การคำนวณ ECDH ด้วยคีย์สาธารณะที่ไม่ถูกต้องอาจทำให้ข้อมูลเกี่ยวกับคีย์ส่วนตัวของคุณรั่วไหลได้ ด้วยเส้นโค้ง Weierstrass สิ่งสำคัญคือต้องตรวจสอบว่าคีย์สาธารณะของเพียร์เป็นจุดบนเส้นโค้งจริง ๆ ไม่ใช่จุดที่ไม่มีที่สิ้นสุด (ดู “การตรวจสอบความถูกต้องของคีย์สาธารณะ Elliptic Curve” โดย Antipa และคณะ §3 เช่นกัน เหตุใดจึงต้องตรวจสอบคีย์สาธารณะ).
กับ Curve25519สตริง 32 ไบต์ทั้งหมดเป็นคีย์สาธารณะที่ถูกต้องสำหรับ ECDH อย่างไรก็ตาม ค่าบางอย่างต้องถูกปฏิเสธในโปรโตคอลที่ต้องการให้แน่ใจว่ามีพฤติกรรมที่มีส่วนร่วม “ขอให้วันที่สี่อยู่กับคุณ: การโจมตีช่องด้านข้างทางสถาปัตยกรรมขนาดเล็กบนแอปพลิเคชั่น Curve25519 ในโลกแห่งความเป็นจริง” โดย Genkin และคณะ ยังแนะนำให้ปฏิเสธประเด็นเหล่านี้เพื่อหลีกเลี่ยงช่องทางด้านเวลาในการใช้งานส่วนใหญ่แต่ไม่ใช่เวลาคงที่ทั้งหมด
แล้ว Curve448 ล่ะ? ต้องตรวจสอบคีย์สาธารณะของ Curve448 หรือสตริง 56 ไบต์ใด ๆ ที่ถูกต้องหรือไม่ เดอะ กระดาษต้นฉบับ และ อาร์เอฟซี 7748 อย่าพูดถึงความต้องการดังกล่าว แต่อาจมีภูมิปัญญาใหม่กว่าในหัวข้อนี้
เคิร์ฟ448
Curve448 เป็นเส้นโค้งเอ็ดเวิร์ดที่กำหนดไว้เหนือโซลินาสไพรม์ $p = 2^{448} â 2^{224} â 1$ ด้วยสมการ $$x^2+y^2 = 1-39081x^2y^2$$
จุดฐาน
จุดฐาน $G$ ของ Curve448 มีลำดับเฉพาะเป็น Curve25519 มันมีโคแฟกเตอร์ $h=4$ นี่หมายความว่า $$h = \dfrac{|\#E|}{ออร์ด(G)}$$ คำสั่งของ $G$ เป็น $$\small ord(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$$
ECDH
ตอนนี้หันไปที่ ECDH ซึ่งอลิซมีรหัสส่วนตัว (จำนวนเต็ม) $k_A$ และรหัสสาธารณะ $[k_A]G$ (จุดบนเส้นโค้ง) และ Bob มีรหัสส่วนตัว $k_B$ และรหัสสาธารณะคือ $[k_B]G$.
เมื่ออลิซและบ็อบแลกเปลี่ยนกุญแจสาธารณะจะเกิดอะไรขึ้น (อย่าคิดว่าชายคนนั้นอยู่ตรงกลาง) ด้านล่าง;
$$[k_A k_B]G$$
ดังนั้น ตราบใดที่จุดฐานถูกต้อง ค่า 56 ไบต์ใดๆ จากพับลิกคีย์ที่ถูกต้อง ไม่จำเป็นต้องมีการตรวจสอบเนื่องจากเรามี
$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$
$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$
เราจะไม่ถือว่าเหตุการณ์ที่ไม่มีวันเกิดขึ้นของผู้ใช้สองคนจะมีคีย์ส่วนตัวเดียวกัน
การโจมตีกลุ่มย่อยขนาดเล็ก
แล้วบ็อบทำการโจมตีกลุ่มย่อยเล็กๆ ล่ะ (LimâLee โจมตีกลุ่มย่อยขนาดเล็กที่ใช้งานอยู่)?
ในการโจมตีกลุ่มย่อยขนาดเล็ก ผู้โจมตี Bob เลือกคำสั่งขนาดเล็ก $พี$ เป็นจุดสาธารณะที่ลอการิทึมแยกเป็นเรื่องง่ายในระหว่างโปรโตคอล ผู้ใช้ที่ถูกต้องอลิซจะเปิดเผย $[k_A]P$ แก่ผู้โจมตี ตอนนี้ผู้โจมตีสามารถเรียนรู้ข้อมูลได้มากน้อยเพียงใด $k_A$ จาก $[K_A]P$?
เนื่องจากปัจจัยร่วมคือ 4 หนึ่งจะเปิดเผยคีย์ส่วนตัวไม่เกินสองบิตเท่านั้น หากคุณกลัวว่าการสูญเสีย 2 บิตจาก 224 นั้นเป็นอันตราย ให้ตรวจสอบว่า $พี$ ไม่มีคำสั่งที่ 2 หรือ 4 โดยการตรวจสอบ $[4]P \overset{?}{=}\mathcal{O}$
บิดความปลอดภัย
การบิดของ Curve448 มี $4$ เป็นปัจจัยร่วมจึงมี บิดอย่างปลอดภัย, ด้วย.
หมายเหตุ: ในบทความนี้ สถาปัตยกรรมที่ปรับให้เหมาะสมสำหรับการเข้ารหัสแบบ Elliptic Curve บน Curve448 กล่าวถึงนั้น
ยิ่งไปกว่านั้น พับลิกคีย์ของ Curve448 นั้นสั้นพอสมควรและไม่ต้องการการตรวจสอบตราบเท่าที่ความลับที่ใช้ร่วมกันที่ได้นั้นไม่เป็นศูนย์
และ Mike Hamburg ทราบบทความนี้ก่อนเผยแพร่ตั้งแต่ในกิตติกรรมประกาศ
นอกจากนี้ เราขอขอบคุณ Mike Hamburg สำหรับความคิดเห็นที่สร้างสรรค์ของเขา
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
