Diffie-Hellmanův protokol o eliptických křivkách

Eliptická křivka Diffie-Hellman protokol ( Eng. Elliptic curve Diffie–Hellman , ECDH ) je kryptografický protokol , který umožňuje dvěma stranám, které mají páry veřejného/soukromého klíče na eliptických křivkách , získat sdílený tajný klíč pomocí nechráněného komunikačního kanálu [1] [ 2] . Tento tajný klíč lze použít jak k zašifrování dalších výměn, tak k vytvoření nového klíče , který pak lze použít pro následnou výměnu informací pomocí symetrických šifrovacích algoritmů . Je to variaceprotokol Diffie-Hellman využívající eliptickou kryptografii [3] .

Popis algoritmu

Nechť jsou dva předplatitelé: Alice a Bob . Předpokládejme, že Alice chce s Bobem sdílet tajný klíč, ale jediný dostupný kanál mezi nimi může zaslechnout třetí strana. Nejprve je třeba dohodnout sadu parametrů ( pro obecný případ a pro charakteristické pole ). Každá strana musí mít také dvojici klíčů, sestávající ze soukromého klíče ( náhodně vybraného celého čísla z intervalu ) a veřejného klíče (kde je výsledek jednoho provedení operace součtu prvků ). Nechť je pak Alicein klíčový pár a Bobův klíčový pár . Před provedením protokolu si strany musí vyměnit veřejné klíče. $(p,a,b,G,n,h)$ $(m,f(x),a,b,G,n,h)$ $2$ $d$ $[1,n-1]$ $Q$ $Q=d \cdot G$ $d$ $G$ $(d_A, Q_A)$ $(d_B, Q_B)$

Alice počítá . Bob počítá . Shared secret - (x-ová souřadnice výsledného bodu). Většina standardních protokolů založených na ECDH používá funkce odvození klíče k odvození symetrického klíče z hodnoty [4] [5] . $(x_k, y_k) = d_A\cdot Q_B$ $(x_k, y_k) = d_B\cdot Q_A$ $x_k$ $x_k$

Hodnoty vypočítané účastníky jsou stejné, protože . Ze všech informací spojených s jejím soukromým klíčem Alice odhalí pouze svůj veřejný klíč. Nikdo jiný než Alice tedy nemůže určit její soukromý klíč, kromě účastníka, který je schopen vyřešit problém diskrétního logaritmu na eliptické křivce . Bobův soukromý klíč je podobně bezpečný. Nikdo kromě Alice nebo Boba nemůže vypočítat své sdílené tajemství, kromě účastníka, který je schopen vyřešit problém Diffie-Hellman [6] . $d_A \cdot Q_B = d_A \cdot d_B \cdot G = d_B \cdot d_A \cdot G = d_B \cdot Q_A$

Veřejné klíče jsou buď statické (a podložené certifikátem) nebo efemérní (zkráceně ECDHE). Dočasné klíče se používají dočasně a nemusí nutně ověřovat odesílatele, takže pokud je vyžadována autentizace, je třeba získat důkaz pravosti jiným způsobem [3] . Pro eliminaci možnosti útoku typu man-in-the -middle je vyžadována autentizace . Pokud Alice nebo Bob použijí statický klíč, hrozba útoku typu man-in-the-middle je eliminována, ale nelze poskytnout ani dopředné utajení , ani odolnost proti falšování, když je klíč kompromitován , ani některé další vlastnosti odolnosti proti útoku. . Uživatelé statických soukromých klíčů jsou nuceni ověřovat cizí veřejný klíč a používat funkci odvození sdíleného tajného klíče, aby se zabránilo úniku informací o statickém soukromém klíči [7] . Pro šifrování s jinými vlastnostmi se často používá protokol MQV .

Při použití sdíleného tajemství jako klíče je často žádoucí tajemství hashovat , abychom se zbavili zranitelností, které vznikly po aplikaci protokolu [7] .

Příklad [8]

Eliptická křivka E nad polem má řád , kde P49 je prvočíslo , skládající se ze 49 číslic v desítkové soustavě. $GF(2^{163})$ $2\cdot P49$

E:\quad Y^{2}+XY=X^{3}+X^{2}+1

Zvolíme ireducibilní polynom

1+X+X^{2}+X^{8}+X^{163}

A vezměte bod eliptické křivky

P=(d42149e09429df4563ec1816488c92de89f93a9b2,~ccd18d6cc3042c4c17a213506345c80965ac19476)\neq 0

Zkontrolujeme, že jeho pořadí není rovno 2

2P=(ccd18d6cc3042c4c17a213506345c809b5ac1d476,~835a2f56b88d6a249b4bd2a7550a4375e531d8a37)

Jeho pořadí se tedy rovná řádu skupiny , jmenovitě číslu , a lze jej použít ke konstrukci klíče. Nechte ,. _ Poté jsou veřejné klíče účastníků protokolu vypočteny jako $2\cdot P49$ $P49$ $k_{A}=12$ $k_{b}=123$

{\displaystyle k_{A}\cdot P=12\cdot P=(bd9776bbe87a8b1024be2e415952f527eee928b43,~c67a28ed7b137e756c37654f164a64}f

{\displaystyle k_{B}\cdot P=123\cdot P=(a5684e246044fc126e9832d17513387e474290547,~568b4137f09f5f79a8a6b0148cdf6}aed8cdf

A sdílené tajemství bude:

{\displaystyle k_{B}\cdot k_{A}\cdot P=k_{A}\cdot k_{B}\cdot P=12\cdot 123\cdot P=(bb7856cece13c71919534878bcfecb634878bcb6dcb6fff3a8987d6b615)4bcb61b6b655

Hodnota (nebo její část) se používá jako klíč symetrického systému . $x=bb7856cece13c71919534878bcb6f3a887d613c92$

Software

Curve25519 je sada eliptických parametrů a referencí implementovaná Danielem J. Bernsteinem v jazyce C.

Viz také

Poznámky

↑ Efficient Protocol for Authenticated Key Agreement, 2003 , s. 119.
↑ Barker a kol., 2013 , s. jedenáct.
↑ 1 2 Příručka implementátora sady B k NIST SP 800-56A, 2009 , str. osm.
↑ SEC 1: Elliptic Curve Cryptography, 2009 , str. 63.
↑ Barker a kol., 2013 , s. 40.
↑ Barker a kol., 2013 , s. dvacet.
↑ 1 2 SEC 1: Elliptic Curve Cryptography, 2009 , str. třicet.
↑ Základní úvod do eliptické kryptografie. Protokoly kryptografie eliptické křivky, 2006 , str. 85.

Literatura

Elaine Barker, Lily Chen, Allen Roginsky, Miles Smid. Doporučení pro schémata zřízení párového klíče využívající diskrétní logaritmickou kryptografii // http://nvlpubs.nist.gov/ . - National Institute of Standards and Technology, 2013. - ISBN 1495447502 .
Standardy pro Efficient Cryptography Group (SECG). SEC 1 : Elliptic Curve Cryptography ] . - http://www.secg.org . - Certicom Corp, 2009. - S. 15-28, 56-58.
Národní institut pro standardy a technologie (NIST). Příručka implementátora sady B k NIST SP 800-56A ] . — https://www.nsa.gov . — 2009.
Bolotov A. A. , Gashkov S. B. , Frolov A. B. Kapitola 2. Protokoly o eliptických křivkách // Elementární úvod do eliptické kryptografie. Protokoly kryptografie na eliptických křivkách. - M. : KomKniga, 2006. - S. 83-86. - ISBN 5-484-00444-6 , BBC 32,81, MDT 512,8.

Kryptosystémy s veřejným klíčem

Algoritmy

Faktorizace celých čísel	kryptosystém Benalo Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern zaplatit Rabin RSA Okamoto – Uchijama Schmidt-Samoa
Diskrétní logaritmus	BLS Cramer - Shoup protokol Diffie-Hellman DSA ECDH Křivka25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Výměna šifrovaných klíčů Schéma ElGamal podpisové schéma MQV Schnorrovo schéma SPEKE SRP STS
Kryptografie na mřížkách	NTRUEncrypt NTRUSsign Výměna klíčů založená na učení s chybami Trénink založený na podpisu s chybami v kruhu BLAHO Nová naděje
jiný	AE CEILIDH EPOC Rovnice skrytého pole IES Lamportův podpis McEliece Zádový kryptosystém Merkle-Hellman Zádový kryptosystém Naccache–Stern Tříkrokový protokol XTR

Teorie

Diskrétní logaritmus na eliptické křivce
Eliptická kryptografie
Kryptografie založená na hash
Nekomutativní kryptografie
Problém RSA
Jednosměrná funkce s tajným vstupem

Normy

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantová kryptografie

Témata

Elektronický podpis
OAEP
Otisk prstu
PKI
síť důvěry
Velikost klíče
Kryptografie založená na identitě
Postkvantová kryptografie
OpenPGP karta