•Умножение точки P на число k условно называют «возведением точки в k-ю степень» при этом понимают k кратное сложение точки с самой собой.
•А обратную операцию: нахождение показателя степени k по известному значению условно называют логарифмированием точки на эллиптической
кривой.
•Для возведения в степень можно использовать «быстрый алгоритм», подобный быстрому возведению в степень числа по модулю
ПРИМЕР. Найти Z=171P, где P E
Представим 171 в виде степеней числа 2: 171=128+32+8+2+1 или Z=171P=128P+32P+8P+2P+P
• Для нахождения точек iP составим таблицу : 2P=P+P 4P=2P+2P, 8P=4P+4P,
16P=8P+8P, 32P=16P+16P^ 64P=32P+32P, 128P=64P+64P,
в которой каждая новая точка получается удвоением предыдущей.
Система шифрования Эль-Гамаля 1985г.
Пусть p -простое число; a - примитивный элемент.
Корреспондент А 
Создание пары: закрытый- открытый ключи
A - генерирует число xA,
вычисляет ОНФ yA=ax (modp).
(SK= xA , PK= yA).
yA передается корр. B.
Корреспондент В
Шифрование сообщения
Пусть корр. B хочет послать корр.А сообщение m<p.
Генерирует случайное число k<p. Формирует криптограмму E=(c1c2)
c1=akmodp, c2=m (yA-1)k modp. Отправляет E корр. А.
Криптосистема Эль-Гамаля на ЭК
Генерация ключей |
|
|
|
Сервер генерирует эллиптическую кривую |
вида |
(над полем Галуа и |
|
выбирает базовую точку порядка. |
|
|
|
Сервер случайным образом выбирает закрытый ключ , |
|
||
Вычисляется |
открытый ключ |
(1) |
|
Параметры – публикуются открыто. |
|
|
|
Шифрование сообщения М |
|
|
|
Криптограмма состоит из двух частей |
|
|
|
Enc(M)=, |
|
(2) |
|
первая часть |
A |
|
(3) |
где r ‒случайное число, выбираемое в диапазоне . |
|
||
вторая часть |
|
(4) |
|
Дешифрование криптограммы
Расшифрование криптограммы осуществляется с помощью закрытого ключа d:
=(M- d =(M+rQ – rQ)modp=M
Пример построения системы Эль-Гамаля на эллиптической кривой
•1.Кор. В выбирает ЭК Е67(2,3) над GF(p).
•2. Кор.В вычисляет P=(2,22) и SK d=4.
•3. Кор.В вычисляет Q=d*P=(13,45).
•4. Кор.В объявляет (E, P, Q)-открытым ключем. d- закрытый ключ, его знает только В.
•5. Кор.А хочет передать сообщение M=(24,26) кор.В. Он выбирает СЧ r=2.
•6. кор.А находит точку С1=r*P=(35,1).
•7. Кор.А находит точку С2=M+rQ=(21,44). Отправляет С1 и С2 кор. В.
•8. Кор.В получает С1, С2, находит d*C1=(23,42).
•9. Кор. В инвертирует (23,42), находит точку (23,42).
•10. Кор.В складывает С2(21,44)+ (23,42) получает первоначальное сообщение M=(24,26).
Параметры реальных кривых
1. ЭК Р-256 определена в стандарте NIST FIPS 186-4. Кривая задается уравнением y2 x3 ax b mod p , где a=-3,
b=41 058 363 725
152 142 129 326 129 780 047 268 409 114 441 015 993 725 554 835 256 314 039 467 401 291 и
p 2256 2224 2192 296 1.
Кривая имеет порядок n=
115 792 089 219 356 248 762 697 446 949 407 573 529 996 955 224 135 760 342 422 359 061068 512 944 369 – это количество точек на ЭК.
Базовая точка Р задается координатами
(x=48 439 561 293 906 452 759 052 585 252 797 914 202 762 949 526 041 747 995 844 080 717 082 404 635 286,
y=
36 134 250 956 749 795 798 585 127 919 587 881 956 611 106 672 985 015 071 877 198 253 568 414 40 5 109).
Считается, что криптосистемы, основанные на данной кривой, имеют 128 битный уровень защиты. 2.ЭК Curve25519 задается документом RFC 7748 и определяется уравнением:
y2 x3 486662x2 x mod p , где p 2255 19 . Порядок кривой
n=2252+27 742 317 777 372 353 535 851 937 790 883 648 493. Базовая точка Р имеет координаты (х=9, у=14 781 619 447 589 544 791 020 593 568 409 986 887 264 606 134 616 475 288 964 881 837 755 568 237 401).
Эта кривая также обеспечивает 128 битный уровень защиты.
ЭК в форме Эдвардса
Кривая задается уравнением -x2+y2+1+dx2y2 modp,
d, p –большие простые числа.
Достоинство - более быстрая реализация операций на кривой; Схема подписи на этой кривой не требует
нового случайного числа при формировании подписи.
Выводы
Использование ЭК в криптосистемах
основывается на сложности для нарушителя решения следующей задачи:
Даны точки ЭК P и Q, найти число x такое, что P=xQ?
(Сравнитеx c задачей нахождения х y a mod p
из
Эта задача называется задачей логарифмирования в группе точек эллиптической кривой. Эта задача во много тысяч раз более сложная чем задача логарифмирования в числовом поле.
37
3. Стандарт электронной цифровой подписи Р 34.10 -2012г.
Информационная технология. Криптографическая защита информации.
Процессы выработки и проверки цифровой подписи.
Хронология развития систем ЭЦП
1976 г. – открытие М. Хелменом и У. Диффи асимметричных криптографических систем;
1978 г. – Р. Райвест, А. Шамир, Л. Адельман – предложили первую систему ЭЦП, основанную на задаче факторизации большого числа;
1985 г. – Эль Гамаль предложил систему ЭЦП, основанную на задаче логарифмирования в поле чисел из р элементов;
1994 г. – Стандарт США FIPS 186 (вариант подписи Эль Гамаля); 1994 г. – ГОСТ Р 34.10-94 (вариант подписи Эль Гамаля); 2000 г. – Стандарт США FIPS 186 – 2;
2001 г. - ГОСТ Р 34.10-2001 (ЭЦП на основе математического аппарата эллиптических кривых , хэш-функция на основе стандарта 28147-89г.).
2012 г. - ГОСТ Р 34.10-2012 (ЭЦП на основе математического аппарата эллиптических кривых и новая хэш-функция Р 34-11-2012).
39
ПРАВОВЫЕ ДОКУМЕНТЫ ОБ ЭЛЕКТРОННОЙ ПОДПИСИ
1.Закон РФ от 6 апреля 2011г. N 63-ФЗ. Об электронной подписи.
2.ГОСТ Р34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
2.ГОСТ Р34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования.
3.ГОСТ Р34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки цифровой подписи на базе асимметричного криптографического алгоритма.
4.ГОСТ Р34.10-01. Информационная технология. Криптографическая защита информации. Процессы выработки и проверки цифровой подписи.
5.ГОСТ Р34.10-2012. Информационная технология. Криптографическая защита информации. Процессы выработки и проверки цифровой подписи.
40