Entschuldigung für die technischen Schwierigkeiten, für den wirklich sinnvollen Teil des Vortrags gebe ich nun hier weiter an Tanja.

Hallo, ich bin Tanja und neben mir ist Dan, falls das noch nicht bekannt war.

(Gelächter)

Also wir werden über Crypto und ein paar Elliptic curves reden, und hoffen, dass dies ist eine sanfte Einführung ist

Wenn es zu langweilig ist, naja, es ist spät am Abend, also machen Sie ein kurzes Schläfchen,

wachen Sie ab zu und zu auf und schauen, ob sie noch mitkommen.

Also warum Kryptographie?

Wenn Sie Kryptographie im Internet oder für elektronische Zahlungen verwenden,

dann sehen sie zum Beispiel ein SSL Zertifikat in welchem Kryptographie verwendet wird.

Wenn Sie einen elektronischen Pass oder einen elektronischen Personalausweis haben, welcher Signaturen nutzt, oder

wenn Sie TLS verwenden um vertrauliche Daten zu senden, dann möchten Sie Verschlüsselung nutzen.

Wenn Sie einen SSL-Exchange haben, nutzen sie z.B. RSA, Diffie-Hellmann oder ECDH.

Und um EC, ECDH und ECDSA geht es heute in diesem Vortrag.

Außerdem gibt es noch einen großer Anteil an der Kryptographie, die sogenannte "secret key cryptography".

Das ist wirkliche eine coole Sache, es sie ist viel viel schneller als alles was wir Ihnen heute vorstellen.

Aber sie setzt voraus, dass die beiden Parteien, die miteinander reden möchten sich bereits kennen,

also dass sie bereits einen Schlüsselaustausch durchgeführt haben

Wir werden Ihnen zeigen wie man diesen Schlüsselaustausch durchführt.

Und vielleicht dann im nächsten Jahr, die symmetrische Kryptographie.

Okay, also warum sollte man in public key Kryptographie ECC (elliptic curve cryptography) nutzen

Was hat dazu geführt, dass Personen sich für ECC interessieren?

Die einfache Antwort dafür ist eine Angriffsstrategie namens Index-Calculus.

Nun diese nutzen Sie, wenn Sie den RSA Schlüssel von jemanden faktorisieren,

oder den ursprünglichen nicht-elliptischen Diffie-Hellman knacken, möchten.

Dann nutzten Sie Index-Calculus.

Dies ist eine ausgefallene Nutzung von Mathematik sowie die damit einhergehenden Algorithmen.

Im Endeffekt werden diese immer schneller und schneller,

sodass wir am Ende gar nicht wissen, wie schnell sie einmal sein werden.

Hier ist ein Teil der Geschichte, wann die Algorithmen erfunden wurden:

1975 wurde einer der ersten Index-Calculus Algorithmen, CFRAC,

zum Faktorisieren von großen Zahlen entwickelt.

In 1977, 1982, 1990. 1994 gab es dann alle möglichen Arten von Fortschritten.

Sie haben letztes Jahr von der Cryptoapocalypse gehört.

Und diese ist eine der neusten Fortschritte in Indexcalculus

Es ist zwar nicht relevant für das Knacken von RSA,

aber es ist ein Beispiel dafür, dass die allgemeine Strategie des Index-Calculus

immer weiter verfeinert, hochwertiger und schneller wird.

Das ist nicht die ganze Geschichte.

Wenn man sich die wissenschaftliche Fachliteratur anschaut, dann gibt es dort auch viele Verbesserungen.

Wir sind glücklich, wenn wir doppelt so schnell faktorisieren können,

aber das sind große Schritte, wenn man die Sicherheit von zwei typischen RSA Größenordnungen bedenkt.

Also da ist RSA 1024, was man noch häufig im Internet sehen kann

und da ist RSA 2028, was hoffentlich Ihre Bank nutzt.

Dann sind dort zwei Zeilen mit Nummern...

Entschuldigung

Zwei Spalten mit Nummern, wo Sie sehen können, wie sehr die Sicherheit abgenommen hat.

Also zurück in 1975, der CFRAC Algorithmus würde immer noch 2 hoch 120 Operation brauchen,

um die selbe Arbeit zu machen, welche in vielen Jahren später ein mit Zahlen gefülltes Sieb macht.

Also in den 80er würde nur 2 hoch 80 Operationen notwendig sein.

Daher ist hier ein großer Rückgang vorhanden,

von 120 Operations auf 80.

Und es ist nicht nur eine Verringerung um 40 im Exponenten, es ist deutlich größer,

Es reduziert diesen von 170 auf 112.

Somit ist es nicht nur eine lineare Verringerung im Exponent.

Es ist mehr als eine lineare Verringerung im Exponent.

In '85, als die [unverständlich],

hat Miller elliptic curves als Alternative zu faktorisierungsbasierten Methoden vorgeschlagen,

da Faktorisierung und Diffie-Hellman von den Algorithmen geknackt werden.

Miller sagte: "Nun, ich habe mir dieses neue Prinzip der elliptic curves angesehen,

und es ist extrem unwahrscheinlich, dass eine Index-Calculus Attacke auf die elliptic curves Methode jemals klappen würde.

Also können wir alle die Verbesserungen dieser Methoden ignorieren,

die die Faktorisierung und Diffie-Hellman geschwächt haben."

Um in elliptic curve cryptography sanft einzusteigen, haben wir hier die clock cryptography.

Nun, hier ist Bild von einer Uhr.

Hast du zufällig eine Uhr um sie den Menschen zu zeigen,

falls sie nicht mehr dran gewöhnt sind, wie eine Uhr aussieht?

Also ein rundes Ding.

Wissen Sie, wenn Sie denken dass eine Uhr Ihnen Ziffern nebeneinander anzeigt, hier, so sahen Uhren früher aus.

Für Mathematiker, es ist x^2 + y^2 = 1

Es ist etwas kaputt, deswegen sind wir zu spät.

(schmunzeln)

Die elliptic curves die wir Ihnen später im Vortrag zeigen,

beinhalten nicht die Uhr.

Die clock cryptography ist kein Beispiel für elliptic curve cryptography,

aber sehr, sehr nah dran.

Daher starten wir mit der clock cryptography und wenn Sie damit vertraut sind,

machen wir eine kleine Anpassung und dann haben wir die elliptic curve cryptography.

In Ordnung, also zum Beweis, dass ich den Kindergarten abgeschlossen habe,

hier sind ein paar Punkte auf der Uhr.

Dort oben ist 12 Uhr, so habe ich das gelernt.

Nun ich bin später Mathematikerin geworden und Mathematiker arbeiten gerne mit Koordinaten.

Also 12 Uhr hat die x-Koordinate 0 und die y-Koordinate 1.

Ich weiß, dass die 1 da sein muss, da es die Formel x^2+y^2=1 erfüllen soll.

x^2=0, daher y^2=1 und y=1.

Aber es gibt viel mehr Punkte,

also dort ist 18 Uhr.

Dort haben Sie Frühstück, ähm Lunch.

Das ist die 15 Uhr Marke, da ist die 21 Uhr Marke,

da ist, ... ,oh was ist das?

Das habe ich nicht im Kindergarten gelernt.

So es ist, ähm, halb nach oben dann schauen, wo ist die eins,

dann halb rüber.

Das schaut aus, ähm, wie die 2 Uhr Marke.

Hier wurden die Koordinaten umgedreht.

Nun x = 1/2, also sind wir irgendwo hier drüben,

und dann ins negative, das wäre die 5 Uhr Marke.

Und mehr und mehr Punkte...

Sollte es nicht sanft sein?

Ist es nicht sanft?

[Applaus]

Okay, also...

Hey, hier sind ein paar Punkte die ich noch nicht gesehen habe.

Oh, tut mir leid, ähm, ich glaube wir wollten mehr über Punkte wie diese erzählen.

3/5, 4/5, ich meine, hier muss man richtig komplizierte Mathematik nutzen,

um zu sehen, dass eine Formel (3/5)^2+(4/5)^2=1 ist.

Dies ist ein weiterer Punkt auf der Uhr und es ist nicht ersichtlich,

wie viel Uhr es ist.

Sie müssen wirklich intensiv auf ihre Uhr schauen um das herauszufinden.

Immer am Aussteigen wenn es knifflig wird.

Entschuldigung?

Nun steigst du aus, wenn es es knifflig wird.

Aussteigen wenn es knifflig wird?

[Lachen]

Okay, also willst du wirklich, dass ich das Quadrat, das halbe Quadrat, ...

Nein, nein, ich weiß einfach nicht wo der Punkt ist, aber ich weiß er ist auf der Uhr.

Okay, also du kannst herausfinden, wo der 3/5, 4/5 Punkt ist, im Bezug auf die Uhrzeit.

Sie können es auch etwas komplizierter machen in dem Sie die Uhr parametisieren.

Also wenn Leute Punkte auf der Uhr nehmen,

dann denken sie an eine voranschreitende Zeit.

Also es gibt 2 Uhr, 3 Uhr und das kann addiert werde, und man bekommt 5 Uhr.

Zwei Stunden nach 3 Uhr oder drei Stunden nach 2 Uhr ist 5 Uhr.

Und hier ist ein Bild, das etwa so aussieht, als ob 1:30 plus 2 Uhr so etwas wie 3:30 ergibt.

Also hier sind ein paar Punkte p1, p2 und p3 auf der Uhr.

Und Sie können p1 und p2 addieren, um p3 zu erhalten.

Hier kommt der schreckliche mathematische Teil, den wir gleich verwerfen werden - die Trigonometrie.

Wenn Sie einen Punkt auf der Uhr haben, hat er einen Winkel von Alpha.

Die Zeit von Alpha beginnt bei 12 Uhr, dann ist dieser Punkt x gleich Sinus von Alpha, Y gleich Kosinus Alpha.

Es gab es diese schrecklichen trigonometrischen Formeln für den Sinus der Summe zweier Winkel und den Kosinus von ...

Die Summe von zwei Winkeln und der Sinus von Alpha 1 plus Alpha 2 ist...

Okay, Sinus von Alpha 1, Cosinus von Alpha 2 plus Cosinus von Alpha 1, Sinus von Alpha 2.

Etwas Ähnliches gibt es für den Cosinus.

Sie können Punkte hinzufügen mithilfe der Sinus und Cosinus Funktionen.

Normalerweise überreden wir die Leute, sich der Crypto-Seite zuzuwenden indem wir ihnen sagen:

"Sie können die ganze nichtdiskrete Mathematik vergessen"

"Wir möge diskrete Mathematik, wir sind die diskreten Typen,

also wird es keine Sinus und Cosinus geben."

Okay, lasst uns sie loswerden. Wir wollen keinen Sinus und Cosinus haben.

Eigentlich würden wir gerne mit normalen Uhrzeiten arbeiten.

Sinus 1, Cosinus 2 und so weiter sind einfach meine x- und y-Koordinaten.

Alles, was ich hier gesagt habe, war, dass die x-Koordinate ein Sinus von Alpha ist.

Die y-Koordinate ist der Kosinus von Alpha.

In diesem ganzen Durcheinander mit den Trigonometrieformeln,

kann ich einfach jeden Sinus von Alpha durch das entsprechende x ersetzen.

Und jeder Cosinus von Alpha wird durch das entsprechende y ersetzt.

Dadurch wird dies viel schöner und kürzer.

Keine trigonometrische Additionsformel. Also wenn Ihnen bei der Addition auf der Uhr

Ihnen zwei Punkte x1 y1 und x2 y2, gibt, dann müssen Sie nur die x-Koordinate des ersten Punktes

und die y-Koordinate des zweiten Punktes nehmen und diese multiplizieren.

Nehmen Sie dann die y-Koordinate des ersten Punktes und die x-Koordinate des zweiten Punktes und multiplizieren Sie diese.

Addieren sie das.

Das gibt Sie die neue X-Koordinate. Warum?

Wir können einfach vergessen, woher sie stammt.

Dann machen wir dasselbe mit der Y-Koordinate.

Sie ist das Produkt aus den Y-Koordinaten minus dem Produkt der X-Koordinaten.

Okay.

Hier sind einige Beispiele für die Addition von Uhrzeiten, die wir noch nicht behandelt haben.

Wir haben keinen Computer hier, daher wird dies etwas mühsames Rechnen.

2 Uhr plus 5 Uhr.

Wir erinnern uns, dass dies im Test sein wird.

2 Uhr war diese Quadratwurzel aus 3/4 und 1/2.

Sie hat am Anfang darüber gesprochen.

Und 5 Uhr war 1/2 und minus Quadratwurzel von 3/4.

Wenn Sie das in die Formel einsetzen...

Okay, ich werde es mal versuchen.

x1 ist Quadratwurzel von 3/4.

y1 ist 1/2.

x2 ist 1/2 und y2 ist minus Quadratwurzel von 3/4.

Wenn Sie x1 mit y2 multiplizieren ist, dann ist das die Quadratwurzel von 3/4 multipliziert

mit der minus Quadratwurzel von 3/4, welche minus 3/4 ist.

Dann müsste y1 mal x2, 1/2 mal 1/2 sein, was 1/4 ist.

Addiert man diese, ist es ungefähr minus 1/2.

Führt man eine ähnliche Berechnung durch, erhält man den 2. Teil des Ergebnisses.

Man erkennt, dass 2 Uhr plus 5 Uhr mit diesen Formeln das ist, was Sie wollten, nämlich 7 Uhr.

Ähnliches können Sie mit 5 Uhr plus 9 Uhr machen.

Ich denke, wir werden es überspringen.

Versuchen wir es mit einem anderen Beispiel.

Sie können 3/5 und 4/5 nehmen und sie addieren.

Das bedeutet, dass 2 mal (3/5 mal 4/5) dann 3/5 mal 4/5 plus 3/5 und 4/5 sind.

Fügen Sie dies in die Formeln ein und Sie wissen nicht, wie spät es ist.

Sie erhalten einfach eine Antwort, 24/25 und 7/25

Und Sie können immer mehr Kopien, des Punktes auf den Punkt selbst hinzufügen.

3 mal 3/5, 4/5, das ist also der Punkt plus sich selbst plus sich selbst

Setzen Sie ihn einfach in die Formeln ein und Sie erhalten etwas mit mehr Ziffern.

Wenn Sie immer mehr Kopien hinzufügen, erhalten Sie immer mehr Stellen.

Der Nenner ist nun 625 und er wird immer größer.

Sie können auch versuchen, jeden gewünschten Punkt zu 12 Uhr hinzuzufügen, ohne überhaupt zu wissen, welcher es ist.

12 Uhr mit 0,1 (Koordinaten)

Wenn Sie diese in die Formeln einsetzen, erhalten Sie 12 Uhr plus 3 Uhr ist 3 Uhr.

12 Uhr plus 5 Uhr ist 5 Uhr

12 Uhr plus irgendein Wert ergibt als Ergebnis diesen Wert.

Das ist sofort ersichtlich aus der Formel zur Addition von zwei Punkten.

Ein letztes Beispiel dafür, wie Sie mit dieser Additionsformel arbeiten können.

Sie nehmen beispielsweise 10 Uhr + 2 Uhr. Das sollte 12 Uhr sein.

10 + 2 = 12. Das ist logisch.

Das Gegenteil wäre 10 + 2, wenn man 9 + 3 oder 11 + 1 oder irgendetwas nimmt,

was die gleiche Höhe, die gleiche Y-Koordinate hat, aber die X-Koordinate negativ ist.

Diese ergeben zusammen 12 Uhr.

Sie können einfach versuchen x1 und y1 und minus x1y1 in die Formel einzusetzen.

Versuchen wir das mal:

Angenommen, wir sagen, x2 ist minus x1 und y2 ist y1

und setzten es in die Formel ein.

Sie sehen die erste ähm...

Die erste Koordinate der Antwort, welche ist: x1*y2 = y1

Und y1= -x1*x2... ähm sorry,

x2 ist -x1*y1. Die ergibt im Endeffekt null.

Das ist, was wir für 12 Uhr erwartet haben.

Nächster Teil: y1y2 = y1 mal y1 minus x1*x2, das ist

minus x1 mal minus x1 = x1 im Quadrat,

und x1 im Quadrat + x1 im Quadrat ist gleich 1.

Wir können etwas herumspielen mit Additionen und Multiplikationen.

Diese Formel können wir verwenden, um alle möglichen Punkte zu addieren.

Okay.

Nun wird es noch etwas diskreter.

Wir können den Kreis vergessen der unendlich viele Punkte hat.

Sie können jede reelle Zahl nehmen und einfach Quadratwurzeln ziehen.

Wir machen das mit einem sehr kleinen Menge von Elementen.

Wir machen mit Uhrzeiten über Suchfelder.

Ich beschränke mich jetzt nur auf die Zahlen 0, 1, bis 6.

Das ist also, wofür diese F7 steht.

Ich will diese Zahlen addieren und multiplizieren können.

Wenn ich 2 und 5 multipliziere, ist das ist größer als 10.

Diese Zahl ist größer als die Menge, die ich dort zur Verfügung habe.

Lasse ich nur 6 als größte Zahl zu, gehört 10 nicht zur Menge.

Also werde ich das reduzieren und den Modulus 7 nehmen.

Wir haben einige Python-Schnipsel versprochen.

Wir erfahren nun, wir wir beispielsweise alle diese Elemente finden können.

Wir gehen alle x zwischen 0 und 7 und y zwischen 0 und 7 durch.

Wir überprüfen einfach, ob x mal x plus y mal y = 1 ist.

Ist dies der Fall, drucke ich das Doppelte xy aus.

Dann drücke ich die Eingabetaste und wir erhalten diese Punkte für das Bild.

Wir haben keine bis 6 verwendet, wir möchten die Symmetrie beibehalten.

Wir haben -3 bis + 3 genutzt. -3 ist hier drüber, +3 hier.

+ 3 ist in der y-Richtung und - 3 ist in der y-Richtung

Das ist der Punkt 0,1, also derselbe Punkt, den wir vorher auf der Uhr hatten.

Also ist dies die Uhrzeit.

Es ist der Punkt 2,2

Okay.

Wir verwenden die Uhradditionsfunktion.

Wir zeigen eine Funktion, um Punkte der Uhr hinzuzufügen.

Es ist hilfreich, Plus und Minus bei den Uhrzeiten schreiben zu können,

die diese Reduzierung automatisch durchführen, Mod 7.

In Python können wir einen Plus- und Minus- und Hoch-4 und F7-Klasse einrichten.

Diese sind getrennt, von den

üblichen für Plus-Minus und die Multiplikationen für Ganzzahlen.

Um dies einzurichten gehen Sie bitte wie folgt vor:

Hier ist eine F7-Klasse, einen Integer x liest und ein F7-Element initiiert.

Hierbei handelt es sich um die in den Integer Mod 7.

Wenn Sie F7 von 7 nehmen, wird 7 mod 7 berechnet.

Der Quotient ist 1

Der Rest ist 0

Man fügt 0 in self.int ein.

Dieser Stir-and-Wrapper, eventuell nicht die eleganteste Möglichkeit zum Drucken von Dingen,

gibt aus, dass alles Mod 7 ist.

Wir drucken nur die Ganzzahl aus, die wir bei 7 erhalten.

7 Mod 7 gibt 0 und 10 mod 7,

war das Beispiel von Tanja eben, wo der Rest 3 ergibt.

Und 20 mod 7, subtrahiert man 7, und subtrahiert wieder 7, erhält man eine 6.

Man kann also in diese F7 jeden integer eingeben, den man möchte.

Dafür nehmen wir diesen Integer-Mod7.

Nun können wir F7 einige weitere Funktionen hinzufügen.

Beispielsweise können Sie einen Gleichheitstest durchführen.

Pythons default Gleichheit ist ziemlich dumm.

Das was ich eigentlich tun möchte, ist folgendes:

Ich möchte diese Punkte vergleichen, die den gleichen F7-Wert haben.

Okay.

Nun wurde dieser F7-Typ um eine Gleichheit erweitert.

Sie können sehen, dass F7 von 10 und F7 von 3 gleich sind.

F7 von 0 und F7 von 2 sind nicht gleich.

Wir haben von 0 bis 6 als Möglichkeiten für die Werte einer Variablen ausgedrückt.

Dann folgt die Addition, Subtraktionen und Multiplikation.

Schauen wir uns die Addition an, dann ist der typische Fall.

Sie nehmen zwei a und b.

Dann nehmen Sie eine Integer innerhalb einer Integerrange von 0 bis 6.

Addieren Sie diese auf der Seite b von 0 bis 6.

Sie erhalten 0 bis 12.

Diese geben Sie dann wieder in den F7 Konstruktor ein.

Sie haben jetzt wieder 0 bis 6.

Unten sind einige Beispiele von 2 plus 5 = 0

2 minus 5 ist -3.

Das ist 4.

Wenn Sie in C programmieren, achten Sie auf folgendes:

Der Prozentwert darf den Mod nicht ausführen, den wir mathematisch wollen.

Pythons Prozentwert macht das Richtige und C gibt negative Zahlen aus.

Prozent in Python gibt Ihnen immer 0 bis 6.

Oder 0 bis zu jeder Zahl, die Sie genommen haben.

Ähm

2 mal 5 war wieder das Beispiel von 10, wo Mod 7= 3 ergibt.

Okay.

Jetzt haben wir eine kleine Uhr gesehen.

Da konnte ich einfach alle Elemente zeichnen,

und wir konnten sie durchgehen und ausprobieren.

Alles was Dan mit dem Python-Setup gezeigt hat, da kann ich 7 durch eine größere Zahl ersetzen.

Sagen wir mal 1.000.003, das ist auch eine Primzahl.

Ich gehe hin und definiere eine Addition von Kurvenpunkten.

Das ist genau das, was wir vorhin auf der echten Uhr gemacht haben.

Nun werde ich die Elemente 1.000.003 einfügen.

Ich nehme also meine Punkte und mache x1y2, y1x2 und so weiter.

Dann bekomme ich den Punkt zurück.

Wir machen nun ein Beispiel dazu.

Einer der vielen Punkte, die ich in die x-Koordinate einfüge ist 1000.

Denken Sie daran, dass es aus 1000 aus 1.000.003 ist.

Anschließend überprüfe ich, ob es eine y-Koordinate gibt und dazu passt.

Ja, gibt es grob.

Habe ich also 1000, erhalte ich eine Million im Quadrat und 2 ergibt 4.

Das ist nur 1 größer als die 1.000.003.

Ja, das ist also ein gültiger Punkt.

Jetzt kann ich diesen Punkt übernehmen und addiere ihn zu sich selbst.

Ich setzt einfach p und p in die Addition ein, die 4007 ergibt.

Ich kann es immer und immer wieder zu sich selbst addieren.

Ich addiere immer weiter bis ich am Ende 6 Kopien habe.

Ich füge sie zusammen und habe nun diesen Punkt.

Wenn Sie das sehen, denken Sie natürlich: Warte mal.

Muss ich tatsächlich alle diese 5 Additionen machen?

Nein.

Wenn ich beispielsweise bei p3 aufgehört hätte.

Das ist dreimal der Punkt und addiere dann p3 plus p3

Das sind also 3 Kopien plus weitere 3 Kopien, sind auch 6 Kopien.

Diese beiden Dinge haben das gleich Ergebnis.

Möchte ich das also professioneller machen,

ist hier die Modifikation der Scale.

Okay

Das ist eine rekursive Funktion zur Berechnung von n mal p.

Sie haben einen beliebigen Punkt auf der Uhr p in einem beliebigen Skalar,

Jeden nicht negativen Integer n, den Sie möchten.

Wenn n 0 ist,

dann geben Sie den 12-Uhr-Punkt zurück.

Wenn n = 1 ist, geben Sie den Punkt p einmal zurück,

also p ist p.

Und dann, wenn n gerade ist, dann ändert der Python seine Notation im Laufe leicht.

n // 2 ist der richtige Weg, um eine durch 2 geteilte Integer nehmen.

Und den Rest wegzuwerfen.

So ist n // 2, gerade bei n^2.

Wenn n*2 ist wird rekursiv n mal p berechnet.

Wie zum Beispiel 3 mal p, wenn n gleich 6 ist.

Dann kommt bei (Q,Q) heraus, das n^2 mal p zu verdoppeln.

Man erhält np, wenn n ungerade ist.

Dann ist das n über 2 .

Anschließend nehmen Sie das dann mal p.

Verdoppeln sie das, was n minus 1 mal p ergibt.

Addieren Sie p dazu.

Das heißt, wenn n mod 2 ungleich Null ist, dann addieren Sie p zu q.

Schließlich erhalten Sie n mal p in allen unterschiedlichen Fällen.

Anschließend haben wir für das eine 6stellige Zahl n versucht.

Das wird hier auf der Folie nicht gezeigt.

Es ist geheim und es waren etwa 30 Uhrzeit-Additionen erforderlich.

Das waren nicht sehr viele Multiplikationen, um n mal p zu berechnen.

Das ging sehr schnell.

Es kommt sofort heraus und das ist die Antwort.

Es gibt die x- und y-Koordinaten von n mal p für das geheime n, das es war.

Nun ist es nicht mehr so offensichtlich, wie man herausfinden kann, was n ist.

Sieht man das n mal p, und arbeitet dann rückwärts zum n, dann weiß man, welches p ist.

Sie wissen was n mal p ist.

Sie wissen, dass n nicht zu groß ist.

Okay

Es gibt nur eine Million Möglichkeiten.

Das ist keine wirklich ausgefallene Berechnung.

Es wird allerdings einen Moment dauern, bis es erledigt ist.

Es ist etwas, bei dem der Computer einiges rechnen muss.

Sie können nun vielleicht versuchen, das schneller zu machen.

Allerdings könnten wir dann versuchen, die Zahlen größer zu machen.

Statt 1.000.003 könnten wir immer noch n mal p machen.

Wobei n viel größer ist und die 1.000.003 eine viel größere Primzahl ist.

Hier gibt es also eine kleine Herausforderung.

Sie können nun versuchen herauszufinden, was dieses n ist.

Dies ist schwieriger, als eine SMS an die Telefonnummer zu senden, die gerade nicht funktioniert.

Ooh! ... Gemurmel

Nehmen wir also an, wir machen es viel schwieriger.

Wir machen es sehr schwierig.

Wir haben das Gefühl, dass Sie es für Kryptographie verwenden möchten.

Jemand möchte die Uhrzeit-Kryptographie standardisieren .

Dann beginnen Sie mit der Standardisierung einer großen Primzahl p.

Große Zahl, also keine Million.

So groß mit mehreren Tausend Bits.

Sie können auch folgendes machen:

Sie standardisieren einen Basispunkt.

Diese p auf der vorherigen Folie bedeutet:

Wir geben Ihnen p, wir geben Ihnen n-mal p.

Wir geben Ihnen einfach kein n.

Wir nehmen an, dass Ihnen jemand ein kleines p gibt, das die Primzahl ist.

Dieser Basispunkt P, x- und y-Koordinaten , die auf der Uhr stehen.

Was machen Alice und Bob, wenn sie kommunizieren wollen?

Ich würde gerne etwa an den Bob schicken.

"Ich bin Bob".

Dann wählt Alice, bzw. ich aus:

Mein Geheimnis, a.

Berechne a mal diesen Basispunkt.

Dies ist die Berechnung, die du gerade auf der vorigen Folie gesehen hast.

Sie ist immer noch sichtbar.

Dies ist also genau wie eine logarithmische Zeit von der Größe a.

Anschließend sende ich das an Dan.

Dann denke ich, ich muss etwas berechnen.

Ich nehme mein eigenes großes Geheimnis b, das ich niemandem verraten werde.

Dann berechne ich b mal das gleiche Standard (X,Y)

Ich sende mein b-mal (X,Y) an Alice zurück.

Alles klar.

Jetzt habe ich also sein b mal den Basispunkt.

Er hat mein a mal Basispunkt.

Ich weiß jetzt noch, was mein a war.

Ich nehme nun dieses a und den neuen Punkt, den er mir gerade gesendet hat.

Dann setze ich diesen Punkt in die Skarlarmultiplikation ein.

Ich mache die gleichen Schritte, addiere den Punkt zu sich selbst.

Und den Punkt zu dem Punkt, den er mir geschickt hat.

Dies sind also die gleichen Schritte hier, außer dass dieses p jetzt der Punkt ist, den er mir gesendet hat.

Es ist nicht mehr der Basispunkt.

Auf diese Art und Weise berechne ich a mal b mal p.

Okay.

Nun bekomme ich ihr a mal (X,Y).

Ich nehme mein geheimes b und multipliziere es mit dem a mal (X,Y).

Nun bekomme ich mein b mal a mal den Punkt (X,Y).

Ich habe das gleiche Ergebnis erhalten.

Nun hat sie a* b mal (X,Y) berechnet.

Ich habe b*a mal (X,Y) berechnet.

Das ist dasselbe.

Sie sind beide a mal b Vielfache von (X,Y).

Wir addieren a mal b Kopien von (X,Y).

Nun verwenden wir das geteilte Geheimnis zum Verschlüsseln von Daten.

In Ordnung.

Wir haben auch ein Bild davon.

Auch wenn wir nichts anderes machen.

Und Bob, hier sehen Sie, wie die Nachricht jetzt verbreitet wird.

Sollten Sie der Lauscher sein, wollen Sie herausfinden, was wir haben.

Du kannst nicht sehen, was ich hier mache.

Du kannst nicht sehen, was Dan hier macht.

Du kannst nur sehen, was hierher gesendet wird.

Du weißt, was das kleine p ist und was der Basispunkt ist.

Zumindest ist das ist das, was wir uns wünschen.

Nun gibt es aber einige Vorbehalte:

Verwenden Sie nicht einfach irgendein Primzahl-p.

Viele Auswahlmöglichkeiten von p sind unsicher.

Warnung 2!

Dies ist immer noch die Uhr.

Und wir haben am Anfang gesagt, dass Uhren keine elliptischen Kurven sind.

Nur elliptische Kurven sind gut.

Demnach sind die Uhren eigentlich eigentlich fast das

Gleiche wie "RSA" oder "Finde das Feld".

Wenn Sie etwas finden möchten, das RSA 3072 Bits hat, dann muss Ihre Uhr die Primzahl haben.

Die Uhr muss 1536 haben, also halb so viele Bits wie RSA Zahlen.

Das ist nicht das, was Sie tatsächlich möchten.

Okay.

Dritte Warnung: Timing-Angriffe

Eben haben viele von Ihnen über Bleichenbacher-Angriffe gegen SSL gesprochen.

Viele der Informationen von einem angegriffenen Server oder Client stammen vom Timing.

Der Angreifer sieht sich nicht nur das Abhören der öffentlichen Schlüssel a mal x y und b mal x y an.

Er sieht auch, wie lange Sie für Berechnungen gebraucht haben.

Der Angreifer kann sogar oft sehen,

wie lange Sie für jeden einzelnen Vorgang gebraucht haben.

Die funktioniert, weil es elektromagnetische Emissionen oder Funkemissionen

oder Cache-Effekte auf virtuellen Maschinen gibt.

Diese wirken sich auf andere virtuelle Maschinen aus, die unter demselben Hypervisor

auf derselben physischen Hardware ausgeführt werden.

Sie können dann als Angreifer auf Informationen zugreifen,

wie lange Alice und Bob brauchen.

Sie sehen diese Berechnung nicht wirklich,

aber Sie sehen die physikalischen Auswirkungen dieser Berechnung.

Stellen Sie sich einfach vor, Eves Ohr ist genau hier.

Sie kann hören und sie kann spüren, was die Berechnungen bewirken.

Tatsächliche können Sie das akustische Summen von Ihrer CPU hören,

sofern Sie ein ausreichend gutes Mikrofon daneben platzieren.

Dies hängt auch von den Berechnungen ab, die es ausführt.

Es gibt hier einige echte Beispiele für Timing-Angriffe.

2 von den 3 ausgewählten Beispielen sind ECC Beispiele.

Ein Beispiel davon ist der Lucky-13-Angriff.

Das war nicht gegen ECC. Das ist eine andere Art von Timing-Angriff.

Wir wollen Ihnen die Vorstellung vermitteln, dass Timing-Angriffe wirklich wichtig sind.

Dies ist ein Großteil dessen, was bei echten Kryptographie schief läuft.

Abgesehen von deren Unbrauchbarkeit und anderen kleinen Problemen.

Ähm.

Die Lösung für dieses spezielle Problem und das Timing zu sehen ist folgendes:

Die Berechnungen müssen immer in konstanter Zeit durchgeführt werden.

Abhängig von Ihrem Skalar,

dürfen Sie nicht unterschiedlich viel Zeit aufwenden.

Wenn Sie einfach immer dieser Regel folgen, haben Sie bei jedem Geheimnis bei geheimes Timing mehr.

Der Angreifer erhält nichts.

Ihr gesamtes Timing ist öffentlich.

Selbstverständlich ist es etwas mühsam, so Berechnungen durchzuführen.

Auf diese Weise können Sie es immer tun, aber es verlangsamt die Dinge sehr.

Ich denke, das ist leichter gesagt als getan.

Lasst uns zurück zu Warnung Nr. 2 gehen.

Wir nehmen an, dass konstante Zeit für Berechnungen sich um Warnung Nr. 3 kümmert.

Wir gehen zurück zu Warnung Nr. 2.

Uhren sind nicht elliptisch.

Lasst uns diesen Kreis, diese Uhr, in eine elliptische Kurve verwandeln.

Wir nehmen also den Kreis und drücken ihn nach innen.

Mathematisch führen wir nun einen zusätzlichen Term ein,

statt dass x zum Quadrat plus y zum Quadrat = 1 ist.

Sagen wir, dass x zum Quadrat plus y zum Quadrat = 1- 30 <i> x^2 </i> y^2 ist.

Also ist dieser zusätzliche Term hier die Differenz zwischen einem Kreis und einer Edwards-Kurve.

Oder eine elliptische Kurve.

Diese bestimmte Kurve wird also eine Edwards-Kurve genannt.

Aber es ist ein Beispiel für elliptische Kurven.

Ich möchte nun Punkte hinzufügen.

Wir erinnern uns daran, wie es auf dem Kreis aussah.

Auf dem Kreis hatte ich den neutralen Betrag oben.

Ich behalte das bei.

Sodass das Hinzufügen von irgendetwas zur 12-Uhr-Position nicht an dem Wert ändert .

Der Wert ist hier immer noch derselbe.

Ich habe hier nur p1, p2 und p3 durch diese Formeln hinzugefügt.

Nun funktionieren diese normalerweise nicht auf der elliptischen Kurve.

Der Grund ist, da es dieses - 30 x^2 * y^2 gibt.

Daher müssen wir auch hier unten eine kleine Anpassung vornehmen.

Daher gibt es nun einen Nenner.

Nehmen Sie d = 0 an, dann ändert sich die Formel in den Kreis

Auch in die Additionsformeln ändern den Kreis, denn diese 30 hier ist eine Null.

Sie wird also einfach durch 1 geteilt.

Der Kreis kommt als Sonderfall für diese elliptische Kurve heraus.

Nun nehmen wir minus 30 und haben eine schöne elliptische Kurve.

Die Additionsformeln sind nicht viel schlimmer. Sie sind nur ein kleiner zusätzlicher Term.

Okay

Sie können, wenn Sie eine Primzahl p haben, 7.000.003,

irgendetwas viel größeres nehmen.

Sie können jedes nichtquadratische d nehmen, wie minus 30,

jedes d, das kein Quadrat von irgendetwas Modulo p.

Dies ist etwas, das Sie schnell überprüfen können.

Dann können Sie folgendes aufschreiben:

Die Kurve mit x^2y^2 = 1 plus d.

Das ist eine elliptische Kurve.

Und es ist nur das zusätzliche d als zusätzliche Komplikation.

Wenn Sie clock cryptography verstanden haben,

dann ist diese zusätzliche kleine Komplikation alles,

was Sie für die Elliptische-Kurven-Kryptographie benötigen.

Es gib die Additionsformel, die gerade aus den mathematischen Formeln

aus vorangegangenen Folien übersetzt wurde.

Sie sieht fast genauso aus, wie zuvor.

Außer, dass bei x3 und y3 das d an der Stelle des Nenner haben.

Nun könnten Sie sich über dieses Aussage beklagen.

Warten Sie eine Minute, bevor Sie dividieren.

Sind Sie überhaupt in der Lage zu dividieren?

Was passiert, wenn Sie durch Null dividieren?

Vielleicht funktionieren diese Formeln nicht immer.

Das ist ein wichtiger Punkt, auf den Sie achten müssen.

Achten Sie daraus, dass Sie, wenn Sie durch etwas dividieren, nicht durch Null dividieren dürfen.

Es stellt sich aber heraus, dass die Nenner dort 1+d <i> x1 </i> x2 <i> y1 </i> y2 und 1- d <i> x1 </i> x2 <i> y1 </i> y2

niemals gleich 0 sind.

Diese Formeln sind vollständig.

Sie funktionieren immer.

Ich denke, dass Sie annehmen, dass Formeln immer funktionieren sollten.

Es ist ganz ärgerlich, wenn es Ausnahmefälle gibt.

Aber in der Kryptographie mit elliptischen Kurven gibt es so viele Ausnahmefälle.

Die Menschen machen sich oft Sorgen.

Einer der Gründe, warum wir diese diese Art von elliptischer Kurve mögen,

ist, dass es keine Ausnahmefälle gibt.

Wir bezeichnen das Additionsgesetz als vollständig.

Falls Sie sich ansehen, wie der mathematische Teil des Beweises funktioniert, ist folgendes wichtig:

d war kein Quadrat. Aber auch das ist etwas, das Sie leicht überprüfen können.

Und haben Sie sich erst einmal für ein d entschieden, das nicht quadratisch ist

und das jeder verwenden kann, wird es in den Formeln nie Ausnahmen geben.

Wenn Ihr d - äh - quadratisch ist, dann können Sie sich die gleichen Formeln aufschreiben.

Meistens funktionieren sie, aber es gibt Ausnahmefälle.

Und wir werden noch viel mehr über Ausnahmefälle erfahren.

Und das Ärgerliche daran ist nicht nur, dass sie schwer zu programmieren sind.

Sondern, wenn man irgendwelche Fehler macht, wird es schwierig sein,

diese Fehler zu finden und auf diese Fehler zu testen.

Und wenn ein Angreifer mehr darüber nachdenkt

und ihnen einige Punkte findet, die diese Fehler ausnutzen, bricht das oft echtes ECC.

Es ist also besser, eine Kurve zu nehmen, wo das d kein Quadrat ist.

Dann müssen Sie sich überhaupt keine Sorgen mehr darüber machen.

Okay.

Kurz dazwischen... (schwer verständlich)

Mit über einem finalen Feld (?) jedes zweite d ist kein quadratisches.

Daher ist dies keine große Einschränkung.

Und entfernt nur die Hälfte der Möglichkeiten.

Weiterhin sind Divisionen wirklich langsam.

Wenn Sie die implementieren, die Sie vorher im Python-Skript gesehen haben,

haben wir noch nicht mal Divisionen eingefügt.

Wir haben Sie online, aber es ist so, dass es eine Weile dauert.

Es ist unangenehm.

Es dauert sogar noch länger, wenn Sie sich Sorgen über ständige Zeitbeschränkungen machen.

Also fangen wir an Divisionen loszuwerden.

Das ist so wie "Doktor, Doktor, mein Knie schmerzt" und er sagt dann: "Verwenden Sie es nicht".

Aber mathematisch, hier können wir die Verwendung von Divisionen vermeiden.

Wenn Sie sich daran erinnern, wie Sie mit Brüchen a/b + c/d gearbeitet haben,

dann wissen sie, dass wir sie als Brüche behalten.

Bei einem Bruch multiplizieren Sie einfach die Nenner und

kreuzmuliplizieren die Zähler und dann können sie addieren.

Daher machen wir mit unseren Punkten das Gleiche.

Wir führen eine zusätzliche Koordinate ein, die Z-Koordinate.

Sie ist nur der Nenner.

Anstatt Punkte als (X,Y) zu speichern, speichern wir jetzt (X,Y,Z).

Hierbei bedeutet X und Y, dass das alte x und y, x/z und y/z ist.

Sie können aber auch etwas abenteuerlustiger sein.

Und erzielen dann eine bessere Geschwindigkeit,

wenn Sie eine zusätzliche Koordinate namens t einführen.

T = XY / Z

Sind Sie daran interessiert, wie sie das effizient tun

und tatsächlich computerverifizierte Formeln erhalten?

Dann besuchen Sie bitte die "Explicit Formulas Database" unter dem dortigen Link,

um zu sehen wie man Additionen durchführt.

Okay.

Wir kommen nun zu der Darstellung von Crypto zurück.

Wir ersetzen die Uhr durch eine elliptische Kurve.

Das macht die Formeln etwas komplizierter.

Außerdem muss noch eine zusätzliche Auswahl getroffen werden.

Nicht nur die Primzahl p ist standardisiert, sodass jeder sie verwenden kann.

Standardisieren Sie dieses d, das kein Quadrat ist,

sodass jeder sie verwenden kann.

Es muss eine sichere Wahl sein.

Denken Sie an die Warnung Nr. 1

Es gibt viele unsichere Entscheidungen.

Es gibt viele mögliche Standardkriterien.

Diese müssen überprüft werden, um sicherzustellen,

dass es sich um sichere Entscheidungen für Kurven handelt.

Am Ende des Vortrags werden mehr über Standards sagen.

Alice hat dann wie vorher ihren geheimen Schlüssel und multipliziert diesen mit x, y und

Oh

Ich überspringe, was auf dieser Folie steht.

Auf dieser Folie steht Alice auch Bobs öffentlicher Schlüssel b(x,y) besitzt.

Das hört sich alles so an, wie bei der Uhr.

Alice nimmt jetzt das b(x,y) und

multipliziert es mit a.

Das ergibt a(b(x,y)).

Sie merkt sich dann,

dass a(b(x,y)) das Geheimnis zum Verschlüsseln und Authentifizieren von Daten ist.

Da wir jetzt elliptische Kurven haben,

müssen wir uns keine Sorgen mehr darüber machen, dass eine Indexrechnung alles kaputt macht.

Wir brauchen keine Tausenden von Bits.

Hier sind nun einige tatsächliche reale Größen für elliptische Kurven Kryptographie.

Inklusive ist die gesamte und secret key encryption

und Authentifizierung des öffentlichen Schlüssels.

Sie können eine Primzahl haben, die nur 256 Bit groß ist.

Wir werden später sagen, dass Sie x und y zusammen nur auf 256 Bit reduzieren können.

Das reduziert dann den öffentlichen Schlüssel von Alice a(x,y) um ein Vielfaches.

a(x,y) wird auf nur 32 Bytes reduziert.

Diese wird Alice an Bob senden.

Dann gibt es noch ein paar zusätzliche Dinge, wie eine Nonce, eine Zufallszahl.

Damit Sie nicht jedes Mal, wenn eine Nachricht senden,

diese auf die gleiche Weise verschlüsseln müssen.

Sonst könnte jemand sehen, dass sich die Verschlüsselung wiederholt.

Es gibt es auch einen Authentificator.

Bob kann damit überprüfen, ob das Paket korrekt ist.

Dann erhält Bob sein Paket.

Er sagt: "oh ja, es ist ein Paket von Alice."

Es gibt Alices öffentlichen Schlüssel, wenn Bob den geteilten Schlüssel noch nicht kennt,

dann nimmt Bob sein Geheimnis,

multipliziert es mit dem öffentlichen Schlüssel und erhalt dasselbe b(a(x,y).

Dann führt er die Krytographie mit geheimem Schlüssel durch.

Er verifiziert das eingehende Paket.

Er verifiziert den Authentifikator unter Verwendung der Nonce

und des öffentlichen Schlüssels von Alice.

Er hat zu diesem Zeitpunkt bestätigt, dass das von Alice ist.

Hat Bob noch nie von Alices öffentlichem Schlüssel gehört,

weiß er nicht, wer Alice ist.

Aber er erhält Kontinuität zwischen den unterschiedlichen Nutzungen.

Und fügen Sie dann Zertifikate oder andere öffentliche Schlüsselinfrastruktur hinzu,

wissen Sie tatsächlich, mit wem sie kommunizieren.

Alles worüber wir hier reden,

die ganze public key und secret key Sache, ist so schnell,

dass wir uns es leisten können,

das für jedes einzelne Paket zu machen, das das Internet durchquert.

Gut.

Wir haben Ihnen im Moment noch nicht gesagt, was Sie verwenden sollen.

Hier ist nun ein sicheres Beispiel.

Du bist leise!

Dies ist also ein sicheres Beispiel, das dann nicht beworben werden sollte.

Es ist sein eigenes.

Ähm

Ich kann aber sagen, dass es ein gutes Beispiel ist.

Sollten Sie also eine große Primzahl als Ihre Primzahl nehmen, hat sie 255 Bits.

Es ist eine sehr schöne Primzahl.

Das Berechnungsmodul für diese Primzahl ist schnell.

Sie liegt sehr nahe an einer Zweierpotenz.

Sie führen also diesen Mod aus.

Diese Prozentoperation kann diese Zahl sehr schnell reduzieren.

Dann sieht d ziemlich klein aus.

Hier haben Sie auch eine Edwards -Kurve.

Es gibt eine andere Edwards-Kurve.

Diese nutzt das gleiche d

und fügt dort nur ein Minus ein.

Außerdem fügt man ein Minus vor dem x^2 ein.

Dies ist eine andere Kurve, aber fast die gleiche.

Für jedes (x,y) von zuvor, haben wir nun

die Quadratwurzel von Minus 1 *xy und das gleich y wie zuvor.

Somit ist es nur mit einer kleinen Änderung die erste Kurve.

Außerdem haben wir viele Wege wie man elliptic curves schreibt.

Hier ist eine ganze Liste mit verschiedenen Arten von elliptic curves.

Also das erste was wir Ihnen bereits gezeigt haben,

die Uhr, in der Sie in die Ecken reindrücken, ist eine Edwards-Kurve.

Ich hätte hier gerne einen zusätzlichen Term wie dieses minus 1.

Ich behalte mir hier im Allgemeinen einen Koeffizienten a vor.

Den kann ich dann etwas eingeben.

Äh

Zum Beispiel minus 1.

Das nennt man eine verdrehte Edwards-Kurve.

Es gibt noch ein paar andere Dinge, die man in Lehrbüchern findet.

Diese nennt man Weierstrass-Kurven.

Es gibt auch noch die Montgomery-Kurven.

Diesen kann man sich als Sonderfall von Weierstrass-Kurven vorstellen.

Sie haben eine ähnliche Form wie y^2 = x^3

Hier gibt es einige unterschiedliche Terme.

Wenn Sie eine Kurve haben, können Sie von einem zum anderen und zurück wechseln.

Beispielsweise von einer Montgomery-Kurve zu einer Edward Kurve.

Okay.

Aus historischen Gründen findet man Standards für ECC.

Okay.

Haltet Euch zurück. Das wird schrecklich.

Das sind Weierstrass-Kurven.

Hier ist das Additionsgesetz.

Es zeigt, wie man 2 Punkte auf einer Weierstrasskurve addiert.

Kurze Pause. Zwischenrufe!

Oh, das ist gar nicht so schlecht.

Es gibt 6 verschiedene Fälle.

Wir gehen sie mal durch.

Nein, nein, lasst uns sie nicht durchgehen.

Das ist - äh - wenn Du nur einen Teil davon nimmst.

Dann könnte es so aussehen, als würde es die meiste Zeit funktionieren.

Meistens funktionieren die ersten Formeln.

Solange, bis man etwas Verrücktes wie p + p macht und es dann nicht funktioniert.

Dann gibt es immer mehr Ausnahmefälle.

In einigen dieser Fälle merkt man es zunächst gar nicht.

Un dann versucht man einen Code dafür zu schreiben.

Es geht einfach immer weiter.

Dann versucht man es zu testen und ist sich nicht sicher, ob man alle Tests richtig gemacht hat.

Aber okay.

Das ist das, was man in ECC-Standards findet.

Alles klar.

Schöner als Weierstrass- und Montgomery-Kurven ist eine unserer Lieblingskurven.

Hier sehen Sie die gesamte Arithmetik.

Die Ausnahme ist, dass ich Ihnen nicht gezeigt habe, wie ich den Austausch mit konstanter Zeit durchführen werde.

Hier gibt es ein bedingtes Bit, das x2 mit x3 vertauscht.

Wir können das in konstanter Zeit erledigen.

Ersetzen Sie diese Anweisung durch etwas, das folgendes besagt:

"Es bleibt oder es wird ausgetauscht."

Das ist eine ganze Addition auf Montgomery.

Für jedes Bit machen Sie diese paar Schritte.

Und Sie gehen die 255 Bits durch, die dort angegeben sind.

Dies ist ein weiterer schöner Fall von Arithmetik.

Beachten Sie bitte, dass wir hier nur eine x-Koordinate.

Für die Edwards-Kurve hätten wir x und y.

Es gibt also einige Unterschiede in dem, was wir damit machen.

Wir teilten Ihnen mit, dass wir über Standards sprechen werden.

Woher beziehen Sie Ihre Standards und wie können Sie diese verteidigen?

Sie treten gegen jemanden an, der mit einem Mathematiker antritt.

Mathematiker sind gruselige Menschen.

Sie kennen alle Arten von Angriffen.

Falls Sie diese Angriffe sehen wollen, haben wir am Ende ein paar URLs.

Aber im Grund kennen wir diese Angriffe.

Vereinbaren Sie bestimmte Eigenschaften, die Ihre Kurve haben soll.

Und was diese Standards Ihnen garantieren.

Wenn Sie einen dieser Standards auswählen, ist die Kurve ist für den folgenden Angriff sicher.

Jemand sieht das Ergebnis Ihrer Berechnung.

Er kennt den Basispunkt.

Er kennt Ihren öffentlichen Schlüssel.

Er ist aber nicht in der Lage herauszufinden, was Ihr a oder b war.

Man nennt dies das Problem des elliptischen diskreten Logarithmus.

Und wir haben ganz viele Arbeiten, um die Schwierigkeit zu untersuchen.

Als Mathematiker untersuchen wir, wie schwer es bei einer bestimmten Kurve ist, eine Lösung zu finden.

Um so die elliptische, diskrete Protokoll zu knacken.

Sie möchten beispielsweise, dass Ihr Punkt, wenn Sie ihn mehrmals mit sich selbst addieren,

über eine lange, lange, Zeit verschiedene Punkte ergibt,

bis Sie zum Beispiel wieder zum gleichen Punkt zurück gelangen.

Also z.B. nach l Phasen sind Sie wieder zurück.

Dieses l sollte groß sein, Ich denke z.B. 2 hoch 250 oder etwas anderes großes.

Und ja das sind alle Skripte also ist dies eines der Eigenschaften aber da sind viele weitere.

Okay, lasse wir uns annehmen, dass Sie es implementieren.

Sie nehmen eines der Standards und wieder mal sind sind sie alle ähnlich.

Klar, es gibt Unterschiede im Detail,

aber sie alle beschützen uns.

Und Sie implementieren den Standart...

Und Sie sagen, okay wir sind in Deutschland, wir nehmen die Brainpool Kurven,

da diese in deutschen Pässen verwendet werden.

In Ordnung, also wir nehmen Brainpool P256 t1,

dies gibt Ihnen eine Primzahl, die 256 Bits lang ist.

Außerdem eine Weierstrass-Kurve, y^2 = x^3 - 3x + etwas großes.

Und dann gibt es Ihnen einen Basispunkt (x,y),

und dann schauen Sie darauf und merken:

Oh, alle netten Formeln die vorher genannt wurden, ohne Ausnahmefälle,

wie Edwards und Montgomery, diese Formeln funktionieren nicht bei dieser Kurve.

Wenn Sie eine Kurve haben, die kompatibel mit den Formeln ist,

dann standardisieren Sie diese.

Dann kann jeder Punkt erfolgreich addiert werden und Sie können alle Ausnahmefälle vergessen.

Dafür brauchen Sie eine Kurve die mit den Formeln übereinstimmt,

leider funktioniert diese Kurve nicht mit Edwards und Montgomery,

daher müssen Sie zurück zu den chaotischen Weierstrass Formeln gehen.

Okay, Sie sind sehr vorsichtig und tun genau das was die Formeln aussagen.

Dabei nutzen Sie Testfälle für alles und haben die Weierstrass Konditionen

in allen sechs Fällen richtig implementiert .

Und Sie arbeiten in konstanter Zeit, sodass keine Informationen an Angreifer gegeben werden.

Dann haben sie eine Lösung die schmerzhaft langsam ist,

aber Sie können sich sicher über die Sicherheit sein.

Bis ein Angreifer kommt und sagt:

"Hi, lass uns uns Diffie-Hellmann hier nutzen.

Hier ist mein Punkt."

Okay, ich nehme... Ähm ich glaube ich bin Alice.

Ich habe ein a und nehmen den Punkt, den sie mir gesendet hat a mal.

Dies ist ihr öffentlicher Schlüssel.

Dies ist nicht das originale (x,y),

es ist ein anderes (x', y')

welches sie mir gesendet hat.

Und ich sende zurück mein a(x',y')

Und dann, wenn ich dies korrekt berechnet habe,

dann habe ich nun den Verschlüsselung- Authentifikations-Mechanismus genutzt.

Da mir jemand gesagt hat, dass ich Standard-Mechanismen nutzen soll.

Ich habe Daten verschlüsselt und diese durch das Netzwerk geschickt.

Ich bin im Netzwerk,

ich sehe seine AES-GMC verschlüsselte Nachricht.

Und nun, er weiß nicht,

dass es unabhängig von seinen a,

nicht viele verschiedenen Punkte gibt.

Ich habe ihm keinen Punkt auf der brainpool-Kurve genannt,

nein, ich habe ihm einen Punkt auf einer einfacheren Kurve gerannt.

Zum Beispiel hier, hat es nur fünf.

Die Brainpoolkurve ist viel viel größer,

dies hier ist eine nette Kurve.

Also dieser Punkt hat nur 4999 verschiedene Kopien.

Dies heißt, dass er nicht wirklich ausrechnet, was er denkt.

Ups!

Nun der Grund für diese Möglichkeit ist,

dass im ganzen Chaos der Weierstrass-Kurven, kein a6 existiert.

Also unabhängig davon, ob es das a6 ist als große Zahl für harte Kurven,

oder die 5 die ich eben für leichtere eingesetzt habe.

Es ist egal, der Angreifer nutzt eine der Formeln.

Dann gibt mir das a einen der 4999 verschiedenen Punkte,

woraus ich ein Modulo 4999 entwickeln kann.

Lassen wir uns das wiederholen!

Sie sendet mir einen anderen Punkt.

Hi Dan, hier ist ein anderer Punkt.

Ich nehme das neue (x',y') und berechne es a mal.

Dann sende ich etwas verschlüsseltes zurück mithilfe des geteilten Geheimnisses.

Und nun berechnet sie das gleiche.

Sie hat mir heimlich einen Punkt von einer kleinen Ordnung geschickt,

was ich nie bemerkt habe.

Nun hat sie mein geheimes modulo herausgefunden und nutzt verschiedene Nummern.

Wieder und wieder.

Dies geschieht etwa 20 mal und dann nutzt sie den Chinesischen Restsatz um mein ganzes Geheimnis zu knacken.

Auch wenn nur ein paar Schwachstellen gefunden werden,

ist dies genug um das ganze Sicherheitssystem ernsthaft zu beschädigen.

Wenn dies dann 20 mal passiert, dann habe ich ein echtes Problem.

Nun, was Leute dem häufig entgegnen ist, dass sie sagen:

Oh, ist dir die Fußnote im Standart nicht aufgefallen, welche besagt,

dass wenn du einen Punkt bekommst, du testen sollst, ob dieser auf der Kurve liegt?

Dh. schuld an der Attacke ist die Person, die die Implementierung vornimmt.

Dies ist der Weg, wie wir sichere Systeme erhalten,

wir weisen die Schuld immer dem Implementierer zu.

Das ist super, wenn etwas falsch mit dem System ist,

ist es der Fehler des Implementierers, dass das nicht überprüft wurde.

Applaus

Lassen Sie mich nicht von stir copy anfangen...

Sie sollten die Länge vom String... Sorry, das war falsch

Sie sollten aufpassen, dass dieser Punkt auf der Kurve ist,

Sie sollten aufpassen, dass die richtige Reihenfolge vorliegt.

wegen einer anderen ähnlichen Attacke.

Über die Art und Weise wie Patentgebühren an certicom gezahlt werden...

Okay, ich referiere dazu, wenn Sie einen Telefonanruf bekommen würden.

Wo gesagt wird, dass ein Patent zur Validieren steht...

Statt dem Implementierer die Schuld zuzuweisen, warum sollten wir nicht die Umstände verbessern.

Warum designen wir nicht Kryptographie anders?

Warum designen wir keine anderen Kurven,

sodass es nicht möglich ist bei der Implementierung zu versagen?

Wir wissen wir Implementierer ticken.

Wir sind Implementierer und wissen was wir falsch machen.

Und die Fehler wiederholen sich wieder und wieder.

Also lasst uns uns gegen diese Fehler schützen und ein robustes Design wählen.

Dies heisst für ECC, Sie nehmen das (x,y) was durchs Netzwerk ankommt

und verbieten, dass dieses (x,y) durch das Netzwerk weitergeschickt wird.

Sie haben nur ein x.

Und wenn das y^2 gleich zu etwas ist, dann könnte man, wenn man will,

das kommunizieren.

Sie können ein Bit senden, das angibt ob es plus oder minus die Quadratwurzel

von diesem y ist.

Oder man sendet einfach kein y.

Erinnern Sie sich an die Montgomery Formeln, diese brauchen noch nicht mal y.

So wenn Sie nur ein x senden, dass gibt es deutlich weniger Möglichkeiten für den Angreifer

um Punkte auszusuchen und Sie so zu veralbern wie eben.

Es gibt ein paar mehr Regeln, welche beim Aussuchen der Kurve

und beim Designen des Protokolls beachtet werden können.

Dies heißt, dass Sie als Implementierer leichter arbeiten können.

Der Protokol Designer kann sagen, dass Sie die Skalare a und b,

die Geheimnisse die Sie für Diffie-Hellmann nutzen,

immer multiplizieren sollen mit dem sogenannten Kofaktor der Kurve.

Die ist der Basispunkt der Ordnung l,

es hat l unterschiedliche Vielfache.

Z.B. sind dort vier mal l, oder acht mal l Punkte auf der Kurve,

dann sieht man nur l.

Um für die daraus resultieren Lücke aufzukommen und ausgeklügelteren Attacken zuvorzukommen,

multiplizieren wir die geheimnisse a und b immer mit acht.

Dies beschützt uns komplett vor diesen Attacken

und kann im Protokoll aufgenommen und getestet werden.

Weiterhin kann der Designer der Kurve immer Kurven aussuchen,

die"verdrehungssicher" sind.

Da ist immer ein bisschen Spielraum, wenn jemand einen komprimierten Punkt schickt.

Und diese "Verdrehungssicherheit" sagt etwa aus:

Dieser Spielraum lässt Ihnen die Möglichkeit zwischen verschiedenen Kurven auszusuchen.

Da gibt es die erste Kurve aber auch ihre verwandte Kurve, die "verdrehte Kurve" genannt wird.

Der Designer der Kurve kann sicherstellen, dass beide sicher sind.

Beie haben große Primzahlen, dann ist da ein l und ein verwandtes l

und ein kleiner Kofaktor sowie ein weiterer kleiner Kofaktor.

Wenn der Designer eine der "verdrehungsicheren" Kurven wählt,

bleibt dem Angreifer keine Flexibilität mehr übrig.

Der Angreifer hat dann keine Informationen mehr über Ihr Geheimnis a und b.

So, warum machen wir dies nicht einfach?

Naja, es geschieht in Teilen.

Es gibt bereits eine Bewegung für die nächste Generation von einfachen Standards.

Nächste Generation meint, dass es Kurven geben soll,

bei denen man sich nicht selber verzettelt, wenn man diese

auf die einfachste Weise implementiert.

Das heißt, dass eine einfache Implantation auch eine sichere Implantation sein soll.

Normalerweise, wenn man etwas sicherer gestaltet,

wird es langsamer.

Nun der Bonus in diesem Fall ist, dass es schneller wird.

Bereits in 2010 hat Adam Langley von Google in die TLS mailing list geschrieben:

" Hey Leute, da Kryptographie weiter fortgeschritten ist,

wäre es nicht gut, wenn wir Kurve 25519 als benannte Kurve haben?"

Dann ist nicht viel passiert.

Wir haben daran gearbeitet gute Methoden,

naja zumindest denken wir das,

zum Erstellen von Kurven zu entwicklen.

Naja, dank Snowden im letzten September,

gibt es nun emotionale Reaktionen von Leuten.

Die sagen, da NIST Kurven einen Teil ihrer Vertraulichkeit verloren haben,

und wir denken, vielleicht ist die NSA nicht nur gut,

sollten wir nicht eine neue Bewegung haben?

Zum Glück gibt es viele weitere Leute die sagen:

"Es ist nicht, dass wir paranoid sind, wir wissen nicht ob die NIST Kurven unsicher sind,

aber sie sind garantiert nicht gut zu implementieren."

Wir könnten schneller und sicherer sein.

Dazu gibt es einige Zitate und auch ein Entwurf.

Wenn jemand ein paranoides Sicherheitslevel erreichen will, haben wir hier 41417 Bits.

Ähm, eine SafeCurves Seite und so weiter.

Final, CFRG verändert sich.

Da war ein Typ von der NSA, der ein Co-Leader von CFRG war.

Also CFRG ist eine Kryptogramme Forschungsgruppe von der Internet Engineering Task Force.

Und er NSA co-chair wird weiter dort sein um sie zu unterstützen und zu sagen, wem sie vertrauen sollen.

Nun, ich hatte gehofft dass wir im Guten enden.

Dass wir sagen können, es ist alles gut hier.

Immerhin gibt es einen guten Punkt, Microsoft hat Kurven gewählt...

Wissen Sie, sobald Microsoft in die Diskussion eingreift, ist diese beendet,

Nunja die letzte Seite sollte etwas Nettes sein, aber aktuell geht die Diskussion einfach weiter.

Danke für ihre Aufmerksamkeit!

Applaus

Moderator: "Danke für Euren Vortrag!

Wir haben nur ein paar Minuten für Fragen und Antworten,

daher beeilen sie sich bitte und fragen nur kurze Fragen.

Okay, los gehts!"

Wissen Sie, dass von Attacken oder Schwachstellen in NIST 186-2?

Ja, zum Beispiel, ist NIST P224 nicht verdrehungssicher.

Dies ist das einzig bekannte Problem.

Schauen Sie, wenn Sie sich die Arbeit der ganzen Implentierungen machen

und ganz vorsichtig arbeiten und sich schauen ob ein Punkt auf der Kurve liegt,

und die richtige Ordnung hat, usw.

Wenn Sie eine Menge Arbeit hineinstecken in etwas,

was so langsam und fragil ist und hart zu testen und hart zu implementieren.

Dann können sie etwas sicheres mit den NIST elliptischen Kurven machen.

Ein Schritt in die Zukunft von modernen ECC ist aber etwas zu schaffen,

was schneller und einfacher zu implementieren ist.

Damit sind auch mehr Leute glücklich.

Danke!

Okay, bitte

"Ja, ganz kurze frage, wenn Sie die NSA leiten würden,

könnten Sie Ihren eigenen Standard so beeinflussen, dass Sie ihn knacken könnten?

Und wie würden Sie das machen?"

Naja, die kurze Antwort wäre, dass das Gute bei Standards ist,

dass es viele gibt aus denen man aussuchen kann.

Moderator: "Ist das die Antwort?"

Also die längere Antwort wäre,

dass ich beispielsweise den NC zum französischen Standard (?) wählen könnte.

Es gibt keine Rechtfertigung dafür, welche Kurve ich wähle.

Zuschauer: "Wir kamen Sie auf die Schlüssellänge von 45 Bits,

und woher wissen Sie, dass das sicher ist?

Ist es nur die Abwesenheit von sowas wie Indexcalculus?"

Ja, die Tatsachen, dass IndexCalculus nicht ausgeführt werden kann,

erlaubt ECC mit kleineren Schlüsselgrößen als RSA zu arbeiten.

Und die 256 Bits kommen von Schätzungen,

was die größten Rechnungen sein werden, die in zehn Jahren mit aktueller Technologie

ausgeführt werden können.

Zum Beispiel, mit einem 65 Watt Stromwerk,

würde die größte Rechenleistung nicht ausreichen um 200 Bit elliptic curves zu knacken.

Daher fühlen wir uns mit 256 Bit sicher.

Im Bezug auf die Attacken, die wir kennen, sind die Kurven sicher.

Auf cryp.to (?) können Sie sehen wie viele Operationen notwendig sind um eine 414 Bit Kurve zu knacken.

Wir haben leider keine Zeit mehr,

daher nochmal Danke an die Vortragenden!

Applaus