दीर्घ वृत्ताकार-वक्र क्रिप्टोग्राफी: Difference between revisions

From Vigyanwiki
No edit summary
 
(10 intermediate revisions by 3 users not shown)
Line 1: Line 1:
{{Short description|Approach to public-key cryptography}}
{{Short description|Approach to public-key cryptography}}
एल्लिप्टिक-वक्र क्रिप्टोग्राफी (ईसीसी) में सार्वजनिक-कुंजी द्वारा क्रिप्टोग्राफी के लिए ऐसा दृष्टिकोण है जो परिमित क्षेत्रों पर अंडाकार वक्रों की बीजगणितीय संरचना पर आधारित है। ECC समतुल्य सुरक्षा प्रदान करने के लिए गैर-EC क्रिप्टोग्राफी (सादे परिमित क्षेत्र पर आधारित) की तुलना में छोटी कुंजियों की अनुमति देता है।<ref name=nsaQCfaq>[https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf Commercial National Security Algorithm Suite and Quantum Computing FAQ] U.S. National Security Agency, January 2016.</ref>
एल्लिप्टिक-वक्र कूटलेखन (ईसीसी) में सार्वजनिक-कुंजी द्वारा कूटलेखन के लिए ऐसा दृष्टिकोण है जो परिमित क्षेत्रों पर अंडाकार वक्रों की बीजगणितीय संरचना पर आधारित है। ECC समतुल्य सुरक्षा प्रदान करने के लिए गैर-ईसी कूटलेखन (सादे परिमित क्षेत्र पर आधारित) की तुलना में छोटी कुंजियों की अनुमति देता है।<ref name=nsaQCfaq>[https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf Commercial National Security Algorithm Suite and Quantum Computing FAQ] U.S. National Security Agency, January 2016.</ref>


अण्डाकार वक्र प्रमुख समझौते, डिजिटल हस्ताक्षर, क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर के रूप में उपयोग किया जाता है| छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए इसे लागू किया जाता हैं। अप्रत्यक्ष रूप से, उन्हें सिमेट्रिक-कुंजी की सहायता से एल्गोरिथम योजना के साथ कुंजी समझौते को जोड़कर एन्क्रिप्शन के लिए उपयोग किया जाता है। अण्डाकार वक्रों का उपयोग अण्डाकार वक्रों पर आधारित कई पूर्णांक गुणनखंडन एल्गोरिदम में भी किया जाता है, जिसमें क्रिप्टोग्राफी में अनुप्रयोग होते हैं, जैसे कि लेनस्ट्रा अण्डाकार-वक्र गुणनखंड।
अण्डाकार वक्र प्रमुख समझौते, डिजिटल हस्ताक्षर, क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर के रूप में उपयोग किया जाता है| छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए इसे लागू किया जाता हैं। अप्रत्यक्ष रूप से, उन्हें सममित-कुंजी की सहायता से एल्गोरिथम योजना के साथ कुंजी समझौते को जोड़कर कूटलेखन के लिए उपयोग किया जाता है। अण्डाकार वक्रों का उपयोग अण्डाकार वक्रों पर आधारित कई पूर्णांक गुणनखंडन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे कि लेनस्ट्रा अण्डाकार-वक्र गुणनखंड।


== औचित्य ==
== औचित्य ==
सार्वजनिक-कुंजी क्रिप्टोग्राफी कुछ गणितीय कम्प्यूटेशनल धारणा की जटिल इंट्रेक्टेबिलिटी पर आधारित है। आरंभिक सार्वजनिक-कुंजी प्रणालियां अपनी सुरक्षा को इस धारणा पर आधारित करती हैं कि दो या दो से अधिक बड़े अभाज्य कारकों से बने बड़े पूर्णांक का पूर्णांक गुणनखंडन करना कठिन हो जाता है। बाद के दीर्घवृत्त-वक्र-आधारित प्रोटोकॉल के लिए आधार धारणा यह है कि सार्वजनिक रूप से ज्ञात आधार बिंदु के संबंध में एक यादृच्छिक अण्डाकार वक्र तत्व के असतत लघुगणक को खोजना असंभव है: यह अण्डाकार वक्र असतत लघुगणक समस्या (ECDLP) है। अण्डाकार वक्र क्रिप्टोग्राफी की सुरक्षा दीर्घवृत्तीय वक्र बिंदु गुणन की गणना करने की क्षमता और मूल और उत्पाद बिंदुओं को दिए गए गुणन की गणना करने में असमर्थता पर निर्भर करती है। अण्डाकार वक्र का आकार, वक्र समीकरण को संतुष्ट करने वाले असतत पूर्णांक जोड़े की कुल संख्या से मापा जाता है, इस प्रकार इस समस्या की कठिनाई को निर्धारित करता है।
सार्वजनिक-कुंजी कूटलेखन कुछ गणितीय कम्प्यूटेशनल धारणा की जटिल अशिष्टता पर आधारित है। आरंभिक सार्वजनिक-कुंजी प्रणालियां अपनी सुरक्षा को इस धारणा पर आधारित करती हैं कि दो या दो से अधिक बड़े अभाज्य कारकों से बने बड़े पूर्णांक का पूर्णांक गुणनखंडन करना कठिन हो जाता है। बाद के दीर्घवृत्त-वक्र-आधारित प्रोटोकॉल के लिए आधार धारणा यह है कि सार्वजनिक रूप से ज्ञात आधार बिंदु के संबंध में एक यादृच्छिक अण्डाकार वक्र तत्व के असतत लघुगणक को खोजना असंभव है: यह अण्डाकार वक्र असतत लघुगणक समस्या (ECDLP) है। अण्डाकार वक्र कूटलेखन की सुरक्षा दीर्घवृत्तीय वक्र बिंदु गुणन की गणना करने की क्षमता और मूल और उत्पाद बिंदुओं को दिए गए गुणन की गणना करने में असमर्थता पर निर्भर करती है। अण्डाकार वक्र का आकार, वक्र समीकरण को संतुष्ट करने वाले असतत पूर्णांक जोड़े की कुल संख्या से मापा जाता है, इस प्रकार इस समस्या की कठिनाई को निर्धारित करता है।


'''यूएस नेशनल''' इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने अपने एनएसए सूट बी सेट में अनुशंसित एल्गोरिदम के एलिप्टिक कर्व क्रिप्टोग्राफी का समर्थन किया है, विशेष रूप से प्रमुख एक्सचेंज के लिए एलिप्टिक-कर्व डिफी-हेलमैन (ईसीडीएच) और डिजिटल के लिए एलिप्टिक कर्व डिजिटल सिग्नेचर एल्गोरिथम (ईसीडीएसए)। हस्ताक्षर। अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (NSA) 384-बिट कुंजियों के साथ संयुक्त राज्य अमेरिका में वर्गीकृत जानकारी तक वर्गीकृत जानकारी की सुरक्षा के लिए उनके उपयोग की अनुमति देती है।<ref>{{cite web |url=http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml |title=फैक्ट शीट एनएसए सूट बी क्रिप्टोग्राफी|work=U.S. National Security Agency |archive-url=https://web.archive.org/web/20090207005135/http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml |archive-date=2009-02-07}}</ref> चूंकि, अगस्त 2015 में, एनएसए ने घोषणा की कि वह ईसीसी पर क्वांटम कंप्यूटिंग हमलों के बारे में चिंताओं के कारण सुइट बी को एक नए सिफर सूट से बदलने की योजना बना रहा है।<ref name="nsaquantum" />
मानकों और प्रौद्योगिकी के यूएस राष्ट्रीय संस्थान (एनआईएसटी) ने अपने एनएसए सूट B सेट में अनुशंसित एल्गोरिदम के एलिप्टिक वक्र कूटलेखन का समर्थन किया है, विशेष रूप से प्रमुख एक्सचेंज के लिए एलिप्टिक-वक्रडिफी-हेलमैन (ईसीडीएच) और डिजिटल के लिए एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ईसीडीएसए) हस्ताक्षरित किया। अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (NSA) ने 384-बिट कुंजियों के साथ संयुक्त राज्य अमेरिका में वर्गीकृत जानकारी की सुरक्षा के लिए उनके उपयोग की अनुमति देती है।<ref>{{cite web |url=http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml |title=फैक्ट शीट एनएसए सूट बी क्रिप्टोग्राफी|work=U.S. National Security Agency |archive-url=https://web.archive.org/web/20090207005135/http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml |archive-date=2009-02-07}}</ref> चूंकि, अगस्त 2015 में, एनएसए ने घोषणा की कि ईसीसी पर क्वांटम कंप्यूटिंग पर आक्रमण करने के बारे में होने वाली चिंताओं के कारण सुइट B को नए सिफर सूट से बदलने की योजना बना रहा है।<ref name="nsaquantum" />


जबकि आरएसए पेटेंट 2000 में समाप्त हो गया था, ईसीसी पेटेंट हो सकते हैं। चूंकि कुछ लोगों का तर्क है कि संयुक्त राज्य अमेरिका की संघीय सरकार एलिप्टिक कर्व डिजिटल सिग्नेचर स्टैंडर्ड (ECDSA; NIST FIPS 186-3) और कुछ व्यावहारिक ECC-आधारित प्रमुख विनिमय योजनाएं (ECDH सहित) उनका उल्लंघन किए बिना कार्यान्वित की जा सकती हैं, जिनमें RSA सुरक्षा भी सम्मलित है।<ref>{{cite web | author = RSA Laboratories | url = http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/are-elliptic-curve-cryptosystems-patented.htm | title = 6.3.4 क्या अण्डाकार वक्र क्रिप्टोसिस्टम पेटेंट हैं?| archive-url = https://web.archive.org/web/20161101041810/http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/are-elliptic-curve-cryptosystems-patented.htm | archive-date = 2016-11-01}}</ref> और डेनियल जे. बर्नस्टीन।<ref>{{cite web |first=D. J. |last=Bernstein |url=http://cr.yp.to/ecdh/patents.html |title=एलिप्टिक-वक्र क्रिप्टोग्राफी पर अप्रासंगिक पेटेंट}}</ref>
जबकि आरएसए पेटेंट 2000 में समाप्त हो गया था, ईसीसी के पेटेंट हो सकते हैं। चूंकि कुछ लोगों का यह तर्क है कि संयुक्त राज्य अमेरिका की संघीय सरकार एलिप्टिक वलय डिजिटल सिग्नेचर मानक (ECDSA; NIST FIPS 186-3) और कुछ व्यावहारिक ECC पर आधारित प्रमुख विनिमय योजनाएं (ECDH सहित) उनका उल्लंघन किए बिना कार्यान्वित की जा सकती हैं, जिनमें RSA सुरक्षा भी सम्मलित है।<ref>{{cite web | author = RSA Laboratories | url = http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/are-elliptic-curve-cryptosystems-patented.htm | title = 6.3.4 क्या अण्डाकार वक्र क्रिप्टोसिस्टम पेटेंट हैं?| archive-url = https://web.archive.org/web/20161101041810/http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/are-elliptic-curve-cryptosystems-patented.htm | archive-date = 2016-11-01}}</ref>
अण्डाकार वक्र क्रिप्टोग्राफी द्वारा वादा किया गया प्राथमिक लाभ एक छोटा कुंजी आकार है, भंडारण और संचरण आवश्यकताओं को कम करना,<ref name=":0" />यानी कि एक दीर्घवृत्त वक्र समूह एक बड़े मापांक और संगत रूप से बड़ी कुंजी के साथ RSA (क्रिप्टोसिस्टम)-आधारित प्रणाली द्वारा वहन किया गया समान सुरक्षा स्तर प्रदान कर सकता है: उदाहरण के लिए, एक 256-बिट दीर्घवृत्ताकार वक्र सार्वजनिक कुंजी को 3072- के लिए तुलनीय सुरक्षा प्रदान करनी चाहिए। बिट आरएसए सार्वजनिक कुंजी।
 
डेनियल जे. बर्नस्टीन<ref>{{cite web |first=D. J. |last=Bernstein |url=http://cr.yp.to/ecdh/patents.html |title=एलिप्टिक-वक्र क्रिप्टोग्राफी पर अप्रासंगिक पेटेंट}}</ref> ने अण्डाकार वक्र कूटलेखन द्वारा संकेत किया गया कि प्राथमिक लाभ एक छोटा कुंजी का आकार है, भंडारण और संचरण आवश्यकताओं को कम करने<ref name=":0" /> अर्थात एक दीर्घवृत्त वक्र समूह बड़े मापांक और संगत रूप से बड़ी कुंजी के साथ RSA (क्रिप्टोसिस्टम) पर आधारित प्रणाली द्वारा वहन किया गया, इस प्रकार समान सुरक्षा स्तर प्रदान करता है: उदाहरण के लिए, एक 256-बिट दीर्घवृत्ताकार वक्र सार्वजनिक कुंजी को 3072- के लिए तुलनीय सुरक्षा प्रदान करनी चाहिए। यहाँ बिट आरएसए के लिए सार्वजनिक कुंजी हैं।


== इतिहास ==
== इतिहास ==


क्रिप्टोग्राफी में अण्डाकार वक्रों के उपयोग का सुझाव स्वतंत्र रूप से नील कोब्लिट्ज द्वारा दिया गया था<ref>{{cite journal |first=N. |last=Koblitz |title=अण्डाकार वक्र क्रिप्टोसिस्टम|journal=Mathematics of Computation |volume=48 |issue=177 |year=1987 |pages=203–209 |doi= 10.2307/2007884|jstor=2007884 |doi-access=free }}</ref> और विक्टर एस मिलर<ref>{{Cite book |first=V. |last=Miller |title=क्रिप्टोलॉजी में अग्रिम - CRYPTO '85 कार्यवाही|chapter=Use of elliptic curves in cryptography |journal=CRYPTO |volume=85 |year=1985 |pages=417–426 |doi=10.1007/3-540-39799-X_31 |series=Lecture Notes in Computer Science |isbn=978-3-540-16463-0 }}</ref> 1985 में। अण्डाकार वक्र क्रिप्टोग्राफी एल्गोरिदम ने 2004 से 2005 में व्यापक उपयोग किया।
कूटलेखन में अण्डाकार वक्रों के उपयोग का सुझाव स्वतंत्र रूप से नील कोब्लिट्ज द्वारा दिया गया था<ref>{{cite journal |first=N. |last=Koblitz |title=अण्डाकार वक्र क्रिप्टोसिस्टम|journal=Mathematics of Computation |volume=48 |issue=177 |year=1987 |pages=203–209 |doi= 10.2307/2007884|jstor=2007884 |doi-access=free }}</ref> और विक्टर एस मिलर<ref>{{Cite book |first=V. |last=Miller |title=क्रिप्टोलॉजी में अग्रिम - CRYPTO '85 कार्यवाही|chapter=Use of elliptic curves in cryptography |journal=CRYPTO |volume=85 |year=1985 |pages=417–426 |doi=10.1007/3-540-39799-X_31 |series=Lecture Notes in Computer Science |isbn=978-3-540-16463-0 }}</ref> ने 1985 में अण्डाकार वक्र कूटलेखन एल्गोरिदम का 2004 से 2005 में व्यापक उपयोग किया।


== सिद्धांत ==
== सिद्धांत ==
वर्तमान क्रिप्टोग्राफ़िक उद्देश्यों के लिए, एक दीर्घवृत्त वक्र एक परिमित क्षेत्र (वास्तविक संख्याओं के अतिरिक्त) पर एक समतल वक्र है जिसमें समीकरण को संतुष्ट करने वाले बिंदु होते हैं:
वर्तमान कूटलेखन उद्देश्यों के लिए, एक दीर्घवृत्त वक्र पर परिमित क्षेत्र (वास्तविक संख्याओं के अतिरिक्त) के लिए एक समतल वक्र है जिसमें समीकरण को संतुष्ट करने वाले बिंदु होते हैं:


: <math>y^2 = x^3 + ax + b, \, </math>
: <math>y^2 = x^3 + ax + b, \, </math>
अनंत पर एक विशिष्ट बिंदु के साथ, ∞ चिह्नित। यहाँ निर्देशांक विशेषता (बीजगणित) के एक निश्चित परिमित क्षेत्र से चुने जाने हैं इन क्षेत्रों की स्थिति 2 या 3 के बराबर नहीं है, या वक्र समीकरण कुछ अधिक जटिल होगा।
अनंत पर एक विशिष्ट बिंदु के साथ यहाँ निर्देशांक विशेषता (बीजगणित) को एक निश्चित परिमित क्षेत्र से चुना जाना हैं इन क्षेत्रों की स्थिति 2 या 3 के बराबर नहीं है, या वक्र समीकरण कुछ अधिक जटिल होगा।


यह दीर्घवृत्त वक्र के साथ एक साथ इस समूह के नियम की पहचान तत्व के रूप में अनंत पर बिंदु के साथ एक एबेलियन समूह है। समूह की संरचना अंतर्निहित बीजगणितीय विविधता के विभाजक (बीजीय ज्यामिति) से विरासत में मिली है:
यह दीर्घवृत्त वक्र के साथ एक साथ इस समूह के नियम की पहचान तत्व के रूप में अनंत पर बिंदु के साथ एबेलियन समूह है। इस समूह की संरचना अंतर्निहित बीजगणितीय विविधता के विभाजक (बीजीय ज्यामिति) से विरासत में मिली है:


: <math>\mathrm{Div}^0 (E) \to \mathrm{Pic}^0 (E) \simeq E, \, </math>
: <math>\mathrm{Div}^0 (E) \to \mathrm{Pic}^0 (E) \simeq E, \, </math>
 
== कूटलेखन योजनाएँ ==
 
कई असतत लघुगणक-आधारित प्रोटोकॉल को समूह की जगह, अण्डाकार वक्रों <math>(\mathbb{Z}_{p})^\times</math> के लिए अनुकूलित किया गया है एक अण्डाकार वक्र के साथ:
== क्रिप्टोग्राफ़िक योजनाएँ ==
* एल्लिप्टिक-वक्र डिफी-हेलमैन (ईसीडीएच) प्रमुख अनुबंध योजना डिफी-हेलमैन योजना पर आधारित है,
कई असतत लघुगणक-आधारित प्रोटोकॉल को समूह की जगह, अण्डाकार वक्रों के लिए अनुकूलित किया गया है <math>(\mathbb{Z}_{p})^\times</math> एक अण्डाकार वक्र के साथ:
* एलिप्टिक वक्रइंटीग्रेटेड कूटलेखन स्कीम (ECIES), जिसे एलिप्टिक वक्रऑगमेंटेड कूटलेखन स्कीम या केवल एलिप्टिक वक्र कूटलेखन स्कीम के रूप में भी जाना जाता है,
* एल्लिप्टिक-वक्र डिफी-हेलमैन (ईसीडीएच) प्रमुख समझौता योजना डिफी-हेलमैन योजना पर आधारित है,
* एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ECDSA) डिजिटल सिग्नेचर एल्गोरिथम पर आधारित है,
* एलिप्टिक कर्व इंटीग्रेटेड एन्क्रिप्शन स्कीम (ECIES), जिसे एलिप्टिक कर्व ऑगमेंटेड एन्क्रिप्शन स्कीम या केवल एलिप्टिक कर्व एन्क्रिप्शन स्कीम के रूप में भी जाना जाता है,
* हैरिसन के p-एडिक मैनहट्टन मीट्रिक का उपयोग करते हुए विरूपण योजना,
* एलिप्टिक कर्व डिजिटल सिग्नेचर एल्गोरिथम (ECDSA) डिजिटल सिग्नेचर एल्गोरिथम पर आधारित है,
* EdDSA|एडवर्ड्स-वक्रडिजिटल सिग्नेचर एल्गोरिथम (EdDSA) क्रोन सिग्नेचर पर आधारित है और ट्विस्टेड एडवर्ड्स वक्र का उपयोग करता है,
* हैरिसन के पी-एडिक मैनहट्टन मीट्रिक का उपयोग करते हुए विरूपण योजना,
* ईसीएमक्यूवी प्रमुख अनुबंध योजना मेनेजेस-क्यू-वनस्टोन कुंजी अनुबंध योजना पर आधारित है,
* EdDSA|एडवर्ड्स-कर्व डिजिटल सिग्नेचर एल्गोरिथम (EdDSA) Schnorr सिग्नेचर पर आधारित है और ट्विस्टेड एडवर्ड्स कर्व्स का उपयोग करता है,
* ईसीएमक्यूवी प्रमुख समझौता योजना मेनेजेस-क्यू-वनस्टोन कुंजी समझौता योजना पर आधारित है,
* इंप्लिसिट सर्टिफिकेट इंप्लिसिट सर्टिफिकेट स्कीम।
* इंप्लिसिट सर्टिफिकेट इंप्लिसिट सर्टिफिकेट स्कीम।


आरएसए सम्मेलन 2005 में, राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने एनएसए सुइट बी की घोषणा की, जो विशेष रूप से डिजिटल हस्ताक्षर निर्माण और कुंजी विनिमय के लिए ईसीसी का उपयोग करता है। सुइट का उद्देश्य वर्गीकृत और अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों और सूचना दोनों की रक्षा करना है।<ref name=":0">{{cite web|url=http://www.nsa.gov/business/programs/elliptic_curve.shtml |title=अण्डाकार वक्र क्रिप्टोग्राफी का मामला|work=NSA |url-status=dead |archive-url=https://web.archive.org/web/20090117023500/http://www.nsa.gov/business/programs/elliptic_curve.shtml |archive-date=2009-01-17 }}</ref>
आरएसए सम्मेलन 2005 में, राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने एनएसए सुइट बी की घोषणा की, जो विशेष रूप से डिजिटल हस्ताक्षर निर्माण और कुंजी विनिमय के लिए ईसीसी का उपयोग करता है। सुइट का उद्देश्य वर्गीकृत और अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों और सूचना दोनों की रक्षा करना है।<ref name=":0">{{cite web|url=http://www.nsa.gov/business/programs/elliptic_curve.shtml |title=अण्डाकार वक्र क्रिप्टोग्राफी का मामला|work=NSA |url-status=dead |archive-url=https://web.archive.org/web/20090117023500/http://www.nsa.gov/business/programs/elliptic_curve.shtml |archive-date=2009-01-17 }}</ref>
हाल ही में{{when|date=October 2022}}, विभिन्न अण्डाकार वक्र समूहों, जैसे कि वील पेयरिंग और टेट पेयरिंग्स पर बिलिनियर मैपिंग पर आधारित बड़ी संख्या में क्रिप्टोग्राफ़िक प्रिमिटिव्स पेश किए गए हैं। इन प्रिमिटिव्स पर आधारित योजनाएँ कुशल पहचान-आधारित एन्क्रिप्शन के साथ-साथ जोड़ी-आधारित हस्ताक्षर, साइनक्रिप्शन, कुंजी अनुबंध और प्रॉक्सी री-एन्क्रिप्शन प्रदान करती हैं।
 
जल्द ही{{when|date=October 2022}}, विभिन्न अण्डाकार वक्र समूहों के लिए वील पेयरिंग और टेट पेयरिंग्स पर बिलिनियर मैपिंग पर आधारित बड़ी संख्या में कूटलेखन पुरातन निवेदित किए गए हैं। इन पुरातन पर आधारित योजनाएँ के लिए कुशल पहचान पर आधारित कूटलेखन के साथ-साथ जोड़ी-आधारित हस्ताक्षर, कूटलेखन, कुंजी अनुबंध और प्रॉक्सी पुनः-कूटलेखन प्रदान करती हैं।


== कार्यान्वयन ==
== कार्यान्वयन ==
Line 44: Line 44:


=== डोमेन पैरामीटर ===
=== डोमेन पैरामीटर ===
ECC का उपयोग करने के लिए, सभी पक्षों को अण्डाकार वक्र को परिभाषित करने वाले सभी तत्वों, यानी योजना के डोमेन मापदंडों पर सहमत होना चाहिए। उपयोग किए गए क्षेत्र का आकार सामान्यतः या तो प्रधान होता है (और p के रूप में दर्शाया जाता है) या दो की शक्ति होती है (<math>2^m</math>); बाद वाले मामले को बाइनरी केस कहा जाता है, और एफ द्वारा निरूपित सहायक वक्र की पसंद की भी आवश्यकता होती है। इस प्रकार क्षेत्र को प्राइम केस में पी और एम और एफ की जोड़ी द्वारा परिभाषित किया गया है<!--m and f are no longer defined before this in this article, except by me, and I don't know what I'm talking about--> बाइनरी मामले में। अण्डाकार वक्र को परिभाषित समीकरण में प्रयुक्त स्थिरांक a और b द्वारा परिभाषित किया गया है। अंत में, चक्रीय उपसमूह को उसके जनरेटर (उर्फ आधार बिंदु) जी द्वारा परिभाषित किया गया है। क्रिप्टोग्राफ़िक अनुप्रयोग के लिए जी का क्रम (समूह सिद्धांत), जो सबसे छोटी सकारात्मक संख्या n है जैसे कि <math>n G = \mathcal{O}</math> (वक्र की अनंतता पर बिंदु, और पहचान तत्व), सामान्य रूप से प्रमुख है। चूँकि n एक उपसमूह का आकार है <math>E(\mathbb{F}_p)</math> यह लैग्रेंज के प्रमेय (समूह सिद्धांत) से आता है | लैग्रेंज का प्रमेय है कि संख्या <math>h = \frac{1}{n}|E(\mathbb{F}_p)|</math> एक पूर्णांक है। क्रिप्टोग्राफ़िक अनुप्रयोगों में यह संख्या h, जिसे कॉफ़ेक्टर कहा जाता है, छोटा होना चाहिए (<math>h \le 4</math>) और, अधिमानतः, <math>h = 1</math>. संक्षेप में: प्रमुख मामले में, डोमेन पैरामीटर हैं <math>(p,a,b,G,n,h)</math>; बाइनरी मामले में, वे हैं <math>(m,f,a,b,G,n,h)</math>.
ECC का उपयोग करने के लिए, सभी पक्षों को अण्डाकार वक्र को परिभाषित करने वाले सभी तत्वों, अर्थात योजना के डोमेन मापदंडों पर सहमत होना चाहिए। उपयोग किए गए क्षेत्र का आकार सामान्यतः या तो प्रधान होता है (और p के रूप में दर्शाया जाता है) या (<math>2^m</math>) होती है बाद वाली स्थिति को बाइनरी प्रकरण कहा जाता है, और एफ द्वारा निरूपित सहायक वक्र के लिए भी आवश्यकता होती है। इस प्रकार इस क्षेत्र को मुख्य केस में p और m और f की जोड़ी द्वारा परिभाषित किया गया है<!--m और f को इससे पहले इस आलेख में परिभाषित नहीं किया गया है, सिवाय मेरे द्वारा, और मुझे नहीं पता कि मैं किस बारे में बात कर रहा हूँ--> बाइनरी स्थिति में अण्डाकार वक्र को परिभाषित समीकरण में प्रयुक्त स्थिरांक a और b द्वारा परिभाषित किया गया है। अंत में, चक्रीय उपसमूह को उसके जनरेटर (या आधार बिंदु) g द्वारा परिभाषित किया गया है। कूटलेखन अनुप्रयोग के लिए g का क्रम (समूह सिद्धांत), जो सबसे छोटी सकारात्मक संख्या n है जैसे कि <math>n G = \mathcal{O}</math> (वक्र की अनंतता पर बिंदु, और पहचान तत्व), सामान्य रूप से प्रमुख है। चूँकि n एक उपसमूह का आकार है <math>E(\mathbb{F}_p)</math> यह लैग्रेंज के प्रमेय (समूह सिद्धांत) से आता है | लैग्रेंज की प्रमेय इस तरह हैं कि संख्या <math>h = \frac{1}{n}|E(\mathbb{F}_p)|</math> एक पूर्णांक है। कूटलेखन अनुप्रयोगों में यह संख्या h, जिसे कॉफ़ेक्टर कहा जाता है और इसका मान कम से कम (<math>h \le 4</math>) और अधिकतम से अधिकतम <math>h = 1</math> होना चाहिए संक्षेप में: प्रमुख स्थिति में, डोमेन पैरामीटर <math>(p,a,b,G,n,h)</math> हैं ; बाइनरी स्थिति में, वे <math>(m,f,a,b,G,n,h)</math> हैं,


जब तक इस बात का कोई आश्वासन नहीं है कि डोमेन पैरामीटर उनके उपयोग के संबंध में भरोसेमंद पार्टी द्वारा उत्पन्न किए गए थे, डोमेन पैरामीटर को उपयोग से पहले सत्यापित किया जाना चाहिए।<!--TBD: validation procedure-->
जब तक इस बात का कोई आश्वासन नहीं है कि डोमेन पैरामीटर उनके उपयोग के संबंध में भरोसेमंद पार्टी द्वारा उत्पन्न किए गए थे, डोमेन पैरामीटर को उपयोग से पहले सत्यापित किया जाना चाहिए।<!--टीबीडी: सत्यापन प्रक्रिया--><br />डोमेन मापदंडों की पीढ़ी सामान्यतः प्रत्येक प्रतिभागी द्वारा नहीं की जाती है क्योंकि इसमें अण्डाकार वक्रों पर गणना बिंदुओं की गणना करना सम्मलित होता है जो समय लेने वाली और लागू करने में परेशानी होती है। परिणामस्वरूप, कई मानक निकायों ने कई सामान्य क्षेत्र आकारों के लिए अंडाकार वक्रों के डोमेन पैरामीटर प्रकाशित किए। ऐसे डोमेन मापदंडों को सामान्यतः मानक वक्र या नामांकित वक्र के रूप में जाना जाता है; एक नामित वक्र को या तो नाम से या मानक दस्तावेजों में परिभाषित अद्वितीय वस्तु पहचानकर्ता द्वारा संदर्भित किया जा सकता है:
डोमेन मापदंडों की पीढ़ी सामान्यतः प्रत्येक प्रतिभागी द्वारा नहीं की जाती है क्योंकि इसमें अण्डाकार वक्रों पर गणना बिंदुओं की गणना करना सम्मलित होता है जो समय लेने वाली और लागू करने में परेशानी होती है। नतीजतन, कई मानक निकायों ने कई सामान्य क्षेत्र आकारों के लिए अंडाकार वक्रों के डोमेन पैरामीटर प्रकाशित किए। ऐसे डोमेन मापदंडों को सामान्यतः मानक वक्र या नामांकित वक्र के रूप में जाना जाता है; एक नामित वक्र को या तो नाम से या मानक दस्तावेजों में परिभाषित अद्वितीय वस्तु पहचानकर्ता द्वारा संदर्भित किया जा सकता है:
* एनआईएसटी, <ref>[https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf सरकारी उपयोग के लिए अनुशंसित एलिप्टिक वक्र]</ref>
* एनआईएसटी, [https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf सरकारी उपयोग के लिए अनुशंसित एलिप्टिक वक्र]
*SECG, <ref>[http://www.secg.org/sec2-v2.pdf SEC 2: रेकमेंडेड एलिप्टिक वक्रडोमेन पैरामीटर्स]</ref>
* SECG, [http://www.secg.org/sec2-v2.pdf SEC 2: रेकमेंडेड एलिप्टिक कर्व डोमेन पैरामीटर्स]
* ईसीसी ब्रेनपूल <ref>({{IETF RFC|5639}}), [http://www.ecc-brainpool.org/download/Domain-parameters.pdf ECC Brainpool Standard Curves and Curve Generation] {{Webarchive|url=https://web.archive.org/web/20180417212206/http://www.ecc-brainpool.org/download/Domain-parameters.pdf |date=2018-04-17 }}</ref>
* ईसीसी ब्रेनपूल ({{IETF RFC|5639}}), [http://www.ecc-brainpool.org/download/Domain-parameters.pdf ECC Brainpool Standard Curves and Curve Generation] {{Webarchive|url=https://web.archive.org/web/20180417212206/http://www.ecc-brainpool.org/download/Domain-parameters.pdf |date=2018-04-17 }}
एसईसीजी टेस्ट वैक्टर भी उपलब्ध हैं।<ref>{{cite web |url=http://www.secg.org/download/aid-390/gec2.pdf |title=जीईसी 2: एसईसी 1 के लिए टेस्ट वैक्टर|website=www.secg.org |format=PDF download |archive-url=https://web.archive.org/web/20130606004254/http://www.secg.org/download/aid-390/gec2.pdf |archive-date=2013-06-06}}</ref> एनआईएसटी ने कई एसईसीजी वक्रों को स्वीकृति दी है, इसलिए एनआईएसटी और एसईसीजी द्वारा प्रकाशित विनिर्देशों के बीच एक महत्वपूर्ण ओवरलैप है। EC डोमेन पैरामीटर या तो मान या नाम से निर्दिष्ट किए जा सकते हैं।
एसईसीजी टेस्ट वैक्टर भी उपलब्ध हैं।<ref>{{cite web |url=http://www.secg.org/download/aid-390/gec2.pdf |title=जीईसी 2: एसईसी 1 के लिए टेस्ट वैक्टर|website=www.secg.org |format=PDF download |archive-url=https://web.archive.org/web/20130606004254/http://www.secg.org/download/aid-390/gec2.pdf |archive-date=2013-06-06}}</ref> एनआईएसटी ने कई एसईसीजी वक्रों को मंजूरी दी है, इसलिए एनआईएसटी और एसईसीजी द्वारा प्रकाशित विनिर्देशों के बीच एक महत्वपूर्ण ओवरलैप है। EC डोमेन पैरामीटर या तो मान या नाम से निर्दिष्ट किए जा सकते हैं।


यदि कोई (उपरोक्त के बावजूद) अपने स्वयं के डोमेन मापदंडों का निर्माण करना चाहता है, तो उसे अंतर्निहित क्षेत्र का चयन करना चाहिए और फिर निम्न विधियों में से किसी एक का उपयोग करके उपयुक्त (यानी, प्रधान के पास) अंक के साथ एक वक्र खोजने के लिए निम्नलिखित रणनीतियों में से एक का उपयोग करना चाहिए। :
यदि कोई अपने स्वयं के डोमेन मापदंडों का निर्माण करना चाहता है, तो उसे अंतर्निहित क्षेत्र का चयन करना चाहिए और फिर निम्न विधियों में से किसी एक का उपयोग करके उपयुक्त (अर्थात, प्रधान के पास) अंक के साथ वक्र खोजने के लिए निम्नलिखित रणनीतियों में से एक का उपयोग करना चाहिए।:
* एक यादृच्छिक वक्र का चयन करें और एक सामान्य बिंदु-गिनती एल्गोरिथ्म का उपयोग करें, उदाहरण के लिए, स्कूफ़ का एल्गोरिथम या स्कूफ़-एल्कीज़-एटकिन एल्गोरिथम,
* एक यादृच्छिक वक्र का चयन करें और एक सामान्य बिंदु-गिनती एल्गोरिथ्म का उपयोग करें, उदाहरण के लिए, स्कूफ़ का एल्गोरिथम या स्कूफ़-एल्कीज़-एटकिन एल्गोरिथम,
* एक परिवार से एक यादृच्छिक वक्र का चयन करें जो अंकों की संख्या की आसान गणना की अनुमति देता है (जैसे, कोब्लिट्ज वक्र), या
* इस समूह के लिए एक यादृच्छिक वक्र का चयन करें जो अंकों की संख्या की आसान गणना की अनुमति देता है (जैसे, कोब्लिट्ज वक्र), या
* अंकों की संख्या का चयन करें और जटिल गुणन तकनीक का उपयोग करके इस संख्या के साथ एक वक्र उत्पन्न करें।<ref>{{Cite book |series=Lecture Notes in Computer Science |volume=877 |pages=250–263 |doi=10.1007/3-540-58691-1_64 |isbn=978-3-540-58691-3 |chapter=Constructing elliptic curves with given group order over large finite fields |title=एल्गोरिथम संख्या सिद्धांत|year=1994 |last1=Lay |first1=Georg-Johann |last2=Zimmer |first2=Horst G. }}</ref>
* अंकों की संख्या का चयन करें और जटिल गुणन तकनीक का उपयोग करके इस संख्या के साथ एक वक्र उत्पन्न करें।<ref>{{Cite book |series=Lecture Notes in Computer Science |volume=877 |pages=250–263 |doi=10.1007/3-540-58691-1_64 |isbn=978-3-540-58691-3 |chapter=Constructing elliptic curves with given group order over large finite fields |title=एल्गोरिथम संख्या सिद्धांत|year=1994 |last1=Lay |first1=Georg-Johann |last2=Zimmer |first2=Horst G. }}</ref>
कर्व्स के कई वर्ग कमजोर हैं और इनसे बचा जाना चाहिए:
'''वक्र के कई वर्ग निर्बल हैं और इनसे बचा जाना चाहिए:'''
* घटता है <math>\mathbb{F}_{2^m}</math> नॉन-प्राइम मी के साथ वील डिसेंट अटैक की चपेट में हैं।<ref>{{cite book |first1=S. D. |last1=Galbraith |first2=N. P. |last2=Smart |s2cid=15134380 |title=वेइल वंश का एक क्रिप्टोग्राफ़िक अनुप्रयोग|work=Cryptography and Coding |year=1999 |series=Lecture Notes in Computer Science |volume=1746 |pages=799 |doi=10.1007/3-540-46665-7_23 |chapter=A Cryptographic Application of Weil Descent |isbn=978-3-540-66887-9 }}</ref><ref>{{cite web |first1=P. |last1=Gaudry |first2=F. |last2=Hess |first3=N. P. |last3=Smart |url=http://www.hpl.hp.com/techreports/2000/HPL-2000-10.pdf |title=अण्डाकार वक्रों पर वील वंश के रचनात्मक और विनाशकारी पहलू|work=Hewlett Packard Laboratories Technical Report |year=2000 }}</ref>
* घटता है <math>\mathbb{F}_{2^m}</math> नॉन-मुख्य मी के साथ वील डिसेंट आक्रमण की चपेट में हैं।<ref>{{cite book |first1=S. D. |last1=Galbraith |first2=N. P. |last2=Smart |s2cid=15134380 |title=वेइल वंश का एक क्रिप्टोग्राफ़िक अनुप्रयोग|work=Cryptography and Coding |year=1999 |series=Lecture Notes in Computer Science |volume=1746 |pages=799 |doi=10.1007/3-540-46665-7_23 |chapter=A Cryptographic Application of Weil Descent |isbn=978-3-540-66887-9 }}</ref><ref>{{cite web |first1=P. |last1=Gaudry |first2=F. |last2=Hess |first3=N. P. |last3=Smart |url=http://www.hpl.hp.com/techreports/2000/HPL-2000-10.pdf |title=अण्डाकार वक्रों पर वील वंश के रचनात्मक और विनाशकारी पहलू|work=Hewlett Packard Laboratories Technical Report |year=2000 }}</ref>
* ऐसे वक्र करता है कि n विभाजित होता है <math>p^B-1</math> (जहाँ p क्षेत्र की विशेषता है: q एक प्रमुख क्षेत्र के लिए, या <math>2</math> एक बाइनरी क्षेत्र के लिए) पर्याप्त रूप से छोटे बी के लिए मेनेजेस-ओकामोटो-वनस्टोन (एमओवी) हमले के लिए कमजोर हैं<ref>{{cite journal |first1=A. |last1=Menezes |first2=T. |last2=Okamoto |first3=S. A. |last3=Vanstone |title=परिमित क्षेत्र में दीर्घवृत्तीय वक्र लघुगणक को लघुगणक में कम करना|journal=IEEE Transactions on Information Theory |volume=39 |issue=5 |year=1993 | doi =  10.1109/18.259647 |pages=1639–1646}}</ref><ref>{{cite journal |first=L. |last=Hitt |url=http://eprint.iacr.org/2006/415 |title=एंबेडिंग डिग्री की बेहतर परिभाषा पर|journal=IACR ePrint Report |year=2006 |volume=415 }}</ref> के एक छोटे-डिग्री विस्तार क्षेत्र में सामान्य असतत लघुगणक समस्या (DLP) लागू होती है <math>\mathbb{F}_p</math> ईसीडीएलपी को हल करने के लिए। बाउंड बी को चुना जाना चाहिए ताकि क्षेत्र में असतत लघुगणक हो <math>\mathbb{F}_{p^B}</math> अण्डाकार वक्र पर असतत लॉग के रूप में गणना करना कम से कम कठिन है <math>E(\mathbb{F}_q)</math>.<ref>IEEE [http://grouper.ieee.org/groups/1363/P1363/index.html P1363], section A.12.1</ref>
* ऐसे वक्र <math>p^B-1</math> करता है कि n विभाजित होता है (जहाँ p क्षेत्र की विशेषता है: q एक प्रमुख क्षेत्र के लिए, या <math>2</math> एक बाइनरी क्षेत्र के लिए) पर्याप्त रूप से छोटे b के लिए मेनेजेस-ओकामोटो-वनस्टोन (एमओवी) आक्रमण के लिए कमजोर हैं<ref>{{cite journal |first1=A. |last1=Menezes |first2=T. |last2=Okamoto |first3=S. A. |last3=Vanstone |title=परिमित क्षेत्र में दीर्घवृत्तीय वक्र लघुगणक को लघुगणक में कम करना|journal=IEEE Transactions on Information Theory |volume=39 |issue=5 |year=1993 | doi =  10.1109/18.259647 |pages=1639–1646}}</ref><ref>{{cite journal |first=L. |last=Hitt |url=http://eprint.iacr.org/2006/415 |title=एंबेडिंग डिग्री की बेहतर परिभाषा पर|journal=IACR ePrint Report |year=2006 |volume=415 }}</ref> के एक छोटे-डिग्री विस्तार क्षेत्र में सामान्य असतत लघुगणक समस्या (DLP) लागू होती है <math>\mathbb{F}_p</math> ईसीडीएलपी को हल करने के लिए। बाउंड b को चुना जाना चाहिए जिससे क्षेत्र में असतत लघुगणक हो <math>\mathbb{F}_{p^B}</math> अण्डाकार वक्र पर असतत लॉग <math>E(\mathbb{F}_q)</math> के रूप में गणना करना कम से कम कठिन है .<ref>IEEE [http://grouper.ieee.org/groups/1363/P1363/index.html P1363], section A.12.1</ref>
* ऐसे घटता है <math>|E(\mathbb{F}_q)| = q</math> के योगात्मक समूह के लिए वक्र पर बिंदुओं को मैप करने वाले हमले के प्रति संवेदनशील हैं <math>\mathbb{F}_q</math>.<ref>{{cite journal |first=I. |last=Semaev |title=''पी'' के एक समूह में असतत लघुगणक का मूल्यांकन - विशेषता ''पी'' में एक अण्डाकार वक्र के मरोड़ बिंदु|journal=Mathematics of Computation |volume=67 |issue=221 |year=1998 |pages=353–356 |doi=10.1090/S0025-5718-98-00887-4 |bibcode=1998MaCom..67..353S |doi-access=free }}</ref><ref>{{cite journal |first=N. |last=Smart |title=ट्रेस वन के अण्डाकार वक्रों पर असतत लघुगणक समस्या|journal=Journal of Cryptology |volume=12 |year=1999 |issue=3 |pages=193–196 |doi=10.1007/s001459900052 |url=http://www.hpl.hp.com/techreports/97/HPL-97-128.ps |citeseerx=10.1.1.17.1880 |s2cid=24368962 }}</ref><ref>{{cite journal |first1=T. |last1=Satoh |first2=K. |last2=Araki |title=विषम अण्डाकार वक्रों के लिए फर्मेट भागफल और बहुपद समय असतत लॉग एल्गोरिथ्म|journal=Commentarii Mathematici Universitatis Sancti Pauli |volume=47 |year=1998 }}</ref>
* <math>|E(\mathbb{F}_q)| = q</math> के योगात्मक समूह <math>\mathbb{F}_q</math> के लिए वक्र पर बिंदुओं को मैप करने वाले आक्रमण के प्रति संवेदनशील हैं .<ref>{{cite journal |first=I. |last=Semaev |title=''पी'' के एक समूह में असतत लघुगणक का मूल्यांकन - विशेषता ''पी'' में एक अण्डाकार वक्र के मरोड़ बिंदु|journal=Mathematics of Computation |volume=67 |issue=221 |year=1998 |pages=353–356 |doi=10.1090/S0025-5718-98-00887-4 |bibcode=1998MaCom..67..353S |doi-access=free }}</ref><ref>{{cite journal |first=N. |last=Smart |title=ट्रेस वन के अण्डाकार वक्रों पर असतत लघुगणक समस्या|journal=Journal of Cryptology |volume=12 |year=1999 |issue=3 |pages=193–196 |doi=10.1007/s001459900052 |url=http://www.hpl.hp.com/techreports/97/HPL-97-128.ps |citeseerx=10.1.1.17.1880 |s2cid=24368962 }}</ref><ref>{{cite journal |first1=T. |last1=Satoh |first2=K. |last2=Araki |title=विषम अण्डाकार वक्रों के लिए फर्मेट भागफल और बहुपद समय असतत लॉग एल्गोरिथ्म|journal=Commentarii Mathematici Universitatis Sancti Pauli |volume=47 |year=1998 }}</ref>
 
 
=== मुख्य आकार ===
=== मुख्य आकार ===
{{See also|Discrete logarithm records#Elliptic curves}}
{{See also|असतत लघुगणक रिकॉर्ड#अण्डाकार वक्र}}
क्योंकि सभी सबसे तेज़ ज्ञात एल्गोरिदम जो किसी को ECDLP (बेबी-स्टेप जायंट-स्टेप, पोलार्ड के rho एल्गोरिदम के लिए लघुगणक | पोलार्ड के rho, आदि) को हल करने की अनुमति देते हैं, की आवश्यकता है <math>O(\sqrt{n})</math> चरण, यह निम्नानुसार है कि अंतर्निहित क्षेत्र का आकार सुरक्षा पैरामीटर से लगभग दोगुना होना चाहिए। उदाहरण के लिए, 128-बिट सुरक्षा के लिए एक कर्व ओवर की आवश्यकता होती है <math>\mathbb{F}_q</math>, कहाँ पे <math>q \approx 2^{256}</math>. इसे परिमित-क्षेत्र क्रिप्टोग्राफी (उदाहरण के लिए, डिजिटल हस्ताक्षर एल्गोरिदम) से अलग किया जा सकता है जिसके लिए आवश्यक है<ref>NIST, [http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf Recommendation for Key Management—Part 1: general],  Special Publication 800-57, August 2005.</ref> 3072-बिट सार्वजनिक कुंजियाँ और 256-बिट निजी कुंजियाँ, और पूर्णांक कारककरण क्रिप्टोग्राफी (जैसे, RSA (एल्गोरिदम)) जिसके लिए n के 3072-बिट मान की आवश्यकता होती है, जहाँ निजी कुंजी उतनी ही बड़ी होनी चाहिए। चूंकि, कुशल एन्क्रिप्शन को समायोजित करने के लिए सार्वजनिक कुंजी छोटी हो सकती है, खासकर जब प्रसंस्करण शक्ति सीमित हो।


आज तक की सबसे कठिन ईसीसी योजना (सार्वजनिक रूप से) तोड़ी गई{{When|date=November 2022}} प्राइम फील्ड केस के लिए 112-बिट कुंजी और बाइनरी फील्ड केस के लिए 109-बिट कुंजी थी। प्राइम फील्ड केस के लिए, यह जुलाई 2009 में 200 से अधिक PlayStation 3 गेम कंसोल के क्लस्टर का उपयोग करके तोड़ा गया था और लगातार चलने पर इस क्लस्टर का उपयोग करके 3.5 महीनों में समाप्त किया जा सकता था।<ref>{{cite web|url=http://lacal.epfl.ch/page81774.html|title=112-बिट प्राइम ECDLP हल - LACAL|website=lacal.epfl.ch|access-date=2009-07-11|archive-url=https://web.archive.org/web/20090715060838/http://lacal.epfl.ch/page81774.html|archive-date=2009-07-15|url-status=dead}}</ref> बाइनरी फील्ड केस को अप्रैल 2004 में 17 महीनों में 2600 कंप्यूटरों का उपयोग करके तोड़ दिया गया था।<ref>{{cite web|url=http://www.certicom.com/index.php/2004-press-releases/36-2004-press-releases/300-solution-required-team-of-mathematicians-2600-computers-and-17-months- |title=सर्टिकॉम ने एलिप्टिक कर्व क्रिप्टोग्राफी चैलेंज विजेता की घोषणा की|work=Certicom |date=April 27, 2004 |url-status=dead |archive-url=https://web.archive.org/web/20110719233751/https://www.certicom.com/index.php/2004-press-releases/36-2004-press-releases/300-solution-required-team-of-mathematicians-2600-computers-and-17-months- |archive-date=2011-07-19 }}</ref>
क्योंकि सबसे तेज़ ज्ञात एल्गोरिदम जो किसी ECDLP को (बेबी-स्टेप जायंट-स्टेप, पोलार्ड के rho एल्गोरिदम के लिए लघुगणक | पोलार्ड के rho, आदि) को हल करने की अनुमति देते हैं,<math>O(\sqrt{n})</math> की आवश्यकता है, इस चरण में यह निम्नानुसार है कि अंतर्निहित क्षेत्र का आकार सुरक्षा पैरामीटर से लगभग दोगुना होना चाहिए। उदाहरण के लिए, 128-बिट सुरक्षा के लिए एक वक्रओवर की आवश्यकता होती है, जहाँ पर <math>q \approx 2^{256}</math> को इसके परिमित-क्षेत्र <math>\mathbb{F}_q</math> कूटलेखन (उदाहरण के लिए, डिजिटल हस्ताक्षर एल्गोरिदम) से अलग किया जा सकता है जिसके लिए आवश्यक है 3072-बिट सार्वजनिक कुंजियाँ और 256-बिट निजी कुंजियाँ, और पूर्णांक कारक के लिए कूटलेखन (जैसे, RSA (एल्गोरिदम)) हैं जिसके फलस्वरूप n के 3072-बिट मान की आवश्यकता होती है,<ref>NIST, [http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf Recommendation for Key Management—Part 1: general],  Special Publication 800-57, August 2005.</ref> जहाँ निजी कुंजी उतनी ही बड़ी होनी चाहिए। चूंकि, कुशल कूटलेखन को समायोजित करने के लिए सार्वजनिक कुंजी छोटी हो सकती है, मुख्यतः जब प्रसंस्करण पावर सीमित हो।
एक वर्तमान परियोजना विभिन्न हार्डवेयर की एक विस्तृत श्रृंखला का उपयोग करके Certicom द्वारा ECC2K-130 चुनौती को तोड़ने का लक्ष्य बना रही है: सीपीयू, जीपीयू, एफपीजीए।<ref>{{cite web|url=http://www.ecc-challenge.info/|title=ब्रेकिंग ECC2K-130|website=www.ecc-challenge.info}}</ref>


आज तक की सबसे कठिन ईसीसी योजना (सार्वजनिक रूप से) तोड़ी गई {{When|date=November 2022}} मुख्य फील्ड केस के लिए 112-बिट कुंजी और बाइनरी क्षेत्र केस के लिए 109-बिट कुंजी थी। मुख्य फील्ड केस के लिए, यह जुलाई 2009 में 200 से अधिक PlayStation 3 गेम कंसोल के स्तवक का उपयोग करके तोड़ा गया था और लगातार चलने पर इस क्लस्टर का उपयोग करके 3.5 महीनों में समाप्त किया जा सकता था।<ref>{{cite web|url=http://lacal.epfl.ch/page81774.html|title=112-बिट प्राइम ECDLP हल - LACAL|website=lacal.epfl.ch|access-date=2009-07-11|archive-url=https://web.archive.org/web/20090715060838/http://lacal.epfl.ch/page81774.html|archive-date=2009-07-15|url-status=dead}}</ref> बाइनरी फील्ड केस को अप्रैल 2004 में 17 महीनों में 2600 कंप्यूटरों का उपयोग करके तोड़ दिया गया था।<ref>{{cite web|url=http://www.certicom.com/index.php/2004-press-releases/36-2004-press-releases/300-solution-required-team-of-mathematicians-2600-computers-and-17-months- |title=सर्टिकॉम ने एलिप्टिक कर्व क्रिप्टोग्राफी चैलेंज विजेता की घोषणा की|work=Certicom |date=April 27, 2004 |url-status=dead |archive-url=https://web.archive.org/web/20110719233751/https://www.certicom.com/index.php/2004-press-releases/36-2004-press-releases/300-solution-required-team-of-mathematicians-2600-computers-and-17-months- |archive-date=2011-07-19 }}</ref>


एक वर्तमान परियोजना विभिन्न हार्डवेयर की एक विस्तृत श्रृंखला का उपयोग करके सर्टिकॉम द्वारा ECC2K-130 चुनौती को तोड़ने का लक्ष्य बना रही है: सीपीयू, जीपीयू, एफपीजीए।<ref>{{cite web|url=http://www.ecc-challenge.info/|title=ब्रेकिंग ECC2K-130|website=www.ecc-challenge.info}}</ref>
=== प्रक्षेपी निर्देशांक ===
=== प्रक्षेपी निर्देशांक ===
जोड़ के नियमों की बारीकी से जांच से पता चलता है कि दो बिंदुओं को जोड़ने के लिए, किसी को न केवल कई जोड़ और गुणा की आवश्यकता होती है <math>\mathbb{F}_q</math> लेकिन एक उलटा ऑपरेशन भी। उलटा (दिए गए के लिए <math>x \in \mathbb{F}_q</math> पाना <math>y \in \mathbb{F}_q</math> ऐसा है कि <math>x y = 1</math>) परिमाण धीमी के एक से दो क्रम है<ref>{{cite journal|first1=Y. |last1=Hitchcock |first2=E. |last2=Dawson |first3=A. |last3=Clark |first4=P. |last4=Montague |url=http://anziamj.austms.org.au/V44/CTAC2001/Hitc/Hitc.pdf |title=एक स्मार्ट कार्ड पर जीएफ (पी) पर एक कुशल अण्डाकार वक्र क्रिप्टोसिस्टम लागू करना|year=2002 |journal=ANZIAM Journal |volume=44 |url-status=dead |archive-url=https://web.archive.org/web/20060327202009/http://anziamj.austms.org.au/V44/CTAC2001/Hitc/Hitc.pdf |archive-date=2006-03-27 }}</ref> गुणन की तुलना में। चूंकि, एक वक्र पर बिंदुओं को विभिन्न समन्वय प्रणालियों में दर्शाया जा सकता है, जिन्हें दो बिंदुओं को जोड़ने के लिए उलटा ऑपरेशन की आवश्यकता नहीं होती है। ऐसी कई प्रणालियाँ प्रस्तावित थीं: प्रक्षेपी प्रणाली में प्रत्येक बिंदु को तीन निर्देशांकों द्वारा दर्शाया गया है <math>(X,Y,Z)</math> निम्नलिखित संबंध का उपयोग करना: <math>x = \frac{X}{Z}</math>, <math>y = \frac{Y}{Z}</math>; जेकोबियन प्रणाली में एक बिंदु को तीन निर्देशांकों के साथ भी दर्शाया जाता है <math>(X,Y,Z)</math>, लेकिन एक अलग संबंध प्रयोग किया जाता है: <math>x = \frac{X}{Z^2}</math>, <math>y = \frac{Y}{Z^3}</math>; लोपेज़-दहाब प्रणाली में संबंध है <math>x = \frac{X}{Z}</math>, <math>y = \frac{Y}{Z^2}</math>; संशोधित जेकोबियन प्रणाली में समान संबंधों का उपयोग किया जाता है लेकिन चार निर्देशांक संग्रहीत किए जाते हैं और गणना के लिए उपयोग किए जाते हैं <math>(X,Y,Z,aZ^4)</math>; और चुडनोवस्की जैकोबियन प्रणाली में पांच निर्देशांकों का उपयोग किया जाता है <math>(X,Y,Z,Z^2,Z^3)</math>. ध्यान दें कि अलग-अलग नामकरण प्रथाएं हो सकती हैं, उदाहरण के लिए, IEEE P1363-2000 मानक प्रक्षेपी निर्देशांक का उपयोग करता है जिसे सामान्यतः जैकोबियन निर्देशांक कहा जाता है।<!--TBD: insert formulas--> यदि मिश्रित निर्देशांकों का उपयोग किया जाता है तो अतिरिक्त गति-अप संभव है।<ref>{{Cite book |first1=H. |last1=Cohen |author1-link=Henri Cohen (number theorist)|first2=A. |last2=Miyaji |author2-link=Atsuko Miyaji|first3=T. |last3=Ono |title=मिश्रित निर्देशांकों का उपयोग करते हुए कुशल अण्डाकार वक्र घातांक|journal=Advances in Cryptology&nbsp;– AsiaCrypt '98 |year=1998 |series=Lecture Notes in Computer Science |volume=1514 |pages=51–65 |doi=10.1007/3-540-49649-1_6 |isbn=978-3-540-65109-3 }}</ref>
जोड़ के नियमों की बारीकी से जांच से पता चलता है कि दो बिंदुओं को जोड़ने के लिए, किसी <math>\mathbb{F}_q</math>} को न केवल कई जोड़ और गुणा की आवश्यकता होती है लेकिन एक व्युत्क्रम ऑपरेशन की भी, व्युत्क्रम (दिए गए के लिए <math>x \in \mathbb{F}_q</math> पाना <math>y \in \mathbb{F}_q</math> ऐसा है कि <math>x y = 1</math>) परिमाण धीमी के गुणन की तुलना में एक से दो क्रम है।<ref>{{cite journal|first1=Y. |last1=Hitchcock |first2=E. |last2=Dawson |first3=A. |last3=Clark |first4=P. |last4=Montague |url=http://anziamj.austms.org.au/V44/CTAC2001/Hitc/Hitc.pdf |title=एक स्मार्ट कार्ड पर जीएफ (पी) पर एक कुशल अण्डाकार वक्र क्रिप्टोसिस्टम लागू करना|year=2002 |journal=ANZIAM Journal |volume=44 |url-status=dead |archive-url=https://web.archive.org/web/20060327202009/http://anziamj.austms.org.au/V44/CTAC2001/Hitc/Hitc.pdf |archive-date=2006-03-27 }}</ref> चूंकि, एक वक्र पर बिंदुओं को विभिन्न समन्वय प्रणालियों में दर्शाया जा सकता है, जिन्हें दो बिंदुओं को जोड़ने के लिए व्युत्क्रम ऑपरेशन की आवश्यकता नहीं होती है। ऐसी कई प्रणालियाँ प्रस्तावित थीं: प्रक्षेपी प्रणाली में प्रत्येक बिंदु को तीन निर्देशांकों <math>(X,Y,Z)</math> द्वारा दर्शाया गया है निम्नलिखित संबंध का उपयोग करना: <math>x = \frac{X}{Z}</math>, <math>y = \frac{Y}{Z}</math>; जेकोबियन प्रणाली में एक बिंदु को तीन निर्देशांकों <math>(X,Y,Z)</math> के साथ भी दर्शाया जाता है, लेकिन एक अलग संबंध प्रयोग किया जाता है: <math>x = \frac{X}{Z^2}</math>, <math>y = \frac{Y}{Z^3}</math>; लोपेज़-दहाब प्रणाली में संबंध है <math>x = \frac{X}{Z}</math>, <math>y = \frac{Y}{Z^2}</math>; संशोधित जेकोबियन प्रणाली में समान संबंधों का उपयोग किया जाता है लेकिन चार निर्देशांक <math>(X,Y,Z,aZ^4)</math> संग्रहीत किए जाते हैं और गणना के लिए उपयोग किए जाते हैं; और चुडनोवस्की जैकोबियन प्रणाली में पांच निर्देशांकों <math>(X,Y,Z,Z^2,Z^3)</math> का उपयोग किया जाता है . ध्यान दें कि अलग-अलग नामकरण प्रथाएं हो सकती हैं, उदाहरण के लिए, IEEE P1363-2000 मानक प्रक्षेपी निर्देशांक का उपयोग करता है जिसे सामान्यतः जैकोबियन निर्देशांक कहा जाता है।<!--TBD: सूत्र डालें--> यदि मिश्रित निर्देशांकों का उपयोग किया जाता है तो अतिरिक्त गति-अप संभव है।<ref>{{Cite book |first1=H. |last1=Cohen |author1-link=Henri Cohen (number theorist)|first2=A. |last2=Miyaji |author2-link=Atsuko Miyaji|first3=T. |last3=Ono |title=मिश्रित निर्देशांकों का उपयोग करते हुए कुशल अण्डाकार वक्र घातांक|journal=Advances in Cryptology&nbsp;– AsiaCrypt '98 |year=1998 |series=Lecture Notes in Computer Science |volume=1514 |pages=51–65 |doi=10.1007/3-540-49649-1_6 |isbn=978-3-540-65109-3 }}</ref>
 
 
=== तेजी से कमी (NIST घटता) ===
=== तेजी से कमी (NIST घटता) ===
रिडक्शन मोडुलो पी (जो जोड़ और गुणा के लिए आवश्यक है) को बहुत तेजी से निष्पादित किया जा सकता है यदि प्राइम पी एक छद्म-मर्सेन प्राइम है, अर्थात <math>p \approx 2^d</math>; उदाहरण के लिए, <math>p = 2^{521} - 1</math> या <math>p = 2^{256} - 2^{32} - 2^9 - 2^8 - 2^7 - 2^6 - 2^4 - 1.</math> बैरेट रिडक्शन की तुलना में परिमाण गति-अप का एक क्रम हो सकता है।<ref>{{Cite book |first1=M. |last1=Brown |first2=D. |last2=Hankerson |first3=J. |last3=Lopez |first4=A. |last4=Menezes |title=प्राइम फील्ड्स पर एनआईएसटी एलिप्टिक कर्व्स का सॉफ्टवेयर कार्यान्वयन|journal=Topics in Cryptology&nbsp;– CT-RSA 2001 |series=Lecture Notes in Computer Science |year=2001 |volume=2020 |pages=250–265 |doi=10.1007/3-540-45353-9_19 |isbn=978-3-540-41898-6 |url=http://cr.yp.to/bib/2000/brown-prime.ps |citeseerx=10.1.1.25.8619 }}</ref> यहां स्पीड-अप सैद्धांतिक के अतिरिक्त एक व्यावहारिक है, और इस तथ्य से निकला है कि दो की शक्तियों के पास संख्या के विरुद्ध संख्याओं का मॉड्यूल बाइनरी नंबरों पर काम करने वाले कंप्यूटरों द्वारा कुशलता से निष्पादित किया जा सकता है।
रिडक्शन मोडुलो पी (जो जोड़ और गुणा के लिए आवश्यक है) को बहुत तेजी से निष्पादित किया जा सकता है यदि मुख्य पी एक छद्म-मर्सेन मुख्य है, अर्थात <math>p \approx 2^d</math>; उदाहरण के लिए, <math>p = 2^{521} - 1</math> या <math>p = 2^{256} - 2^{32} - 2^9 - 2^8 - 2^7 - 2^6 - 2^4 - 1.</math> बैरेट रिडक्शन की तुलना में परिमाण गति-अप का एक क्रम हो सकता है।<ref>{{Cite book |first1=M. |last1=Brown |first2=D. |last2=Hankerson |first3=J. |last3=Lopez |first4=A. |last4=Menezes |title=प्राइम फील्ड्स पर एनआईएसटी एलिप्टिक कर्व्स का सॉफ्टवेयर कार्यान्वयन|journal=Topics in Cryptology&nbsp;– CT-RSA 2001 |series=Lecture Notes in Computer Science |year=2001 |volume=2020 |pages=250–265 |doi=10.1007/3-540-45353-9_19 |isbn=978-3-540-41898-6 |url=http://cr.yp.to/bib/2000/brown-prime.ps |citeseerx=10.1.1.25.8619 }}</ref> यहां स्पीड-अप सैद्धांतिक के अतिरिक्त एक व्यावहारिक है, और इस तथ्य से निकला है कि दो की घात के पास संख्या के विरुद्ध संख्याओं का मॉड्यूल बाइनरी नंबरों पर काम करने वाले कंप्यूटरों द्वारा कुशलता से निष्पादित किया जा सकता है।


घटता है <math>\mathbb{F}_p</math> स्यूडो-मर्सेन पी के साथ एनआईएसटी द्वारा सिफारिश की जाती है। फिर भी NIST वक्रों का एक और लाभ यह है कि वे a= −3 का उपयोग करते हैं, जो जैकोबियन निर्देशांकों में योग को बेहतर बनाता है।
<math>\mathbb{F}_p</math> स्यूडो-मर्सेन पी के साथ एनआईएसटी द्वारा पक्षसमर्थन किया जाता है। फिर भी NIST वक्रों का एक और लाभ यह है कि वे a= −3 का उपयोग करते हैं, जो जैकोबियन निर्देशांकों में योग को ज्यादा अच्छा बनाता है।


बर्नस्टीन और लैंग के अनुसार, NIST FIPS 186-2 में दक्षता संबंधी कई निर्णय उप-इष्टतम हैं। अन्य वक्र अधिक सुरक्षित हैं और उतनी ही तेजी से चलते हैं।<ref>{{ cite web | author = Daniel J. Bernstein | author2 = Tanja Lange|author2-link=Tanja Lange | name-list-style = amp | title = SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना| url = https://safecurves.cr.yp.to/ | access-date = 1 December 2013 }}</ref>
बर्नस्टीन और लैंग के अनुसार, NIST FIPS 186-2 में दक्षता संबंधी कई निर्णय उप-इष्टतम हैं। अन्य वक्र अधिक सुरक्षित हैं और उतनी ही तेजी से चलते हैं।<ref>{{ cite web | author = Daniel J. Bernstein | author2 = Tanja Lange|author2-link=Tanja Lange | name-list-style = amp | title = SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना| url = https://safecurves.cr.yp.to/ | access-date = 1 December 2013 }}</ref>
== अनुप्रयोग ==
== अनुप्रयोग ==
एन्क्रिप्शन, डिजिटल हस्ताक्षर, CPRNG | छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए अण्डाकार वक्र लागू होते हैं। उनका उपयोग कई पूर्णांक फ़ैक्टराइज़ेशन एल्गोरिदम में भी किया जाता है, जिसमें क्रिप्टोग्राफी में अनुप्रयोग होते हैं, जैसे लेनस्ट्रा इलिप्टिक-कर्व फ़ैक्टराइज़ेशन।
कूटलेखन, डिजिटल हस्ताक्षर, CPRNG | छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए अण्डाकार वक्र लागू होते हैं। उनका उपयोग कई पूर्णांक फ़ैक्टराइज़ेशन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे लेनस्ट्रा इलिप्टिक-वक्रफ़ैक्टराइज़ेशन।


1999 में, NIST ने पंद्रह अण्डाकार वक्रों की सिफारिश की। विशेष रूप से, FIPS 186-4<ref>{{Cite journal|last=Technology|first=National Institute of Standards and|date=2013-07-19|title=डिजिटल हस्ताक्षर मानक (डीएसएस)|doi=10.6028/NIST.FIPS.186-4|url=https://csrc.nist.gov/publications/detail/fips/186/4/final|language=en}}</ref> दस अनुशंसित परिमित क्षेत्र हैं:
1999 में, NIST ने पंद्रह अण्डाकार वक्रों की सिफारिश की। विशेष रूप से, FIPS 186-4<ref>{{Cite journal|last=Technology|first=National Institute of Standards and|date=2013-07-19|title=डिजिटल हस्ताक्षर मानक (डीएसएस)|doi=10.6028/NIST.FIPS.186-4|url=https://csrc.nist.gov/publications/detail/fips/186/4/final|language=en}}</ref> दस अनुशंसित परिमित क्षेत्र हैं:
Line 91: Line 84:


NIST अनुशंसा में इस प्रकार कुल पाँच प्रमुख वक्र और दस बाइनरी वक्र सम्मलित हैं। इष्टतम सुरक्षा और कार्यान्वयन दक्षता के लिए घटता को स्पष्ट रूप से चुना गया था।<ref>FIPS PUB 186-3, [http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf Digital Signature Standard (DSS)].</ref>
NIST अनुशंसा में इस प्रकार कुल पाँच प्रमुख वक्र और दस बाइनरी वक्र सम्मलित हैं। इष्टतम सुरक्षा और कार्यान्वयन दक्षता के लिए घटता को स्पष्ट रूप से चुना गया था।<ref>FIPS PUB 186-3, [http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf Digital Signature Standard (DSS)].</ref>
2013 में, द न्यूयॉर्क टाइम्स ने कहा कि दोहरी ईसी डीआरबीजी (या डुअल_ईसी_डीआरबीजी) को एनएसए के प्रभाव के कारण एनआईएसटी राष्ट्रीय मानक के रूप में सम्मलित किया गया था, जिसमें एल्गोरिथम में जानबूझकर कमजोरी और अनुशंसित अंडाकार वक्र सम्मलित था।<ref>{{cite news |last1=Perlroth|first1=Nicole|last2=Larson|first2=Jeff|last3=Shane|first3=Scott |title=एन.एस.ए. वेब पर गोपनीयता के बुनियादी सुरक्षा उपायों को विफल करने में सक्षम|url=https://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html |archive-url=https://ghostarchive.org/archive/20220101/https://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html |archive-date=2022-01-01 |url-access=limited |access-date=28 October 2018 |newspaper=New York Times |date=2013-09-05}}{{cbignore}}</ref> आरएसए सुरक्षा ने सितंबर 2013 में एक सलाह जारी की थी जिसमें सिफारिश की गई थी कि इसके ग्राहक Dual_EC_DRBG पर आधारित किसी भी सॉफ़्टवेयर का उपयोग करना बंद कर दें।<ref>Kim Zetter, [https://www.wired.com/threatlevel/2013/09/rsa-advisory-nsa-algorithm/ RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm] ''[[Wired (magazine)|Wired]]'', 19 September 2013. "Recommending against the use of SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation: NIST strongly recommends that, pending the resolution of the security concerns and the re-issuance of SP 800-90A, the Dual_EC_DRBG, as specified in the January 2012 version of SP 800-90A, no longer be used."</ref><ref>{{cite web|url=http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-90-A+Rev+1+B+and+C|title=खोज - सीएसआरसी|website=csrc.nist.gov}}</ref> एक NSA अंडरकवर ऑपरेशन के रूप में Dual_EC_DRBG के जोखिम के मद्देनज़र, क्रिप्टोग्राफी विशेषज्ञों ने भी NIST अनुशंसित दीर्घवृत्त वक्रों की सुरक्षा पर चिंता व्यक्त की है,<ref>[[Bruce Schneier]] (5 September) "I no longer trust the constants. I believe the NSA has manipulated them through their relationships with industry." See [http://it.slashdot.org/firehose.pl?op=view&type=story&sid=13/09/11/1224252 Are the NIST Standard Elliptic Curves Back-doored?], ''[[Slashdot]]'', 11 September 2013.</ref> गैर-अण्डाकार-वक्र समूहों के आधार पर एन्क्रिप्शन पर लौटने का सुझाव।
2013 में, द न्यूयॉर्क टाइम्स ने कहा कि दोहरी ईसी डीआरबीजी (या डुअल_ईसी_डीआरबीजी) को एनएसए के प्रभाव के कारण एनआईएसटी राष्ट्रीय मानक के रूप में सम्मलित किया गया था, जिसमें एल्गोरिथम में जानबूझकर कमजोरी और अनुशंसित अंडाकार वक्र सम्मलित था।<ref>{{cite news |last1=Perlroth|first1=Nicole|last2=Larson|first2=Jeff|last3=Shane|first3=Scott |title=एन.एस.ए. वेब पर गोपनीयता के बुनियादी सुरक्षा उपायों को विफल करने में सक्षम|url=https://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html |archive-url=https://ghostarchive.org/archive/20220101/https://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html |archive-date=2022-01-01 |url-access=limited |access-date=28 October 2018 |newspaper=New York Times |date=2013-09-05}}{{cbignore}}</ref> आरएसए सुरक्षा ने सितंबर 2013 में एक सलाह जारी की थी जिसमें सिफारिश की गई थी कि इसके ग्राहक द्वैध_EC_DRBG पर आधारित किसी भी सॉफ़्टवेयर का उपयोग करना बंद कर दें।<ref>Kim Zetter, [https://www.wired.com/threatlevel/2013/09/rsa-advisory-nsa-algorithm/ RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm] ''[[Wired (magazine)|Wired]]'', 19 September 2013. "Recommending against the use of SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation: NIST strongly recommends that, pending the resolution of the security concerns and the re-issuance of SP 800-90A, the Dual_EC_DRBG, as specified in the January 2012 version of SP 800-90A, no longer be used."</ref><ref>{{cite web|url=http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-90-A+Rev+1+B+and+C|title=खोज - सीएसआरसी|website=csrc.nist.gov}}</ref> एक NSA अंडरकवर ऑपरेशन के रूप में Dual_EC_DRBG के जोखिम के मद्देनज़र, कूटलेखन विशेषज्ञों ने भी NIST अनुशंसित दीर्घवृत्त वक्रों की सुरक्षा पर चिंता व्यक्त की है,<ref>[[Bruce Schneier]] (5 September) "I no longer trust the constants. I believe the NSA has manipulated them through their relationships with industry." See [http://it.slashdot.org/firehose.pl?op=view&type=story&sid=13/09/11/1224252 Are the NIST Standard Elliptic Curves Back-doored?], ''[[Slashdot]]'', 11 September 2013.</ref> गैर-अण्डाकार-वक्र समूहों के आधार पर कूटलेखन पर लौटने का सुझाव।
 
अण्डाकार वक्र क्रिप्टोग्राफी का उपयोग क्रिप्टोक्यूरेंसी बिटकॉइन द्वारा किया जाता है।<ref>{{cite web|url=https://github.com/bitcoinbook/bitcoinbook/blob/develop/ch04.asciidoc|title=मास्टरिंग बिटकॉइन दूसरा संस्करण - एंड्रियास एम। एंटोनोपोलोस|website=github.com|date=2018-10-05}}</ref>
एथेरियम Eth2 | संस्करण 2.0 बीएलएस हस्ताक्षरों का उपयोग करके अण्डाकार वक्र जोड़े का व्यापक उपयोग करता है - जैसा कि आईईटीएफ ड्राफ्ट बीएलएस विनिर्देश में निर्दिष्ट है<!-- "draft-irtf-cfrg-bls-signature-02" -->—क्रिप्टोग्राफ़िक रूप से आश्वस्त करने के लिए कि एक विशिष्ट Eth2 सत्यापनकर्ता ने वास्तव में एक विशेष लेनदेन को सत्यापित किया है।<ref name=Eth2spec20200904>{{cite web |url=https://github.com/ethereum/eth2.0-specs/blob/dev/specs/phase0/beacon-chain.md#bls-signatures |title=एथेरियम 2.0 चरण 0 - बीकन चेन: बीएलएस हस्ताक्षर|website=[[GitHub]] |date=28 July 2020 |access-date=4 September 2020 }}</ref><ref name=BLS2004>{{cite journal |author=Dan Boneh |author-link=Dan Boneh |author2=Ben Lynn |author2-link=Ben Lynn |author3=Hovav Shacham |author3-link=Hovav Shacham |name-list-style=amp |title=वील पेयरिंग से लघु हस्ताक्षर|journal=Journal of Cryptology |volume=17 |issue=4 |year=2004 |pages=297–319 |doi=10.1007/s00145-004-0314-9 |citeseerx=10.1.1.589.9141 |s2cid=206885645 }}</ref>


अण्डाकार वक्र कूटलेखन का उपयोग क्रिप्टोक्यूरेंसी बिटकॉइन द्वारा किया जाता है।<ref>{{cite web|url=https://github.com/bitcoinbook/bitcoinbook/blob/develop/ch04.asciidoc|title=मास्टरिंग बिटकॉइन दूसरा संस्करण - एंड्रियास एम। एंटोनोपोलोस|website=github.com|date=2018-10-05}}</ref>


एथेरियम Eth2 | संस्करण 2.0 बीएलएस हस्ताक्षरों का उपयोग करके अण्डाकार वक्र जोड़े का व्यापक उपयोग करता है - जैसा कि आईईटीएफ ड्राफ्ट बीएलएस विनिर्देश में निर्दिष्ट है<!-- "ड्राफ्ट-आईआरटीएफ-सीएफआरजी-बीएलएस-हस्ताक्षर-02" -->—कूटलेखन रूप से आश्वस्त करने के लिए कि एक विशिष्ट Eth2 सत्यापनकर्ता ने वास्तव में एक विशेष लेनदेन को सत्यापित किया है।<ref name="Eth2spec20200904">{{cite web |url=https://github.com/ethereum/eth2.0-specs/blob/dev/specs/phase0/beacon-chain.md#bls-signatures |title=एथेरियम 2.0 चरण 0 - बीकन चेन: बीएलएस हस्ताक्षर|website=[[GitHub]] |date=28 July 2020 |access-date=4 September 2020 }}</ref><ref name="BLS2004">{{cite journal |author=Dan Boneh |author-link=Dan Boneh |author2=Ben Lynn |author2-link=Ben Lynn |author3=Hovav Shacham |author3-link=Hovav Shacham |name-list-style=amp |title=वील पेयरिंग से लघु हस्ताक्षर|journal=Journal of Cryptology |volume=17 |issue=4 |year=2004 |pages=297–319 |doi=10.1007/s00145-004-0314-9 |citeseerx=10.1.1.589.9141 |s2cid=206885645 }}</ref>
== सुरक्षा ==
== सुरक्षा ==


=== साइड-चैनल हमले ===
=== साइड-चैनल आक्रमण ===
अधिकांश अन्य असतत लघुगणक प्रणालियों के विपरीत (जहां वर्ग और गुणन के लिए एक ही प्रक्रिया का उपयोग करना संभव है), ईसी जोड़ दोहरीकरण (पी = क्यू) और सामान्य जोड़ (पी क्यू) के लिए इस्तेमाल की गई समन्वय प्रणाली के आधार पर काफी अलग है। नतीजतन, साइड-चैनल हमलों (उदाहरण के लिए, समय या पावर विश्लेषण | सरल/अंतर शक्ति विश्लेषण हमलों) का मुकाबला करना महत्वपूर्ण है, उदाहरण के लिए, निश्चित पैटर्न विंडो (ए.के.ए. कॉम्ब) विधियों का उपयोग करना{{clarify|date=December 2011}}<ref>{{cite journal |first1=M. |last1=Hedabou |first2=P. |last2=Pinel |first3=L. |last3=Beneteau |url=http://eprint.iacr.org/2004/342.pdf |title=साइड चैनल हमलों के खिलाफ ईसीसी प्रतिरोधी प्रस्तुत करने के लिए एक कंघी विधि|year=2004 }}</ref> (ध्यान दें कि यह गणना समय में वृद्धि नहीं करता है)। वैकल्पिक रूप से कोई एडवर्ड्स वक्र का उपयोग कर सकता है; यह अण्डाकार वक्रों का एक विशेष परिवार है जिसके लिए एक ही ऑपरेशन के साथ दोहरीकरण और जोड़ किया जा सकता है।<ref>{{cite web | url=http://blog.cr.yp.to/20140323-ecdsa.html | title=Cr.yp.to: 2014.03.23: कैसे एक अंडाकार-वक्र हस्ताक्षर प्रणाली डिजाइन करने के लिए}}</ref> ईसीसी-सिस्टम के लिए एक और चिंता विभेदक गलती विश्लेषण का खतरा है, खासकर स्मार्ट कार्ड पर चलते समय।<ref>See, for example, {{Cite book |title=Differential Fault Attacks on Elliptic Curve Cryptosystems |first1=Ingrid |last1=Biehl |first2=Bernd |last2=Meyer |first3=Volker |last3=Müller |journal=Advances in Cryptology&nbsp;– CRYPTO 2000 |series=[[Lecture Notes in Computer Science]] |volume=1880 |year=2000 |pages=131–146 |doi=10.1007/3-540-44598-6_8 |isbn=978-3-540-67907-3 |url=http://www.iacr.org/archive/crypto2000/18800131/18800131.pdf }}</ref>
अधिकांश अन्य असतत लघुगणक प्रणालियों के विपरीत (जहां वर्ग और गुणन के लिए एक ही प्रक्रिया का उपयोग करना संभव है), ईसी जोड़ दोहरीकरण (p = q) और सामान्य जोड़ (p q) के लिए उपयोग की गई समन्वय प्रणाली के आधार पर बहुत अलग है। परिणामस्वरूप, साइड-चैनल आक्रमण(उदाहरण के लिए, समय या पावर विश्लेषण | सरल/अंतर शक्ति विश्लेषण आक्रमण) की कल्पना करना महत्वपूर्ण है, उदाहरण के लिए, निश्चित पैटर्न विंडो (ए.के.ए. कॉम्ब) विधियों का उपयोग करना{{clarify|date=December 2011}}<ref>{{cite journal |first1=M. |last1=Hedabou |first2=P. |last2=Pinel |first3=L. |last3=Beneteau |url=http://eprint.iacr.org/2004/342.pdf |title=साइड चैनल हमलों के खिलाफ ईसीसी प्रतिरोधी प्रस्तुत करने के लिए एक कंघी विधि|year=2004 }}</ref> (ध्यान दें कि यह गणना समय में वृद्धि नहीं करता है)। वैकल्पिक रूप से कोई एडवर्ड्स वक्र का उपयोग करता है; यह अण्डाकार वक्रों का एक विशेष परिवार है जिसके लिए एक ही ऑपरेशन के साथ दोहरीकरण और जोड़ किया जा सकता है।<ref>{{cite web | url=http://blog.cr.yp.to/20140323-ecdsa.html | title=Cr.yp.to: 2014.03.23: कैसे एक अंडाकार-वक्र हस्ताक्षर प्रणाली डिजाइन करने के लिए}}</ref> ईसीसी-सिस्टम के लिए एक और चिंता विभेदक गलती विश्लेषण का खतरा है, विशेषतः स्मार्ट कार्ड पर चलते समय।<ref>See, for example, {{Cite book |title=Differential Fault Attacks on Elliptic Curve Cryptosystems |first1=Ingrid |last1=Biehl |first2=Bernd |last2=Meyer |first3=Volker |last3=Müller |journal=Advances in Cryptology&nbsp;– CRYPTO 2000 |series=[[Lecture Notes in Computer Science]] |volume=1880 |year=2000 |pages=131–146 |doi=10.1007/3-540-44598-6_8 |isbn=978-3-540-67907-3 |url=http://www.iacr.org/archive/crypto2000/18800131/18800131.pdf }}</ref>
 
=== पिछले विकल्प ===
 
कूटलेखन विशेषज्ञों ने चिंता व्यक्त की है कि राष्ट्रीय सुरक्षा एजेंसी ने कम से कम एक अण्डाकार वक्र-आधारित छद्म यादृच्छिक जनरेटर में एक क्लेप्टोग्राफ़िक बैकडोर डाला है।<ref>[https://www.schneier.com/essay-198.html "Did NSA Put a Secret Backdoor in New Encryption Standard?"]. ''www.schneier.com''.</ref> पूर्व NSA ठेकेदार एडवर्ड स्नोडेन द्वारा लीक किए गए आंतरिक मेमो सुझाव देते हैं कि NSA ने दोहरे EC DRBG मानक में एक विकल्प को रखा।<ref>{{Cite web|title = सरकार ने एन्क्रिप्शन मानकों पर विश्वास बहाल करने के लिए कदमों की घोषणा की|url = http://bits.blogs.nytimes.com/2013/09/10/government-announces-steps-to-restore-confidence-on-encryption-standards/|website = NY Times – Bits Blog|access-date = 2015-11-06|date = 2013-09-10}}</ref> संभावित विकल्प के एक विश्लेषण ने निष्कर्ष निकाला कि एल्गोरिदम की गुप्त कुंजी के कब्जे में एक विरोधी पीआरएनजी आउटपुट के केवल 32 बाइट्स दिए गए कूटलेखन कुंजी प्राप्त कर सकता है।<ref>http://rump2007.cr.yp.to/15-shumow.pdf {{Bare URL PDF|date=March 2022}}</ref>
=== पिछले दरवाजे ===
क्रिप्टोग्राफ़िक विशेषज्ञों ने चिंता व्यक्त की है कि राष्ट्रीय सुरक्षा एजेंसी ने कम से कम एक अण्डाकार वक्र-आधारित छद्म यादृच्छिक जनरेटर में एक क्लेप्टोग्राफ़िक बैकडोर डाला है।<ref>[https://www.schneier.com/essay-198.html "Did NSA Put a Secret Backdoor in New Encryption Standard?"]. ''www.schneier.com''.</ref> पूर्व NSA ठेकेदार एडवर्ड स्नोडेन द्वारा लीक किए गए आंतरिक मेमो सुझाव देते हैं कि NSA ने दोहरे EC DRBG मानक में एक पिछले दरवाजे को रखा।<ref>{{Cite web|title = सरकार ने एन्क्रिप्शन मानकों पर विश्वास बहाल करने के लिए कदमों की घोषणा की|url = http://bits.blogs.nytimes.com/2013/09/10/government-announces-steps-to-restore-confidence-on-encryption-standards/|website = NY Times – Bits Blog|access-date = 2015-11-06|date = 2013-09-10}}</ref> संभावित पिछले दरवाजे के एक विश्लेषण ने निष्कर्ष निकाला कि एल्गोरिदम की गुप्त कुंजी के कब्जे में एक विरोधी पीआरएनजी आउटपुट के केवल 32 बाइट्स दिए गए एन्क्रिप्शन कुंजी प्राप्त कर सकता है।<ref>http://rump2007.cr.yp.to/15-shumow.pdf {{Bare URL PDF|date=March 2022}}</ref>
SafeCurves प्रोजेक्ट को कैटलॉग कर्व्स के लिए लॉन्च किया गया है जो कि सुरक्षित रूप से लागू करना आसान है और बैकडोर की संभावना को कम करने के लिए पूरी तरह से सार्वजनिक रूप से सत्यापन योग्य तरीके से डिज़ाइन किया गया है।<ref>{{Cite web | url = http://safecurves.cr.yp.to/ | title = SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना| first1 = Daniel J. | last1 = Bernstein | first2 = Tanja | last2 = Lange | access-date = October 1, 2016}}</ref>
 


=== क्वांटम कंप्यूटिंग हमले ===
सुरक्षित वक्र प्रोजेक्ट को कैटलॉग वक्र के लिए लॉन्च किया गया है जो कि सुरक्षित रूप से लागू करना सरल है और बैकडोर की संभावना को कम करने के लिए पूरी तरह से सार्वजनिक रूप से सत्यापन योग्य तरीके से डिज़ाइन किया गया है।<ref>{{Cite web | url = http://safecurves.cr.yp.to/ | title = SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना| first1 = Daniel J. | last1 = Bernstein | first2 = Tanja | last2 = Lange | access-date = October 1, 2016}}</ref>
शोर के एल्गोरिथ्म का उपयोग काल्पनिक क्वांटम कंप्यूटिंग पर असतत लघुगणक की गणना करके अण्डाकार वक्र क्रिप्टोग्राफी को तोड़ने के लिए किया जा सकता है। 256-बिट मापांक (128-बिट सुरक्षा स्तर) के साथ वक्र को तोड़ने के लिए नवीनतम क्वांटम संसाधन का अनुमान 2330 क्विबिट और 126 बिलियन टोफोली गेट्स हैं।<ref>{{Cite arXiv |eprint=1706.06752 |last1=Roetteler |first1=Martin |title=अण्डाकार वक्र असतत लघुगणक की गणना के लिए क्वांटम संसाधन अनुमान|last2=Naehrig |first2=Michael |last3=Svore |first3=Krysta M.|author3-link= Krysta Svore |last4=Lauter |first4=Kristin |class=quant-ph |year=2017 }}</ref> द्विआधारी अण्डाकार वक्र मामले के लिए, 906 qubits आवश्यक हैं (सुरक्षा के 128 बिट्स को तोड़ने के लिए)।<ref> {{cite journal |first1=G. |last1=Banegas |first2=D. J. |last2=Bernstein |first3=I. van |last3=Hoof |first4=T. |last4=Lange |url=https://eprint.iacr.org/2020/1296.pdf |title=Concrete quantum cryptanalysis of binary elliptic curves |year=2020 }}</ref> इसकी तुलना में, आरएसए (क्रिप्टोसिस्टम) एल्गोरिदम को तोड़ने के लिए शोर के एल्गोरिदम का उपयोग करने के लिए 2048-बिट आरएसए कुंजी के लिए 4098 क्विबिट्स और 5.2 ट्रिलियन टोफोली गेट्स की आवश्यकता होती है, यह सुझाव देते हुए कि ईसीसी आरएसए की तुलना में क्वांटम कंप्यूटरों के लिए एक आसान लक्ष्य है। ये सभी आंकड़े अब तक बनाए गए किसी भी क्वांटम कंप्यूटर से बहुत अधिक हैं, और अनुमान है कि ऐसे कंप्यूटरों का निर्माण एक दशक या उससे अधिक दूर है।{{citation needed|date=September 2020}}<ref>{{Cite web|last=Holmes|first=David|date=September 7, 2021|title=आरएसए एक "प्री-पोस्ट-क्वांटम" कम्प्यूटिंग वर्ल्ड में|url=https://www.f5.com/labs/articles/threat-intelligence/rsa-in-a-pre-post-quantum-computing-world|url-status=live|access-date=March 16, 2021|website=f5|archive-url=https://web.archive.org/web/20200808204717/https://www.f5.com/labs/articles/threat-intelligence/rsa-in-a-pre-post-quantum-computing-world |archive-date=2020-08-08 }}</ref>
=== क्वांटम कंप्यूटिंग आक्रमण ===
सुपरसिंगुलर आइसोजेनी की एक्सचेंज| सुपरसिंगुलर आइसोजेनी डिफी-हेलमैन की एक्सचेंज ने पोस्ट-क्वांटम क्रिप्टोग्राफी प्रदान करने का दावा किया है। डिफी-हेलमैन प्रमुख एक्सचेंजों को लागू करने के लिए आइसोजिनीज का उपयोग करके एलिप्टिक कर्व क्रिप्टोग्राफी का पोस्ट-क्वांटम सुरक्षित रूप। यह कुंजी विनिमय मौजूदा अण्डाकार वक्र क्रिप्टोग्राफी के रूप में समान क्षेत्र अंकगणित का उपयोग करता है और वर्तमान में उपयोग की जाने वाली कई सार्वजनिक कुंजी प्रणालियों के समान कम्प्यूटेशनल और ट्रांसमिशन ओवरहेड की आवश्यकता होती है।<ref>{{cite web|last=De Feo|first=Luca|title=सुपरसिंगुलर इलिप्टिक कर्व आइसोजिनीज से क्वांटम-प्रतिरोधी क्रिप्टोसिस्टम की ओर|url=https://eprint.iacr.org/2011/506|work=Cryptology ePrint Archive, Report 2011/506|publisher=IACR|access-date=3 May 2014|author2=Jao, Plut|archive-url=https://web.archive.org/web/20140503190338/http://eprint.iacr.org/2011/506|archive-date=2014-05-03|url-status=dead|year=2011}}</ref> चूंकि, नए शास्त्रीय हमलों ने इस प्रोटोकॉल की सुरक्षा को कम कर दिया।<ref>{{Cite journal |last=Robert |first=Damien |date=2022 |title=SIDH को बहुपद समय में तोड़ना|url=https://eprint.iacr.org/2022/1038 |journal=Cryptology ePrint Archive |language=en}}</ref>
शोर के एल्गोरिथ्म का उपयोग काल्पनिक क्वांटम कंप्यूटिंग पर असतत लघुगणक की गणना करके अण्डाकार वक्र कूटलेखन को तोड़ने के लिए किया जा सकता है। 256-बिट मापांक (128-बिट सुरक्षा स्तर) के साथ वक्र को तोड़ने के लिए नवीनतम क्वांटम संसाधन का अनुमान 2330 क्विबिट और 126 बिलियन टोफोली गेट्स हैं।<ref>{{Cite arXiv |eprint=1706.06752 |last1=Roetteler |first1=Martin |title=अण्डाकार वक्र असतत लघुगणक की गणना के लिए क्वांटम संसाधन अनुमान|last2=Naehrig |first2=Michael |last3=Svore |first3=Krysta M.|author3-link= Krysta Svore |last4=Lauter |first4=Kristin |class=quant-ph |year=2017 }}</ref> द्विआधारी अण्डाकार वक्र स्थितियोंे के लिए, 906 qubits आवश्यक हैं (सुरक्षा के 128 बिट्स को तोड़ने के लिए)।<ref> {{cite journal |first1=G. |last1=Banegas |first2=D. J. |last2=Bernstein |first3=I. van |last3=Hoof |first4=T. |last4=Lange |url=https://eprint.iacr.org/2020/1296.pdf |title=Concrete quantum cryptanalysis of binary elliptic curves |year=2020 }}</ref> इसकी तुलना में, आरएसए (क्रिप्टोसिस्टम) एल्गोरिदम को तोड़ने के लिए शोर के एल्गोरिदम का उपयोग करने के लिए 2048-बिट आरएसए कुंजी के लिए 4098 क्विबिट्स और 5.2 ट्रिलियन टोफोली गेट्स की आवश्यकता होती है, यह सुझाव देते हुए कि ईसीसी आरएसए की तुलना में क्वांटम कंप्यूटरों के लिए एक आसान लक्ष्य है। ये सभी आंकड़े अब तक बनाए गए किसी भी क्वांटम कंप्यूटर से बहुत अधिक हैं, और अनुमान है कि ऐसे कंप्यूटरों का निर्माण एक दशक या उससे अधिक दूर है।{{citation needed|date=September 2020}}<ref>{{Cite web|last=Holmes|first=David|date=September 7, 2021|title=आरएसए एक "प्री-पोस्ट-क्वांटम" कम्प्यूटिंग वर्ल्ड में|url=https://www.f5.com/labs/articles/threat-intelligence/rsa-in-a-pre-post-quantum-computing-world|url-status=live|access-date=March 16, 2021|website=f5|archive-url=https://web.archive.org/web/20200808204717/https://www.f5.com/labs/articles/threat-intelligence/rsa-in-a-pre-post-quantum-computing-world |archive-date=2020-08-08 }}</ref>
अगस्त 2015 में, एनएसए ने घोषणा की कि उसने निकट भविष्य में एक नए सिफर सुइट में परिवर्तन करने की योजना बनाई है जो क्वांटम कंप्यूटिंग हमलों के लिए प्रतिरोधी है। दुर्भाग्य से, अण्डाकार वक्र उपयोग की वृद्धि क्वांटम कंप्यूटिंग पर अनुसंधान में निरंतर प्रगति के तथ्य के खिलाफ टकरा गई है, जिससे हमारी क्रिप्टोग्राफ़िक रणनीति का पुनर्मूल्यांकन आवश्यक हो गया है।<ref name="nsaquantum">{{cite web|url=https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm|title=वाणिज्यिक राष्ट्रीय सुरक्षा एल्गोरिथम सूट|date=19 August 2015|website=www.nsa.gov|url-status=live|archive-url=https://web.archive.org/web/20190604080321/https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm|archive-date=2019-06-04|access-date=2020-01-08}}</ref>


सुपरसिंगुलर आइसोजेनी की एक्सचेंज, सुपरसिंगुलर आइसोजेनी डिफी-हेलमैन की एक्सचेंज ने पोस्ट-क्वांटम कूटलेखन प्रदान करने का अनुरोध किया है। डिफी-हेलमैन प्रमुख एक्सचेंजों को लागू करने के लिए आइसोजिनीज का उपयोग करके एलिप्टिक वक्रकूटलेखन का पोस्ट-क्वांटम सुरक्षित रूप। यह कुंजी विनिमय सम्मलिता अण्डाकार वक्र कूटलेखन के रूप में समान क्षेत्र अंकगणित का उपयोग करता है और वर्तमान में उपयोग की जाने वाली कई सार्वजनिक कुंजी प्रणालियों के समान कम्प्यूटेशनल और ट्रांसमिशन ओवरहेड की आवश्यकता होती है।<ref>{{cite web|last=De Feo|first=Luca|title=सुपरसिंगुलर इलिप्टिक कर्व आइसोजिनीज से क्वांटम-प्रतिरोधी क्रिप्टोसिस्टम की ओर|url=https://eprint.iacr.org/2011/506|work=Cryptology ePrint Archive, Report 2011/506|publisher=IACR|access-date=3 May 2014|author2=Jao, Plut|archive-url=https://web.archive.org/web/20140503190338/http://eprint.iacr.org/2011/506|archive-date=2014-05-03|url-status=dead|year=2011}}</ref> चूंकि, नए मूल आक्रमण ने इस प्रोटोकॉल की सुरक्षा को कम कर दिया।<ref>{{Cite journal |last=Robert |first=Damien |date=2022 |title=SIDH को बहुपद समय में तोड़ना|url=https://eprint.iacr.org/2022/1038 |journal=Cryptology ePrint Archive |language=en}}</ref>


अगस्त 2015 में, एनएसए ने घोषणा की कि उसने निकट भविष्य में एक नए सिफर सुइट में परिवर्तन करने की योजना बनाई है जो क्वांटम कंप्यूटिंग आक्रमण के लिए प्रतिरोधी है। दुर्भाग्य से, अण्डाकार वक्र उपयोग की वृद्धि क्वांटम कंप्यूटिंग पर अनुसंधान में निरंतर प्रगति के तथ्य के विरुद्ध टकरा गई है, जिससे हमारी कूटलेखन रणनीति का पुनर्मूल्यांकन आवश्यक हो गया है।<ref name="nsaquantum">{{cite web|url=https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm|title=वाणिज्यिक राष्ट्रीय सुरक्षा एल्गोरिथम सूट|date=19 August 2015|website=www.nsa.gov|url-status=live|archive-url=https://web.archive.org/web/20190604080321/https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm|archive-date=2019-06-04|access-date=2020-01-08}}</ref>
=== अमान्य वक्र आक्रमण ===
=== अमान्य वक्र आक्रमण ===


जब वर्चुअल मशीन में ECC का उपयोग किया जाता है, तो एक हमलावर पूर्ण PDH निजी कुंजी प्राप्त करने के लिए अमान्य वक्र का उपयोग कर सकता है।<ref name = "Cohen, Seclist, 2019" >{{ cite web | url = https://seclists.org/fulldisclosure/2019/Jun/46 | title = AMD-SEV: अमान्य वक्र हमले के माध्यम से प्लेटफ़ॉर्म DH कुंजी पुनर्प्राप्ति (CVE-2019-9836)| access-date = 4 July 2019 | first = Cfir | last = Cohen | date = 25 June 2019 | website = Seclist Org | quote = SEV दीर्घवृत्त-वक्र (ECC) कार्यान्वयन को अमान्य वक्र आक्रमण के लिए असुरक्षित पाया गया। लॉन्च-स्टार्ट कमांड पर, हमलावर आधिकारिक एनआईएसटी घटता पर नहीं छोटे ऑर्डर ईसीसी अंक भेज सकता है, और फर्मवेयर के निजी डीएच स्केलर द्वारा एसईवी फर्मवेयर को एक छोटे ऑर्डर बिंदु को गुणा करने के लिए मजबूर कर सकता है।| archive-url = https://web.archive.org/web/20190702011957/https://seclists.org/fulldisclosure/2019/Jun/46 | archive-date = 2 July 2019 | df = dmy-all }}</ref>
जब वर्चुअल मशीन में ECC का उपयोग किया जाता है, तो एक हमलावर पूर्ण PDH निजी कुंजी प्राप्त करने के लिए अमान्य वक्र का उपयोग कर सकता है।<ref name = "Cohen, Seclist, 2019" >{{ cite web | url = https://seclists.org/fulldisclosure/2019/Jun/46 | title = AMD-SEV: अमान्य वक्र हमले के माध्यम से प्लेटफ़ॉर्म DH कुंजी पुनर्प्राप्ति (CVE-2019-9836)| access-date = 4 July 2019 | first = Cfir | last = Cohen | date = 25 June 2019 | website = Seclist Org | quote = SEV दीर्घवृत्त-वक्र (ECC) कार्यान्वयन को अमान्य वक्र आक्रमण के लिए असुरक्षित पाया गया। लॉन्च-स्टार्ट कमांड पर, हमलावर आधिकारिक एनआईएसटी घटता पर नहीं छोटे ऑर्डर ईसीसी अंक भेज सकता है, और फर्मवेयर के निजी डीएच स्केलर द्वारा एसईवी फर्मवेयर को एक छोटे ऑर्डर बिंदु को गुणा करने के लिए मजबूर कर सकता है।| archive-url = https://web.archive.org/web/20190702011957/https://seclists.org/fulldisclosure/2019/Jun/46 | archive-date = 2 July 2019 | df = dmy-all }}</ref>
== पेटेंट ==
== पेटेंट ==
{{Main|ECC patents}}
{{Main|ईसीसी पेटेंट}}
कम से कम एक ईसीसी योजना (ईसीएमक्यूवी) और कुछ कार्यान्वयन तकनीकों को पेटेंट द्वारा कवर किया गया है।
कम से कम एक ईसीसी योजना (ईसीएमक्यूवी) और कुछ कार्यान्वयन तकनीकों को पेटेंट द्वारा कवर किया गया है।


Line 177: Line 164:
{{refend}}
{{refend}}
* [http://archive.numdam.org/ARCHIVE/MSMF/MSMF_1978__57_/MSMF_1978__57__1_0/MSMF_1978__57__1_0.pdf Jacques Vélu, ''Courbes elliptiques (...)'', Société Mathématique de France, '''57''', 1-152, Paris, 1978.]
* [http://archive.numdam.org/ARCHIVE/MSMF/MSMF_1978__57_/MSMF_1978__57__1_0/MSMF_1978__57__1_0.pdf Jacques Vélu, ''Courbes elliptiques (...)'', Société Mathématique de France, '''57''', 1-152, Paris, 1978.]
==इस पेज में लापता आंतरिक लिंक की सूची==


== बाहरी संबंध ==
== बाहरी संबंध ==
Line 190: Line 173:
{{Cryptography navbox|public-key}}
{{Cryptography navbox|public-key}}
{{Algebraic curves navbox}}
{{Algebraic curves navbox}}
[[Category:All articles with bare URLs for citations]]
[[Category:All articles with unsourced statements]]
[[Category:All articles with vague or ambiguous time]]
[[Category:Articles with PDF format bare URLs for citations]]
[[Category:Articles with bare URLs for citations from March 2022]]
[[Category:Articles with hatnote templates targeting a nonexistent page]]
[[Category:Articles with invalid date parameter in template]]
[[Category:Articles with short description]]
[[Category:Articles with unsourced statements from September 2020]]
[[Category:CS1 English-language sources (en)]]
[[Category:CS1 errors]]
[[Category:CS1 français-language sources (fr)]]
[[Category:CS1 maint]]
[[Category:CS1 Ελληνικά-language sources (el)]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates]]
[[Category:Created On 25/11/2022]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Multi-column templates]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages using div col with small parameter]]
[[Category:Pages with script errors]]
[[Category:Short description with empty Wikidata description]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates based on the Citation/CS1 Lua module]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats]]
[[Category:Templates that add a tracking category]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData]]
[[Category:Templates using under-protected Lua modules]]
[[Category:Vague or ambiguous time from November 2022]]
[[Category:Vague or ambiguous time from October 2022]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia articles needing clarification from December 2011]]
[[Category:Wikipedia fully protected templates|Div col]]
[[Category:Wikipedia metatemplates]]
[[Category:अण्डाकार वक्र क्रिप्टोग्राफी]]
[[Category:अण्डाकार वक्र क्रिप्टोग्राफी]]
[[Category:परिमित क्षेत्र]]
[[Category:सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी]]
[[Category:सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी]]
[[Category:परिमित क्षेत्र]]
[[Category: Machine Translated Page]]
[[Category:Created On 25/11/2022]]

Latest revision as of 21:49, 7 December 2022

एल्लिप्टिक-वक्र कूटलेखन (ईसीसी) में सार्वजनिक-कुंजी द्वारा कूटलेखन के लिए ऐसा दृष्टिकोण है जो परिमित क्षेत्रों पर अंडाकार वक्रों की बीजगणितीय संरचना पर आधारित है। ECC समतुल्य सुरक्षा प्रदान करने के लिए गैर-ईसी कूटलेखन (सादे परिमित क्षेत्र पर आधारित) की तुलना में छोटी कुंजियों की अनुमति देता है।[1]

अण्डाकार वक्र प्रमुख समझौते, डिजिटल हस्ताक्षर, क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर के रूप में उपयोग किया जाता है| छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए इसे लागू किया जाता हैं। अप्रत्यक्ष रूप से, उन्हें सममित-कुंजी की सहायता से एल्गोरिथम योजना के साथ कुंजी समझौते को जोड़कर कूटलेखन के लिए उपयोग किया जाता है। अण्डाकार वक्रों का उपयोग अण्डाकार वक्रों पर आधारित कई पूर्णांक गुणनखंडन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे कि लेनस्ट्रा अण्डाकार-वक्र गुणनखंड।

औचित्य

सार्वजनिक-कुंजी कूटलेखन कुछ गणितीय कम्प्यूटेशनल धारणा की जटिल अशिष्टता पर आधारित है। आरंभिक सार्वजनिक-कुंजी प्रणालियां अपनी सुरक्षा को इस धारणा पर आधारित करती हैं कि दो या दो से अधिक बड़े अभाज्य कारकों से बने बड़े पूर्णांक का पूर्णांक गुणनखंडन करना कठिन हो जाता है। बाद के दीर्घवृत्त-वक्र-आधारित प्रोटोकॉल के लिए आधार धारणा यह है कि सार्वजनिक रूप से ज्ञात आधार बिंदु के संबंध में एक यादृच्छिक अण्डाकार वक्र तत्व के असतत लघुगणक को खोजना असंभव है: यह अण्डाकार वक्र असतत लघुगणक समस्या (ECDLP) है। अण्डाकार वक्र कूटलेखन की सुरक्षा दीर्घवृत्तीय वक्र बिंदु गुणन की गणना करने की क्षमता और मूल और उत्पाद बिंदुओं को दिए गए गुणन की गणना करने में असमर्थता पर निर्भर करती है। अण्डाकार वक्र का आकार, वक्र समीकरण को संतुष्ट करने वाले असतत पूर्णांक जोड़े की कुल संख्या से मापा जाता है, इस प्रकार इस समस्या की कठिनाई को निर्धारित करता है।

मानकों और प्रौद्योगिकी के यूएस राष्ट्रीय संस्थान (एनआईएसटी) ने अपने एनएसए सूट B सेट में अनुशंसित एल्गोरिदम के एलिप्टिक वक्र कूटलेखन का समर्थन किया है, विशेष रूप से प्रमुख एक्सचेंज के लिए एलिप्टिक-वक्रडिफी-हेलमैन (ईसीडीएच) और डिजिटल के लिए एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ईसीडीएसए) हस्ताक्षरित किया। अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (NSA) ने 384-बिट कुंजियों के साथ संयुक्त राज्य अमेरिका में वर्गीकृत जानकारी की सुरक्षा के लिए उनके उपयोग की अनुमति देती है।[2] चूंकि, अगस्त 2015 में, एनएसए ने घोषणा की कि ईसीसी पर क्वांटम कंप्यूटिंग पर आक्रमण करने के बारे में होने वाली चिंताओं के कारण सुइट B को नए सिफर सूट से बदलने की योजना बना रहा है।[3]

जबकि आरएसए पेटेंट 2000 में समाप्त हो गया था, ईसीसी के पेटेंट हो सकते हैं। चूंकि कुछ लोगों का यह तर्क है कि संयुक्त राज्य अमेरिका की संघीय सरकार एलिप्टिक वलय डिजिटल सिग्नेचर मानक (ECDSA; NIST FIPS 186-3) और कुछ व्यावहारिक ECC पर आधारित प्रमुख विनिमय योजनाएं (ECDH सहित) उनका उल्लंघन किए बिना कार्यान्वित की जा सकती हैं, जिनमें RSA सुरक्षा भी सम्मलित है।[4]

डेनियल जे. बर्नस्टीन[5] ने अण्डाकार वक्र कूटलेखन द्वारा संकेत किया गया कि प्राथमिक लाभ एक छोटा कुंजी का आकार है, भंडारण और संचरण आवश्यकताओं को कम करने[6] अर्थात एक दीर्घवृत्त वक्र समूह बड़े मापांक और संगत रूप से बड़ी कुंजी के साथ RSA (क्रिप्टोसिस्टम) पर आधारित प्रणाली द्वारा वहन किया गया, इस प्रकार समान सुरक्षा स्तर प्रदान करता है: उदाहरण के लिए, एक 256-बिट दीर्घवृत्ताकार वक्र सार्वजनिक कुंजी को 3072- के लिए तुलनीय सुरक्षा प्रदान करनी चाहिए। यहाँ बिट आरएसए के लिए सार्वजनिक कुंजी हैं।

इतिहास

कूटलेखन में अण्डाकार वक्रों के उपयोग का सुझाव स्वतंत्र रूप से नील कोब्लिट्ज द्वारा दिया गया था[7] और विक्टर एस मिलर[8] ने 1985 में अण्डाकार वक्र कूटलेखन एल्गोरिदम का 2004 से 2005 में व्यापक उपयोग किया।

सिद्धांत

वर्तमान कूटलेखन उद्देश्यों के लिए, एक दीर्घवृत्त वक्र पर परिमित क्षेत्र (वास्तविक संख्याओं के अतिरिक्त) के लिए एक समतल वक्र है जिसमें समीकरण को संतुष्ट करने वाले बिंदु होते हैं:

अनंत ∞ पर एक विशिष्ट बिंदु के साथ यहाँ निर्देशांक विशेषता (बीजगणित) को एक निश्चित परिमित क्षेत्र से चुना जाना हैं इन क्षेत्रों की स्थिति 2 या 3 के बराबर नहीं है, या वक्र समीकरण कुछ अधिक जटिल होगा।

यह दीर्घवृत्त वक्र के साथ एक साथ इस समूह के नियम की पहचान तत्व के रूप में अनंत पर बिंदु के साथ एबेलियन समूह है। इस समूह की संरचना अंतर्निहित बीजगणितीय विविधता के विभाजक (बीजीय ज्यामिति) से विरासत में मिली है:

कूटलेखन योजनाएँ

कई असतत लघुगणक-आधारित प्रोटोकॉल को समूह की जगह, अण्डाकार वक्रों के लिए अनुकूलित किया गया है एक अण्डाकार वक्र के साथ:

  • एल्लिप्टिक-वक्र डिफी-हेलमैन (ईसीडीएच) प्रमुख अनुबंध योजना डिफी-हेलमैन योजना पर आधारित है,
  • एलिप्टिक वक्रइंटीग्रेटेड कूटलेखन स्कीम (ECIES), जिसे एलिप्टिक वक्रऑगमेंटेड कूटलेखन स्कीम या केवल एलिप्टिक वक्र कूटलेखन स्कीम के रूप में भी जाना जाता है,
  • एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ECDSA) डिजिटल सिग्नेचर एल्गोरिथम पर आधारित है,
  • हैरिसन के p-एडिक मैनहट्टन मीट्रिक का उपयोग करते हुए विरूपण योजना,
  • EdDSA|एडवर्ड्स-वक्रडिजिटल सिग्नेचर एल्गोरिथम (EdDSA) क्रोन सिग्नेचर पर आधारित है और ट्विस्टेड एडवर्ड्स वक्र का उपयोग करता है,
  • ईसीएमक्यूवी प्रमुख अनुबंध योजना मेनेजेस-क्यू-वनस्टोन कुंजी अनुबंध योजना पर आधारित है,
  • इंप्लिसिट सर्टिफिकेट इंप्लिसिट सर्टिफिकेट स्कीम।

आरएसए सम्मेलन 2005 में, राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने एनएसए सुइट बी की घोषणा की, जो विशेष रूप से डिजिटल हस्ताक्षर निर्माण और कुंजी विनिमय के लिए ईसीसी का उपयोग करता है। सुइट का उद्देश्य वर्गीकृत और अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों और सूचना दोनों की रक्षा करना है।[6]

जल्द ही[when?], विभिन्न अण्डाकार वक्र समूहों के लिए वील पेयरिंग और टेट पेयरिंग्स पर बिलिनियर मैपिंग पर आधारित बड़ी संख्या में कूटलेखन पुरातन निवेदित किए गए हैं। इन पुरातन पर आधारित योजनाएँ के लिए कुशल पहचान पर आधारित कूटलेखन के साथ-साथ जोड़ी-आधारित हस्ताक्षर, कूटलेखन, कुंजी अनुबंध और प्रॉक्सी पुनः-कूटलेखन प्रदान करती हैं।

कार्यान्वयन

कार्यान्वयन संबंधी कुछ सामान्य विचारों में सम्मलित हैं:

डोमेन पैरामीटर

ECC का उपयोग करने के लिए, सभी पक्षों को अण्डाकार वक्र को परिभाषित करने वाले सभी तत्वों, अर्थात योजना के डोमेन मापदंडों पर सहमत होना चाहिए। उपयोग किए गए क्षेत्र का आकार सामान्यतः या तो प्रधान होता है (और p के रूप में दर्शाया जाता है) या () होती है बाद वाली स्थिति को बाइनरी प्रकरण कहा जाता है, और एफ द्वारा निरूपित सहायक वक्र के लिए भी आवश्यकता होती है। इस प्रकार इस क्षेत्र को मुख्य केस में p और m और f की जोड़ी द्वारा परिभाषित किया गया है बाइनरी स्थिति में अण्डाकार वक्र को परिभाषित समीकरण में प्रयुक्त स्थिरांक a और b द्वारा परिभाषित किया गया है। अंत में, चक्रीय उपसमूह को उसके जनरेटर (या आधार बिंदु) g द्वारा परिभाषित किया गया है। कूटलेखन अनुप्रयोग के लिए g का क्रम (समूह सिद्धांत), जो सबसे छोटी सकारात्मक संख्या n है जैसे कि (वक्र की अनंतता पर बिंदु, और पहचान तत्व), सामान्य रूप से प्रमुख है। चूँकि n एक उपसमूह का आकार है यह लैग्रेंज के प्रमेय (समूह सिद्धांत) से आता है | लैग्रेंज की प्रमेय इस तरह हैं कि संख्या एक पूर्णांक है। कूटलेखन अनुप्रयोगों में यह संख्या h, जिसे कॉफ़ेक्टर कहा जाता है और इसका मान कम से कम () और अधिकतम से अधिकतम होना चाहिए संक्षेप में: प्रमुख स्थिति में, डोमेन पैरामीटर हैं ; बाइनरी स्थिति में, वे हैं,

जब तक इस बात का कोई आश्वासन नहीं है कि डोमेन पैरामीटर उनके उपयोग के संबंध में भरोसेमंद पार्टी द्वारा उत्पन्न किए गए थे, डोमेन पैरामीटर को उपयोग से पहले सत्यापित किया जाना चाहिए।
डोमेन मापदंडों की पीढ़ी सामान्यतः प्रत्येक प्रतिभागी द्वारा नहीं की जाती है क्योंकि इसमें अण्डाकार वक्रों पर गणना बिंदुओं की गणना करना सम्मलित होता है जो समय लेने वाली और लागू करने में परेशानी होती है। परिणामस्वरूप, कई मानक निकायों ने कई सामान्य क्षेत्र आकारों के लिए अंडाकार वक्रों के डोमेन पैरामीटर प्रकाशित किए। ऐसे डोमेन मापदंडों को सामान्यतः मानक वक्र या नामांकित वक्र के रूप में जाना जाता है; एक नामित वक्र को या तो नाम से या मानक दस्तावेजों में परिभाषित अद्वितीय वस्तु पहचानकर्ता द्वारा संदर्भित किया जा सकता है:

  • एनआईएसटी, [9]
  • SECG, [10]
  • ईसीसी ब्रेनपूल [11]

एसईसीजी टेस्ट वैक्टर भी उपलब्ध हैं।[12] एनआईएसटी ने कई एसईसीजी वक्रों को स्वीकृति दी है, इसलिए एनआईएसटी और एसईसीजी द्वारा प्रकाशित विनिर्देशों के बीच एक महत्वपूर्ण ओवरलैप है। EC डोमेन पैरामीटर या तो मान या नाम से निर्दिष्ट किए जा सकते हैं।

यदि कोई अपने स्वयं के डोमेन मापदंडों का निर्माण करना चाहता है, तो उसे अंतर्निहित क्षेत्र का चयन करना चाहिए और फिर निम्न विधियों में से किसी एक का उपयोग करके उपयुक्त (अर्थात, प्रधान के पास) अंक के साथ वक्र खोजने के लिए निम्नलिखित रणनीतियों में से एक का उपयोग करना चाहिए।:

  • एक यादृच्छिक वक्र का चयन करें और एक सामान्य बिंदु-गिनती एल्गोरिथ्म का उपयोग करें, उदाहरण के लिए, स्कूफ़ का एल्गोरिथम या स्कूफ़-एल्कीज़-एटकिन एल्गोरिथम,
  • इस समूह के लिए एक यादृच्छिक वक्र का चयन करें जो अंकों की संख्या की आसान गणना की अनुमति देता है (जैसे, कोब्लिट्ज वक्र), या
  • अंकों की संख्या का चयन करें और जटिल गुणन तकनीक का उपयोग करके इस संख्या के साथ एक वक्र उत्पन्न करें।[13]

वक्र के कई वर्ग निर्बल हैं और इनसे बचा जाना चाहिए:

  • घटता है नॉन-मुख्य मी के साथ वील डिसेंट आक्रमण की चपेट में हैं।[14][15]
  • ऐसे वक्र करता है कि n विभाजित होता है (जहाँ p क्षेत्र की विशेषता है: q एक प्रमुख क्षेत्र के लिए, या एक बाइनरी क्षेत्र के लिए) पर्याप्त रूप से छोटे b के लिए मेनेजेस-ओकामोटो-वनस्टोन (एमओवी) आक्रमण के लिए कमजोर हैं[16][17] के एक छोटे-डिग्री विस्तार क्षेत्र में सामान्य असतत लघुगणक समस्या (DLP) लागू होती है ईसीडीएलपी को हल करने के लिए। बाउंड b को चुना जाना चाहिए जिससे क्षेत्र में असतत लघुगणक हो अण्डाकार वक्र पर असतत लॉग के रूप में गणना करना कम से कम कठिन है .[18]
  • के योगात्मक समूह के लिए वक्र पर बिंदुओं को मैप करने वाले आक्रमण के प्रति संवेदनशील हैं .[19][20][21]

मुख्य आकार

क्योंकि सबसे तेज़ ज्ञात एल्गोरिदम जो किसी ECDLP को (बेबी-स्टेप जायंट-स्टेप, पोलार्ड के rho एल्गोरिदम के लिए लघुगणक | पोलार्ड के rho, आदि) को हल करने की अनुमति देते हैं, की आवश्यकता है, इस चरण में यह निम्नानुसार है कि अंतर्निहित क्षेत्र का आकार सुरक्षा पैरामीटर से लगभग दोगुना होना चाहिए। उदाहरण के लिए, 128-बिट सुरक्षा के लिए एक वक्रओवर की आवश्यकता होती है, जहाँ पर को इसके परिमित-क्षेत्र कूटलेखन (उदाहरण के लिए, डिजिटल हस्ताक्षर एल्गोरिदम) से अलग किया जा सकता है जिसके लिए आवश्यक है 3072-बिट सार्वजनिक कुंजियाँ और 256-बिट निजी कुंजियाँ, और पूर्णांक कारक के लिए कूटलेखन (जैसे, RSA (एल्गोरिदम)) हैं जिसके फलस्वरूप n के 3072-बिट मान की आवश्यकता होती है,[22] जहाँ निजी कुंजी उतनी ही बड़ी होनी चाहिए। चूंकि, कुशल कूटलेखन को समायोजित करने के लिए सार्वजनिक कुंजी छोटी हो सकती है, मुख्यतः जब प्रसंस्करण पावर सीमित हो।

आज तक की सबसे कठिन ईसीसी योजना (सार्वजनिक रूप से) तोड़ी गई[when?] मुख्य फील्ड केस के लिए 112-बिट कुंजी और बाइनरी क्षेत्र केस के लिए 109-बिट कुंजी थी। मुख्य फील्ड केस के लिए, यह जुलाई 2009 में 200 से अधिक PlayStation 3 गेम कंसोल के स्तवक का उपयोग करके तोड़ा गया था और लगातार चलने पर इस क्लस्टर का उपयोग करके 3.5 महीनों में समाप्त किया जा सकता था।[23] बाइनरी फील्ड केस को अप्रैल 2004 में 17 महीनों में 2600 कंप्यूटरों का उपयोग करके तोड़ दिया गया था।[24]

एक वर्तमान परियोजना विभिन्न हार्डवेयर की एक विस्तृत श्रृंखला का उपयोग करके सर्टिकॉम द्वारा ECC2K-130 चुनौती को तोड़ने का लक्ष्य बना रही है: सीपीयू, जीपीयू, एफपीजीए।[25]

प्रक्षेपी निर्देशांक

जोड़ के नियमों की बारीकी से जांच से पता चलता है कि दो बिंदुओं को जोड़ने के लिए, किसी } को न केवल कई जोड़ और गुणा की आवश्यकता होती है लेकिन एक व्युत्क्रम ऑपरेशन की भी, व्युत्क्रम (दिए गए के लिए पाना ऐसा है कि ) परिमाण धीमी के गुणन की तुलना में एक से दो क्रम है।[26] चूंकि, एक वक्र पर बिंदुओं को विभिन्न समन्वय प्रणालियों में दर्शाया जा सकता है, जिन्हें दो बिंदुओं को जोड़ने के लिए व्युत्क्रम ऑपरेशन की आवश्यकता नहीं होती है। ऐसी कई प्रणालियाँ प्रस्तावित थीं: प्रक्षेपी प्रणाली में प्रत्येक बिंदु को तीन निर्देशांकों द्वारा दर्शाया गया है निम्नलिखित संबंध का उपयोग करना: , ; जेकोबियन प्रणाली में एक बिंदु को तीन निर्देशांकों के साथ भी दर्शाया जाता है, लेकिन एक अलग संबंध प्रयोग किया जाता है: , ; लोपेज़-दहाब प्रणाली में संबंध है , ; संशोधित जेकोबियन प्रणाली में समान संबंधों का उपयोग किया जाता है लेकिन चार निर्देशांक संग्रहीत किए जाते हैं और गणना के लिए उपयोग किए जाते हैं; और चुडनोवस्की जैकोबियन प्रणाली में पांच निर्देशांकों का उपयोग किया जाता है . ध्यान दें कि अलग-अलग नामकरण प्रथाएं हो सकती हैं, उदाहरण के लिए, IEEE P1363-2000 मानक प्रक्षेपी निर्देशांक का उपयोग करता है जिसे सामान्यतः जैकोबियन निर्देशांक कहा जाता है। यदि मिश्रित निर्देशांकों का उपयोग किया जाता है तो अतिरिक्त गति-अप संभव है।[27]

तेजी से कमी (NIST घटता)

रिडक्शन मोडुलो पी (जो जोड़ और गुणा के लिए आवश्यक है) को बहुत तेजी से निष्पादित किया जा सकता है यदि मुख्य पी एक छद्म-मर्सेन मुख्य है, अर्थात ; उदाहरण के लिए, या बैरेट रिडक्शन की तुलना में परिमाण गति-अप का एक क्रम हो सकता है।[28] यहां स्पीड-अप सैद्धांतिक के अतिरिक्त एक व्यावहारिक है, और इस तथ्य से निकला है कि दो की घात के पास संख्या के विरुद्ध संख्याओं का मॉड्यूल बाइनरी नंबरों पर काम करने वाले कंप्यूटरों द्वारा कुशलता से निष्पादित किया जा सकता है।

स्यूडो-मर्सेन पी के साथ एनआईएसटी द्वारा पक्षसमर्थन किया जाता है। फिर भी NIST वक्रों का एक और लाभ यह है कि वे a= −3 का उपयोग करते हैं, जो जैकोबियन निर्देशांकों में योग को ज्यादा अच्छा बनाता है।

बर्नस्टीन और लैंग के अनुसार, NIST FIPS 186-2 में दक्षता संबंधी कई निर्णय उप-इष्टतम हैं। अन्य वक्र अधिक सुरक्षित हैं और उतनी ही तेजी से चलते हैं।[29]

अनुप्रयोग

कूटलेखन, डिजिटल हस्ताक्षर, CPRNG | छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए अण्डाकार वक्र लागू होते हैं। उनका उपयोग कई पूर्णांक फ़ैक्टराइज़ेशन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे लेनस्ट्रा इलिप्टिक-वक्रफ़ैक्टराइज़ेशन।

1999 में, NIST ने पंद्रह अण्डाकार वक्रों की सिफारिश की। विशेष रूप से, FIPS 186-4[30] दस अनुशंसित परिमित क्षेत्र हैं:

  • पांच प्रमुख क्षेत्र 192, 224, 256, 384, और आकार के कुछ अभाज्य p के लिए 521 बिट्स। प्रत्येक प्रमुख क्षेत्रों के लिए, एक अंडाकार वक्र की सिफारिश की जाती है।
  • पांच बाइनरी फ़ील्ड मी बराबर 163, 233, 283, 409, और 571 के लिए। प्रत्येक बाइनरी फ़ील्ड के लिए, एक अंडाकार वक्र और एक नील कोब्लिट्ज वक्र का चयन किया गया था।

NIST अनुशंसा में इस प्रकार कुल पाँच प्रमुख वक्र और दस बाइनरी वक्र सम्मलित हैं। इष्टतम सुरक्षा और कार्यान्वयन दक्षता के लिए घटता को स्पष्ट रूप से चुना गया था।[31] 2013 में, द न्यूयॉर्क टाइम्स ने कहा कि दोहरी ईसी डीआरबीजी (या डुअल_ईसी_डीआरबीजी) को एनएसए के प्रभाव के कारण एनआईएसटी राष्ट्रीय मानक के रूप में सम्मलित किया गया था, जिसमें एल्गोरिथम में जानबूझकर कमजोरी और अनुशंसित अंडाकार वक्र सम्मलित था।[32] आरएसए सुरक्षा ने सितंबर 2013 में एक सलाह जारी की थी जिसमें सिफारिश की गई थी कि इसके ग्राहक द्वैध_EC_DRBG पर आधारित किसी भी सॉफ़्टवेयर का उपयोग करना बंद कर दें।[33][34] एक NSA अंडरकवर ऑपरेशन के रूप में Dual_EC_DRBG के जोखिम के मद्देनज़र, कूटलेखन विशेषज्ञों ने भी NIST अनुशंसित दीर्घवृत्त वक्रों की सुरक्षा पर चिंता व्यक्त की है,[35] गैर-अण्डाकार-वक्र समूहों के आधार पर कूटलेखन पर लौटने का सुझाव।

अण्डाकार वक्र कूटलेखन का उपयोग क्रिप्टोक्यूरेंसी बिटकॉइन द्वारा किया जाता है।[36]

एथेरियम Eth2 | संस्करण 2.0 बीएलएस हस्ताक्षरों का उपयोग करके अण्डाकार वक्र जोड़े का व्यापक उपयोग करता है - जैसा कि आईईटीएफ ड्राफ्ट बीएलएस विनिर्देश में निर्दिष्ट है—कूटलेखन रूप से आश्वस्त करने के लिए कि एक विशिष्ट Eth2 सत्यापनकर्ता ने वास्तव में एक विशेष लेनदेन को सत्यापित किया है।[37][38]

सुरक्षा

साइड-चैनल आक्रमण

अधिकांश अन्य असतत लघुगणक प्रणालियों के विपरीत (जहां वर्ग और गुणन के लिए एक ही प्रक्रिया का उपयोग करना संभव है), ईसी जोड़ दोहरीकरण (p = q) और सामान्य जोड़ (p ≠ q) के लिए उपयोग की गई समन्वय प्रणाली के आधार पर बहुत अलग है। परिणामस्वरूप, साइड-चैनल आक्रमण(उदाहरण के लिए, समय या पावर विश्लेषण | सरल/अंतर शक्ति विश्लेषण आक्रमण) की कल्पना करना महत्वपूर्ण है, उदाहरण के लिए, निश्चित पैटर्न विंडो (ए.के.ए. कॉम्ब) विधियों का उपयोग करना[clarification needed][39] (ध्यान दें कि यह गणना समय में वृद्धि नहीं करता है)। वैकल्पिक रूप से कोई एडवर्ड्स वक्र का उपयोग करता है; यह अण्डाकार वक्रों का एक विशेष परिवार है जिसके लिए एक ही ऑपरेशन के साथ दोहरीकरण और जोड़ किया जा सकता है।[40] ईसीसी-सिस्टम के लिए एक और चिंता विभेदक गलती विश्लेषण का खतरा है, विशेषतः स्मार्ट कार्ड पर चलते समय।[41]

पिछले विकल्प

कूटलेखन विशेषज्ञों ने चिंता व्यक्त की है कि राष्ट्रीय सुरक्षा एजेंसी ने कम से कम एक अण्डाकार वक्र-आधारित छद्म यादृच्छिक जनरेटर में एक क्लेप्टोग्राफ़िक बैकडोर डाला है।[42] पूर्व NSA ठेकेदार एडवर्ड स्नोडेन द्वारा लीक किए गए आंतरिक मेमो सुझाव देते हैं कि NSA ने दोहरे EC DRBG मानक में एक विकल्प को रखा।[43] संभावित विकल्प के एक विश्लेषण ने निष्कर्ष निकाला कि एल्गोरिदम की गुप्त कुंजी के कब्जे में एक विरोधी पीआरएनजी आउटपुट के केवल 32 बाइट्स दिए गए कूटलेखन कुंजी प्राप्त कर सकता है।[44]

सुरक्षित वक्र प्रोजेक्ट को कैटलॉग वक्र के लिए लॉन्च किया गया है जो कि सुरक्षित रूप से लागू करना सरल है और बैकडोर की संभावना को कम करने के लिए पूरी तरह से सार्वजनिक रूप से सत्यापन योग्य तरीके से डिज़ाइन किया गया है।[45]

क्वांटम कंप्यूटिंग आक्रमण

शोर के एल्गोरिथ्म का उपयोग काल्पनिक क्वांटम कंप्यूटिंग पर असतत लघुगणक की गणना करके अण्डाकार वक्र कूटलेखन को तोड़ने के लिए किया जा सकता है। 256-बिट मापांक (128-बिट सुरक्षा स्तर) के साथ वक्र को तोड़ने के लिए नवीनतम क्वांटम संसाधन का अनुमान 2330 क्विबिट और 126 बिलियन टोफोली गेट्स हैं।[46] द्विआधारी अण्डाकार वक्र स्थितियोंे के लिए, 906 qubits आवश्यक हैं (सुरक्षा के 128 बिट्स को तोड़ने के लिए)।[47] इसकी तुलना में, आरएसए (क्रिप्टोसिस्टम) एल्गोरिदम को तोड़ने के लिए शोर के एल्गोरिदम का उपयोग करने के लिए 2048-बिट आरएसए कुंजी के लिए 4098 क्विबिट्स और 5.2 ट्रिलियन टोफोली गेट्स की आवश्यकता होती है, यह सुझाव देते हुए कि ईसीसी आरएसए की तुलना में क्वांटम कंप्यूटरों के लिए एक आसान लक्ष्य है। ये सभी आंकड़े अब तक बनाए गए किसी भी क्वांटम कंप्यूटर से बहुत अधिक हैं, और अनुमान है कि ऐसे कंप्यूटरों का निर्माण एक दशक या उससे अधिक दूर है।[citation needed][48]

सुपरसिंगुलर आइसोजेनी की एक्सचेंज, सुपरसिंगुलर आइसोजेनी डिफी-हेलमैन की एक्सचेंज ने पोस्ट-क्वांटम कूटलेखन प्रदान करने का अनुरोध किया है। डिफी-हेलमैन प्रमुख एक्सचेंजों को लागू करने के लिए आइसोजिनीज का उपयोग करके एलिप्टिक वक्रकूटलेखन का पोस्ट-क्वांटम सुरक्षित रूप। यह कुंजी विनिमय सम्मलिता अण्डाकार वक्र कूटलेखन के रूप में समान क्षेत्र अंकगणित का उपयोग करता है और वर्तमान में उपयोग की जाने वाली कई सार्वजनिक कुंजी प्रणालियों के समान कम्प्यूटेशनल और ट्रांसमिशन ओवरहेड की आवश्यकता होती है।[49] चूंकि, नए मूल आक्रमण ने इस प्रोटोकॉल की सुरक्षा को कम कर दिया।[50]

अगस्त 2015 में, एनएसए ने घोषणा की कि उसने निकट भविष्य में एक नए सिफर सुइट में परिवर्तन करने की योजना बनाई है जो क्वांटम कंप्यूटिंग आक्रमण के लिए प्रतिरोधी है। दुर्भाग्य से, अण्डाकार वक्र उपयोग की वृद्धि क्वांटम कंप्यूटिंग पर अनुसंधान में निरंतर प्रगति के तथ्य के विरुद्ध टकरा गई है, जिससे हमारी कूटलेखन रणनीति का पुनर्मूल्यांकन आवश्यक हो गया है।[3]

अमान्य वक्र आक्रमण

जब वर्चुअल मशीन में ECC का उपयोग किया जाता है, तो एक हमलावर पूर्ण PDH निजी कुंजी प्राप्त करने के लिए अमान्य वक्र का उपयोग कर सकता है।[51]

पेटेंट

कम से कम एक ईसीसी योजना (ईसीएमक्यूवी) और कुछ कार्यान्वयन तकनीकों को पेटेंट द्वारा कवर किया गया है।

वैकल्पिक प्रतिनिधित्व

अण्डाकार वक्रों के वैकल्पिक निरूपण में सम्मलित हैं:

  • हेसियन वक्र
  • एडवर्ड्स वक्र
  • मुड़े हुए वक्र
  • मुड़ हेस्सियन वक्र
  • ट्विस्टेड एडवर्ड्स कर्व
  • दोहरीकरण-उन्मुख डोचे-इकार्ट-कोहेल वक्र
  • ट्रिपलिंग-उन्मुख डोचे-इकार्ट-कोहेल वक्र
  • जेकोबियन वक्र
  • मोंटगोमरी वक्र

यह भी देखें

  • क्रिप्टोक्यूरेंसी
  • वक्र25519
  • चार क्यू
  • डीएनएस कर्व
  • आरएसए (क्रिप्टोसिस्टम)
  • ईसीसी पेटेंट
  • अण्डाकार-वक्र डिफी-हेलमैन (ECDH)
  • अण्डाकार वक्र डिजिटल हस्ताक्षर एल्गोरिथम (ECDSA)
  • एडडीएसए
  • ईसीएमक्यूवी
  • अण्डाकार वक्र बिंदु गुणन
  • नेटवर्क कोडिंग के लिए होमोमोर्फिक हस्ताक्षर
  • हाइपरेलिप्टिक वक्र क्रिप्टोग्राफी
  • जोड़ी आधारित क्रिप्टोग्राफी
  • सार्वजनिक कुंजी क्रिप्टोग्राफी
  • क्वांटम क्रिप्टोग्राफी
  • सुपरसिंगुलर आइसोजेनी की एक्सचेंज


टिप्पणियाँ

  1. Commercial National Security Algorithm Suite and Quantum Computing FAQ U.S. National Security Agency, January 2016.
  2. "फैक्ट शीट एनएसए सूट बी क्रिप्टोग्राफी". U.S. National Security Agency. Archived from the original on 2009-02-07.
  3. 3.0 3.1 "वाणिज्यिक राष्ट्रीय सुरक्षा एल्गोरिथम सूट". www.nsa.gov. 19 August 2015. Archived from the original on 2019-06-04. Retrieved 2020-01-08.
  4. RSA Laboratories. "6.3.4 क्या अण्डाकार वक्र क्रिप्टोसिस्टम पेटेंट हैं?". Archived from the original on 2016-11-01.
  5. Bernstein, D. J. "एलिप्टिक-वक्र क्रिप्टोग्राफी पर अप्रासंगिक पेटेंट".
  6. 6.0 6.1 "अण्डाकार वक्र क्रिप्टोग्राफी का मामला". NSA. Archived from the original on 2009-01-17.
  7. Koblitz, N. (1987). "अण्डाकार वक्र क्रिप्टोसिस्टम". Mathematics of Computation. 48 (177): 203–209. doi:10.2307/2007884. JSTOR 2007884.
  8. Miller, V. (1985). "Use of elliptic curves in cryptography". क्रिप्टोलॉजी में अग्रिम - CRYPTO '85 कार्यवाही. pp. 417–426. doi:10.1007/3-540-39799-X_31. ISBN 978-3-540-16463-0. {{cite book}}: |journal= ignored (help)
  9. सरकारी उपयोग के लिए अनुशंसित एलिप्टिक वक्र
  10. SEC 2: रेकमेंडेड एलिप्टिक वक्रडोमेन पैरामीटर्स
  11. (RFC 5639), ECC Brainpool Standard Curves and Curve Generation Archived 2018-04-17 at the Wayback Machine
  12. "जीईसी 2: एसईसी 1 के लिए टेस्ट वैक्टर" (PDF). www.secg.org. Archived from the original (PDF download) on 2013-06-06.
  13. Lay, Georg-Johann; Zimmer, Horst G. (1994). "Constructing elliptic curves with given group order over large finite fields". एल्गोरिथम संख्या सिद्धांत. Lecture Notes in Computer Science. Vol. 877. pp. 250–263. doi:10.1007/3-540-58691-1_64. ISBN 978-3-540-58691-3.
  14. Galbraith, S. D.; Smart, N. P. (1999). "A Cryptographic Application of Weil Descent". वेइल वंश का एक क्रिप्टोग्राफ़िक अनुप्रयोग. p. 799. doi:10.1007/3-540-46665-7_23. ISBN 978-3-540-66887-9. S2CID 15134380. {{cite book}}: |work= ignored (help)
  15. Gaudry, P.; Hess, F.; Smart, N. P. (2000). "अण्डाकार वक्रों पर वील वंश के रचनात्मक और विनाशकारी पहलू" (PDF). Hewlett Packard Laboratories Technical Report.
  16. Menezes, A.; Okamoto, T.; Vanstone, S. A. (1993). "परिमित क्षेत्र में दीर्घवृत्तीय वक्र लघुगणक को लघुगणक में कम करना". IEEE Transactions on Information Theory. 39 (5): 1639–1646. doi:10.1109/18.259647.
  17. Hitt, L. (2006). "एंबेडिंग डिग्री की बेहतर परिभाषा पर". IACR ePrint Report. 415.
  18. IEEE P1363, section A.12.1
  19. Semaev, I. (1998). "पी के एक समूह में असतत लघुगणक का मूल्यांकन - विशेषता पी में एक अण्डाकार वक्र के मरोड़ बिंदु". Mathematics of Computation. 67 (221): 353–356. Bibcode:1998MaCom..67..353S. doi:10.1090/S0025-5718-98-00887-4.
  20. Smart, N. (1999). "ट्रेस वन के अण्डाकार वक्रों पर असतत लघुगणक समस्या". Journal of Cryptology. 12 (3): 193–196. CiteSeerX 10.1.1.17.1880. doi:10.1007/s001459900052. S2CID 24368962.
  21. Satoh, T.; Araki, K. (1998). "विषम अण्डाकार वक्रों के लिए फर्मेट भागफल और बहुपद समय असतत लॉग एल्गोरिथ्म". Commentarii Mathematici Universitatis Sancti Pauli. 47.
  22. NIST, Recommendation for Key Management—Part 1: general, Special Publication 800-57, August 2005.
  23. "112-बिट प्राइम ECDLP हल - LACAL". lacal.epfl.ch. Archived from the original on 2009-07-15. Retrieved 2009-07-11.
  24. "सर्टिकॉम ने एलिप्टिक कर्व क्रिप्टोग्राफी चैलेंज विजेता की घोषणा की". Certicom. April 27, 2004. Archived from the original on 2011-07-19.
  25. "ब्रेकिंग ECC2K-130". www.ecc-challenge.info.
  26. Hitchcock, Y.; Dawson, E.; Clark, A.; Montague, P. (2002). "एक स्मार्ट कार्ड पर जीएफ (पी) पर एक कुशल अण्डाकार वक्र क्रिप्टोसिस्टम लागू करना" (PDF). ANZIAM Journal. 44. Archived from the original (PDF) on 2006-03-27.
  27. Cohen, H.; Miyaji, A.; Ono, T. (1998). मिश्रित निर्देशांकों का उपयोग करते हुए कुशल अण्डाकार वक्र घातांक. pp. 51–65. doi:10.1007/3-540-49649-1_6. ISBN 978-3-540-65109-3. {{cite book}}: |journal= ignored (help)
  28. Brown, M.; Hankerson, D.; Lopez, J.; Menezes, A. (2001). प्राइम फील्ड्स पर एनआईएसटी एलिप्टिक कर्व्स का सॉफ्टवेयर कार्यान्वयन. pp. 250–265. CiteSeerX 10.1.1.25.8619. doi:10.1007/3-540-45353-9_19. ISBN 978-3-540-41898-6. {{cite book}}: |journal= ignored (help)
  29. Daniel J. Bernstein & Tanja Lange. "SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना". Retrieved 1 December 2013.
  30. Technology, National Institute of Standards and (2013-07-19). "डिजिटल हस्ताक्षर मानक (डीएसएस)" (in English). doi:10.6028/NIST.FIPS.186-4. {{cite journal}}: Cite journal requires |journal= (help)
  31. FIPS PUB 186-3, Digital Signature Standard (DSS).
  32. Perlroth, Nicole; Larson, Jeff; Shane, Scott (2013-09-05). "एन.एस.ए. वेब पर गोपनीयता के बुनियादी सुरक्षा उपायों को विफल करने में सक्षम". New York Times. Archived from the original on 2022-01-01. Retrieved 28 October 2018.
  33. Kim Zetter, RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm Wired, 19 September 2013. "Recommending against the use of SP 800-90A Dual Elliptic Curve Deterministic Random Bit Generation: NIST strongly recommends that, pending the resolution of the security concerns and the re-issuance of SP 800-90A, the Dual_EC_DRBG, as specified in the January 2012 version of SP 800-90A, no longer be used."
  34. "खोज - सीएसआरसी". csrc.nist.gov.
  35. Bruce Schneier (5 September) "I no longer trust the constants. I believe the NSA has manipulated them through their relationships with industry." See Are the NIST Standard Elliptic Curves Back-doored?, Slashdot, 11 September 2013.
  36. "मास्टरिंग बिटकॉइन दूसरा संस्करण - एंड्रियास एम। एंटोनोपोलोस". github.com. 2018-10-05.
  37. "एथेरियम 2.0 चरण 0 - बीकन चेन: बीएलएस हस्ताक्षर". GitHub. 28 July 2020. Retrieved 4 September 2020.
  38. Dan Boneh; Ben Lynn & Hovav Shacham (2004). "वील पेयरिंग से लघु हस्ताक्षर". Journal of Cryptology. 17 (4): 297–319. CiteSeerX 10.1.1.589.9141. doi:10.1007/s00145-004-0314-9. S2CID 206885645.
  39. Hedabou, M.; Pinel, P.; Beneteau, L. (2004). "साइड चैनल हमलों के खिलाफ ईसीसी प्रतिरोधी प्रस्तुत करने के लिए एक कंघी विधि" (PDF). {{cite journal}}: Cite journal requires |journal= (help)
  40. "Cr.yp.to: 2014.03.23: कैसे एक अंडाकार-वक्र हस्ताक्षर प्रणाली डिजाइन करने के लिए".
  41. See, for example, Biehl, Ingrid; Meyer, Bernd; Müller, Volker (2000). Differential Fault Attacks on Elliptic Curve Cryptosystems (PDF). pp. 131–146. doi:10.1007/3-540-44598-6_8. ISBN 978-3-540-67907-3. {{cite book}}: |journal= ignored (help)
  42. "Did NSA Put a Secret Backdoor in New Encryption Standard?". www.schneier.com.
  43. "सरकार ने एन्क्रिप्शन मानकों पर विश्वास बहाल करने के लिए कदमों की घोषणा की". NY Times – Bits Blog. 2013-09-10. Retrieved 2015-11-06.
  44. http://rump2007.cr.yp.to/15-shumow.pdf[bare URL PDF]
  45. Bernstein, Daniel J.; Lange, Tanja. "SafeCurves: दीर्घवृत्त-वक्र क्रिप्टोग्राफी के लिए सुरक्षित वक्र चुनना". Retrieved October 1, 2016.
  46. Roetteler, Martin; Naehrig, Michael; Svore, Krysta M.; Lauter, Kristin (2017). "अण्डाकार वक्र असतत लघुगणक की गणना के लिए क्वांटम संसाधन अनुमान". arXiv:1706.06752 [quant-ph].
  47. Banegas, G.; Bernstein, D. J.; Hoof, I. van; Lange, T. (2020). "Concrete quantum cryptanalysis of binary elliptic curves" (PDF). {{cite journal}}: Cite journal requires |journal= (help)
  48. Holmes, David (September 7, 2021). "आरएसए एक "प्री-पोस्ट-क्वांटम" कम्प्यूटिंग वर्ल्ड में". f5. Archived from the original on 2020-08-08. Retrieved March 16, 2021.
  49. De Feo, Luca; Jao, Plut (2011). "सुपरसिंगुलर इलिप्टिक कर्व आइसोजिनीज से क्वांटम-प्रतिरोधी क्रिप्टोसिस्टम की ओर". Cryptology ePrint Archive, Report 2011/506. IACR. Archived from the original on 2014-05-03. Retrieved 3 May 2014.
  50. Robert, Damien (2022). "SIDH को बहुपद समय में तोड़ना". Cryptology ePrint Archive (in English).
  51. Cohen, Cfir (25 June 2019). "AMD-SEV: अमान्य वक्र हमले के माध्यम से प्लेटफ़ॉर्म DH कुंजी पुनर्प्राप्ति (CVE-2019-9836)". Seclist Org. Archived from the original on 2 July 2019. Retrieved 4 July 2019. SEV दीर्घवृत्त-वक्र (ECC) कार्यान्वयन को अमान्य वक्र आक्रमण के लिए असुरक्षित पाया गया। लॉन्च-स्टार्ट कमांड पर, हमलावर आधिकारिक एनआईएसटी घटता पर नहीं छोटे ऑर्डर ईसीसी अंक भेज सकता है, और फर्मवेयर के निजी डीएच स्केलर द्वारा एसईवी फर्मवेयर को एक छोटे ऑर्डर बिंदु को गुणा करने के लिए मजबूर कर सकता है।


संदर्भ

बाहरी संबंध