应用密码学调研报告展示

研究题目：《椭圆曲线密码体制的分类与算法模型研究》

1 基本概念

椭圆曲线密码体制（Elliptic Curve Cryptography, ECC）是一种基于椭圆曲线数学理论的公钥密码技术。ECC因其密钥长度短、计算量小、安全性高而被广泛应用于移动设备、智能卡等资源受限的环境中。我的这篇报告主要对椭圆曲线密码体制的分类、算法模型、安全性分析、性能评估以及最新研究进展等几个方面进行调研。

1.1 公钥密码体制

公钥密码体制是一种密码学体系，也称为非对称密码体制。在公钥密码体制中，每个用户都拥有一对密钥，分别是公钥和私钥。公钥是可以公开的，任何人都可以获取和使用；私钥则由用户自己秘密保存。公钥用于对信息进行加密或验证签名，私钥用于对用对应的公钥加密的信息进行解密或生成签名。 

公钥密码体制的重要特性就是加密和解密使用不同的密钥，解决了传统对称密码体制中密钥分发和管理的难题。可以实现数字签名，保证信息的完整性、真实性和不可否认性。

1.2 椭圆曲线的基本概念

椭圆曲线的定义：ECC是基于椭圆曲线上的点运算。椭圆曲线通常由一个特定的方程表示，如y^2 = x^3 + ax + b，其中a和b是曲线参数。点运算包括点的加法和倍乘。点的加法是通过连接两个曲线上的点并找到与曲线交点的方式实现，点的倍乘则是重复进行点的加法。

有限域上的运算：为防止整数溢出和提高计算效率，ECC 操作通常在有限域上进行，对于一个大质数p，所有的运算都在模p的情况下进行。

密钥生成：选择一个椭圆曲线和曲线上的基点（生成点），然后选择一个私钥作为随机数，通过重复点加法运算，生成对应的公钥。

加密和解密：使用公钥对数据进行加密，私钥用于解密。加密过程涉及生成一个共享的密钥，然后使用该密钥对数据进行对称加密。

数字签名：私钥用于生成数字签名，公钥用于验证签名的合法性。签名过程涉及对消息的哈希值进行签名，验证则涉及验证签名是否与消息和公钥匹配。

ECC 的安全性基于椭圆曲线上的离散对数问题，即在有限域上找到一个点的倍数。相对于整数分解问题，椭圆曲线上的离散对数问题更难以攻破，因此 ECC 在相同安全水平下可以使用更短的密钥长度 。                       

2 椭圆曲线密码体制的分类

2.1 基于离散对数问题的ECC

包括椭圆曲线数字签名算法（ECDSA）、椭圆曲线Diffie-Hellman（ECDH）等。“有限域上的椭圆曲线理论是椭圆曲线密码的基础。为了研究，基础是关键。对椭圆曲线密码的研究有力的推动了椭圆曲线理论和其他相关学科理论的发展。[]”，基于离散对数问题的椭圆曲线密码体制主要有EIGamal加密算法、D-H密钥交换协议以及椭圆曲线的数字签名算法ECDSA。

EIGamal加密算法是建立在离散对数的困难问题上的一种公钥体制密码，是除了RSA密码之外最具有代表性的公开密码；

而Diffie-Hellman密钥协议算法是一种确保共享密钥KEY安全穿越不安全网络的方法，它是OAKLEY的一个组成部分。需要安全通信的双方可以用这个方法确定对称密钥，然后可以用这个密钥进行加密和解密。但是这个密钥交换协议或者算法只能用于密钥的交换，不能进行消息的加密和解密。双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。这种秘钥交换技术的目的在于使两个用户安全的协商一个会话密钥；

数字签名是公钥密码学发展过程中最重要的概念之一,ECDSA的处理过程：参与数字签名的所有通信方都使用相同的全局参数，用于定义椭圆曲线以及曲线上的基点；签名者首先生成一对公私钥；对于私钥，选择一个随机数或者伪随机数作为私钥，利用随机数和基点算出另一点，作为公钥；对消息计算Hash值，用私钥、全局参数和Hash值生成签名；验证者用签名者的公钥、全局参数等验证。

这三种基于离散对数问题的椭圆曲线密码体制具体数学推算可以参考“参考文献[]”。

2.2 基于椭圆曲线上的双线性对的ECC

椭圆曲线上用于实现基于身份的加密（IBE）和短签名的Bilinear Pairing是一个基于椭圆曲线上的双线性对的ECC的很好的例子。

椭圆曲线上的Bilinear Pairing，也称为双线性对易子，是一种在有限域上定义的特殊数学结构，它在密码学中扮演了重要角色。这种对易子满足两个关键性质：线性和双线性。在椭圆曲线密码学（ECC）中，它是许多安全协议的基础，包括实现基于身份的加密（IBE）和短签名。

基于身份的加密（IBE，Identity-Based Encryption）：IBE是一种加密体制，它允许用户使用他们的公开身份（如电子邮件地址）作为密钥，而不是传统的密钥对（公钥和私钥）。利用Bilinear Pairing，IBE可以保证即使公开了公钥，接收者也能验证消息的来源，并且只有拥有对应私钥的用户才能解密。这提高了身份管理的效率和安全性。

短签名（Short Signatures）：在传统的数字签名中，生成和验证签名通常需要较长的密钥和复杂的计算。而通过Bilinear Pairing，可以设计出高效的短签名方案，如ECDSA（Elliptic Curve Digital Signature Algorithm），它在保持安全性的前提下，显著减少了签名和验证所需的计算量，使得加密操作更快速。

2.3 基于椭圆曲线上的多重线性对的ECC

在ECC中，一个关键的概念是“多重线性对”（Multiple Linear Pairings），这是基于椭圆曲线上的双线性映射。多重线性对是指定义在两个或多个不同的椭圆曲线上的配对函数，它满足双线性性质，即对于曲线上任意的点P、Q、R和常数a、b，以及映射下的元素e(P)、e(Q)和e®，该函数满足：（1）e(aP, bQ) = e(P)^a * e(Q)^b；（2）e(P, Q+R) = e(P, Q) * e(P, R)这两个条件。

这种映射使得计算变得更高效，因为它允许通过少量的操作来组合点的对，这对于实现轻量级加密和密钥交换协议至关重要。ECC的加密效率高，所需的数据量相对较小，特别是在有限域上，这使其特别适合于资源受限的设备，如物联网设备。

3 算法模型

3.1 椭圆曲线上的点加法和标量乘法

椭圆曲线上的点加法和标量乘法是椭圆曲线密码学（Elliptic Curve Cryptography, ECD）中的核心概念，它们在构建安全的公钥加密算法如ElGamal和ECDSA中扮演着关键角色。

3.1.1 点加法（Point Addition）

点加法定义了两个在椭圆曲线上点之间的运算。给定两个点P和Q，它们的和R可以通过以下步骤计算：

1. 如果P和Q重合（即它们是同一点），那么P自身加上自身的操作称为“点反射”，结果是椭圆曲线的原点O（通常表示为无穷大或没有点）。

2. 否则，从P到Q画一条切线，这条切线与椭圆曲线的另一个交点就是R。

3. R的坐标是按照椭圆曲线的方程找到的。

3.2.2 标量乘法（Scalar Multiplication）

标量乘法是将一个实数（称为标量）与一个点相乘的过程。对于一个点P和一个整数k，k * P表示进行k次点加法，每次使用P作为加数。如果k是负数，则先取P的负数（点减法），然后用-k次点加法抵消负号。当k为0时，结果是椭圆曲线的原点O。

总的来说，这两个操作在实现上可能涉及到一些数学细节，比如有限域和模运算，但总的来说，它们保证了椭圆曲线密码系统的安全性，因为它们的计算复杂性使得大规模的破解变得困难。

3.2 椭圆曲线数字签名算法（ECDSA）

椭圆曲线数字签名算法（Elliptic Curve Digital Signature Algorithm，ECDSA）是一种用于实现公钥加密技术中的数字签名的标准，它基于椭圆曲线密码学（Elliptic Curve Cryptography, ECC）。相比于传统的RSA算法，ECDSA在安全性和效率上具有优势，特别是在资源有限的设备上，比如移动设备。

3.2.1 ECDSA的基本工作原理

椭圆曲线：使用一个特殊的数学结构，即椭圆曲线上的一对点，其中一个是生成点，另一个是用户密钥的一部分。

私钥和公钥：用户拥有一个私钥，它是生成签名所需的信息。私钥对应的一个公开的公钥，可以用于验证签名。

哈希函数：将原始消息通过哈希函数转换为固定长度的位串，这是签名的基础输入。

签名过程：使用私钥生成两个随机数（k 和 r），然后计算 s = k^-1 mod n（n 是曲线上的大素数），最后签名是 (r, s)。

验证过程：接收者使用发送者的公钥和收到的签名 (r, s)，计算哈希值的平方除以 r 的结果，并看是否等于 s。如果等，则签名有效。

3.3 椭圆曲线Diffie-Hellman（ECDH）

椭圆曲线Diffie-Hellman（ECDH）协议是一种非对称密钥交换协议，它利用了椭圆曲线密码学的特性来安全地在通信双方之间共享一个密钥，而无需预先共享任何秘密信息。下面是ECDH的基本原理和用途的一个基本描述。

3.1.1 原理

公钥和私钥：每个参与者拥有一个公钥和一个私钥，公钥可以公开，私钥必须保密。

椭圆曲线基础：协议基于椭圆曲线数学难题，其中找到两个点的乘积相对容易，但计算两个点的逆困难。

共享密钥：参与者A和B各自选择一个椭圆曲线上的一对点，A使用B的公钥和自己的私钥计算共享密钥，同时B也用类似的方法计算相同的密钥。

3.2.2  过程

 a. A生成一对随机数，一个用于选择椭圆曲线上的一点P，另一个作为私钥dA。

b. B同样选择随机数，得到点Q。

c. A将点P和B的公钥Q相乘，得到共享点S。B用点Q和A的公钥P计算得到相同点S。

d. 由于点S在椭圆曲线上，A和B可以通过S的x坐标计算出相同的密钥K。

3.3.3 用途

安全通信：ECDH被广泛用于各种安全通信协议中，如TLS/SSL，允许双方在不安全的网络上建立安全的通信通道。

密钥协商：在多方通信或设备之间的密钥交换中，ECDH提供了一种简洁且安全的方式，避免了直接传输密钥的风险。

身份验证：ECDH可以与其他身份验证机制结合，确保通信双方的身份。

4 安全性分析

“各种密码算法的安全性是所有密码体制最核心最关键的问题,同时也是从事密码研究工作的专业人士最关心的方面。对于椭圆曲线密码体制来说,它的安全性是建立在求解椭圆曲线离散对数困难基础之上的,这也就是说椭圆曲线密码的安全性在很大程度上是依赖于椭圆曲线上的离散对数问题(ECDLP)的求解困难性。然而由于椭圆曲线密码体制已经成为目前最流行的公钥密码体制之一,所以随之而来的各种针对ECC加密算法的攻击技术和防御技术逐渐成为当前密码学研究领域中的一个热点问题[9]。当前针对一般椭圆曲线的攻击方法主要有:Shanks算法、指标计算法、Pohlig-Hellman算法和Pollardρ算法等;而针对一些特殊椭圆曲线的攻击方法主要有MOV攻击、FR攻击和Smart方法等。[]”

椭圆曲线密码体制的安全性分析从以下3个方面进行：

4.1 数学难题基础

ECC依赖于椭圆曲线上的离散对数问题（Elliptic Curve Discrete Logarithm Problem, ECDLP），这个问题是NP完全问题，目前没有已知的快速算法，为加密提供了理论基础。

4.2 攻击模型

分析对ECC的可能攻击，如选择性密文攻击、侧信道攻击（如功耗或时间分析）、线性逼近攻击等，并评估抵抗这些攻击的能力。

4.3 密钥长度

保证密钥长度足够长，抵御量子计算机的威胁，同时平衡计算资源和安全性。“RSA和椭圆曲线算法都是现代密码学中非常重要的加密技术。RSA算法因其历史悠久和广泛的应用而广为人知，而椭圆曲线算法则因其在相同安全级别的更高效率而受到关注。”

将椭圆曲线密码体制与RSA作比较，相同加密强度下椭圆曲线密码体制党的密钥长度比RSA的密钥长度要小很多。如图4.3所示：

图4.3 密码强度对照表

“对于RSA公钥密码体制来说,它的安全强度主要取决于其使用密钥的长度,然而伴随着计算机技术的飞速发展,512位长度的密钥已不再安全,而2048位长度的密钥在未来一段时间内将会被认为是安全的。而椭圆曲线密码体制在加密强度相同的前提下,所需的密钥较短。”

5 性能评估

5.1 加密/解密速度

测量加密和解密操作的实际运行时间，对比其他加密算法的效率，如RSA或AES。

5.2 密钥长度与安全强度

较小的密钥长度与同等安全性的比较，这在资源受限的设备上尤其重要。

5.3 硬件兼容性

评估在不同处理器架构（如CPU、GPU、专用加速器）上的实现性能差异。

5.4 协议效率

对于支持的密钥交换、数字签名等协议，检查其在实际通信中的带宽和延迟影响。

6 结论

椭圆曲线密码体制因其高效性和安全性在现代密码学中占有重要地位。随着量子计算的发展，椭圆曲线密码体制的研究将继续深入，以应对未来的安全挑战。

参考文献

1. csdn博客文章http://t.csdnimg.cn/QMHDP
2. [1]王旻南. 椭圆曲线离散对数问题的相关算法分析[D].南京大学,2019.
3. [2]李学俊. 基于椭圆曲线离散对数问题的公钥密码及其算法研究[D].西北工业大学,2004.
4. csdn博客文章http://t.csdnimg.cn/ZOaF7
5. [3]李殿伟,王正义,赵俊阁.椭圆曲线密码体制安全性分析[J].计算机技术与发展,2012,22(04):227-230+234.
6. csdn博客文章http://t.csdnimg.cn/mYgKl