Làm cách nào để xác thực các khóa công khai Curve448?

Thực hiện phép tính ECDH với khóa chung không hợp lệ có thể làm rò rỉ thông tin về khóa riêng của bạn. Với các đường cong Weierstrass, điều quan trọng là phải xác minh rằng khóa công khai của đồng đẳng thực sự là một điểm trên đường cong chứ không phải điểm ở vô cực. (Nhìn thấy âXác nhận khóa công khai của đường cong Ellipticâ của Antipa et al. §3, cũng Tại sao khóa công khai cần được xác thực?).

Với đường cong25519, tất cả các chuỗi 32 byte đều là khóa công khai hợp lệ cho ECDH. Tuy nhiên, một vài giá trị phải bị từ chối trong các giao thức muốn đảm bảo hành vi đóng góp. “May the Fourth Be With You: A Microarchitectural Side Channel Attack on Some Real-World Applications of Curve25519â by Genkin et al. cũng khuyên bạn nên từ chối những điểm này để tránh kênh bên thời gian trong các triển khai chủ yếu nhưng không hoàn toàn theo thời gian không đổi.

Còn Curve448 thì sao? Các khóa công khai Curve448 có cần được xác thực hay có bất kỳ chuỗi 56 byte nào hợp lệ không? Các bản gốc và RFC 7748 không đề cập đến bất kỳ nhu cầu nào như vậy, nhưng có thể có sự khôn ngoan mới hơn về chủ đề này.

Đường Cong448

Curve448 là một đường cong Edward được xác định trên một số nguyên tố Solinas $p = 2^{448} â 2^{224} â 1$ với phương trình $$x^2+y^2 = 1-39081x^2y^2$$

Điểm cơ bản

điểm cơ sở $G$ của Curve448 có thứ tự nguyên tố là Curve25519. Nó có đồng sáng lập $h=4$ điều này có nghĩa là $$h = \dfrac{|\#E|}{ord(G)}$$ Lệnh của $G$ Là $$\đơn hàng nhỏ(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$$

PTDH

Bây giờ hãy chuyển sang ECDH trong đó Alice có khóa riêng (số nguyên) $k_A$ và khóa công khai $[k_A]G$ (một điểm trên đường cong) và Bob có khóa riêng $k_B$ và khóa công khai là $[k_B]G$.

Khi Alice và Bob trao đổi khóa công khai, điều gì sẽ xảy ra (không tính đến người đàn ông ở giữa)? Dưới đây;

$$[k_A k_B]G$$

Vì vậy, miễn là điểm cơ sở là chính xác, bất kỳ giá trị 56 byte nào từ khóa chung hợp lệ. Không cần xác nhận vì chúng tôi có

$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$

$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$

Chúng tôi sẽ không xem xét sự kiện không bao giờ xảy ra của hai người dùng sẽ có cùng khóa riêng.

Tấn công nhóm nhỏ

Thế còn Bob thực hiện một cuộc tấn công nhóm nhỏ (Các cuộc tấn công nhóm nhỏ tích cực LimâLee)?

Trong cuộc tấn công nhóm nhỏ, kẻ tấn công Bob chọn một đơn đặt hàng nhỏ $P$ là điểm công khai mà logarit rời rạc dễ dàng.Trong giao thức, người dùng hợp pháp Alice sẽ tiết lộ $[k_A]P$ cho kẻ tấn công. Bây giờ, kẻ tấn công có thể tìm hiểu bao nhiêu thông tin về $k_A$ từ $[K_A]P$?

• Câu trả lời được đưa ra như thông tin được tiết lộ bởi $[K_A]P$ nhiều nhất là $\lceil log_2 h\rceil$ chút ít.

Vì đồng sáng lập là 4, nên một người sẽ chỉ tiết lộ tối đa hai bit của khóa riêng tư. Nếu bạn sợ mất 2 bit từ 224 là nguy hiểm thì hãy xác thực rằng $P$ không có thứ tự 2 hoặc 4 bằng cách kiểm tra $[4]P \overset{?}{=}\mathcal{O}$

Bảo mật xoắn

Vòng xoắn của Curve448 có $4$ với tư cách là đồng sáng lập, vì vậy nó có xoắn an toàn, quá.

Lưu ý: trong bài viết này Kiến trúc được tối ưu hóa cho Mật mã đường cong Elliptic trên Curve448 đề cập rằng

Hơn nữa, các khóa công khai của Curve448 khá ngắn và không yêu cầu xác thực miễn là bí mật được chia sẻ kết quả khác không

và Mike Hamburg đã biết về bài báo này trước khi xuất bản vì trong Lời cảm ơn

Ngoài ra, chúng tôi cảm ơn Mike Hamburg vì những nhận xét mang tính xây dựng của anh ấy