Семинар № 8Криптосистемы на

эллиптических кривыхКолыбельников Александр

Содержание

• EC DSA

• EC Diffe-Hellman

• ГОСТ 34.10-2001

• ГОСТ 34.10-2012

ECDSAАлгоритм ЭЦП ECDSA (Elliptic Curve Digest Signature

Algorithm) принят в качестве стандартов ANSI X9F1 и IEEE P1363. В германии является государственным.

Алгоритм генерации:1) Выбираем эллиптическую кривую E, определённую на

Число точек в должно делиться на большое целое

2) Выбираем точку порядка3) Выбираем случайное число4) Вычисляем 5) Секретным ключом объявляем ,

открытым –

.pZ( )pE Z

.n( )pP E Z.n

1, 1 .d n .Q dPd

( , , , ).E P n Q

ECDSA - подпись1) Выбираем случайное число2) Вычисляем

Если переходим к шагу 3, в противном случае возвращаемся к шагу 1.

3) Вычисляем 4) Вычисляем Если переходим к шагу 5, в противном

случае возвращаемся к шагу 1.5) Подписью под сообщением является пара

целых чисел

1, 1 .k n

1 1

1

( , );mod .

kP x yr x n

0,r

1 mod .k n

1( ( ) ) mod .s k h M dr n 0,s

M( , ).r s

ECDSA - проверка1) Если и – целые числа, принадлежащие к

интервалу переходим к шагу 2, в противном случае

считаем, что подпись некорректна.

1) Вычисляем и

2) Вычисляем

3) Вычисляем

4) Подпись верна в том и только том случае, когда

r s

[1, 1],n

1 modw s n ( ).h M

1

2

( ) mod ;mod .

u h M w nu rw n

1 2 0 0

0

( , );mod .

u P u Q x yv x n

.v r

Проверка1) В качестве хэш-функции на шаге 4

вычисления подписи в стандартах ANSI X9F1 и IEEE P1364 использовался SHA-1.

2) При результат вычисления не зависит от секретного ключа .

3) При необходимого для проверки подписи числа не существует.

( )h x

0r s

d

0s 1 mods n

EC Diffe-Hellman

• Выбираем эллиптическую кривую и случайную точку G на ней

• Алиса: Находим точку Ga=aG

• Боб: Точку Gb=bG

• Боб: Секретную точку K=bGa

• Алиса и Боб: aGb=a(bG)=(ab)G

• =b(aG)=bGa

ГОСТ Р 34.10-2001 • Размер подписи – 512 бит;

•

•

• - порядок группы точек эллиптической кривой,

• - порядок подгруппы и

• - ГОСТ Р 34.11-94.

• , где

2552p 3

3 2

4( ) 1728 (mod )

4 27

aJ E p

a b

3 24 27 0(mod )a b p

mm p

q m nq 254 2562 2q

( )h M

1(mod ) 1..tp q t B 31B( ) 0J E ( ) 1728J E

ГОСТ Р 34.10-2012• Выбираем модуль• Ограничения на кривую:

• Порядок группы точек m должен быть отличен от p

• Хеш-функция-• d –ключ шифрования из диапазона 0<d<q• Q – ключ расшифрования Q=dP

2552p

3

3 2

4( ) 1728 (mod )

4 27

aJ E p

a b

3 24 27 0(mod )a b p

( )h M

ГОСТ 34.10-2012 подпись

ГОСТ 34.10-2012 подпись

• E= z mod q,

• Генерация случайного k из 0<k<q

• Вычисление C=kP r=x mod q

• Нахождение s=(rd+ke) modq

• Подпись (r,s)

ГОСТ 34.10-2012 проверка

ГОСТ 34.10-2012 проверка

• E= z mod q,

• V = e-1mod q

• Вычисление z1=sv mod q, z2= -rv mod q

• Нахождение C=z1P +z2 Q , R=x mod q

• Проверка R=r

Спасибо за внимание!