imported>Skranon am 23. September 2025 um 20:40 Uhr

2025-09-23T20:40:40Z

Neue Seite

[[Datei:Elliptic curve crypto.png|mini|Elliptische Kurve über <math>\mathbb{R}</math>]]

Unter {{deS|'''Elliptische-Kurven-Kryptografie'''}} oder {{lang|en|'''Elliptic Curve Cryptography'''}} ('''ECC''') versteht man [[Asymmetrisches Kryptosystem|asymmetrische Kryptosysteme]], die Operationen auf [[Elliptische Kurve|elliptischen Kurven]] über [[Endlicher Körper|endlichen Körpern]] verwenden. Diese Verfahren sind nur sicher, wenn [[Diskreter Logarithmus|diskrete Logarithmen]] in der [[Gruppe (Mathematik)|Gruppe]] der Punkte der elliptischen Kurve nicht effizient berechnet werden können.

Jedes Verfahren, das auf dem diskreten Logarithmus in endlichen Körpern basiert, wie z. B. der [[Digital Signature Algorithm]], das [[Elgamal-Verschlüsselungsverfahren]] oder der [[Diffie-Hellman-Schlüsselaustausch]], lässt sich in einfacher Weise auf elliptische Kurven übertragen und somit zu einem Elliptic-Curve-Kryptosystem umformen. Dabei werden die beim Originalverfahren eingesetzten Operationen (Multiplikation und Potenzieren) auf dem endlichen Körper ersetzt durch entsprechende Operationen (Punktaddition und Skalarmultiplikation) der Punkte auf der elliptischen Kurve. Das <math>n</math>-fache Addieren eines Punktes <math>P</math> zu sich selbst (also die Multiplikation mit dem Skalar <math>n</math>) wird mit <math>n P</math> bezeichnet und entspricht einer Potenz <math>x^n</math> im ursprünglichen Verfahren.

Das Prinzip wurde Mitte der 1980er Jahre von [[Victor S. Miller]]<ref name="Miller" /> und [[Neal Koblitz]]<ref name="Koblitz" /> unabhängig voneinander vorgeschlagen.

== Funktionsprinzip ==
Auf elliptischen Kurven kann eine additive [[zyklische Gruppe]] definiert werden, die aus den Vielfachen eines Punktes auf der Kurve, des Erzeugers der Gruppe, besteht. Das Addieren zweier Punkte in der Gruppe ist einfach, es gibt aber Kurven, auf denen die „skalare Division“ für einen Punkt <math>A</math> schwer ist, d. h., es ist kein effizientes Verfahren bekannt, um zu dem gegebenen Punkt <math>A</math> in einer von einem Punkt <math>P</math> erzeugten Gruppe eine natürliche Zahl <math>a</math> mit <math>aP = A</math> zu finden. Damit gibt es auf diesen Kurven ein Analogon zum [[Diskreter Logarithmus|Diskreten Logarithmus-Problem]] (DLP) in multiplikativen Gruppen, das ebenfalls DLP genannt wird.

Analog kann man das [[Diffie-Hellman-Schlüsselaustausch|Computational-Diffie-Hellman-Problem]] (CDH, zu gegebenen <math>aP</math> und <math>bP</math> berechne <math>abP</math>) und das [[Decisional-Diffie-Hellman-Problem]] (DDH) definieren. Dadurch können kryptographische Verfahren, deren Sicherheit auf diesen Problemen beruht, auf elliptische Kurven übertragen werden, für die diese Probleme vermutlich schwierig sind. Beispiele dafür sind
* [[Diffie-Hellman-Schlüsselaustausch|Elliptic Curve Diffie-Hellman]] (ECDH)
* [[Elliptic Curve Integrated Encryption Scheme]] (ECIES), auch ''Integrated Encryption Scheme (IES)'' genannt
* [[Elliptic Curve DSA|Elliptic Curve Digital Signature Algorithm]] (ECDSA)
* ECMQV, ein von Menezes, Qu und Vanstone vorgeschlagenes [[Schlüsselaustauschprotokoll|Protokoll zur Schlüsselvereinbarung]]

Darüber hinaus gibt es Kurven <math>E</math>, auf denen eine ''Pairing'' genannte [[bilineare Abbildung]] <math>e\colon E \times E \to G</math> in eine Gruppe <math>G</math> existiert. In diesen Kurven ist zwar DDH leicht, da <math>e(aP, bP) = e(P, abP)</math> gilt, die Existenz des Pairings erlaubt aber viele neuartige Anwendungen.

== Effizienz und Sicherheit ==
Da das Problem des diskreten Logarithmus in elliptischen Kurven (ECDLP) deutlich schwerer ist als die Berechnung des diskreten Logarithmus in endlichen Körpern oder die [[Faktorisierung]] ganzer Zahlen, kommen Kryptosysteme, die auf elliptischen Kurven beruhen – bei vergleichbarer Sicherheit – mit erheblich kürzeren Schlüsseln aus als die herkömmlichen asymmetrischen Kryptoverfahren, wie z. B. das [[RSA-Kryptosystem]] oder der [[Diffie-Hellman-Schlüsselaustausch]]. Die derzeit schnellsten Algorithmen sind der [[Babystep-Giantstep-Algorithmus]] und die [[Pollard-Rho-Methode]], deren Laufzeit bei <math>\mathcal{O}(2^{n/2})</math> liegt, wobei <math>n</math> die Bitlänge der Größe des zugrundeliegenden Körpers ist. Nach heutigem Kenntnisstand wird z. B. mit einer Schlüssellänge von 160 Bit eine ähnliche Sicherheit erreicht wie bei RSA mit 1024 Bit.<ref name="keylength_com">{{Internetquelle |url=http://www.keylength.com/ |titel=Cryptographic Key Length Recommendation |hrsg=BlueKrypt |sprache=en |abruf=2011-11-03}}</ref> ECC eignet sich daher besonders dann, wenn die Speicher- oder Rechenkapazität begrenzt ist, z. B. in [[Chipkarte|Smartcards]] oder anderen [[Eingebettetes System|eingebetteten Systemen]].

Beispielhaft werden hier die vom US-amerikanischen [[National Institute of Standards and Technology]] (NIST) und ECRYPT angegebenen äquivalenten Schlüssellängen für RSA- bzw. Diffie-Hellman-Schlüssel für bestimmte Sicherheitsniveaus aufgelistet.
{| class="wikitable sortable"
|+ Vergleich der Verschlüsselungsstärken<ref name="nsa-ellipticcurves" /><ref name="ecrypt" />
|-
! Sicherheitsniveau !! RSA/DH (NIST) !! RSA/DH (ECRYPT) !! ECDH
|-
| 80 || 1024 || 1248 || 160
|-
| 112 || 2048 || 2432 || 224
|-
| 128 || 3072 || 3248 || 256
|-
| 192 || 7680 || 7936 || 384
|-
| 256 || 15360 || 15424 || 512<ref>NIST hat nur eine 521-bit Kurve standardisiert und gibt daher als äquivalentes Sicherheitsniveau 521 bit an.</ref>
|}

{| class="wikitable sortable"
|+ Vergleich des Berechnungsaufwands<ref name="nsa-ellipticcurves" />
|-
! Sicherheitsniveau (bit) !! Verhältnis bei DH: ECDH
|-
| 80 || 3:1
|-
| 112 || 6:1
|-
| 128 || 10:1
|-
| 192 || 32:1
|-
| 256 || 64:1
|}

Die Spalte Sicherheitsniveau bezieht sich auf die Bitlänge eines vergleichbar sicheren symmetrischen Verschlüsselungsalgorithmus.

Die mathematischen Operationen auf elliptischen Kurven sind aufwändiger zu berechnen als Operationen in vergleichbar großen endlichen Körpern oder RSA-Modulen. Allerdings kann mit erheblich kürzeren Schlüsseln ein Sicherheitsniveau erreicht werden, das mit Verfahren auf Basis des diskreten Logarithmus oder mit RSA vergleichbar ist. Unter anderem durch die kürzeren Schlüssel können Elliptische-Kurven-Kryptosysteme daher bei einem vergleichbaren Sicherheitsniveau schneller sein.<ref>R. Szerwinski, T. Güneysu: ''Exploiting the Power of GPUs for Asymmetric Cryptography. Proceedings of CHES 2008'', pp. 79–99, 2008</ref> Ein Vergleich der Recheneffizienz dieser kryptographischen Verfahren hängt jedoch stark von den Details der Implementierung (kryptographische Parameter, Arithmetik, Optimierungen, Programmiersprache und Compiler, zugrunde liegende Hardware) ab.

'''Seitenkanalangriffe'''

Im Mai 2011 veröffentlichten die Forscher Billy Bob Brumley und Nicola Tuveri eine wissenschaftliche Arbeit,<ref name="timingattackpaper">{{Internetquelle |autor=Billy Bob Brumley, Nicola Tuveri |url=https://eprint.iacr.org/2011/232 |titel=Remote Timing Attacks are Still Practical |werk=Cryptology ePrint Archive: Report 2011/232 |datum=2011-05-11 |sprache=en |abruf=2011-11-03 |kommentar=Abruf als PDF möglich}}</ref> in welcher sie einen erfolgreichen [[Seitenkanalattacke|Timing-Angriff]] auf ECDSA beschreiben.<ref name="heise_timingangriffe">{{Internetquelle |url=https://heise.de/-1247697 |titel=Erfolgreiche Timing-Angriffe auf Verschlüsselung mit elliptischen Kurven |hrsg=heise.de |datum=2011-05-23 |sprache=de |abruf=2011-11-03}}</ref> Dabei setzten die Forscher einen Server mit [[OpenSSL]] auf. Der Angriff erfolgte über die Tatsache, dass das Ver- und Entschlüsseln mit unterschiedlichen ECDSA-Schlüsseln in der Implementierung von OpenSSL (Versionen 0.9.8o und 1.0.0.a) unterschiedlich viel Zeit in Anspruch nimmt. So konnten Brumley und Tuveri ohne Zugriff auf den Server den privaten Schlüssel berechnen. Eine Implementierung mit randomisierten Parametern oder eine geeignete Wahl der Kurvenparameter erlaubt jedoch Operationen mit konstantem Zeitbedarf.<ref name="safecurves.cr.yp.to">{{Internetquelle |url=https://safecurves.cr.yp.to/ |titel=SafeCurves: choosing safe curves for elliptic-curve cryptography |sprache=en |abruf=2016-06-07}}</ref>

== Verwendung ==
Elliptic Curve Cryptography wird von modernen Windows-Betriebssystemen (ab Vista) unterstützt.<ref name="asit_eccToday">{{Internetquelle |autor=Elisabeth Oswald |url=http://www.a-sit.at/pdfs/Technologiebeobachtung/eccToday.pdf |titel=Kryptosysteme basierend auf Elliptischen Kurven Einsatz und Verbreitung in Standardsoftware |hrsg=Zentrum für sichere Informationstechnologie - Austria (A-SIT) |datum=2009-07-29 |format=PDF; 445 kB |sprache=de |offline=1 |archiv-url=https://web.archive.org/web/20140305163816/http://www.a-sit.at/pdfs/Technologiebeobachtung/eccToday.pdf |archiv-datum=2014-03-05 |archiv-bot=2019-03-08 18:20:35 InternetArchiveBot |abruf=2011-11-02}}</ref>

Produkte der [[Mozilla Foundation]] (u. a. [[Mozilla Firefox|Firefox]], [[Mozilla Thunderbird|Thunderbird]]) unterstützen ECC mit mindestens 256 Bit Key-Länge (P-256 aufwärts).<ref name="mozilla_root_cas">{{Internetquelle |url=https://www.mozilla.org/projects/security/certs/policy/MaintenancePolicy.html |titel=Mozilla CA Certificate Maintenance Policy (Version 2.0) |hrsg=mozilla.org |datum=2011-11-04 |sprache=en |abruf=2011-11-04}} {{" |Sprache=en |Text=We consider the following algorithms and key sizes to be acceptable and supported in Mozilla products: … Elliptic Curve Digital Signature Algorithm (using ANSI X9.62) over SECG and NIST named curves P-256, P-384, and P-512;}}</ref>

Die in Österreich gängigen Bürgerkarten (e-card, Bankomat- oder a-sign Premium Karte) verwenden ECC seit ihrer Einführung 2004/2005, womit Österreich zu den Vorreitern in deren breitem Einsatz zählt.<ref name="asit_ecc_curves">{{Internetquelle |url=https://www.a-sit.at/de/technologiebeobachtung/ecc_curves/index.php |titel=Elliptische Kurven |sprache=de |offline=1 |archiv-url=https://web.archive.org/web/20111205115655/http://www.a-sit.at/de/technologiebeobachtung/ecc_curves/index.php |archiv-datum=2011-12-05 |archiv-bot=2019-03-08 18:20:35 InternetArchiveBot |abruf=2011-11-03}}</ref>

Die [[Reisepass|Reisepässe]] der meisten Europäischen Staaten (u. a. Deutschland) verwenden ECC zumindest für den Schutz des Zugriffs auf den Chip mittels [[Deutscher Reisepass#Extended Access Control|Extended Access Control]], einige Länder (u. a. Deutschland und Schweiz) verwenden es auch, um die auf dem Chip gespeicherten Daten mit [[Deutscher Reisepass#Passive Authentication|Passive Authentication]] zu schützen.<ref name="buslab_zdenek_riha">{{Internetquelle |autor=Zdeněk Říha |url=http://www.buslab.org/SummerSchool2008/slides/Zdenek_Riha.pdf |titel=Electronic passports |hrsg=JRC Ispra, European Commission, Masaryk University, Brno |datum=2008-09-13 |format=PDF |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20100215182600/http://www.buslab.org/SummerSchool2008/slides/Zdenek_Riha.pdf |archiv-datum=2010-02-15 |abruf=2011-11-03}}</ref>

In Deutschland verwendet der [[Personalausweis (Deutschland)#Der elektronische Personalausweis (nPA)|neue Personalausweis]] ebenfalls ECC, sowohl für Extended Access Control als auch für Passive Authentication.<ref name="bsi_fuer_buerger_pdf_locher">{{Internetquelle |autor=Manfred Lochter, Johannes Merkle |url=https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/ITSiKongress/11ter/pdfdownload/14_Mai_Parksaal/Manfred_Lochter_pdf.pdf?__blob=publicationFile |titel=Ein neuer Standard für elliptische Kurven |datum=2009-05 |format=PDF; 796 kB |sprache=de |abruf=2018-01-14 |kommentar=Vortrag auf dem 11. Deutschen IT-Sicherheitskongress 2009 |archiv-url=https://web.archive.org/web/20180114185121/https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/ITSiKongress/11ter/pdfdownload/14_Mai_Parksaal/Manfred_Lochter_pdf.pdf?__blob=publicationFile |archiv-datum=2018-01-14}}</ref>

[[Sony]] benutzt [[Elliptic Curve DSA]] zur digitalen Signierung von Software für die [[PlayStation 3]]. Im Jahr 2010 gelang einer Hackergruppe die Ermittlung des benutzten ''Private Key'' und somit ein fast vollständiger Bruch der Sicherheitssysteme. Dies war jedoch vor allem auf Implementierungsfehler von Sony zurückzuführen und nutzte keine Sicherheitslücken im verwendeten ECC-Verfahren aus.<ref>{{Internetquelle |url=https://www.heise.de/security/meldung/27C3-Sicherheitssystem-der-Playstation-3-ausgehebelt-1161876.html |titel=27C3: Sicherheitssystem der Playstation 3 ausgehebelt |hrsg=heise.de |datum=2010-12-30 |abruf=2011-11-05}}</ref>

== Patente ==
Laut der US-amerikanischen [[National Security Agency]] (NSA) sind Implementierungen mit Patentproblemen konfrontiert. Vor allem die kanadische [[Certicom]] Inc. besitzt demnach mehr als 130 Patente, die für ECC oder [[Asymmetrisches Kryptosystem|Public-Key-Kryptographie]] benötigt werden. 26 davon wurden von der NSA lizenziert, um ECC-Verfahren zu Zwecken nationaler Sicherheit zu implementieren.<ref name="nsa-ellipticcurves" />

In einer Studie des [[Zentrum für sichere Informationstechnologie|Zentrums für sichere Informationstechnologie Austria]] (A-SIT) wird auf Patente in effizienten Implementierungen hingewiesen, wobei ECC selbst „prinzipiell patentfrei“ sei.<ref name="asit_ElliptischeKurven_und_Signatur_Studie">{{Internetquelle |autor=Elisabeth Oswald |url=http://www.a-sit.at/pdfs/2001%20ElliptischeKurven_und_Signatur_Studie.pdf |titel=Einsatz und Bedeutung Elliptischer Kurven für die elektronische Signatur |hrsg=A-SIT |datum=2001 |seiten=27 |format=PDF; 443 kB |sprache=de |offline=1 |archiv-url=https://web.archive.org/web/20140203105008/http://www.a-sit.at/pdfs/2001%20ElliptischeKurven_und_Signatur_Studie.pdf |archiv-datum=2014-02-03 |archiv-bot=2019-03-08 18:20:35 InternetArchiveBot |abruf=2011-11-02}}</ref>

<nowiki>RFC 6090</nowiki><ref>{{RFC-Internet |RFC=6090 |Titel=Fundamental Elliptic Curve Cryptography Algorithms |Datum=2011-02}}</ref> beschreibt grundlegende ECC-Algorithmen, die bereits 1994 oder vorher veröffentlicht wurden (und daher heute keinen Patenten mehr unterliegen können). Die im Internet heute weit verbreiteten ECC-Verfahren basieren auf diesen Algorithmen, so dass sie sich nach Veröffentlichung von <nowiki>RFC 6090</nowiki> recht unproblematisch durchsetzen konnten.

== Standardisierungsgremien und Normen ==
=== ANSI ===
ANSI X9.62-2005 ist die aktuelle Standardisierung des ECDSA.<ref>ANSI X9.62-2005, Public Key Cryptography for the Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)</ref>
* ANSI X9.62 (ECDSA)
* ANSI X9.63 (Key Agreement und Key Transport)
Die Kurven von X9.62-2005 wurden vom Geheimdienst NSA entworfen und eine Hintertür kann aufgrund der Freiheitsgrade in der Kurvenauswahlmethode nicht ausgeschlossen werden.<ref name="bada55-20150927.pdf">[https://bada55.cr.yp.to/bada55-20150927.pdf bada55.cr.yp.to] (PDF)</ref> Nach einer Analyse von [[Daniel J. Bernstein|Dan Bernstein]] ist der Beweis für die Zufälligkeit der Kurven, den die Kurvenauswahlmethode nach der Behauptung des Standards darstellt, schlichtweg nicht existent.<ref name="rigid.html">[https://safecurves.cr.yp.to/rigid.html safecurves.cr.yp.to]</ref><ref name="bada55-20150927.pdf" />

=== NIST ===
* FIPS 186-5<ref name="fips_186_5">{{Internetquelle |url=http://csrc.nist.gov/publications/fips/fips186-5/fips_186-5.pdf |titel=Digital Signature Standard (DSS) |titelerg=FIPS PUB 186-5 |hrsg=National Institute of Standards and Technology (NIST) |datum=2023-02 |format=PDF; 1,2 MB |sprache=en |abruf=2023-10-03}} (ECDSA).</ref>
{{Belege fehlen|Für die Einschätzung der Sicherheit dieser Kurven wären wissenschaftliche Quellen erforderlich. Die beiden angegebenen Webseiten stellen nur Behauptungen auf. [[Benutzer:Troubled asset|Troubled @sset]] 12:18, 23. Nov. 2020 (CET)|Die Behauptungen in diesem Absatz|Plural=1}}

Die NIST-Kurven wurden vom Geheimdienst NSA entworfen<ref>[https://www.miracl.com/press/backdoors-in-nist-elliptic-curves miracl.com]</ref> und basieren auf Grundkonstanten ungeklärter Herkunft, wodurch eine Hintertür nicht ausgeschlossen werden kann.<ref name="rigid.html" /> Sie sind auch bezüglich einiger wünschenswerter Eigenschaften nicht sicher.<ref name="safecurves.cr.yp.to" />

=== IETF ===
* Algorithmen für ECC
** {{RFC-Internet |RFC=6090 |Titel=Fundamental Elliptic Curve Cryptography Algorithms |Datum=2011-02}}
* Nutzung von ECC in [[X.509]] Zertifikaten
** {{RFC-Internet |RFC=3279 |Titel=Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile |Datum=2002-04}}
** {{RFC-Internet |RFC=5480 |Titel=Elliptic Curve Cryptography Subject Public Key Information |Datum=2009-03}}
** {{RFC-Internet |RFC=5758 |Titel=Internet X.509 Public Key Infrastructure: Additional Algorithms and Identifiers for DSA and ECDSA |Datum=2010-01}}
* Nutzung von ECC in [[IPsec|IKE]]
** {{RFC-Internet |RFC=2409 |Titel=The Internet Key Exchange (IKE) |Datum=1998-11}}
** {{RFC-Internet |RFC=4754 |Titel=IKE and IKEv2 Authentication Using the Elliptic Curve Digital Signature Algorithm (ECDSA) |Datum=2007-01}}
** {{RFC-Internet |RFC=5903 |Titel=Elliptic Curve Groups modulo a Prime (ECP Groups) for IKE and IKEv2 |Datum=2010-06}}
* Nutzung von ECC in [[Transport Layer Security|TLS]]
** {{RFC-Internet |RFC=4492 |Titel=Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) |Datum=2006-05}}
** {{RFC-Internet |RFC=5246 |Titel=The Transport Layer Security (TLS) Protocol Version 1.2 |Datum=2008-08}}
** {{RFC-Internet |RFC=5289 |Titel=TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM) |Datum=2008-08}}
** {{RFC-Internet |RFC=5489 |Titel=ECDHE_PSK Cipher Suites for Transport Layer Security (TLS) |Datum=2009-03}}
** {{RFC-Internet |RFC=6040 |Titel=Tunnelling of Explicit Congestion Notification |Datum=2010-11}}
* Nutzung von ECC in [[Secure Shell|SSH]]
** {{RFC-Internet |RFC=5656 |Titel=Elliptic Curve Algorithm Integration in the Secure Shell Transport Layer |Datum=2009-12}}
** {{RFC-Internet |RFC=6239 |Titel=Suite B Cryptographic Suites for Secure Shell (SSH) |Datum=2011-05}}
** {{RFC-Internet |RFC=6594 |Titel=Use of the SHA-256 Algorithm with RSA, Digital Signature Algorithm (DSA), and Elliptic Curve DSA (ECDSA) in SSHFP Resource Records |Datum=2012-04}}
* Nutzung von ECC in [[Cryptographic Message Syntax|CMS]]
** {{RFC-Internet |RFC=5753 |Titel=Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS) |Datum=2010-01}}
** {{RFC-Internet |RFC=6161 |Titel=Elliptic Curve Algorithms for Cryptographic Message Syntax (CMS) Encrypted Key Package Content Type |Datum=2011-04}}
** {{RFC-Internet |RFC=6162 |Titel=Elliptic Curve Algorithms for Cryptographic Message Syntax (CMS) Asymmetric Key Package Content Type |Datum=2011-04}}
** {{RFC-Internet |RFC=6278 |Titel=Use of Static-Static Elliptic Curve Diffie-Hellman Key Agreement in Cryptographic Message Syntax |Datum=2011-06}}
* Nutzung von ECC in [[XML Signature|XML-Signaturen]]
** {{RFC-Internet |RFC=4050 |Titel=Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures |Datum=2005-04}}
* Nutzung von ECC in [[OpenPGP]]
** {{RFC-Internet |RFC=6637 |Titel=Elliptic Curve Cryptography (ECC) in OpenPGP |Datum=2012-06}}
* Nutzung von ECC in [[Domain Name System Security Extensions|DNSSEC]]
** {{RFC-Internet |RFC=6605 |Titel=Elliptic Curve Digital Signature Algorithm (DSA) for DNSSEC |Datum=2012-04}}
* Nutzung von ECC in [[Kerberos (Protokoll)|Kerberos]]
** {{RFC-Internet |RFC=5349 |Titel=Elliptic Curve Cryptography (ECC) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) |Datum=2008-09}}
* Elliptic Curve Private Key Structure, z. B. für [[Public-Key Cryptography Standards|PKCS]]#8
** {{RFC-Internet |RFC=5915 |Titel=Elliptic Curve Private Key Structure |Datum=2010-06}}
* zusätzliche elliptische Kurven für X.509 Zertifikate, IKE, TLS, SSH und [[S/MIME]]
** {{RFC-Internet |RFC=5114 |Titel=Additional Diffie-Hellman Groups for Use with IETF Standards |Datum=2008-01}}
* zusätzliche elliptische Kurven für X.509 Zertifikate, IKE, TLS, XML Signaturen und CMS
** {{RFC-Internet |RFC=5639 |Titel=Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation |Datum=2010-03}}
* Identitätsbasierte Elliptische-Kurven-Kryptosysteme
** {{RFC-Internet |RFC=5901 |Titel=Extensions to the IODEF-Document Class for Reporting Phishing |Datum=2010-07}}
** {{RFC-Internet |RFC=6507 |Titel=Elliptic Curve-Based Certificateless Signatures for Identity-Based Encryption (ECCSI) |Datum=2012-02}}

Die RFCs greifen auf die Brainpool-Kurven zurück.

=== ISO ===
* ISO 14888-3<ref name="iso_14888_3">{{Internetquelle |url=https://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?commid=45306 |titel=Information technology – Security techniques – Digital signatures with appendix – Part 3: Discrete logarithm based mechanisms |hrsg=ISO/IEC |sprache=en |abruf=2011-11-03 |kommentar=Kostenpflichtiger PDF-Abruf}} {{" |Sprache=en |Text=ISO/IEC 14888-3:2006 specifies digital signature mechanisms with appendix whose security is based on the discrete logarithm problem. It provides a general description of a digital signature with appendix mechanism, and a variety of mechanisms that provide digital signatures with appendix.}}</ref>
* ISO 15946<ref name="iso_15946">{{Internetquelle |url=https://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?commid=45306 |titel=Information technology – Security techniques – Cryptographic techniques based on elliptic curves |hrsg=ISO/IEC |sprache=en |abruf=2011-11-03 |kommentar=Kostenpflichtiger PDF-Abruf}} {{" |Sprache=en |Text=ISO/IEC 15946 specifies public-key cryptographic techniques based on elliptic curves. It consists of five parts and includes the establishment of keys for symmetric cryptographic techniques, and digital signature mechanisms (Part 15946-2 was revoked in 2007, and replaced by 14888-8).}}</ref>

=== IEEE ===
* IEEE 1363<ref name="ieee_1363">{{Internetquelle |url=http://grouper.ieee.org/groups/1363/index.html |titel=Standard Specifications For Public-Key Cryptography |titelerg=The IEEE P1363 project develops Standard Specifications For Public-Key Cryptography, towards the goal of issuing a series of IEEE standards documents. |hrsg=IEEE |datum=2008-10-10 |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20111101190721/http://grouper.ieee.org/groups/1363/index.html |archiv-datum=2011-11-01 |archiv-bot=2019-03-08 18:20:35 InternetArchiveBot |abruf=2011-11-03}}</ref>

Der IEEE-Standard greift auf die gleiche Kurvenauswahlmethode wie der ANSI-Standard zurück, so dass die gleiche Kritik daran geäußert wurde.<ref name="rigid.html" /><ref name="bada55-20150927.pdf" />

=== ECC-Brainpool ===
Der ECC-Brainpool, eine Arbeitsgruppe des staatlich-industriellen Vereins [[TeleTrusT]] (Mitglieder u. a. BKA, BSI) zum Thema Elliptic Curve Cryptography, hat 2005 eine Anzahl von elliptischen Kurven spezifiziert, welche im März 2010 im <nowiki>RFC 5639</nowiki><ref>{{RFC-Internet |RFC=5639 |Titel=Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation |Datum=2010-03}}</ref> der [[Internet Engineering Task Force|IETF]] standardisiert wurde. Bei diesen Kurven ist besonders die Wahl der Bitlänge '''512''' zu erwähnen, abweichend zur von vielen anderen Institutionen (z. B. NIST, SECG) präferierten Bitlänge '''521'''.

Der Designraum der Brainpool-Kurven enthält so viele Freiheitsgrade, dass eine Hintertür nicht sicher ausgeschlossen werden kann.<ref name="bada55-20150927.pdf" /> Die Brainpool-Kurven sind auch bezüglich einiger wünschenswerter Eigenschaften nicht sicher.<ref name="safecurves.cr.yp.to" />

=== SECG ===
Die „Standards for Efficient Cryptography Group“ (SECG) ist ein 1998 gegründetes Konsortium zur Förderung des Einsatzes von ECC-Algorithmen. SECG hat als erste die 521-Bit-Kurve spezifiziert, die dann vom NIST übernommen wurde. Diese spezielle Wahl beruht auf der Tatsache, dass auf Primzahlen der Form <math>2^{{n}}-1</math> zurückgegriffen werden sollte, um das Rechnen mit Restklassen modulo dieser Primzahl zu beschleunigen. Für <math>300< n <600</math> ist jedoch nur <math>2^{{521}}-1</math> eine Primzahl.<ref>[https://www.secg.org/sec2-v2.pdf secg.org] (PDF; 0,3 MB)</ref>

SECG SEC 2 greift auf die Kurven der NSA aus dem NIST-Standard zurück und übernimmt zusätzlich die nicht zutreffende Behauptung des ANSI-Standards, sie seien verifizierbar zufällig gewählt worden.<ref name="rigid.html" /><ref name="bada55-20150927.pdf" />

=== BSI ===
Das [[Bundesamt für Sicherheit in der Informationstechnik]] legt in der Technical Guideline TR-03111 Version 2.0 bzw. 2.1<ref>[https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TR03111/BSI-TR-03111_V-2-1_pdf.pdf?__blob=publicationFile&v=2 bsi.bund.de] (PDF)</ref> Vorgaben und Empfehlungen für die Implementierung von Elliptische-Kurven-Kryptographie fest. Man beachte jedoch, dass der in der Version 2.0 definierte Algorithmus EC-Schnorr nicht kompatibel zu den in ISO 14888-3 definierten Schnorr-Signaturen EC-SDSA und EC-FSDSA ist.

=== SafeCurves ===
Das SafeCurves-Projekt von [[Daniel J. Bernstein|Bernstein]] hat mit den sicheren, akademischen Kurven [[Curve25519]] (bzw. Ed25519), Ed448-Goldilocks und E-521 inzwischen einen De-facto-Standard geschaffen. Die staatlichen Kurven haben das Vertrauen mancher führender Kryptographen verloren, da die Kurvenwahl nicht vollständig transparent nachvollziehbar ist<ref name="bada55-20150927.pdf" /> und somit eine ähnliche [[Kleptographie|kleptographische]] [[Backdoor|Hintertür]] wie bei [[Dual EC DRBG]] oder eine sonstige Hintertür nicht sicher ausgeschlossen werden kann.<ref>[https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html#c1675929 schneier.com]</ref>

== Siehe auch ==
* [[DNSCurve]]
* [[Elliptic Curve DSA]]

== Literatur ==
* {{Literatur
|Autor=Annette Werner
|Titel=Elliptische Kurven in der Kryptographie
|Verlag=Springer
|Datum=2002
|ISBN=3-540-42518-7}}
* {{Literatur
|Autor=Lawrence C. Washington
|Titel=Elliptic Curves: Number Theory and Cryptography
|Verlag=CRC
|Datum=2008
|ISBN=978-1-4200-7146-7}}
* {{Literatur
|Autor=David H. von Seggern
|Titel=CRC Standard Curves and Surfaces with Mathematica, Third Edition
|Verlag=CRC
|Datum=2016
|ISBN=978-1-4822-5021-3}}

== Weblinks ==
* [http://www.archive.org/movies/details-db.php?collection=msri&collectionid=lecture11687 Video einer Vorlesung von Neal Koblitz ´über Elliptic-Curve-Cryptology], 1998, (MPG; 1,8 GB, englisch)
* [https://www.teletrust.de/fileadmin/files/oid/oid_ECC-Brainpool-Standard-curves-V1.pdf ECC-Arbeitsgruppe, Domainparameter] (PDF; 0,1 MB)
* [https://www.academic-signature.org/ Freie Implementation des „Elliptic Curve DSA“ für Windows und Linux, Download und Anleitung (englisch)]

== Einzelnachweise ==
<references>
<ref name="Miller">
{{Literatur
|Autor=Victor S. Miller
|Titel=Use of Elliptic Curves in Cryptography
|Sammelwerk=Advances in Cryptology – CRYPTO ’85 Proceedings
|Reihe=Lecture Notes in Computer Science
|Band=218
|Verlag=Springer
|Datum=1986
|Seiten=417–426
|DOI=10.1007/3-540-39799-X_31}}
</ref>
<ref name="Koblitz">
{{Literatur
|Autor=Neal Koblitz
|Titel=Elliptic Curve Cryptosystems
|Sammelwerk=Mathematics of Computation
|Band=48
|Nummer=177
|Verlag=American Mathematical Society
|Datum=1987
|Seiten=203–209
|JSTOR=2007884}}
</ref>
<ref name="nsa-ellipticcurves">
{{Internetquelle
|url=https://www.nsa.gov/business/programs/elliptic_curve.shtml
|titel=The Case for Elliptic Curve Cryptography
|datum=2009-01-15
|sprache=en
|abruf=2011-11-03}}
</ref>
<ref name="ecrypt">
{{Internetquelle
|url=https://cordis.europa.eu/docs/projects/cnect/6/216676/080/deliverables/002-DSPA20.pdf
|titel=ECRYPT II Yearly Report on Algorithms and Keysizes (2011–2012)
|datum=2012-09-30
|format=PDF; 886 kB
|sprache=en
|abruf=2016-12-15}}
</ref>
</references>

[[Kategorie:Kryptologisches Verfahren]]

Elliptic Curve Cryptography - Versionsgeschichte

imported>Skranon am 23. September 2025 um 20:40 Uhr