Score:2

ฉันจะตรวจสอบคีย์สาธารณะของ Curve448 ได้อย่างไร

การคำนวณ ECDH ด้วยคีย์สาธารณะที่ไม่ถูกต้องอาจทำให้ข้อมูลเกี่ยวกับคีย์ส่วนตัวของคุณรั่วไหลได้ ด้วยเส้นโค้ง Weierstrass สิ่งสำคัญคือต้องตรวจสอบว่าคีย์สาธารณะของเพียร์เป็นจุดบนเส้นโค้งจริง ๆ ไม่ใช่จุดที่ไม่มีที่สิ้นสุด (ดู “การตรวจสอบความถูกต้องของคีย์สาธารณะ Elliptic Curve” โดย Antipa และคณะ §3 เช่นกัน เหตุใดจึงต้องตรวจสอบคีย์สาธารณะ).

กับ Curve25519สตริง 32 ไบต์ทั้งหมดเป็นคีย์สาธารณะที่ถูกต้องสำหรับ ECDH อย่างไรก็ตาม ค่าบางอย่างต้องถูกปฏิเสธในโปรโตคอลที่ต้องการให้แน่ใจว่ามีพฤติกรรมที่มีส่วนร่วม “ขอให้วันที่สี่อยู่กับคุณ: การโจมตีช่องด้านข้างทางสถาปัตยกรรมขนาดเล็กบนแอปพลิเคชั่น Curve25519 ในโลกแห่งความเป็นจริง” โดย Genkin และคณะ ยังแนะนำให้ปฏิเสธประเด็นเหล่านี้เพื่อหลีกเลี่ยงช่องทางด้านเวลาในการใช้งานส่วนใหญ่แต่ไม่ใช่เวลาคงที่ทั้งหมด

แล้ว Curve448 ล่ะ? ต้องตรวจสอบคีย์สาธารณะของ Curve448 หรือสตริง 56 ไบต์ใด ๆ ที่ถูกต้องหรือไม่ เดอะ กระดาษต้นฉบับ และ อาร์เอฟซี 7748 อย่าพูดถึงความต้องการดังกล่าว แต่อาจมีภูมิปัญญาใหม่กว่าในหัวข้อนี้

kelalaka avatar
in flag
ไม่เหมือนกับ [Curve25519](https://crypto.stackexchange.com/a/87711/18298) มันมีปัจจัยร่วม 4 เราต้องการเพียงความรับผิดชอบง่ายๆ ในการหลีกเลี่ยงการรั่วไหลของข้อมูลเล็กน้อย และยังเป็นการโจมตีแบบบิดที่ปลอดภัยอีกด้วย
Gilles 'SO- stop being evil' avatar
cr.yp.to หยุดทำงานในขณะนี้ แต่ฉันแน่ใจว่าจะกลับมาใช้งานได้ในไม่ช้า ในระหว่างนี้ คุณสามารถใช้ https://web.archive.org/web/20210608014309/https://cr.yp.to/ecdh.html#validate
Maarten Bodewes avatar
in flag
Safecurves ยังประเมินเส้นโค้ง Curve448 (goldilocks) ดังนั้นฉันจึงสงสัยว่าส่วนที่เป็น "บันได" และ "ความสมบูรณ์" จะไม่มีประโยชน์ที่นี่หรือไม่
kelalaka avatar
in flag
นอกจากนี้ Thomas ยังอ้างสิทธิ์ในสิ่งเดียวกัน [Security of elliptic curves](https://crypto.stackexchange.com/q/44337/18298)
Score:2
ธง in

เคิร์ฟ448

Curve448 เป็นเส้นโค้งเอ็ดเวิร์ดที่กำหนดไว้เหนือโซลินาสไพรม์ $p = 2^{448} â 2^{224} â 1$ ด้วยสมการ $$x^2+y^2 = 1-39081x^2y^2$$

จุดฐาน

จุดฐาน $G$ ของ Curve448 มีลำดับเฉพาะเป็น Curve25519 มันมีโคแฟกเตอร์ $h=4$ นี่หมายความว่า $$h = \dfrac{|\#E|}{ออร์ด(G)}$$ คำสั่งของ $G$ เป็น $$\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$$

ECDH

ตอนนี้หันไปที่ ECDH ซึ่งอลิซมีรหัสส่วนตัว (จำนวนเต็ม) $k_A$ และรหัสสาธารณะ $[k_A]G$ (จุดบนเส้นโค้ง) และ Bob มีรหัสส่วนตัว $k_B$ และรหัสสาธารณะคือ $[k_B]G$.

เมื่ออลิซและบ็อบแลกเปลี่ยนกุญแจสาธารณะจะเกิดอะไรขึ้น (อย่าคิดว่าชายคนนั้นอยู่ตรงกลาง) ด้านล่าง;

$$[k_A k_B]G$$

ดังนั้น ตราบใดที่จุดฐานถูกต้อง ค่า 56 ไบต์ใดๆ จากพับลิกคีย์ที่ถูกต้อง ไม่จำเป็นต้องมีการตรวจสอบเนื่องจากเรามี

$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$

$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$

เราจะไม่ถือว่าเหตุการณ์ที่ไม่มีวันเกิดขึ้นของผู้ใช้สองคนจะมีคีย์ส่วนตัวเดียวกัน

การโจมตีกลุ่มย่อยขนาดเล็ก

แล้วบ็อบทำการโจมตีกลุ่มย่อยเล็กๆ ล่ะ (LimâLee โจมตีกลุ่มย่อยขนาดเล็กที่ใช้งานอยู่)?

ในการโจมตีกลุ่มย่อยขนาดเล็ก ผู้โจมตี Bob เลือกคำสั่งขนาดเล็ก $พี$ เป็นจุดสาธารณะที่ลอการิทึมแยกเป็นเรื่องง่ายในระหว่างโปรโตคอล ผู้ใช้ที่ถูกต้องอลิซจะเปิดเผย $[k_A]P$ แก่ผู้โจมตี ตอนนี้ผู้โจมตีสามารถเรียนรู้ข้อมูลได้มากน้อยเพียงใด $k_A$ จาก $[K_A]P$?

  • คำตอบได้รับเป็นข้อมูลที่เปิดเผยโดย $[K_A]P$ มากที่สุด $\lceil log_2 ชั่วโมง\rceil$ บิต

เนื่องจากปัจจัยร่วมคือ 4 หนึ่งจะเปิดเผยคีย์ส่วนตัวไม่เกินสองบิตเท่านั้น หากคุณกลัวว่าการสูญเสีย 2 บิตจาก 224 นั้นเป็นอันตราย ให้ตรวจสอบว่า $พี$ ไม่มีคำสั่งที่ 2 หรือ 4 โดยการตรวจสอบ $[4]P \overset{?}{=}\mathcal{O}$

บิดความปลอดภัย

การบิดของ Curve448 มี $4$ เป็นปัจจัยร่วมจึงมี บิดอย่างปลอดภัย, ด้วย.


หมายเหตุ: ในบทความนี้ สถาปัตยกรรมที่ปรับให้เหมาะสมสำหรับการเข้ารหัสแบบ Elliptic Curve บน Curve448 กล่าวถึงนั้น

ยิ่งไปกว่านั้น พับลิกคีย์ของ Curve448 นั้นสั้นพอสมควรและไม่ต้องการการตรวจสอบตราบเท่าที่ความลับที่ใช้ร่วมกันที่ได้นั้นไม่เป็นศูนย์

และ Mike Hamburg ทราบบทความนี้ก่อนเผยแพร่ตั้งแต่ในกิตติกรรมประกาศ

นอกจากนี้ เราขอขอบคุณ Mike Hamburg สำหรับความคิดเห็นที่สร้างสรรค์ของเขา

kelalaka avatar
in flag
โปรดทราบว่าคำตอบนี้มีไว้สำหรับ ECHE เป็นหลัก
Gilles 'SO- stop being evil' avatar
สรุปแล้ว พิกัด x ของจุดออร์เดอร์ 4 คืออะไร? (https://cr.yp.to/ecdh.html#validate แสดงค่า 12 ค่าสำหรับ Curve25519 ซึ่งสอดคล้องกับพิกัด x 5 พิกัดหลัง mod การลด $P$) แล้วช่องทางฝั่งที่สี่ของ May ล่ะ â กรณีที่มีความเสี่ยงเป็นจุดสั่งซื้อต่ำสำหรับ Curve448 เช่นกัน?
kelalaka avatar
in flag
@Gilles'SO-stopbbingevil' ไม่เคยเห็นพวกมันเลย ให้เวลาผมคำนวณพวกมันหน่อย
kelalaka avatar
in flag
@Gilles'SO-stopbeevil' ฉันกำลังทำอยู่..

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา