Elliptic Curve Digital Signature Algorithm (ECDSA) Benny Roy P.N, Citrady L.M, dan Roni F. Sinaga

Elliptic Curve Digital Signature Algorith (ECDSA) Benny Roy P.N, Citrady L.M, dan Roni F. Sinaga Departeen Teknik Inforatika Institut Teknologi Bandung Jalan Ganesha 10 Bandung 40132 E-ail : if11014@students.if.itb.ac.id, if11061@students.if.itb.ac.id, if11083@students.if.itb.ac.id Abstraksi Elliptic Curve Digital Signature Algorith (ECDSA) adalah salah satu algorita yang diterapkan dala pebuatan tanda tangan digital yang enggunakan analogi kurva elips. Tidak seperti logarita diskrit biasa dan asalah faktorisasi integer, asalah logarita diskrit kurva elips tidak engenal algorita perkalian subeksponensial. Karenanya, kekuatan per bit kunci algorita yang enggunakan kurva elips lebih kuat secara substansial daripada algorita biasa. Paper ini secara khusus ebahas konsep dasar dari kurva elips, cara enggabungkan kurva elips dengan Digital Signature Algorith (DSA), serangan serangan yang pernah di-lakukan terhadap ECDSA, kelebihan dan ke-kurangan ECDSA, dan perbandingan ECDSA dengan algorita public key yang lain. Kata kunci : kurva elips, tanda tangan digital, 1. Pendahuluan DSA yang dijadikan Digital Signature Standard (DSS) eiliki tingkat keaanan berdasarkan pada keapuan koputasi dari logarita diskrit dala subgrup urutan pria Z p *. Elliptic curve cryptosystes (ECC) diteukan oleh Neal Koblitz dan Viktor Miller pada tahun 1985. ECC dapat dilihat sebagai analogi kurva elips dari discrete logarith (DL) cryptosyste yang lebih tua di ana subgrup Zp* diganti dengan sekelopok titik pada kurva elips pada bidang yang terbatas. Basis keaanan secara ateatis dari ECC adalah keapuan koputasi dari elliptic curve discrete logarith proble (ECDLP). Karena ECDLP secara signifikan lebih sulit daripada DLP, aka kekuatan per bit kunci pada siste kurva elips lebih kuat daripada siste logarita diskrit konvensional. Karenanya, ECC dapat enggunakan paraeter yang lebih kecil daripada siste DL dengan tingkat keaanan yang saa. Keuntungan yang diperoleh dengan paraeter yang lebih kecil adalah kecepata kunci dan sertifikat yang lebih kecil. Keuntungan ini enjadi penting pada saat proses power, tepat penyipana bandwith atau konsusi power terbatas. ECDSA adalah analogi kurva elips pada DSA. ECDSA pertaa kali diperkenalkan oleh Scott Vanstone pada tahun 1992 sebagai respon untuk perintaan NIST (National Institute of Standard and Technology) untuk koentar publik engenai proposal pertaa ereka untuk DSS. 2. Konsep Dasar Untuk eahai konsep dari ECDSA aka ada 3 hal yang perlu kita pahai terlebih dahulu yaitu bidang berhingga yang kali ini hanya ditinjau pada bidang berhingga F 2, konsep dari Kurva Ellips itu sendiri dan tandatangan digital. Berikut akan dijelaskan engenai kedua konsep tersebut 2.1. Bidang berhingga F 2 Bidang berhingga F 2 adalah karakteristik 2 bidang berhingga yang engandung 2 eleen. Walaupun hanya ada satu karakteristik 2 bidang berhingga untuk setiap F 2 perpangkatan 2 dengan 2 dengan 1, tapi ada banyak cara untuk erepresentasikan eleen dari F. 2

Eleen dari F 2 seharusnya direpresentasikan dengan polinoial biner dengan derajat -1 atau kurang : 1 r = r x +... + r 1 0 r a + b i i i 1 2 { a 1x + a 2x +... + a1x+ a0 : ai {0,1}} dengan penabahan atau perkalian terdefinisi dala polinoial biner tak tereduksi f(x) dengan derajat, dikenal dengan polinoial tereduksi, seperti : Penabahan : Jika 1 a = a x +... + a, 1 b= b x +... + b F, aka a + b = r 1 0 1 0 2 dala 1 r = r 1 x +... + r0 r a + b (od 2). i i i F, di ana 2 dengan Perkalian : Jika 1 a = a x +... + a, F2 1 b= b x +... + b F, aka a,b = s dala 1 0 1 0 2 F 2 di ana 1 s = s x +... + s 1 0 adalah pengingat ketika polinoial ab dibagi dengan f(x) dengan segala koefisien aritatik enunjukan odulo 2. Penabahan dan perkalian dala dapat dihitung secara efisien dengan enggunakan algorita standar untuk integer biasa dan aritatika polinoial. Dala representasi ini, identitas untuk F 2 penabahan atau eleen 0 adalah polinoial 0, dan identitas untuk perkalian adalah polinoial 1. Mudah untuk endefinisikan pengurangan dan pebagian untuk eleen bidang. Untuk itu, invers dari penabahan dan invers dari perkalian dari eleen bidang harus diberikan : Invers penabahan : jika a F 2, aka invers penabahan (-a) dari a pada adalah solusi unik untuk persaaan F 2 a + x = 0 dala F 2 Invers perkalian : jika a F 2, a 0, aka invers perkalian a 1 dari a dala F adalah solusi unik untuk persaaan 2 a,x=1 dala F 2 Invers penabahan dan invers perkalian dala F dapat dihitung secara efisien dengan 2 enggunakan algorita Euclidean yang dikebangkan (extended). Pebagian dan pengurangan didefinisikan dala dala ter invers penabahan dan invers perkalian : a-b dala F 2 adalah a + (-b) dala F 2 dan a/b dala F 2 adalah a.( b 1 ) dala F Dala hal ini, karakteristik 2 bidang berhingga harus eiliki : F 2 {113,131,163,193,233,239,283,409,571} dan penabahan dan perkalian dala F 2 harus ditapilkan dengan enggunakan polinoial biner tak tereduksi dengan derajat dala tabel 1. Tabel 1 : representasi F2 Aturan yang digunakan untuk engabil yang diteria : dala setiap interval diantara integer-integer berikut ini : {112,128,160,192,224,256,384,512,1024} 2

2.2.Konsep dasar DSA(Digital Signature Algorith) Tanda tangan digital DSA berbentuk sepasang besar angka yang ditapilkan koputer sebagai string dari digit biner. Tanda tangan digital dihitung dengan enggunakan sejulah aturan dan sejulah paraeter sehingga identitas peilik dan integritas data dapat diverifikasi. Pebuat tanda tangan enggunakan kunci privat untuk ebuat tanda tangan; sedangkan kunci publik, yang berkorespodensi dengan kunci privat naun tidak saa, digunakan untuk everifikasi tanda tangan. Setiap user eiliki sepasang kunci publik dan kunci privat. kunci publik diasusikan diketahui public secara uu, sedangkan kunci privat tidak pernah disebar. DSA dapat dilihat sebagai variasi dari skea tanda tangan ElGaal. Keaanan DSA berdasarkan pada keapuan logarita diskrit dala urutan bilangan pria Z. Doain paraeter DSA dibangkitkan untuk setiap entitas dala doain keaanan tertentu. 1. Pilih bilangan pria sepanjang 160 bit dan 1024 bit dengan kondisi : q p 1 2.Pilih pebangkit g yang eiliki kelopok putaran yang unik di ana q berada dala Z.) * p Pilih sebuah eleen h ( p 1)/ q g = h p od. (ulangi hingga g 1 ) 3.Paraeter doain adalah p, q dan g. * p * Z p dan hitung Setiap entitas A dala doai dengan doain paraeter (p,q,g) elakukan : 1. pilih bilangan acak x dengan ketentuan 1 x q 1 x 2. hitung y = g od p. 3. kunci publik A adalah y, dedangkan kunci privat A adalah x Untuk enandatangani pesan, A elakukan 1. pilih bilangan acak k dengan ketentuan 1 k q 1 k 2. hitung X = g od pdan r = X od q. Jika r = 0, lakukan langkah 1 3. hitung k 1 od q 4. hitung e = SHA-1() 5. hitung s = k 1 { e+ xr}odq. Jika s = 0, lakukan langkah 1 6. tanda tangan A untuk pesan adalah (r,s) Untuk everifikasi tanda tangan A (r,s) pada pesan, B endapat salinan sah dari doain paraeter A (p,q,g) dan kunci publik y dan elakukan : 1. verifikasi bahwa r dan s berada dala interval [1,q-1] 2. hitung e = SHA-1() 3. hitung w= s 1 od q 4. hitungu 1 = ewod qdan u2 = rwod q u1 u2 5. hitung X = g y od pdan v = X od q 6. tanda tangan benar jika dan hanya jika v = r Analisa keaanan : karena r dan s asing-asing integer lebih kecil dari q, aka tanda tangan DSA berukuran 320 bit. Keaanan DSA tergantung pada dua logarita diskrit yang berbeda naun saling berhubungan. Yang pertaa adalah logarita diskrit dala Z di ana algorita penyaring bilangan * p dala bidang digunakan. Algorita ini eiliki waktu berjalan yang subeksponensial, lebih tepatnya digabarkan dala ruus : 1/3 2/3 o(exp(( c+ o(1))(ln p) (ln ln p) )). Di ana c 1.923. Jika p adalah bilangan pria sepanjang 1024 bit, aka ruus di atas enunjukan julah koputasi yang sangat banyak; jadi DSA dengan bilangan pria sepanjang 1024 bit tidak cocok untuk diserang dengan jenis serangan ini. Logarita diskrit kedua yang dapat bekerja pada basis g dala subgrup q dala Z : diberikan p, q, g dan y, teukan x * p x sehingga kondisi y g (od p) terpenuhi. Untuk P yang besar (seperti 1024 bit), dengan eggunakan algorita terbaik yang diketahui, ebutuhkan 160 waktu sekitar π q /2langkah. Jika q 2, aka ruus waktu tadi enghasilkan koputasi yang sangat banyak; jadi DSA tahan dengan serangan ini. Naun perlu diperhatikan bahwa keaanan DSA terletak pada ukuran p dan q, jadi eperbesar salah satu tanpa eperbesar yang lainnya tidak akan efektif eningkatkan keaanan. Lebih dari itu,

pengebangan salah satu dari ruus ini dapat eleahkan DSA. 2.3. Konsep Dasar kurva elips Kurva ellips yang digunakan disini adalah kurva ellips yang berada di bidang datar yang berhingga dan dibagi atas 2 bagian yaitu : a. Kurva ellips yang berada di F p b. Kurva ellips yang berada di F 2 a. Kurva ellips yang berada di F p Jika diisalkan F p adalah bidang berhingga yang pria diana p adalah bilangan pria yang ganjil dan isalkan a,b ε F p eenuhi 4a 3 + 27b 2 / 0 (od p) aka suatu kurva ellips E(F p ) elalui F p yang didefenisikan oleh paraeter a,b ε F p terdiri dari sekupulan hipunan penyelesaian atau titik P = (x,y) diana x,y ε F p yang sesuai dengan persaaan y 2 _ x 3 + a:x + +b ((od p) ditabah dengan titik tabahan O yang disebut titik infinity. Persaaan y 2 _ x 3 + a:x + +b ((od p) disebut defining equation dari E(F p ). untuk titik P (x p,y p ), x p disebut koordinat x dan y p disebut koordinat y. Julah titik dari E (F p ) disibolkan dengan #E(F p ). enurut teori dari Hasse diketahui bahwa julah titik dari E (F p ) eenuhi rentang dibawah ini : p + 1 - _2p p _ #E(F p ) _ p + +1 + +2p p. Ada beberapa tabahan aturan yang ditabahkan pada E antara lain : 1. Penabahan titik infinity terhadap dirinya sendiri. O + O = O 2. Penabahan titik infinity dengan titik lainnya. ( x, y) + O = O + ( x, y) untuk seua (x,y) (F p ) 3. Aturan penabahan 2 titik diana koordinat x nya saa sedangkan titik koordinat y nya bisa beda atau O ( x, y) + ( x, y) = O untuk seua (x,y) (F p ) 4. Aturan penabahan 2 titik yang berbeda diana (x 1,y 1 ) (F p ) dan (x 2,y 2 ) (F p ) diana (x 1,y 1 ) + (x 2,y 2 ) = (x 3,y 3 ). Untuk encari nilai x 3 dan y 3 digunakan ruus sebagai berikut : x 3 = λ 2 x 1 x 2 (od p), y 3 = λ.(x 1 x 3 ) y 1 y2 y1 (od p) diana λ (od p) x2 x2 5. Aturan penabahan titik, bukan titik infinity, dengan titik itu sendiri (dirinya sendiri) yaitu (x 1,y 1 ) + (x 1,y 1 ) = (x 3,y 3 ), diana : x 3 = λ 2-2x 1 (od p), y 3 = λ.(x 1 x 3 ) y 1 3x 1 2 +a (od p) dan λ = (od p) 2y1 Hipunan titik titik pada E(F p ) ebentuk sebuah kelopok dengan aturan ini. Lebih lanjut, dala kelopok ini berlaku huku koutatif, yaitu P 1 + P 2 = P 2 + P 1, untuk seua titik titik P 1,P 2 E(F p ). Perlu dicatat bahwa aturan ini dapat selalu dikoputasikan secara efisien dengan enggunakan operasi aritatika sederhana. Skea kriptografi yang berdasarkan ECC bergantung kepada ultiplikasi skalar dala titik titik kurva elips. Misalnya diketahui k adalah integer, dan P adalah titik,diana P E(F p ), ultiplikasi skalar adalah proses enabahkan P dengan dirinya sendiri sebanyak k kali. Hasil dari proses ini adalah dinyatakan dengan k x P atau kp. Proses ini dapat dikobinasikan dengan aturan aturan tabahan yang telah dijelaskan di atas. b. kurva elips yang berada di F 2 julah titik titik pada E(F 2 ) dinyatakan dengan #E(F 2 ). Teorea Hasse enyatakan bahwa : 2 + 1-2 2 #E(F 2 ) 2 + 1 + 2. Seperti pada bagian sebelunya, pada bagian ini juga diungkinkan pendefinisian aturan aturan tabahan untuk enabahkan titik titik pada E, yaitu : 1. Penabahan titik infinity terhadap dirinya sendiri. O + O = O 2. Penabahan titik infinity dengan titik lainnya. ( x, y) + O = O + ( x, y) untuk seua (x,y) E(F p ) 3. Aturan untuk enabahkan 2 titik yang epunyai koordinat x yang saa pada saat titik titik tersebut berbeda satu dengan yang lai ataupun koordinat x-nya = 0 ( x, y) + ( x, x + y) = O untuk seua (x,y) E(F p ) 4. aturan untuk enabahkan 2 buah titik dengan koordinat x yang berbeda diana (x 1,y 1 ) E(F 2 ) dan (x 2,y 2 ) E(F 2 )

enjadi 2 buah titik, sehingga x 1 x 2, aka (x 1,y 1 ) + (x 2,y 2 ) = (x 3,y 3 ), diana: 2 x λ + + x + x + a dala E(F 2 ), 3 = λ 1 2 3 x1 + x3) + x3 y = λ.( + y dala E(F 2 ), y1 + y2 dan λ dala E(F 2 ). x1 + x2 5. aturan untuk enabahkan sebuah titik dengan dirinya sendiri (enggandakan sebuah titik),diana (x1,y1) E(F 2 ) adalah sebuah titik dengan x1 0. sehingga (x 1,y 1 ) + (x 2,y 2 ) = (x 3,y 3 ), diana : x = λ 2 3 + λ + a dala E(F 2 ), 2 1 y 3 = x + ( λ + 1). x3 dala E(F 2 ), dan y1 λ x 1 + dala v E(F 2 ) x 1 Hipunan titik titik pada E(F 2 ) ebetuk kelopok dengan sifat koutatif. Aturan ini juga dapat juga dapat dikoputasi dengan enggunakan operasi aritatika sederhana. Proses pebangkitan paraeter doain kurva elips : Input : integer t {56,64,80,96,112,128,192,256} Output : paraeter doain kurva elips terhadap F p : T = (p,a,h) Proses : 1. pilih p, bilangan pria, sehingga [log 2 p] = 2t jika t 256, dan [log 2 p] = 521 jika t = 256 untuk enentukan bidang F p 2. pilih eleen a,b F p untuk enentukan kurva elips E(F p ) yang didefinisikan dengan persaaan : 2 E : y x3 + ax + b (od p) titik dasar G = (x G,y G ) pada E(F p ),n bilangan pria dan kofaktor h = #E(F p ) / dengan aturan : 3 2 4a + 27b / 0 (od p) #E(F p ) p p B / 1 (od n) untuk seua 1 B < 20 h 4 3. output T = (p,a,h) validasi paraeter doain kurva elips terhadap F p 1 ada 4 etode yang digunakan sebuah entitas U untuk eneria jainan bahwa paraeter doain kurva elips terhadap F p adalah valid. Metode etode tersebut adalah : 1. U evalidasi paraeter doain kurva elips terhadap F p itu sendiri dengan enggunakan priitif validasi yang akan dijelaskan berikutnya 2. U ebangkitkan paraeter doain kurva elips terhadap F p itu sendiri dengan enggunakan siste yang terpercaya dengan enggunakan priitif yang telah dijelaskan sebelunya. 3. U eneria jainan dala cara yang otentik bahwa suatu pihak terpercaya terhadap penggunaan U dala paraeter doain kurva elips terhadap F p telah evalidasi paraeter paraeter dengan enggunakan priitif validasi yang akan dijelaskan keudian. 4. U eneria jainan dala cara yang otentik bahwa suatu pihak terpercaya terhadap penggunaan U dala paraeter doain kurva elips terhadap F p telah ebangkitkan paraeter paraeter dengan enggunakan siste yang terpercaya dengan enggunakan priitif yang telah dijelaskan sebelunya. Priitif validasi paraeter doain kurva elips terhadap F p Input : paraeter doain kurva elips terhadap F p : T = (p,a,h) Dengan integer t {56,64,80,96,112,128,192,256} Output : indikasi apakah paraeter tersebut valid atau tidak. Proses : 1. cek bahwa p adalah bilangan pria ganjil, sehingga [log 2 p] ] = 2t jika t 256, dan [log2 p] = 521 jika t = 256 2. cek bahwa a,x G,dan y G adalah integer dala interval [0,p-1] 3 2 3. cek bahwa 4a + 27b / 0 (od p) 2 3 4. cek bahwa y x + ax b (od p) G G G + 5. cek apakah n bilangan pria 6. cek bahwa h 4, dan h = ( p + 1) 2 / n 7. cek bahwa ng = 0 8. cek bahwa q B / 1 (od n) untuk seua 1 B < 20, dan nh p

9. jika salah satu pengecekan salah, aka paraeter tersebut tidak valid, jika tidak aka valid. Doain Paraeter Kurva Ellips pada bidang F 2 Tupple dari doain paraeter dari kurva ellips adalah sebagai berikut : T = (, f ( x), a, h) diana : : nilai integer yang enspesifikasikan bidang berhingga dari F 2. 2 variabel lainnya a, F 2, enspesifikasikan kurva ellips E (F 2 ) yang didefenisikan dengan persaaan : y 2 + x.y = x 3 + ax 2 + b ini F 2. Base point dari G adalah = (x G,y G ) pada E (F 2 ), bilangan pria n yang erupakan pangkat dari dan h erupakn kofaktor h = # E(F 2 )/n Mebuat priitif paraeter doain dari kurva ellips pada bidang F 2. Doain parater dari F 2 dibuat dengan cara sebagai berikut : Input Tingkatan keaanan yang berupa bit didapat dari doain paraeter kurva ellips. Tingkatan keaanan ini harus direpresentasikan dengan integer. Nilai tingkat keaanan antara lain : T {56,60,80,96,112,128,192,256} Output Doain paraeter kurva ellips pada bidang F 2. Aksi Mebuat doain paraeter pada F 2 yang dilakukan dengan cara sebagai berikut : 1. isalkan t ' enyatakan integer terkecil yang lebih besar dari t didala hipunan {64,80,96,112,128,192,256,512}. Pilih {113,131,163,193,233,239,283,409,571} sehingga 2 t < < 2t ' untuk endapatkan F2. 2. Pilih derajat polinoial pada tabel yang akan enerangkan representasi dari F 2. 3. Pilih eleent a,b F 2 untuk enjelaskan kurva ellips E (F 2 ) yang dijelaskan dengan persaaan : E : y 2 + x.y = x 3 + a.x 2 + b in F 2. Sebuah base point G (x G,y G ) pada E (F 2 ), sebuah bilangan pria n yang erupakan order dari dan sebuah integer h yang erupakan kofaktor h = #E(F 2 ) / engandung batasan-batasan sebagai berikut : - b 0 dala F 2 - #E(F 2 ) 2-2 b / 1(od n) untuk 1 B < 20 - h 4 4. Keluaran T = (, f ( x), a, h) Validasi priitif doain paraeter kurva ellips pada F 2 Input Doain paraeter kurva ellips pada F 2 yaitu : T =, f ( x), a, h ( ) Output Sebuah indikasi apakah doain paraeter dari kurva ellips adalah valid atau tidak Aksi Validasi doain paraeter dilakukan sebagai berikut : 1. isalkan t ' enyatakan integer terkecil yang lebih besar dari t didala hipunan {64,80,96,112,128,192,256,512}. Pilih {113,131,163,193,233,239,283,409,571} sehingga 2 t < < 2t ' 2. Periksa bahwa f (x) adalah derajat polinoial yang irreucible yang ada pada tabel diatas 3. Periksa bahwa a,x G, dan y G derajat polinoial biner 1 atau kurang 4. Periksa apakah b 0 dala F2 5. Periksa bahwa y 2 G + x G.y G = x 3 G + a.x 2 G + b dala F 2 6. Periksa bahwa n adalah bilangan pria 7. Periksa bahwa h 4 dan bahwa 2 [( 2 + 1) / n] h = 8. Periksa apakah ng = 0 9. Periksa bahwa 2 b / 1 (od n) untuk setiap 1 B < 20 dan bahwa nh 2 10. Jika ada kesalahan aka unculkan invalid jika tidak aka unculkan valid. 11. Pasangan kunci kurva ellips Seluruh kunci public yang digunakan enggunakan pasangan kunci yang dikenal sebagai pasangan kunci kurva ellips (elliptic curve key pair). Mebuat priitif pasangan kunci kurva ellips Input

Doain paraeter dari kurva ellips yang valid yaitu ( p, a, h) atau (, f ( x), a, h) Output Pasangan kunci dari kurva ellips (d,q) yang sesuai dengan T Aksi Pebuatan pasangan kunci elibatkan langkahlangkah berikut : 1. Secara rando atau sei rando eilih suatu nilai integer d dala interval [1, n - 1] 2. Hitung Q = dg 3. keluarkan (d,q) Validasi kunci public dari kurva ellips Validasi ini digunakan untuk eeriksa apakah kunci public sudah valid atau tidak Input Doain paraeter dari kurva ellips yang valid yaitu ( p, a, h) atau (, f ( x), a, h) yang sudah valid dan sebuah kunci public kurva ellips Q = (xq,y Q ) yang sesuai dengan T Output Suatu indikasi apakah kunci public valid atau tidak Aksi 1. Periksa apakah Q 0 2. Jika T erepresentasikan doain paraeter kurva ellips pada F p, periksa apakah x Q dan y Q adalah integer yang ada didala range [1, p -1] dan bahwa : y 2 Q = x 3 Q + a.x Q + b (od p) 3. Jika T erepresentasikan doain paraeter kurva ellips pada F 2 periksa bahwa x Q dan y Q adalah derajat polinoial biner diana paling tertinggi adalah 1 dan bahwa : y 2 Q + x Q.y Q = x 3 Q + a.x 2 Q + b dala F 2 4. Periksa bahwa nq = 0 5. Jika ada kesalahan unculkan invalid jika tidak unculkan valid. Elliptic Curve Digital Signature Algorith (ECDSA) Skea tandatangan yang didesign digunakan oleh 2 pihak yaitu pihak penadatanga yang selanjutnya disibolkan dengan U, dan pihak yang akan elakukan verifikasi, yang selanjutnya disibolkan dengan V. Skea tandatangan eliputi beberapa operasi antara lain : a. Operasi penandatanganan b. Operasi peverfiksian c. Prosedur penggunaan setup dan kunci. Secara uu penerapan skea tandatangan yang dilakukan baik U dan V dapat dijelaskan sebagai berikut : Pertaa-taa U dan V harus enggunakan prosedur setup untuk ebangun opsi-opsi ana yang akan digunakan oleh skea tandatangan nantinya. Setelah itu U enggunakan prosedur penggunaan kunci untuk eilih pasangan kunci ana yang akan digunakan dan V harus endapatkan public key dari U. U akan enggunakan pasangan kunci tersebut untuk engendalikan operasi penandatangana dan V akan enggunakan public key untuk engendalikan operasi peverifikasian. Keudian setiap kali U ingin engirikan sebuah pesa kita katakan M, U harus enggunakan operasi tandatangan ke M dengan enggunakan pasangan kunci yang telah ada untuk endapatkan tandatanga kita katakan S, pada pesan M. Setelah selesai barulah engirikan M yang sudah ditandatangani kepada V. Akhirnya ketika V eneria pesan tersebut, V harus enggunakan operasi verifikasi terhadap pesan tersebut dengan enggunakan public key dari U untuk everifikasi bahwa pesan tersebut berasal dari U. Jika autentikasi berhasil aka V enyipulkan bahwa pesan tersebut benar dari U. Dibawah ini akan dijelaskan lebih detail engenai apa-apa saja yang dilakukan pada setiap operasi yang terjadi. A. Prosedur setup Dala prosedur setup U dan V harus elakukan hal-hal dibawah ini : 1. U ebangun fungsi Hash yang akan digunakan untuk ebuat tandatangan. 2. U harus ebangun doain paraeter dari Kurva ellips (p,a,h) atau (,f(x),a,h) dengan enggunakan panjang bit tertentu (isalkan 56,64,80,96,112,128,192,256). Doain paraeter ini dibangun berdasarkan panjang bit tersebut. U harus eastikan terlebih dahulu bahwa doain paraeter yang diasukkan telah valid enggunakan etode-etode yang ada. 3. V harus eneria fungsi hash dan doain paraeter yang dibangun oleh U. B. Prosedur Pebangunan kunci

Dala prosedur ini U dan V harus elakukan hal-hal berikut : 1. U ebentuk pasangan kunci (d u,q u ) yang dihubungkan dengan doain paraeter yang telah terbentuk pada prosedur setup. Pasangan kunci akan digunakan bersaa dengan tandatangan. Pasangan kunci ini digenerate enggunakan priitif-priitif yang ada. 2. V harus endapatkan kunci public Q u yang dibuat oleh U. 3. V harus elakukan validasi terhadap kunci public yang digenerate oeh U enggunakan etode yang ada. C. Operasi Penandatanganan. U enandatangani pesan yang ada dengan enggunakan ECDSA. Hal-hal yang terjadi antara lain : Input Operasi penandatanganan (Signing Operation) enjadikan sebuah input string M 8 byte diana pesan tersebut ditandatangani. Output Suatu tandatangan S = (r,s) pada M yang terdiri dari pasangan r dan s yang berupa integer. Jika tidak aka akan terjadi valid. Aksi Menandatangani pesan M, dilakukan sebagai berikut : 1. Pilih pasangan kunci epheral elliptic curve, (k,r) diana R = (x R,y R ) yang dihubungkan dengan doain paraeter yang dibuat pada saat prosedur setup enggunakan pasangan kunci yang ada. 2. Ubah eleent x R ke nilai integer x R enggunakan rutin yang ada. 3. r x R (od n). Jika r = 0 kebali ke langkah 1. 4. Gunakan fungsi hash yang terpilih untuk enghitung fungsi Hash. H = Hash(M) 5. Hasilkan nilai integer e dari fungsi H. 6. lakukan penghitungan dengan enggunakan ruus : 1 s ( e r du k. +. ) (od n) 7. Keluarkan S = (r,s) D. Operasi Verifikasi V everifikasi pesan yang datang dari U dengan enggunakan kunci dan paraeter yang dibangun pada saat prosedur setup dan prosedur ebuat kunci. Input, Output dan Aksi yang dilakukan adalah sebagai berikut : Input 1. Octet string M yang ada bersaa pesan. 2. keluaran dari operasi tandatangan (S = (r,s)) Output Suatu tanda apakah tandatangan pada M adalah valid atau tidak. Aksi Melakukan verifikasi tandatangan yang dilakukan sebagai berikut : 1. Jika s dan r salah-satunya tidak integer dala interval [n - 1],unculkan invalid dan keluar. 2. Gunakan fungsi hash yang dibuat selaa prosedur setup untuk enghitung nilai hash yang ada yaitu : H = hash(m) 3. Munculkan e dari H yang telah didapat 4. lakukan penghitungan sebagai berikut : u 1 = e. (od n) dan u2 = r. (od n) s 1 s 1 5. Lakukan penghitungan sebagai berikut : R = (x R,y R ) = u 1 G + u 2 QU Jika R = 0 aka uculkan invalid dan berhenti. 6. Ubah eleeen x R ke integer enggunakan routine pengubahan. 7. assign V = xr (od n) 8. lakukan perbandingan v dan r, jika v = r unculkan valid dan jika v r unculkan tidak valid. Berikut akan dijelaskan serangan-serangan yang pernah dilakukan pada ECDSA Serangan-serangan yang pernah atau asih teori terhadap ECDSA Beberapa tipe serangan yang pernah terjadi pada ECDSA adalah : 1. Serangan yang dilakukan pada perasalahan logarita elliptic curve discrete (Elliptic Curve Discrete Logarith Proble) 2. Serangan pada fungsi HASH yang digunakan 3. Serangan lainnya. 4. Elliptic Curve Discrete Logarith Proble Salah satu cara diana usuh atau para penyerang berhasil adalah enghitung private key A (d) dari paraeter doain A (q,fr,a,h) dan public key Q. Penyerang secara berturut-turut ealsukan tandatangan A pada setiap pesan yang terpilih. Secara ateatis perasalahan dari Elliptic Curve Discrete xr

Logarith Proble adalah sebagai berikut (seperti dibawah ini) : Diberikan sebuah kurva E yang terdefenisi dala wilayah finite F q, sebuah titik P (P E(F q )) dengan orde dan sebuah titik Q diana Q = lp diana 0 l n 1. Hitung l. Beberapa serangan yang pernah terjadi : 1. Naïve Exhaustive Search Pada etode ini, seseorang hanya tinggal enghitung perkalian dari P yaitu P,2P,3P, sapai Q di dapat. Metode ini untuk kasus terburuk bisa encapa n langkah. 2. Algorita POHLIG-HELLMAN Algorita ini enurut Pohling and Hellan [81] encari seua faktorisasi dari n yang erupakan order dari P. algorita ini akan engurangi kopleksitas pencarian dari naïve Exhaustive Search enjadi l dibagi dengan factor-faktor pria dari n. bilangan l dapat diteukan dengan enggunakan teori Chinese Reainder Proble. Pesan oral dari algorita ini adalah untuk ebentuk Elliptic Curve Discrete Logarith Proble (ECDLP) yang paling sulit, seseorang harus eilih sebuah Elliptic Curve diana orde-nya adalah suatu nilai yang dapat dibagi dengan bilangan n yang besar. Order yang ada seharusnya adalah bilangan pria atau bilangan hapir pria (bilangan pria yang dapat dibagi dengan bilangan integer yang kecil). 3. Algorita BABY-STEP dan GIANT- STEP Algorita ini erupakan tie-eory trade-off dari etode Exhaustive Search. Algorita ini ebutuhkan penyipanan dala eori sebanyak n dan waktu untuk enjalankannya sekitar kasus terburuk). n (untuk 4. Algorita POLLARD S RHO Algorita ini, enurut Pollard [83], erupakan nilai rando dari algorita BABY-STEP dan GIANT-STEP. Untuk enjalankan Algorita ini dibutuhkan waktu yang hapir saa dengan algorita BABY-STEP dan GIANT-STEP yaitu sekitar π n / 2 langkah, naun keunggulan dari algorita ini dibandingkan dengan algorita BABY-STEP dan GIANT-STEP adalah tidak terlalu eperhitungkan kapasitas penyipanan dikarenakan ebutuhkan ruang yang relatif kecil. Gallant, Labert, dan Vanstone [31], dan Wiener dan Zuccherato [111] enunjukkan bahwa algorita Pollard dapat dipercepat dengan faktor 2. Sehingga dengan deikian waktu yang dibutuhkan enjadi ( π n )/2 langkah. 5. Algorita PARALLIZED POLLARD S RHO Van Oorschot dan Wiener [80] enunjukkan bagaiana Pollard s Rho dapat diparallelkan sehingga ketika algorita ini berjalan parallel pada r prosesor, waktu yang dibutukan algorita ini sekitar ( π n ) /2r langkah. Karena itulah, dengan enggunakan r prosesor epercepat waktu sekitar r kali dari algorita awal (pada bagian 4). 6. Metode POLLARD S LAMDA Ini erupakan etode rando lain dari Pollard [83]. Saa seperti etode Pollard s Rho, etode Labda dapat juga diparallelkan dengan suatu kecepatan linear. Parallel dari etode labda lebih labat dibandingkan dengan parallel dari etode rho [80]. Metode labda adalah, begitupu lebih cepat dala situasi diana logarita yang digunakan terletak dala interval [0,b] dari [0,n - 1] diana b < 0,39n [80]. 7. Multiple Logarita. R. Silveran dan Staptelon [87] eneukan bahwa jika sebuah ECDLP (Elliptic Curve Distance Logarith Proble) untuk Kurva Elips E dan base pointnya P dapat dipecahkan dengan enggunakan etode Pollard s Rho yang diparallelka keudian diselesaikan dengan. Keudia ECDLP yang telah terpecahkan lagi dapat digunakan untuk eecahkan perasalahan ECDLP lainnya. Menurut hasil percobaan yang dilakukan oleh para peneliti enyebutkan bahwa jika ECDLP yang pertaa dipecahkan dala waktu t aka ECDLP yang kedua dapat

dipecahkan dala waktu ( 2-1)t atau sekitar 0.43t. untuk ECDLP yang ketiga dapat dipecahkan dengan ( 3-2 )t atau sekitar 0,32t dan begitu seterusnya. Hasil yang diperoleh ini enunjukkan bahwa jika satu ECDLP dipecahkan aka ECDLP lainnya akan lebih udah dipecahkan. 8. Supersingular Elliptic Curve Suatu Kurva E dikatakan Supersingular jika pencarian t dari E dapat dibagi oleh p dari F q. Untuk kurva ini diketahui bahwa k 6. hal ini enyebabkan pengurangan waktu enjadi subexponential-tie. Untuk alasan ini aka Supersingular Curve tidak diasukkan kedala ECDSA. 9. Prie-Field Anoalous Curves. Sebuah kurva dikatakan prie-fieldanoalous jika #E(F p ) = p. Seaev [93], Sart [98], dan Satoh dan araki [88] enunjukkan bagaian peecahan yang efisien terhadap kurva ini. Serangan ini tidak dapat digunakan untuk jenis kurva lainnya. Sebaliknya dengan everifikasi julah titik pada suatu Elliptic Curve tidak saa dengan kardinal dari underlying field, seseorang dapat dengan udah eyakinkan bahwa serangan Seaev-Sart-Satoh-Araki tidak digunakan. 10. Curve Defined Over A Sall Misalkan E adalah Elliptic Curve yang terdefenisi pada bidang hingga (F q ). Gallant, Labert dan Vanstone [31], dan Wiener dan Zaccherato [111] enunjukkan bagaiana algorita Pollard s rho untuk penghitungan logarita Elliptic Curve dala E (F 2 ed ) dapat dipercepat dengan faktor d. Dengan deikian waktu yang dibutuhkan enjadi ( π n / d )/2 langkah. 11. Curves Defined Over F 2 adalah bilangan koposit. Galbraith dan Sart [30], berdasarkan karya Frey [27,28], enjelaskan bagaiana Weil descent dapat digunakan untuk eecahkan ECDLP pada kurva yang terdefenisi pada F 2. Keudian Gaudry, Hess dan Sart [32] eperbaiki ide ini dengan ide ini dengan engeukakan beberapa kejadian diana ketika eiliki pebagi (l) yang kecil, isalkan l = 4, ECDLP untuk kurva yang terdefenisi pada F 2 dapat dipecahkan lebih cepat dibandingkan dengan algorita pollard s rho. 12. Non-Applicability Of Index-Calculus Methods. Disetujui atau tidak terdapat algorita subexponential-tie untuk ECDLP adalah pertanyaan yang penting untuk dijawa dan erupakan hal yang sangat penting terhadap keaanan dari ECDSA. Naun selaa 24 tahu lebih spesifik lagi selaa 16 tahun pada ECDLP, penyelidikan terhadap DLP (Discrete Logarith Proble) tidak eneukan adanya subexponential-tie. 13. Serangan Xedni-Calculus Serangan ini diperkenalkan oleh J. Silveran [95]. Salah-satu keunggulan dari Xedni- Calculus adalah keapuannya beradaptasi untuk eecahkan perasalahan perasalahan ordinary logarith dan pefaktoran integer. Naun enurut penyelidikan yang dipipin oleh J. Silveran enyatakan bahwa pada kenyataan serangan ini tidak dapat dilakukan. 14. HyperElliptic Curves HyperElliptic Curves terasuk dala keluarga Algebraic Curves of Arbitrary Genus. Karena itulah, Elliptic Curve dapat dipandang sebagai HyperElliptic Curve dari Genus 1. Adlea DeMarrais dan Huang [1] (Lihat juga dala Stei Muller, dan Theil [106]) epresentasikan algorita subexponential-tie untuk perasalahan logarita diskrit (Discrete Logarith Proble) dala Jacobian dari large genus hyperelliptic curve pada bidang berhingga. Naun dala kasus Elliptic Curves, algorita ini lebih buruk dari Naive Exhaustive Search. Naun enurut hasil percobaan yang telah dilakukan didapat bahwa algorita yang terbaik untuk ECDLP adalah parallel dari algorita Pollard s Rho diana parallel algorita ini ebutuhkan waktu sekitar

π n /(2r) langkah diana n adalah order bilangan pria dari bilangan dasar P dan r adalah julah prosesor yang digunakan. Serangan pada Hardware Van Oorschot dan Wiener [80] enjelaskan bahwa keungkinan pengipleentasian algorita pollard s rho yang diparallelkan dapat enggunakan hardware. Mereka eperkirakan bahwa jika n 10 36 10 120 aka sebuah esin dengan r = 330.000 prosesor dapat dibangun sekitar $ 10 juta yang dapat enghitung suatu logarita diskrit elliptic curve dala waktu 32 hari. Naun sejak ANSI X9.62 enyatakan bahwa paraeter n harus eenuhi n > 2 160 serangan hardware tidak dapat lagi digunakan dengan teknologi sekarang. Serangan pada fungsi HASH Dibawah ini akan dijelaskan beberapa hal yang dapat ebuat serangan pada fungsi HASH berhasil : 1. Jika SHA-1 bukan preiage resistant, aka seorang penyerang apu untuk ealsukan A s signature sebagai berikut : E eilih sebarang nilai integer l, dan enghitung r sebagai koordinat x dari Q+lG engurangi odulo n. E set E = r dan enghitung e = rl od n. Jika E dapat eneukan suatu pesan sehingga e = SHA-1 (), aka (r,s) adalah tandatangan valid untuk. 2. Jika SHA-1 bukan collision resistant, aka sebuah entitas A dapat enanggalkan tandatangan sebagai berikut : A pertaa sekali ebuat 2 pesan yaitu dan sehingga SHA-1() = SHA-1( ). Hal ini enyebabkan pasangan pesan disebut suatu collisiion bagi SHA-1. penyerang akan enandatangani dan keudian akan engklai bahwa penyerang enandatangani. Serangan lain 1. Serangan terhadap nilai k yang ada di setiap pesan. Nilai rahasia k yang ada pada setiap pesan dala ECDSA juga harus dirahasiakan. Karena jika penyerang dapat epelajari nilai k, nilai k ini akan digunakan oleh A untuk ebentuk tandatangan (r,s) pada beberapa pesan, keudian E dapat e recover kunci private A karena d = r -1 (ks - e) od diana e = SHA-1(). Jika nilai k diketahui oleh penyerang aka keungkinan besar kunci rahasia A juga dapat diketahui. 2. Pengulangan penggunaan kunci k pada setiap pesan. Kunci rahasia k yang digunakan untuk enandatangani 2 atau lebih pesan seharusnya dibentuk secara independent satu dengan lainnya. Secara khusus, nilai k yang berbeda seharusnya dibentuk untuk setiap pesan; jika tidak, kunci private, d, dapat diteukan. Untuk ebentuk nilai k yang berbeda-beda kita dapat enggunakan rando atau pseudorando nuber generator. Untuk ebuktikan private key dapat digunakan karena kunci k digunakan berulang-ulang. Misalkan kunci k digunakan untuk ebentuk tandatangan ECDSA (r,s1) dan (r,s2) pada 2 pesan 1 dan 2 yang berbeda. Keudian kita ketahui bahw s 1 = k - 1 (e1 + dr) (od n) dan s 2 k -1 (e2 + dr) (od n), diana e 1 = SHA-1 ( 1 ) dan e 2 = SHA- 1( 2 ). Maka ks 1 = e 1 + dr (od n) dan ks 2 = e 2 + dr (od n). Pengurangan pada kedua persaaan diatas, k(s 1 s 2 ) = e 1 e 2 (od n). Jika s 1 / s 2 (od n), diana diungkinkan terjadi dengan probabilitas overwheling, aka k (s 1 s 2 ) -1 (e 1 e 2 ) (od n). Dengan deikian seorang penyerang dapat enjelaskan k, dan keudian hal ini dapat erecover nilai private key nya,d. 3. Serangan Vaudenay Vaudenay [109] endeonstrasikan keleahan DSA (secara teoritis) didasarkan pada pandangannya bahwa fungsi hash digunakan dala DSA adalah SHA-1 odulo q, tidak hanya SHA-1, diana q adalah 160- bit bilangan pria. (Karena SHA-1 adalah 160-bit fungsi hash, beberapa nilai output, ketika diubah ke integer, adalah lebih besar dari q). Karena itulah, secara uu, SHA- 1() (SHA-1 () od q). Keleahan ini engizinkan pealsuan dari satu pesan jika penyerang dapat enyeleksi paraeter asal. Keleahan ini tidak uncul pada ECDSA karena kebutuhan bahwa n (suatu analogi kuantitas ke q dala DSA) lebih besar dari 2 160.

4. Duplicate-Signature Key Selection Skea tandatangan dapat dikatakan eiliki properti duplikat kunci (duplicate-signature key selection atau DSKS) jika public key A, P A, yang diberikan dan juga diberikan tandatangan A, S A, pada pesan M, se penyerang E apu untuk enyeleksi pasangan kunci yang valid (P E,S E ) untuk S sehingga SA juga erupakan tandatangan E pada M. Sebagai catatan bahwa hal ini dipenuhi ketika S E diketahui E. Blake-Wilson dan Menezes [11] enunjukkan bagaiana properti ini dapat digunakan untuk enyerang suatu key protocol yang enggunakan skea tandatangan. Mereka juga endeostrasikan bahwa jika entitas diizinkan untuk eilih paraeter asal (doain paraeter) ereka sendiri, aka ECDSA eiliki properti DSKS. Untuk elihat hal ini, isalkan bahwa doain parater A adalah D A = (q,fr,a,h), pasangan kunci A adalah (Q A,d A ), dan (r,s) adalah tandatangan A pada M. Penyerang E eilih sebarang nilai integer c, 1 c n 1, isalkan t := ((s -1 e + s -1 rc) od n) 0, hitung X = s -1 eg + s -1 rq (diana e = SHA-1(M)) dan G = (t -1 od n)x. E keudian ebentuk D E = (q, FR, _ a, G, h) dan QE = c G. Setelah itu aka kita dengan udah everifikasi bahwa DE dan Q E adalah valid, dan bahwa (r,s) juga erupakan tandatangan E pada M. Referensi [1] Jhonson Do Menezes Alfred, Vanstone Scott www.cos.scitech.susx.ac.uk/fft/crypto/ecdsa.p df diakses tanggal 7 - Januari 2005 pukul 16 : 05 [2] A Certico White Paper www.cos.scitech.susx.ac.uk/fft/crypto/ecc_s C.pdf diakses tanggal 7 - Januari 2005 pukul 16 : 10 [3] http://www.faqs.org/rfcs/rfc3278.htl diakses tanggal 7 - Januari 2005 pukul 16 : 15 Kesipulan Beberapa kesipulan yang dapat kau tuliskan antara lain : 1. ECDSA erupakan salah-satu variasi algorita tandatangan digital yang ada saat ini. 2. ECDSA erupakan penggabungan algorita Elliptic Curve Cryptography dengan Algorita tandatangan digital.