# Curvas Elípticas en Criptografía.

<b>Definición.</b> Una curva elíptica sobre un cuerpo $K$ es una curva definida por una ecuación de la forma:
$$y^2=x^3+ax+b$$
donde $a,b \in K$ y $-16(4a^3+27b^2)\neq 0$. Esta restricción es necesaria para garantizar que la curva no tenga "puntos singulares" que será escencial para las aplicaciones que se tienen en mente.

El conjunto de puntos que están en la curva elíptica está dado por:
$$E(K)=\{(x,y)\in K \times K: y^2=x^3+ax+b\} \cup \{\mathcal{O}\}$$
Aquí $\mathcal{O}$ puede ser pensado como un punto de $E$ al infinito.

<b>Ejemplo.</b> Considere la curva elítpica definida por:
$$y^2=x^3+x$$
sobre el cuerpo $\mathbb{Z}/7\mathbb{Z}$

<img src="./images/grid.png" alt="Imagen no cargada" title="Curva Elítpica 1">

Nuestro ojetivo es dotar al conjunto $E(K)$ con una operación binaria $+$ que le permita tener estructura de grupo abeliano (en donde el elemento neutro está dado por $\mathcal{O}$). Se puede demostrar que el siguiente algoritmo calcula dicha operación:

<b>Algoritmo 1.</b>
Dados dos puntos $P_1,P_2 \in E(K)$ este algoritmo calcula un tercer punto $R=P_1+P_2 \in E(K)$.
- (Es $P_i=\mathcal{O}?$) Si $P_1=\mathcal{O}$ asigne $R=P_2$ o si $P_2=\mathcal{O}$ asigne $R=P_1$ y termine. En caso contrario considere a $P_i$ como siendo $(x_i,y_i)$.
- (Negativos) Si $x_1=x_2$ y $y_1=-y_2$ asigne $R=\mathcal{O}$.
- (Calcular $\lambda$) Sea $\lambda = \left\{\begin{array} \\ (3x_1^2+a)/(2y_1) & \mbox{Si }P_1=P_2  \\ (y_1-y_2)/(x_1-x_2) & \mbox{En otro caso} \\ \end{array} \right.$
- (Calcular la suma) Entonces $R=(\lambda^2-x_1-x_2-\lambda x_3 -v)$, donde $v=y_1-\lambda x_1$ y $x_3=\lambda^2-x_1-x_2$ es la coordenada $x$ de $R$. 

<img src = "https://upload.wikimedia.org/wikipedia/commons/thumb/d/d0/ECClines-3.svg/1200px-ECClines-3.svg.png">

Implementaremos el caso $K=F_p$ donde $p$ es un primo y $p>3$.

In [14]:
INF_POINT = None

class EllipticCurve:
    def __init__(self, a, b, p):
        self.a = a
        self.b = b
        self.p = p
        self.points = []
        self.definePoints()
    
    def numberPoints(self):
        return len(self.points)
    
    def discriminant(self):
        D = -16 * (4 * self.a * self.a * self.a + 27 * self.b * self.b)
        return self.reduceModp(D)
            
    def definePoints(self):
        self.points.append(INF_POINT)
        for x in range(self.p):
            for y in range(self.p):
                if self.equalModp(y * y, x * x * x + self.a*x +self.b):
                    self.points.append((x,y))
                    
    def printPoints(self):
        print(self.points)
    
        
    def reduceModp(self, x):
        return x % self.p
    
    def equalModp(self,x,y):
        return self.reduceModp(x-y) == 0
    
    def inverseModp(self, x):
        for y in range(self.p):
            if self.equalModp(x * y, 1):
                return y
            
        return None
    
    def addition(self, P1, P2):
        if P1 == INF_POINT:
            return P2
        if P2 == INF_POINT:
            return P1
        
        x1 = P1[0]
        y1 = P1[1]
        x2 = P2[0]
        y2 = P2[1]
        
        if self.equalModp(x1, x2) and self.equalModp(y1, -y2):
            return INF_POINT
        
        if self.equalModp(x1, x2) and self.equalModp(y1, y2):
            u = self.reduceModp((3 * x1 * x1 + self.a) * self.inverseModp(2 * y1))
        else:
            u = self.reduceModp((y1 - y2) * self.inverseModp(x1 - x2))
            
        v = self.reduceModp(y1 - u *x1)
        x3 = self.reduceModp(u * u -x1 -x2)
        y3 = self.reduceModp(-u * x3 -v)
        return (x3, y3)
    
    def testAssociativity(self):
        n = len(self.points)
        for i in range(n):
            for j in range(n):
                for k in range(n):
                    P = self.addition(self.points[i], self.addition(self.points[j], self.points[k]))
                    Q = self.addition(self.addition(self.points[i], self.points[j]), self.points[k])
                    if P != Q:
                        return False
        return True
    
    
ec = EllipticCurve(2,7,19)
ec.printPoints()
print(ec.numberPoints())
print(ec.discriminant())
P = ec.addition(ec.points[5], ec.points[14])
print(P)
print(ec.testAssociativity())

[None, (0, 8), (0, 11), (2, 0), (5, 3), (5, 16), (6, 8), (6, 11), (10, 1), (10, 18), (11, 7), (11, 12), (12, 7), (12, 12), (13, 8), (13, 11), (14, 9), (14, 10), (15, 7), (15, 12), (18, 2), (18, 17)]
22
18
(2, 0)
True


In [15]:
p = 7
count = 0
for a in range(p):
    for b in range(p):
        ec = EllipticCurve(a, b, p)
        if ec.discriminant() == 0:
            continue
        count += 1
        print("a=" + str(a) + " b=" + str(b))
        print("discriminant=" + str(ec.discriminant()))
        print("number points=" + str(ec.numberPoints()))
        ec.printPoints()
        print("-------------------------------")
        
print("The number of elliptic curves over F" + str(p) + " is " + str(count))

a=0 b=1
discriminant=2
number points=12
[None, (0, 1), (0, 6), (1, 3), (1, 4), (2, 3), (2, 4), (3, 0), (4, 3), (4, 4), (5, 0), (6, 0)]
-------------------------------
a=0 b=2
discriminant=1
number points=9
[None, (0, 3), (0, 4), (3, 1), (3, 6), (5, 1), (5, 6), (6, 1), (6, 6)]
-------------------------------
a=0 b=3
discriminant=4
number points=13
[None, (1, 2), (1, 5), (2, 2), (2, 5), (3, 3), (3, 4), (4, 2), (4, 5), (5, 3), (5, 4), (6, 3), (6, 4)]
-------------------------------
a=0 b=4
discriminant=4
number points=3
[None, (0, 2), (0, 5)]
-------------------------------
a=0 b=5
discriminant=1
number points=7
[None, (3, 2), (3, 5), (5, 2), (5, 5), (6, 2), (6, 5)]
-------------------------------
a=0 b=6
discriminant=2
number points=4
[None, (1, 0), (2, 0), (4, 0)]
-------------------------------
a=1 b=0
discriminant=6
number points=8
[None, (0, 0), (1, 3), (1, 4), (3, 3), (3, 4), (5, 2), (5, 5)]
-------------------------------
a=1 b=1
discriminant=1
number points=5
[None, (0, 1), (0, 6)

Supongamos ahora que Bob y Alice se quieren comunicar entre ellos. Podemos utilizar curvas elípticas para generar llaves privadas como sigue:
<ul>
    <li> Bob y Alice se ponen de acuerdo en un primo $p$, una curva elíptica $E$ sobre $\mathbb{Z}/p\mathbb{Z}$ y un punto $P \in E(\mathbb{Z}/p\mathbb{Z})$ </li>
    <li> Bob secretamente escoge un $m$ aleatorio y envía $mP$ </li>
    <li> Alice secretamente escoge un $n$ aleatorio y envía $nP$ </li>
    <li> La llave secreta es $nmP$ que ambos Bob y Alice puede calcular </li>
</ul>
Note entonces que un adversario no puede calcular $nmP$ sin resolver el problema del logaritmo discreto, que es considerado computacionalmente intratable. Para bien escogidos $E$, $P$ y $p$ la experiencia sugiere que el problema en $E(\mathbb{Z}/p\mathbb{Z})$ es más difícil que el problema en $(\mathbb{Z}/p\mathbb{Z})^*$