Diffieho–Hellmanův protokol s využitím eliptických křivek: Porovnání verzí

Diffieho-Hellmanův protokol s využitím eliptických křivek (ECDH) je varianta Diffieho-Hellmanova protokolu, který využívá eliptických křivek. Jde o šifrovací protokol, který umožňuje dvěma stranám, které se v životě nesetkaly ani spolu nekomunikovaly, sdílet „tajné“ informace na nechráněném komunikačním kanálu (to jest na sdělovacím kanálu, přes který se posílají informace, například telefon). Tyto informace mohou být přímo použity jako klíč, nebo ještě lépe, na vytvoření jiného klíče, který může být použit k zašifrování další komunikace s použitím symetrické šifry.

Vytváření klíče

Předpokládejme, že první účastník - Alice - chce vytvořit sdílený klíč s druhým účastníkem - Bobem, ale na jediném místě, kde spolu mohou komunikovat, se nachází špehové. Předně se musí dohodnout na parametrech (p, a, b, G, n, h), kde p je prvočíslo, kterým definujeme těleso, konstanty a, b z rovnice eliptické křivky, bod G na eliptické křivce, jeho řád n a kofaktor h, který udává podíl počtu prvků grupy bodů na eliptické křivce a řádu bodu G.

Nyní si každá strana musí zvolit své klíče, které se skládají ze soukromého klíče d (náhodně vybrané celé kladné číslo z intervalu [1,n-1]) a veřejného klíče Q, kde $Q=dG$. Alice tedy bude mít dvojici $d_A,Q_A$ Bob bude mít $d_B,Q_B$. Aby tento protokol fungoval, strany si musí vyměnit veřejné klíče (Alice pošle Bobovi $Q_A$, Bob pošle Alici $Q_B$).

Nyní může Alice nalézt bod Z, $Z=d_A{Q}_B$, Bob může nalézt bod Z', $Z^{\prime }=d_B{Q}_A$. Tyto body Z, Z' jsou totožné, neboť $Z=d_A{Q}_B=d_A\left(d_{B}G\right)=d_A{d}_{B}G=d_B\left(d_{A}G\right)=d_B{Q}_A=Z^{\prime }$.

Příklad

• Alice a Bob zvolí prvočíslo $p=23$, bod G[13;16], koeficienty $a=1,b=1$.
  • $4a^3+27b^2\ne <!--\; \ne \; -->0\mathrm{mod}23$, jde tedy o eliptickou křivku.
• Alice zvolí $d_A=2$, spočítá $Q_A=2G$:
  • $s\equiv <!--\; \equiv \; -->\frac{3x^2+a}{2y}\mathrm{mod}p\equiv <!--\; \equiv \; -->\frac{3\cdot <!--\; \cdot \; -->{13}^2+1}{2\cdot <!--\; \cdot \; -->16}\mathrm{mod}23\equiv <!--\; \equiv \; -->13\mathrm{mod}23$
  • $x_A\equiv <!--\; \equiv \; -->s^2-<!--\; -\; -->2x\mathrm{mod}p\equiv <!--\; \equiv \; -->{13}^2-<!--\; -\; -->2\cdot <!--\; \cdot \; -->13\mathrm{mod}23\equiv <!--\; \equiv \; -->5\mathrm{mod}23$
  • $y_A\equiv <!--\; \equiv \; -->s(x-<!--\; -\; -->x_A)-<!--\; -\; -->y\mathrm{mod}p\equiv <!--\; \equiv \; -->13(13-<!--\; -\; -->5)-<!--\; -\; -->16\mathrm{mod}23\equiv <!--\; \equiv \; -->19\mathrm{mod}23$
  • Alice získává souřadnice bodu $Q_A[5;19]$, tento bod posílá Bobovi.
• Bob zvolí $d_B=4$, spočítá $Q_B=2\cdot <!--\; \cdot \; -->2G=2R$:
  • Bob analogicky zdvojnásobí bod G, získá pomocný bod R, který opět zdvojnásobí.
  • Bob získává souřadnice bodu $Q_B[17;3]$, tento bod posílá Alici.
• Alice nyní může nalézt bod Z:
  • $Z\equiv <!--\; \equiv \; -->d_A{Q}_B\mathrm{mod}23\equiv <!--\; \equiv \; -->2\cdot <!--\; \cdot \; -->[17;3]\mathrm{mod}23=[13;16]$
• Bob může nalézt bod Z':
  • $Z^{\prime }\equiv <!--\; \equiv \; -->d_B{Q}_A\mathrm{mod}23\equiv <!--\; \equiv \; -->4\cdot <!--\; \cdot \; -->[5;19]\mathrm{mod}23=[13;16]$
• Z=Z'

Pozn.: Byly zvoleny nevhodné koeficienty, stejně jako ostatní čísla, příklad je pouze ilustrační.

Bezpečnost

Tento protokol je bezpečný, neboť se nezveřejnilo nic kromě veřejných klíčů, které nejsou tajné, a ani jedna strana nedokáže zjistit soukromý klíč té druhé, pokud by nevyřešila problém diskrétního logaritmu u eliptických křivek.

Veřejné klíče jsou buď neměnné (a shledané důvěryhodnými třeba pomocí certifikátů), nebo dočasné. Dočasné klíče nejsou nutně ověřené, takže pokud je ověření vyžadováno, je třeba jej zajistit jinými způsoby.