Jeder weiß, was eine Kurve ist

Bis er ausreichend Mathematik studiert hat, um durch die unzähligen Ausnahmen verwirrt zu werden.

Elliptische-Kurven-Kryptographie (ECC) ist ein Zweig der Kryptographie

seit Mitte der 1980er Jahre

Die Sicherheit des RSA-Algorithmus beruht auf der Annahme, dass die Faktorisierung großer Zahlen nicht möglich ist.

Auch die Sicherheit von ECC, DH und DSA basiert auf dem Problem des diskreten Logarithmus (i_wikipedia_Diskreter Logarithmusm_, 2013).
Den diskreten Logarithmus einer elliptischen Kurve von ihrem öffentlichen Basispunkt aus zu finden, gilt als undurchführbar.
Dies ist bekannt als das Elliptic Curve Discrete Logarithm Problem (ECDLP).
ECC und die zugrundeliegenden mathematischen Grundlagen sind nicht leicht zu verstehen - zum Glück gibt es einige gute Einführungen in das Thema. [27] [28] [29].

Höhere Sicherheit bei weniger Rechenaufwand

ECC bietet im Vergleich zu traditionellen asymmetrischen Algorithmen eine viel höhere Sicherheit bei weniger rechenintensiven Operationen (siehe Abschnitt Schlüssellängen).

Die Sicherheit von ECC hängt von den elliptischen Kurven und Kurvenpunkten ab, die als Parameter für den jeweiligen Algorithmus gewählt werden.
Schon lange vor dem NSA-Leak-Skandal gab es viele Diskussionen über diese Parameter und ihre mögliche Umgehung.
Ein Teil der Diskussion betraf empfohlene Kurven und Kurvenpunkte, die von verschiedenen Standardisierungsgremien wie dem National Institute of Standards and Technology (NIST) [30] ausgewählt und später in den meisten gängigen Krypto-Bibliotheken implementiert wurden.
Diese Parameter wurden von Kryptographen wiederholt in Frage gestellt (Bernstein & Lange, 2013).

Sicherheit wird erforscht

Zum Zeitpunkt der Erstellung dieses Dokuments wird an der Sicherheit verschiedener ECC-Parameter geforscht (SafeCurves: choosing safe curves for elliptic-curve cryptography, 2013).

Die meiste Software, die so konfiguriert ist, dass sie sich auf ECC verlässt (sei es ein Client oder ein Server), ist nicht in der Lage, bestimmte Kurven zu fördern oder auf eine schwarze Liste zu setzen.
Die Autoren hoffen, dass eine solche Funktionalität bald weit verbreitet sein wird.
Die Autoren dieses Papiers geben Konfigurationen und Empfehlungen mit und ohne ECC an - der Leser kann sich für die Einstellungen entscheiden, die er für seine Umgebung am besten geeignet findet.
Die Autoren werden diese Entscheidung nicht für den Leser treffen.

Warnung

Man sollte sich mit ECC, verschiedenen Kurven und Parametern vertraut machen, wenn man sich für ECC-Konfigurationen entscheidet.
Da es viele Diskussionen über die Sicherheit von ECC gibt, können fehlerhafte Einstellungen die Sicherheit des gesamten Systems gefährden!

Wikipedia

Datei:Elliptic curve crypto.png

Elliptische Kurve über

\mathbb {R}

Unter Vorlage:Lang (ECC) oder Vorlage:DeS versteht man asymmetrische Kryptosysteme, die Operationen auf elliptischen Kurven über endlichen Körpern verwenden. Diese Verfahren sind nur sicher, wenn diskrete Logarithmen in der Gruppe der Punkte der elliptischen Kurve nicht effizient berechnet werden können.

Jedes Verfahren, das auf dem diskreten Logarithmus in endlichen Körpern basiert, wie z. B. der Digital Signature Algorithm, das Elgamal-Kryptografiesverfahren oder der Diffie-Hellman, lässt sich in einfacher Weise auf elliptische Kurven übertragen und somit zu einem Elliptic-Curve-Kryptosystem umformen. Dabei werden die beim Originalverfahren eingesetzten Operationen (Multiplikation und Potenzieren) auf dem endlichen Körper ersetzt durch entsprechende Operationen (Punktaddition und Skalarmultiplikation) der Punkte auf der elliptischen Kurve. Das $n$ -fache Addieren eines Punktes $P$ zu sich selbst (also die Multiplikation mit dem Skalar $n$ ) wird mit $nP$ bezeichnet und entspricht einer Potenz $x^{n}$ im ursprünglichen Verfahren.

Das Prinzip wurde Mitte der 1980er Jahre von Victor S. Miller^[1] und Neal Koblitz^[2] unabhängig voneinander vorgeschlagen.

Funktionsprinzip

Auf elliptischen Kurven kann eine additive zyklische Gruppe definiert werden, die aus den Vielfachen eines Punktes auf der Kurve, des Erzeugers der Gruppe, besteht. Das Addieren zweier Punkte in der Gruppe ist einfach, es gibt aber Kurven, auf denen die „skalare Division“ für einen Punkt $A$ schwer ist, d. h., es ist kein effizientes Verfahren bekannt, um zu dem gegebenen Punkt $A$ in einer von einem Punkt $P$ erzeugten Gruppe eine natürliche Zahl $a$ mit $aP=A$ zu finden. Damit gibt es auf diesen Kurven ein Analogon zum Diskreten Logarithmus-Problem (DLP) in multiplikativen Gruppen, das ebenfalls DLP genannt wird.

Analog kann man das Computational-Diffie-Hellman-Problem (CDH, zu gegebenen $aP$ und $bP$ berechne $abP$ ) und das Decisional-Diffie-Hellman-Problem (DDH) definieren. Dadurch können kryptographische Verfahren, deren Sicherheit auf diesen Problemen beruht, auf elliptische Kurven übertragen werden, für die diese Probleme vermutlich schwierig sind. Beispiele dafür sind

Elliptic Curve Diffie-Hellman (ECDH)
Elliptic Curve Integrated Encryption Scheme (ECIES), auch Integrated Encryption Scheme (IES) genannt
Elliptic Curve Digital Signature Algorithm (ECDSA)
ECMQV, ein von Menezes, Qu und Vanstone vorgeschlagenes Protokoll zur Schlüsselvereinbarung

Darüber hinaus gibt es Kurven $E$ , auf denen eine Pairing genannte bilineare Abbildung $e\colon E\times E\to G$ in eine Gruppe $G$ existiert. In diesen Kurven ist zwar DDH leicht, da $e(aP,bP)=e(P,abP)$ gilt, die Existenz des Pairings erlaubt aber viele neuartige Anwendungen.

Effizienz und Sicherheit

Da das Problem des diskreten Logarithmus in elliptischen Kurven (ECDLP) deutlich schwerer ist als die Berechnung des diskreten Logarithmus in endlichen Körpern oder die Faktorisierung ganzer Zahlen, kommen Kryptosysteme, die auf elliptischen Kurven beruhen – bei vergleichbarer Sicherheit – mit erheblich kürzeren Schlüsseln aus als die herkömmlichen asymmetrischen Kryptoverfahren, wie z. B. das RSA oder der Diffie-Hellman. Die derzeit schnellsten Algorithmen sind der Babystep-Giantstep-Algorithmus und die Pollard-Rho-Methode, deren Laufzeit bei ${\mathcal {O}}(2^{n/2})$ liegt, wobei $n$ die Bitlänge der Größe des zugrundeliegenden Körpers ist. Nach heutigem Kenntnisstand wird z. B. mit einer Schlüssellänge von 160 Bit eine ähnliche Sicherheit erreicht wie bei RSA mit 1024 Bit.^[3] ECC eignet sich daher besonders dann, wenn die Speicher- oder Rechenkapazität begrenzt ist, z. B. in Smartcards oder anderen eingebetteten Systemen.

Beispielhaft werden hier die vom US-amerikanischen National Institute of Standards and Technology (NIST) und ECRYPT angegebenen äquivalenten Schlüssellängen für RSA- bzw. Diffie-Hellman-Schlüssel für bestimmte Sicherheitsniveaus aufgelistet.

Vergleich der Kryptografiesstärken^[4]^[5]
Sicherheitsniveau	RSA/DH (NIST)	RSA/DH (ECRYPT)	ECDH
80	1024	1248	160
112	2048	2432	224
128	3072	3248	256
192	7680	7936	384
256	15360	15424	512^[6]

Vergleich des Berechnungsaufwands^[4]
Sicherheitsniveau (bit)	Verhältnis bei DH : ECDH
80	3:1
112	6:1
128	10:1
192	32:1
256	64:1

Die Spalte Sicherheitsniveau bezieht sich auf die Bitlänge eines vergleichbar sicheren symmetrischen Kryptografiesalgorithmus.

Die mathematischen Operationen auf elliptischen Kurven sind aufwändiger zu berechnen als Operationen in vergleichbar großen endlichen Körpern oder RSA-Modulen. Allerdings kann mit erheblich kürzeren Schlüsseln ein Sicherheitsniveau erreicht werden, das mit Verfahren auf Basis des diskreten Logarithmus oder mit RSA vergleichbar ist. Unter anderem durch die kürzeren Schlüssel können Elliptische-Kurven-Kryptosysteme daher bei einem vergleichbaren Sicherheitsniveau schneller sein.^[7] Ein Vergleich der Recheneffizienz dieser kryptographischen Verfahren hängt jedoch stark von den Details der Implementierung (kryptographische Parameter, Arithmetik, Optimierungen, Programmiersprache und Compiler, zugrunde liegende Hardware) ab.

Seitenkanalangriffe

Im Mai 2011 veröffentlichten die Forscher Billy Bob Brumley und Nicola Tuveri eine wissenschaftliche Arbeit,^[8] in welcher sie einen erfolgreichen Timing-Angriff auf ECDSA beschreiben.^[9] Dabei setzten die Forscher einen Server mit OpenSSL auf. Der Angriff erfolgte über die Tatsache, dass das Ver- und Entschlüsseln mit unterschiedlichen ECDSA-Schlüsseln in der Implementierung von OpenSSL (Versionen 0.9.8o und 1.0.0.a) unterschiedlich viel Zeit in Anspruch nimmt. So konnten Brumley und Tuveri ohne Zugriff auf den Server den privaten Schlüssel berechnen. Eine Implementierung mit randomisierten Parametern oder eine geeignete Wahl der Kurvenparameter erlaubt jedoch Operationen mit konstantem Zeitbedarf.^[10]

Verwendung

Elliptic Curve Cryptography wird von modernen Windows-Betriebssystemen (ab Vista) unterstützt.^[11]

Produkte der Mozilla Foundation (u. a. Firefox, Thunderbird) unterstützen ECC mit min. 256 Bit Key-Länge (P-256 aufwärts).^[12]

Die in Österreich gängigen Bürgerkarten (e-card, Bankomat- oder a-sign Premium Karte) verwenden ECC seit ihrer Einführung 2004/2005, womit Österreich zu den Vorreitern in deren breitem Einsatz zählt.^[13]

Die Reisepässe der meisten Europäischen Staaten (u. a. Deutschland) verwenden ECC zumindest für den Schutz des Zugriffs auf den Chip mittels Extended Access Control, einige Länder (u. a. Deutschland und Schweiz) verwenden es auch, um die auf dem Chip gespeicherten Daten mit Passive Authentication zu schützen.^[14]

In Deutschland verwendet der neue Personalausweis ebenfalls ECC, sowohl für Extended Access Control als auch für Passive Authentication.^[15]

Sony benutzt Elliptic Curve DSA zur digitalen Signierung von Software für die PlayStation 3. Im Jahr 2010 gelang einer Hackergruppe die Ermittlung des benutzten Private Key und somit ein fast vollständiger Bruch der Sicherheitssysteme. Dies war jedoch vor allem auf Implementierungsfehler von Sony zurückzuführen und nutzte keine Sicherheitslücken im verwendeten ECC-Verfahren aus.^[16]

Patente

Laut der US-amerikanischen National Security Agency (NSA) sind Implementierungen mit Patentproblemen konfrontiert. Vor allem die kanadische Certicom Inc. besitzt demnach mehr als 130 Patente, die für ECC oder Public-Key-Kryptographie benötigt werden. 26 davon wurden von der NSA lizenziert, um ECC-Verfahren zu Zwecken nationaler Sicherheit zu implementieren.^[4]

In einer Studie des Zentrums für sichere Informationstechnologie Austria (A-SIT) wird auf Patente in effizienten Implementierungen hingewiesen, wobei ECC selbst „prinzipiell patentfrei“ sei.^[17]

RFC 6090 beschreibt grundlegende ECC-Algorithmen, die bereits 1994 oder vorher veröffentlicht wurden (und daher heute keinen Patenten mehr unterliegen können). Die im Internet heute weit verbreiteten ECC-Verfahren basieren auf diesen Algorithmen, so dass sie sich nach Veröffentlichung von RFC 6090 recht unproblematisch durchsetzen konnten.

Standardisierungsgremien und Normen

ANSI

ANSI X9.62-2005 ist die aktuelle Standardisierung des ECDSA.^[18]

ANSI X9.62 (ECDSA)
ANSI X9.63 (Key Agreement und Key Transport)

Die Kurven von X9.62-2005 wurden vom Geheimdienst NSA entworfen und eine Hintertür kann aufgrund der Freiheitsgrade in der Kurvenauswahlmethode nicht ausgeschlossen werden.^[19] Nach einer Analyse von Dan Bernstein ist der Beweis für die Zufälligkeit der Kurven, den die Kurvenauswahlmethode nach der Behauptung des Standards darstellt, schlichtweg nicht existent.^[20]^[19]

NIST

FIPS 186-3^[21]

Vorlage:Belege fehlen

Die NIST-Kurven wurden vom Geheimdienst NSA entworfen^[22] und basieren auf Grundkonstanten ungeklärter Herkunft, wodurch eine Hintertür nicht ausgeschlossen werden kann.^[20] Sie sind auch bezüglich einiger wünschenswerter Eigenschaften nicht sicher.^[10] Einen Beleg dafür, dass eine nur der NSA bekannte Hintertür existiert, gibt es bisher allerdings nicht.

IETF

RFC 6090 (Algorithmen für ECC)
RFC 3279, RFC 5480, RFC 5758 (Nutzung von ECC in X.509 Zertifikaten)
RFC 2409, RFC 4754, RFC 5903 (Nutzung von ECC in IKE)
RFC 4492, RFC 5246, RFC 5289, RFC 5489, RFC 6040 (Nutzung von ECC in TLS)
RFC 5656, RFC 6239, RFC 6594 (Nutzung von ECC in SSH)
RFC 5753, RFC 6161, RFC 6162, RFC 6278 (Nutzung von ECC in CMS)
RFC 4050 (Nutzung von ECC in XML-Signaturen)
RFC 6637 (Nutzung von ECC in OpenPGP)
RFC 6605 (Nutzung von ECC in DNSSEC)
RFC 5349 (Nutzung von ECC in Kerberos)
RFC 5915 (Elliptic Curve Private Key Structure, z. B. für PKCS#8)
RFC 5114 (zusätzliche elliptische Kurven für X.509 Zertifikate, IKE, TLS, SSH und S/MIME)
RFC 5639 (zusätzliche elliptische Kurven für X.509 Zertifikate, IKE, TLS, XML Signaturen und CMS)
RFC 5901, RFC 6507 (Identitätsbasierte Elliptische-Kurven-Kryptosysteme)

Die RFCs greifen auf die Brainpool-Kurven zurück.

ISO

ISO 14888-3^[23]
ISO 15946^[24]

IEEE

IEEE 1363^[25]

Der IEEE-Standard greift auf die gleiche Kurvenauswahlmethode wie der ANSI-Standard zurück, so dass die gleiche Kritik daran geäußert wurde.^[20]^[19]

ECC-Brainpool

Der ECC-Brainpool, eine Arbeitsgruppe des staatlich-industriellen Vereins TeleTrusT (Mitglieder u. a. BKA, BSI) zum Thema Elliptic Curve Cryptography, hat 2005 eine Anzahl von elliptischen Kurven spezifiziert, welche im März 2010 im RFC 5639 der IETF standardisiert wurde. Bei diesen Kurven ist besonders die Wahl der Bitlänge 512 zu erwähnen, abweichend zur von vielen anderen Institutionen (z. B. NIST, SECG) präferierten Bitlänge 521.

Der angebliche Designraum der Brainpool-Kurven enthält viele Freiheitsgrade, die aber bei der Konstruktion gar nicht ausgenutzt wurden. So hält sich weiter das Gerücht, dass eine Hintertür eingebaut wurde.^[19] Tatsächlich hat die seinerzeit öffentlich tagende Brainpool-Gruppe zuerst die Konstanten und Design-Parameter gewählt und erst danach wurden durch das BSI die entsprechenden Kurven gesucht. Den Brainpool-Kurven fehlen allerdings auch einige der sogenannten wünschenswerten Eigenschaften. Ihre Sicherheit wird dadurch aber nicht eingeschränkt.^[10]

SECG

Die „Standards for Efficient Cryptography Group“ (SECG) ist ein 1998 gegründetes Konsortium zur Förderung des Einsatzes von ECC-Algorithmen. SECG hat als erste die 521-Bit-Kurve spezifiziert, die dann vom NIST übernommen wurde. Diese spezielle Wahl beruht auf der Tatsache, dass auf Primzahlen der Form $2^{n}-1$ zurückgegriffen werden sollte, um das Rechnen mit Restklassen modulo dieser Primzahl zu beschleunigen. Für $300<n<600$ ist jedoch nur $2^{521}-1$ eine Primzahl.^[26]

SECG SEC 2 greift auf die Kurven der NSA aus dem NIST-Standard zurück und übernimmt zusätzlich die nicht zutreffende Behauptung des ANSI-Standards, sie seien verifizierbar zufällig gewählt worden.^[20]^[19]

BSI

Das Bundesamt für Sicherheit in der Informationstechnik legt in der Technical Guideline TR-03111 Version 2.0 bzw. 2.1^[27] Vorgaben und Empfehlungen für die Implementierung von Elliptische-Kurven-Kryptographie fest. Man beachte jedoch, dass der in der Version 2.0 definierte Algorithmus EC-Schnorr nicht kompatibel zu den in ISO 14888-3 definierten Schnorr-Signaturen EC-SDSA und EC-FSDSA ist.

SafeCurves

Das SafeCurves-Projekt von Bernstein hat mit den sicheren, akademischen Kurven Curve25519 (bzw. Ed25519), Ed448-Goldilocks und E-521 inzwischen einen De-facto-Standard geschaffen. Die staatlichen Kurven haben das Vertrauen mancher führenden Kryptographen verloren, da die Kurvenwahl nicht vollständig transparent nachvollziehbar ist^[19] und somit eine ähnliche kleptographische Hintertür wie bei Dual_EC_DRBG oder eine sonstige Hintertür nicht sicher ausgeschlossen werden kann.^[28]

Siehe auch

Literatur

Weblinks

Einzelnachweise

<references> ^[1] ^[2] ^[4] ^[5]

↑ ^1,0 ^1,1 Vorlage:Literatur
↑ ^2,0 ^2,1 Vorlage:Literatur
↑
↑ ^4,0 ^4,1 ^4,2 ^4,3
↑ ^5,0 ^5,1
↑ NIST hat nur eine 521-bit Kurve standardisiert und gibt daher als äquivalentes Sicherheitsniveau 521 bit an.
↑ R. Szerwinski, T. Güneysu: Exploiting the Power of GPUs for Asymmetric Cryptography. Proceedings of CHES 2008, pp. 79–99, 2008
↑
↑
↑ ^10,0 ^10,1 ^10,2
↑
↑
↑
↑
↑
↑
↑
↑ ANSI X9.62-2005, Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)
↑ ^19,0 ^19,1 ^19,2 ^19,3 ^19,4 ^19,5 https://bada55.cr.yp.to/bada55-20150927.pdf
↑ ^20,0 ^20,1 ^20,2 ^20,3 http://safecurves.cr.yp.to/rigid.html
↑ (ECDSA)
↑ https://www.miracl.com/press/backdoors-in-nist-elliptic-curves
↑
↑
↑
↑ http://www.secg.org/sec2-v2.pdf
↑ [1]
↑ https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html#c1675929

[Miller-1] 1,0 ^1,1 Vorlage:Literatur

[Koblitz-2] 2,0 ^2,1 Vorlage:Literatur

[keylength_com-3] ↑

[nsa-ellipticcurves-4] 4,0 ^4,1 ^4,2 ^4,3

[ecrypt-5] 5,0 ^5,1

[6] NIST hat nur eine 521-bit Kurve standardisiert und gibt daher als äquivalentes Sicherheitsniveau 521 bit an.

[7] R. Szerwinski, T. Güneysu: Exploiting the Power of GPUs for Asymmetric Cryptography. Proceedings of CHES 2008, pp. 79–99, 2008

[timingattackpaper-8] ↑

[heise_timingangriffe-9] ↑

[safecurves.cr.yp.to-10] 10,0 ^10,1 ^10,2

[asit_eccToday-11] ↑

[mozilla_root_cas-12] ↑

[asit_ecc_curves-13] ↑

[buslab_zdenek_riha-14] ↑

[bsi_fuer_buerger_pdf_locher-15] ↑

[16] ↑

[asit_ElliptischeKurven_und_Signatur_Studie-17] ↑

[18] ANSI X9.62-2005, Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)

[bada55-20150927.pdf-19] 19,0 ^19,1 ^19,2 ^19,3 ^19,4 ^19,5 https://bada55.cr.yp.to/bada55-20150927.pdf

[rigid.html-20] 20,0 ^20,1 ^20,2 ^20,3 http://safecurves.cr.yp.to/rigid.html

[fips_186_3-21] (ECDSA)

[22] ttps://www.miracl.com/press/backdoors-in-nist-elliptic-curves

[iso_14888_3-23] ↑

[iso_15946-24] ↑

[ieee_1363-25] ↑

[26] ttp://www.secg.org/sec2-v2.pdf

[27] [1]

[28] ttps://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html#c1675929

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]