Aplikace eliptických křivek v kryptografii

a (podpis) = d mod N

b (podpis) takové, že M = (xa + xb) mod (p - 1) Verifikace:

Platnost se uzná tehdy, jestliže ! w „ mod N  dÅ mod N. Zdroj: State of the Art in Applied Cryptography

K určení b použijeme rozšířený Euclidův algoritmus:

{    )mod N " 1 5  8 ∗ 6  9 ∗ bmod 10.

Řešením je b = 3 a podpisem pár: a = 6 a b = 3.

Platnost podpisu ověříme tak, že prověříme správnost vztahů

! w  „ mod N  dÅ mod N

3> 6; mod 11  2Â mod 11.

5.13 El Gamalovo šifrování El Gamalův systém může po úpravě sloužit i k šifrování. K zašifrování zprávy M je třeba nejprve zvolit náhodné číslo k tak, aby k nemělo žádné společné součinitele s (p - 1). Potom se vypočte

52

  d mod N

(43)

  !  { mod N.

(44)

Pár a a b představuje zašifrovaný text. Poznamenejme, že zašifrovaný text je dvakrát tak dlouhý jako text otevřený. K dešifrování a a b spočítáme {

„

wÈ

mod N.

(45)

To všechno je plně funkční proto, že platí kongruence  t ≡ dt mod N a / t ≡

sÉÅ nÈÉ

≡

d t {/ t ≡ {mod N (Tab 5.1.4.). V podstatě se jedná o shodu s Diffie-Hellmanovým systémem

pro výměnu klíčů jen s tím rozdílem, že y je částí klíče a operace šifrování zahrnuje násobení součinitelem !  .

Tab 1.6. El Gamalovo šifrování

Veřejný klíč: p q
prvočíslo (může být společné pro skupinu uživatelů) (může být společné pro skupinu uživatelů)

!  d mod N t

Soukromý klíč: x

b (šifrový text) = !  { mod N

Dešifrování:

M (otevřený text) = b/ t modp

Zdroj: State of the Art in Applied Cryptography

53

6 Standartizace 6.1 IEEE P1363 IEEE P1363 je standartizační projekt pro kryptografii veřejného klíče od Institute of Electrical and Electronics Engineers (IEEE). Obsahuje specifikace pro: •

Traditional

public-key

cryptography

(IEEE

Std

1363-2000

and

1363a-2004)

pairings

(P1363.3)

Tradiční kryptografie veřejného klíče •

Lattice-based public-key cryptography (IEEE Std 1363.1-2008)

Mřížková kryptografie •

Password-based public-key cryptography (IEEE Std 1363.2-2008)

Kryptografie na bázi hesel •

Identity-based

public-key

cryptography

using

Kryptografie na základě totožnosti za použitím dvojic Předsedou pracovní skupiny z října 2008 je William Whyte z NTRU Cryptosystems, Inc, který slouží od srpna 2001. Bývalí předsedové jsou Ari Singer, také z NTRU (1999-2001), a Burt Kaliski z RSA Security (1994-1999).

6.1.1 Tradiční kryptografie veřejného klíče (IEEE Std 1363-2000 and 1363a2004) Tato specifikace zahrnuje klíčovou dohodu, podpis a šifrovací schémata s využitím několika matematických přístupů: faktorizace celého čísla, diskrétního logaritmu a diskretního logaritmu eliptických křivek.

6.1.2 Schémata klíčové dohody

54

•

DL/ECKAS-DH1 and DL/ECKAS-DH2 (Discrete Logarithm/Elliptic Curve Key Agreement

Scheme, Diffie–Hellman version): Obsahuje jak tradiční Diffie–Hellman tak Diffie–Hellman eliptické křivky. •

DL/ECKAS-MQV (Diskretní logaritmus/Schemata klíčové dohody eliptické křivky, verze

Menezes–Qu–Vanstone)

6.1.3 Podpisová schémata •

DL/ECSSA Diskretní Logaritmus/Podpisová Schémata Eliptické Křivky s Přílohou):

Obsahuje 4 hlavní varianty: DSA, ECDSA, Nyberg-Rueppel, a Elliptic Curve Nyberg-Rueppel. •

IFSSA (Schéma Faktorizace Celého Čísla s Přílohou): Obsahuje dvě varianty RSA, Rabin-

Williams, a ESIGN, s několika způsoby kódování zpráv.. "RSA1 s EMSA3" je v podstatě PKCS#1 v1.5 RSA podpis; "RSA1 s EMSA4 kodováním" je v podstatě

RSA-PSS; "RSA1 s EMSA2

kodováním " je v podstatě ANSI X9.31 RSA podpis. •

DL/ECSSR (Diskretní Logaritmus/Podpisová Schémata Eliptické Křivky s Zotávenim)

•

DL/ECSSR-PV (Diskretní Logaritmus/Podpisová Schémata Eliptické Křivky s Zotávenim,

verze Pintsov-Vanstone) •

IFSSR (Schéma Faktorizace Celého Čísla s Zotávenim)

6.1.4 Schémy kodování •

IFES (Faktorizace Celého Čísla Šifrovací Schéma): v podstatě RSA kodováni s Optimální

Asymetrické šifrování (OAEP). •

DL/ECIES ((Diskretní Logaritmus/Integrovaná Šifrovací Schema Eliptické Křivky): v

podstatě "DHAES" varianta ElGamalovešifry. •

IFES-EPOC (Šifrovací Schema Faktorizaci Celého Čísla, EPOC verze)

6.1.5 Mřížkova Kryptografie veřejného klíče (IEEE Std 1363.1-2008) 55

•

NTRU šifrovací schéma

6.1.6 Kryptografie veřejného klíče na bázi hesel (IEEE Std 1363.2-2008) Tento dokument obsahuje řádu schémat klíčových dohod na bázi autentifikaci heslem, a schému zachrány klíče na bázi heslové autentifikace. •

BPKAS-PAK (Vyvážená Schéma Dohody Klíče na bázi Heslové Autentifikace, verze PAK)

•

BPKAS-PPK (verze PPK)

•

BPKAS-SPEKE (verze SPEKE)

•

APKAS-AMP (Rozšířená Heslem Autentifikována Schéma Dohody Klíče, verze AMP)

•

APKAS-BSPEKE2 (verze BSPEKE2)

•

APKAS-PAKZ (verze PAKZ)

•

APKAS-SRP3 a SRP6 (verzeZabezpečené Vzdálené Heslo (SRP) 3 a 6)

•

APKAS-SRP5 (verzeZabezpečené Vzdálené Heslo (SRP) 5)

•

APKAS-WSPEKE (verze WSPEKE)

•

PKRS-1 (Schéma Zachrány Klíče na Bázi Heslové Autentifikace, verze 1).

6.2 Aktualizované standardy pro eliptické křivky 6.2.1 Abstrakt Dáváme kratký přehled testů bezpečnosti eliptických křivek, který musí být vnořen do standardu pro kryptografii eliptických křivek. Zejména, aktuální validace parametrů spojená s MOV condition, které se objevuje v nejnovějším návrhu IEEE P1363 standardu [3, Sekce A.12.1, Sekce A.16.8], musí být nahrazena očistěným podpolem MOV condition. Podobně by se to mělo přizpůsobit podle the Standarts for Efficient Cryptography Group’s document SEC 1 [4].

56

6.2.2 Úvod Bezpečnost eliptických kryptosystému záleží na složitosti vypočitání problému diskretního logaritmu (DLP) na eliptické křivce. Existují standartní specifikace, které má eliptická křivka splňovat, aby byla považována za bezpečnou. Mluvíme o konkretním testu, který je znám jako MOV condition, kdýž ověřujeme parametry eliptických křivek nad binarními poli. Na základě IEEE P1363 (Standard Specifications for Public Key Cryptography) MOV condition “zajišťuje, že eliptické křivky nejsou náchylné ke snížení útoku Menezes, Okamoto a Vandstone”. MOV útok využívá párování k přepravě DLP z křivky kde to může být výpočetně těžké vyřešít, k koněčnému poli kde existují mnohem efektivnější metody pro řešení diskretního logaritmu. Zajišťujeme podmínky na velikosti koněčného pole, obsahujicího vložené MOV nezbýtné pro DLP na tomto polí, se srovnatelnou obtížnosti algoritmu eliptické křivky nad oblastí této definici. Hlavní myšlenkou je, že když   N- pro prvočíslo p a kladné celé číslo m, pak minimálné vnořené pole je rozšířenímÊL ,

není nutné ÊS , a tudíž i DLP může být vloženo v pole výrazně menšího rozměru než předešlé

uvedené v standartech.

6.2.3 Navrhované znění Přímo navázujeme [3, Section A.12.1] s několika navrženými opravami zdůrazněnými tučným písmem. Dříve než bude představen algoritmus pro kontrolu subfield-adjusted (očistěne podpolim) MOV condition, je nutné vybrát práh MOV. Je to kládne celé číslo B, stejne jako pří použití diskrétniho logaritmu nad 5J Ë  ma být

povážováne za aspoň stejné složité jako použití eliptického diskretního logaritmu nad GF(q). IEEE P1363 nabízí vhodnou formulu a tabulku pro určení vhodného celého čísla B. Dále bude představena následujíci korekce: Jakmile bude vybráno vhodné B, následující algoritmus kontroluje subfield-adjusted MOV condition pro výběr rozměru pole Ì  ÍÎ a základní bod řádu r je ověřením toho že ÍÏ není shodný s 1 modulo r pro každé 9  ÎÐ.

Vstup: MOV práh B, primární výkon q, a prvočíslo r. 57

Výstup: zpráva “True” jestli subfield-adjusted MOV condition je splňena pro eliptickou křivku nad 5J s základním bodem řádu r ; zpráva “False” v opačném případě. Aby vyhnout nežadujicímu

různočtení, další postup se dovolím celkem přívest v angličtině: Determine the prime p dividing q Určit prvočislo p dělěnim q. Set t ← 1.

For i from 1 toЭÑn Òdo

(a) Set t ← tp mod r.

(b) If t = 1 then output “False” and stop. Output “True”.

Jestli výstup výše uvedeného algoritmu je “false”, křivka musí být vyloučena, protože je náchylná k útoku MOV reduction. Je rekomendovano také posoudit o vhodnosti vnesení korekcí do jiných standardů mimo IEEE P1363 obsahujích subfield-adjusted MOV condition. Dále budou navržené korekce pro SEC 1 [4, Section 3.1.2.1 odrážky pod 3]. b ≠ 0 in ÊZ^ .

#E(ÊZ^ ) ≠ 2- .

Ð ≢1 (mod n) for any 1 ≤ B < 20m. h ≤ 4.

Navržené korekce pro [4, Section 3.1.2.2.1, Actions] jsou následující: 9. Zkontrolujte, že Ð ≢1 (mod n) pro každé1 ≤ B < 20m, a to že WG H 2- . Komentář v Příloze B.1. [4. str.60 řádek -8] musí být pozměnen takto: Této útoky efektivně redukuji ECDLP na křivkách k tradičnímu problému diskretního logaritmu v malé míře rozšíření ÊÍ .

6.2.4 Indikátor zabezpečení 58

Necht´a je kladné celé číslo a r je prvočíslo, r

a. Nejmenšímu kladnému celému číslo x jako

 t ≡ 1 modulo r se říká řád (order)odmodulo r, a bude označeno jako ord‡ .

Necht´E je eliptická křivka definována nad konečným polem ÊS , kde   N- . Jesti r dělí řád ˆÊS , to dvojice můžou vložít podskupinu ˆÊS  řádu r do konečného pole ÊSÓÔÕ[Ö/^ . Tomu se říká

racionální exponent q od indikátora zabezpečení k’. )• 

,(‡ N *

Chceme, aby diskrétní logaritmus v minimálním vložení pole ÊSɖ byl přibližně stejné obtížný jako diskrétní logaritmus eliptické křivky nad ÊS .

Například, pokud máme (pod)skupinu řádu r, a r je 160-bitové prvočíslo, to bude vypadát takto: Je to ekvivalentní vyžadující N²°×[ L ¢ 2

 • ¢ 2

Zƒ

.

59

Zƒ

7 Kryptosystémy založené na eliptických křivkách Eliptické křivky jsou zajímavé proto, že představují cestu ke konstrukci „prvků“ a „kombinačních pravidel“ pro vytváření grup. Tyto grupy disponují dobře známými vlastnostmi pro tvorbu kryptografických algoritmů, ale ne dost určitých vlastností pro usnadnění kryptoanalýzy. Neexistuje například žádná rozumná představa „vyrovnávání“ (smooth) pomocí eliptických křivek. To znamená, že neexistuje žádná množina malých elementů, která by se s velkou nadějí umožnila jednoduchým algoritmem vygenerovat náhodný prvek. Takže algoritmy pro výpočet indexu diskrétního logaritmu nebudou realizovatelné. Eliptické křivky nad konečným tělesem 5J2=  jsou zvlášt’ zajímavé. Aritmetické procesy pro tělesa tohoto typu se snadno konstruují a jejich implementace je poměrně jednoduchá pro n v rozsahu 130 až 200. S klíči malých rozměrů jsou schopné vytvářet rychlejší kryptosystémy veřejného klíče. Mnoho algoritmů veřejného klíče, jako Diffie-Hellmanův, ElGamalův a Schorrův se dá realizovat eliptickými křivkami nad konečnými tělesy.

7.1 LUC systém Některé kryptografové vývinuli zobecňený RSA systém, který místo umocňování používá různé permutace polynomů. Kravitz-Reedova varianta, která využívá nerozložitelné dvojkové polynomy není bezpečná. Wilfried Můller a Wilfried Nöbauerpoužívají Dicksonovy polynomy. Navzdory všem předchozím znalostem skupina výzkumných pracovníků z Nového Zelandu přistoupila v roce 1993 k patentování tohoto systému a označila jej zkratkou LUC. Lucasovo n-té číslo Ø= p, 1 je definováno jako:

Ø= p, 1  pØ=: p, 1 " Ø=:Z N, 1

(46)

K vygenerování páru klíčů – veřejného klíče a soukromého klíče je v každém případě třeba nejprve zvolit dvě velká prvočísla p a q. Potom spočítat n jako součín p a q. Šifrovacím klíčem e je náhodné číslo, které nemá žádné společné součinitele s N " 1,  " 1, N  1 a   1.

60

Možné klíče pro dešifrování jsou čtyři, (   : mod ¥lcm˜N  1,   1™¦ (   : mod ¥lcm˜N  1,  " 1™¦ (   : mod ¥lcm˜N " 1,   1™¦ (   : mod ¥lcm˜N " 1,  " 1™¦ kde zápis lcm vyjadřuje nejmenší společný násobek. Veřejný klíč čísla d a n; soukromý klíč pak čísla e a n. Prvočísla p a q se odloží. Zašifrování zprávy P(P musí být menší než n) se provede takto ¼  ØÁ p, 1mod W a dešifrování takto p  Ø] p, 1mod W s použitím spravného d.

Příklad Lucasová funkce Každý uživatel vybírá soukromý klíč a “náhodné” velká prvočísla p a q, a zveřejňuje jejich produkt

W  N. Dále, vybírá veřejný šifrovací klíč e, který je nesoudělný k N " 1, N  1,  " 1a   1.

Pro odeslání zprávy M Bobu, Alice očekává Bobův veřejný klíč e, a za použitím Lucasové

posloupnosti {Ø }, ona vytváří šifrovány text ¼  ØÁ {, 1mod W. Protože Bob ví faktory p a q, on

je schopný vypočítat tajný dešifrovací klíč d na základě ( ≡ 1 ˜mod ÙW™, kde

ÙW 

lcmN " ¥ ¦ ,  " ¥ ¦ a Û  {Z " 4.∗ Tým pádem, Bob může zotavit se zprávu M vypočitáním L S Ú

Ú

Ø] ØÁ {, 1, 1 ≡ ØÁ] Ü²× Ý= {, 1 ≡ Ø {, 1 ≡ { mod W.

61

7.2 ECDH - Diffie-Hellman Eliptická Křivka ECDH je protokol klíčové dohody, který umožňuje obem stranám zřídit sdílený tajný klíč, který může být použít pro algoritmy soukromého klíče. Obe strany navzájem vyměňují určité veřejné informace. Použitím těchto veřejných dat a jejich vlastních soukromých dat této strany vypočítávají sdílený tajný klíč. Žádná třetí strana, která nemá přístup k soukromým detailům každého zařízení, ne bude schopná vypočítat sdílený tajný klíč z dostupné veřejné informaci. Přehled ECDH procesu je ukázán níže. Pro vygenerování sdíleného tajného klíče mezí A a B za použitím ECDH, obě strany mají dohodnout na doménových parametrech eliptické křivky. Oba konci mají klíčový pár sestávající ze soukromého klíče d (náhodně vybráné celé číslo menší než n a kde n je řádem křivky, doménový parametr eliptické křivky) a veřejného klíče |  ( ∗ 5 (5 je generátorem, doménovým parametrem eliptické křivky). Necht' ((Þ , QÞ ) je soukromý klíč - veřejný klíč páru A, a ((„ , Q„ ) soukromý klíč - veřejný

klíč páru B.

1. Koněčné A vypočítává O  ‰ , !‰   (Þ ∗ QË

2. Koněčné B vypočítává ß  à , !à   (Ë ∗ QÞ

3. Ježto (Þ QË  (Þ (Ë 5  (Ë (Þ 5  (Ë QÞ . Z toho důvodu O  ß a proto ‰  à

4. Odsud vychází že ‰ je sdíleným tajným klíčem.

Protože je praktické není možné najít tajný klíč (Þ nebo (Ë z veřejného klíče K nebo L, získat sdílený tajný klíč pro třetí stranu není možné.

7.3 ECDSA - Algoritmus Digitálního Podpisu Eliprické Křivky Podpisový algoritmus se používá pro autentizace zařízení nebo zprávy poslánou zařízením. Například, uvažujeme o dvou zařízeních A a B. Pro autentizaci zprávy odeslanou A, zařízení B podepisuje zprávu za použitím soukromého klíče. Zařízení A vysílá zprávu a podpis pro zařízení B. Tento podpis může být ověřen jenom za použitím veřejného klíče přislušného zařízení A. Protože zařízení B zná veřejný klíč A, lze to ověřit jestliže zpráva je opravdu poslána A, nebo není. ECDSA je variantou Algoritmu Digitálního Podpisu (DSA) který pracuje na skupinách eliptických křivek. Pro odeslání podepsané zprávy od A k B, obe strany mají dohodnout na doménových 62

parametrech eliptické křivky. Odesílatel "A" má klíčový pár složený ze soukromého klíče (Þ

(náhodné vybráné celá čísla menší než n, kde n je řádem křivky, domenovým parametrem eliptické křivky). Přehled procesu ECDSA je uveden níže.

7.3.1 Generování podpisů

Pro podepsání zprávy m odesílatelem A, za použitím veřejného klíče (Þ . 1. Vypočítáme e = HASH (m), kde HASH je kryptografická hašovací funkce, jako SHA-1.

2. Vybereme náhodné celé číslo k z [1, W " 1]

3. Vypočítáme   1 *,( W, kde 1, !1  ) ∗ 5. Když r = 0, vrátíme na krok 2. 4. Vypočítáme á  ) :   (Þ mod W. Když s = 0, vratíme na krok 2.

5. Podpisem je pár (r, s)

7.3.2 Ověření podpisu

Pro B, pro autentizaci podpisu A, B musí mít veřejný klíč QÞ .

1. Ověřte, že r a s jsou celá čísla v [1, W " 1]. Pokud nejsou, podpis není platný.

2. Vypočítáme e = HASH (m), kde HASH je stejná funkce, která byla použitá při generování podpisu.

3. Vypočítáme â  á : mod W

4. Vypočítáme ã  â mod W a ãZ  â mod W

5. Vypočítáme 1, !1  ã 5  ãZ QÞ

6. Podpis je platný pokud 1  mod W, jinak je neplatný.

7.4 ECIES Integrovaná šifrovací schéma Integrována šifrovací schéma, anglicky Integrated Encryption Scheme (IES) je hybridní šifrovací schéma, která představuje semantické zabezpečení protí protíhrače, který je schopný užívat vybráný otevřený text a vybráné útoky šifrováného textu. Bezpečnost spočívá na Diffie-Hellmanovém problému. Dva ztělesnění IES jsou standartizovány: Integrována Šifrovací Sćhéma Diskrétního Logaritmu (DLIES)а Integrována šifrovací schéma Eliptické křivky (ECIES), která je také známá jako Rozšířená Šifrovací Schéma Eliptické Křivky. Této dva ztělesnění jsou identické až na změnu podkladové skupiny. 63

Pro odeslání zašifrováné zprávy Bobovi pomocí ECIES, Alice potřebuje následujíci informaci: •

KDF

-

Key

derivation

function (funkce

pro

odvození

klíče)

je

v kryptografii označení funkce, která odvozuje (vytvoří) jeden nebo více šifrovacích klíčů z nějakého tajemství (hlavní klíč, heslo, heslová fráze), typicky za použití kryptografické hašovací funkce (obecně lze použít jakýkoliv generátor pseudonáhodných čísel). KDF zajišťuje kryptografickou bezpečnost odvození klíče.Například ANSI-X9.63-KDF s SHA-1 opci. •

MACfunkce (Message Authentication Code) je kryptografická funkce podobná hašovacím funkcím. Rozdíl je, že funkce není jen výsledkem zpracovávaných dat, ale i klíče. Například HMAC-SHA-1-160 s160-bitovými klíči anebo HMAC-SHA-1-80 s 80-bitovými klíči;

•

Symetrická

šifrovací

schéma

E,

například

TDEA

(Triple

DES (označována

jako TDES či 3DES) je bloková šifra založená na šifrování Data Encryption Standard (DES), které aplikuje třikrát, čímž zvyšuje odolnost proti prolomení) v CBC způsobu (Cipher-block Chaining ) nebo XOR šifrovacím schématu. • • •

EC domenové parametry N, , , 5, W, G pro křivku nad polem prvočísel, nebo *, C, , , 5, W, G pro křivku nad binárním polem;

Bobův veřejný klíč: OË (Bob generuje ho takhle: OË  )Ë 5, kde )Ë je tajným klíčem který on vybírá na náhodném: )Ë ∈ /1, W " 10);

volitělné sdílená informace:  a Z .

Pro zašifrování zprávy * Alice musí provést následující operace:

1. generuje náhodné číslo  ∈ /1, W " 10 a vypočítává B  5;

2. odvozuje sdílený tajný klíč:   pt , kde p  ˜pt , ps ™  OË (a p H |);

3. používá KDF pro odvození symetrického šifrování a MAC klíčů: ) ∥ )Å  KDF  ∥  ; 4. šifruje zprávu: %  ˆ) ; *;

5. vypočítává tag šifrované zprávy a Z : (  MAC)Å ; % ∥ Z ; 6. výstupy B ∥ % ∥ (.

Pro dešifrování šifrovaného textu B ∥ % ∥ ( Bob musí provest následující operaci:

64

1. odvozuje sdílený tajný klíč:   pt , kde p  ˜pt , ps ™  )Ë B (stejně jako to odvozovála Alice, protožep  )Ë B = )Ë 5 = OË 5 = OË ), nebo výstup selhává pokud p  |;

2. odvozuje klíč stejným způsobem jako Alice: ) ∥ )Å  KDF  ∥  ;

3. používá MAC pro ověření tagu a výstup selhávapokud ( H {¼)Å ; % ∥ Z ;

4. používá symetrickou šifrovací schému pro dešifrování zprávy *  ˆ : ) ; %.

7.5 DLIES DLIES, Discrete Logarithm Integrated Encryption Scheme, neboli Integrována Šifrovací Schéma Diskretního Logaritmu, je asymetrickým procesem šifrování. DLIES představuje algoritmus pracující buď s exponenciálními funkci, anebo s Eliptickou kryptografii(ECC), a je náchylný k útokům. Tato metoda využívá výměnu klíčů a autentizační kód zprávy - Message Authentication Code (MAC). I kdýž můžeme použít stejný pár klíčů pro různé algoritmy na DLIES, měli bychom se toho vyhýbat, protože tato bezpečnostní oprávnění je tedy zpochybňováné a šifrování je zranitelné. Podobné potřeby mohou být dosažené jasnou specifikaci algoritmů s veřejným klíčem.

7.5.1 Pro zefektivnění Jak už býlo diskutováno dříve, bod násobení je hlavní operaci v ECC. Bod násobení zahrnuje velké množství bodů sčítání a bodů zdvojnasobení. Každý bod sčítání a zdvojnásobení zahrnuje multiplikativní inverzní operace. Nalezení multiplikativní inverze je nákladnou operaci v obojích konečných polech JL a JZ - .

Reprezentace bodů v projektivních souřadnicových systémech může vyloučit nutnost multiplikativní inverzní operaci v bodu sčítání a bodu zdvojnásobení zvyšením efektivity bodu multiplikativní operaci. Pro použití projektivních souřadnic v eliptických křivkách je třeba konvertovat daný bod v afinní souřadnici k projektivní souřadnici dříve než bod násobení, a pak převést zpět do afinních souřadnic, to po bodu násobení. Celý proces vyžádává pouze jednu multiplikativní inverzní operaci. Operace v projektivní souřadnici vyžaduje více skalárního násobení než v afinní souřadnici. ECC v projektivní 65

souřadnici bude efektivněji jen kdýž implementace skalárního násobení je mnohem rychleji než multiplikativní inverzní operace.

7.5.2 Závěr Pro efektivni implementaci ECC, pro algoritmus bodu násobení a základní aritmetické pole je důležitá výkonnost. Existuje různé metody pro efektivní implementaci bodu násobení a základní aritmetické pole vhodné pro různé hardwarové konfigurace. Implementace ECC za použitím projektivních souřádnic ukázala výrazné zlepšení účinnosti ve srovnání s implementací afinních souřádnic. Toto zlepšení výkonnosti je způsobeno vlivem odstraňování multiplikativní inverzní operace v bodě násobení, a v bodě zdvojnásobení, které by jinak vyžadoválo značné cykly procesoru. V ireducibilním polynomu v binárním poli implementace by měla být trinomickou nebo pentanomickou. Implementace ECC v binárním poli může být efektivnějí než implementace v základním poli. V SEC (Standards for Efficient Cryptography) jsou specikovány domenové parametry, irreducibilní polynomy jsou take trinomické nebo pentanomické. Tyto zvolené polynomy způsobí mnohem rychlejší běh polynomiální redukce v binárním poli, než je modulární redukce v primárním pole.

66

8 Nové směry v kryptografii Při sestavováni této práce jsem se uvědomila, že ve většine literatury jako vrchol kryptografické vědy je představená kvantová kryptografie. Ale vzhledem k tomu, že první kvantový kryptografický protokol byl navržen Bennettem a Brassardem až v roce 1984, mě samozřejmě zajimalo, co nového objevilo v kryptografii od této doby.

8.1 Biometrická kryptografie Spojení světa kryptografie s biometrickými systémy a zařízeními na první pohled slibuje poměrné slušné přínosy: nemuseli bychom pamatovát hesla, šifrovací klíče by byli generovány automaticky podle poskytnutého biometrického vzorku (například otisku prstu) apod. Kryptografie a biometrické systémy však představují dva výrazně odlišné světy, takže skloubení není nikterak triviální.

8.1.1 Problematické utajovaní Největší problém kryptograficko-biometrické dvojkombinace spočívá v odlišné přesnosti biometrické systémy nikdy neposkytnou stoprocentní výsledek v podobě rozhodnutí shoda/neshody, ale finální rozhodnutí závisi na nastavené úrovni. Přidržíme-li se modelu s otiskem prstu, uživatel tak může být úspěšně identifikován, i kdýž shoda nastala například jen z 90%. V ideálním případě bychom při spojení biometrických systémů (opět například otisk prstu) s kryptografií byli schopni získat zhruba následující model: uživatel poskytne svůj otisk prstu, na základě nasnímaného obrazu je automaticky vygenerován šifrovací klíč a data zašifrována. Jakmile pak uživatel svůj otisk poskytne znovu, vygeneruje se odpovidající klíč pro dešifrování chráněných dat a s jeho pomocí se získa opět původní otevřeny text. Základní a největší problém je nasnadě: z biometrik získaný klíč pro šifrování a dešifrování musí být vždy stejný. Pro zjednodušení skutečně můžeme uvažovat pouze symetrickou kryptografii - jakmile by se byt' jediný bit v šifrovacím a dešifrovacím klíči lišil, můžeme se s korektním otevřeným textem po dešifrování rozloučit. Vzhledem k faktu, že dva "stejné" otisky nikdy nejsou stejné, musí dojit k pokročilému zpracování ziskaného obrazu a co možná nejlepšímu odstranění všech chyb. Dalším z problémů by mohl být fakt, že biometriky jako takové nejsou žadným tajemstvím, například otisky prstů zanecháváme prakticky všude.. V přímem spojení s navazující kryptografií by 67

to bylo, jako kdybychom všude psali svá hesla (i kdýž bežný otisk samozřejmě technicky není snadné 100% využít). U nékterých bezkontaktních biometrik by potenciální útočník navíc hypoteticky mohl získat požadovaná biometrická data i bez vědomi uživatele.

8.1.2 Biometrické uzamčení klíče I přes veškeré spojené problémy postupem času vzniklo několik návrhů různých systémů pro spojení světu ne tolik přesných biometrik a naprosto exaktni kryptografie. Jedním z nejznamějších je například práce Johna Daugmanna a jeho kolegů, jedna se o snímání oční duhovky. První problém v podobě nepřesnosti "stejných" biometrických vzorků při různých snímáních zde má reálnou podobu zhruba 10 až 20 odlišných bitů, na pomoc proto přichází kombinace Hadamardova a Reed-Solomonova kódování. Toto dvojnásobné kódování dokaže zabránit jak chybám, které pramení přímo z obrazů získaných pomocí snímače, tak těm, jež svůj původ mají v následném zpracování. Celý proces postupu zpracování biometrického vzorku a jeho spojení s šifrovacím klíčem lze rozložit do několika následných akcí, z nichž první spočívá ve vytvoření náhodného klíče, jeho zakódování již zmíňovaným Hadamardovým a Reed-Solomonovým kódováním a doplňení na délku 2048 bitů. V dalším kroku již příchází na řadu snímání oční duhovky, jehož výsledkem je datový vzorek velikosti právě 2048 bitů. Tato posloupnost se pak operací XOR spojí s původním zakódovaným klíčem. Výsledek operace XOR je některem způsobem uchován, například uložen na libovolný token - inkriminovaných 2048 bitů není zapotřebí extra chránit, jelikož sami o sobě nic nevyzradí, a ještě jsou doplněny o hash kód odpovídajícího klíče, tedy původní posloupnosti náhodných bitů. Když útočník získá tento token, obsažené informace mu nic neřeknou, jelikož z hash kódu si takříkajíc nic nevezme a stejně tak ani z výsledné posloupnosti bitů, jež vznikla XORováním s uživatelovou duhovkou (jejím datovým otiskem). Jakmile na řadu přichází dekódování původního klíče, poskytne uživatel opět otisk své duhovky, který se XORuje s tím, jenž je uložen na tokenu. Diky symetričnosti operace XOR je tak získána původní zakódovaná posloupnost 2048 bitů, jež projde Hadamardovým a Reed-Solomonovým dekódováním (tedy nyní v opačném pořadí). Výsledný klíč by měl odpovídat původnímu, pro ověření čehož ještě dochází k porovnání souvisejících hash kódů. 68

Právě popsané schémy tedy ve výsledku nabízí dvoufaktorovou ochranu, jelikož pro korektní použití je zapotřebí jak odpovídající token, tak otisk duhovky opravněného uživatele. Nic však nebrání obohacení o další zabezpečení, a to v podobě klasického hesla - toho může být být využito například v kombinaci uloženou XORovanou posloupnosti, případně úpravě Hadamardovy matice během kódování. Práce profesora Daugmanna a jeho kolegů "suma sumárum" nabízí možnost využití oční duhovky k uzamčení šifrovacího klíče, jehož délka by měla být nejvýše 2048 bitů. Jedná se o na první pohled jednoduchý princip, který se právě díky rozšíření o ochranu heslem dokáže vyhnout pokusům s podvrženými biometrickými vzorky i nežadoucímu nevědomému bezkontaktnímu skenováni.

8.1.3 Měření dynamiky stisku kláves Odlišnou techniku spojení světa biometrie s kryptografii volí přístup Fabiana Monroseho a jeho spolupracovníků, základem je zde přitom využití biometriky v podobě měření dynamiky stisku klaves. Tato biometrická technologie je obecně nenáročná na hardware (postačuje totíž obyčejná klávesnice), vše tak obstaráva softwarová část. Nejčastěji sledovanými veličinami jsou prodlevy mezi stisky jednotlivých kláves během psaní a také délka stisku každé z nich. Právě tyto hodnoty dokážou poměrně spolehlivě odlišit dva různé uživatele. Navíc mezi jež fundamentální výhody patří uživatelská nevtíravost, jelikož v ideálním případě může sledování a analýza dynamiky probíhat na pozadí běžné práce. Právě takto získané biometrické údaje mohou být zkombinovány přímo se zadávaným heslem a vytvořít tak jakousi bezpečnější variantu klasického hesla - můžeme použít například označení zabezpečené heslo. Diky tomu by takovéto zabezpečené heslo mohlo při vhodné implementaci posloužit kupříkladu přímo během příhlašování se do systému a uživatel ani nemusí mít o systému biometrického měření na pozadí žadné extra povědomí. Pokud vezmeme v úvahu model s příhlašením se do systému biometrického měření na pozadí žádné extra povědomí. Pokud vezmeme v úvahu model s příhlašením se do systému, je ke každému příhlašovacímu jménu namísto standardního hesla přiřazeno právě vylepšené zabezpečené heslo, které v sobě již přímo kombinuje tajnou informaci a požadovánou biometrickou autentizaci. Základními biometrickými 69

daty jsou přitom již zmiňované prodlevy mezi stisky následujících klaves a doba stisku, tedy čas od úplného stlačení po uvolnění. K měření lze při implementaci využít standardních funkci operačního systému pro nízkoúrovňovou spolupráci s hardwarem. Spektrum funkcí je ale samozřejmě možné rozšířit o další, za použití speciální klavesnice by například šlo měřít i sílu stisku apod. Vlastní spojení přístupového hesla se získanými biometrickými hodnotami je už čistě otázkou použití vyšší matematiky.

8.1.4 Model BioPKI Třetí zajímavý přístup kombinace biometrik s kryptografii nabídla dvojice vědcu Hao Feng a Chan Ch.Wah. Abychom představili co možná nejšírší spektrum dostupných technik, volí take tento návrh opět jiný postup - biometrika (v tomto případě dynamika podpisu) je využita k zabezpečení soukromého klíče v použití klasického PKI. Take proto se pro popisovaný model vžilo označení BioPKI. Zkoumání dynamiky podpisu oproti porovnání standardních "statických" variant podpisu, jež jsou známé z každodenního života, přínáší hned několik neoddiskutovatelných výhod. První z nich je například schopnost analýzy rychlosti tahů perem na tabletu (ve směru obou os 2D prostoru), měření přítlaku na podložku apod. V kombinaci s prostým porovnáním výsledného podpisu je tak bezpečnost minimálně o řád výše. Průběh ověřování uživatele v rámci schématu BioPKI může být rozdělen do tŕí základních fází, jmenovitě se jedná o porovnání tvaru podpisu a konečně také generování odpovídajícího soukromého klíče. Opravněný uživatel by tak v ideálním případě naprosté datové shody při každém svém podpisu mohl pokaždé vygenerovat identický privátní klíč zde je však opět již zmíněny problém s proměnlivosti nabídnutého biometrického vzorku, a tedy určité neshodě výsledných klíčů. Na obecné úrovní je v uvedeném trojbodovém postupu prvotní výhodou statické porovnání během první fáze, jelikož to dovolí odhalit velice jednoduché pokusu o podvod (nebo skutečné nevydařené korektní podpisy) ve velice kratkém čase. Teprve v případě, že touto jednoduchou kontrolou podpis projde, extrahují se konkrétní vlastnosti (v původním návrhu jich je přes čtyři desítky). Získana data pak vstupuji do klasického generování klíču podpisového algoritmu DSA, a sice hashované pomocí SHA-1 přímo jako privátní klíč. Kombinace biometrických systému a kryptografie tak z uvedeného výčtu nejznámějších návrhů může mít různé podoby, příčemž záleží především na tom, jakým způsobem je zapotřebí ji v 70

konkrétní aplikaci využít. Do budoucna by se bezesporu mohlo jednat o žarné zitrky, ale jedině při dostatećné přesnosti zpracování získaného biometrického vzorku.

8.1.5 Termodynamická kryptografie Po kvantové kryptografii zde máme další metodu, jejíž bezpečnost údajně garantují přímo fundamentální fyzikální zákony: šifrování založené na druhé větě termodynamiky. S návrhem přišel Laszlo Kish (Texas A&M University) a jeho kolegové. Podstata metody má být jednoduchá. Linka spojující Alici s Bobem má na každém konci dva odpory. Alice použije nastavení svých odporů k tomu, aby pomocí něho zakódovala informaci, Bob naopak své odpory zapojí náhodně. V důsledku toho bude náhodný i proud/napětí na lince, tato informace bude normálně veřejná, ale jejím změřením nelze nic zjistit. Bob ale ví, jak své odpory zapojil, z měření pak dokáže vypočítat zapojení odporů Alice a z toho dekódovat i poslanou zprávu. Naopak Eva uprostřed komunikace se o nastavení jednotlivých odporů prý nemá jak dozvědět, protože pro ní je informace utopená v šumu. Zde se tedy právě uplatňuje druhá věta termodynamiky. Aby se Eva něco o odporech zjistila, musela by do systému přidat energii – a to by právě Bob i Alice poznali. Podobně jako u kvantové kryptografie jde tedy o to, že odposlech nevyhnutelně změní vlastnosti systému. Kish srovnává svůj přístup právě s kvantovou kryptografií, jejíž implementace jsou prý zranitelné a metoda s ní spojená očekávání podle něj prostě nenaplnila. Problém s konkrétní implementací ovšem nastává i zde. Nešlo by to nějak obejít? Tak například existují experimenty s využíváním Brownova pohybu pro usměrněné přesuny molekulárního robota, což také působí jako v rozporu s druhým zákonem termodynamiky – jako by se dal trochu „ohnout". Nicméně oponenti žádnou zranitelnost v Kishově postupu zatím nenašli. Skoro tak dlouho kolik tento koncept existuje, kvantová kryptografie se pohybuje jenom v představách a teorii, a její nástup je považován za revoluci a zcela bezpečné sítě. Teoreticky, kvantové crypto (na základě zákonů kvantové mechaniky) zaručujé úplné utajení přenášených zpráv: špehování na kvantové šifrované zprávě neodvolatelně mění obsah zprávy, čímž zpráva je neprolomitelná. Ačkoliv v praxi, zatímco komunikace kvantově šifrovaných zpráv je bezpečná, v počítačích na obou koncích linky není nikdy zaručena bezchýbnost. Například, k čemu potřebujeme

71

kvantový komunikační kanál, kdýž přenášecí (nebo přijímajíci) zprávy se ukládají do lokální paměti, která může být snadno prolomena? Nicméně, podle László Kish a jeho týmu z Texas A&M, existuje způsob vybudováni zcela bezpečného "end-to-end" systému, ale namísto použití kvantové mechaniky budeme muset použít klasickou fyziku: přesněji druhý termodynamický zákon. Druhý termodynamický zákon se zabývá pokračující entropií, jehož hlavní myšlenkou je, že postupem času systém vždy ztrácí energii na jeho prostředí. Tento efekt, postupně přivede k neuvěřitelně řídkému šíření energie a smrti vesmíru. Obr.1.d.Základní princip termodynamické kryptografii

Zdroj: http://computerworld.cz/technologie/termodynamicka-kryptografie-pry-prekonava-kvantovou-48548

Ale zpět k kryptografii. Kishův systém se skládá z drátu (komunikační kanál ), a dva rezistory na obou koncích (z nichž jeden představuje binární 0, druhý binární 1). Připojený k drátu zdroj energie byl ošetřen s Johnson-Nyquistovým šumem (tepelný šum). Johnsonův hluk je často základem pro vytvoření náhodných čísel s počítačovým hardwarem . Když Alice chce poslat zprávu Bobovi, ona zakóduje svou zprávu modulací zdroje napájení pomocí dvou rezistorů na konci její drátu - pokud chce poslat binární 0, ona se připojí k prvnímu rezistoru na drátu, pokud chce poslat binární 1, k druhému rezistoru. Výsledkem je signál, který se zdá 72

představen stále jako Johnsonův hluk, ale který má svou aktuální modulaci provedenou Alici. Bob se připojí své rezistory náhodně, a měří signál který přijde na jeho konec. Protože obě strany znají napětí a proud napájecího zdroje, a Bob ví jaký rezistor se připojil, on může analyzovat napětí a proud pro signál k práci, zpracovát Alice používá - a tedy binární zpráva se přenáší . Stejně jako kvantové krypto, špionážní (man-in-the-middle) útoky na tento termodynamický systém jsou zřejmě nemožné. Pokud se stalo, že Eva bude chtít odposlechnout komunikaci, ona neví který rezistor byl připojen, a proto nemůže dešifrovat Johnsonův hluk. Druhý termodynamický zákon brání Evě z získávaní informací s man-in-the-middle útoku - a aktivně naslouchaní Aliciových nebo Bobových rezistorů by vyžadovalo o doplnění většího množství energie systému, který může být snadno spatřen. Kish a jeho tým tvrdí, že tento systém je zcela bezpečný - tvrzení, které dosud nebylo zpochybňeno. Je to neuvěřitelně nepravděpodobné, že systém je doposud neprolomitelný - ale kdo ví, jak na tom bude v budoucnosti. Ale zatím neexistuje žádná zmínka o vzdálenosti přenosu maximální intenzity signálu, jestli může být opakován nebo zesílen, nebo o maximální datové rychlosti. Před 10 lety toho kvantová kryptografie slibovala hodně, za tu dobu se ale nesplnilo téměř nic; dokonce se zdá, že překážky v její implementaci mohou být neodstranitelné přímo z principu. Někteři doconce tvrdí, že termodynamické šifrování by mohlo být pro kvantovou kryptografii hřebíčkem do rakve.

73

Závěr Cílem mé práci bylo předvest čtenářovi co nejaktuálnějši a nejúplnější informaci o eliptických kryptosystémech a souvisejících článcích. Ale jakmile jsem začala s vypracováním této práci, uvědomila jsem se že naprosté neexistují podobné materiály v češtině, většina literatury byla vydána maximálně počátkem devadesátých let, a mohla jsem z ni čerpat jen několik základnějších věci. Měla jsem dokonce pocit, že vše možné české materiály které se týkají kryptografie, jsem využila ve své bakalářské práci. Táto práce na 90% se skládá z anglické literatury a trochu německé a ruské, snažila jsem to sama co nejpřesněji přeložit do češtiny. V případech, když existoval pouze anglický termín, uváděla jsem to v obou jazycích. Když něco mi nebylo jasné, zeptavala jsem se na to rovnou autorů použité literatury. Mluvila jsem třeba s Mrs. Laurou Hittovou ohledně otázek o standartizaci, a s Ed. Philippem Gaboritem ohledně postkvantové kryptografii. Chtěla jsem také uvést více o postkvantové kryptografii, ale bohužel by to bylo daleko za ramec této práce. Pro zájemce můžu doporučit knihu vydanou Phillipe Gaborit (Ed.) "Post-Quantum Cryptography" od roku 2013. V této knize můžete přečíst o nejnovějších algoritmech postkvantové kryptografie, o Lattice-Based Cryptography "mřížková kryptografie", kvantových algoritmech a další. Zájemce můžou take navštívit vědeckou konferenci PQCrypto, která probíhá každých 18 měsiců. V roce 2011 se konála v Taiwani, 2013 byla ve Francii, a příští bude konát v roce 2014 Canade, v Waterloo. Přesná adresa: PQCrypto 2014. Institute for Quantum Computing, University of Waterloo, Canada, October 1-3, 2014. Webova adresa: http://pqcrypto2014.uwaterloo.ca/ Ubytováni pro studenty je zdarma. Závěrem k moderní kryptografii můžu říci, že podle mě, i když termodynamická kryptografie představena jako důstojná a úplná záměna kvantové, bylo by nerozumně hned kvantovou kryptografii odmítat. I když je dnes ukázalo, že není docela praktická, určitě je to jedná z nejpropracovanějších oblastí, musíme jenom najít ten správný způsob použití, ale zatím není jasné zda na to potřebujeme počítače uplně nového typu. Docela zajímavá je myšlenka spojení kryptografii s biometrií, ja myslím, její použití v kombinaci například s eliptickou kryptografii by dodalo ještě vyšší stupeň zabezpečení. Co se týká eliptické kryptografii, ja myslím, že už bychom měli na ni konečné přejít. Například, kde jste viděli ECDSA certifikat? I když standardu je už 13 let, všude se stále používá RSA. Mezitím 74

RSA má hodně detailů. Popis algoritmu je jednoduchý, ale kvůli této složité detailnosti, bezpečnost může být svržena během vteriny. My dobře víme, že čím složitější je systém, tým vyšší je pravděpodobnost výskytu chyby. Pokud uzavříme tema o eliptické kryptografie , jake jsou její výhody a nevýhody? Klady: 1. Mnohem menší délka klíče v porovnání s "klasickou" asymetrickou kryptografií. 2. Rychlost eliptických algoritmu je mnohem vyšší, než klasických. To je dáno jak velikostí pole, tak i použití mnohem bližší pro počítače struktury konečného binárního pole. 3. Vzhledem k malé délce klíčů a vysokorychlostnímu provozu, můžou asymetrické kryptografické algoritmy na eliptických křivkách být použíty v čipových smart-kartech a dalších zařízeních s omezenými výpočetními zdroji. Zápory: 1. Všechny výhody eliptické kryptografie vycházejí z jedné konkrétní skutečnosti: pro příklady diskrétního logaritmu v eliptických křivkách, neexistují subexponenciální algoritmy řešení. To snižuje délku klíče a vede ke zvýšení produktivity. Avšak když týto algoritmy objeví, to bude znamenat zhroucení eliptické kryptografie. 2. Eliptická kryptografie je velice složitá. Je to obrovské množství nuancí, které je třeba vzít v úvahu. Začíná to z výběru eliptické křivky a končí s generací klíčů. V případě hromadného přechodu na eliptickou kryptografii se bude pravděpodobně vyskýtovat hodně chyb a hrozeb, které již byly propracovány u více konvenčních metod. Jakou vidím budoucnost kryptografie? Ja myslím, že je ve spojení s ostatními vědami. Je určítě hodně zajímavá myšlenka spojení kryptografii s biometrií. Pokud bychom dokázali najít způsob který by umožňoval její hromadné použití, dodá to veliký způsob zabezpečení jakémukoliv systému. Zajímavá by mohla být myšlenka spojení kryptografii s astronomií. Například, nějaký algoritmus by bylo možné rozluštít jen v určitý den a čás, třeba v pondělí v 18.28. V žádném jiném případě, i správně napsané heslo by bylo neplatné. To by mělo ale zápor v tom, že by to hodilo spíše pro dlouhodobě archivována data, které nepotřebujeme ihned, ale většinou to naopak.

75

Určitě zajímavá by byla možnost spojení kryptografii s chemií, dle analýzy pachu, krve jedince, s genetikou, podle DNA čí genomu konkretního člověka… Ale malokdo by příjal systém, kde třeba pro banální kontrolu e-mailu chtěl po člověku odebrat krevní vzorek, a bylo by to tak u dalších, vice serióznějších věcí (například při vstupu do bankovního učtu). Lidi by nechtěli žádný diskomfort, i kdyby to dávalo vyšší bezpečnost dat. Proto tohle vidím spíše u budoucího počítače. Počítač budoucnosti představují jako počítač který je řízen myšlením konkrétního člověka, a podle nastavených omezení může skenovát prostředí a získávat tím informaci. Dokázal by třeba zjístit soustavu krve jedince jen “ze vzduchu”. To by představovalo velikanský vědecký pokrok, a také pokrok v medicině. Co kdyby domací počítač dokázal momentálně zjístit že se něco ve člověku neděje správně? Většina nelečitelných dnes nemocí by tím přestala existovat, protože by byli eliminovány až na začátku. Medicinské protézy by ničím nelišíly od skutečných rukou, nohou, protože by byly dokonale řízeny myšlením. Co kdyby paralizovaný člověk dokázal stále komunikovat s rodinou, psát něco na počítači, pracovát, protože dokaže řídit počítač myšlením? Znamenálo by to velký etický pokrok. Na co potřebujeme takto výsokou ochranu? Pokud bychom dostali k revolučnímu spojení lidského mozku a těla s počítači, jakékoliv útok by představoval sebou ohrožení lidských práv a svobod, a možná zdraví a života jedince. Proto by hlavním a nejzákladnějším cílem by býla absolutní bezpečnost a neprolomitelnost. Ja věřím, že detailným studiem novějších kryptografických metod, ochotě této novější metody používat v práxi a tím jich rozvíjet, spojení kryptografie s dalšími vědy a kombinaci s jíž znamými kryptografickými metody, jsme na práhu nové éry - éry absolutně bezpečné a neprolomitelné kryptografii.

76

Použitá literatura a zdroje: [1]

PRENEEL, BART; RIJMEN, VINCENT (Eds.) State of the Art in Applied Cryptography. Course on Computer Security and Industrial Cryptography, Leuven, Belgium, June 3-6, 1997 Revised Lectures. Series: Lecture Notes in Computer Science, Vol. 1528. 1998, VIII, 400 p.

[2]

Laura HITT. Updated Standards for Validating Elliptic Curves Department of Mathematics The University of Texas at Austim Austin, TX 78112. 2007

[3]

IEEE P1363

http://en.wikipedia.org/wiki/IEEE_P1363 [4]

Mugino SAEKIElliptic Curve Cryptosystems School of Computer Science McGill University, Montreal February 1997

[5]

Eliška OCHODKOVÁMatematické základy kryptografických algoritmu Vysoká škola baňská – Technická univerzita Ostrava – Zapadočeská univerzita v Plzni

[6]

Prof. Karel REKTORYS Dr.Sk. a spolupracovniciPřehled užité matematiky SNTL – Nakladetelství technické literatury Praha 1988

[7]

Neal KOBLITZElliptic Curve Cryptosystems 1987

[8]

Anoop MS Elliptic Curve Cryptography An Implementation Guide [email protected]

[9]

Discretní logaritmus http://mathworld.wolfram.com/DiscreteLogarithm.html

[10]

IES http://en.wikipedia.org/wiki/Integrated_Encryption_Scheme

[11]

KDF 77

http://cs.wikipedia.org/wiki/Key_derivation_function [12]

MAC http://en.wikipedia.org/wiki/Message_authentication_code

[13]

DLIES http://www.itwissen.info/definition/lexikon/DLIES-discrete-logarithm-integratedencryption-scheme.html

[14]

Permutace http://cs.wikipedia.org/wiki/Permutace

[15]

Kvantová kryptografie http://cs.wikipedia.org/wiki/Kvantov%C3%A1_kryptografie

[16]

Termodynamická kryptografie http://computerworld.cz/technologie/termodynamicka-kryptografie-pry-prekonavakvantovou-48548

[17]

Biometrická kryptografie časopis Connect! duben 2006

[18]

Eliptická kryptografie: teorie http://habrahabr.ru/post/188958/

[19]

Philippe Gaborit (Ed.)Post-Quantum Cryptography 5th International Workshop, PQCrypto 2013 Limoges, France, June 2013, Proceedings

78

Seznam obrázků a tabulek

Obrázek č. 1.a:

22

Obrázek č. 1.b:

26

Obrázek č. 1.c:

44

Obrázek č. 1.d:

62

Tabulka č. 1.1:

12

Tabulka č. 1.2:

30

Tabulka č. 1.3:

31

Tabulka č. 1.4:

49

Tabulka č. 1.5:

52

Tabulka č. 1.6:

53

79

PŘÍLOHA 1

Jak je pravděpodobnost prolomení šifry? Jaká Můžeme šifru vůbec prolomit? Zajímala mě otázka, jak je velká pravděpodobnost toho, že dokážeme jen náhodou prolomit šifru. Pokud by byla docela velká, to by asi znehodnotilo kryptografii jako vědu vůbec. kryptografii Za příklad jsem rozhodla použit standartní PIN kod - čtyřčíselný, od 0 do 9. Máme tři možnosti nedokážeme li prolomit za jednu z těch třech, blokuje to. Představíme si, že chceme dozvědět kod nedokážeme-li pouhým hádáním.

Permutace Nejdřív musím přivest pojem permutace. permutace Permutace množiny, množiny, která obsahuje

prvků, je jedno z

možných uspořádání těchto prvků, přičemž výsledná uspořádaná n n-tice tice má stejný počet prvků jako původní množina. Někdy se také uvažují tzv. permutace s opakováním opakováním,, což zahrnuje i takové uspořádání prvků, ve kterém se některé prvky vyskytují vícekrát. Máme PIN, ve kterém se můžou vyskytovat čísla od 0 do 9. Šance odhadnout správně s prvního pokusu je . Podrobnějí by to vypadalo takto: 1. pokus: 10 možností 2. pokus: krat 10 možností

3. pokus:

=

Přivedeme příklad s opakováním a bez o opakováni pakováni

1

Bez opakováni Znamená to, že pokud jednou napíšeme PIN, jako například 1465, a bude chybný, nebudeme ho dál psát. Jaká je pravděpodobnost, že odhadneme PIN v jeden z těchto třech pokusů? N  NZ  N; = ?   ë

1 pokus.:

 N

  ë :

2 pokus.:

  ë :Z

3 pokus.:

1  ∑=í



=:

 NZ  N;

.

S opakovánim Znamená to, že napsaný kod, i když je chybný, můžeme napsat podruhé a potřetí. 1,2,3 pokus = N  NZ  N; V tomto případě vše tři pokusy se budou rovnat

 .  ë

Hypergeometrické rozdělení Rozebereme o něco pravděpodobnější variantu. Máme tři pokusy, a zajímá nás, jaká je šance odhadnout správnou šifru za jeden z těchto pokusů? Na tuto otázku nám pomůže odpovědět hypergeometrické rozdělení. ) z") ¥ ¦¥ ¦  W "   p z, W, ),  z ¥ ¦ W

2

Obr. 1.e. Hypergeometrické ypergeometrické rozdělení na příkladu

Zdroj: vlastní uprava

Máme nadobu z bílými, a jen několika černými míčky. N

míčků

k

černých míčků

n

počet míčků (vybereme)

x

bude černých

... pravděpodobnost, že x z n bude černých

3

Hádání klíče Hypergeometrické rozdělení N ... počet možností )  1 příznivá možnost n ...

počet pokusů pî,í,=í;,t

1 ¥ ¦1 0

1 z"1 z"1 ¥ ¦¥ ¦ ¥ ¦   W "   W "  z z ¥ ¦ ¥ ¦ W W

1 ¥ ¦1 1 Vratíme se k našemu příkladu s PIN kodem.

Jaká je pravděpodobnost, že při třech pokusech klíč není v žadném?

N ... 10ƒ

(4 znaky 0 ... 9)

)1

W3

(jediný klíč)

  

0 1

ptí





¥

¦

ë :

;  ë ˜;™



 ë : ë :Z ë :; ;!  ë  ë : ë :Z ;!

10ƒ " 3 3   1 " ƒ  0,9997 ƒ 10 10

Jaká je pravděpodobnost, že klíč se objeví aspoň v jednem? ptí 

˜=: ™ ;: ˜î;™



¥

¦

ë :

Z  ë ˜;™



 ë : ë :Z

  ë  ë : ë :Z ;!

 4

3  0,0003 10ƒ

Jaká je pravděpodobnost, že odhadneme z jedného, druhého, nebo třetího pokusu? n je tady počet pokusů W1

1. Pokus: ptí 

=: ˜=:t ™

˜î=™

2. Pokus: ptí  3. Pokus: ptí 



¥

¦

ë :

  ë ˜Z™

W3

=: ˜=:t ™

˜î=™



¥

¦

ë :

ë ˜ ™

W2

=: ˜=:t ™

˜î=™



¥

¦

ë :

Z  ë ˜;™





1

ë ˜ ™



1  0,0001 10ƒ

10ƒ " 1 ˜Z ™ ë

 0,0002

 0,0003

V případě, že bychom měli větší počet pokusů, vícečíselnou šifru, atd. – pravděpodobnost zjistíme velice jednoduše dosazením do tohoto vzorce. Co kdyby šifra se skládala nejenom z čísel, ale znaků ASCII tabulky nebo dokonce Unicode? ASCII má 256 znaků, Unicode 110000. Znamená to, že pravděpodobnost odhadnutí správné šifry s prvního pokusu u ASCII tabulky



ZÂ>X

, u Unicode je to dokonce





X

.

Tohle nám dokazuje, že pravděpodobnost náhodného prolomení šifry je tak malá, že lze ji zanedbat.

5