Elliptic Curve Digital Signature Algorithm

ECDSA (Elliptic Curve Digital Signature Algorithm) - алгоритм з відкритим ключем для створення цифрового підпису, аналогічний за своєю будовою DSA, але визначений, на відміну від нього, не над кільцем цілих чисел, а в групі точок еліптичної кривої.

Стійкість алгоритму шифрування ґрунтується на задачі дискретного логарифма в групі точок еліптичної кривої. На відміну від задачі простого дискретного логарифма і задачі факторизації цілого числа, не існує субекспоненціального алгоритму для задачі дискретного логарифма в групі точок еліптичної кривої. З цієї причини «сила на один біт ключа» істотно вище в алгоритмі, який використовує еліптичні криві.^[1]

Д. Брауном (Daniel R. L. Brown) було доведено, що алгоритм ECDSA не є більш безпечним, ніж DSA. Ним було сформульовано обмеження безпеки для ECDSA, яке призвело до наступного висновку:

«Якщо група еліптичної кривої може бути змодельована основною групою і її хеш-функція задовільняє певні обґрунтовані припущення, то ECDSA стійка до атаки на основі підібраного відкритого тексту з існуючої фальсифікацією.»^[2]

Алгоритм ECDSA в 1999 р був прийнятий як стандарт ANSI, в 2000 р - як стандарт IEEE і NIST. Також в 1998 р алгоритм був прийнятий стандартом ISO. Незважаючи на те, що стандарти ЕЦП створені зовсім недавно і знаходяться на етапі вдосконалення, одним з найбільш перспективних з них на сьогоднішній день є ANSI X9.62 ECDSA від 1999 - DSA для еліптичних кривих.

Для підписування повідомлень необхідна пара ключів - відкритий і закритий. При цьому закритий ключ повинен бути відомий тільки тому, хто підписує повідомлення, а відкритий - будь-кому хто бажає перевірити справжність повідомлення. Також загальнодоступними є параметри самого алгоритму.

1. Вибір хеш-функції ${\displaystyle H(x)}$. Для використання алгоритму необхідно, щоб повідомлення, яке підписується, було числом. Хеш-функція повинна перетворити будь-яке повідомлення в послідовність бітів, які можна потім перетворити в число.
2. Вибір великого простого числа ${\displaystyle q}$ - порядок однієї з циклічних підгруп групи точок еліптичної кривої. Зауваження: Якщо розмірність цього числа в бітах менше розмірності в бітах значень хеш-функції ${\displaystyle H(x)}$ то використовуються тільки ліві біти значення хеш-функції.
3. Простим числом ${\displaystyle p}$ позначається характеристика поля координат ${\displaystyle F_{p}}$.

Для простоти будемо розглядати еліптичні криві над полем ${\displaystyle F_{p}}$, де ${\displaystyle F_{p}}$ - кінцеве просте поле. Причому, якщо необхідно, конструкцію можна легко адаптувати для еліптичних кривих над іншим полем.

Нехай ${\displaystyle E}$ - еліптична крива, визначена над${\displaystyle F_{p}}$, і ${\displaystyle P}$ - точка простого порядку ${\displaystyle q}$ кривої ${\displaystyle E}$(${\displaystyle F_{p}}$). Крива ${\displaystyle E}$ і точка ${\displaystyle P}$ є системними параметрами. Число ${\displaystyle p}$ - просте. Кожен користувач - умовно назвемо його Аліса - конструює свій ключ за допомогою наступних дій:

1. Вибирає випадкове або псевдовипадкове ціле число ${\displaystyle x}$ з інтервалу ${\displaystyle [1,q-1]}$.
2. Обчислює (кратне) ${\displaystyle Q=xP}$.

Відкритим ключем користувача Аліси ${\displaystyle A}$ є точка ${\displaystyle Q}$, а закритим - ${\displaystyle x}$.

Замість використання ${\displaystyle E}$ і ${\displaystyle P}$ в якості глобальних системних параметрів, можна фіксувати тільки поле ${\displaystyle F_{p}}$ для всіх користувачів і дозволити кожному користувачеві вибирати свою власну еліптичну криву ${\displaystyle E}$ і точку ${\displaystyle P}$ ${\displaystyle \in }$${\displaystyle E(F_{p})}$. В цьому випадку певне рівняння кривої ${\displaystyle E}$, координати точки ${\displaystyle P}$, а також порядок ${\displaystyle q}$ цієї точки ${\displaystyle P}$ повинні бути включені у відкритий ключ користувача. Якщо поле ${\displaystyle F_{p}}$ фіксоване, то апаратна і програмна складові можуть бути побудовані так, щоб оптимізувати обчислення в тому полі. У той же час є величезна кількість варіантів вибору еліптичної кривої над полем ${\displaystyle F_{p}}$.

ECDSA є дуже привабливим алгоритмом для реалізації цифрового підпису. Найважливішою перевагою ECDSA є можливість його роботи на значно менших полях ${\displaystyle F_{p}}$. Як, загалом, з криптографією еліптичної кривої, передбачається, що бітовий розмір відкритого ключа, який буде необхідний для ECDSA, дорівнює подвійному розміру секретного ключа в бітах. Для порівняння, при рівні безпеки в 80 біт (тобто атакуючому необхідно приблизно ${\displaystyle 2^{80}}$ версій підписів для знаходження секретного ключа), розмір відкритого ключа DSA дорівнює, принаймні, 1024 біт, тоді як відкритого ключа ECDSA - 160 біт. З іншого боку розмір підпису однаковий і для DSA, і для ECDSA: ${\displaystyle 4t}$ біт, де ${\displaystyle t}$ — рівень безпеки, який вимірюється в бітах, тобто - приблизно 320 біт для рівня безпеки в 80 біт.

На сьогоднішній день реалізація електронних цифрових підписів здійснюються програмним чином. Для створення подібних продуктів використовують спеціальні програмні пакети, що дозволяють створювати криптографічні додатки з використанням різних зовнішніх пристроїв безпеки.

• Neal Koblitz and Alfred Menezes (1995) [Архівовано 8 серпня 2017 у Wayback Machine.]. — Another Look at Generic Groups.

• Digital Signature Standard; includes info on ECDSA [Архівовано 27 грудня 2016 у Wayback Machine.]

Еліптична криптографія

EdDSA

1. ↑ 08.08.2002. Цифровая подпись. Эллиптические кривые - MorePC.Ru. www.morepc.ru. Архів оригіналу за 31 грудня 2012. Процитовано 14 квітня 2018.
2. ↑ http://www.psu.edu/. Архів оригіналу за 27 лютого 2012.