Elliptic Curve Digital Signature Algorithm
ECDSA (Elliptic Curve Digital Signature Algorithm) - алгоритм з відкритим ключем для створення цифрового підпису, аналогічний за своєю будовою DSA, але визначений, на відміну від нього, не над кільцем цілих чисел, а в групі точок еліптичної кривої.
Стійкість алгоритму шифрування ґрунтується на задачі дискретного логарифма в групі точок еліптичної кривої. На відміну від задачі простого дискретного логарифма і задачі факторизації цілого числа, не існує субекспоненціального алгоритму для задачі дискретного логарифма в групі точок еліптичної кривої. З цієї причини «сила на один біт ключа» істотно вище в алгоритмі, який використовує еліптичні криві.[1]
Д. Брауном (Daniel R. L. Brown) було доведено, що алгоритм ECDSA не є більш безпечним, ніж DSA. Ним було сформульовано обмеження безпеки для ECDSA, яке призвело до наступного висновку:
«Якщо група еліптичної кривої може бути змодельована основною групою і її хеш-функція задовільняє певні обґрунтовані припущення, то ECDSA стійка до атаки на основі підібраного відкритого тексту з існуючої фальсифікацією.»[2]
Алгоритм ECDSA в 1999 р був прийнятий як стандарт ANSI, в 2000 р - як стандарт IEEE і NIST. Також в 1998 р алгоритм був прийнятий стандартом ISO. Незважаючи на те, що стандарти ЕЦП створені зовсім недавно і знаходяться на етапі вдосконалення, одним з найбільш перспективних з них на сьогоднішній день є ANSI X9.62 ECDSA від 1999 - DSA для еліптичних кривих.
Для підписування повідомлень необхідна пара ключів - відкритий і закритий. При цьому закритий ключ повинен бути відомий тільки тому, хто підписує повідомлення, а відкритий - будь-кому хто бажає перевірити справжність повідомлення. Також загальнодоступними є параметри самого алгоритму.
- Вибір хеш-функції . Для використання алгоритму необхідно, щоб повідомлення, яке підписується, було числом. Хеш-функція повинна перетворити будь-яке повідомлення в послідовність бітів, які можна потім перетворити в число.
- Вибір великого простого числа - порядок однієї з циклічних підгруп групи точок еліптичної кривої. Зауваження: Якщо розмірність цього числа в бітах менше розмірності в бітах значень хеш-функції то використовуються тільки ліві біти значення хеш-функції.
- Простим числом позначається характеристика поля координат .
Для простоти будемо розглядати еліптичні криві над полем , де - кінцеве просте поле. Причому, якщо необхідно, конструкцію можна легко адаптувати для еліптичних кривих над іншим полем.
Нехай - еліптична крива, визначена над, і - точка простого порядку кривої (). Крива і точка є системними параметрами. Число - просте. Кожен користувач - умовно назвемо його Аліса - конструює свій ключ за допомогою наступних дій:
- Вибирає випадкове або псевдовипадкове ціле число з інтервалу .
- Обчислює (кратне) .
Відкритим ключем користувача Аліси є точка , а закритим - .
Замість використання і в якості глобальних системних параметрів, можна фіксувати тільки поле для всіх користувачів і дозволити кожному користувачеві вибирати свою власну еліптичну криву і точку . В цьому випадку певне рівняння кривої , координати точки , а також порядок цієї точки повинні бути включені у відкритий ключ користувача. Якщо поле фіксоване, то апаратна і програмна складові можуть бути побудовані так, щоб оптимізувати обчислення в тому полі. У той же час є величезна кількість варіантів вибору еліптичної кривої над полем .
ECDSA є дуже привабливим алгоритмом для реалізації цифрового підпису. Найважливішою перевагою ECDSA є можливість його роботи на значно менших полях . Як, загалом, з криптографією еліптичної кривої, передбачається, що бітовий розмір відкритого ключа, який буде необхідний для ECDSA, дорівнює подвійному розміру секретного ключа в бітах. Для порівняння, при рівні безпеки в 80 біт (тобто атакуючому необхідно приблизно версій підписів для знаходження секретного ключа), розмір відкритого ключа DSA дорівнює, принаймні, 1024 біт, тоді як відкритого ключа ECDSA - 160 біт. З іншого боку розмір підпису однаковий і для DSA, і для ECDSA: біт, де — рівень безпеки, який вимірюється в бітах, тобто - приблизно 320 біт для рівня безпеки в 80 біт.
На сьогоднішній день реалізація електронних цифрових підписів здійснюються програмним чином. Для створення подібних продуктів використовують спеціальні програмні пакети, що дозволяють створювати криптографічні додатки з використанням різних зовнішніх пристроїв безпеки.
- Neal Koblitz and Alfred Menezes (1995) [Архівовано 8 серпня 2017 у Wayback Machine.]. — Another Look at Generic Groups.
- Digital Signature Standard; includes info on ECDSA [Архівовано 27 грудня 2016 у Wayback Machine.]
- ↑ 08.08.2002. Цифровая подпись. Эллиптические кривые - MorePC.Ru. www.morepc.ru. Архів оригіналу за 31 грудня 2012. Процитовано 14 квітня 2018.
- ↑ http://www.psu.edu/. Архів оригіналу за 27 лютого 2012.