3- and 5-Isogenies of Supersingular Edwards Curves

An analysis is made of the properties and conditions for the existence of 3- and 5-isogenies of complete and quadratic supersingular Edwards curves. For the encapsulation of keys based on the SIDH algorithm, it is proposed to use isogeny of minimal odd degrees 3 and 5, which allows bypassing the problem of singular points of the 2nd and 4th orders, characteristic of 2-isogenies. A review of the main properties of the classes of complete, quadratic, and twisted Edwards curves over a simple field is given. Equations for the isogeny of odd degrees are reduced to a form adapted to curves in the form of Weierstrass. To do this, use the modified law of addition of curve points in the generalized Edwards form, which preserves the horizontal symmetry of the curve return points. Examples of the calculation of 3- and 5-isogenies of complete Edwards supersingular curves over small simple fields are given, and the properties of the isogeny composition for their calculation with large-order kernels are discussed. Equations are obtained for upper complexity estimates for computing isogeny of odd degrees 3 and 5 in the classes of complete and quadratic Edwards curves in projective coordinates; algorithms are constructed for calculating 3- and 5-isogenies of Edwards curves with complexity 6M + 4S and 12M + 5S, respectively. The conditions for the existence of supersingular complete and quadratic Edwards curves of order 4x3mx5n and 8x3mx5n are found. Some parameters of the cryptosystem are determined when implementing the SIDH algorithm at the level of quantum security of 128 bits

Implementation of the CSIDH Algorithm Model on Supersingular Twisted and Quadratic Edwards Curves

The properties of twisted and quadratic supersingular Edwards curves forming pairs of quadratic torsion with the order p + 1 over the simple field Fp are considered. A modification of the CSIDH algorithm using the isogenies of these curves in replacement of the extended arithmetic’s of the isogenies of curves in the Montgomery form is presented. The isogeny parameters of the CSIDH algorithm model are calculated and tabulated on the basis of the theorems proved in the previous work. The example of Alice’s and Bob’s calculations according to the non-interactive Diffy-Hellman circuit, illustrating the separation of their secrets, is considered. The use of the known projective (W:Z)-coordinates for the given classes of curves provides the fastest execution of the CSIDH algorithm to-date

Estimation of the computational cost of the CSIDH algorithm on supersingular twisted and quadratic Edwards curves

Розглянуто властивості скручених та квадратичних суперсингулярних кривих Едвардса, що утворюють пари квадратичного кручення з порядком над простим полем. Наведено модифікацію алгоритму CSIDH, побудованого на ізогенії цих кривих замість традиційної арифметики кривих у формі Монтгомері. Розраховані та табульовані параметри цих двох класів суперсингулярних кривих Едвардса при , на ізогеніях яких наведено приклад реалізації алгоритму CSIDH як схеми не інтерактивного поділу секрету на основі секретних і відкритих ключів Аліси і Боба. Показано, что последовательности параметров цепочек изогений соответственно для квад-ратичных и скрученных суперсингулярных кривых Эдвардса имеет реверсный характер на пе-риоде последовательности. Предложен рекуррентный алгоритм вычисления координат точек, образующих ядра изогений нечетных степеней, рассмотрена его реализация в различных коор-динатных системах. Дан сравнительный анализ стоимости вычислений параметра изогенной кривой с использованием W-координат Фарашахи-Хоссейни и классических проективных координат (X:Y:Z).The properties of twisted and quadratic supersingular Edwards curves that form pairs of quadratic torsion with order over a prime field are considered. A modification of the CSIDH algorithm based on the isogenies of these curves instead of the traditional arithmetic of curves in the Montgomery form is presented. The parameters of these two classes of supersingular Edwards curves are calculated and tabulated for , on the isogenies of which an example of the implementation of the CSIDH algorithm as a non-interactive secret sharing scheme based on the secret and public keys of Alice and Bob is given..It is shown that the sequence of parameters of chains of isogenies for quadratic and twisted supersingular Edwards curves, respectively, has a reverse character on the period of the sequence. A recurrent algorithm for calculating the coordinates of points that form the kernels of isogenies of odd degrees is proposed, and its implementation in various coordinate systems is considered. A comparative analysis of the cost of calculating the parameter of the isogenic curve using the Farashakhi-Hosseini -coordinates and classical projective coordinates is given(X:Y:Z)is given

Рандомізація алгоритму CSIDH на квадратичних та скручених кривих Едвардса

The properties of quadratic and twisted supersingular Edwards curves that form quadratic twist pairs with order over a prime field are considered. A modification of the CSIDH algorithm based on the isogenies of these curves is presented. The parameters of these two classes of supersingu-lar Edwards curves for are calculated and tabulated. An example of the implementation of the CSIDH algorithm as a non-interactive secret sharing scheme based on the secret and public keys of Alice and Bob is given. A new randomized CSIDH algorithm with random equiprobable selection of a curve from two classes at each step of the isogeny chain is proposed. This algorithm is proposed as an alternative to "constant time CSIDH". An estimate of the probability of a successful side channel at-tack in a randomized algorithm is given. It is noted that all calculations in the CSIDH algorithm neces-sary to calculate the common secret are reduced only to the calculation of the isogenic curve parameter and are performed by field operations, scalar multiplication and doubling the points of the isogeny kernel. In the new algorithm, it is proposed to abandon the calculation of the isogenic function of a random point , which significantly speeds up the algorithm.Розглянуто властивості квадратичних і скручених суперсингулярних кривих Едвардса, які утворюють квадратичні кручені пари з порядком над простим полем . Представлено модифікацію алго-ритму CSIDH на основі ізогенії цих кривих. Параме-три цих двох класів суперсингулярних кривих Едва-рдса для розраховані та зведені в таблицю. На-ведено приклад реалізації алгоритму CSIDH як неін-терактивної схеми обміну секретами на основі секре-тного та відкритого ключів Аліси та Боба. Запропо-новано новий рандомізований алгоритм CSIDH з ви-падковим рівноймовірним вибором кривої з двох класів на кожному кроці ланцюга ізогенії. Цей алго-ритм пропонується як альтернатива "constant time CSIDH ". Дано оцінку ймовірності успішного галсу побічного каналу за рандомізованим алгоритмом. За-значається, що всі обчислення в алгоритмі CSIDH, необхідні для обчислення загального секрету, зво-дяться лише до обчислення параметра ізогенної кри-вої та виконуються за допомогою польових операцій, скалярного множення та подвоєння точок ядра ізоге-нії. У новому алгоритмі пропонується відмовитися від обчислення ізогенної функції випадкової точки, що значно прискорює роботу алгоритму

Computing of Odd Degree Isogenies on Supersingular Twisted Edwards Curves

An overview of the properties of three classes of curves in generalized Edwards form Ea,d with two parameters is given. The known formulas for the odd degree isogenies on curves Ed with one parameter are generalized to all classes of curves in Edwards form, and Theorem 1 on the isogenic mapping of the points of these curves is proved. The analysis of the known effective method for computing isogenies in Farashahi-Hosseini w-coordinates, justified for the curve Ed, is given. Theorem 2 proves the applicability of this method to the class of twisted Edwards curves. Examples of 3- and 5-isogenies of twisted Edwards curves are given. Methods for bypassing the exceptional points of such curves in PQC cryptosystems like CSIDH are proposed

CSIKE-ENC Combined Encryption Scheme with Optimized Degrees of Isogeny Distribution

For the PQC CSIDH and CSIKE algorithms, the advantages of two classes of quadratic and twisted supersingular Edwards curves over complete Edwards curves are justified. These classes form pairs of quadratic twist curves with order p + 1 ≡ 0mod8 over the prime field Fp and double the space of all curves in the algorithms. The randomized algorithms CSIDH and CSIKE are presented. An analysis of the degrees lk isogenies distribution is given, and an optimal distribution within the given conditions is proposed with the degree lmax = 397 instead of lmax = 587 while maintaining the number K = 74 of all degrees. A probabilistic analysis of random odd order points R was carried out, probability estimates are obtained, and it is recommended to avoid isogenies with small values of the degrees lk in algorithms. The features of the CSIKE algorithm with one public key of Bob in the problem of encapsulation by Alice of the secret key κ, which Bob calculates at the stage of decapsulation with his secret key, are considered. A CSIKE-ENC scheme for combined encryption of the key κ and message M based on two asymmetric algorithms CSIDH and CSIKE with Alice’s authentication and the well-known symmetric message encryption standard is proposed. The security aspects of the scheme are discussed

SIKE Round 2 Speed Record on ARM Cortex-M4

We present the first practical software implementation of Supersingular Isogeny Key Encapsulation (SIKE) round 2, targeting NIST’s 1, 2, and 5 security levels on 32-bit ARM Cortex-M4 microcontrollers. The proposed library introduces a new speed record of SIKE protocol on the target platform. We achieved this record by adopting several state-of-the-art engineering techniques as well as highly-optimized hand-crafted assembly implementation of finite field arithmetic. In particular, we carefully redesign the previous optimized implementations of filed arithmetic on 32-bit ARM Cortex-M4 platform and propose a set of novel techniques which are explicitly suitable for SIKE/SIDH primes. Moreover, the proposed arithmetic implementations are fully scalable to larger bit-length integers and can be adopted over different security levels. The benchmark result on STM32F4 Discovery board equipped with 32-bit ARM Cortex-M4 microcontrollers shows that the entire key encapsulation over p434 takes about 326 million clock cycles (i.e. 1.94 seconds @168MHz). In contrast to the previous optimized implementation of the isogeny-based key exchange on low-power 32-bit ARM Cortex-M4, our performance evaluation shows feasibility of using SIKE mechanism on the target platform. In comparison to the most of the post-quantum candidates, SIKE requires an excessive number of arithmetic operations, resulting in significantly slower timings. However, its small key size makes this scheme as a promising candidate on low-end microcontrollers in the quantum era by ensuring the lower energy consumption for key transmission than other schemes

Побудова постквантової системи захищеного обміну повідомленнями з використанням ізогеній еліптичних кривих

Роботу виконано на 82 аркушах, вона містить 1 додаток та перелік посилань на використані джерела з 21 найменувань. Метою дипломної роботи є дослідження можливості ефективної практичної реалізації алгоритму постквантового ключового обміну SIDH з використанням еліптичних кривих в формі Едвардса. Об’єктом дослідження є алгоритм постквантового ключового обміну на основі ізогеній суперсингулярних еліптичних кривих SIDH. Предметом дослідження є можливість ефективної практичної реалізації алгоритму постквантового ключового обміну SIDH з використанням еліптичних кривих в формі Едвардса. В роботі зроблено огляд останніх публікацій по темі постквантових алгоритмів на основі ізогеній суперсингулярних еліптичних кривих, зокрема розглянуто алгоритм SIDH та можливість його ефективної реалізації з використанням еліптичних кривих в формі Едвардса, розроблена реалізація компонентів алгоритму SIDH з використанням еліптичних кривих в формі Едвардса мовою C++ та проведений аналіз можливості використання кривих Едвардса в постквантових алгоритмах на основі ізогеній суперсингулярних еліптичних кривих. В ході аналізу були виявлені деякі проблеми, для яких були запропоновані шляхи їх розв’язання.The thesis is presented in 82 pages. It contains 1 appendix and bibliography of 21 references. The target of the thesis is to study the feasibility of effective practical implementation of the SIDH quantum-resistant key exchange algorithm using elliptic curves in Edwards form. The object is quantum-resistant key exchange algorithm SIDH. The subject is possibility of effective practical realization of the SIDH algorithm using elliptic curves in Edwards form. The paper reviews recent publications on the topic of quantum -resistant cryptographic algorithms based on the isogenies of supersingular elliptic curves in particular, the SIDH algorithm and the possibility of its effective implementation using elliptic curves in Edwards form are considered. The implementation of components of the SIDH algorithm using elliptic curves in Edwards form was developed. An analysis of the possibility of using Edwards curves in quantum- resistant algorithms based on isogenies of supersingular elliptic curves was conducted. During the analysis some problems were identified for which solutions were proposed.Дипломная работа выполнена на 82 листах, она содержит 1 приложение и список ссылок на использованные источники с 21 наименований. Целью дипломной работы является исследование возможности эффективной практической реализации алгоритма постквантового ключевого обмена SIDH с использованием эллиптических кривых в форме Эдвардса. Объектом исследования является алгоритм постквантового ключевого обмена на основе изогений суперсингулярных эллиптических кривых SIDH. Предметом исследования является возможность эффективной практической реализации алгоритма постквантового ключевого обмена SIDH с использованием эллиптических кривых в форме Эдвардса. В работе сделан обзор последних публикаций по теме постквантових алгоритмов на основе изогений суперсингулярных эллиптических кривых, в частности рассмотрен алгоритм SIDH и возможность его эффективной реализации с использованием эллиптических кривых в форме Эдвардса, разработана реализация компонентов алгоритма SIDH с использованием эллиптических кривых в форме Эдвардса на языке C++ и проведен анализ возможности использования кривых Эдвардса в постквантових алгоритмах на основе изогений суперсингулярних эллиптических кривых. В ходе анализа были обнаружены некоторые проблемы, для которых были предложены пути решения

Efficient Isogeny Computations on Twisted Edwards Curves

The isogeny-based cryptosystem is the most recent category in the field of postquantum cryptography. However, it is widely studied due to short key sizes and compatibility with the current elliptic curve primitives. The main building blocks when implementing the isogeny-based cryptosystem are isogeny computations and point operations. From isogeny construction perspective, since the cryptosystem moves along the isogeny graph, isogeny formula cannot be optimized for specific coefficients of elliptic curves. Therefore, Montgomery curves are used in the literature, due to the efficient point operation on an arbitrary elliptic curve. In this paper, we propose formulas for computing 3 and 4 isogenies on twisted Edwards curves. Additionally, we further optimize our isogeny formulas on Edwards curves and compare the computational cost of Montgomery curves. We also present the implementation results of our isogeny computations and demonstrate that isogenies on Edwards curves are as efficient as those on Montgomery curves