[Prethodna tema]   [Literatura]

6.5. Usporedba s ostalim kriptosustavima javnog ključa

Osnovna motivacija za korištenje eliptičkih krivulja dolazi iz nepostojanja subeksponencijalnog algoritma za rješavanje problema diskretnog logaritma za eliptičke krivulje. S druge strane, problem diskretnog logaritma u multiplikativnoj grupi konačnog polja može se riješiti u subeksponencijalnom vremenu korištenjem Index Calculus metode. Glavni razlozi zašto je Index Calculus metoda neprimjenjiva na eliptičke krivulje leže u tome što Kad bi bilo moguće riješiti ove teške probleme, onda bi mogli primjeniti analogon Index Calculus metode u kojem bi skup prostih brojeva zamijenili s generatorima neke eliptičke krivulje velikog ranga. Spomenimo da je procjenjeno da bi za primjenu ove ideje za p približno jednak 2160 trebali koristiti krivulju ranga većeg 180. Budući da danas nije poznata niti jedna krivulja ranga većeg od 24, jasno je da ova ideja vrlo nerealistična.

Zbog toga možemo očekivati da ćemo kod kriptosustava zasnovanih na eliptičkim krivuljama postići zadovoljavajuću sigurnost s (puno) kraćim ključem nego kod kriptosustava zasnovanih na faktorizaciji ili običnom problemu diskretnog logaritma. Sada ćemo pokušati malo precizirati ovo razmatranje.

Pretpostavimo da imamo jedan kriptosutav zasnovan na DLP u grupi Fp*, te drugi zasnovan na ECDLP u grupi E(Fq). Ovdje su p i q prosti brojevi. Neka je M broj bitova od p, a N broj bitova od q. Brojeve M i N možemo interpretirati kao duljine ključeva u pripadnim kriptosustavima. Stoga želimo naći odnos između M i N, uz pretpostavku da su pripadni kriptosustavi podjednako sigurni, tj. da su pripadni problemi diskretnog logaritma podjednako teški.

Najbolji poznati algoritmi za problem eliptičkog diskretnog logiritma trebaju O(sqrtn) operacija, gdje je n red grupe E(Fq*). Kako je n vrlo blizu q, zaključujemo da je kompleksnost promatranog ECDLP proporcionalna s 2N/2. S druge strane, kompleksnog najboljeg poznatog algoritma za problem običnog DLP je približno

exp(1.92 M1/3 (ln(M ln 2))2/3).

Primjetimo da je najbolji poznati algoritmi za faktorizaciju velikih brojeva imaju vrlo sličnu kompleksnost. Stoga će zaključci koje ćemo dobiti biti primjenjivi i na usporedbu kriptosustava zasnovanih eliptičkim krivuljama s onima zasnovanima na faktorizaciji (kao što je npr. RSA).

Usporedbom gore navedenih kompleksnosti (zanemarujući konstante), dobivamo sljedeći odnos između M i N:

N = 4.91 M1/3 (ln(M ln 2))2/3.

Dakle, uz današnja saznanja o najboljim algoritmima za problem diskretnog logaritma, za istu razinu sigurnosti duljina ključa N ugrubo je treći korijen duljine ključa M. Naravno, naša komparacija nije bila sasvim precizna, prvenstveno zbog toga što je implementacija grupovnih operacija kompleksnija u slučaju eliptičkih krivulja. Ali ona svakako pokazuje prednost kriptosustava zasnovanih na eliptičkim krivuljama (ECC kriptosustava) u odnosu na RSA ili ElGamalov kriptosustav. No, više nego za asimptotski odnos između M i N, mi smo zainteresirani za njihovu usporedbu kod standarnih vrijednosti, koje odgovaraju današnjim potrebama za sigurnošću. Tako za postizanje iste razine sigurnosti kao kod RSA kriptosustava (a za ElGamalov vrijedi isto) s duljinom ključa od 1024 (a to je standardna vrijednost), kod eliptičkih krivulja dovoljno je uzeti ključ duljine 160 bitova (što je standardna vrijednost za ECC).

U članku iz 2001. godine, Lenstra i Verheul su dali preporuke za duljine ključeva koje bi trebalo koristiti da bi se postigla zadovoljavajuća sigurnost. Također su dali predviđanja o tome kako bi se te duljine ključeva trebale kretati u budućnosti. U svojim preporukama su uzeli u obzir više varijabilnih parametara. Jedan od osnovnih parametara uzima u obzir razumnu pretpostavku da najbolji javno objavljeni rezultati u razbijanju pojedinih kriptosustava ne predstavljaju garanciju da ne postoje i bolji (neobjavljeni) rezultati. Za parametar koji uzima ovu pretpostavku u obzir, uzeli su zadnju godinu u kojoj se smatra da je najpopularniji simetrični kriptosustav DES bio siguran. DES je kao standard prihvaćen 1976. godine. Kod njega je duljina ključa 56 bitova. Već tada je bilo mišljenja da je ta duljina ključa premala, međutim to javnog razbijanja DES-a došlo je tek 1997. godine. U podatcima u sljedećoj tablici koristi se pretpostavka da je zadnja godina u kojoj je DES bio siguran bila 1982. godina. Napomenimo da njihova predviđanja ne uzimaju u obzir moguću konstrukciju kvantnih računala, koja bi sve kriptostave javnog ključa koji su danas u uporabi učinila nesigurnima.

U tablici su dane preporučene duljine ključa u bitovima za simetrične kriptosustave (DES, AES), kriptosustave zasnovane na faktorizaciji ili diskretnom logaritmu u konačnom polju (RSA, ElGamal), te kriptosustave zasnovane na eliptičkim krivuljama. Uz to, dana je procjena kompjuterskog vremena potrebnog za razbijanje šifre u MIPS-godinama. Jedna MIPS (million-instructions-per-second) godina se definira kao količina računanja koje se može provesti u godinu dana na računalu sposobnom provesti milijun instrukcija u sekundi.

Godina DES duljina ključa RSA duljina ključa ECC duljina ključa MIPS godina
1990 636221173.51 * 107
2000 709521327.13 * 109
2010 7813691461.45 * 1012
2020 8618811612.94 * 1014
2030 9324931765.98 * 1016
2040 10132141911.22 * 1019

Možemo zaključiti da kriposustavi zasnovani na eliptičkim krivuljama, trenutno, uz 7 puta manju duljinu ključa pružaju istu sigurnost kao RSA kriptosustav, a u budućnosti se može očekivati da će taj omjer biti još povoljniji za ECC. To je osobito važno kod onih primjena (kao što su tzv. "pametne kartice") kod kojih je prostor za pohranu ključeva vrlo ograničen. Jasno je da su zbog toga eliptičke krivulje u posljednje vrijeme predmet velikog interesa kriptografa. Njihovim intenzivnijim proučavanjem može se očekivati da će otpasti i jedan od rijetkih argumenata protiv njihove uporabe u kriptografiji, a to je da su problemi na kojima je zasnovana uporaba eliptčkih krivulja u kriptografiji slabije istraženi, i puno kraće u žiži interesa kriptografa, od recimo problema faktorizacije.

No, u isto vrijeme interes za eliptičke krivulje raste i zbog njihove uloge u rješavanju važnih matematičkih problema, kao što je npr. Zadnji Fermatov teorem. Imajući u vidu sve navedeno, možemo očekivati da će i u godinama pred nama eliptičke krivulje predstavljati važan dio i čiste i primjenjene matematike.


[Prethodna tema]   [Literatura]
Web stranica seminara Andrej Dujella - osobna stranica