4.2 Schlüsselvereinbarung

Im letzten Kapitel wurden die grundlegenden Parameter für eine Krypto-Verfahren basierend auf elliptischen Kurven festgesetzt. Im Folgenden soll nun konkret ein Verfahren vorgestellt werden, das sehr ähnlich der Diffie-Hellman-Schlüsselvereinbarung ist.

Das Verfahren

Zwei Parteien, sie seinen Alice und Bob genannt, wollen einen Schlüssel für ein symmetrisches Krypto-Verfahren austauschen. Dazu einigen sich die beiden auf die in Kapitel 4.1 vorgestellten Parameter, und generieren beide ein Schlüsselpaar.

	Alice		Bob
einigen sich auf :		p = 149
		`a` = 5; `b` = 6
		`G` = (66, 34)
		`r` = 71
Die Ordnung von `E` ist also		#E(Z_p) = 142
wählt zufälliges	`s_a`= 19		`s_b`= 70
berechnet öffentl. Schlüssel	`W_a = s_a · G`= (27, 56)		`W_b = s_b · G`= (66, 115)
übermittelt	`W_a`		`W_b`
berechnet gemeinsamens `k`	`k = s_a · W_b` = (27, 93)		`k = s_b · W_a` = (27, 93)

[P1363_98]7.2.1. Beide Parteien errechnen den gleichen Punkt k, da

k = s_a · W_b = s_a · (s_b · G ) = s_b · (s_a · G ) =s_b · W_a = k

Daß s_a · (s_b · G ) = s_b · (s_a · G ) ist, wird deutlich, wenn man beide Seiten der Gleichung als Vielfachaddition schreibt und die Assoziativtät ausnutzt.

Da elliptische Kurven zu einer Horizontalen symmetrisch sind, wird nur die x-Koordinate von k als Schlüssel verwendet. Denn wenn diese Koordinate bekannt ist, gibt es nur noch maximal zwei Möglichkeiten für die y-Koordinate. Teilweise wird die y-Koordinate auch nur durch ein weiteres Bit angegeben.

Applet 2.6.1 bietet die Möglichkeit obiges Beispiel einmal nachzustellen oder selbst ein wenig zu probieren.

Bedenken

Die x-Koordinate als Schlüssel zu benutzen könnte einen Einwand hervorrufen, denn die x-Koordinate kann gar nicht jeden Wert von 0 bis p -1 annehmen, weil nach dem Hasse-Thorem eine elliptische Kurve im Durchschitt p+1 Punkte hat und fast immer für zwei y-Werte ein x-Wert die Gl.2.1.3 erfüllt, sind nicht psondern nur p/2 Schlüssel möglich. Dies könnte einen Brute-Force-Angriff erleichtern. Dazu müßte aber jeder x-Wert zuvor auf seine Gültigkeit überprüft werden und das würde der Berechnung jedes Punktes der elliptischen Kurve E(Z_p) gleich kommen.
Selbst wenn es eine effektivere Methode gäbe, die gültigen x-Wert zu berechnen, dann könnte mit Verlängern der Schlüssellänge um ein Bit die vorherige Sicherheit wieder hergestellt werden.

Gültigkeit der Schlüssel

In Kapitel 4.1 wurde allgemein das Erzeugen des Schlüsselpaares beschrieben. Obiges Verfahren benutzt auch dieses Schlüsselpaar, allerdings ist zu erkennen, daß Alice und Bob immer dengleichen Schlüssel k generieren werden. Ist dies nicht gewollt, so müssen Alice und Bob jedesmal wieder ein Schlüsselpaar generieren. Wenn aber jedesmal ein neues Schlüsselpaar generiert wird, kann der öffentliche Schlüssel nicht zertifiziert sein, und Alice und Bob können sich nicht sicher sein, ob der öffentlich übermittelte Schlüssel W_x nicht während der Übertragung verändert wurde.

Weitere Verfahren

Es gibt noch weitere Verfahren, die elliptischen Kurven als Grundlage zur Kryptographie benutzen. Der große Teil dieser Verfahren ist aber sehr ähnlich zu dem oben Beschriebenen. Hier sein z.B. [P1363_98] empfohlen.
Viel wichtiger ist eine Betrachtung der Kurvenparameter und den Bedingungen, die für sie gelten. Dies wird im nächsten Kapitel geschehen. Es hat sich nämlich gezeigt, daß nicht alle elliptischen Kurven als kryptographisch sicher bezeichnet werden können.