Polskie firmy nie boją się krzywych eliptycznych

2010-02-18 00:00:00 +0000


Polskie firmy chętnie korzystają z kryptografii krzywych eliptycznych (ECC) i nie boją się problemów patentowych z nimi związanych - tak wynika z obecnej oferty rynkowej rodzimych producentów innowacyjnych rozwiązań bezpieczeństwa.

Na rynku pojawiły się niedawno oparte o ECC tokeny do uwierzytelnienia sToken. ECC jest również podstawą bezpieczeństwa w szyfrujących telefonach GSM firmy Techlab 2000. Co ciekawe, sToken jest także dostępy w wersji darmowej oraz z kodem źródłowym, na licencji GPL (bez tokena sprzętowego).

Protokoły uwierzytelnienia czy wymiany klucza oparte o krzywe eliptyczne posiadają szereg zalet w stosunku do tradycyjnie wykorzystywanego do tego celu RSA czy Diffie-Hellmana. Przede wszystkim oferuja podobną złożoność obliczeniową (czyli bezpieczeństwo) operacji na znacznie krótszych kluczach. Przekłada się to na mniejszą moc procesora, krótszy czas nawiązywania połączenia i mniejsze zużycie energii. O ile nawet dość staremu “pecetowi” nie robi to większej różnicy, o tyle w przypadku urządzeń przenośnych czy kart elektronicznych są to parametry krytyczne.

Krzywe eliptyczne pozwalają urządzeniom takim jak telefony komórkowe zredukować czas nawiązywania bezpiecznego połączenia do jednej sekundy. Niektóre modele korzystające z tradycyjnych algorytmów potrzebowały na to nawet kilkunastu sekund, co nawet w środowisku wymagającym podwyższonego poziomu bezpieczeństwa jest trudno akceptowalne. Dzięki temu możliwe jest także stosowanie szyfrów blokowych o proporcjonalnej długości klucza - np. porównywalny poziom bezpieczeństwa jak szyfr AES-256 zapewnia dopiero klucz RSA o długości ponad 15000 bitów. Dla krzywych ta wielkość wynosi 512 bitów.

Pomimo wszystkich zalet ECC była zawsze traktowana przez rynek z rezerwą ze względu na patentowe pole minowe obejmujące liczne algorytmy używane w tej formie kryptografii. Posiadaczem większości patentów jest kanadyjska firma Certicom, ale pojedyncze patenty są także w rękach innych podmiotów.

Patenty te nie są egzekwowalne w Polsce czy Unii Europejskiej ale jest to spora bariera dla firm myślących o ekspansji na rynek amerykański. W 2003 roku dla uporządkowania sytuacji prawnej amerykańska agencja NSA zakupiła od Certicomu licencję na nieograniczone stosowanie opatentowanych algorytmów w systemach tworzonych na zlecenie amerykańskiej administracji.