Meine eigene Kurve ECC Sicherheit und Auswahl Analyse

Die meisten modernen Krypto Verwendung elliptischer Kurven Cryptographic (ECC), dass mit einem kleineren Schlüssel Größe und Rechenleistung zu reduzieren, geben gleichwertige Sicherheit Stärke der traditionellen Krypto-System als DH (Diffie-Hellman) oder RSA (Rivest, Shamir und Adleman) bekannt.

Nicht jeder weiß, dass ECC-Verschlüsselung für alle zukünftigen Anwendungen und Verschlüsselung, dass auch TLS / SSL (Verschlüsselung zur Sicherung der Web verwendet wird) zu bewegen ECC ausgewählt ist.

Ich fand viele so genannte "proprietäre Verschlüsselung Produkte", die RSA und DH geht mit ECC Alternativen, die zu willkürlichen Gebrauch ECC Bit-Schlüssel neigen, ohne auch nur angeben, welche Art von ECC Krypto gewöhnen aufgegeben.

Allerdings gibt es eine Menge Verwirrung um elliptischen Kurven, mit vielen verschiedenen Namen und Schlüsselgröße was für eine nicht-kryptographisch erfahrene Anwender schwierig, Ihre eigene Figur zu machen, wenn der Auswertung einer Krypto-Zeug.

Weil so diffuses Durcheinander habe ich beschlossen, meine eigene Analyse machen, um herauszufinden, welche sind die besten ECC-Verschlüsselung Kurven und rechts ECC-Schlüssel Größe zu verwenden.

Diese Analyse möchte einen Security-Branche basierte Wahl unter den verschiedenen Kurven und Schlüssellängen bieten, so dass die mathematischen und analytischen Überlegungen Krypto können, die bereits in den Jahren getan wurde, fasst die verschiedenen Möglichkeiten in verschiedenen Standards und Sicherheitsprotokolle gemacht.

Zunächst wird die Schlussfolgerung.

Aus meiner Analyse nur die folgenden ECC Kurven sind für den Einsatz in Verschlüsselungssysteme betrachtet werden, da der einzige unter den verschiedenen Behörden ausgewählt (ANSI, NSA, SAG, NIST, ECC Brainpool), verschiedene Sicherheits-Protokoll-Standards (IPSec, OpenPGP, ZRTP sind, Kerberos, SSL / TLS) und die einzige passende NSA Suite B Sicherheitsanforderungen (de-facto-Standard auch für die NATO militärische Umwelt):

• Elliptische Prime Curve 256 bit - P-256
• Elliptische Prime Curve 384 Bit - P-384

mit optional, nur für wirklich paranoid, die mehr Bit Schlüssellänge erhalten möchten, noch nicht als nützlich erweisen:

• Elliptische Prime Curve 521 Bit - P-521

Ich möchte feststellen, dass Koblitz Kurven vermieden sollte in jedem Schlüsselgröße werden (163/283/409/571), da sie nicht genügend Garantie auf Krypto analytischen Tätigkeit und effektiv sie sind:

• Nicht Bestandteil der NSA Suite B-Kryptographie Auswahl
• Nicht Teil des ECC Brainpool Auswahl
• Nicht Teil des ANSI X9.62 Auswahl
• Nicht Teil des OpenPGP ECC Erweiterung Auswahl
• Nicht Teil des Kerberos-Erweiterung für ECC-Kurve Auswahl

Ich lade den Leser bis zur Talsohle folgen meine Analyse, um die Grundlagen, die auch ohne tiefe technische Hintergrund, aber zumindest mit einem guten technischen Hintergrund ein paar grundlegende bisschen Kryptographie verstanden werden könnte verstehen.

 Hier haben wir mit der Analyse gehen

Mein Ziel ist es, eine Analyse auf was / wie machen die offene wissenschaftliche und Sicherheitsgemeinschaft choose ECC Krypto-System für den Einsatz in Sicherheits-Protokolle und Standards IETF RFC (diejenigen, die Internet-Standards in einer offenen und Peer-Review zu definieren) definiert.

Unterhalb einer Reihe von RFC Einführen ECC in bestehende System, das analysiert, um zu verstehen, was ist besser zu bedienen und was ist besser zu verstehen lernen:

• RFC5639 : ECC Brainpool Standard-Kurven & Curve-Generation
• RFC4869 : NSA Suite B Cryptographic Suites für IPsec
• RFC5430 : NSA Suite B Profil von Transport Layer Security (TLS)
• RFC5008 : NSA Suite B in in Secure / Multipurpose Internet Mail Extensions (S / MIME)
• RFC3766 : Bestimmende Stärken für öffentliche Schlüssel für den Austausch von symmetrischen Schlüsseln Gebrauchtwagen
• RFC5349 : Elliptic Curve Cryptography (ECC) Unterstützung für Public Key Cryptography für Initial Authentication in Kerberos (PKINIT)
• RFC4492 : Elliptic Curve Cryptography (ECC) Cipher Suites für Transport Layer Security (TLS)
• ZRTP Stimme Verschlüsselung von Philip Zimmermann ECC Kurve
• ECC in OpenPGP (Entwurf d Floß-jivsov-openpgp-ecc-06 )
• ECC Curves von Microsoft für ausgewählte Smartcard Kerberos-Login

Wir werden die Wahl durch Wissenschaftler definieren Internet Security Protocols ein Teil unserer Auswertung zu machen hat.
Zusätzlich muss man verstehen, dass die Curve Auswahl aus verschiedenen Behörden, die ihre eigene Auswahl von Kurven vorgenommen, um für die Industrie, was zu verwenden und was zu sagen, kommt überspringen werden:

• US NIST (US National Institute of Standards) mit 186-2 (vor kurzem ersetzt im Jahr 2009 durch die neue 186-3 )
• US ANSI (American National Standard Institute) mit X9.62
• US NSA (National Security Agency) Suite-B Cryptography für TOP SECRET Informationsaustausch
• Internationale SACG (Standards für die effiziente Kryptographie-Gruppe) mit elliptischen Kurven Empfohlen Domain Parameter
• Deutsch ECC Brainpool withECC Brainpool mit ihren hohen Sicherheitsanforderungen
• ECC Interoperability Forum von Certicom, Microsoft, Redhat, Sonne, NSA zusammen

Wir werden die Wahl durch Wissenschaftler Festlegung der Sicherheitsanforderungen in der Standardisierung Agenturen Teil unserer Auswertung zu machen hat.
Darüber hinaus etwas, das die meisten Menschen nicht wissen, aber das ist es extrem relevant für unsere Analyse ist, dass es verschiedene Arten von ECC-Kurven-Kryptographie und ihre "Größe", es ist unterschiedlich, je nach der Art der Kurve:

• ECC Kurven über Prime Field (oft als elliptischer Kurven bezeichnet und durch P-Schlüssellänge)
• ECC Kurven über Binary Field (oft als Koblitz Curve genannt und vertreten durch K-Schlüssellänge)

Bei einer Sicherheitsstärke Gleichwertigkeit der elliptischen Kurve und die Kurve Kobliz unterschiedliche Schlüssel Größe, zum Beispiel, wenn wir ECC 571 lesen wir auf Koblitz Curve Bezug mit einer äquivalenten Kraft ECC 521 Prime Kurve.

Ein Vergleich der Stärke zwischen elliptischen Kurven und Kotbliz Curves ist unten (ab gemeldet Mikey ECC Internet Draft ):

 | Koblitz | ECC | DH / DSA / RSA
 | 163 | 192 | 1024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
 | 571 | 521 ​​| 15360

Unten gibt es einen Vergleich aller ausgewählten Kurven, die durch all die verschiedenen Einheiten und ihre jeweiligen Namen (von IETF RFC4492 für ECC Nutzung für TLS ):

 Curve Namen von verschiedenen Normungsgremien gewählt
 ------------ + --------------- + -------------
 SECG | ANSI X9.62 | NIST
 ------------ + --------------- + -------------
 sect163k1 | | NIST K-163
 sect163r1 | |
 sect163r2 | | NIST B-163
 sect193r1 | |
 sect193r2 | |
 sect233k1 | | NIST K-233
 sect233r1 | | NIST B-233
 sect239k1 | |
 sect283k1 | | NIST K-283
 sect283r1 | | NIST B-283
 sect409k1 | | NIST K-409
 sect409r1 | | NIST B-409
 sect571k1 | | NIST K-571
 sect571r1 | | NIST B-571
 secp160k1 | |
 secp160r1 | |
 secp160r2 | |
 secp192k1 | |
 secp192r1 | prime192v1 | NIST P-192
 secp224k1 | |
 secp224r1 |​​ | NIST P-224
 secp256k1 | |
 secp256r1 | prime256v1 | NIST P-256
 secp384r1 | | NIST P-384
 secp521r1 | | NIST P-521
 ------------ + --------------- + -------------

Was sofort angezeigt ist, dass es nur zwei Kurven, die von allen Behörden ausgewählt, und dass es eine allgemeine Dumping von Koblitz Kurven ANSI.The nur allgemein unter den 3 Behörden vereinbart sind die beiden folgenden ECC-Kurve:

• secp192r1 / prime192v1 / NIST P-192
• secp256r1 / prime256v1 / NIST P-256

Von den Auswahl von ECC-Kurve für die TLS RFC5430 übersprungen vollständig Koblitz Kurven und ausgewählt für die Nutzung nur:

• P-256, P-384, P-521

Die ECC Brainpool übersprungen vollständig Koblitz Kurven und ausgewählt für die Nutzung der folgenden ECC Curves:

• P-160, P-192, P-224, P-256, P-320, P-384, P-512 (das ist der einzige insbesondere weil es nicht P-521, aber P-512, der einzige Schlüssel-Größe bezeichnet durch ECC brainpool. Tnx Ian Simons von Athena SCS )

Der OpenPGP Internet Entwurf für ECC-Nutzung in PGP d Floß-jivsov-openpgp-ecc-06 komplett übersprungen Koblitz Kurven und wählte die folgenden ECC-Kurven

• P-256, P-384, P-521

Das Kerberos-Protokoll-Erweiterung für ECC Einsatz, definiert in RFC5349 definiert und von Microsoft für Smartcard-Anmeldung übersprungen vollständig Koblitz Kurven und wählte die folgenden ECC-Kurven:

• P-256, P-384, P-521

So klingt klar, dass die richtige Auswahl der ECC für P-256, P-384 und P-521 ist, während die Kurve für Koblitz Top Secret Gebrauch und für jeden sicherheitsrelevanten Protokoll übersprungen wurden (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS).

Ich habe diese Analyse im Anschluss an eine Diskussion i bezüglich bestimmter Stimme Verschlüsselung Produkte, alle basierend auf Sitte und proprietäre Protokolle, die alle verwenden elliptischer Kurven Diffie Hellman 571 bit / ECDH 571/571-bit ECDH / Koblitz 571 Bits getan hatte.
All diese sind mit der K-571, dass, wie zuvor beschrieben, hat von allen sicherheitsrelevanten Umfeld und Protokolle entfernt worden und ich selbst ein Designer von Sprach-Verschlüsselung Sachen denke ich, dass ihre kryptografischen Wahl ist absolut nicht die beste Wahl Sicherheit.
Wahrscheinlich ist es gerade für Marketing-Zwecke getan, weil K-571 (Koblitz Kurve) scheint stärker als P-521 (elliptische Kurve auf Prime Zahl basiert). Wenn Sie "mehr Bit" Ihre Marketing-Jungs können Anspruch auf "mehr Sicherheit". Koblitz elliptischen Kurve sind schneller als die top secret aktiviert prime elliptischen Kurve und so geben dem Produkt-Manager eine Chance, "mehr Bit" in einem eigenen Produkt zu liefern, während der Schlüssel-Austausch schnell.

Es ist eine Frage der philosophischen Wahl.

Ich bevorzuge es, die Entwicklung der wissenschaftlichen Gemeinschaft mit der Demut nicht auf die Prüfung selbst eine kryptographische Experte, kenntnisreich über die allgemeine Sicherheit und die wissenschaftliche Gemeinschaft selbst zu folgen.

Ich bevorzuge stattdessen nur Algorithmen, die für den Einsatz in hochsensiblen Umgebungen (top secret Klassifikation), die von allen Behörden und Arbeitsgruppe analysiert Verschlüsselungsalgorithmen bestehenden out-there ausgewählt wurden und die die Wahl von fast allen Standard-Sicherheit darstellen genehmigt werden verwenden Protokolle (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS, etc).
Ich bevorzuge es, die Menge der Gehirne arbeiten auf der Krypto-i verwenden, dass der Check, die wirklich sicher ist, der angibt, ob es irgendeine Schwäche werten zählen.

Die Zahl der Brais arbeiten Crypto weit verbreitet sind der Größenordnung mehr als die Anzahl der Gehirne arbeiten Krypto durch nur wenige Leute (wie Koblitz Kurve) verwendet.
Also ich bin nicht verteufeln, die ECDH 571 verwenden mit Koblitz Curve, aber sicher kann ich versichern, dass sie nicht die beste Wahl in Bezug auf die Sicherheit genommen und, dass alle Sicherheits-Fachleute, die eine Sicherheit Benchmarking würde die Tatsache, dass elliptische Curve Diffie Hellman 571 betrachten Bit mit Koblitz Curve getan ist nicht weit verbreitet, ist es von Standard-Sicherheitsprotokolle geworfen und es ist nicht für top secret Verwendung zertifiziert.