Могу ли я обойтись без генерации 512-битного k (и d) для ECDSA на основе P-521?

Я занимаюсь реализацией библиотеки криптографии для любителей, и я нахожусь в той части, где реализуется криптография на основе эллиптических кривых. Я уже внедрил и протестировал ECDSA с P-256 и P-384, где статические и эфемерные закрытые ключи 256-битные и 384-битные, пока все хорошо.

Меня беспокоит P-521. Я планирую генерировать 512-битный статический ($д$) и эфемерные ключи ($к$) для упрощения реализации, поскольку большинство хеш-функций (за исключением XOF) имеют не более 512-битных выходных данных (я не использую хеш-функции для прямой генерации ключей, я просто выделяю пространство стека в соответствии с длиной вывода типичных хеш-функций). ).

Если я сделаю это, результирующий компонент подписи $s$ может иметь какую-то предвзятость, но поскольку произведение $d \cdot k^{-1}$ переполнится $n$, у меня есть псевдовера, что это не слишком серьезная проблема.

Поэтому я задаю 2 связанных вопроса:

Q1: можно ли обойтись без генерации 512-битных статических и эфемерных ключей для ECDSA через P-521 и не навредить безопасности?

Q2: для общего случая при заданном простом модуле $n$, противник дан $s = k \cdot r + d \pmod n$ и $г$, куда $д$ является статическим и $г$ детерминистически случайно вычисляется из $к$; обе $к$ и $д$ иметь меньше, чем $\lceil {\log_2{n} \более 4} \rceil$ верхние части обрублены; может ли противник получить какую-либо часть $д$ или же $к$?

Нет! Даже создание 520-битного $к$ скорее всего, это уязвимость, которую можно использовать.

Результат 2020 года по этой теме: LadderLeak: взлом ECDSA с утечкой менее одного бита одноразового номера. В §5 обсуждается оценка стоимости атаки: это практически невозможно для однобитового смещения выше P256, но большие смещения позволяют проводить более дешевые атаки, а атаки со временем становятся только лучше.

Использовать детерминированный ECDSA если у вас нет веских причин для использования рандомизированного ECDSA. Детерминированный ECDSA может использовать HMAC_DRBG как черный ящик: вам просто нужно создать экземпляр HMAC_DRBG с необходимыми параметрами. Преимущество того, что это детерминированный алгоритм, заключается в том, что если ваши тесты с известным ответом дают ожидаемые результаты, у вас есть довольно высокая степень уверенности в том, что вы правильно его реализовали.Большинство систем, использующих подписи, в любом случае имеют RNG, а HMAC_DRBG — довольно хороший DRBG (не самый быстрый, но относительно простой в реализации и совместимый с FIPS).

Если вы используете рандомизированный ECDSA, я рекомендую реализовать его, выполнив детерминированный ECDSA и добавив дополнительную случайность в HMAC_DRBG. Таким образом, если вы сделаете часть случайности неправильно, она в худшем случае деградирует до детерминированного ECDSA без риска утечки одноразового номера. Есть две причины, по которым вы можете предпочесть рандомизированный ECDSA: если это цель безопасности, чтобы злоумышленник не мог определить, относятся ли две подписи, созданные отдельно, к одному и тому же сообщению (необычная цель безопасности), или потому что это может сделать некоторые побочные каналы или слабые места внедрения ошибок, которые труднее использовать (с другой стороны, это также может упростить использование некоторых слабых мест).