El propósito de esta sección es poner al alcance, un buen número de artículos de la literatura conocida, que trata
principalmente el tema de curvas elípticas en criptografía.
Sin pretender listar toda la literatura, se enuncian varios artículos
representativos, o conocidos por mi, de los diferentes temas alrededor de la criptografía con curvas
elípticas (CCE).
Reseña general:
La teoría de las curvas elípticas había sido un campo estrictamente teórico.
Sin embargo, ya que en los últimos 30 años la criptografía se ha
extendido principalmente al campo
comercial, ésto impulsó la investigación de más teorías matemáticas
a la criptografía. Entre estas teorías está la que trata las curvas elípticas definidas en
un campo finito. Las curvas elípticas entran en acción al definir el Problema del Logaritmo Discreto
sobre el grupo de puntos racionales de una curva elíptica,
esto fue notado
de forma independiente por V. Miller y N. Koblitz (1985).
Así es posible definir esquemas como el de intercambio de claves y
de firma digital.
El principal impacto que tienen las curvas elípticas en la criptografía es que reducen de forma considerable
la longitud de la clave. De 1024 bits (usadas en RSA o DSA) a 160 bits con curvas elípticas.
En la actualidad la tecnología que usa curvas elípticas en la criptografía es una de las más sobresalientes.
Su uso en el área comercial se a incrementado, sin dejar de mencionar que las más importantes y grandes
agencias de seguridad, la han tomado como la mejor opción.
En esta sección nos proponemos a reseñar algunos de los aspectos que sobresalen en el estudio
de curvas elípticas en criptografía,
tomando en siguiente orden (LOS ARTíCULOS EN FONDO VERDE ESTáN EN LíNEA):
1.- Curvas elípticas.
2.- Número de puntos de una curva elíptica.
3.- El Problema del Logaritmo Discreto Elíptico PLDE.
4.- Curvas supersingulares, MOV, con traza t=0.
5.- Curvas anómalas, con traza t=1.
6.- Curvas FR con traza t=2.
7.- Curvas no-supersingulares (ordinarias).
8.- Curvas superelípticas.
9.- Curvas hiperelípticas.
10.- Curvas de Picard.
11.- Curvas de Koblitz.
12.- Ataques: "Weil Desent" y Xedni.
13.- Criptografia bilineal.
13_1 .- Mapeo de Weil y Tate.
13_2 .- Curvas MNT.
13_3 .- Construyendo curvas.
13_4 .- Esquemas en criptografía bilineal.
14 .- Estándares.
15 .- Implementación.
16 .- Libros sobre curvas elípticas y criptografía.
17 .- Congresos, "Workshops" y ligas de interés.
El campo de las curvas elípticas en matemáticas es muy amplio y realmente sale del alcance de este documento,
el
estudio en la criptografía se restringe a las curvas elípticas definidas en campos finitos.
Algunos de los primeros estudios que tratan a las curvas elípticas sobre los campos finitos
son hechos por T. Honda
con su artículo
"Isogeny classes of abelian varieties over finite fields",
J. Math. Soc. Japan, vol. 20, 1968, p.83-95,
seguido de los artículos de J. Tate
"Classes d'isogénie des variétés
abéliennes sur un corps fini", Sém.
Bourbaki, 358, 1968-1969, y el artículo de W.C. Waterhouse,
"Abelian varieties over finite fields,"
Ann. scient. éc. Norm. Sup. 4° série, t. 2, 1969, p 512 à 560.
Como caso particular de una variedad algebraica
de género
g. Si
g=1, entonces es una curva elíptica, curvas de género 0 son las líneas
y cónicas en el plano. En este último artículo de Waterhause particularmente, se
clasifican a las curvas elípticas en función de su traza,
se conoces cuales son curvas supersingulares y cuales no,
(una curva es supersingular si su anillo de endomorfismos sobre la cerradura del campo
K,
es no conmutativo) se toman
resultados principalmente de Hasse, Honda, Deuring, Tate, y Weil.
Para 1974 se publica el artículo de J. Tate,
"The arithmetic of elliptic curves", Invent. Math. 23
(1974), 179-206, que resume algunos resultados importantes a la fecha
relacionados con curvas elípticas sobre campos finitos.
De los años 70 a los 80, uno de los principales problemas era conocer el comportamiento del
número de puntos de una curva elíptica. Por ejemplo se pueden ver los siguientes artículos:
1.1.- B.J. Birch,
"How the number of points of an elliptic curve over a fixed prime field varies", Journal Lonfon Math. Soc.
Vol. 43, 1968, pp 57-60.
1.2.- R. De Groote, J.W.P. Hirschfeld,
"The number of points on an elliptic curve over a finite field", Europ. J. Combinatoric 1 1980, 327-333.
1.3.- E. Ughi,
"On the number of Elliptic Curves over a Finite Field and a Problem of B. Segre", Europ. J.
Combinatorics (1983) 4, 263-270.
En 1985, en el artículo de R. Schoof
"Elliptic Curves over Finite Fields and the Computation of Square Roots mod p",
Mathematics of Computation, Vol. 44, Num. 170, 1985, pp. 483-494,
Schoof da un algoritmo para contar el número de puntos de una
curva elíptica, que toma un tiempo de O(log
9q).
En el mismo año (1985), en la conferencia CRYPTO´85, V.S. Miller proponer usar el grupo de puntos racionales
de una curva elíptica definida en un campo finito ser usado en el esquema de Diffie-Hellman de intercambio de claves.
"Use of Elliptic Curves in Cryptography," CRYPTO'85, LNCS 218, 1986, pp. 417-426.
De manera paralela, por la misma fecha (Agosto 1985), N. Koblitz somete su artículo
"Elliptic Curve Cryptosystems," Mathematics of Computation Vol. 48 Num. 177, 1987, pp. 203-209, donde
se propone esquemas antes basados en campos finitos, ahora usando curvas elípticas.
Indiscutiblemente el año de 1885 fue en nacimiento de la "Criptografía Elíptica".
Otra importante aportación a la criptografía por las curvas elípticas, fue un algoritmo
para factorizar números enteros. Esto fue dado a conocer por
H.W. Lenstra,
"Factoring integer with elliptic curves", Annals of Mathematics, 126 (1987), 649-673.
A partir de esas fechas se publican los primeros libros que contienen gran cantidad
de material sobre curvas elípticas, y al menos tienen un capítulo de curvas elípticas
sobre campos finitos.
1.4.- J.H. Silverman,
"The Arithmetic of Elliptic Curves," Springer Verlag GTM 106 (1986).
Este libro es visto como un "clásico" dentro del área de curvas elípticas. Contiene
resultados generales a partir de variedades algebraicas, curvas algebraicas, y curvas elípticas.
Estudia la operación de suma
del grupo de puntos racionales (su aritmética), la estructura del grupo, y estudia casos particulares
dependiendo del campo; campos finitos, el campo de los números complejos, campos locales, campos globales. Así como
puntos enteros sobre curvas elípticas. Muestra el teorema de Mordell-Well sobre que el
grupo de puntos racionales es finitamente generado, y contiene
en un par de hojas la primera clasificación de curvas elípticas
sobre campos finitos de característica 2 y 3.
1.5.- Husemoller,
"Elliptic Curves", Springer Verlag, GTM 111 (1987).
Otro muy recomendable y completo libro (como el primero), sobre curvas elípticas.
Empieza introduciendo las curvas elípticas desde el punto de vista geométrico, quizá de más rápida lectura.
Contiene un capítulo más completo de curvas elípticas definidas en campos finitos.
1.6.- N. Koblitz,
"A Course in Number Theory and Cryptography",
Springer Verlag, GTM 114 (1987).
Este libro es una introducción a la criptografía esencialmente, pero contiene un capítulo muy ilustrativo
del uso de las curvas elípticas en criptografía, es recomendable su lectura para principiantes.
Son ampliamente recomendables los siguientes reportes técnicos, (ahora ya en línea).
1.7- Leonard S. Charlap, David P. Robbins,
"An Elementary Introduction to Elliptic Curves"
Center for Communications Research - Princeton (1988)
1.8- Leonard S. Charlap, Raymond Coley,
"An Elementary Introduction to Elliptic Curves, II"
Center for Communications Research - Princeton (1990)
1.9- Es también muy recomendable repasr antes de comenzar a estudiar las
curvas elípticas, antecedentes de curvas algebraícas. El libro clásico de curvas
algebráicas es:
W. Burton,
"Algebraic Curves, An introduction to algebraic Geometry",
de la cual existe una edición en español de la editorial "Reverte".
Sin embargo también son muy recomendables las siguientes dos referencias, para no
matemáticos:
1.10 - R. Bix,
"Conics and cubics, A concrete introduction to Algebraic Curves.",
1.11 - G. Gibson,
"Elementary Geometry of Algebraic Curves.",
Uno de los primeros y más estudiados problemas en el área de las
curvas elípticas para la criptografía, fue el encontrar un buen algoritmo para contar el número de puntos en el
grupo, es decir el número de puntos que satisface la ecuación que define la curva
elíptica
E.
El problema se plantea también como,
encontrar el orden de una curva elíptica
E(
K), y también encontrar
el orden de un punto
A en una curva elíptica
E.
Quizá la primera fórmula conocida para encontrar el número de puntos de una curva elíptica esta dada por:
#E(F
p)=1+(W), donde W es la sumatoria sobre todos los puntos x, de los valores
del s\'{\i}mbolo de Legendre
del valor x
3+ax+b, sobre p, más 1. Esta fórmula fue ya mencionada por Lang y Trotter.
Esta fórmula sin embargo consume mucho tiempo. R. Schoof propone otro método en 1985,
"Elliptic Curves over Finite Fields and the Computation of Square Roots mod p",
Mathematics of Computation, Vol. 44, Num. 170, 1985, pp. 483-494, que toma un tiempo de alrededor
log
8q. Aunque también se puede usar el método Shanks "The baby-step giant-step algorithm", sin embargo
este corre a un tiempo alrededor de x
(1/2). Finalmente Atkin y Elkies refinan el método de
Schoof, conocido como SEA por (Schoof,Elkies y Atkin)documento no publicado.
Un documento básico de la descripción del método puede verse en
2.1.- R. Lercier and F. Morain,
"Counting the Number of Points on Elliptic Curves Over
Finite Fields: Strategies and Performances"
(1995), EUROCRYPT'95.
Así como diferentes records hasta 2004, pueden verse en:
2.2.- R. Lercier and F. Morain,
"Counting the number of points on elliptic curves over different Fields"
Entre otra mejoras, y alternativas de SEA pueden verse los siguientes artículos:
2.3.- F. Lehmann, M. Maurer, V. Muller, V. Shop,
"Counting the number of points on elliptic curves over finite of characteristic greater than three",
LNCS Vol. 877,
Proceedings of the First International Symposium on Algorithmic Number Theory, 60 - 70, 1994.
2.4.- Dew Ag He,
"Remarks On The Schoof-Elkies-Atkin Algorithm",
Mathematics Of Computation Volume 67, Number 223, July 1998, Pages 1247-1252
2.5.- M. Maurer, v. Muller,
"Finding the Eigenvalue in Elkies' Algorithm",
Experimental Mathematics, 10 (2), 275 - 285, 2001
Finalmente la idea de Satoh en el problema de contar puntos usando métodos
p-ádicos.
2.6.- T. Satoh,
"The canonical lift of an ordinary elliptic curve
over a finite field and its point counting", J. Ramanujan Math. Soc., 15, 247-270, 2000.
El principal motivo que las curvas elípticas sean usadas en criptografía, radica que sobre el grupo
E(
Fq) puede definirse el problema del logaritmo discreto, y no hay una manera eficiente de resolverlo.
Más aún el algoritmo conocido hasta hoy para este problema corre a un tiempo totalmente exponencial.
El Problema del Logaritmo Discreto Elíptico (PLDE), sobre el grupo
E(
Fq) se define de la siguiente manera:
sea
P un punto en
E(
Fq), y considérese al subgrupo cíclico generado por
P, (
P). Entonces el PLDE para
Q en (
P),
es encontrar un número entero
x tal que
xP=Q.
Desde la introducción de las curvas elípticas, el PLDE ha sido de intensa investigación. Por un lado
encontrar curvas donde es posible resolver el PLDE. Por el otro encontrar
curvas elípticas resistentes a los ataques para resolver el PLDE.
Entre los métodos más conocidos para resolver el PLDE están:
El método de Pohlig-Hellman, que se aplica si los factores del orden del grupo son pequeños, es decir,
puede ser evitado si existe al menos un factor primo de tamaño grande (160 bits).
3.1.- S. Pohlig, M. Hellman,
"An Improving Algorithm for Computing Logarithms
over GF(p) and Its cryptography significance",
IEEE Trans. on Information Theory 24, 1978, pp. 106-110.
Otro método para grupos en general, es el método de Pollar, aplicando la idea de colisiones, y cambia
respecto al método de Pohlig y Hellman algunos cálculos por memoria.
3.2.- J. Pollard,
"Monte Carlo methods for index computation modp",
Mathematics of Computation, 32/143 918-924, 1978.
El siguiente método puede mejorar eficiencia paralelizando su proceso:
3.3.- P. Oorschot, M. Wiener,
"Parallel Collision Search with Cryptanalytic Application"
Journal of Cryptology, 12:1--28, 1999.
Otras modificaciones se pueden ver en:
3.4.- E. Teske,
"Better Random Walks for Pollard's Rho Method"
Technical reports CORR 98-52, CACR Waterloo University.
3.5.- E. Teske,
"Computing Discrete Logarithms with the parallelized Kangaroo Method"
Technical reports CORR 2001-01, CACR Waterloo University.
3.6.- E. Teske,
"Square-Root Algorithms for the Discrete Logarithm Problem
(A Survey)"
Technical reports CORR 2001-07, CACR Waterloo University.
Una variante de Pollard usando Automorfismos.
3.7.- I. Duursma, P. Gaudry, F. Morain,
"Speeding up the discrete log computation on curves with automorphisms"
Advances in Cryptology, Asiacrypt'99, Springer-Verlag, LNCS 1716, 103-121, 1999. © Springer-Verlag.
Otro método conocido para el cálculo del logaritmo discreto en algunos grupos es
el método de Indices, sin embargo parece ser que no se aplica en el caso de curvas elípticas.
He aquí algo del tema:
3.8.- J.H. Silverman, J. Suzuki,
"Elliptic Curve Discrete Logarithms and the Index Calculus"
ASIACRYPT, 1998.
3.9.- A. Enge, P. Gaudry,
"A general framework for subexponential discrete logarithm algorithms"
Acta Arith. 102 (2002), 83-103.
Quizá de los temas más atractivos de la época es el cómo resolver el PLDE con algoritmos
dentro de la computación cuántica.
3.10.- P. Shor,
"Polynomial-Time Algorithms For
Prime Factorization And Discrete Logarithms On A Quantum Computer ",
SIAM Journal on Computing, volume 26, No.5, pp.1484--1509, (1997).
El tipo de curvas elípticas, digamos más simples, se llaman supersingulares
(no tiene ninguna relación con la definición de curva singular). Por el teorema de Hasse, sabemos que
el número de puntos de una curva elíptica sobre un campo finito
Fq,
q=pr, es
#
E(
Fq)=
q+1-
t, donde |
t|<= 2
q1/2.
t se llama la traza de
E. Una curva es supersingular, si su traza
t,
es divisible por la característica del campo (si
t es congruente con 0 módulo
p). En curvas elípticas definidas en
Fp, la curva es
supersingular si la traza
t de la curva es cero. Otra definición de curva supersingular: una curva elíptica
es supersingular si
E[
p]~{0}.
Por un lado las curvas supersingulares se consideran débiles, ya que
el Problema del Logaritmo Discreto Elíptico PLDE se puede reducir a el Problema del Logaritmo Discreto PLD
sobre el grupo multiplicativo de una extensión
k-ésima
Fqk del campo
Fq. El
método usado para hacer esa reducción es conocido como MOV (Menezes, Okamoto y Vanstone). Se sabe que para
curvas supersingulares
k <= 6.
Por otro lado las curvas supersingulares son aún tomadas seriamente ya que sobre de ellas se pueden
implementar de manera más eficiente las operaciones de grupo.
La clasificación de las curvas
supersingulares y el método MOV puede verse en:
4.1.- A. menezes,
"Elliptic curve Public Key Cryptosystems" Kwuler Academic publisher.
4.2.- A. menezes, T. Okamoto, S. Vanstone,
"Reducing elliptic curve logarithm to logarithm in a finite field",
IEEE Trans. on Information Theory 39, 1993, pp. 1639-1646.
En el siguiente artículo se puede encontrar más sobre curvas supersingulares, incluyendo de
género mayor.
4.3.- S. Galbraith,
"Supersingular Curves in Cryptography"
ASIACRYPT 2001, Springer LNCS 2248 (2001) 495--513
o la siguiente presentación.
4.4.- S. Galbraith,
"Supersingular Curves in Cryptography"
Slides.
Otro tipo de curvas que se consideran débiles en criptografía
son las curvas anómalas, una curva es anómala cuando esta definida
en un campo primo
Fp, y
t=1. Es decir si el número de puntos
de la curva definida sobre
Fp, es
p.
De hecho estas curvas se consideran las más débiles en criptografía.
Los siguientes artículos, que aparecen casi al mismo tiempo,
dan la manera de reducir el PLDE a el PLD sobre un grupo aditivo.
5.1.- N. Smart,
"The discrete logarithm problem on elliptic curves of trace one",
Journal of Cryptology, vol. 12, no. 3, (1999), pp. 193-196.
5.2.- T. Satoh, K. Araki,
"Fermat quotients and the polynomial time discrete log
algorithm for anomalous elliptic curve", Commentarii Math. Univ. Sancti Pauli,
vol. 47, no.1,(1998) pp.81-92.
5.3.- I. Semaev,
"Evaluation of discrete logarithms in a group of p-torsion points
of an elliptic curve in characteristic p", Mathematics of Computation,
vol. 76, no. 221, (1998), pp.353-356.
El ataque MOV puede ser generalizado para las curvas no-supersingulares, usando ahora el mapeo de Tate.
Esta generalización fue dada por G. Frey y H.-G. Ruck, la nueva reducción llamada FR, aplica al caso de
curvas supersingulares antes afectadas por MOV y además las curvas no supersingulares (u ordinarias)
con traza
t=2.
Entonces sin perdida de generalidad, podemos nombrar a las curvas FR como aquellas afectadas por MOV, las
supersingulares, como a las curvas de traza
t=2.
El método FR se puede ver en el siguiente artículo:
6.1.- G. Frey and H.-G. Ruck,
"A remark concerning m-divisibility and the discrete logarithm
in the divisor class group of curves",
Math. Comp., 62:865-- 874, 1994.
o también puede verse:
6.2.- G. Frey and M. Muller and H. Ruck,
"The Tate Pairing and the Discrete Logarithm Applied to Elliptic Curve Cryptosystems"
Trans. on Inf. Th., IEEE, 45 (1999), 1717-1719.
Algo más sobre las reducciones MOV y FR:
6.3.- J. Shikata, Y. Zheng, J. Suzuki, H. Imai,
"Realizing the Menezes-Okamoto-Vanstone (MOV) Reduction Efficient for Ordinary Elliptic Curves"
IEICE Trans. Fundamentals Vol E83-A, No. 4, April 2000.
6.4.- N.Kanayama, T.Kobayashi, T. Saito, S. Uchiyama,
"Remarks on Elliptic Curve Discrete Logarithm Problems"
IEICE Trans. Fundamentals Vol E83-A, No. 1, January 2000.
6.5.- J. Shikata, Y. Zheng, J. Suzuki, H. Imai,
"Optimizing the Menezes-Okamoto-Vanstone (MOV) Algorithm for Non-supersingular Elliptic Curves"
ASIACRYPT 1999, pp. 86-102.
6.6.- J. Shikata, Y. Zheng, J. Suzuki, H. Imai,
"Comparing the MOV and FR reductions in elliptic curve cryptography"
Advances in Cryptology - EUROCRYPT'99, Lecture Notes in Computer Science, vol.1592, pp.190-205, 1999
Parece hasta este momento que todo es catastrófico para las curvas elípticas por tantos casos de
curvas débiles, sin embargo es lo contrario. Tales curvas, como las supersingulares,
las anómalas, y las FR, son realmentre poquitas.
Se ha demostrado que la probabilidad al tomar una curva aleatoria y de que a esta se le pueda
aplicar la reducción MOV, FR o que sea anómala es realmente insignificante.
Esto se debe al resultado del siguiente artículo:
7.1.- R. Balasubramanian y N. Koblitz,
"The Improbability that an Elliptic Curve Has Sub-Exponential Discrete Log Problem under the Menezes-Okamoto-Vanstone Algorithm",
Journal of Cryptology, Vol.11, pp.141-145, 1998.
Entonces, la mayoría de curvas son no-supersingulares (u ordinarias), e inmunes a los ataques anteriores.
Es decir el elegir curvas para la criptografía, significa encontrar buenas curvas
no supersingulares.
Otra buena referencia es la siguiente:
7.2.- S. Galbraith and A. Menezes ,
"Algebraic Curves and Cryptography"
Technical reports CORR 2005-02, CACR Waterloo University.
Todas las curvas anteriores son elipticas, es decir tienen género 1. Muchos de los conceptos pueden
generalizarse a las curvas de género más grande en particular a las curvas hiperelípticas.
Sin embargo también hay otro tipo de curvas que han sido mencionadas en el área de la criptografía,
una de estas son las curvas "superelípticas". Una curva es superelíptica si tiene la forma
yn=adxd+...+a0, donde
n,d >=3.
Algo de este tipo de
curvas puede verse por ejemplo en:
8.1.- S. Galbraith, S. Paulus, N. Smart,
"Arithmetic on Superelliptic Curves"
HPL-98-179 HP Reports.
8.2.- A. Basiri, A. Enge, J. Faugère, N. Gürel,
"Implementing the Arithmetic of C_(3,4), Curves"
Algorithmic Number Theory - ANTS-VI (Berlin, 2004),LNCS 3076, pp. 87-101.
8.3.- A. Basiri, A. Enge, J. Faugère, N. Gürel,
"The arithmetic of Jacobian groups of superelliptic cubics "
Math. Comp. 74 (2005), 389-410.
De manera casi inmediata y natural a la aparición de las curvas elípticas, Koblitz
propone curvas más generales, las curvas hiperelípticas.
9.1.- N. Koblitz,
"Hyperelliptic Cryptosystems",
Journal of Cryptology, Vol.1, pp.139-150, 1989.
Una curva hiperelíptica tiene la forma
y2+h(x)y=f(x), donde
h(x) es de grado a lo más
g, y
f(x) es de grado a lo más
2g+1.
Un reporte completo sobre estas curvas en la criptografía está en:
9.2.- M. Jacobson, A. Menezes and A. Stein,
"Hyperelliptic Curves and Cryptography "
Technical reports CORR 2003-13, CACR Waterloo University.
Un artículo para la suma de sus puntos del grupo, que ahora se llama el Jacobiano.
9.3.- D. Cantor,
"Computing in the Jacobian of a Hyperelliptic Curve",
Mathematical of Computation, Vol. 48, Num. 177, January 1987, pp. 95-101.
Esta por salir un libro que habla de las curvas elípticas y las curvas hiperelípticas.
9.3.- H. Cohen, G. Frey, R.Avanzi, Ch. Doche, K. Nguyen, T. Lange
"Elliptic and Hyperelliptic Curve Cryptography: Theory and Practice ",
Chapman & Hall/CRC (October 30, 2005)
Un resultado importante es el que dice que las curvas hiperelípticas de género "grande"
son más débiles que las de género "pequeño".
9.4.- A. Enge,
"Computing Discrete Logarithms in High-Genus Hyperelliptic Jacobians in Provably Subexponential Time"
Technical reports CORR 99-04, CACR Waterloo University.
9.5.- P. Gaudry,
"An algorithm for solving the discrete log problem on hyperelliptic curves"
Advances in Cryptology, Eurocrypt'2000, Springer-Verlag, LNCS 1807, 19-34, 2000. © Springer-Verlag.
9.6.- F. Hess, G. Seroussi, N. Smart,
"Two Topics in Hyperelliptic Cryptography"
Information Theory Research Group, HP Laboratories Palo Alto, HPL-2000-118.
9.7.- Varios artículos del tema pueden verse en la página de Lange:
"Tanja Lange's Homepage"
9.8.- Así como también es recomendable ver la tesis de A. Enge.
"Andreas Enge Homepage"
De entre otros tipos de curvas que han coqueteado con la criptografía se encuentran las curvas de Picard,
una curva de Picard tiene la forma:
y3=f(x), donde
f(x) tiene grado 4.
He aquí algunos artículos del tema:
10.1.- Y. Takizawa,
"Some remarks on the Picard curves over a finite
field"
Preprint.
10.2.- J. Quine,
"Jacobian of the Picard Curve"
Preprint.
10.3.- S. Flon, R. Oyono,
"Fast Arithmetic on Jacobian of Picard Curves"
IACR Cryptology ePrint Archive 2003-079.
10.4.- J. Lee,
"Isomorphism Classes of Picard Curves Over Finite fields
"
IACR Cryptology ePrint Archive 2003-060.
10.5.- A. Weng,
"Generation of Random Picard Curves For Cryptography"
IACR Cryptology ePrint Archive 2004-285.
10.6.- M. Bauer, E. Teske and A. Weng ,
"Point Counting on Picard Curves in Large Characteristic"
Technical reports CORR 2004-02, CACR Waterloo University.
10.7.- K. Koike, A. Weng,
"Construction of CM Picard Curves",
Mathematics of Computation, Vol. 74, No. 249, pp. 499-518, 2005.
Otro tipo de curvas elípticas usadas en criptografía con características relevantes en la
eficiencia, se tienen a las curvas de Koblitz, éstas
curvas son curvas también anómalas pero sobre campos de característica 2. Algo de ellas se puede verse en los
siguientes artículos:
11.1.- N. Koblitz,
"CM-curves with good cryptographic properties,"
Proceedings of
CRYPTO 1991, LNCS 576, pp. 279{287. Springer, 1991.
11.2.- N. Koblitz,
"An elliptic curves implementation of the finite field digital signature algorithm,",
Advances in Cryptology-CRYPTO ’98, LNCS 1462, 1998, 327-337.
11.3.- J. Solinas,
"Effcient Arithmetic on Koblitz Curves,",
Designs,
Codes and Cryptography, Vol. 19, 2000, No. 2/3, pp. 125.179.
11.4.- R. Avanzi, M. Ciet, F. Sica,
"Faster Scalar Multiplication on
Koblitz Curves combining Point Halving with the Frobenius Endomorphism,",
Preprint.
11.5.- R.Avanzi1, C. Heuberger, H. Prodinger,
"Minimality of the Hamming Weight of the
t-NAF for Koblitz Curves and Improved
Combination with Point Halving,"
IACR Cryptology ePrint Archive 2005-225.
11.6.- R. Avanziy, C. Heubergerz, H. Prodinger,
"Scalar Multiplication On Koblitz Curves
Using The Frobenius Endomorphism
And Its Combination With Point Halving:
Extensions And Mathematical Analysis,"
Preprint.
11.7.- J. Coron, D. M'Raihi, and C. Tymen,
"Fast Generation of Pairs (k; [k]P) for Koblitz
Elliptic Curves,"
Selected Areas in
Cryptography, vol. 2259 of Lecture Notes in Computer Science, pp. 151-174.
En pocas palabras, el ataque Weil Desent, y Xedni (Index alrevéz), trasladan el PLDE
de la curve elíptica
E, a el PLD de otro grupo, en el primer caso a una curva hiperelíptica,
en segundo otro caso a una curva sobre una campo numérico.
12.1.- J. Silverman,
"The Xedni Calculus and the Elliptic Curve Discrete Logarithm Problem"
Technical reports CORR 99-05, CACR Waterloo University.
12.2.- M. Jacobson, N. Koblitz, J. Silverman, A. Stein and E. Teske,
"Analysis of the Xedni Calculus Attack "
Technical reports CORR 99-06, CACR Waterloo University.
12.3.- J. Silverman, J. Suzuki,
"Elliptic Curve Discrete Logarithms and the Index Calculus,"
ASIACRYPT '98.
12.4.- M. Huang, K. Kueh, K. Tan,
"Lifting Elliptic Curves and Solving the Elliptic Curve Discrete Logarithm Problem,"
ANTS, LNCS 877 pages 377--384. Springer--Verlag, 2000.
12.5.- P. Gaudry,
"Index calculus for abelian varieties and the elliptic curve discrete logarithm problem "
Preprint.
12.6.- M. Maurer, A. Menezes, E. Teske,
"Analysis of the GHS Weil Descent Attack on the ECDLP over Characteristic Two Finite Fields of Composite,"
INDOCRYPT 2001, LNCS 2247, pages 195.
12.7.- A. Menezes, E. Teske and A. Weng,
"Weak Fields for ECC,"
Technical reports CORR 2003-15, CACR Waterloo University.
12.8.- S. Galbraith, F. Hess, N. P. Smart,
"Extending the GHS Weil Descent Attack,"
Theory and Application of Cryptographic Techniques, pp. 29-44, 2002.
12.9.- A. Menezes, E. Teske,
"Cryptographic Implications of Hess' Generalized GHS Attack,"
Preprint.
12.10.- S. Galbraith,
"Limitations of Constructive Weil Descent,"
Preprint.
12.11.- S. Galbraith,
"Weil Descent Of Jacobians,"
Presented at WCC 2001.
12.12.- A. Menezes, M. Qu,
"Analysis of the Weil Descent Attack of Gaudry, Hess and Smart,"
Topics in Cryptology---CT-RSA.
12.13.- N. Smart,
"How Secure Are Elliptic Curves Over Composite Extension Fields?,"
Eurocrypt 2001, LNCS 2045, pp. 30.
12.14.- S. Arita, K. Matsuo, K. Nagao, M. Shimu,
"A Weil Descent Attack against Elliptic Curve Cryptosystems over quartic fields II,"
In Proc. of SCIS 2004.
12.15.- P. Gaudry, F. Hess, N. Smart,
"Constructive and Destructive Facets of Weil Descent on Elliptic Curves,"
Journal of Cryptology 15, 1, pp. 19--46, 2002.
12.16.- M. Ciet, J. Quisquater, F. Sica,
"A Secure Family of Composite Finite Fields Suitable for Fast Implementation of Elliptic Curve Cryptography ,"
LNCS 2247, pp. 108+ 2001.
Es muy recomendable visitar la pagina de N. Smart para este ataque:
12.17.- N. Smart,
"Nigel Smart Weil Descent Page,"
En el año 1984 A. (
"Identity-Based Cryptosystems and Signature Schemes". CRYPTO 1984: 47-53),
Shamir propone un esquema de cifrado donde la clave pública puede
ser cualquier cadena de caracteres, es decir, le nombre de un usuario, su dirección de
correo electrónico, el número IP de su computadora, etc. pueden ser opciones para la clave pública.
En ese entonces la idea fue buena pero el esquema propuesto era ineficiente.
A este nuevo tipo de criptografía se se llamo Criptografía Basada en la Identidad CBI.
Fue hasta el año 2000 cuando Boneh y Franklin proponer una esquema de cifrado basado en la identidad
y muestran que este es seguro y eficiente.
13.1.- D. Boneh y M. Franklin,
"Identity based encryption from the Weil pairing,"
proceedings of Crypto '2001, Lecture Notes in Computer Science, Vol. 2139, Springer-Verlag, pp. 213-229, 2001.
El esquema propuesto hace uso de el mapeo de Weil aplicado a grupos de curvas elípticas. El
mapeo de Weil es un mapeo bilineal y genera un nuevo problema a considerar. El nuevo problema
del cual esta basada la criptografía "bilineal", es el Problema Bilineal Diffie Hellman PBDH.
Sin embargo este esquema también esta relacionado con el PLDE (sobre una curva elíptica)
y con el PLD (sobre el grupo multiplicativo de un campo finito).
De forma alterna también se propuso un esquema de intercambio de claves.
13.2 - A. Joux,
"A one-round protocol for tripartite Diffie-Hellman," Algorithm Number
Theory Symposium -- ANTS-IV, LNCS 1838, Springer-Verlag (2000), pp. 385--394.
Un panorama general se puede ver en:
13.3.- N. Koblitz, A. Menezes,
"Pairing-Based Cryptography at High Security Levels"
Technical reports CORR 2005-08, CACR Waterloo University.
A partir de ahí la investigación y aplicación de la criptografía bilineal se
ha incrementado de forma imponente. En los últimos 5 años se han propuesto diferentes
esquemas que usan mapeos bilineales, diferentes áreas de investigación se han abierto para este
tipo de criptografía. En lo que sigue se describen algunas de las áreas con más relación con matemáticas.
La parte predominante en términos de eficiencia
de los esquemas de la criptografía bilineal recae en la evaluación del mapeo bilineal,
es decir, en la evaluación el mapeo de Weil o el mapeo de Tate.
El método estándar para la evaluación ya sea del mapeo de Weil o de Tate es el
algoritmo de Miller.
13_1.1- V. Miller,
"Short Programs for Functions on Curves," artículo no publicado,
1986.
En los siguientes artículos se encuentras varios perfeccionamientos al método de Miller.
13_1.2 - P. S. L. M. Barreto, H. Y. Kim,
B. Lynn, y M. Scott,
"Efficient Algorithms for
Pairing-Based Cryptosystems,"
Advances in Cryptology -- Crypto'2002, LNCS 2442, Springer-Verlag (2002), pp. 354--368.
13_1.3 - P. S. L. M. Barreto, B. Lynn, M. Scott,
"On the Selection of Pairing-Friendly Groups,"
Areas in Cryptography -- SAC'2003, LNCS 3006, Springer-Verlag (2004), pp. 17--25.
13_1.4 - I. M. Duursma, H.-S. Lee,
"Tate-pairing implementations for tripartite key agreement,"
Advances in Cryptology -- Asiacrypt'2003, LNCS 2894, Springer-Verlag (2003), pp. 111--123.
13_1.5 - S. D. Galbraith, Ke. Harrison, D. Soldera,
"Implementing the Tate pairing,"
Algorithmic Number Theory Symposium -- ANTS-V, LNCS 2369, Springer-Verlag (2002), pp. 324--337.
13_1.6 - K. Eisentrager, K. Lauter, y P. L. Montgomery,
"Fast Elliptic Curve Arithmetic
and Improved Weil Pairing Evaluation,"
Topics in Cryptology -- CT-RSA 2003, LNCS 2612, Springer-Verlag (2003), pp. 343--354.
13_1.7 - I. Blake, K. Murty y G. Xu,
"Refinements of Miller’s Algorithm for Computing Weil/Tate Pairing,"
IACR Cryptology ePrint Archive 2004-065.
13_1.8 - T. Izu y T. Takagi,
"Efficient Computations of the Tate Pairing
for the Large MOV Degrees,"
ICISC 2002.
13_1.9 - Z. Cheng and M. Nistazakis,
"Implementing Pairing-Based Cryptosystems,"
School of Computing Science, Middlesex University.
13_1.10 - M. Stogbauer,
"Efficient Algorithms for Pairing-Based Cryptosystems,"
Darmstadt University of Technology, Diploma Thesis.
En la criptografía bilineal, contrariamente a la criptografía elíptica, se
requiere de curvas con grado de encajamiento
k pequeño. Es decir, por ejemplo que
las curvas supersingulares que eran despreciadas para la criptografía elíptica,
ahora son bienvenidas para la criptografía bilineal.
La pregunta es si existen curvas con bajo grado de encajamiento
k, y que no sean
las supersingulares. Miyagi, Nakabayashi y Takano dan un método precisamente para
construir curvas elípticas ordinarias con bajo grado de encajamiento. A
estas curvas se les conoce como curvas MNT.
13_2.1 - A. Miyagi, M. Nakabayashi y S. Takano,
"New Explicit Conditions of Elliptic Curves Traces for FR-Reduction,"
IEICE Transactions on Fundamentals E84-A(5) 1234-1243. 2001.
13_2.2 - P. S. L. M. Barreto, B. Lynn, y M. Scott,
"Constructing Elliptic Curves with Prescribed
Embedding Degrees,"
IACR Cryptology ePrint Archive 2002-088.
13_2.3 - R. Dupont, A. Enge y F. Morain,
"Building curves with arbitrary small MOV degree over finite prime fields,"
IACR Cryptology ePrint Archive 2002-094.
13_2.4 - F. Brezing, A. Weng,
"Elliptic Curves Suitables for Pairing based Cryptography,"
IACR Cryptology ePrint Archive 2003-143.
13_2.5 - P. S. L. M. Barreto, y M. Scott,
"Generating more MNT elliptic curves,"
IACR Cryptology ePrint Archive 2004-058.
13_2.6 - D. Page, N. Smart, F. Vercauteren,
"A comparison of MNT curves and supersingular
curves,"
IACR Cryptology ePrint Archive 2004-165.
13_2.7 - S. Galbraith, J. Mckee, P. Valenca,
"Ordinary abelian varieties having small
embedding degree,"
IACR Cryptology ePrint Archive 2004-365.
El método más conocido para construir curvas con un orden dado fue
propuesto por Atkin y Morain, primeramente
fue usado para el método de factorización que usa curvas elípticas.
Este método es conocido como método de Multiplicación Compleja (MC), y
consiste de los siguientes pasos:
1) Resolver la ecucación MC.
2) Construir el polinomio de la clase de Hilbert H
D.
3) Encontrar una raíz
j de H
D (
x).
4) Construir una curva elíptica de
j-invariante esa raíz
j.
13_3.1 - A. O. L. Atkin, F. Morain.
"Elliptic Curves and Primality Proving,"
Math. Comp. 61, 203, july 1993, pp. 29-68.
13_3.2 - G.J. Lay, H. Zimmer.
"Constructing Elliptic Curves with Given Group Order over Large Finite Fields",
ANTS I, LNCS 877, pp. 250-263, 1994.
13_3.3 - E.Savas, T. A. Schmidt, y C. K. Koc.
"Generating Elliptic Curves of Prime Order,"
preprint.
13_3.4 - P. Huang, M. Hsiehy.
"Generating Elliptic Curves over Finite Fields
Part I: Generating by Complex Multiplication,"
preprint.
13_3.5 - K. Lan.
"Generating Elliptic Curves over Finite Fields, Part II: the Binary Case,"
preprint.
13_3.6 - H. Baier.
"Efficient Algorithms for Generating Elliptic Curves
over Finite Fields Suitable for Use in Cryptography,"
thesis.
13_3.7 - E. Konstantinou, Y. Stamatiou, y C. Zaroliagis.
"On the Efficient Generation of Elliptic Curves
over Prime Fields,"
Cryptographic Hardware and Embedded Systems - CHES 2002
LNCS 2523 (Springer-Verlag, 2002), pp.333-348.
13_3.8 - E. Konstantinou, Y. Stamatiou, and C. Zaroliagis,
"On the Construction of Prime Order Elliptic Curves,"
Progress in Cryptology - INDOCRYPT 2003
LNCS 2904 (Springer-Verlag, 2003), pp.309-322.
13_3.9 - E. Konstantinou, Y. Stamatiou, and C. Zaroliagis,
"On the Use of Weber Polynomials in Elliptic Curve Cryptography,"
Public Key Infrastructure - EuroPKI 2004
Lecture Notes in Computer Science 3093 (Springer-Verlag, 2004), pp. 335-349.
13_3.10 - E. Konstantinou, A. Kontogeorgis, Y. Stamatiou, and C. Zaroliagis,
"Generating Prime Order Elliptic Curves: Difficulties and Efficiency Considerations,"
Information Security and Cryptology - ICISC 2004.
13_3.11 - J. Chao, K. Tanada, S. Tsujii,
"Design of Elliptic Curves with Controllable Lower Boundary of Extension Degree for Reduction Attacks,",
Crypto 94, LNCS 839, pp. 50-55, 1994.
13_3.12 - J. Chao, K. Matsuo, H. Kawashiro, S. Tsujii,
"Construction of Hyperelliptic Curves with CM and Its Application to Cryptosystems,",
AsiaCrypt 2000, LNCS 1976, pp. 259-273, 2000.
En la criptografía bilineal se han creado una cantidad enorme de esquemas de diferentes
naturaleza, en lo que sigue se listan solo una pequeña muestra de algunos esquemas sobresalientes.
El siguiente artículo contiene un buen número de esquemas dentro de la criptografía bilineal,
es muy recomendable su lectura si se quiere conocer las aplicaciones de este tipo de criptografía.
13_4.1 - R. Dutta, R. Barua, P. Sarkar,
"Pairing-Based Cryptography : A Survey,"
Cryptology ePrint Archive, Report 2004/064.
También se puede consultar la página de
P. Barreto.
y para artículos nuevos se pueden buscar en la página de la
IACR
He aquí sólo una muestra de algunos esquemas bilineales:
13_4.2 - A. Burnett, A. Duffy, T. Dowling,
"A Biometric Identity Based Signature Scheme,"
Cryptology ePrint Archive, Report 2004/176.
13_4.3 - G. Appenzeller, B. Lynn,
"Minimal-Overhead IP Security using Identity-Based Encryption,"
Preprint.
13_4.4 - S. S. Al-Riyami, K. G. Paterson,
"Tripartite Authenticated Key Agreement Protocols from Pairings,"
IMA Conference on Cryptography and Coding, Lecture Notes on Computer Science 2898, Springer-Verlag (2003), pp. 332--359.
Cryptology ePrint Archive, Report 2002/035.
13_4.5 - X. Boyen,
"Multipurpose Identity-Based Signcryption: A Swiss Army Knife for Identity-Based Cryptography,"
Advances in Cryptology Crypto'2003, LNCS 2729, Springer-Verlag (2003), pp. 382--398.
13_4.6 - D. Boneh, X. Boyen,
"Short Signatures Without Random Oracles,"
Advances in Cryptology Eurocrypt'2004, LNCS 3027, Springer-Verlag (2004), pp. 56--73.
13_4.7 - D. Boneh, C. Gentry, B. Lynn, H. Shacham,
"Aggregate and Verifiably Encrypted Signatures from Bilinear Maps,"
Advances in Cryptology Eurocrypt'2003, LNCS 2656, Springer-Verlag (2003), pp. 416--432.
13_4.8 - D. Boneh, B. Lynn, H. Shacham,
"Short signatures from the Weil pairing,"
Advances in Cryptology Asiacrypt'2001, LNCS 2248, Springer-Verlag (2002), pp. 514--532.
13_4.9 - D. Boneh, I. Mironov, V. Shoup,
"A Secure Signature Scheme from Bilinear Maps,"
Topics in Cryptology CT-RSA 2003, LNCS 2612, Springer-Verlag (2003), pp. 98--110.
13_4.10 - X. Chen, F. Zhang, K. Kim,
"A New ID-based Group Signature Scheme from Bilinear Pairings,"
Proceedings of WISA'2003, August 2003, Jeju Island(KR), pp. 585--592.
Cryptology ePrint Archive, Report 2003/116.
13_4.10 - X. Chen, F. Zhang, K. Kim,
"A New ID-based Group Signature Scheme from Bilinear Pairings,"
Proceedings of WISA'2003, August 2003, Jeju Island(KR), pp. 585--592.
Cryptology ePrint Archive, Report 2003/116.
13_4.11 - F. Hess,
"Efficient Identity Based Signature Schemes Based on Pairings,"
Selected Areas in Cryptography -- SAC'2002, LNCS 2595, Springer-Verlag (2003), pp. 310--324.
13_4.12 - J. Malone-Lee,
"Identity-Based Signcryption,"
Cryptology ePrint Archive, Report 2002/098.
Las necesidades de comunicación requieren que todas las entidades tengan las mismas
condiciones, para poder establecer de manera eficiente la comunicación. Es decir es necesario
definir reglas mínimas de comunicación.
Desde el punto de vista de los algoritmos criptográficos, los protocolos de comunicación tienen
un conjunto de algoritmos y diferentes configuraciones que tales protocolos eligen para finalmente
puedan comunicarse. Estas reglas estan contenidas en los estándares los cuales se imponen a quienes
quieran poder interconectarse. En seguida damos una lista de los estándares más conocidos
respecto a la criptografía.
14.1 - Estándar P1363 de la IEEE de criptografía de clave pública.
"Standard Specifications For Public-Key Cryptography,"
14.2 - Grupo de evaluación criptográfica Europeo NESSIE.
"New European Schemes for Signature, Integrity and Encryption,"
14.3 - Grupo de evaluación criptográfica Japones CRYPTREC.
"Cryptography Research and Evaluation Committee,"
14.4 - Estándar SECG.
"The Standards for Efficient Cryptography Group (SECG),"
14.5 - Estándar NIST.
"The NIST Computer Security Division,"
Podemos clasificar a la implementación de la criptografía elíptica, bilineal,
etc. de la siguiente manera:
1.- Aritmética del campo: aritmética de F
p, de F
2n,.., etc.
2.- Aritmética de la curva: ya sea la curva elíptica, la hiperelíptica, la de picard,...,etc.
3.- Implemetar las operaciones del esquema criptográfico: de firma digital,
de intercambio de claves,...,etc.
Además existen dos campos muy marcados para la implementación de las anteriores partes,
ya sea se haga en software o en hardware.
Un excelente resumén sobre la aritmética alrededor de las curvas elípticas la tenemos
en la presentación de
C. Paar.
Sería de nuevo muy incompleto hacer una lista de los artículos y resultados de los que se sabe
en revistas y publicaciones en línea, así que pondremos solo una pequeña muestra.
15.1.- Página del grupo
Communication Security,
at the Ruhr-Universität Bochum, contiene también un buen número de tesis.
15.2 - La página de
D. Berstein
contiene buenas referencias respecto a técnicas de
implementación, particularmente su última plática
New speed records for point multiplication.
15.3.- Página del grupo
Centre for Applied Cryptographic Research (CACR),
at the University of Waterloo,
entre otras cosas contiene un buen número de reportes dedicados a la implementación.
15.4.- Página del grupo
Information Security Laboratory,
at Oregon State University, contiene también un buen número de tesis.
Un par de referencias inevitables para conocer las técnicas de implemetación de curvas
elípticas son:
15.5.- I. Blake, G. Seroussi, N. Smart,
"Elliptic Curves in Cryptography ,"
Cambridge University Press; 1st edition (January 15, 2000)
15.6.- D. Hankerson, A. Menezes, S. Vanstone ,
"Guide to Elliptic Curve Cryptography,"
Springer (January 8, 2004).
Otras buenas referencias generales las tenemos en los siguientes artículos:
15.7.- Darrel Hankerson, Julio Lopez Hernandez & Alfred Menezes,
Software Implementation of Elliptic Curve Cryptography over Binary Fields ,
CORR 2000-42.
15.8.- M. Brown, D. Hankerson, J. Lopez, and A. Menezes,
Software Implementation of the NIST Elliptic Curves Over Prime Fields,
CORR 2000-56.
16.1.- H. Cohen, G. Frey, R. Avanzi, C. Doche, K. Nguyen, T. Lange,
"Elliptic and Hyperelliptic Curve Cryptography: Theory and Practice,"
Chapman & Hall/CRC (October 30, 2005).
Libro de criptografía elíptica e hiperelíptica recientemente aparecido.
16.2.- I. F. Blake , G. Seroussi, N.P. Smart,
"Advances in Elliptic Curve Cryptography," London Mathematical Society Lecture Note Series 317,
Cambridge University Press (May 31, 2005).
Libro de criptografía elíptica que incluye los últimos avances, como demostración de seguridad, conteo de puntos,
curvas hiperelípticas, ataque Weil Descent, y técnicas de criptografía bilineal.
16.3.- D. Hankerson, A. Menezes, S. Vanstone ,
"Guide to Elliptic Curve Cryptography,"
Springer (January 8, 2004).
Libro enfocado más los algoritmos básicos para implementar esquemas con curvas elípticas, y la elección
de parámetros seguros y eficientes.
16.4.- L. C. Washington,
"Elliptic Curves: Number Theory and Cryptography,"
Chapman & Hall/CRC (May 1, 2003).
Libro enfocado más a la teoría basica de curvas elípticas usada en la criptografía y otras aplicaciones, muy recomendable
como lectura básica.
16.5.- I. Blake, G. Seroussi, N. Smart,
"Elliptic Curves in Cryptography ,"
Cambridge University Press; 1st edition (January 15, 2000).
Libro de algoritmos básicos de la criptografía elíptica.
16.6.- A. Enge,
"Elliptic Curves and Their Applications to Cryptography : An Introduction ,"
Springer (August 31, 1999).
Libro enfocado más los elementos teorícos básicos de la criptografía elíptica.
17.1.-
Workshops on Elliptic Curve Cryptography,
Centre for Applied Cryptographic Research (CACR) at the University of Waterloo.
17.2.-
Workshop on Cryptographic Hardware and Embedded Systems.
Algunas páginas personales relacionadas con criptografía en general:
17.3.- Página de
Andrej Dujella.
17.4.- Página de
UCL Crypto Group.
17.5.- Página de
Steven Galbraith.
17.6.- Página de
François Morain.
17.7.- Página de
Joseph H. Silverman.
17.8.- Página de
Claus Diem.
17.9.- Página de
Nigel Smart.
17.10.- Página de
A.J. Menezes.
17.11.- Página de
Felipe Voloch .
17.12.- Página de
Erik De Win.
17.13.- Página de
criptografía elíptica Koreana.
17.14.- Página de
algunos criptógrafos Koreanos.
17.15.-
Más criptógrafos.
17.16.-
Aún más criptógrafos.
17.17.-
Por sí se quieren más criptógrafos.
17.18.-
Todavía más criptógrafos.
17.19.-
Todavía más y más criptógrafos.
