椭圆曲线密码学(ECC)原理

1.椭圆曲线的定义

满足以下形式二元三次方程的点集

$$y^2+axy+by=x^3+c{x}^2+dx+e(其中a,b,c,d是实数)$$

称为椭圆曲线。
ECC中最常用的椭圆曲线方程是：

$$y^2=x^3+ax+b(a,b\in GF(p),4a^3+27b^2\ne 0)$$

以下是两个椭圆曲线的例子。

2.有限域上的椭圆曲线

密码学专注于离散的数学，而上面介绍的椭圆曲线是连续的。我们想把椭圆曲线及其加法应用于密码学，需要在整数集上讨论椭圆曲线 的点集。
设$E_p(a,b)$表示椭圆曲线$y^2=x^3+ax+b$上的点集，则求解$E_p(a,b)$上的点集的步骤如下：
(1) 对区间$[0,p)$中的每个正整数$x$，计算$x^3+ax+b(\text{mod}p)$
(2) 对区间$[0,p)$中的每个正整数$y$，计算$y^2(\text{mod}p)$
(3) 看以上两个计算结果是否相等(即$x^3+ax+b\equiv y^2\text{mod}p$)，如果相等(存在同余关系)，则$(x,y)$是椭圆曲线上的点，否则不是。、
例. $E_{11}(1,6)$表示椭圆曲线$y^2=x^3+x+6$，则点集$E_{11}(1,6)$如下表：

(2,4)	(2,7)	(3,5)	(3,6)	(5,2)	(5,9)
(7,2)	(7,9)	(8,3)	(8,8)	(10,2)	(10,9)

说明：
$2^3+2+6(\text{mod}11)=5$
$4^2(\text{mod}11)=5$
$7^2(\text{mod}11)=5$

3.椭圆曲线上的加法法则

在椭圆曲线$E$上定义"加"的运算：假设有两个点$P$,$Q$则$P$与$Q$的和$P\oplus Q$由如下步骤得到：
连接$PQ$两点形成直线，这条直线交椭圆曲线$E$于$R$点，则$R$点关于$x$轴的对称点$R^{\prime }$就是$P\oplus Q$的运算结果。

当$P$、$Q$两点重合时，微积分的知识告诉我们，此时直线$PQ$成为椭圆曲线$E$的切线，亦即作曲线在$P$点的切线交曲线于另一点$R$，$R$关于$x$轴的对称点$R^{\prime }$即为$P\oplus P$的值。

例. 假设椭圆曲线$E$方程为$y^2=x^3-15x+8$，$P$点坐标为$(7,16)$，$Q$点坐标$(1,2)$，在这条曲线上计算$(7,16)\oplus (1,2)$。
首先获取这条直线$PQ$斜率为

$$\lambda =\frac{y_P-y_Q}{x_P-x_Q}=\frac{7}{3}$$

从而得到直线$PQ$的表达式：

$$PQ:y=\frac{7}{3}x-\frac{1}{3}$$

将其与曲线方程$y^2=x^3-15x+8$联立消去$y$可得关于x的方程：

$$x^3-\frac{49}{9}{x}^2-\frac{121}{9}x+\frac{161}{9}=0$$

不需要硬解该方程，因为我们知道这个方程必有两根$x_1=7$,$x_2=1$，因此该方程等价于

$$(x-1)(x-7)(x-x_3)=0$$

观察两式一次项不难得到

$$-7x_3=\frac{161}{9}$$

因此

$$x_3=-\frac{23}{9}$$

再将$x_3$代入直线方程可得$y_3=-\frac{170}{27}$
即$(7,16)$与$(1,2)$的连线与曲线交点为$R(-\frac{23}{9},-\frac{170}{27})$，因此

$$P\oplus Q=R^{\prime }=(-\frac{23}{9},\frac{170}{27})$$

无穷远点
如果$P、Q$两点本身关于$x$轴对称，那么直线$PQ$就不与曲线有第三个交点，此时规定$P\oplus Q=0$，即$P、Q$在无穷远处相交，这里的"$0$"就算无穷远点。
显然有$P+0=P$，亦即无穷远点$0$是加法运算的单位元。
同时注意到：
如果$P=(x,y)$，那么$(x,y)\oplus (x,-y)=0$，即(x,-y)是$P$的加法逆元，即$-P$。

因此，对于一般情况，求椭圆曲线$E_p(a,b)$上任意两点$P(x_1,y_1),Q(x_2,y_2)$之和$P\oplus Q$的方法如下：
如果$y_1+y_2=0$则$P+Q=0(无穷远点)$
如果$y_1+y_2\ne 0$，则$P+Q=(x_3,y_3)$由以下规则确定：

$$x_3\equiv {\lambda }^2-x_1-x_2(\text{mod}p)$$

$$y_3=\lambda (x_1-x_3)-y_1(\text{mod}p)$$

其中

$$\lambda =\{\begin{array}{r}\frac{y_2-y_1}{x_2-x_1},P\ne Q\\ \frac{3x_1^2+a}{2y_1},P=Q\end{array}$$

具体证明如下：
设直线$PQ$为$y-y_1=\lambda (x-x_1)$。将直线方程与曲线方程联立并消去$y$得到

$$(\lambda x+y_1-\lambda x_1{)}^2=x^3+ax+b$$

整理可得

$$x^3-{\lambda }^2{x}^2+(a+2{\lambda }^2{x}_1-2\lambda y_1)x+b-(y_1-\lambda x_1{)}^2=0$$

由于直线和椭圆曲线已有两交点$(x_1,y_1),(x_2,y_2)$，因此上式必有两根$x=x_1,x=x_2$，设第3根为$e_3$，则上方程等价于

$$(x-x_1)(x-x_2)(x-e_3)=0$$

由常数项相等可得

$$e_3=\frac{(y_1-\lambda x_1{)}^2-b}{x_1{x}_1}$$

即

$$e_3=\frac{y_1^2-2\lambda x_1{y}_1+{\lambda }^2{x}_1^2-b}{x_1{x}_2}$$

由于 $y_1^2=x_1^3+a{x}_1+b$，即$b=y_1^2-x_1^3-a{x}_1$，代入上式得

$$e_3=\frac{x_1^3+a{x}_1-2\lambda x_1{y}_1+{\lambda }^2{x}_1^2}{x_1{x}_2}=\frac{x_1^2+a-2\lambda y_1+{\lambda }^2{x}_1}{x_2}(\ast )$$

而又有

$$y_1^2=x_1^3+a{x}_1+b$$

$$y_2^2=x_2^3+a{x}_2+b$$

两式相减得

$$y_1^2-y_2^2=x_1^3-x_2^3+a(x_1-x_2)$$

即

$$(y_1+y_2)\lambda =x_1^2+x_1{x}_2+x_2^2+a$$

将该式中的$a$代入$(\ast )$式可得

$$e_3=\frac{(y_2-y_1)\lambda -x_1{x}_2-x_2^2+{\lambda }^2{x}_1}{x_2}(\ast \ast )$$

其中有$y_2-y_1=\lambda (x_2-x_1)$，将其代入$(\ast )$式得

$$e_3=\frac{{\lambda }^2{x}_2-x_1{x}_2-x_2^2}{x_2}={\lambda }^2-x_1-x_2$$

即直线$PQ$与椭圆曲线的第3个交点横坐标

$$x_3={\lambda }^2-x_1-x_2$$

纵坐标为$\lambda (x_3-x_1)+y_1$，而$P\oplus Q$仍需作第3个交点关于$x$轴的对称点，因此

$$y_3=\lambda (x_1-x_3)-y_1$$

这不依赖于$P、Q$两点是否重合。且上述运算都是在mod p的意义下进行。

4.椭圆曲线离散对数问题

椭圆曲线上的两个点P和Q，k为整数，Q=kP；
点P称为基点（base point）
k为私有密钥（private key）
Q为公开密钥（public key)

5. 椭圆曲线加解密

1、用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点，作为基点G。
2、用户A选择一个私有密钥k，并生成公开密钥K=kG。
3、用户A将Ep(a,b)和点K，G传给用户B。
4、用户B接到信息后 ，将待传输的明文编码到Ep(a,b)上一点M（编码方法很多，这里不作讨论），并产生一个随机整数r（r<n)。
5、用户B计算点C1=M+rK；C2=rG。
6、用户B将C1、C2传给用户A。
7、用户A接到信息后，计算C1-kC2，结果就是点M。因为 C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M；再对点M进行解码就可以得到明文。

6. 拓展

椭圆曲线在Fp域上的加密（python实现）
ECC椭圆曲线密码学的原理、公式推导、例子、Python实现和应用
ECC椭圆曲线详解(有具体实例)
什么是椭圆曲线加密（ECC）？