टीएलएस 1.3 में अण्डाकार वक्र क्रिप्टोग्राफी कैसे काम करती है

पाठक अलर्ट की एक जोड़ी:

आदेश में (कुछ) वर्णन प्रक्रिया को सरल बनाने और उस लेख की मात्रा को कसने के लिए जिसे हम लिखने जा रहे हैं, यह एक महत्वपूर्ण टिप्पणी करना और प्राथमिक बाधा को तुरंत दूर करने के लिए आवश्यक है - आज हम आपको व्यावहारिक तौर पर बताने जा रहे हैं। समस्याग्रस्तता का पक्ष केवल टीएलएस 1.3 के संदर्भ में व्यवहार्य है। इसका मतलब यह है कि जबकि आपका ECDSA प्रमाणपत्र अभी भी TLS 1.2 में काम करेगा, यदि आप इसे काम करते हैं, तो पीछे की ओर संगतता प्रदान करते हुए, वास्तविक हैंडशेक प्रक्रिया, सिफर सूट और क्लाइंट-सर्वर बेंचमार्क का वर्णन केवल TLS 1.3 को कवर करता है। बेशक, यह आधुनिक एन्क्रिप्शन सिस्टम के पीछे एल्गोरिदम के गणितीय विवरण से संबंधित नहीं है।

यह लेख न तो एक गणितज्ञ और न ही एक इंजीनियर द्वारा लिखा गया था - हालांकि उन लोगों ने डरावना गणित के चारों ओर एक रास्ता खोजने में मदद की और इस लेख की समीक्षा की। क्यूरेटर लैब्स के कर्मचारियों को बहुत धन्यवाद।

( ई lliptic C urve) D iffie- H ellman ( E phemeral)

द डिफी - हेलमैन 21 वीं सदी में विरासत

बेशक, यह न तो डिफी और न ही हेलमैन के साथ शुरू हुआ है। लेकिन एक सही समयरेखा प्रदान करने के लिए, हमें मुख्य तिथियों और घटनाओं को इंगित करना होगा।

आधुनिक क्रिप्टोग्राफी के विकास में कई प्रमुख व्यक्ति थे। विशेष रूप से, एलन ट्यूरिंग और क्लाउड शैनन दोनों ने संगणना और सूचना सिद्धांत के क्षेत्र के साथ-साथ सामान्य क्रिप्टोनालिसिस के क्षेत्र में एक अविश्वसनीय राशि का काम किया, और डिफी और हेलमैन दोनों को आधिकारिक रूप से सार्वजनिक-कुंजी के विचार के साथ आने का श्रेय दिया जाता है। (या तथाकथित असममित) क्रिप्टोग्राफी (हालांकि यह ज्ञात है कि यूके में क्रिप्टोग्राफी में गंभीर प्रगति हुई थी जो बहुत लंबे समय तक गोपनीयता के तहत रहीं), उन दो सज्जनों को अग्रणी बना दिया।

क्या वास्तव में?

खैर, यह अजीब लग सकता है; हालाँकि, 6 नवंबर, 1976 से पहले, सार्वजनिक-कुंजी एन्क्रिप्शन सिस्टम का कोई सार्वजनिक ज्ञान नहीं था। व्हिटफील्ड डिफी और मार्टिन हेलमैन (और, तथ्य की बात, राल्फ मर्कले द्वारा) - गणितज्ञ, कंप्यूटर इंजीनियर और उत्साही, साथ ही क्रिप्टोलॉजिस्ट पहले थे।

द्वितीय विश्व युद्ध के दौरान क्रिप्टोनालिसिस की भूमिका के कारण और इसके बारे में जानकारी न रखने वालों के लिए, गुप्त सूचनाओं को गुप्त रखने पर इसका अत्यधिक प्रभाव पड़ा, दो देशों ने माना कि उनके पास सबसे उन्नत क्रिप्टोग्राफी ज्ञान है - अमेरिका और यूके ने अपने मुनिन सूचियों और एन्क्रिप्शन में एन्क्रिप्शन शामिल किया था। एक भारी निर्यात प्रतिबंध (घरेलू निजी और वाणिज्यिक उपयोग के लिए एक साथ एन्क्रिप्शन कार्यान्वयन को कमजोर करना)। इस कारण से, सरकारी संचार मुख्यालय में असममित कुंजी विनिमय तकनीक पर काम करने वाले और एक अनुरूप योजना विकसित करने वाले यूके के शोधकर्ताओं को 1997 तक इस आविष्कार के लिए मान्यता नहीं दी गई थी, जब क्रिप्टोग्राफी एल्गोरिदम पर प्रतिबंध और उनके विवरण अप्रभावी थे।

हमारे दोहरे अन्वेषकों पर वापस - विशेष रूप से डिफी और हेलमैन ने क्या क्रांति की है?

आइए उनके मूल पेपर पर एक नज़र डालें, उन्होंने जो विशालकाय छलांग लगाई है, उसे पूरी तरह से दर्शाते हैं (सैद्धांतिक रूप से अपने शोध पत्र के साथ):

और निम्नलिखित एक:

क्रिप्टोग्राफी और क्रिप्टोनालिसिस के बाद शुरू किए गए विशाल परिवर्तन व्हिटफील्ड डिफी और मार्टिन हेलमैन ने इन दो तस्वीरों को पूरी तरह से चित्रित किया है - क्रिप्टोग्राफिक गणना के परिणामस्वरूप साझा गुप्त कुंजी की स्थापना।

आइए रंगों के साथ एक और अच्छी तस्वीर देखें:



यह बताता है कि क्या चल रहा है। डिफी और हेलमैन कुंजी समझौते के आविष्कार से पहले, केवल एक सममित कुंजी थी - इसका उपयोग संदेश को एन्क्रिप्ट और डिक्रिप्ट करने दोनों के लिए किया गया था। यदि आप किसी को ऐसी "कुंजी" देना चाहते हैं, तो उसे "सुरक्षित" चैनल पर स्थानांतरित किया जाना चाहिए। आप इस तरह की पिछली पीढ़ी की योजना के सभी प्रतिबंधों की कल्पना कर सकते हैं - आपको पहले से ही सुरक्षित चैनल की आवश्यकता है, आप कुंजी का पुन: उपयोग नहीं कर सकते हैं , और, आदर्श रूप से, कुंजी की लंबाई संदेश की लंबाई के समान होनी चाहिए।

क्लॉड शैनन ने अपने युद्धकालीन वर्गीकृत कार्य " संचार प्रणाली के संचार सिद्धांत " में साबित किया कि सभी सैद्धांतिक रूप से अटूट सिफर के लिए एक ही समय पैड के समान आवश्यकताएं होनी चाहिए - इस सममित पॉलीफैबेटिक स्ट्रीम साइफर के लेखक द्वारा प्रसिद्ध रूप से वेरनाम सिफर।

फिर, हम मूल पेपर पर एक नज़र डालने जा रहे हैं:


इससे पहले कि हम आगे बढ़ें, आइए खुद से पूछें - कैसे दो, भले ही प्रतिभाशाली हों, हालांकि, मानव इस तरह के इतिहास के साथ एक विशेष रूप से युद्ध के समय में एक महत्वपूर्ण सुधार के साथ आया था?
ठीक है, क्योंकि:

• क्लाउड शैनन द्वारा तैयार सूचना सिद्धांत ;
• गणना का सिद्धांत , विशेष रूप से प्रभावित, अलोंजो चर्च, जॉन वॉन न्यूमैन और एलन ट्यूरिंग;
• और, अधिक महत्वपूर्ण बात, कम्प्यूटिंग सिद्धांत ज्यादातर ट्यूरिंग के काम पर आधारित है, जिसे हम 20 वीं शताब्दी की समान अवधि में सभी विकसित और परिपक्व कह सकते हैं। डिफी और हेलमैन दोनों ने अपने काम के सबसे महत्वपूर्ण प्रभाव के रूप में क्लाउड शैनन का उल्लेख किया।

लेनस्ट्रा की " यूनिवर्सल सिक्योरिटी " विभिन्न लंबाई लंबाई के साथ सममित क्रिप्टोसिस्टम को "ब्रेक" करने के लिए आवश्यक ऊर्जा की मात्रा को दिखाता है। यह पता चला कि 228-बिट लंबी, अण्डाकार वक्र कुंजी को तोड़ने के लिए उसी मात्रा में ऊर्जा की आवश्यकता होगी जो पृथ्वी पर सभी पानी को उबालने के लिए आवश्यक है। हालांकि, यह केवल ज्ञात एल्गोरिदम और हार्डवेयर के तहत मान्य है, जैसा कि कड़ाई से बोल रहा है, कोई नहीं जानता कि क्या अधिक कुशल एल्गोरिदम या हार्डवेयर मौजूद हैं। २२-बिट ईसी कुंजी २३ bit०-बिट लंबी आरएसए कुंजी के बराबर है, जो बाद में अधिक है। हालांकि इस आकलन में, RSA और EC दोनों कुंजियों का उपयोग एक असममित एन्क्रिप्शन योजना में किया जाता है, इस तरह की कुंजी लंबाई कुछ हद तक 128-बिट सममित एन्क्रिप्शन कुंजी के बराबर होती है।

यह कल्पना करना आसान है कि कुछ "गणना करने में कठिन" को गणना के लिए बहुत अधिक ऊर्जा और / या समय की आवश्यकता होगी। हम सोचते हैं कि कंप्यूटर "सब कुछ गणना" कर सकते हैं, लेकिन यह पता चला है कि यह सच नहीं है। सबसे पहले, वहाँ हाल ही में मौजूद उदाहरणों को रोकने की समस्या की तरह है, हालांकि क्रिप्टोग्राफी के क्षेत्र में, हम इस नुकसान से बच सकते हैं। दूसरा, यदि हम चलाने के लिए किसी विशेष एल्गोरिथ्म के लिए आवश्यक समय पर विचार करते हैं, तो यह मनमाना उच्च हो सकता है। यही हम क्रिप्टोग्राफी में शोषण करते हैं। एक समस्या को "आसान" माना जाता है यदि गणना करने के लिए कि संबंधित एल्गोरिथ्म को चलाने के लिए आवश्यक समय एक बहुपद की तरह इनपुट आकार (बिट्स में मापा गया) पर निर्भर करता है:$$ $ इनलाइन $ T (n) = O (n ^ k) $ इनलाइन $ , कुछ सकारात्मक निरंतर के लिए$$ $ इनलाइन $ k $ इनलाइन $ । कम्प्यूटेशनल जटिलता सिद्धांत क्षेत्र में, ऐसी समस्याएं पी जटिलता वर्ग बनाती हैं ।

P जटिलता वर्ग लगभग केंद्रीय है, क्योंकि यह उस समस्या का प्रतिनिधित्व करता है जिसके लिए एक नियतात्मक बहुपद समय एल्गोरिथ्म मौजूद है। एक और जटिलता वर्ग एनपी है (समस्याएं जो "गणना करने के लिए" कठिन हैं), निर्णय की समस्याओं के एक सेट का प्रतिनिधित्व करते हैं, अर्थात, "हाँ" या "नहीं" उत्तर की आवश्यकता वाली समस्याएं हैं, जिनके पास बहुपद समय में एक प्रमाण है। आप यहाँ "प्रमाण" शब्द देखते हैं? यह वह जगह है जहाँ हम एनपी जटिलता वर्ग से संबंधित ट्रैप्टर कार्यों को प्राप्त करते हैं।


क्रेडिट: xkcd

एक तरफ़ा कार्य; जालसाज़ी का काम

परिभाषा के अनुसार, एक-तरफ़ा फ़ंक्शन एक ऐसा कार्य है, जो हर इनपुट पर गणना करना आसान है, लेकिन केवल दिए गए आउटपुट के मूल इनपुट को उल्टा करना मुश्किल है। "आसान" और "कठिन" उपरोक्त कम्प्यूटेशनल जटिलता सिद्धांत परिभाषाओं को संदर्भित करते हैं। दिलचस्प बात यह है कि वन-वे फ़ंक्शंस अस्तित्व नहीं है (गणितीय रूप से) साबित हुआ क्योंकि उनका अस्तित्व यह साबित करेगा कि पी और एनपी जटिलता वर्ग समान नहीं हैं, जबकि पी बराबर एनपी या नहीं आजकल एक खुली समस्या है। इसलिए, ध्यान रखें कि सभी आधुनिक क्रिप्टोग्राफी अप्रमाणित परिकल्पनाओं पर निर्भर करती हैं।

अब, अपने मूल पेपर में डिफी और हेलमैन ने एक ही तरह के कार्यों की एक और पीढ़ी पेश की, जिसे उन्होंने "ट्रेपर फ़ंक्शंस" कहा। वे कैसे भिन्न हैं?
जैसा कि वे अपने लैंडमार्क पेपर में बताते हैं:

एक सार्वजनिक-कुंजी क्रिप्टोसिस्टम में enciphering और deciphering अलग-अलग कुंजी, E और D द्वारा शासित होते हैं, जैसे कि E से D की गणना कम्प्यूटेशनल रूप से संभव है (उदाहरण के लिए आवश्यक है)$$ $ इनलाइन $ 10 ^ {100} $ इनलाइन $ निर्देश)। ईर्ष्या कुंजी ई का खुलासा किया जा सकता है [एक निर्देशिका में] डिकिफ़रिंग कुंजी डी के साथ समझौता किए बिना। यह सिस्टम के किसी भी उपयोगकर्ता को किसी अन्य उपयोगकर्ता को इस तरह से संदेश भेजने में सक्षम बनाता है कि केवल इच्छित प्राप्तकर्ता इसे समझने में सक्षम है। .. प्रमाणीकरण की समस्या शायद प्रमुख वितरण की समस्याओं की तुलना में व्यापार लेनदेन के लिए दूरसंचार के सार्वभौमिक गोद लेने के लिए एक और भी अधिक गंभीर बाधा है ... [यह] ... अनुबंध और बिलिंग से संबंधित किसी भी प्रणाली के दिल में है।

सम्मेलन द्वारा, क्रिप्टोग्राफी वर्ण "ऐलिस" और "बॉब" (सुरक्षित संचार की मांग) को अक्सर सार्वजनिक कुंजी अवधारणा को समझाने के लिए उपयोग किया जाता है। ऐलिस और बॉब बड़े पूर्णांक पर सहमत हैं$$ $ इनलाइन $ n $ इनलाइन $ और$$ $ इनलाइन $ जी $ इनलाइन $ साथ$$ $ इनलाइन $ 1 <g <n $ इनलाइन $ । चयन प्रणाली की सुरक्षा को प्रभावित करता है। “मापांक$$ $ इनलाइन $ n $ इनलाइन $ एक प्रधान होना चाहिए; अधिक महत्वपूर्ण बात$$ $ इनलाइन $ (n-1) / 2 $ इनलाइन $ प्राइम भी होना चाहिए <...> और$$ $ इनलाइन $ जी $ इनलाइन $ एक आदिम मूल मोडुलो होना चाहिए$$ $ इनलाइन $ n $ इनलाइन $ <...> [और]$$ $ इनलाइन $ n $ इनलाइन $ होना चाहिए <...> कम से कम 512 बिट लंबा। ”डिफी - हेलमैन प्रोटोकॉल को 5 चरणों में प्रारंभिक रूप में बताया जा सकता है।

1. ऐलिस चुनता है$$ $ इनलाइन $ x $ इनलाइन $ (एक बड़ा यादृच्छिक पूर्णांक) और गणना करता है$$ $ इनलाइन $ X = g ^ x \ bmod n $ इनलाइन $
2. बॉब चुनता है$$ $ इनलाइन $ y $ इनलाइन $ (एक बड़ा यादृच्छिक पूर्णांक) और गणना करता है$$ $ इनलाइन $ Y = g ^ y \ bmod n $ इनलाइन $
3. ऐलिस भेजता है$$ $ इनलाइन $ X $ इनलाइन $ बॉब को, जबकि बॉब भेजता है$$ $ इनलाइन $ Y $ इनलाइन $ ऐलिस के लिए (वे रखते हैं$$ $ इनलाइन $ x $ इनलाइन $ और$$ $ इनलाइन $ y $ इनलाइन $ एक दूसरे से गुप्त)
4. ऐलिस गणना करता है$$ $ इनलाइन $ k = Y ^ x \ bmod n $ इनलाइन $
5. बॉब गणना करता है$$ $ इनलाइन $ k '= X ^ y \ bmod n $ इनलाइन $

परिणामस्वरूप ऐलिस और बॉब का समान मूल्य है$$ $ इनलाइन $ k = k '$ इनलाइन $ यह एक साझा रहस्य के रूप में कार्य करता है।

ट्रैपडोर फंक्शन एक तरह से ऐसा फंक्शन है, जो किसी व्यक्ति को "ट्रैकर लेबर" कहलाने वाली विशेष जानकारी का एक टुकड़ा होने पर इसका उलटा पता लगाना संभव बनाता है। आसान लगता है, हालांकि इस तरह के कार्यों को खोजने के लिए यह कठिन था - पहला संभव तरीका RSA नाम के एक सार्वजनिक-कुंजी क्रिप्टोग्राफी असममित एन्क्रिप्शन एल्गोरिथ्म के कार्यान्वयन में पाया गया था, इसके रचनाकारों: रॉन रिवेस्ट, आदि शमीर और लियोन एडलेमैन।

आरएसए

आरएसए में फ़ंक्शन को निष्क्रिय करने की कठोरता इस तथ्य पर आधारित है कि फैक्टरिंग (किसी संख्या के प्रमुख गुणकों को खोजना) गुणन की तुलना में बहुत अधिक समय लेता है, या हमें यहां यह कहना चाहिए कि शास्त्रीय कंप्यूटर पर फैक्टर पूर्णांक के लिए कोई बहुपद-समय पद्धति नहीं है हालांकि, यह साबित नहीं हुआ है कि कोई भी मौजूद नहीं है।

RSA में, किसी भी अन्य सार्वजनिक-कुंजी एन्क्रिप्शन सिस्टम की तरह, दो कुंजी हैं: सार्वजनिक और निजी। RSA इनपुट संदेश (एक बिट स्ट्रिंग के रूप में दर्शाया गया है) लेता है और यादृच्छिक से अप्रभेद्य दिखने वाला परिणाम प्राप्त करने के लिए उस पर एक गणितीय ऑपरेशन (घातांक मॉडुलो एक बड़ा पूर्णांक) लागू करता है। डिक्रिप्शन इस परिणाम को लेता है और मूल संदेश को वापस लाने के लिए इसी तरह के ऑपरेशन को लागू करता है। असममित क्रिप्टोग्राफी में, निजी के साथ सार्वजनिक कुंजी और डिक्रिप्शन के साथ एन्क्रिप्शन बनाया जाता है।

कैसे? क्योंकि ऑपरेंड एक परिमित चक्रीय समूह के होते हैं (मॉड्यूलर अंकगणित में गुणन के साथ पूर्णांकों का समूह)। omputers मनमाने ढंग से बड़ी संख्या के साथ महान सौदा नहीं करते हैं, लेकिन, सौभाग्य से, पूर्णांक का हमारा चक्रीय समूह "रैप अराउंड" नामक एक ऑपरेशन करने के लिए है - अधिकतम अनुमत संख्या की तुलना में एक बड़ा नंबर एक संख्या के आसपास लिपटा है जो हम संचालित करते हैं। । यह हमें "लंबाई से अधिक नहीं" की कुंजियों के साथ काम करने की अनुमति देता है। अण्डाकार वक्र क्रिप्टोग्राफी चक्रीय (गुणक) समूहों में भी उपयोग किया जाता है, लेकिन थोड़ा अलग तरीके से निर्माण किया जाता है जैसा कि हम बाद में देखेंगे।

मूल रूप से आरएसए जो करता है वह दो बड़े प्राइम नंबर ले रहा है और उन्हें तथाकथित मापांक प्राप्त करने के लिए गुणा कर रहा है। शून्य और मापांक के बीच निवास करने वाली अन्य सभी संख्याओं को निपटाया जाता है। मापांक सार्वजनिक कुंजी का एक हिस्सा होना है, और इसकी लंबाई लंबाई की लंबाई निर्धारित करती है। सार्वजनिक कुंजी का दूसरा भाग शून्य के बीच चुना गया एक नंबर है और यूलर के कुलदेवता (आधुनिक आरएसए कार्यान्वयन कुछ अतिरिक्त प्रतिबंधों के साथ मापांक के कारुलरेल के टोटल को यूलर के बजाय लेता है)। अंत में, निजी कुंजी को कुछ मॉड्यूलर समीकरण को हल करके गणना की जानी है। एक संख्या को एन्क्रिप्ट करने के लिए, हम इसे सार्वजनिक कुंजी के बराबर शक्ति में बढ़ाते हैं, और एक संख्या को वापस डिक्रिप्ट करने के लिए, हम इसे निजी कुंजी के बराबर शक्ति में बढ़ाते हैं। समूह के चक्रीय प्रकृति के लिए धन्यवाद, हम प्रारंभिक संख्या वापस प्राप्त करते हैं।

आजकल आरएसए के साथ दो महत्वपूर्ण समस्याएं हैं, एक दूसरे का परिणाम है। जैसे ही एक कुंजी की लंबाई (यानी, उसके बिट्स की संख्या) बढ़ती है, जटिलता कारक इतनी तेजी से नहीं बढ़ता जितना कि कोई उम्मीद कर सकता है। ऐसा इसलिए है क्योंकि वहाँ उप-घातीय (लेकिन अभी भी सुपर-बहुपद ) फैक्टराइजेशन एल्गोरिदम मौजूद है । इसलिए, एक उपयुक्त सुरक्षा स्तर रखने के लिए, आरएसए कुंजी की लंबाई ईसीसी की लंबाई की तुलना में कुछ तेजी से बढ़ने की आवश्यकता है। यही कारण है कि आजकल सबसे अधिक व्यापक आरएसए चाबियाँ 2048 या 3072 बिट लंबी हैं।

थोड़ी देर बाद, हम संख्याओं में देखेंगे कि आरएसए और ईसीडीएसए प्रमाण पत्र की तुलना करते हुए कुंजी की लंबाई समग्र क्रिप्टोकरेंसी दक्षता को कैसे प्रभावित करती है, चलो एनक्रिप्ट प्राधिकरण के साथ हस्ताक्षर किए हैं।

( ई lliptic C urve) D igital S इग्नेचर ए लोरिग्दम

एक बेहतर ट्रेपोरर फ़ंक्शन की खोज ने अंततः क्रिप्टोग्राफ़र्स को गणित के 80 के दशक के मध्य में एक सक्रिय रूप से विकसित करने के लिए नेतृत्व किया, जो कि अण्डाकार वक्रों को समर्पित है।

यह एक लेख में अण्डाकार वक्र क्रिप्टोग्राफी का वर्णन करने के लिए अंतिम कार्य होगा, इसलिए हम नहीं करेंगे। इसके बजाय, आइए असतत लघुगणक समस्या के आधार पर एक अण्डाकार वक्र जाल फ़ंक्शन पर एक नज़र डालें।

दीर्घवृत्त वक्र क्रिप्टोग्राफी में कई प्राइमर और अधिक गहराई से परिचय हैं, और हम विशेष रूप से एंड्रिया कार्बेलिनी के "ईसीसी: एक सौम्य परिचय" की सिफारिश करेंगे यदि आप गणित में रुचि रखते हैं।

क्या हम में रुचि रखते हैं बल्कि "सरल" पैरामीटर हैं।

अण्डाकार वक्र इस तरह एक समीकरण द्वारा परिभाषित किया गया है:$$ $ इनलाइन $ y ^ 2 = x ^ 3 + ax + b $ इनलाइन $
इस तरह के वक्र को एक परिमित क्षेत्र पर चक्रीय उपसमूह के निर्माण की आवश्यकता होती है। इसलिए, निम्न मापदंडों का उपयोग किया जा रहा है:

• प्रधान$$ $ इनलाइन $ पी $ इनलाइन $ वह परिमित क्षेत्र का आकार निर्दिष्ट करता है;
• गुणांक$$ $ इनलाइन $ एक $ इनलाइन $ और$$ $ इनलाइन $ b $ इनलाइन $ अण्डाकार वक्र समीकरण के;
• आधार बिंदु$$ $ इनलाइन $ जी $ इनलाइन $ उल्लेखित उपसमूह उत्पन्न करता है;
• आदेश$$ $ इनलाइन $ n $ इनलाइन $ उपसमूह का;
• कोफ़ेक्टर$$ $ इनलाइन $ ज $ इनलाइन $ उपसमूह का।

अंत में, हमारे एल्गोरिदम के लिए डोमेन पैरामीटर sextuplet है$$ $ इनलाइन $ (पी, ए, बी, जी, एन, एच) $ इनलाइन $ ।
इस तरह के अण्डाकार वक्र परिमित क्षेत्र पर काम करते हैं$$ $ इनलाइन $ \ mathbb {F} _p $ इनलाइन $ , कहाँ$$ $ इनलाइन $ पी $ इनलाइन $ एक बड़ी प्राइम संख्या है। तो हमारे पास पूर्णांकों modulo का एक सेट है$$ $ इनलाइन $ पी $ इनलाइन $ , जहां संचालन, जैसे कि जोड़, घटाव, गुणा, योज्य व्युत्क्रम, गुणात्मक व्युत्क्रम संभव है। परिवर्धन और गुणा एक समान रूप से मॉड्यूलर या तथाकथित "क्लॉक" अंकगणित में काम करता है जो हमने आरएसए "रैप अराउंड" में देखा था।
चूंकि वक्र एक्स-अक्ष के बारे में सममित है, इसलिए किसी भी बिंदु को दिया जाता है$$ $ इनलाइन $ पी $ इनलाइन $ , हम ले सकते हैं$$ $ इनलाइन $ $P $ इनलाइन $ इसके विपरीत बिंदु होना। हम लेते हैं$$ $ इनलाइन $ $O $ इनलाइन $ होना ही है$$ $ इनलाइन $ O $ इनलाइन $ ।
वक्र बिंदुओं के लिए जोड़ इस तरह से परिभाषित किया गया है कि अंक दिए गए हैं$$ $ इनलाइन $ पी $ इनलाइन $ और$$ $ इनलाइन $ क्यू $ इनलाइन $ , हम उन बिंदुओं को काटना और एक तीसरे बिंदु में वक्र को काटना रेखा खींच सकते हैं$$ $ इनलाइन $ आर $ इनलाइन $ ताकि$$ $ इनलाइन $ P + Q = -R $ इनलाइन $ और$$ $ इनलाइन $ P + Q + R = 0 $ इनलाइन $ ।

आइए एक नज़र डालते हैं मार्क ह्यूजेस के स्पष्टीकरण पर :

निरंतर ढलान की एक रेखा जो टोरस की सतह के साथ यात्रा करती है, ऊपर दिखाई गई है। यह रेखा वक्र पर दो बेतरतीब ढंग से चयनित पूर्णांक बिंदुओं से गुजरती है।



ग्राफ़ पर दो बिंदुओं को जोड़ने के लिए, पहले चयनित बिंदु से एक रेखा खींचें$$ $ इनलाइन $ पी $ इनलाइन $ दूसरे चयनित बिंदु पर$$ $ इनलाइन $ क्यू $ इनलाइन $ , और रेखा का विस्तार तब तक करें जब तक कि वह ग्राफ़ पर किसी अन्य बिंदु को न काट ले$$ $ इनलाइन $ -R $ इनलाइन $ , यदि आवश्यक हो तो भूखंड की सीमाओं के पार।

एक बार जब आप एक पूर्णांक बिंदु को रोकते हैं, तो नए बिंदु को खोजने के लिए ग्राफ़ (एक नारंगी बिंदीदार रेखा) के बीच में लंबवत बिंदु को प्रतिबिंबित करें$$ $ इनलाइन $ आर $ इनलाइन $ ग्राफ पर। इसलिये$$ $ इनलाइन $ P + Q = R $ इनलाइन $ ।

एक स्केलर द्वारा गुणा अब तुच्छ है:$$ $ इनलाइन $ n \ cdot P = P + P + P + \ dots + P $ इनलाइन $ (यहाँ हैं$$ $ इनलाइन $ n $ इनलाइन $ summands)।

ट्रेपर्स फ़ंक्शन यहाँ असतत लघुगणक (अण्डाकार वक्रों के लिए) समस्या के भीतर है, न कि वह गुणनखंड जो हमने आरएसए सेक्शन के भीतर देखा। समस्या यह है: अगर हम जानते हैं$$ $ इनलाइन $ पी $ इनलाइन $ और$$ $ इनलाइन $ क्यू $ इनलाइन $ , ऐसा क्या है$$ $ इनलाइन $ k $ इनलाइन $ , वह$$ $ इनलाइन $ Q = k \ cdot P $ इनलाइन $ ?

दोनों गुणन समस्या (आरएसए को अंतर्निहित) और अण्डाकार वक्रों के लिए असतत लघुगणक (जो कि ईसीडीएसए और ईसीडीएच के लिए आधार है) को कठिन माना जाता है, अर्थात्, किसी दिए गए कुंजी के लिए बहुपद समय में इस समस्या को हल करने के लिए कोई ज्ञात एल्गोरिदम नहीं हैं। लंबाई।

हालांकि, आम तौर पर, किसी को भी हस्ताक्षर (ईसीडीएसए) एल्गोरिथ्म के साथ प्रमुख एक्सचेंज (ईसीडीएच) को मिलाने के लिए शर्मिंदा होना पड़ेगा, हमें यह समझाने की आवश्यकता है कि वे एक साथ कैसे काम करते हैं। एक आधुनिक टीएलएस प्रमाणपत्र में एक सार्वजनिक कुंजी होती है, हमारे मामले में, अण्डाकार वक्र एल्गोरिदम-जनरेट की हुई जोड़ी की, आमतौर पर उच्च-स्तरीय प्राधिकरण द्वारा हस्ताक्षरित। क्लाइंट सर्वर के हस्ताक्षर की पुष्टि करता है और साझा रहस्य प्राप्त करता है। साझा रहस्य का उपयोग सममित एन्क्रिप्शन एल्गोरिथ्म में किया जाता है, जैसे AES या ChaCha20। हालाँकि, सिद्धांत समान रहता है: डोमेन पैरामीटर (sextuplet) पर सहमत हों, कुंजी जोड़ी प्राप्त करें, जहां निजी कुंजी एक यादृच्छिक रूप से चयनित पूर्णांक (गुणक से है)$$ $ इनलाइन $ Q = k \ cdot P $ इनलाइन $ ), और सार्वजनिक कुंजी वक्र पर एक बिंदु है। हस्ताक्षर एल्गोरिदम आधार बिंदु का उपयोग करते हैं$$ $ इनलाइन $ जी $ इनलाइन $ , जो बड़े प्राइम ऑर्डर के उपसमूह के लिए एक जनरेटर है$$ $ इनलाइन $ n $ इनलाइन $ , ऐसा है$$ $ इनलाइन $ n \ cdot G = 0 $ इनलाइन $ , जहां 0 पहचान तत्व है। हस्ताक्षर साबित करता है कि सुरक्षित कनेक्शन प्रामाणिक पार्टी के साथ स्थापित किया जा रहा है - एक सर्वर जिसमें टीएलएस प्रमाण पत्र (सार्वजनिक कुंजी) दिया गया है जो किसी सर्वर नाम के लिए कुछ प्रमाण पत्र प्राधिकरण द्वारा हस्ताक्षरित है।

(ईसी) डीएच (ई) + ईसीडीएसए = वर्तमान हैंडशेक फॉर्म

आधुनिक टीएलएस (1.3) में क्लाइंट और सर्वर अपने पब्लिक-प्राइवेट की जोड़ी को फ्लाई पर जेनरेट करते हैं, जबकि कनेक्शन स्थापित करते हैं, इसे कुंजी एक्सचेंज का एपेमेरल संस्करण कहा जाता है। अधिकांश लोकप्रिय ब्राउज़र टीएलएस पुस्तकालय इसका समर्थन करते हैं। अधिकतर वे एडवर्ड्स 25519 अण्डाकार वक्र का उपयोग करते हैं, डैनियल जे। बर्नस्टीन (djb) द्वारा प्रस्तुत, 128-बिट सुरक्षा प्रदान करता है। 2014 के बाद से ओपनश प्रमुख जोड़ी निर्माण के लिए इस वक्र का उपयोग करता है। 2019 में, हालांकि, ब्राउज़र अभी भी TLS सत्रों का समर्थन नहीं करते हैं जिनमें सर्वर के पास एडीडीएसए सार्वजनिक कुंजी के साथ एक प्रमाणपत्र है।

लेकिन आइए जानें कि टीएलएस 1.3 के साथ 2019 के अंत में चीजें कैसे काम करती हैं।

TLS 1.3 में प्रमुख विनिमय तंत्र (EC) DH (E) से प्रतिबंधित हैं (x25519 के साथ सबसे लोकप्रिय ब्राउज़रों के क्लाइंट-साइड TLS पुस्तकालयों और साथ ही सर्वर-साइड TLS पुस्तकालयों, जैसे ओपनएसएसएल, में समर्थित है। जिसे हम बाद में निरीक्षण करेंगे), और सिफर सूट सूची में केवल तीन प्रविष्टियाँ हैं: TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384 और TLS_CHACHA20_POLY1305_SHA256। आप में से उन लोगों के बारे में जो जानते हैं कि टीएलएस 1.2 संस्करण में सिफर सूट का नामकरण कैसे किया गया था, यह अभी स्पष्ट है कि कुंजी विनिमय तंत्र अब सिफर सुइट के नाम से "अलग" हो गया है, साथ ही स्टैटिक आरएसए और स्टैटिक डिफी - हेलमैन मोड को हटा दिया गया है। पूरी तरह से विनिर्देश से। यहां तक ​​कि पीएसके पर आधारित सत्र बहाली टीएलएस 1.3 में ईसीडीएचई से अधिक है। यह कस्टम डीएच मापदंडों के लिए भी सही है, जो अब अनुमति नहीं है, केवल उन लोगों को छोड़कर जो अंतिम प्रोटोकॉल विनिर्देश में सुरक्षित होने के लिए सहमत हैं।

यह दिलचस्प है कि आजकल असममित एन्क्रिप्शन एल्गोरिदम कैसे काम करते हैं, इसमें एक महत्वपूर्ण अंतर है। ECC (और विशेष रूप से ECDSA प्रमाणपत्र) के साथ हम RSA के साथ तुलना में सुरक्षा के "सुविधाजनक" स्तर पर पहुंचने के लिए छोटी कुंजी का उपयोग करते हैं। यह छोटे उपकरणों पर एक मजबूत असममित एन्क्रिप्शन एल्गोरिथ्म और प्रमुख विनिमय तंत्र का उपयोग करने में सक्षम बनाता है और कभी-कभी ऐसी चीजों में भी जिन्हें आमतौर पर एक डिवाइस (स्मार्टकार्ड) नहीं माना जाता है।

सबसे पहले, यह उल्लेख करना आवश्यक है कि टीएलएस 1.3 के संदर्भ में "हाइब्रिड क्रिप्टोकरेंसी" का क्या मतलब है।
एक हाइब्रिड क्रिप्टोसिस्टम वह है जो एक साझा रहस्य स्थापित करने के लिए असममित (सार्वजनिक कुंजी) एन्क्रिप्शन का उपयोग करता है, जिसे आगे एक सममित धारा या ब्लॉक सिफर में एक कुंजी के रूप में उपयोग किया जाता है।

दूसरे, सार्वजनिक-कुंजी अवसंरचना और प्रमाणपत्र। यह दिलचस्प है कि 2004 के अपने इंटरव्यू में मार्टिन हेलमैन ने एक "अनसंग हीरो" लॉरेन कोन्फेलर का उल्लेख किया था, जिनके एमआईटी स्नातक की थीसिस ने एक पेड़ की संरचना पेश की थी जिसे अब हम सार्वजनिक कुंजी बुनियादी ढांचे के रूप में जानते हैं। फिर भी, आइए प्रमाणपत्रों पर वापस जाएं।

तथ्य यह है कि सर्वर के पास वास्तव में निजी कुंजी है, उसके हस्ताक्षर द्वारा सुनिश्चित की जाती है, जिसे सर्वर सार्वजनिक कुंजी के साथ सत्यापित किया जा सकता है। और प्रमाण पत्र यह सुनिश्चित करता है कि कुछ सार्वजनिक कुंजी एक विशिष्ट सर्वर से संबंधित है। इसका मतलब है कि आप विशिष्ट पार्टी के साथ सुरक्षित संचार स्थापित कर रहे हैं, न कि किसी अभेद्य के साथ। आपका बैंक, साइबर अपराध नहीं। टीएलएस 1.3 में पिछले वार्ता प्रारूप पर एक महत्वपूर्ण सुधार है - सर्वर इस पल तक की सभी सूचनाओं पर हस्ताक्षर करता है: क्लाइंट हेलो और सर्वर हेलो, जिसमें बातचीत साइफर भी शामिल है। आइए RFC 8446 के संबंधित भाग पर एक नज़र डालें:

Client Server Key ^ ClientHello Exch | + key_share* | + signature_algorithms* | + psk_key_exchange_modes* v + pre_shared_key* --------> ServerHello ^ Key + key_share* | Exch + pre_shared_key* v {EncryptedExtensions} ^ Server {CertificateRequest*} v Params {Certificate*} ^ {CertificateVerify*} | Auth {Finished} v <-------- [Application Data*] ^ {Certificate*} Auth | {CertificateVerify*} v {Finished} --------> [Application Data] <-------> [Application Data] 

TLS में 1.3 क्लाइंट (आवश्यक मापदंडों के साथ) कुंजी साझा भेजता है, पहले संदेश में क्लाइंट एल्गोरिदम तुरंत (क्लाइंट हैलो)। सर्वर के साथ आदान-प्रदान करने के लिए आवश्यक चाबियाँ पृष्ठभूमि में बनाई गई हैं, उपयोगकर्ता के बिना भी इस तथ्य को ध्यान में रखते हुए। प्री-मास्टर गुप्त कुंजियों से एक सामान्य रहस्य बनाने के लिए सर्वर के साथ उनका आदान-प्रदान किया जाता है, जो तब स्थापित होते थे जब सर्वर क्लाइंट को जवाब देते हुए अपना संदेश (सर्वर हैलो) भेजता था।
"सर्वर हैलो" की ओर से आप प्रमाणपत्र * को क्लाइंट को हस्तांतरित होने के साथ-साथ प्रमाण-पत्र सत्यापित * भाग के साथ देख सकते हैं, जो सत्यापित करता है कि पार्टी के पास संबंधित सार्वजनिक कुंजी प्रविष्टि के लिए निजी कुंजी है, और सत्र (सममित) कुंजी बनाता है यदि सब कुछ नियोजित रूप से होता है - अर्थ, कि डेटा (क्लाइंट) का अनुरोध करने वाले पक्ष ने उत्तर देने वाले पक्ष (सर्वर) को सफलतापूर्वक सत्यापित किया, जिससे एक सामान्य रहस्य बना।

इस प्रसारण में दो आवश्यक संचालन छिपे हुए हैं - हस्ताक्षर निर्माण और हस्ताक्षर सत्यापन। "हस्ताक्षर" के बाद से वे संचार के दोनों किनारों पर बने होते हैं, यह अनिवार्य रूप से एक प्रमाण है कि पार्टी के पास वास्तव में सार्वजनिक कुंजी के साथ संबंधित निजी कुंजी है, जो डेटा हस्ताक्षरकर्ता से आता है और संदेश को पारगमन में परिवर्तित नहीं किया गया था।

RSA के साथ, जैसा कि हम आगे देखेंगे, हस्ताक्षर अभियान सबसे महंगा है। चूंकि हम 2048 या 3072-बिट लंबी कुंजी के साथ हस्ताक्षर कर रहे हैं, इसलिए इस तरह के ऑपरेशन में सर्वर को काफी अधिक लोड किया जाता है, इससे अधिक ग्राहक द्वारा इस तरह के हस्ताक्षर को सत्यापित करने पर लोड होता है।

ECDSA के साथ, हमारे पास छोटी चाबियाँ हैं (हम NCD P-256 (या secp256v1) के साथ ECDSA को देखने जा रहे हैं) लेकिन अधिक जटिल संचालन। परिणामस्वरूप, इसे "उल्टा-पुल्टा" आरएसए के रूप में देखा जा सकता है - ग्राहक को हस्ताक्षर सत्यापन संगणना द्वारा सबसे अधिक लोड किया जाता है, जबकि सर्वर आसानी से हस्ताक्षर निर्माण को संभालता है। माप यह सत्यापित करते हैं कि, "थोड़ा सा बेंचमार्क" अनुभाग देखें।

यह प्रभाव आजकल इंटरनेट पर तेजी से लागू होता है - चूंकि आधुनिक ग्राहक लगभग सर्वर के समान ही शक्तिशाली होते हैं (केवल सीपीयू कोर आवृत्ति को ध्यान में रखते हुए), इसलिए वे महंगे ऑपरेशन को नंगे करने के लिए प्रभावी रूप से ले सकते हैं। सर्वर, अपनी बारी में, अधिक हस्ताक्षर बनाने और अधिक सत्र स्थापित करने के लिए मुक्त क्षमताओं का उपयोग कर सकता है।

आइए प्रमाण पत्र हस्ताक्षर को एन्क्रिप्ट करें

तो, चलो एनसीडीएसए कुंजी जोड़ी के साथ टीएलएस-सक्षम सर्वर बनाने के बारे में पाठक को व्यावहारिक और आसान निर्देशों के एक बिट के साथ प्रदान करने के लिए, चलो एनक्रिप्ट प्राधिकरण द्वारा हस्ताक्षरित है, हमने एक महत्वपूर्ण जोड़ी बनाने की एक पूरी प्रक्रिया को चित्रित करने का निर्णय लिया। चलो एनक्रिप्ट के लिए एक सीएसआर (प्रमाणपत्र हस्ताक्षर अनुरोध) बनाने के लिए और, परिणामस्वरूप, हमारे सर्वर के लिए आवश्यक ईसीडीएसए प्रमाण पत्र प्राप्त करें।

हमें आगे बढ़ने के लिए एक निजी कुंजी उत्पन्न करनी होगी। हम ओपनएसएसएल पुस्तकालय का उपयोग करेंगे।
ओपनएसएसएल मैनुअल एक विशेष आदेश के माध्यम से किसी भी ईसी कुंजी की पीढ़ी का वर्णन करता है, जिसे विशेष रूप से पीढ़ी एल्गोरिदम की दीर्घवृत्तीय वक्र शाखा में निर्दिष्ट किया गया है।

 openssl ecparam -genkey -name -secp256v1 -out privatekey.pem 

यह जांचने के लिए कि ओपनएसएसएल लाइब्रेरी ने सब कुछ सही किया है, हम ec कमांड निष्पादित कर सकते हैं।

 openssl ec -in privatekey.pem -noout -text 

आउटपुट हमें निर्दिष्ट वक्र दिखाएगा जो कुंजी के साथ बनाया गया है।

अगला कदम CSR के निर्माण के लिए काफी आवश्यक है - प्रमाण पत्र प्राप्त करने के लिए आवश्यक सभी जानकारी के विवरण को भरने के लिए हमें विन्यास फाइल की आवश्यकता होती है। सौभाग्य से, मोज़िला ने हमारे लिए पूरा काम किया, " एसएसएल कॉन्फ़िगरेशन जेनरेटर "। वहां, आप किसी भी उपलब्ध सर्वर विकल्पों में से चुन सकते हैं। शुद्ध OpenSSL कॉन्फिगरेशन, विशेष रूप से जेनरेटर के पेज पर मौजूद नहीं होना कुछ इस तरह दिखाई देगा:

 [ req ] prompt = no encrypt_key = no default_md = sha256 distinguished_name = dname req_extensions = reqext [ dname ] CN = example.com emailAddress = admin@example.com [ reqext ] subjectAltName = DNS:example.com, DNS:*.example.com 

नोट: CNF होना आवश्यक नहीं है - यदि आप नहीं करते हैं, तो आपको कमांड लाइन में इन विवरणों को भरने के लिए कहा जाएगा।

अब, स्वयं एक सीएसआर के निर्माण का पालन करें। यहां हमारे पास एक ओपन ओपनएसएसएल कमांड है।

 openssl req -new -config -pathtoconfigfile.cnf -key privatekey.pem -out csr.pem 

हम नए बनाए गए CSR की शुद्धता को भी सत्यापित कर सकते हैं।

 openssl req -in csr.pem -noout -text -verify 

यहां हम एक अंतिम चरण में आए हैं - एसीएमई क्लाइंट, सर्टिफिकेट का उपयोग करते हुए, हमारे प्रमाणपत्र पर हस्ताक्षर करने के अनुरोध को पास करने के लिए एनक्रिप्ट करें।

सर्टिफिकेट आपको आवश्यक प्रमाणपत्र प्राप्त करने में मदद करता है और इसके पास बहुत सारे विकल्प होते हैं। यहां कहा गया है, यदि आप सार्वजनिक-कुंजी एन्क्रिप्शन के लिए नए हैं, और पीकेआई इंफ्रास्ट्रक्चर हमारे पास 2019 में है, तो आप अपने किसी भी डोमेन के लिए प्रमाण पत्र प्राप्त करने का प्रयास करने से पहले बेहतर --dry-run उपयोग करें।

 certbot certonly --dry-run --dns-somednsprovider --domain “example.com” --domain “*.example.com” --csr csr.pem 

इस मामले में, सर्टिफिकेट क्लाइंट जाँचता है कि अनुरोधित डोमेन सूची (कमांड लाइन में) प्रमाणपत्र हस्ताक्षर अनुरोध में सूचीबद्ध डोमेन से मेल खाती है। --dns-somednsprovider कमांड में झूठ का एक सा झूठ है, क्योंकि बहुत सारे तरीके हैं जिनसे आप साबित कर सकते हैं कि चलो इंटरनेट ट्रैफ़िक के एक विशेष हिस्से के कब्जे में हैं। हालाँकि, यदि आप कुछ सार्वजनिक क्लाउड होस्टिंग प्रदाता का उपयोग कर रहे हैं, तो DigitalOcean, Hetzner, Amazon, Azure, कुछ भी कहें - आवश्यक जानकारी प्रदान करने के लिए संभवतः अधिक प्राकृतिक तरीका होगा, क्योंकि आपके प्रदाता ने पहले से ही कुछ एकीकरण उपकरण बनाया है।

उसके बाद, यदि आप अपने CSR को लेट एनक्रिप्ट करने के लिए उपयोग कर रहे मापदंडों की शुद्धता के बारे में निश्चित हैं, तो एक सर्टिफिकेट क्लाइंट के माध्यम से एन्क्रिप्ट करें - अपने कमांड से आगे --dry-run पैरामीटर को बाहर --dry-run और आगे बढ़ें।

यदि सफल होता है, तो ग्राहक आउटपुट के रूप में कई प्रमाणपत्रों का उत्पादन करेगा: हस्ताक्षरित प्रमाण पत्र, मूल और मध्यवर्ती सीट्स, और बाद के संयोजन को अंतिम-नामित प्रमाणपत्र श्रृंखला के रूप में, सभी .pem फ़ाइल प्रारूप में।

OpenSSL के पास एक कमांड है जिसका उपयोग हम प्रमाण पत्र का निरीक्षण करने के लिए कर सकते हैं:

 openssl x509 -in chainfilepath.pem -noout -text 

इस बिंदु पर, यह स्पष्ट हो जाता है कि चलो SHA256 डाइजेस्ट का उपयोग करके प्रमाण पत्र पर हस्ताक्षर करें। इसके अलावा, ECDSA रूट और इंटरमीडिएट पर हस्ताक्षर करने वाले "अपकमिंग फीचर्स" सेक्शन के तहत आते हैं, जिसका प्रभावी मतलब है कि अभी आपको केवल आरएसए इंटरमीडिएट मिलेगा। लेकिन यह ठीक है क्योंकि आप अभी भी ECDSA सार्वजनिक कुंजी का उपयोग कर रहे हैं।

इस खंड के अंत में, हम चाबियों की लंबाई के संबंध में कुछ कहना चाहेंगे। सूचना सुरक्षा में, यह कहना सामान्य है कि सुरक्षा स्तर 2 ^ x है, जहां x थोड़ी लंबाई है (RSA यहां थोड़ा अपवाद है, क्योंकि यह घातीय की तुलना में कुछ धीमा बढ़ता है)। अनुमानित करने के लिए कि विभिन्न एल्गोरिदम के लिए उपयोग की जाने वाली कुंजियाँ एक-दूसरे से कैसे मेल खाती हैं, हम ओपनएसएसएल विकी पेज का उल्लेख करेंगे।
जैसा कि आप देख सकते हैं, मतभेद काफी प्रमुख हैं। हालांकि लेट्स एनक्रिप्ट के साथ हम 256 (secp256v1) और 384 (secp384r1) अण्डाकार वक्र कुंजी के बाहर हस्ताक्षरित कोई भी प्रमाणपत्र नहीं प्राप्त कर सके।

ज्ञात मुद्दों और अपवादों, और एनएसए

क्रेडिट: xkcd

संभवतः, आवश्यक सुरक्षा स्तर की कुंजी बनाने के लिए, वर्षों के माध्यम से दीर्घवृत्तीय वक्र क्रिप्टोग्राफी का उपयोग करने का केंद्रीय मुद्दा बहुत सावधानी से तैयार किए गए यादृच्छिक संख्या जनरेटर की आवश्यकता थी।

Dual_EC_DRBG (दोहरे अण्डाकार वक्र निर्धारक यादृच्छिक बिट जनरेटर) एल्गोरिथ्म के चारों ओर बड़े पैमाने पर घोटाला था, जिसे हल करने में कई साल लग गए। इसके अलावा, ईसीसी पेटेंट के आसपास अनिश्चितता है, क्योंकि यह ज्ञात है कि उनमें से कई सर्टिकॉम कंपनी के थे, जिसे ब्लैकबेरी के साथ अधिग्रहण किया गया था। ऐसी कंपनियां भी हैं जो ब्लैकबेरी से ईसीसी के उपयोग को प्रमाणित करने के लिए जानी जाती हैं। बेशक, कुछ एनआईएसटी मानकों में एक साधारण अविश्वास है, जो एनएसए या किसी अन्य संयुक्त राज्य अमेरिका प्रवर्तन और निगरानी संस्थान से प्रभावित नहीं हो सकता है।

किसी मुद्दे का कार्यान्वयन पक्ष एक पूरी तरह से अलग सवाल है। 2010 में PlayStation 3 कंसोल को ECDSA एल्गोरिदम के अनुचित कार्यान्वयन के कारण Sony निजी कुंजी रिकवरी का सामना करना पड़ा था-उनके पास स्थैतिक रैंडम था, जो ट्रैपर फ़ंक्शन को हल करने योग्य बनाता था। ओपनएसएसएल को अगले वर्ष में भी नुकसान उठाना पड़ा, हालांकि, मूल सूचना को देखने के लिए, एक समयबद्ध हमले की मदद से निजी कुंजी की पुनर्प्राप्ति की अनुमति देने वाली भेद्यता को ठीक करना, मूल कागज पर अधिक जानकारी के लिए।

2013 में RSA सम्मेलन में शोधकर्ताओं के एक समूह ने अपने " रैंडमली फेल " प्रस्तुत किया ! “SecureRandom Java वर्ग की कमजोरियों के बारे में कागज। आधे साल बाद यह एंड्रॉइड बिटकॉइन वॉलेट में आया, जो क्रिप्टोग्राफिक रूप से सुरक्षित PRNG का उपयोग नहीं करता था।

खोजे गए गंभीर सीरियल भेद्यता के कारण, उसी अगस्त 2013 में, IETF ने एक RFC 6979 जारी किया, जिसमें प्रमुख निर्माण में उपयोग की जाने वाली कश्मीर की निर्धारक पीढ़ी का वर्णन किया गया था। हम कह सकते हैं कि इस तरह के एक उपाय ने इस मुद्दे को ठीक कर दिया, लेकिन हम नहीं करेंगे - कभी भी शोधकर्ताओं को प्रोटोकॉल विनिर्देशों से अनावश्यक विचलन के कारण कई कार्यान्वयनों में मुद्दे मिल सकते हैं।

एनएसए के बारे में। यदि आपने Dual_EC_DRBG कहानी के बारे में नहीं सुना है - कुछ समय आरक्षित रखें और संबंधित लेख पढ़ें, तो आपको विवरण में पछतावा नहीं होगा। एडवर्ड स्नोडेन इस कहानी का एक हिस्सा है क्योंकि 2013 के खुलासे पहले के संदेह को साबित करते हैं। यह कई प्रमुख क्रिप्टोग्राफर्स के परिणामस्वरूप NIST पर भरोसा खो रहा है क्योंकि संगठन ने डिज़ाइन किया और कई कर्व्स और आगे के एल्गोरिदम का वर्णन किया, जो अंतर्निहित RCDSA है।

डैनियल बर्नस्टीन के 25519 वक्र और डीएच फ़ंक्शन इन दोनों मुद्दों का जवाब है और जैसा कि हमने पहले बताया, एडीडीएसए के प्रति एक संक्रमण धीमा है हालांकि स्पष्ट है। एनआईएसटी घटता के साथ भी, उनकी भेद्यता का कोई सबूत अभी तक नहीं मिला है और जैसा कि हमने पहले ही उल्लेख किया है, यादृच्छिक-संबंधित अनुभव काफी शिक्षाप्रद रहा है।

इस भाग को समाप्त करने के लिए, हम जॉन वॉन न्यूमैन का उद्धरण देना चाहते हैं: "कोई भी व्यक्ति जो निर्धारक साधनों द्वारा यादृच्छिक संख्या उत्पन्न करने का प्रयास करता है, निश्चित रूप से, पाप की स्थिति में रहता है।"

थोड़ा सा बेंचमार्क

हमने विभिन्न प्रमाणपत्रों के साथ इन बेंचमार्क को चलाने के लिए OpenSSL 1.1.1d के साथ एक NGINX 1.16.0 सर्वर का उपयोग किया। जैसा कि हमने पहले उल्लेख किया था, वर्तमान में लेट्स एनक्रिप्ट केवल प्रमाण पत्र पर हस्ताक्षर करने के अनुरोधों के लिए प्राइम 256 वी 1 और सेकेवियो84आर 1 एल्गोरिदम की अनुमति देता है, और रूट और मध्यस्थ ईसीडीएसए प्रमाण पत्र प्रदान नहीं करता है, शायद हम इस लेख को लिखने के समय इस सुविधा पर काम कर रहे हैं।
जैसा कि आप देख सकते हैं, Intel® Xeon® सिल्वर 4114 CPU @ 2.20GHz (लॉन्च Q3'17) के एकल कोर के लिए, व्यापक रूप से अपनाया RSA 2048 की तुलना में ECDSA प्रदर्शन में कुल अंतर 3.5x है।

अब आइए ECDSA और RSA के साथ उसी प्रोसेसर के OpenSSL -speed परिणामों पर एक नज़र डालें।
यहां हम ईसीसी और आरएसए के हस्ताक्षर और सत्यापन कार्यों के लिए अलग-अलग कम्प्यूटेशनल लागतों की पहले दी गई थीसिस के लिए एक पुष्टि देख सकते हैं। परिणामस्वरूप, वर्तमान में टीएलएस 1.3 ईसीसी से लैस आरएसए की तुलना में उच्च बिट सुरक्षा स्तर पर एक महत्वपूर्ण प्रदर्शन को बढ़ावा देता है। यही कारण है कि हम Qrator Labs में अपने ग्राहकों को ECDSA को अपनाने के लिए प्रोत्साहित करते हैं। आधुनिक सीपीयू के साथ, आपको ईसीडीएसए के पक्ष में लगभग 5 गुना अंतर मिलता है।

यदि आप रुचि रखते हैं कि आपका सीपीयू क्रिप्टोग्राफ़िक संगणना कैसे करता है, तो आप एक सरल openssl speed कमांड चला सकते हैं। -rsa , -ecdsa और -eddsa पैरामीटर आपको संबंधित हस्ताक्षर एल्गोरिदम के लिए बेंचमार्क परिणाम देंगे।

(सुपरपोजिटेड) फ्यूचर

क्रेडिट: djb

यह विडंबना है कि जब हम यह लेख तैयार कर रहे थे, तब Google ने " क्वांटम वर्चस्व तक पहुँचने " की घोषणा की। क्या इसका मतलब यह है कि हम अभी खतरे में हैं और इस क्षण तक विकसित सब कुछ कोई गोपनीयता प्रदान नहीं करता है?

खैर, नहीं।

जैसा कि ब्रूस श्नेयर ने IEEE सिक्योरिटी एंड प्राइवेसी के लिए अपने निबंध में लिखा था " एलियंस लैंड्स के बाद " क्रिप्टोग्राफी "शक्तिशाली पर्याप्त क्वांटम कंप्यूटर के साथ एक बड़ा झटका सार्वजनिक-कुंजी (असममित) क्रिप्टोग्राफी के लिए किया जा सकता है। सममित क्रिप्टोग्राफी अभी भी मजबूत होगी।

हम निम्नलिखित के साथ ब्रूस श्नेयर को उद्धृत करना चाहते हैं:

विचार करने के लिए एक और भविष्य का परिदृश्य है, एक जिसे क्वांटम कंप्यूटर की आवश्यकता नहीं है। जबकि कई गणितीय सिद्धांत हैं जो क्रिप्टोग्राफी में उपयोग की जाने वाली एक-तरफ़ा को रेखांकित करते हैं, यह साबित करना कि उन सिद्धांतों की वैधता वास्तव में कंप्यूटर विज्ञान में महान खुली समस्याओं में से एक है। जिस तरह एक स्मार्ट क्रिप्टोग्राफर के लिए एक नया ट्रिक खोजना संभव है जो किसी विशेष एल्गोरिथ्म को तोड़ना आसान बनाता है, हम सभी एन्क्रिप्शन एल्गोरिदम को तोड़ने के लिए पर्याप्त गणितीय सिद्धांत के साथ एलियंस की कल्पना कर सकते हैं। हमारे लिए, आज, यह हास्यास्पद है। सार्वजनिक-कुंजी क्रिप्टोग्राफी सभी संख्या सिद्धांत है, और संभवतः गणितीय रूप से इच्छुक एलियंस के लिए असुरक्षित है। सममित क्रिप्टोग्राफी इतना अधिक नॉनलाइन मैडल है, जिससे अधिक जटिल बनाना आसान है, और कुंजी लंबाई बढ़ाने के लिए इतना आसान है, कि यह भविष्य अकल्पनीय है। 512-बिट ब्लॉक और कुंजी आकार और 128 राउंड के साथ एईएस संस्करण पर विचार करें। जब तक गणित हमारी वर्तमान समझ से बुनियादी रूप से भिन्न नहीं होता, तब तक यह सुरक्षित रहेगा जब तक कि कंप्यूटर पदार्थ के अलावा किसी और चीज से बने न हों और अंतरिक्ष में किसी अन्य चीज पर कब्जा कर लें।

लेकिन अगर अकल्पनीय होता है, तो यह हमें पूरी तरह से सूचना सिद्धांत पर आधारित क्रिप्टोग्राफी के साथ छोड़ देगा: एक बार का पैड और उनके वेरिएंट।

यह वह क्षेत्र है जहां कार्यान्वयन संबंधी खामियों को देखते हुए, अधिकांश मुद्दों को पाया जा सकता है। यदि कुछ असाधारण जटिल गणितीय समस्याओं (जैसे पी = एनपी) को साबित करने या उसे बाधित करने या इस पल तक पर्याप्त परिणाम प्राप्त करने पर काम करने वाले, अच्छी तरह से वित्त पोषित गणितज्ञों, क्रिप्टाननालिस्टों / क्रिप्टोग्राफर्स और कंप्यूटर इंजीनियरों का एक समूह है, तो हम मुश्किल में पड़ सकते हैं? हालाँकि, कंप्यूटर विज्ञान, सूचना और कम्प्यूटेबिलिटी सिद्धांतों में इस तरह की प्रगति छिपी होने की संभावना नहीं है, क्योंकि यह तथ्य अपने रचनाकारों के नाम इतिहास के पन्नों पर लिखेगा और, विशेष रूप से, इंटरनेट की पाठ्यपुस्तकों का इतिहास, जो किसी के लिए भी अनमोल है - स्मार्ट । इसलिए, इस तरह के परिदृश्य को लगभग असंभव माना जा सकता है।

यह स्पष्ट नहीं है, कि निकटतम 5 वर्षों में क्वांटम कंप्यूटिंग के साथ कोई सफलता होगी, हालांकि पहले से ही कई क्रिप्टोग्राफी प्राइमेटिक्स हैं, जो पोस्ट-क्वांटम दुनिया के लिए उपयुक्त माने जाते हैं: लैटिस, सुपरसिंगुलर अण्डाकार क्यूरोजेनिक-आधारित, हैश और कोड। अभी के लिए, सुरक्षा विशेषज्ञ केवल उनके साथ प्रयोग कर रहे हैं। हालांकि, इसमें कोई संदेह नहीं है कि आवश्यकता के मामले में, मानवता इस तरह के एल्गोरिदम को बड़े पैमाने पर काम करेगी।

अभी के लिए, अण्डाकार-वक्र आधारित क्रिप्टोग्राफी भविष्य के दशक के लिए एकदम सही है, जो सुरक्षा और प्रदर्शन प्रदान करता है।