Jump to content

Криптография с эллиптической кривой

(Перенаправлено с кривой NIST )

Криптография с эллиптическими кривыми ( ECC ) — это подход к криптографии с открытым ключом, основанный на алгебраической структуре эллиптических кривых над конечными полями . ECC позволяет использовать ключи меньшего размера для обеспечения эквивалентной безопасности по сравнению с криптосистемами, основанными на модульном возведении в степень в полях Галуа , такими как криптосистема RSA и криптосистема Эль-Гамаля . [ 1 ]

Эллиптические кривые применимы для согласования ключей , цифровых подписей , генераторов псевдослучайных чисел и других задач. Косвенно их можно использовать для шифрования , объединив соглашение о ключах со схемой симметричного шифрования . Они также используются в нескольких факторизации целых чисел алгоритмах , имеющих приложения в криптографии, таких как факторизация эллиптической кривой Lenstra .

Использование эллиптических кривых в криптографии было независимо предложено Нилом Коблицем. [ 2 ] и Виктор С. Миллер [ 3 ] в 1985 году. Алгоритмы криптографии на основе эллиптических кривых получили широкое распространение в 2004–2005 годах.

В 1999 году NIST рекомендовал пятнадцать эллиптических кривых. В частности, FIPS 186-4. [ 4 ] имеет десять рекомендуемых конечных полей:

  • Пять простых полей для некоторых простых чисел p размером 192, 224, 256, 384 и 521 бит. Для каждого из простых полей рекомендуется использовать одну эллиптическую кривую.
  • Пять двоичных полей для m равны 163, 233, 283, 409 и 571. Для каждого из бинарных полей Коблица . выбиралась одна эллиптическая кривая и одна кривая

Таким образом, рекомендация NIST содержит в общей сложности пять простых кривых и десять бинарных кривых. Кривые были выбраны для оптимальной безопасности и эффективности реализации. [ 5 ]

На конференции RSA 2005 года Агентство национальной безопасности (АНБ) анонсировало пакет B , который использует исключительно ECC для генерации цифровых подписей и обмена ключами. Пакет предназначен для защиты как секретных, так и несекретных систем и информации национальной безопасности. [ 1 ] Национальный институт стандартов и технологий (NIST) одобрил криптографию на эллиптических кривых в своем Suite B наборе рекомендуемых алгоритмов , в частности , на основе эллиптической кривой Диффи-Хеллмана (ECDH) для обмена ключами и алгоритма цифровой подписи на эллиптической кривой (ECDSA) для цифровой подписи. АНБ разрешает их использование для защиты информации, засекреченной до совершенно секретной, с помощью 384-битных ключей. [ 6 ]

Недавно, [ когда? ] большое количество криптографических примитивов, основанных на билинейных отображениях различных групп эллиптических кривых, таких как пары Вейля и Тейта было введено . Схемы, основанные на этих примитивах, обеспечивают эффективное шифрование на основе идентификации , а также подписи на основе пар, шифрование подписи , согласование ключей и повторное шифрование прокси . [ нужна ссылка ]

Криптография на основе эллиптических кривых успешно используется во многих популярных протоколах, таких как Transport Layer Security и Bitcoin .

Проблемы безопасности

[ редактировать ]

В 2013 году The New York Times заявила, что детерминированная случайная генерация битов с двойной эллиптической кривой (или Dual_EC_DRBG) была включена в качестве национального стандарта NIST из-за влияния АНБ , которое включило преднамеренную слабость в алгоритм и рекомендуемую эллиптическую кривую. [ 7 ] В сентябре 2013 года компания RSA Security выпустила рекомендацию, в которой рекомендовала своим клиентам прекратить использование любого программного обеспечения на базе Dual_EC_DRBG. [ 8 ] [ 9 ] После разоблачения Dual_EC_DRBG как «тайной операции АНБ» эксперты по криптографии также выразили обеспокоенность по поводу безопасности рекомендованных NIST эллиптических кривых. [ 10 ] предлагая вернуться к шифрованию на основе групп неэллиптических кривых.

Кроме того, в августе 2015 года АНБ объявило, что планирует заменить Suite B новым набором шифров из-за опасений по поводу атак квантовых вычислений на ECC. [ 11 ] [ 12 ]

Хотя срок действия патента RSA истек в 2000 году, могут существовать действующие патенты, охватывающие определенные аспекты технологии ECC, включая по крайней мере одну схему ECC ( ECMQV ). Однако лаборатории RSA [ 13 ] и Дэниел Дж. Бернштейн [ 14 ] утверждают, что стандарт цифровой подписи на основе эллиптической кривой правительства США (ECDSA; NIST FIPS 186-3) и некоторые практические схемы обмена ключами на основе ECC (включая ECDH) могут быть реализованы без нарушения этих патентов.

Теория эллиптических кривых

[ редактировать ]

Для целей этой статьи эллиптическая кривая — это плоская кривая над конечным полем (а не действительными числами), состоящая из точек, удовлетворяющих уравнению:

вместе с выделенной точкой на бесконечности , обозначенной ∞. Координаты здесь следует выбирать из фиксированного конечного поля с характеристикой , не равной 2 или 3, иначе уравнение кривой было бы несколько сложнее.

Этот набор точек вместе с групповой операцией эллиптических кривых представляет собой абелеву группу с точкой на бесконечности в качестве единичного элемента. Структура группы наследуется от группы дивизоров основного алгебраического многообразия :

Приложение к криптографии

[ редактировать ]

Криптография с открытым ключом основана на неразрешимости некоторых математических задач . Ранние системы с открытым ключом, такие как патент RSA 1983 года, основывали свою безопасность на предположении, что трудно факторизовать большое целое число, состоящее из двух или более больших простых делителей, которые находятся далеко друг от друга. Для более поздних протоколов, основанных на эллиптических кривых, базовым предположением является то, что нахождение дискретного логарифма случайного элемента эллиптической кривой относительно общеизвестной базовой точки невозможно ( вычислительное предположение Диффи-Хеллмана ): это «дискретная эллиптическая кривая». задача логарифма» (ECDLP). Безопасность криптографии эллиптических кривых зависит от способности вычислить точечное умножение и невозможности вычислить множимое с учетом исходной точки и точки произведения. Размер эллиптической кривой, измеряемый общим количеством пар дискретных целых чисел, удовлетворяющих уравнению кривой, определяет сложность задачи.

Основное преимущество, которое обещает криптография на основе эллиптических кривых по сравнению с такими альтернативами, как RSA, — это меньший размер ключа , снижающий требования к хранению и передаче. [ 1 ] Например, 256-битный открытый ключ эллиптической кривой должен обеспечивать безопасность, сопоставимую с 3072-битным открытым ключом RSA.

Криптографические схемы

[ редактировать ]

Несколько протоколов на основе дискретного логарифма были адаптированы к эллиптическим кривым, заменив группу с эллиптической кривой:

Выполнение

[ редактировать ]

Некоторые общие соображения по реализации включают в себя:

Параметры домена

[ редактировать ]

Чтобы использовать ECC, все стороны должны согласовать все элементы, определяющие эллиптическую кривую, то есть параметры домена схемы. Размер используемого поля обычно либо простой (и обозначается как p), либо представляет собой степень двойки ( ); последний случай называется бинарным случаем , и этот случай требует выбора вспомогательной кривой, обозначаемой f . Таким образом, поле определяется p в простом случае и парой m и f в двоичном случае. Эллиптическая кривая определяется константами a и b, используемыми в ее определяющем уравнении. Наконец, циклическая подгруппа определяется ее генератором (также известным как точка ) G. базовая Для криптографических приложений порядок G , то есть наименьшее положительное число n такое, что ( точка на бесконечности кривой и единичный элемент ) обычно является простым числом. Поскольку n — размер подгруппы следует из теоремы Лагранжа , что число является целым числом. В криптографических приложениях это число h , называемое кофактором , должно быть небольшим ( ) и, желательно, . Подводя итог: в простом случае параметры домена равны ; в двоичном случае они .

Если нет уверенности в том, что параметры домена были созданы стороной, доверенной в отношении их использования, параметры домена должны быть проверены перед использованием.

Генерация параметров домена обычно не выполняется каждым участником, поскольку это включает в себя вычисление количества точек на кривой , что требует много времени и хлопотно в реализации. В результате несколько организаций по стандартизации опубликовали параметры области эллиптических кривых для нескольких распространенных размеров полей. Такие параметры предметной области обычно известны как «стандартные кривые» или «именованные кривые»; на именованную кривую можно ссылаться либо по имени, либо по уникальному идентификатору объекта, определенному в стандартных документах:

  • NIST , Рекомендуемые эллиптические кривые для государственного использования
  • SECG , SEC 2: Рекомендуемые параметры области эллиптической кривой
  • ECC Brainpool ( RFC   5639 ), Стандартные кривые ECC Brainpool и генерация кривых [ 15 ] [ 16 ]

Также доступны тестовые векторы SECG. [ 17 ] NIST одобрил множество кривых SECG, поэтому спецификации, опубликованные NIST и SECG, во многом совпадают. Параметры домена EC можно указывать либо по значению, либо по имени.

Если, несмотря на предыдущее предостережение, кто-то решает построить свои собственные параметры домена, ему следует выбрать базовое поле, а затем использовать одну из следующих стратегий, чтобы найти кривую с подходящим (т. е. близким к простому) количеством точек, используя одну из следующих стратегий: методы:

  • Выберите случайную кривую и используйте общий алгоритм подсчета точек, например алгоритм Шуфа или алгоритм Шуфа-Элкиса-Аткина .
  • Выберите случайную кривую из семейства, которое позволяет легко рассчитать количество точек (например, кривые Коблица ), или
  • Выберите количество точек и сгенерируйте кривую с этим количеством точек, используя технику сложного умножения . [ 18 ]

Некоторые классы кривых являются слабыми, и их следует избегать:

  • Кривые с непростым m уязвимы для атак спуска Вейля . [ 19 ] [ 20 ]
  • Кривые такие, что n делит (где p — характеристика поля: q для простого поля или для бинарного поля) для достаточно малых B уязвимы для атаки Менезеса-Окамото-Ванстоуна (MOV). [ 21 ] [ 22 ] который применяет обычную задачу дискретного логарифма (DLP) в поле расширения малой степени решить ECDLP. Границу B следует выбирать так, чтобы дискретные логарифмы в поле по крайней мере так же сложно вычислить, как и дискретные логарифмы на эллиптической кривой. . [ 23 ]
  • Кривые такие, что уязвимы для атаки, которая отображает точки кривой в аддитивную группу . [ 24 ] [ 25 ] [ 26 ]

Размеры ключей

[ редактировать ]

Потому что все самые быстрые известные алгоритмы, позволяющие решать ECDLP ( baby-step, гигантский шаг , ро Полларда и т. д.), требуют шагов, из этого следует, что размер базового поля должен примерно в два раза превышать параметр безопасности. Например, для 128-битной безопасности нужна кривая , где . Это можно противопоставить криптографии с конечными полями (например, DSA ), которая требует [ 27 ] 3072-битные открытые ключи и 256-битные частные ключи, а также криптография с целочисленной факторизацией (например, RSA ), для которой требуется 3072-битное значение n , где закрытый ключ должен быть такого же размера. Однако открытый ключ может быть меньше, чтобы обеспечить эффективное шифрование, особенно когда вычислительная мощность ограничена.

Самая сложная схема ECC (публично) взломанная на сегодняшний день [ когда? ] имел 112-битный ключ для случая простого поля и 109-битный ключ для случая двоичного поля. В случае с основным полем это было сломано в июле 2009 года с использованием кластера из более чем 200 игровых консолей PlayStation 3 и могло быть завершено за 3,5 месяца, используя этот кластер при непрерывной работе. [ 28 ] Дело о двоичном поле было взломано в апреле 2004 года с использованием 2600 компьютеров в течение 17 месяцев. [ 29 ]

Текущий проект направлен на решение проблемы ECC2K-130 от Certicom за счет использования широкого спектра различного оборудования: процессоров, графических процессоров, FPGA. [ 30 ]

Проективные координаты

[ редактировать ]

Внимательное изучение правил сложения показывает, что для сложения двух точек нужно не только несколько сложений и умножений в но и операция инверсии . Инверсия данного (для находить такой, что ) на один-два порядка медленнее [ 31 ] чем умножение. Однако точки на кривой могут быть представлены в разных системах координат, которые не требуют операции инверсии для добавления двух точек. Было предложено несколько таких систем: в проективной системе каждая точка представлена ​​тремя координатами. используя следующее соотношение: , ; в системе Якоби точка также представляется тремя координатами , но используется другое соотношение: , ; в системе Лопеса – Дахаба соотношение , ; в модифицированной системе Якоби используются те же соотношения, но сохраняются и используются для вычислений четыре координаты. ; а в системе Чудновского якобиана используются пять координат . Обратите внимание, что могут существовать разные соглашения об именах, например, стандарт IEEE P1363-2000 использует «проективные координаты» для обозначения того, что обычно называют координатами Якоби. Дополнительное ускорение возможно при использовании смешанных координат. [ 32 ]

Быстрое сокращение (кривые NIST)

[ редактировать ]

Приведение по модулю p (которое необходимо для сложения и умножения) может быть выполнено гораздо быстрее, если простое число p является псевдопростым числом Мерсенна , то есть ; например, или По сравнению с сокращением Барретта , ускорение может быть на порядок. [ 33 ] Ускорение здесь является скорее практическим, чем теоретическим, и обусловлено тем фактом, что модули чисел и числа, близкие к степеням двойки, могут эффективно выполняться компьютерами, работающими с двоичными числами с помощью поразрядных операций .

Кривые закончились с псевдо-Мерсенном p рекомендованы NIST. Еще одним преимуществом кривых NIST является то, что они используют a = −3, что улучшает сложение координат Якобиана.

По мнению Бернштейна и Ланге, многие решения, связанные с эффективностью, в NIST FIPS 186-2 неоптимальны. Другие повороты более безопасны и проходят так же быстро. [ 34 ]

Безопасность

[ редактировать ]

Атаки по побочным каналам

[ редактировать ]

В отличие от большинства других DLP- систем (где можно использовать одну и ту же процедуру возведения в квадрат и умножения), сложение EC существенно отличается для удвоения ( P = Q ) и общего сложения ( P Q ) в зависимости от используемой системы координат. Следовательно, важно противодействовать атакам по побочным каналам (например, атакам по времени или простому/дифференциальному анализу мощности ), используя, например, методы окна с фиксированным шаблоном (также известные как гребенчатые методы). [ нужны разъяснения ] [ 35 ] (обратите внимание, что это не увеличивает время вычислений). Альтернативно можно использовать кривую Эдвардса ; это особое семейство эллиптических кривых, для которых удвоение и сложение можно выполнить одной и той же операцией. [ 36 ] Еще одной проблемой для ECC-систем является опасность атак по сбоям , особенно при работе на смарт-картах . [ 37 ]

Криптографические эксперты выразили обеспокоенность тем, что Агентство национальной безопасности вставило клептографический бэкдор как минимум в один псевдослучайный генератор на основе эллиптической кривой. [ 38 ] Внутренние записки, опубликованные бывшим подрядчиком АНБ Эдвардом Сноуденом, предполагают, что АНБ внедрило лазейку в стандарт Dual EC DRBG . [ 39 ] Один анализ возможного бэкдора пришел к выводу, что злоумышленник, владеющий секретным ключом алгоритма, может получить ключи шифрования, имея только 32 байта вывода PRNG. [ 40 ]

Проект SafeCurves был запущен для каталогизации кривых, которые легко реализовать и которые разработаны полностью публично проверяемым способом, чтобы свести к минимуму вероятность бэкдора. [ 41 ]

Атака с помощью квантовых вычислений

[ редактировать ]

Алгоритм Шора можно использовать для взлома криптографии эллиптических кривых путем вычисления дискретных логарифмов на гипотетическом квантовом компьютере . Последние оценки квантовых ресурсов для разрыва кривой с 256-битным модулем (128-битный уровень безопасности) составляют 2330 кубитов и 126 миллиардов вентилей Тоффоли . [ 42 ] Для случая двоичной эллиптической кривой необходимо 906 кубитов (чтобы взломать 128 бит безопасности). [ 43 ] Для сравнения, использование алгоритма Шора для взлома алгоритма RSA требует 4098 кубитов и 5,2 триллиона вентилей Тоффоли для 2048-битного ключа RSA, что позволяет предположить, что ECC является более легкой целью для квантовых компьютеров, чем RSA. Все эти цифры значительно превышают любой квантовый компьютер, который когда-либо был построен, и, по оценкам, создание таких компьютеров произойдет через десятилетие или больше. [ нужна ссылка ] [ 44 ]

Суперсингулярная изогения Обмен ключами Диффи-Хеллмана утверждал, что обеспечивает постквантовую безопасную форму криптографии на эллиптических кривых за счет использования изогений для реализации обмена ключами Диффи-Хеллмана . Этот обмен ключами использует большую часть той же арифметики полей, что и существующая криптография на эллиптических кривых, и требует дополнительных затрат на вычисления и передачу, аналогичных многим используемым в настоящее время системам с открытым ключом. [ 45 ] Однако новые классические атаки подорвали безопасность этого протокола. [ 46 ]

В августе 2015 года АНБ объявило, что планирует перейти «в недалеком будущем» на новый набор шифров, устойчивый к квантовым атакам. «К сожалению, рост использования эллиптических кривых столкнулся с фактом продолжающегося прогресса в исследованиях квантовых вычислений, что потребовало переоценки нашей криптографической стратегии». [ 11 ]

Неверная кривая атака

[ редактировать ]

Когда ECC используется в виртуальных машинах , злоумышленник может использовать недопустимую кривую для получения полного закрытого ключа PDH. [ 47 ]

Альтернативные представления

[ редактировать ]

Альтернативные представления эллиптических кривых включают:

См. также

[ редактировать ]

Примечания

[ редактировать ]
  1. ^ Перейти обратно: а б с «Дело в пользу криптографии с эллиптическими кривыми» . АНБ . Архивировано из оригинала 17 января 2009 г.
  2. ^ Коблиц, Н. (1987). «Криптосистемы с эллиптическими кривыми» . Математика вычислений . 48 (177): 203–209. дои : 10.2307/2007884 . JSTOR   2007884 .
  3. ^ Миллер, В. (1986). «Использование эллиптических кривых в криптографии». Достижения в криптологии — CRYPTO '85 Proceedings . Конспекты лекций по информатике. Том. 85. стр. 417–426. дои : 10.1007/3-540-39799-X_31 . ISBN  978-3-540-16463-0 . S2CID   206617984 .
  4. ^ «Стандарт цифровой подписи (DSS)» . Национальный институт стандартов и технологий. 19 июля 2013 г. doi : 10.6028/NIST.FIPS.186-4 .
  5. ^ FIPS PUB 186-3, Стандарт цифровой подписи (DSS) .
  6. ^ «Информационный бюллетень АНБ по криптографии B» . Агентство национальной безопасности США . Архивировано из оригинала 7 февраля 2009 г.
  7. ^ Перлрот, Николь; Ларсон, Джефф; Шейн, Скотт (5 сентября 2013 г.). «АНБ способно нарушить базовые гарантии конфиденциальности в сети» . Нью-Йорк Таймс . Архивировано из оригинала 1 января 2022 г. Проверено 28 октября 2018 г.
  8. ^ Ким Зеттер, RSA сообщает своим клиентам-разработчикам: прекратите использовать алгоритм, связанный с АНБ, Wired , 19 сентября 2013 г. «Не рекомендуется использовать SP 800-90A с детерминированной случайной генерацией битов с двойной эллиптической кривой: NIST настоятельно рекомендует это сделать, пока не будет принято решение по проблемы безопасности и перевыпуск SP 800-90A, Dual_EC_DRBG, как указано в версии SP 800-90A от января 2012 года, больше не будут использоваться».
  9. ^ «Поиск – ЦСРК» . csrc.nist.gov .
  10. Брюс Шнайер (5 сентября) «Я больше не доверяю константам. Я считаю, что АНБ манипулировало ими через свои отношения с промышленностью». См . «Являются ли стандартные эллиптические кривые NIST закулисными?» , Слэшдот , 11 сентября 2013 г.
  11. ^ Перейти обратно: а б «Коммерческий набор алгоритмов национальной безопасности» . www.nsa.gov . 19 августа 2015 г. Архивировано из оригинала 4 июня 2019 г. Проверено 8 января 2020 г.
  12. ^ Часто задаваемые вопросы по коммерческому комплекту алгоритмов национальной безопасности и квантовым вычислениям, Агентство национальной безопасности США, январь 2016 г.
  13. ^ Лаборатории РСА. «6.3.4 Запатентованы ли криптосистемы с эллиптической кривой?» . Архивировано из оригинала 1 ноября 2016 г.
  14. ^ Бернштейн, DJ «Нерелевантные патенты на криптографию с эллиптическими кривыми» .
  15. Архивировано 17 апреля 2018 г. в Wayback Machine.
  16. ^ «Криптография на основе эллиптических кривых «Сделано в Германии» » (Пресс-релиз). 25 июня 2014 г.
  17. ^ «GEC 2: Тестовые векторы для SEC 1» (PDF) . www.secg.org . Архивировано из оригинала (загрузка в формате PDF) 6 июня 2013 г.
  18. ^ Лей, Георг-Иоганн; Циммер, Хорст Г. (1994). «Построение эллиптических кривых с заданным групповым порядком над большими конечными полями». Алгоритмическая теория чисел . Конспекты лекций по информатике. Том. 877. стр. 250–263. дои : 10.1007/3-540-58691-1_64 . ISBN  978-3-540-58691-3 .
  19. ^ Гэлбрейт, Южная Дакота; Смарт, НП (1999). «Криптографическое применение происхождения Вейля». Криптографическое применение спуска Вейля . Конспекты лекций по информатике. Том. 1746. с. 799. дои : 10.1007/3-540-46665-7_23 . ISBN  978-3-540-66887-9 . S2CID   15134380 .
  20. ^ Годри, П.; Хесс, Ф.; Смарт, НП (2000). «Конструктивные и деструктивные аспекты спуска Вейля по эллиптическим кривым» (PDF) . Технический отчет лабораторий Hewlett Packard . Архивировано из оригинала (PDF) 6 декабря 2006 г. Проверено 2 января 2006 г.
  21. ^ Менезес, А.; Окамото, Т.; Ванстон, ЮАР (1993). «Приведение логарифмов эллиптических кривых к логарифмам в конечном поле». Транзакции IEEE по теории информации . 39 (5): 1639–1646. дои : 10.1109/18.259647 .
  22. ^ Хитт, Л. (2006). «Об улучшенном определении степени встраивания» . Отчет IACR в электронной печати . 415 .
  23. ^ IEEE P1363. Архивировано 13 февраля 2007 г. в Wayback Machine , раздел A.12.1.
  24. ^ Семаев И. (1998). «Вычисление дискретного логарифма в группе p -точек кручения эллиптической кривой характеристики p » . Математика вычислений . 67 (221): 353–356. Бибкод : 1998MaCom..67..353S . дои : 10.1090/S0025-5718-98-00887-4 .
  25. ^ Смарт, Н. (1999). «Задача дискретного логарифмирования на эллиптических кривых следа один» . Журнал криптологии . 12 (3): 193–196. CiteSeerX   10.1.1.17.1880 . дои : 10.1007/s001459900052 . S2CID   24368962 .
  26. ^ Сато, Т.; Араки, К. (1998). «Факторы Ферма и алгоритм дискретного логарифмирования с полиномиальным временем для аномальных эллиптических кривых». Математические комментарии Университета Святого Павла 47 .
  27. ^ NIST, Рекомендации по управлению ключами — Часть 1: общие сведения , Специальная публикация 800-57, август 2005 г.
  28. ^ «Решение 112-битного простого ECDLP – LACAL» . lacal.epfl.ch . Архивировано из оригинала 15 июля 2009 г. Проверено 11 июля 2009 г.
  29. ^ «Certicom объявляет победителя конкурса криптографии на основе эллиптических кривых» . Сертиком . 27 апреля 2004 г. Архивировано из оригинала 19 июля 2011 г.
  30. ^ «Взлом ECC2K-130» . www.ecc-challenge.info .
  31. ^ Хичкок, Ю.; Доусон, Э.; Кларк, А.; Монтегю, П. (2002). «Реализация эффективной криптосистемы с эллиптической кривой поверх GF (p) на смарт-карте» (PDF) . Журнал АНЗИАМ . 44 . Архивировано из оригинала (PDF) 27 марта 2006 г.
  32. ^ Коэн, Х .; Мияджи, А .; Оно, Т. (1998). «Эффективное возведение в степень эллиптической кривой с использованием смешанных координат». Достижения криптологии — ASIACRYPT'98 . Конспекты лекций по информатике. Том. 1514. стр. 51–65. дои : 10.1007/3-540-49649-1_6 . ISBN  978-3-540-65109-3 .
  33. ^ Браун, М.; Хэнкерсон, Д.; Лопес Дж.; Менезес, А. (2001). «Программная реализация эллиптических кривых NIST над простыми полями». Темы криптологии — CT-RSA 2001 . Конспекты лекций по информатике. Том. 2020. стр. 250–265. CiteSeerX   10.1.1.25.8619 . дои : 10.1007/3-540-45353-9_19 . ISBN  978-3-540-41898-6 .
  34. ^ Дэниел Дж. Бернштейн и Таня Ланге . «SafeCurves: выбор безопасных кривых для криптографии с эллиптическими кривыми» . Проверено 1 декабря 2013 г.
  35. ^ Хедабу, М.; Пинель, П.; Бенето, Л. (2004). «Метод гребенки для обеспечения устойчивости ECC к атакам по побочным каналам» (PDF) . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  36. ^ «Cr.yp.to: 2014.03.23: Как спроектировать систему подписи на основе эллиптической кривой» .
  37. ^ См., например, Биль, Ингрид; Мейер, Бернд; Мюллер, Волкер (2000). «Дифференциальные атаки на криптосистемы с эллиптическими кривыми». Достижения в криптологии — CRYPTO 2000 (PDF) . Конспекты лекций по информатике . Том. 1880. стр. 131–146. дои : 10.1007/3-540-44598-6_8 . ISBN  978-3-540-67907-3 .
  38. ^ «Включило ли АНБ секретный бэкдор в новый стандарт шифрования?» . www.schneier.com .
  39. ^ «Правительство объявляет о шагах по восстановлению доверия к стандартам шифрования» . NY Times — блог Bits . 10 сентября 2013 г. Проверено 6 ноября 2015 г.
  40. ^ Шумоу, Дэн; Фергюсон, Нильс. «О возможности наличия черного хода в проекте NIST SP800-90 Dual Ec Prng» (PDF) . Майкрософт .
  41. ^ Бернштейн, Дэниел Дж.; Ланге, Таня. «SafeCurves: выбор безопасных кривых для криптографии с эллиптическими кривыми» . Проверено 1 октября 2016 г.
  42. ^ Реттелер, Мартин; Наэриг, Майкл; Своре, Криста М .; Лаутер, Кристин (2017). «Оценки квантовых ресурсов для вычисления дискретных логарифмов на эллиптических кривых». arXiv : 1706.06752 [ квант-ph ].
  43. ^ Банегас, Г.; Бернштейн, диджей; Хоф, И. ван; Ланге, Т. (2020). «Конкретный квантовый криптоанализ бинарных эллиптических кривых» (PDF) . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  44. ^ Холмс, Дэвид (7 сентября 2021 г.). «RSA в «до-постквантовом» вычислительном мире» . f5 . Архивировано из оригинала 08 августа 2020 г. Проверено 16 марта 2021 г.
  45. ^ Де Фео, Лука; Джао, Плут (2011). «К квантовоустойчивым криптосистемам на основе суперсингулярных изогений эллиптических кривых» . Архив криптологии ePrint, отчет 2011/506 . МАКР. Архивировано из оригинала 3 мая 2014 г. Проверено 3 мая 2014 г.
  46. ^ Роберт, Дэмиен (2022). «Взлом SIDH за полиномиальное время» . Архив электронной печати по криптологии .
  47. ^ Коэн, Cfir (25 июня 2019 г.). «AMD-SEV: восстановление ключа DH платформы с помощью атаки с использованием недействительной кривой (CVE-2019-9836)» . Сектантская организация . Архивировано из оригинала 2 июля 2019 года . Проверено 4 июля 2019 г. Было обнаружено, что реализация эллиптической кривой SEV (ECC) уязвима для атаки с использованием недействительной кривой. По команде запуска-старта злоумышленник может отправить точки ECC малого порядка, не входящие в официальные кривые NIST, и заставить прошивку SEV умножить точку малого порядка на частный скаляр DH прошивки.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: f6d1dfad6e150f11a1d0cf55788b5e2a__1722559560
URL1:https://arc.ask3.ru/arc/aa/f6/2a/f6d1dfad6e150f11a1d0cf55788b5e2a.html
Заголовок, (Title) документа по адресу, URL1:
Elliptic-curve cryptography - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)