Criptografía de curva elíptica

Aproximación a la criptografía de clave pública

La criptografía de curva elíptica ( ECC ) es un enfoque de la criptografía de clave pública basada en la estructura algebraica de curvas elípticas sobre campos finitos . La ECC permite que claves más pequeñas proporcionen una seguridad equivalente, en comparación con los criptosistemas basados ​​en la exponenciación modular en campos de Galois , como el criptosistema RSA y el criptosistema ElGamal . ^[1]

Las curvas elípticas se utilizan para la concordancia de claves , firmas digitales , generadores pseudoaleatorios y otras tareas. De manera indirecta, se pueden utilizar para el cifrado combinando la concordancia de claves con un esquema de cifrado simétrico . También se utilizan en varios algoritmos de factorización de números enteros que tienen aplicaciones en criptografía, como la factorización de curva elíptica de Lenstra .

Historia

El uso de curvas elípticas en criptografía fue sugerido independientemente por Neal Koblitz ^[2] y Victor S. Miller ^[3] en 1985. Los algoritmos de criptografía de curva elíptica comenzaron a usarse ampliamente entre 2004 y 2005.

En 1999, el NIST recomendó quince curvas elípticas. En concreto, la norma FIPS 186-4 ^[4] recomienda diez campos finitos:

• Cinco campos primos para ciertos números primos p de tamaños 192, 224, 256, 384 y 521 bits. Para cada uno de los campos primos, se recomienda una curva elíptica. ${\displaystyle \mathbb {F} _{p}}$
• Cinco campos binarios para m son 163, 233, 283, 409 y 571. Para cada uno de los campos binarios, se seleccionó una curva elíptica y una curva de Koblitz . ${\displaystyle \mathbb {F} _{2^{m}}}$

La recomendación del NIST contiene un total de cinco curvas principales y diez curvas binarias. Las curvas se eligieron por su seguridad óptima y eficiencia de implementación. ^[5]

En la Conferencia RSA de 2005, la Agencia de Seguridad Nacional (NSA) anunció la Suite B , que utiliza exclusivamente ECC para la generación de firmas digitales y el intercambio de claves. La suite está destinada a proteger los sistemas y la información de seguridad nacional clasificados y no clasificados. ^[1] El Instituto Nacional de Estándares y Tecnología (NIST) ha respaldado la criptografía de curva elíptica en su conjunto de algoritmos recomendados Suite B , específicamente el algoritmo Diffie-Hellman de curva elíptica (ECDH) para el intercambio de claves y el algoritmo de firma digital de curva elíptica (ECDSA) para la firma digital. La NSA permite su uso para proteger información clasificada hasta el máximo secreto con claves de 384 bits. ^[6]

Recientemente, ^{[¿ cuándo? ]} se han introducido una gran cantidad de primitivas criptográficas basadas en mapeos bilineales en varios grupos de curvas elípticas, como los emparejamientos de Weil y Tate . Los esquemas basados ​​en estas primitivas proporcionan un cifrado basado en identidad eficiente , así como firmas basadas en emparejamientos, signcryption , acuerdo de claves y recifrado proxy . ^{[ cita requerida ]}

La criptografía de curva elíptica se utiliza con éxito en numerosos protocolos populares, como Transport Layer Security y Bitcoin .

Preocupaciones de seguridad

En 2013, The New York Times afirmó que Dual Elliptic Curve Deterministic Random Bit Generation (o Dual_EC_DRBG) se había incluido como un estándar nacional del NIST debido a la influencia de la NSA , que había incluido una debilidad deliberada en el algoritmo y la curva elíptica recomendada. ^[7] RSA Security en septiembre de 2013 emitió un aviso recomendando que sus clientes dejen de usar cualquier software basado en Dual_EC_DRBG. ^{[8] [9]} A raíz de la exposición de Dual_EC_DRBG como "una operación encubierta de la NSA", los expertos en criptografía también han expresado su preocupación por la seguridad de las curvas elípticas recomendadas por el NIST, ^[10] sugiriendo un regreso al cifrado basado en grupos de curvas no elípticas.

Además, en agosto de 2015, la NSA anunció que planea reemplazar la Suite B con una nueva suite de cifrado debido a las preocupaciones sobre ataques de computación cuántica en ECC. ^{[11] [12]}

Patentes

Si bien la patente de RSA expiró en 2000, puede haber patentes vigentes que cubran ciertos aspectos de la tecnología ECC, incluido al menos un esquema ECC ( ECMQV ). Sin embargo, RSA Laboratories ^[13] y Daniel J. Bernstein ^[14] han argumentado que el estándar de firma digital de curva elíptica del gobierno de los EE. UU. (ECDSA; NIST FIPS 186-3) y ciertos esquemas prácticos de intercambio de claves basados ​​en ECC (incluido ECDH) se pueden implementar sin infringir esas patentes.

Teoría de la curva elíptica

Para los fines de este artículo, una curva elíptica es una curva plana sobre un campo finito (en lugar de números reales) que consta de los puntos que satisfacen la ecuación:

${\displaystyle y^{2}=x^{3}+ax+b,\,}$

junto con un punto distinguido en el infinito , denotado ∞. Las coordenadas aquí deben elegirse de un campo finito fijo de característica no igual a 2 o 3, o la ecuación de la curva sería algo más complicada.

Este conjunto de puntos, junto con la operación de grupo de curvas elípticas , es un grupo abeliano , con el punto en el infinito como elemento identidad. La estructura del grupo se hereda del grupo divisor de la variedad algebraica subyacente :

${\displaystyle \mathrm {Div} ^{0}(E)\to \mathrm {Pic} ^{0}(E)\simeq E,\,}$

Aplicación a la criptografía

La criptografía de clave pública se basa en la insoluble resolución de ciertos problemas matemáticos . Los primeros sistemas de clave pública, como la patente de RSA de 1983, basaban su seguridad en el supuesto de que es difícil factorizar un entero grande compuesto por dos o más factores primos grandes que están muy separados. Para los protocolos posteriores basados ​​en curvas elípticas, el supuesto básico es que encontrar el logaritmo discreto de un elemento aleatorio de una curva elíptica con respecto a un punto base conocido públicamente es inviable (el supuesto computacional de Diffie-Hellman ): este es el "problema del logaritmo discreto de la curva elíptica" (ECDLP). La seguridad de la criptografía de curva elíptica depende de la capacidad de calcular una multiplicación de puntos y de la incapacidad de calcular el multiplicando dado el punto original y el punto del producto. El tamaño de la curva elíptica, medido por el número total de pares de enteros discretos que satisfacen la ecuación de la curva, determina la dificultad del problema.

El principal beneficio que promete la criptografía de curva elíptica sobre alternativas como RSA es un tamaño de clave más pequeño , lo que reduce los requisitos de almacenamiento y transmisión. ^[1] Por ejemplo, una clave pública de curva elíptica de 256 bits debería proporcionar una seguridad comparable a una clave pública RSA de 3072 bits.

Esquemas criptográficos

Se han adaptado varios protocolos basados ​​en logaritmos discretos a curvas elípticas, reemplazando el grupo con una curva elíptica: ${\displaystyle (\mathbb {Z} _{p})^{\times }}$

• El esquema de acuerdo de claves de curva elíptica Diffie-Hellman (ECDH) se basa en el esquema Diffie-Hellman ,
• El esquema de cifrado integrado de curva elíptica (ECIES), también conocido como esquema de cifrado aumentado de curva elíptica o simplemente esquema de cifrado de curva elíptica,
• El algoritmo de firma digital de curva elíptica (ECDSA) se basa en el algoritmo de firma digital ,
• El esquema de deformación utilizando la métrica de Manhattan p-ádica de Harrison,
• El algoritmo de firma digital de curva de Edwards (EdDSA) se basa en la firma de Schnorr y utiliza curvas de Edwards retorcidas .
• El esquema de acuerdo de claves ECMQV se basa en el esquema de acuerdo de claves MQV ,
• El esquema de certificado implícito ECQV .

Implementación

Algunas consideraciones de implementación comunes incluyen:

Parámetros del dominio

Para utilizar ECC, todas las partes deben estar de acuerdo en todos los elementos que definen la curva elíptica, es decir, los parámetros de dominio del esquema. El tamaño del campo utilizado es normalmente primo (y denotado como p) o es una potencia de dos ( ); el último caso se llama caso binario , y este caso requiere la elección de una curva auxiliar denotada por f . Por lo tanto, el campo está definido por p en el caso primo y el par de m y f en el caso binario. La curva elíptica está definida por las constantes a y b utilizadas en su ecuación definitoria. Finalmente, el subgrupo cíclico está definido por su generador (también conocido como punto base ) G . Para la aplicación criptográfica, el orden de G , que es el número positivo más pequeño n tal que (el punto en el infinito de la curva y el elemento identidad ), normalmente es primo. Dado que n es el tamaño de un subgrupo de , se deduce del teorema de Lagrange que el número es un entero. En aplicaciones criptográficas, este número h , llamado cofactor , debe ser pequeño ( ) y, preferiblemente, . Para resumir: en el caso primo, los parámetros del dominio son ; en el caso binario, son . ${\displaystyle 2^{m}}$ ${\displaystyle nG={\mathcal {O}}}$ ${\displaystyle E(\mathbb {F} _{p})}$ ${\displaystyle h={\frac {1}{n}}|E(\mathbb {F} _{p})|}$ ${\displaystyle h\leq 4}$ ${\displaystyle h=1}$ ${\displaystyle (p,a,b,G,n,h)}$ ${\displaystyle (m,f,a,b,G,n,h)}$

A menos que exista garantía de que los parámetros de dominio fueron generados por una parte confiable con respecto a su uso, los parámetros de dominio deben validarse antes de su uso.

La generación de parámetros de dominio no suele ser realizada por cada participante, ya que esto implica calcular el número de puntos de una curva , lo que requiere mucho tiempo y es complicado de implementar. Como resultado, varios organismos de normalización publicaron parámetros de dominio de curvas elípticas para varios tamaños de campo comunes. Dichos parámetros de dominio se conocen comúnmente como "curvas estándar" o "curvas con nombre"; se puede hacer referencia a una curva con nombre ya sea por su nombre o por el identificador de objeto único definido en los documentos estándar:

• NIST , curvas elípticas recomendadas para uso gubernamental
• SECG , SEC 2: Parámetros recomendados para el dominio de curva elíptica
• ECC Brainpool ( RFC  5639), curvas estándar y generación de curvas de ECC Brainpool ^{[15] [16]}

También se encuentran disponibles vectores de prueba SECG. ^[17] El NIST ha aprobado muchas curvas SECG, por lo que existe una superposición significativa entre las especificaciones publicadas por el NIST y SECG. Los parámetros del dominio EC se pueden especificar por valor o por nombre.

Si, a pesar de la advertencia anterior, uno decide construir sus propios parámetros de dominio, debe seleccionar el campo subyacente y luego usar una de las siguientes estrategias para encontrar una curva con un número apropiado (es decir, cercano al primo) de puntos usando uno de los siguientes métodos:

• Seleccione una curva aleatoria y utilice un algoritmo general de conteo de puntos, por ejemplo, el algoritmo de Schoof o el algoritmo de Schoof-Elkies-Atkin .
• Seleccione una curva aleatoria de una familia que permita un cálculo fácil del número de puntos (por ejemplo, curvas de Koblitz), o
• Seleccione el número de puntos y genere una curva con este número de puntos utilizando la técnica de multiplicación compleja . ^[18]

Varias clases de curvas son débiles y deben evitarse:

• Las curvas con m no primo son vulnerables a los ataques de descenso de Weil . ^{[19] [20]} ${\displaystyle \mathbb {F} _{2^{m}}}$
• Las curvas tales que n divide (donde p es la característica del campo: q para un campo primo, o para un campo binario) para un B suficientemente pequeño son vulnerables al ataque de Menezes–Okamoto–Vanstone (MOV) ^{[21] [22]} que aplica el problema del logaritmo discreto habitual (DLP) en un campo de extensión de grado pequeño de para resolver ECDLP. El límite B debe elegirse de modo que los logaritmos discretos en el campo sean al menos tan difíciles de calcular como los logaritmos discretos en la curva elíptica . ^[23] ${\displaystyle p^{B}-1}$ ${\displaystyle 2}$ ${\displaystyle \mathbb {F} _{p}}$ ${\displaystyle \mathbb {F} _{p^{B}}}$ ${\displaystyle E(\mathbb {F} _{q})}$
• Curvas que son vulnerables al ataque que asigna los puntos de la curva al grupo aditivo de . ^{[24] [25] [26]} ${\displaystyle |E(\mathbb {F} _{q})|=q}$ ${\displaystyle \mathbb {F} _{q}}$

Tamaños de claves

Debido a que todos los algoritmos más rápidos conocidos que permiten resolver el ECDLP ( baby-step giant-step , rho de Pollard , etc.) necesitan pasos, se deduce que el tamaño del campo subyacente debe ser aproximadamente el doble del parámetro de seguridad. Por ejemplo, para una seguridad de 128 bits se necesita una curva sobre , donde . Esto se puede contrastar con la criptografía de campo finito (por ejemplo, DSA ) que requiere ^[27] claves públicas de 3072 bits y claves privadas de 256 bits, y la criptografía de factorización de enteros (por ejemplo, RSA ) que requiere un valor de 3072 bits de n , donde la clave privada debe ser igual de grande. Sin embargo, la clave pública puede ser más pequeña para permitir un cifrado eficiente, especialmente cuando la potencia de procesamiento es limitada (por ejemplo, en África). ${\displaystyle O({\sqrt {n}})}$ ${\displaystyle \mathbb {F} _{q}}$ ${\displaystyle q\approx 2^{256}}$

El esquema ECC más difícil descifrado (públicamente) hasta la fecha ^{[ ¿cuándo? ]} tenía una clave de 112 bits para el caso del campo principal y una clave de 109 bits para el caso del campo binario. Para el caso del campo principal, esto se descifró en julio de 2009 utilizando un clúster de más de 200 consolas de juegos PlayStation 3 y podría haberse terminado en 3,5 meses utilizando este clúster en funcionamiento continuo. ^[28] El caso del campo binario se descifró en abril de 2004 utilizando 2600 computadoras durante 17 meses. ^[29]

Un proyecto actual tiene como objetivo superar el desafío ECC2K-130 de Certicom, mediante el uso de una amplia gama de hardware diferente: CPU, GPU, FPGA. ^[30]

Coordenadas proyectivas

Un examen minucioso de las reglas de adición muestra que para sumar dos puntos, no solo se necesitan varias adiciones y multiplicaciones en sino también una operación de inversión . La inversión (para un hallazgo dado tal que ) es uno a dos órdenes de magnitud más lenta ^[31] que la multiplicación. Sin embargo, los puntos en una curva se pueden representar en diferentes sistemas de coordenadas que no requieren una operación de inversión para sumar dos puntos. Se propusieron varios de estos sistemas: en el sistema proyectivo cada punto se representa con tres coordenadas utilizando la siguiente relación: , ; en el sistema jacobiano un punto también se representa con tres coordenadas , pero se utiliza una relación diferente: , ; en el sistema López-Dahab la relación es , ; en el sistema jacobiano modificado se utilizan las mismas relaciones pero se almacenan y utilizan cuatro coordenadas para los cálculos ; y en el sistema jacobiano de Chudnovsky se utilizan cinco coordenadas . Tenga en cuenta que puede haber diferentes convenciones de nomenclatura; por ejemplo, el estándar IEEE P1363-2000 utiliza "coordenadas proyectivas" para referirse a lo que comúnmente se denomina coordenadas jacobianas. Es posible obtener una aceleración adicional si se utilizan coordenadas mixtas. ^[32] ${\displaystyle \mathbb {F} _{q}}$ ${\displaystyle x\in \mathbb {F} _{q}}$ ${\displaystyle y\in \mathbb {F} _{q}}$ ${\displaystyle xy=1}$ ${\displaystyle (X,Y,Z)}$ ${\displaystyle x={\frac {X}{Z}}}$ ${\displaystyle y={\frac {Y}{Z}}}$ ${\displaystyle (X,Y,Z)}$ ${\displaystyle x={\frac {X}{Z^{2}}}}$ ${\displaystyle y={\frac {Y}{Z^{3}}}}$ ${\displaystyle x={\frac {X}{Z}}}$ ${\displaystyle y={\frac {Y}{Z^{2}}}}$ ${\displaystyle (X,Y,Z,aZ^{4})}$ ${\displaystyle (X,Y,Z,Z^{2},Z^{3})}$

Reducción rápida (curvas NIST)

La reducción módulo p (que se necesita para la suma y la multiplicación) se puede ejecutar mucho más rápido si el primo p es un pseudoprimo de Mersenne , es decir , por ejemplo, o En comparación con la reducción de Barrett , puede haber una aceleración de un orden de magnitud. ^[33] La aceleración aquí es práctica más que teórica, y se deriva del hecho de que los módulos de números contra números cercanos a potencias de dos se pueden realizar de manera eficiente por computadoras que operan en números binarios con operaciones bit a bit . ${\displaystyle p\approx 2^{d}}$ ${\displaystyle p=2^{521}-1}$ ${\displaystyle p=2^{256}-2^{32}-2^{9}-2^{8}-2^{7}-2^{6}-2^{4}-1.}$

El NIST recomienda las curvas con pseudo-Mersenne p . Otra ventaja de las curvas del NIST es que utilizan a  = −3, lo que mejora la suma en coordenadas jacobianas. ${\displaystyle \mathbb {F} _{p}}$

Según Bernstein y Lange, muchas de las decisiones relacionadas con la eficiencia en la norma NIST FIPS 186-2 no son óptimas. Otras curvas son más seguras y funcionan con la misma velocidad. ^[34]

Seguridad

Ataques de canal lateral

A diferencia de la mayoría de los otros sistemas DLP (donde es posible utilizar el mismo procedimiento para elevar al cuadrado y multiplicar), la adición EC es significativamente diferente para la duplicación ( P = Q ) y la adición general ( P ≠ Q ) dependiendo del sistema de coordenadas utilizado. En consecuencia, es importante contrarrestar los ataques de canal lateral (por ejemplo, ataques de análisis de potencia diferencial/simple o de sincronización ) utilizando, por ejemplo, métodos de ventana de patrón fijo (también conocidos como peine) ^{[ aclaración necesaria ] [35]} (tenga en cuenta que esto no aumenta el tiempo de cálculo). Alternativamente, se puede utilizar una curva de Edwards ; esta es una familia especial de curvas elípticas para las que la duplicación y la adición se pueden realizar con la misma operación. ^[36] Otra preocupación para los sistemas ECC es el peligro de ataques de fallas , especialmente cuando se ejecutan en tarjetas inteligentes . ^[37]

Puertas traseras

Los expertos en criptografía han expresado su preocupación por el hecho de que la Agencia de Seguridad Nacional haya insertado una puerta trasera cleptográfica en al menos un generador pseudoaleatorio basado en curvas elípticas. ^[38] Memos internos filtrados por el ex contratista de la NSA Edward Snowden sugieren que la NSA puso una puerta trasera en el estándar Dual EC DRBG . ^[39] Un análisis de la posible puerta trasera concluyó que un adversario en posesión de la clave secreta del algoritmo podría obtener claves de cifrado si solo tuviera 32 bytes de salida PRNG. ^[40]

El proyecto SafeCurves se lanzó con el objetivo de catalogar curvas que sean fáciles de implementar de forma segura y que estén diseñadas de una manera totalmente verificable públicamente para minimizar la posibilidad de una puerta trasera. ^[41]

Ataque a la computación cuántica

El algoritmo de Shor se puede utilizar para romper la criptografía de curva elíptica mediante el cálculo de logaritmos discretos en una computadora cuántica hipotética . Las últimas estimaciones de recursos cuánticos para romper una curva con un módulo de 256 bits (nivel de seguridad de 128 bits) son 2330 qubits y 126 mil millones de puertas Toffoli . ^[42] Para el caso de la curva elíptica binaria, son necesarios 906 qubits (para romper 128 bits de seguridad). ^[43] En comparación, el uso del algoritmo de Shor para romper el algoritmo RSA requiere 4098 qubits y 5,2 billones de puertas Toffoli para una clave RSA de 2048 bits, lo que sugiere que ECC es un objetivo más fácil para las computadoras cuánticas que RSA. Todas estas cifras superan ampliamente cualquier computadora cuántica que se haya construido jamás, y las estimaciones sitúan la creación de tales computadoras a una década o más de distancia. ^{[ cita requerida ] [44]}

El intercambio de claves Diffie-Hellman de isogenia supersingular pretendía proporcionar una forma segura poscuántica de criptografía de curva elíptica mediante el uso de isogenias para implementar intercambios de claves Diffie-Hellman . Este intercambio de claves utiliza gran parte de la misma aritmética de campo que la criptografía de curva elíptica existente y requiere una sobrecarga computacional y de transmisión similar a la de muchos sistemas de clave pública utilizados actualmente. ^[45] Sin embargo, nuevos ataques clásicos socavaron la seguridad de este protocolo. ^[46]

En agosto de 2015, la NSA anunció que planeaba realizar la transición "en un futuro no muy lejano" a un nuevo conjunto de cifrados resistente a los ataques cuánticos . "Desafortunadamente, el crecimiento del uso de curvas elípticas se ha topado con el hecho de que continúa el progreso en la investigación sobre computación cuántica, lo que hace necesaria una reevaluación de nuestra estrategia criptográfica". ^[11]

Ataque de curva no válido

Cuando se utiliza ECC en máquinas virtuales , un atacante puede usar una curva no válida para obtener una clave privada PDH completa. ^[47]

Representaciones alternativas

Las representaciones alternativas de curvas elípticas incluyen:

• Curvas de Hesse
• Curvas de Edwards
• Curvas retorcidas
• Curvas de Hesse retorcidas
• Curva de Edwards torcida
• Curva de Doche-Icart-Kohel orientada a la duplicación
• Curva de Doche-Icart-Kohel orientada al triplicado
• Curva jacobiana
• Curvas de Montgomery

Véase también

• Criptomoneda
• Curva25519
• CuatroQ
• Curva DNS
• RSA (criptosistema)
• Patentes ECC
• Curva elíptica Diffie-Hellman (ECDH)
• Algoritmo de firma digital de curva elíptica (ECDSA)
• Educación DSA
• ECMQV
• Multiplicación de puntos de curva elíptica
• Firmas homomórficas para codificación de redes
• Criptografía de curva hiperelíptica
• Criptografía basada en emparejamiento
• Criptografía de clave pública
• Criptografía cuántica
• Intercambio de claves de isogenia supersingular
• Firma digital del BLS

Notas

1. "El caso de la criptografía de curva elíptica". NSA . Archivado desde el original el 17 de enero de 2009.
2. Koblitz, N. (1987). "Criptosistemas de curva elíptica". Matemáticas de la computación . 48 (177): 203–209. doi : 10.2307/2007884 . JSTOR  2007884.
3. Miller, V. (1986). "Uso de curvas elípticas en criptografía". Avances en criptología — Actas de CRYPTO '85 . Apuntes de clase en informática. Vol. 85. págs. 417–426. doi :10.1007/3-540-39799-X_31. ISBN 978-3-540-16463-0. Número de identificación del sujeto  206617984.
4. "Estándar de firma digital (DSS)". Instituto Nacional de Estándares y Tecnología. 19 de julio de 2013. doi : 10.6028/NIST.FIPS.186-4 .
5. FIPS PUB 186-3, Estándar de firma digital (DSS).
6. "Hoja informativa sobre criptografía de la Suite B de la NSA". Agencia de Seguridad Nacional de Estados Unidos . Archivado desde el original el 7 de febrero de 2009.
7. Perlroth, Nicole; Larson, Jeff; Shane, Scott (5 de septiembre de 2013). «NSA capaz de frustrar las salvaguardas básicas de la privacidad en la Web». New York Times . Archivado desde el original el 1 de enero de 2022. Consultado el 28 de octubre de 2018 .
8. Kim Zetter, RSA les dice a sus clientes desarrolladores: dejen de usar el algoritmo vinculado a la NSA Wired , 19 de septiembre de 2013. "Recomendación contra el uso de la generación aleatoria de bits determinista de curva elíptica dual SP 800-90A: NIST recomienda enfáticamente que, a la espera de la resolución de los problemas de seguridad y la reemisión de SP 800-90A, ya no se utilice el Dual_EC_DRBG, tal como se especifica en la versión de enero de 2012 de SP 800-90A".
9. "Búsqueda – CSRC". csrc.nist.gov .
10. Bruce Schneier (5 de septiembre) "Ya no confío en las constantes. Creo que la NSA las ha manipulado a través de sus relaciones con la industria". Véase ¿Las curvas elípticas estándar del NIST están ocultas?, Slashdot , 11 de septiembre de 2013.
11. "Conjunto de algoritmos de seguridad nacional comercial". www.nsa.gov . 19 de agosto de 2015. Archivado desde el original el 4 de junio de 2019 . Consultado el 8 de enero de 2020 .
12. Preguntas frecuentes sobre el conjunto de algoritmos de seguridad nacional comercial y computación cuántica Agencia de Seguridad Nacional de Estados Unidos, enero de 2016.
13. RSA Laboratories. "6.3.4 ¿Están patentados los criptosistemas de curva elíptica?". Archivado desde el original el 1 de noviembre de 2016.
14. Bernstein, DJ "Patentes irrelevantes sobre criptografía de curva elíptica".
15. Archivado el 17 de abril de 2018 en Wayback Machine.
16. "Criptografía de curva elíptica "Made in Germany"" (Comunicado de prensa). 25 de junio de 2014.
17. "GEC 2: Vectores de prueba para SEC 1" (PDF) . www.secg.org . Archivado desde el original (descarga PDF) el 2013-06-06.
18. Lay, Georg-Johann; Zimmer, Horst G. (1994). "Construcción de curvas elípticas con un orden de grupo dado sobre grandes campos finitos". Teoría de números algorítmica . Apuntes de clase en informática. Vol. 877. págs. 250–263. doi :10.1007/3-540-58691-1_64. ISBN . 978-3-540-58691-3.
19. Galbraith, SD; Smart, NP (1999). "Una aplicación criptográfica de la descendencia de Weil". Una aplicación criptográfica de la descendencia de Weil . Notas de clase en informática. Vol. 1746. pág. 799. doi :10.1007/3-540-46665-7_23. ISBN 978-3-540-66887-9. Número de identificación S2CID  15134380.
20. Gaudry, P.; Hess, F.; Smart, NP (2000). "Constructive and destructive facets of Weil descent on elliptic curves" (PDF) . Informe técnico de Hewlett Packard Laboratories . Archivado desde el original (PDF) el 2006-12-06 . Consultado el 2006-01-02 .
21. Menezes, A.; Okamoto, T.; Vanstone, SA (1993). "Reducción de logaritmos de curvas elípticas a logaritmos en un cuerpo finito". IEEE Transactions on Information Theory . 39 (5): 1639–1646. doi :10.1109/18.259647.
22. Hitt, L. (2006). "Sobre una definición mejorada del grado de incrustación". Informe de la IACR en formato electrónico . 415 .
23. IEEE P1363 Archivado el 13 de febrero de 2007 en Wayback Machine , sección A.12.1
24. Semaev, I. (1998). "Evaluación del logaritmo discreto en un grupo de puntos de p-torsión de una curva elíptica en característica p". Matemáticas de la computación . 67 (221): 353–356. Bibcode :1998MaCom..67..353S. doi : 10.1090/S0025-5718-98-00887-4 .
25. Smart, N. (1999). "El problema del logaritmo discreto en curvas elípticas de traza uno". Revista de criptología . 12 (3): 193–196. CiteSeerX 10.1.1.17.1880 . doi :10.1007/s001459900052. S2CID  24368962. 
26. Satoh, T.; Araki, K. (1998). "Cocientes de Fermat y el algoritmo de registro discreto de tiempo polinómico para curvas elípticas anómalas". Commentarii Mathematici Universitatis Sancti Pauli . 47 .
27. NIST, Recomendación para la gestión de claves, Parte 1: general, Publicación especial 800-57, agosto de 2005.
28. "112-bit prime ECDLP solved – LACAL". lacal.epfl.ch . Archivado desde el original el 2009-07-15 . Consultado el 2009-07-11 .
29. "Certicom anuncia el ganador del desafío de criptografía de curva elíptica". Certicom . 27 de abril de 2004. Archivado desde el original el 19 de julio de 2011.
30. "Rompiendo el ECC2K-130". www.ecc-challenge.info .
31. Hitchcock, Y.; Dawson, E.; Clark, A.; Montague, P. (2002). "Implementación de un criptosistema de curva elíptica eficiente sobre GF(p) en una tarjeta inteligente" (PDF) . Revista ANZIAM . 44 . Archivado desde el original (PDF) el 27 de marzo de 2006.
32. Cohen, H. ; Miyaji, A. ; Ono, T. (1998). "Exponenciación eficiente de curvas elípticas utilizando coordenadas mixtas". Avances en criptología — ASIACRYPT'98 . Apuntes de clase en informática. Vol. 1514. págs. 51–65. doi :10.1007/3-540-49649-1_6. ISBN 978-3-540-65109-3.
33. Brown, M.; Hankerson, D.; Lopez, J.; Menezes, A. (2001). "Implementación de software de las curvas elípticas del NIST sobre campos primos". Temas de criptología — CT-RSA 2001. Apuntes de clase en informática. Vol. 2020. págs. 250–265. CiteSeerX 10.1.1.25.8619 . doi :10.1007/3-540-45353-9_19. ISBN  978-3-540-41898-6.
34. Daniel J. Bernstein y Tanja Lange . «SafeCurves: elección de curvas seguras para la criptografía de curva elíptica» . Consultado el 1 de diciembre de 2013 .
35. Hedabou, M.; Pinel, P.; Beneteau, L. (2004). "Un método de peine para hacer que el ECC sea resistente a los ataques de canal lateral" (PDF) . {{cite journal}}: Requiere citar revista |journal=( ayuda )
36. "Cr.yp.to: 2014.03.23: Cómo diseñar un sistema de firma de curva elíptica".
37. Véase, por ejemplo, Biehl, Ingrid; Meyer, Bernd; Müller, Volker (2000). "Ataques de falla diferencial en criptosistemas de curva elíptica". Avances en criptología — CRYPTO 2000 (PDF) . Apuntes de clase en informática . Vol. 1880. págs. 131–146. doi :10.1007/3-540-44598-6_8. ISBN 978-3-540-67907-3.
38. "¿La NSA puso una puerta trasera secreta en el nuevo estándar de cifrado?". www.schneier.com .
39. "El Gobierno anuncia medidas para restablecer la confianza en los estándares de cifrado". NY Times – Bits Blog . 2013-09-10 . Consultado el 2015-11-06 .
40. Shumow, Dan; Ferguson, Niels. "Sobre la posibilidad de una puerta trasera en el NIST SP800-90 Dual Ec Prng" (PDF) . Microsoft .
41. Bernstein, Daniel J.; Lange, Tanja. "SafeCurves: elección de curvas seguras para la criptografía de curva elíptica" . Consultado el 1 de octubre de 2016 .
42. Roetteler, Martin; Naehrig, Michael; Svore, Krysta M.; Lauter, Kristin (2017). "Estimaciones de recursos cuánticos para calcular logaritmos discretos de curvas elípticas". arXiv : 1706.06752 [quant-ph].
43. Banegas, G.; Bernstein, DJ; Hoof, I. van; Lange, T. (2020). "Criptoanálisis cuántico concreto de curvas elípticas binarias" (PDF) . {{cite journal}}: Requiere citar revista |journal=( ayuda )
44. Holmes, David (7 de septiembre de 2021). «RSA en un mundo informático «pre-post-cuántico»». f5 . Archivado desde el original el 8 de agosto de 2020 . Consultado el 16 de marzo de 2021 .
45. De Feo, Luca; Jao, Plut (2011). "Hacia criptosistemas resistentes a la tecnología cuántica a partir de isogenias de curvas elípticas supersingulares". Archivo de criptografía electrónica, Informe 2011/506 . IACR. Archivado desde el original el 3 de mayo de 2014. Consultado el 3 de mayo de 2014 .
46. Robert, Damien (2022). "Rompiendo SIDH en tiempo polinomial". Archivo de ePrints de criptología .
47. Cohen, Cfir (25 de junio de 2019). "AMD-SEV: recuperación de clave DH de la plataforma mediante un ataque de curva no válida (CVE-2019-9836)". Seclist Org . Archivado desde el original el 2 de julio de 2019. Consultado el 4 de julio de 2019. Se descubrió que la implementación de curva elíptica (ECC) de SEV era vulnerable a un ataque de curva no válida. En el comando de inicio de lanzamiento , un atacante puede enviar puntos ECC de orden pequeño que no estén en las curvas oficiales del NIST y forzar al firmware de SEV a multiplicar un punto de orden pequeño por el escalar DH privado del firmware.

Referencias

• Grupo de estándares para criptografía eficiente (SECG) , SEC 1: criptografía de curva elíptica, versión 1.0, 20 de septiembre de 2000. (archivado el 11 de noviembre de 2014)
• D. Hankerson, A. Menezes y SA Vanstone, Guía de criptografía de curva elíptica , Springer-Verlag, 2004.
• I. Blake, G. Seroussi y N. Smart, Curvas elípticas en criptografía , London Mathematical Society 265, Cambridge University Press, 1999.
• I. Blake, G. Seroussi y N. Smart, editores, Avances en criptografía de curvas elípticas , London Mathematical Society 317, Cambridge University Press, 2005.
• L. Washington, Curvas elípticas: teoría de números y criptografía , Chapman & Hall / CRC, 2003.
• El caso de la criptografía de curva elíptica, Agencia de Seguridad Nacional (archivado el 17 de enero de 2009)
• Tutorial de criptografía de curva elíptica en línea, Certicom Corp. (archivado aquí el 3 de marzo de 2016)
• K. Malhotra, S. Gardner y R. Patz, Implementación de criptografía de curva elíptica en dispositivos móviles de atención médica, Redes, detección y control, Conferencia internacional IEEE 2007, Londres, 15-17 de abril de 2007 Página(s): 239-244
• Saikat Basu, Una nueva implementación basada en ventanas paralelas de la multiplicación de puntos de curva elíptica en arquitecturas de múltiples núcleos, International Journal of Network Security, vol. 13, n.º 3, 2011, página(s): 234–241 (archivado aquí el 4 de marzo de 2016)
• Christof Paar, Jan Pelzl, "Elliptic Curve Cryptosystems", Capítulo 9 de "Understanding Cryptography, A Textbook for Students and Practitioners" (el sitio web complementario contiene un curso de criptografía en línea que cubre la criptografía de curva elíptica), Springer, 2009. (archivado aquí el 20 de abril de 2016)
• Luca De Feo, David Jao, Jerome Plut, Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies, Springer 2011. (archivado aquí el 7 de mayo de 2012)
• Gustavo Banegas, Daniel J. Bernstein, Iggy Van Hoof, Tanja Lange, Criptoanálisis cuántico concreto de curvas elípticas binarias, Springer 2020. (archivado aquí el 1 de junio de 2020)

• Jacques Vélu, Courbes elliptiques (...), Société Mathématique de France, 57, 1-152, París, 1978.

Enlaces externos

• Curvas elípticas en la Universidad de Stanford
• Introducción interactiva a las curvas elípticas y a la criptografía de curvas elípticas con Sage por Maike Massierer y el equipo de CrypTool
• Medios relacionados con Curva elíptica en Wikimedia Commons