타원곡선암호

이 기사는 대부분의 독자들이 이해하기에는 너무 기술적일 수 있습니다. 기술적인 세부 사항을 제거하지 않고 비전문가들이 이해할 수 있도록 개선해 주시기 바랍니다. (2023년 5월) (본 템플릿 메시지 제거 방법 및 시기 알아보기)

타원 곡선 암호화(ECC)는 유한 필드에 대한 타원 곡선의 대수적 구조를 기반으로 한 공개 키 암호화에 대한 접근 방식입니다. ECC는 비EC 암호화(일반 Galois 필드 기반)^[vague]에 비해 작은 키를 허용하여 동등한 보안을 제공합니다.^[1]

타원 곡선은 키 합의, 디지털 서명, 의사 랜덤 생성기 및 기타 작업에 적용할 수 있습니다. 간접적으로 키 합의를 대칭 암호화 방식과 결합하여 암호화에 사용할 수 있습니다. 또한 Lenstra 타원 곡선 인수분해와 같은 암호학에 응용되는 여러 정수 인수분해 알고리즘에도 사용됩니다.

역사

암호학에서 타원 곡선의 사용은 닐 코블리츠(Neal Koblitz^[2])와 빅터 밀러(Victor S. Miller^[3])에 의해 1985년에 독립적으로 제안되었습니다. 타원 곡선 암호 알고리즘은 2004년부터 2005년까지 널리 사용되기 시작했습니다.

1999년 NIST는 15개의 타원 곡선을 권장했습니다. 특히 FIPS 186-4에는^[4] 다음과 같은 10개의 권장 유한 필드가 있습니다.

• 크기가 192, 224, 256, 384 및 521 비트인 특정 소수 p에 대한$$ 5개의 소수 필드 ${\displaystyle {}_{}}$ ${\$ 각 프라임 필드에 대해 하나의 타원 곡선이 권장됩니다.
• 5개의 이진 필드 $F{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {{2m}^{}}_{}}$ ${\$는 163, 233, 283, 409 및 571과 같은 형태입니다. 각 이진 필드에 대해 타원 곡선 1개와 코블리츠 곡선 1개를 선택했습니다.

따라서 NIST 권장 사항에는 총 5개의 기본 곡선과 10개의 이진 곡선이 포함되어 있습니다. 곡선은 최적의 보안 및 구현 효율성을 위해 선택되었습니다.^[5]

2005년 RSA 컨퍼런스에서 NSA(National Security Agency)는 디지털 서명 생성 및 키 교환을 위해 ECC를 독점적으로 사용하는 Suite B를 발표했습니다. 이 제품군은 기밀 및 미분류 국가 보안 시스템과 정보를 모두 보호하기 위한 것입니다.^[1] NIST(National Institute of Standards and Technology)는 권장 알고리즘인 타원 곡선 Diffie 세트에서 타원 곡선 암호화를 승인했습니다.키 교환을 위한 Hellman(ECDH)과 디지털 서명을 위한 Elliptic Curve Digital Signature Algorithm(ECDSA). NSA는 384비트 키로 최고 기밀로 분류된 정보를 보호하는 데 사용할 수 있도록 허용합니다.^[6]

최근 ^[when?]웨일 및 테이트 쌍과 같은 다양한 타원 곡선 그룹에 대한 쌍선형 매핑을 기반으로 한 암호 프리미티브가 대거 도입되었습니다. 이러한 프리미티브를 기반으로 하는 방식은 효율적인 신원 기반 암호화뿐만 아니라 페어링 기반 서명, 서명, 키 합의 및 프록시 재암호화를 제공합니다.^{[citation needed]}

타원 곡선 암호화는 전송 계층 보안 및 비트코인과 같은 수많은 인기 프로토콜에서 성공적으로 사용됩니다.

보안상의 문제

2013년 뉴욕 타임즈는 이중 타원 곡선 결정론적 무작위 비트 생성(또는 Dual_)을 언급했습니다.EC_DRBG)는 알고리즘의 의도적인 약점과 권장 타원 곡선을 포함하는 NSA의 영향으로 NIST 국가 표준으로 포함되었습니다.^[7] 2013년 9월 RSA Security는 고객에게 Dual_ 기반 소프트웨어 사용을 중단할 것을 권고하는 권고문을 발표했습니다.EC_DRBG.^[8][9] Dual_ 노출 이후EC_DRBG는 "NSA 비밀 작전"으로서 암호학 전문가들도 NIST가 권장하는 타원 곡선의 보안에 대해 우려를 표명했으며,^[10] 비 타원 곡선 그룹을 기반으로 한 암호화로의 복귀를 제안했습니다.

또한 2015년 8월 NSA는 ECC에 대한 양자 컴퓨팅 공격에 대한 우려로 인해 스위트 B를 새로운 암호 스위트로 대체할 계획이라고 발표했습니다.^[11][12]

특허

RSA 특허가 2000년에 만료되었지만, 적어도 하나의 ECC 방식(ECMQV)을 포함하여 ECC 기술의 특정 측면을 다루는 특허가 존재할 수 있습니다. 그러나 RSA Laboratories와^[13] Daniel J. Bernstein은^[14] 미국 정부의 타원 곡선 디지털 서명 표준(ECDSA; NIST FIPS 186-3)과 특정 실용적인 ECC 기반 키 교환 체계(ECDH 포함)가 이러한 특허를 침해하지 않고 구현될 수 있다고 주장했습니다.

타원 곡선 이론

이 글의 목적을 위해 타원 곡선은 (실수가 아닌) 유한한 필드 위의 평면 곡선으로 다음을 만족하는 점으로 구성됩니다.

${\displaystyle y^{2}=x^{3}+ax+b,\,}$

∞로 표시된 무한대의 구분점과 함께. 여기서 좌표는 2 또는 3과 동일하지 않은 고정된 유한한 특성장에서 선택하거나 곡선 방정식이 다소 복잡합니다.

이 점들의 집합은 타원 곡선의 그룹 연산과 함께 무한대에 있는 점을 항등원으로 하는 아벨 군입니다. 군의 구조는 기본 대수적 다양성의 약수 군에서 상속됩니다.

${\displaystyle \mathrm {Div} ^{0}(E)\to \mathrm {Pic} ^{0}(E)\simeq E,\,}$

암호학에 응용

공개 키 암호화는 특정 수학 문제의 난치성을 기반으로 합니다. RSA의 1983년 특허와 같은 초기 공개 키 시스템은 두 개 이상의 큰 소수 요소로 구성된 큰 정수를 인수분해하기 어렵다는 가정에 따라 보안을 기반으로 했습니다. 나중의 타원 곡선 기반 프로토콜의 경우, 기본 가정은 공개적으로 알려진 기준점에 대해 무작위 타원 곡선 요소의 이산 로그를 찾는 것이 불가능하다는 것입니다(계산 디피 –Hellman 가정): 이것은 "타원 곡선 이산 로그 문제"(ECDLP)입니다. 타원 곡선 암호의 보안은 점 곱셈을 계산하는 능력과 원래 점과 곱셈 점이 주어진 피승수를 계산할 수 없는 능력에 달려 있습니다. 타원 곡선의 크기는 곡선 방정식을 만족하는 이산 정수 쌍의 총 개수로 측정되며 문제의 난이도를 결정합니다.

타원 곡선 암호화가 RSA와 같은 대안에 비해 약속한 주요 이점은 키 크기가 작아져 스토리지 및 전송 요구 사항이 감소한다는 것입니다.^[1] 예를 들어, 256비트 타원 곡선 공개 키는 3072비트 RSA 공개 키와 비슷한 보안을 제공해야 합니다.

암호 체계

여러 이산 로그 기반 프로토콜이 타원 곡선에 맞게 조정되어 그룹 $({\displaystyle {}_{}{}^{}}$× ${\$를 타원 곡선으로$$ 대체했습니다.

• 타원 곡선 디피 –Hellman(ECDH) 키 합의 체계는 Diffie-에 기반을 두고 있습니다.헬맨 스킴,
• 타원 곡선 증강 암호화 방식 또는 간단히 타원 곡선 암호화 방식이라고도 하는 타원 곡선 통합 암호화 방식(Eliptic Curve Integrated Encryption Scheme, ESS),
• 타원 곡선 디지털 서명 알고리즘(Elliptic Curve Digital Signature Algorithm, ECDSA)은 디지털 서명 알고리즘을 기반으로 하며,
• 해리슨의 p-adic Manhattan 메트릭을 사용한 변형 스킴은
• Edwards-curve Digital Signature Algorithm(EdDSA)은 Schnorr signature를 기반으로 하며, 트위스트 에드워즈 곡선을 사용합니다.
• ECMQV 키 합의 방식은 MQV 키 합의 방식을 기반으로 합니다.
• ECQV 암묵적 인증서 체계입니다.

실행

몇 가지 일반적인 구현 고려 사항은 다음과 같습니다.

도메인 매개변수

이 섹션의 외부 링크 사용은 위키백과의 정책이나 지침을 따르지 않을 수 있습니다. 과도하거나 부적절한 외부 링크를 제거하고, 필요한 경우 유용한 링크를 각주 참조로 변환하여 이 기사를 개선해 주시기 바랍니다. (2022년 12월) (본 템플릿 메시지 제거 방법 및 시기 알아보기)

ECC를 사용하려면 타원 곡선을 정의하는 모든 요소, 즉 스킴의 도메인 파라미터에 대해 모든 당사자가 동의해야 합니다. 사용되는 필드의 크기는 일반적으로 소수(및 p로 표시)이거나 2의 거듭제곱(${\displaystyle {2m}^{}}$ ${\$입니다.$$ 후자의 경우를 이진 사례라고 하며, 이 경우 f로 표시된 보조 곡선을 선택해야 합니다. 따라서 필드는 소수의 경우에는 p로 정의되고 이진의 경우에는 m과 f의 쌍으로 정의됩니다. 타원 곡선은 그 정의식에 사용된 상수 a와 b에 의해 정의됩니다. 마지막으로 순환 부분군은 생성기(일명 베이스 포인트) G에 의해 정의됩니다. 암호화 응용의 경우, ${\displaystyle n}$ G = ${\displaystyle O}$ ${\displaystyle nG$ ={\$mathcal {O}}($곡선의 무한대에 있는 점 및 항등원)가 되는 최소 양수 n인 G의 차수는 일반적으로 소수입니다. n은 $E{\displaystyle ({}_{}}$ p${\displaystyle {}_{}}$ ${\displaystyle$ E$(\mathbb {F}_{p}}$의 부분군의 크기이므로, $수$ h = 1 ${\displaystyle n}$ ${\displaystyle E({}_{}}$ p${\displaystyle {}_{}}$ $displaystyle$h={\$frac {1}{n}}$ E$(\mathbb {F}_{p})}$는 정수임을 라그랑주 정리로부터 알 수 있습니다. 암호화 응용 프로그램에서 보조 인자라고 불리는 이 숫자 h는 작아야 합니다(${\displaystyle \mathrm{h}}$ ${\displaystyle \le }$ 4 ${\displaystyle$ h$\leq 4$ 바람직하게는 $h$ = ${\displaystyle 1}$ ${\displaystyle$h=$1$ 요약하자면, 소수의 경우 도메인 매개 변수는 $({\displaystyle p,}$ ${\displaystyle a,}$ ${\displaystyle b,}$ ${\displaystyle G,}$ ${\displaystyle n,}$ h${\displaystyle )}$ ${\displaystyle (p,$ ${\displaystyle a}$$, b, G, n,$ h)}이고$,$ 이진의 경우에는 $({\displaystyle m,}$ f${\displaystyle ,}$ ${\displaystyle a,}$ b, ${\displaystyle b),}$${\displaystyle G,}$ ${\displaystyle n,}$ h${\displaystyle )}$ ${\displaystyle(m,f,a,b$$G,n,h)}$

도메인 매개변수가 사용과 관련하여 신뢰할 수 있는 당사자에 의해 생성되었다는 보장이 없는 한 도메인 매개변수를 사용하기 전에 검증해야 합니다.

도메인 매개변수 생성은 곡선의 점 수를 계산해야 하므로 일반적으로 각 참가자가 수행하지 않습니다. 이는 구현하는 데 시간이 많이 걸리고 번거롭기 때문입니다. 그 결과, 여러 표준 단체들은 여러 공통 필드 크기에 대한 타원 곡선의 도메인 파라미터를 발표했습니다. 이러한 도메인 매개변수는 일반적으로 "표준 곡선" 또는 "이름 있는 곡선"으로 알려져 있습니다. 이름 있는 곡선은 이름으로 참조하거나 표준 문서에 정의된 고유한 개체 식별자로 참조할 수 있습니다.

• NIST, 정부용 권장 타원 곡선
• SECG, SEC 2: 권장 타원곡선 도메인 파라미터
• ECC 브레인풀( RFC5639), ECC 브레인풀 표준 곡선 및 곡선 생성 Achived 2018-04-17 at Wayback Machine

SECG 테스트 벡터도 사용할 수 있습니다.^[15] NIST는 많은 SECG 곡선을 승인했기 때문에 NIST가 발표한 사양과 SECG 사이에 상당한 중복이 있습니다. EC 도메인 매개 변수는 값 또는 이름으로 지정할 수 있습니다.

이전의 경고에도 불구하고 자신의 도메인 매개변수를 구성하기로 결정한 경우 기본 필드를 선택한 다음 다음 다음 방법 중 하나를 사용하여 적절한(즉, 소수점에 가까운) 점 수를 갖는 곡선을 찾아야 합니다.

• 임의 곡선을 선택하고 일반적인 점 계산 알고리즘(예: Schoof의 알고리즘 또는 Schoof-)을 사용합니다.엘키스– Atkin 알고리즘,
• 점 개수(예: 코블리츠 곡선)를 쉽게 계산할 수 있는 패밀리에서 임의 곡선을 선택하거나
• 점의 개수를 선택하고 복소수 곱셈 기법을 사용하여 이 개수의 점으로 곡선을 생성합니다.^[16]

여러 등급의 곡선은 약하므로 피해야 합니다.

• 비프라임이 있는$$ F ${\displaystyle {{2m}^{}}_{}}$ ${\$ _${2^{m}}$ 이상의 곡선은 웨일 하강 공격에 취약합니다.^[17][18]
• 충분히 작은 B에 대해 n이 ${\displaystyle p^{}}$ ${\displaystyle \mathrm{B}{}^{}}$- 1 ${\displaystyle p^{B}-1}($여기서 p는 필드의 특성: 소수 필드의 경우 q, 이진 필드의 $경우$ 2 ${\displaystyle 2})$이 되도록 하는 곡선은 메네제스에 취약합니다.–ECDLP를 해결하기$$ 위해 ${\displaystyle {}_{}}$ ${\$의 작은 차수 확장 필드에서 일반적인 이산 로그 문제(DLP)를 적용하는 Okamoto-Vanstone(MOV) 공격^[19][20]. 필드 $F{\displaystyle {\mathbb{}}_{}}$ ${\displaystyle {{}^{}}_{}}$ ${\displaystyle {B^{}}_{}}$ ${\$의 이산 로그는 적어도 타원 곡선 $E$ ${\displaystyle$ E$(\mathbb {F} _{q})}$의 이산 로그만큼 계산하기 어렵도록$$ 경계 B를 선택해야 합니다$.$^[21]
• ${\displaystyle E({}_{}}$ = ${\displaystyle q}$ ${\displaystyle$ E$(\mathbb {F}_{q})$ =$q}$와 같은 곡선은 곡선 위의 점을 ${\displaystyle {}_{}}$ ${\displaystyle \mathbb {F}_{q}$의 가산 그룹에 매핑하는 공격에 취약합니다$.$

키크기

ECDLP(baby-step giant-step, Pollard's rho 등)를 해결할 수 있는 가장 빠르게 알려진 알고리즘은 $모두{\displaystyle }$ O${\displaystyle (n)}$ ${\displaystyle$ O$({\sqrt {n}})$ 단계가$$ 필요하기 때문에 기본 필드의 크기는 보안 파라미터의 약 두 배가 되어야 합니다. 예를 들어 128비트 보안의 경우 ${\displaystyle {}_{}}$ ${\displaystyle \mathbb {F}$ _${q}$에 대한 곡선이 필요하며$,$ 여기서 ${\displaystyle {\mathrm{q}}^{}}$≈ 2 $256 {\displaystyle q\prox$2$^\{$256}입니다. 이것은 3072비트 공개 키와 256비트 개인 키가 필요한^[25] 유한 필드 암호화(예: DSA)와 3072비트 값이 필요한 정수 인수분해 암호화(예: RSA)와 대조될 수 있으며, 여기서 개인 키는 똑같이 커야 합니다. 그러나 특히 처리 능력이 제한된 경우에는 효율적인 암호화를 수용하기 위해 공개 키가 더 작을 수 있습니다.

지금까지^[when?] (공개적으로) 가장 어려운 ECC 방식은 프라임 필드 케이스의 경우 112비트 키, 바이너리 필드 케이스의 경우 109비트 키였습니다. 프라임 필드의 경우 2009년 7월에 200개 이상의 플레이스테이션 3 게임기 클러스터를 사용하여 고장이 났으며 계속 실행할 경우 이 클러스터를 사용하여 3.5개월 만에 완료할 수 있었습니다.^[26] 바이너리 필드 케이스는 2004년 4월에 2600대의 컴퓨터를 사용하여 17개월에 걸쳐 깨졌습니다.^[27]

현재 프로젝트는 CPU, GPU, FPGA 등 다양한 하드웨어를 사용하여 Certicom의 ECC2K-130 과제를 해결하는 것을 목표로 하고 있습니다.^[28]

사영좌표

덧셈 규칙을 자세히 살펴보면 ${\displaystyle {}_{}}$ ${\$ _${q}$에서 두 점을 더하기 위해서는 여러 덧셈과 곱셈이 필요할$$ 뿐만 아니라 반전 연산도 필요합니다. ($주어진$ ${\displaystyle {}_{}}$ ∈ $Fq$ ${\displaystyle$x\$in \mathbb${F} _{q}에 대해 x$y$ = 1 {\$displaystyle$xy=1}이 되도록 y$$∈ Fq${\displaystyle y\in$\mathbb {F} $\_${${\displaystyle q}$${\displaystyle \}\}}$를 찾습니다). 그러나 곡선의 점은 두 점을 더하기 위해 반전 연산이 필요하지 않은 다른 좌표계에서 표현될 수 있습니다. 투영 시스템에서 각 점은 $다음$ 관계를 사용하여 세 개의 좌표$({\displaystyle X,}$ Y${\displaystyle ,}$ ${\displaystyle Z)}$ ${\displaystyle(X, Y, Z)}$로 표현됩니다. x = ${\displaystyle \frac{X}{}}$ Z ${\displaystyle$ x={\$frac {X}{Z$ ${\displaystyle y}$ ${\displaystyle =}$ ${\displaystyle Y}$ ${\displaystyle \frac{Z}{}}$ ${\displaysty$ y={\$frac {Y}{Z$ Jacobian 시스템에서 점은 세 개의 좌표$({\displaystyle X,}$ ${\displaystyle Y,}$ Z${\displaystyle )}$ ${\displaystyle(X, Y, Z)}$로도 표시되지만$$$다른$ 관계가 사용됩니다${\displaystyle .}$ x = ${\displaystyle X}$ ${\displaystyle \frac{Z^{}}{}}$ 2 ${\displaysty$${\displaystyle l}$$e$ x={\$frac {X}{Z^{2$ ${\displaystyle y}$ ${\displaystyle =}$ ${\displaystyle \frac{{}^{}}{}}$ ${\displaystyle \frac{3^{}}{}}$ ${\displaysty$ y={\$frac {Y}{Z^{3$ 로페스-다합 시스템에서 관계는 $x$ = ${\displaystyle X}$ ${\displaystyle \frac{Z}{}}$ ${\displaysty$${\displaystyle l}$$e$ x={\$frac {X}{Z}}$입니다$.$ ${\displaystyle y}$ $=$ ${\displaystyle Y}$ ${\displaystyle \frac{{}^{}}{}}$ ${\displaystyle \frac{2^{}}{}}$ ${\displaysty$ y={\$frac {Y}{Z^{2$ 수정된 자코비안 시스템에서는 동일한 관계가 사용되지만 4개의 좌표가 저장되어 계산에 사용됩니다$({\displaystyle X,}$ ${\displaystyle Y,}$ Z${\displaystyle ,}$ ${\displaystyle {}^{}}$ ${\displaystyle Z}$ ${\displaystyle 4^{}}$ ${\displaystyle(X, Y, Z, aZ^{4$ 그리고 Chudnovsky 자코비안 시스템에서는 5개의 좌표가 사용됩니다$({\displaystyle X,}$ ${\displaystyle Y,}$ Z${\displaystyle ,}$ ${\displaystyle Z^{}}$ ${\displaystyle {}^{}}$${\displaystyle Z^{}}$ ${\displaystyle {3\mathrm{}}^{}}$ ${\displaystyle (X,Y,Z,Z^{2},Z^{3$ 예를 들어, IEEE P1363-2000 표준은 일반적으로 자코비안 좌표라고 불리는 것을 참조하기 위해 "사영 좌표"를 사용합니다. 혼합 좌표를 사용할 경우 추가적인 속도 상향이 가능합니다.^[30]

빠른 축소(NIST 곡선)

(가산과 곱셈에 필요한) 축소 모듈롭은 프라임 ${\displaystyle p^{}}$가 의사 메르센 프라임, $즉$ p ≈ $2d {\displaystyle$ p$\prox$2^{d}}인 경우 훨씬 더 빠르게 실행될 수 있습니다. 예를 들어, ${\displaystyle p}$ $=$ ${\displaystyle 2}$ ${\displaystyle {521}^{}}$- 1 ${\displaysty$p=${\displaystyle {}^{}}$$^{521}-1}$ 또${\displaystyle 는}$ $p$ = 2 ${\displaystyle 6^{}{}^{}}$-${\displaystyle {}^{}{}^{}}$ ${\displaystyle 8^{}{}^{}}$- 2 ${\displaystyle 7^{}}$- ${\displaystyle 2^{}}$ ${\displaystyle {}^{}}$- ${\displaystyle {}^{}}$ ${\displaystyle 4^{}}$- ${\displaystyle \mathrm{1입니다.}}$ ${\displaysty$${\displaystyle l}$$e$ p=$2^{256}-2^{32}-2^{9}-2^{8}-2^{7}-2^{6}-2^{4}-1}$ 바렛 축소와 비교하여 속도 향상의 순서가 있을 수 있습니다. 여기서의 속도 향상은 이론적이라기보다는 실용적이며, 비트 단위의 연산으로 이진수에서 작동하는 컴퓨터에 의해 2제곱에 가까운 수에 대한 수들의 모듈레이션이 효율적으로 수행될 수 있다는 사실에서 비롯됩니다.

$의사{\displaystyle {\mathbb{}}_{}}$ 메르센 p가 있는$$ F ${\displaystyle {}_{}}$ ${\$ _ ${p}$ 위의 곡선은 NIST에서 권장합니다. 또한 NIST 곡선의 또 다른 장점은 = -3을 사용하여 Jacobian 좌표의 덧셈을 향상시킨다는 것입니다.

Bernstein과 Lange에 따르면 NIST FIPS 186-2의 효율성 관련 의사결정 중 많은 부분이 차선책이라고 합니다. 다른 곡선은 더 안전하고 빠르게 실행됩니다.^[32]

보안.

사이드 채널 공격

대부분의 다른 DLP 시스템(제곱 및 곱셈에 대해 동일한 절차를 사용할 수 있는 경우)과 달리 EC 덧셈은 사용되는 좌표계에 따라 배가(P = Q) 및 일반 덧셈(P ≠ Q)에 대해 상당히 다릅니다. 따라서, 예를 들어 고정 패턴 창(일명 빗) 방법을^{[clarification needed][33]} 사용하여 사이드 채널 공격(예: 타이밍 또는 단순/차분 전력 분석 공격)에 대응하는 것이 중요합니다(이것이 계산 시간을 증가시키지 않는다는 점에 유의하십시오). 또는 Edwards 곡선을 사용할 수 있습니다. 이 곡선은 동일한 작업으로 두 배와 덧셈을 수행할 수 있는 특수 타원 곡선 제품군입니다.^[34] ECC-시스템의 또 다른 관심사는 특히 스마트 카드에서 실행될 때 결함 공격의 위험입니다.^[35]

백도어

암호학 전문가들은 국가안보국이 적어도 하나의 타원 곡선 기반 의사 랜덤 생성기에 클렙토그래픽 백도어를 삽입했다는 우려를 표명했습니다.^[36] NSA 전직 계약자 에드워드 스노든이 유출한 내부 메모는 NSA가 Dual EC DRBG 표준에 뒷문을 넣었음을 시사합니다.^[37] 가능성이 있는 백도어에 대한 한 분석은 알고리즘의 비밀 키를 소유한 상대가 32바이트의 PRNG 출력만 주어지면 암호화 키를 얻을 수 있다는 결론을 내렸습니다.^[38]

SafeCurves 프로젝트는 안전하게 구현하기 쉽고 백도어 발생 가능성을 최소화하기 위해 완전히 공개적으로 검증 가능한 방식으로 설계된 곡선을 카탈로그화하기 위해 시작되었습니다.^[39]

양자 컴퓨팅 공격

Shor의 알고리즘은 가상의 양자 컴퓨터에서 이산 로그를 계산하여 타원 곡선 암호를 푸는 데 사용할 수 있습니다. 256비트 모듈러스(128비트 보안 수준)로 곡선을 깨기 위한 최신 양자 자원 추정치는 2330 큐비트와 1260억 토폴리 게이트입니다.^[40] 이진 타원 곡선의 경우 906 큐비트가 필요합니다(128비트의 보안을 깨려면).^[41] 이에 비해 Shor의 알고리즘을 사용하여 RSA 알고리즘을 깨려면 2048비트 RSA 키에 4098 큐비트와 5.2조 토폴리 게이트가 필요하므로 ECC가 RSA보다 양자 컴퓨터의 표적이 더 쉽다는 것을 알 수 있습니다. 이 모든 수치는 지금까지 만들어진 모든 양자 컴퓨터를 크게 능가하며, 이러한 컴퓨터의 생성 시기를 10년 또는 그 이상으로 추정합니다.^{[citation needed][42]}

초특이성 이소제니 디피 –Hellman Key Exchange는 Diffie-을 구현하기 위해 등유성을 사용하여 타원 곡선 암호화의 사후 양자 보안 형태를 제공한다고 주장했습니다.헬먼 키 교환입니다. 이 키 교환은 기존 타원 곡선 암호와 동일한 필드 산술을 많이 사용하며 현재 사용되는 많은 공개 키 시스템과 유사한 계산 및 전송 오버헤드를 필요로 합니다.^[43] 그러나 새로운 고전적인 공격은 이 프로토콜의 보안을 손상시켰습니다.^[44]

2015년 8월, NSA는 "가까운 미래에" 양자 공격에 강한 새로운 암호 제품군으로 전환할 계획이라고 발표했습니다. "안타깝게도, 타원 곡선 사용의 증가는 양자 컴퓨팅에 대한 연구가 계속 진행되고 있다는 사실에 부딪혔고, 우리의 암호화 전략에 대한 재평가가 필요합니다."^[11]

잘못된 곡선 공격

ECC가 가상 시스템에서 사용되는 경우 공격자는 잘못된 곡선을 사용하여 완전한 PDH 개인 키를 얻을 수 있습니다.^[45]

대체 표현

타원 곡선의 대체 표현은 다음과 같습니다.

• 헤센 곡선
• 에드워즈 곡선
• 꼬임곡선
• 뒤틀린 헤센 곡선
• 트위스트 에드워즈 곡선
• 이중 방향 도체-이카트-코헬 곡선
• 삼중 방향 도체-이카트-코헬 곡선
• 자코비안 곡선
• 몽고메리 곡선

참고 항목

메모들

참고문헌

• Jacques Vélu, Courbes elliptique (...), Société Mathématique de France, 57, 1-152, 파리, 1978.

외부 링크

• 스탠퍼드 대학교의 타원 곡선
• Maike Massierer와 CrypTool 팀의 Sage와의 타원곡선 및 타원곡선 암호화에 대한 대화식 소개
• 위키미디어 커먼즈의 타원곡선 관련 매체