Curba448
Curba448 este o curbă Edward care s-a definit peste un prim Solinas $p = 2^{448} â 2^{224} â 1$ cu ecuația $$x^2+y^2 = 1-39081x^2y^2$$
Punctul de baza
Punctul de bază $G$ al Curbei448 are ordinea principală ca Curba25519. Are cofactor $h=4$ asta inseamna ca $$h = \dfrac{|\#E|}{ord(G)}$$ Ordinul de $G$ este $$\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$
ECDH
Acum treceți la ECDH în care Alice are o cheie privată (întreg) $k_A$ și cheie publică $[k_A]G$ (un punct pe curbă) și Bob are o cheie privată $k_B$ iar cheia publică este $[k_B]G$.
Când Alice și Bob schimbă cheile publice, ce se întâmplă (nu lua în considerare omul din mijloc)? Cele de mai jos;
$$[k_A k_B]G$$
Deci, atâta timp cât punctul de bază este corect, orice valoare de 56 de octeți dintr-o cheie publică validă. Nu este nevoie de validare din moment ce avem
$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$
$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$
Nu vom considera că evenimentul care nu se va întâmpla niciodată din doi utilizatori va avea aceeași cheie privată.
Atacul cu subgrupuri mici
Ce zici de Bob execută un atac subgrup mic (Atacurile active ale subgrupurilor mici de la LimâLee)?
În atacul subgrupului mic, atacatorul Bob alege o comandă mică $P$ ca punct public în care logaritmul discret este ușor.În timpul protocolului, utilizatorul legitim Alice va dezvălui $[k_A]P$ către atacator. Acum, despre câte informații poate afla atacatorul $k_A$ din $[K_A]P$?
- Răspunsul este dat ca informații revelate de $[K_A]P$ este cel mult $\lceil log_2 h\rceil$ biți.
Deoarece cofactorul este 4, se va dezvălui doar cel mult doi biți ai cheii private. Dacă vă temeți că pierderea a 2 biți din 224 este periculoasă, atunci validați că $P$ nu ai comanda 2 sau 4 prin verificare $[4]P \overset{?}{=}\mathcal{O}$
Twist Security
Întorsătura lui Curve448 are $4$ ca cofactor, așa că are răsucire sigură, de asemenea.
Notă: în acest articol Arhitecturi optimizate pentru criptografia cu curbe eliptice peste Curve448 a menționat că
În plus, cheile publice ale Curve448 sunt rezonabil de scurte și nu necesită validare atâta timp cât secretul partajat rezultat nu este zero
și Mike Hamburg a fost la curent cu acest articol înainte de a fi publicat, deoarece în Recunoaștere
De asemenea, îi mulțumim lui Mike Hamburg pentru comentariile sale constructive