()	Elipt	icke krivky a jejich využití v kryptografii	
13. kvetna 2010 20/22
Vytvorření klícře
Alice
soukromy klíc dA = 3,
veřejny klíc QA = dA • G = 3 • [2,10] = [12,0].
o Bob
soukromy klíc dB = 5,
veřejny klíc QB = dB • G = 5 • [2,10] = [2,3].
()	Elipt	icke krivky a jejich využití v kryptografii	
13. kvetna 2010 20/22
Vytvoření klíče
o Aliče
soukromý klíč dA = 3,
veřejný klíč QA = dA • G = 3 • [2,10] = [12,0].
o Bob
soukromý klíč dB = 5,
veřejný klíč QB = dB • G = 5 • [2,10] = [2,3]. o Potom
da • Qb = 3 • [2,3] = [12, 0], db • Qa = 5 • [12,0] = [12,0].
()	Elipt	ičke krivky a jejičh využití v kryptografii	
13. května 2010 20/22
Doporučené křivky (NIST)
o prvočísla, která mají v binárním zápise délku: 192,224,256,384,521,
	Elipt	ičké krivky a jejičh využití v kryptografii	
13. kvétna2010      21 /22
Doporučené krivky (NIST)
o prvočísla, ktera mají v binarním zapise délku:
192, 224, 256, 384, 521,
binarní prípad: 2163,2233,2283,2409,2571,
			□      s       -       =       s *0<\<y	
	Elipt	ičké křivky a jejičh využití v kryptografii		13. kveřtna2010    21 /22
Doporučené křivky (NIST)
o prvočísla, která mají v binárním zápise délku: 192,224,256,384,521,
binární případ: 2163,2233,2283,2409,2571,
o n (řád bodu G) je prvočíslo,
				
	Elipt	ičké krivky á jejičh využití v kryptográfii		13. kvetná2010       21 /22
Doporučené křivky (NIST)
o prvočísla, která mají v binárním zápise délku: 192,224,256,384,521,
binární případ: 2163,2233,2283,2409,2571,
o n (řád bodu G) je prvočíslo,
o h není délitelné n, čo nejmenSí: 1, 2, nebo 4,
			□      s       -       =       s *0<\<y	
	Elipt	ičke krivky á jejičh využití v kryptográfii		13. kvetná2010       21 /22
Doporučené křivky (NIST)
o prvočísla, která mají v binárním zápise délku: 192,224,256,384,521,
binární případ: 2163,2233,2283,2409,2571,
o n (řád bodu G) je prvočíslo,
o h není délitelné n, čo nejmenSí: 1, 2, nebo 4, doporučřeneí prvočřííslo je nápřrííklád
6277101735386680763835789423207666416083908700390324961279,
ktere má v binárním zápise delku 192. Rád bodu G ná křivče y2 = x3 - 3x + b mod p
je
6277101735386680763835789423176059013767194773182842284081.
			□     s      -      =      s *o<\<y	
	Elipt	ičke krivky á jejičh využití v kryptográfii		13. kvetná2010       21 /22
Bezpečnost klíčů
Porovnání:
o RSA: aktuálním rekordem je prolomení RSA-768 (prosinec 2009, ččá. 2,5 roků, sůbexponenčiální metodá sítá v číselnem teiese)
()	Elipt	ičke krivky á jejičh vyůZití v kryptográfii	
13. květná 2010 22/22
Bezpečnost klíču
Porovnaní:
o RSA: aktualním rekordem je prolomení RSA-768 (prosineč 2009,
čča. 2,5 roku, subexponenčialní metoda síta v číselnem telese) o ECDLP:
► Pro binarní případ je rekordem prolomení 109-bitoveho klíče (2004, využití 2600 stroju po dobu 17 mesíču).
► Pro prvočíselny případ je rekordem prolomení 112-bitoveho klíče (duben 2009, vypočřetní čluster 200 konžolí Playstation 3, čča. 3,5 meřsíče).
()	Elipt	ičke krivky a jejičh využití v kryptografii	
13. kvetna 2010 22/22
Bezpečnost klíčů
Porovnání:
RSA: ákt áí lníím rekordem je prolomeníí RSA-768 (prosineč 2009, ččá. 2,5 roků, sůbexponenčiální metodá sítá v číselnem telese) o ECDLP:
► Pro binární přípád je rekordem prolomení 109-bitoveho klíčče (2004, vyůZití 2600 strojů po dobů 17 mesíčů).
»- Pro prvočíselný přípád je rekordem prolomení 112-bitoveho klíče (důben 2009, vypočřetní člůster 200 konzolí Pláystátion 3, ččá. 3,5 meřsíče).
► Vsečhny známe álgoritmy pro vypočet diskrétního logáritmů májí
exponenčiální slozřitost.
	Elipt	ičke krivky á jejičh vyůZití v kryptografii	
13. kvetná 2010 22/22