Algorithmique des courbes hyperelliptiques et applications à la cryptologie

Gaudry, Pierrick

12 December 2000

L'étude algorithmique des courbes hyperelliptiques est la suite naturelle de celle des courbes elliptiques qui est maintenant bien avancée. La plupart des algorithmes connus pour les courbes elliptiques ainsi que leurs applications à la cryptographie peuvent être étendus plus ou moins facilement aux Jacobiennes de courbes hyperelliptiques. Dans une première partie, nous étudions certains aspects des invariants d'Igusa, qui généralisent le j-invariant d'une courbe elliptique. Pour les Jacobiennes (2,2)-décomposables, nous relions les invariants d'Igusa aux j-invariants des courbes elliptiques quotients par des formules explicites. Par ailleurs nous étudions ces invariants sous l'angle des formes modulaires de Siegel dans le but de calculer des équations modulaires. La deuxième partie est consacrée à des algorithmes de calcul de cardinalité d'une courbe hyperelliptique sur un corps fini. Ce calcul est une étape nécessaire lorsque l'on désire mettre en oeuvre un cryptosystème hyperelliptique. Hormis les algorithmes génériques qui peuvent s'appliquer à des groupes autres que des Jacobiennes, nous proposons une version effective des algorithmes à la Schoof en genre 2. Nous présentons aussi un premier pas vers des améliorations du type Elkies-Atkin, qui ont fait leur preuve dans le cas des courbes elliptiques. La troisième partie traite d'algorithmes de calcul de logarithme discret. Ce problème, réputé difficile, est la clef de voûte des cryptosystèmes: si l'on sait le résoudre en temps raisonnable, le système est fragile. Après un bref état de l'art, nous présentons des algorithmes utilisant les idées classiques de calcul d'index. En tirant parti des spécificités des problèmes provenant de la cryptographie, nous démontrons par des résultats de complexité ainsi que des expériences pratiques que les systèmes à base de courbes de genre supérieur ou égal à 4 ne sont pas sûrs. De plus, combiné avec les techniques de descente de Weil, ceci permet d'attaquer certains cryptosystèmes elliptiques.

Courbes hyperelliptiques

invariants d'Igusa

algorithme de Schoof en genre 2

logarithme discret

calcul d'index

équations modulaires

Étude de l'arithmétique des couplages sur les courbes algébriques pour la cryptographie

Guillevic, Aurore

20 December 2013

Depuis 2000 les couplages sont devenus un très bon outil pour la conception de nouveaux protocoles cryptographiques. Les signatures courtes et le chiffrement basé sur l'identité sont devenus réalisables grâce aux couplages. Les travaux réalisés dans cette thèse comprennent deux aspects complémentaires. Une partie consiste en l'implémentation optimisée de couplages sur différentes courbes elliptiques, en fonction des protocoles visés. Une implémentation sur des courbes supersingulières en grande caractéristique et sur des courbes de Barreto-Naehrig est détaillée. La bibliothèque développée au Laboratoire Chiffre de Thales est utilisée avec des courbes de Barreto-Naehrig dans un protocole de diffusion chiffrée. La seconde application évalue la différence de temps de calcul pour des protocoles utilisant les couplages sur des courbes d'ordre composé (un large module RSA) et la traduction de ces protocoles qui utilise plusieurs couplages sur des courbes plus habituelles. Les résultats montrent une différence d'un facteur de 30 à 250 en fonction des étapes des protocoles, ce qui est très important. Une seconde partie porte sur deux familles de courbes de genre deux. Les jacobiennes de ces courbes sont isogènes au produit de deux courbes elliptiques sur une extension de corps de petit degré. Cette isogénie permet de transférer les propriétés des courbes elliptiques vers les jacobiennes. Le comptage de points est aisé et ne requiert qu'un comptage de points sur une des courbes elliptiques isogènes, plus quelques ajustements. On présente aussi la construction de deux endomorphismes à la fois sur les jacobiennes et sur les courbes elliptiques. Ces deux endomorphismes permettent des multiplications scalaires efficaces en suivant la méthode de Gallant, Lambert et Vanstone, ici en dimension quatre.

courbes elliptiques

courbes de genre 2

endomorphismes

couplages

implémentation

groupes d'ordre composé

Pinceaux réels en courbes de genre 2 / Real Pencils of curves of genus two

Moulahi, Samir

14 December 2015

Soit π : X→ D un pinceau réel en courbes de genre $2$. L'objectif de cette thèse est de donner une classification partielle des fibres singulières possibles ; je donne les types de configurations réelles des fibres singulières et je détermine la topologie des fibres voisines. Je donne aussi les invariants déterminant d'une manière unique la classe réelle de tels pinceaux. / Let π : X→ D be a real pencil of curves of genus two. The goal of this thesis is to give a partial classification of possible singular fibers; we give the types of real configurations of singular fibers and we determine the topology of neighbors fibers. Also we give the invariants determining in a unique way the real class of such pencils

Surfaces algébriques réelles

Real algebraic surfaces

Real fibrations on curves of genus two

510

Diviseurs sur les courbes réelles

Bardet, Alexandre

05 June 2013

Dans un article sur les sommes de carrés, SCHEIDERER a prouvé que pour toute courbe algébrique, réelle, projective, irréductible, lisse, ayant des points réels, il existait un entier N tel que tout diviseur de degré plus grand que N soit linéairement équivalent à un diviseur dont le support est totalement réel. Ensuite HUISMAN et MONNIER ont montré que dans le cas des courbes avec beaucoup de composantes connexes, ie. celle en ayant au moins autant que le genre g, ici supposé strictement positif, de la courbe, on pouvait prendre N égal à 2g − 1. MONNIER a également abordé la question pour les cas des courbes singulières : il en a exhibé pour lesquelles un tel entier n'existait pas et d'autres pour lesquelles il existait. Dans cette thèse on étend la classe des courbes singulières pour lesquelles un tel entier existe, essentiellement des courbes avec des noeuds ou des cusps, et on arrive dans certains cas a contrôlé explicitement cet entier en fonction du genre de la courbe et du nombre de ces singularités. Pour y parvenir on utilise d'une part une " singularisation successive " et d'autre part une variante de l'invariant où l'on demande qu'en plus les points du support soient deux-à-deux distincts. Pour ce nouvel invariant, on étend tel quel les résultats sur les courbes ayant beaucoup de composantes et on traite celui des courbes de genre 2 ayant une seule composante, le " premier " cas jusqu'alors inconnu : dans ce cas la borne 3 est impossible en général, mais par contre 5 convient.

courbe

algébrique

réelle

lisse

singulière

singularisation

diviseur

équivalence linéaire

support

genre 2

composante connexe

courbe maximale

noeuds

cusp

Géométrie et arithmétique explicites des variétés abéliennes et applications à la cryptographie

Arène, Christophe

27 September 2011

Les principaux objets étudiés dans cette thèse sont les équations décrivant le morphisme de groupe sur une variété abélienne, plongée dans un espace projectif, et leurs applications en cryptographie. Notons g sa dimension et k son corps de définition. Ce mémoire est composé de deux parties. La première porte sur l'étude des courbes d'Edwards, un modèle pour les courbes elliptiques possédant un sous-groupe de points k-rationnels cyclique d'ordre 4, connues en cryptographie pour l'efficacité de leur loi d'addition et la possibilité qu'elle soit définie pour toute paire de points k-rationnels (loi d'addition k-complète). Nous en donnons une interprétation géométrique et en déduisons des formules explicites pour le calcul du couplage de Tate réduit sur courbes d'Edwards tordues, dont l'efficacité rivalise avec les modèles elliptiques couramment utilisés. Cette partie se conclut par la génération, spécifique au calcul de couplages, de courbes d'Edwards dont les tailles correspondent aux standards cryptographiques actuellement en vigueur. Dans la seconde partie nous nous intéressons à la notion de complétude introduite ci-dessus. Cette propriété est cryptographiquement importante car elle permet d'éviter des attaques physiques, comme les attaques par canaux cachés, sur des cryptosystèmes basés sur les courbes elliptiques ou hyperelliptiques. Un précédent travail de Lange et Ruppert, basé sur la cohomologie des fibrés en droite, permet une approche théorique des lois d'addition. Nous présentons trois résultats importants : tout d'abord nous généralisons un résultat de Bosma et Lenstra en démontrant que le morphisme de groupe ne peut être décrit par strictement moins de g+1 lois d'addition sur la clôture algébrique de k. Ensuite nous démontrons que si le groupe de Galois absolu de k est infini, alors toute variété abélienne peut être plongée dans un espace projectif de manière à ce qu'il existe une loi d'addition k-complète. De plus, l'utilisation des variétés abéliennes nous limitant à celles de dimension un ou deux, nous démontrons qu'une telle loi existe pour leur plongement projectif usuel. Finalement, nous développons un algorithme, basé sur la théorie des fonctions thêta, calculant celle-ci dans P^15 sur la jacobienne d'une courbe de genre deux donnée par sa forme de Rosenhain. Il est désormais intégré au package AVIsogenies de Magma. / The main objects we study in this PhD thesis are the equations describing the group morphism on an abelian variety, embedded in a projective space, and their applications in cryptograhy. We denote by g its dimension and k its field of definition. This thesis is built in two parts. The first one is concerned by the study of Edwards curves, a model for elliptic curves having a cyclic subgroup of k-rational points of order 4, known in cryptography for the efficiency of their addition law and the fact that it can be defined for any couple of k-rational points (k-complete addition law). We give the corresponding geometric interpretation and deduce explicit formulae to calculate the reduced Tate pairing on twisted Edwards curves, whose efficiency compete with currently used elliptic models. The part ends with the generation, specific to pairing computation, of Edwards curves with today's cryptographic standard sizes. In the second part, we are interested in the notion of completeness introduced above. This property is cryptographically significant, indeed it permits to avoid physical attacks as side channel attacks, on elliptic -- or hyperelliptic -- curves cryptosystems. A preceeding work of Lange and Ruppert, based on cohomology of line bundles, brings a theoretic approach of addition laws. We present three important results: first of all we generalize a result of Bosma and Lenstra by proving that the group morphism can not be described by less than g+1 addition laws on the algebraic closure of k. Next, we prove that if the absolute Galois group of k is infinite, then any abelian variety can be projectively embedded together with a k-complete addition law. Moreover, a cryptographic use of abelian varieties restricting us to the dimension one and two cases, we prove that such a law exists for their classical projective embedding. Finally, we develop an algorithm, based on the theory of theta functions, computing this addition law in P^15 on the Jacobian of a genus two curve given in Rosenhain form. It is now included in AVIsogenies, a Magma package.

Courbes d'Edwards tordues

Courbe elliptique

Loi d'addition k-complète

Couplage de Tate réduit

Formules explicites

Fibré en droites

Plongement projectif

Jacobienne d'une courbe de genre 2

Fonctions thêta

Thêta constantes

Twisted Edwards curves

Elliptic curve

K-complete addition law

Reduced Tate pairing

Explicite formulae

Line bundle

Projective embedding

Jacobian of a genus 2 curve

Theta functions

Theta constants