दीर्घ वृत्ताकार-वक्र क्रिप्टोग्राफी

एल्लिप्टिक-वक्र कूटलेखन (ईसीसी) में सार्वजनिक-कुंजी द्वारा कूटलेखन के लिए ऐसा दृष्टिकोण है जो परिमित क्षेत्रों पर अंडाकार वक्रों की बीजगणितीय संरचना पर आधारित है। ECC समतुल्य सुरक्षा प्रदान करने के लिए गैर-ईसी कूटलेखन (सादे परिमित क्षेत्र पर आधारित) की तुलना में छोटी कुंजियों की अनुमति देता है।

अण्डाकार वक्र प्रमुख समझौते, डिजिटल हस्ताक्षर, क्रिप्टोग्राफिक रूप से सुरक्षित छद्म यादृच्छिक संख्या जनरेटर के रूप में उपयोग किया जाता है| छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए इसे लागू किया जाता हैं। अप्रत्यक्ष रूप से, उन्हें सममित-कुंजी की सहायता से एल्गोरिथम योजना के साथ कुंजी समझौते को जोड़कर कूटलेखन के लिए उपयोग किया जाता है। अण्डाकार वक्रों का उपयोग अण्डाकार वक्रों पर आधारित कई पूर्णांक गुणनखंडन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे कि लेनस्ट्रा अण्डाकार-वक्र गुणनखंड।

औचित्य
सार्वजनिक-कुंजी कूटलेखन कुछ गणितीय कम्प्यूटेशनल धारणा की जटिल अशिष्टता पर आधारित है। आरंभिक सार्वजनिक-कुंजी प्रणालियां अपनी सुरक्षा को इस धारणा पर आधारित करती हैं कि दो या दो से अधिक बड़े अभाज्य कारकों से बने बड़े पूर्णांक का पूर्णांक गुणनखंडन करना कठिन हो जाता है। बाद के दीर्घवृत्त-वक्र-आधारित प्रोटोकॉल के लिए आधार धारणा यह है कि सार्वजनिक रूप से ज्ञात आधार बिंदु के संबंध में एक यादृच्छिक अण्डाकार वक्र तत्व के असतत लघुगणक को खोजना असंभव है: यह अण्डाकार वक्र असतत लघुगणक समस्या (ECDLP) है। अण्डाकार वक्र कूटलेखन की सुरक्षा दीर्घवृत्तीय वक्र बिंदु गुणन की गणना करने की क्षमता और मूल और उत्पाद बिंदुओं को दिए गए गुणन की गणना करने में असमर्थता पर निर्भर करती है। अण्डाकार वक्र का आकार, वक्र समीकरण को संतुष्ट करने वाले असतत पूर्णांक जोड़े की कुल संख्या से मापा जाता है, इस प्रकार इस समस्या की कठिनाई को निर्धारित करता है।

मानकों और प्रौद्योगिकी के यूएस राष्ट्रीय संस्थान (एनआईएसटी) ने अपने एनएसए सूट B सेट में अनुशंसित एल्गोरिदम के एलिप्टिक वक्र कूटलेखन का समर्थन किया है, विशेष रूप से प्रमुख एक्सचेंज के लिए एलिप्टिक-वक्रडिफी-हेलमैन (ईसीडीएच) और डिजिटल के लिए एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ईसीडीएसए) हस्ताक्षरित किया। अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (NSA) ने 384-बिट कुंजियों के साथ संयुक्त राज्य अमेरिका में वर्गीकृत जानकारी की सुरक्षा के लिए उनके उपयोग की अनुमति देती है। चूंकि, अगस्त 2015 में, एनएसए ने घोषणा की कि ईसीसी पर क्वांटम कंप्यूटिंग पर आक्रमण करने के बारे में होने वाली चिंताओं के कारण सुइट B को नए सिफर सूट से बदलने की योजना बना रहा है।

जबकि आरएसए पेटेंट 2000 में समाप्त हो गया था, ईसीसी के पेटेंट हो सकते हैं। चूंकि कुछ लोगों का यह तर्क है कि संयुक्त राज्य अमेरिका की संघीय सरकार एलिप्टिक वलय डिजिटल सिग्नेचर मानक (ECDSA; NIST FIPS 186-3) और कुछ व्यावहारिक ECC पर आधारित प्रमुख विनिमय योजनाएं (ECDH सहित) उनका उल्लंघन किए बिना कार्यान्वित की जा सकती हैं, जिनमें RSA सुरक्षा भी सम्मलित है।

डेनियल जे. बर्नस्टीन ने अण्डाकार वक्र कूटलेखन द्वारा संकेत किया गया कि प्राथमिक लाभ एक छोटा कुंजी का आकार है, भंडारण और संचरण आवश्यकताओं को कम करने अर्थात एक दीर्घवृत्त वक्र समूह बड़े मापांक और संगत रूप से बड़ी कुंजी के साथ RSA (क्रिप्टोसिस्टम) पर आधारित प्रणाली द्वारा वहन किया गया, इस प्रकार समान सुरक्षा स्तर प्रदान करता है: उदाहरण के लिए, एक 256-बिट दीर्घवृत्ताकार वक्र सार्वजनिक कुंजी को 3072- के लिए तुलनीय सुरक्षा प्रदान करनी चाहिए। यहाँ बिट आरएसए के लिए सार्वजनिक कुंजी हैं।

इतिहास
कूटलेखन में अण्डाकार वक्रों के उपयोग का सुझाव स्वतंत्र रूप से नील कोब्लिट्ज द्वारा दिया गया था और विक्टर एस मिलर ने 1985 में अण्डाकार वक्र कूटलेखन एल्गोरिदम का 2004 से 2005 में व्यापक उपयोग किया।

सिद्धांत
वर्तमान कूटलेखन उद्देश्यों के लिए, एक दीर्घवृत्त वक्र पर परिमित क्षेत्र (वास्तविक संख्याओं के अतिरिक्त) के लिए एक समतल वक्र है जिसमें समीकरण को संतुष्ट करने वाले बिंदु होते हैं:


 * $$y^2 = x^3 + ax + b, \, $$

अनंत ∞ पर एक विशिष्ट बिंदु के साथ यहाँ निर्देशांक विशेषता (बीजगणित) को एक निश्चित परिमित क्षेत्र से चुना जाना हैं इन क्षेत्रों की स्थिति 2 या 3 के बराबर नहीं है, या वक्र समीकरण कुछ अधिक जटिल होगा।

यह दीर्घवृत्त वक्र के साथ एक साथ इस समूह के नियम की पहचान तत्व के रूप में अनंत पर बिंदु के साथ एबेलियन समूह है। इस समूह की संरचना अंतर्निहित बीजगणितीय विविधता के विभाजक (बीजीय ज्यामिति) से विरासत में मिली है:


 * $$\mathrm{Div}^0 (E) \to \mathrm{Pic}^0 (E) \simeq E, \, $$

कूटलेखन योजनाएँ
कई असतत लघुगणक-आधारित प्रोटोकॉल को समूह की जगह, अण्डाकार वक्रों $$(\mathbb{Z}_{p})^\times$$ के लिए अनुकूलित किया गया है एक अण्डाकार वक्र के साथ:
 * एल्लिप्टिक-वक्र डिफी-हेलमैन (ईसीडीएच) प्रमुख अनुबंध योजना डिफी-हेलमैन योजना पर आधारित है,
 * एलिप्टिक वक्रइंटीग्रेटेड कूटलेखन स्कीम (ECIES), जिसे एलिप्टिक वक्रऑगमेंटेड कूटलेखन स्कीम या केवल एलिप्टिक वक्र कूटलेखन स्कीम के रूप में भी जाना जाता है,
 * एलिप्टिक वक्रडिजिटल सिग्नेचर एल्गोरिथम (ECDSA) डिजिटल सिग्नेचर एल्गोरिथम पर आधारित है,
 * हैरिसन के p-एडिक मैनहट्टन मीट्रिक का उपयोग करते हुए विरूपण योजना,
 * EdDSA|एडवर्ड्स-वक्रडिजिटल सिग्नेचर एल्गोरिथम (EdDSA) क्रोन सिग्नेचर पर आधारित है और ट्विस्टेड एडवर्ड्स वक्र का उपयोग करता है,
 * ईसीएमक्यूवी प्रमुख अनुबंध योजना मेनेजेस-क्यू-वनस्टोन कुंजी अनुबंध योजना पर आधारित है,
 * इंप्लिसिट सर्टिफिकेट इंप्लिसिट सर्टिफिकेट स्कीम।

आरएसए सम्मेलन 2005 में, राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने एनएसए सुइट बी की घोषणा की, जो विशेष रूप से डिजिटल हस्ताक्षर निर्माण और कुंजी विनिमय के लिए ईसीसी का उपयोग करता है। सुइट का उद्देश्य वर्गीकृत और अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों और सूचना दोनों की रक्षा करना है।

जल्द ही, विभिन्न अण्डाकार वक्र समूहों के लिए वील पेयरिंग और टेट पेयरिंग्स पर बिलिनियर मैपिंग पर आधारित बड़ी संख्या में कूटलेखन पुरातन निवेदित किए गए हैं। इन पुरातन पर आधारित योजनाएँ के लिए कुशल पहचान पर आधारित कूटलेखन के साथ-साथ जोड़ी-आधारित हस्ताक्षर, कूटलेखन, कुंजी अनुबंध और प्रॉक्सी पुनः-कूटलेखन प्रदान करती हैं।

कार्यान्वयन
कार्यान्वयन संबंधी कुछ सामान्य विचारों में सम्मलित हैं:

डोमेन पैरामीटर
ECC का उपयोग करने के लिए, सभी पक्षों को अण्डाकार वक्र को परिभाषित करने वाले सभी तत्वों, अर्थात योजना के डोमेन मापदंडों पर सहमत होना चाहिए। उपयोग किए गए क्षेत्र का आकार सामान्यतः या तो प्रधान होता है (और p के रूप में दर्शाया जाता है) या ($$2^m$$) होती है बाद वाली स्थिति को बाइनरी प्रकरण कहा जाता है, और एफ द्वारा निरूपित सहायक वक्र के लिए भी आवश्यकता होती है। इस प्रकार इस क्षेत्र को मुख्य केस में p और m और f की जोड़ी द्वारा परिभाषित किया गया है बाइनरी स्थिति में अण्डाकार वक्र को परिभाषित समीकरण में प्रयुक्त स्थिरांक a और b द्वारा परिभाषित किया गया है। अंत में, चक्रीय उपसमूह को उसके जनरेटर (या आधार बिंदु) g द्वारा परिभाषित किया गया है। कूटलेखन अनुप्रयोग के लिए g का क्रम (समूह सिद्धांत), जो सबसे छोटी सकारात्मक संख्या n है जैसे कि $$n G = \mathcal{O}$$ (वक्र की अनंतता पर बिंदु, और पहचान तत्व), सामान्य रूप से प्रमुख है। चूँकि n एक उपसमूह का आकार है $$E(\mathbb{F}_p)$$ यह लैग्रेंज के प्रमेय (समूह सिद्धांत) से आता है | लैग्रेंज की प्रमेय इस तरह हैं कि संख्या $$h = \frac{1}{n}|E(\mathbb{F}_p)|$$ एक पूर्णांक है। कूटलेखन अनुप्रयोगों में यह संख्या h, जिसे कॉफ़ेक्टर कहा जाता है और इसका मान कम से कम ($$h \le 4$$) और अधिकतम से अधिकतम $$h = 1$$ होना चाहिए संक्षेप में: प्रमुख स्थिति में, डोमेन पैरामीटर $$(p,a,b,G,n,h)$$ हैं ; बाइनरी स्थिति में, वे $$(m,f,a,b,G,n,h)$$ हैं,

जब तक इस बात का कोई आश्वासन नहीं है कि डोमेन पैरामीटर उनके उपयोग के संबंध में भरोसेमंद पार्टी द्वारा उत्पन्न किए गए थे, डोमेन पैरामीटर को उपयोग से पहले सत्यापित किया जाना चाहिए। डोमेन मापदंडों की पीढ़ी सामान्यतः प्रत्येक प्रतिभागी द्वारा नहीं की जाती है क्योंकि इसमें अण्डाकार वक्रों पर गणना बिंदुओं की गणना करना सम्मलित होता है जो समय लेने वाली और लागू करने में परेशानी होती है। परिणामस्वरूप, कई मानक निकायों ने कई सामान्य क्षेत्र आकारों के लिए अंडाकार वक्रों के डोमेन पैरामीटर प्रकाशित किए। ऐसे डोमेन मापदंडों को सामान्यतः मानक वक्र या नामांकित वक्र के रूप में जाना जाता है; एक नामित वक्र को या तो नाम से या मानक दस्तावेजों में परिभाषित अद्वितीय वस्तु पहचानकर्ता द्वारा संदर्भित किया जा सकता है: एसईसीजी टेस्ट वैक्टर भी उपलब्ध हैं। एनआईएसटी ने कई एसईसीजी वक्रों को स्वीकृति दी है, इसलिए एनआईएसटी और एसईसीजी द्वारा प्रकाशित विनिर्देशों के बीच एक महत्वपूर्ण ओवरलैप है। EC डोमेन पैरामीटर या तो मान या नाम से निर्दिष्ट किए जा सकते हैं।
 * एनआईएसटी,
 * SECG,
 * ईसीसी ब्रेनपूल

यदि कोई अपने स्वयं के डोमेन मापदंडों का निर्माण करना चाहता है, तो उसे अंतर्निहित क्षेत्र का चयन करना चाहिए और फिर निम्न विधियों में से किसी एक का उपयोग करके उपयुक्त (अर्थात, प्रधान के पास) अंक के साथ वक्र खोजने के लिए निम्नलिखित रणनीतियों में से एक का उपयोग करना चाहिए।: वक्र के कई वर्ग निर्बल हैं और इनसे बचा जाना चाहिए:
 * एक यादृच्छिक वक्र का चयन करें और एक सामान्य बिंदु-गिनती एल्गोरिथ्म का उपयोग करें, उदाहरण के लिए, स्कूफ़ का एल्गोरिथम या स्कूफ़-एल्कीज़-एटकिन एल्गोरिथम,
 * इस समूह के लिए एक यादृच्छिक वक्र का चयन करें जो अंकों की संख्या की आसान गणना की अनुमति देता है (जैसे, कोब्लिट्ज वक्र), या
 * अंकों की संख्या का चयन करें और जटिल गुणन तकनीक का उपयोग करके इस संख्या के साथ एक वक्र उत्पन्न करें।
 * घटता है $$\mathbb{F}_{2^m}$$ नॉन-मुख्य मी के साथ वील डिसेंट आक्रमण की चपेट में हैं।
 * ऐसे वक्र $$p^B-1$$ करता है कि n विभाजित होता है (जहाँ p क्षेत्र की विशेषता है: q एक प्रमुख क्षेत्र के लिए, या $$2$$ एक बाइनरी क्षेत्र के लिए) पर्याप्त रूप से छोटे b के लिए मेनेजेस-ओकामोटो-वनस्टोन (एमओवी) आक्रमण के लिए कमजोर हैं के एक छोटे-डिग्री विस्तार क्षेत्र में सामान्य असतत लघुगणक समस्या (DLP) लागू होती है $$\mathbb{F}_p$$ ईसीडीएलपी को हल करने के लिए। बाउंड b को चुना जाना चाहिए जिससे क्षेत्र में असतत लघुगणक हो $$\mathbb{F}_{p^B}$$ अण्डाकार वक्र पर असतत लॉग $$E(\mathbb{F}_q)$$ के रूप में गणना करना कम से कम कठिन है.
 * $$|E(\mathbb{F}_q)| = q$$ के योगात्मक समूह $$\mathbb{F}_q$$ के लिए वक्र पर बिंदुओं को मैप करने वाले आक्रमण के प्रति संवेदनशील हैं.

मुख्य आकार
क्योंकि सबसे तेज़ ज्ञात एल्गोरिदम जो किसी ECDLP को (बेबी-स्टेप जायंट-स्टेप, पोलार्ड के rho एल्गोरिदम के लिए लघुगणक | पोलार्ड के rho, आदि) को हल करने की अनुमति देते हैं,$$O(\sqrt{n})$$ की आवश्यकता है, इस चरण में यह निम्नानुसार है कि अंतर्निहित क्षेत्र का आकार सुरक्षा पैरामीटर से लगभग दोगुना होना चाहिए। उदाहरण के लिए, 128-बिट सुरक्षा के लिए एक वक्रओवर की आवश्यकता होती है, जहाँ पर $$q \approx 2^{256}$$ को इसके परिमित-क्षेत्र $$\mathbb{F}_q$$ कूटलेखन (उदाहरण के लिए, डिजिटल हस्ताक्षर एल्गोरिदम) से अलग किया जा सकता है जिसके लिए आवश्यक है 3072-बिट सार्वजनिक कुंजियाँ और 256-बिट निजी कुंजियाँ, और पूर्णांक कारक के लिए कूटलेखन (जैसे, RSA (एल्गोरिदम)) हैं जिसके फलस्वरूप n के 3072-बिट मान की आवश्यकता होती है, जहाँ निजी कुंजी उतनी ही बड़ी होनी चाहिए। चूंकि, कुशल कूटलेखन को समायोजित करने के लिए सार्वजनिक कुंजी छोटी हो सकती है, मुख्यतः जब प्रसंस्करण पावर सीमित हो।

आज तक की सबसे कठिन ईसीसी योजना (सार्वजनिक रूप से) तोड़ी गई मुख्य फील्ड केस के लिए 112-बिट कुंजी और बाइनरी क्षेत्र केस के लिए 109-बिट कुंजी थी। मुख्य फील्ड केस के लिए, यह जुलाई 2009 में 200 से अधिक PlayStation 3 गेम कंसोल के स्तवक का उपयोग करके तोड़ा गया था और लगातार चलने पर इस क्लस्टर का उपयोग करके 3.5 महीनों में समाप्त किया जा सकता था। बाइनरी फील्ड केस को अप्रैल 2004 में 17 महीनों में 2600 कंप्यूटरों का उपयोग करके तोड़ दिया गया था।

एक वर्तमान परियोजना विभिन्न हार्डवेयर की एक विस्तृत श्रृंखला का उपयोग करके सर्टिकॉम द्वारा ECC2K-130 चुनौती को तोड़ने का लक्ष्य बना रही है: सीपीयू, जीपीयू, एफपीजीए।

प्रक्षेपी निर्देशांक
जोड़ के नियमों की बारीकी से जांच से पता चलता है कि दो बिंदुओं को जोड़ने के लिए, किसी $$\mathbb{F}_q$$} को न केवल कई जोड़ और गुणा की आवश्यकता होती है लेकिन एक व्युत्क्रम ऑपरेशन की भी, व्युत्क्रम (दिए गए के लिए $$x \in \mathbb{F}_q$$ पाना $$y \in \mathbb{F}_q$$ ऐसा है कि $$x y = 1$$) परिमाण धीमी के गुणन की तुलना में एक से दो क्रम है। चूंकि, एक वक्र पर बिंदुओं को विभिन्न समन्वय प्रणालियों में दर्शाया जा सकता है, जिन्हें दो बिंदुओं को जोड़ने के लिए व्युत्क्रम ऑपरेशन की आवश्यकता नहीं होती है। ऐसी कई प्रणालियाँ प्रस्तावित थीं: प्रक्षेपी प्रणाली में प्रत्येक बिंदु को तीन निर्देशांकों $$(X,Y,Z)$$ द्वारा दर्शाया गया है निम्नलिखित संबंध का उपयोग करना: $$x = \frac{X}{Z}$$, $$y = \frac{Y}{Z}$$; जेकोबियन प्रणाली में एक बिंदु को तीन निर्देशांकों $$(X,Y,Z)$$ के साथ भी दर्शाया जाता है, लेकिन एक अलग संबंध प्रयोग किया जाता है: $$x = \frac{X}{Z^2}$$, $$y = \frac{Y}{Z^3}$$; लोपेज़-दहाब प्रणाली में संबंध है $$x = \frac{X}{Z}$$, $$y = \frac{Y}{Z^2}$$; संशोधित जेकोबियन प्रणाली में समान संबंधों का उपयोग किया जाता है लेकिन चार निर्देशांक $$(X,Y,Z,aZ^4)$$ संग्रहीत किए जाते हैं और गणना के लिए उपयोग किए जाते हैं; और चुडनोवस्की जैकोबियन प्रणाली में पांच निर्देशांकों $$(X,Y,Z,Z^2,Z^3)$$ का उपयोग किया जाता है. ध्यान दें कि अलग-अलग नामकरण प्रथाएं हो सकती हैं, उदाहरण के लिए, IEEE P1363-2000 मानक प्रक्षेपी निर्देशांक का उपयोग करता है जिसे सामान्यतः जैकोबियन निर्देशांक कहा जाता है। यदि मिश्रित निर्देशांकों का उपयोग किया जाता है तो अतिरिक्त गति-अप संभव है।

तेजी से कमी (NIST घटता)
रिडक्शन मोडुलो पी (जो जोड़ और गुणा के लिए आवश्यक है) को बहुत तेजी से निष्पादित किया जा सकता है यदि मुख्य पी एक छद्म-मर्सेन मुख्य है, अर्थात $$p \approx 2^d$$; उदाहरण के लिए, $$p = 2^{521} - 1$$ या $$p = 2^{256} - 2^{32} - 2^9 - 2^8 - 2^7 - 2^6 - 2^4 - 1.$$ बैरेट रिडक्शन की तुलना में परिमाण गति-अप का एक क्रम हो सकता है। यहां स्पीड-अप सैद्धांतिक के अतिरिक्त एक व्यावहारिक है, और इस तथ्य से निकला है कि दो की घात के पास संख्या के विरुद्ध संख्याओं का मॉड्यूल बाइनरी नंबरों पर काम करने वाले कंप्यूटरों द्वारा कुशलता से निष्पादित किया जा सकता है।

$$\mathbb{F}_p$$ स्यूडो-मर्सेन पी के साथ एनआईएसटी द्वारा पक्षसमर्थन किया जाता है। फिर भी NIST वक्रों का एक और लाभ यह है कि वे a= −3 का उपयोग करते हैं, जो जैकोबियन निर्देशांकों में योग को ज्यादा अच्छा बनाता है।

बर्नस्टीन और लैंग के अनुसार, NIST FIPS 186-2 में दक्षता संबंधी कई निर्णय उप-इष्टतम हैं। अन्य वक्र अधिक सुरक्षित हैं और उतनी ही तेजी से चलते हैं।

अनुप्रयोग
कूटलेखन, डिजिटल हस्ताक्षर, CPRNG | छद्म-यादृच्छिक जनरेटर और अन्य कार्यों के लिए अण्डाकार वक्र लागू होते हैं। उनका उपयोग कई पूर्णांक फ़ैक्टराइज़ेशन एल्गोरिदम में भी किया जाता है, जिसमें कूटलेखन में अनुप्रयोग होते हैं, जैसे लेनस्ट्रा इलिप्टिक-वक्रफ़ैक्टराइज़ेशन।

1999 में, NIST ने पंद्रह अण्डाकार वक्रों की सिफारिश की। विशेष रूप से, FIPS 186-4 दस अनुशंसित परिमित क्षेत्र हैं:
 * पांच प्रमुख क्षेत्र $$\mathbb{F}_p$$ 192, 224, 256, 384, और आकार के कुछ अभाज्य p के लिए 521 बिट्स। प्रत्येक प्रमुख क्षेत्रों के लिए, एक अंडाकार वक्र की सिफारिश की जाती है।
 * पांच बाइनरी फ़ील्ड $$\mathbb{F}_{2^m}$$ मी बराबर 163, 233, 283, 409, और 571 के लिए। प्रत्येक बाइनरी फ़ील्ड के लिए, एक अंडाकार वक्र और एक नील कोब्लिट्ज वक्र का चयन किया गया था।

NIST अनुशंसा में इस प्रकार कुल पाँच प्रमुख वक्र और दस बाइनरी वक्र सम्मलित हैं। इष्टतम सुरक्षा और कार्यान्वयन दक्षता के लिए घटता को स्पष्ट रूप से चुना गया था। 2013 में, द न्यूयॉर्क टाइम्स ने कहा कि दोहरी ईसी डीआरबीजी (या डुअल_ईसी_डीआरबीजी) को एनएसए के प्रभाव के कारण एनआईएसटी राष्ट्रीय मानक के रूप में सम्मलित किया गया था, जिसमें एल्गोरिथम में जानबूझकर कमजोरी और अनुशंसित अंडाकार वक्र सम्मलित था। आरएसए सुरक्षा ने सितंबर 2013 में एक सलाह जारी की थी जिसमें सिफारिश की गई थी कि इसके ग्राहक द्वैध_EC_DRBG पर आधारित किसी भी सॉफ़्टवेयर का उपयोग करना बंद कर दें। एक NSA अंडरकवर ऑपरेशन के रूप में Dual_EC_DRBG के जोखिम के मद्देनज़र, कूटलेखन विशेषज्ञों ने भी NIST अनुशंसित दीर्घवृत्त वक्रों की सुरक्षा पर चिंता व्यक्त की है, गैर-अण्डाकार-वक्र समूहों के आधार पर कूटलेखन पर लौटने का सुझाव।

अण्डाकार वक्र कूटलेखन का उपयोग क्रिप्टोक्यूरेंसी बिटकॉइन द्वारा किया जाता है।

एथेरियम Eth2 | संस्करण 2.0 बीएलएस हस्ताक्षरों का उपयोग करके अण्डाकार वक्र जोड़े का व्यापक उपयोग करता है - जैसा कि आईईटीएफ ड्राफ्ट बीएलएस विनिर्देश में निर्दिष्ट है—कूटलेखन रूप से आश्वस्त करने के लिए कि एक विशिष्ट Eth2 सत्यापनकर्ता ने वास्तव में एक विशेष लेनदेन को सत्यापित किया है।

साइड-चैनल आक्रमण
अधिकांश अन्य असतत लघुगणक प्रणालियों के विपरीत (जहां वर्ग और गुणन के लिए एक ही प्रक्रिया का उपयोग करना संभव है), ईसी जोड़ दोहरीकरण (p = q) और सामान्य जोड़ (p ≠ q) के लिए उपयोग की गई समन्वय प्रणाली के आधार पर बहुत अलग है। परिणामस्वरूप, साइड-चैनल आक्रमण(उदाहरण के लिए, समय या पावर विश्लेषण | सरल/अंतर शक्ति विश्लेषण आक्रमण) की कल्पना करना महत्वपूर्ण है, उदाहरण के लिए, निश्चित पैटर्न विंडो (ए.के.ए. कॉम्ब) विधियों का उपयोग करना (ध्यान दें कि यह गणना समय में वृद्धि नहीं करता है)। वैकल्पिक रूप से कोई एडवर्ड्स वक्र का उपयोग करता है; यह अण्डाकार वक्रों का एक विशेष परिवार है जिसके लिए एक ही ऑपरेशन के साथ दोहरीकरण और जोड़ किया जा सकता है। ईसीसी-सिस्टम के लिए एक और चिंता विभेदक गलती विश्लेषण का खतरा है, विशेषतः स्मार्ट कार्ड पर चलते समय।

पिछले विकल्प
कूटलेखन विशेषज्ञों ने चिंता व्यक्त की है कि राष्ट्रीय सुरक्षा एजेंसी ने कम से कम एक अण्डाकार वक्र-आधारित छद्म यादृच्छिक जनरेटर में एक क्लेप्टोग्राफ़िक बैकडोर डाला है। पूर्व NSA ठेकेदार एडवर्ड स्नोडेन द्वारा लीक किए गए आंतरिक मेमो सुझाव देते हैं कि NSA ने दोहरे EC DRBG मानक में एक विकल्प को रखा। संभावित विकल्प के एक विश्लेषण ने निष्कर्ष निकाला कि एल्गोरिदम की गुप्त कुंजी के कब्जे में एक विरोधी पीआरएनजी आउटपुट के केवल 32 बाइट्स दिए गए कूटलेखन कुंजी प्राप्त कर सकता है।

सुरक्षित वक्र प्रोजेक्ट को कैटलॉग वक्र के लिए लॉन्च किया गया है जो कि सुरक्षित रूप से लागू करना सरल है और बैकडोर की संभावना को कम करने के लिए पूरी तरह से सार्वजनिक रूप से सत्यापन योग्य तरीके से डिज़ाइन किया गया है।

क्वांटम कंप्यूटिंग आक्रमण
शोर के एल्गोरिथ्म का उपयोग काल्पनिक क्वांटम कंप्यूटिंग पर असतत लघुगणक की गणना करके अण्डाकार वक्र कूटलेखन को तोड़ने के लिए किया जा सकता है। 256-बिट मापांक (128-बिट सुरक्षा स्तर) के साथ वक्र को तोड़ने के लिए नवीनतम क्वांटम संसाधन का अनुमान 2330 क्विबिट और 126 बिलियन टोफोली गेट्स हैं। द्विआधारी अण्डाकार वक्र स्थितियोंे के लिए, 906 qubits आवश्यक हैं (सुरक्षा के 128 बिट्स को तोड़ने के लिए)। इसकी तुलना में, आरएसए (क्रिप्टोसिस्टम) एल्गोरिदम को तोड़ने के लिए शोर के एल्गोरिदम का उपयोग करने के लिए 2048-बिट आरएसए कुंजी के लिए 4098 क्विबिट्स और 5.2 ट्रिलियन टोफोली गेट्स की आवश्यकता होती है, यह सुझाव देते हुए कि ईसीसी आरएसए की तुलना में क्वांटम कंप्यूटरों के लिए एक आसान लक्ष्य है। ये सभी आंकड़े अब तक बनाए गए किसी भी क्वांटम कंप्यूटर से बहुत अधिक हैं, और अनुमान है कि ऐसे कंप्यूटरों का निर्माण एक दशक या उससे अधिक दूर है।

सुपरसिंगुलर आइसोजेनी की एक्सचेंज, सुपरसिंगुलर आइसोजेनी डिफी-हेलमैन की एक्सचेंज ने पोस्ट-क्वांटम कूटलेखन प्रदान करने का अनुरोध किया है। डिफी-हेलमैन प्रमुख एक्सचेंजों को लागू करने के लिए आइसोजिनीज का उपयोग करके एलिप्टिक वक्रकूटलेखन का पोस्ट-क्वांटम सुरक्षित रूप। यह कुंजी विनिमय सम्मलिता अण्डाकार वक्र कूटलेखन के रूप में समान क्षेत्र अंकगणित का उपयोग करता है और वर्तमान में उपयोग की जाने वाली कई सार्वजनिक कुंजी प्रणालियों के समान कम्प्यूटेशनल और ट्रांसमिशन ओवरहेड की आवश्यकता होती है। चूंकि, नए मूल आक्रमण ने इस प्रोटोकॉल की सुरक्षा को कम कर दिया।

अगस्त 2015 में, एनएसए ने घोषणा की कि उसने निकट भविष्य में एक नए सिफर सुइट में परिवर्तन करने की योजना बनाई है जो क्वांटम कंप्यूटिंग आक्रमण के लिए प्रतिरोधी है। दुर्भाग्य से, अण्डाकार वक्र उपयोग की वृद्धि क्वांटम कंप्यूटिंग पर अनुसंधान में निरंतर प्रगति के तथ्य के विरुद्ध टकरा गई है, जिससे हमारी कूटलेखन रणनीति का पुनर्मूल्यांकन आवश्यक हो गया है।

अमान्य वक्र आक्रमण
जब वर्चुअल मशीन में ECC का उपयोग किया जाता है, तो एक हमलावर पूर्ण PDH निजी कुंजी प्राप्त करने के लिए अमान्य वक्र का उपयोग कर सकता है।

पेटेंट
कम से कम एक ईसीसी योजना (ईसीएमक्यूवी) और कुछ कार्यान्वयन तकनीकों को पेटेंट द्वारा कवर किया गया है।

वैकल्पिक प्रतिनिधित्व
अण्डाकार वक्रों के वैकल्पिक निरूपण में सम्मलित हैं:
 * हेसियन वक्र
 * एडवर्ड्स वक्र
 * मुड़े हुए वक्र
 * मुड़ हेस्सियन वक्र
 * ट्विस्टेड एडवर्ड्स कर्व
 * दोहरीकरण-उन्मुख डोचे-इकार्ट-कोहेल वक्र
 * ट्रिपलिंग-उन्मुख डोचे-इकार्ट-कोहेल वक्र
 * जेकोबियन वक्र
 * मोंटगोमरी वक्र

यह भी देखें

 * क्रिप्टोक्यूरेंसी
 * वक्र25519
 * चार क्यू
 * डीएनएस कर्व
 * आरएसए (क्रिप्टोसिस्टम)
 * ईसीसी पेटेंट
 * अण्डाकार-वक्र डिफी-हेलमैन (ECDH)
 * अण्डाकार वक्र डिजिटल हस्ताक्षर एल्गोरिथम (ECDSA)
 * एडडीएसए
 * ईसीएमक्यूवी
 * अण्डाकार वक्र बिंदु गुणन
 * नेटवर्क कोडिंग के लिए होमोमोर्फिक हस्ताक्षर
 * हाइपरेलिप्टिक वक्र क्रिप्टोग्राफी
 * जोड़ी आधारित क्रिप्टोग्राफी
 * सार्वजनिक कुंजी क्रिप्टोग्राफी
 * क्वांटम क्रिप्टोग्राफी
 * सुपरसिंगुलर आइसोजेनी की एक्सचेंज

संदर्भ

 * Standards for Efficient Cryptography Group (SECG), SEC 1: Elliptic Curve Cryptography, Version 1.0, September 20, 2000. (archived as if Nov 11, 2014)
 * D. Hankerson, A. Menezes, and S.A. Vanstone, Guide to Elliptic Curve Cryptography, Springer-Verlag, 2004.
 * I. Blake, G. Seroussi, and N. Smart, Elliptic Curves in Cryptography, London Mathematical Society 265, Cambridge University Press, 1999.
 * I. Blake, G. Seroussi, and N. Smart, editors, Advances in Elliptic Curve Cryptography, London Mathematical Society 317, Cambridge University Press, 2005.
 * L. Washington, Elliptic Curves: Number Theory and Cryptography, Chapman & Hall / CRC, 2003.
 * The Case for Elliptic Curve Cryptography, National Security Agency (archived January 17, 2009)
 * Online Elliptic Curve Cryptography Tutorial, Certicom Corp. (archived here as of March 3, 2016)
 * K. Malhotra, S. Gardner, and R. Patz, Implementation of Elliptic-Curve Cryptography on Mobile Healthcare Devices, Networking, Sensing and Control, 2007 IEEE International Conference on, London, 15–17 April 2007 Page(s):239–244
 * Saikat Basu, A New Parallel Window-Based Implementation of the Elliptic Curve Point Multiplication in Multi-Core Architectures, International Journal of Network Security, Vol. 13, No. 3, 2011, Page(s):234–241 (archived here as of March 4, 2016)
 * Christof Paar, Jan Pelzl, "Elliptic Curve Cryptosystems", Chapter 9 of "Understanding Cryptography, A Textbook for Students and Practitioners". (companion web site contains online cryptography course that covers elliptic curve cryptography), Springer, 2009. (archived here as of April 20, 2016)
 * Luca De Feo, David Jao, Jerome Plut, Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies, Springer 2011. (archived here as of May 7, 2012)
 * Gustavo Banegas, Daniel J. Bernstein, Iggy Van Hoof, Tanja Lange, Concrete quantum cryptanalysis of binary elliptic curves, Springer 2020. (archived here as of June 1, 2020)


 * Jacques Vélu, Courbes elliptiques (...), Société Mathématique de France, 57, 1-152, Paris, 1978.

बाहरी संबंध

 * Elliptic Curves at Stanford University
 * Interactive introduction to elliptic curves and elliptic curve cryptography with Sage by Maike Massierer and the CrypTool team