Pokročilá kryptologie

Podobné dokumenty
Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Digitální podepisování pomocí asymetrické kryptografie

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Pokročilá kryptologie

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

asymetrická kryptografie

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky. 7.přednáška. Kryptosystémy veřejného klíče II

Miroslav Kureš. Aplikovaná matematika Ostravice workshop A-Math-Net Sít pro transfer znalostí v aplikované matematice

Aplikovaná numerická matematika

Aplikovaná numerická matematika - ANM

Eliptické křivky a RSA

Problematika převodu zprávy na body eliptické křivky

3. Aritmetika nad F p a F 2

MFF UK Praha, 22. duben 2008

Kryptografie založená na problému diskrétního logaritmu

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Šifrová ochrana informací věk počítačů KS - 5

INVESTICE DO ROZVOJE VZDĚLÁVÁNÍ. Modernizace studijního programu Matematika na PřF Univerzity Palackého v Olomouci CZ.1.07/2.2.00/28.

ElGamal, Diffie-Hellman

Diffieho-Hellmanův protokol ustanovení klíče

C5 Bezpečnost dat v PC

Matematika (CŽV Kadaň) aneb Úvod do lineární algebry Matice a soustavy rovnic

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Karel Klouda c KTI, FIT, ČVUT v Praze 28. února, letní semestr 2010/2011

1 Báze a dimenze vektorového prostoru 1

V předchozí kapitole jsme podstatným způsobem rozšířili naši představu o tom, co je to číslo. Nadále jsou pro nás důležité především vlastnosti

Lineární algebra : Lineární (ne)závislost

0.1 Úvod do lineární algebry

0.1 Úvod do lineární algebry

Vektory a matice. Obsah. Aplikovaná matematika I. Carl Friedrich Gauss. Základní pojmy a operace

Přínos teorie eliptických křivek k řešení moderních kryptografických systémů

Matematika B101MA1, B101MA2

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Datové struktury 2: Rozptylovací tabulky

Dynamické programování

MPI - 7. přednáška. Hledání inverzí v Z n. Rychlé mocnění modulo n. Lineární rovnice v Z + n. Soustavy lineárních rovnic v Z + n.

Vektorové podprostory, lineární nezávislost, báze, dimenze a souřadnice

Digitální podepisování pomocí asymetrické kryptografie

SOFTWAROVÁ PODPORA VÝUKY KRYPTOSYSTÉMŮ ZALOŽENÝCH NA ELIPTICKÝCH KŘIVKÁCH

Maticí typu (m, n), kde m, n jsou přirozená čísla, se rozumí soubor mn veličin a jk zapsaných do m řádků a n sloupců tvaru:

Lineární algebra : Násobení matic a inverzní matice

MPI - 5. přednáška. 1.1 Eliptické křivky

Teoretická informatika Tomáš Foltýnek Algebra Struktury s jednou operací

Matematika IV - 5. přednáška Polynomy

Obsah. Euler-Fermatova věta. Reziduální aritmetika. 3. a 4. přednáška z kryptografie

Polynomy nad Z p Konstrukce faktorových okruhů modulo polynom. Alena Gollová, TIK Počítání modulo polynom 1/30

Základní pojmy teorie množin Vektorové prostory

Definice 13.1 Kvadratická forma v n proměnných s koeficienty z tělesa T je výraz tvaru. Kvadratická forma v n proměnných je tak polynom n proměnných s

Definice. Vektorový prostor V nad tělesem T je množina s operacemi + : V V V, tj. u, v V : u + v V : T V V, tj. ( u V )( a T ) : a u V které splňují

KRYPTOGRAFICKÉ SYSTÉMY NAD ELIPTICKÝMI KŘIVKAMI

1 Lineární prostory a podprostory

Jak funguje asymetrické šifrování?

Čínská věta o zbytcích RSA

15. Moduly. a platí (p + q)(x) = p(x) + q(x), 1(X) = id. Vzniká tak struktura P [x]-modulu na V.

Základy matematiky pro FEK

Ekvivalence. Základy diskrétní matematiky, BI-ZDM ZS 2011/12, Lekce 5

ALGEBRA. Téma 4: Grupy, okruhy a pole

příklad Steganografie Matematické základy šifrování šifrování pomocí křížů Hebrejské šifry

Matematika IV - 5. přednáška Polynomy

MATICE. a 11 a 12 a 1n a 21 a 22 a 2n A = = [a ij]

Dosud jsme se zabývali pouze soustavami lineárních rovnic s reálnými koeficienty.

ELIPTICKÉ KŘIVKY V KRYPTOGRAFII

RSA. Matematické algoritmy (11MAG) Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. verze: :01

Lineární algebra : Lineární prostor

Diskrétní logaritmus

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

10. Vektorové podprostory

Funkce, elementární funkce.

RSA. Matematické algoritmy (11MA) Miroslav Vlček, Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. čtvrtek 21.

Šifrová ochrana informací věk počítačů PS5-1

Vzdálenost jednoznačnosti a absolutně

ALGEBRA. Téma 5: Vektorové prostory

Aritmetické vektory. Martina Šimůnková. Katedra aplikované matematiky. 16. března 2008

Těleso racionálních funkcí

Necht tedy máme přirozená čísla n, k pod pojmem systém lineárních rovnic rozumíme rovnice ve tvaru

1 Řešení soustav lineárních rovnic

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

Lineární algebra : Skalární součin a ortogonalita

DNSSEC: implementace a přechod na algoritmus ECDSA

příkladů do cvičení. V textu se objeví i pár detailů, které jsem nestihl (na které jsem zapomněl) a(b u) = (ab) u, u + ( u) = 0 = ( u) + u.

1 Vektorové prostory.

Učební plán 4. letého studia předmětu matematiky. Učební plán 6. letého studia předmětu matematiky

grupa těleso podgrupa konečné těleso polynomy komutativní generovaná prvkem, cyklická, řád prvku charakteristika tělesa

Báze a dimenze vektorových prostorů

Symetrické a kvadratické formy

Generující kořeny cyklických kódů. Generující kořeny. Alena Gollová, TIK Generující kořeny 1/30

Číselné soustavy v mikroprocesorové technice Mikroprocesorová technika a embedded systémy

Matematika I 12a Euklidovská geometrie

Základní datové struktury III: Stromy, haldy

Základy matematické analýzy

Derivace funkce. prof. RNDr. Čestmír Burdík DrCs. prof. Ing. Edita Pelantová CSc. Katedra matematiky BI-ZMA ZS 2009/2010

Hashovací funkce. Andrew Kozlík KA MFF UK

x 2 = a 2 + tv 2 tedy (a 1, a 2 ) T + [(v 1, v 2 )] T A + V Příklad. U = R n neprázdná množina řešení soustavy Ax = b.

3 Lineární kombinace vektorů. Lineární závislost a nezávislost

Příklad. Řešte v : takže rovnice v zadání má v tomto případě jedno řešení. Pro má rovnice tvar

Úvod RSA Aplikace, související témata RSA. Ing. Štěpán Sem Festival Fantazie, Štěpán Sem

IB112 Základy matematiky

8 Kořeny cyklických kódů, BCH-kódy

Transkript:

Pokročilá kryptologie Kryptografie eliptických křivkek doc. Ing. Róbert Lórencz, CSc. České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů Příprava studijních programů Informatika pro novou fakultu ČVUT je spolufinancována Evropským sociálním fondem a rozpočtem Hlavního města Prahy v rámci Operačního programu Praha adaptabilita (OPPA) projektem CZ.2.17/3.1.00/31952 Příprava a zavedení nových studijních programů Informatika na ČVUT v Praze. Praha & EU: Investujeme do vaší budoucnosti R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 1 / 22

Obsah přednášky Historie Matematický základ Eliptická křivka nad tělesem GF(p) ECC a problém diskrétního logaritmu Šifrování s ECC R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 2 / 22

Historie Kryptografie eliptických křivek (ECC) je moderním a slibným směrem současné kryptografie. ECC je další možností pro realizaci elektronického podpisu. ECC v některých ukazatelích dává lepší výsledky než současné běžně používané kryptosystémy. V současnosti jsou eliptické kryptosystémy v řadě světových standardů a staly se alternativou k RSA. ECC má výhodu v rychlosti a menší náročnosti na hardware. Eliptické křivky jsou speciální podtřídou kubických křivek. Název eliptické vznikl proto, že kubické rovinné funkce se v minulosti používaly k výpočtu obvodu elipsy. Zkoumáním vlastností eliptických křivek se nejvíce zabýval německý matematik K. T. W. Weierstrass (1815 1897). V. Miller a N. Koblitz přišli nezávisle na sobě na možnost použití eliptických křivek v rámci kryptosystému veřejného klíče (1985). R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 3 / 22

Matematický základ (1) Eliptická křivka E je množina bodů v rovině, která vyhovuje rovnici y 2 = x 3 + ax + b. (1) Součtem 2 různých bodů P a Q z E bude opět bod ležící na E, a tedy také vyhovující rovnici (1). Geometrické interpretace součtu: Spojíme body P = [x P, y P ] a Q = [x Q, y Q ] přímkou, ta protne křivku E v bodě R. Výsledkem sčítání je potom bod R, který je symetrický k R podle osy x. Body symetrické podle osy x nazýváme opačné. A( n) 4 A( n) 4 4 3 2 1 3 2 1 0 1 2 3 4 5 3 P 2 3 E: y = x - 4x Q 1 2 3 4 n E -R R 5 R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 4 / 22

Matematický základ (2) Směrnice přímky, která spojuje dva různé body P a Q je rovná Pro souřadnice bodu R = [x R, y R ] platí s = y Q y P x Q x P. (2) x R = s 2 x P x Q a y R = s(x P x R ) y P. (3) Když P = Q jejich spojnice je tečna k E a její směrnice je rovná s = 3x P 2 + a 2y P. (4) Sčítáním 2 opačných bodů (P = Q) měli bychom dostat "0 bod". Taková přímka nám E už neprotne, resp. ji protne v. definitoricky k E "bod v "O přidáme sčítání 2 opačných bodů definujeme: P + ( P) = O. Bod v je název "0 bodu"křivky E. Dodefinujeme sčítání pro O: P + O = P, O + O = O a O = O. Takto je definováno sčítání pro dvojice bodů na E včetně O. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 5 / 22

Eliptická křivka nad tělesem GF(p)(1) Využití eliptických křivek pro šifrování Při využití eliptických křivek pro šifrování pracujeme v oblasti diskrétních hodnot (celých čísel, bitových řetězců, m-tice bitů) Uvažujeme těleso GF(2 m ) a těleso GF(p), kde p je prvočíslo. Obě tělesa jsou v praxi využívaná každé z nich má své přednosti. Pro jednoduchost výkladu dále jen operace nad tělesem GF(p). Eliptická křivka nad tělesem GF(p) je definována jako bod O v společně s množinou bodů P = [x, y], kde x a y jsou z tělesa GF(p) a vyhovují rovnici y 2 = x 3 + ax + b v GF(p), tj. y 2 x 3 + ax + b (mod p). (5) R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 6 / 22

Eliptická křivka nad tělesem GF(p)(2) Koeficienty a a b jsou také prvky tělesa GF(p) a musí splňovat podmínku 4a 3 + 27b 2 p 0. (6) Takto definovaná množina bodů tvoří grupu, koeficienty a a b volíme libovolně (veřejné parametry příslušného kryptosystému). V této grupě definujeme opačný bod k O jako O = O a pro ostatní nenulové body P = [x P, y P ] E definujeme P = [x P, y P p ], dále pro všechny body P E definujeme P + P = O a P + O = P. Bod O nazýváme také nulovým bodem, vzhledem k jeho roli při sčítání v grupě E. Sčítání stejných nenulových bodů P + P definujme jako R = P + P = [x R, y R ], kde směrnice s je rovná s = 3x P 2 + a 2y P p (7) R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 7 / 22

Eliptická křivka nad tělesem GF(p)(3) a souřadnice bodu R x R = s 2 p p x P x Q a y R = s(x P x R ) y P. (8) Sčítáním různých nenulových a vzájemně neinverzních bodů P = [x P, y P ] a Q = [x Q, y Q ] křivky E definujeme jako P + Q = R = [x R, y R ], kde směrnice s je rovná s = y Q y P p (9) x Q x P a souřadnice bodu R x R = s 2 p p x P x Q a y R = s(x P x R ) y P. (10) R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 8 / 22

Eliptická křivka nad tělesem GF(p)(4) 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 (0,1) (6,4) (12,19) (0,22) (6,19) (13,7) (1,7) (7,11) (13,16) (1,16) (7,12) (17,3) (3,10) (9,7) (17,20) (3,13) (9,16) (18,3) (4,0) (11,3) (18,20) (5,4) (11,20) (19,5) (5,19) (12,4) (19,18) O 28 bodů eliptické křivky y 2 = x 3 + x + 1 nad GF(23) R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 9 / 22

ECC a problém diskrétního logaritmu (1) Pro pochopení podstaty šifrování a podepisování v ECC je důležité využití tzv. problému diskrétního logaritmu. Pro určitý bod P na křivce E postupně vypočítáme body 2P, 3P, 4P, 5P, 6P atd., čímž dostaneme obecně různé body xp na E. Protože křivka má konečný počet bodů, označíme ho #P, po určitém kroku m se nám musí tato posloupnost opakovat. V bodě opakování mp tak platí mp = np, kde np je některý z předešlých bodů. Odtud dostáváme mp np = O existuje nějaké r = m n, r < m takové, že rp = O, z toho plyne, že v posloupnosti P, 2P, 3P, 4P, 5P,... se vždy dostaneme k bodu O, a poté cyklus začína znovu od bodu P, protože (r + 1)P = rp +P = O + P = P. Nejmenší takové r, pro které je rp = O, nazýváme řád bodu P. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 10 / 22

ECC a problém diskrétního logaritmu (2) Lze dále dokázat, že řád bodu dělí řád křivky, přičemž řádem křivky nazýváme počet bodů na křivce #E. Různé body na křivce E mají různý řád. V kryptografické praxi vybíráme takové body, jejíchž řád je roven největšímu prvočíslu v rozkladu čísla #E nebo jeho násobku, který nazýváme kofaktor. U bodu řádu r máme zaručeno, že dojde k opakování v posloupnosti P, 2P, 3P,... až po r-tém kroku. V případě, že r je velké číslo, např. 2 256, je to skutečně dlouhá posloupnost. Právě při šifrování a elektronickém podepisování se využívá tak velké posloupnosti a to právě v souvislosti s tzv. problémem diskrétního logaritmu. V případě, že si zvolíme jako náš privátní klíč číslo k a vypočteme Q = kp, potom body P a Q můžeme zveřejnit jako součást veřejného klíče. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 11 / 22

ECC a problém diskrétního logaritmu (3) Problém diskrétního logaritmu je úloha, jak z bodů P a Q získat tajné číslo k tak, aby platilo Q = kp. Je zřejmé, že pro malý řád bodu P je úloha triviální. Pro velká r je to úloha, která se nedá řešit efektivně, tj. v polynomiálním čase. Z tohoto důvodu mohou být body P a Q zveřejněné. Dosud nejúčinnější metodou pro řešení takto definovaného problému diskrétního logaritmu je tzv. Pollardova ρ metoda, jejíž složitost je řádově (πr/2) 1/2 kroků. Pokud máme r = 2 256, dostáváme 2 128 kroků, což je zhruba na úrovní luštitelnosti symetrické blokové šifry se 128 bitovým klíčem. Pro nás je to z výpočetního hlediska neřešitelné, a tedy příslušná šifra je výpočetně bezpečná. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 12 / 22

Šifrování s ECC Podstatu šifrování pomocí ECC si ukážeme na analogii Diffie-Hellmanova schématu výměny klíče. Strana i a j, si chtějí vyměnit tajnou informaci přes veřejný kanál. Každá strana má důvěryhodnou cestou získaný veřejný klíč protistrany. V případě ECC ještě navíc předpokládáme, že oba sdílejí stejnou křivku E a její bod P. Označme po řadě d i a Q i privátní a veřejný klíč strany i, a obdobně d j a Q j pro stranu j, potom si obě strany mohou ustanovit společný klíč bod Z na křivce E, aniž spolu komunikují. Strana i vypočte bod Z jako d i Q j a strana j jako d j Q i. Tyto body jsou ve skutečnosti stejné, protože Z = d i Q j = d i (d j P)= (d i d j )P a současně Z = d j Q i = d j (d i P)= (d j d i )P. Tedy každá strana vezme bod veřejný klíč bod protistrany a sečte ho n-krát, kde n je privátní klíč. Protože obě strany vycházejí ze stejného bodu P, dospějí do stejného bodu Z. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 13 / 22

Double-and-Add algoritmus pro násobení bodu I Algoritmus Double-and-Add Algoritmus násobení bodu na EC je analogické algoritmu modulárného umocňování. Můžeme přímo převzít Square-and-Multiply algoritmus pro vytvoření algoritmu pro násobení bodu na EC. Jediny rozdíl je v tom, že umocňování se převede na zdvojnásobení bodů a násobení se převede na sčítaní bodu P. Pro náhodné číslo d (T = dp) délky t + 1 bitů vyžaduje algoritmus v průměru 1, 5t bodových zdvojnásobení a sčítaní. Algoritmus vykonává prohlíží bitovou reprezentaci d z leva doprava a podle hodnot jednotlivých bitů vykonává zdvojení v každé iteraci a sčítaní pokud hodnota právě prohlíženého bitů má hodnotu 1. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 14 / 22

Double-and-Add algoritmus pro násobení bodu II Double-and-Add algoritmus pro násobení bodu Vstup: eliptická křivka E, bod P E, d = t i=0 d i2 i, kde d i {1, 0}, d t = 1 a modul n.. Výstup: T = dp Inicializace: T = P Algoritmus: 1 FOR i = t 1 DOWNTO 0 1 T = T + T mod n 2 IF d i = 1 THEN T = T + P mod n 2 RETURN (T ) Příklad Uvažujme násobení 26P, které má následující binární reprezentaci 26P = (11010 2 )P = (d 4 d 3 d 2 d 1 d 0 )P R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 15 / 22

Double-and-Add algoritmus pro násobení bodu III Algoritmus prohlíží hodnotu d od msb - d 4 až po lsb d 0. Krok #0 P = 1 2 P init, bit d 4 = 1 #1a P + P = 2P = 10 2 P zdvojení, bit d 3 #1b 2P + P = 3P = 10 2 P + 1 2 P = 11 2 P sčítaní, bit d 3 = 1 #2a 3P + 3P = 6P = 2(11 2 P) = 110 2 P zdvojení, bit d 2 #2b nic, bit d 2 = 0 #3a 6P + 6P = 12P = 2(110 2 P) = 1100 2 P zdvojení, bit d 1 #3b 12P + P = 13P = 1100 2 P + 1 2 P = 1101 2 P sčítaní, bit d 1 = 1 #4a 13P + 13P = 26P = 2(1101 2 P) = 11010 2 P zdvojení, bit d 0 #4b nic, bit d 0 = 0 R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 16 / 22

ECDSA I ECDSA - Elliptic Curve Digital Signature Algorithm Kryptosystémy s eliptickými křivkami (ECC - Elliptic Curve Cryptosystem) pracující se slovem délky 160 až 256 bitů garantuji stejnou bezpečnost jako 1024 až 3072 bitové RSA. Kratší bitové slová umožňuji získat výsledky v kratším čase. Proto ECDSA byl v roce 1998 v USA stanoven ANSI (American National Signature Algorithm) normou. ECDSA norma je koncepčně blízka k DSA normě. Problém diskrétního logarotmu je vybudován na grupě EC. Aritmetické operace ECDSA jsou ale značně odlišné od aritmetických operací DSA. ECDSA je definován pro EC v GF(p) a GF(2 m ). V praxi je víc upřednostňována realizace v GF(p). Dále bude uvedena ECDSA varianta v GF (p). R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 17 / 22

ECDSA II Generování klíčů pro ECDSA 1 Je vybrána eliptická křivka E s nasledujícími parametry: modul p, koeficienty a a b, bod A generující cyklickou grupu prvočísla řádu křivky q. 2 Necht d je náhodné celé číslo a platí 0 < d < q. 3 Vypočteme B = da. Definujeme klíče: k pub = (p, a, b, q, A, B) k pr = (d). Definice klíčů reprezentuje problém diskrétniho logaritmu. Podle doporučení ANSI hodnota q by měla být minimálně 160 bitová pro zabezpečení vyšší úrovně bezpečnosti. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 18 / 22

ECDSA III Podpis a ověření podpisu Stejně jako u DSA tak, také u ECDSA podpis se skládá z dvijice celých čísel (r, s). Každý z nich má stejnou bitovou délku jako q. S použitím privátního a veřejného klíče si můžeme vyjádřit proces podpisu zprávy x následjujícím způsobem. Generování podpisu pomocí ECDSA 1 Vybereme nějaké náhodné dočasné celé číslo - klíč k E, kde 0 < k E < q. 2 Vypočítame R = k E A. 3 Necht r = x R. 4 Vypočítame s (h(x) + dr)k 1 E mod q. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 19 / 22

ECDSA IV V kroku 3 je x koordináta bodu R přiřazena proměnné r. Zpráva x je hašovaná s použitím hašovací funkce h. Následně je vypočítaná hodnota s. Výstup z hašovací funkce musí být minimálně tak velký jako q. Ověření podpisu pomocí ECDSA 1 Vypočítame pomocnou hodnotu w s 1 mod q. 2 Vypočítame pomocnou hodnotu u 1 wh(x) mod q. 3 Vypočítame pomocnou hodnotu u 2 wr mod q. 4 Vypočítame P = u 1 A + u 2 B. 5 Ověření ver kpub (x, (r, s)) plyne z: 1 x p q = r q platný podpis, 2 x p q r q neplatný podpis. V posledním kroku je označená x p souřadnice bodu P. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 20 / 22

ECDSA V Důkaz Pokud x p neni kongruentni modulo p s hod notou r tak podpis jeneplatný. co je ekvivalentní s (h(x) + dr)k 1 E mod q k E s 1 h(x) + ds 1 r mod q Pravá strana kongruence může být vyjádřena pomocí pomocných proměnných u 1 a u 2. k E u 1 + du 2 mod q R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 21 / 22

ECDSA VI V případě, že bod A generuje cyklickou grupu řádu q, můžeme vynásobit obě strany kongruence bodem A. k E A = (u 1 + du 2 )A = u 1 A + u 2 da = u 1 A + u 2 B Poslední výraz ukazuje, že výraz u 1 A + u 2 B je rovný k E A když korektní podpis a klíč byly použitý. To je přesně podmínka v ověřovacím procesu, která srovnává x-souřadnici bodu P = u 1 A + u 2 B a bodu R = k E A. R. Lórencz (ČVUT FIT) ECC MI-KRY, 2011, Předn. 11.-12. 22 / 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář