Adequate Elliptic Curve for Computing the Product of n Pairings

Many pairing-based protocols require the computation of the product and/or of a quotient of n pairings where n > 1 is a natural integer. Zhang et al.[1] recently showed that the Kachisa-Schafer and Scott family of elliptic curves with embedding degree 16 denoted KSS16 at the 192-bit security level is suitable for such protocols comparatively to the Baretto- Lynn and Scott family of elliptic curves of embedding degree 12 (BLS12). In this work, we provide important corrections and improvements to their work based on the computation of the optimal Ate pairing. We focus on the computation of the nal exponentiation which represent an important part of the overall computation of this pairing. Our results improve by 864 multiplications in Fp the computations of Zhang et al.[1]. We prove that for computing the product or the quotient of 2 pairings, BLS12 curves are the best solution. In other cases, specially when n > 2 as mentioned in [1], KSS16 curves are recommended for computing product of n pairings. Furthermore, we prove that the curve presented by Zhang et al.[1] is not resistant against small subgroup attacks. We provide an example of KSS16 curve protected against such attacks

On the Computation of the Optimal Ate Pairing at the 192-bit Security Level

Barreto, Lynn and Scott elliptic curves of embedding degree 12 denoted BLS12 have been proven to present fastest results on the implementation of pairings at the 192-bit security level [1]. The computation of pairings in general involves the execution of the Miller algorithm and the final exponentiation. In this paper, we improve the complexity of these two steps up to 8% by searching an appropriate parameter. We compute the optimal ate pairing on BLS curves of embedding degree 12 and we also extend the same analysis to BLS curves with embedding degree 24. Furthermore, as many pairing based protocols are implemented on memory constrained devices such as SIM or smart cards, we describe an efficient algorithm for the computation of the final exponentiation less memory intensive with an improvement up to 25% with respect to the previous work

Memory-saving computation of the pairing final exponentiation on BN curves

In this paper, we describe and improve efficient methods for computing the hard part of the final exponentiation of pairings on Barreto-Naehrig curves. Thanks to the variants of pairings which decrease the length of the Miller loop, the final exponentiation has become a significant component of the overall calculation. Here we exploit the structure of BN curves to improve this computation. We will first present the most famous methods in the literature that en- sure the computing of the hard part of the final exponentiation. We are particularly interested in the memory resources necessary for the implementation of these methods. Indeed, this is an important constraint in restricted environments. More precisely, we are studying Devegili et al. method, Scott et al. addition chain method and Fuentes et al. method. After recalling these methods and their complexities, we determine the number of required registers to compute the final result, because this is not always given in the literature. Then, we will present new versions of these methods which require less memory resources (up to 37%). Moreover, some of these variants are providing algorithms which are also more efficient than the original ones

A Cryptanalysis of Two Cancelable Biometric Schemes based on Index-of-Max Hashing

Cancelable biometric schemes generate secure biometric templates by combining user specific tokens and biometric data. The main objective is to create irreversible, unlinkable, and revocable templates, with high accuracy in matching. In this paper, we cryptanalyze two recent cancelable biometric schemes based on a particular locality sensitive hashing function, index-of-max (IoM): Gaussian Random Projection-IoM (GRP-IoM) and Uniformly Random Permutation-IoM (URP-IoM). As originally proposed, these schemes were claimed to be resistant against reversibility, authentication, and linkability attacks under the stolen token scenario. We propose several attacks against GRP-IoM and URP-IoM, and argue that both schemes are severely vulnerable against authentication and linkability attacks. We also propose better, but not yet practical, reversibility attacks against GRP-IoM. The correctness and practical impact of our attacks are verified over the same dataset provided by the authors of these two schemes.Comment: Some revisions and addition of acknowledgement

Area-Efficient Hardware Implementation of the Optimal Ate Pairing over BN curves.

To have an efficient asymmetric key encryption scheme such as elliptic curves, hyperelliptic curves, pairing etc., we have to go through an arithmetic optimization then a hardware one. Taking into consideration restricted environments’ compromises, we should strike a balance between efficiency and memory resources. For this reason, we studied the mathematical aspect of pairing computation and gave new development of the methods that compute the hard part of the final exponentiation in [2]. They prove that these new methods save an important number of temporary variables, and they are certainly faster than the existing one. In this paper, we will also present a new way of computing Miller loop, more precisely in the doubling algorithm. So we will use this result and the arithmetic optimization presented in [2]. Then, we will apply hardware optimization to find a satisfactory design which give the best compromise between area occupation and execution time. Our hardware implementation on a Virtex-6 FPGA(XC6VHX250T) used only 5976 Slices, 30 DSP, which is less resources used compared with state-ofthe-art hardware implementations, so we can say that our approach cope with the limited resources of restricted environmen

On Computing the Multidimensional Scalar Multiplication on Elliptic Curves

A multidimensional scalar multiplication (d-mul) consists of computing $[a_1]P_1+\cdots+[a_d]P_d$, where $d$ is an integer ($d\geq 2)$, $\alpha_1, \cdots, \alpha_d$ are scalars of size $l\in \mathbb{N}^*$ bits, $P_1, P_2, \cdots, P_d$ are points on an elliptic curve $E$. This operation (d-mul) is widely used in cryptography, especially in elliptic curve cryptographic algorithms. In fact, it is utilized in the digital signature verification algorithm (ECDSA), proving and verification algorithms such as the Succinct Non interactive Argument of Knowledge (zkSNARK) protocol, and in isogeny based post-quantum cryptosystems. Several methods in the literature allow to compute the d-mul efficiently (e.g., the bucket method, the Karabina et al. method). This paper aims to present and compare the most recent and efficient methods in the literature for computing the d-mul operation in terms of with, complexity, memory consumption, and proprieties. We will also present our work on the progress of the optimisation of d-mul in two methods. The first method is useful if $2^d-1$ points of $E$ can be stored. It is based on a simple precomputation function. The second method works efficiently when $d$ is large and $2^d-1$ points of $E$ can not be stored. It performs the calculation on the fly without any precomputation. We show that our first method is $100(1-\frac{1}{d})\%$ more efficient, while our second exhibits a $50\%$ improvement in efficiency. These improvements will be substantiated by assessing the number of operations and practical implementation

The use of pairings in asymetric cryptography for micro-electronics

Les couplages sont des outils mathématiques introduits par André Weil en 1948. Ils sont un sujet très en vogue depuis une dizaine d'années en cryptographie asymétrique. Ils permettent en effet de réaliser des opérations cryptographiques impossible à réaliser simplement autrement tel que la signature courte et la cryptographie basée sur l'identité. Ces dernières années, le calcul des couplages est devenu plus facile grâce à l'introduction de nouvelles méthodes de calculs mathématiques particulièrement efficaces sur les courbes elliptiques dites les courbes bien adaptées aux couplages. Aujourd'hui, nous sommes au stade de transfert de cette technologie, de la théorie vers la mise en œuvre pratique, sur des composants électroniques. Ce transfert soulève de nombreuses problématiques qui s'avèrent difficile à surmonter à cause de la différence de culture scientifique entre mathématiciens et micro-électroniciens. Dans le présent document, en premier lieu, nous avons étudié le problème de l'implémentation du couplage dans des environnements restreints. En effet, le calcul du couplage de Tate, ou aussi de l'une de ses variantes, nécessite plusieurs variables pour être implémenté, par conséquent, il nécessite une bonne partie de la mémoire du composant électronique sur lequel nous souhaitons implémenter un tel couplage.Dans ce contexte, en faisant des optimisations mathématiques, nous avons pu implémenté ces couplages dans des environnements retreints. Le deuxième problème que nous avons traité dans cette thèse est celui de la sécurité des protocoles cryptographiques basés sur les couplages. Dans ce contexte, puisque les couplages sur les courbes elliptiques sont censés d'être matériellement attaqués, nous devons le protéger contre ces attaques. Nous avons étudié les attaques sur les couplages et nous avons proposé une contre-mesure.Les couplages sont des outils mathématiques introduits par André Weil en 1948. Ils sont un sujet très en vogue depuis une dizaine d'années en cryptographie asymétrique. Ils permettent en effet de réaliser des opérations cryptographiques impossible à réaliser simplement autrement tel que la signature courte et la cryptographie basée sur l'identité. Ces dernières années, le calcul des couplages est devenu plus facile grâce à l'introduction de nouvelles méthodes de calculs mathématiques particulièrement efficaces sur les courbes elliptiques dites les courbes bien adaptées aux couplages. Aujourd'hui, nous sommes au stade de transfert de cette technologie, de la théorie vers la mise en œuvre pratique, sur des composants électroniques. Ce transfert soulève de nombreuses problématiques qui s'avèrent difficile à surmonter à cause de la différence de culture scientifique entre mathématiciens et micro-électroniciens. Dans le présent document, en premier lieu, nous avons étudié le problème de l'implémentation du couplage dans des environnements restreints. En effet, le calcul du couplage de Tate, ou aussi de l'une de ses variantes, nécessite plusieurs variables pour être implémenté, par conséquent, il nécessite une bonne partie de la mémoire du composant électronique sur lequel nous souhaitons implémenter un tel couplage.Dans ce contexte, en faisant des optimisations mathématiques, nous avons pu implémenté ces couplages dans des environnements retreints. Le deuxième problème que nous avons traité dans cette thèse est celui de la sécurité des protocoles cryptographiques basés sur les couplages. Dans ce contexte, puisque les couplages sur les courbes elliptiques sont censés d'être matériellement attaqués, nous devons le protéger contre ces attaques. Nous avons étudié les attaques sur les couplages et nous avons proposé une contre-mesure

Utilisation des Couplages en Cryptographie asymétrique pour la Micro-électronique

The pairings on elliptic curves were first introduced by André Weil in 1948. They are usedin asymmetric cryptography. They have been very popular over the last decades. The pairingson elliptic curves allow to perform some cryptographic operations which are not easily performedwithout pairings like short signature and the identity based cryptography.Recently, the calculation of pairings has become easier than before thanks to the introduction of newmathematical optimizations on elliptic curves which are called the pairing-friendly elliptic curves.Nowadays, it is important to transferthis technology from theory to practical implementation whichis executed on some electronic components as FPGA or SIM cards.In the first part of this thesis, we studied the problem of pairing implementation in restrictedenvironment. Indeed, the computation of the Tate pairing, or also one of its variants, requiresthe implementation of a many temporary variables. Therefore, it requires a lot of memory of theelectronic component on which we wish to implement such a pairing. In this context, by doingmathematical optimizations, we have saved 37% of the memory in implementing these pairings inrestricted environments.The second problem is the security of the cryptographic protocols based on pairings. Since pairingson elliptic curves are supposed to be physically attacked, we studied these attacks and we proposeda counter measure.Les couplages sont des outils mathématiques introduits par André Weil en 1948. Ils sont unsujet très en vogue depuis une quinzaine d’années en cryptographie asymétrique. Ils permettent eneffet de réaliser des opérations cryptographiques impossible à réaliser simplement autrement.Ces dernières années, le calcul des couplages est devenu plus facile grâce à l’introduction de nouvellesméthodes des calculs mathématiques particulièrement efficaces sur les courbes elliptiquesdites les courbes bien adaptées aux couplages.Aujourd’hui, nous sommes au stade de transfert de cette technologie, de la théorie vers la miseen oeuvre pratique, sur des composants électroniques. Ce transfert soulève de nombreuses problématiquesqui s’avèrent difficile à surmonter à cause de la différence de culture scientifique entremathématiciens et micro-électroniciens.Dans le présent document, en premier lieu, nous avons étudié le problème de l’implémentationdu couplage dans des environnements à mémoire limitée. Dans ce contexte, en faisant des optimisationsmathématiques, nous avons pu implémenté ces couplages dans des environnements retreints,nous avons gagné environ 37% en mémoire.Le deuxième problème que nous avons traité est la sécurité des protocoles cryptographiques baséssur les couplages. Dans ce contexte, nous avons étudié les attaques sur les couplages et nous avonsproposé ue contre-mesure plus efficace que celle présentée dans la littérature

Improving the computation of the optimal ate pairing for a high security level

International audienc

Adequate Elliptic Curves for Computing the Product of n Pairings

International audienc