Эллиптическая кривая Диффи – Хеллмана

Эллиптическая кривая Диффи-Хеллмана ( ECDH ) — это протокол соглашения о ключах , который позволяет двум сторонам, каждая из которых имеет пару открытого и закрытого ключей с эллиптической кривой , установить общий секрет по незащищенному каналу . ^{[ 1 ] [ 2 ] [ 3 ]} Этот общий секрет можно использовать непосредственно в качестве ключа или для получения другого ключа . Ключ или производный ключ затем можно использовать для шифрования последующих сообщений с использованием шифра с симметричным ключом . Это вариант протокола Диффи-Хеллмана, использующий криптографию на основе эллиптических кривых .

В следующем примере показано, как устанавливается общий ключ. Предположим, Алиса хочет установить общий ключ с Бобом , но единственный доступный им канал может быть подслушан третьей стороной. Первоначально параметры домена (т. е. ${\displaystyle (p,a,b,G,n,h)}$ в простом случае или ${\displaystyle (m,f(x),a,b,G,n,h)}$ в бинарном случае) должны быть согласованы. Кроме того, каждая сторона должна иметь пару ключей, подходящую для криптографии на эллиптических кривых, состоящую из закрытого ключа. ${\displaystyle d}$ (случайно выбранное целое число в интервале ${\displaystyle [1,n-1]}$) и открытый ключ, представленный точкой ${\displaystyle Q}$ (где ${\displaystyle Q=d\cdot G}$, то есть результат сложения ${\displaystyle G}$ самому себе ${\displaystyle d}$ раз). Пусть ключевая пара Алисы будет ${\displaystyle (d_{\text{A}},Q_{\text{A}})}$ и пара ключей Боба будет ${\displaystyle (d_{\text{B}},Q_{\text{B}})}$. Каждая сторона должна знать открытый ключ другой стороны до выполнения протокола.

Алиса вычисляет точку ${\displaystyle (x_{k},y_{k})=d_{\text{A}}\cdot Q_{\text{B}}}$. Боб вычисляет точку ${\displaystyle (x_{k},y_{k})=d_{\text{B}}\cdot Q_{\text{A}}}$. Общий секрет – это ${\displaystyle x_{k}}$ ( координата x точки). Большинство стандартизированных протоколов, основанных на ECDH, получают симметричный ключ из ${\displaystyle x_{k}}$ используя некоторую функцию получения ключа на основе хеша.

Общий секрет, рассчитанный обеими сторонами, одинаков, поскольку ${\displaystyle d_{\text{A}}\cdot Q_{\text{B}}=d_{\text{A}}\cdot d_{\text{B}}\cdot G=d_{\text{B}}\cdot d_{\text{A}}\cdot G=d_{\text{B}}\cdot Q_{\text{A}}}$.

Единственная информация о своем ключе, которую изначально раскрывает Алиса, — это ее открытый ключ. Таким образом, ни одна сторона, кроме Алисы, не может определить закрытый ключ Алисы (Алиса, конечно, знает его, выбрав его), если только эта сторона не может решить задачу дискретного логарифмирования эллиптической кривой . Закрытый ключ Боба также безопасен. Ни одна сторона, кроме Алисы или Боба, не может вычислить общий секрет, если только эта сторона не может решить проблему Диффи-Хеллмана для эллиптической кривой .

Открытые ключи являются либо статическими (и заслуживают доверия, например, посредством сертификата), либо эфемерными (также известными как ECDHE , где последняя буква «E» означает «эфемерный»). Эфемерные ключи являются временными и не обязательно проходят проверку подлинности, поэтому, если требуется аутентификация, гарантии подлинности должны быть получены другими способами. Аутентификация необходима, чтобы избежать атак «человек посередине» . Если один из открытых ключей Алисы или Боба является статическим, то атаки «человек посередине» предотвращаются. Статические открытые ключи не обеспечивают ни прямой секретности , ни устойчивости к компрометации ключей, а также других расширенных свойств безопасности. Владельцы статических закрытых ключей должны проверить другой открытый ключ и применить функцию получения безопасного ключа к необработанному общему секрету Диффи-Хеллмана, чтобы избежать утечки информации о статическом закрытом ключе. Схемы с другими свойствами безопасности см. в MQV .

Если Алиса злонамеренно выбирает недопустимые точки кривой для своего ключа, а Боб не подтверждает, что точки Алисы являются частью выбранной группы, она может собрать достаточно остатков ключа Боба, чтобы получить его закрытый ключ. Было обнаружено, что несколько библиотек TLS уязвимы для этой атаки. ^{[ 4 ]}

Общий секрет равномерно распределен по подмножеству ${\displaystyle [0,p)}$ размера ${\displaystyle (n+1)/2}$. По этой причине секрет не следует использовать непосредственно в качестве симметричного ключа, но его можно использовать в качестве энтропии для функции получения ключа.

Позволять ${\displaystyle A,B\in F_{p}}$ такой, что ${\displaystyle B(A^{2}-4)\neq 0}$. Форма Монтгомери эллиптическая кривая ${\displaystyle E_{M,A,B}}$ это совокупность всех ${\displaystyle (x,y)\in F_{p}\times F_{p}}$ удовлетворяющее уравнению ${\displaystyle By^{2}=x(x^{2}+Ax+1)}$ вместе с точкой на бесконечности, обозначаемой как ${\displaystyle \infty }$. Это называется аффинной формой кривой. Набор всего ${\displaystyle F_{p}}$-рациональные точки зрения ${\displaystyle E_{M,A,B}}$, обозначенный как ${\displaystyle E_{M,A,B}(F_{p})}$ это совокупность всех ${\displaystyle (x,y)\in F_{p}\times F_{p}}$ удовлетворяющий ${\displaystyle By^{2}=x(x^{2}+Ax+1)}$ вместе с ${\displaystyle \infty }$. При правильно определенной операции сложения ${\displaystyle E_{M,A,B}(F_{p})}$ это группа с ${\displaystyle \infty }$ как элемент идентичности. Известно, что порядок этой группы кратен 4. На самом деле обычно можно получить ${\displaystyle A}$ и ${\displaystyle B}$ такой, что порядок ${\displaystyle E_{M,A,B}}$ является ${\displaystyle 4q}$ для простого ${\displaystyle q}$. Далее можно последовать более обширному обсуждению кривых Монтгомери и их арифметики. ^{[ 5 ] [ 6 ] [ 7 ]}

Для эффективности вычислений предпочтительнее работать с проективными координатами. Проективная форма кривой Монтгомери ${\displaystyle E_{M,A,B}}$ является ${\displaystyle BY^{2}Z=X(X^{2}+AXZ+Z^{2})}$. Для точки ${\displaystyle P=[X:Y:Z]}$ на ${\displaystyle E_{M,A,B}}$, ${\displaystyle x}$-координатная карта ${\displaystyle x}$ следующее: ^{[ 7 ]} ${\displaystyle x(P)=[X:Z]}$ если ${\displaystyle Z\neq 0}$ и ${\displaystyle x(P)=[1:0]}$ если ${\displaystyle P=[0:1:0]}$ . Бернштейн ^{[ 8 ] [ 9 ]} представил карту ${\displaystyle x_{0}}$ следующее: ${\displaystyle x_{0}(X:Z)=XZ^{p-2}}$ который определен для всех значений ${\displaystyle X}$ и ${\displaystyle Z}$ в ${\displaystyle F_{p}}$. Вслед за Миллером ^{[ 10 ]} Монтгомери ^{[ 5 ]} и Бернштейн, ^{[ 9 ]} ключевое соглашение Диффи-Хеллмана можно реализовать на кривой Монтгомери следующим образом. Позволять ${\displaystyle Q}$ быть генератором подгруппы простого порядка группы ${\displaystyle E_{M,A,B}(F_{p})}$. Алиса выбирает секретный ключ ${\displaystyle s}$ и имеет открытый ключ ${\displaystyle x_{0}(sQ)}$; Боб выбирает секретный ключ ${\displaystyle t}$ и имеет открытый ключ ${\displaystyle x_{0}(tQ)}$. Общий секретный ключ Алисы и Боба: ${\displaystyle x_{0}(stQ)}$. Использование классических компьютеров, самый известный метод получения ${\displaystyle x_{0}(stQ)}$ от ${\displaystyle Q,x_{0}(sQ)}$ и ${\displaystyle x_{0}(tQ)}$ требуется около ${\displaystyle O(p^{1/2})}$ время с использованием алгоритма Ро Полларда. ^{[ 11 ]}

Самый известный пример кривой Монтгомери — Curve25519 , предложенный Бернштейном. ^{[ 9 ]} Для Кривой25519, ${\displaystyle p=2^{255}-19,A=486662}$ и ${\displaystyle B=1}$. Другая кривая Монтгомери, которая является частью TLS 1.3, — это Curve448 , которая была представлена по Гамбургу. ^{[ 12 ]} Для Кривой448, ${\displaystyle p=2^{448}-2^{224}-1,A=156326}$ и ${\displaystyle B=1}$. пара кривых Монтгомери с названиями M[4698] и M[4058], конкурирующих с Curve25519 и Curve448 соответственно. В статье была предложена ^{[ 13 ]} Для М[4698] ${\displaystyle p=2^{251}-9,A=4698,B=1}$ и для M[4058] ${\displaystyle p=2^{444}-17,A=4058,B=1}$. На 256-битном уровне безопасности были предложены три кривые Монтгомери с именами M[996558], M[952902] и M[1504058]. ^{[ 14 ]} Для М[996558] ${\displaystyle p=2^{506}-45,A=996558,B=1}$, для M[952902], ${\displaystyle p=2^{510}-75,A=952902,B=1}$ и для M[1504058], ${\displaystyle p=2^{521}-1,A=1504058,B=1}$ соответственно. Помимо этих двух, другие предложения кривых Монтгомери можно найти по адресу. ^{[ 15 ]}

• Curve25519 — популярный набор параметров эллиптических кривых и эталонная реализация Дэниела Дж. Бернштейна на C. языке привязки и альтернативные реализации. Также доступны
• Приложение LINE Messenger использует протокол ECDH для сквозного шифрования всех сообщений, отправляемых через это приложение, с октября 2015 года. ^{[ 16 ]}
• Протокол Signal использует ECDH для обеспечения безопасности после компрометации. Реализации этого протокола встречаются в Signal , WhatsApp , Facebook Messenger и Skype .

• Обмен ключами Диффи-Хеллмана
• Прямая секретность