При всем при этом, когда принимался стандарт DES, АНБ внесло незначительные поправки в аглоритм, тем самым фактически защитив его от «дифференциального криптоанализа».
Двадцатизначное число для современной криптографии это ничто. Доли секунды генерации и считанные секунды факторизации. Понимаю что пост не про это, но все таки.
Колебался между G, которая фигурирует в американском стандарте и P, которую используют в описании ГОСТ, но потом подумал, что в битве за потенциального читателя все средства хороши:)
Да, тема невероятно интересная согласен. И ЭЦП это еще только видимая часть айсберга. Те же самые суперсингулярные кривые, которые очень слабы для ЭЦП используются в личностной криптографии, и там их «слабость» это как раз преимущество.
PS про алгоритм Шуфа можно почитать у Василенко «Теоретико численные методы в криптографии».
Хорошо. Учел ваше замечание и добавил следующий текст:
Все математические операции на эллиптических кривых над конечным полем производятся по законам конечного поля над которым построена эллиптическая кривая. Т.е. для вычисления, например, суммы двух точек кривой E над кольцом вычетов все операции производятся по модулю числа p.
Надеюсь, теперь это можно назвать введением в курс дела?)
Первая половина статьи нужна для того чтобы ввести читателей в курс дела, что такое эллиптическа кривая, дать определение «сложение точек», без которого вообще было бы непонятно что такое kG и как это можно вычислить
Не стал даже пытаться описать матиматические аспекты эллиптических кривых над конечным полем, потому что во первых: не ставил перед собой такой задачи, хотел в общей, как можно более доступной, форме описать что такой эллиптическая криптография. А во-вторых: если говорить честно сомневаюсь что мне бы хватило математических знаний вникнуть во все эти матановские дебри.
А про применение данных относящихся к непрерывним кривым в криптографии я вроде не писал. А наоборот сразу оговорился, что под эллиптической кривой в криптографии понимается всего лишь набор точек.
Да вы правы, сложение двух одинаковых точек вычисляет по другому закону. Не стал заострять на этом особого внимания, т.к. все что касается математики на эллиптических кривых уже достаточно хорошо освещено в рунете. Например на википедии есть алгебраическое описание сложения двух точек
В принципе согласен конечно. Если использовать проверенные библиотеки типа openSSL, то ошибок будет значительно меньше. Просто я полез в описание стандарта ECDSA, а там алгоритмы, алгоритмы, алгоритмы. Каждое генерируемое число проверяется, чтоб выполнялись определенные критерии. Я понимаю в RSA тоже есть свои тонкости, но их там все таки поменьше. А чем сложнее система, тем вероятность ошибки больше.
Да тоже читал что то такое. Там вроде неправильно работал PRNG в UNIX системах. Но мы опять приходим к тому с чего начинали. Об атаках на сами криптопримитивы речи не идет. Все сводится к неправильным реализациям. Это беда конечно, но такое всегда было и всегда будет.
И все таки, согласись, что примерная оценка времени в 2^90, которую имеют самые быстрые субэкспоненциальные алгоритмы, для ключа RSA длиной в 1024 бит это с сегодняшним уровнем вычислительной техники еще далеко не угроза для асимметричной криптографии. А ведь еще есть солидный запас, практически все решения поддерживают длину ключа в 4096 бит.
Просто сравнение очень неудачное. RSA появился в 70-х годах. За условные 40 лет использования практически осуществимых уязвимостей не найдено. TLS 1.0 разработан в 1999 году, в том же году Брюс Шнайер предсказывал практические атаки на протокол(он об этом в своем блоге писал, после публикации атаки BEAST). Да, для реализации уязвимостей потребовалось более 10 лет, но эти уязвимости предсказывались специалистами. С RSA и DSA такого не было. Поэтому с авторами доклада не согласен.
Есть ряд асимметричных алгоритмов основанных на принципиально других проблемах нежели факторизация и дискретный логарифм. Для таких задач пока неизвестны квантовые алгоритмы решения. Об одном из таких алгоритмов я когда то писал на хабре.
Совершенно согласен. Можно даже под сомнение поставить что лучше, алгоритмы основанные на простом дискретном логарифме или на эллиптике. Для вторых с их то размером ключа появление субэкспоненциального решения фатально. Но это если уж режим параноика включить)
А причем тут дискретный логарифм и факторизация? Атаки, которые авторы приводят в пример это просто ошибки в реализации, причем не в части асимметричного шифрования. думаю все очень сильно притянуто за уши. Хотя посыл в целом верный. Давно пора на эллиптику переходить.
PS про алгоритм Шуфа можно почитать у Василенко «Теоретико численные методы в криптографии».
Надеюсь, теперь это можно назвать введением в курс дела?)
А про применение данных относящихся к непрерывним кривым в криптографии я вроде не писал. А наоборот сразу оговорился, что под эллиптической кривой в криптографии понимается всего лишь набор точек.