Криптография
- 1 year ago
- 0
- 0
Эллиптическая криптография — раздел криптографии , который изучает асимметричные криптосистемы , основанные на эллиптических кривых над конечными полями . Основное преимущество эллиптической криптографии заключается в том, что на сегодняшний день неизвестны субэкспоненциальные алгоритмы дискретного логарифмирования .
Использование эллиптических кривых для создания криптосистем было независимо друг от друга предложено Нилом Коблицем и Виктором Миллером в 1985 году .
В 1985 году независимо Нилом Коблицем и Виктором Миллером было предложено использовать в криптографии алгебраические свойства эллиптических кривых . С этого момента началось бурное развитие нового направления криптографии, для которого используется термин «криптография на эллиптических кривых». Роль основной криптографической операции выполняет операция скалярного умножения точки на эллиптической кривой на данное целое число, определяемая через операции сложения и удвоения точек эллиптической кривой. Последние, в свою очередь, выполняются на основе операций сложения, умножения и инвертирования в конечном поле, над которыми рассматривается кривая. Особый интерес к криптографии эллиптических кривых обусловлен теми преимуществами, которые дает её применение в беспроводных коммуникациях — высокое быстродействие и небольшая длина ключа . Асимметричная криптография основана на сложности решения некоторых математических задач. Ранние криптосистемы с открытым ключом, такие как алгоритм RSA , криптостойки благодаря тому, что сложно разложить составное число на простые множители. При использовании алгоритмов на эллиптических кривых полагается, что не существует субэкспоненциальных алгоритмов для решения задачи дискретного логарифмирования в группах их точек. При этом порядок группы точек эллиптической кривой определяет сложность задачи. Считается, что для достижения такого же уровня криптостойкости , как и в RSA, требуются группы меньших порядков, что уменьшает затраты на хранение и передачу информации. Например, на конференции RSA 2005 Агентство национальной безопасности объявило о создании «Suite B», в котором используются исключительно алгоритмы эллиптической криптографии, причём для защиты информации, классифицируемой до «Top Secret», используются всего лишь 384-битные ключи.
Эллиптической кривой называется множество точек , удовлетворяющих уравнению:
Это уравнение может рассматриваться над произвольными полями и, в частности, над конечными полями , представляющими для криптографии особый интерес.
В криптографии эллиптические кривые рассматриваются над двумя типами конечных полей : простыми полями нечётной характеристики ( , где — простое число) и полями характеристики 2 ( ).
Над полем характеристики уравнение эллиптической кривой E можно привести к виду:
где — константы, удовлетворяющие .
Группой точек эллиптической кривой E над полем называется множество пар , лежащих на E , объединённое с нулевым элементом :
Следует отметить, что в у каждого ненулевого элемента есть либо два квадратных корня, либо нет ни одного, поэтому точки эллиптической кривой разбиваются на пары вида и .
Рассмотрим эллиптическую кривую над полем . На этой кривой, в частности, лежит точка , так как . Легко проверить, что точки , , , это все точки данной кривой.
Теорема Хассе об эллиптических кривых утверждает, что количество точек на эллиптической кривой близко к размеру конечного поля:
что влечёт:
Над полем характеристики 2 рассматривают два вида эллиптических кривых:
Особое удобство суперсингулярных эллиптических кривых в том, что для них легко вычислить порядок, в то время как вычисление порядка несуперсингулярных кривых вызывает трудности. Суперсингулярные кривые особенно удобны для создания самодельной ЕСС (Elliptic-curve cryptography) криптосистемы. Для их использования можно обойтись без трудоёмкой процедуры вычисления порядка.
Для вычисления суммы пары точек на эллиптической кривой требуется не только несколько операций сложения и умножения в , но и операция обращения , то есть для заданного нахождение такого , что , которая на один-два порядка медленнее, чем умножение. К счастью, точки на эллиптической кривой могут быть представлены в различных системах координат , которые не требуют использования обращения при сложении точек:
Важно отметить, что могут существовать различные именования — например, IEEE P1363-2000 называет проективными координатами то, что обычно называют координатами Якоби.
Первой задачей в рассматриваемой системе является шифрование
открытого текста
сообщения
,
которое должно будет пересылаться в виде значения
(Как?)
для точки
. Здесь точка
будет представлять закодированный в неё текст и впоследствии будет раскодироваться. Обратите внимание, невозможно закодировать сообщение просто координатой
или
точки, так как не все такие координаты имеются в
.
Как и в случае системы обмена ключами, в системе шифрования, расшифрования в качестве параметров тоже рассматривается точка
и эллиптическая группа
. Пользователь
выбирает личный ключ
и генерирует
открытый ключ
. Чтобы зашифровать и послать сообщение
пользователю
, пользователь
выбирает случайное положительное целое число
и вычисляет шифрованный текст
, состоящий из пары точек
Заметим, что сторона
использует открытый ключ стороны
:
. Чтобы дешифровать этот шифрованный текст,
умножает первую точку в паре на секретный ключ
и вычитает результат из второй точки:
Пользователь замаскировал сообщение с помощью добавления к нему . Никто, кроме этого пользователя не знает значения , поэтому, хотя и является открытым ключом, никто не сможет убрать маску . Однако, пользователь включает в сообщение и "подсказку", которой будет достаточно, чтобы убрать маску тому, кто имеет личный ключ . Противнику для восстановления сообщения придется вычислить по данным и , что представляется трудной задачей .
Арифметические операции с точками на эллиптической кривой не эквивалентны этим арифметическим операциям с их координатами.
Точки эллиптической кривой над конечным полем представляют собой группу . Умножение сводится к многократным удвоению и суммированию.
Например, G+G ≠ 2G ( это разные операции ), 2G + 2^115G = 2^115G + 2G (суммирование коммутативно);
2G = 2*G; 4G = 2*2G; 8G = 2*4G; 16G = 2*8G, и т. д. (для двух одинаковых точек — только операция удвоения);
25*G; 25 = 11001 (in binary); 25 = 1*2^0 + 0*2^1 + 0*2^2 + 1*2^3 + 1*2^4 = 1 + 8 + 16; 25G = 16G + 8G + G = 1*(2^4)G + 1*(2^3)G + 1*G (операция суммирования).
24G/3 = 24G * (3^-1 mod P); where 3^(-1) mod P - ,
5G - 3G = 5G + (-3G); где -3G = nG - 3G = O - 3G - .
Рассмотрим случай
,
, что соответствует кривой
Предположим, что пользователь
собирается отправить пользователю
сообщение, которое кодируется эллиптической точкой
, и что пользователь
выбирает случайное число
. Открытым ключом
является
. Имеем:
Таким образом, пользователь должен послать шифрованный текст .
Конкретные реализации алгоритмов шифрования на эллиптической кривой описаны ниже. Здесь рассмотрим общие принципы эллиптической криптографии.
Для использования эллиптической криптографии все участники должны согласовать все параметры, определяющие эллиптическую кривую, т. е. набор параметров криптографического протокола. Эллиптическая кривая определяется константами и из уравнения (2). Абелева подгруппа точек является циклической и задается одной порождающей точкой G . При этом кофактор , где n — порядок точки G , должен быть небольшим ( , желательно даже ).
Итак, для поля характеристики 2 набор параметров: , а для конечного поля , где , набор параметров: .
Существует несколько рекомендованных наборов параметров:
Для создания собственного набора параметров необходимо сделать следующее.
Для нахождения кривой для заданного набора параметров используются два метода.
Существует несколько классов криптографически «слабых» кривых, которых следует избегать:
Деление по модулю p (которое необходимо для операций сложения и умножения) может выполняться быстрее, если в качестве p выбрать простое число, близкое к степени числа 2. В частности, в роли p может выступать простое число Мерсенна . Например, хорошим выбором являются или . Национальный институт стандартов и технологий (NIST) рекомендует использовать подобные простые числа в качестве p .
Ещё одним преимуществом кривых, рекомендованных NIST, является выбор значения , что ускоряет операцию сложения в координатах Якоби.
NIST рекомендует 15 эллиптических кривых, многие из которых были получены Jerry Solinas (NSA) на базе наработок Нила Коблица . В частности, FIPS 186-3 рекомендует 10 конечных полей. Некоторые из них:
Причём для каждого конечного поля рекомендуется одна эллиптическая кривая. Эти конечные поля и эллиптические кривые выбраны, как часто ошибочно считается, из-за высокого уровня безопасности. По заявлениям NIST, их выбор был обоснован эффективностью программной реализации . Имеются сомнения в безопасности по крайней мере нескольких из них .
Самым быстрым алгоритмом, решающим задачу дискретного логарифмирования на эллиптических кривых, таким как алгоритм Шенкса и ρ-метод Полларда , необходимо операций. Поэтому размер поля должен как минимум в два раза превосходить размер ключа. Например, для 128-битного ключа рекомендуется использовать эллиптическую кривую над полем , где p имеет длину 256 бит.
Самые сложные схемы на эллиптических кривых, публично взломанные к настоящему времени, содержали 112-битный ключ для конечного простого поля и 109-битный ключ для конечного поля характеристики 2 [ источник не указан 3678 дней ] . В июле 2009 года кластер из более чем двухсот Sony Playstation 3 за 3,5 месяца нашел 109-битный ключ. Ключ над полем характеристики 2 был найден в апреле 2004 года , с использованием 2600 компьютеров, в течение 17 месяцев [ источник не указан 3678 дней ] .
Предположим, что абоненты А и Б хотят договориться о ключе, которым будут впоследствии пользоваться в некоторой классической криптосистеме. Прежде всего, они открыто выбирают какое-либо конечное поле и какую-либо эллиптическую кривую над ним. Их ключ строится по случайной точке на этой эллиптической кривой. Если у них есть случайная точка , то, например, её -координата дает случайный элемент , который можно затем преобразовать в -разрядное целое число в -ичной системе счисления (где ), и это число может служить ключом в их классической криптосистеме. Они должны выбрать точку так, чтобы все их сообщения друг другу были открытыми и все же никто, кроме них двоих, ничего бы не знал о .
Абоненты (пользователи) А и Б первым делом открыто выбирают точку ∈ в качестве «основания»; играет ту же роль, что образующий в системе Диффи-Хеллмана для конечных полей. Однако, не требуем, чтобы была образующим элементом в группе точек кривой . Эта группа может и не быть циклической. Даже если она циклическая, не будем тратить время на проверку того, что — образующий элемент (или даже на нахождение общего числа N точек, которое нам не понадобится в последующем). Нам хотелось бы, чтобы порожденная В подгруппа была большой, предпочтительно того же порядка величины, что и сама . Пока что предположим, что — взятая открыто точка на весьма большого порядка (равного либо , либо большому делителю ).
Чтобы образовать ключ, вначале случайным образом выбирает целое число , сравнимое по порядку величины с (которое близко к ); это число он держит в секрете. Он вычисляет ∈ и передает эту точку открыто. Абонент Б делает то же самое: он выбирает случайно и открыто передает ∈ . Тогда используемый ими секретный ключ — это ∈ . Оба пользователя могут вычислить этот ключ. Например, знает (точка была передана открыто) и своё собственное секретное . Однако любая третья сторона знает лишь и . Кроме решения задачи дискретного логарифмирования — нахождения а по и (или нахождения по и ) по-видимому, нет способа найти , зная лишь и .
В качестве примера возьмем
что соответствует кривой
Безопасность, обеспечиваемая криптографическим подходом на основе эллиптических кривых, зависит от того, насколько трудной для решения оказывается задача определения по данным и . Эту задачу обычно называют задачей дискретного логарифмирования на эллиптической кривой. Наиболее быстрым из известных на сегодня методов логарифмирования на эллиптической кривой является так называемый -метод Полларда. В таблице (см. ниже) сравнивается эффективность этого метода и метод разложения на простые множители с помощью решета в поле чисел общего вида. Из нее видно, что по сравнению с RSA в случае применения методов криптографии на эллиптических кривых примерно тот же уровень защиты достигается со значительно меньшими значениями длины ключей.
К тому же, при равных длинах ключей вычислительные усилия, требуемые при использовании RSA и криптографии на основе эллиптических кривых, не сильно различаются. Таким образом, в сравнении с RSA при равных уровнях защиты явное вычислительное преимущество принадлежит криптографии на основе эллиптических кривых с более короткой длиной ключа .
Таблица: Вычислительные усилия, необходимые для криптоанализа при использовании эллиптических кривых и RSA
Размер ключа | MIPS-годы |
---|---|
150 | 3,8 * 10^10 |
205 | 7,1 * 10^18 |
234 | 1,6 * 10^28 |
Размер ключа | MIPS-годы |
---|---|
512 | 3 * 10^4 |
768 | 3 * 10^7 |
1024 | 3 * 10^11 |
1280 | 3 * 10^14 |
1536 | 3 * 10^16 |
2048 | 3 * 10^20 |
Алгоритм ECDSA (Elliptic Curve Digital Signature Algorithm) принят в качестве стандартов ANSI X9F1 и IEEE P1363 .
Подписью для сообщения М является пара чисел (r, s).
Большинство криптосистем современной криптографии естественным образом можно «переложить» на эллиптические кривые. Основная идея заключается в том, что известный алгоритм, используемый для конкретных конечных групп, переписывается для использования групп рациональных точек эллиптических кривых:
Необходимо отметить, что безопасность таких систем цифровой подписи опирается не только на криптостойкость алгоритмов шифрования, но и на криптостойкость используемых криптографических хеш-функций и генераторов случайных чисел .
По обзору 2013 года, чаще всего используются кривые nistp256, nistp384, nistp521, secp256k1, secp384r1, secp521r1 .