Nous nous plaçons sur un corps fini $\mathbb{F}_p$, où $p$ est un nombre premier supérieur à 3. Cet ensemble est d'ordre $p$ (il contient $p$ éléments : $0,1,...,p-1$). Le groupe multiplicatif est d'ordre $p-1$  tout élément $x \in \mathbb{F}_p $ vérifie : $ x^{p-1} =1$. 

On peut définir **l'addition, la soustraction et la multiplication** comme nous le faisons habituellement sur les entiers, il faut simplement effectuer tous les calculs **modulo** $p$ où $p$ sera **premier**.

Pour  la division par un nombre $x$, nous devons calculer son inverse, noté $x^{-1}$ dans $\mathbb{F}_p$. 
Comme $p$ est premier, tout élément de $\mathbb{F}_p$ est inversible et son inverse est simplement donné par $x^{p-2}$ (dans le cas général on utilisera l'algorithme d'Euclide étendu).

Pour la racine carrée $\sqrt{y} $ de $y$,  comme notre ensemble est fini, il faudra trouver $x \in \mathbb{F}_p$ tel que $x^2=y$.

Exemples avec Sage
===================

In [None]:
p=41;Fp=GF(p)
alpha=-3;beta=10
E=EllipticCurve(Fp,[alpha,beta])
G=E(38,22)


A faire
========

Réecrire les fonctions : 
- somme, 
- multiplication scalaire, 
- recherche d'inverse
- racine carrée 

dans  $\mathbb{F}_p$ (modulo p).

In [None]:
%matplotlib inline
import matplotlib.pyplot as plt

import numpy as np


def ecc(x, p, a, b):
    assert (4*a**3 + 27*a**2) % p!= 0
    return (x**3 + a*x + b) % p


def sqrt_fp(x, y2, p):
    x2 = x**2 % p
    y = [(i, *y_i) for i, y_i in enumerate([np.where(y2_i == x2)[0] for y2_i in y2]) if y_i.size > 0]

Reprenons la courbe elliptique précédente.

In [None]:

p = 41
x = np.array(range(0, p))

a = -3
b = 10

x2 = x**2 % p
y2 = ecc(x, p, a, b)

# On clacule les racines carrées
y = sqrt_fp(x, y2, p)

fig = plt.figure(dpi=100)

#for y_p in y:
#    [plt.scatter(y_p[0], i, c='b') for i in y_p[1:]]

Préparation des clés
====================

- Choisir un entier s entre 1 et p-1 qui sera la clé privée.
- Calculer $Q=sG$ en utilisant (point de la courbe elliptique).

**La clé publique est Q et la clé privée est s.**

Signature
==========

- Choisir de manière aléatoire un nombre k entre 1 et p-1
- Calculer $(i,j)=kG$
- Calculer $x=i \mod p$ 
- Calculer $y=k^{-1}(m+sx) \mod p $

**La signature est la paire (x, y).**

Vérification de la signature
=============================

Pour **vérifier** le message $m$, on calcule 
$$ my^{-1} G + x y^{-1} Q $$
L'abscisse trouvée doit être égale à $x$.

Exemple
========
On utilise la courbe elliptique $ {\cal E}_{-3,10}(\mathbb{F}_p) $ munie du point $G=(38,22)$ qui est aussi d'ordre $41$.
Alice souhaite  envoiyer à Bob le message "Hello world!", de haché $m$ = hash("Hello world !") = $-8214045698544500220$.
- Elle choisi (aléatoirement)  $s=36$ (un entier entre 1 et 40).
- Elle calcule $Q=sG$, ici $Q=(39,34)$ qu'elle publie comme clé plublique.
- Elle choisi (aléatoirement) k=5 (un entier entre 1 et 40).
- Elle calcule le point $K=kG=5G=(39,7)=(x,)$ (seul $x$ nous interesse).
- Elle calcule  $y=k^{-1}(m+sx) \mod p $, ici 
  - $k=5$ d'où $k^{-1} = 33$  
  - $s=36$
- Alice envoie avec $m$  la signature $(39,5 )$ 

Vérifiez que le message est authentique.


Cryptosystème de Menezes et Vanstone (déconseillé)
===================================================

Alice fixe une courbe elliptique $ {\cal E}(\mathbb{F}_p) $, des  points $G, H$ et un entier $s$ tel que $s.G=H$.
L'entier $s$ est sa clé privée, et sa clé publique est constituée de la courbe elliptique ainsi que les points $G$ et $H$.

Bob peut envoyer des messages $(m_1,m_2)$. Il choisit aléatoirement un entier $k$ et clacule $Y=k.G$ et $(c_1,c_2) =k.H$.

Enfin, il calcule $s_1=c_1.m_1  \mod p$ et $s_2=c_2.m_2  \mod p$ puis envoie à Alice le triplet $(Y,s_1,s_2)$.

Alice calcule alors $sY=s.k.G = k.H =(c_1,c_2)$ et retrouve les messages en calculant
$$ m_1=c_1^{-1} s_1 \mod p  \quad \text{et} \quad m_2=c_2^{-1} s_2 \mod p    $$



Mettre en oeuvre le cryptosystème précédent et le tester sur la courbe elliptique $ {\cal E}_{4,7}(\mathbb{F}_{13})$ munie du point $G=(4,3)$.
On supposera que la clé secrète d'Alice est $s=9$ et que Bob veut envoyer le message $(2,7)$.