В 1985 году независимо Нилом Коблицем и Виктором Миллером было предложено использовать в криптографии алгебраические свойства эллиптических кривых. С этого момента началось бурное развитие нового направления криптографии, для которого используется термин «криптография на эллиптических кривых». Роль основной криптографической операции выполняет операция скалярного умножения точки на эллиптической кривой на данное целое число, определяемая через операции сложения и удвоения точек эллиптической кривой. Последние, в свою очередь, выполняются на основе операций сложения, умножения и инвертирования в конечном поле, над которыми рассматривается кривая. Особый интерес к криптографии эллиптических кривых обусловлен теми преимуществами, которые дает её применение в беспроводных коммуникациях — высокое быстродействие и небольшая длина ключа[2]. Асимметричная криптография основана на сложности решения некоторых математических задач. Ранние криптосистемы с открытым ключом, такие как алгоритм RSA, криптостойки благодаря тому, что сложно разложить составное число на простые множители. При использовании алгоритмов на эллиптических кривых полагается, что не существует субэкспоненциальных алгоритмов для решения задачи дискретного логарифмирования в группах их точек. При этом порядок группы точек эллиптической кривой определяет сложность задачи. Считается, что для достижения такого же уровня криптостойкости, как и в RSA, требуются группы меньших порядков, что уменьшает затраты на хранение и передачу информации. Например, на конференции RSA 2005 Агентство национальной безопасности объявило о создании «Suite B», в котором используются исключительно алгоритмы эллиптической криптографии, причём для защиты информации, классифицируемой до «Top Secret», используются всего лишь 384-битные ключи.
Эллиптической кривой называется множество точек , удовлетворяющих уравнению:
Это уравнение может рассматриваться над произвольными полями и, в частности, над конечными полями, представляющими для криптографии особый интерес.
В криптографии эллиптические кривые рассматриваются над двумя типами конечных полей: простыми полями нечётной характеристики (, где — простое число) и полями характеристики 2 ().
Эллиптические кривые над полями нечётной характеристики
Над полем характеристики уравнение эллиптической кривой E можно привести к виду:
где — константы, удовлетворяющие .
Группой точек эллиптической кривой E над полем называется множество пар , лежащих на E, объединённое с нулевым элементом :
Следует отметить, что в у каждого ненулевого элемента есть либо два квадратных корня, либо нет ни одного, поэтому точки эллиптической кривой разбиваются на пары вида и .
Пример
Рассмотрим эллиптическую кривую над полем . На этой кривой, в частности, лежит точка , так как . Легко проверить, что точки , , , это все точки данной кривой.
Теорема Хассе об эллиптических кривых утверждает, что количество точек на эллиптической кривой близко к размеру конечного поля:
что влечёт:
Эллиптические кривые над полями характеристики 2
Над полем характеристики 2 рассматривают два вида эллиптических кривых:
Суперсингулярная кривая
Несуперсингулярная кривая
Особое удобство суперсингулярных эллиптических кривых в том, что для них легко вычислить порядок, в то время как вычисление порядка несуперсингулярных кривых вызывает трудности. Суперсингулярные кривые особенно удобны для создания самодельной ЕСС (Elliptic-curve cryptography) криптосистемы. Для их использования можно обойтись без трудоёмкой процедуры вычисления порядка.
Проективные координаты
Для вычисления суммы пары точек на эллиптической кривой требуется не только несколько операций сложения и умножения в , но и операция обращения, то есть для заданного нахождение такого , что , которая на один-два порядка медленнее, чем умножение. К счастью, точки на эллиптической кривой могут быть представлены в различных системах координат, которые не требуют использования обращения при сложении точек:
в проективной системе координат каждая точка представляется тремя координатами , которые удовлетворяют соотношениям:
, .
в системе координат Якоби точка также представляется тремя координатами с соотношениями: , .
в системе координат Лопес-Дахаб (洛佩斯·達哈卜 кит. / Lopez-Dahab лат.) выполняется соотношение: , .
в модифицированной системе координат Якоби используются 4 координаты с теми же соотношениями.
в системе координат Чудновского-Якоби используется 5 координат .
Важно отметить, что могут существовать различные именования — например, IEEE P1363-2000 называет проективными координатами то, что обычно называют координатами Якоби.
Шифрование/дешифрование с использованием эллиптических кривых
Первой задачей в рассматриваемой системе является шифрование открытого текста сообщения , которое должно будет пересылаться в виде значения (Как?)[3] для точки . Здесь точка будет представлять закодированный в неё текст и впоследствии будет раскодироваться. Обратите внимание, невозможно закодировать сообщение просто координатой или точки, так как не все такие координаты имеются в .
Как и в случае системы обмена ключами, в системе шифрования, расшифрования в качестве параметров тоже рассматривается точка и эллиптическая группа . Пользователь выбирает личный ключ и генерирует открытый ключ. Чтобы зашифровать и послать сообщение пользователю , пользователь выбирает случайное положительное целое число и вычисляет шифрованный текст , состоящий из пары точек
. При этом, — пара точек.
Заметим, что сторона использует открытый ключ стороны : . Чтобы дешифровать этот шифрованный текст, умножает первую точку в паре на секретный ключ и вычитает результат из второй точки:
Пользователь замаскировал сообщение с помощью добавления к нему . Никто, кроме этого пользователя не знает значения , поэтому, хотя и является открытым ключом, никто не сможет убрать маску . Однако, пользователь включает в сообщение и "подсказку", которой будет достаточно, чтобы убрать маску тому, кто имеет личный ключ . Противнику для восстановления сообщения придется вычислить по данным и , что представляется трудной задачей[4].
Арифметические операции с точками на эллиптической кривой не эквивалентны этим арифметическим операциям с их координатами.
Точки эллиптической кривой над конечным полем представляют собой группу[5]. Умножение сводится к многократным удвоению и суммированию.
Например, G+G ≠ 2G (это разные операции), 2G + 2^115G = 2^115G + 2G (суммирование коммутативно);
2G = 2*G; 4G = 2*2G; 8G = 2*4G; 16G = 2*8G, и т. д. (для двух одинаковых точек — только операция удвоения);
Предположим, что пользователь собирается отправить пользователю сообщение, которое кодируется эллиптической точкой , и что пользователь выбирает случайное число . Открытым ключом является . Имеем:
.
Таким образом, пользователь должен послать шифрованный текст .
Реализация шифрования
Конкретные реализации алгоритмов шифрования на эллиптической кривой описаны ниже. Здесь рассмотрим общие принципы эллиптической криптографии.
Набор параметров
Для использования эллиптической криптографии все участники должны согласовать все параметры, определяющие эллиптическую кривую, т. е. набор параметров криптографического протокола. Эллиптическая кривая определяется константами и из уравнения (2). Абелева подгруппа точек является циклической и задается одной порождающей точкой G. При этом кофактор , где n — порядок точки G, должен быть небольшим (, желательно даже ).
Итак, для поля характеристики 2 набор параметров: , а для конечного поля , где , набор параметров: .
Существует несколько рекомендованных наборов параметров:
Кривые над , где — не простое число. Шифрование на этих кривых подвержено атакам Вейля.
Кривые с уязвимы для атаки, которая отображает точки данной кривой в аддитивную группу поля .
Быстрая редукция (NIST-кривые)
Деление по модулю p (которое необходимо для операций сложения и умножения) может выполняться быстрее, если в качестве p выбрать простое число, близкое к степени числа 2.
В частности, в роли p может выступать простое число Мерсенна. Например, хорошим выбором являются или .
Национальный институт стандартов и технологий (NIST) рекомендует использовать подобные простые числа в качестве p.
Ещё одним преимуществом кривых, рекомендованных NIST, является выбор значения , что ускоряет операцию сложения в координатах Якоби.
Эллиптические кривые, рекомендованные NIST
NIST рекомендует 15 эллиптических кривых, многие из которых были получены Jerry Solinas (NSA) на базе наработок Нила Коблица[10]. В частности, FIPS 186-3[11] рекомендует 10 конечных полей. Некоторые из них:
поля , где простое p имеет длину 192, 224, 256, 384 или 521[12]бит,
поля , где m = 163, 233, 283, 409 или 571.
Причём для каждого конечного поля рекомендуется одна эллиптическая кривая. Эти конечные поля и эллиптические кривые выбраны, как часто ошибочно считается, из-за высокого уровня безопасности. По заявлениям NIST, их выбор был обоснован эффективностью программной реализации[13]. Имеются сомнения в безопасности по крайней мере нескольких из них[14][15][16].
Размер ключа
Самым быстрым алгоритмом, решающим задачу дискретного логарифмирования на эллиптических кривых, таким как алгоритм Шенкса и ρ-метод Полларда, необходимо операций. Поэтому размер поля должен как минимум в два раза превосходить размер ключа. Например, для 128-битного ключа рекомендуется использовать эллиптическую кривую над полем , где p имеет длину 256 бит.
Самые сложные схемы на эллиптических кривых, публично взломанные к настоящему времени, содержали 112-битный ключ для конечного простого поля и 109-битный ключ для конечного поля характеристики 2[источник не указан 4019 дней].
В июле 2009 года кластер из более чем двухсот Sony Playstation 3 за 3,5 месяца нашел 109-битный ключ. Ключ над полем характеристики 2 был найден в апреле 2004 года, с использованием 2600 компьютеров, в течение 17 месяцев[источник не указан 4019 дней].
Аналог обмена ключами по алгоритму Диффи-Хеллмана
Предположим, что абоненты А и Б хотят договориться о ключе, которым будут впоследствии пользоваться в некоторой классической криптосистеме. Прежде всего, они открыто выбирают какое-либо конечное поле и какую-либо эллиптическую кривую над ним. Их ключ строится по случайной точке на этой эллиптической кривой. Если у них есть случайная точка , то, например, её -координата дает случайный элемент , который можно затем преобразовать в -разрядное целое число в -ичной системе счисления (где ), и это число может служить ключом в их классической криптосистеме. Они должны выбрать точку так, чтобы все их сообщения друг другу были открытыми и все же никто, кроме них двоих, ничего бы не знал о .
Абоненты (пользователи) А и Б первым делом открыто выбирают точку ∈ в качестве «основания»; играет ту же роль, что образующий в системе Диффи-Хеллмана для конечных полей. Однако, не требуем, чтобы была образующим элементом в группе точек кривой . Эта группа может и не быть циклической. Даже если она циклическая, не будем тратить время на проверку того, что — образующий элемент (или даже на нахождение общего числа N точек, которое нам не понадобится в последующем). Нам хотелось бы, чтобы порожденная В подгруппа была большой, предпочтительно того же порядка величины, что и сама . Пока что предположим, что — взятая открыто точка на весьма большого порядка (равного либо , либо большому делителю ).
Чтобы образовать ключ, вначале случайным образом выбирает целое число , сравнимое по порядку величины с (которое близко к ); это число он держит в секрете.
Он вычисляет ∈ и передает эту точку открыто. Абонент Б делает то же самое: он выбирает случайно и открыто передает ∈ . Тогда используемый ими секретный ключ — это ∈ . Оба пользователя могут вычислить этот ключ. Например, знает (точка была передана открыто) и своё собственное секретное . Однако любая третья сторона знает лишь и . Кроме решения задачи дискретного логарифмирования — нахождения а по и (или нахождения по и ) по-видимому, нет способа найти , зная лишь и [17].
Пример обмена ключами по схеме Диффи-Хеллмана
В качестве примера возьмем
, ,
что соответствует кривой
Безопасность криптографии с использованием эллиптических кривых
Безопасность, обеспечиваемая криптографическим подходом на основе эллиптических кривых, зависит от того, насколько трудной для решения оказывается задача определения по данным и . Эту задачу обычно называют задачей дискретного логарифмирования на эллиптической кривой. Наиболее быстрым из известных на сегодня методов логарифмирования на эллиптической кривой является так называемый -метод Полларда. В таблице (см. ниже) сравнивается эффективность этого метода и метод разложения на простые множители с помощью решета в поле чисел общего вида. Из нее видно, что по сравнению с RSA в случае применения методов криптографии на эллиптических кривых примерно тот же уровень защиты достигается со значительно меньшими значениями длины ключей.
К тому же, при равных длинах ключей вычислительные усилия, требуемые при использовании RSA и криптографии на основе эллиптических кривых, не сильно различаются. Таким образом, в сравнении с RSA при равных уровнях защиты явное вычислительное преимущество принадлежит криптографии на основе эллиптических кривых с более короткой длиной ключа[18].
Таблица: Вычислительные усилия, необходимые для криптоанализа при использовании эллиптических кривых и RSA
Логарифмирование на эллиптической кривой с помощью -метода Полларда.
Размер ключа
MIPS-годы
150
3,8 * 10^10
205
7,1 * 10^18
234
1,6 * 10^28
Разложение на множители в целых числах с помощью метода решета в поле чисел общего вида.
Размер ключа
MIPS-годы
512
3 * 10^4
768
3 * 10^7
1024
3 * 10^11
1280
3 * 10^14
1536
3 * 10^16
2048
3 * 10^20
Построение электронной цифровой подписи с использованием эллиптических кривых
Алгоритм ECDSA (Elliptic Curve Digital Signature Algorithm) принят в качестве стандартов ANSI X9F1 и IEEE P1363.
Создание ключей
Выбирается эллиптическая кривая . Число точек на ней должно делиться на большое простое число n.
Выбирается базовая точка порядка .
Выбирается случайное число .
Вычисляется .
Закрытым ключом является d, открытым ключом — кортеж <a, b, G, n, Q>.
Создание подписи
Выбирается случайное число .
Вычисляется и .
Проверяется условие , так как иначе подпись не будет зависеть от закрытого ключа. Если r = 0, то выбирается другое случайное число k.
Вычисляется .
Вычисляется .
Проверяется условие , так как в этом случае необходимого для проверки подписи числа не существует. Если s = 0, то выбирается другое случайное число k .
Подписью для сообщения М является пара чисел (r, s).
Проверка подписи
Проверим, что числа r и s принадлежат диапазону чисел (1, n). В противном случае результат проверки отрицательный, и подпись отвергается.
Вычислить и H(M).
Вычислить и .
Вычислить .
Подпись верна в том и только том случае, когда v = r[19].
Приложения
Большинство криптосистем современной криптографии естественным образом можно «переложить» на эллиптические кривые. Основная идея заключается в том, что известный алгоритм, используемый для конкретных конечных групп, переписывается для использования групп рациональных точек эллиптических кривых:
Необходимо отметить, что безопасность таких систем цифровой подписи опирается не только на криптостойкость алгоритмов шифрования, но и на криптостойкость используемых криптографических хеш-функций и генераторов случайных чисел.
По обзору 2013 года, чаще всего используются кривые nistp256, nistp384, nistp521, secp256k1, secp384r1, secp521r1[20].
Lü Su Lu Su yang mempunyai nama lain Zijing, adalah penasehat kerajaan Wu pada Zaman Tiga Negara di Tiongkok Kuno. Dia adalah pengganti posisi dan kedudukan Zhou Yu, seorang komandan perang, dan penasehat Wu sebelumnya yang telah meninggal setelah pertempuran Tebing Merah (Chi Bi). Saat pertempuran itu, Lu Su masih menjadi penasehat dekat Zhou Yu dan penghubung dengan pasukan Shu. Sejak kematian Zhou Yu, Lu Su diangkat menjadi kepala penasehat pasukan Sun Quan sampai waktu meninggalnya. Dia ...
Aviation accident in 1994 USAir Flight 427N513AU, the aircraft involved in the accident, in 1989AccidentDateSeptember 8, 1994 (1994-09-08)SummaryLoss of control due to rudder hardover[1]SiteHopewell Township, Beaver County, near Pittsburgh International Airport, Pennsylvania, United States 40°36′14″N 80°18′37″W / 40.60393°N 80.31026°W / 40.60393; -80.31026AircraftAircraft typeBoeing 737-3B7OperatorUSAirIATA flight No.US427ICAO fl...
West Hazleton Plaats in de Verenigde Staten Vlag van Verenigde Staten Locatie van West Hazleton in Pennsylvania Locatie van Pennsylvania in de VS Situering County Luzerne County Type plaats Borough Staat Pennsylvania Coördinaten 40° 58′ NB, 75° 60′ WL Algemeen Oppervlakte 4,0 km² - land 4 km² - water 0,0 km² Inwoners (2006) 3.358 Hoogte 518 m Overig FIPS-code 83136 Portaal Verenigde Staten West Hazleton is een plaats (borough) in de Amerikaanse staat Pennsylvani...
Валерій Іванович Пересоляк Народився 14 квітня 1981(1981-04-14) (42 роки)Громадянство УкраїнаМісце проживання Минай, Закарпатська областьДіяльність митникпрезидент ФК «Минай»Відомий завдяки контрабанда на Закарпатській митниціНауковий ступінь кандидат юридичних наук У В...
Canadian actress (1922–2016) Madeleine SherwoodSherwood in Cat on a Hot Tin Roof (1958)BornMadeleine Louise Hélène Thornton(1922-11-13)November 13, 1922Montreal, Quebec, CanadaDiedApril 23, 2016(2016-04-23) (aged 93)Saint-Hippolyte, Quebec, CanadaOccupationActressYears active1933–1993Spouse Robert Sherwood (m. 1940, divorced)Children1 Madeleine Sherwood (born Madeleine Louise Hélène Thornton; November 13, 1922 – April 23, 2016...
LacosteJenisPerusahaan tertutupIndustriRitelDidirikan1933KantorpusatKorporat: Paris, PrancisDistribusi: Troyes, PrancisProdukPakaian, sepatu, parfumSitus webwww.lacoste.com Lacoste adalah perusahaan pakaian Prancis yang didirikan pada 1933, yang menjual pakaian, sepatu, parfum, kacamata, jam tangan, dan yang paling dikenal, baju polo. Perusahaan ini dikenal dengan logonya yang berupa buaya. Lacoste bermarkas di Paris, dan markas produksinya berada di Troyes. Namun Lacoste memiliki pabrik di l...
Territorial authority district in South Island, New ZealandWaimakariri DistrictTerritorial authority districtCouncil offices in Rangiora Coat of armsCoordinates: 43°18′S 172°18′E / 43.3°S 172.3°E / -43.3; 172.3CountryNew ZealandIslandSouth Island (Te Waipounamu)RegionCanterburyCommunitiesKaiapoi-TuahiwiWoodend-SeftonOxford-OhokaRangiora-AshleyWardsKaiapoi-WoodendOxford-OhokaRangiora-AshleyNamed forWaimakariri RiverSeatRangioraTowns List AshleyBurnt HillClarkvil...
This article does not cite any sources. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Azamgarh railway station – news · newspapers · books · scholar · JSTOR (May 2019) (Learn how and when to remove this template message) Railway station in Uttar Pradesh, India AzamgarhIndian Railways stationGeneral informationLocationSH 73, Musapur, Azamgarh, Uttar Pradesh I...
2022 American comedy-drama miniseries The Best Man: The Final ChaptersGenreComedy-dramaCreated byMalcolm D. LeeBased onCharactersby Malcolm D. LeeDeveloped byMalcolm D. Lee & Dayna Lynne NorthStarring Morris Chestnut Melissa De Sousa Taye Diggs Regina Hall Terrence Howard Sanaa Lathan Nia Long Harold Perrineau Music byRobert GlasperCountry of originUnited StatesOriginal languageEnglishNo. of episodes8ProductionExecutive producers Malcolm D. Lee Dayna Lynne North Sean Daniel Dominique...
لمعانٍ أخرى، طالع تيل (توضيح). تيل تقسيم إداري البلد إيران إحداثيات 37°15′18″N 48°39′33″E / 37.255°N 48.6592°E / 37.255; 48.6592 السكان التعداد السكاني 699 نسمة (إحصاء 2016) تعديل مصدري - تعديل تيل هي قرية في مقاطعة خلخال، إيران.[1] يقدر عدد سكانها بـ 699 نسمة بحسب إحص...
Video game franchise This article is about the Prince of Persia video game series. For other uses, see Prince of Persia (disambiguation). Video game seriesPrince of PersiaGenre(s)Cinematic platformerAction-adventureDeveloper(s)BroderbundRed Orb EntertainmentAvalanche SoftwareUbisoft MontrealPipeworks SoftwareGameloftUbisoft QuebecUbisoft PunePublisher(s)BroderbundThe Learning CompanyMattel InteractiveUbisoftGameloftCreator(s)Jordan MechnerPlatform(s)MS-DOSAndroidJava MEMicrosoft WindowsiOSXbo...
Governorate of the Dutch East Indies (1938–1946) Not to be confused with Grand Est, in France. Governorate of the Great EastGouvernement Groote Oost (Dutch)Governorate of the Dutch East Indies1938–1946 Flag Emblem[a] The Great East region of the Dutch East IndiesCapitalMacassarHistoryHistory • Merger of the Constituent Entities 25 May 1938• Japanese occupation 1942–1945• Became the State of the Great East 24 December 1946 Preceded by Succeeded by D...
Hasan as-SenussiPutra Mahkota LibyaPendahuluIdris IPenerusPutra Mahkota MuhammadKelahiran1928Kematian28 April 1992(1992-04-28) (umur 64)WangsaSenussiAyahPrince Muhammad al-RidaIbuImbaraika al-FallatiyyaPasanganFawzia bint Tahir Sayyid Hasan ar-Rida al-Mahdi as-Senussi (1928 – 28 April 1992) adalah putra mahkota Kerajaan Libya dari 26 Oktober 1956 hingga 1 September 1969 ketika monarki dibubarkan. Pranala luar Media terkait Hasan as-Senussi di Wikimedia Commons The Royal Ark Diarsipkan ...
الحداد تقسيم إداري البلد المغرب الجهة مراكش آسفي الإقليم الحوز الدائرة تحناوت الجماعة القروية أوريكة المشيخة أزغار ستي السكان التعداد السكاني 1288 نسمة (إحصاء 2004) • عدد الأسر 236 معلومات أخرى التوقيت ت ع م±00:00 (توقيت قياسي)[1]، وت ع م+01:00 (توقيت صيفي)[1] تعدي...
This article does not cite any sources. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Abaya Hastha Swayambu Sri Lakshmi Narasimha Swamy Temple, Agaram Village, Hosur – news · newspapers · books · scholar · JSTOR (December 2022) (Learn how and when to remove this template message) Hindu temple in Tamil Nadu, India Abaya Hastha Swayambu Sri Lakshmi Narasimha SwamyR...
State electoral district of Western Australia This article is about the Western Australian state electorate. For the former Queensland state electorate, see Electoral district of Belmont (Queensland). BelmontWestern Australia—Legislative AssemblyLocation of Belmont (dark green) in the Perth metropolitan areaStateWestern AustraliaDates current1962–1974; 1989–presentMPCassie RowePartyLaborNamesakeBelmontElectors30,025 (2021)Area70 km2 (27.0 sq mi)DemographicMetropolita...
Con il termine culture regionali neolitiche cinesi si intende l'insieme dei primi insediamenti umani stabili della Cina continentale. I reperti archeologici testimoniano l'esistenza nel VIII-III millennio a.C. di un gran numero di comunità umane insediatesi su un vasto territorio che comprende le valli del Fiume Azzurro e del Fiume Giallo. La caratteristica principale di questi insediamenti risiede nell'altissimo grado di differenziazione culturale che si riscontra nei manufatti, nella strut...
Joan Calafat Información personalNacimiento Siglo XX Nacionalidad EspañolaInformación profesionalOcupación Presentador de televisión y locutor [editar datos en Wikidata] Joan Calafat fue un presentador de televisión,[1] locutor de radio[2] y editor especializado en el mundo de la sanidad.[3] Biografía Nacido en 1953[4], funda en 1986 la televisión local Canal 4, emisora donde trabajó hasta el año 1991, asumiendo la dirección general y también ...
For the Zone in the Oromia Region, see North Shewa Zone (Oromia). Zone in Amhara Region of Ethiopia Zone in Amhara, EthiopiaNorth Shewa ሰሜን ሸዋZoneCountry EthiopiaRegion AmharaLargest cityDebre BerhanArea[1] • Total15,936.13 km2 (6,152.97 sq mi)Population (2007)[1] • Total1,837,490 • Density120/km2 (300/sq mi) A map of the regions and zones of Ethiopia North Shewa (Amharic: ሰሜን ሸዋ, romani...