Aktualny stan bezpieczeństwa krzywych eliptycznych

Podobne dokumenty
GENERACJA I IMPLEMENTACJA KRYPTOGRAFICZNIE SILNYCH KRZYWYCH ELIPTYCZNYCH GENERATION AND IMPLEMENTATION OF CRYPTOGRAPHICALLY STRONG ELLIPTIC CURVES

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Parametry systemów klucza publicznego

Algorytmy asymetryczne

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

Spis treści. Przedmowa... 9

Estymacja kosztów łamania systemu kryptograficznego

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 8

Spis treści. Od Wydawcy

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Od Wydawcy Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE... 9

Automatyzacja procesu tworzenia sprzętowego narzędzia służącego do rozwiązywania zagadnienia logarytmu dyskretnego na krzywych eliptycznych

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

PRZEWODNIK PO PRZEDMIOCIE

Zarys algorytmów kryptograficznych

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 1

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Nowości w kryptografii

Bezpieczeństwo kart elektronicznych

Ataki na algorytm RSA

Piotr Majkowski. Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych Instytut Telekomunikacji

Bezpieczeństwo systemów komputerowych

Problem logarytmu dyskretnego i protokół Diffiego-Hellmana. Mateusz Paluch

Generowanie ciągów bitów losowych z wykorzystaniem sygnałów pochodzących z komputera

Estymacja kosztów łamania systemu kryptograficznego

Dr inż. Robert Wójcik, p. 313, C-3, tel Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska

Wybrane zagadnienia teorii liczb

Metody numeryczne w przykładach

Wykład VIII. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Bezpieczeństwo systemów komputerowych. Metody łamania szyfrów. Kryptoanaliza. Badane własności. Cel. Kryptoanaliza - szyfry przestawieniowe.

Bezpieczeństwo systemów komputerowych. Kryptoanaliza. Metody łamania szyfrów. Cel BSK_2003. Copyright by K.Trybicka-Francik 1

2 Kryptografia: algorytmy symetryczne

Elementy teorii liczb i kryptografii Elements of Number Theory and Cryptography. Matematyka Poziom kwalifikacji: II stopnia

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Zastosowania informatyki w gospodarce Wykład 5

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Przewodnik użytkownika

urządzenia: awaria układów ochronnych, spowodowanie awarii oprogramowania

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Copyright by K. Trybicka-Francik 1

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Copyright by K. Trybicka-Francik 1

Wykład VI. Programowanie III - semestr III Kierunek Informatyka. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Informatyka kwantowa. Zaproszenie do fizyki. Zakład Optyki Nieliniowej. wykład z cyklu. Ryszard Tanaś. mailto:tanas@kielich.amu.edu.

Podstawy Secure Sockets Layer

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Ataki kryptograficzne.

Zastosowania arytmetyki modularnej. Zastosowania arytmetyki modularnej

Kryptografia systemy z kluczem publicznym. Kryptografia systemy z kluczem publicznym

Zał nr 4 do ZW. Dla grupy kursów zaznaczyć kurs końcowy. Liczba punktów ECTS charakterze praktycznym (P)

Wprowadzenie ciag dalszy

1.1. Standard szyfrowania DES

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 6a

Kryptologia przykład metody RSA

Informacja w perspektywie obliczeniowej. Informacje, liczby i obliczenia

Liczby pierwsze wielomianowo - ekstremalnie trudne?

Praktyczne aspekty wykorzystania nowoczesnej kryptografii

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Luty 2001 Algorytmy (7) 2000/2001

dr inż. Jarosław Forenc

Weryfikacja hipotez statystycznych, parametryczne testy istotności w populacji

Matematyka dyskretna

Kwantowe przelewy bankowe foton na usługach biznesu

Współczesna kryptografia schematy bazujące na parowaniu punktów krzywej eliptycznej

Matematyka dyskretna. Wykład 11: Kryptografia z kluczem publicznym. Gniewomir Sarbicki

Teoria przetwarzania A/C i C/A.

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

Post-kwantowy algorytm podpisu cyfrowego Kryptosystem NTRU

Aproksymacja funkcji a regresja symboliczna

Kryptografia-0. przykład ze starożytności: około 489 r. p.n.e. niewidzialny atrament (pisze o nim Pliniusz Starszy I wiek n.e.)

Metody numeryczne Technika obliczeniowa i symulacyjna Sem. 2, EiT, 2014/2015

Kryptografia kwantowa. Marta Michalska

Załóżmy, że musimy zapakować plecak na wycieczkę. Plecak ma pojemność S. Przedmioty mają objętości,,...,, których suma jest większa od S.


Matematyka dyskretna

Prawdopodobieństwo i statystyka

Wykład 9. Terminologia i jej znaczenie. Cenzurowanie wyników pomiarów.

Opis przedmiotu zamówienia/specyfikacja techniczna

komputery? Andrzej Skowron, Hung Son Nguyen Instytut Matematyki, Wydział MIM, UW

Kryptografia na procesorach wielordzeniowych

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Szyfrowanie informacji

Metody Rozmyte i Algorytmy Ewolucyjne

Generowanie liczb o zadanym rozkładzie. ln(1 F (y) λ

Bezpieczeństwo w Internecie

ROZPROSZONY SYSTEM DO KRYPTOANALIZY SZYFRÓW OPARTYCH NA KRZYWYCH ELIPTYCZNYCH

Próbny egzamin z matematyki dla uczniów klas II LO i III Technikum. w roku szkolnym 2012/2013

5. Rozwiązywanie układów równań liniowych

Informatyka kwantowa. Karol Bartkiewicz

Kryptografia kwantowa

Spis treści. Przedmowa... XI. Rozdział 1. Pomiar: jednostki miar Rozdział 2. Pomiar: liczby i obliczenia liczbowe... 16

Treść wykładu. Pierścienie wielomianów. Dzielenie wielomianów i algorytm Euklidesa Pierścienie ilorazowe wielomianów

Struktury danych i złożoność obliczeniowa Wykład 5. Prof. dr hab. inż. Jan Magott

KOŁO MATEMATYCZNE LUB INFORMATYCZNE - klasa III gimnazjum, I LO

Transkrypt:

Aktualny stan bezpieczeństwa krzywych eliptycznych Janusz Szmidt Wojskowy Instytut Łączności 14 XII 2017

Plan prezentacji Krzywe eliptyczne nad ciałem liczb rzeczywistych Krzywe eliptyczne nad ciałami skończonymi Problem logarytmu dyskretnego Standardy krzywych eliptycznych Warunki na kryptograficznie bezpieczne krzywe eliptyczne Przykład krzywej eliptycznej Historia ECC Polityka NSA Ataki bocznymi kanałami (side channel attacks)

Krzywe eliptyczne nad ciałem liczb rzeczywistych

Krzywe eliptyczne nad ciałem liczb rzeczywistych, cd.1

Krzywe eliptyczne nad ciałem liczb rzeczywistych, cd.2

Krzywe eliptyczne nad ciałami skończonymi Niech p > 3 będzie liczbą pierwszą, zaś F p = {0, 1,..., p 1} ciałem skończonym p elementowym z działaniami dodawania i mnożenia modulo p. Niech współczynniki A, B F p spełniają warunek (4A 3 + 27B 2 ) 0 mod p. Przez krzywą eliptyczną E(F p ) nad ciałem F p rozumiemy zbiór rozwiązań (x, y) F p F p równania y 2 = x 3 + Ax + B mod p oraz punkt O w nieskończoności. Na zbiorze E(F p ) wprowadzamy działanie + dodawania punktów na krzywej, względem którego E(F p ) jest grupą oraz działanie mnożenia punktu na krzywej P przez liczbę naturalną n n P = P +... + P, n razy.

Przykład krzywej eliptycznej nad ciałem F23

Problem logarytmu dyskretnego Rząd q krzywej eliptycznej (liczba punktów na krzywej) spełnia nierówność Hassego p + 1 2 p < q < p + 1 + 2 p. Szukamy krzywych eliptycznych, których rząd q jest liczbą pierwszą. Niech P 0 E(F p ) będzie losowo wybranym punktem na krzywej eliptycznej. Rząd tego punktu jest równy q. Weźmy dowolny punkt Q należący do grupy cyklicznej generowanej przez punkt P 0. Ponieważ q jest liczbą pierwszą, to grupa ta jest równa E(F p ). Istnieje wtedy liczba całkowita k taka, że Q = k P 0. Znalezienie liczby k nazywane jest problemem logarytmu dyskretnego na krzywych eliptycznych (ECDLP Elliptic Curve Discrete Logarithm Problem).

Problem logarytmu dyskretnego, cd. W zastosowaniach kryptograficznych wymagane jest, aby ECDLP był problemem trudnym obliczeniowo. Dla odpowiednio wybranych krzywych eliptycznych najlepszym obecnie znanym algorytmem rozwiązania ECDLP jest algorytm ρ-pollarda, którego złożoność czasowa jest równa O( πq/4). Zatem należy wpierw wybrać liczbę pierwszą p o odpowiedniej wielkości, co określa długość stosowanych kluczy w algorytmach klucza publicznego, a następnie szukać krzywych eliptycznych (czyli dobierać współczynniki A, B) spełniających określone warunki.

Długości kluczy kryptograficznych Poniższa tabela podaje długości kluczy dla poszczególnych sytemów kryptograficznych, które zapewniają porównywalny poziom bezpieczeństwa. Algorytmy symetryczne 80 112 128 160 256 ECC rzędu q 160 224 256 320 512 RSA długość modułu n 1024 2048 3072 7680 15360 W przyszłości, po zdudowaniu komputerów kwantowych, sytuacja ta ulegnie radykalnej zmianie, ponieważ istnieją algorytmy kwantowe, które rozwiązują problemy faktoryzacji i logarytmu dyskretnego w czasie wielomianowym.

Standardy krzywych eliptycznych ECC Brainpool Standard Curves and Curve Generation, v.1.0, 2005, Request for Comments 9639, 2010. American National Standard X9.62-2005, The Elliptic Curve Digital Signature Algorithm (ECDSA). FIPS PUB 186-4, NIST 2013, Digital Signature Standard (DSS). SEC 1: Elliptic Curve Cryptograophy. Certicom, 2009. ISO/EC 15946-2, 2002, Cryptographic Techniques Based on Elliptic Curves. safecurves.cr.yp.to

Kryteria wyboru krzywych eliptycznych według standardu Brainpool Rząd q grupy punktów na krzywej jest liczbą pierwszą odpowiedniej wielkości - uniemożliwienie ataku na ECDLP metodą ρ-pollarda. Liczba pierwsza q jest różna od charakterystyki p ciała podstawowego - gdy q = p to istnieje algorytm ataku na ECDLP o złożoności wielomianowej. Ograniczenie z dołu stopnia zanurzenia krzywej eliptycznej w rozszerzenie ciała podstawowego - odpowiednio duży stopień zanurzenia zapobiega obliczaniu logarytmów na krzywej w czasie podwykładniczym. Liczba klas ciała kwadratowego Q( d) (d jest tzw. dyskryminantem krzywej ) jest odpowiednio duża ( czynnik > 10 7 w standardzie Brainpool, > 2 100 w ISO) - kryterium to związane jest z atakami na ECDLP (w innych standardach krzywych eliptycznych, np NIST-u, nie ma tego kryterium).

Twist security Niech E będzie krzywą eliptyczną nad ciałem F p określoną równaniem y 2 = x 3 + Ax + B. Wtedy krzywą E określoną równaniem χy 2 = x 3 + Ax + B, gdzie χ jest kwadratową nieresztą, nazywamy kwadratowym skręceniem krzywej E. Rzędy tych krzywych związane są równością #E + #E = 2p + 2. Twist security związane jest z faktoryzacją liczby #E = 2p + 2 #E. Zakładamy, że liczba #E ma duży czynnik pierwszy > 2 200. Zapobiega to atakom typu DFA (Differential Fault Analysis). Wiele krzywych z cytowanych wyżej standardów nie spełnia tego kryterium (patrz : www.safecurves.cr.yp.to ).

Krzywa eliptyczna nad ciałem F p, p - 384 bity p = 0x8926CF966048CB248C02D815BFC2445A3A12F246BF7D7C 17201890D351FD312C878DB3078617E8C9BC1008155BBD1957 seed = 0xFF8606C4CF02917323618347665ED4E4E920E4F1 A = 0x7F635297C23DFC716BD71FC3840CF1720E5E7B4965388C3 C079DF7B95EFC1C51473852A3C131BD71DD2100005227DDDF B = 0x65388C3C079DF7B95EFC1C51473852A3C131BD71DD210000 5227DDDF631942B65BC7EE6ECE981CF928E772F396709047 #E = 0x8926CF966048CB248C02D815BFC2445A3A12F246BF7D7C17 0867AA95DBF2A5EE69D699A0A0BB8371D5495783CF3E43B9 h = 1

Krzywa eliptyczna nad ciałem F p, p - 384 bity #E-Twist = 0x8926CF966048CB248C02D815BFC2445A3A12F246BF7D7C17 37C97710C807BC6AA544CC6E6B744E21A2D6B8A6E83BEEF7 Faktoryzacja #E-Twist: < 1223, 1 >, < 266541821383, 1 > < 6475710808973591087086203358574567325406093069268237 6567966394706080372437853813252605390162860551463, 1 > Największy czynnik pierwszy: 335 bitów.

Pierwsza dekada ECC (1985-1995) Na przełomie lat 1980 i 1990 sieci komputerowe zaczęły odgrywać coraz większą rolę i Amerykańska Narodowa Agencja Bezpieczeństwa (NSA National Security Agency) zaczęła doradzać sektorowi prywatnemu w zakresie cyberbezpieczeństwa. W ramach dostępnych systemów klucza publicznego prawie od początku NSA preferowała kryptosystemy oparte na krzywych eliptycznych (ECC Elliptic Curve Cryptography). Na początku lat 90 tych NIST (National Institute of Standards and Technology) zaproponował standard podpisu cyfrowego DSA (Digital Signature Algorithm), którego bezpieczeństwo oparte jest na problemie logarytmu dyskretnego (DLP Discrete Logarithm Problem) w grupie multiplicatywnej ciała skończonego. Wyrażono w ten sposób pewne niezadowolenie z kryptosystemów opartych na faktoryzacji, być może z powodu wysokich opłat licencyjnych, którymi objęte były patenty RSA.

Pierwsza dekada ECC (1985-1995) W roku 1994 przedstawiono protokół ECDSA (Elliptic Curve Digital Signature Algorithm) oparty na problemie algorytmu dyskretnego na krzywych eliptycznych. Orędownicy RSA oponowali przeciwko ECDSA argumentując, że prawdopodobnie NSA wstawiło boczne furtki (back doors) do ECDSA. Natomiast nie przedstawili żadnych dowodów na istnienie owych bocznych furtek i w następnych dwóch dekadach nie stwierdzono ich istnienia w DSA lub w ECDSA. Po raz pierwszy publicznie i zdecydowanie NSA dała wsparcie dla ECC na spotkaniu komitetu ANSI (American National Standards Institute) w 1995 roku. W czasie debaty zwolennicy RSA przedstawili systemy ECC jako nieprzetestowane i oparte na ezoterycznej matematyce. W czasie gorącej dyskusji przedstawiciel NSA opuścił salę obrad w celu wykonania rozmowy telefonicznej. Po powrocie oświadczył, że został upoważniony do oświadczenia, że NSA uważa ECC za dostatecznie bezpieczną w zastosowaniach rządowych i komercyjnych.

Druga dekada ECC (1995-2005) Na konferencji Crypto 97 Jerry Solinas jako pierwszy przedstawiciel NSA przedstawił publicznie pracę (An improved algorithm for arithmetic on a family of elliptic curves). Praca zawiera efektywną arytmetykę dla rodziny anomalnych krzywych eliptycznych nad ciałami binarnymi. W roku 2000 pięć krzywych z tej rodziny dla różnych poziomów bezpieczeństwa zostało włączonych do listy 15 krzywych standardu NIST. Pewni badacze uważali te krzywe za ryzykowne z powodu ich specjalnej struktury, która była wykorzystana przy budowie efektywnej arytmetyki oraz istniało przyspieszenie algorytmu rho Pollarda obliczania logarytmów dyskretnych w tej klasie krzywych eliptycznych. Uważano, że bardziej konserwatywnym wyborem byłoby losowe wybranie krzywych nad ciałami binarnymi lub ciałami prostymi.

Druga dekada ECC (1995-2005) Pozostałe 10 krzywych ze standardu NIST to pięć losowo wygenerowanych krzywych nad ciałami binarnymi i pięć losowo wygenerowanych krzywych nad ciałami prostymi odpowiednio dla różnych poziomów bezpieczeństwa. Z powodu opracowanych ostatnio ataków na ECDLP dla krzywych nad ciałami binarnymi. Część badaczy uważa, że krzywe eliptyczne nad ciałami binarnymi nie są dostatecznie bezpieczne. Jako godne zaufania uważają generowane losowo krzywe eliptyczne nad ciałami prostymi, które oznaczane są P-k, gdzie k jest długością w bitach liczby pierwszej. W następnych latach NSA jeszcze silniej wspierała ECC. W 2005 roku NSA umieściło na swojej stronie pracę The Case for Elliptic Curve Cryptography, gdzie przedstawiono RSA jako pierwszą generację kryptosystemów klucza publicznego, która zostaje zastąpiona przez ECC.

Druga dekada ECC (1995-2005) W związku z tymi zaleceniami na konferencji RSA w 2005 roku NSA przedstawiło tzw. Zestaw B (Suite B) rekomendowanych algorytmów kryptograficznych. W oryginalnej formie dokument ten nie zawierał protokołów RSA i DSA, natomiast ECDSA dla podpisu oraz ECDH i ECMQV dla wymiany kluczy. Z kryptografii symetrycznej zalecane były algorytmy AES i SHA. Wskazano dwa poziomy bezpieczeństwa dla ECC z krzywą eliptyczną P 256 dla poziomu bezpieczeństwa 128 bitów oraz z krzywą P-384 dla poziomu bezpieczeństwa 192 bitów. Zestaw B może być stosowany dla wiadomości klasyfikowanych według nomenklatury USA do poziomu Top Secret. Dla wyższych poziomów bezpieczeństwa przeznaczony jest tajny zestaw A.

Trzecia dekada ECC (2005-2015) W roku 2010 z powodu powolnego wdrażania kryptosystemów opartych na ECC, NSA dokonało aktualizacji Zestawu B dopuszczając użycie RSA i DSA z modułami o długości 2048 bitów (co odpowiada poziomowi bezpieczeństwa 112 bitów), które mogą być użyte do poziomu Secret, natomiast nie wspomniano o użyciu RSA/DH/DSA dla poziomu Top Secret. W roku 2013 rewelacje ujawnione przez Edwarda Snowdena miały dramatyczny wpływ na publiczne postrzeganie roli NSA w promowaniu ECC. We wrześniu tego roku The New York Times napisał, że z dokumentów ujawnionych przez Snowdena wynika, że NSA wstawiło boczną furtkę w standardowej wersji generatora liczb losowych opartego na krzywych eliptycznych (The Dual Elliptic Curve Deterministic Random Bit Generator EC-DRBG). Na taką możliwość wskazali w roku 2007 badacze z Microsoftu. Opisane to zostało w pracy J.Kelsey a na konferencji CRYPTO z roku 2014.

Trzecia dekada ECC (2005-2015) W sierpniu 2015 roku NSA opublikowało swoje oświadczenie w sprawie kryptografii post-kwantowej, gdzie powiedziano, że w niedalekiej przyszłości będzie przedstawiony zestaw kryptosystemów post-kwantowych. W międzyczasie użytkownicy powinni używać zestawu B, który zasadniczo opiera się na ECC, chociaż krzywa P-256 zniknęła z tego zestawu, natomiast pozostała krzywa P-384 oraz RSA z kluczami minimum 3072 bitów.

Czy NSA może łamać ECC? Pytanie to wynikło szczególnie po rewelacjach Snowdena odnośnie generatora EC-DBRG. Patrząc na publikowane i nieformalne raporty nie ma widocznego potwierdzenia, że NSA ma jakąś wyprzedzającą wiedzę na temat faktoryzacji i ECDLP. ECC istnieje od trzech dekad, zaś NSA promuje ECC od dwóch dekad. Jeśli NSA znałoby ataki na ECDLP od lat 90-tych, to musieliby przyjąć, że nikt takich ataków nie odkryje, mimo tego, że prowadzone były intensywne badania w tym kierunku. Gdyby w strefie publicznej odkryto takie ataki, to podważyłoby to zaufanie do NSA. Powstaje pytanie, czy krzywe eliptyczne ze standardu NIST są krzywymi słabymi, tzn. czy były wygenerowane (wybrane) w taki sposób, że ich autorzy mogą coś zrobić z ECDLP na tych krzywych. Niezależnie od odpowiedzi na to pytanie, krzywe NIST-u mają już 17 lat i mamy następne pytanie, czy nie należałoby zastąpić je innymi krzywymi.

Klasa słabych krzywych eliptycznych? Mamy zatem pytanie, czy poza krzywymi anomalnymi i krzywymi supersingularnymi nie ma więcej klas słabych kryptograficznie krzywych eliptycznych. W celu załagodzenia tych obaw, komitet standaryzacyjny ANSI X9F1 zdecydował, żeby umieścić w ich standardzie pewne krzywe eliptyczne, które zostały wygenerowane w sposób losowy. Wtedy byłoby małe prawdopodobieństwo, że krzywe te należą do jakiejś specjalnej klasy, dla której nie odkryto jeszcze ataków na ECDLP. Oszacujmy jakie byłoby prawdopodobieństwo wygenerowanie nieznymych jeszcze ogólnie słabych krzywych eliptycznych (a znanych NSA).

Klasa słabych krzywych eliptycznych? Dla ustalonego ciała skończonego F q istnieje wiele krzywych eliptycznych, w szczególności jest około 2q różnych klas izomorficznych krzywych eliptycznych określonych nad ciałem F q. Ważnym etapem badania odporności kryptograficznej krzywych jest obliczenie rzędu #E(F q ) grupy punktów na krzywej. W celu zapewnienia, że krzywe generowane przez NSA nie należą do specjalnej klasy krzywych opracowano procedurę według której współczynniki krzywej są wyprowadzone z ziarna, które przechodzi przez funkcję skrótu SHA-1. Mając dane owe ziarno i wygenerowane krzywe każdy może sprawdzić ich prawdziwość. Ponieważ funkcja SHA-1 uważana jest za nieodwracalną, to byłoby niemożliwe wpierw wybrać słabą kryptograficznie krzywą eliptyczną, a następnie znaleźć ziarno, które generuje tą krzywą.

Klasa słabych krzywych eliptycznych? Klasa słabych krzywych musiałaby być bardzo duża, żeby otrzymać krzywą z tej klasy startując z ziarna i używając funkcję skrótu. Rozpatrzmy zatem liczbę pierwszą p 256 bitową. Istnieje wtedy około 2 257 izomorficznych klas krzywych eliptycznych nad ciałem F p. Niech s będzie proporcją krzywych eliptycznych nad F p o których wierzymy, że są bezpieczne. Klasa ta zawiera wszystkie krzywe, których rząd jest liczbą pierwszą (poza krzywymi anomalnymi i krzywymi ulegającymi atakowi Weila Tate (Weil Tate pairing attack)). Propozycja 256-litowych liczb, które są pierwsze jest w przybliżeniu równa 1/(256ln2) 2 8, zatem proporcja silnych kryptograficznie krzywych jest co najmniej 2 8.

Klasa słabych krzywych eliptycznych? Przypuśćmy teraz, że proporcja krzywych, które NSA wie jak złamać jest 2 40. W tym hipotetycznym scenariuszu NSA mogłaby znaleźć taką słabą krzywą próbując około 2 48 ziaren. Wtedy liczba słabych krzywych znanych przez NSA byłaby w przybliżeniu 2 209. To znaczy, że tak wielka liczba słabych kryptograficznie krzywych znana była NSA w 1997 roku i nie została odkryta przez badaczy z zewnątrz, aż do chwili obecnej, co jest wysoce nieprawdopodobne.

Czy NSA zna algorytm o złożoności O(n 1/3 ) dla ECDLP? Powodem takich przypuszczeń jest fakt, że ECDLP w ostatniej rewizji zestawu B usunięto krzywą P-256, pozostawiając P-384. Znaczyłoby to, że jeśli O(n 1/3 ) - algorytm byłby znany, to krzywa P-384 miałaby poziom bezpieczeństwa 128 bitów, taki sam jak aktualnie krzywa P-256 przy znajomości O(n 1/2 ) - algorytmu. Na konferencji Asiacrypt 2013 Berustein i Lange przedstawili algorytm rozwiązania ECDLP o czasowej złożoności obliczeniowej O(n 1/3 ) ale wymaga on olbrzymiej ilości obliczeń wstępnych rzędu O(n 2/3 ), tak że algorytm ten jest bezwartościowy.

Ataki bocznym kanałem (side channel attacks) Zapewne NSA jest światowym liderem w preparowaniu ataków tego typu. Atakom przy pomocy bocznych kanałów trudno jest przeciwdziałać stosując techniki matematyczne i odpowiednie projektowanie protokołów. Zależy stosować odpowiednio zabezpieczone urządzenia (tamper proof: odporne na wtargnięcie) i izolację fizyczną urządzeń. Powstaje też pytanie czy NSA wie coś więcej o komputerach kwantowych niż świat zewnętrzny.

Komputery kwantowe Według relacji Swondena tak nie jest. Według Washington Post ze stycznia 2014 roku wysiłki NSA w kierunku budowy komputerów kwantowych są częścią programu badawczego Panetreting Hard Problems którego budżet wynosi około 80 milionów US $, co jest tylko drobną częścią całego budżetu NSA. Świadczy to raczej o tym, że NSA nie jest bardziej zaawansowana w rozwoju obliczeń kwantowych niż pozostałe światowe laboratoria. Według przewidywań użytkowników kryptografii komputery kwantowe mogą być dostępne w ciągu 15 lat (czyli około 2030 roku).

Algorytmy post-kwantowe Jakie zatem były motywy NSA ogłoszenia komunikatu o PQC. Pierwszym przypuszczeniem jest, że NSA potrafi łamać algorytmy PQC. Proponowane kryptosystemy odporne na ataki kwantowe są matematycznie skomplikowane, kryteria wyboru parametrów nie są w pełni jasne i w pewnych przypadkach (np. NTRU) kryptosystemy te były wcześniej złamane. Być może NSA przypuszcza, że będzie im łatwiej znaleźć słabości w PQC niż w RSA lub ECC. Aktualnie badanie PQC jest we wczesnym stadium badań. Nie ma jeszcze pełnej zgody ośrodków badawczych co do najlepszego podejścia. Jeśli proces ten będzie przyspieszony, to mogą być pewne błędy, pojawią się słabości kryptosystemów PQC, które będą znane NSA i wykorzystywane przez agencję w przyszłości.

Algorytmy post-kwantowe Tego typu strategia NSA jest mało prawdopodobna z tych samych powodów co wiara, że NSA potrafi łamać ECC. Jeśli NSA miałoby jakieś idee jak łamać PQC, to prawdopodobnie wkrótce mieliby je także inni (inne państwa), co naruszyłoby bezpieczeństwo USA. Nie znaczy to, że NSA nie ma żadnych idei odnośnie własnych systemów PQC. Badacze z NSA studiują od lat systemy PQC i planują odegrać ważną rolę w standaryzacji post kwantowych algorytmów.

Dokument BSI Minimum Requirements for Evaluating Side-Channel Attack Resistance of Elliptic Curve Implementations

Boczne kanały Zmiany czasu wykonywania operacji na wszystkich poziomach od cykli zegara i pojedynczych instrukcji CPU aż do wykonania całego algorytmu. Zmiany poboru mocy w czasie wykonywania operacji. Zmiany promieniowania elektromagnetycznego podczas operacji. Zmiany emisji fotonów w czasie operacji. Wymuszanie nieoczekiwanego zachowania i niezamierzone zmiany stanów systemu, które powodują wycieki danych na wyjściowym interfejsie i na kanałach bocznych jako rezultat chwilowych lub stałych błędów urządzenia.

Typy ataków bocznymi kanałami Prosta analiza mocy (Simple Power Analysis - SPA). Prosta analiza elektromagnetyczna (Simple Elektromagnetic Analysis SEMA). Analiza czasowa (Timing Analysis TA). Różnicowa analiza mocy (Differentila Power Analysis DPA). Różnicowa analiza elektromagnetyczna (Differential Elektromagnetic Analysis DEMA). Profilowana analiza bocznymi kanałami. Atak korelacyjno kolizyjny (Correlation Collision Attack). Ataki wyższego rzędu bocznymi kanałami (Higher Order Differential Side Chanel Analysis). np. atak DPA drugiego rzędu. Prosta analiza błędów (Simple Fault Analysis SFA). Różnicowa analiza błędów (Differential Fault Analysis DFA). Podejście stochastyczne (Stochastic Approach).

Ataki bocznymi kanałami ad.1. Atak SPA (prosta analiza mocy) w bezpośredni sposób interpretuje pomiary poboru mocy, które są filtrowane aby widoczne było wewnętrzne wykonanie funkcji algorytmu. ad.2. Atak SEMA (prosta analiza elektromagnetyczna) mierzy i interpretuje promieniowanie elektromagnetyczne w czasie wykonywania algorytmów kryptograficznych. ad.3. Ataki czasowe (timing attacks) wykorzystują różnice w czasie wykonywania poszczególnych kroków algorytmu kryptograficznego w celu uzyskania tajnych parametrów. ad.4. Ataki DPA (różnicowa analiza poboru mocy) wykorzystują zależność danych od poboru mocy przez urządzenia kryptograficzne Należy wykonać dużą liczbę pomiarów (w zakresie 1 000 000) w celu analizy poboru mocy w ustalonym momencie czasowym jako funkcję przetwarzanych danych. Atak można zrealizować w następujących etapach:

Ataki bocznymi kanałami 1. wybieramy pośrednią wartość wykonywanego algorytmu kryptograficznego, która zależy od tajnych parametrów będących celem ataku, 2. wykonujemy pomiar poboru mocy, 3. obliczamy hipotetyczną wartość pośrednią, 4. odwzorowujemy wartość pośrednią na hipotetyczną wartość poboru mocy, która jest wyprowadzona z przyjętego modelu wycieku informacji, 5. porównujemy hipotetyczny pobór mocy dla przypuszczalnej wartości tajnego klucza z otrzymanymi wartościami eksperymentalnymi.

Ataki bocznymi kanałami ad.5. Atak DEMA opiera się na pomiarze promieniowania elektromagnetycznego podczas wykonywania algorytmu kryptograficznego. ad.6. Atak typu analiza profilowana jest podobny do ataku DPA z tą samą ilością danych. W przeciwieństwie do DPA, w ataku tym nie stawiamy hipotez co do wartości tajnych parametrów, ale używamy znanych wartości wejścia, wyjścia lub wartości pośrednich. W ten sposób atakujący może określić czas w którym wartość jest ładowana lub obliczana i w ten sposób zawęzić przedział czasowy w którym wykonywane są dane wrażliwe. ad.7. W ataku korelacyjno-kolizyjnym chcemy sprawdzić czy te same dane w ramach określonych operacji są tak samo przetwarzane w różnych odstępach czasu. Oczekuje się, że dla identycznych danych istnieją korelacje między pomiarami poboru mocy dokonywanymi w różnych odstępach czasu.

Ataki bocznymi kanałami ad.9. Analiza błędów stosuje metody fizyczne, żeby modyfikować stany wewnętrzne badanego urządzenia w celu otrzymania dodatkowych informacji przez obserwację błędów i ich różnic względem stanów normalnych. Przez błąd (fault) rozumiemy nienormalny warunek lub wadę komponentu układu, które powodują przejściowe lub stałe niewłaściwe działanie układu.

DZIĘKUJĘ

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres