Điểm:2

Làm cách nào để xác thực các khóa công khai Curve448?

lá cờ cn

Thực hiện phép tính ECDH với khóa chung không hợp lệ có thể làm rò rỉ thông tin về khóa riêng của bạn. Với các đường cong Weierstrass, điều quan trọng là phải xác minh rằng khóa công khai của đồng đẳng thực sự là một điểm trên đường cong chứ không phải điểm ở vô cực. (Nhìn thấy âXác nhận khóa công khai của đường cong Ellipticâ của Antipa et al. §3, cũng Tại sao khóa công khai cần được xác thực?).

Với đường cong25519, tất cả các chuỗi 32 byte đều là khóa công khai hợp lệ cho ECDH. Tuy nhiên, một vài giá trị phải bị từ chối trong các giao thức muốn đảm bảo hành vi đóng góp. “May the Fourth Be With You: A Microarchitectural Side Channel Attack on Some Real-World Applications of Curve25519â by Genkin et al. cũng khuyên bạn nên từ chối những điểm này để tránh kênh bên thời gian trong các triển khai chủ yếu nhưng không hoàn toàn theo thời gian không đổi.

Còn Curve448 thì sao? Các khóa công khai Curve448 có cần được xác thực hay có bất kỳ chuỗi 56 byte nào hợp lệ không? Các bản gốcRFC 7748 không đề cập đến bất kỳ nhu cầu nào như vậy, nhưng có thể có sự khôn ngoan mới hơn về chủ đề này.

kelalaka avatar
lá cờ in
Nó có giống với [Curve25519](https://crypto.stackexchange.com/a/87711/18298) không. Nó có đồng sáng lập 4. Một người chỉ cần một trách nhiệm đơn giản để tránh rò rỉ thông tin nhỏ. Và, nó cũng là tấn công xoắn an toàn.
Gilles 'SO- stop being evil' avatar
lá cờ cn
cr.yp.to hiện không hoạt động nhưng tôi chắc chắn rằng nó sẽ sớm hoạt động trở lại. Trong thời gian chờ đợi, bạn có thể sử dụng https://web.archive.org/web/20210608014309/https://cr.yp.to/ecdh.html#validate
Maarten Bodewes avatar
lá cờ in
Safecurves cũng đánh giá đường cong Curve448 (goldilocks), vì vậy tôi tự hỏi liệu phần "bậc thang" và "sự đầy đủ" sẽ không được sử dụng ở đây hay không.
kelalaka avatar
lá cờ in
Thomas cũng tuyên bố như vậy [Tính bảo mật của đường cong elip](https://crypto.stackexchange.com/q/44337/18298)
Điểm:2
lá cờ in

Đường Cong448

Curve448 là một đường cong Edward được xác định trên một số nguyên tố Solinas $p = 2^{448} â 2^{224} â 1$ với phương trình $$x^2+y^2 = 1-39081x^2y^2$$

Điểm cơ bản

điểm cơ sở $G$ của Curve448 có thứ tự nguyên tố là Curve25519. Nó có đồng sáng lập $h=4$ điều này có nghĩa là $$h = \dfrac{|\#E|}{ord(G)}$$ Lệnh của $G$$$\đơn hàng nhỏ(G) = 2^{446} - 13818066809895115352007386748515426880336692474882178609894547503885$$

PTDH

Bây giờ hãy chuyển sang ECDH trong đó Alice có khóa riêng (số nguyên) $k_A$ và khóa công khai $[k_A]G$ (một điểm trên đường cong) và Bob có khóa riêng $k_B$ và khóa công khai là $[k_B]G$.

Khi Alice và Bob trao đổi khóa công khai, điều gì sẽ xảy ra (không tính đến người đàn ông ở giữa)? Dưới đây;

$$[k_A k_B]G$$

Vì vậy, miễn là điểm cơ sở là chính xác, bất kỳ giá trị 56 byte nào từ khóa chung hợp lệ. Không cần xác nhận vì chúng tôi có

$$[k_A]G = [k_A \bmod \operatorname{ord}(G)]G$$

$$[k_A k_B]G = [k_A k_B \bmod \operatorname{ord}(G)]G$$

Chúng tôi sẽ không xem xét sự kiện không bao giờ xảy ra của hai người dùng sẽ có cùng khóa riêng.

Tấn công nhóm nhỏ

Thế còn Bob thực hiện một cuộc tấn công nhóm nhỏ (Các cuộc tấn công nhóm nhỏ tích cực LimâLee)?

Trong cuộc tấn công nhóm nhỏ, kẻ tấn công Bob chọn một đơn đặt hàng nhỏ $P$ là điểm công khai mà logarit rời rạc dễ dàng.Trong giao thức, người dùng hợp pháp Alice sẽ tiết lộ $[k_A]P$ cho kẻ tấn công. Bây giờ, kẻ tấn công có thể tìm hiểu bao nhiêu thông tin về $k_A$ từ $[K_A]P$?

  • Câu trả lời được đưa ra như thông tin được tiết lộ bởi $[K_A]P$ nhiều nhất là $\lceil log_2 h\rceil$ chút ít.

Vì đồng sáng lập là 4, nên một người sẽ chỉ tiết lộ tối đa hai bit của khóa riêng tư. Nếu bạn sợ mất 2 bit từ 224 là nguy hiểm thì hãy xác thực rằng $P$ không có thứ tự 2 hoặc 4 bằng cách kiểm tra $[4]P \overset{?}{=}\mathcal{O}$

Bảo mật xoắn

Vòng xoắn của Curve448 có $4$ với tư cách là đồng sáng lập, vì vậy nó có xoắn an toàn, quá.


Lưu ý: trong bài viết này Kiến trúc được tối ưu hóa cho Mật mã đường cong Elliptic trên Curve448 đề cập rằng

Hơn nữa, các khóa công khai của Curve448 khá ngắn và không yêu cầu xác thực miễn là bí mật được chia sẻ kết quả khác không

và Mike Hamburg đã biết về bài báo này trước khi xuất bản vì trong Lời cảm ơn

Ngoài ra, chúng tôi cảm ơn Mike Hamburg vì những nhận xét mang tính xây dựng của anh ấy

kelalaka avatar
lá cờ in
Lưu ý rằng câu trả lời này chủ yếu dành cho ECHE
Gilles 'SO- stop being evil' avatar
lá cờ cn
Cụ thể tọa độ x của các điểm bậc 4 là bao nhiêu? (https://cr.yp.to/ecdh.html#validate liệt kê 12 giá trị cho Curve25519, tương ứng với 5 tọa độ x sau mod rút gọn $P$). Và còn kênh phụ May the Fourth thì sao —Â có phải các trường hợp rủi ro cũng là điểm thấp của Curve448 không?
kelalaka avatar
lá cờ in
@Gilles'SO-stop beingevil' chưa bao giờ nhìn thấy chúng, hãy cho tôi ít thời gian để tính toán chúng.
kelalaka avatar
lá cờ in
@Gilles'SO-stop beingevil' Tôi đang ở trên đó ..

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.