FIPS 186-4附录D.1.2中规定的NIST椭圆曲线P-192,P-224,P-256,P-384和P-521是根据定义明确的过程生成的,但使用任意随机的160位种子值。因此,DJB网站的页面将其称为


可操作:曲线生成过程具有大量无法解释的输入
,从而为曲线生成器提供了大量的曲线空间供选择
来自。例如,考虑一个曲线生成过程,该过程需要
$ y ^ 2 = x ^ 3-3x + H(s)$满足各种安全标准,其中$ s $是大的
随机“种子”和$ H $是一个哈希函数。无论$ H $有多强,
恶意曲线生成器都可以搜索$ s $的许多选择,
检查每个$ y ^ 2 = x ^ 3-3x + H(s)$易受秘密攻击的威胁;
如果秘密攻击适用于(例如)十亿欧元的一条曲线,则此方法有效。


可行吗?更确切地说,是否有一种公开已知的方法使之可行?如果不是(我怀疑),那么是否有关于这种故意操纵的可行性或不可行性以及相关努力的其他理性论证(甚至是见解)?或者,也许还有一些有关如何选择种子的更多信息?

注意:在这些相关问题的答案中,我还没有找到关于这一精确点的深入研究。

评论

与您要问的唯一接近的是另一个问题中提到的Edlyn Teske的同构技巧。除此之外,只能猜测未知的弱点。

如果它们想要透明,则种子将是hash(“ ECC_CURVE_nnn_i”),其中n是曲线大小,i从0开始增加,直到生成的种子生成满足某些公开陈述的条件的曲线。

另请参见相同的问题:我们是否应该信任NIST推荐的ECC参数?

#1 楼

我想说的是,整个论点都围绕着NSA可能知道的“秘密攻击”,使他们能够打破世界其他地区认为安全的某些椭圆曲线实例,因为秘密攻击是

这将为您的问题提供唯一的答案:由于秘密攻击是秘密的,因此不为人所知的人(duh)不知道它们,因此没有“公开”的秘密根据定义,“使该方法可行的已知方法”。从数学上讲,既然我们不知道“安全椭圆曲线”之类的东西是否可以存在,那么“未知攻击”就是您将获得的最佳安全假设。


现在,如果我们仔细观察,我们可能会注意到,NIST曲线是使用强PRNG生成的:给定种子值$ s $,曲线为$ y ^ 2 = x ^ 3 + ax + H(s)$,其中$ a = -3 $(此参数的经典值;对于在Jacobian坐标中加倍的点,性能会有轻微改善),而$ H $是确定性PRNG。在这里,PRNG是ANSI X9.62(第A.3.3.1节)中描述的内容,它基于基础哈希函数SHA-1(对于NIST曲线)。出于实际目的,我们可以考虑将此PRNG用作随机预言机。这意味着即使NSA知道某种破解椭圆曲线的秘密方法,他们仍然必须做很多工作才能找到可以产生“看起来不错”的曲线(尤其是曲线)的种子。具有素数阶),但仍属于“易碎曲线”组。例如,如果在$ 2 ^ {100} $中只有一条曲线对这种未知攻击较弱,那么NSA至少要面对平均$ 2 ^ {100} $ SHA-1调用,这是一个荒谬的高数字。 br />
因此,除非我们再次猜测是针对SHA-1(特别是X9.62 A.3.3.1的PRNG,以SHA-1作为散列函数),再加上我们的猜测,否则我们必须假设如果NSA知道某些椭圆曲线的秘密断裂方法并用它来装配NIST曲线,那么该方法必须能够断裂不平凡的可能曲线。因此,我们不是在谈论少数特殊格式​​的弱曲线,而是真正具有破坏性的东西。

我们没有证据表明椭圆曲线固有地强,但是我们有“直觉”即表观强度离散对数的曲线图与规范高度的概念有关(另请参见本演示文稿)。如果这种直觉是正确的,那么“弱曲线”的比例就不能超过一小部分(例如,如果基字段是256位字段,则曲线$ y ^ 2 = x ^ 3 + ax $是弱的);使用随机生成的$ b $参数触及一周曲线的机会极少。从这个意义上讲,NSA假定的“未知攻击”才能用于装备NIST曲线,也必须证明许多专门研究椭圆曲线的数学家的直觉。

我认为上面的段落最接近关于为什么不约束NIST曲线的数学有理论证。


不过,我确实有第二个论点,尽管它来自经济学而不是数学,但我认为是合理的:我们无法衡量秘密攻击的机密性。请记住,美国政府指定的加密参数的主要用户是美国公司;国家安全局的主要目标是保护这些公司免受外国敌人(竞争对手)的侵害。故意推动使用装配曲线(在装配过程中使用尚未发布的一些攻击的知识)的风险非常大:只有在西伯利亚最深处的一些半疯狂的数学家没有发现相同的攻击时,这才成立。正如莱布尼兹(Leibniz)所说,科学发现似乎同时发生在整个世界。每个人都同时思考同样的事情。这是学术界所熟知的一个概念:过快发布或灭亡。

因此,如果NSA正确履行其官方职责,那么它绝不能促进美国企业使用已知的工具。是片状的,因此任何人都可能被利用。 NSA无法确保对数学的垄断...

这与DualEC_DRBG后门形成了鲜明对比,后者具有已知的装配方法(通过仔细选择两个涉及的曲线点),但是至关重要的是,同样显而易见的是,没有选择曲线点的人无法利用后门。 NSA可以安全地推广这种后门程序,因为他们知道可以将其保持在其专有控制之下。

这也与56位DES密钥形成对比,后者的后门很明显(该密钥适合穷举搜索),但只能通过纯粹的处理能力来加以利用。在1970年代,美国在该领域比苏联具有明显的优势,他们知道这一点。当计算能力变得普遍可用时,他们改变了策略并决定推广强大的加密方法(3DES,然后是AES):当敌人无法破解加密技术时,即使他们也无法破解加密技术,他们还是喜欢加密技术。

评论


$ \ begingroup $
我特别喜欢与DualEC_DRBG的对比:后门的密钥是(非对称)密码学意义上的密钥,而不是像P-XXX中假定后门的密钥那样的科学进步。
$ \ endgroup $
–fgrieu♦
2014年1月14日19:49



$ \ begingroup $
由于NSA的TAO员工在地球上的每一个软件中都利用零日漏洞,因此我不太相信NSA在编写全球标准时会优先考虑COMSEC而不是SIGINT。
$ \ endgroup $
–马特·诺德霍夫(Matt Nordhoff)
2014年1月15日15:18

$ \ begingroup $
“ Dual_EC_DRBG ...是NSA可以安全推广的那种后门程序,因为他们知道可以将其保持在自己的专有控制之下。”是的,利用漏洞需要了解一个秘密整数。但有人想知道,美国国家安全局的内部人员是否没有将这个秘密整数泄露给新闻界以外的其他感兴趣的政党。
$ \ endgroup $
–布鲁克·汉森(Brock Hansen)
2014年2月12日在17:35

$ \ begingroup $
“因此,如果国家安全局正确履行其官方职责,那么它就绝不能促进美国企业使用那些已知为易碎品并因此可能被任何人利用的工具。”真正。但是,如果几乎所有参与其中的人实际上只是短期和长期的自己呢?几乎没有真正的监督或对实际效果的关注...
$ \ endgroup $
–爱国者
19年7月1日在3:50



#2 楼

基本上已经有人问过这个问题:我们应该相信NIST推荐的ECC参数吗?在考虑这是什么标准。

最常见的猜测是Dual EC DRBG是后门标准。但是,触发了一些(可能是合理的)偏执狂,人们开始尝试考虑其他可能导致后门的事情。

NIST P-XXX

NIST P-XXX曲线被认为是可疑的,因为发现其中一个值似乎是随机的,并且已由NSA选择。在EC上比普通公众更多,他们有可能找到一种创建较弱曲线的方法。这并不是NSA首次超过15年的学术知识(差分密码分析)。

反应是某些知名人士(例如Bruce Schneier):“我不再相信这些常数。我相信美国国家安全局(NSA)已通过与行业的关系来操纵他们。“)决定他们不会只是为了安全而使用椭圆曲线。

另一方面,许多其他各方选择信任NIST P-XXX不论有何争议,都可以使用“安全组”,因为使用弱势组似乎并不符合美国国家安全的最大利益(美国政府正在使用这些算法来保护“最高机密”材料)。

避免这种情况丑闻,某些其他标准(例如某些IKE / DH组)使用了Nothing Up Me Sleeve Numbers。回想起来,显然应该在创建NIST P-XXX曲线时使用它。似乎无法解释这几个种子编号的起源。这可能是EC标准中的缺陷:EC曲线生成不需要非常可审核的过程。

争议

DJB和Tanja Lange的演讲:NIST曲线的安全隐患总结了(很多)他们对NIST曲线的担忧。他们提出的观点是,许多NIST曲线的设计都是基于实现的效率,但是不管它们是否不能像其他曲线一样有效。

DJB和Tanja很好地指出了对NIST P曲线及其所选参数和设计的批评。

安全曲线DJB的页面考虑了不同的EC标准及其基本设计以及魔术数字的存在或缺乏。将NIST P-XXX与其他曲线进行比较时,可以很好地使用它。 (有人可以说这也与DJB的自我促进有关:他一直在设计出色的Curve25519,这与NIST曲线有所不同,因此鲜为人知,支持程度也较低。)

弱哈希函数

NIST本身(FIPS 186-3 / 4)需要新的椭圆曲线参数才能使用经过批准的哈希函数,该函数至少与生成的曲线一样大。 EC曲线是在将SHA-2建议用于EC之前生成的,因此这些曲线使用160位值,而SHA-2则针对较新的建议。总结所有事情,由读者决定风险的严重性。
没有什么比双EC-DRBG后门重要的了。
事实上,有一个令人怀疑的反面理由:如果NSA在NIST P曲线上具有巧妙的后门,那么明显的双EC-DRBG后门就毫无意义。 。

可能会发生以下一种情况,以恢复信任:


NIST + NSA能够提出一些信息,清除对它们的组的任何现有疑问。
一些共识认为某些现有曲线足够好,而除NIST P-XXX曲线之外的其他一些曲线已成为标准。
将创建新的替换曲线,这次使用的散列函数的强度至少应达到FIPS 186-3和NOSL编号所建议的强度。


评论


$ \ begingroup $
我的问题与该答案中引用的问题有关。虽然这个答案解决了其他问题,但并没有直接解决我的问题,我的问题侧重于装备P-192和朋友所能使用的技术。
$ \ endgroup $
–fgrieu♦
2014年1月13日在21:11

$ \ begingroup $
@fgrieu:我简要地回答了另一个问题。推测是:NSA知道曲线的弱点,这是百万分之一或十亿分之一的曲线所特有的。据我所了解的数学基础,这不太可能,但是再说一次,如果有人将NSA担任有此能力的一方。抱歉,我的答案缺乏NSA可以使用的实际机制,尤其是因为人们猜测他们比其他人了解更多。
$ \ endgroup $
–user4982
2014年1月13日22:57