Основні вимоги та методи побудування загальних параметрів.
Сучасні системи захисту інформації базуються на криптографічних перетвореннях у групі точок еліптичних кривих, стійкість яких заснована на складності розв'язання задачі дискретного логарифму на еліптичних кривих, тобто протистояння атаці типу “повне розкриття”. В цьому розділі викладається методика аналізу складності існуючих алгоритмів розв'язання дискретного логарифму на еліптичних кривих та обґрунтування значень та довжин загальних параметрів і ключів, що забезпечують високий рівень безпеки криптосистем на еліптичних кривих.
Загальними
параметрами еліптичних кривих над полем
є наступні:
Розмір поля
,
де
,
або
,
який визначає базове кінцеве поле
Бітовий рядок
,
якщо еліптична крива згенерована
випадково.Параметри
та
еліптичної кривої, які визначають
рівняння еліптичної кривої
.Базова точка
порядку
з координатами
та
.Порядок базової точки
.Кофактор
взаємозв’язку порядку кривої
та порядку базової точки
причому
.
Загальні параметри еліптичних кривих є дуже важливим питанням, тому що вдосконалена система захисту інформації може бути успішно атакована, якщо загальні параметри не відповідають належним вимогам.
Виходячи з представленого аналізу можна запропонувати наступні вимоги до загальних параметрів еліптичних кривих для забезпечення високого рівня безпеки криптосистем на еліптичних кривих:
Параметри кривої.
Параметрами
кривої
для простих
та розширених
,
полів виходячи з рівняння кривої типу
Вейерштарсса є
та
.
Для
простого поля, якщо
є простим, рівняння має вигляд:
|
(5.15) |
На параметри накладаються наступні обмеження:
;відповідають умові
;Значення
.
Для поля виконуються таки самі умови.
Для розширеного поля рівняння Вейерштрасса має вигляд:
|
(5.16) |
На параметри накладаються наступні обмеження:
-
;
-
,
тому що існують ефективні алгоритми
розв'язання дискретного логарифму;
Значення .
Крива повинна бути перевірена на умову Менезеса-Окамото-Вентсона, яка полягає у наступному:
для поля
повинна виконуватись умова
для
;
для поля
повинна виконуватись умова
для
;для поля
повинна виконуватись умова
для
.
Крива повинна бути перевірена на сингулярність та суперсингулярність. Для криптосистем на еліптичних кривих мі повинні використовувати тільки несингулярні та супернесингулярні криві.
Порядок Еліптичної кривої
Крива повинна бути перевірена на умову аномальності, тобто порядок кривої
,
де
порядок поля.Порядок кривої повинен бути кратним порядку базової точки
,
де
є цілим числом та має назву кофактору
кривої.
Порядок Базової точки
Виходячи
з того, що взагалі найбільш швидким
алгоритмом рішення задачі дискретного
логарифму на еліптичній кривій є
-Поллард,
а виконання алгоритму Полінга-Хеллмана
прямо залежить від порядку базової
точки
- це накладає деякі обмеження на число
:
Порядок базової точки повинен бути великим простим непарним числом, а також великим простим множником у розкладанні порядку кривої
.
Також, якщо порядок
є простим, тоді будь-яка точка еліптичної
кривої, крім точки нескінченності
може бути генератором групи, але при
різних порядках будуть утворюватися
різні підгрупи точок еліптичної кривої.Значення
,
де
порядок поля.
Базова точка повинна відповідати наступним умовам:
Координати базової точки
належать основному полю;
Базова точка не є точкою нескінченості ;
Базова точка лежить на еліптичній кривій, тобто її координати задовольняють рівнянню вибраної еліптичної кривої;
Скалярне множення
.
Вибір Поля
Складність
розв'язання проблеми дискретного
логарифму еліптичних кривих над полями
,
та
однакової довжини є однаковою.
Стандарт ISO/IEC 9798 -2 та його застосування.
1 Сфера застосування
У цій частині стандарту ISO/IEC 9798 визначено механізми, що використовують алгоритми симетричного шифрування. Чотири механізми забезпечують автентифікацію об’єктів між двом об’єктами у випадку коли третя довірена сторона відсутня. Два з цих механізмів призначені для здійснення однобічної автентифікації одним об’єктом іншого, а інші два для здійснення взаємної автентифікації одним об’єктом іншого. Решта механізмів наведених у цьому розділі, потребують участі в процесі автентифікації третьої довіреної сторони з метою встановлення загального секретного ключа та здійснення як однобічної, так і взаємної автентифікації.
Визначені в цій частині стандарту ISO/IEC 9798 механізми використовують з метою запобігання можливості повторного використання дійсної протягом даного сеансу інформації автентифікації змінні у часі такі параметри як: позначки часу, порядкові номери та випадкові числа.
За умови, що в процес автентифікації не залучається третя довірена сторона (але при цьому використовуються позначки часу або порядкові номери), для здійснення однобічної автентифікації потрібен лише один обмін, у той час, як для здійснення взаємної автентифікації необхідні два обміни. Якщо в процесі автентифікації приймає участь третя довірена сторона, будь-які додаткові операції між об’єктом та третьою довіреною стороною, потребують два додаткових обміни.
5 Механізми автентифікації, що не потребують залучення третьої довіреної сторони
Перед застосуванням
будь-якого з цих механізмів автентифікації
об’єкти
та
мають володіти спільним секретним
ключем
або двома односпрямованими секретними
ключами
та
.
У останньому випадку односпрямовані
ключі
та
використовуються для автентифікації
об’єкта
об’єктом
та автентифікації об’єкта
об’єктом
,
відповідно.
Усі текстові поля, що визначені в нижченаведених механізмах не входять до сфери застосування цієї частини стандарту ISO/IEC 9798 (вони можуть бути пустими). Їх взаємозв’язок та зміст залежить від сфери застосування. Інформація відносно використання текстових полів знаходиться у Додатку А.
5.1 Однобічна автентифікація
Однобічна автентифікації позначає, що з використанням механізму автентичність перевіряється тільки для одного з двох об’єктів.
5.1.1 Однобічна автентифікація з одним проходом.
В цьому механізмі автентифікації пред’явник ініціює процес, а об’єкт перевіряє його автентичність. Унікальність/своєчасність забезпечується шляхом генерації та перевірки позначки часу та порядкового номера (див. Додаток Б ISO/IEC 9798-1). Механізм автентифікації представлено на рис. 1
Рисунок 1
Форма маркера (
),
що відсилається пред’явником
об’єкту
що перевіряє, має вигляд:
.
Пред’явник
у якості змінного у часі параметру
використовує або порядковий номер
або позначку часу
.
Вибір залежить від технічних можливостей
пред’явника та запитувача, а також від
оточення.
Включення розпізнавального ідентифікатора в маркер є необов’язковим.
5.1.2 Однобічна автентифікація з двома проходами.
В цьому механізмі
автентифікації об’єкт
що перевіряє ініціює процес та перевіряє
автентичність пред’явника
.
Унікальність/своєчасність забезпечується
шляхом генерації та перевірки випадкового
числа
(див. Додаток Б ISO/IEC 9798-1). Механізм
автентифікації представлено на рис. 2
Рисунок 2
Форма маркера ( ), що відсилається пред’явником об’єкту що перевіряє:
Включення розпізнавального ідентифікатора в маркер є необов’язковим.
5.2 Взаємна автентифікація
Взаємна автентифікація означає, що з використанням механізму автентифікації обидва об’єкта перевіряють автентичність іншого об’єкта.
Механізми автентифікації, що описані в пунктах 5.1.1 та 5.1.2, з метою здійснення взаємної автентифікації були відповідно адаптовані в механізми пунктів 5.2.1 та 5.2.2. В обох випадках це потребує одного додаткового обміну і додатково ще двох кроків.
5.2. Взаємна автентифікація з двома проходами
Унікальність/своєчасність забезпечується шляхом генерації та перевірки позначки часу та порядкового номера (див. Додаток Б ISO/IEC 9798-1). Механізм автентифікації представлено на рис. 3
(4)
Рисунок 3
Форма маркера ( ), що відсилається об’єктом об’єкту ідентична формі маркеру, що визначена в пункті 5.1.1:
Форма маркера (
),
що відсилається об’єктом
об’єкту
:
Включення розпізнавального ідентифікатора в маркер та розпізнавального ідентифікатора в маркер є необов’язковим.
5.2.2 Взаємна автентифікація з трьома проходами
В цьому механізмі автентифікації унікальність/своєчасність забезпечується шляхом генерації та перевірки випадкового числа (див. Додаток Б ISO/IEC 9798-1). Механізм автентифікації представлено на рис. 4
Рисунок 4
Форма маркерів:
,
.
Включення розпізнавального ідентифікатора в маркер є необов’язковим.
6 Механізми автентифікації, що потребують залучення третьої довіреної сторони
Механізми
автентифікації, що описані в цьому
розділі, не використовують в процесі
автентифікації спільного для обох
об’єктів секретного ключа. Вони
використовують третю довірену сторону
(із розпізнавальним ідентифікатором
)
з якою об’єкти
та
поділяють свої секретні ключі
та
,
відповідно. В кожному механізмі один з
об’єктів дає запит третій довіреній
стороні на отримання ключа
.
Механізми визначені в цьому розділі
отримані із механізмів описаних в
пунктах 5.2.1 та 5.2.2, відповідно.
Як викладено нижче, деякі обміни можуть бути пропущені в кожному механізмі тільки у випадку необхідності здійснити однобічну автентифікацію.
Усі текстові поля, що визначені в нижченаведених механізмах, можуть бути використані за межами сфери застосування цієї частини стандарту ISO/IEC 9798 (вони можуть бути пустими). Їх взаємозв’язок та зміст залежить від сфери застосування. Інформація відносно використання текстових полів знаходиться у Додатку А.
6.1 Автентифікація з чотирма проходами
В цьому механізмі взаємної автентифікації унікальність/своєчасність забезпечується використанням змінних у часі параметрів (див. Додаток Б ISO/IEC 9798-1). Цей механізм є еквівалентним механізму 8 встановлення ключа ISO/IEC 11770-2:1996.
Механізм автентифікації представлено на рис.5.
Рисунок 5
Форма маркера (
),
що надсилається
об’єкту
:
Форма маркера ( ), що надсилається об’єктом об’єкту :
Форма маркера ( ), що надсилається об’єктом об’єкту :
Вибір використання позначки часу або порядкового номера залежить від технічних можливостей пред’явника та запитувача, а також від оточення.
Використання
змінного у часі параметру
на кроках (1-3) рисунку 5 відрізняється
від порядку його звичайного використання.
Таке використання дозволяє об’єкту
асоціювати повідомлення-відповідь (2)
з повідомленням-запитом (1). Важливою
властивістю змінного у часі параметра
є не можливість його повторення, ця
властивість використовується для
запобігання повторного використання
маркера
.
6.2 Автентифікація з п’ятьма проходами
В цьому механізмі взаємної автентифікації унікальність/своєчасність забезпечується використанням змінних у часі параметрів (див. Додаток Б ISO/IEC 9798-1). Цей механізм є еквівалентним механізму 9 встановлення ключа 9 ISO/IEC 11770-2:1996.
Механізм автентифікації представлено на рис.6.
Форма маркера ( ), що надсилається об’єкту :
Форма маркера ( ), що надсилається об’єктом об’єкту :
Форма маркера ( ), що надсилається об’єктом об’єкту :
(7)
(2)
Рисунок 6
17.1. Аналіз стійкості електронних цифрових підписів.
Проведений
аналіз показує, що для кожної з розглянутих
ЕЦП існує можливість правильного вибору
чи підбору ключів
,
але імовірності цих подій надзвичайно
малі, тому звичайно їх не розглядають.
По суті, дуже мала імовірність цих подій
забезпечується вибором величини модуля
n. Тому атаки типу “груба сила”
малоймовірні і не можуть бути реалізовані
для підробки ЕЦП чи формування ЕЦП для
помилкових повідомлень.
На наш погляд найважливішим фактором оцінки стійкості ЕЦП є її стійкість проти появи згодом ефективних криптоаналітичних атак чи виявлення лазівок. Алгоритм DSA уже більше ніж 10 років витримав іспит часом, тому слід очікувати, що і його модифікації, реалізовані в групі точок еліптичних кривих, успадковуватимуть реальну криптостійкість.
Розглянемо більш докладно криптографічні атаки, основані на вирішенні дискретного логарифмічного рівняння у групі точок еліптичних кривих. Задача формується в такий спосіб.
Криптоаналітику відомий вид ключових рівнянь
,
(2.47)
2.48)
чи
,
(2.49)
де Q – відкритий ключ, а G – базова точка порядку n. Необхідно обчислити чи знайти особистий ключ d.
Найбільш
простим методом пошуку d є атака «груба
сила». У цьому випадку криптоаналітик
обчислює Qi, змінюючи
,
поки не отримає значення Qj відкритого
ключа. Можливість виконання цієї атаки
існує завжди. Вибираючи величину n, цю
атаку можна зробити надзвичайно
малоймовірною.
Основними методами та алгоритмами розв’язку дискретних логарифмів в групі точок ЕК є такі.
Алгоритм
«маленьких» і «великих» кроків, алгоритм
-Полларда,
розподілений алгоритм
-Полларда,
алгоритм
-Полларда,
алгоритм, що базується на складеному
логарифмі [36-39] та ін.
Суперсингулярні
еліптичні криві. При використанні таких
кривих існує можливість зниження
складності дискретного логарифма на
еліптичній кривій E, визначеної над Fq,
до складності дискретного логарифма в
мультиплікативній групі в розширенні
,
де
,
для якого може бути застосований алгоритм
квадратичного решета. Така атака можлива
при існуванні малих k. Для перевірки
стійкості кривої до цієї атаки необхідно
перевірити, що б
не поділялося на qk-1.
Аномальні криві над простим полем. Еліптична крива E над полем Fp називається аномальною, якщо порядок E(Fp)=p. Для аномальних кривих існують ефективні алгоритми розкладання дискретного логарифма для аномальних кривих. Атака не застосовна до кривих, у яких порядок E(Fp)p.
Криві,
визначені над малим полем. Передбачається,
що E визначено над
.
Для цих кривих метод -Полларда
може бути прискорений у
раз.
З проведеного аналізу можна зробити висновок, що найкращим алгоритмом є розпаралелений алгоритм -Полларда. На даний момент максимальна довжина “зламаної” еліптичної кривої за даними [68] складає 109 бітів. Для вирішення цієї задачі використовувався метод -Полларда і близько 50 000 комп'ютерів Pentium Pro 200Mhz протягом 2 місяців.
Важливою характеристикою різних ЕЦП є складність вироблення і перевірки ЕЦП. Найбільшою складністю володіють алгоритми EC-KCDSA і Шнора. Це пов'язано з можливістю виносу процедури гешування в алгоритмах ECDSA, EC-GDSA і ECSS і неможливістю в EC-KCDSA і Шнора.
Для
прискорення алгоритмів можна зробити
деяку
модифікацію. Так в алгоритмі Шнора можна
замінити
на
,
у EC – KCDSA замінити
на
,
що дозволить понизити залежність
продуктивності ЕЦП від геш-функції.
Другим
фактором, що впливає на продуктивність,
– є знаходження при виробленні і
перевірці підпису зворотного елемента.
В алгоритмі EC-GDSA вдалося уникнути цієї
складної операції, підпису за рахунок
особливого способу обчислення відкритого
ключа
.
Застосування такого способу в EC-KCDSA
дозволяє зменшити складність вироблення
і перевірки ЕЦП.
Найменш складним і отже найбільш швидким може бути алгоритм ЕЦП Шнора, якщо обчислення геш-значення винести за межі алгоритму ЕЦП. Якщо це не зробити, то мінімальна обчислювальна складність забезпечується в алгоритмі ECSS.
В
усіх алгоритмах ЕЦП існує можливість
істотного підвищення продуктивності
за рахунок виносу найскладнішої операції
скалярного множення за межі алгоритму
ЕЦП. Це можна зробити за рахунок
попереднього формування таблиць
пар. Одна з пар може бути обрана випадково
за необхідності. Однак такі таблиці
мають формуватися, зберігатися і
використовуватися як секретні, аналогічні
особистим ключам.
17.2. Стандарт ГОСТ 28147 – 89 та його застосування
Алгоритм ГОСТ 28147-89 - це алгоритм криптографічного перетворення даних, призначений для апаратної або програмної реалізації, який задовольняє криптографічним вимогам і не накладає обмеженням на ступінь таємності інформації, що захищається.
В алгоритмі ГОСТ 28147-89 передбачені 4 режими шифрування.
Режим простої заміни може використовуватися тільки для шифрування ключових даних.
Режим гамування застосовується для потокового шифрування без автентифікації.
Режим гамування зі зворотним зв'язком використовується для потокового шифрування з автентифікацією .
Режим виробки імітовставки використовується для автентифікації інформації і може застосовуватися разом з кожним з режимів шифрування.