Алгоритм цифровой подписи с эллиптической кривой - Elliptic Curve Digital Signature Algorithm

В криптография, то Алгоритм цифровой подписи с эллиптической кривой (ECDSA) предлагает вариант Алгоритм цифровой подписи (DSA), который использует криптография на основе эллиптических кривых.

Размер ключа и подписи

Как и в случае криптографии с эллиптической кривой в целом, бит размер из открытый ключ считается необходимым для ECDSA примерно в два раза больше уровень безопасности, в битах. Например, на уровне безопасности 80 бит (это означает, что злоумышленнику требуется максимум около операций по поиску закрытого ключа) размер открытого ключа ECDSA будет 160 бит, тогда как размер открытого ключа DSA составляет не менее 1024 бит. С другой стороны, размер подписи одинаков как для DSA, так и для ECDSA: примерно биты, где - это уровень безопасности, измеряемый в битах, то есть около 320 бит для уровня безопасности 80 бит.

Алгоритм генерации подписи

Предполагать Алиса хочет отправить подписанное сообщение на Боб. Первоначально они должны согласовать параметры кривой . Помимо поля и уравнения кривой нам потребуется , базовая точка простого порядка на кривой; - мультипликативный порядок точки .

Параметр
ИЗГИБполе эллиптической кривой и используемое уравнение
граммбазовая точка эллиптической кривой, точка на кривой, которая создает подгруппа большого простого порядка n
пцелочисленный порядок грамм, Значит это , куда является элементом идентичности.
закрытый ключ (выбирается случайным образом)
открытый ключ (рассчитывается по эллиптической кривой)
мсообщение для отправки

Приказ базовой точки должен быть главным. Действительно, мы предполагаем, что каждый ненулевой элемент кольца обратима, так что должно быть поле. Это означает, что должно быть простым (ср. Личность Безу ).

Алиса создает пару ключей, состоящую из целого числа закрытого ключа , случайно выбранный в интервале ; и точка кривой открытого ключа . Мы используем обозначать умножение точки эллиптической кривой на скаляр.

Чтобы Алиса подписала сообщение , она выполняет следующие шаги:

  1. Рассчитать . (Здесь HASH - это криптографическая хеш-функция, Такие как SHA-2, с преобразованием вывода в целое число.)
  2. Позволять быть крайние левые части , куда битовая длина группового порядка . (Обратите внимание, что возможно больше чем но нет дольше.[1])
  3. Выберите криптографически безопасный случайный целое число из .
  4. Рассчитать точку кривой .
  5. Рассчитать . Если , вернитесь к шагу 3.
  6. Рассчитать . Если , вернитесь к шагу 3.
  7. Подпись пара . (И также действительная подпись.)


Как указано в стандарте, это требуется не только для быть секретным, но также важно выбрать разные для разных подписей, иначе уравнение на шаге 6 может быть решено для , закрытый ключ: с двумя подписями и , используя ту же неизвестную для разных известных сообщений и , злоумышленник может вычислить и , и с тех пор (все операции в этом абзаце выполняются по модулю ) злоумышленник может найти . С , злоумышленник теперь может вычислить закрытый ключ .

Этот сбой реализации использовался, например, для извлечения ключа подписи, используемого для PlayStation 3 игровая консоль.[2]

Еще один способ утечки закрытых ключей в подписи ECDSA - это когда генерируется неисправным генератор случайных чисел. Такой сбой в генерации случайных чисел привел к тому, что пользователи Android Bitcoin Wallet потеряли свои средства в августе 2013 года.[3]

Чтобы гарантировать, что уникальна для каждого сообщения, можно полностью обойти генерацию случайных чисел и сгенерировать детерминированные подписи путем получения как из сообщения, так и из закрытого ключа.[4]

Алгоритм проверки подписи

Чтобы Боб мог подтвердить подпись Алисы, он должен иметь копию ее точки кривой открытого ключа. . Боб может проверить является допустимой точкой кривой следующим образом:

  1. Проверь это не равен элементу идентичности , и его координаты действительны в противном случае
  2. Проверь это лежит на кривой
  3. Проверь это

После этого Боб выполняет следующие действия:

  1. Подтвердите это и целые числа в . В противном случае подпись недействительна.
  2. Рассчитать , где HASH - это та же функция, которая используется при генерации подписи.
  3. Позволять быть крайние левые части .
  4. Рассчитать и .
  5. Рассчитать точку кривой . Если значит подпись недействительна.
  6. Подпись действительна, если , в противном случае недействителен.

Обратите внимание, что эффективная реализация будет вычислять обратный только однажды. Кроме того, используя трюк Шамира, сумма двух скалярных умножений может быть вычислен быстрее, чем два скалярных умножения, выполненных независимо.[5]

Правильность алгоритма

Не сразу понятно, почему проверка вообще работает правильно. Чтобы понять почему, обозначим как точка кривой, вычисленная на шаге 5 проверки,

Из определения открытого ключа как ,

Поскольку скалярное умножение эллиптической кривой распределяется по сложению,

Расширяя определение и с шага проверки 4,

Собираем общий термин ,

Расширяя определение из шага подписи 6,

Поскольку обратный к обратному элементу является исходный элемент, а произведение обратного элемента и элемента является тождеством, мы остаемся с

Из определения , это шаг проверки 6.

Это показывает только то, что правильно подписанное сообщение будет правильно проверено; многие другие свойства[который? ] необходимы для безопасного алгоритма подписи.

Восстановление открытого ключа

Учитывая сообщение и подпись Алисы в этом сообщении Боб может (потенциально) восстановить открытый ключ Алисы:[6]

  1. Подтвердите это и целые числа в . В противном случае подпись недействительна.
  2. Вычислить точку кривой куда один из , , и др. (при условии не слишком велик для элемента поля) и - такое значение, при котором выполняется уравнение кривой. Обратите внимание, что может быть несколько точек кривой, удовлетворяющих этим условиям, и каждая из них отличается value приводит к отдельному восстановленному ключу.
  3. Рассчитать , где HASH - это та же функция, которая используется при генерации подписи.
  4. Позволять быть крайние левые части .
  5. Рассчитать и .
  6. Рассчитать точку кривой .
  7. Подпись действительна, если , соответствует открытому ключу Алисы.
  8. Подпись недействительна, если все возможные были опробованы, и ни один не соответствует открытому ключу Алисы.

Обратите внимание, что недействительная подпись или подпись из другого сообщения приведет к восстановлению неверного открытого ключа. Алгоритм восстановления может использоваться для проверки действительности подписи только в том случае, если заранее известен открытый ключ подписывающей стороны (или его хэш).

Правильность алгоритма восстановления

Начнем с определения из шага восстановления 6,

Из определения из шага 4 подписания,

Поскольку скалярное умножение эллиптической кривой распределяется по сложению,

Расширяя определение и из шага восстановления 5,

Расширяя определение из шага подписи 6,

Поскольку произведение обратного элемента и элемента является тождеством, мы остаемся с

Первый и второй члены взаимно компенсируют друг друга,

Из определения , это открытый ключ Алисы.

Это показывает, что правильно подписанное сообщение восстановит правильный открытый ключ при условии, что дополнительная информация была предоставлена ​​для однозначного расчета точки кривой. от значения подписи .

Безопасность

В декабре 2010 года группа, называющая себя fail0verflow объявил о восстановлении закрытого ключа ECDSA, использованного Sony подписать программное обеспечение для PlayStation 3 игровая консоль. Однако эта атака сработала только потому, что Sony неправильно реализовала алгоритм, потому что было статическим, а не случайным. Как указано в Алгоритм генерации подписи раздел выше, это делает разрешима и весь алгоритм бесполезен.[7]

29 марта 2011 г. два исследователя опубликовали МАКР бумага[8] демонстрируя, что можно получить закрытый ключ TLS сервера, используя OpenSSL который аутентифицируется с помощью Elliptic Curves DSA по двоичному поле через синхронизация атаки.[9] Уязвимость исправлена ​​в OpenSSL 1.0.0e.[10]

В августе 2013 года было обнаружено, что ошибки в некоторых реализациях Ява учебный класс SecureRandom иногда возникали столкновения в ценить. Это позволило хакерам восстанавливать закрытые ключи, давая им такой же контроль над транзакциями биткойнов, как и у законных владельцев ключей, используя тот же эксплойт, который использовался для раскрытия ключа подписи PS3 на некоторых Android реализации приложений, которые используют Java и полагаются на ECDSA для аутентификации транзакций.[11]

Эту проблему можно предотвратить с помощью непредсказуемого поколения , например, детерминированная процедура, описанная RFC 6979.

Обеспокоенность

Существует два типа проблем с ECDSA:

  1. Политические проблемы: надежность NIST -произведенные кривые подвергались сомнению после того, как выяснилось, что АНБ охотно вставляет бэкдоры в программное обеспечение, компоненты оборудования и опубликованные стандарты; известные криптографы[12] выразили[13][14] сомнения относительно того, как были построены кривые NIST, и добровольное заражение уже было доказано в прошлом.[15][16] Тем не менее, доказательства того, что названные кривые NIST используют редкую слабость, пока отсутствуют.
  2. Технические проблемы: сложность правильного внедрения стандарта,[17] его медлительность и недостатки конструкции, которые снижают безопасность в недостаточно защитных реализациях Dual_EC_DRBG генератор случайных чисел.[18]

Обе эти проблемы кратко изложены в libssh кривая25519 вступление.[19]

Реализации

Ниже приведен список криптографических библиотек, обеспечивающих поддержку ECDSA:

Пример использования

Wikipedia.org использует ECDSA в шифровальном наборе TLS для аутентификации в веб-браузерах, что показано в следующей сокращенной транскрипции.

$ ДатаСр 4 мар, 10:24:52 EST 2020$ openssl s_client -connect wikipedia.org:443 # вывод ниже имеет УДАЛЕНИЯ для краткостиПОДКЛЮЧЕНО (00000003)depth = 2 O = Digital Signature Trust Co., CN = DST Корневой CA X3проверить возврат: 1глубина = 1 C = США, O = Let's Encrypt, CN = Let's Encrypt Authority X3проверить возврат: 1глубина = 0 CN = * .wikipedia.orgпроверить возврат: 1---Цепочка сертификатов 0 с: / CN = *. Wikipedia.org   i: / C = US / O = Let's Encrypt / CN = Let's Encrypt Authority X3 1 с: / C = US / O = Let's Encrypt / CN = Let's Encrypt Authority X3   i: / O = Digital Signature Trust Co./CN=DST Корневой CA X3---Сертификат сервера----- НАЧАТЬ СЕРТИФИКАТ -----MIIHOTCCBiGgAwIBAgISA4srJU6bpT7xpINN6bbGO2 / mMA0GCSqGSIb3DQEBCwUA     ... УДАЛЕНО много строк ....kTOXMoKzBkJCU8sCdeziusJtNvWXW6p8Z3UpuTw =----- КОНЕЦ СЕРТИФИКАТА -----subject = / CN = *. wikipedia.orgэмитент = / C = US / O = Let's Encrypt / CN = Let's Encrypt Authority X3---Имена ЦС сертификатов клиента не отправленыДайджест подписи участников: SHA256Временный ключ сервера: ECDH, P-256, 256 бит---Подтверждение SSL прочитано 3353 байта и записано 431 байт---Новый, TLSv1 / SSLv3, шифр ECDHE-ECDSA-AES256-GCM-SHA384Открытый ключ сервера - 256 битПоддерживается безопасное повторное согласованиеСжатие: НЕТРасширение: НЕТALPN не согласованаSSL-сессия:    Протокол: TLSv1.2    Шифр: ECDHE-ECDSA-AES256-GCM-SHA384    ID сеанса: ... УДАЛЕНО ...    Идентификатор сеанса-ctx:     Мастер-ключ: ... УДАЛЕНО ...    Key-Arg: Нет    Идентификатор PSK: Нет    Подсказка идентичности PSK: Нет    Имя пользователя SRP: Нет    Время начала: 1583335210    Тайм-аут: 300 (сек)    Проверить код возврата: 0 (ок)---СДЕЛАНО

Смотрите также

Рекомендации

  1. ^ NIST FIPS 186-4, июль 2013 г., стр. 19 и 26
  2. ^ Взлом консоли 2010 - Эпический провал PS3 В архиве 15 декабря 2014 г. Wayback Machine, стр. 123–128
  3. ^ «Уязвимость в системе безопасности Android». Получено 24 февраля, 2015.
  4. ^ «RFC 6979 - Детерминированное использование алгоритма цифровой подписи (DSA) и алгоритма цифровой подписи с эллиптической кривой (ECDSA)». Получено 24 февраля, 2015.
  5. ^ «Система счисления с двойной базой в криптографии с эллиптическими кривыми» (PDF). Получено 22 апреля, 2014.
  6. ^ Дэниел Р. Л. Браун SECG СЕК 1: Криптография эллиптических кривых (версия 2.0) https://www.secg.org/sec1-v2.pdf
  7. ^ Бендель, Майк (29 декабря 2010 г.). «Хакеры описывают безопасность PS3 как эпический провал, получают неограниченный доступ». Exophase.com. Получено 5 января, 2011.
  8. ^ «Архив Cryptology ePrint: отчет 2011/232». Получено 24 февраля, 2015.
  9. ^ «Примечание об уязвимости VU № 536044 - OpenSSL утекает закрытый ключ ECDSA через удаленную синхронизацию». www.kb.cert.org.
  10. ^ «Журнал изменений». OpenSSL проект. Получено 22 апреля, 2014.
  11. ^ «Ошибка Android бьет биткойн-кошельки». Реестр. 12 августа 2013 г.
  12. ^ Шнайер, Брюс (5 сентября 2013 г.). «АНБ больше всего взламывает шифрование в Интернете». Шнайер о безопасности.
  13. ^ «SafeCurves: выбор безопасных кривых для криптографии с эллиптическими кривыми». 25 октября 2013 г.
  14. ^ Бернштейн, Даниэль Дж .; Ланге, Таня (31 мая 2013 г.). «Угрозы безопасности кривых NIST» (PDF).
  15. ^ Шнайер, Брюс (15 ноября 2007 г.). "Странная история Dual_EC_DRBG". Шнайер о безопасности.
  16. ^ Гринемайер, Ларри (18 сентября 2013 г.). «Усилия АНБ по уклонению от технологии шифрования нарушили стандарт шифрования США». Scientific American.
  17. ^ Бернштейн, Дэниел Дж. (23 марта 2014 г.). «Как разработать систему подписи с эллиптической кривой». Блог cr.yp.to.
  18. ^ «Новый тип ключа (ed25519) и формат закрытого ключа».
  19. ^ "[email protected] doc - projects / libssh.git". общий репозиторий libssh.

дальнейшее чтение


внешняя ссылка