Criptografía de curva elíptica

Enfoque de la criptografía de clave pública

La criptografía de curva elíptica ( ECC ) es un enfoque de la criptografía de clave pública basada en la estructura algebraica de curvas elípticas sobre campos finitos . ECC permite que claves más pequeñas proporcionen una seguridad equivalente, en comparación con los criptosistemas basados ​​en la exponenciación modular en los campos de Galois , como el criptosistema RSA y el criptosistema ElGamal . ^[1]

Las curvas elípticas son aplicables para acuerdos de claves , firmas digitales , generadores pseudoaleatorios y otras tareas. Indirectamente, se pueden utilizar para el cifrado combinando el acuerdo de clave con un esquema de cifrado simétrico . También se utilizan en varios algoritmos de factorización de enteros que tienen aplicaciones en criptografía, como la factorización de curva elíptica de Lenstra .

Historia

El uso de curvas elípticas en criptografía fue sugerido de forma independiente por Neal Koblitz ^[2] y Victor S. Miller ^[3] en 1985. Los algoritmos de criptografía de curva elíptica entraron en uso generalizado entre 2004 y 2005.

En 1999, el NIST recomendó quince curvas elípticas. Específicamente, FIPS 186-4 ^[4] tiene diez campos finitos recomendados:

• Cinco campos primos para ciertos primos p de tamaños 192, 224, 256, 384 y 521 bits. Para cada uno de los campos primos, se recomienda una curva elíptica. ${\displaystyle \mathbb {F} _{p}}$
• Cinco campos binarios para m equivalen a 163, 233, 283, 409 y 571. Para cada uno de los campos binarios, se seleccionó una curva elíptica y una curva de Koblitz . ${\displaystyle \mathbb {F} _{2^{m}}}$

Por tanto, la recomendación del NIST contiene un total de cinco curvas primas y diez curvas binarias. Las curvas se eligieron para lograr una seguridad óptima y una eficiencia de implementación. ^[5]

En la Conferencia RSA de 2005, la Agencia de Seguridad Nacional (NSA) anunció la Suite B , que utiliza exclusivamente ECC para la generación de firmas digitales y el intercambio de claves. La suite está destinada a proteger la información y los sistemas de seguridad nacional clasificados y no clasificados. ^[1] El Instituto Nacional de Estándares y Tecnología (NIST) ha respaldado la criptografía de curva elíptica en su conjunto de algoritmos recomendados Suite B , específicamente Diffie-Hellman (ECDH) de curva elíptica para el intercambio de claves y el Algoritmo de firma digital de curva elíptica (ECDSA) para firma. La NSA permite su uso para proteger información clasificada hasta alto secreto con claves de 384 bits. ^[6]

Recientemente, ^{[ ¿ cuándo? ]} se ha introducido una gran cantidad de primitivas criptográficas basadas en mapeos bilineales en varios grupos de curvas elípticas, como los pares Weil y Tate . Los esquemas basados ​​en estas primitivas proporcionan un cifrado eficaz basado en la identidad , así como firmas basadas en emparejamiento, cifrado de signos , acuerdo de claves y nuevo cifrado de proxy . ^{[ cita necesaria ]}

La criptografía de curva elíptica se utiliza con éxito en numerosos protocolos populares, como Transport Layer Security y Bitcoin .

Preocupaciones de seguridad

En 2013, The New York Times declaró que la generación de bits aleatorios determinista de curva elíptica dual (o Dual_EC_DRBG) se había incluido como estándar nacional del NIST debido a la influencia de la NSA , que había incluido una debilidad deliberada en el algoritmo y la curva elíptica recomendada. ^[7] RSA Security en septiembre de 2013 emitió un aviso recomendando que sus clientes dejaran de usar cualquier software basado en Dual_EC_DRBG. ^{[8] [9]} A raíz de la exposición de Dual_EC_DRBG como "una operación encubierta de la NSA", los expertos en criptografía también han expresado su preocupación por la seguridad de las curvas elípticas recomendadas por el NIST, ^[10] sugiriendo un retorno al cifrado basado en grupos de curvas elípticas.

Además, en agosto de 2015, la NSA anunció que planea reemplazar la Suite B con una nueva suite de cifrado debido a preocupaciones sobre los ataques de computación cuántica a ECC. ^{[11] [12]}

Patentes

Si bien la patente RSA expiró en 2000, es posible que haya patentes vigentes que cubran ciertos aspectos de la tecnología ECC, incluido al menos un esquema ECC ( ECMQV ). Sin embargo, RSA Laboratories ^[13] y Daniel J. Bernstein ^[14] han argumentado que el estándar de firma digital de curva elíptica del gobierno de EE. UU. (ECDSA; NIST FIPS 186-3) y ciertos esquemas prácticos de intercambio de claves basados ​​en ECC (incluido ECDH) pueden ser implementado sin infringir esas patentes.

Teoría de la curva elíptica

Para los propósitos de este artículo, una curva elíptica es una curva plana sobre un campo finito (en lugar de números reales) que consta de puntos que satisfacen la ecuación:

${\displaystyle y^{2}=x^{3}+ax+b,\,}$

junto con un punto distinguido en el infinito , denotado ∞. Las coordenadas aquí deben elegirse de un campo finito fijo de característica no igual a 2 o 3, o la ecuación de la curva sería algo más complicada.

Este conjunto de puntos, junto con la operación grupal de curvas elípticas , es un grupo abeliano , con el punto en el infinito como elemento identidad. La estructura del grupo se hereda del grupo divisor de la variedad algebraica subyacente :

${\displaystyle \mathrm {Div} ^{0}(E)\to \mathrm {Pic} ^{0}(E)\simeq E,\,}$

Aplicación a la criptografía

La criptografía de clave pública se basa en la intratabilidad de ciertos problemas matemáticos . Los primeros sistemas de clave pública, como la patente de RSA de 1983, basaban su seguridad en el supuesto de que es difícil factorizar un número entero grande compuesto de dos o más factores primos grandes. Para protocolos posteriores basados ​​en curvas elípticas, el supuesto base es que encontrar el logaritmo discreto de un elemento de curva elíptica aleatoria con respecto a un punto base conocido públicamente no es factible (el supuesto computacional de Diffie-Hellman ): esta es la "curva elíptica discreta". problema de logaritmos" (ECDLP). La seguridad de la criptografía de curva elíptica depende de la capacidad de calcular una multiplicación de puntos y de la incapacidad de calcular el multiplicando dados el punto original y el punto producto. El tamaño de la curva elíptica, medido por el número total de pares de enteros discretos que satisfacen la ecuación de la curva, determina la dificultad del problema.

El principal beneficio que promete la criptografía de curva elíptica sobre alternativas como RSA es un tamaño de clave más pequeño , lo que reduce los requisitos de almacenamiento y transmisión. ^[1] Por ejemplo, una clave pública de curva elíptica de 256 bits debería proporcionar una seguridad comparable a una clave pública RSA de 3072 bits.

Esquemas criptográficos

Se han adaptado varios protocolos discretos basados ​​en logaritmos a curvas elípticas, reemplazando el grupo por una curva elíptica: ${\displaystyle (\mathbb {Z} _{p})^{\times }}$

• El esquema de acuerdo clave de curva elíptica Diffie-Hellman (ECDH) se basa en el esquema Diffie-Hellman ,
• El esquema de cifrado integrado de curva elíptica (ECIES), también conocido como esquema de cifrado aumentado de curva elíptica o simplemente esquema de cifrado de curva elíptica,
• El algoritmo de firma digital de curva elíptica (ECDSA) se basa en el algoritmo de firma digital ,
• El esquema de deformación utilizando la métrica p-ádica de Manhattan de Harrison,
• El algoritmo de firma digital de curva de Edwards (EdDSA) se basa en la firma de Schnorr y utiliza curvas de Edwards retorcidas .
• El esquema de acuerdo de claves ECMQV se basa en el esquema de acuerdo de claves MQV ,
• El esquema de certificado implícito ECQV .

Implementación

Algunas consideraciones de implementación comunes incluyen:

Parámetros de dominio

Para utilizar ECC, todas las partes deben ponerse de acuerdo sobre todos los elementos que definen la curva elíptica, es decir, los parámetros de dominio del esquema. El tamaño del campo utilizado suele ser primo (y se denota como p) o una potencia de dos ( ); el último caso se llama caso binario , y este caso requiere la elección de una curva auxiliar denotada por f . Por tanto , el campo está definido por p en el caso primo y el par de myf en el caso binario. La curva elíptica está definida por las constantes a y b utilizadas en su ecuación definitoria. Finalmente, el subgrupo cíclico está definido por su generador (también conocido como punto base ) G. Para aplicaciones criptográficas, el orden de G , que es el número positivo más pequeño n tal que (el punto en el infinito de la curva y el elemento identidad ), normalmente es primo. Dado que n es el tamaño de un subgrupo, del teorema de Lagrange se deduce que el número es un número entero. En aplicaciones criptográficas, este número h , llamado cofactor , debe ser pequeño ( ) y, preferiblemente, . Para resumir: en el caso principal, los parámetros del dominio son ; en el caso binario, son . ${\displaystyle 2^{m}}$ ${\displaystyle nG={\mathcal {O}}}$ ${\displaystyle E(\mathbb {F} _{p})}$ ${\displaystyle h={\frac {1}{n}}|E(\mathbb {F} _{p})|}$ ${\displaystyle h\leq 4}$ ${\displaystyle h=1}$ ${\displaystyle (p,a,b,G,n,h)}$ ${\displaystyle (m,f,a,b,G,n,h)}$

A menos que exista la seguridad de que los parámetros del dominio fueron generados por una parte de confianza con respecto a su uso, los parámetros del dominio deben validarse antes de su uso.

La generación de parámetros de dominio generalmente no la realiza cada participante porque esto implica calcular el número de puntos en una curva, lo cual requiere mucho tiempo y es problemático de implementar. Como resultado, varios organismos estándar publicaron parámetros de dominio de curvas elípticas para varios tamaños de campo comunes. Estos parámetros de dominio se conocen comúnmente como "curvas estándar" o "curvas con nombre"; Se puede hacer referencia a una curva con nombre ya sea por su nombre o por el identificador de objeto único definido en los documentos estándar:

• NIST , curvas elípticas recomendadas para uso gubernamental
• SECG , SEC 2: Parámetros de dominio de curva elíptica recomendados
• ECC Brainpool ( RFC  5639), Curvas estándar y generación de curvas de ECC Brainpool Archivado el 17 de abril de 2018 en Wayback Machine.

También están disponibles vectores de prueba SECG. ^[15] El NIST ha aprobado muchas curvas SECG, por lo que existe una superposición significativa entre las especificaciones publicadas por el NIST y la SECG. Los parámetros del dominio EC se pueden especificar por valor o por nombre.

Si, a pesar de la advertencia anterior, uno decide construir sus propios parámetros de dominio, debe seleccionar el campo subyacente y luego usar una de las siguientes estrategias para encontrar una curva con un número apropiado (es decir, casi primo) de puntos usando uno de los siguientes métodos:

• Seleccione una curva aleatoria y utilice un algoritmo general de conteo de puntos, por ejemplo, el algoritmo de Schoof o el algoritmo de Schoof-Elkies-Atkin .
• Seleccione una curva aleatoria de una familia que permita calcular fácilmente el número de puntos (por ejemplo, curvas de Koblitz), o
• Seleccione el número de puntos y genere una curva con este número de puntos utilizando la técnica de multiplicación compleja . ^[dieciséis]

Varias clases de curvas son débiles y deben evitarse:

• Las curvas con m no principal son vulnerables a los ataques de descenso de Weil . ^{[17] [18]} ${\displaystyle \mathbb {F} _{2^{m}}}$
• Las curvas tales que n se divide (donde p es la característica del campo: q para un campo primo o para un campo binario) para B suficientemente pequeño son vulnerables al ataque de Menezes-Okamoto-Vanstone (MOV) ^{[19] [20]} que aplica el problema habitual de logaritmos discretos (DLP) en un campo de extensión de pequeño grado para resolver ECDLP. El límite B debe elegirse de modo que los logaritmos discretos en el campo sean al menos tan difíciles de calcular como los logaritmos discretos en la curva elíptica . ^[21] ${\displaystyle p^{B}-1}$ ${\displaystyle 2}$ ${\displaystyle \mathbb {F} _{p}}$ ${\displaystyle \mathbb {F} _{p^{B}}}$ ${\displaystyle E(\mathbb {F} _{q})}$
• Curvas que son vulnerables al ataque que asigna los puntos de la curva al grupo aditivo de . ^{[22] [23] [24]} ${\displaystyle |E(\mathbb {F} _{q})|=q}$ ${\displaystyle \mathbb {F} _{q}}$

Tamaños de clave

Debido a que todos los algoritmos conocidos más rápidos que permiten resolver el ECDLP ( baby-step-gigant-step , Pollard's rho , etc.) necesitan pasos, se deduce que el tamaño del campo subyacente debe ser aproximadamente el doble del parámetro de seguridad. Por ejemplo, para seguridad de 128 bits se necesita una curva sobre , donde . Esto se puede contrastar con la criptografía de campos finitos (por ejemplo, DSA ) que requiere ^[25] claves públicas de 3072 bits y claves privadas de 256 bits, y la criptografía de factorización de enteros (por ejemplo, RSA ) que requiere un valor de n de 3072 bits . donde la clave privada debería ser igual de grande. Sin embargo, la clave pública puede ser más pequeña para permitir un cifrado eficiente, especialmente cuando la potencia de procesamiento es limitada. ${\displaystyle O({\sqrt {n}})}$ ${\displaystyle \mathbb {F} _{q}}$ ${\displaystyle q\approx 2^{256}}$

El esquema ECC más difícil (públicamente) roto hasta la fecha ^{[ ¿cuándo? ]} tenía una clave de 112 bits para el caso del campo principal y una clave de 109 bits para el caso del campo binario. Para el caso de campo principal, esto se solucionó en julio de 2009 usando un grupo de más de 200 consolas de juegos PlayStation 3 y podría haberse terminado en 3,5 meses usando este grupo en funcionamiento continuo. ^[26] El caso del campo binario se resolvió en abril de 2004 utilizando 2600 computadoras durante 17 meses. ^[27]

Un proyecto actual tiene como objetivo superar el desafío ECC2K-130 de Certicom, mediante el uso de una amplia gama de hardware diferente: CPU, GPU, FPGA. ^[28]

Coordenadas proyectivas

Un examen detenido de las reglas de la suma muestra que para sumar dos puntos, no solo se necesitan varias sumas y multiplicaciones, sino también una operación de inversión . La inversión (para un hallazgo dado tal que ) es uno o dos órdenes de magnitud más lenta ^[29] que la multiplicación. Sin embargo, los puntos de una curva se pueden representar en diferentes sistemas de coordenadas que no requieren una operación de inversión para sumar dos puntos. Se propusieron varios sistemas de este tipo: en el sistema proyectivo cada punto está representado por tres coordenadas utilizando la siguiente relación: , ; en el sistema jacobiano también se representa un punto con tres coordenadas , pero se utiliza una relación diferente: , ; en el sistema López-Dahab la relación es , ; en el sistema jacobiano modificado se utilizan las mismas relaciones pero se almacenan y utilizan cuatro coordenadas para los cálculos ; y en el sistema jacobiano de Chudnovsky se utilizan cinco coordenadas . Tenga en cuenta que puede haber diferentes convenciones de nomenclatura; por ejemplo, el estándar IEEE P1363 -2000 utiliza "coordenadas proyectivas" para referirse a lo que comúnmente se denomina coordenadas jacobianas. Es posible una aceleración adicional si se utilizan coordenadas mixtas. ^[30] ${\displaystyle \mathbb {F} _{q}}$ ${\displaystyle x\in \mathbb {F} _{q}}$ ${\displaystyle y\in \mathbb {F} _{q}}$ ${\displaystyle xy=1}$ ${\displaystyle (X,Y,Z)}$ ${\displaystyle x={\frac {X}{Z}}}$ ${\displaystyle y={\frac {Y}{Z}}}$ ${\displaystyle (X,Y,Z)}$ ${\displaystyle x={\frac {X}{Z^{2}}}}$ ${\displaystyle y={\frac {Y}{Z^{3}}}}$ ${\displaystyle x={\frac {X}{Z}}}$ ${\displaystyle y={\frac {Y}{Z^{2}}}}$ ${\displaystyle (X,Y,Z,aZ^{4})}$ ${\displaystyle (X,Y,Z,Z^{2},Z^{3})}$

Reducción rápida (curvas NIST)

El módulo de reducción p (que es necesario para la suma y la multiplicación) se puede ejecutar mucho más rápido si el primo p es un pseudo- primo de Mersenne , es decir ; por ejemplo, o en comparación con la reducción de Barrett , puede haber una aceleración de un orden de magnitud. ^[31] La aceleración aquí es más práctica que teórica, y se deriva del hecho de que los módulos de números frente a números cercanos a potencias de dos pueden realizarse de manera eficiente mediante computadoras que operan con números binarios con operaciones bit a bit . ${\displaystyle p\approx 2^{d}}$ ${\displaystyle p=2^{521}-1}$ ${\displaystyle p=2^{256}-2^{32}-2^{9}-2^{8}-2^{7}-2^{6}-2^{4}-1.}$

El NIST recomienda las curvas con pseudo-Mersenne p . Otra ventaja más de las curvas NIST es que utilizan a  = −3, lo que mejora la suma en coordenadas jacobianas. ${\displaystyle \mathbb {F} _{p}}$

Según Bernstein y Lange, muchas de las decisiones relacionadas con la eficiencia en NIST FIPS 186-2 no son óptimas. Otras curvas son más seguras y transcurren igual de rápidas. ^[32]

Seguridad

Ataques de canal lateral

A diferencia de la mayoría de los otros sistemas DLP (donde es posible utilizar el mismo procedimiento para elevar al cuadrado y multiplicar), la suma EC es significativamente diferente para duplicar ( P = Q ) y la suma general ( P ≠ Q ) dependiendo del sistema de coordenadas utilizado. En consecuencia, es importante contrarrestar los ataques de canal lateral (por ejemplo, ataques de sincronización o de análisis de potencia simple/diferencial ) utilizando, por ejemplo, métodos de ventana de patrón fijo (también conocido como peine) ^{[ aclaración necesaria ] [33]} (tenga en cuenta que esto no aumenta tiempo de cálculo). Alternativamente se puede utilizar una curva de Edwards ; se trata de una familia especial de curvas elípticas para las cuales se pueden realizar duplicaciones y sumas con la misma operación. ^[34] Otra preocupación para los sistemas ECC es el peligro de ataques por fallos , especialmente cuando se ejecutan en tarjetas inteligentes . ^[35]

puertas traseras

Los expertos en criptografía han expresado su preocupación de que la Agencia de Seguridad Nacional haya insertado una puerta trasera cleptográfica en al menos un generador pseudoaleatorio basado en curvas elípticas. ^[36] Memorandos internos filtrados por el ex contratista de la NSA Edward Snowden sugieren que la NSA puso una puerta trasera en el estándar Dual EC DRBG . ^[37] Un análisis de la posible puerta trasera concluyó que un adversario en posesión de la clave secreta del algoritmo podría obtener claves de cifrado con solo 32 bytes de salida PRNG. ^[38]

El proyecto SafeCurves se lanzó para catalogar curvas que sean fáciles de implementar de forma segura y que estén diseñadas de manera totalmente verificable públicamente para minimizar la posibilidad de una puerta trasera. ^[39]

Ataque de computación cuántica

El algoritmo de Shor se puede utilizar para romper la criptografía de curva elíptica calculando logaritmos discretos en una computadora cuántica hipotética . Las últimas estimaciones de recursos cuánticos para romper una curva con un módulo de 256 bits (nivel de seguridad de 128 bits) son 2330 qubits y 126 mil millones de puertas Toffoli . ^[40] Para el caso de la curva elíptica binaria, se necesitan 906 qubits (para romper 128 bits de seguridad). ^[41] En comparación, usar el algoritmo de Shor para romper el algoritmo RSA requiere 4098 qubits y 5,2 billones de puertas Toffoli para una clave RSA de 2048 bits, lo que sugiere que ECC es un objetivo más fácil para las computadoras cuánticas que RSA. Todas estas cifras superan ampliamente cualquier computadora cuántica que se haya construido jamás, y las estimaciones sitúan la creación de tales computadoras dentro de una década o más. ^{[ cita necesaria ] [42]}

Isogenia supersingular Diffie-Hellman Key Exchange afirmó proporcionar una forma segura poscuántica de criptografía de curva elíptica mediante el uso de isogenias para implementar intercambios de claves Diffie-Hellman . Este intercambio de claves utiliza gran parte de la misma aritmética de campo que la criptografía de curva elíptica existente y requiere una sobrecarga computacional y de transmisión similar a muchos sistemas de claves públicas utilizados actualmente. ^[43] Sin embargo, nuevos ataques clásicos socavaron la seguridad de este protocolo. ^[44]

En agosto de 2015, la NSA anunció que planeaba realizar la transición "en un futuro no lejano" a un nuevo conjunto de cifrado resistente a los ataques cuánticos . "Desafortunadamente, el crecimiento del uso de curvas elípticas se ha topado con el hecho de que la investigación sobre computación cuántica sigue avanzando, lo que requiere una reevaluación de nuestra estrategia criptográfica". ^[11]

Ataque de curva no válida

Cuando se utiliza ECC en máquinas virtuales , un atacante puede utilizar una curva no válida para obtener una clave privada PDH completa. ^[45]

Representaciones alternativas

Las representaciones alternativas de curvas elípticas incluyen:

• Curvas de arpillera
• curvas de edward
• Curvas retorcidas
• Curvas retorcidas de arpillera
• Curva torcida de Edwards
• Curva de Doche-Icart-Kohel orientada a la duplicación
• Curva Doche-Icart-Kohel de triple orientación
• curva jacobiana
• Curvas de Montgomery

Ver también

• Criptomoneda
• Curva25519
• cuatroq
• Curva DNS
• RSA (criptosistema)
• patentes ECC
• Curva elíptica Diffie-Hellman (ECDH)
• Algoritmo de firma digital de curva elíptica (ECDSA)
• EdDSA
• ECMQV
• Multiplicación de puntos de curva elíptica
• Firmas homomorfas para codificación de redes.
• Criptografía de curva hiperelíptica
• Criptografía basada en emparejamiento
• Criptografía de clave pública
• Criptografía cuántica
• Intercambio de claves de isogenia supersingular
• Firma digital BLS

Notas

1. "El caso de la criptografía de curva elíptica". NSA . Archivado desde el original el 17 de enero de 2009.
2. Koblitz, N. (1987). "Criptosistemas de curva elíptica". Matemáticas de la Computación . 48 (177): 203–209. doi : 10.2307/2007884 . JSTOR  2007884.
3. Molinero, V. (1986). "Uso de curvas elípticas en criptografía". Avances en criptología: actas de CRYPTO '85 . Apuntes de conferencias sobre informática. vol. 85, págs. 417–426. doi :10.1007/3-540-39799-X_31. ISBN 978-3-540-16463-0. S2CID  206617984.
4. "Estándar de firma digital (DSS)". Instituto Nacional de Estándares y Tecnología. 2013-07-19. doi : 10.6028/NIST.FIPS.186-4 .
5. FIPS PUB 186-3, Estándar de firma digital (DSS).
6. "Hoja informativa sobre criptografía NSA Suite B". Agencia de Seguridad Nacional de EE.UU. Archivado desde el original el 7 de febrero de 2009.
7. Perlroth, Nicole; Larson, Jeff; Shane, Scott (5 de septiembre de 2013). "La NSA puede frustrar las garantías básicas de privacidad en la Web". New York Times . Archivado desde el original el 1 de enero de 2022 . Consultado el 28 de octubre de 2018 .
8. Kim Zetter, RSA les dice a sus clientes desarrolladores: dejen de usar el algoritmo vinculado a la NSA Wired , 19 de septiembre de 2013. "Recomendando no usar la generación de bits aleatorios determinista de curva elíptica dual SP 800-90A: NIST recomienda encarecidamente que, en espera de la resolución del Las preocupaciones de seguridad y la reedición de SP 800-90A, el Dual_EC_DRBG, como se especifica en la versión de enero de 2012 de SP 800-90A, ya no se utilizarán".
9. "Buscar - CSRC". csrc.nist.gov .
10. Bruce Schneier (5 de septiembre) "Ya no confío en las constantes. Creo que la NSA las ha manipulado a través de sus relaciones con la industria". Consulte ¿Las curvas elípticas estándar del NIST tienen puertas traseras?, Slashdot , 11 de septiembre de 2013.
11. "Suite de algoritmos de seguridad nacional comercial". www.nsa.gov . 19 de agosto de 2015. Archivado desde el original el 4 de junio de 2019 . Consultado el 8 de enero de 2020 .
12. Preguntas frecuentes sobre el conjunto de algoritmos de seguridad nacional comercial y la computación cuántica Agencia de Seguridad Nacional de EE. UU., enero de 2016.
13. Laboratorios RSA. "6.3.4 ¿Están patentados los criptosistemas de curva elíptica?". Archivado desde el original el 1 de noviembre de 2016.
14. Bernstein, DJ "Patentes irrelevantes sobre criptografía de curva elíptica".
15. "GEC 2: Vectores de prueba para SEC 1" (PDF) . www.secg.org . Archivado desde el original (descarga en PDF) el 6 de junio de 2013.
16. Laico, Georg-Johann; Zimmer, Horst G. (1994). "Construcción de curvas elípticas con un orden de grupo dado sobre grandes campos finitos". Teoría algorítmica de números . Apuntes de conferencias sobre informática. vol. 877, págs. 250–263. doi :10.1007/3-540-58691-1_64. ISBN 978-3-540-58691-3.
17. Galbraith, SD; Inteligente, NP (1999). "Una aplicación criptográfica de Weil Descent". Una aplicación criptográfica del descenso Weil . Apuntes de conferencias sobre informática. vol. 1746. pág. 799. doi :10.1007/3-540-46665-7_23. ISBN 978-3-540-66887-9. S2CID  15134380. {{cite book}}: |work=ignorado ( ayuda )
18. Gaudry, P.; Hess, F.; Inteligente, NP (2000). "Facetas constructivas y destructivas del descenso de Weil sobre curvas elípticas" (PDF) . Informe técnico de los laboratorios Hewlett Packard . Archivado desde el original (PDF) el 6 de diciembre de 2006 . Consultado el 2 de enero de 2006 .
19. Menezes, A.; Okamoto, T.; Vanstone, SA (1993). "Reducir logaritmos de curva elíptica a logaritmos en un campo finito". Transacciones IEEE sobre teoría de la información . 39 (5): 1639-1646. doi : 10.1109/18.259647.
20. Hitt, L. (2006). "Sobre una definición mejorada de grado de incrustación". Informe ePrint de la IACR . 415 .
21. IEEE P1363 Archivado el 13 de febrero de 2007 en Wayback Machine , sección A.12.1
22. Semaev, I. (1998). "Evaluación de logaritmo discreto en un grupo de p-puntos de torsión de una curva elíptica en la característica p". Matemáticas de la Computación . 67 (221): 353–356. Código Bib : 1998MaCom..67..353S. doi : 10.1090/S0025-5718-98-00887-4 .
23. Inteligente, N. (1999). "El problema del logaritmo discreto en curvas elípticas de traza uno". Revista de criptología . 12 (3): 193–196. CiteSeerX 10.1.1.17.1880 . doi :10.1007/s001459900052. S2CID  24368962. 
24. Satoh, T.; Araki, K. (1998). "Cocientes de Fermat y el algoritmo de registro discreto de tiempo polinómico para curvas elípticas anómalas". Commentarii Mathematici Universitatis Sancti Pauli . 47 .
25. NIST, Recomendación para la gestión de claves: Parte 1: general, publicación especial 800-57, agosto de 2005.
26. "ECDLP principal de 112 bits resuelto - LACAL". lacal.epfl.ch . Archivado desde el original el 15 de julio de 2009 . Consultado el 11 de julio de 2009 .
27. "Certicom anuncia el ganador del desafío de criptografía de curva elíptica". Certicom . 27 de abril de 2004. Archivado desde el original el 19 de julio de 2011.
28. "Rompiendo ECC2K-130". www.ecc-challenge.info .
29. Hitchcock, Y.; Dawson, E.; Clark, A.; Montague, P. (2002). "Implementación de un criptosistema de curva elíptica eficiente sobre GF (p) en una tarjeta inteligente" (PDF) . Revista ANZIAM . 44 . Archivado desde el original (PDF) el 27 de marzo de 2006.
30. Cohen, H .; Miyaji, A .; Ono, T. (1998). "Exponciación eficiente de curvas elípticas utilizando coordenadas mixtas". Avances en criptología - ASIACRYPT'98 . Apuntes de conferencias sobre informática. vol. 1514, págs. 51–65. doi :10.1007/3-540-49649-1_6. ISBN 978-3-540-65109-3.
31. Marrón, M.; Hankerson, D.; López, J.; Menezes, A. (2001). "Implementación de software de las curvas elípticas del NIST sobre campos primarios". Temas de criptología - CT-RSA 2001. Apuntes de conferencias sobre informática. vol. 2020. págs. 250–265. CiteSeerX 10.1.1.25.8619 . doi :10.1007/3-540-45353-9_19. ISBN  978-3-540-41898-6.
32. Daniel J. Bernstein y Tanja Lange . "SafeCurves: elección de curvas seguras para criptografía de curva elíptica" . Consultado el 1 de diciembre de 2013 .
33. Hedabou, M.; Pinel, P.; Beneteau, L. (2004). "Un método de peine para hacer que ECC sea resistente contra ataques de canal lateral" (PDF) . {{cite journal}}: Citar diario requiere |journal=( ayuda )
34. "Cr.yp.to: 23.03.2014: Cómo diseñar un sistema de firma de curva elíptica".
35. Véase, por ejemplo, Biehl, Ingrid; Meyer, Bernd; Müller, Volker (2000). "Ataques de fallas diferenciales en criptosistemas de curva elíptica". Avances en criptología: CRYPTO 2000 (PDF) . Apuntes de conferencias sobre informática . vol. 1880, págs. 131-146. doi :10.1007/3-540-44598-6_8. ISBN 978-3-540-67907-3.
36. "¿La NSA puso una puerta trasera secreta en el nuevo estándar de cifrado?". www.schneier.com .
37. "El gobierno anuncia medidas para restablecer la confianza en los estándares de cifrado". NY Times - Blog de bits . 2013-09-10 . Consultado el 6 de noviembre de 2015 .
38. Shumow, Dan; Ferguson, Niels. "Sobre la posibilidad de una puerta trasera en el NIST SP800-90 Dual Ec Prng" (PDF) . Microsoft .
39. Bernstein, Daniel J.; Lange, Tanja. "SafeCurves: elección de curvas seguras para criptografía de curva elíptica" . Consultado el 1 de octubre de 2016 .
40. Roetteler, Martín; Naehrig, Michael; Svore, Krysta M .; Lauter, Kristin (2017). "Estimaciones de recursos cuánticos para calcular logaritmos discretos de curvas elípticas". arXiv : 1706.06752 [cuántico-ph].
41. Banegas, G.; Bernstein, DJ; Pezuña, I. furgoneta; Lange, T. (2020). "Criptoanálisis cuántico concreto de curvas elípticas binarias" (PDF) . {{cite journal}}: Citar diario requiere |journal=( ayuda )
42. Holmes, David (7 de septiembre de 2021). "RSA en un mundo de la informática" pre-post-cuántica ". f5 . Archivado desde el original el 8 de agosto de 2020 . Consultado el 16 de marzo de 2021 .
43. De Feo, Luca; Jao, Plut (2011). "Hacia criptosistemas resistentes a los cuánticos a partir de isogenias de curvas elípticas supersingulares". Archivo ePrint de criptología, Informe 2011/506 . IACR. Archivado desde el original el 3 de mayo de 2014 . Consultado el 3 de mayo de 2014 .
44. Robert, Damián (2022). "Rompiendo SIDH en tiempo polinómico". Archivo ePrint de criptología .
45. Cohen, Cfir (25 de junio de 2019). "AMD-SEV: recuperación de clave de plataforma DH mediante ataque de curva no válida (CVE-2019-9836)". Organización seclista . Archivado desde el original el 2 de julio de 2019 . Consultado el 4 de julio de 2019 . Se descubrió que la implementación de curva elíptica (ECC) de SEV era vulnerable a un ataque de curva no válida. En el comando de inicio-inicio, un atacante puede enviar puntos ECC de orden pequeño que no están en las curvas oficiales NIST y forzar al firmware SEV a multiplicar un punto de orden pequeño por el escalar DH privado del firmware.

Referencias

• Standards for Efficient Cryptography Group (SECG) , SEC 1: Criptografía de curva elíptica, versión 1.0, 20 de septiembre de 2000 (archivado el 11 de noviembre de 2014).
• D. Hankerson, A. Menezes y SA Vanstone, Guía de criptografía de curva elíptica , Springer-Verlag, 2004.
• I. Blake, G. Seroussi y N. Smart, Elliptic Curves in Cryptography , London Mathematical Society 265, Cambridge University Press, 1999.
• I. Blake, G. Seroussi y N. Smart, editores, Advances in Elliptic Curve Cryptography , London Mathematical Society 317, Cambridge University Press, 2005.
• L. Washington, Curvas elípticas: teoría de números y criptografía , Chapman & Hall/CRC, 2003.
• El caso de la criptografía de curva elíptica, Agencia de Seguridad Nacional (archivado el 17 de enero de 2009)
• Tutorial en línea sobre criptografía de curva elíptica, Certicom Corp. (archivado aquí el 3 de marzo de 2016)
• K. Malhotra, S. Gardner y R. Patz, Implementación de criptografía de curva elíptica en dispositivos móviles de atención médica, redes, detección y control, Conferencia internacional IEEE de 2007, Londres, 15 a 17 de abril de 2007 Página(s):239– 244
• Saikat Basu, Una nueva implementación basada en ventanas paralelas de la multiplicación de puntos de curva elíptica en arquitecturas de múltiples núcleos, Revista internacional de seguridad de redes, vol. 13, No. 3, 2011, Página(s):234–241 (archivado aquí el 4 de marzo de 2016)
• Christof Paar, Jan Pelzl, "Criptosistemas de curva elíptica", Capítulo 9 de "Comprensión de la criptografía, un libro de texto para estudiantes y profesionales". (El sitio web complementario contiene un curso de criptografía en línea que cubre la criptografía de curva elíptica), Springer, 2009 (archivado aquí el 20 de abril de 2016).
• Luca De Feo, David Jao, Jerome Plut, Hacia criptosistemas resistentes a los cuánticos a partir de isogenias de curvas elípticas supersingulares, Springer 2011 (archivado aquí el 7 de mayo de 2012).
• Gustavo Banegas, Daniel J. Bernstein, Iggy Van Hoof, Tanja Lange, Criptoanálisis cuántico concreto de curvas elípticas binarias, Springer 2020. (archivado aquí el 1 de junio de 2020)

• Jacques Vélu, Courbes elliptiques (...), Société Mathématique de France, 57, 1-152, París, 1978.

enlaces externos

• Curvas elípticas en la Universidad de Stanford
• Introducción interactiva a las curvas elípticas y la criptografía de curvas elípticas con Sage por Maike Massierer y el equipo de CrypTool
• Medios relacionados con la curva elíptica en Wikimedia Commons