Elliptic Curve Integrated Encryption Scheme

Das Elliptic Curve Integrated Encryption Scheme (ECIES) ist ein hybrides Verschlüsselungsverfahren, dem elliptische Kurven zugrunde liegen. Als Hybridverfahren kombiniert es ein asymmetrisches Verfahren, das zum Versenden eines symmetrischen Schlüssels benutzt wird, mit einem symmetrischen Verschlüsselungsverfahren, das mit diesem symmetrischen Schlüssel die Nachricht verschlüsselt. ECIES ist im Random-Oracle-Modell sicher gegen Chosen-Ciphertext-Angriffe.

Folgende Hilfsmittel werden benötigt:

• KDF (Key Derivation Function): eine kryptographische Hashfunktion, die Schlüssel beliebiger Länge erzeugen kann
• MAC (Message Authentication Code)
• Ein symmetrisches Verschlüsselungsverfahren mit Verschlüsselungsalgorithmus ${\displaystyle E}$ und Entschlüsselungsalgorithmus ${\displaystyle D}$

• ${\displaystyle {𝔽}_p}$, ${\displaystyle p}$ Primzahl
• Elliptische Kurve E: ${\displaystyle Y^2=X^3+aX+b}$ über dem Körper ${\displaystyle {𝔽}_p}$
• ${\displaystyle P\in E({𝔽}_p)}$ mit ${\displaystyle ord(P)=n}$ prim
• ${\displaystyle h=\frac{\mid E({𝔽}_p)\mid }{n}}$

Ein Teilnehmer ${\displaystyle A}$ wählt einen geheimen Schlüssel ${\displaystyle d_A\in \{1,...,n-1\}}$ zufällig und berechnet daraus seinen öffentlichen Schlüssel ${\displaystyle E{K}_A=d_{A}P}$.

Um eine Nachricht ${\displaystyle m\in \{0,1{\}}^{*}}$ mit einem öffentlichen Schlüssel ${\displaystyle E{K}_A}$ zu verschlüsseln, wird ein Diffie-Hellman-Schlüsselaustausch in einer elliptischen Kurve mit einem symmetrischen Verfahren kombiniert.

1. Wähle eine Zufallszahl ${\displaystyle k\in \{1,...,n-1\}}$
2. Berechne ${\displaystyle R=kP}$ und ${\displaystyle Z=hk\cdot E{K}_A}$
3. Bestimme die symmetrischen Schlüssel ${\displaystyle k_1||k_2=KDF(Z_x)}$. ${\displaystyle Z_x}$ ist die x-Koordinate von ${\displaystyle Z}$
4. Berechne ${\displaystyle C=E_{k_1}(m)}$ und ${\displaystyle T=MA{C}_{k_2}(C)}$
5. Sende ${\displaystyle (R,C,T)}$

Um ein Chiffrat ${\displaystyle (R,C,T)}$ mit einem geheimen Schlüssel ${\displaystyle d_A}$ zu entschlüsseln, werden die folgenden Schritte durchgeführt.

1. Berechne ${\displaystyle Z=h{d}_{A}R}$
2. Bestimme die beiden Schlüssel ${\displaystyle k_1||k_2=KDF(Z_x)}$
3. Prüfe ob ${\displaystyle T=MA{C}_{k_2}(C)}$ ist
4. Erhalte ${\displaystyle m=D_{k_1}(C)}$

ECIES arbeitet korrekt, wenn ${\displaystyle Z}$ korrekt berechnet wird. Da ${\displaystyle h{d}_{A}R=hk\cdot E{K}_A=h{d}_{A}kP}$ ist, ist dies validiert.

• Vorlage:Literatur
• Victor Shoup: A proposal for an ISO standard for public key encryption, Version 2.1, December 20, 2001 (PDF, 384 kB).