ECDSA (algoritmo de firma digital de curva elíptica) es un algoritmo de clave pública que se utiliza para crear y verificar una firma digital electrónica mediante criptografía de curva elíptica .
Las curvas elípticas, como concepto matemático, se han estudiado durante mucho tiempo, hay muchos artículos científicos sobre este tema. Sin embargo, a pesar de toda la investigación, su aplicación a problemas reales, en particular para la criptografía, fue desconocida hasta finales del siglo XX. En 1985 , Victor Miller y Neil Koblitz propusieron el uso de curvas elípticas para la criptografía.
En 1991, DSA fue desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) , construido en torno a la idea de utilizar la aritmética modular y el problema del logaritmo discreto . Poco tiempo después, el NIST solicitó comentarios públicos sobre su propuesta de esquemas de firma digital [O 1] . Inspirado por esta idea, Scott Vanstone en el artículo "Respuestas a la propuesta del NIST" propuso un algoritmo análogo al de firma digital usando criptografía de curva elíptica (ECDSA).
En el período 1998-2000. ECDSA ha sido adoptado por varias organizaciones como estándar ( ISO 14888-3, ANSI X9.62, IEEE 1363-2000, FIPS 186-2).
ECDSA se utiliza en transacciones de criptomonedas (como Bitcoin y Ethereum ) para garantizar que los fondos solo puedan ser gastados por sus propietarios legítimos [Y 1] .
Los parámetros principales (parámetros de dominio ing.) de una curva elíptica sobre un campo finito es el conjunto de las siguientes cantidades:
Los parámetros deben elegirse de manera que la curva elíptica definida sobre el campo finito sea resistente a todos los ataques conocidos aplicables a ECDLP . Además, puede haber otras restricciones relacionadas con la seguridad o las consideraciones de implementación.
Por regla general, los parámetros principales son comunes para un grupo de entidades, sin embargo, en algunas aplicaciones (implementaciones), pueden ser específicos para cada usuario específico [O 2] .
Para aplicaciones prácticas, ECDSA impone restricciones en los campos en los que se definen las curvas elípticas. Para simplificar, considere el caso de implementar algoritmos, cuando es un campo finito simple (para otros campos, de manera similar), entonces nuestra ecuación elíptica toma la forma .
Para evitar los conocidos ataques basados en el problema del logaritmo discreto en el conjunto de puntos de una curva elíptica , es necesario que el número de puntos de la curva elíptica sea divisible por un número primo suficientemente grande . El estándar ANSI X9.62 requiere .
Entrada : Orden de campo , indicador de presentación de campo para , - nivel de seguridad: y . Conclusión : Los principales parámetros de la curva elíptica . Paso 1. Seleccione elementos verificados aleatoriamente que cumplan la condición . Paso 2. El orden de la curva se puede calcular utilizando el algoritmo SEA . Paso 3. Comprueba que para un número primo grande . De lo contrario, vaya al paso 1. Paso 4. Verifique que . De lo contrario, vaya al paso 1. Paso 5. Verifique que . De lo contrario, vaya al paso 1. Paso 6. Paso 7. Elija un punto arbitrario y establezca . Repita hasta , donde está el punto en el infinito Paso 8. VolverLos algoritmos de verificación aleatoria garantizan que una curva elíptica sobre un campo finito se generó de forma absolutamente aleatoria [O 2] .
Consideremos el intercambio de mensajes entre Alice y Bob . Previamente, usando el algoritmo para generar los parámetros principales, Alice obtiene sus parámetros principales de la curva elíptica. Usando la siguiente secuencia de acciones, Alice generará una clave pública y privada.
Entrada : Parámetros básicos de la curva elíptica . Conclusión : Clave pública - , clave privada - . Paso 1. Elija un número entero aleatorio o pseudoaleatorio . Paso 2. Calcula las coordenadas de un punto en una curva elíptica . Paso 3. Devolución . Algoritmo de verificación de clave públicaEl propósito de verificar una clave pública es confirmar que una clave pública tiene ciertas propiedades aritméticas . La ejecución exitosa de este algoritmo demuestra que la clave privada correspondiente existe matemáticamente, pero no garantiza que alguien no haya calculado la clave privada dada o que el supuesto propietario realmente la posea.
Entrada : Parámetros básicos de una curva elíptica , clave pública- . Conclusión : decisión de aceptar o rechazar la validez de la clave pública . Paso 1. Comprueba eso . Paso 2. Compruebe cuáles son los elementos correctamente representados en , es decir enteros pertenecientes a . Paso 3. Comprobar qué satisface la ecuación de la curva elíptica definida por los elementos del campo . Paso 4. Comprueba eso . Paso 5. Si alguna verificación falla, devuelva "Rechazar", de lo contrario, "Aceptar".Alicia, quien tiene los principales parámetros de la curva y la clave privada , quiere firmar el mensaje , para ello debe generar una firma .
En lo que sigue, denota una función hash criptográfica cuyo valor de salida tiene una longitud de bit de como máximo (si no se cumple esta condición, entonces el valor de salida puede truncarse). Se supone que estamos trabajando con la salida de la función ya convertida a un número entero.
Entrada : parámetros básicos de la curva elíptica , clave privada , mensaje . Conclusión : Firma . Paso 1. Elija un número entero aleatorio o pseudoaleatorio . Paso 2. Calcular las coordenadas del punto Paso 3. Calcular . Si , vaya al paso 1. Paso 4. Calcular . Paso 5 Calcular . Si , vaya al paso 1. Paso 6. Devuelva .Para verificar la firma del mensaje de Alice , Bob recibe una copia auténtica de sus parámetros básicos de curva y su clave pública asociada .
Entrada : Parámetros básicos de la curva elíptica , clave pública , mensaje , firma . Conclusión : Decisión de aceptar o rechazar la firma. Paso 1. Comprueba que son números enteros pertenecientes a . Si alguna validación falla, devuelva "Rechazar". Paso 2 Calcular . Paso 3 Calcular . Paso 4 Calcular y . Paso 5. Calcula las coordenadas del punto . Paso 6. Si , devuelve "Rechazar". De lo contrario calcula . Paso 7. Si , devuelve "Aceptar", de lo contrario "Rechazar" Prueba del trabajo del algoritmo de verificación de firma digital.Deje que la firma del mensaje realmente la genere Alice, en este caso, . La permutación da lo siguiente:
k ≡ s − una ( mi + d r ) modificación norte ≡ ( s − una mi + s − una d r ) modificación norte ≡ ( w mi + w d r ) modificación norte ≡ ( tu una + tu 2 d ) modificación norte {\displaystyle k\equiv s^{-1}(e+dr){\bmod {n}}\equiv (s^{-1}e+s^{-1}dr){\bmod {n}} \equiv (nosotros+wdr){\bmod {n}}\equiv (u_{1}+u_{2}d){\bmod {n}}}Así, obtenemos , por lo tanto , que se requería probar.
En este ejemplo [O 1] , describiremos solo pasos computacionales significativos en los algoritmos, asumiendo que todas las comprobaciones se pueden realizar sin una descripción textual.
1. Usando el algoritmo para generar los parámetros principales , obtenemos los siguientes valores: , curva elíptica y punto base con orden .
2. Genere un par de claves, de acuerdo con el algoritmo de generación de pares de claves : seleccione y luego .
Paso 1. Elija . Paso 2. Calcula las coordenadas del punto .3. Usando el algoritmo de generación de firma digital , firmaremos el mensaje especificado como texto con el valor de la función hash .
Paso 1. Elija . Paso 2. Calcula las coordenadas del punto . Paso 3. Calcular . Paso 4. Calcular .4. Verifique la autenticidad de la firma del mensaje utilizando el algoritmo de verificación de firma digital .
Paso 1. Calcular . Paso 2. Calcular y . Paso 3. Calcula las coordenadas del punto . Paso 4. Calcular . Paso 5. Comprobación . Aceptamos firma.D. Brown (Daniel RL Brown) demostró que el algoritmo ECDSA no es más seguro que DSA . Formuló una restricción de seguridad en ECDSA que condujo a la siguiente conclusión: "Si el grupo principal puede modelar un grupo de curvas elípticas y su función hash satisface una determinada conjetura, entonces ECDSA es resistente a un ataque de texto sin formato emparejado con falsificación existente" . " [Y 2] .
La fuerza del algoritmo de cifrado se basa en el problema del logaritmo discreto en el conjunto de puntos de una curva elíptica . A diferencia del problema del logaritmo discreto simple y el problema de factorización de enteros , no existe un algoritmo subexponencial para el problema del logaritmo discreto en el grupo de puntos de una curva elíptica. Por esta razón, la "potencia por bit de clave" es significativamente mayor en un algoritmo que utiliza curvas elípticas [E 3] .
Esto significa que se pueden utilizar parámetros considerablemente más pequeños en la criptografía de curva elíptica que en otros sistemas de clave pública como RSA y DSA , pero con un nivel de seguridad equivalente. Por ejemplo, el tamaño de bits de las claves : una clave de 160 bits sería equivalente a claves con un módulo de 1024 bits en RSA y DSA con un nivel de seguridad comparable (frente a ataques conocidos).
Los beneficios que se obtienen de los tamaños de parámetros más pequeños (en particular, las claves) incluyen la velocidad de ejecución del algoritmo, el uso eficiente de la energía, el ancho de banda y la memoria. Son especialmente importantes para aplicaciones en dispositivos con capacidades limitadas, como tarjetas inteligentes [O 2] .
Hay muchas implementaciones de software de curvas elípticas sobre campos finitos. La mayoría de estas implementaciones se centran en una sola aplicación, como el desarrollo de una implementación rápida de ECDSA para un campo objetivo específico [O 3] .