ECIES

Az ECIES (eng. Elliptic Curve Integrated Encryption Scheme ) egy elliptikus görbéken alapuló nyilvános kulcsú titkosítási séma . Ezt a sémát Victor Shoup javasolta 2001-ben. Az ECIES-t különféle szabványokban használják, mint például az ANSI X9.63, IEEE 1363a, ISO 18033-2 és SECG SEC 1.

Történelmi háttér

1997-ben Mihir Bellare és Phillip Rogaway tudósok feltalálták a DLAES-sémát ( Discrete Logarithm Augmented Encryption Scheme ), amelyet később DHAES-re ( Diffie-Hellman Augmented Encryption Scheme ) neveztek át 1998-ban, majd később annak elkerülése érdekében. összekeverés az AES rövidítéssel , amelyet átkereszteltek DHIES-re ( Diffie-Hellman Integrated Encryption Scheme ). A DHIES egy fejlett ElGamal séma , amely elliptikus görbéket, különféle szimulációs beillesztési algoritmusokat és hash függvényeket használ. [egy]

A DHIES-t az ANSI értékelte, és néhány módosítással 2001-ben bekerült az ANSI X9.63 szabványba. Továbbá, függetlenül, néhány módosítással a rendszer 2000-ben bekerült az IEEE 1363 szabványba. 2004-ben, amikor az ANSI X9.63 szabvány nyilvánosságra került, az IEEE felülvizsgálta a sémát, hogy figyelembe vegye a két korábbi ANSI X9.63 és IEEE 1363 szabvány előnyeit, és 2004-ben az új sémát beépítette az IEEE 1363a szabványba.

Az összes fenti sémát együttesen ECIES-nek (Elliptic Curve Integrated Encryption Scheme ) nevezik.

2009-ben az ECIES egyik verziója bekerült az ISO / IEC 18033-2 szabványba, 2009-ben pedig a SECG SEC 1 szabványba [1] .

Az algoritmus leírása

Az ECIES (Elliptic Curve Integrated Encryption Scheme) számos szolgáltatást tartalmaz:

A kulcsszerződés (KA) egy megosztott titok létrehozására szolgáló funkció. Például a Diffie-Hellman protokoll vagy annak módosításai.
A Key Derivation Function (KDF) egy olyan funkció, amely bizonyos adat- és paraméterkészletekből közös kulcsokat generál.
A titkosítás (ENC) egy mindkét fél által használt titkosítási algoritmus.
Method Authentication Code (MAC) - hitelesítési adatok generálására szolgáló funkció (utánzó beillesztés).
A hash (HASH) egy kivonatoló függvény (a MAC-ban és a KDF-ben használatos).

Algoritmus bemeneti paraméterei

Első oldal - Alice : [2]

$P_{B}$ - Bob nyilvános kulcsa
$p_{a}$ - privát privát kulcs
Ε pontok csoportja egy elliptikus görbén
G az elliptikus görbe E csoportjának pontjainak ciklikus részcsoportja
g a G alcsoport generátora

Második oldal – Bob: [2]

$P_{A}$ - Alice nyilvános kulcsa
${\displaystyle p_{b))$ - privát privát kulcs
Ε pontok csoportja egy elliptikus görbén
G az elliptikus görbe E csoportjának pontjainak részcsoportja
g a G alcsoport generátora

Titkosítás

Tegyük fel, hogy Alice üzenetet akar küldeni Bobnak. Alice rendelkezik Bob nyilvános kulcsával , Bobnak a megfelelő privát kulcsával , Alice pedig létrehoz egy ideiglenes párt nyilvános és privát kulcsaiból. A privát kulcsok a végső mező elemei (az a mező, amelyen az elliptikus görbe adott), a nyilvános kulcsok pedig az elliptikus görbéhez tartozó pontok, amelyeket a privát kulcs és a g generátor szorzataként számítanak ki. az elliptikus görbe. [3] $P_{B}$ ${\displaystyle p_{b))$ $P_{A}$ $p_{a}$

Üzenet küldéséhez Alice a következőket teszi: [3]

A KA megosztott titok létrehozási módszerével Alice kiszámítja a megosztott titkot = × (a Diffie-Hellman protokollt használva). $s$ $p_{a}$ $P_{B}$

A kapott megosztott titkot , valamint a kulcsokból származó kulcsokat és a KDF további információit felhasználva Alice megkapja a titkosítási kulcsot , valamint a szimulált beillesztés kiszámításához szükséges kulcsot . $s$ ${\displaystyle k_{ENC))$ $k_{MAC}$

Egy szimmetrikus titkosítási algoritmus használatával Alice egy kulccsal titkosítja a nyitott üzenetet , és titkosított szöveget kap . $m$ ${\displaystyle k_{ENC))$ $c$

A kulcs , a titkosított üzenet és a felek által előre egyeztetett egyéb paraméterek alapján Alice a MAC függvény segítségével kiszámítja az üzenetcímkét. $k_{MAC}$ $c$

Alice { , , }-t küld Bobnak. $P_{A}$ $tag$ $c$

Dekódolás

Ami a visszafejtési folyamatot illeti, Bobnak a következő lépéseket kell követnie: [4]

Alice kapott nyilvános kulcsának és privát kulcsának felhasználásával kapja meg a megosztott titkos = × titkosítási kulcsokat és utánzatokat . $s$ ${\displaystyle p_{b))$ $P_{A}$ ${\displaystyle k_{ENC))$ $k_{MAC}$
Számítsa ki az üzenet címkéjét a titkosítási kulcsok segítségével , és utánozza a beillesztést, és hasonlítsa össze a kapott címkével. Ha nem egyeznek, Bobnak el kell utasítania az üzenetet a MAC-ellenőrzési eljárás hibája miatt. ${\displaystyle k_{ENC))$ $k_{MAC}$
Ha a címkék megegyeznek, akkor Bob folytathatja a folyamatot a titkosított üzenet titkosításának visszafejtésével a Titkosítás és a szimmetrikus algoritmus segítségével . $c$ ${\displaystyle k_{ENC))$

Összehasonlítás más algoritmusokkal

Az ECIES biztonsága az elliptikus görbecsoport diszkrét logaritmus probléma ( ECDLP ) számítási bonyolultságán alapul. A kriptográfiai algoritmusok a faktorizációs problémák (algoritmuspélda: RSA ) és a diszkrét logaritmus ( ElGamal-séma ) számítási bonyolultságára is támaszkodhatnak . Mindazonáltal az ECDLP a legnehezebb [5] a három feladat közül, ami az ECIES fontos előnyéhez vezet: a kulcsmérethez.

Az ECIES és az RSA kulcshosszak összehasonlítása [6]

Biztonsági szint (bit)	RSA kulcs hossza (bit)	ECIES kulcs hossza (bit)
80	1024	160-223
112	2048	224-255
128	3072	256-283
192	7680	384-511
256	15360	512-571

A kulcsméretben rejlő előny kisebb igényeket támaszt a hardverrel szemben (például a puffer, a RAM és a fizikai memória méretével, a kulcsok hálózaton keresztüli átvitele esetén a csatorna sávszélességével kapcsolatban).

Az ECIES fontos hátránya a többi kriptográfiai algoritmushoz képest, hogy az ECIES-nek több változata létezik, amelyeket különböző szabványok ( ANSI X9.63, IEEE 1363a, ISO/IEC 18033-2 és SECG SEC 1) írnak le. A szabványok közötti különbség az ECIES komponensek (KA, KDF, ENC, MAC, HASH) megvalósításához szükséges specifikus funkciók és paraméterek megválasztása. Hátránya, hogy az ECIES minden szabványnak megfelelő változatát nem lehet megvalósítani [6] .

Figyelemre méltó támadások az ECIES ellen

"Soft Vulnerability"

Victor Shope bebizonyította [7] , hogy ha az U nyilvános kulcs nem szerepel a KDF bemenetében, és ha csak a megosztott titok x-koordinátája kerül felhasználásra a KDF-ben, akkor az ECIES érzékeny az adaptív választott titkosított szöveg támadásokra (CCA2). )). A sérülékenységet "lágynak" nevezik, mivel egyetlen támadás sem tudott értelmes információkat szerezni a biztonsági rés segítségével.

A Shoup által javasolt egyik lehetséges megoldás az U nyilvános kulcs hozzáadása a KDF bemenetéhez.

Sebezhetőség az XOR függvény használatakor

Shoup azt is bebizonyította [8] , hogy az ECIES séma sérülékeny lehet, ha az XOR függvényt változó hosszúságú üzenetek titkosításakor használják. Ez különösen az Adaptive Chosen Ciphertext Attacks (CCA2) támadásokkal szembeni sebezhetőséghez vezethet . Lehetséges megoldások:

Rögzítse a nyílt szöveg hosszát [8] .
A KDF kimenet értelmezése || [9] . $k_{MAC}$ ${\displaystyle k_{ENC))$
Az adatfolyamszűrők letiltása az ECIES-ben (csak a blokk titkosítások engedélyezése ) [10] .

Small subgroup attack (eng. ''Small subgroup attack'')

Ez a fajta támadás akkor lehetséges, ha egy ellenfél kifejezetten helytelen nyilvános kulcsot ad meg. Ha a feladó nem hitelesíti a másik fél nyilvános kulcsát, akkor az ellenfél lecserélheti a nyilvános kulcsot egy kisebb kulccsal, hogy megosztott titkot szerezzen, vagy információt szerezzen a feladó privát kulcsáról. Lehetséges megoldások:

Érvényesítse a fogadó fél által biztosított nyilvános kulcs érvényességét [11] .
Cserélje ki a felosztási titkot a hash-ével a KDF [11] bemenetében .

Lehetséges ECIES konfigurációk

Példa [12] az IEEE 1363a és ISO/IEC 18033-2 szabványokkal kompatibilis ECIES hatékony és biztonságos megvalósítására:

KA: Diffie-Hellman protokoll
Hash: SHA-512 (SHA-256 korlátozott erőforrásokkal rendelkező eszközökhöz).
KDF: KDF2.
ENC: AES-128 CBC módban.
MAC: HMAC-SHA-512 (HMAC-SHA-256 korlátozott erőforrásokkal rendelkező eszközökhöz).
Titkos megosztás: Csak az első koordinátát használja (kivonat nélkül).
KDF kimenet értelmezése: || . $k_{MAC}$ ${\displaystyle k_{ENC))$
Elliptikus görbe generálási séma: Brainpool ( RFC 5639 ).

Jegyzetek

↑ 1 2 V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas , pp. 1-2.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. 9.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , pp. 9-10.
↑ V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. tíz.
↑ N. Koblitz , pp. 3-4.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. 2.
↑ V. Shoup , p. 13.
↑ 1 2 V. Shoup , p. 38.
↑ J. Stern , pp. 20-21.
↑ Quisquater, J., Koeune, F. , p. húsz.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 7-8.
↑ V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 17-18.

Irodalom

Cikkek

Víctor Gayoso Martínez, L. Hernández Encinas, Carmen Sánchez Ávila. Az elliptikus görbével integrált titkosítási séma felmérése .
Victor Shop. Javaslat a nyilvános kulcsú titkosítás ISO szabványára (2.1-es verzió ) .
Neha Gupta, Harsh Kumar Singh, Anurag Jain. Az intelligens kártyát és az ECIES titkosítást használó kulcskezelési technika hatékony megvalósítása .
V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas. Információfeldolgozás és kódolás .
N. Koblitz. Elliptikus görbe kriptorendszerek (angol) // Mathematics of Computation.
J. Stern. Értékelő jelentés az ECIES kriptorendszer kriptorendszereiről . Az eredetiből archiválva : 2013. február 1.
J. Quisquater, F. Koeune,. ECIES – A titkosítási séma és a primitívek biztonsági értékelése . Archiválva az eredetiből 2017. március 31-én.
V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios. ECIES – A titkosítási séma és a primitívek biztonsági értékelése .