Elliptic Curve Integrated Encryption Scheme

Das Elliptic Curve Integrated Encryption Scheme (ECIES) i​st ein hybrides Verschlüsselungsverfahren, d​em elliptische Kurven zugrunde liegen. Als Hybridverfahren kombiniert e​s ein asymmetrisches Verfahren, d​as zum Versenden e​ines symmetrischen Schlüssels benutzt wird, m​it einem symmetrischen Verschlüsselungsverfahren, d​as mit diesem symmetrischen Schlüssel d​ie Nachricht verschlüsselt. ECIES i​st im Random-Oracle-Modell sicher g​egen Chosen-Ciphertext-Angriffe.

Einrichtung des Schemas

Folgende Hilfsmittel werden benötigt:

• KDF (Key Derivation Function): eine kryptographische Hashfunktion, die Schlüssel beliebiger Länge erzeugen kann
• MAC (Message Authentication Code)
• Ein symmetrisches Verschlüsselungsverfahren mit Verschlüsselungsalgorithmus ${\displaystyle E}$ und Entschlüsselungsalgorithmus ${\displaystyle D}$

Systemparameter

• ${\displaystyle \mathbb {F} _{p}}$, ${\displaystyle p}$ Primzahl
• Elliptische Kurve E: ${\displaystyle Y^{2}=X^{3}+aX+b}$ über dem Körper ${\displaystyle \mathbb {F} _{p}}$
• ${\displaystyle P\in E(\mathbb {F} _{p})}$ mit ${\displaystyle ord(P)=n}$ prim
• ${\displaystyle h={\frac {\mid E(\mathbb {F} _{p})\mid }{n}}}$

Schlüsselerzeugung

Ein Teilnehmer ${\displaystyle A}$ wählt einen geheimen Schlüssel ${\displaystyle d_{A}\in \{1,...,n-1\}}$ zufällig und berechnet daraus seinen öffentlichen Schlüssel ${\displaystyle EK_{A}=d_{A}P}$.

Verschlüsselung

Um eine Nachricht ${\displaystyle m\in \{0,1\}^{*}}$ mit einem öffentlichen Schlüssel ${\displaystyle EK_{A}}$ zu verschlüsseln, wird ein Diffie-Hellman-Schlüsselaustausch in einer elliptischen Kurve mit einem symmetrischen Verfahren kombiniert.

1. Wähle eine Zufallszahl ${\displaystyle k\in \{1,...,n-1\}}$
2. Berechne ${\displaystyle R=kP}$ und ${\displaystyle Z=hk\cdot EK_{A}}$
3. Bestimme die symmetrischen Schlüssel ${\displaystyle k_{1}||k_{2}=KDF(Z_{x})}$. ${\displaystyle Z_{x}}$ ist die x-Koordinate von ${\displaystyle Z}$
4. Berechne ${\displaystyle C=E_{k_{1}}(m)}$ und ${\displaystyle T=MAC_{k_{2}}(C)}$
5. Sende ${\displaystyle (R,C,T)}$

Entschlüsselung

Um ein Chiffrat ${\displaystyle (R,C,T)}$ mit einem geheimen Schlüssel ${\displaystyle d_{A}}$ zu entschlüsseln, werden die folgenden Schritte durchgeführt.

1. Berechne ${\displaystyle Z=hd_{A}R}$
2. Bestimme die beiden Schlüssel ${\displaystyle k_{1}||k_{2}=KDF(Z_{x})}$
3. Prüfe ob ${\displaystyle T=MAC_{k_{2}}(C)}$ ist
4. Erhalte ${\displaystyle m=D_{k_{1}}(C)}$

Fazit

ECIES arbeitet korrekt, wenn ${\displaystyle Z}$ korrekt berechnet wird. Da ${\displaystyle hd_{A}R=hk\cdot EK_{A}=hd_{A}kP}$ ist, ist dies validiert.

Quellen

• Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone: Handbook of Applied Cryptography. CRC Press, ISBN 0-8493-8523-7 (uwaterloo.ca).
• Victor Shoup: A proposal for an ISO standard for public key encryption, Version 2.1, December 20, 2001 (PDF, 384 kB).