【密码学】椭圆曲线密码体制（ECC）

小oo呆

已于 2024-08-05 17:39:52 修改

阅读量1.4k

点赞数 20

分类专栏：【隐私保护】【学习心得】文章标签：密码学安全

于 2024-08-04 02:45:14 首次发布

本文链接：https://blog.csdn.net/qq_39780701/article/details/140899262

版权

【学习心得】同时被 2 个专栏收录

96 篇文章 4 订阅

订阅专栏

【隐私保护】

38 篇文章 0 订阅

订阅专栏

椭圆曲线密码体制（Elliptic Curve Cryptography, ECC）是一种基于椭圆曲线数学特性的公钥密码系统。在介绍椭圆曲线之前，我们先来了解一下椭圆曲线的基本概念。

一、椭圆曲线是什么？

（1）椭圆曲线的数学定义

椭圆曲线是一条由方程 $y^2=x^3+ax+b$ 给定的曲线，其中a和b是常数，并满足 $\Delta = 4a^3+27b^2\neq 0$ ，以确保曲线没有奇点（即曲线是平滑的）。在无限域（如实数域）上，椭圆曲线看起来像是一条平滑的、不自交的曲线。

椭圆曲线的图像如下：

【注】椭圆曲线并不是椭圆，只因为该方程与计算椭圆周长的方程相似。

可以证明如果 $x^3+ax+b$ 没有重复因子，或者满足 $4a^3+27b^2\neq 0$ 那么椭圆曲线上的点集 $E(a,b)$ 可构成一个Abel群（阿贝尔群）。椭圆曲线包括所有曲线上的点以及一个特殊的点，我们称为无限远点 $O$

（2）椭圆曲线上的算术运算

椭圆曲线上定义了加法运算，这使得椭圆曲线成为一个群。具体来说，对于椭圆曲线上任意两点 P 和 Q，可以定义它们的和 R=P+Q，其计算方法遵循以下规则：

① 加法运算

加法：如果 P 和 Q 不重合，那么通过连接这两点的直线与椭圆曲线的第三个交点，然后在 y 轴上找到这个点的反射点作为 R

二倍点：如果 P=Q，则使用切线代替直线，找到切线与椭圆的交点，再找到该点关于 y 轴的反射点作为 2P

无穷远点：椭圆曲线上的加法还定义了一个特殊点，称为无穷远点，它与任何其他点相加都保持不变

② 点乘运算

点乘：将一个给定点沿着椭圆曲线进行多次加法操作。点乘运算通常被记作 kP，其中 k 是一个整数，P 是椭圆曲线上的一点。

如上图3P的计算过程，先计算出2P也就是Q，然后再将Q和P连接在一起，找到和椭圆曲线的交点，这个交点关于X轴的对称点就是3P。

二、椭圆曲线密码体制

有限域上的椭圆曲线是椭圆曲线的一个变体，它定义在一个有限域（finite field）上，而不是在实数域或复数域上。有限域上的椭圆曲线在密码学中有重要的应用，特别是用于构建椭圆曲线密码体制（ECC）

（1）有限域上的椭圆曲线

有限域是一个具有有限个元素的域。域意味着在这个集合中定义了加法和乘法操作，并且这些操作满足特定的代数性质，比如加法和乘法的封闭性、结合律、交换律、单位元的存在性、逆元的存在性等。

有限域的一个重要例子是模 p 的剩余类，这个有限域通常记作 $F_p$ ，当椭圆曲线定义在一个有限域 $F_p$ 上时，我们考虑的是所有 $(x,y)$ ，其中 $x$ 和 $y$ 都是 $F_p$ 中的元素，并且满足上述椭圆曲线方程。这样的点集构成了有限域上的椭圆曲线。

（2）有限域上的椭圆曲线结论

在有限域上的椭圆曲线上定义的加法运算构成了一个阿贝尔群，这是因为加法运算满足群的四个基本性质：封闭性、结合律、存在单位元、存在逆元，同时加法运算还满足交换律。

封闭性：

对于椭圆曲线 E 上的任意两点 P 和 Q，它们的和 R=P+Q 也是一个椭圆曲线上的点。这意味着加法运算的结果仍然属于椭圆曲线 E。

结合律：

对于椭圆曲线 E 上的任意三点 P、Q 和 R，有 (P+Q)+R=P+(Q+R)。这意味着加法运算的顺序不影响结果。

单位元：

椭圆曲线 E 上定义了一个特殊点 O，称为无穷远点，它是加法的单位元。这意味着对于椭圆曲线上的任意点 P，都有 P+O=P。

逆元：

对于椭圆曲线 E 上的每一个点 P，存在一个唯一的点 −P，使得 P+(−P)=O。这里的 −P 称为 P 的加法逆元。

交换律：

对于椭圆曲线 E 上的任意两点 P 和 Q，有 P+Q=Q+P。这意味着加法运算满足交换律。

（3）椭圆曲线上的离散对数问题（ECDLP）

椭圆曲线上的离散对数问题 (ECDLP) 是椭圆曲线密码学 (ECC) 安全性的基础。ECDLP 是指在给定的椭圆曲线上，找到一个点的倍数所需的秘密倍数的问题。它的定义如下：

ECDLP 的难度在于，虽然给定一个点 P 和一个整数 k，很容易计算出 Q=kP，但是反过来，给定 Q 和 P，找到 k 是非常困难的。这种问题的难解性是椭圆曲线密码学安全性的核心。

ECDLP 的难度确保了椭圆曲线密码系统的安全性。由于目前没有已知的有效算法可以在多项式时间内解决 ECDLP，因此只要选择合适的椭圆曲线和密钥长度，就可以实现高度的安全性。

三、椭圆曲线密码学体制的应用

椭圆曲线密码学利用 ECDLP 的难解性来构建安全的密码协议，例如：

椭圆曲线数字签名算法 (ECDSA)：用于创建数字签名。
椭圆曲线密钥交换协议 (ECDH)：用于安全地交换密钥。
椭圆曲线集成加密方案 (ECIES)：用于加密数据。

（1）椭圆曲线上的DH密钥交换算法（ECDH）举例说明

① 准备阶段

第一步：首先取一个素数 $p=2^{180}$ ，以及参数 $a,b$ ，则椭圆曲线上的点构成Abel群 $E_p(a,b)$

第二步：取 $E_p(a,b)$ 上的一个生成元 $G(x_1,y_1)$ ，要求 $G$ 的阶是一个非常大的数 $n$ ， $G$ 的阶 $n$ 是满足 $nG=O$ 的最小正整数。

第三步：将 $E_p(a,b)$ 和生成元 $G$ 作为公钥密码体制的公开参数对外公布，不保密。

② 密钥交换阶段

通过上面密钥交换算法，A和B共同拥有密钥K，攻击者如果想获得密钥K，他就必须由 $P_A$ 和 $G$ 求出 $n_A$ ，或者由 $P_B$ 和 $G$ 求出 $n_B$ ，而这等价于求椭圆曲线上的离散对数问题ECDLP，因此是不可行的，所以确保了安全。

③ 带入具体数字举例说明

四、椭圆曲线密码学体制的优缺点

下面用一个表格来简练的把最值得关注的优缺点罗列出来。

	简述	详述
优点	密钥长度短	ECC可以在保持与RSA等传统公钥加密算法相同的安全水平的同时，使用更短的密钥长度。
	计算效率高	较短的密钥长度意味着更快的加密和解密速度。
	节省带宽和存储空间	ECC密钥占用的空间更小，这减少了数据传输和存储所需的带宽和存储空间。
	功耗低适应性强	在电池供电的设备中，ECC的低计算复杂度意味着更低的功耗，非常适合于移动和嵌入式系统，因为这些系统通常具有有限的处理能力和内存资源。
	支持聚合签名	ECC支持高效地聚合多个签名成一个单一的签名
缺点	性能开销	尽管ECC的密钥长度较短，但其运算的复杂度（特别是模数运算）可能会导致在某些情况下计算效率相对较低。比如没做优化的硬件平台上。
	实现难度	ECC的实现相对复杂。错误地实现ECC可能会导致安全漏洞。例如，如果参数选择不当或者实现过程中有错误，那么可能会导致私钥泄露的风险。
	侧信道攻击	ECC面临着侧信道攻击的风险，这些攻击利用了加密算法执行时的物理特性，如运行时间、功耗变化等来推断出密钥信息。