Eliptik eğri dijital imza algoritması

Kriptografide Eliptik Eğri Dijital İmza Algoritması ( ECDSA ), eliptik eğri şifrelemesi kullanan birçok çeşit Dijital İmza Algoritması (DSA) sunar.

DSA ile anahtar ve imza boyut karşılaştırmasıDüzenle

Genel olarak eliptik eğri kriptografisinde olduğu gibi, açık anahtarın bit boyutu ECDSA için yeterli olduğu düşünülen güvenlik seviyesinin bitlerin yaklaşık iki katı kadardır. Örneğin, 80 bitlik bir güvenlik düzeyinde bir ECDSA' nın (yani saldırganın gizli anahtarı bulmak için maksimum  operasyon deneme yapması gerektiği anlamına gelir) genel anahtarının boyutu 160 bit olurken, bir DSA genel anahtarının boyutu en az 1024 bit'tir. Öte yandan, güvenlik seviyesinin   uzunluğunda olduğu hem DSA hem de ECDSA için imza boyutu yaklaşık  olur, başka bir deyişle 80 bit güvenlik düzeyi için yaklaşık 320 bitlik imza gerekir.

İmza oluşturma algoritmasıDüzenle

Diyelim ki Alice, Bob'a imzalı bir mesaj göndermek istiyor. İlk olarak, eğri parametreleri olan  üzerinde anlaşmalıdırlar. Cisme ve eğri eşitliğine ek olarak, eğri üzerinde asal mertebenin temel noktası olan G ve G' nin çarpımsal mertebesi olan n' ye ihtiyaç vardır.

Parametre
EĞRİ eliptik eğri alanı ve kullanılan denklem
G, eliptik eğri taban noktası, ör:   , n. mertebeden çok büyük bir asal ile eliptik eğri üreticisi.
n G' nin tam sayı mertebesi, yani  , burada  tanımlayıcı elemandır.
dA Rastgele seçilmiş gizli anahtar
Qa Eliptik eğriden hesaplanmış açık anahtar
m mesaj

  asal bir sayı olmak zorundadır. Aslında,  halkasının sıfırdan farklı her elemanının tersine olduğunu varsayarız, yani   cisim olmak zorundadır. Buda bize  ' nin asal olması gerektiğini gösterir. (bkn. Bezout Teoremi[1])

Alice,   aralığından rastgele seçilmiş özel anahtar olan   'yı ve eğrinin public keyi olan   içeren bir anahtar çifti oluşturur.  , eliptik eğri skaler nokta çarpımını temsil eder.

Alice,  mesajını imzalayabilmesi için aşağıdaki adımları takip etmelidir:

  1.  'yi hesaplar.(Burada HASH Kriptografik özet fonksiyonu temsil eder.)
  2.   ,   'in en solundaki bitleri olan   olsun; burada   n. mertebeden bir grubun mertebesi olsun.
  3.   arasından kriptografik olarak güvenli rastgele bir tam sayı   seçer.
  4. Eğri noktaları olan   hesaplar.
  5.   hesaplanır. Eğer   ise 3. adıma geri dönülür.
  6.   hesaplanır. Eğer   ise 3.adıma geri dönülür.
  7. İmza çifte   olur. Ayrıca   de uygun bir imza çiftidir.

Standartların belirttiği gibi,  ' nın sadece gizli olması yeterli değildir, aynı zamanda farklı imzalar için farklı   seçilmesi de önemlidir, aksi takdirde 6. adımdaki denklemde   özel anahtarını çözülebilir: Bilinmeyen aynı   değeri ve bilinen iki farklı   ve   kullanılarak üretilen farklı iki imza olan   ve   için saldırgan   ve   hesaplayabilir ve saldırgan   formülünden   hesaplayabilir. Şimdi ise saldırgan   formülü üzerinde düzenleme yaparak özel anahtar olan  ' yı elde edebilir. Bu uygulama hatası, örneğin PlayStation 3 oyun konsolu için kullanılan imzalama anahtarını çıkarmak için kullanıldı. ECDSA imzasının özel anahtarları sızdırabilmesinin bir başka yolu,   hatalı bir rastgele sayı üreteci tarafından üretilir. Rastgele sayı üretmedeki bu tür bir başarısızlık, Android Bitcoin Cüzdan kullanıcılarının Ağustos 2013' te fonlarını kaybetmelerine neden oldu [2].   'nın her mesaj için benzersiz olmasını sağlamak için, bir kişi rastgele sayı üretimini tamamen atlayabilir ve   'yı hem mesajdan hem de özel anahtardan türeterek deterministik imzalar oluşturabilir.[3]

İmza doğrulama algoritmasıDüzenle

Bob'un Alice'in imzasını doğrulaması için açık anahtar eğri noktası olan   bir kopyasına sahip olması gerekir. Bob,   'nun geçerli bir eğri noktası olduğunu şu şekilde doğrulayabilir:

  1.   nın   kimlik elemanına eşit olmadığını kontrol eder.
  2.   nın eğri üzerinde olduğunu kontrol eder.
  3.   olduğunu kontrol eder.

Ardından Bob şu adımları izler:

  1.   ve   'nin   aralığında tamsayılar olduğunu doğrular. Değilse, imza geçersizdir.
  2.   'yi hesaplar. Burada HASH imza üretirken kullanılan ile aynı kriptografik özet fonksiyonu temsil eder.
  3.  ,  'in en solundaki bitleri olan   olsun
  4.   hesaplar.
  5.   ve  ' yi hesaplar.
  6.  eğri noktalarını hesaplar. Eğer   ise imza geçersizdir.
  7. Eğer   ise imza geçerli, değilse geçersizdir.

Shamir' in numarasını kullanarak, iki skaler çarpımın toplamını yani  , bağımsız olarak yapılan iki skaler çarpımından daha hızlı hesaplanabileceğini unutmayın.

Algoritmanın doğruluğuDüzenle

Doğrulamanın neden doğru şekilde çalıştığı çok belli değildir. Nedenini görmek için, doğrulamanın 6. adımında hesaplanan eğri noktasını   olarak belirtelim:

 

Açık anahtarın   tanımından,

 

elde edilir. Eliptik eğride skaler çarpımın toplama üzerine dağılma özelliğinden,

 

 ve  ' nin doğrulamanın 5.adımındaki tanımını açarsak,

 

buradan   parantezine alındığında,

 

s' nin imzanın 6. adımdaki tanımını açarsak,

 

Bir elemanın tersinin tersi kendisini verir ve bir elemanın tersi ile kendisinin çarpımı birim elemanı vereceğinden,

 

 ' nin tanımından bu, doğrulama adımı 7'dir.

GüvenlikDüzenle

Aralık 2010'da, kendini "fail0verflow" diye adlandıran bir grup, Sony tarafından üretilen PlayStation 3 oyun konsolunun yazılımını imzalamak için kullanılan ECDSA özel anahtarının kırıldığını duyurdu ancak bu saldırı yalnızca Sony algoritmayı düzgün şekilde uygulamadığı için gerçekleşti çünkü   rastgele değil sabit seçilmişti. Yukarıdaki İmza oluşturma algoritması bölümünde belirtildiği gibi, bu,   'yı çözülebilir hale ve tüm algoritmayı işe yaramaz hale getirir.[4]

29 Mart 2011 tarihinde, iki araştırmacı, bir zamanlama saldırısı yaparak binary alan üzerinden ECDSA ile kimlik doğrulaması yapan OpenSSL kullanarak sunucunun TLS özel anahtarını almanın mümkün olduğunu gösteren bir IACR makalesi yayınladı.[5][6] Güvenlik açığı, OpenSSL 1.0.0e' de düzeltildi.[7]

Ağustos 2013’te, Java SecureRandom sınıfının bazı uygulamalarındaki hataların bazen   değerinde çakışma(collision) ürettiği ortaya çıktı. Bu, bilgisayar korsanlarının, kendilerine ait anahtarların sahiplerinin sahip olduğu bitcoin işlemleri üzerinde aynı kontrolü sağlayan özel anahtarı kırma izin verdi; aynı şekilde, Java kullanan ve ECDSA' nın kimliğini doğrulamak için kullanan ve bazı Android uygulama uygulamalarında PS3 imzalama anahtarını ortaya çıkarmak için kullanıldı.

Bu sorun, RFC 6979 tarafından tanımlandığı gibi deterministik   üretimi ile önlenebilir.

EndişelerDüzenle

ECDSA ile ilgili iki tür endişe vardır:

  1. Politik kaygılar: NIST'in ürettiği eğrilerin güvenilirliği, NSA' nın yazılımlarına, donanım bileşenlerine ve yayınlanmış standartlarına bilinçli bir şekilde arka kapı koymasının ardından, tanınmış kriptograflar[8], NIST eğrilerinin nasıl tasarlandığına dair şüphelerini dile getirdiler.[9][10][11][12]
  2. Teknik kaygılar: Standartın doğru uygulama zorluğu[13], yavaşlığı ve Dual EC DRBG rastgele sayı üretecinin yetersiz savunma uygulamalarında güvenliği azaltan kusurların tasarlanması.[14]

Bu sorunların her ikisi de libssh curved25519 giriş bölümünde özetlenmiştir.[15]

UygulamalarDüzenle

Aşağıda, ECDSA'ya destek sağlayan şifreleme kütüphanelerinin bir listesi bulunmaktadır:

KaynakçaDüzenle

  1. ^ "Arşivlenmiş kopya" (PDF). 29 Ekim 2019 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  2. ^ "Arşivlenmiş kopya". 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  3. ^ rfc:6979
  4. ^ "Arşivlenmiş kopya". 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  5. ^ "Arşivlenmiş kopya". 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  6. ^ "Arşivlenmiş kopya". 8 Aralık 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  7. ^ "Arşivlenmiş kopya". 26 Şubat 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  8. ^ "Arşivlenmiş kopya". 15 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  9. ^ "Arşivlenmiş kopya" (PDF). 28 Mayıs 2019 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  10. ^ "Arşivlenmiş kopya". 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  11. ^ "Arşivlenmiş kopya". 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  12. ^ "Arşivlenmiş kopya". 23 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  13. ^ "Arşivlenmiş kopya". 23 Mart 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  14. ^ "Arşivlenmiş kopya". 19 Ağustos 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 
  15. ^ "Arşivlenmiş kopya". 23 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019.