Létezik egy újabb aszimmetrikus kulcsú kódolási eljárás, amelyet elliptikus görbéken alapuló kriptográfiának (elliptic curve cryptography = ECC) nevezünk. A digitális aláírásra használt legismertebb elliptikus görbéken alapuló eljárás az ECDSA (Elliptic Curve Digital Signature Algorithm). Ennek a matematikai alapjai jóval bonyolultabbak, mint az RSA algoritmusnak: a kódolási eljárást ún. elliptikus görbék pontjain végzett műveletekre vezeti vissza. Az elliptikus görbe pedig olyan (x,y) számpárok (pontok) halmaza, amely kielégít egy y^2 = x^3 + a*x + b egyenletet. Az x, y koordinátákat és az a, b paramétereket nem a valós számok közül kell választani, hanem jellemzően egy prím rendű véges test (pl. a modulo p maradékosztályok) vagy egy 2-hatvány rendű véges test elemei közül. Így pl. digitális aláírás esetén mind az aláírás-készítési, mind az -ellenőrzési eljárás jóval bonyolultabb műveletekből áll, mint RSA esetén, viszont cserébe nem kell olyan nagy kulcsokat alkalmazni. Például egy 256 bites ECC kulccsal hasonló biztonságot lehet elérni, mint egy 3072 bites RSA kulccsal.
Az elliptikus görbéken alapuló kriptográfiai eljárások biztonsága az ún. ECDLP (elliptic curve discrete logarithm problem) nevű matematikai problémára épül, amely a kriptográfusok szerint hasonlóan nehéz probléma, mint a faktorizáció. Ennek ismeretében az ECC rövid kulcsokkal nyújtott biztonsága rendkívül vonzóvá teszi azt a modern alkalmazások számára.
Az új "SOGIS Agreed Cryptographic Mechanisms" ajánlás szerint a ma legszélesebb körben elterjedt 2048 bites RSA kulcsokat 2024. végéig, azaz kb. 6 évig lehet még biztonságosan használni. Ennél hosszabb időtávban már 3000 bitesnél hosszabb RSA kulcsokat javasolnak, amit jelenleg még kevés chipkártya és szolgáltató támogat. Ezzel szemben például az ECC algoritmust 256 vagy több bites kulccsal határidő nélkül ajánlottnak, biztonságosnak tekinti a SOG-IS dokumentum.
Magyarországon is használunk már elliptikus görbéken alapuló kriptográfiát, például a biometriai azonosítókat (ujjlenyomatot) tartalmazó EU-s útleveleken lévő chipek és az azokhoz tartozó olvasókészülékek közötti kommunikáció védelmére. Továbbá a magyar e-személyi igazolványban található elektronikus aláírási funkció segítségével is ECDSA algoritmussal tudunk aláírást készíteni.
A Microsec 2017. végén létrehozott egy teljes mértékben elliptikus görbéken alapuló hitelesítés-szolgáltatói rendszert, amelyre a megfelelőség-értékelést követően engedélyt is kapott a felügyeleti szervektől, hogy minősített és nem minősített tanúsítványok kibocsátására használhassa. Így a Microsec - Magyarországon elsőként - képes ügyfelei részére párhuzamosan akár RSA algoritmuson, akár ECC algoritmuson alapuló elektronikus aláíró eszközöket és tanúsítványokat is adni.
Források / További információ:
- https://www.sogis.eu/documents/cc/crypto/SOGIS-Agreed-Cryptographic-Mechanisms-1.1.pdf
- https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r...
© 2024 Microsec zrt. | Cégjegyzékszám: 01-10-047218 | Adószám: 23584497-2-41