ECIES

ECIES (eng. Elliptic Curve Integrated Encryption Scheme ) är ett krypteringsschema med publik nyckel baserat på elliptiska kurvor. Detta system föreslogs av Victor Shoup 2001. ECIES används i olika standarder som ANSI X9.63, IEEE 1363a, ISO 18033-2 och SECG SEC 1.

Historisk bakgrund

År 1997 uppfann forskarna Mihir Bellare och Phillip Rogaway DLAES-schemat ( Discrete Logaritm Augmented Encryption Scheme ), som därefter döptes om till DHAES ( Diffie-Hellman Augmented Encryption Scheme ) 1998, och senare, för att undvika förväxling med förkortningen AES , omdöpt till DHIES ( Diffie-Hellman Integrated Encryption Scheme ). DHIES är ett avancerat ElGamal- schema som använder elliptiska kurvor, olika simuleringsinsättningsalgoritmer och hashfunktioner. [ett]

DHIES utvärderades av ANSI och, med vissa modifieringar, ingick schemat i ANSI X9.63-standarden 2001. Också oberoende, med vissa ändringar, inkluderades systemet i IEEE 1363-standarden år 2000. 2004, när ANSI X9.63-standarden blev offentlig, reviderade IEEE schemat för att ta hänsyn till fördelarna med de två tidigare ANSI X9.63- och IEEE 1363-standarderna, och inkluderade det nya schemat i IEEE 1363a-standarden 2004.

Alla ovanstående scheman kallas gemensamt ECIES (Elliptic Curve Integrated Encryption Scheme ).

2009 inkluderades en av ECIES-versionerna i standarden ISO/IEC 18033-2 och 2009 i standarden SECG SEC 1. [1]

Beskrivning av algoritmen

ECIES (Elliptic Curve Integrated Encryption Scheme) innehåller flera funktioner:

Nyckelavtal (KA) är en funktion för att generera en delad hemlighet. Till exempel Diffie-Hellman-protokollet eller dess modifieringar.
Key Derivation Function (KDF) är en funktion för att generera vanliga nycklar från en uppsättning data och parametrar.
Encryption (ENC) är en krypteringsalgoritm som används av båda parter.
Method Authentication Code (MAC) - en funktion för att generera autentiseringsdata (imitationsinsättning).
Hash (HASH) är en hashfunktion (används i MAC och KDF).

Algoritmindataparametrar

Första sidan - Alice : [2]

$P_{B}$ - Bobs offentliga nyckel
$p_{a}$ - Privat privat nyckel
Ε är en grupp av punkter över en elliptisk kurva
G är en cyklisk undergrupp av punkter i gruppen E i den elliptiska kurvan
g är generatorn för undergruppen G

Andra sidan - Bob: [2]

$P_{A}$ - Alices publika nyckel
$p_{b}$ - Privat privat nyckel
Ε är en grupp av punkter över en elliptisk kurva
G är en undergrupp av punkter i gruppen E i den elliptiska kurvan
g är generatorn för undergruppen G

Kryptering

Anta att Alice vill skicka ett meddelande till Bob. Alice har Bobs publika nyckel , Bob har motsvarande privata nyckel och Alice genererar ett tillfälligt par av sina offentliga och privata nycklar. De privata nycklarna är elementen i det slutliga fältet (fältet på vilket den elliptiska kurvan anges), och de publika nycklarna är de punkter som hör till den elliptiska kurvan och beräknas som produkten av den privata nyckeln och generatorn g av den elliptiska kurvan. [3] $P_{B}$ $p_{b}$ $P_{A}$ $p_{a}$

För att skicka ett meddelande gör Alice följande: [3]

Med hjälp av KA-metoden för generering av delad hemlighet, beräknar Alice den delade hemligheten = × (med Diffie-Hellman-protokollet). $s$ $p_{a}$ $P_{B}$

Genom att använda den mottagna delade hemligheten och metoden för att härleda nycklar från nyckeln och ytterligare information från KDF, erhåller Alice krypteringsnyckeln , såväl som nyckeln för att beräkna den simulerade infogningen . $s$ $k_{ENC}$ $k_{MAC}$

Med hjälp av en symmetrisk krypteringsalgoritm krypterar Alice ett öppet meddelande med en nyckel och tar emot en chiffertext . $m$ $k_{ENC}$ $c$

Med nyckeln , det krypterade meddelandet och andra parametrar som parterna kommit överens om i förväg, beräknar Alice meddelandetaggen med hjälp av MAC-funktionen. $k_{MAC}$ $c$

Alice skickar { , , } till Bob. $P_{A}$ ${\displaystyle-tagg}$ $c$

Dekryptering

När det gäller dekrypteringsprocessen är stegen som Bob måste följa följande: [4]

Använd den mottagna offentliga nyckeln till Alice och hennes privata nyckel, få den delade hemligheten = × , krypteringsnycklar och imitationer . $s$ $p_{b}$ $P_{A}$ $k_{ENC}$ $k_{MAC}$
Beräkna taggen för meddelandet med hjälp av krypteringsnycklarna och imitera infogning och jämför den med den mottagna taggen. Om de inte stämmer överens måste Bob avvisa meddelandet på grund av ett fel i MAC-kontrollproceduren. $k_{ENC}$ $k_{MAC}$
Om taggarna är desamma kan Bob fortsätta processen genom att dekryptera det krypterade meddelandet med den symmetriska algoritmen Kryptering och . $c$ $k_{ENC}$

Jämförelse med andra algoritmer

Säkerheten för ECIES förlitar sig på beräkningskomplexiteten hos Elliptic Curve Group Discrete Logaritm Problem ( ECDLP ). Kryptografiska algoritmer kan också förlita sig på beräkningskomplexiteten hos faktoriseringsproblem (algoritmexempel: RSA ) och diskret logaritm ( ElGamal-schema ). ECDLP anses dock vara den svåraste [5] av dessa tre uppgifter, vilket leder till en viktig fördel med ECIES: nyckelstorlek.

Jämförelse av ECIES- och RSA-nyckellängder [6]

Säkerhetsnivå (bit)	RSA-nyckellängd (bitar)	ECIES-nyckellängd (bitar)
80	1024	160-223
112	2048	224-255
128	3072	256-283
192	7680	384-511
256	15360	512-571

Fördelen i nyckelstorleken gör att du kan ställa mindre krav på hårdvaran (till exempel på storleken på bufferten, RAM och fysiskt minne; på kanalbandbredden vid överföring av nycklar över nätverket).

En viktig nackdel med ECIES jämfört med andra kryptografiska algoritmer är att det finns flera versioner av ECIES som beskrivs av olika standarder ( ANSI X9.63, IEEE 1363a, ISO/IEC 18033-2 och SECG SEC 1). Skillnaderna mellan dessa standarder är valet av specifika funktioner och parametrar för implementeringen av ECIES-komponenterna (KA, KDF, ENC, MAC, HASH). Nackdelen är att det inte går att implementera en version av ECIES som uppfyller alla standarder [6] .

Anmärkningsvärda attacker mot ECIES

"Mjuk sårbarhet"

Victor Shope bevisade [7] att om den publika nyckeln U inte ingår i KDF-inmatningen och om endast x-koordinaten för den delade hemligheten används i KDF, så är ECIES mottaglig för Adaptive Chosen Ciphertext Attacks (CCA2) )). Sårbarheten kallas "mjuk" eftersom ingen attack kunde få meningsfull information med denna sårbarhet.

En möjlig lösning som föreslås av Shoup är att lägga till den publika nyckeln U till inmatningen av KDF.

Sårbarhet vid användning av XOR-funktionen

Shoup bevisade också [8] att ECIES-schemat kan vara sårbart när XOR-funktionen används vid kryptering av meddelanden med variabel längd. I synnerhet kan detta leda till en sårbarhet för Adaptive Chosen Ciphertext Attacks (CCA2)-attacker . Möjliga lösningar:

Fixa längden på klartexten [8] .
Tolka KDF-utdata som || [9] . $k_{MAC}$ $k_{ENC}$
Inaktivera strömfilter i ECIES (tillåt endast blockchiffer ) [10] .

Liten undergruppsattack (eng. ''Små undergruppsattack'')

Denna typ av attack är möjlig när en motståndare specifikt tillhandahåller en felaktig offentlig nyckel. Om avsändaren inte autentiserar den andra partens publika nyckel, kommer motståndaren att kunna ersätta den publika nyckeln med en mindre nyckel för att få en delad hemlighet eller få information om avsändarens privata nyckel. Möjliga lösningar:

Validera giltigheten av den publika nyckel som tillhandahålls av den mottagande parten [11] .
Ersätt den delade hemligheten med dess hash i KDF [11] -ingången .

Möjliga ECIES-konfigurationer

Ett exempel [12] på en effektiv och säker implementering av ECIES i enlighet med IEEE 1363a och ISO/IEC 18033-2:

KA: Diffie-Hellman-protokollet
Hash: SHA-512 (SHA-256 för enheter med begränsade resurser).
KDF: KDF2.
ENC: AES-128 i CBC-läge.
MAC: HMAC-SHA-512 (HMAC-SHA-256 för enheter med begränsade resurser).
Hemlig delning: Använd endast den första koordinaten (ingen hashing).
Tolka KDF-utdata: || . $k_{MAC}$ $k_{ENC}$
Schema för generering av elliptiska kurvor: Brainpool ( RFC 5639 ).

Anteckningar

↑ 1 2 V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas , pp. 1-2.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , sid. 9.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , pp. 9-10.
↑ V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , sid. tio.
↑ N. Koblitz , sid. 3-4.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, C. Sánchez Ávila , sid. 2.
↑ V. Shoup , sid. 13.
↑ 1 2 V. Shoup , sid. 38.
↑ J. Stern , sid. 20-21.
↑ Quisquater, J., Koeune, F. , sid. tjugo.
↑ 1 2 V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 7-8.
↑ V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios , pp. 17-18.

Litteratur

Artiklar

Víctor Gayoso Martínez, L. Hernández Encinas, Carmen Sánchez Ávila. En undersökning av det elliptiska kurvans integrerade krypteringsschema .
Victor butik. Ett förslag till ISO-standard för kryptering av offentlig nyckel (version 2.1 ) .
Neha Gupta, Harsh Kumar Singh, Anurag Jain. En effektiv implementering för nyckelhanteringsteknik med smartkort och ECIES-kryptering .
V. Gayoso Mart´ınez, F. Hernandez Alvarez, L. Hernandez Encinas. Informationsbehandling och kodning .
N. Koblitz. Elliptic curve cryptosystems (engelska) // Mathematics of Computation.
J. Stern. Utvärderingsrapport om ECIES:s kryptosystems kryptosystem . Arkiverad från originalet den 1 februari 2013.
J. Quisquater, F. Koeune,. ECIES - Säkerhetsutvärdering av krypteringsschemat och primitiver . Arkiverad från originalet den 31 mars 2017.
V. Gayoso Martínez, L. Hernández Encinas, A. Queiruga Dios. ECIES - Säkerhetsutvärdering av krypteringsschemat och primitiver .