椭圆曲线公钥密码学习

一、         密码背景

基于有限域上离散对数问题的公钥密码体制，最著名的是ElGamal体制，是由T. ElGamal在1985年提出的 ElGamal有较好的安全性，同一明文在不同时刻会产生不同的密文应用广泛，尤其数字签名方面的应用，著明的美国数字签名标准DSS就是ElGamal的一种变形。

二、         加解密算法

加密过程：

(1)   A将明文消息编码成一个数m<p,并在椭圆群(a,b)中选择一点

(2)   在区间[1,n-1]内，A选取一个随机数k，计算点P1：P1=(x1,y1)=Kg;

(3)   依据接收方B的公钥，A计算点=(x2,y2)=k;

(4)  A计算密文C=m

(5)  A传送加密数据{Kg,,C}给接收方B；

解密过程：

(1)   接受方B收到加密数据={Kg,,C};

(2)   接受方B使用自己的私钥作如下计算：

 

(3)   B计算m=(C-)/x，得明文m。

三、         椭圆曲线公钥密码算法数论基础

中学的时候我们学过圆锥曲线，比如椭圆、双曲线和抛物线。因为描述这些曲线的方程都是二次方程，圆锥曲线又被称为二次曲线。而椭圆曲线是则是由三次方程描述的一些曲线。更准确地说，椭圆曲线是由下面的方程描述的曲线：

 

y2=x3+ax+b其中4a3+27b2≠0

 

需要注意的是，椭圆曲线之所以叫“椭圆曲线”，是因为其曲线方程跟利用微积分计算椭圆周长的公式相似。实际上它的图像跟椭圆完全不搭边。

下图是椭圆曲线y2=x3−x+1的图像

 

 

 

椭圆曲线有这样的两个性质：

关于X轴对称

画一条直线跟椭圆曲线相交，它们最多有三个交点

  

  椭圆曲线上的运算：

  由于椭圆曲线加密进行的运算实际上都是在椭圆曲线上进行的，所以接下来需要定义一些椭圆曲线上的运算。

必须注意的是，这里把这些运算称为“加法”和“乘法”仅仅是方便描述，他们跟平时认知的加法和乘法完全是两码事，完全可以给他们取其它名字（比如”乘法“和”幂运算“等）。

首先定义坐标系中距离X轴无穷远点为椭圆曲线上的一个特殊点，称为0点。

那么此时上述第二条性质可以加强为：过曲线上任意两点（可重合）的直线必定与曲线相交于第三点。

然后定义椭圆曲线上点的加法。设椭圆曲线上有两点，A和B点，那么作过这两点的直线与该曲线相交于第三点（C点），然后关于X轴对称得到D点，则D为这两个点的和，记作D=A+B。很明显，D点也在该曲线上。所以椭圆曲线上两点之和也是曲线上的点。

特别地，如果两点重合，则作椭圆曲线在A点处的切线，与曲线相交于第二点（B点），然后关于X轴对称得到C点，则C点为A点与自身的和，记作C=A+A

那么关于这个加法，我们可以得到以下结论：

A+B=B+A

也就是椭圆曲线上的加法满足交换律。

A+0=A

因为0点是无穷远点，所以过A点与0点的直线是垂直于X轴的，它与曲线相交于另一点B点，那么B点关于X轴对称的点就是A点，即A点为A点和0点之和。

然后在加法的基础上，定义椭圆曲线上点的乘法。

设P是椭圆曲线上的一个点，那么正整数k乘以点P的结果由下面的式子定义，注意式子中的加法是上面提到的椭圆曲线上点的加法：

1∗P=P

2∗P=P+P

3∗P=2∗P+P

…

k∗P=(k−1)∗P+P

这个乘法满足以下性质：

对于任意正整数k和j，有

k∗(j∗P)=(kj)∗P=(jk)∗P=j∗(k∗P)

   

椭圆曲线上的离散对数问题:

定义了基本的加法和乘法运算后，我们可以由此得到椭圆曲线加密依赖的数学难题。

 

k为正整数，P是椭圆曲线上的点（称为基点），已知k∗P和P，计算k

从程序实现的角度来考虑，假设有这么一个函数：

 Point add(Point A, Point B) {...}

函数参数是两个椭圆曲线上的点，返回值是过两个点的直线与椭圆曲线相交的第三个点关于X轴对称的点。

那么按照如下方式调用函数：

 

Point result =P;

for (int i = 0;i < k - 1; i++)

    result = add(P, result);

sendTo((result,P), others);

如果别人只知道result和P点，是很难求出k的值是多少的。

 

如果我们改一种记法，把椭圆曲线上点的加法记作乘法，原来的乘法就变成了幂运算，那么上述难题的形式跟离散对数问题应该是一致的。即：

k为正整数，P是椭圆曲线上的点，已知Pk和P，计算k=logPPk。

所以这个难题叫椭圆曲线上的离散对数问题。

尽管两者形式一致，但是他们并不等价。实际上这个问题比大整数质因子分解（RSA）和离散对数（DH）难题都要难得多，以致于同样的安全强度下，椭圆曲线加密的密钥比RSA和DH的短不少，这是椭圆曲线加密的一大优势。

 

   有限域上的椭圆曲线:

   但是密码学中，并不能使用上面介绍的实数域上的椭圆曲线。因为

1. 实数域上的椭圆曲线是连续的，有无限个点，密码学要求有限点。

2. 实数域上的椭圆曲线的运算有误差，不精确。密码学要求精确。

所以我们需要引入有限域上的椭圆曲线。

 

所谓有限域上的椭圆曲线，简单来说就是满足下面式子要求的曲线（x, y, a, b都是小于素数p的非负整数）：

y2modp=x3+ax+bmodp其中4a3+27b2≠0modp

对比一下原先的椭圆曲线的方程：

y2=x3+ax+b其中4a3+27b2≠0

可以看到这个只是对原式进行了简单的取模处理而已。实际上RSA和DH中也是基于这种形式的取模运算，它们其实也都是在有限域上进行的。

 

一、         密码局限性（攻击方法）

椭圆曲线安全性依赖于基于椭圆曲线的有限群上的离散对数难题。于基于RSA的数字签名和基于有限域离散对数的数字签名相比，在相同的安全强度条件下，椭圆曲线方案有如下特点：签名长度短，密钥存储空间小，特别适用于存储空间有限、带宽受限、要求高速实现的场合（如在智能卡中应用）。

为使得有较好的安全性，这些参数的选取应满足如下条件：

(1)   P越大越安全，但越大，计算速度就越慢，160位可以满足目前的安全要求；

(2)   为了防止Pohlig-Hellman方法攻击，n为大于素数（n>）,对于固定的有限域GF(P)，n应当尽可能大；

(3)   因为+ax+b无重复因子才可基于椭圆曲线(a,b)定义群，所以要求4+27(mod p)；

(4)  为了防止小步——大步攻击，要保证P的阶n足够大，要求n4;

(5)   为了防止MOV规范法和Smart法，不能选取超奇异椭圆曲线和异常椭圆曲线等两类特殊的曲线。