ECIES

ECIES (eng. Elliptic Curve Integrated Encryption Scheme ) er et offentligt nøglekrypteringsskema baseret på elliptiske kurver. Denne ordning blev foreslået af Victor Shoup i 2001. ECIES bruges i forskellige standarder såsom ANSI X9.63, IEEE 1363a, ISO 18033-2 og SECG SEC 1.

Historisk baggrund

I 1997 opfandt forskerne Mihir Bellare og Phillip Rogaway DLAES-ordningen ( Discrete Logarithm Augmented Encryption Scheme ), som efterfølgende blev omdøbt til DHAES ( Diffie-Hellman Augmented Encryption Scheme ) i 1998 og senere for at undgå forveksling med forkortelsen AES , omdøbt til DHIES ( Diffie-Hellman Integrated Encryption Scheme ). DHIES er et avanceret ElGamal- skema , der bruger elliptiske kurver, forskellige simuleringsindsættelsesalgoritmer og hash-funktioner. [en]

DHIES blev evalueret af ANSI, og med nogle ændringer blev ordningen inkluderet i ANSI X9.63-standarden i 2001. Også uafhængigt, med nogle ændringer, blev ordningen inkluderet i IEEE 1363-standarden i 2000. I 2004, da ANSI X9.63-standarden blev offentlig, reviderede IEEE ordningen for at tage hensyn til fordelene ved de to tidligere ANSI X9.63- og IEEE 1363-standarder og inkluderede den nye ordning i IEEE 1363a-standarden i 2004.

Alle ovenstående skemaer kaldes samlet ECIES (Elliptic Curve Integrated Encryption Scheme ).

I 2009 blev en af ECIES-versionerne inkluderet i ISO/IEC 18033-2-standarden og i 2009 i SECG SEC 1-standarden. [1]

Beskrivelse af algoritmen

ECIES (Elliptic Curve Integrated Encryption Scheme) inkluderer flere funktioner:

Key Agreement (KA) er en funktion til at generere en fælles hemmelighed. For eksempel Diffie-Hellman-protokollen eller dens modifikationer.
Key Derivation Function (KDF) er en funktion til generering af fælles nøgler fra nogle sæt data og parametre.
Encryption (ENC) er en krypteringsalgoritme, der bruges af begge parter.
Method Authentication Code (MAC) - en funktion til generering af godkendelsesdata (imitationsindsættelse).
Hash (HASH) er en hashing-funktion (bruges i MAC og KDF).

Algoritme input parametre

Første side - Alice : [2]

$P_{B}$ - Bobs offentlige nøgle
$p_{a}$ - privat privat nøgle
Ε er en gruppe af punkter over en elliptisk kurve
G er en cyklisk undergruppe af punkter i gruppen E af den elliptiske kurve
g er generatoren af undergruppen G

Anden side - Bob: [2]

$P_{A}$ - Alices offentlige nøgle
${\displaystyle p_{b))$ - privat privat nøgle
Ε er en gruppe af punkter over en elliptisk kurve
G er en undergruppe af punkter i gruppen E i den elliptiske kurve
g er generatoren af undergruppen G

Kryptering

Antag at Alice vil sende en besked til Bob. Alice har Bobs offentlige nøgle , Bob har den tilsvarende private nøgle , og Alice genererer et midlertidigt par af sine offentlige og private nøgler. De private nøgler er elementerne i det endelige felt (feltet, hvorpå den elliptiske kurve er angivet), og de offentlige nøgler er de punkter, der hører til den elliptiske kurve og beregnes som produktet af den private nøgle og generatoren g af den elliptiske kurve. [3] $P_{B}$ ${\displaystyle p_{b))$ $P_{A}$ $p_{a}$

For at sende en besked gør Alice følgende: [3]

Ved at bruge metoden til generering af KA delt hemmelighed beregner Alice den delte hemmelighed = × (ved hjælp af Diffie-Hellman-protokollen). $s$ $p_{a}$ $P_{B}$

Ved at bruge den modtagne delte hemmelighed og metoden til at udlede nøgler fra nøglen og yderligere information fra KDF, får Alice krypteringsnøglen såvel som nøglen til at beregne den simulerede indsættelse . $s$ ${\displaystyle k_{ENC))$ $k_{MAC}$

Ved hjælp af en symmetrisk krypteringsalgoritme krypterer Alice en åben besked med en nøgle og modtager en chiffertekst . $m$ ${\displaystyle k_{ENC))$ $c$

Ved at tage nøglen , den krypterede meddelelse og andre parametre, der er aftalt på forhånd af parterne, beregner Alice meddelelsesmærket ved hjælp af MAC-funktionen. $k_{MAC}$ $c$

Alice sender { , , } til Bob. $P_{A}$ $tag$ $c$

Dekryptering

Med hensyn til dekrypteringsprocessen er de trin, som Bob skal følge, som følger: [4]

Brug den modtagne offentlige nøgle fra Alice og hendes private nøgle, få den delte hemmelighed = × , krypteringsnøgler og efterligninger . $s$ ${\displaystyle p_{b))$ $P_{A}$ ${\displaystyle k_{ENC))$ $k_{MAC}$
Beregn meddelelsens tag ved hjælp af krypteringsnøglerne og efterlign indsættelse og sammenlign den med den modtagne kode. Hvis de ikke stemmer overens, skal Bob afvise beskeden på grund af en fejl i MAC-tjekproceduren. ${\displaystyle k_{ENC))$ $k_{MAC}$
Hvis tags er de samme, så kan Bob fortsætte processen ved at dekryptere den krypterede besked ved hjælp af den symmetriske algoritme Kryptering og . $c$ ${\displaystyle k_{ENC))$

Sammenligning med andre algoritmer

Sikkerheden af ECIES er afhængig af beregningskompleksiteten af Elliptic Curve Group Discrete Logaritm Problem ( ECDLP ). Kryptografiske algoritmer kan også stole på den beregningsmæssige kompleksitet af faktoriseringsproblemer (algoritmeeksempel: RSA ) og diskret logaritme ( ElGamal-skema ). ECDLP anses dog for at være den sværeste [5] af disse tre opgaver, hvilket fører til en vigtig fordel ved ECIES: nøglestørrelse.

Sammenligning af ECIES og RSA nøglelængder [6]

Sikkerhedsniveau (bit)	RSA nøglelængde (bits)	ECIES nøglelængde (bits)
80	1024	160-223
112	2048	224-255
128	3072	256-283
192	7680	384-511
256	15360	512-571

Fordelen i nøglestørrelsen giver dig mulighed for at stille mindre krav til hardwaren (for eksempel til størrelsen af bufferen, RAM og fysisk hukommelse; til kanalbåndbredden ved overførsel af nøgler over netværket).

En vigtig ulempe ved ECIES sammenlignet med andre kryptografiske algoritmer er eksistensen af flere versioner af ECIES beskrevet af forskellige standarder ( ANSI X9.63, IEEE 1363a, ISO/IEC 18033-2 og SECG SEC 1). Forskellene mellem disse standarder er valget af specifikke funktioner og parametre til implementering af ECIES-komponenterne (KA, KDF, ENC, MAC, HASH). Ulempen er, at det ikke er muligt at implementere en version af ECIES, der opfylder alle standarder [6] .

Bemærkelsesværdige angreb på ECIES

"Blød sårbarhed"

Victor Shope beviste [7] , at hvis den offentlige nøgle U ikke er inkluderet i KDF-inputtet, og hvis kun x-koordinaten for den delte hemmelighed bruges i KDF, så er ECIES modtagelig for Adaptive Chosen Ciphertext-angreb (CCA2) )). Sårbarheden kaldes "blød", fordi intet angreb var i stand til at opnå meningsfuld information ved hjælp af denne sårbarhed.

En mulig løsning foreslået af Shoup er at tilføje den offentlige nøgle U til input fra KDF.

Sårbarhed ved brug af XOR-funktionen

Shoup beviste også [8] , at ECIES-skemaet kan være sårbart, når XOR-funktionen bruges til kryptering af meddelelser med variabel længde. Dette kan især føre til en sårbarhed over for Adaptive Chosen Ciphertext Attacks (CCA2)-angreb . Mulige løsninger:

Fastgør længden af klarteksten [8] .
Fortolk KDF-output som || [9] . $k_{MAC}$ ${\displaystyle k_{ENC))$
Deaktiver strømfiltre i ECIES (tillad kun blokcifre ) [10] .

Lille undergruppeangreb (eng. ''Små undergruppeangreb'')

Denne type angreb er mulig, når en modstander specifikt giver en forkert offentlig nøgle. Hvis afsenderen ikke autentificerer den anden parts offentlige nøgle, så vil modstanderen kunne erstatte den offentlige nøgle med en mindre nøgle for at få en delt hemmelighed eller få information om afsenderens private nøgle. Mulige løsninger:

Valider gyldigheden af den offentlige nøgle leveret af den modtagende part [11] .
Erstat den opdelte hemmelighed med dens hash i KDF [11] input .

Mulige ECIES-konfigurationer

Et eksempel [12] på en effektiv og sikker implementering af ECIES i overensstemmelse med IEEE 1363a og ISO/IEC 18033-2:

KA: Diffie-Hellman protokol
Hash: SHA-512 (SHA-256 til enheder med begrænsede ressourcer).
KDF: KDF2.
ENC: AES-128 i CBC-tilstand.
MAC: HMAC-SHA-512 (HMAC-SHA-256 til enheder med begrænsede ressourcer).
Hemmelighedsdeling: Brug kun den første koordinat (ingen hashing).
Fortolkning af KDF-output: || . $k_{MAC}$ ${\displaystyle k_{ENC))$
Elliptic Curve Generation Scheme: Brainpool ( RFC 5639 ).

Noter

↑ 1 2 V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas , pp. 1-2.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. 9.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , pp. 9-10.
↑ V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. ti.
↑ N. Koblitz , s. 3-4.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , p. 2.
↑ V. Shoup , s. 13.
↑ 1 2 V. Shoup , s. 38.
↑ J. Stern , s. 20-21.
↑ Quisquater, J., Koeune, F. , s. tyve.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 7-8.
↑ V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 17-18.

Litteratur

Artikler

Víctor Gayoso Martínez, L. Hernández Encinas, Carmen Sánchez Ávila. En undersøgelse af det elliptiske kurveintegrerede krypteringsskema .
Victor butik. Et forslag til en ISO-standard for offentlig nøglekryptering (version 2.1 ) .
Neha Gupta, Harsh Kumar Singh, Anurag Jain. En effektiv implementering af nøglestyringsteknik ved brug af smartkort og ECIES-kryptering .
V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas. Informationsbehandling og kodning .
N. Koblitz. Elliptic curve cryptosystems (engelsk) // Mathematics of Computation.
J. Stern. Evalueringsrapport om ECIES' kryptosystems kryptosystemer . Arkiveret fra originalen den 1. februar 2013.
J. Quisquater, F. Koeune,. ECIES - Sikkerhedsevaluering af krypteringsskemaet og primitiver . Arkiveret fra originalen den 31. marts 2017.
V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios. ECIES - Sikkerhedsevaluering af krypteringsskemaet og primitiver .