This thesis aims at providing efficient and side-channel protected implementations of isogeny-based primitives, and at their application in threshold protocols. It is based on a sequence of academic papers. Chapter 3 reviews the original variable-time implementation of CSIDH and introduces several optimizations, e.g. a significant improvement of isogeny computations by using both Montgomery and Edwards curves. In total, our improvements yield a speedup of 25% compared to the original implementation. Chapter 4 presents the first practical constant-time implementation of CSIDH. We describe how variable-time implementations of CSIDH leak information on private keys, and describe ways to mitigate this. Further, we present several techniques to speed up the implementation. In total, our constant-time implementation achieves a rather small slowdown by a factor of 3.03. Chapter 5 reviews practical fault injection attacks on CSIDH and presents countermeasures. We evaluate different attack models theoretically and practically, using low-budget equipment. Moreover, we present countermeasures that mitigate the proposed fault injection attacks, only leading to a small performance overhead of 7%. Chapter 6 initiates the study of threshold schemes based on the Hard Homogeneous Spaces (HHS) framework of Couveignes. Using the HHS equivalent of Shamir’s secret sharing in the exponents, we adapt isogeny based schemes to the threshold setting. In particular, we present threshold versions of the CSIDH public key encryption and the CSI-FiSh signature scheme. Chapter 7 gives a sieving algorithm for finding pairs of consecutive smooth numbers that utilizes solutions to the Prouhet-Tarry-Escott (PTE) problem. Recent compact isogeny-based protocols, namely B-SIDH and SQISign, both require large primes that lie between two smooth integers. Finding such a prime can be seen as a special case of finding twin smooth integers under the additional stipulation that their sum is a prime.

Die vorliegende Dissertation stellt effiziente und Seitenkanal-geschützte Implementierungen Isogenie-basierter Verfahren bereit, und behandelt deren Verwendung in Threshold-Protokollen. Sie basiert auf einer Reihe von Veröffentlichungen. Kapitel 3 untersucht die originale variable-time Implementierung von CSIDH und beschreibt einige Optimierungen, wie etwa die effizientere Berechnung von Isogenien durch die Verwendung von Montgomery- und Edwards-Kurven. Insgesamt erreichen die Optimierungen eine Beschleuningung von 25% gegenüber der Referenzimplementierung. Kapitel 4 enthält die erste effiziente constant-time Implementierung von CSIDH. Es beschreibt inwiefern variable-time Implementierungen Informationen über private Schlüssel liefern, und entsprechende Gegenmaßnahmen. Des Weiteren werden einige Techniken zur Optimierung der Implementierung beschrieben. Insgesamt ist die constant-time Implementierung nur etwa 3x langsamer. Kapitel 5 untersucht praktische Fault-injection Attacken auf CSIDH und beschreibt Gegenmaßnahmen. Es betrachtet verschiedene Angriffsmodelle theoretisch und praktisch unter der Verwendung von low-budget Equipment. Die Gegenmaßnahmen führen zu einer sehr kleinen Performance-Verschlechterung von 7%. Kapitel 6 initiiert die Untersuchung von Threshold-Verfahren basierend auf Hard Homogeneous Spaces (HHS). Unter Verwendung der HHS-Version von Shamir Secret Sharing im Exponenten, werden Threshold-Varianten der CSIDH Verschlüsselung und des CSI-FiSh Signaturschemas definiert. Kapitel 7 enthält einen Sieb-Algorithmus zur Suche nach Paaren von aufeinanderfolgenden glatten Zahlen, unter Verwendung von Lösungen des Prouhet-Tarry-Escott-Problems. Die kürzlich veröffentlichten Isogenie-Verfahren B-SIDH und SQISign benötigen große Primzahlen, die zwischen zwei glatten ganzen Zahlen liegen. Die Suche nach solchen Primzahlen ist ein Spezialfall der Suche nach glatten benachbarten Zahlen, unter der zusätzlichen Bedingung dass deren Summe prim ist.