椭圆曲线密码学(ECC)基本介绍和总结

已于 2024-04-19 09:58:35 修改
阅读量4.3k 收藏 27
点赞数 17
分类专栏: 安全 密码学 ECC 文章标签: 密码学
于 2024-04-17 10:02:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keheinash/article/details/137858345
版权
安全 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
密码学
2 篇文章 0 订阅
订阅专栏
ECC
2 篇文章 0 订阅
订阅专栏

背景

ECC英文全称"Elliptic Curve Cryptography",其背后的密码学原理或者说安全性,是基于椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem,ECDLP)。ECC密码学被普遍认为是RSA密码系统的接替算法,相比于RSA,ECC在使用更短的密钥长度即可达到同等的安全性,比如ECC164位的密钥,相当于RSA 1024位密钥提供的保密强度,且由于密钥更短,运算速度和带宽占用上也更有优势。
关于ECC的数学原理介绍和使用方法,网上有许多教程,下面主要是个人对认为比较难理解的知识点的思考和汇总。

椭圆曲线的确定

描述一条Fp上的椭圆曲线,常用到六个参数:
T=(p,a,b,G,n,h)。
p 、a 、b 用来确定一条椭圆曲线,
G为基点,
n为点G的阶,
h 是椭圆曲线上所有点的个数m与n相除的整数部分。
这几个参数取值的选择,直接影响了加密的安全性。参数值一般要求满足以下几个条件:

  1. p 当然越大越安全,但越大,计算速度会变慢,200位左右可以满足一般安全要求;
  2. p≠n×h;
  3. pt≠1 (mod n),1≤t<20;
  4. 4a3 + 27b2 ≠ 0 (mod p);
  5. n 为素数;
  6. h≤4

椭圆曲线的选择

使用ECC时,应该从密码学家证明过具备安全性的曲线中选择曲线使用,如secp256k1, P-521 ,Curve25519等,不应该使用私有的曲线。即不要自行选择或者定义T=(p,a,b,G,n,h)中这些确定椭圆曲线的参数。

密钥长度的选项和选择

由于我们对RSA比较熟悉,因此我们可以把两种算法中不同密钥长度的安全性进行类比,这样就可以基于RSA的经验,来选择合适的密钥长度,下表是两种算法,在提供同等级安全时,各自需要的密钥长度。就RSA而言,目前主流密钥长度至少都是1024bits以上,低于或者等于1024bit的密钥已经不建议使用,对于一些政府部门,金融机构,应选择使用大于2048bits的密钥长度。
在这里插入图片描述

椭圆曲线明文,密文,密钥和椭圆曲线的关系

很多文章对椭圆曲线的数学原理的解释十分详细,但是看完还是没办法理解是如何将这个曲线和加解密联系在一起。其实明文,密文以及公钥都是椭圆曲线上的点或者点对。
私钥:生成一个随机数k_priv,这个随机数的范围是[1,n),即大于0,但是小于n的数,n即曲线的阶,是椭圆曲线的参数之一,在曲线确定的情况下,这个n值也可以确定
公钥:k_pub = k_privG,其中G是T=(p,a,b,G,n,h)中的G,即椭圆曲线的生成元(或者叫基点),通过k_priv和G相乘得到的k_pub 仍然是在曲线上的一点
明文:将明文编码,使之成为T=(p,a,b,G,n,h)曲线上的一点,表示为M
密文:生成随机数r,将消息M生成密文E,E = {rG, M+rk_pub },其中k_pub 为公钥,这个密文就是曲线上的一个点对
解密过程:
密文 = E = M + rk_pub - k_priv*(rG) = M + r(k_privG) - k_priv (rG) = M
在数学上,已知k_priv和G,求k_pub = k_privG的速度是非常快的,但是已知k_pub 和G,求k_priv=k_pub/G却是非常困难的,这就是椭圆曲线的离散对数问题,ECC加解密算法的安全性正是基于这个离散对数问题而得到保证
综上,可以简述加解密过程如下:

  1. 用户A选定一条椭圆曲线T=(p,a,b,G,n,h)
  2. 用户A选择一个私有密钥k,并生成公开密钥K=kG
  3. 用户A将曲线T(实际中,则是双方约定选择同一个经过安全证明的曲线)和点K(公钥),G传给用户B
  4. 用户B接到信息后,将待传输的明文编码到曲线T上一点M,并产生一个随机整数r(r<n)
  5. 用户B计算点C1=M+rK;C2=rG
  6. 用户B将C1、C2传给用户A
  7. 用户A接到信息后,计算C1-kC2,结果就是点M。因为C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M
  8. 再对点M进行解码就可以得到明文。
    在这个加密通信中,如果有一个偷窥者H ,他只能看到T=(p,a,b,G,n,h)、K、G、C1、C2,而通过K、G 求k 或通过C2、G求r 都是相对困难的。因此,H无法得到A、B间传送的明文信息。

公钥和私钥的表示方式

公钥

椭圆曲线的公钥实际上是曲线上的一个点,可以用坐标点(x,y)表示,通常是将x和y的值分别转换成字符串来存储和传输,如下是一个公钥的例子
57E1174B773A91E743BC719C9C8B24C8F25096411744C0EB09C13AAD4073D547
BBD7DA078002F7C84441B196A8B8532E0046BA8ED71DED0B9E2BEACA31F1EE9A
其中57E1174B773A91E743BC719C9C8B24C8F25096411744C0EB09C13AAD4073D547为公钥的x点坐标,BBD7DA078002F7C84441B196A8B8532E0046BA8ED71DED0B9E2BEACA31F1EE9A为公钥的y点坐标,实际在计算的时候,需要把这些字符串中的元素按照其字面的值转为对应的十六进制,如:0x57,0xE1…
上述是公钥的非压缩表示,通常需要还在坐标点前加上一个字节0x04用于表示使用非压缩的方式,即0457E1174B773A91E743BC719C9C8B24C8F25096411744C0EB09C13AAD4073D547BBD7DA078002F7C84441B196A8B8532E0046BA8ED71DED0B9E2BEACA31F1EE9A。
还有一种压缩的表示方式。根据椭圆曲线方程,我们只需要知道 x 坐标,就可以通过方程计算出 y 坐标,这样就不用同时保存x,y的值,减少了存储和带宽。但是如果只知道x,带入方程会求出两个y,一正一负,对应两个不同的点,所以还必须有一个标志来区别实际使用的是哪个。所以通常采用下面的约定,具体格式为:

  • 前缀02 + x (当y为偶数)
  • 前缀03 + x (当y为奇数)
    可以仅用一个坐标长度+1bit表示整个公钥,比如:
    02f54ba86dc1ccb5bed0224d23f01ed87e4a443c47fc690d7797a13d41d2340e1a

私钥

私钥是一个随机数,通常是把其十六进制下的数据当作字符串保存(和公钥的保存形式一样),如下:
0A7ECE7EFCA5C5A186FF7340125E2E1F1754D8F27922573F66ABA43D8DA3ECDE
这个私钥其实就是0x0A,0x7E,0xCE…

椭圆曲线加解密算法的实现

但是实际上,和RSA算法不同,ECC并没有提供/定义一种具体的加解密算法,在目前常用的开源算法库中,也没有看到直接实现ECC加解密的接口,为了基于ECC实现加解密,开发人员通常采用混合加密方案来实现此功能,下面是混合加密解决方案的示例图,其实就是结合对称加解密,密钥派生算法,或者密钥协商算法等其他密码学算法,同时结合ECC的安全性,间接实现ECC加解密。这种基于ECC的混合加密方案,通常成为ECIES(Elliptic Curve Integrated Encryption Scheme)
在这里插入图片描述
下面是一个基于ECDH密钥交换方案设计的ECC加解密功能实例
由于使用的密钥较多,先逐一介绍这些密钥的功能以及如何产生这些密钥
sharedSecret:共享秘密数,通过密钥协商算法生成的临时秘密数,用于作为密钥派生算法(KDF)的输入,派生出加密明文的加密密钥和摘要计算密钥
sendTempPub:发送方的临时ECC公钥,用于计算sharedSecret
sendTempPriv:发送方的临时ECC私钥,用于计算sharedSecret
recvPubKey:接收方的固定的ECC公钥,同时也是对外暴露的公钥,需要给到发送方
recvPrivKey:接收方的固定的ECC私钥
ENC Key:用于对实际明文进行加解密的对称密钥
MAC Key:用于进行hash计算的对称密钥
关于密钥协商的过程,通常使用DH算法,可以参考下面的介绍:
https://cryptobook.nakov.com/asymmetric-key-ciphers/ecdh-key-exchange

加密过程

假设用户A需要通过ECIES对数据进行加密,发送给用户B
加密步骤如下:

  1. 用户B生成随机数(并不是任意的随机数都可以,需要是[1,n)这个范围内,n为阶数,曲线的参数之一),作为recvPrivKey
  2. 用户B通过私钥recvPrivKey,生成公钥recvPubKey:recvPrivKey*G=recvPubKey(G为生成元,也是曲线的参数之一),并将公钥recvPubKey给到用户A
  3. 用户A生成随机数,作为sendTempPriv,并计算出sendTempPub=sendTempPriv*G
  4. 用户A通过:sendTempPriv*recvPubKey = SharedSecret,得到SharedSecret
  5. 用户A将SharedSecret作为输入,通过KDF算出ENC Key和MAC Key
  6. 使用ENC Key对明文m进行加密,得到c
  7. 使用MAC Key对上一步得到的c进行MAC计算,得到tag
  8. 将sendTempPub,c和tag拼接,得到sendTempPub | c | tag,作为完整的密文发送给到B
    上述过程的图形表示如下:
    在这里插入图片描述

解密过程

假设用户B收到了来自用户A的密文:sendTempPub | c | tag
解密步骤如下:

  1. 用户B从sendTempPub | c | tag提取出sendTempPub
  2. 用户B使用sendTempPub * recvPrivKey计算出SharedSecret,用户A是通过sendTempPriv * recvPubKey = SharedSecret计算出SharedSecret的,又因为sendTempPub = sendTempPriv * G,因此sendTempPub * recvPrivKey = sendTempPriv * G * recvPrivKey = sendTempPriv * recvPubKey = SharedSecret
  3. 用户B以SharedSecret作为输入,通过KDF算出ENC Key和MAC Key
  4. 用户B从sendTempPub | c | tag提取出c
  5. 用户B使用ENC Key对c进行解密,得到明文m
  6. 用户B从sendTempPub | c | tag提取出tag
  7. 用户B使用MAC Key对c进行hash计算,得到tag’
  8. 将tag和tag’进行比较
    上述过程的图形表示如下:
    在这里插入图片描述
    综上,可以看到ECC在加解密中,主要是利用私钥的不可逆推来保护临时的对称密钥的安全性,真正加密数据的是通过密钥派生算法计算出的密钥。
    从上述的例子可以看出,基于ECC进行加解密的方案中,具体使用何种密钥派生算法,何种对称加解密算法,都是非常灵活的,为了便于加解密双方协商这些算法或者参数,实际工程中,可以基于ECIES来实现加解密方案。ECIES(集成加密方案,elliptic curve integrate encrypt scheme),ECIES并不是一种具体的方案,而是一种基于ECC的加解密框架,其中的密钥导出机制,加密方法都可以根据自己的需要进行设计。
    ECIES也有几个标准:ANSI X9.63, IEEE 1363a 和 ISO/IEC 18033-2。其中主要约定的ECIES参数分别是:KDF,对称加解密算法,MAC算法等。

ECC和RSA的比较

在这里插入图片描述

在这里插入图片描述

铁桶小分队
关注
  • 17
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ecc(椭圆曲线加密)标准文档2:推荐的参数
12-26
ecc(椭圆曲线加密)的标准文档第二部分:推荐的参数,给出了实现可用的,安全的椭圆曲线加密算法的推荐的参数,有了这个文档,就不用自己去选取参数,并证明其安全性了,文档给出的算法都是可用的,标准的一些参数,基本也是商用的ecc加密库必须支持的参数
椭圆曲线ECC基本参数的生成(C++)
01-31
用VC++实现了在Fp(p为大素数)上的椭圆曲线密码体制的基本参数p,a b的生成。
ECC椭圆曲线入门
踩踩多来梦的博客
11-16 1866
ECC(Ellipse Curve Cryptography)又称椭圆曲线密码体制、椭圆曲线加密算法等。椭圆曲线加密算法在比特币、区块链上有着广泛的应用。公式: y^2 = x^3 + ax + b这里使用简单易懂的方式对大家介绍这部分内容,让大家有个简单的理解​。
ECC椭圆曲线详解
trigpoplar的博客
01-28 1558
前言 ECC英文全称"Ellipse Curve Cryptography" 与传统的基于大质数因子分解困难性的加密方法不同,ECC通过椭圆曲线方程式的性质产生密钥ECC164位的密钥产生一个安全级,相当于RSA 1024位密钥提供的保密强度,而且计算量较小,处理速度更快,存储空间和传输带宽占用较少。目前我国居民二代身份证正在使用 256 位的椭圆曲线密码,虚拟货币比特币也选择ECC作为加密算法。 从射影平面讲起 古希腊数学家欧几里得的《几何原本》提出了五条公设。 1.由任意一点到任意一点可作直线。 2.一
【SSD】ECC LDPC原理
最新发布
qq_43543209的博客
05-21 1296
LDPC全称是Low Density Parity-Check Code,即低密度奇偶校验码。LDPC的特征是低密度,也就是说校验矩阵H里面的1分布比较稀疏。LDPC又分为正则LDPC(regular LDPC)和非正则LDPC(irregular LDPC)编码。正则LDPC保证校验矩阵每行有固定J个1,每列有固定K个1;非正则LDPC没有上述限制。
椭圆曲线密码算法概述
qq_44005305的博客
02-27 2285
设下图是显示了其中一种实际的椭圆曲线:对椭圆曲线上的点,我们可以定义一种形式的加法:如果椭圆曲线上的三个点位于同一直线上,那么它们的和为根据上面的定义导出椭圆曲线上的加法运算法则如下: 当当下面的动画解释了为什么是切线:随着两个点越来越接近,过这两点的直线最终变成了曲线的切线上面用几何的形式解释了椭圆曲线上的加法法则,下面是数学表达式。设在数学上,椭圆曲线群的元素为椭圆曲线上的点,群操作为”+”,”+”的定义为,给定曲线两点
ECC(椭圆曲线密码编码学)简介
书山有路勤为径
12-24 7316
参考:ECC加密算法入门介绍 ECC(Elliptic Curves Cryptography,椭圆曲线密码编码学)属于公开密钥算法。 一、平行线 假设平行线相交于无穷远点P∞,那么所有直线都相交,且只有一个交点。为与无穷远点相区别把原来平面上的点叫做平常点。无穷远点的性质: 直线上的无穷远点只能有一个。 平面上一组相互平行的直线有公共的无穷远点。 平面上任...
ECC算法推荐参数汇总
SkyChaserYu的博客
04-15 5204
推荐使用素数域256位椭圆曲线。GM/T 0003-2012标准推荐参数 椭圆曲线方程:y ^ 2 = x ^ 3 + ax + b。 曲线参数: p= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF a= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFF...
c++ 椭圆曲线算法ECC基本参数的生成
07-26
c++ 椭圆曲线算法ECC基本参数的生成
ECC(Elliptic Curve Cryptography)椭圆曲线密码详解
热门推荐
jingshaoyou的博客
10-03 1万+
椭圆曲线密码基于离散对数难题 公钥密码 ECC 非对称密钥功能:加密、签名、密钥交换 ECC是RSA的后继更短的密钥长度、更快的签名、更快的密钥协商 私钥长度为256bits, 32字节。大小在曲线的域范围内(field size),256bits的整数。此范围内任意整数都是合法的私钥。 公钥为曲线上的点(EC points),坐标为{x,y}.能够压缩为一个坐标长度+1bit,为压缩的公钥(compressed public key)。 不同的椭圆曲线具有不同的安全级别、不同的性能、不同的密钥长度。 EC
ecctool工具
11-13
ecctool工具
ECC算法软件优化的研究综述
03-23
ECC是一个应用非常广泛的非对称加密算法,但其加密效率较低。文档中对ECC算法的软件优化进行分类、分析和对比,提出了一些可以提高加密运算速度的方法。文档中提出了关于k的编码、公式改写及综合利用上下层算法软件优化这三个方面来进行介绍
ECC技术介绍
08-09
ECC 是“Error Checking and Correcting”的简写,中文名称是“错误检查和纠正”。ECC是一种能够实现“错误检查和纠正”的技术,ECC内存就是应用了这种技术的内存,一般多应用在服务器及图形工作站上,这将使整个电脑系统在工作时更趋于安全稳定。
基于ECC&AES混合加密应用系统(原创)
06-24
对称密码技术高级加密标准算法(AES)易于软件实现和硬件实现,并且具有加密速度快、内存消耗小、抵抗多种人为攻击、操作简单等优越性。非对称密码技术椭圆曲线加密(ECC)是基于离散对数难题的,这使得对于相同长度的密钥来说, ECC加密更快、破解难度更大。 本文实现了128位密钥的AES算法,将原来的四步加密过程整合为两步,通过CBC或ECB两种分组模式加密明文数据。同时也实现了在大素数域上的ECC算法,利用ECC实现生成用户公钥、私钥以及加密数据的高效、安全密钥管理机制。 通过将AES算法和ECC算法结合起来,实现混合加密,并应用在文件管理上体现其价值。该系统内文件加密过程利用的是AES算法加密模块,在管理用户密钥方面利用了ECC算法加密模块,并实现多重加密来隐藏直接加密后密文内的重要参数。该系统可以安全、有序的管理用户拥有的重要文件。
tuoyuan.rar_安全 介绍_密码学_椭圆 曲线_椭圆曲线
09-19
椭圆曲线密码学(Elliptic Curve Cryptography,ECC)是现代密码学的一个重要分支,它基于数学上的椭圆曲线理论,为信息安全提供了一种高效且安全的加密方法。相较于传统的公钥加密技术,如RSA,ECC具有更高的安全性...
椭圆曲线密码学导论+其他资料.rar
05-21
椭圆曲线密码学导论 基于ECC的门限密码体制及其应用的研究—在入侵容忍中应用的探索 基于ECC的门限数字签名方案及其安全性 模幂与点乘m_ary算法中窗口大小的最优化估计 SM2_ECDSA 椭圆曲线ECC加密算法入门介绍
椭圆曲线密码学导论.rar
04-17
椭圆曲线密码学(Elliptic Curve Cryptography, ECC)...通过深入学习《椭圆曲线密码学导论》,读者将能够全面理解ECC基本原理、算法实现以及实际应用,这对于密码学领域的研究者和从业者来说是一份宝贵的参考资料。
椭圆曲线密码学导论-ppt.pdf
09-27
椭圆曲线密码学导论相关PPT
java取模运算定律_简述椭圆曲线算法(ECC
06-11
关于Java取模运算定律,一般我们使用符号“%”来表示取模运算,它的结果就是余数,例如a%b表示a除以b的余数。Java取模运算定律包括以下几点: 1. a % b 的结果一定小于 b。 2. 当 a % b 的结果为0时,说明a能够被b整除。 3. 当a、b都为正数时,a % b 的结果与a的符号相同;当a、b中有一个为负数时,a % b 的结果与a的符号相反。 4. 取模运算可以用来判断一个数是奇数还是偶数,具体做法是将该数与1进行取模运算,如果余数为0,则该数为偶数,否则为奇数。 椭圆曲线算法(ECC)是一种公钥密码学算法,它利用椭圆曲线上的点加法运算和数乘运算来实现加密和解密。ECC具有密钥短、安全性高、运算速度快等优点,因此广泛应用于移动设备等资源受限的环境中。 ECC基本原理是利用椭圆曲线上的点加法运算和数乘运算来实现密钥的生成和加解密。其中,点加法运算是指将两个点在椭圆曲线上相交的位置相加,得到另一个在椭圆曲线上的点。数乘运算是指将一个点在椭圆曲线上重复相加若干次,得到另一个在椭圆曲线上的点。 ECC的安全性基于数论难题,即椭圆曲线离散对数问题。具体来说,给定一条椭圆曲线和其中的一个点P,找到一个整数n,使得nP等于另一个给定的点Q,称为椭圆曲线离散对数问题。目前,尚未找到有效的算法来解决这个问题,因此ECC被认为是一种安全性较高的公钥密码学算法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值