Comment fait-on des calculs sur une courbe elliptique?

Précédemment, nous avons vu la possibilité d’effectuer deux opérations mathématiques bien précises sur les courbes elliptiques :

• L’addition de points : quand on a deux points P et R sur une courbe elliptique EC, alors on peut calculer leur addition Q = P + R, et le résultat Q appartient aussi à EC.
• La multiplication de points : quand on a un point P sur une courbe elliptique EC, alors on peut additionner k fois ce même point (p.ex. si k = 2, alors on peut calculer P + P), ce qui résulte en la multiplication de points Q = k*P (p.ex. si k = 2, alors Q = 2*P = P + P), et le résultat Q appartient aussi à EC.

Finalement, la multiplication de points n’est qu’une simple série d’additions de points. Par exemple :

Q = 3*P = P + P + P = (P + P) + P.

Si on considère que T = P + P, alors on peut remplacer P + P par T dans l’équation précédente, ce qui revient à écrire que Q = T + P.

Graphiquement, l’addition de points (tant pour la simple addition que pour la multiplication de points) peut se dérouler des façons suivantes.

Pour définir l’addition Q = P + R, il faut tracer une droite reliant P et R. Cette droite (en rouge sur la figure 1.a) coupe la courbe elliptique en un troisième point appelé -Q (expliquer ce que représente ce point -Q est hors du contexte simplifié de cet article). Le symétrique de ce point par rapport à l’axe des abscisses (obtenu en suivant la droite pointillée verte sur la figure 1.a) est le résultat Q de cette addition.

Pour définir l’addition d’un point P avec lui-même, c’est-à-dire la multiplication de points pour k = 2, c’est-à-dire Q = P + P = 2P, il faut tracer la tangente à la courbe elliptique au point P. Cette droite (en rouge sur la figure 1.b) coupe la courbe elliptique en un point appelé -Q. Comme pour l’addition classique, le symétrique de ce point par rapport à l’axe des abscisses (obtenu en suivant la droite pointillée verte sur la figure 1.b) est le résultat Q de cette addition.

La cryptographie sur courbes elliptiques

Dans l’article précédent, nous avons expliqué que la sécurité de l’ECC repose sur l’ECDLP (Elliptic Curve Discrete Logarithm Problem en anglais), i.e. si l’on a un point P sur une courbe elliptique EC, alors :

• il est facile de calculer la multiplication de points Q = k*P pour un entier k quelconque,
• mais il est très difficile de retrouver la valeur de k quand on ne connait que P et Q.

En partant de cela, on peut donc construire un système de cryptographie à clé publique (Public-Key Cryptography en anglais, PKC), comme illustré surla figure ci-dessous, basé sur les courbes elliptiques. La clé privée d’Alice privKey est alors un entier k_Alice et la clé publique correspondante pubKey est le point Q_Alice, résultat de l’opération k_Alice * P où P est un point publiquement connu.

L’ECC est principalement utilisée pour le chiffrement de données, la signature digitale, la génération de nombres pseudo-aléatoires, et bien d’autres. Parmi les schémas cryptographiques les plus connus, on retrouve l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) ou encore le protocole d’échanges de clés ECDH (Elliptic Curve Diffie-Hellman).

Un exemple concret : le protocole ECDH

Attardons nous un peu sur le protocole ECDH, car il est un exemple très pédagogique de l’utilisation des courbes elliptiques. En réalité, ce protocole est une variante du protocole de Diffie-Hellman (du nom de ses inventeurs), à l’origine basé sur le groupe multiplicatif des entiers modulo p, avec p étant un nombre premier. Le protocole original a été l’un des premiers exemples d’échange de clés dans le domaine de la cryptographie. Datant du milieu des années 70, le protocole de Diffie-Hellman permet à deux entités (Alice et Bob), qui ne se connaissent absolument pas, de se mettre d’accord sur un secret partagé, même en utilisant un canal de communication non sécurisé (i.e. qui peut être écouté par des personnes malveillantes). Le secret partagé peut ensuite être utilisé pour chiffrer la communication suivante entre Alice et Bob.

La figure ci-dessus illustre le principe du protocole ECDH. Tout d’abord, Alice et Bob connaissent un point P sur une courbe elliptique, P étant une donnée publique (la couleur jaune). Ensuite, chacun va choisir un secret : k_Alice (en rouge) et k_Bob (en vert). A partir de là, chacun va calculer la valeur publique de son secret : Q_Alice = k_Alice * P (en orange) et Q_Bob = k_Bob * P (en bleu). Alice et Bob s’échangent ensuite leurs valeurs publiques. Ils peuvent même les divulguer publiquement : cela ne réduit pas la sécurité du protocole étant donné que la sécurité repose sur le problème ECDLP (cf. l’explication donnée dans notre précédent article). Enfin, Alice et Bob calculent le secret partagé (en marron) : k_Alice * Q_Bob pour Alice, et k_Bob * Q_Alice pour Bob. Ces deux calculs mènent au même secret partagé car :

k_Alice * Q_Bob = k_Alice * (k_Bob * P) = k_Alice * k_Bob * P = k_Bob * (k_Alice * P) = k_Bob * Q_Alice.

Un exemple concret (ci-contre) qui joint l’utilisation de ECDH et de ECDSA est le certificat SSL de certains sites web, tels que celui de Gmail. Notons que pour ce dernier, le protocole d’échange de clés est ECDHE, une variante de ECDH où les secrets choisis par les deux entités communicantes sont éphémères (d’où le “E” rajouté à l’accronyme), c’est-à-dire utilisés que temporairement, par exemple pour une seule session de communication. Ce choix permet ainsi de fournir une confidentialité persistante (forward secrecy en anglais) : même si un adversaire retrouve les secrets éphémères d’une session compromettant ainsi les communications correspondantes, il ne sera pas capable de compromettre les communications d’une session antérieure.

Les points négatifs de l’ECC

Ce n’est malheureusement pas tout rose dans le monde des courbes elliptiques. Plusieurs questions et doutes mis en avant ont énormément retenu les industriels de se lancer dans l’aventure ECC.

L’élément déclencheur a été l’histoire avec Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), algorithme qui génère des nombres aléatoires en se basant sur les mathématiques des courbes elliptiques. Le problème est que cet algorithme, standardisé par le NIST et promu par la NSA,ne semble pas être si aléatoire que cela. Il semblerait en effet que la séquence de nombres renvoyés par l’algorithme pourrait être complètement prédite par une personne connaissant certains paramètres secrets de la courbe elliptique (cf. ce post pour des détails plus techniques sur les vulnérabilités de Dual_EC_DRBG) : dans le jargon, c’est ce que l’on appelle une backdoor. Que cet algorithme ait été écrit spécifiquement avec cette backdoor ou pas ne change pas la puissance des mathématiques sur les courbes elliptiques ; cela soulève plutôt des questions sur les processus de standardisation des courbes elliptiques pour la cryptographie.

Cette histoire a créé une atmosphère de méfiance au sein de la communauté cryptographique vis-à-vis du NIST. Même si aucune nouvelle faille ou backdoor n’a été trouvée jusqu’à présent pour les courbes standardisées par le NIST, les cryptographes recommandent d’en utiliser d’autres, telles que celle de Dan Bernstein, ou encore celles de Paulo Baretto et al. Malheureusement, ces courbes elliptiques non-conventionnelles vont mettre beaucoup de temps à être acceptées et utilisées à grande échelle.

Que retenir de l’ECC?

La cryptographie sur courbes elliptiques est l’une des plus puissantes techniques dans le domaine. Grâce à ses petites longueurs de clés, leur stockage peut se faire dans des environnements limités (p.ex. les tags RFID des passeports biométriques) et les calculs sont exécutés plus rapidement qu’avec de la cryptographie classique telle que RSA, tout en assurant un haut niveau de sécurité. L’ECC se montre donc très prometteuse pour le futur, malgré les doutes soulevés par la communauté cryptographique vis-à-vis des recommandations et standards du NIST à son sujet.

C’est pourquoi je vais me lancer dans une série de blogs qui vont vous présenter petit à petit l’ECC et les courbes elliptiques, tout en essayant de simplifier au maximum leurs mathématiques fondatrices complexes. Je remercie par avance les experts dans le domaine qui comprendront qu’il n’est pas possible de rentrer dans les détails lorsqu’on souhaite présenter l’ECC aux non-initiés.

ECC, c’est quoi?

L’ECC est une approche de la cryptographie à clé publique (Public-Key Cryptography en anglais, PKC), où il est requis d’avoir deux clés bien séparées: une clé privKey dite “privée” et une autre clé pubKey dite “publique”. La figure ci-dessous explique comment ces deux clés peuvent être utilisées dans un schéma standard de PKC quand Bob souhaite envoyer un message chiffré à Alice.

L’utilisation des courbes elliptiques pour la cryptographie a été introduite indépendamment par Neal Koblitz et Victor S. Miller en 1985. Ces deux chercheurs ont vu le potentiel offert par la structure mathématique des courbes elliptiques — intensément étudiées dans la théorie des nombres depuis plus de 100 ans — pour l’adapter à la cryptographie. A la fin des années 1990, l’ECC a été standardisée par un certain nombre d’organisations (p.ex. ANSI X9.63, IEEE P1363, ISO 15946, NIST SP 800-56), et elle a commencé à être acceptée pour commercialisation. De nos jours, l’ECC est principalement utilisée dans les environnements à faible ressource tels que les réseaux sans fil ad-hoc et les réseaux mobiles, car elle ne nécessite pas de longues clés cryptographiques pour assurer un haut niveau de sécurité.

Pour être plus précis sur ce dernier point, un des problèmes majeurs des systèmes conventionnels basés sur la PKC est que la longueur des clés doit être suffisamment grande pour assurer un niveau de sécurité élevé. Ceci se traduit par une faible vitesse et une grande consommation de la bande passante. C’est là que la force de l’ECC rentre en jeu : comme l’a établit le NIST, là où le système cryptographique bien connu RSA a besoin de clés de 1024 bits, l’ECC n’a besoin que de clés de 160 bits pour atteindre le même niveau de sécurité.

A quoi ressemble une courbe elliptique ?

Contrairement à ce que l’on pourrait croire, une courbe elliptique n’est pas une ellipse. Historiquement, le terme “courbe elliptique” vient en réalité de l’association de ces courbes avec les intégrales elliptiques, ces dernières servant à calculer la longueur des arcs d’une ellipse.

Pour son utilisation en cryptographie, une courbe elliptique est définie sur un corps fini K, c’est-à-dire sur un ensemble fini d’éléments avec lesquels on est capable de faire des additions, soustractions, multiplications et divisions. Par exemple, le corps fini K le plus connu est l’ensemble {0,1} des booléens (dont les calculs sont faits sur un seul bit d’information). L’équation la plus simplifiée d’une courbe elliptique est de la forme

y² = x³ + ax + b

où a et b sont les coefficients de la courbe et appartiennent à K. La figure ci-dessous illustre les différentes représentations graphiques d’une courbe elliptique avec son équation simplifiée, dépendamment des valeurs de a et de b.

Mathématiquement parlant, une courbe elliptique est un groupe avec des caractéristiques particulières. Pour simplifier, une courbe elliptique est un ensemble d’éléments — les points de la courbe — avec lesquels on peut effectuer des opérations mathématiques bien précises :

• L’addition de points : quand on a deux points P et R sur une courbe elliptique EC, alors on peut calculer leur addition Q = P + R, et le résultat Q appartient aussi à EC.
• La multiplication de points : quand on a un point P sur une courbe elliptique EC, alors on peut additionner k fois ce même point (p.ex. si k = 2, alors on peut calculer P + P), ce qui résulte en la multiplication de points Q = k*P (p.ex. si k = 2, alors Q = 2*P = P + P), et le résultat Q appartient aussi à EC.

Nous verrons plus tard comment s’effectuent ces opérations mathématiques. Mais finalement, ce qu’il faut retenir, c’est qu’on peut faire des opérations sur les points d’une courbe elliptique, de la même façon qu’on peut faire 1 + 2 = 3 ou encore 3 + 3 = 2*3 quand on fait des calculs avec des nombres réels.

ECDLP, le fondement de la sécurité de l’ECC

Les systèmes cryptographiques modernes utilisés en PKC sont généralement basés sur des problèmes mathématiques dits “durs”, ou “computationally infeasible” en anglais, c’est-à-dire qui n’admettent aucune solution efficace pour résoudre le problème. Par exemple, la sécurité de RSA repose sur le problème de la factorisation entière en nombres premiers : il est facile d’obtenir le produit de deux grands nombres premiers, par contre il est beaucoup plus difficile de trouver les facteurs premiers de celui-ci. Pour visualiser la difficulté du problème, prenons un premier exemple où le produit à factoriser est 91 : on peut facilement retrouver que 91 = 7*13 car ce sont de petits nombres. Maintenant, si nous prenons le nombre appelé RSA-1024 ci-dessous comme deuxième exemple, alors personne à l’heure actuelle n’a été capable de retrouver ses deux facteurs premiers. Jusqu’en 2007, la compagnie RSA Security offrait d’ailleurs 100 000 $ à la première personne réussissant l’exploit.

RSA-1024 = 135066410865995223349603216278805969938881475605667027524485143851526510604859533833940287150571909441798207282164471551373680419703964191743046496589274256239341020864383202110372958725762358509643110564073501508187510676594629205563685529475213500852879416377328533906109750544334999811150056977236890927563

Pour les systèmes cryptographiques basés sur l’ECC, leur sécurité repose sur le problème du logarithme discret dans un groupe mathématique défini par une courbe elliptique, appelé Elliptic Curve Discrete Logarithm Problem (ECDLP) en anglais. Pour comprendre ce que cela veut dire, expliquons ce problème étape par étape. Tout d’abord, le simple DLP signifie que, si l’on a un élément g d’un groupe mathématique G, alors on peut facilement calculer la valeur b = g^k  pour un entier k quelconque. Mais il est très difficile de retrouver la valeur de k quand on ne connait que b et g. Bien sûr, la difficulté est réelle quand b, g, k sont de très grands nombres, comme pour la factorisation expliquée au paragraphe précédent. L’ECDLP reprend le même problème que le simple DLP en considérant que, si l’on a un point P sur une courbe elliptique EC, alors :

• il est facile de calculer la multiplication de points Q = k*P pour un entier k quelconque,
• mais il est très difficile de retrouver la valeur de k quand on ne connait que P et Q.

To be continued…

Dans un prochain blog, nous expliquerons “graphiquement” les opérations mathématiques qui peuvent s’effectuer sur une courbe elliptique (i.e. l’addition et la multiplication de points). Nous verrons également comment se servir des courbes elliptiques pour faire de la cryptographie. Comment sont choisies et calculées les clés privKey et pubKey ? Quels sont les systèmes cryptographiques les plus connus se basant sur l’ECC et comment fonctionnent-ils?