वही हर अण्डाकार वक्र नहीं है: ECC सुरक्षा पर गर्त 

 मेरा अपना ECC वक्र सुरक्षा और चयन विश्लेषण

 vn9jna1BdgrzDCYNBJHi09q09q.jpg 
  हाल आधुनिक क्रिप्टो उपयोग के अण्डाकार वक्र क्रिप्टोग्राफिक (ECC), कि एक छोटे कुंजी आकार और गणना शक्ति को कम करने, परंपरागत क्रिप्टो DH (Diffie-Hellman का) या आरएसए (रिवेस्ट, शमीर Adleman और) के रूप में जाना जाता प्रणाली के समकक्ष सुरक्षा ताकत के साथ. 
  हर कोई जानता है कि ECC एन्क्रिप्शन भविष्य के किसी भी एन्क्रिप्शन अनुप्रयोगों के लिए और भी TLS / SSL (एन्क्रिप्शन वेब हासिल करने के लिए प्रयोग किया जाता) ECC के लिए घूम रहा है कि चयनित है. 
  मैं तथाकथित मालिकाना एन्क्रिप्शन उत्पादों "जो से ECC विकल्प भी निर्दिष्ट ECC गोपन की तरह इस्तेमाल किया पाने के बिना मनमाने ढंग से उपयोग ECC बिट कुंजी आकार के लिए करते हैं के साथ चला जाता है आरएसए और DH परित्यक्त बहुत मिला. 
  लेकिन वहाँ एक बहुत अण्डाकार curves के आसपास भ्रम का, अलग नाम और कुंजी आकार एक गैर - क्रिप्टोग्राफी अनुभवी उपयोगकर्ता के लिए मुश्किल बनाने के लिए अपनी खुद की आंकड़ा जब कुछ क्रिप्टो सामान का मूल्यांकन का एक बहुत कुछ के साथ. 
  इतनी दूर तक फैला हुआ भ्रम की वजह से मैं अपना खुद का विश्लेषण करने के लिए बाहर खोजने के लिए जो सबसे अच्छा ECC एन्क्रिप्शन घटता है और सही ECC कुंजी आकार का उपयोग करने का फैसला किया. 
  इस विश्लेषण के लिए विभिन्न घटता है और कुंजी आकार के बीच एक सुरक्षा उद्योग आधारित विकल्प प्रदान करना, गणितीय और क्रिप्टो विश्लेषणात्मक विचार है कि पहले से ही किया गया है साल के दौरान किया जा, कई मानकों और सुरक्षा प्रोटोकॉल में उठाए गए विभिन्न विकल्पों का सारांश. 
  पहला निष्कर्ष 
 मेरे विश्लेषण से केवल निम्नलिखित ECC घटता एन्क्रिप्शन सिस्टम में इस्तेमाल के लिए विचार किया जाना है क्योंकि केवल विभिन्न अधिकारियों के बीच चयनित (एएनएसआई, एनएसए, शिथिलता, NIST, ECC BrainPool), विभिन्न सुरक्षा मानकों प्रोटोकॉल (IPSec, OpenPGP, ZRTP हैं, करबरोस, एसएसएल / टीएलएस) और केवल एक मिलान एनएसए सुइट बी सुरक्षा आवश्यकताओं (de-कार्योत्तर नाटो सैन्य पर्यावरण के लिए भी मानक): 
  •   अण्डाकार प्रधानमंत्री वक्र 256 बिट - P-256 
  •   अण्डाकार प्रधानमंत्री वक्र 384 बिट - पी 384 
  वैकल्पिक साथ, वास्तव में पागल है कि अधिक कुंजी आकार बिट प्राप्त करना चाहते हैं के लिए बस, अब भी माना जाता है उपयोगी नहीं है: 
  •   अण्डाकार प्रधानमंत्री वक्र 521 बिट - पी 521 
  मैं यह कहना चाहते हैं कि Koblitz घटता किसी भी कुंजी आकार में बचा जाना चाहिए (/ 571/409/283 163) के रूप में वे क्रिप्टो विश्लेषणात्मक गतिविधि पर पर्याप्त वारंटी नहीं है और प्रभावी रूप से वे कर रहे हैं: 
  •   एनएसए सुइट बी क्रिप्टोग्राफी चयन का हिस्सा नहीं 
  •   ECC Brainpool चयन का हिस्सा नहीं 
  •   नहीं चयन एएनएसआई X9.62 हिस्सा 
  •   OpenPGP ECC विस्तार चयन का हिस्सा नहीं 
  •  ECC वक्र चयन के लिए हिस्सा नहीं करबरोस विस्तार 
  मैं पाठक को आमंत्रित करने के लिए मेरे विश्लेषण गर्त का पालन करें कि गहरी तकनीकी पृष्ठभूमि के बिना भी लेकिन कम से कम एक अच्छा तकनीकी क्रिप्टोग्राफी की कुछ बुनियादी बिट पृष्ठभूमि के साथ समझा जा सकता है बुनियादी बातों को समझने के लिए. 
 यहाँ हम विश्लेषण के साथ जाओ

 

  मेरा लक्ष्य क्या / कैसे एक विश्लेषण कर रहा है खुला वैज्ञानिक और सुरक्षा समुदाय सुरक्षा प्रोटोकॉल और IETF ने आरएफसी (जो एक खुला और सहकर्मी की समीक्षा में इंटरनेट मानक को परिभाषित) द्वारा निर्धारित मानकों में उपयोग के लिए चयन ECC क्रिप्टो प्रणाली. 
  मौजूदा प्रणाली है कि समझने के लिए क्या उपयोग करने के लिए बेहतर है और क्या बेहतर है बाहर विश्लेषण मिलता में आरएफसी परिचय ECC का एक सेट के नीचे: 
 
  •   RFC5639 : ECC Brainpool मानक घटता और वक्र पीढ़ी 
  •   RFC4869 : IPsec के एनएसए सुइट बी क्रिप्टोग्राफिक सूट 
  •  RFC5430 : एनएसए परिवहन परत सुरक्षा (TLS) के लिए सूट बी प्रोफ़ाइल 
  •   RFC5008 : सुरक्षित / बहुउद्देशीय इंटरनेट मेल एक्सटेंशन में एनएसए सुइट बी (S / MIME) 
  •   RFC3766 : सममित कुंजी का आदान प्रदान के लिए खेतों में प्रयुक्त किए गए सार्वजनिक कुंजी के लिए निर्धारण ताकत 
  •   RFC5349 : अण्डाकार वक्र क्रिप्टोग्राफी करबरोस में प्रारंभिक प्रमाणीकरण के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी (PKINIT) के लिए समर्थन (ECC) 
  •  RFC4492 : अण्डाकार वक्र क्रिप्टोग्राफी (ECC) परिवहन परत सुरक्षा (TLS) के लिए छद्मकरण सूट 
  •   ZRTP आवाज एन्क्रिप्शन फिलिप्पुस Zimmermann ECC वक्र द्वारा 
  •   OpenPGP में ECC (मसौदा घ बेड़ा - jivsov openpgp - ecc-06 ) 
  •   ECC के लिए माइक्रोसॉफ्ट द्वारा चयनित घटता स्मार्ट कार्ड करबरोस लॉग इन 
  हम वैज्ञानिक इंटरनेट सुरक्षा प्रोटोकॉल को परिभाषित करने के लिए हमारे मूल्यांकन के भाग के द्वारा किए गए चुनाव का प्रयोग करेंगे. 
  इसके अतिरिक्त यह समझ में आ जाना चाहिए कि वक्र चयन कि उनकी Curves के अपने चयन किए गए आदेश में उद्योग उपयोग करने के लिए क्या है और क्या छोड़ करने के लिए बताने के लिए विभिन्न अधिकारियों से आता है: 
  हम मानकीकरण एजेंसियों में सुरक्षा आवश्यकताओं को परिभाषित करने के लिए हमारे मूल्यांकन के भाग वैज्ञानिक द्वारा किए गए विकल्प का उपयोग करेगा. 
  इसके अतिरिक्त, कुछ है कि ज्यादातर लोगों को पता नहीं है, लेकिन यह नहीं है कि यह अत्यंत हमारे विश्लेषण के लिए प्रासंगिक है, कि वहाँ ECC वक्र क्रिप्टोग्राफी और उनके "आकार" यह अलग है वक्र के प्रकार पर निर्भर करता है की विभिन्न प्रकार हैं: 
  •   प्रधानमंत्री फील्ड पर ECC घटता (अक्सर अण्डाकार वक्र के रूप में संदर्भित और पी keysize द्वारा प्रतिनिधित्व) 
  •   बाइनरी फील्ड पर ECC घटता (अक्सर Koblitz वक्र के रूप में संदर्भित किया जाता है और कश्मीर keysize द्वारा प्रतिनिधित्व) 
  एक सुरक्षा ताकत अण्डाकार वक्र तुल्यता और Kobliz वक्र अलग कुंजी आकार के है, उदाहरण के लिए जब हम 571 ECC पढ़ें हम ECC 521 प्रधानमंत्री वक्र के लिए एक बराबर शक्ति के साथ Koblitz वक्र की बात कर रहे हैं को देखते हुए. 
 अण्डाकार curves और Kotbliz घटता के बीच शक्ति की तुलना में नीचे की सूचना दी है (से मिकी ECC इंटरनेट ड्राफ्ट ): 
 | Koblitz | ECC | DH / / डीएसए आरएसए
 | 192 | | 1024 163
 | 256 | | 3072 283
 | 384 | | 7680 409
 | 521 ​​| | 15,360 571

  नीचे वहाँ सभी विभिन्न संस्थाओं और उनके संबंधित नाम (से सभी चयनित घटता के एक तुलना है टीएलएस के लिए ECC उपयोग के लिए RFC4492 IETF ): 
 वक्र विभिन्न मानकों ------------ संगठनों + --------------- + ------------- SECG द्वारा चुना नाम | एएनएसआई X9.62 | ------------ NIST है + --------------- + ------------- sect163k1 | NIST है कश्मीर - 163 sect163r1 | | sect163r2 | | NIST है बी - 163 sect193r1 | | sect193r2 | | sect233k1 | | NIST-K 233 sect233r1 | NIST है | बी -233 sect239k1 | | sect283k1 | | NIST-K 283 sect283r1 | | NIST है बी 283 sect409k1 | | NIST-K 409 sect409r1 | | NIST है बी 409 sect571k1 | | NIST-K 571 sect571r1 | NIST है बी-571 secp160k1 | | | secp160r1 | | secp160r2 | | secp192k1 | | secp192r1 | prime192v1 | NIST से पी से 192 secp224k1 | | secp224r1 |​​ | NIST है पी 224 secp256k1 | | secp256r1 | prime256v1 | NIST है पी 256 secp384r1 | | NIST है पी 384 secp521r1 | | NIST है पी 521 ------------ + + -------------- ------------- 
  क्या तुरंत दिखाई है कि वहाँ केवल दो से घटता सभी अधिकारियों द्वारा चयनित हैं, और है कि वहाँ केवल सामान्यतः 3 अधिकारियों के बीच सहमति ANSI.The द्वारा koblitz घटता के एक का डंपिंग सामान्य है निम्नलिखित दो ECC वक्र हैं: 
  •   secp192r1 / prime192v1 / NIST है पी - 192 
  •   secp256r1 / prime256v1 / P-256 NIST है 
  RFC5430 टीएलएस के लिए ECC है वक्र के उन लोगों के चयन की पूरी तरह से छोड़ दिया koblitz घटता है और केवल उपयोग के लिए चयनित 
  •   P-256, पी 384, पी 521 
  ECC Brainpool पूरी तरह से छोड़ दिया Koblitz घटता और निम्नलिखित ECC घटता उपयोग के लिए चयनित 
  •   P-160, पी 192, पी 224, पी-256, P-320, पी 384, पी - 512 (है कि केवल विशेष है क्योंकि यह पी 521 लेकिन P-512, नहीं है कुंजी आकार केवल द्वारा संदर्भित ECC brainpool से tnx इयान सिमंस एथेना अनुसूचित जातियों ) 
  पीजीपी घ में OpenPGP ECC उपयोग के लिए इंटरनेट का मसौदा पूरी तरह से छोड़ दिया बेड़ा - jivsov openpgp - ecc-06 Koblitz घटता है और निम्नलिखित ECC घटता चयनित 
  •   P-256, पी 384, पी 521 
  ECC उपयोग के लिए Kerberos प्रोटोकॉल एक्सटेंशन, पूरी तरह से छोड़ दिया RFC5349 में परिभाषित और स्मार्ट कार्ड के लिए माइक्रोसॉफ्ट द्वारा परिभाषित लॉगऑन Koblitz घटता है और निम्नलिखित ECC घटता चयनित: 
  •   P-256, पी 384, पी 521 
  तो, स्पष्ट लगता है कि ECC का सही चयन P-256, पी 384 और पी 521 के लिए है जबकि Koblitz वक्र शीर्ष गुप्त उपयोग करने के लिए और किसी भी सुरक्षा के प्रति संवेदनशील प्रोटोकॉल के लिए छोड़ दिया गया है (IPSec, OpenPGP, ZRTP, करबरोस, एसएसएल /) TLS. 
  मैं इस विश्लेषण को क्यों बनाया? 
  मैं मैं कुछ आवाज एन्क्रिप्शन, कस्टम और मालिकाना प्रोटोकॉल है कि सभी अण्डाकार वक्र डिफ्फी 571 बिट हेलमैन / ECDH 571/571 बिट / ECDH Koblitz 571 बिट का उपयोग कर रहे हैं पर आधारित उत्पादों के बारे में था एक चर्चा के बाद इस विश्लेषण किया है. 
  उन सभी K-571 का उपयोग कर रहे हैं कि, के रूप में पहले वर्णित है, सभी सुरक्षा के संवेदनशील पर्यावरण और प्रोटोकॉल से हटा दिया गया है और अपने आप आवाज एन्क्रिप्शन सामान की एक डिजाइनर मुझे लगता है कि उनके क्रिप्टोग्राफ़िक पसंद बिल्कुल सबसे अच्छा सुरक्षा पसंद नहीं किया जा रहा है. 
  शायद यह विपणन उद्देश्य के लिए किया है, क्योंकि कश्मीर - 571 (Koblitz वक्र) पी - 521 (अण्डाकार वक्र प्रधानमंत्री संख्या के आधार पर) की तुलना में मजबूत लगता है.  यदि आप थोड़ा और अधिक आपके विपणन लोग अधिक सुरक्षित का दावा कर सकते हैं.  Koblitz अण्डाकार वक्र शीर्ष गुप्त सक्षम प्रधानमंत्री अण्डाकार वक्र की तुलना में तेजी से कर रहे हैं और उत्पाद प्रबंधक यह अपने उत्पाद में अधिक बिट "प्रदान करते हुए कुंजी विनिमय उपवास रखने का मौका दे. 
  यह दार्शनिक पसंद की बात है. 
 मैं अपने आप को एक क्रिप्टोग्राफ़िक विशेषज्ञ, समग्र सुरक्षा और वैज्ञानिक समुदाय खुद से knowledgable पर विचार करने के लिए नहीं की विनम्रता के साथ वैज्ञानिक समुदाय की प्रवृत्ति का पालन करने के लिए पसंद करते हैं. 
  मैं बजाय केवल एल्गोरिदम कि अत्यधिक संवेदनशील वातावरण में उपयोग (गोपनीय वर्गीकरण), है कि सभी अधिकारियों और समूह काम कर रहे एन्क्रिप्शन एल्गोरिदम बाहर वहाँ मौजूदा विश्लेषण के द्वारा चुना गया है और है कि लगभग सभी मानक सुरक्षा के विकल्प का प्रतिनिधित्व करते हैं के लिए अनुमोदित कर रहे हैं का उपयोग पसंद प्रोटोकॉल (IPSec, OpenPGP, ZRTP, करबरोस, SSL / TLS, आदि). 
  मैं क्रिप्टो मैं उपयोग करते हैं कि जाँच लें कि वास्तव में सुरक्षित है, कि मूल्यांकन कि वहाँ कुछ कमजोरी है पर काम कर दिमाग की राशि गिनने के लिए पसंद करते हैं. 
  व्यापक रूप से विसरित क्रिप्टोप्लग पर काम कर रहे brais की संख्या और क्रिप्टो पर काम कर दिमाग सिर्फ कुछ लोगों को (Koblitz वक्र की तरह) द्वारा इस्तेमाल की संख्या से अधिक परिमाण के आदेश के हैं. 
  तो मैं दुष्प्रचार जो 571 ECDH उपयोग Koblitz वक्र का उपयोग नहीं कर रहा हूँ लेकिन मैं यकीन के लिए वाणी कर सकते हैं कि वे सुरक्षा के मामले में सबसे अच्छा विकल्प नहीं लिया था, और किसी भी सुरक्षा के एक सुरक्षा बेंच मार्किंग कर पेशेवरों तथ्य यह है कि अण्डाकार वक्र डिफ्फी 571 हेलमैन पर विचार करेंगे कि बिट Koblitz वक्र के साथ किया गया है व्यापक रूप से दूर तक फैला हुआ नहीं है, यह मानक सुरक्षा प्रोटोकॉल से फेंक दिया है और यह शीर्ष गुप्त उपयोग के लिए प्रमाणित नहीं है. 
शेयर 
					
					  
					
					
  by naif . 26 सितम्बर 2010 पर पोस्ट द्वारा भोला - भाला .  इस प्रविष्टि में पोस्ट किया गया , प्रौद्योगिकी और सुरक्षा टैग  ,  ,  .  बुकमार्क permalink . 
  3 टिप्पणियाँ 
  •   1 
      बदमाश 
      23 अक्टूबर 2010 12:32 बजे | Permalink 
      मैं सिर्फ अपने ब्लॉगों आरएसएस फ़ीड के लिए साइन अप.  आप इस विषय पर और अधिक पोस्ट करेंगे? 
  •   2 
      इयान सीमन्स 
      27 अक्टूबर 2010 - 12:57 हूँ | Permalink 
      मेरा मानना ​​है कि इस लेख में एक दोष है.  Brainpool ECC ECC एफपी 512 - बिट कुंजी नहीं बिट 521 निर्दिष्ट.  RFC5639 2.2 अनुभाग देखें.  तकनीकी आवश्यकताएँ एक गोली. 
  •   3 
      Mathias Brossard 
      26 मई 2011 - 10:46 हूँ | Permalink 
      RFC5639 में देख और Brainpool साइट के बाद, मैं बहुत यकीन है कि Brainpool पी - घटता ही SECG, X9.62, NIST से नहीं कर रहे हैं रहा हूँ.  वे एक बहुत ही इसी तरह की पद्धति का उपयोग कर रहे हैं, लेकिन एक ही आकार (521 बिट के बजाय 512 बिट्स के लिए छोड़कर) का उपयोग करने के लिए नए घटता उत्पन्न चुना.  वे सुधार सुरक्षा का हवाला देते है, 'पी' है कि कोई विशेष (पेटेंट तेजी से गणित से बचने के) फार्म और NIST है (ने कहा कि स्पष्ट रूप से नहीं) घटता है कि विभिन्न बीज के लिए कोई स्पष्टीकरण नहीं है की एक सामान्य अविश्वास के लिए एक मूल्य का उपयोग कर. 
    •   एक उत्तर दें छोड़ दो  
      आपका ईमेल पता प्रकाशित नहीं किया जाएगा.  आवश्यक फ़ील्ड * चिह्नित हैं 
       * 
       
       
     आप इन HTML टैग और विशेषताओं का उपयोग कर सकते हैं: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>