Cum validez cheile publice Curve448?

Efectuarea unui calcul ECDH cu o cheie publică nevalidă poate scurge informații despre propria cheie privată. Cu curbele Weierstrass, este important să verificați că cheia publică a egalului este de fapt un punct pe curbă și nu punctul de la infinit. (Vedea „Validarea cheilor publice cu curbe eliptice” de către Antipa și colab. §3, de asemenea De ce trebuie validate cheile publice?).

Cu Curba25519, toate șirurile de 32 de octeți sunt chei publice valide pentru ECDH. Cu toate acestea, câteva valori trebuie respinse în protocoalele care doresc să asigure un comportament contributiv. âMay the Four Be With You: A Microarchitectural Side Channel Attack on Sever-World Real-World Applications of Curve25519â de Genkin et al. De asemenea, recomandă respingerea acestor puncte pentru a evita un canal lateral de sincronizare în implementările în cea mai mare parte, dar nu complet, cu timp constant.

Dar Curve448? Cheile publice Curve448 trebuie validate sau orice șir de 56 de octeți este valid? The hârtie originală și RFC 7748 nu menționați o astfel de nevoie, dar poate că există o înțelepciune mai nouă pe această temă.

Curba448

Curba448 este o curbă Edward care s-a definit peste un prim Solinas $p = 2^{448} â 2^{224} â 1$ cu ecuația $$x^2+y^2 = 1-39081x^2y^2$$

Punctul de baza

Punctul de bază $G$ al Curbei448 are ordinea principală ca Curba25519. Are cofactor $h=4$ asta inseamna ca $$h = \dfrac{|\#E|}{ord(G)}$$ Ordinul de $G$ este $$\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$

ECDH

Acum treceți la ECDH în care Alice are o cheie privată (întreg) $k_A$ și cheie publică $[k_A]G$ (un punct pe curbă) și Bob are o cheie privată $k_B$ iar cheia publică este $[k_B]G$.

Când Alice și Bob schimbă cheile publice, ce se întâmplă (nu lua în considerare omul din mijloc)? Cele de mai jos;

$$[k_A k_B]G$$

Deci, atâta timp cât punctul de bază este corect, orice valoare de 56 de octeți dintr-o cheie publică validă. Nu este nevoie de validare din moment ce avem

$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$

$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$

Nu vom considera că evenimentul care nu se va întâmpla niciodată din doi utilizatori va avea aceeași cheie privată.

Atacul cu subgrupuri mici

Ce zici de Bob execută un atac subgrup mic (Atacurile active ale subgrupurilor mici de la LimâLee)?

În atacul subgrupului mic, atacatorul Bob alege o comandă mică $P$ ca punct public în care logaritmul discret este ușor.În timpul protocolului, utilizatorul legitim Alice va dezvălui $[k_A]P$ către atacator. Acum, despre câte informații poate afla atacatorul $k_A$ din $[K_A]P$?

• Răspunsul este dat ca informații revelate de $[K_A]P$ este cel mult $\lceil log_2 h\rceil$ biți.

Deoarece cofactorul este 4, se va dezvălui doar cel mult doi biți ai cheii private. Dacă vă temeți că pierderea a 2 biți din 224 este periculoasă, atunci validați că $P$ nu ai comanda 2 sau 4 prin verificare $[4]P \overset{?}{=}\mathcal{O}$

Twist Security

Întorsătura lui Curve448 are $4$ ca cofactor, așa că are răsucire sigură, de asemenea.

Notă: în acest articol Arhitecturi optimizate pentru criptografia cu curbe eliptice peste Curve448 a menționat că

În plus, cheile publice ale Curve448 sunt rezonabil de scurte și nu necesită validare atâta timp cât secretul partajat rezultat nu este zero

și Mike Hamburg a fost la curent cu acest articol înainte de a fi publicat, deoarece în Recunoaștere

De asemenea, îi mulțumim lui Mike Hamburg pentru comentariile sale constructive