Eliptik Eğri Kriptografisi

Tanım

Eliptik eğri kriptografisi, temel grubu sonlu bir alan üzerindeki eliptik bir eğri üzerindeki noktalar kümesi olan ve güvenliği eliptik eğri ayrık logaritma probleminin zorluğuna dayanan açık anahtarlı bir kriptografi türüdür.

Kapsam

Bu kapsam, sonlu alanlar üzerindeki eliptik eğri grup yasasını, eliptik eğri ayrık logaritma problemini ve bunlar üzerine inşa edilen şemaları ele almaktadır: eliptik eğri Diffie-Hellman (ECDH), ECDSA ve EdDSA imza şemaları ve Curve25519 gibi modern eğriler. Eliptik eğri ayrık logaritmalarının neden sonlu alan logaritmalarından daha zor olduğunu (üstel altı indeks hesaplaması olmaması) ve ECDSA'da nonce yeniden kullanımı gibi uygulama endişelerini incelemektedir. Kardeş konularda ele alınan RSA ve sonlu alan ayrık logaritma şemalarını içermemektedir.

Temel sorular

• Eliptik bir eğri üzerindeki noktaların geometrik toplaması nasıl bir kriptografik grup oluşturmaktadır?
• Eliptik eğri ayrık logaritması, sonlu alan analogundan neden daha zordur ve daha küçük anahtarlara izin vermektedir?
• Diffie-Hellman ve dijital imzalar eliptik eğriler üzerinde nasıl örneklendirilmektedir?
• Curve25519 gibi modern eğrileri, eski NIST eğrilerine göre uygulaması daha güvenli kılan nedir?
• ECDSA'da imza başına nonce benzersizliği neden kritik öneme sahiptir?

Anahtar kavramlar

• eliptik eğri grup yasası
• skaler çarpım
• eliptik eğri ayrık logaritma problemi
• ECDH
• ECDSA
• EdDSA ve Ed25519
• Curve25519
• nonce yeniden kullanım güvenlik açığı
• anahtar boyutu ve RSA karşılaştırması

Temel kuramlar

Eliptik eğri ayrık logaritma problemi

Bir eğri üzerinde P ve Q = kP noktaları verildiğinde, iyi seçilmiş eğriler için skaler k'yi geri elde etmenin tam üstel çaba gerektirdiğine inanılmaktadır, çünkü sonlu alan ayrık logaritmalarını zayıflatan indeks-hesaplama saldırıları uygulanamamaktadır.

Eşit güvenlik için daha küçük anahtarlar

Eliptik eğri ayrık logaritmalarına yönelik en iyi saldırılar genel karekök algoritmaları olduğundan, 256-bitlik bir eliptik eğri yaklaşık 128-bit güvenlik sağlamaktadır — bu da 3072-bit RSA ile karşılaştırılabilir düzeydedir — böylece daha hızlı işlemler ve daha küçük anahtarlar ve imzalar elde edilmektedir.

Mekanizmalar

Sonlu bir alan üzerindeki eliptik bir eğri üzerindeki noktalar, geometrik bir toplama yasası altında bir Abel grubu oluşturmaktadır; bir taban noktası P'yi k kez kendisine tekrar tekrar eklemek (skaler çarpım, kP) verimli olmakla birlikte, kP'den k'yi geri elde etmek zor bir problemdir. ECDH, bir taban noktasının skaler katlarını değiştirerek Diffie-Hellman'ı gerçekleştirmektedir; ECDSA ve EdDSA, mesaj başına bir skalerden (bir nonce) imzalar üretmektedir — bu skalerin tekrarlanması veya tahmin edilebilir olması durumunda, birçok gerçek ihlalin gösterdiği gibi, özel anahtarı sızdırmaktadır.

Klinik önem

ECC, yeni sistemler için varsayılan açık anahtar seçimidir: ECDHE, TLS 1.3'te ileri gizli anahtar değişimi sağlamakta, Ed25519 SSH anahtarlarını, yazılım güncellemelerini ve sertifikaları imzalamakta, Curve25519 ise Signal, WireGuard ve modern mesajlaşmayı güvence altına almaktadır. Küçük anahtarları ve hızlı işlemleri, onu mobil cihazlar, akıllı kartlar ve kısıtlı IoT donanımları için oldukça uygun kılmaktadır.

Kanıt ve kılavuzlar

ECDSA, FIPS 186'da, ECDH NIST SP 800-56A'da ve EdDSA/Ed25519 RFC 8032'de standartlaştırılmıştır; Curve25519/X25519 ise RFC 7748'de standartlaştırılmıştır. Modern uygulamalar, uygulama tuzaklarına karşı dirençleri nedeniyle Edwards eğrilerini ve X25519'u tercih etmektedir. Nonce'ların yeniden kullanılması durumunda ECDSA'nın çökmesi (özellikle 2010 Sony PlayStation 3 anahtar çıkarma olayı) uyarıcı bir standart örnek teşkil etmektedir.

Tarihçe

Neal Koblitz ve Victor Miller, 1985-1987 yılları arasında bağımsız olarak eliptik eğrilerin kriptografi için kullanılmasını önermişlerdir. Patent ve güven endişeleri ile NIST eğrilerinin karmaşıklığı nedeniyle başlangıçta benimsenmesi yavaş olmuştur, ancak anahtar boyutu verimliliği daha önemli hale geldikçe ve Bernstein'ın Curve25519 (2006) ile Ed25519 hızlı, kötüye kullanıma dayanıklı tasarımlar sunarak günümüzde yaygın olarak kullanılmaya başlandıkça ECC, 2010'lu yıllarda baskın hale gelmiştir.

Öne çıkan isimler

• Neal Koblitz
• Victor Miller
• Daniel J. Bernstein
• Alfred Menezes
• Scott Vanstone

İlgili konular

• Diffie-Hellman Anahtar Değişimi
• RSA ve Tam Sayı Çarpanlara Ayırma
• Dijital İmzalar

Temel eserler

• koblitz1987
• hankerson2004
• katz2020

Sıkça sorulan sorular

Neden 256-bitlik bir eliptik eğri anahtarı 3072-bitlik bir RSA anahtarıyla eşleşmektedir?

Eliptik eğri ayrık logaritmasına yönelik bilinen en iyi saldırılar genel nitelikte olup, grup boyutunun karekökü kadar zaman almaktadır, oysa çarpanlara ayırma ve sonlu alan ayrık logaritmaları daha hızlı üstel altı algoritmalara sahiptir. Bu nedenle eliptik eğriler, aynı güvenlik düzeyi için çok daha az bit gerektirmektedir.

NIST eliptik eğrileri güvenilir midir?

Standart NIST P-eğrileri yaygın olarak kullanılmakta ve bozulduğu bilinmemektedir, ancak açıklanmayan sabit seçimleri ve uygulama zorlukları, birçok kişiyi şeffaf tasarım gerekçelerine sahip olan ve sabit zamanda güvenli bir şekilde uygulanması daha kolay olan Curve25519 ve Ed25519'u tercih etmeye yöneltmiştir.

Bu kavram için yöntemler

• Elliptic Curve Cryptography
• Diffie-Hellman Key Exchange
• RSA Cryptosystem
• Digital Signature Scheme
• RSA Cryptosystem Analysis
• Post-Quantum Cryptography (Kyber)
• Lattice-Based Cryptography
• Ring Signature

İlgili kavramlar

• Açık Anahtarlı Kriptografi
• Dijital İmzalar
• Diffie-Hellman Anahtar Değişimi
• RSA ve Tam Sayı Çarpanlara Ayırma
• Eliptik Eğriler
• Kuantum Sonrası Kriptografi