Můj vlastní ECC křivka bezpečnosti a výběr analýza

Většina moderních kryptografických použití eliptických křivek kryptografický (ECC), která, s menší velikostí a klíčovou snížit výpočetní sílu, aby se stejným způsobem zabezpečení sílu tradičního systému kryptografické známý jako DH (Diffie-Hellman) nebo RSA (Rivest, Shamir a Adleman).

Ne každý ví, že šifrování ECC je vybrána pro případné budoucí použití šifrování a že i TLS / SSL (šifrování pro zabezpečení web) se stěhuje do ECC.

Našel jsem spoustu tzv. "proprietární šifrovací produkty", které opuštěných RSA a DH se jde s alternativami ECC, které mají tendenci k libovolné použití klíče bit ECC velikosti aniž by upřesnil, který druh ECC crypto zvyknout.

Nicméně je zde mnoho nejasností kolem eliptických křivek, s mnoha různými jmény a velkosti klíče dělat obtížné pro non-kryptograficky zkušení uživatele, aby si vlastní postavu při posuzování nějaké věci crypto.

Protože tak rozptýleného zmatku jsem se rozhodl udělat vlastní analýzu, zjistit, které jsou nejlepší ECC šifrování ECC křivky a pravé tlačítko velikost k použití.

Tato analýza by rád, aby bezpečnostní průmysl založený na výběr mezi různými křivkami a velikostech klíčů, takže matematické a analytické úvahy crypto, který byl již byla provedena v letech, která shrnuje různé možnosti přijatá v několika standardů a bezpečnostních protokolů.

První závěr.

Z mé analýzy pouze následující ECC křivky se považují pro použití v šifrovací systémy, protože je jen jeden vybrán mezi různými orgány (ANSI, NSA, SAG, NIST, ECC BrainPool), různé bezpečnostní standardy protokolu (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS) a pouze jeden odpovídající NSA Suite B bezpečnostní požadavky (de-facto standard i pro NATO vojenském prostředí):

• Eliptické předseda Křivka 256 bit - P-256
• Eliptické předseda Křivka 384 bit - P-384

s možností, jen pro opravdu paranoidní, že chcete získat více klíčů velikosti kousek, stále není považováno za užitečné:

• Eliptické předseda Křivka 521 bit - P-521

Chtěl bych konstatovat, že Koblitz křivky je třeba se vyhnout, a to za klíčové velikosti (163/283/409/571), protože nemá dostatek záruku na kryptografické činnosti analytické a efektivně jsou:

• Není součástí NSA Suite-B výběru kryptografie
• Není součástí ECC výběru Brainpool
• Není součástí ANSI X9.62 výběru
• Není součástí OpenPGP rozšíření výběru ESC
• Není součástí rozšíření Kerberos pro výběr křivky ECC

Zvu čtenáře sledovat koryto moje analýza porozumět základům, které lze chápat i bez hlubokých technických pozadí, ale alespoň s dobrým technologickým zázemím některé základní bit kryptografie.

 Je to tady s analýzou

Mým cílem je provést analýzu o tom, co / jak otevřené vědecké a bezpečnostní komunita zvolila ECC crypto systém pro použití v bezpečnostních protokolů a standardů definovaných IETF RFC (ti, kteří definují internetové standardy v otevřeném a vzájemně hodnocených způsobem).

Pod sady RFC zavádějí šifrování ECC do stávajícího systému, které se dostanou analyzované pochopit, co je lepší používat a co je lepší pro vyloučení:

• RFC5639 : ECC Brainpool standardní křivky a křivka generace
• RFC4869 slovy: NSA Suite B Kryptografické Suity pro IPsec
• RFC5430 : NSA Suite B profil Transport Layer Security (TLS)
• RFC5008 : NSA Suite B v Secure / Multipurpose Internet Mail Extensions (S / MIME)
• RFC3766 : Stanovení Silné u veřejných klíčů používaných pro výměnu symetrických klíčů
• RFC5349 : Elliptic Curve Cryptography (ECC) Podpora pro kryptografii veřejného klíče pro počáteční ověřování Kerberos (v PKINIT)
• RFC4492 : kryptografie eliptických křivek (ECC) šifer pro Transport Layer Security (TLS)
• ZRTP hlas šifrování Philip Zimmermann ECC křivky
• ECC v OpenPGP (návrh d -vor jivsov-OpenPGP-ECC-06 )
• ECC Křivky vybraných společností Microsoft pro Smartcard Kerberos přihlášení

Využijeme možnost, kterého vědec definování internetových protokolů pro zabezpečení, aby se součástí našeho hodnocení.
Dále je třeba pochopit, že křivka výběr pochází z různých orgánů, které dělaly jejich vlastní výběr křivky, aby se říct, pro průmysl, co použít a co přeskočit:

• Americký NIST (US National Institute of Standards) s 186-2 (poslední v roce 2009 nahrazena novým 186-3 )
• USA ANSI (Americký národní institut standard) s X9.62
• US NSA (National Security Agency) Suite-B kryptografie pro TOP SECRET výměnu informací
• Mezinárodní SACG (standardy pro efektivní šifrování skupiny) s doporučenými parametry eliptických křivek Domain
• Německý ECC Brainpool withECC Brainpool s jejich přísných požadavků na zajištění
• Fóru ECC Interoperability se skládá ze Certicom, Microsoft, RedHat, Sun a NSA

Využijeme možnost, kterého vědce definující bezpečnostní požadavky v normalizační orgány, aby se součástí našeho hodnocení.
Navíc něco, co většina lidí neví, ale že je to velmi důležité pro naší analýzy je, že existují různé druhy ECC křivky kryptografie a jejich "velikost" Je to jiné v závislosti na druhu křivky:

• ECC Křivky přes pole připravit (často označované jako eliptickou křivkou a zastupuje P-délku klíče)
• ECC Křivky přes binární pole (často označován jako Koblitz křivky a zastupuje K-délku klíče)

Vzhledem k tomu, bezpečnostní síly rovnocennosti Eliptické křivky a křivka Kobliz mají různou velikost klíče, například když čteme ECC 571 máme na mysli Koblitz křivky se stejnou pevnost jako ECC 521 křivky předsedy.

Srovnání síly mezi eliptických křivek a Kotbliz křivek je uveden níže (od Mikey ECC internetu návrhu ):

 | Koblitz | ECC | DH / DSA / RSA
 | 163 | 192 | 1024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
 | 571 | 521 ​​| 15360

Níže je srovnání všech vybraných křivek všemi různými subjekty a jejich příslušné jméno (od IETF RFC4492 pro použití ECC pro TLS ):

 Křivka jména vybraných různými normalizačními organizacemi ------------ + --------------- + ------------- SECG | ANSI X9.62 | NIST ------------ + --------------- + ------------- sect163k1 | | NIST K-163 sect163r1 | | sect163r2 | | NIST B-163 sect193r1 | | sect193r2 | | sect233k1 | | NIST K-233 sect233r1 | | NIST B-233 sect239k1 | | sect283k1 | | NIST K-283 sect283r1 | | NIST B-283 sect409k1 | | NIST K-409 sect409r1 | | NIST B-409 sect571k1 | | NIST K-571 sect571r1 | | NIST B-571 secp160k1 | | secp160r1 | | secp160r2 | | secp192k1 | | secp192r1 | prime192v1 | NIST P- 192 secp224k1 | | secp224r1 |​​ | NIST P-224 secp256k1 | | secp256r1 | prime256v1 | NIST P-256 secp384r1 | | NIST P-384 secp521r1 | | NIST P-521 ------------ + - -------------- + ------------- 

Co se okamžitě objeví, že existují pouze dvě křivky vybrané všechny orgány, a že existuje obecná dumpingu Koblitz křivek ANSI.The pouze společně dohodnutých mezi orgány, 3 jsou tyto dvě ECC křivka:

• secp192r1 / prime192v1 / NIST P-192
• secp256r1 / prime256v1 / NIST P-256

Z těch výběru křivky ECC pro TLS RFC5430 vynechány úplně Koblitz křivky a vybrán k použití pouze:

• P-256, P-384, P-521

ECC Brainpool přeskočí úplně Koblitz křivky a vybrán k použití těchto ECC Křivky:

• P-160, P-192, P-224, P-256, P-320, P-384, P-512 (to je jediný zejména proto, že to není P-521, ale P-512, jediný klíč velikosti postupuje ECC brainpool. TNX Ian Simons z Athena SCS )

Internet OpenPGP návrh pro použití ECC v PGP d vor-jivsov-OpenPGP-ECC-06 zcela vynechány Koblitz křivky a vybrali následující ECC křivky

• P-256, P-384, P-521

Protokol Kerberos rozšíření pro použití ECC, jsou definovány v RFC5349 a definované společností Microsoft pro přihlášení smartcard přeskočí úplně Koblitz křivky a vybrala tyto ECC křivky:

• P-256, P-384, P-521

Tak zní jasné, že právo výběru ESC je pro P-256, P-384 a P-521, zatímco Koblitz křivky byly vynechány pro Top Secret použití a pro všechny bezpečnostní citlivé protokol (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS).

Udělal jsem tuto analýzu na základě diskuse jsem se o určité produkty hlasové šifrování, to vše na základě vlastních a proprietární protokoly, které jsou pomocí Diffie Hellman eliptickou křivkou 571 bit / ECDH 571/571-bit ECDH / Koblitz 571 bitů.
Všechny tyto látky se pomocí K-571, který, jak bylo popsáno výše, byl odstraněn od všech bezpečnostně citlivé prostředí a protokolů a být sám návrhář věcí hlasové šifrování myslím, že jejich kryptografický volba není absolutně nejlepší bezpečnostní volbou.
Pravděpodobně to bylo děláno jen pro marketingové účely, protože K-571 (Koblitz křivka) se zdá silnější než P-521 (Elliptic křivka založena na prvočísla). Pokud máte "trochu více" vaše marketingové lidé mohou tvrdit, že "bezpečnější". Koblitz eliptických křivek jsou rychlejší než přísně tajné umožnil předseda eliptickou křivkou, a tak dát produktového manažera možnost poskytovat "trochu více" v něm vlastní produkt při zachování výměny klíčů rychle.

Je to otázka filozofického volby.

Raději následovat trend vědecké komunity s pokorou, aby s ohledem na sebe šifrovací odborník, knowledgable více než celkové bezpečnosti a vědeckou komunitou samotnou.

Já raději používat pouze algoritmy, které jsou schváleny pro použití ve vysoce citlivých prostředích (přísně tajné, klasifikace), které byly vybrány všechny orgány a pracovní skupiny analyzujících šifrovací algoritmy existující mimo, a že představují výběr z téměř všech standardních bezpečnostních protokolů (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS, atd.).
Raději počítat množství mozku pracují na crypto ji používám, že kontrola, která je opravdu bezpečné, že vyhodnotí, zda existuje nějaký slabost.

Počet pracujících na brais Crypto široce rozptýlené jsou řádově větší, než je počet mozku pracují na crypto používají jen pár lidí (jako Koblitz křivky).
Takže já nejsem démonizace, kteří používají ECDH 571 Koblitz pomocí křivky, ale určitě můžu potvrdit, že nebyla přijata nejlepší volbu z hlediska bezpečnosti, a že se odborníci na bezpečnost dělají bezpečnostní benchmarking by vzít v úvahu skutečnost, že Elliptic Curve Diffie Hellman 571 něco udělat s Curve Koblitz není široce difusní, je to dumping ze standardních bezpečnostních protokolů a to není certifikován pro použití přísně tajné.