ECC椭圆曲线加密,常用到point点(以string形式表示)来代表公钥或其它密文信息(有时为节约存储空间,会将point进行压缩),在实际传输过程中,由于具有module F q F_q Fq有限域内运算特征,且曲线公式和有限域范围均对公众已知,很容易从大量网络传输信息中识别定位为ECC相关密文信息从而可能被利用攻击。
Elligator——可将以string形式表示的point映射为random string。从而使得与密文相关的信息不易被识别出来。
1. Elligator 1/2
在论文《Elligator: Elliptic-curve points indistinguishable from uniform random strings》中指出,有两种Elligator算法:
- Elligator 1: 仅限于 q ≡ 3 ( m o d 4 ) q\equiv3(mod\ 4) q≡3(mod 4)的曲线。
- Elligator 2: 可适于 q ≡ 1 ( m o d 4 ) q\equiv1(mod\ 4) q≡1(mod 4)的曲线。
对于Curve1174,其 q = 2 251 − 9 ≡ 3 ( m o d 4 ) q=2^{251}-9\equiv 3(mod\ 4) q=2251−9≡3(mod 4)。理论上来说,Curve1174的运算性能应能与Curve25519相当。
对于Curve25519,其 q = 2 255 − 19 ≡ 1 ( m o d 4 ) q=2^{255}-19\equiv 1(mod\ 4) q=2255−19≡1(mod 4),同时具有“-1-twisted Edwards form”【ristretto255 point压缩和解压缩算法(1)——affine坐标系下第1.1节指出, a x 2 + y 2 = 1 + d x 2 y 2 , a = − 1 ax^2+y^2=1+dx^2y^2,a=-1 ax2+y2=1+dx2y2,a=−1】,具有更高的速度性能。
2. Curve25519的Elligator算法细节
论文《Elligator: Elliptic-curve points indistinguishable from uniform random strings》中指出,需要使用2-torsion point的curve形式,且有如下定理:
论文《Elligator: Elliptic-curve points indistinguishable from uniform random strings》中采用curve形式为
C
A
,
B
:
y
′
2
=
x
′
3
+
A
x
′
2
+
B
x
′
C_{A,B}:y'^2=x'^3+Ax'^2+Bx'
CA,B:y′2=x′3+Ax′2+Bx′,设
n
n
n为
F
q
F_q
Fq内的non-square,
{
r
0
∈
F
q
:
1
+
n
r
0
2
!
=
0
,
A
2
n
r
0
2
!
=
B
(
1
+
n
r
0
2
)
2
}
\{r_0\in F_q:1+nr_0^2!=0,A^2nr_0^2!=B(1+nr_0^2)^2\}
{r0∈Fq:1+nr02!=0,A2nr02!=B(1+nr02)2},假设
r
=
n
r
0
2
r=nr_0^2
r=nr02,对应的当
ϵ
=
1
时
,
x
′
=
v
=
−
A
/
(
1
+
r
)
;
当
ϵ
=
−
1
时
,
x
′
=
v
n
r
0
2
=
v
r
=
−
A
r
/
(
1
+
r
)
\epsilon=1时,x'=v=-A/(1+r);当\epsilon=-1时,x'=vnr_0^2=vr=-Ar/(1+r)
ϵ=1时,x′=v=−A/(1+r);当ϵ=−1时,x′=vnr02=vr=−Ar/(1+r)。
ristretto255中, n n n的取值选为 n = i = + − 1 n=i=+\sqrt{-1} n=i=+−1作为non-square值(quadratic nonresidue)。
论文《Decaf-Eliminating cofactors through point compression 2015-673》中提到,对于使用的是Jacobi quartic curve形式:
J
e
,
A
=
J
a
2
,
a
−
2
d
:
t
2
=
e
s
4
+
2
A
s
2
+
1
J_{e,A}=J_{a^2,a-2d}:t^2=es^4+2As^2+1
Je,A=Ja2,a−2d:t2=es4+2As2+1
同时,该曲线与
L
:
a
y
2
=
x
(
x
−
1
)
(
x
−
d
/
a
)
L:ay^2=x(x-1)(x-d/a)
L:ay2=x(x−1)(x−d/a)等价。两条曲线之间的映射关系为:
(
x
,
y
)
↦
(
s
,
t
)
:
s
=
a
x
−
d
a
2
y
,
t
=
a
x
2
−
2
d
x
+
d
a
x
(
x
−
1
)
(x,y)\mapsto (s,t):s=\frac{ax-d}{a^2y},t=\frac{ax^2-2dx+d}{ax(x-1)}
(x,y)↦(s,t):s=a2yax−d,t=ax(x−1)ax2−2dx+d
另外,曲线
L
L
L与
C
2
d
/
a
−
1
,
(
d
2
−
a
d
)
/
a
2
C_{2d/a-1,(d^2-ad)/a^2}
C2d/a−1,(d2−ad)/a2等价,
A
=
2
d
/
a
−
1
A=2d/a-1
A=2d/a−1且映射关系如下:
(
x
′
,
y
′
)
↦
(
x
,
y
)
:
x
=
x
′
+
d
/
a
,
y
=
y
′
(x',y')\mapsto (x,y): x=x'+d/a,y=y'
(x′,y′)↦(x,y):x=x′+d/a,y=y′
⇒ ( x ′ , y ′ ) ↦ ( s , t ) : s = a x − d a 2 y , t = a x 2 − 2 d x + d a x ( x − 1 ) , 其 中 x = x ′ + d / a \Rightarrow (x',y')\mapsto (s,t): s=\frac{ax-d}{a^2y},t=\frac{ax^2-2dx+d}{ax(x-1)},其中 x=x'+d/a ⇒(x′,y′)↦(s,t):s=a2yax−d,t=ax(x−1)ax2−2dx+d,其中x=x′+d/a。
因此若采用Jacobi quartic curve形式,对应的有:
进一步的公式简化可参见:https://ristretto.group/details/elligator.html#elligator-for-decaf
最终可表示为:
参考资料:
[1] 论文《Elligator: Elliptic-curve points indistinguishable from uniform random strings》
[2] 论文《Decaf-Eliminating cofactors through point compression 2015-673》
[3] https://ristretto.group/details/elligator.html#elligator-for-decaf
1463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
