Puncte:2

Cum validez cheile publice Curve448?

drapel cn

Efectuarea unui calcul ECDH cu o cheie publică nevalidă poate scurge informații despre propria cheie privată. Cu curbele Weierstrass, este important să verificați că cheia publică a egalului este de fapt un punct pe curbă și nu punctul de la infinit. (Vedea „Validarea cheilor publice cu curbe eliptice” de către Antipa și colab. §3, de asemenea De ce trebuie validate cheile publice?).

Cu Curba25519, toate șirurile de 32 de octeți sunt chei publice valide pentru ECDH. Cu toate acestea, câteva valori trebuie respinse în protocoalele care doresc să asigure un comportament contributiv. âMay the Four Be With You: A Microarchitectural Side Channel Attack on Sever-World Real-World Applications of Curve25519â de Genkin et al. De asemenea, recomandă respingerea acestor puncte pentru a evita un canal lateral de sincronizare în implementările în cea mai mare parte, dar nu complet, cu timp constant.

Dar Curve448? Cheile publice Curve448 trebuie validate sau orice șir de 56 de octeți este valid? The hârtie originală și RFC 7748 nu menționați o astfel de nevoie, dar poate că există o înțelepciune mai nouă pe această temă.

kelalaka avatar
drapel in
Nu este același lucru cu [Curve25519](https://crypto.stackexchange.com/a/87711/18298). Are cofactor 4. Trebuie doar o simplă responsabilitate pentru a evita mica scurgere de informații. Și, este, de asemenea, atacul de răsucire sigur.
Gilles 'SO- stop being evil' avatar
drapel cn
cr.yp.to este oprit în acest moment, dar sunt sigur că va reveni în curând. Între timp puteți folosi https://web.archive.org/web/20210608014309/https://cr.yp.to/ecdh.html#validate
Maarten Bodewes avatar
drapel in
Safecurves evaluează și curba Curve448 (goldilocks), așa că mă întrebam dacă partea despre „scări” și „completitudine” nu ar fi de folos aici.
kelalaka avatar
drapel in
De asemenea, Thomas susține aceeași [Securitatea curbelor eliptice](https://crypto.stackexchange.com/q/44337/18298)
Puncte:2
drapel in

Curba448

Curba448 este o curbă Edward care s-a definit peste un prim Solinas $p = 2^{448} â 2^{224} â 1$ cu ecuația $$x^2+y^2 = 1-39081x^2y^2$$

Punctul de baza

Punctul de bază $G$ al Curbei448 are ordinea principală ca Curba25519. Are cofactor $h=4$ asta inseamna ca $$h = \dfrac{|\#E|}{ord(G)}$$ Ordinul de $G$ este $$\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$

ECDH

Acum treceți la ECDH în care Alice are o cheie privată (întreg) $k_A$ și cheie publică $[k_A]G$ (un punct pe curbă) și Bob are o cheie privată $k_B$ iar cheia publică este $[k_B]G$.

Când Alice și Bob schimbă cheile publice, ce se întâmplă (nu lua în considerare omul din mijloc)? Cele de mai jos;

$$[k_A k_B]G$$

Deci, atâta timp cât punctul de bază este corect, orice valoare de 56 de octeți dintr-o cheie publică validă. Nu este nevoie de validare din moment ce avem

$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$

$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$

Nu vom considera că evenimentul care nu se va întâmpla niciodată din doi utilizatori va avea aceeași cheie privată.

Atacul cu subgrupuri mici

Ce zici de Bob execută un atac subgrup mic (Atacurile active ale subgrupurilor mici de la LimâLee)?

În atacul subgrupului mic, atacatorul Bob alege o comandă mică $P$ ca punct public în care logaritmul discret este ușor.În timpul protocolului, utilizatorul legitim Alice va dezvălui $[k_A]P$ către atacator. Acum, despre câte informații poate afla atacatorul $k_A$ din $[K_A]P$?

  • Răspunsul este dat ca informații revelate de $[K_A]P$ este cel mult $\lceil log_2 h\rceil$ biți.

Deoarece cofactorul este 4, se va dezvălui doar cel mult doi biți ai cheii private. Dacă vă temeți că pierderea a 2 biți din 224 este periculoasă, atunci validați că $P$ nu ai comanda 2 sau 4 prin verificare $[4]P \overset{?}{=}\mathcal{O}$

Twist Security

Întorsătura lui Curve448 are $4$ ca cofactor, așa că are răsucire sigură, de asemenea.


Notă: în acest articol Arhitecturi optimizate pentru criptografia cu curbe eliptice peste Curve448 a menționat că

În plus, cheile publice ale Curve448 sunt rezonabil de scurte și nu necesită validare atâta timp cât secretul partajat rezultat nu este zero

și Mike Hamburg a fost la curent cu acest articol înainte de a fi publicat, deoarece în Recunoaștere

De asemenea, îi mulțumim lui Mike Hamburg pentru comentariile sale constructive

kelalaka avatar
drapel in
Rețineți că acest răspuns este în primul rând pentru ECHE
Gilles 'SO- stop being evil' avatar
drapel cn
Concret, care sunt coordonatele x ale punctelor de ordin 4? (https://cr.yp.to/ecdh.html#validate listează 12 valori pentru Curba25519, care corespund la 5 coordonate x după modul de reducere $P$). Și cum rămâne cu canalul lateral al patrulea mai – cazurile riscante sunt și punctele de ordin scăzut pentru Curve448?
kelalaka avatar
drapel in
@Gilles'SO-stopbeingevil' nu le-am văzut niciodată, dă-mi puțin timp să le calculez.
kelalaka avatar
drapel in
@Gilles'SO-stopbeingevil' Sunt pe asta..

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.