تعمية المنحنى الناقصي

تعمية المنحنى الناقصي أو "تشفير المنحنى الإهليلجي" Elliptic-curve cryptography ‏(ECC) هو نهج لـ تعمية المفتاح المعلن استناداً إلى البنية الجبرية لـ المنحنى الناقصي على المجالات المحدودة. يسمح رمز تصحيح الأخطاء (ECC) بمفاتيح أصغر مقارنة بالتعمية غير التابعة للمنحنيات الناقصية (استناداً إلى حقول گالوا) لتوفير حماية مكافئة.[1]

المنحنيات الناقصية قابلة للتطبيق على موافقة المفتاح، التواقيع الرقمية، المولدات شبه عشوائية والمهام الأخرى. وبشكل غير مباشر، يمكن استخدامها من أجل التشفير من خلال دمج موافقة المفتاح مع نظام التشفير المتماثل. يتم استخدامها أيضاً في العديد من خوارزميات التحليل الصحيح للعوامل استناداً إلى المنحنيات الناقصية التي لها تطبيقات في التعمية، مثل تحليل المنحنى الناقصي لنسترا.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

النسبية

تعتمد تعمية المفتاح المعلن على صعوبة حل بعض مشكلات العمليات الرياضية. فقد اعتمدت أنظمة المفتاح المعلن الأولية في أمانها على افتراض أنه من الصعب تحليل عوامل عدد صحيح كبير يتكون من عاملين أو أكثر من العوامل الأولية الكبيرة. بالنسبة إلى الپروتوكولات اللاحقة القائمة على المنحنى الناقصي، فإن الافتراض الأساسي هو أن العثور على لوغاريتم متقطع لعنصر منحنى ناقصي عشوائي فيما يتعلق بنقطة أساسية معروفة بشكل عام غير ممكن: هذه هي "مشكلة اللوغاريتم المنفصل لمنحنى ناقصي" ( ECDLP). يعتمد أمان تعمية المنحنى الناقصي على القدرة على حساب مضاعفة النقاط وعدم القدرة على حساب المضاعف بالنظر إلى النقاط الأصلية والجداء. يحدد حجم المنحنى الناقصي صعوبة المشكلة.

أقر المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة (NIST) تعمية المنحنى الناقصي في مجموعة Suite B من الخوارزميات الموصى بها، وتحديداً المنحنى الناقصي دفي–هلمان (ECDH ) لتبادل المفاتيح و خوارزمية التوقيع الرقمي للمنحنى الناقصي (ECDSA) للتوقيع الرقمي. تسمح وكالة الأمن القومي الأمريكية (NSA) باستخدامها لحماية المعلومات المصنفة على أنها سرية للغاية بمفاتيح 384 بت.[2] ومع ذلك، في أغسطس 2015، أعلنت وكالة الأمن القومي أنها تخطط لاستبدال Suite B بمجموعة تشفير جديدة بسبب مخاوف بشأن هجمات الحوسبة الكمية على ECC.[3]

بينما انتهت صلاحية براءة اختراع RSA في عام 2000، قد تكون هناك براءات الاختراع السارية التي تغطي جوانب معينة من تقنية ECC. ومع ذلك، يجادل البعض بأن حكومة الولايات المتحدة معيار التوقيع الرقمي للمنحنى الناقصي (ECDSA; NIST FIPS 186-3) وبعض أنظمة تبادل المفاتيح العملية القائمة على ECC (بما في ذلك ECDH) يمكن تنفيذها دون انتهاكها، بما في ذلك مخابر RSA [4] ودانيال جاي. برنشتاين.[5]

الفائدة الأساسية التي يعد بها تعمية المنحنى الناقصي هي أن يكون حجم المفتاح أصغر، مما يقلل من متطلبات التخزين والارسال،[6] أي أن مجموعة المنحنى الناقصي يمكن أن توفر نفس مستوى الأمان الذي يوفره نظام قائم على RSA مع معامل كبير ومفتاح أكبر في المقابل: على سبيل المثال، يجب أن يوفر المفتاح المعلن ذو المنحنى الناقصي 256-bit أماناً مشابهاً لمفتاح معلن ذو RSA 3072 بت.


تاريخ

تم اقتراح استخدام المنحنيات الناقصية في التعمية بشكل مستقل بواسطة نيل كوبلتس[7] و ڤيكتور إس. ميلر[8] في عام 1985. وقد دخلت خوارزميات تعمية المنحنى الناقصي استخداماً واسعاً في الفترة من 2004 إلى 2005.

النظرية

لأغراض التعمية الحالية، فإن المنحنى الناقصي هو منحنى مستوي على مجال محدود (بدلاً من الأرقام الحقيقية) والذي يتكون من النقاط التي تحقق المعادلة

جنباً إلى جنب مع نقطة مميزة عند اللانهاية، يُشار إليها بـ ∞. (يجب اختيار الإحداثيات هنا من مجال محدود من خاصية لا تساوي 2 أو 3، أو ستكون معادلة المنحنى أكثر تعقيداً إلى حد ما.)

هذه المجموعة مع عمليات مجموعة المنحنيات الناقصية هي مجموعة أبيلية، مع النقطة اللانهائية كعنصر مطابقة. يتم منح بنية المجموعة من مجموعة المقسوم عليه من التنوع الجبري الأساسي.

أنظمة التعمية

تم تكييف العديد من الپروتوكولات المستندة إلى اللوغاريتم المتقطع مع المنحنيات الناقصية، واستبدال المجموعة بمنحنى ناقصي:

في مؤتمر RSA 2005، أعلنت وكالة الأمن القومي (NSA) عن Suite B الذي يستخدم حصرياً ECC لإنشاء التوقيع الرقمي وتبادل المفاتيح. ويهدف هذا الجناح إلى حماية كل من أنظمة ومعلومات الأمن القومي السرية وغير السرية.[6]

في الآونة الأخيرة، تم تقديم عدد كبير من أساسيات التشفير استناداً إلى التعيينات ثنائية الخطية على مجموعات منحنيات ناقصية مختلفة، مثل ڤيل و اقتران تيت. توفر المخططات المستندة إلى هذه العناصر الأولية تشفير قائم على المطابقة فعالاً بالإضافة إلى تواقيع قائمة على الاقتران، و تعمية التوقيع، و موافقة المفاتيح، و إعادة تشفير الوكيل.

التنفيذ

تتضمن بعض اعتبارات التطبيق الشائعة ما يلي:

پارامترات المجال

لاستخدام ECC، يجب على جميع الأطراف الاتفاق على جميع العناصر التي تحدد المنحنى الناقصي، أي پارامترات المجال للمخطط. يتم تحديد الحقل بواسطة p في الحالة الأولية وزوج m و "f في الحالة الثنائية. يتم تعريف المنحنى الناقصي من خلال الثوابت a و b المستخدمة في معادلتها التطابقية. أخيراً، يتم تحديد المجموعة الفرعية الدورية من خلال المولد (المعروف أيضاً باسم النقطة الأساسية) G. بالنسبة لتطبيق التعمية، فإن الترتيب الخاص بـ G، هذا هو أصغر رقم موجب n مثل (نقطة عند اللانهاية للمنحنى، و عنصر المطابقة)، عادة ما تكون أولية. نظراً لأن n هو حجم مجموعة فرعية من فإنه يتبع من مبرهنة لاگرانج أن الرقم عدد صحيح. في تطبيقات التعمية، يجب أن يكون هذا الرقم h، المسمى العامل المساعد، صغيراً () ويفضل أن يكون . للتلخيص: في الحالة الأولية، پارامترات المجال هي ؛ في الحالة الثنائية، تكون .

ما لم يكن هناك ضمان بأن پارامترات المجال قد تم إنشاؤها من قبل طرف موثوق به فيما يتعلق باستخدامها، يجب التحقق من صحة پارامترات المجال قبل الاستخدام.

لا يتم عادةً إنشاء پارامترات المجال من قبل كل مشارك لأن هذا يتضمن عدد النقاط على المنحنى وهو أمر يستغرق وقتاً طويلاً ومن الصعب تنفيذه. ونتيجة لذلك، نشرت العديد من الهيئات القياسية پارامترات المجال للمنحنيات الناقصية للعديد من أحجام المجالات الشائعة. تُعرف پارامترات المجال هذه باسم المنحنيات القياسية أو المنحنيات المسماة؛ يمكن الإشارة إلى منحنى مسمى إما بالاسم أو عن طريق مميز الشيء الفريد المحدد في المستندات القياسية:

متجهات اختبار SECG متاحة أيضاً[9] وافقت NIST على العديد من منحنيات SECG، لذلك هناك تداخل كبير بين المواصفات المنشورة بواسطة NIST و SECG. يمكن تحديد پارامترات مجال EC إما بالقيمة أو بالاسم.

إذا أراد أحد (على الرغم من ما سبق) إنشاء پارامترات المجال الخاصة به، فيجب على المرء تحديد الحقل الأساسي ثم استخدام إحدى الاستراتيجيات التالية للعثور على منحنى بعدد مناسب (أي بالقرب من العدد الرئيسي) من النقاط باستخدام إحدى الطرق التالية :

  • حدد منحنى عشوائي واستخدم خوارزمية عامة لحساب النقاط، على سبيل المثال، خوارزمية شوف أو خوارزمية شوف-إلكيز-آتكن،
  • حدد منحنى عشوائي من إحدى العائلات مما يتيح سهولة حساب عدد النقاط (على سبيل المثال، منحنيات كوبلتس)، أو
  • حدد عدد النقاط وقم بإنشاء منحنى بهذا العدد من النقاط باستخدام تقنية الضرب المعقد.[10]

يوجد عدة تصنيفات من المنحنيات وهي ضعيفة ويجب تجنبها:

  • المنحنيات على مع m غير الأولية معرضة لهجمات تدرج ڤيل.[11][12]
  • منحنيات مثل n تقسم (حيث p هي خاصية المجال: q للمجال الأولي أو للمجال الثنائي) لحقل B صغير بدرجة كافية تكون عرضة لهجوم منزس-أوكاموتو-ڤانستون(MOV)[13][14] الذي يطبق مشكلة اللوگاريتم المتقطع (DLP) في مجال امتداد بدرجة صغيرة من لحل ECDLP. يجب اختيار الحد B بحيث يكون حساب لوگاريتم متقطع في المجال على الأقل بنفس صعوبة حساب السجلات المتقطعة على المنحنى الناقصي .[15]
  • المنحنيات مثل أن عرضة للهجوم الذي يقوم بتعيين النقاط على المنحنى إلى المجموعة المضافة لـ .[16][17][18]

أحجام المفاتيح

نظراً لأن جميع الخوارزميات الأسرع المعروفة التي تسمح لأحدهم بحل ECDLP (baby-step giant-step، رو پولار، وما إلى ذلك)، تحتاج إلى خطوة، فإنه يترتب على ذلك أن حجم المجال الأساسي يجب أن يكون ضعف پارامتر الأمان تقريباً. على سبيل المثال، للحصول على أمان 128 بت، يحتاج المرء إلى منحنى على ، حيث . يمكن مقارنة ذلك بتعمية المجال المحدود (على سبيل المثال، DSA) الذي يتطلب[19] مفاتيح عمومية 3072 بت ومفاتيح خاصة 256 بت، والتحليل إلى عوامل صحيحة (على سبيل المثال، RSA) الذي يتطلب قيمة 3072 بت لـ n، حيث يجب أن يكون المفتاح الخاص بنفس الحجم. ومع ذلك، قد يكون المفتاح المعلن أصغر لاستيعاب التشفير الفعال، خاصة عندما تكون طاقة المعالجة محدودة.

أصعب مخطط ECC (معلن) والذي تم كسره حتى الآن كان يحتوي على مفتاح 112 بت لحالة المجال الأولي ومفتاح 109 بت لحالة المجال الثنائي. بالنسبة لحالة المجال الأولي، تم كسر هذا في يوليو 2009 باستخدام مجموعة تضم أكثر من 200 وحدة ألعاب PlayStation 3 وكان من الممكن الانتهاء منها خلال 3.5 شهراً باستخدام هذه المجموعة عند التشغيل المستمر.[20] تم كسر حالة المجال الثنائي في أبريل 2004 باستخدام 2600 جهاز حاسب على مدار 17 شهراً.[21]

يهدف مشروع حالي إلى كسر تحدي ECC2K-130 من قبل شركة Certicom، باستخدام مجموعة كبيرة من الأجهزة المختلفة: CPUs, GPUs, FPGA.[22]

الإحداثيات الإسقاطية

يُظهر الفحص الدقيق لقواعد الإضافة أنه من أجل إضافة نقطتين، لا يحتاج المرء فقط إلى عمليات جمع وضرب متعددة في ولكن أيضاً يحتاج إلى عملية عكس. الانعكاس (لأجل معطى نجد بحيث يكون ) أقل بحجم واحد إلى اثنين[23]من الضرب. ومع ذلك، يمكن تمثيل النقاط الموجودة على منحنى في أنظمة إحداثيات مختلفة لا تتطلب عملية انعكاس لإضافة نقطتين. تم اقتراح العديد من هذه الأنظمة: في نظام الإسقاط يتم تمثيل كل نقطة بثلاثة إحداثيات باستخدام العلاقة التالية: , ; في نظام جاكوبي، يتم تمثيل نقطة أيضاً بثلاثة إحداثيات ، ولكن يتم استخدام علاقة مختلفة: , ; تكون العلاقة في نظام لوپيز– داهاب , ; في نظام جاكوبي المعدل، يتم استخدام نفس العلاقات ولكن يتم تخزين أربعة إحداثيات واستخدامها للحسابات ; وفي نظام تشودنوڤسكي الجاكوبي، يتم استخدام خمسة إحداثيات . لاحظ أنه قد يكون هناك اصطلاحات تسمية مختلفة، على سبيل المثال، يستخدم معيار IEEE P1363 - 2000 الإحداثيات الإسقاطية للإشارة إلى ما يسمى بالإحداثيات الجاكوبية. يمكن زيادة سرعة إضافية إذا تم استخدام الإحداثيات المختلطة.[24]

الاختزال السريع (منحنيات NIST)

يمكن تنفيذ نموذج الاختزال p (المطلوب للجمع والضرب) بشكل أسرع بكثير إذا كان p الأولي شبه - عدد مرسن الأولي، أي s ; على سبيل المثال، or مقارنة بـ اختزال باريت، يمكن أن يكون هناك ترتيب لتسريع الحجم.[25]إن التسريع هنا عملي وليس نظري، وهو مستمد من حقيقة أن معاملات الأرقام مقابل الأرقام القريبة من قوى اثنين يمكن إجراؤها بكفاءة بواسطة أجهزة الحاسب التي تعمل على أرقام ثنائية مع عمليات على مستوى البت.

المنحنيات على مع شبه-مرسن p الموصى بها بواسطة NIST. ميزة أخرى لمنحنيات NIST هي أنها تستخدم a = −3، مما يحسن الإضافة في إحداثيات جاكوبي.

وفقًا لبرنستين ولانگه، فإن العديد من القرارات المتعلقة بالكفاءة في NIST FIPS 186-2 دون المستوى الأمثل. المنحنيات الأخرى أكثر أماناً وتعمل بنفس السرعة.[26]


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

تطبيقات

المنحنيات الناقصية قابلة للتطبيق على التشفير، التوقيعات الرقمية، مولدات شبه-عشوائية|المولدات شبه-عشوائية والمهام الأخرى. يتم استخدامها أيضاً في العديد من خوارزميات التحليل الصحيح للعوامل التي لها تطبيقات في التعمية، مثل تحليل منحنى لنسترا الناقصي إلى عوامل.

في عام 1999، أوصت NIST بخمسة عشر منحنى ناقصي. على وجه التحديد، FIPS 186-4[27]والذي يحتوي على عشرة مجالات محدودة موصى بها:

  • خمسة مجالات أولية لبعض الأعداد الأولية p بأحجام 192 و 224 و 256 و 384 و 521 [ك‍] بت. يوصى باستخدام منحنى ناقصي واحد لكل مجال من المجالات الأولية.
  • خمسة مجالات ثنائية لـ m تساوي 163 و 233 و 283 و 409 و 571. لكل مجال من المجالات الثنائية، منحنى ناقصي واحد وتم اختيار منحنى واحد كوبلتز.

وهكذا تحتوي توصية NIST على إجمالي خمسة منحنيات أساسية وعشرة منحنيات ثنائية. تم اختيار المنحنيات ظاهرياً لتحقيق الأمان الأمثل وكفاءة التنفيذ.[28]

في عام 2013، ذكرت ذا نيويورك تايمز أن إنشاء منحنى ناقصي مزدوج محدد عشوائياً (أو Dual_EC_DRBG) قد تم إدراجه كمعيار وطني NIST بسبب تأثير NSA، والتي تضمنت ضعفاً متعمّداً في الخوارزمية والمنحنى الناقصي الموصى به.[29]وقد أصدرت RSA للحماية في سبتمبر 2013 نصيحة استشارية توصي فيها عملاءها بالتوقف عن استخدام أي برنامج يعتمد على Dual_EC_DRBG.[30][31] في أعقاب الكشف عن Dual_EC_DRBG على أنه "عملية سرية تابعة لوكالة الأمن القومي"، أعرب خبراء التعمية أيضاً عن قلقهم بشأن أمان المنحنيات الناقصية التي أوصت بها NIST،[32] مما يشير إلى العودة إلى التشفير على أساس مجموعات منحنيات غير ناقصية.

يتم استخدام تعمية المنحنى الناقصي بواسطة العملة المشفرة بتكوين.[33] يستخدم الإصدار 2.0 من إثيريم استخداماً مكثفاً لأزواج المنحنى الناقصي باستخدام توقيع BLS - كما هو محدد في IETF مسودة مواصفات BLS - للتأكد من أن مدقق Eth2 محدداً قد تحقق بالفعل من معاملة معينة.[34][35]

الأمن

هجمات القناة الجانبية

على عكس معظم أنظمة DLP الأخرى (حيث يكون من الممكن استخدام نفس الإجراء للتربيع والضرب)، فإن إضافة EC تختلف اختلافاً كبيراً في المضاعفة (P = Q) و إضافة عامة (PQ) اعتماداً على نظام الإحداثيات المستخدم. وبالتالي، من المهم مواجهة هجوم القناة الجانبية (على سبيل المثال، التوقيت أو هجمات تحليل القدرة البسيطة / التفاضلية) باستخدام، على سبيل المثال، أساليب النافذة ذات النمط الثابت (الملقب بالمشط)[مطلوب توضيح][36] (لاحظ أن هذا لا يزيد من وقت الحساب). بدلا من ذلك يمكن للمرء استخدام منحنى إدواردز؛ هذه مجموعة خاصة من المنحنيات الناقصية التي يمكن من أجلها مضاعفة وإضافة نفس العملية.[37]مصدر قلق آخر لأنظمة تصحيح الأخطاء (ECC) هو خطر هجمات الأخطاء، خاصة عند التشغيل على البطاقات الذكية.[38]

من وراء الكواليس

أعرب خبراء التعمية عن مخاوفهم من أن وكالة الأمن القومي قد أدخلت كواليساً سرقة المعلومات بشكل آمن في مولد شبه-عشوائي قائم على المنحنى الناقصي واحد على الأقل.[39] تشير المذكرات الداخلية التي تم تسريبها من قبل المقاول السابق لوكالة الأمن القومي، إدوارد سنودن، إلى أن وكالة الأمن القومي تضع كواليساً في معيار Dual EC DRBG.[40] خلص أحد التحليلات للكواليس المحتمل إلى أن الخصم الذي يمتلك المفتاح السري للخوارزمية يمكنه الحصول على مفاتيح تشفير معطاة 32 بايت فقط من إخراج PRNG.[41]

تم إطلاق مشروع SafeCurves من أجل فهرسة المنحنيات التي يسهل تنفيذها بأمان والمصممة بطريقة يمكن التحقق منها بشكل عام لتقليل فرصة وجود كواليس.[42]

هجمات الحوسبة الكمومية

يمكن استخدام خوارزمية شور لكسر تشفير المنحنى الناقصي عن طريق حساب اللوگاريتمات المتقطعة على الحاسب الكمي الافتراضي. أحدث تقديرات الموارد الكمية لكسر منحنى بمعامل 256 بت (مستوى أمان 128 بت) هي 2330 كيوبت و 126 مليار بوابة توفولي.[43] وبالمقارنة، فإن استخدام خوارزمية شور لكسر خوارزمية RSA يتطلب 4098 كيوبت و 5.2 تريليون بوابة توفولي لمفتاح RSA 2048 بت، مما يشير إلى أن ECC هدف أسهل لأجهزة الحاسب الكمومية من RSA. كل هذه الأرقام تتجاوز بكثير أي كمبيوتر كمي تم بناؤه على الإطلاق، وتشير التقديرات إلى أن إنشاء مثل هذه الحواسيب يبعد عقداً أو أكثر.[بحاجة لمصدر]

يوفر تبادل مفاتيح ديفي-هلمان متساوية التماثل فائقة التفرد شكلًا آمناً ما بعد الكم لتشفير المنحنى الناقصي باستخدام isogenies لتنفيذ تبادلات مفاتيح ديفي-هلمان. يستخدم تبادل المفاتيح هذا كثيراً من نفس العمليات الحسابية في المجال مثل تشفير المنحنى الناقصي الحالي ويتطلب نفقات حسابية ونقل مشابه للعديد من أنظمة المفاتيح المعلنة المستخدمة حالياً.[44]

في أغسطس 2015، أعلنت وكالة الأمن القومي أنها تخطط للانتقال "في المستقبل غير البعيد" إلى مجموعة تشفير جديدة مقاومة لهجمات الكم. "لسوء الحظ، اصطدم نمو استخدام المنحنى الناقصي بحقيقة التقدم المستمر في البحث عن الحوسبة الكمية، مما يستلزم إعادة تقييم إستراتيجيتنا في التعمية."[3]

هجوم المنحنيات الغير صالحة

عند استخدام ECC في الآلات الافتراضية، قد يستخدم المهاجم منحنى غير صالح للحصول على مفتاح خاص PDH كامل.[45]

براءات الاختراع

تغطي البراءات مخطط واحد على الأقل من مخطط ECC (ECMQV) وبعض تقنيات التنفيذ.

تمثيلات بديلة

تشمل التمثيلات البديلة للمنحنيات الناقصية ما يلي:

انظر أيضاً

ملاحظات

  1. ^ Commercial National Security Algorithm Suite and Quantum Computing FAQ U.S. National Security Agency, January 2016.
  2. ^ "Fact Sheet NSA Suite B Cryptography". U.S. National Security Agency. Archived from the original on 2009-02-07.
  3. ^ أ ب "Commercial National Security Algorithm Suite". www.nsa.gov. 19 August 2015. Archived from the original on 2019-06-04. Retrieved 2020-01-08.
  4. ^ RSA Laboratories. "6.3.4 Are elliptic curve cryptosystems patented?". Archived from the original on 2016-11-01.
  5. ^ Bernstein, D. J. "Irrelevant patents on elliptic-curve cryptography".
  6. ^ أ ب "The Case for Elliptic Curve Cryptography". NSA. Archived from the original on 2009-01-17.
  7. ^ Koblitz, N. (1987). "Elliptic curve cryptosystems". Mathematics of Computation. 48 (177): 203–209. doi:10.2307/2007884. JSTOR 2007884.
  8. ^ Miller, V. (1985). "Use of elliptic curves in cryptography". Advances in Cryptology — CRYPTO '85 Proceedings. Lecture Notes in Computer Science. Vol. 85. pp. 417–426. doi:10.1007/3-540-39799-X_31. ISBN 978-3-540-16463-0. {{cite book}}: |journal= ignored (help)
  9. ^ "GEC 2: Test Vectors for SEC 1" (PDF). www.secg.org. Archived from the original (PDF download) on 2013-06-06.
  10. ^ Lay, Georg-Johann; Zimmer, Horst G. (1994). "Constructing elliptic curves with given group order over large finite fields". Algorithmic Number Theory. Lecture Notes in Computer Science. Vol. 877. pp. 250–263. doi:10.1007/3-540-58691-1_64. ISBN 978-3-540-58691-3.
  11. ^ Galbraith, S. D.; Smart, N. P. (1999). "A Cryptographic Application of Weil Descent". A cryptographic application of the Weil descent. Lecture Notes in Computer Science. Vol. 1746. p. 799. doi:10.1007/3-540-46665-7_23. ISBN 978-3-540-66887-9. S2CID 15134380. {{cite book}}: |work= ignored (help)
  12. ^ Gaudry, P.; Hess, F.; Smart, N. P. (2000). "Constructive and destructive facets of Weil descent on elliptic curves" (PDF). Hewlett Packard Laboratories Technical Report.
  13. ^ Menezes, A.; Okamoto, T.; Vanstone, S. A. (1993). "Reducing elliptic curve logarithms to logarithms in a finite field". IEEE Transactions on Information Theory. 39 (5): 1639–1646. doi:10.1109/18.259647.
  14. ^ Hitt, L. (2006). "On an Improved Definition of Embedding Degree". IACR ePrint Report. 415.
  15. ^ IEEE P1363, section A.12.1
  16. ^ Semaev, I. (1998). "Evaluation of discrete logarithm in a group of p-torsion points of an elliptic curve in characteristic p". Mathematics of Computation. 67 (221): 353–356. Bibcode:1998MaCom..67..353S. doi:10.1090/S0025-5718-98-00887-4.
  17. ^ Smart, N. (1999). "The discrete logarithm problem on elliptic curves of trace one". Journal of Cryptology. 12 (3): 193–196. CiteSeerX 10.1.1.17.1880. doi:10.1007/s001459900052. S2CID 24368962.
  18. ^ Satoh, T.; Araki, K. (1998). "Fermat quotients and the polynomial time discrete log algorithm for anomalous elliptic curves". Commentarii Mathematici Universitatis Sancti Pauli. 47.
  19. ^ NIST, Recommendation for Key Management—Part 1: general, Special Publication 800-57, August 2005.
  20. ^ "112-bit prime ECDLP solved – LACAL". lacal.epfl.ch. Archived from the original on 2009-07-15. Retrieved 2009-07-11.
  21. ^ "Certicom Announces Elliptic Curve Cryptography Challenge Winner". Certicom. April 27, 2004. Archived from the original on 2011-07-19.
  22. ^ "Breaking ECC2K-130". www.ecc-challenge.info.
  23. ^ Hitchcock, Y.; Dawson, E.; Clark, A.; Montague, P. (2002). "Implementing an efficient elliptic curve cryptosystem over GF(p) on a smart card" (PDF). ANZIAM Journal. 44. Archived from the original (PDF) on 2006-03-27.
  24. ^ Cohen, H.; Miyaji, A.; Ono, T. (1998). Efficient Elliptic Curve Exponentiation Using Mixed Coordinates. Lecture Notes in Computer Science. Vol. 1514. pp. 51–65. doi:10.1007/3-540-49649-1_6. ISBN 978-3-540-65109-3. {{cite book}}: |journal= ignored (help)
  25. ^ Brown, M.; Hankerson, D.; Lopez, J.; Menezes, A. (2001). Software Implementation of the NIST Elliptic Curves Over Prime Fields. Lecture Notes in Computer Science. Vol. 2020. pp. 250–265. CiteSeerX 10.1.1.25.8619. doi:10.1007/3-540-45353-9_19. ISBN 978-3-540-41898-6. {{cite book}}: |journal= ignored (help)
  26. ^ Daniel J. Bernstein & Tanja Lange. "SafeCurves: choosing safe curves for elliptic-curve cryptography". Retrieved 1 December 2013.
  27. ^ Technology, National Institute of Standards and (2013-07-19). "Digital Signature Standard (DSS)" (in الإنجليزية). {{cite journal}}: Cite journal requires |journal= (help)
  28. ^ FIPS PUB 186-3, Digital Signature Standard (DSS).
  29. ^ Perlroth, Nicole; Larson, Jeff; Shane, Scott (2013-09-05). "N.S.A. Able to Foil Basic Safeguards of Privacy on Web". New York Times. Retrieved 28 October 2018.
  30. ^ Kim Zetter, RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm Wired, 19 September 2013. "Recommending against the use of SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation: NIST strongly recommends that, pending the resolution of the security concerns and the re-issuance of SP 800-90A, the Dual_EC_DRBG, as specified in the January 2012 version of SP 800-90A, no longer be used."
  31. ^ "Search – CSRC". csrc.nist.gov.
  32. ^ Bruce Schneier (5 September) "I no longer trust the constants. I believe the NSA has manipulated them through their relationships with industry." See Are the NIST Standard Elliptic Curves Back-doored?, Slashdot, 11 September 2013.
  33. ^ "Mastering Bitcoin 2nd Edition – Andreas M. Antonopoulos". github.com. 2018-10-05.
  34. ^ "Ethereum 2.0 Phase 0 -- The Beacon Chain : BLS Signatures". 28 July 2020. Retrieved 4 September 2020.
  35. ^ Dan Boneh; Ben Lynn & Hovav Shacham (2004). "Short Signatures from the Weil Pairing". Journal of Cryptology. 17 (4): 297–319. CiteSeerX 10.1.1.589.9141. doi:10.1007/s00145-004-0314-9. S2CID 206885645.
  36. ^ Hedabou, M.; Pinel, P.; Beneteau, L. (2004). "A comb method to render ECC resistant against Side Channel Attacks" (PDF). {{cite journal}}: Cite journal requires |journal= (help)
  37. ^ "Cr.yp.to: 2014.03.23: How to design an elliptic-curve signature system".
  38. ^ See, for example, Biehl, Ingrid; Meyer, Bernd; Müller, Volker (2000). Differential Fault Attacks on Elliptic Curve Cryptosystems (PDF). Lecture Notes in Computer Science. Vol. 1880. pp. 131–146. doi:10.1007/3-540-44598-6_8. ISBN 978-3-540-67907-3. {{cite book}}: |journal= ignored (help)
  39. ^ "Did NSA Put a Secret Backdoor in New Encryption Standard?". www.schneier.com.
  40. ^ "Government Announces Steps to Restore Confidence on Encryption Standards". NY Times – Bits Blog. 2013-09-10. Retrieved 2015-11-06.
  41. ^ http://rump2007.cr.yp.to/15-shumow.pdf
  42. ^ Bernstein, Daniel J.; Lange, Tanja. "SafeCurves: choosing safe curves for elliptic-curve cryptography". Retrieved October 1, 2016.
  43. ^ قالب:Cite arxiv
  44. ^ De Feo, Luca; Jao, Plut (2011). "Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies". Cryptology ePrint Archive, Report 2011/506. IACR. Archived from the original on 2014-05-03. Retrieved 3 May 2014.
  45. ^ Cohen, Cfir (25 يونيو 2019). "AMD-SEV: Platform DH key recovery via invalid curve attack (CVE-2019-9836)". Seclist Org. Archived from the original on 2 يوليو 2019. Retrieved 4 يوليو 2019. The SEV elliptic-curve (ECC) implementation was found to be vulnerable to an invalid curve attack. At launch-start command, an attacker can send small order ECC points not on the official NIST curves, and force the SEV firmware to multiply a small order point by the firmware's private DH scalar.

المصادر


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

وصلات خارجية