Алгоритм достаточно популярен в области электронных цифровых подписей из-за сложности задачи, на которой основано вычисление закрытого ключа из открытого. ECDSA принят различными организациями в качестве стандарта. Алгоритм состоит из четырёх частей: генерация основных параметров, генерация ключевой пары, создание и проверка цифровой подписи. В общем случае, считается достаточно безопасным (для соответствующих уровней криптостойкостей), а также имеет реализации в множестве криптографических библиотек.
Эллиптические кривые, в качестве математического понятия, изучаются уже достаточно давно. Например, ещё у древнегреческого математикаДиофанта в III веке нашей эры в труде «Арифметика» были задачи, которые сводились к нахождению рациональных точек на эллиптической кривой[1]. Однако, их применение для реальных задач, в частности, для области криптографии, было неизвестно до конца XX века. В 1985 году Виктор Миллер и Нил Коблиц предложили использование эллиптических кривых для криптографии[2].
В 1991 году Национальным институтом стандартов и технологий (NIST) был разработан DSA, построенный на идее использования проблемы дискретного логарифма. Вскоре после этого, NIST запросил публичные комментарии по поводу своего предложения о схемах цифровой подписи. Воодушевившись данной идеей, Скотт Ванстоун в статье «Responses to NIST’s proposal» предложил аналог алгоритму цифровой подписи, использующий криптографию на эллиптических кривых (ECDSA)[2].
В период с 1998-2000 гг. ECDSA был принят различными организациями, как стандарт (ISO 14888-3, ANSI X9.62, IEEE 1363—2000, FIPS 186-2)[3].
Область применения ECDSA ограничивается областью применения электронной цифровой подписи. Другими словами, в тех местах, где может потребоваться проверка целостности и авторства сообщения. Например, использование в криптовалютных транзакциях (в биткойне и эфириуме) для обеспечения того, чтобы средства могли быть потрачены только их законными владельцами[4].
Порядок конечного поля (напрмер, простое конечное поле при , где и является простым числом).
(Field Representation) — индикатор, использующийся для представления элементов, приндлежащих полю .
Два элемента поля , задающие коэффициенты уравнения эллиптической кривой над полем (например, при ).
Базовая точка , имееющая простой порядок .
Целое число , являющееся кофактором , где — порядок кривой, численно совпадающий с числом точек в .
Параметры должны быть выбраны таким образом, чтобы эллиптическая кривая, опредённая над конечным полем была устройчива ко всем известным атакам, применимым к ECDLP. Помимо этого, могут быть и другие ограничения, связанные с соображениями безопасности или реализации. Как правило, основные параметры являются общими для группы сущностей, однако в некоторых приложениях (реализациях), они могут быть специфичными для каждого конкретного пользователя[6]
Для практического применения ECDSA налагают ограничения на поля[7], в которых определены эллиптические кривые. Для простоты, рассмотрим случай реализации алгоритмов, когда — простое конечное поле, (для других полей — аналогично), тогда наше эллиптическое уравнение принимает вид .
Для того, чтобы избежать известных атак, основанных на проблеме дискретного логарифма в группе точек эллиптической кривой, необходимо, чтобы число точек эллиптической кривой делилось на достаточно большое простое число . Стандарт ANSI X9.62 требует . Предлагается следующий алгоритм[8]:
Ввод: Порядок поля , индикатор представления поля для , - уровень безопасности: и .
Вывод: Основные параметры эллиптической кривой .
Шаг 1. Выберите верифицировано случайным образом элементы , удовлетворяющие условию .
Шаг 2., порядок кривой можно вычислить при помощи алгоритма SEA.
Шаг 3. Проверьте, что при большом простом числе . Если нет, тогда перейдите к шагу 1.
Шаг 4. Проверьте, что . Если нет, тогда перейдите к шагу 1.
Шаг 5. Проверьте, что . Если нет, тогда перейдите к шагу 1.
Будем рассматривать обмен сообщениями между Алисой и Бобом. Предварительно используя алгоритм генерации основных параметров, Алиса получает свои основные параметры эллиптической кривой. Используя следующую последовательность действий, Алиса сгенерирует себе открытый и закрытый ключ[10].
Ввод: Основные параметры эллиптической кривой .
Вывод: Открытый ключ - , закрытый ключ - .
Шаг 1. Выберите случайное или псевдослучайное целое число .
Шаг 2. Вычислите координаты точки на эллиптической кривой .
Шаг 3. Верните .
Алгоритм проверки открытого ключа
Целью проверки открытого ключа является подтверждение того, что открытый ключ обладает определенными арифметическими свойствами. Успешное выполнение данного алгоритма демонстрирует, что соответствующий закрытый ключ математически существует, но не гарантирует, что кто-то не вычислил данный закрытый ключ или что заявленный владелец действительно обладает им[11].
Ввод: Основные параметры эллиптической кривой , открытый ключ - .
Вывод: Решение о принятии или отклонении достоверности открытого ключа .
Шаг 1. Проверьте, что .
Шаг 2. Проверьте, что являются правильно представленными элементами в , т.е. целыми числами, принадлежащими .
Шаг 3. Проверьте, что удовлетворяет уравнению эллиптической кривой, определяемому элементами поля .
Шаг 4. Проверьте, что .
Шаг 5. Если какая-либо проверка не прошла, то вернуть "Отклонить", иначе "Принять".
Алиса, обладающая основными параметрами кривой и закрытым ключом хочет подписать сообщение , для этого она должна сгенерировать подпись [12].
В дальнейшем обозначает криптографическую хэш-функцию, выходное значение которой имеют битовую длину не более (если это условие не выполняется, то выходное значение может быть усечено). Предполагается, что мы работаем со выходом функции, уже преобразованным в целое число.
Ввод: Основные параметры эллиптической кривой , закрытый ключ , сообщение .
Вывод: Подпись .
Шаг 1. Выберите случайное или псевдослучайное целое число .
Шаг 2. Вычислите координаты точки .
Шаг 3. Вычислите . Если , тогда перейдите к шагу 1.
Шаг 4. Вычислите .
Шаг 5. Вычислите . Если , тогда перейдите к шагу 1.
В данном примере[15], будут описываться только значащие вычислительные шаги в алгоритмах, считая, что все проверки могут быть сделаны без текстового описания.
1. Используя алгоритм генерации основных параметров, получим следующие значения: , эллиптическая кривая , и базовая точка с порядком .
2. Сгенерируем пару ключей, в соответвие с алгоритмом генерации ключевой пары:
Шаг 1. Выбираем .
Шаг 2. Вычисляем координаты точки .
3. Алгоритмом генерации цифровой подписи, подпишем сообщение, заданное в виде текста с значением хэш-функции .
Шаг 1. Выбираем .
Шаг 2. Вычисляем координаты точки .
Шаг 3. Вычисляем .
Шаг 4. Вычисляем .
4. Проверим достоверность подписи для сообщения с помощью алгоритма проверки цифровой подписи.
Д. Брауном (Daniel R. L. Brown) было доказано, что алгоритм ECDSA не является более безопасным, чем DSA. Им было сформулировано ограничение безопасности для ECDSA, которое привело к следующему заключению: «Если группа эллиптической кривой может быть смоделирована основной группой и её хеш-функция удовлетворяет определённому обоснованному предположению, то ECDSA устойчива к атаке на основе подобранного открытого текста с существующей фальсификацией»[16].
Это означает, что в криптографии на эллиптических кривых можно использовать значительно меньшие параметры, чем в других системах с открытыми ключами, таких как RSA и DSA, но с эквивалентным уровнем безопасности. К примеру, битовый размер ключей: 160-битный ключ будет равносилен ключам с 1024-битным модулем в RSA и DSA при сопоставимом уровне безопасности (против известных атак). Преимущества, полученные от меньших размеров параметров (в частности, ключей), включают скорость выполнения алгоритма, эффективное использование энергии, пропускной полосы, памяти[18]. Они особенно важны для приложений на устройствах с ограниченными возможностями, таких как смарт-карты[19].
Явной проблемой является отсутствие доверия к некоторым уже разработанным ранее алгоритмам[20]. Например, NIST Special Publication 800-90, содержащая детерминированный генератор случайных битов на эллиптических кривых Dual_EC_DRBG. В самом стандарте содержится набор констант кривой, появление которых в представленном виде не объяснено, Шумоу и Фергюсон показали, что данные постоянные связаны с некоторым случайным набором чисел, работающим как бэкдор, возможно, для целей АНБ, но этому нет никаких достоверных подтверждений[21].
ECDSA реализован в таких криптографических библиотеках, как OpenSSL, Cryptlib, Crypto++, реализации протоколов GnuTLS, интерфейсе программирования приложений CryptoAPI. Существует и множество других программных реализаций алгоритма электронной цифровой подписи на эллиптических кривых, большинство из которых, в основном, сосредоточено на одном приложении, например, быстрой реализации для одного конкретного конечного поля[22].
Александрийский Д. (неопр.) Издательство «Наукa», Главная редакция физико-математической литературы (1974). — Арифметика и книга о многоугольных числах. Дата обращения: 2 декабря 2022.