Elliptic Curve Digital Signature Algorithm

In crittografia, l'Elliptic Curve Digital Signature Algorithm (ECDSA) offre una variante del Digital Signature Algorithm (DSA) usando la crittografia ellittica.  Fu proposto la prima volta nel 1992 da Scott Vanstone. Nel 1998 è diventato uno standard ISO (ISO 14888), nel 1999 è stato accettato come standard ANSI (ANSI X9.62) mentre nel 2000 è diventato uno standard IEEE (IEEE P1363 2).

Come in generale nella crittografia delle curve ellittiche, la dimensione in bit della chiave pubblica necessaria all'ECDSA è circa il doppio della dimensione del livello di sicurezza in bit. Per esempio, con un livello di sicurezza di 80 bit (un massimo di ${\displaystyle 2^{80}}$ operazioni necessarie ad un aggressore informatico per trovare la chiave privata) la dimensione di una chiave pubblica ECDSA sarebbe di 160 bit, laddove la dimensione della chiave pubblica DSA è di almeno 1024 bit. La dimensione della firma è la stessa per ECDSA e DSA: ${\displaystyle 4t}$ bit, dove ${\displaystyle t}$ è il livello di sicurezza misurato in bit; nell'esempio precedente (con t=80 bit), la dimensione della chiave è di 320 bit.

Si supponga che Alice voglia mandare a Bob un messaggio protetto da firma digitale. Inizialmente devono accordarsi sui parametri della curva ${\displaystyle ({\textrm {CURVE}},G,n)}$. Oltre al campo e all'equazione della curva, è necessario ${\displaystyle G}$, un punto base di ordine primo sulla curva; ${\displaystyle n}$ è l'ordine moltiplicativo del punto ${\displaystyle G}$.

Parametro
CURVE	campo ed equazione della curva ellittica usata
G	punto base della curva, un generatore della curva ellittica avente ordine primo grande n
n	ordine intero di G, tale per cui ${\displaystyle n\times G=O}$

Alice genera una coppia di chiavi consistente in una chiave privata ${\displaystyle d_{A}}$, scelta casualmente nell'intervallo ${\displaystyle [1,n-1]}$ ed una chiave pubblica ${\displaystyle Q_{A}=d_{A}\times G}$. Si usa ${\displaystyle \times }$ per indicare la moltiplicazione di uno scalare per un punto della curva ellittica.

Al fine di generare una firma per il messaggio ${\displaystyle m}$, Alice segue questi passi:

1. Computa ${\displaystyle e={\textrm {HASH}}(m)}$, dove HASH è una funzione crittografica di hash, come SHA-2.
2. Sia ${\displaystyle z}$ la stringa formata dai ${\displaystyle L_{n}}$ bit più a sinistra di ${\displaystyle e}$, dove ${\displaystyle L_{n}}$ è la lunghezza in bit del gruppo di ordine n.
3. Seleziona casualmente in modo crittografico-sicuro un intero ${\displaystyle k}$ dall'intervallo ${\displaystyle [1,n-1]}$.
4. Calcola il punto della curva ${\displaystyle (x_{1},y_{1})=k\times G}$.
5. Calcola ${\displaystyle r=x_{1}\,{\bmod {\,}}n}$. Se ${\displaystyle r=0}$, ritorna al passo 3.
6. Calcola${\displaystyle s=k^{-1}(z+rd_{A})\,{\bmod {\,}}n}$. Se ${\displaystyle s=0}$, ritorna al passo 3.
7. ${\displaystyle (r,s)}$.

Computando ${\displaystyle s}$, la stringa ${\displaystyle z}$ risultante da ${\displaystyle {\textrm {HASH}}(m)}$ deve essere convertita ad intero. Si noti che ${\displaystyle z}$ può essere più grande di ${\displaystyle n}$ ma non più lungo.^[1]

Come stabiliscono gli standard, è cruciale che vengano selezionati ${\displaystyle k}$ per firme diverse, altrimenti l'equazione al passo 6 può essere risolta per ${\displaystyle d_{A}}$, la chiave privata: date due firme ${\displaystyle (r,s)}$ e ${\displaystyle (r,s')}$, l'impiegare la stessa ${\displaystyle k}$ per due messaggi differenti ${\displaystyle m}$ e ${\displaystyle m'}$ apre ad una vulnerabilità ad attacchi. Un aggressore può calcolare ${\displaystyle z}$ e ${\displaystyle z'}$, e poiché ${\displaystyle s-s'=k^{-1}(z-z')}$ (tutte le operazioni di questo paragrafo sono svolte in modulo ${\displaystyle n}$) l'aggressore può trovare ${\displaystyle k={\frac {z-z'}{s-s'}}}$. Dato che ${\displaystyle s=k^{-1}(z+rd_{A})}$, l'aggressore può ora calcolare la chiave privata ${\displaystyle d_{A}={\frac {sk-z}{r}}}$. Questa implementazione errata è stata usata, per esempio, per estrarre la firma digitale usata nella console PlayStation 3 .^[2] Un'altra situazione in cui la firma ECDSA può lasciare trapelare le chiavi private si ha quando ${\displaystyle k}$ è generato da un random generator difettoso. Una falla simile causò la perdita dei fondi di alcuni portafogli di bitcoin su piattaforma Android nell'agosto 2013.^[3] Per assicurare che ${\displaystyle k}$${\displaystyle k}$ dal messaggio e dalla chiave privata.^[4]

Per autenticare la firma di Alice, Bob deve avere una copia della chiave pubblica ${\displaystyle Q_{A}}$. Bob può verificare che ${\displaystyle Q_{A}}$:

1. Controlla che ${\displaystyle Q_{A}}$ ${\displaystyle O}$, e che le sue coordinate siano altrettanto valide
2. Controlla che ${\displaystyle Q_{A}}$ appartenga alla curva
3. Controlla che ${\displaystyle n\times Q_{A}=O}$

Dopo Bob farà quanto segue:

1. Verifica che ${\displaystyle r}$ ${\displaystyle s}$ siano interi appartenenti a${\displaystyle [1,n-1]}$. In caso contrario, la firma non è valida.
2. Computa ${\displaystyle e={\textrm {HASH}}(m)}$, dove HASH è la stessa funzione usate nel processo di generazione della firma.
3. Sia ${\displaystyle z}$ la stringa formata dai ${\displaystyle L_{n}}$ bit più a sinistra di ${\displaystyle e}$.
4. Calcola ${\displaystyle w=s^{-1}\,{\bmod {\,}}n}$.
5. Calcola ${\displaystyle u_{1}=zw\,{\bmod {\,}}n}$ ${\displaystyle u_{2}=rw\,{\bmod {\,}}n}$.
6. Calcola il punto della curva${\displaystyle (x_{1},y_{1})=u_{1}\times G+u_{2}\times Q_{A}}$.
7. La firma è valida se ${\displaystyle r\equiv x_{1}{\pmod {n}}}$, altrimenti non è accettata.

Si noti che usando lo Shamir's trick, una somma di due moltiplicazioni scalari ${\displaystyle u_{1}\times G+u_{2}\times Q_{A}}$ può essere calcolata in tempo inferiore a quello necessario allo svolgimento indipendente delle due moltiplicazioni scalari.^[5]

Il corretto funzionamento dell'algoritmo di verifica non è banale. Si denoti con ${\displaystyle C}$ il punto della curva calcolato al passo 6 della verifica,

${\displaystyle C=u_{1}\times G+u_{2}\times Q_{A}}$

Sostituendo la definizione della chiave pubblica ${\displaystyle Q_{A}=d_{A}\times G}$,

${\displaystyle C=u_{1}\times G+u_{2}d_{A}\times G}$

La moltiplicazione di un punto della curva ellittica per uno scalare gode della proprietà distributiva,

${\displaystyle C=(u_{1}+u_{2}d_{A})\times G}$

Espandendo la definizione di ${\displaystyle u_{1}}$ e ${\displaystyle u_{2}}$ dal passo 5 dell'algoritmo di verifica,

${\displaystyle C=(zs^{-1}+rd_{A}s^{-1})\times G}$

Raccogliendo ${\displaystyle s^{-1}}$,

${\displaystyle C=(z+rd_{A})s^{-1}\times G}$

Espandendo la definizione di ${\displaystyle s}$ dal passo 6 dell'algoritmo di generazione della firma,

${\displaystyle C=(z+rd_{A})(z+rd_{A})^{-1}(k^{-1})^{-1}\times G}$

Dato che l'inverso dell'inverso è uguale all'elemento originale, e il prodotto fra l'inverso di un elemento e l'elemento stesso è l'identità, l'espressione si può così semplificare

${\displaystyle C=k\times G}$

Dalla definizione di ${\displaystyle r}$, questo è il passo 6 dell'algoritmo di verifica.

Questo però mostra solo che un messaggio firmato correttamente supererà la verifica; sono necessarie molte altre proprietà per un algoritmo di firma sicuro.

${\displaystyle k}$ era statico invece che casuale. Come è sottolineato nella precedente sezione Algoritmo di generazione della firma, ciò rende risolvibile ${\displaystyle d_{A}}$ ed inutile l'intero algoritmo.^[6]

Il 29 marzo del 2011, due ricercatori pubblicarono una ricerca IACR ^[7] dimostrando che è possibile recuperare una chiave privata TLS di un server usando OpenSSL il quale esegue un'autenticazione ECDSA su un campo binario attraverso un timing attack.^[8] La vulnerabilità ha ricevuto un fix nella release OpenSSL 1.0.0e.^[9]

Nell'agosto 2013, è stato reso pubblico che alcune implementazioni della classe Java SecureRandom talvolta generavano collisioni nel valore k. Come discusso sopra, questo ha permesso la risoluzione delle chiavi private, di conseguenza ciò ha aperto alla possibilità di rubare bitcoin dalle app Wallet Android, le quali erano basate su ECDSA per l'autenticazione delle transazioni.

Questo problema può essere risolto da una generazione deterministica di k, come descritto da RFC 6979.

• Crittografia ellittica

• Accredited Standards Committee X9, American National Standard X9.62-2005, Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA), November 16, 2005.
• Certicom Research, Standards for efficient cryptography, SEC 1: Elliptic Curve Cryptography, Version 2.0, May 21, 2009.
• López, J. and Dahab, R. An Overview of Elliptic Curve Cryptography, Technical Report IC-00-10, State University of Campinas, 2000.
• Daniel J. Bernstein, Pippenger's exponentiation algorithm, 2002.
• Daniel R. L. Brown, Generic Groups, Collision Resistance, and ECDSA, Designs, Codes and Cryptography, 35, 119–152, 2005. ePrint version
• Ian F. Blake, Gadiel Seroussi, and Nigel Smart, editors, Advances in Elliptic Curve Cryptography, London Mathematical Society Lecture Note Series 317, Cambridge University Press, 2005.
• DOI:10.1007/b97644, ISBN 0-387-95273-X. Parametro titolo vuoto o mancante (aiuto)Parametro titolo vuoto o mancante (aiuto)

• Digital Signature Standard; includes info on ECDSA