WikiSort.ru - Не сортированное

Входные параметры алгоритма

Первая сторона — Алиса:^[2]

• ${\displaystyle P_{B}}$  — открытый ключ Боба
• ${\displaystyle p_{a}}$  — закрытый собственный ключ
• Ε — группа точек над эллиптической кривой
• G — циклическая подгруппа точек группы E эллиптической кривой
• g — генератор подгруппы G

Вторая сторона — Боб:^[2]

• ${\displaystyle P_{A}}$  — открытый ключ
• ${\displaystyle p_{b}}$  — закрытый собственный ключ
• Ε — группа точек над эллиптической кривой
• G — подгруппа точек группы E эллиптической кривой
• g — генератор подгруппы G

Шифрование

Предположим, Алиса хочет послать сообщение Бобу. У Алисы есть открытый ключ Боба ${\displaystyle P_{B}}$ , у Боба — соответствующий закрытый ключ ${\displaystyle p_{b}}$ , также Алиса генерирует временную пару своих открытого ${\displaystyle P_{A}}$ и закрытого ${\displaystyle p_{a}}$ ключей. Закрытые ключи — элементы конечного поля (поля, на котором задана эллиптическая кривая), а открытые ключи — точки, принадлежащие эллиптической кривой и вычисленные как произведение закрытого ключа и генератора g эллиптической кривой.^[3]

Для отправки сообщения Алиса выполняет следующие действия:^[3]

• С помощью метода генерации общего секрета KA Алиса вычисляет общий секрет ${\displaystyle s}$ = ${\displaystyle p_{a}}$  × ${\displaystyle P_{B}}$ (по протоколу Диффи — Хеллмана).

• Используя полученный общий секрет ${\displaystyle s}$ и метод получения ключей из ключевой и дополнительной информации KDF, Алиса получает ключ шифрования ${\displaystyle k_{ENC}}$ , а также ключ для вычисления имитовставки ${\displaystyle k_{MAC}}$ .

• С помощью симметричного алгоритма шифрования Алиса шифрует открытое сообщение ${\displaystyle m}$ ключом ${\displaystyle k_{ENC}}$ и получает шифротекст ${\displaystyle c}$ .

• Взяв ключ ${\displaystyle k_{MAC}}$ , зашифрованное сообщение ${\displaystyle c}$ и другие заранее обговорённые сторонами параметры, Алиса вычисляет тэг сообщения с помощью функции MAC.

• Алиса отсылает Бобу {${\displaystyle P_{A}}$ , ${\displaystyle tag}$ , ${\displaystyle c}$ }.

Расшифрование

Относительно процесса расшифрования шаги, которые должен выполнить Боб, являются следующими:^[4]

• С помощью полученного открытого ключа Алисы и своего закрытого ключа получить общий секрет ${\displaystyle s}$ = ${\displaystyle p_{b}}$  × ${\displaystyle P_{A}}$ , ключи шифрования ${\displaystyle k_{ENC}}$ и имитовставки ${\displaystyle k_{MAC}}$ .
• При помощи ключей шифрования ${\displaystyle k_{ENC}}$ и имитовставки ${\displaystyle k_{MAC}}$ вычислить тэг сообщения и сравнить его с полученным тэгом. Если они не совпадают, Боб должен отклонить сообщение из-за неудачи в процедуре проверки MAC.
• Если тэги окажутся одинаковыми, то Боб может продолжить процесс, расшифровывая зашифрованное сообщение ${\displaystyle c}$ , используя симметричный алгоритм Encryption и ${\displaystyle k_{ENC}}$ .

«Мягкая уязвимость»

Виктор Шоуп^[en] доказал^[7], что если публичный ключ U не включён во входные данные функции KDF и, если в KDF используется только x-координата разделённого секрета, то ECIES подвержен атакам на основе адаптивного шифротекста (eng. Adaptive Chosen Ciphertext Attacks (CCA2)). Уязвимость названа «мягкой», так как никакая атака не смогла получить значимую информацию с использованием этой уязвимости.

Одно из возможных решений, предложенных Шоупом — добавить публичный ключ U во входные данные функции KDF.

Уязвимость при использовании функции XOR

Шоуп также доказал^[8], что схема ECIES может быть уязвима, когда функция XOR используется при шифровании сообщений переменной длины. В частности, это может привести к уязвимости к атакам на основе адаптивного шифротекста (англ. Adaptive Chosen Ciphertext Attacks (CCA2)). Возможные решения:

• Зафиксировать длину открытого текста^[8].
• Интерпретировать выходные данные функции KDF как ${\displaystyle k_{MAC}}$ ||${\displaystyle k_{ENC}}$ ^[9].
• Запретить использование потоковых фильтров в ECIES (разрешить только блочные шифры)^[10].

Атака малыми подгруппами (англ. ‘’Small subgroup attack’’)

Данный тип атак возможен, когда противник специально предоставляет неверный публичный ключ. Если отправитель не проверяет подлинность публичного ключа другой стороны, то противник сможет подменить публичный ключ на ключ меньшего размера с целью получения разделённого секрета или получения информации о закрытом ключе отправителя. Возможные решения:

• Проверять правильность публичного ключа, предоставленного принимающей стороной^[11].
• Заменить разделенный секрет на его хеш во входных данных функции KDF^[11].

Статьи

• Víctor Gayoso Martínez, L. Hernández Encinas, Carmen Sánchez Ávila. A Survey of the Elliptic Curve Integrated Encryption Scheme (англ.).
• Victor Shoup. A Proposal for an ISO Standard for Public Key Encryption (version 2.1) (англ.).
• Neha Gupta, Harsh Kumar Singh, Anurag Jain. An Efficient Implementation For Key Management Technique Using Smart Card And ECIES Cryptography (англ.).
• V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas. Information Processing and Coding (англ.).
• N. Koblitz. Elliptic curve cryptosystems (англ.) // Mathematics of Computation.
• J. Stern. Evaluation report on the ECIES cryptosystem cryptosystems (англ.).
• J. Quisquater, F. Koeune,. ECIES - Security evaluation of the encryption scheme and primitives (англ.).
• V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios. ECIES - Security evaluation of the encryption scheme and primitives (англ.).