初步认识ECC

一、关于ECC的简单介绍

椭圆曲线密码算法（Elliptic Curve Cryptography, ECC）是一种基于椭圆曲线数学理论的公钥加密技术。与RSA等其他公钥密码算法相比，ECC提供了相当的安全级别但所需的密钥长度较小，这使得它成为许多现代加密应用中的首选。

 ECC原理简述

椭圆曲线密码学基于椭圆曲线上的离散对数问题。在椭圆曲线E上的点集合（包括无穷远点O）上定义一个加法运算，构成一个群。如果选取的椭圆曲线和加法运算满足某些条件，该群就是一个阿贝尔群，它的阶是一个大素数n。椭圆曲线上的离散对数问题是指在已知椭圆曲线上的两个点P和Q时，求解整数k，使得kP=Q（其中kP表示P点自身相加k次）。ECC的安全性建立在没有找到求解这个离散对数问题的有效算法上。

ECC相关数学知识

椭圆曲线密码学（ECC）的数学知识介绍

1. 椭圆曲线基础

椭圆曲线是满足特定方程的点集，这些点位于二维平面上。在密码学中，通常使用的椭圆曲线方程是 Weierstrass 标准方程：y^2 = x^3 + ax + b（其中a, b为常数）。

2. 群论与有限域

群是一个集合G和集合上的一个二元运算组成的代数结构，满足封闭性、结合性、单位元存在性和逆元存在性。在椭圆曲线密码学中，我们考虑椭圆曲线上的点以及一个特殊的“无穷远点”O。当我们定义一个特定的点加法时，椭圆曲线上的点和无穷远点O形成一个群。

有限域（也称为伽罗瓦域）是一个只包含有限个元素的域。在ECC中，我们通常在有限域上工作，特别是素数域Fp或特征为2的有限域F2^m。

3. 点加与倍点运算

点加是椭圆曲线群上的基本运算，它定义了两个点P和Q的和R。对于椭圆曲线上的任意一点P，还可以定义它的两倍点，即P与自身的和。这两种运算在ECC的密钥生成、加密和解密过程中都是必需的。

4. 离散对数问题

在椭圆曲线密码学中，离散对数问题是指：给定椭圆曲线上的两个点P和Q，找到一个整数n，使得Q = nP。这是ECC安全性的基础，因为在有限域上的椭圆曲线上，离散对数问题是困难的。

5. 椭圆曲线加密

ECC用于加密的基本思想是选择一条椭圆曲线E和曲线上的一个点G（基点），然后选择一个私钥k，计算公钥K = kG。加密过程涉及选择一个随机整数r，计算C1 = rG和C2 = rM + K（其中M是明文消息），然后发送(C1, C2)作为密文。解密过程则通过计算M = C2 - dC1（其中d是私钥k的逆元）来恢复明文。

 

6. 密钥生成与交换

在ECC中，密钥生成涉及选择一条安全的椭圆曲线和一个基点G。然后，生成一个随机数k作为私钥，计算公钥K = kG。密钥交换通常使用ECDH（Elliptic Curve Diffie-Hellman）协议，双方各自生成一个私钥并交换公钥，然后计算共享的秘密。

7. 安全性与攻击

ECC的安全性主要依赖于离散对数问题的困难性。然而，也存在一些针对ECC的攻击方法，如Pollard's rho算法、椭圆曲线离散对数问题的指数级算法等。为了保持安全性，需要选择足够大的椭圆曲线参数和合适的域。

8. 性能优化与实现

为了优化ECC的性能，可以采取一系列策略，如选择快速的点加和倍点算法（如Jacobian坐标、Projective坐标等）、使用预计算表来加速运算、选择适当的素数域或二进制域等。此外，硬件和软件的优化也可以显著提高ECC的性能。

与RSA相比的好处：

相对于RSA，ECC的另一个优势在于性能更好。RSA需要设置很长的密钥，才能保证算法的安全。而密钥越长，运算效率就越低。与RSA不同，ECC的密钥较短小，这就减少了计算开销，而且还提高了安全性能。

ECC还有第三个优于RSA的优点。由于ECC算法是基于超奇异的椭圆曲线同源密码术，破解难度更大，不太容易受到量子计算的关注。美国国家标准技术研究院（NIST）预测，一旦量子计算成为主流，我们今天所了解并在使用的公钥加密系统都将失效。

二、具体实现

ECC关键步骤

1 选择合适的椭圆曲线

选取一条适合加密的椭圆曲线，通常包括确定曲线的参数，如系数a, b和模数p。

# 1. 选择合适的椭圆曲线：这里使用SECP256k1
curve = SECP256k1

2 生成基点和阶

选取椭圆曲线上的一个点G，作为基点，并计算基点G的阶n，即最小的正整数k，使得kG=O（无穷远点）。

这里的代码需借助库实现：在Python中，可以使用ecdsa库来实现ECC算法。ecdsa是一个用于椭圆曲线数字签名算法的Python库，它实现了ECDSA（Elliptic Curve Digital Signature Algorithm）和ECDH（Elliptic Curve Diffie-Hellman）协议。

3 密钥生成与加密解密

密钥生成：选择一个随机的整数d（私钥），计算公钥Q=dG。公钥Q和私钥d一起构成了密钥对。

加密：选择一个随机的整数k，计算椭圆曲线上的点C1=kG和C2=kM（其中M是要加密的消息），则加密后的消息是(C1, C2)。

解密：使用私钥d，计算C1的d倍，即D1=dC1，然后计算原始消息M=D1-C2。

from ecdsa import SigningKey, VerifyingKey, SECP256k1

# ① 选取一条椭圆曲线SECP256k1并选取椭圆曲线上的一个点P作为基点
curve = ecdsa.curves.SECP256k1
G = curve.generator

# ② 选定一个较大的数k作为算法的私钥，并根据椭圆曲线的系数乘法Q=kP运算得到作为算法公钥的Q点
private_key = ecdsa.util.randrange(curve.order)
public_key = private_key * G

# ③ 加密：选择一个随机数r，将待加密的明文M生成密文C，其中C=(rP , M+rQ)
r = ecdsa.util.randrange(curve.order)
C = r * G, M + r * public_key

# ④ 解密：由于对解密者k已知且P、Q均为公开内容，故可执行操作 M+rQ-k(rP) = M，从上述信息中恢复出M的信息
M = C + private_key * C.x() - r * private_key * G.x()

4.验证签名

# 要加密的消息
message = b"Hello, ECC!"
 
# 签名消息
signature = sk.sign(message)
 
# 验证签名
assert vk.verify(signature, message)
print("签名验证成功")
 
# 尝试使用错误的私钥验证签名
wrong_sk = SigningKey.from_pem(sk.to_pem())
wrong_vk = wrong_sk.get_verifying_key()
assert not wrong_vk.verify(signature, message)
print("使用错误的私钥验证签名失败")

三、选取合适曲线

选择合适的椭圆曲线参数是确保椭圆曲线密码学（ECC）安全性的关键步骤。以下是选择合适的椭圆曲线参数时需要考虑的一些关键因素：

安全性要求：首先，需要明确安全性的需求。这涉及到选择足够大的椭圆曲线参数，以抵抗已知的攻击方法。一般来说，较大的域大小（即有限域GF(p)中的p的大小）和较大的椭圆曲线阶数（即椭圆曲线上点的数量）会增加安全性。

性能考虑：除了安全性，还需要考虑性能。较大的参数会增加计算复杂性，可能导致加密和解密操作变慢。因此，需要在安全性和性能之间找到平衡。

标准参数：可以选择一些已经被广泛接受和使用的标准参数。这些参数经过了多年的安全性检验，并且在各种实现中都有良好的性能表现。例如，NIST（美国国家标准与技术研究院）推荐的曲线参数（如P-256, P-384, P-521等）和SECG（高效密码学标准组）推荐的曲线参数都是常用的选择。

专利和知识产权：在选择椭圆曲线参数时，还需要考虑专利和知识产权问题。一些标准的椭圆曲线参数可能受到专利保护，因此在使用之前需要确保遵守相关的许可和专利要求。

参数验证：在选择椭圆曲线参数后，还需要进行参数验证。这包括验证参数是否满足椭圆曲线的定义条件，以及验证参数是否抵抗已知的攻击方法。

软件和硬件支持：考虑选择已经被广泛支持的椭圆曲线参数，这样在软件和硬件实现上会更加方便。许多加密库和协议都支持常见的标准椭圆曲线参数。