Мой собственный безопасности и выбор ECC кривая анализ

Большинство современных Crypto использование криптографии эллиптических кривых (ECC), что, с меньшим размером ключа и уменьшить вычислительную мощность, обеспечения эквивалентной прочности безопасности традиционной системы криптографической известный как DH (Диффи-Хеллмана или RSA) (Rivest, Shamir и Adleman).

Не все знают, что шифрование ECC выбран для любых будущих приложений шифрования и что даже TLS / SSL (шифрование используется для защиты веб) движется к ECC.

Я нашел много так называемых «патентованных продуктов шифрования", которые отказались RSA и DH, чтобы идет с альтернативами ECC, что, как правило, произвольное использование ECC битным ключом размера, даже не указав, какой вид ECC Crypto привыкнуть.

Однако существует много путаницы вокруг эллиптических кривых, с большим количеством различных имен и размер ключа делает трудным для не-криптографически-опытного потребителя, чтобы сделать свой ​​собственный рисунок при оценке некоторое крипто вещей.

Потому что так рассеянном путаницы я решил сделать свой собственный анализ, чтобы выяснить, какие самые лучшие кривые шифрования ECC и право размер ключа ECC для использования.

Этот анализ хотели бы предоставить выбор, основанный индустрии безопасности среди различных кривых и ключевых размеров, оставляя математические и крипто аналитические соображения, которые уже были сделаны в годы, подводя различные варианты, принятые в нескольких стандартах и ​​протоколах безопасности.

Первый вывод.

От моего анализа только следующие кривые ECC должны быть рассмотрены для использования в системах шифрования, потому что единственный выбран среди различных органов (ANSI, АНБ, SAG, NIST, ECC Brainpool), различных стандартов протоколов безопасности (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS) и только один соответствующий требованиям безопасности NSA Suite B (стандарт де-факто также для военной среде НАТО):

• Эллиптические премьер Кривая 256 бит - P-256
• Эллиптические премьер Кривая 384 бит - P-384

с дополнительным, только для действительно параноик, что хотите получить больше размер ключа немного, до сих пор не считает полезным:

• Эллиптические премьер Кривая 521 бит - P-521

Я хотел бы заявить, что кривые Köblitz следует избегать в любом размером ключа (163/283/409/571), так как они не имеют достаточно гарантию на крипто аналитической деятельности и эффективно они:

• Не является частью NSA Suite-B отбора криптографии
• Не является частью отбора ECC Brainpool
• Не является частью отбора ANSI X9.62
• Не является частью OpenPGP ECC выбора расширения
• Не является частью расширения Kerberos для выбора кривой ECC

Я приглашаю читателя следовать корыта мой анализ, чтобы понять основы, которые могут быть поняты даже без глубокого технического фоне, но, по крайней мере с хорошей технологической базой в некоторые основные битной криптографии.

 Здесь мы идем с анализа

Моя цель, чтобы сделать анализ на что / как открытая научная и безопасность сообщество выбрать ECC систему шифрования для использования в протоколы безопасности и стандартами, определенными IETF RFC (те, которые определяют стандарты Интернет в открытом и рецензируемых образом).

Ниже набора RFC введения ECC в существующую систему, которые получают анализируемого понять, что лучше использовать, а что лучше исключить:

• RFC5639 : ECC Brainpool Стандартные кривые и поколение Curve
• RFC4869 : NSA Suite B Криптографическая люкс для IPsec
• RFC5430 : профиль B NSA Сюита для Transport Layer Security (TLS)
• RFC5008 : NSA Suite B в в Secure / Multipurpose Internet Mail Extensions (S / MIME)
• RFC3766 : Определение Сильные открытых ключей, используемый для обмена симметричными ключами
• RFC5349 : Криптография на эллиптических кривых (ECC) Поддержка криптографии Общественного для начальной аутентификации в Kerberos (PKINIT)
• RFC4492 : Криптография на эллиптических кривых (ECC) Cipher Suites для Transport Layer Security (TLS)
• ZRTP голос шифрования по Филипп Циммерманн ECC кривой
• ECC в OpenPGP (проект г плот-jivsov-OpenPGP-ECC-06 )
• ECC Кривые выбранные Microsoft для смарт-карт Kerberos логин

Мы будем использовать выбор, сделанный ученого, определяющего Интернет протоколы безопасности, чтобы сделать часть нашей оценки.
Кроме того, он должен понимать, что выбор Кривая приходит из разных органов, которые сделали свой ​​собственный выбор кривых для того, чтобы рассказать в промышленности, что использовать, а что пропустить:

• США NIST (Национальный институт стандартов) с 186-2 (недавно замененный в 2009 году новой 186-3 )
• США ANSI (Американский национальный стандарт институт) с X9.62
• США АНБ (Агентство национальной безопасности) Люкс-B криптографии для СОВЕРШЕННО СЕКРЕТНО обмена информацией
• Международная SACG (стандарты для эффективного криптографии группы) с Рекомендуемая эллиптической кривой параметров доменных
• Немецкий ECC Brainpool withECC Brainpool с их строгим требованиям безопасности
• ECC Interoperability Forum состоит Certicom, Microsoft, RedHat, Sun, АНБ

Мы будем использовать выбор, сделанный требований безопасности ученых определении в органах стандартизации, чтобы сделать часть нашей оценки.
Кроме того, то, что большинство людей не знает, но что это чрезвычайно важны для нашего анализа, то, что есть другой вид ECC кривой криптографии и их "размер" Это отличается в зависимости от вида кривой:

• ECC кривых над премьер-Филд (часто называемые также эллиптических кривых и представленные P-размер ключа)
• ECC кривых над бинарным полем (часто называемые также Köblitz Curve и представленные K-размер ключа)

Учитывая прочность безопасности эквивалентности эллиптических кривых и Kobliz Кривая имеют разную длину ключа, например, когда мы читаем ECC 571 мы имеем в виду Köblitz Curve с эквивалентным прочности к ECC 521 премьер кривой.

Сравнение силы между эллиптических кривых и Kotbliz кривых приводится ниже (от Майки ECC Интернет Проект ):

 | Коблиц | ECC | DH / DSA / RSA
 | 163 | 192 | 1024
 | 283 | 256 | 3072
 | 409 | 384 | 7680
 | 571 | 521 ​​| 15360

Ниже есть сравнение всех выбранных кривых всеми различными подразделениями и их соответствующим названием (от IETF RFC4492 для использования ECC для TLS ):

 Имена выбранной кривой разными организациями по стандартизации ------------ + --------------- + ------------- SECG | ANSI X9.62 | NIST ------------ + --------------- + ------------- sect163k1 | | NIST К-163 sect163r1 | | sect163r2 | | NIST B-163 sect193r1 | | sect193r2 | | sect233k1 | | NIST К-233 sect233r1 | | NIST B-233 sect239k1 | | sect283k1 | | NIST К-283 sect283r1 | | NIST B-283 sect409k1 | | NIST К-409 sect409r1 | | NIST B-409 sect571k1 | | NIST К-571 sect571r1 | | NIST B-571 secp160k1 | | secp160r1 | | secp160r2 | | secp192k1 | | secp192r1 | prime192v1 | NIST Р 192 secp224k1 | | secp224r1 |​​ | NIST P-224 secp256k1 | | secp256r1 | prime256v1 | NIST P-256 secp384r1 | | NIST P-384 secp521r1 | | NIST P-521 ------------ + - -------------- + ------------- 

Что сразу появляются в том, что есть только два кривые выбранных всеми органами, и что существует общая захоронения Köblitz кривых по ANSI.The только общепринятых среди 3 властями являются два кривую ECC:

• secp192r1 / prime192v1 / NIST P-192
• secp256r1 / prime256v1 / NIST P-256

Из этих отбора ECC кривой для TLS RFC5430 пропускается полностью Köblitz кривые и выбран только для использования:

• P-256, P-384, P-521

ECC Brainpool пропускается полностью кривые Köblitz и отобраны для использования следующие ECC Кривые:

• P-160, P-192, P-224, P-256, P-320, P-384, P-512 (это единственный частности, потому что это не P-521, но P-512, единственный ключ-размер отнесено ECC Brainpool. Tnx Ян Саймонс из Athena СКС )

Интернет проект OpenPGP для использования ECC в PGP д плот-jivsov-OpenPGP-ECC-06 пропускается полностью кривые Köblitz и выбрали следующие кривые ECC

• P-256, P-384, P-521

Расширение Kerberos протокол для ECC использования, определяется в RFC5349 и определяется Microsoft для смарт-карт для входа пропускается полностью кривые Köblitz и выбрали следующие кривые ECC:

• P-256, P-384, P-521

Так, звучит ясно, что правильный выбор ECC для P-256, P-384 и P-521 в то время как кривая Коблиц были пропущены для Top Secret использовать и для любого безопасности чувствительной протокола (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS).

Я сделал этот анализ после обсуждения я имел в отношении некоторых продуктов голос шифрования, все они основаны на пользовательских и собственных протоколов, которые все с использованием эллиптических кривых Диффи Хеллмана 571 бит / ECDH 571/571-бит ECDH / Коблиц 571 бит.
Все они используют K-571, что, как описано выше, была удалена из всех чувствительному окружающей среды и протоколов и быть себе дизайнер голос шифрования вещи, я думаю, что их криптографической выбор абсолютно не самый лучший выбор безопасности.
Вероятно, это было сделано только для маркетинговых целей, так как К-571 (Коблиц кривая) кажется более сильным, чем P-521 (эллиптической кривой, основанной на простое число). Если у вас есть "более немного" ваши маркетинговые ребята могут претендовать на "более безопасным". Коблиц эллиптическая кривая быстрее, чем сверхсекретной поддержкой премьер-эллиптической кривой и так дать менеджер по продукции имели возможность предоставить "больше бит" в своем собственном продукте, сохраняя при этом обмен ключами быстро.

Это вопрос философского выбора.

Я предпочитаю следовать тенденции научного сообщества с смирении не считая себя криптографический эксперт, осведомленный больше, чем общий безопасности и самого научного сообщества.

Я предпочитаю вместо этого использовать только алгоритмы, которые утверждены для использования в высокочувствительных средах (совершенно секретно), наконец, которые были выбраны на всех органов и рабочих алгоритмов шифрования группа анализа существующих вне там и что представляют собой выбор почти все стандарт безопасности протоколы (IPSec, OpenPGP, ZRTP, Kerberos, SSL / TLS, и т.д.).
Я предпочитаю, чтобы подсчитать количество мозгов, работающих на крипто я использую, что регистрация, что действительно безопасным, что оценить, есть ли некоторые слабости.

Количество Brais работающих на Crypto широко рассеянного имеют порядок больше, чем количество мозгов, работающих на крипто используемой нескольких человек (как Köblitz кривой).
Так я не демонизировать, кто использует ECDH 571, используя Köblitz Curve, но наверняка я могу утверждать, что они не приняли лучший выбор с точки зрения безопасности и что любые специалисты в области безопасности, делающие бенчмаркинга безопасности будет учитывать тот факт, что на эллиптических кривых Диффи Хеллмана 571 немного сделано с Köblitz Curve не широко распространено, это сбрасывали от стандартных протоколов безопасности, и это не сертифицированы для сверхсекретной использования.