WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

ECDSA (Elliptic Curve Digital Signature Algorithm) — алгоритм с открытым ключом для создания цифровой подписи, аналогичный по своему строению DSA, но определённый, в отличие от него, не над кольцом целых чисел, а в группе точек эллиптической кривой.

Особенности

Стойкость алгоритма шифрования основывается на проблеме дискретного логарифма в группе точек эллиптической кривой. В отличие от проблемы простого дискретного логарифма и проблемы факторизации целого числа, не существует субэкспоненциального алгоритма для проблемы дискретного логарифма в группе точек эллиптической кривой. По этой причине «сила на один бит ключа» существенно выше в алгоритме, который использует эллиптические кривые.^[1]

Д. Брауном (Daniel R. L. Brown) было доказано, что алгоритм ECDSA не является более безопасным, чем DSA. Им было сформулировано ограничение безопасности для ECDSA, которое привело к следующему заключению:

«Если группа эллиптической кривой может быть смоделирована основной группой и её хеш-функция удовлетворяет определенному обоснованному предположению, то ECDSA устойчива к атаке на основе подобранного открытого текста с существующей фальсификацией.»^[2]

Алгоритм ECDSA в 1999 г. был принят как стандарт ANSI, в 2000 г. — как стандарт IEEE и NIST. Также в 1998 г. алгоритм был принят стандартом ISO. Несмотря на то, что стандарты ЭЦП созданы совсем недавно и находятся на этапе совершенствования, одним из наиболее перспективных из них на сегодняшний день является ANSI X9.62 ECDSA от 1999 — DSA для эллиптических кривых.^{[источник не указан 1436 дней]}

Выбор параметров

Для подписывания сообщений необходима пара ключей — открытый и закрытый. При этом закрытый ключ должен быть известен только тому, кто подписывает сообщения, а открытый — любому желающему проверить подлинность сообщения. Также общедоступными являются параметры самого алгоритма.

Параметры алгоритма

Выбор хеш-функции $H(x)$ . Для использования алгоритма необходимо, чтобы подписываемое сообщение являлось числом. Хеш-функция должна преобразовать любое сообщение в последовательность битов, которые можно потом преобразовать в число.
Выбор большого простого числа $q$ — порядок одной из циклических подгрупп группы точек эллиптической кривой.
Замечание: Если размерность этого числа в битах меньше размерности в битах значений хеш-функции $H(x)$ то используются только левые биты значения хеш-функции.
Простым числом $p$ обозначается характеристика поля координат $F_{p}$ .

Генерирование ключей ECDSA

Для простоты будем рассматривать эллиптические кривые над полем $F_{p}$ , где $F_{p}$ — конечное простое поле. Причем, если необходимо, конструкцию можно легко адаптировать для эллиптических кривых над другим полем.

Пусть $E$ — эллиптическая кривая, определенная над $F_{p}$ , и $P$ — точка простого порядка $q$ кривой $E(F_{p})$ . Кривая $E$ и точка $P$ являются системными параметрами. Число $p$ — простое. Каждый пользователь — условно назовём его Алиса — конструирует свой ключ посредством следующих действий:

Выбирает случайное или псевдослучайное целое число $x$ из интервала $[1,q-1]$ .
Вычисляет произведение (кратное) $Q$ = $x$ · $P$ .

Открытым ключом пользователя Алисы $A$ является точка $Q$ , а закрытым — $x$ .

Вместо использования $E$ и $P$ в качестве глобальных системных параметров, можно фиксировать только поле $F_{p}$ для всех пользователей и позволить каждому пользователю выбирать свою собственную эллиптическую кривую $E$ и точку $P$ $\in$ $E(F_{p})$ . В этом случае определенное уравнение кривой $E$ , координаты точки $P$ , а также порядок $q$ этой точки $P$ должны быть включены в открытый ключ пользователя. Если поле $F_{p}$ фиксировано, то аппаратная и программная составляющие могут быть построены так, чтобы оптимизировать вычисления в том поле. В то же время имеется огромное количество вариантов выбора эллиптической кривой над полем $F_{p}$ .

Вычисление цифровой подписи

Для того, чтобы подписать какое-либо сообщение, для которого подсчитано значение $h$ хеш-функции $H$ , пользователь $A$ должен сделать следующее:

Выбрать случайное целое число $k\in [1,q-1]$ .
Вычислить $k\cdot P=(x_{1},y_{1})$ и положить в $r=x_{1}\mod q$ , где $r$ получается из целого числа $x_{1}$ между $0$ и $(p-1)$ приведением по модулю $q$ .
Замечание: если $r=0$ , то уравнение подписи $s=k^{-1}(h+x\cdot r)\mod q$ не зависит от секретного ключа $x$ , и следовательно, $(r,s)$ не подходит в качестве цифровой подписи. Значит, в случае $r=0$ необходимо вернуться к шагу 1.
Вычислить $k^{-1}{\pmod {q}}$ и положить $s=k^{-1}(h+x\cdot r)\mod q$ , где h — значение хеш-функции подписываемого сообщения.
Замечание: если $s=0$ , то значение $s^{-1}{\pmod {q}}$ , нужное для проверки, не существует. Значит, в случае $s=0$ необходимо вернуться к шагу 1.

Подписью для сообщения является пара целых чисел $(r,s)$ .

Проверка цифровой подписи

Для того, чтобы проверить подпись пользователя Алисы $(r,s)$ на сообщение, пользователь Боб $B$ должен сделать следующее:

Получить подтвержденную копию открытого ключа $Q$ пользователя А;
Проверить, что числа $r$ и $s$ являются целыми числами из интервала $[1,q-1]$ , и вычислить значение хеш-функции $h$ от сообщения;
Вычислить $u_{1}=s^{-1}h\mod q$ и $u_{2}=s^{-1}r\mod q$ ;
Вычислить $u_{1}\cdot P+u_{2}\cdot Q=(x_{0},y_{0})$ , и относительно $x_{0}$ , как целого числа между $0$ и $(p-1)$ , положить $v=x_{0}\mod q$ ;
Принять подпись, тогда и только тогда, когда $v=r$ .

Заметим, что, если пользователь Алиса вычислила свою подпись правильно, то $u_{1}P+u_{2}Q=(u_{1}+xu_{2})P=(s^{-1}\cdot h\mod q+x\cdot s^{-1}\cdot r\mod q)\cdot P=k\cdot P$ , так как $k=s^{-1}(h+xr){\pmod {q}}$ , и поэтому $v=r$ .

Для подтверждения публичного ключа Q нужно проделать следующее ( $O$ здесь обозначает бесконечно удалённую точку):

Проверить, что $Q$ не равно $O$ и координаты верны;
Проверить, что $Q$ лежит на кривой;
Проверить, что $qQ=O$ ;

ECDSA согласно стандарту ANSI X9.62

Для практического применения алгоритма ECDSA налагают ограничения на поля, в которых определены эллиптические кривые. Более того, для избежания некоторых известных атак, ограничения накладываются и на уравнения, задающие эллиптические кривые, и на порядок базовых точек. Для простоты в данном разделе будем рассматривать только конечные $F_{p}$ .

Требования к эллиптической кривой

Для того, чтобы избежать известных атак, основанных на проблеме дискретного логарифма в группе точек эллиптической кривой, необходимо, чтобы число точек эллиптической кривой $E$ делилось на достаточно большое простое число $n$ . Стандарт ANSI X9.62 требует $n>2^{160}$ . Уравнение эллиптической кривой строится специфическим образом, используя случайные/псевдослучайные коэффициенты.

Главными параметрами при построении эллиптической кривой являются:

размерность поля $p$ , где $p$ является простым числом;
два элемента поля $F_{p}$ — $a$ и $b$ , определенные уравнением эллиптической кривой $E$ , где $E$ имеет вид:
$y^{2}=x^{3}+ax+b$ ,

где $a$ , $b$ $\in$ $F_{p}$ , и $4a^{3}$ + $27b^{2}$ $\not \equiv$ 0 ${\pmod {p}}$ .
два элемента поля $F_{p}$ — $x_{G}$ и $y_{G}$ , которые определяют конечную точку $G=(x_{G},y_{G})$ — генератор группы $E(F_{p})$
порядок $q$ точки $G$ , где $q>2^{160}$ и $q$ > 4 ${\sqrt {p}}$
сомножитель $h$ = # $E(F_{p})$ / $q$ , где обозначение # $E(F_{p})$ означает порядок группы точек эллиптической кривой $E(F_{p})$ .

Генерация главных параметров

Один из способов генерирования криптографически надежных параметров заключается в следующем:

Выбираем коэффициенты $a$ и $b$ специфическим образом используя в вычислениях случайные/псевдослучайные числа. Пусть $E$ — эллиптическая кривая — $y^{2}=x^{3}+ax+b$ ;
Вычисляем $N=\#E(F_{p})$ ;
Проверяем, что $N$ имеет делитель, который является большим простым числом $q(q>2^{160}$ и $q>4{\sqrt {p}})$ . Если нет, то нужно вернуться на шаг 1.
Проверяем, что $q$ не делит ${p^{k}-1}$ для каждого $k$ , $1\leq k\leq 100$ . Если нет, то нужно вернуться на шаг 1;
Проверяем, что $q\neq p$ . Если нет, то нужно вернуть на шаг 1;
Берем случайную точку $G'\in E(F_{q})$ и положить $G=(N/q)G'$ . Повторяем до тех пор пока $G\neq O$ .

В 1985 г. Скооф (Schoof) представил алгоритм, работающий за полиномиальное время, для подсчета $\#E(F_{p})$ , число точек эллиптической кривой определенная над полем $F_{p}$ (p — нечетное простое число). Алгоритм Скоофа является достаточно не эффективным на практике для значений $p$ , которые действительно представляют интерес, то есть $p>2^{160}$ . В последние несколько лет было проделано много работы по улучшению и ускорению алгоритма Скоофа, сейчас он называется SEA (Schoof-Elkies-Atkin) алгоритм. С такими улучшениями криптографически пригодные эллиптические кривые, определенные над полями, чьи порядки более, чем $2^{200}$ , могут быть сгенерированы за несколько часов на рабочих станциях.

Преимущества ECDSA перед DSA

ECDSA является очень привлекательным алгоритмом для реализации ЭЦП. Самым важным преимуществом ECDSA является возможность его работы на значительно меньших полях $F_{p}$ . Как, в общем, с криптографией эллиптической кривой, предполагается, что битовый размер открытого ключа, который будет необходим для ECDSA, равен двойному размеру секретного ключа в битах. Для сравнения, при уровне безопасности в 80 бит (то есть атакующему необходимо примерно $2^{80}$ версий подписи для нахождения секретного ключа), размер открытого ключа DSA равен, по крайней мере, 1024 бит, тогда как открытого ключа ECDSA — 160 бит. С другой стороны размер подписи одинаков и для DSA, и для ECDSA: $4t$ бит, где $t$ — уровень безопасности, измеренный в битах, то есть — примерно 320 бит для уровня безопасности в 80 бит.

Практическая реализация

На сегодняшний день реализация электронных цифровых подписей осуществляются программным образом. Для создания подобных продуктов используют специальные программные пакеты, позволяющие создавать криптографические приложения с использованием различных внешних устройств безопасности.

Примечания

↑ Коржев В. Цифровая подпись. Эллиптические кривые (неопр.). «Открытые системы» (8 августа 2002). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.
↑ D. Brown. Generic groups, collision resistance, and ECDSA (неопр.). «Codes and Cryptography» (26 февраля 2002). Проверено 27 ноября 2008. Архивировано 27 февраля 2012 года.

Ссылки

Neal Koblitz and Alfred Menezes (неопр.) (1995). — Another Look at Generic Groups. Проверено 27 ноября 2008. Архивировано 27 февраля 2012 года.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] Коржев В. Цифровая подпись. Эллиптические кривые (неопр.). «Открытые системы» (8 августа 2002). Проверено 16 ноября 2008. Архивировано 22 февраля 2012 года.

[2] D. Brown. Generic groups, collision resistance, and ECDSA (неопр.). «Codes and Cryptography» (26 февраля 2002). Проверено 27 ноября 2008. Архивировано 27 февраля 2012 года.