Kryptographie. Die Verwendung elliptischer Kurven in der Kryptographie

Transkript

1 Kryptographie SS 2004 Die Verwendung elliptischer Kurven in der Kryptographie Betreuer: Prof. Dr. Uwe Egly Institut für Informationssysteme Knowledge Based Systems Group E184/3 TU - Wien

2 Inhalt 1 Vorteile elliptischer Kurven Einsatz und Anwendung elliptischer Kurven Sicherheit elliptischer Kurven Weitere Aspekte für den Einsatz elliptischer Kurven Mathematische Grundlagen Diffie Hellman Schlüsseltausch auf Basis des DLP und ECDLP Babystep-Giantstep-Attacke Erzeugung sicherer elliptischer Kurven ElGamal Verschlüsselung mit elliptischen Kurven Elliptic Curve Digital Signature Algorithm Weiterführende Links Verwendete Literatur

3 Vorteile elliptischer Kurven 2 Neal Koblitz und Victor Miller haben 1985 unabhängig voneinander vorgeschlagen elliptische Kurven (ECC) für das Public Key Verfahren einzusetzen. Vorteile gegenüber herkömmlichen kryptographischen Algorithmen wesentlich kürzere Schlüssellängen hohe kryptographische Sicherheit relativ zur Schlüssellänge hohe Geschwindigkeit geringe Speicheranforderungen kürzere Signaturen Kostenersparnis

4 Einsatz und Anwendungen elliptischer Kurven 3 Einsatz in kryptographischen Verfahren Verschlüsselung Digitale Signatur Digitale Zertifikate Die Österreichische Signaturverordung SigV vom 2. Feb sieht bis 31.Dez für sichere elektronische Signaturen folgende Mindestschlüssellängen vor: RSA und DSA DSA mit elliptischen Kurven 1023 Bit 160 Bit Anwendungen Smartcards mobile Geräte: Handys, Handheldcomputer ISDN Verschlüsselungsgerät drahtlose Datenübertragung (WAP/WTLS) ISDN- Bus-/Port- Schlüsselgerät ElcroDat 6-2 [BSI]

5 Sicherheit elliptischer Kurven 4 Auszug aus Weißbuch Bürgerkarte Seitens der Verwaltung werden Signaturverfahren, die auf elliptischen Kurven basieren empfohlen (ECDSA). Dies verspricht eine längere Lebensdauer der Token, da die Schlüssel nach heutigem Wissenstand deutlich später als nicht mehr gültig einzustufen sein werden. Dies ist nachfolgend an einem Beispiel dargestellt. Erheblich kürzere Signaturen (~ 1/3 der Länge von RSA 1024) haben folgenden Vorteil beim Ausdruck: [Weißbuch Bürgerkarte, 10]

6 Sicherheit elliptischer Kurven 5 Vergleich der Security Levels [Oswald, 26]

7 Weitere Aspekte für den Einsatz elliptischer Kurven 6 Was spricht noch für den Einsatz elliptischer Kurven Interoperabilität verschiedener Implementierungen Standards: ANSI X9, ISO/IEC, IEEE, FIPS, ATM Forum, Verfügbarkeit von patentfreien Algorithmen Implementierung elliptischer Kurven in Hard- und Software ICs für Smartcards Siemens: Pluto-IC mit Verschlüsselungrate (2Gbit/sec) für Verschlüsselungsgerät von ISDN Verbindungen, Infioneon, Motorola und Philips Chipkarten mit Kryptokoprozessoren bzw. kostengünstigen EC Implementierung auf F 2 m Orga in Kooperation mit Cryptovision, On Track Innovations und Schlumberger Security Software mit Integration von ECC Oracle, Sybase, Hewlett Packard und Certicom

8 Mathematische Grundlagen elliptischer Kurven 7 Für ECC Verfahren sind elliptische Kurven über endliche Körper F q mit q Elementen von Interesse. q ist entweder eine ungerade Primzahl q = p oder eine Zweierpotenz q = 2 m. Ein endlicher Körper F q wird auch Galoisfeld GF(q) genannt. Definition: Eine elliptische Kurve E über einen endlichen Körper F q wird durch eine Menge von Punkten (x,y) und einem Punkt O im Unendlichen (dem neutralen Element) definiert, wenn sie die Weierstrass Gleichung erfüllt. Die Weierstrass Gleichung lautet: y 2 + uxy +vy = x 3 + ax 2 + bx +c Ist p > 3 lässt sich die Weierstrass Gleichung auf y 2 = x 3 + ax + b reduzieren. Für p = 2 ergibt sich y 2 + xy = x 3 + ax 2 + b.

9 Mathematische Grundlagen elliptischer Kurven 8 Für kryptographische Systeme kommen folgende elliptische Kurven in Betracht: 1. Für p > 3 y 2 = x 3 + ax + b a und b Є F q, müssen so gewählt werden, dass die Kurve nichtsingulär ist, d.h. (4a b 2 )modp 0 2. Für p = 2 y 2 + cy = x 3 + ax + b mit a, b, c Є F q,c 0. y 2 + xy = x 3 + ax 2 + b mit a, b Є F q, b 0.

10 Mathematische Grundlagen elliptischer Kurven 9 Wir betrachten den Körper K = F p mit einer Primzahl p > 3 und den Kurventyp y 2 = x 3 + ax + b Die Punkte der Kurve E über F p bilden zusammen mit dem Punkt O(, ), dem neutralen Element, eine Gruppe. Da die Punktegruppe von E eine additive Gruppe bildet, lässt sich eine Multiplikation nur als fortgesetzte Addition berechnen. Damit ist die k-fache Addition eines Punktes P gleich P + P + + P und wird mit k P abgekürzt. k

11 Mathematische Grundlagen elliptischer Kurven 10 Beispiele elliptischer Kurven über R Nicht ausgeartete elliptische Kurven E 1 : y 2 = x 3-3x + 3 E 2 : y 2 = x 3-3x + 5 x x Ausgeartete elliptische Kurven E 3 : y 2 = (x -1) 2 + (x + 2) E 4 : y 2 = x 3 x x x

12 Mathematische Grundlagen elliptischer Kurven 11 Graphische Darstellung der Additionsgesetze über R Kurventyp: y 2 = x 3 + ax + b Koeffizienten: a = -3, b =5 elliptische Kurve E: y 2 = x 3-3x + 5 g Die Addition der Punkte P + Q ergibt den um die x-achse gespiegelten Schnittpunkt R, das Inverse von R. Es gibt 3 weitere Fälle: Die Gerade g tangiert die Kurve, P und Q fallen zusammen. Die Summe ist 2P. x Die Gerade g läuft parallel zur y-achse und schneidet die Kurve in zwei Punkten P und P. Die Summe P + (-P) = O. Ist P ein Punkt auf der Kurve, mit O als Punkt im Unendlichen, dann gilt: P + O = O + P = P.

13 Mathematische Grundlagen elliptischer Kurven 12 Addition der Punkte P + Q über R Kurventyp: y 2 = x 3 + ax + b Koeffizienten: a = -3, b =5 elliptische Kurve E: y 2 = x 3-3x + 5 Gerade g: y = x +1 Die Addition der Punkte P + Q ergibt den um die x-achse gespiegelten Schnittpunkt R. P (x 1,y 1 ) Є E, Q(x 2,y 2 ) Є E g.. Steigung der Geraden g. ( , ) Für die Summe berechnet sich (x 3,y 3 ) wie folgt: x 3 = λ 2 x 1 x 2 y 3 = λ(x 1 x 3 ) y 1 x ( , ) = ( , ) Berechnung: ( ) λ = = ( ) x 3 = 1 ( ) = y 3 = 1( ) ( ) =

14 Mathematische Grundlagen elliptischer Kurven 13 Übertragung der elliptische Kurve auf GF(11) Körper: F p = F 11 Kurventyp: y 2 = x 3 + ax + b Koeffizienten: a = -3, b =5 elliptische Kurve E: y 2 = x 3-3x + 5 Für die Berechnung der Punkte (x, y) durchläuft x alle Elemente von F 11. Es sei z = x 3-3x + 5 mod 11. Danach wird getestet, ob z ein quadratischer Rest modulo 11 ist, d.h. ob Anschließend wird y aus y 2 z mod 11 ( da 4 (p+1)= 4 12 teilt => y =, sonst p-1. ) berechnet. x z in R 11? ja ja nein ja nein ja ja nein ja ja nein z 5 mod 11 y y

15 Mathematische Grundlagen elliptischer Kurven 14 Die Punkte der Kurve y 2 = x 3-3x + 5 über GF(11) E(F 11 ) = { O, (0,4), (0,7), (1,5), (1,6), (3,1), (3,10), (5,4), (5,7), (6,4), (6,7), (8,3), (8,8), (9,5), (9,6)} Die Anzahl der Punkte # E(F 11 ) =

16 Mathematische Grundlagen elliptischer Kurven 15 Ausgehend vom Punkt (8,3) wird die gesamte Gruppe E(F 11 ) aufgebaut E(F 11 ) = { O, (0,4), (0,7), (1,5), (1,6), (3,1), (3,10), (5,4), (5,7), (6,4), (6,7), (8,3), (8,8), (9,5), (9,6)} Körper: F p = F 11 Kurventyp: y 2 = x 3 + ax + b Koeffizienten: a = -3, b =5 elliptische Kurve E: y 2 = x 3-3x + 5 Alle Berechungen modulo p O 1P = O + P = (8,3) 2P = P + P = (8,3) + (8,3) = (0,7) 3P =2P + P = (0,7) + (8,3) = (6,7) * ** P (x 1,y 1 ) Є E(F 11 ), Q(x 2,y 2 ) Є E(F 11 ) Für die Summe berechnet sich (x 3,y 3 ) wie folgt: x 3 = λ 2 x 1 x 2 y 3 = λ(x 1 x 3 ) y 1 Die weiteren Punkte ergeben sich wie folgt: 4P = (1,5), 5P = (5,4), 6P = (3,10), 7P = (9,5), 8P = (9,6), 9P = (3,1), 10P = (5,7), 11P = (1,6), 12P = (6,4), 13P = (0,4), 14P = (8,8) * **

17 Diffie-Hellman Schlüsseltausch auf Basis des DLP 16 Alice und Bob einigen sich auf zwei Zahlen, eine Primzahl p und eine natürliche Zahl g. Ein Angreifer kennt p, g, α und β. Aus diesen kann er aber ohne Kenntnis der geheimen Zahlen a oder b den Schlüssel nicht ermitteln, denn dazu müsste er das DLP lösen.

18 Diffie-Hellman Schlüsseltausch auf Basis des ECDLP 17 Beispiel mit keinen Zahlen Alice und Bob wählen die elliptische Kurve E: y 2 = x 3-3x +5 über den endlichen Körper F 11, mit der Punktezahl n = 15. Sie einigen sich auf den Punkt P = (8,3) Є E(F 11 ). Mallary, ein Lauscher, kann mithören. Alice wählt eine zufällige Zahl a = 4, mit a < n, als privaten Schlüssel und berechnet ihren öffentlichen Schlüssel: A = ap = 4P = (1,5) Є E(F 11 ) Bob wählt eine zufällige Zahl b = 2, mit b < n, als privaten Schlüssel und berechnet seinen öffentlichen Schlüssel: B = bp = 2P = (0,7) Є E(F 11 ) Beide können den geheimen Schlüssel S = abp = 4 2 (8,3) = 8(8,3) = (9,6) Є E(F 11 ) berechnen. Ohne das Elliptic Curve Discrete Logarithm Problem (ECDLP) zu lösen, kann abp nicht berechnet werden. Damit sollte es einem Angreifer praktisch unmöglich sein, den Schlüssel S zu berechnen, wenn nur P, ap und bp gegeben sind.

19 Vergleich DLP - ECDLP 18 Diskretes Logarithmus Problem - DLP Gegeben ist p, g und α. Finde den eindeutigen Exponenten x für den gilt: α = g x mod p Elliptic Curve Diskretes Logarithmus Problem ECDLP Sei E: y 2 = x 3 +ax + b eine elliptische Kurve über F p und zwei Punkte P und Q Є E(F p ) gegeben. Das ECDLP lautet: Finde eine Zahl k Є Z mit Q = kp (unter der Annahme, dass so ein k existiert).

20 Babystep-Giantstep-Attacke 19 Gegeben sei: E = y 2 = x 3-3x +5, p = 11, n = 15, Q = (9,6), P = (8,3) Gesucht ECDLP, also k für die Berechung von Q = kp (richtiges Ergebnis: k = 8) Berechnung: = 4 k = m + r, r Є {0, 1,.. m-1} Da Q = kp = mp + rp ist, folgt Q rp = mp Liste der Babysteps für r: Giantstepfür m: B = {(Q rp, r) : 0 r < m} R = mp B o = (Q 0 = (9,6) 0) = (9,6), 0) B 1 = (Q 1P = (9,6) (8,3) = (9,5), 1)* R 1 = 1P = (8,3) B 2 = (Q 2P = (9,6) (0,7) = (3,10), 2) R 2 = 2P = (0,7) B 3 = (Q 3P = (9,6) (6,7) = (5,4), 3) R 3 = 3P = (6,7) R 4 = 4P = (1,5) R 5 = 5P = (5,4) k = m + r = = 8 damit ist Q = (9,6) = kp = 8P = 8(8,3) Alle Berechnungen mod p * B 1 = Q 1P = (9,6) (8,3) = (9,6) + (8, 3 mod 11) = (9,6) + (8,8) = (9,5)

21 Erzeugung sicherer elliptischer Kurven durch die Kurvenfabrik 20 Hier ist Ihre elliptische Kurve! Die von der kurvenfabrik für Sie generierte Kurve ist y^2 = x^3 + Ax + B mit A = B = Der zugrundeliegende Körper ist GF(p) mit der Primzahl p = (160 Bit) Die berechnete Ordnung der Punktegruppe ist n = Sie enthält den Primteiler r = der Kofaktor ist (n=r*k) k = Ein Basispunkt der Kurve (ein Punkt der Untergruppe mit Ordnung r) ist G = ( , ) Die Parameter in hexadezimaler Darstellung: A = ba9e4b3caa48c073b032da10787bbd52986ad129 B = ba9e4b3caa48c073b032da10787bbd52986ad129 p = c506dcd21c813288c2949ac583e32a01dc07b39d n = c506dcd21c813288c293d08f1b8ddb31348a471d r = 3129fb7b0c7ab61ab7fced k = 401ee52b73c4a305cf1 G = (29b67ea8eb916b0de78dbf04385b43b06d6ab4ac,66bb361af65a3473dc908a30d779de5d117c2e8e) Die seed-werte, entstanden durch rekursives Hashen (SHA-1) ihrer Eingabe. Damit können Sie nach ANSI X9.63 bzw. IEEE P1363 nachprüfen, dass diese Parameter eigens für Ihre Kurve zufällig gewählt wurden. Ihre Kurve erfüllt die Anforderungen von ANSI bzw. IEEE für starke, kryptographisch geeignete Kurven und kann mit Ihrem EC-Krypto-System verwendet werden. Die kurvenfabrik ( info@kurvenfabrik.de).

22 ElGamal Verschlüsselung mit elliptischen Kurven 21 Alice und Bob wählen die elliptische Kurve E : y 2 = x 3-3x +5 über den endlichen Körper F 11, mit #E(F 11 ) = 15. Als erzeugendes Element wählt er den Punkt P = (8,3) Є E(F 11 ). Bob wählt eine zufällige Zahl b = 2, mit b < n, als privaten Schlüssel und berechnet: B = bp = 2P = (0,7) Є E(F 11 ) Sein öffentlicher Schlüssel ist durch ((8,3), (0,7)) gegeben. Alice will die Nachricht M = (8,8) verschlüsseln, die ein Punkt in E(F 11 ) ist. Sie wählt eine zufällige Zahl k mit 1 k n-1, z.b k =13 und berechnet: sowie R = k P = 13P = (0,4) Є E(F 11 ) S = M + k B = (8,8) + 13 (0,7) = (8,8) + (1,6) = (5,7) Є E(F 11 ) (R, S) = ((0,4), (5,7)) werden an Bob geschickt. Bob berechnet: z = -br = -2 (0,4) = - (1,6) = (1,-6 mod 11) = (1,5) Є E(F 11 ) Damit hat er den Klartext berechnet. M = z + S = (1,5) + (5,7) = (8,8) Є E(F 11 )

23 ElGamal Verschlüsselung mit elliptischen Kurven von Manezes-Vanstone 22 Alice und Bob wählen die elliptische Kurve E : y 2 = x 3-3x +5 über den endlichen Körper F 11, mit der Punktezahl n = 15. Als erzeugendes Element wählt er den Punkt P = (8,3) Є E(F 11 ). Bob wählt eine zufällige Zahl b = 2, mit b < n, als privaten Schlüssel und berechnet: B = bp = 2P = (0,7) Є E(F 11 ) Sein öffentlicher Schlüssel ist durch ((8,3), (0,7)) gegeben. Alice will die Nachricht M = (5,10) verschlüsseln, die kein Punkt in E(F 11 ) ist. Sie wählt eine zufällige Zahl k mit 1 k n-1, z.b k = 13 und berechnet: sowie Damit erhält sie: (c 1, c 2 ) = kb = 13(0,7) = (1,6) Є E(F 11 ) a = kp = 13 (8,3) = (0,4) Є E(F 11 ) b 1 = c 1 m 1 mod p = 1 5 mod 11 = 5 b 2 = c 2 m 2 mod p = 6 10 mod 11 = 5 Alice sendet C = (a, b 1, b 2 ) = ((0,4), 5, 5) an Bob. Bob berechnet: (c 1, c 2 ) = ba = 2 (0,4) = (1,6) Є E(F 11 ) und kann mit M = (b 1 c -1 1 mod p, b 2 c -1 2 mod p) = (5 1-1 mod 11, mod 11) = (5 1, 5 2 mod 11) = (5, 10) den Klartext berechnen.

24 Elliptic Curve Digital Signature Algorithm (ECDSA) 23 Bob wählt eine Primzahl p = 11 und die elliptische Kurve E: y 2 = x 3-3x +5 über den endlichen Körper F 11, mit der Punktezahl n = 15. Als erzeugendes Element wählt er den Punkt P = (8,3) Є E(F 11 ). Er wählt eine zufällige Zahl b = 2, mit b < n, als privaten Schlüssel und berechnet: B = bp = 2P = (0,7) Є E(F 11 ). Sein öffentlicher Schlüssel ist durch E, p und ((8,3), (0,7)) gegeben. Bob wählt eine zufällige Zahl k mit 1 k n-1, z.b k = 7 und berechnet: sowie (u,v) = kp = 7(8,3) = (9,5) Є E(F 11 ). r = u mod 11 = 9 mod 11 = 9. Wir nehmen an, dass die Nachricht M den Hashwert h(m) = 8 hat. Die Hashfunktion h ist SHA-1. Dann berechnet Bob das Inverse k -1 mod p = 7-1 mod 11 = 8 und s = (h(m) + br)k -1 mod p = ( )8 mod 11 = 10. Er sendet (r,s) = (9,10) sowie M an Alice. Alice berechnet: w = s -1 mod 11 = 10-1 mod 11 = 10 und h(m) = 8. Damit berechnet sie u 1 = w h(m) mod 11 = 10 8 mod 11 = 3 und u 2 = rw mod 11 = 9 10 mod 11 = 2. Nun kann sie (u, v ) = u 1 P + u 2 B = 3 (8,3) + 2(0,7) = (6,7) + (1,5) = (9,5) berechnen. Da u mod 11 = 9 mod 11 = 9 = r akzeptiert Alice die Signatur.

25 Weiterführende Links 24 Kurvenfabrik Institut für Experimentelle Mathematik der Universität Essen ( cv cryptovision gmbh ( NRW-Initiative für Wissenschaft und Wirtschaft Innovationscluster für Neue Medien ECC Brainpool Deutsches Bundesamt für Sicherheit in der Informationstechnik (BSI) atsec, cryptovision, Flexsecure, Gemplus, Giesecke & Devrient, Rohde & Schwarz, Secunet AG, SRC, Siemens AG, T-Systems, Orga, Infineo Technologies und Philips Semiconductors Institut für Experimentelle Mathematik der Universität Essen, Technische Universität Darmstadt, Universitäten Bonn, Kassel und Siegen EUROBITS und IAIK Frauenhofer Institut Institut Techno- und Wirtschaftsmathematik, Kaiserslautern

26 Verwendete Literatur 25 Bundesamt für Sicherheit in der Informationstechnik (BSI), ISDN Bus-/Port-Schlüsselgerät ElcroDat 6-2, Henri Cohen, Zahlentheoretische Aspekte der Kryptographie, Informatik Spektrum, pp , 24 Juni, Dietmar Dorninger, Christoph Fabianek, Andreas Traxler, Algebraische Methoden in den Computerwissenschaften, Skriptum zur Vorlesung, TU-Wien, Februar Detlef Hühnlein, Implementierung Elliptischer Kurven auf Chipkarten, erschienen in Patrick Horster (Hrsg.) Chipkarten Grundlagen, Realisierungen, Sicherheitsaspekte, Anwendungen, DuD-Fachbeiträge, Vieweg & Sohn Verlagsgesellschaft mbh, Braunschweig, Wiesbaden, Neal Koblitz, Alfred Menezes, Scott Vanstone, The State of Elliptic Curve Cryptography, pp , Kluwer Academic Publisher, Bosten, Elisabeth Oswald, Analyse der Anwendung von DPA auf DES Bausteine, Diplomarbeit, Technische Mathematik, Graz, Elisabeth Oswald, Einsatz und Bedeutung Elliptischer Kurven für die elektronische Signatur, Zentrum für sichere Informations Technologie Austria (A-SIT). Reinhard Posch, Gregor Karlinger, Daniel Konrad, Alexander Leininger-Westerburg, Thomas Menzel, Weißbuch Bürgerkarte, Zentrum für sichere Informationstechnologie Austria (A-SIT), Mai Christine Priplata und Colin Stahlke, Kryptisch elliptisch Public Key Verfahren mit ECC, ix Magazin für professionelle Informationstechnik, Heft 9, pp , Verlag Heinz Heise, Hannover, Bruce Schneier, Angewandte Kryptographie, Addision-Wesley (Deutschland) GmbH, München, Henk C.A. van Tilborg, Fundamentals of cryptology, Kluwer Academic Publishers, Bosten, Dordrecht, London, Dietmar Wätjen, Kryptographie Grundlagen, Algorithmen, Protokolle, Spektrum Akademischer Verlag GmbH, Heidelberg, Berlin, Anette Werner, Elliptische Kurven in der Kryptographie, Springer Verlag, Berlin, Heidelberg, New York, 2002.