椭圆曲线

椭圆曲线上的加法运算定义如下:如果椭圆曲线上的3个点位于同一直线上，
那么它们的和为O。从这个定义出发，
我们可以定义椭圆曲线的加法规则:
0为加法的单位元，对于椭圆曲线上的任何一点P,有P+O=P。
对于椭圆曲线.上的一-点P=(X,y)，
,它的逆元为P= ( x,-y)。注意到这里有P+ (- P) =P-P=O

计算xG

相关公式如下：

有限域GF§上的椭圆曲线y² = x³ + ax + b，

若P(Xp, Yp), Q(Xq, Yq)，且P≠-Q，

则R(Xr,Yr) = P+Q 由如下规则确定：

Xr = (λ² - Xp - Xq) mod p

Yr = (λ(Xp - Xr) - Yp) mod p

其中

λ = (Yq - Yp)/(Xq - Xp) mod p（若P≠Q）,

λ = (3Xp² + a)/2Yp mod p（若P=Q）

因此，有限域GF(23)上的椭圆曲线y² ≡ x³ + x + 1 (mod 23)，

假设以(0,1)为G点，

计算2G、3G、4G…xG等等，

方法如下：

计算2G：　　λ = (3x0² + 1)/2x1 mod 23 = (1/2) mod 23 = 12　　Xr = (12² - 0 - 0) mod 23 = 6　　Yr = (12(0 - 6) - 1) mod 23 = 19　　即2G为点(6,19)

计算3G：　　3G = G + 2G，即(0,1) + (6,19)　　λ = (19 - 1)/(6 - 0) mod 23 = 3　　Xr = (3² - 0 - 6) mod 23 = 3　　Yr = (3(0 - 3) - 1) mod 23 = 13　　即3G为点(3, 13)

也就是说，当给定点P时，“已知数x求点xG的运算”不难，因为有加法的性质，运算起来可以比较快。但反过来，“已知点xG求x的问题”则非常困难，因为只能遍历每一个x做运算。这就是椭圆曲线密码中所利用的“椭圆曲线上的离散对数问题”。

此处x即为私钥，xG即为公钥。

椭圆曲线加密算法原理如下