Eliptik eğri dijital imza algoritması

Kriptografide Eliptik Eğri Dijital İmza Algoritması (ECDSA), eliptik eğri şifrelemesi kullanan birçok çeşit Dijital İmza Algoritması (DSA) sunar.

Genel olarak eliptik eğri kriptografisinde olduğu gibi, açık anahtarın bit boyutu ECDSA için yeterli olduğu düşünülen güvenlik seviyesinin bitlerin yaklaşık iki katı kadardır. Örneğin, 80 bitlik bir güvenlik düzeyinde bir ECDSA' nın (yani saldırganın gizli anahtarı bulmak için maksimum ${\displaystyle 2^{80}}$operasyon deneme yapması gerektiği anlamına gelir) genel anahtarının boyutu 160 bit olurken, bir DSA genel anahtarının boyutu en az 1024 bit'tir. Öte yandan, güvenlik seviyesinin ${\displaystyle {t}}$ uzunluğunda olduğu hem DSA hem de ECDSA için imza boyutu yaklaşık ${\displaystyle 4t}$olur, başka bir deyişle 80 bit güvenlik düzeyi için yaklaşık 320 bitlik imza gerekir.

Diyelim ki Alice, Bob'a imzalı bir mesaj göndermek istiyor. İlk olarak, eğri parametreleri olan ${\displaystyle {\displaystyle ({\textrm {CURVE}},G,n)}}$üzerinde anlaşmalıdırlar. Cisme ve eğri eşitliğine ek olarak, eğri üzerinde asal mertebenin temel noktası olan G ve G' nin çarpımsal mertebesi olan n' ye ihtiyaç vardır.

Parametre
EĞRİ	eliptik eğri alanı ve kullanılan denklem
G,	eliptik eğri taban noktası, ör: ${\displaystyle y^{2}=x^{3}+7}$, n. mertebeden çok büyük bir asal ile eliptik eğri üreticisi.
n	G' nin tam sayı mertebesi, yani ${\displaystyle nxG=O}$, burada ${\displaystyle O}$tanımlayıcı elemandır.
dA	Rastgele seçilmiş gizli anahtar
Qa	Eliptik eğriden hesaplanmış açık anahtar
m	mesaj

${\displaystyle n}$ asal bir sayı olmak zorundadır. Aslında, ${\displaystyle \mathbb {Z} /n\mathbb {Z} }$halkasının sıfırdan farklı her elemanının tersine olduğunu varsayarız, yani ${\displaystyle \mathbb {Z} /n\mathbb {Z} }$ cisim olmak zorundadır. Buda bize ${\displaystyle n}$' nin asal olması gerektiğini gösterir. (bkn. Bézout Teoremi^[1])

Alice, ${\displaystyle [1,n-1]}$ aralığından rastgele seçilmiş özel anahtar olan ${\displaystyle d_{A}}$ 'yı ve eğrinin public keyi olan ${\displaystyle Q_{A}=d_{A}\times G}$ içeren bir anahtar çifti oluşturur. ${\displaystyle \times }$, eliptik eğri skaler nokta çarpımını temsil eder.

Alice, ${\displaystyle m}$mesajını imzalayabilmesi için aşağıdaki adımları takip etmelidir:

1. ${\displaystyle e=HASH(m)}$'yi hesaplar. (Burada HASH Kriptografik özet fonksiyonu temsil eder.)
2. ${\displaystyle z}$, ${\displaystyle e}$ 'in en solundaki bitleri olan ${\displaystyle L_{n}}$ olsun; burada ${\displaystyle L_{n}}$ n. mertebeden bir grubun mertebesi olsun.
3. ${\displaystyle [1,n-1]}$ arasından kriptografik olarak güvenli rastgele bir tam sayı ${\displaystyle k}$ seçer.
4. Eğri noktaları olan ${\displaystyle (x_{1},y_{1})=k\times G}$ hesaplar.
5. ${\displaystyle r=x_{1}{\bmod {n}}}$ hesaplanır. Eğer ${\displaystyle r=0}$ ise 3. adıma geri dönülür.
6. ${\displaystyle s=k^{-1}(z+rd_{A}){\bmod {n}}}$ hesaplanır. Eğer ${\displaystyle s=0}$ ise 3.adıma geri dönülür.
7. İmza çifte ${\displaystyle (r,s)}$ olur. Ayrıca ${\displaystyle (r,-s{\bmod {n}})}$ de uygun bir imza çiftidir.

Standartların belirttiği gibi, ${\displaystyle k}$' nın sadece gizli olması yeterli değildir, aynı zamanda farklı imzalar için farklı ${\displaystyle k}$ seçilmesi de önemlidir, aksi takdirde 6. adımdaki denklemde ${\displaystyle d_{A}}$ özel anahtarını çözülebilir: Bilinmeyen aynı ${\displaystyle k}$ değeri ve bilinen iki farklı ${\displaystyle m}$ ve ${\displaystyle m'}$ kullanılarak üretilen farklı iki imza olan ${\displaystyle (r,s)}$ ve ${\displaystyle (r,s')}$ için saldırgan ${\displaystyle z}$ ve ${\displaystyle z'}$ hesaplayabilir ve saldırgan ${\displaystyle s-s'=k^{-1}(z-z')}$ formülünden ${\displaystyle k={\frac {z-z'}{s-s'}}}$ hesaplayabilir. Şimdi ise saldırgan ${\displaystyle s=k^{-1}(z+rd_{A})}$ formülü üzerinde düzenleme yaparak özel anahtar olan ${\displaystyle d_{A}={\frac {sk-z}{r}}}$' yı elde edebilir. Bu uygulama hatası, örneğin PlayStation 3 oyun konsolu için kullanılan imzalama anahtarını çıkarmak için kullanıldı. ECDSA imzasının özel anahtarları sızdırabilmesinin bir başka yolu, ${\displaystyle k}$ hatalı bir rastgele sayı üreteci tarafından üretilir. Rastgele sayı üretmedeki bu tür bir başarısızlık, Android Bitcoin Cüzdan kullanıcılarının Ağustos 2013'te fonlarını kaybetmelerine neden oldu.^[2] ${\displaystyle k}$ 'nın her mesaj için benzersiz olmasını sağlamak için, bir kişi rastgele sayı üretimini tamamen atlayabilir ve ${\displaystyle k}$ 'yı hem mesajdan hem de özel anahtardan türeterek deterministik imzalar oluşturabilir.^[3]

Bob'un Alice'in imzasını doğrulaması için açık anahtar eğri noktası olan ${\displaystyle Q_{A}}$ bir kopyasına sahip olması gerekir. Bob, ${\displaystyle Q_{A}}$ 'nun geçerli bir eğri noktası olduğunu şu şekilde doğrulayabilir:

1. ${\displaystyle Q_{A}}$ nın ${\displaystyle O}$ kimlik elemanına eşit olmadığını kontrol eder.
2. ${\displaystyle Q_{A}}$ nın eğri üzerinde olduğunu kontrol eder.
3. ${\displaystyle n\times Q_{A}=O}$ olduğunu kontrol eder.

Ardından Bob şu adımları izler:

1. ${\displaystyle r}$ ve ${\displaystyle s}$ 'nin ${\displaystyle [1,n-1]}$ aralığında tam sayılar olduğunu doğrular. Değilse, imza geçersizdir.
2. ${\displaystyle e=HASH(m)}$ 'yi hesaplar. Burada HASH imza üretirken kullanılan ile aynı kriptografik özet fonksiyonu temsil eder.
3. ${\displaystyle z}$, ${\displaystyle e}$'in en solundaki bitleri olan ${\displaystyle L_{n}}$ olsun
4. ${\displaystyle w=s^{-1}{\bmod {n}}}$ hesaplar.
5. ${\displaystyle u_{1}=zw{\bmod {n}}}$ ve ${\displaystyle u_{2}=rw{\bmod {n}}}$' yi hesaplar.
6. ${\displaystyle {\displaystyle (x_{1},y_{1})=u_{1}\times G+u_{2}\times Q_{A}}}$eğri noktalarını hesaplar. Eğer ${\displaystyle {\displaystyle (x_{1},y_{1})=O}}$ ise imza geçersizdir.
7. Eğer ${\displaystyle r\equiv x_{1}{\pmod {n}}}$ ise imza geçerli, değilse geçersizdir.

Shamir' in numarasını kullanarak, iki skaler çarpımın toplamını yani ${\displaystyle u_{1}\times G+u_{2}\times Q_{A}}$, bağımsız olarak yapılan iki skaler çarpımından daha hızlı hesaplanabileceğini unutmayın.

Doğrulamanın neden doğru şekilde çalıştığı çok belli değildir. Nedenini görmek için, doğrulamanın 6. adımında hesaplanan eğri noktasını ${\displaystyle C}$ olarak belirtelim:

${\displaystyle C=u_{1}\times G+u_{2}\times Q_{A}}$

Açık anahtarın ${\displaystyle Q_{A}=d_{A}\times G}$ tanımından,

${\displaystyle C=u_{1}\times G+u_{2}d_{A}\times G}$

elde edilir. Eliptik eğride skaler çarpımın toplama üzerine dağılma özelliğinden,

${\displaystyle C=(u_{1}+u_{2}d_{A})\times G}$

${\displaystyle u_{1}}$ve ${\displaystyle u_{2}}$' nin doğrulamanın 5.adımındaki tanımını açarsak,

${\displaystyle C=(zs^{-1}+rd_{A}s^{-1})\times G}$

buradan ${\displaystyle s^{-1}}$ parantezine alındığında,

${\displaystyle C=(z+rd_{A})s^{-1}\times G}$

s' nin imzanın 6. adımdaki tanımını açarsak,

${\displaystyle C=(z+rd_{A})(z+rd_{A})^{-1}(k^{-1})^{-1}\times G}$

Bir elemanın tersinin tersi kendisini verir ve bir elemanın tersi ile kendisinin çarpımı birim elemanı vereceğinden,

${\displaystyle C=k\times G}$

${\displaystyle r}$' nin tanımından bu, doğrulama adımı 7'dir.

Aralık 2010'da, kendini "fail0verflow" diye adlandıran bir grup, Sony tarafından üretilen PlayStation 3 oyun konsolunun yazılımını imzalamak için kullanılan ECDSA özel anahtarının kırıldığını duyurdu ancak bu saldırı yalnızca Sony algoritmayı düzgün şekilde uygulamadığı için gerçekleşti çünkü ${\displaystyle k}$ rastgele değil sabit seçilmişti. Yukarıdaki İmza oluşturma algoritması bölümünde belirtildiği gibi, bu, ${\displaystyle d_{A}}$ 'yı çözülebilir hale ve tüm algoritmayı işe yaramaz hale getirir.^[4]

29 Mart 2011 tarihinde, iki araştırmacı, bir zamanlama saldırısı yaparak binary alan üzerinden ECDSA ile kimlik doğrulaması yapan OpenSSL kullanarak sunucunun TLS özel anahtarını almanın mümkün olduğunu gösteren bir IACR makalesi yayınladı.^[5][6] Güvenlik açığı, OpenSSL 1.0.0e' de düzeltildi.^[7]

Ağustos 2013'te, Java SecureRandom sınıfının bazı uygulamalarındaki hataların bazen ${\displaystyle k}$ değerinde çakışma(collision) ürettiği ortaya çıktı. Bu, bilgisayar korsanlarının, kendilerine ait anahtarların sahiplerinin sahip olduğu bitcoin işlemleri üzerinde aynı kontrolü sağlayan özel anahtarı kırma izin verdi; aynı şekilde, Java kullanan ve ECDSA' nın kimliğini doğrulamak için kullanan ve bazı Android uygulama uygulamalarında PS3 imzalama anahtarını ortaya çıkarmak için kullanıldı.

Bu sorun, RFC 6979 tarafından tanımlandığı gibi deterministik ${\displaystyle k}$ üretimi ile önlenebilir.

ECDSA ile ilgili iki tür endişe vardır:

1. Politik kaygılar: NIST'in ürettiği eğrilerin güvenilirliği, NSA' nın yazılımlarına, donanım bileşenlerine ve yayınlanmış standartlarına bilinçli bir şekilde arka kapı koymasının ardından, tanınmış kriptograflar^[8], NIST eğrilerinin nasıl tasarlandığına dair şüphelerini dile getirdiler.^{[9][10][11][12]}
2. Teknik kaygılar: Standartın doğru uygulama zorluğu,^[13] yavaşlığı ve Dual EC DRBG rastgele sayı üretecinin yetersiz savunma uygulamalarında güvenliği azaltan kusurların tasarlanması.^[14]

Bu sorunların her ikisi de libssh curved25519 giriş bölümünde özetlenmiştir.^[15]

Aşağıda, ECDSA'ya destek sağlayan şifreleme kütüphanelerinin bir listesi bulunmaktadır:

• Botan
• Bouncy Castle
• cryptlib
• Crypto++
• libgcrypt
• OpenSSL
• wolfCrypt